Tá 95% de bhagairtí slándála faisnéise ar eolas, agus is féidir leat tú féin a chosaint uathu trí úsáid a bhaint as modhanna traidisiúnta ar nós frithvíreas, ballaí dóiteáin, IDS, WAF. Tá an 5% eile de bhagairtí anaithnid agus is contúirtí. Is ionann iad agus 70% den riosca do chuideachta mar gheall ar an bhfíric go bhfuil sé an-deacair iad a bhrath, i bhfad níos lú cosaint ina gcoinne. Samplaí an eipidéim earraí ransomware WannaCry, NotPetya/ExPetr, cripte-mianaitheoirí, an “cibear-arm” Stuxnet (a bhuail saoráidí núicléacha na hIaráine) agus go leor (an cuimhin le duine ar bith eile Kido/Conficker?) ionsaithe eile nach bhfuil cosanta go maith ina gcoinne le bearta slándála clasaiceacha. Ba mhaith linn labhairt faoi conas an 5% de bhagairtí seo a chomhrac trí úsáid a bhaint as teicneolaíocht Sealgaireacht Bagairtí.
Teastaíonn braite seasta agus frithbhearta le héabhlóid leanúnach na gcibear-ionsaithe, rud a thugann orainn ar deireadh smaoineamh ar rás arm gan deireadh idir ionsaitheoirí agus cosantóirí. Ní féidir le córais slándála clasaiceacha leibhéal inghlactha slándála a sholáthar a thuilleadh, ag nach mbíonn tionchar ag an leibhéal riosca ar phríomhtháscairí na cuideachta (eacnamaíoch, polaitiúil, clú) gan iad a mhodhnú le haghaidh bonneagar sonrach, ach go ginearálta clúdaíonn siad cuid de na rioscaí. Cheana féin i bpróiseas an chur chun feidhme agus na cumraíochta, tá ról ag córais slándála nua-aimseartha teacht suas agus caithfidh siad freagairt do dhúshláin an ama nua.
B’fhéidir go bhfuil teicneolaíocht Fiach Bagairt ar cheann de na freagraí ar dhúshláin ár gcuid ama le haghaidh speisialtóir slándála faisnéise. Bhí an téarma Fiach Bagairt (dá ngairtear TH anseo feasta) le feiceáil roinnt blianta ó shin. Tá an teicneolaíocht féin suimiúil go leor, ach níl aon chaighdeáin agus rialacha a nglactar leo go ginearálta fós. Tá an t-ábhar casta freisin ag ilchineálacht na bhfoinsí faisnéise agus an líon beag foinsí faisnéise Rúisise ar an ábhar seo. Maidir leis seo, shocraigh muid ag LANIT-Integration athbhreithniú a scríobh ar an teicneolaíocht seo.
Ábharthacht
Braitheann teicneolaíocht TH ar phróisis monatóireachta bonneagair.. Is modh traidisiúnta é foláireamh (cosúil le seirbhísí MSSP) chun sínithe agus comharthaí ionsaithe a forbraíodh roimhe seo a chuardach agus chun freagairt dóibh. Déantar an cás seo go rathúil le huirlisí cosanta traidisiúnta sínithe-bhunaithe. Is modh monatóireachta é an tseilge (seirbhís den chineál MDR) a fhreagraíonn an cheist “Cas as a dtagann sínithe agus rialacha?” Is é an próiseas a bhaineann le rialacha comhghaoil a chruthú trí anailís a dhéanamh ar tháscairí folaithe nó anaithnide agus comharthaí ionsaí. Tagraíonn Fiach Bagairt don chineál seo monatóireachta.
Is tríd an dá chineál monatóireachta a chur le chéile amháin a bhfaighimid cosaint atá gar don idéal, ach bíonn leibhéal áirithe riosca iarmharach ann i gcónaí.
Cosaint ag baint úsáide as dhá chineál monatóireachta
Agus seo an fáth a mbeidh TH (agus fiach ina iomláine!) ag éirí níos ábhartha:
Bagairtí, leigheasanna, rioscaí.
. Áirítear orthu seo cineálacha cosúil le turscar, DDoS, víris, rootkits agus malware clasaiceach eile. Is féidir leat tú féin a chosaint ó na bagairtí seo ag baint úsáide as na bearta slándála clasaiceacha céanna.
