Tha fios air 95% de chunnartan tèarainteachd fiosrachaidh, agus faodaidh tu thu fhèin a dhìon bhuapa le bhith a’ cleachdadh dhòighean traidiseanta leithid antiviruses, ballachan teine, IDS, WAF. Tha an 5% eile de chunnartan neo-aithnichte agus an fheadhainn as cunnartaiche. Tha iad a’ dèanamh suas 70% den chunnart do chompanaidh leis gu bheil e gu math duilich an lorg, mòran nas lugha de dhìon nan aghaidh. Eisimpleirean a bheil an tinneas tuiteamach WannaCry ransomware, NotPetya / ExPetr, cryptominers, an “arm saidhbear” Stuxnet (a bhuail goireasan niuclasach Ioran) agus mòran (tha cuimhne aig duine sam bith eile air Kido / Conficker?) Tha sinn airson bruidhinn mu mar a chuireas sinn an aghaidh nan 5% de chunnartan sin a’ cleachdadh teicneòlas Sealg Cunnart.
Tha mean-fhàs leantainneach de ionnsaighean saidhbear a’ feumachdainn lorg cunbhalach agus ceumannan an-aghaidh, a bheir oirnn mu dheireadh smaoineachadh air rèis armachd gun chrìoch eadar luchd-ionnsaigh agus luchd-dìon. Chan urrainn do shiostaman tèarainteachd clasaigeach a-nis ìre iomchaidh de thèarainteachd a thoirt seachad, aig nach eil an ìre de chunnart a’ toirt buaidh air prìomh chomharran a’ chompanaidh (eaconamach, poilitigeach, cliù) gun a bhith gan atharrachadh airson bun-structair sònraichte, ach san fharsaingeachd tha iad a’ còmhdach cuid de na cunnartan. A-cheana ann am pròiseas buileachaidh agus rèiteachaidh, tha siostaman tèarainteachd an latha an-diugh gan lorg fhèin an sàs ann a bhith a’ faighinn suas agus feumaidh iad dèiligeadh ri dùbhlain na h-ùine ùr.
Is dòcha gur e teicneòlas Sealg Cunnart aon de na freagairtean do dhùbhlain na h-ùine againn airson eòlaiche tèarainteachd fiosrachaidh. Nochd an teirm Sealg Cunnart (ris an canar TH an-seo) grunn bhliadhnaichean air ais. Tha an teicneòlas fhèin gu math inntinneach, ach chan eil inbhean agus riaghailtean coitcheann ann fhathast. Tha a’ chùis cuideachd iom-fhillte leis an iomadachd de stòran fiosrachaidh agus an àireamh bheag de stòran fiosrachaidh ann an cànan na Ruis air a’ chuspair seo. A thaobh seo, cho-dhùin sinn aig LANIT-Integration ath-sgrùdadh a sgrìobhadh air an teicneòlas seo.
Iomchaidheachd
Tha teicneòlas TH an urra ri pròiseasan sgrùdaidh bun-structair.. Tha rabhadh (coltach ri seirbheisean MSSP) na dhòigh thraidiseanta airson ainmean-sgrìobhte a chaidh a leasachadh roimhe seo agus comharran ionnsaighean a lorg agus freagairt a thoirt dhaibh. Tha an suidheachadh seo air a choileanadh gu soirbheachail le innealan dìon traidiseanta stèidhichte air ainm-sgrìobhte. Tha sealg (seirbheis seòrsa MDR) na dhòigh sgrùdaidh a tha a’ freagairt na ceiste “Cò às a tha ainmean-sgrìobhte agus riaghailtean a’ tighinn? ” Is e seo am pròiseas airson riaghailtean co-dhàimh a chruthachadh le bhith a’ dèanamh anailis air comharran falaichte no neo-aithnichte roimhe agus comharran ionnsaigh. Tha Sealg Cunnart a’ toirt iomradh air an t-seòrsa sgrùdaidh seo.
Is ann dìreach le bhith a’ cothlamadh an dà sheòrsa sgrùdaidh a gheibh sinn dìon a tha faisg air an ìre mhath, ach tha an-còmhnaidh ìre sònraichte de chunnart air fhàgail.
