ʻIke ʻia ka 95% o nā hoʻoweliweli palekana ʻike, a hiki iā ʻoe ke pale aku iā ʻoe iho me ka hoʻohana ʻana i nā ʻano kuʻuna e like me antiviruses, firewalls, IDS, WAF. ʻAʻole ʻike ʻia ke koena 5% o nā mea hoʻoweliweli a ʻoi aku ka pōʻino. ʻO lākou ka 70% o ka pilikia no kahi hui ma muli o ka paʻakikī loa e ʻike iā lākou, ʻoi aku ka liʻiliʻi o ka pale aku iā lākou. Nā laʻana ʻO ka maʻi maʻi ransomware WannaCry, NotPetya / ExPetr, cryptominers, ka "cyber weapon" Stuxnet (ka mea i pā i nā hale nuklea o Iran) a me nā mea he nui (ke hoʻomanaʻo nei kekahi iā Kido / Conficker?) nā hoʻouka kaua ʻē aʻe ʻaʻole i pale maikaʻi ʻia me nā hana palekana maʻamau. Makemake mākou e kamaʻilio e pili ana i ke kūʻē ʻana i kēia 5% o nā hoʻoweliweli me ka hoʻohana ʻana i ka ʻenehana Threat Hunting.
ʻO ka hoʻomau mau ʻana o nā hoʻouka kaua cyber e koi i ka ʻike mau a me nā countermeasures, kahi e alakaʻi ai iā mākou e noʻonoʻo i kahi heihei pau ʻole ma waena o nā mea hoʻouka a me nā mea pale. ʻAʻole hiki i nā ʻōnaehana palekana maʻamau ke hāʻawi i kahi pae palekana e ʻae ʻia, kahi e pili ʻole ai ka pae o ka pilikia i nā hōʻailona koʻikoʻi o ka ʻoihana (ka waiwai, politika, kaulana) me ka ʻole o ka hoʻololi ʻana iā lākou no kahi ʻoihana kikoʻī, akā ma ke ʻano laulā, uhi lākou i kekahi nā pilikia. Aia i ke kaʻina o ka hoʻokō a me ka hoʻonohonoho ʻana, ʻike nā ʻōnaehana palekana hou iā lākou iho i ke kuleana o ka hopu ʻana a pono e pane i nā pilikia o ka manawa hou.
ʻO ka ʻenehana Threat Hunting paha kekahi o nā pane i nā pilikia o ko mākou manawa no kahi loea palekana ʻike. Ua ʻike ʻia ka huaʻōlelo Threat Hunting (ma hope aku i kapa ʻia ʻo TH) i kekahi mau makahiki i hala. He mea hoihoi loa ka ʻenehana ponoʻī, akā ʻaʻole i loaʻa nā kūlana a me nā lula i ʻae ʻia. He mea paʻakikī hoʻi ka hihia e ka heterogeneity o nā kumu ʻike a me ka helu liʻiliʻi o nā kumu ʻōlelo Lūkini o ka ʻike e pili ana i kēia kumuhana. Ma kēia mea, ua hoʻoholo mākou ma LANIT-Integration e kākau i kahi loiloi o kēia ʻenehana.
Kahi kūpono
Ke hilinaʻi nei ka ʻenehana TH i nā kaʻina hana nānā i nā ʻōnaehana.. ʻO ka hoʻolaha ʻana (e like me nā lawelawe MSSP) he ala kuʻuna no ka ʻimi ʻana i nā pūlima i kūkulu mua ʻia a me nā hōʻailona o ka hoʻouka ʻana a me ka pane ʻana iā lākou. Hoʻokō maikaʻi ʻia kēia hiʻohiʻona e nā mea hana pale ma muli o ka pūlima. ʻO ka Hunting (MDR type service) kahi ala nānā e pane ai i ka nīnau "No hea mai nā pūlima a me nā lula?" ʻO ia ke kaʻina hana o ka hoʻokumu ʻana i nā lula correlation ma ke kālailai ʻana i nā hōʻailona huna a i ʻole i ʻike mua ʻia a me nā hōʻailona o kahi hoʻouka ʻana. ʻO ka Threat Hunt e pili ana i kēia ʻano nānā.
Ma ka hoʻohui wale ʻana i nā ʻano ʻelua o ka nānā ʻana e loaʻa iā mākou ka palekana kokoke i ka maikaʻi, akā aia mau kekahi pae o ke koena o ka pilikia.