Le linn aon tionscadal a chur i bhfeidhm, agus tógann an 20% eile den obair 80% den am. Mar an gcéanna, ar fud tírdhreach iomlán na mbagairtí, beidh 5% de bhagairtí nua freagrach as 70% den riosca do chuideachta. I gcuideachta ina n-eagraítear próisis bhainistíochta slándála faisnéise, is féidir linn 30% den riosca a bhaineann le bagairtí aitheanta a chur chun feidhme a bhainistiú ar bhealach amháin nó ar bhealach eile trí sheachaint (líonraí gan sreang a dhiúltú i bprionsabal), glacadh leis (na bearta slándála is gá a chur i bhfeidhm) nó aistriú. (mar shampla, ar ghualainn an chomhtháthóra) an riosca seo. Tú féin a chosaint ó, ionsaithe APT, fioscaireacht,, cibearspiaireacht agus oibríochtaí náisiúnta, chomh maith le líon mór ionsaithe eile i bhfad níos deacra cheana féin. Beidh iarmhairtí na 5% seo de bhagairtí i bhfad níos tromchúisí () ná iarmhairtí turscair nó víris, óna sábhálann bogearraí antivirus.
Caithfidh beagnach gach duine déileáil le 5% de na bagairtí. Bhí orainn réiteach foinse oscailte a shuiteáil le déanaí a úsáideann feidhmchlár ón stór PEAR (PHP Extension and Application Repository). Theip ar iarracht an feidhmchlár seo a shuiteáil trí shuiteáil piorra toisc ar fáil (anois tá stub air), bhí orm é a shuiteáil ó GitHub. Agus díreach le déanaí d'éirigh sé amach go raibh PEAR ina íospartach.
Is féidir leat cuimhneamh go fóill, eipidéim den ransomware NePetya trí mhodúl nuashonraithe do chlár tuairiscithe cánach. Tá bagairtí ag éirí níos sofaisticiúla, agus tagann an cheist loighciúil chun cinn - “Conas is féidir linn cur i gcoinne na 5% seo de bhagairtí?”
Sainmhíniú ar Fhiach Bagairt
Mar sin, is é Fiach Bagairtí an próiseas cuardaigh réamhghníomhach agus atriallach agus chun ardbhagairtí a bhrath nach féidir le huirlisí slándála traidisiúnta a bhrath. Áirítear ar bhagairtí chun cinn, mar shampla, ionsaithe ar nós APT, ionsaithe ar leochaileachtaí 0-lá, Maireachtáil as an Talamh, agus mar sin de.
Is féidir linn a athrá freisin gurb é TH an próiseas chun hipitéisí a thástáil. Is próiseas láimhe den chuid is mó é seo le gnéithe uathoibrithe, ina ndéanann an anailísí, ag brath ar a chuid eolais agus scileanna, sifts trí líon mór faisnéise sa tóir ar chomharthaí comhréitigh a fhreagraíonn don hipitéis a chinntear ar dtús faoi láithreacht bagairt áirithe. Is é an ghné shainiúil atá aige ná éagsúlacht na bhfoinsí faisnéise.
Ba chóir a thabhairt faoi deara nach cineál bogearraí nó táirge crua-earraí é Threat Hunting. Ní foláirimh iad seo atá le feiceáil i réiteach éigin. Ní próiseas cuardaigh IOC (Aitheantóirí Comhréiteach) é seo. Agus ní gníomhaíocht éighníomhach de chineál éigin é seo a tharlaíonn gan rannpháirtíocht anailísithe slándála faisnéise. Is próiseas é Fiach Bagairt ar an gcéad dul síos.
Comhpháirteanna Fiach Bagairt
Trí phríomhchuid de Sheachadóireacht Bagairtí: sonraí, teicneolaíocht, daoine.
Sonraí (cad?), lena n-áirítear Sonraí Móra. Gach cineál sreabhadh tráchta, faisnéis faoi APTanna roimhe seo, anailísíocht, sonraí ar ghníomhaíocht úsáideoirí, sonraí líonra, faisnéis ó fhostaithe, faisnéis ar an darknet agus go leor eile.
Teicneolaíochtaí (conas?) na sonraí seo a phróiseáil - gach bealach féideartha chun na sonraí seo a phróiseáil, lena n-áirítear Machine Learning.