Dìon a 'cleachdadh dà sheòrsa de sgrùdadh
Agus seo carson a bhios TH (agus sealg gu h-iomlan!) a’ sìor fhàs iomchaidh:
Cunnartan, leigheasan, cunnartan.
. Tha iad sin a’ toirt a-steach seòrsaichean leithid spama, DDoS, bhìorasan, rootkits agus malware clasaigeach eile. Faodaidh tu thu fhèin a dhìon bho na cunnartan sin a’ cleachdadh na h-aon cheumannan tèarainteachd clasaigeach.
Rè buileachadh pròiseact sam bith, agus bheir an 20% eile den obair 80% den ùine. Mar an ceudna, thairis air an t-sealladh-tìre bagairt gu lèir, bidh 5% de chunnartan ùra a’ dèanamh suas 70% den chunnart do chompanaidh. Ann an companaidh far a bheil pròiseasan riaghlaidh tèarainteachd fiosrachaidh air an eagrachadh, is urrainn dhuinn 30% den chunnart gun tèid bagairtean aithnichte a chuir an gnìomh ann an dòigh air choreigin le bhith a’ seachnadh (diùltadh lìonraidhean gun uèir ann am prionnsapal), a’ gabhail ris (a’ cur an gnìomh na ceumannan tèarainteachd riatanach) no a’ gluasad. (mar eisimpleir, air guailnean integrator) an cunnart seo. Dìon thu fhèin bho, ionnsaighean APT, fiasgach,, spionadh saidhbear agus gnìomhachd nàiseanta, a bharrachd air àireamh mhòr de dh’ ionnsaighean eile mar-thà tòrr nas duilghe. Bidh builean nan 5% sin de chunnartan tòrr nas cunnartaiche () na builean spama no bhìorasan, às am bi bathar-bog antivirus a’ sàbhaladh.
Feumaidh cha mhòr a h-uile duine dèiligeadh ri 5% de chunnartan. O chionn ghoirid bha againn ri fuasgladh stòr fosgailte a chuir a-steach a chleachdas tagradh bhon stòr PEAR (PHP Extension and Application Repository). Dh'fhàillig oidhirp air an aplacaid seo a stàladh tro stàladh piorra a chionn nach robh e ri fhaighinn (a-nis tha stub air), bha agam ri a stàladh bho GitHub. Agus dìreach o chionn ghoirid thionndaidh e a-mach gun deach PEAR a fhulang.
Faodaidh tu fhathast cuimhneachadh, galar den NePetya ransomware tro mhodal ùrachaidh airson prògram aithris chìsean. Tha bagairtean a’ fàs nas ionnsaichte, agus tha a’ cheist loidsigeach ag èirigh - “Ciamar as urrainn dhuinn cuir an aghaidh nan 5% de chunnartan sin?”
Mìneachadh air Sealg Cunnart
Mar sin, is e Sealg Cunnart am pròiseas airson sgrùdadh for-ghnìomhach agus ath-aithriseach agus lorg bagairtean adhartach nach gabh an lorg le innealan tèarainteachd traidiseanta. Tha bagairtean adhartach a’ toirt a-steach, mar eisimpleir, ionnsaighean leithid APT, ionnsaighean air so-leòntachd 0-latha, Living Off the Land, agus mar sin air adhart.
Faodaidh sinn cuideachd a ràdh gur e TH am pròiseas airson barailean a dhearbhadh. Is e pròiseas làimhe a tha seo sa mhòr-chuid le eileamaidean fèin-ghluasaid, anns am bi an neach-anailis, an urra ris an eòlas agus na sgilean aige, a’ gluasad tro mhòran fiosrachaidh a’ lorg shoidhnichean co-rèiteachaidh a tha a’ freagairt ris a’ bheachd-bharail a chaidh a dhearbhadh an toiseach mu làthaireachd bagairt sònraichte. Is e am feart sònraichte aige am measgachadh de stòran fiosrachaidh.
