95% ntawm cov ntaub ntawv tiv thaiv kev nyab xeeb yog paub, thiab koj tuaj yeem tiv thaiv koj tus kheej los ntawm lawv siv cov kev cai ib txwm muaj xws li antiviruses, firewalls, IDS, WAF. Qhov seem 5% ntawm kev hem thawj tsis paub thiab txaus ntshai tshaj plaws. Lawv tsim 70% ntawm kev pheej hmoo rau lub tuam txhab vim qhov tseeb tias nws nyuaj heev los kuaj xyuas lawv, tiv thaiv lawv tsawg dua. Piv txwv yog WannaCry ransomware kev sib kis, NotPetya / ExPetr, cryptominers, "cyber weapon" Stuxnet (uas ntaus Iran lub chaw nuclear) thiab ntau (leej twg lwm tus nco qab Kido / Conficker?) lwm qhov kev tawm tsam uas tsis zoo tiv thaiv nrog kev ntsuas kev nyab xeeb classical. Peb xav tham txog yuav ua li cas los tawm tsam 5% ntawm kev hem thawj uas siv Threat Hunting technology.
Kev hloov pauv tsis tu ncua ntawm kev tawm tsam cyber yuav tsum muaj kev tshawb nrhiav tas li thiab kev tawm tsam, uas thaum kawg ua rau peb xav txog kev sib tw tsis muaj qhov kawg ntawm cov neeg tawm tsam thiab cov neeg tiv thaiv. Classic kev ruaj ntseg systems tsis muaj peev xwm muab ib qho kev lees paub ntawm kev ruaj ntseg, nyob rau theem ntawm kev pheej hmoo tsis cuam tshuam rau lub tuam txhab cov cim tseem ceeb (kev lag luam, kev nom kev tswv, lub koob npe nrov) yam tsis tau hloov kho rau ib qho kev tsim kho tshwj xeeb, tab sis feem ntau lawv npog qee qhov. qhov txaus ntshai. Twb tau nyob rau hauv cov txheej txheem ntawm kev siv thiab kev teeb tsa, niaj hnub kev ruaj ntseg systems pom lawv tus kheej hauv lub luag haujlwm ntawm kev ntes thiab yuav tsum tau teb rau cov kev cov nyom ntawm lub sijhawm tshiab.
Threat Hunting thev naus laus zis tuaj yeem yog ib qho ntawm cov lus teb rau cov teeb meem ntawm peb lub sijhawm rau tus kws tshaj lij kev ruaj ntseg cov ntaub ntawv. Lub sij hawm Threat Hunting (tom qab no hu ua TH) tau tshwm sim ntau xyoo dhau los. Lub tshuab nws tus kheej yog qhov nthuav heev, tab sis tseem tsis tau muaj cov qauv kev lees paub thiab kev cai. Qhov teeb meem kuj nyuaj los ntawm qhov sib txawv ntawm cov ntaub ntawv xov xwm thiab cov ntaub ntawv tsawg tsawg ntawm Lavxias teb sab cov ntaub ntawv ntawm cov ncauj lus no. Nyob rau hauv no hais txog, peb ntawm LANIT-Integration txiav txim siab los sau ib qho kev tshuaj xyuas ntawm no technology.
Qhov tseeb
TH thev naus laus zis tso siab rau kev saib xyuas cov txheej txheem.. Kev ceeb toom (zoo ib yam li MSSP cov kev pabcuam) yog ib txoj hauv kev tshawb nrhiav cov npe uas tau tsim yav dhau los thiab cov cim ntawm kev tawm tsam thiab teb rau lawv. Qhov xwm txheej no tau ua tiav los ntawm cov cuab yeej kos npe raws li kev tiv thaiv ib txwm muaj. Kev yos hav zoov (MDR hom kev pabcuam) yog ib txoj hauv kev saib xyuas uas teb cov lus nug "Qhov twg kos npe thiab cov cai los ntawm?" Nws yog cov txheej txheem ntawm kev tsim cov kev cai sib raug zoo los ntawm kev txheeb xyuas cov cim zais lossis yav dhau los tsis paub thiab cov cim qhia ntawm kev tawm tsam. Threat Hunting hais txog hom kev saib xyuas no.