Daoine (cé?) – iad siúd a bhfuil taithí fhairsing acu ar anailís a dhéanamh ar ionsaithe éagsúla, a d’fhorbair intuition agus an cumas ionsaí a bhrath. De ghnáth is anailísithe slándála faisnéise iad seo nach mór a bheith in ann hipitéisí a ghiniúint agus deimhniú a fháil dóibh. Is iad an príomh-nasc sa phróiseas.
Múnla PARIS
Adam Bateman Múnla PARIS don phróiseas TH idéalach. Tagraíonn an t-ainm do shainchomhartha cáiliúil sa Fhrainc. Is féidir an tsamhail seo a fheiceáil i dhá threoir - ó thuas agus ó thíos.
De réir mar a oibrímid tríd an tsamhail ón mbun aníos, tiocfaimid ar an-chuid fianaise ar ghníomhaíocht mhailíseach. Tá beart ar a dtugtar muinín i ngach píosa fianaise - tréith a léiríonn meáchan na fianaise seo. Tá “iarann” ann, fianaise dhíreach ar ghníomhaíocht mhailíseach, ar dá réir is féidir linn barr na pirimide a bhaint amach láithreach agus foláireamh iarbhír a chruthú faoi ionfhabhtú atá ar eolas go beacht. Agus tá fianaise indíreach ann, ar féidir leis an tsuim a bheith mar thoradh uirthi go barr na pirimide freisin. Mar is gnáth, tá i bhfad níos mó fianaise indíreach ná fianaise dhíreach, rud a chiallaíonn gur gá iad a shórtáil agus a anailísiú, ní mór taighde breise a dhéanamh, agus tá sé inmholta é seo a uathoibriú.
Múnla PARIS.
Tá an chuid uachtarach den mhúnla (1 agus 2) bunaithe ar theicneolaíochtaí uathoibrithe agus anailísí éagsúla, agus tá an chuid íochtair (3 agus 4) bunaithe ar dhaoine le cáilíochtaí áirithe a bhainistíonn an próiseas. Is féidir leat smaoineamh ar an tsamhail ag bogadh ó bhun go barr, áit a bhfuil foláirimh ó uirlisí slándála traidisiúnta (antivirus, EDR, balla dóiteáin, sínithe) sa chuid uachtarach den dath gorm, le leibhéal ard muiníne agus muiníne, agus thíos tá táscairí ( IOC, URL, MD5 agus eile), a bhfuil leibhéal níos ísle cinnteachta acu agus a dteastaíonn staidéar breise uathu. Agus is é an leibhéal is ísle agus is tiubh (4) ná hipitéisí a ghiniúint, cásanna nua a chruthú maidir le modhanna cosanta traidisiúnta a oibriú. Níl an leibhéal seo teoranta do na foinsí sonraithe hipitéisí amháin. Dá ísle an leibhéal, is amhlaidh is mó ceanglais a chuirtear ar cháilíochtaí an anailísí.
Tá sé thar a bheith tábhachtach nach ndéanann anailísithe ach sraith chríochnaithe de hipitéisí réamhshocraithe a thástáil, ach go n-oibríonn siad i gcónaí chun hipitéisí agus roghanna nua a ghiniúint chun iad a thástáil.
TH Samhail Aibíochta Úsáide
I saol idéalach, is próiseas leanúnach é TH. Ach, ós rud é nach bhfuil domhan idéalach ann, déanaimis anailís agus modhanna i dtéarmaí daoine, próisis agus teicneolaíochtaí a úsáidtear. Breathnaímid ar shamhail de TH sféarúil idéalach. Tá 5 leibhéal ag baint úsáide as an teicneolaíocht seo. Breathnaímid orthu ag baint úsáide as an sampla d'éabhlóid foireann amháin d'anailísithe.
Leibhéil aibíochta
Daoine
Na próisis
Teicneolaíocht
Leibhéal 0
Anailísí SOC
24/7
Ionstraimí traidisiúnta:
Traidisiúnta
Sraith foláirimh
Monatóireacht éighníomhach
IDS, AV, Sandboxing,
Sin TH
Ag obair le foláirimh
Uirlisí anailíse sínithe, sonraí Bagairt Faisnéise.