Palekana me ka hoʻohana ʻana i ʻelua ʻano o ka nānā ʻana
A eia ke kumu e mahuahua ai ka pili o TH (a me ka hahai holoholona ana!)
ʻO nā hoʻoweliweli, nā hoʻoponopono, nā pilikia.
. Loaʻa kēia mau ʻano e like me ka spam, DDoS, viruses, rootkits a me nā polokalamu polokalamu ʻē aʻe. Hiki iā ʻoe ke pale iā ʻoe iho mai kēia mau mea hoʻoweliweli me ka hoʻohana ʻana i nā ana palekana maʻamau.
I ka wā o ka hoʻokō ʻana i kekahi papahana, a ʻo ke koena 20% o ka hana e lawe i 80% o ka manawa. Pēlā nō, ma ka ʻāina hoʻoweliweli holoʻokoʻa, 5% o nā hoʻoweliweli hou e helu no 70% o ka pilikia i kahi hui. I loko o kahi hui kahi i hoʻonohonoho ʻia ai nā kaʻina hoʻokele mālama ʻike, hiki iā mākou ke hoʻokele i ka 30% o ka pilikia o ka hoʻokō ʻana i nā mea hoʻoweliweli i ʻike ʻia ma kekahi ala a i ʻole ma ka pale ʻana (hōʻole ʻana i nā ʻoihana uila ma ke kumu), ʻae (hoʻokō i nā hana palekana e pono ai) a i ʻole ka hoʻololi ʻana. (no ka laʻana, ma luna o nā poʻohiwi o kahi mea hoʻohui) kēia pilikia. E pale iā ʻoe iho mai, hoʻouka kaua APT, phishing,, cyber spionage a me nā hana aupuni, a me ka nui o nā hoʻouka kaua ʻē aʻe ua ʻoi aku ka paʻakikī. ʻO nā hopena o kēia 5% o nā mea hoʻoweliweli e ʻoi aku ka koʻikoʻi () ma mua o ka hopena o ka spam a i ʻole nā huakō, kahi e mālama ai ka polokalamu antivirus.
ʻAneʻane pono nā kānaka a pau i ka 5% o nā hoʻoweliweli. Ua pono mākou e hoʻokomo i kahi hopena open-source e hoʻohana ana i kahi noi mai ka waihona PEAR (PHP Extension and Application Repository). ʻAʻole hiki ke hoʻāʻo e hoʻokomo i kēia noi ma o ka hoʻokomo ʻana i ka pear no ka mea ʻAʻole i loaʻa (i kēia manawa aia kahi stub ma luna), pono wau e hoʻokomo iā ia mai GitHub. A i kēia manawa ua lilo ʻo PEAR i mea pōʻino.
Hiki iā ʻoe ke hoʻomanaʻo, he ma'i ahulau o ka NePetya ransomware ma o ka ho'ololi hou 'ana no ka papahana hō'ike 'auhau. Ke lilo nei nā mea hoʻoweliweli a ʻoi aku ka maʻalahi, a ua kū mai ka nīnau kūpono - "Pehea mākou e kūʻē ai i kēia 5% o nā hoʻoweliweli?"
Wehewehe ʻana o ka ʻimi hoʻoweliweli
No laila, ʻo Threat Hunting ke kaʻina hana o ka huli ʻana a me ka ʻike ʻana i nā mea hoʻoweliweli holomua ʻaʻole hiki ke ʻike ʻia e nā mea hana palekana kuʻuna. ʻO nā hoʻoweliweli kiʻekiʻe e pili ana, no ka laʻana, nā hoʻouka ʻana e like me APT, nā hoʻouka ʻana i nā vulnerabilities 0-lā, Living off the Land, a pēlā aku.
Hiki iā mākou ke ʻōlelo hou ʻo TH ke kaʻina hana o ka hoʻāʻo ʻana i nā kuhiakau. He kaʻina hana maʻamau kēia me nā mea o ka automation, kahi o ka mea loiloi, e hilinaʻi ana i kona ʻike a me kāna mau mākau, kānana ma o ka nui o ka ʻike i ka ʻimi ʻana i nā hōʻailona o ka ʻae ʻana e pili ana i ka hypothesis i hoʻoholo mua ʻia e pili ana i kahi hoʻoweliweli. ʻO kāna hiʻohiʻona ʻokoʻa ka ʻokoʻa o nā kumu ʻike.