Bu chòir a thoirt fa-near nach e seòrsa de bhathar-bog no bathar-cruaidh a th’ ann an Sealg Cunnart. Chan e rabhaidhean a tha seo a chithear ann am fuasgladh air choireigin. Chan e pròiseas sgrùdaidh IOC (Identifiers of Compromise) a tha seo. Agus chan e seòrsa de ghnìomhachd fulangach a tha seo a thachras às aonais com-pàirt luchd-anailis tèarainteachd fiosrachaidh. Tha sealg bagairt sa chiad àite na phròiseas.
Co-phàirtean de Shealg Cunnart
Trì prìomh phàirtean de Shealg Cunnart: dàta, teicneòlas, daoine.
Dàta (dè?), a’ gabhail a-steach Dàta Mòr. A h-uile seòrsa de shruth trafaic, fiosrachadh mu APTn roimhe, mion-sgrùdadh, dàta mu ghnìomhachd luchd-cleachdaidh, dàta lìonra, fiosrachadh bho luchd-obrach, fiosrachadh air an darknet agus mòran a bharrachd.
Teicneòlas (ciamar?) giullachd an dàta seo - a h-uile dòigh comasach air an dàta seo a ghiullachd, a’ toirt a-steach Ionnsachadh Inneal.
Daoine (cò?) - an fheadhainn aig a bheil eòlas farsaing ann a bhith a’ sgrùdadh diofar ionnsaighean, leasaich intuition agus an comas ionnsaigh a lorg. Mar as trice is iad sin sgrùdairean tèarainteachd fiosrachaidh a dh’ fheumas a bhith comasach air barailean a ghineadh agus dearbhadh a lorg dhaibh. Is iadsan am prìomh cheangal sa phròiseas.
Modail PARIS
Adhamh Bateman Modail PARIS airson a ’phròiseas TH air leth freagarrach. Tha an t-ainm a’ toirt iomradh air comharra-tìre ainmeil san Fhraing. Faodar am modail seo fhaicinn ann an dà stiùireadh - bho shuas agus gu h-ìosal.
Mar a bhios sinn ag obair tron mhodail bhon bhonn gu h-àrd, thig sinn tarsainn air mòran fianais de ghnìomhachd droch-rùnach. Tha tomhas aig gach pìos fianais ris an canar misneachd – feart a tha a’ nochdadh cuideam an fhianais seo. Tha “iarainn”, fianais dhìreach ann de ghnìomhachd droch-rùnach, a rèir an urrainn dhuinn mullach na pioramaid a ruighinn sa bhad agus fìor rabhadh a chruthachadh mu ghalar a tha aithnichte gu mionaideach. Agus tha fianais neo-dhìreach ann, agus faodaidh an t-suim sin cuideachd ar toirt gu mullach na pioramaid. Mar a bha e an-còmhnaidh, tha tòrr a bharrachd fianais neo-dhìreach na fianais dhìreach, a tha a 'ciallachadh gum feum iad a bhith air an rèiteachadh agus air an sgrùdadh, feumar rannsachadh a bharrachd a dhèanamh, agus tha e ciallach seo a dhèanamh fèin-ghluasadach.
Modail PARIS.
Tha am pàirt àrd den mhodail (1 agus 2) stèidhichte air teicneòlasan fèin-ghluasaid agus diofar anailisean, agus tha am pàirt ìosal (3 agus 4) stèidhichte air daoine le teisteanasan sònraichte a bhios a ’riaghladh a’ phròiseas. Faodaidh tu beachdachadh air a ’mhodail a’ gluasad bho mhullach gu bonn, far a bheil anns a ’phàirt shuas den dath gorm tha rabhaidhean againn bho innealan tèarainteachd traidiseanta (antivirus, EDR, balla-teine, ainmean-sgrìobhte) le ìre àrd de mhisneachd agus earbsa, agus gu h-ìosal tha comharran ( IOC, URL, MD5 agus feadhainn eile), aig a bheil ìre nas ìsle de chinnt agus a dh’ fheumas sgrùdadh a bharrachd. Agus is e an ìre as ìsle agus as tiugh (4) gineadh barailean, cruthachadh shuidheachaidhean ùra airson obrachadh dòighean dìon traidiseanta. Chan eil an ìre seo cuingealaichte a-mhàin ris na stòran barailean ainmichte. Mar as ìsle an ìre, is ann as motha a bhios riatanasan air an cur air teisteanasan an neach-anailis.