Leibhéal 1
Anailísí SOC
TH aonuaire
EDR
Turgnamhach
Buneolas ar fhóiréinsic
Cuardach IOC
Clúdach páirteach sonraí ó fheistí líonra
Turgnaimh le TH
Eolas maith ar líonraí agus feidhmchláir
Iarratas páirteach
Leibhéal 2
Slí bheatha shealadach
Sprints
EDR
Tréimhsiúil
Meán-eolas ar fhóiréinsic
Seachtain go mí
Iarratas iomlán
Sealadach TH
Sár-eolas ar líonraí agus ar fheidhmchláir
TH rialta
Uathoibriú iomlán ar úsáid sonraí EDR
Úsáid pháirteach as ardchumais EDR
Leibhéal 3
Ordú tiomnaithe TH
24/7
Cumas páirteach chun hipitéisí a thástáil TH
Coisctheach
Sár-eolas ar fhóiréinsic agus ar bhogearraí mailíseacha
TH coisctheach
Úsáid iomlán a bhaint as ardchumais EDR
Cásanna speisialta TH
Eolas iontach ar an taobh ionsaí
Cásanna speisialta TH
Clúdach iomlán sonraí ó fheistí líonra
Cumraíocht a oireann do do chuid riachtanas
Leibhéal 4
Ordú tiomnaithe TH
24/7
Cumas iomlán chun hipitéisí TH a thástáil
Ceannaireacht
Sár-eolas ar fhóiréinsic agus ar bhogearraí mailíseacha
TH coisctheach
Leibhéal 3, móide:
Ag baint úsáide as TH
Eolas iontach ar an taobh ionsaí
Tástáil, uathoibriú agus fíorú hipitéisí TH
comhtháthú daingean foinsí sonraí;
Cumas taighde
forbairt de réir riachtanas agus úsáid neamhchaighdeánach API.
TH leibhéil aibíochta ag daoine, próisis agus teicneolaíochtaí
Leibhéal 0: traidisiúnta, gan úsáid a bhaint as TH. Oibríonn anailísithe rialta le sraith chaighdeánach foláirimh i mód monatóireachta éighníomhach ag baint úsáide as uirlisí agus teicneolaíochtaí caighdeánacha: IDS, AV, bosca gainimh, uirlisí anailíse sínithe.
Leibhéal 1: turgnamhach, ag baint úsáide as TH. Is féidir leis na hanailísithe céanna a bhfuil eolas bunúsach acu ar fhóiréinsic agus eolas maith ar líonraí agus feidhmchláir Fiach Bagairt aonuaire a dhéanamh trí tháscairí comhréitigh a chuardach. Cuirtear EDRanna leis na huirlisí le clúdach páirteach sonraí ó fheistí líonra. Úsáidtear na huirlisí go páirteach.
Leibhéal 2: tréimhsiúil, sealadach TH. Éilítear ar na hanailísithe céanna a bhfuil a n-eolas i bhfóiréinsic, líonraí agus an chuid iarratais a uasghrádú cheana féin dul i mbun Fiach Bagairt (sprint) go rialta, abair, seachtain sa mhí. Cuireann na huirlisí iniúchadh iomlán ar shonraí ó fheistí líonra, uathoibriú anailíse sonraí ó EDR, agus úsáid pháirteach ar ardchumais EDR.
Leibhéal 3: cásanna coisctheacha, minic de TH. D'eagraigh ár n-anailísithe iad féin i bhfoireann tiomnaithe agus thosaigh siad ag eolas den scoth ar fhóiréinsic agus malware, chomh maith le heolas ar mhodhanna agus ar thactics an taobh ionsaí. Tá an próiseas déanta 24/7 cheana féin. Tá an fhoireann in ann hipitéisí TH a thástáil go páirteach agus iad ag baint úsáide as ardchumais EDR le clúdach iomlán sonraí ó fheistí líonra. Tá anailísithe in ann uirlisí a chumrú chun freastal ar a gcuid riachtanas freisin.
Leibhéal 4: ard-deireadh, bain úsáid as TH. Fuair an fhoireann chéanna an cumas taighde a dhéanamh, an cumas próiseas tástála hipitéisí TH a ghiniúint agus a uathoibriú. Anois tá na huirlisí forlíonta ag comhtháthú dlúth foinsí sonraí, forbairt bogearraí chun freastal ar riachtanais, agus úsáid neamhchaighdeánach APIs.