Pono e hoʻomaopopo ʻia ʻaʻole ʻo Threat Hunting kahi ʻano lako polokalamu a i ʻole huahana lako. ʻAʻole kēia mau makaʻala e ʻike ʻia ma kekahi hoʻonā. ʻAʻole kēia he kaʻina hulina IOC (Identifiers of Compromise). A ʻaʻole kēia he ʻano hana passive e hana ʻia me ka ʻole o ke komo ʻana o nā mea loiloi palekana ʻike. ʻO ka ʻimi hoʻoweliweli ʻo ia ka hana mua.
Nā ʻāpana o ka ʻimi hoʻoweliweli
ʻEkolu mau mea nui o ka Threat Hunting: ʻikepili, ʻenehana, kānaka.
ʻIkepili (he aha?), me ka ʻikepili Nui. ʻO nā ʻano holo kaʻa āpau, ka ʻike e pili ana i nā APT mua, ka ʻikepili, ka ʻikepili i ka hana mea hoʻohana, ka ʻikepili pūnaewele, ka ʻike mai nā limahana, ka ʻike ma ka darknet a me nā mea hou aku.
ʻenehana (pehea?) ka hana ʻana i kēia ʻikepili - nā ala āpau e hiki ai ke hoʻoponopono i kēia ʻikepili, me ka Machine Learning.
Nā kānaka (ʻo wai?) - ka poʻe i loaʻa ka ʻike nui i ka nānā ʻana i nā hoʻouka kaua, hoʻomohala i ka intuition a me ka hiki ke ʻike i kahi hoʻouka. ʻO ka maʻamau, ʻo kēia nā mea loiloi palekana ʻike pono e loaʻa ka mana e hana i nā hypotheses a loaʻa ka hōʻoia no lākou. ʻO lākou ka loulou nui i ka hana.
Hoʻohālike PARIS
Adamu Bateman ʻO ke kumu hoʻohālike PARIS no ke kaʻina TH kūpono. Hoʻopili ka inoa i kahi ʻāina kaulana ma Farani. Hiki ke nānā 'ia kēia kŘkohu ma nā 'ao'ao 'elua - mai luna a mai lalo.
Ke hana nei mākou i ko mākou ala ma o ke kumu hoʻohālike mai lalo i luna, e hālāwai mākou i nā hōʻike he nui o ka hana ʻino. Loaʻa i kēlā me kēia ʻāpana hōʻike ke ana i kapa ʻia ka hilinaʻi - kahi ʻano e hōʻike ana i ke kaumaha o kēia hōʻike. Aia ka "hao", hōʻike pololei o ka hana ʻino, e like me ka mea hiki iā mākou ke hōʻea koke i ka piko o ka pyramid a hana i kahi makaʻala maoli e pili ana i kahi maʻi i ʻike ʻia. A aia nā hōʻike kūʻokoʻa, ʻo ka huina o ia mea hiki ke alakaʻi iā mākou i ka piko o ka pyramid. E like me nā manawa a pau, ʻoi aku ka nui o nā hōʻike kūʻokoʻa ma mua o nā hōʻike pololei, ʻo ia hoʻi he pono e hoʻokaʻawale ʻia a hoʻopaʻa ʻia, pono e hana ʻia nā noiʻi hou aʻe, a pono e hoʻomaʻamaʻa i kēia.
Hoʻohālike PARIS.
ʻO ka ʻaoʻao kiʻekiʻe o ke kumu hoʻohālike (1 a me 2) e pili ana i nā ʻenehana automation a me nā ʻano loiloi like ʻole, a ʻo ka ʻaoʻao haʻahaʻa (3 a me 4) e pili ana i nā poʻe me kekahi mau ʻike e hoʻokele i ke kaʻina hana. Hiki iā ʻoe ke noʻonoʻo i ka neʻe ʻana o ke kumu hoʻohālike mai luna a lalo, aia ma ka ʻaoʻao o luna o ka ʻulaʻula polū e loaʻa iā mākou nā mākaʻikaʻi mai nā mea hana palekana kuʻuna (antivirus, EDR, firewall, signatures) me kahi kiʻekiʻe o ka hilinaʻi a me ka hilinaʻi, a ma lalo nā hōʻailona ( IOC, URL, MD5 a me nā mea ʻē aʻe), he haʻahaʻa haʻahaʻa o ka ʻoiaʻiʻo a pono e aʻo hou. A ʻo ka pae haʻahaʻa a mānoanoa loa (4) ʻo ia ka hoʻokumu ʻana i nā kuhiakau, ka hana ʻana i nā hiʻohiʻona hou no ka hana ʻana o nā ʻano pale kuʻuna. ʻAʻole i kaupalena ʻia kēia pae i nā kumu kumu o nā kuhiakau. ʻO ka haʻahaʻa haʻahaʻa, ʻoi aku ka nui o nā koi i kau ʻia ma nā koina o ka mea loiloi.