Tha e glè chudromach nach bi sgrùdairean dìreach a’ dèanamh deuchainn air seata chrìochnaichte de bharailean ro-shuidhichte, ach gu bheil iad an-còmhnaidh ag obair gus barailean ùra a ghineadh agus roghainnean airson an deuchainn.
Modail Inbheachd Cleachdaidh TH
Ann an saoghal fìor mhath, tha TH na phròiseas leantainneach. Ach, leis nach eil saoghal fìor mhath ann, dèanamaid sgrùdadh agus modhan a thaobh dhaoine, pròiseasan agus theicneòlasan a thathar a’ cleachdadh. Beachdaichidh sinn air modail de TH spherical air leth. Tha 5 ìrean de chleachdadh an teicneòlais seo. Bheir sinn sùil orra a’ cleachdadh an eisimpleir de mean-fhàs aon sgioba de luchd-anailis.
Ìrean inbheachd
daoine
Na pròiseasan
de theicneòlas
Ìre 0
Mion-sgrùdairean SOC
24/7
Innealan traidiseanta:
Traidiseanta
Seata de rabhaidhean
Sgrùdadh fulangach
IDS, AV, bogsa-gainmhich,
Sin TH
Ag obair le rabhaidhean
Innealan anailis ainm-sgrìobhte, dàta Cunnart Intelligence.
Ìre 1
Mion-sgrùdairean SOC
Aon uair TH
EDR
Deuchainneach
Eòlas bunaiteach air forensics
Rannsachadh IOC
Còmhdach pàirt de dhàta bho innealan lìonra
Deuchainnean le TH
Eòlas math air lìonraidhean agus tagraidhean
Iarrtas pàirt
Ìre 2
Dreuchd sealach
Sprints
EDR
Ùine
Eòlas cuibheasach air forensics
Seachdain gu mìos
Iarrtas slàn
TH sealach
Eòlas fìor mhath air lìonraidhean agus tagraidhean
Gu cunbhalach TH
Làn fèin-ghluasad air cleachdadh dàta EDR
Cleachdadh pàirt de chomasan EDR adhartach
Ìre 3
Òrdugh sònraichte TH
24/7
Comas pàirteach airson deuchainn a dhèanamh air barailean TH
Casg
Eòlas fìor mhath air forensics agus malware
TH casgach
Cleachdadh iomlan de chomasan adhartach EDR
Cùisean sònraichte TH
Eòlas fìor mhath air an taobh ionnsaigh
Cùisean sònraichte TH
Làn-chòmhdach dàta bho innealan lìonra
Rèiteachadh a rèir na feumalachdan agad
Ìre 4
Òrdugh sònraichte TH
24/7
Làn chomas deuchainn a dhèanamh air barailean TH
A' stiùireadh
Eòlas fìor mhath air forensics agus malware
TH casgach
Ìre 3, a bharrachd:
A 'cleachdadh TH
Eòlas fìor mhath air an taobh ionnsaigh
Deuchainn, fèin-ghluasad agus dearbhadh barailean TH
amalachadh teann de stòran dàta;
Comas rannsachaidh
leasachadh a rèir feumalachdan agus cleachdadh neo-àbhaisteach de API.
Ìrean aibidh TH a rèir daoine, pròiseasan agus teicneòlasan
Ìre 0: traidiseanta, gun a bhith a’ cleachdadh TH. Bidh sgrùdairean cunbhalach ag obair le seata àbhaisteach de rabhaidhean ann am modh sgrùdaidh fulangach a’ cleachdadh innealan agus teicneòlasan àbhaisteach: IDS, AV, bogsa gainmhich, innealan sgrùdaidh ainm-sgrìobhte.