Tsuas yog los ntawm kev sib txuas ob hom kev saib xyuas peb tau txais kev tiv thaiv uas nyob ze rau qhov zoo tagnrho, tab sis yeej ib txwm muaj qee qhov kev pheej hmoo seem.
Kev tiv thaiv siv ob hom kev saib xyuas
Thiab ntawm no yog vim li cas TH (thiab kev yos hav zoov tag nrho!) yuav dhau los ua qhov cuam tshuam:
hem, kho, txaus ntshai.
. Cov no suav nrog hom xws li spam, DDoS, viruses, rootkits thiab lwm yam malware classic. Koj tuaj yeem tiv thaiv koj tus kheej los ntawm cov kev hem thawj no siv tib yam kev ntsuas kev nyab xeeb classic.
Thaum lub sij hawm ua raws li qhov project, thiab qhov seem 20% ntawm kev ua haujlwm yuav siv 80% ntawm lub sijhawm. Ib yam li ntawd, thoob plaws txhua qhov kev hem thawj, 5% ntawm cov kev hem thawj tshiab yuav suav txog 70% ntawm kev pheej hmoo rau lub tuam txhab. Hauv ib lub tuam txhab uas cov txheej txheem tswj kev ruaj ntseg cov ntaub ntawv raug teeb tsa, peb tuaj yeem tswj hwm 30% ntawm qhov kev pheej hmoo ntawm kev siv cov kev hem thawj uas paub hauv ib txoj hauv kev los ntawm kev zam (kev tsis lees paub ntawm cov tes hauj lwm wireless hauv paus ntsiab lus), lees txais (ua raws li kev ntsuas kev nyab xeeb tsim nyog) lossis hloov pauv. (piv txwv li, mus rau lub xub pwg nyom ntawm tus neeg koom ua ke) qhov kev pheej hmoo no. Tiv thaiv koj tus kheej los ntawm, APT tawm tsam, phishing,, cyber espionage thiab kev ua haujlwm hauv tebchaws, nrog rau ntau qhov kev tawm tsam yog twb nyuaj dua. Qhov tshwm sim ntawm 5% ntawm cov kev hem thawj no yuav hnyav dua () dua li qhov tshwm sim ntawm spam lossis kab mob, los ntawm cov software antivirus txuag.
Yuav luag txhua tus yuav tsum tau nrog 5% ntawm kev hem thawj. Tsis ntev los no peb yuav tsum tau nruab qhov qhib qhov kev daws teeb meem uas siv daim ntawv thov los ntawm PEAR (PHP Extension thiab Application Repository) repository. Ib qho kev sim rau nruab daim ntawv thov no ntawm pear nruab ua tsis tiav vim yog tsis muaj (tam sim no muaj ib tug stub rau nws), kuv yuav tsum tau nruab nws los ntawm GitHub. Thiab tsis ntev los no nws tau pom tias PEAR tau los ua tus neeg raug tsim txom.
Koj tseem nco tau, ib qho kev sib kis ntawm NePetya ransomware los ntawm kev hloov kho tshiab rau kev qhia txog se. Kev hem thawj tau dhau los ua ntau dua, thiab cov lus nug tshwm sim - "Peb tuaj yeem tiv thaiv 5% ntawm kev hem thawj li cas?"
Definition of Threat Hunting
Yog li, Kev Nyab Xeeb Kev Nyab Xeeb yog cov txheej txheem ntawm kev tshawb nrhiav thiab rov ua dua thiab tshawb xyuas cov kev hem thawj uas tsis tuaj yeem tshawb pom los ntawm cov cuab yeej kev nyab xeeb ib txwm muaj. Cov kev hem thawj loj muaj xws li, piv txwv li, kev tawm tsam xws li APT, kev tawm tsam ntawm 0-hnub qhov tsis zoo, Kev Nyob Hauv Tebchaws, thiab lwm yam.