He mea koʻikoʻi ʻaʻole e hoʻāʻo wale ka poʻe loiloi i kahi hoʻonohonoho palena o nā kuhiakau i koho mua ʻia, akā e hana mau e hana i nā kuhiakau hou a me nā koho no ka hoʻāʻo ʻana iā lākou.
Hoʻohana ʻia ʻo TH Hoʻohana Oʻo
Ma kahi honua maikaʻi loa, ʻo TH kahi kaʻina hana mau. Akā, no ka mea ʻaʻohe honua kūpono, e nānā kākou a me nā ʻano hana e pili ana i nā kānaka, nā kaʻina hana a me nā ʻenehana i hoʻohana ʻia. E noʻonoʻo kākou i ke kumu hoʻohālike o kahi TH pōʻai kūpono. Aia nā pae 5 o ka hoʻohana ʻana i kēia ʻenehana. E nānā kākou iā lākou me ka hoʻohana ʻana i ka laʻana o ka hoʻomohala ʻana o kahi hui o nā mea loiloi.
Nā pae o ke oʻo
kanaka
Nā kaʻina hana
o ka 'ike loea hou
Hoʻowaha 0
Nā mea kālailai SOC
24/7
Nā mea kani kuʻuna:
Kuʻuna
Hoʻonohonoho o nā mākaʻikaʻi
Ka nānā ʻana
IDS, AV, Sandboxing,
Me ka ʻole o TH
Ke hana nei me nā makaʻala
Nā mea hana hōʻailona hōʻailona, ka ʻikepili Hoʻoweliweli.
Hoʻowaha 1
Nā mea kālailai SOC
Hoʻokahi manawa TH
EDR
Hoʻokolohua
ʻIke kumu o ka forensics
Huli IOC
ʻO ka uhi hapa o ka ʻikepili mai nā polokalamu pūnaewele
Nā hoʻokolohua me TH
ʻIke maikaʻi i nā pūnaewele a me nā noi
Hoʻohana hapa
Hoʻowaha 2
Noho manawa
ʻO nā sprints
EDR
Ka wā
ʻO ka ʻike maʻamau o ka forensics
He pule i ka mahina
Ke noi piha
TH no ka manawa
ʻIke maikaʻi loa o nā pūnaewele a me nā noi
TH mau
ʻO ka automation piha o ka hoʻohana ʻana i ka ʻikepili EDR
Hoʻohana hapa o nā mana EDR holomua
Hoʻowaha 3
Kauoha TH hoʻolaʻa
24/7
Māhele ʻāpana e hoʻāʻo i nā kuhiakau TH
Kāohi
ʻIke maikaʻi loa no ka forensics a me ka malware
Kāohi TH
Hoʻohana piha i nā mana EDR holomua
Nā hihia kūikawā TH
ʻIke maikaʻi loa o ka ʻaoʻao hoʻouka
Nā hihia kūikawā TH
Hoʻopili piha i ka ʻikepili mai nā polokalamu pūnaewele
Hoʻonohonoho e kūpono i kāu mau pono
Hoʻowaha 4
Kauoha TH hoʻolaʻa
24/7
Hiki ke ho'āʻo i nā kuhiakau TH
Ke alakaʻi
ʻIke maikaʻi loa no ka forensics a me ka malware
Kāohi TH
Papa 3, me:
Ke hoʻohana nei iā TH
ʻIke maikaʻi loa o ka ʻaoʻao hoʻouka
ʻO ka hoʻāʻo ʻana, automation a me ka hōʻoia ʻana i nā kuhiakau TH
ka hoʻopili paʻa ʻana o nā kumu ʻikepili;
Hiki ke noiʻi
hoʻomohala e like me nā pono a me ka hoʻohana maʻamau ʻole o ka API.