Ìre 1: deuchainneach, a’ cleachdadh TH. Faodaidh na h-aon sgrùdaichean le eòlas bunaiteach air forensics agus deagh eòlas air lìonraidhean agus tagraidhean Sealg Cunnart aon-ùine a dhèanamh le bhith a’ lorg comharran co-rèiteachaidh. Tha EDRs air an cur ris na h-innealan le còmhdach pàirt de dhàta bho innealan lìonra. Tha na h-innealan air an cleachdadh gu ìre.
Ìre 2: bho àm gu àm, TH sealach. Feumaidh na h-aon sgrùdairean a tha air an eòlas àrdachadh ann am forensics, lìonraidhean agus am pàirt tagraidh a dhol an sàs gu cunbhalach ann an Sealg Cunnart (sprint), abair, seachdain sa mhìos. Bidh na h-innealan a’ cur làn sgrùdadh air dàta bho innealan lìonra, fèin-ghluasad mion-sgrùdadh dàta bho EDR, agus cleachdadh pàirt de chomasan EDR adhartach.
Ìre 3: casg, cùisean tric de TH. Chuir na sgrùdairean againn iad fhèin ann an sgioba sònraichte agus thòisich iad air eòlas fìor mhath a bhith aca air forensics agus malware, a bharrachd air eòlas air dòighean agus innleachdan an taobh ionnsaigh. Tha am pròiseas air a dhèanamh mu thràth 24/7. Is urrainn don sgioba deuchainn a dhèanamh gu ìre air barailean TH fhad ‘s a tha iad a’ faighinn làn bhuannachd de chomasan adhartach EDR le làn chòmhdach air dàta bho innealan lìonra. Bidh luchd-anailis cuideachd comasach air innealan a rèiteachadh a fhreagras air na feumalachdan aca.
Ìre 4: àrd-cheann, cleachd TH. Fhuair an aon sgioba an comas sgrùdadh a dhèanamh, an comas pròiseas deuchainn barailean TH a ghineadh agus a dhèanamh fèin-ghluasadach. A-nis chaidh cur ris na h-innealan le bhith ag amalachadh stòran dàta gu dlùth, leasachadh bathar-bog gus coinneachadh ri feumalachdan, agus cleachdadh neo-àbhaisteach de APIan.
Dòighean Sealg Cunnart
Dòighean bunaiteach airson sealg bagairtean
К Is e TH, ann an òrdugh inbheachd an teicneòlais a thathar a’ cleachdadh: sgrùdadh bunaiteach, mion-sgrùdadh staitistigeil, dòighean fradharc, cruinneachaidhean sìmplidh, ionnsachadh innealan, agus dòighean Bayesian.
Tha an dòigh as sìmplidh, rannsachadh bunaiteach, air a chleachdadh gus an raon rannsachaidh a chaolachadh le bhith a 'cleachdadh cheistean sònraichte. Bithear a’ cleachdadh mion-sgrùdadh staitistigeil, mar eisimpleir, gus gnìomhachd àbhaisteach cleachdaiche no lìonra a thogail ann an cruth modail staitistigeil. Bithear a’ cleachdadh dhòighean fradharc gus mion-sgrùdadh dàta a thaisbeanadh agus a dhèanamh nas sìmplidhe ann an cruth ghrafaichean is chlàran, a tha ga dhèanamh fada nas fhasa pàtrain aithneachadh san sampall. Thathas a’ cleachdadh an dòigh-obrach airson cruinneachadh sìmplidh a rèir prìomh raointean gus sgrùdadh is mion-sgrùdadh a bharrachadh. Mar as aibidh a ruigeas pròiseas TH buidhne, is ann as buntainniche a thig cleachdadh algorithms ionnsachadh innealan. Bidh iad cuideachd air an cleachdadh gu farsaing ann a bhith a’ sìoladh spama, a’ lorg trafaic droch-rùnach agus a’ lorg gnìomhan meallta. Is e seòrsa nas adhartaiche de algairim ionnsachaidh inneal dòighean Bayesian, a leigeas le seòrsachadh, lughdachadh meud sampall, agus modaladh cuspair.