Teicnící Fiach Bagairt
Teicnící Fiaigh Bunúsacha Bagairtí
К Is iad TH, in ord aibíochta na teicneolaíochta a úsáidtear, ná: cuardach bunúsach, anailís staitistiúil, teicnící léirshamhlaithe, comhiomláin shimplí, meaisínfhoghlaim, agus modhanna Bayesian.
Úsáidtear an modh is simplí, cuardach bunúsach, chun an réimse taighde a chaolú ag baint úsáide as fiosrúcháin ar leith. Úsáidtear anailís staitistiúil, mar shampla, chun gnáthghníomhaíocht úsáideora nó líonra a thógáil i bhfoirm samhail staidrimh. Úsáidtear teicnící léirshamhlaithe chun anailís sonraí a thaispeáint agus a shimpliú i bhfoirm graif agus cairteacha, rud a fhágann go bhfuil sé i bhfad níos éasca patrúin sa sampla a aithint. Úsáidtear teicníc na gcomhiomlánaithe simplí de réir príomhréimsí chun cuardach agus anailís a bharrfheabhsú. Dá aibíochta a shroicheann próiseas TH eagraíochta, is amhlaidh is ábhartha a thiocfaidh úsáid halgartaim meaisínfhoghlama. Úsáidtear go forleathan iad freisin chun turscar a scagadh, trácht mailíseach a bhrath agus gníomhaíochtaí calaoiseacha a bhrath. Is cineál níos airde algartam foghlama meaisín é modhanna Bayesian, a cheadaíonn aicmiú, laghdú ar mhéid an tsampla, agus samhaltú topaicí.
Samhail Diamond agus Straitéisí TH
Sergio Caltagiron, Andrew Pendegast agus Christopher Betz ina gcuid oibre "» léirigh na príomhchodanna d'aon ghníomhaíocht mhailíseach agus an nasc bunúsach eatarthu.
Múnla Diamond le haghaidh gníomhaíochta mailíseach
De réir an tsamhail seo, tá 4 straitéis Fiach Bagairt ann, atá bunaithe ar na príomhchodanna comhfhreagracha.
1. Straitéis atá dírithe ar íospartaigh. Glacaimid leis go bhfuil comhraic ag an íospartach agus soláthróidh siad “deiseanna” trí ríomhphost. Táimid ag lorg sonraí namhaid sa phost. Cuardaigh naisc, ceangaltáin, etc. Táimid ag lorg deimhniú an hipitéis seo ar feadh tréimhse áirithe ama (mí, dhá sheachtain); mura bhfaighimid é, ansin níor oibrigh an hipitéis.
2. Straitéis atá dírithe ar bhonneagar. Tá roinnt modhanna ann chun an straitéis seo a úsáid. Ag brath ar rochtain agus infheictheacht, tá cuid acu níos éasca ná a chéile. Mar shampla, déanaimid monatóireacht ar fhreastalaithe ainmneacha fearainn ar a dtugtar óstáil ar fhearainn mhailíseacha. Nó téimid tríd an bpróiseas chun monatóireacht a dhéanamh ar gach clárú ainmneacha fearainn nua le haghaidh patrún aitheanta a úsáideann namhaid.
3. Straitéis cumas-tiomáinte. Chomh maith leis an straitéis atá dírithe ar íospartaigh a úsáideann formhór na gcosantóirí líonra, tá straitéis ann atá dírithe ar dheiseanna. Is é an dara ceann is mó tóir é agus díríonn sé ar chumais a bhrath ón namhaid, is é sin “malware” agus cumas an ionsaitheora uirlisí dlisteanacha a úsáid mar psexec, powershell, certutil agus eile.
4. Straitéis namhaid-dhírithe. Díríonn an cur chuige sáraíochta-lárnach ar an namhaid féin. Áirítear leis seo úsáid faisnéise oscailte ó fhoinsí atá ar fáil go poiblí (OSINT), bailiú sonraí faoin namhaid, a theicnící agus a mhodhanna (TTP), anailís ar theagmhais roimhe seo, sonraí Threat Intelligence, etc.