Nā pae oʻo TH e nā kānaka, nā kaʻina hana a me nā ʻenehana
Hoʻohana 0: kuʻuna, me ka hoʻohana ʻole i ka TH. Hana nā mea loiloi maʻamau me kahi hoʻonohonoho maʻamau o nā mākaʻikaʻi ma ke ʻano nānā ʻana i ka passive me ka hoʻohana ʻana i nā mea hana maʻamau a me nā ʻenehana: IDS, AV, sandbox, nā mea hana loiloi pūlima.
Hoʻohana 1: hoʻokolohua, me ka hoʻohana ʻana iā TH. Hiki i nā mea loiloi like me ka ʻike kumu o ka forensics a me ka ʻike maikaʻi o nā pūnaewele a me nā noi ke hoʻokō i hoʻokahi manawa Threat Hunting ma ka ʻimi ʻana i nā hōʻailona o ke kuʻikahi. Hoʻohui ʻia nā EDR i nā mea hana me ka uhi hapa o ka ʻikepili mai nā polokalamu pūnaewele. Hoʻohana hapa ʻia nā mea hana.
Hoʻohana 2: manawa, manawa TH. ʻO nā mea noiʻi like i hoʻonui i ko lākou ʻike i ka forensics, nā pūnaewele a me ka ʻāpana noi e koi mau i ka Threat Hunting (sprint), e ʻōlelo, i hoʻokahi pule o ka mahina. Hoʻohui nā mea hana i ka ʻimi piha ʻana i ka ʻikepili mai nā polokalamu pūnaewele, ka automation o ka nānā ʻana i ka ʻikepili mai EDR, a me ka hoʻohana hapa ʻana i nā mana EDR holomua.
Hoʻohana 3: pale, hihia pinepine o TH. Ua hoʻonohonoho kā mākou poʻe loiloi iā lākou iho i kahi hui i hoʻolaʻa ʻia a hoʻomaka e loaʻa ka ʻike maikaʻi loa o ka forensics a me ka malware, a me ka ʻike o nā ʻano hana a me nā loea o ka ʻaoʻao hoʻouka. Ua hoʻokō ʻia ke kaʻina hana 24/7. Hiki i ka hui ke ho'āʻo hapa i nā kuhiakau TH me ka hoʻohana piha ʻana i nā mana kiʻekiʻe o EDR me ka uhi piha o ka ʻikepili mai nā polokalamu pūnaewele. Hiki i nā mea loiloi ke hoʻonohonoho i nā mea hana e kūpono i kā lākou pono.
Hoʻohana 4: kiʻekiʻe, hoʻohana iā TH. Ua loaʻa i ka hui like ka hiki ke noiʻi, ka hiki ke hana a hoʻokaʻawale i ke kaʻina hana o ka hoʻāʻo ʻana i nā kuhiakau TH. I kēia manawa ua hoʻonui ʻia nā mea hana e ka hoʻopili pili ʻana i nā kumu ʻikepili, hoʻomohala polokalamu e hoʻokō i nā pono, a me ka hoʻohana maʻamau ʻole o nā API.
Nā Hana Huli Hoʻoweliweli
Nā ʻenehana Huli Hoʻoweliweli Kumu
К ʻO TH, ma ke ʻano o ke oʻo ʻana o ka ʻenehana i hoʻohana ʻia, ʻo ia: ʻimi kumu, ʻike helu helu, ʻenehana hiʻohiʻona, hōʻuluʻulu maʻalahi, aʻo mīkini, a me nā ʻano Bayesian.
ʻO ke ala maʻalahi, kahi hulina kumu, hoʻohana ʻia e hōʻemi i ka wahi o ka noiʻi me ka hoʻohana ʻana i nā nīnau kikoʻī. Hoʻohana ʻia ka ʻikepili helu, no ka laʻana, no ke kūkulu ʻana i ka mea hoʻohana maʻamau a i ʻole ka hana pūnaewele ma ke ʻano o kahi kumu hoʻohālike. Hoʻohana ʻia nā ʻenehana hiʻohiʻona e hōʻike maka a hoʻomaʻamaʻa i ka nānā ʻana o ka ʻikepili ma ke ʻano o nā pakuhi a me nā pakuhi, kahi e maʻalahi ai ka ʻike ʻana i nā hiʻohiʻona o ka hāpana. Hoʻohana ʻia ka ʻenehana o nā hōʻuluʻulu maʻalahi e nā kīʻaha koʻikoʻi no ka hoʻomaikaʻi ʻana i ka ʻimi a me ka nānā ʻana. ʻOi aku ka nui o ke kaʻina hana TH o kahi hui, ʻoi aku ka pili o ka hoʻohana ʻana i nā algorithm aʻo mīkini. Hoʻohana nui ʻia lākou i ka kānana ʻana i ka spam, ka ʻike ʻana i nā kaʻa hewa a me ka ʻike ʻana i nā hana hoʻopunipuni. ʻO kahi ʻano ʻoi aku ka holomua o ka mīkini aʻo algorithm ʻo ia nā ala Bayesian, e ʻae ai i ka hoʻokaʻawale ʻana, ka hoʻemi ʻana i ka nui o ka laʻana, a me ka hoʻohālike kumuhana.