Modail Daoimean agus Ro-innleachdan TH
Sergio Caltagiron, Anndra Pendegast agus Christopher Betz nan obair "» sheall e na prìomh phàirtean de ghnìomhachd droch-rùnach sam bith agus an ceangal bunaiteach eatorra.
Modail daoimean airson gnìomhachd droch-rùnach
A rèir a’ mhodail seo, tha 4 ro-innleachdan Sealg Cunnart, a tha stèidhichte air na prìomh phàirtean co-fhreagarrach.
1. Ro-innleachd a tha ag amas air luchd-fulaing. Tha sinn a’ gabhail ris gu bheil luchd-dùbhlain aig an neach-fulang agus lìbhrigidh iad “cothroman” tro phost-d. Tha sinn a 'coimhead airson dàta nàmhaid anns a' phost. Lorg ceanglaichean, ceanglachan, msaa. Tha sinn a 'coimhead airson dearbhadh air a' bheachd seo airson ùine sònraichte (mìos, dà sheachdain); mura lorg sinn e, cha do dh'obraich am beachd-bharail.
2. Ro-innleachd stèidhichte air bun-structar. Tha grunn dhòighean ann airson an ro-innleachd seo a chleachdadh. A rèir ruigsinneachd agus faicsinneachd, tha cuid nas fhasa na cuid eile. Mar eisimpleir, bidh sinn a’ cumail sùil air frithealaichean ainmean fearainn air a bheil fios gu bheil iad a’ toirt aoigheachd do raointean droch-rùnach. No thèid sinn tron phròiseas airson sùil a chumail air a h-uile clàradh ainm fearainn ùr airson pàtran aithnichte a bhios neach-dùbhlain a’ cleachdadh.
3. Ro-innleachd air a stiùireadh le comas. A bharrachd air an ro-innleachd a tha ag amas air luchd-fulaing a bhios a’ mhòr-chuid de luchd-dìon lìonra a’ cleachdadh, tha ro-innleachd ann a tha ag amas air cothrom. Is e seo an dàrna fear as mòr-chòrdte agus tha e ag amas air comasan a lorg bhon nàmhaid, is e sin “malware” agus comas an nàmhaid innealan dligheach leithid psexec, powershell, certutil agus feadhainn eile a chleachdadh.
4. Ro-innleachd a tha ag amas air nàmhaid. Tha an dòigh-obrach a tha stèidhichte air an nàmhaid ag amas air an nàmhaid fhèin. Tha seo a’ toirt a-steach cleachdadh fiosrachadh fosgailte bho stòran a tha rim faighinn gu poblach (OSINT), cruinneachadh dàta mun nàmhaid, na dòighean agus na dòighean aige (TTP), mion-sgrùdadh air tachartasan a thachair roimhe, dàta Cunnart Fiosrachaidh, msaa.
Stòran fiosrachaidh agus barailean ann an TH
Cuid de thùsan fiosrachaidh airson Sealg Cunnart
Faodaidh mòran stòran fiosrachaidh a bhith ann. Bu chòir gum biodh an neach-anailis math comasach air fiosrachadh a tharraing bho gach nì a tha timcheall. Bidh stòran àbhaisteach ann an cha mhòr bun-structar sam bith mar dhàta bho innealan tèarainteachd: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Cuideachd, bidh stòran fiosrachaidh àbhaisteach nan diofar chomharran co-rèiteachaidh, seirbheisean Cunnart Fiosrachaidh, CERT agus dàta OSINT. A bharrachd air an sin, faodaidh tu fiosrachadh bhon darknet a chleachdadh (mar eisimpleir, gu h-obann tha òrdugh ann airson bogsa puist ceannard na buidhne a bhualadh, no tha tagraiche airson suidheachadh innleadair lìonra air a bhith fosgailte airson a ghnìomhachd), fiosrachadh a fhuaireadh bho HR (lèirmheasan air an tagraiche bho àite obrach roimhe), fiosrachadh bhon t-seirbheis tèarainteachd (mar eisimpleir, toraidhean dearbhaidh a’ chunntair).