Foinsí faisnéise agus hipitéisí i TH
Roinnt foinsí eolais le haghaidh Fiach Bagairtí
Is féidir go leor foinsí faisnéise a bheith ann. Ba cheart go mbeadh anailísí idéalach in ann faisnéis a bhaint as gach rud atá thart. Is iad na foinsí tipiciúla i mbeagnach aon bhonneagar ná sonraí ó uirlisí slándála: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Chomh maith leis sin, beidh táscairí éagsúla comhréitigh, seirbhísí Faisnéise Bagairt, sonraí CERT agus OSINT mar ghnáthfhoinsí faisnéise. Ina theannta sin, is féidir leat úsáid a bhaint as faisnéis ón darknet (mar shampla, go tobann tá ordú a hack an bosca poist an ceann na heagraíochta, nó iarrthóir ar phost innealtóir líonra curtha faoi lé as a chuid gníomhaíochta), faisnéis a fuarthas ó Acmhainní Daonna (athbhreithnithe ar an iarrthóir ó áit oibre roimhe seo), faisnéis ón tseirbhís slándála (mar shampla, torthaí fíoraithe an chontrapháirtí).
Ach sula n-úsáidtear na foinsí go léir atá ar fáil, is gá hipitéis amháin ar a laghad a bheith agat.
Chun hipitéisí a thástáil, ní mór iad a chur ar aghaidh ar dtús. Agus chun go leor hipitéisí ardchaighdeáin a chur ar aghaidh, is gá cur chuige córasach a chur i bhfeidhm. Déantar cur síos níos mionsonraithe ar an bpróiseas chun hipitéisí a ghiniúint i, tá sé an-áisiúil an scéim seo a ghlacadh mar bhunús leis an bpróiseas chun hipitéisí a chur chun cinn.
Beidh príomhfhoinse na hipitéisí maitrís ATT&CK (Tactics Sáraíochta, Teicnící agus Eolas Coiteann). Go bunúsach, is bonn eolais agus múnla é chun measúnú a dhéanamh ar iompar ionsaitheoirí a dhéanann a gcuid gníomhaíochtaí sna céimeanna deiridh d'ionsaí, a thuairiscítear de ghnáth ag baint úsáide as coincheap Kill Chain. Is é sin, ag na céimeanna tar éis d'ionsaitheoir dul isteach i líonra inmheánach an fhiontair nó ar ghléas soghluaiste. Áiríodh sa bhunachar eolais ar dtús cur síos ar 121 oirbheartaíocht agus teicníocht a úsáideadh san ionsaí, agus déantar cur síos mionsonraithe ar gach ceann acu i bhformáid Vicí. Tá anailísí Faisnéise Éagsúla Bagairtí oiriúnach go maith mar fhoinse chun hipitéisí a ghiniúint. Is díol suntais go háirithe torthaí anailíse bonneagair agus tástálacha treá - is é seo na sonraí is luachmhaire is féidir a thabhairt dúinn hipitéisí ironclad mar gheall ar an bhfíric go bhfuil siad bunaithe ar bhonneagar ar leith a bhfuil a easnaimh ar leith.
Próiseas tástála hipitéise
Sergei Soldatov a thug le cur síos mionsonraithe ar an bpróiseas, léiríonn sé an próiseas tástála hipitéisí TH i gcóras amháin. Cuirfidh mé na príomhchéimeanna in iúl le cur síos gairid.
Céim 1: TI Feirme
Ag an gcéim seo is gá aird a tharraingt rudaí (trí iad a anailísiú in éineacht leis na sonraí bagairtí go léir) agus lipéid a shannadh dóibh dá saintréithe. Is iad seo comhad, URL, MD5, próiseas, fóntais, imeacht. Agus iad á gcur ar aghaidh trí chórais Faisnéise Bagairt, is gá clibeanna a cheangal. Is é sin, tugadh faoi deara an suíomh seo i CNC i cibé agus bliain den sórt sin, bhí baint ag an MD5 seo le malware den sórt sin agus den sórt sin, íoslódáladh an MD5 seo ó shuíomh a dáileadh malware.
Céim 2: Cásanna
Ag an dara céim, féachaimid ar an idirghníomhú idir na réada seo agus sainaithnímid na gaolta idir na réada seo go léir. Faighimid córais marcáilte a dhéanann rud éigin dona.