Hoʻohālike Diamond a me TH Strategies
ʻO Sergio Caltagiron, Andrew Pendegast a me Christopher Betz i kā lākou hana "» hōʻike i nā mea nui o nā hana ʻino a me ka pilina ma waena o lākou.
Hoʻohālike daimana no ka hana ʻino
Wahi a kēia kükohu, aia he 4 Threat Hunting hoʻolālā, i hoʻokumu ʻia ma luna o nā ʻāpana kī pili.
1. Hoʻolālā pili i ka poʻe maʻi. Manaʻo mākou he mau hoa paio ka mea i hoʻopaʻi ʻia a hāʻawi lākou i nā "manawa" ma o ka leka uila. Ke ʻimi nei mākou i ka ʻikepili ʻenemi ma ka leka uila. Huli i nā loulou, nā mea hoʻopili, etc. Ke ʻimi nei mākou i ka hōʻoia ʻana o kēia kuhiakau no kekahi manawa (hoʻokahi mahina, ʻelua pule); inā ʻaʻole i loaʻa iā mākou, a laila ʻaʻole i holo ka kuhiakau.
2. Hoʻolālā hoʻolālā hoʻolālā. Nui nā ala no ka hoʻohana ʻana i kēia hoʻolālā. Ma muli o ke komo a me ka ʻike, ʻoi aku ka maʻalahi o kekahi ma mua o nā mea ʻē aʻe. No ka laʻana, nānā mākou i nā kikowaena inoa inoa i ʻike ʻia e hoʻokipa i nā kāʻei kapu ʻino. A i ʻole e hele mākou ma ke kaʻina hana o ka nānā ʻana i nā inoa inoa inoa hou a pau no kahi ʻano ʻike i hoʻohana ʻia e ka ʻenemi.
3. Hoʻolālā i hoʻoikaika ʻia i ka hiki. Ma waho aʻe o ka hoʻolālā e pili ana i ka mea i hoʻohana ʻia e ka hapa nui o nā mea pale pūnaewele, aia kahi hoʻolālā manawa kūpono. ʻO ia ka lua o ka mea kaulana loa a nānā i ka ʻike ʻana i nā mana mai ka ʻenemi, ʻo ia hoʻi ka "malware" a me ka hiki o ka ʻenemi ke hoʻohana i nā mea hana pono e like me psexec, powershell, certutil a me nā mea ʻē aʻe.
4. Hoʻolālā ʻenemi. ʻO ke ala ʻenemi-centric e pili ana i ka ʻenemi iā ia iho. Hoʻopili kēia i ka hoʻohana ʻana i ka ʻike wehe mai nā kumu i loaʻa i ka lehulehu (OSINT), ka hōʻiliʻili ʻana i ka ʻikepili e pili ana i ka ʻenemi, kāna mau ʻenehana a me nā ʻano hana (TTP), ka nānā ʻana i nā hanana i hala, ka ʻike Threat Intelligence, etc.
Nā kumu o ka ʻike a me nā kuhiakau ma TH
ʻO kekahi mau kumu o ka ʻike no ka Threat Hunting
Nui nā kumu o ka ʻike. Pono e hiki i kahi mea loiloi kūpono ke unuhi i ka ʻike mai nā mea āpau a puni. ʻO nā kumu maʻamau ma kahi kokoke i nā ʻenehana he ʻikepili mai nā mea hana palekana: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Eia kekahi, ʻo nā kumu maʻamau o ka ʻike he mau hōʻailona like ʻole o ke kuʻikahi, Threat Intelligence services, CERT and OSINT data. Eia hou, hiki iā ʻoe ke hoʻohana i ka ʻike mai ka darknet (no ka laʻana, aia koke ke kauoha e hack i ka pahu leta o ke poʻo o kahi hui, a i ʻole kahi moho no ke kūlana o kahi ʻenekini pūnaewele i hōʻike ʻia no kāna hana), loaʻa ka ʻike mai HR (nā loiloi o ka moho mai kahi hana ma mua), ʻike mai ka lawelawe palekana (no ka laʻana, nā hopena o ka hōʻoia ʻana o ka counterparty).