Ach mus cleachd thu a h-uile stòr a tha ri fhaighinn, feumar co-dhiù aon bheachd-bharail a bhith agad.
Gus beachd-bharailean a dhearbhadh, feumaidh iad a bhith air an cur air adhart an toiseach. Agus gus mòran de bheachdan àrd-inbhe a chuir air adhart, feumar dòigh-obrach eagarach a chuir an sàs. Tha am pròiseas cruthachadh barailean air a mhìneachadh ann am barrachd mionaideachd, tha e gu math goireasach an sgeama seo a ghabhail mar bhunait airson a’ phròiseas a bhith a’ cur air adhart barailean.
Bidh prìomh thùs nam barailean ATT&CK matrix (Taisbeanaidhean nàimhdeil, dòighean-obrach agus eòlas coitcheann). Tha e, gu dearbh, na bhunait eòlais agus modail airson measadh giùlan luchd-ionnsaigh a bhios a’ coileanadh an gnìomhan anns na ceumannan mu dheireadh de ionnsaigh, mar as trice air a mhìneachadh le bhith a’ cleachdadh bun-bheachd Kill Chain. Is e sin, aig ìrean às deidh neach-ionnsaigh a dhol a-steach do lìonra a-staigh iomairt no air inneal gluasadach. Anns a’ bhunait eòlais an toiseach bha tuairisgeulan air 121 innleachdan agus dòighean-obrach a chaidh a chleachdadh ann an ionnsaigh, agus tha gach fear dhiubh air a mhìneachadh gu mionaideach ann an cruth Wiki. Tha diofar anailisean fiosrachaidh Cunnart gu math freagarrach mar thùs airson barailean a ghineadh. Gu sònraichte cudromach tha toraidhean mion-sgrùdadh bun-structair agus deuchainnean treòrachaidh - is e seo an dàta as luachmhoire a bheir beachd-bharail dhuinn leis gu bheil iad stèidhichte air bun-structar sònraichte le na h-uireasbhaidhean sònraichte aige.
Pròiseas deuchainn beachd-bharail
Thug Sergei Soldatov le tuairisgeul mionaideach air a’ phròiseas, tha e a’ nochdadh a’ phròiseas airson a bhith a’ dèanamh deuchainn air barailean TH ann an aon shiostam. Innsidh mi na prìomh ìrean le tuairisgeul goirid.
Ìre 1: Tuathanas TI
Aig an ìre seo tha e riatanach a chomharrachadh nithean (le bhith gan mion-sgrùdadh còmhla ris a h-uile dàta bagairt) agus a’ sònrachadh bileagan dhaibh airson am feartan. Is iad sin faidhle, URL, MD5, pròiseas, goireas, tachartas. Nuair a thèid iad tro shiostaman Threat Intelligence, feumar tagaichean a cheangal. Is e sin, chaidh an làrach seo a thoirt fa-near ann an CNC ann an leithid agus ann am bliadhna, bha an MD5 seo co-cheangailte ri leithid de malware, chaidh an MD5 seo a luchdachadh sìos bho làrach a bha a’ sgaoileadh malware.
Ìre 2: Cùisean
Aig an dàrna ìre, bidh sinn a’ coimhead air an eadar-obrachadh eadar na nithean sin agus a’ comharrachadh nan dàimhean eadar na nithean sin uile. Gheibh sinn siostaman comharraichte a nì rudeigin dona.
Ìre 3: Mion-sgrùdaire
Aig an treas ìre, thèid a’ chùis a ghluasad gu neach-anailis eòlach aig a bheil eòlas farsaing air mion-sgrùdadh, agus bheir e breith. Bidh e a’ sgrùdadh sìos gu na bytes dè, càite, ciamar, carson agus carson a bhios an còd seo a’ dèanamh. B 'e malware a bh' anns a 'bhodhaig seo, bha an coimpiutair seo air a ghalachadh. A ’nochdadh ceanglaichean eadar nithean, a’ sgrùdadh toraidhean ruith tron bhogsa gainmhich.