Céim 3: Anailísí
Ag an tríú céim, aistrítear an cás chuig anailísí taithí a bhfuil taithí fhairsing aige ar anailís, agus déanann sé fíorasc. Parses sé síos go dtí na bearta cad, cén áit, conas, cén fáth agus cén fáth a dhéanann an cód seo. Ba malware é an comhlacht seo, bhí an ríomhaire seo ionfhabhtaithe. Nochtann naisc idir rudaí, seiceálacha na torthaí a rith tríd an bosca gainimh.
Tarchuirtear tuilleadh torthaí obair an anailísí. Scrúdaíonn Digital Forensics íomhánna, scrúdaíonn Anailís Malware na “comhlachtaí” a aimsíodh, agus is féidir leis an bhfoireann Freagartha Teagmhais dul chuig an suíomh agus imscrúdú a dhéanamh ar rud éigin atá ann cheana féin. Is é toradh na hoibre ná hipitéis dheimhnithe, ionsaí aitheanta agus bealaí chun é a chomhrac.
Torthaí
Is teicneolaíocht measartha óg é Fiach Bagairt atá in ann dul i ngleic go héifeachtach le bagairtí saincheaptha, nua agus neamhchaighdeánacha, a bhfuil ionchais iontacha ag baint leis mar gheall ar an méadú ar líon na mbagairtí sin agus ar chastacht mhéadaitheach an bhonneagair chorparáidigh. Éilíonn sé trí chomhpháirt - sonraí, uirlisí agus anailísithe. Níl na buntáistí a bhaineann le Sealgaireacht Bagairtí teoranta do chur i bhfeidhm bagairtí a chosc. Ná déan dearmad, le linn an phróisis chuardaigh, go dtumaimid isteach inár mbonneagar agus a phointí laga trí shúile anailísí slándála agus gur féidir linn na pointí seo a neartú tuilleadh.
Is iad na chéad chéimeanna is gá, inár dtuairim, a ghlacadh chun tús a chur leis an bpróiseas TH i d’eagraíocht.
- Tabhair aire do chríochphointí agus bonneagar líonra a chosaint. Tabhair aire d’infheictheacht (NetFlow) agus smacht (balla dóiteáin, IDS, IPS, DLP) ar gach próiseas ar do líonra. Bíodh do líonra ar eolas agat ón ródaire imeall go dtí an t-óstach deiridh.
- Déan iniúchadh.
- Déan pentests rialta ar acmhainní tábhachtacha seachtracha ar a laghad, anailís a dhéanamh ar a thorthaí, sainaithin na príomhspriocanna ionsaí agus cuir deireadh lena leochaileachtaí.
- Cuir córas foinse oscailte Faisnéise Bagairt i bhfeidhm (mar shampla, MISP, Yeti) agus déan anailís ar logaí i gcomhar leis.
- Ardán freagartha teagmhais (IRP) a chur i bhfeidhm: R-Vision IRP, The Hive, bosca gainimh chun anailís a dhéanamh ar chomhaid amhrasacha (FortiSandbox, Cuckoo).
- Próisis ghnáthaimh a uathoibriú. Is réimse ollmhór uathoibrithe é anailís a dhéanamh ar logaí, teagmhais a thaifeadadh, foireann a chur ar an eolas.
- Foghlaim conas idirghníomhú go héifeachtach le hinnealtóirí, forbróirí, agus tacaíocht theicniúil chun comhoibriú ar theagmhais.
- Déan an próiseas iomlán, na príomhphointí, na torthaí a baineadh amach a dhoiciméadú chun filleadh orthu níos déanaí nó na sonraí seo a roinnt le comhghleacaithe;
- Bí sóisialta: Bí feasach ar cad atá ar siúl le do chuid fostaithe, cé a fhostaíonn tú, agus cé a dtugann tú rochtain ar acmhainní faisnéise na heagraíochta.
- Coinnigh ar an eolas faoi threochtaí i réimse na mbagairtí agus na modhanna cosanta nua, cuir le do leibhéal litearthachta teicniúla (lena n-áirítear i bhfeidhmiú seirbhísí TF agus fochóras), freastal ar chomhdhálacha agus cumarsáid a dhéanamh le comhghleacaithe.
Réidh chun eagrú an phróisis TH a phlé sna tuairimí.
Nó tar ag obair linn!
Foinsí agus ábhair le staidéar a dhéanamh orthu
Foinse: will.com