Akā ma mua o ka hoʻohana ʻana i nā kumuwaiwai āpau, pono e loaʻa i hoʻokahi kuhiakau.
I mea e ho'āʻo ai i nā kuhiakau, pono e waiho mua ʻia i mua. A no ka hoʻopuka ʻana i nā kuhiakau kiʻekiʻe he nui, pono ia e hoʻopili i kahi ala ʻōnaehana. ʻO ke kaʻina hana o ka hoʻokumu ʻana i nā kuhiakau i wehewehe ʻia i loko o, he mea maʻalahi loa ka lawe ʻana i kēia kumumanaʻo i kumu no ke kaʻina hana o ka waiho ʻana i nā kuhiakau.
ʻO ke kumu nui o nā kuhiakau ATT&CK matrix (Adversarial Tactics, Techniques and Common Knowledge). ʻO ia, ma ke ʻano, he kumu ʻike a me ke kumu hoʻohālike no ka loiloi ʻana i ka ʻano o ka poʻe hoʻouka kaua e hoʻokō nei i kā lākou mau hana i nā pae hope loa o kahi hoʻouka kaua, i wehewehe pinepine ʻia me ka hoʻohana ʻana i ka manaʻo o Kill Chain. ʻO ia hoʻi, ma nā pae ma hope o ke komo ʻana o ka mea hoʻouka i loko o ka pūnaewele kūloko o kahi ʻoihana a i ʻole ma kahi polokalamu kelepona. Ua hoʻokomo mua ʻia ka waihona ʻike i nā wehewehe ʻana o 121 mau hana a me nā ʻenehana i hoʻohana ʻia i ka hoʻouka ʻana, ua wehewehe ʻia kēlā me kēia me ka kikoʻī ma ka format Wiki. Ua kūpono nā ʻikepili ʻike hoʻoweliweli like ʻole i kumu no ka hana ʻana i nā kuhiakau. ʻO ka manaʻo koʻikoʻi nā hopena o ka nānā ʻana i ka ʻōnaehana a me nā hoʻokolohua hoʻāʻo - ʻo ia ka ʻikepili koʻikoʻi loa e hiki ke hāʻawi iā mākou i nā kuhiakau hao ma muli o ka mea i hoʻokumu ʻia i kahi ʻōnaehana kikoʻī me kāna mau hemahema.
Kaʻina hoʻāʻo kuhiakau
Ua lawe mai ʻo Sergei Soldatov me ka wehewehe kikoʻī o ke kaʻina hana, hōʻike ia i ke kaʻina hana o ka hoʻāʻo ʻana i nā kuhiakau TH ma kahi ʻōnaehana hoʻokahi. E hōʻike wau i nā pae nui me kahi wehewehe pōkole.
Papa 1: Mahiai TI
I kēia pae he mea pono e hōʻike mea (ma ke kālailai ʻana iā lākou me nā ʻikepili hoʻoweliweli āpau) a hāʻawi iā lākou i nā lepili no ko lākou ʻano. ʻO kēia nā faila, URL, MD5, kaʻina hana, pono, hanana. Ke hele nei lākou ma o nā ʻōnaehana Threat Intelligence, pono e hoʻopili i nā hōʻailona. ʻO ia hoʻi, ua ʻike ʻia kēia pūnaewele ma CNC i kēlā a me kēia makahiki, ua pili kēia MD5 me kēia a me nā polokalamu malware, ua hoʻoiho ʻia kēia MD5 mai kahi pūnaewele i puʻunaue i ka malware.
Pae 2: Nā hihia
Ma ka papa ʻelua, nānā mākou i ka pilina ma waena o kēia mau mea a ʻike i nā pilina ma waena o kēia mau mea āpau. Loaʻa iā mākou nā ʻōnaehana hōʻailona e hana i kahi mea ʻino.
Ka Papa 3: Helu
I ke kolu o ka pae, ua hooiliia ka hihia i ka mea nana i ike i ka nui o ka ike ana i ka noonoo ana, a hana oia i ka olelo hooholo. Hoʻopili ʻo ia i nā byte he aha, ma hea, pehea, no ke aha a me ke kumu e hana ai kēia code. He kino kēia kino, ua maʻi kēia kamepiula. Hōʻike i nā pilina ma waena o nā mea, nānā i nā hopena o ka holo ʻana ma ka pahu one.