Tha toraidhean obair an neach-anailis air an gluasad nas fhaide. Bidh Digital Forensics a’ sgrùdadh ìomhaighean, bidh Malware Analysis a’ sgrùdadh na “buidhnean” a chaidh a lorg, agus faodaidh an sgioba Freagairt Tachartas a dhol chun làrach agus sgrùdadh a dhèanamh air rudeigin a tha ann mu thràth. Bidh toradh na h-obrach na bheachd-bharail dearbhte, ionnsaigh ainmichte agus dòighean air a chuir an aghaidh.
Builean
Is e teicneòlas gu math òg a th’ ann an Sealg Cunnart a dh’ fhaodas cuir an-aghaidh bagairtean gnàthaichte, ùr agus neo-àbhaisteach, aig a bheil deagh chothroman leis gu bheil an àireamh de chunnartan sin a’ sìor fhàs agus cho iom-fhillte ‘s a tha bun-structair corporra. Feumaidh e trì pàirtean - dàta, innealan agus sgrùdairean. Chan eil buannachdan Sealg Cunnart air an cuingealachadh ri casg a chuir air bagairtean. Na dìochuimhnich gum bi sinn tron phròiseas sgrùdaidh a’ dàibheadh a-steach don bhun-structar againn agus na puingean lag aige tro shùilean anailis tèarainteachd agus gun urrainn dhuinn na puingean sin a neartachadh tuilleadh.
Is iad na ciad cheumannan a dh’ fheumar, nar beachd, a ghabhail gus pròiseas TH a thòiseachadh sa bhuidheann agad.
- Thoir aire do dhìon puingean crìochnachaidh agus bun-structar lìonra. Thoir aire do fhaicsinneachd (NetFlow) agus smachd (balla-teine, IDS, IPS, DLP) air a h-uile pròiseas air an lìonra agad. Faigh eòlas air an lìonra agad bhon router iomall chun aoigh mu dheireadh.
- Rannsaich.
- Dèan pentests cunbhalach de co-dhiù prìomh ghoireasan bhon taobh a-muigh, dèan sgrùdadh air na toraidhean aige, comharraich prìomh thargaidean ionnsaigh agus dùin na so-leòntachd aca.
- Cuir an gnìomh siostam fiosrachaidh Cunnart stòr fosgailte (mar eisimpleir, MISP, Yeti) agus dèan sgrùdadh air logaichean còmhla ris.
- Cuir an gnìomh àrd-ùrlar freagairt tachartas (IRP): R-Vision IRP, The Hive, bogsa gainmhich airson mion-sgrùdadh air faidhlichean amharasach (FortiSandbox, Cuckoo).
- Dèan fèin-ghluasad air pròiseasan àbhaisteach. Tha mion-sgrùdadh logaichean, clàradh thachartasan, fiosrachadh luchd-obrach na raon mòr airson fèin-ghluasad.
- Ionnsaich eadar-obrachadh gu h-èifeachdach le innleadairean, luchd-leasachaidh, agus taic theicnigeach gus co-obrachadh air tachartasan.
- Sgrìobhainn am pròiseas air fad, prìomh phuingean, toraidhean a chaidh a choileanadh gus tilleadh thuca nas fhaide air adhart no an dàta seo a cho-roinn le co-obraichean;
- Bi sòisealta: Bi mothachail air na tha a 'dol air adhart leis an luchd-obrach agad, cò a bhios tu a' fastadh, agus cò a bheir thu cothrom air goireasan fiosrachaidh na buidhne.
- Cum suas ris na gluasadan ann an raon bagairtean ùra agus dòighean dìon, àrdaich an ìre de litearrachd theicnigeach agad (a’ toirt a-steach obrachadh seirbheisean IT agus fo-shiostaman), frithealadh co-labhairtean agus conaltradh le co-obraichean.
Deiseil airson beachdachadh air eagrachadh pròiseas TH anns na beachdan.
No thig ag obair còmhla rinn!
Stòran agus stuthan airson sgrùdadh
Source: www.habr.com