Hoʻouna hou ʻia nā hopena o ka hana a ka mea loiloi. Nānā ʻo Digital Forensics i nā kiʻi, nānā ʻo Malware Analysis i nā "kino" i loaʻa, a hiki i ka hui Incident Response ke hele i ka pūnaewele a noiʻi i kekahi mea ma laila. ʻO ka hopena o ka hana he kuhiakau i hoʻopaʻa ʻia, kahi hoʻouka kaua i ʻike ʻia a me nā ala e kūʻē ai.
Nā hopena
ʻO ka Threat Hunting kahi ʻenehana ʻōpio maikaʻi e hiki ke kūʻē pono i nā hoʻoweliweli maʻamau, hou a ʻaʻole maʻamau, a he mau manaʻo maikaʻi loa i hāʻawi ʻia i ka ulu ʻana o ia mau mea hoʻoweliweli a me ka piʻi ʻana o ka paʻakikī o nā ʻoihana hui. Pono ia i ʻekolu ʻāpana - ʻikepili, mea hana a me nā mea loiloi. ʻAʻole i kaupalena ʻia nā pono o ka Threat Hunting i ka pale ʻana i ka hoʻokō ʻana i nā mea hoʻoweliweli. Mai poina i ka wā o ka ʻimi ʻana e luʻu mākou i loko o kā mākou ʻoihana a me kona mau wahi nāwaliwali ma o nā maka o kahi mea nānā palekana a hiki ke hoʻoikaika hou i kēia mau wahi.
ʻO nā hana mua, i ko mākou manaʻo, pono e lawe ʻia e hoʻomaka i ke kaʻina TH i kāu hui.
- E mālama pono i ka pale ʻana i nā wahi hopena a me nā ʻōnaehana pūnaewele. E mālama pono i ka ʻike (NetFlow) a me ka hoʻomalu (firewall, IDS, IPS, DLP) o nā kaʻina hana a pau ma kāu pūnaewele. E ʻike i kāu pūnaewele mai ka mea ala ala a hiki i ka mea hoʻokipa hope loa.
- Makaikai.
- E hana i nā penikala maʻamau o nā kumu waiwai o waho, e nānā i kāna mau hopena, e ʻike i nā pahuhopu nui no ka hoʻouka ʻana a pani i ko lākou mau nāwaliwali.
- E hoʻokō i kahi ʻōnaehana hoʻoweliweli hoʻoweliweli (no ka laʻana, MISP, Yeti) a hoʻopaʻa i nā lāʻau i hui pū me ia.
- E hoʻokō i kahi kahua pane hanana hanana (IRP): R-Vision IRP, The Hive, sandbox no ka nānā ʻana i nā faila kānalua (FortiSandbox, Cuckoo).
- Hoʻokaʻawale i nā kaʻina hana maʻamau. ʻO ka nānā ʻana i nā lāʻau, ka hoʻopaʻa ʻana i nā hanana, ka hoʻomaopopo ʻana i nā limahana he kahua nui no ka automation.
- E aʻo e launa pū me nā ʻenekinia, nā mea hoʻomohala, a me ke kākoʻo ʻenehana e hui pū ai i nā hanana.
- E palapala i ke kaʻina hana holoʻokoʻa, nā mea nui, nā hopena i loaʻa i mea e hoʻi ai iā lākou ma hope a i ʻole kaʻana like i kēia ʻikepili me nā hoa hana;
- E launa pū: E makaʻala i nā mea e hana nei me kāu poʻe limahana, ka mea āu e hoʻolimalima ai, a me ka mea āu e hāʻawi ai i ke komo i nā kumuwaiwai ʻike o ka hui.
- E hoʻomau i nā ʻano ma ke kahua o nā hoʻoweliweli hou a me nā ʻano o ka pale ʻana, e hoʻonui i kou pae o ka ʻenehana loea (me ka hana ʻana o nā lawelawe IT a me nā subsystem), hele i nā hālāwai kūkā a kamaʻilio me nā hoa hana.
Mākaukau e kūkākūkā i ka hoʻonohonoho ʻana o ke kaʻina hana TH ma nā ʻōlelo.
A i ʻole e hele mai e hana pū me mākou!
Nā kumu a me nā mea e aʻo ai
Source: www.habr.com