Peb kuj tuaj yeem rov hais dua tias TH yog txheej txheem ntawm kev sim cov kev xav. Qhov no yog feem ntau phau ntawv txheej txheem nrog cov ntsiab lus ntawm automation, uas tus kws tshuaj ntsuam, tso siab rau nws txoj kev paub thiab kev txawj ntse, sifts los ntawm ntau cov ntaub ntawv hauv kev tshawb nrhiav cov cim ntawm kev sib haum xeeb uas sib haum rau qhov kev txiav txim siab pib txog qhov muaj qee yam kev hem thawj. Nws qhov tshwj xeeb feature yog ntau yam ntawm cov ntaub ntawv.
Nws yuav tsum raug sau tseg tias Kev Nyab Xeeb Kev Nyab Xeeb tsis yog qee yam software lossis khoom kho vajtse. Cov no tsis yog kev ceeb toom uas tuaj yeem pom hauv qee qhov kev daws teeb meem. Qhov no tsis yog IOC (Identifiers of Compromise) txoj kev tshawb nrhiav. Thiab qhov no tsis yog qee yam kev ua haujlwm dhau los uas tshwm sim yam tsis muaj kev koom tes ntawm cov kws tshuaj xyuas kev ruaj ntseg cov ntaub ntawv. Kev Nyab Xeeb Kev Nyab Xeeb yog thawj zaug thiab qhov tseem ceeb tshaj plaws.
Cheebtsam ntawm Kev Nyuaj Siab Hunting
Peb lub ntsiab tseem ceeb ntawm Kev Nyab Xeeb Kev Nyab Xeeb: cov ntaub ntawv, thev naus laus zis, tib neeg.
Cov ntaub ntawv (dab tsi?), suav nrog Cov Ntaub Ntawv Loj. Txhua yam kev khiav tsheb khiav, cov ntaub ntawv hais txog APTs yav dhau los, kev tshuaj ntsuam xyuas, cov ntaub ntawv ntawm cov neeg siv kev ua haujlwm, cov ntaub ntawv hauv network, cov ntaub ntawv los ntawm cov neeg ua haujlwm, cov ntaub ntawv hauv darknet thiab ntau ntxiv.
Technologies (yuav ua li cas?) ua cov ntaub ntawv no - txhua txoj hauv kev ua cov ntaub ntawv no, suav nrog Kev Kawm Tshuab.
Cov neeg (leej twg?) - Cov neeg uas muaj kev paub dhau los hauv kev txheeb xyuas ntau yam kev tawm tsam, tsim kev xav thiab muaj peev xwm los ntes qhov kev tawm tsam. Feem ntau cov no yog cov kws tshuaj ntsuam xyuas kev ruaj ntseg cov ntaub ntawv uas yuav tsum muaj peev xwm tsim cov kev xav thiab nrhiav kev pom zoo rau lawv. Lawv yog qhov txuas tseem ceeb hauv cov txheej txheem.
Model PARIS
Adam Bateman PARIS qauv rau cov txheej txheem TH zoo tagnrho. Lub npe alludes mus rau ib tug nto moo landmark nyob rau hauv Fabkis. Cov qauv no tuaj yeem pom hauv ob qho kev qhia - los ntawm saum toj thiab hauv qab.
Thaum peb ua haujlwm peb txoj hauv kev los ntawm tus qauv los ntawm hauv qab mus txog, peb yuav ntsib ntau yam pov thawj ntawm kev ua phem. Txhua daim ntawv pov thawj muaj qhov ntsuas hu ua kev ntseeg siab - tus yam ntxwv uas qhia txog qhov hnyav ntawm cov pov thawj no. Muaj "hlau", cov pov thawj ncaj qha ntawm kev ua phem, raws li qhov peb tuaj yeem ncav cuag sab saum toj ntawm lub pyramid tam sim ntawd thiab tsim kev ceeb toom tiag tiag txog tus kab mob paub meej. Thiab muaj cov pov thawj tsis ncaj, cov lej uas tuaj yeem coj peb mus rau saum lub pyramid. Raws li ib txwm muaj, muaj ntau yam pov thawj tsis ncaj ncees dua li cov pov thawj ncaj qha, uas txhais tau hais tias lawv yuav tsum tau txheeb xyuas thiab txheeb xyuas, kev tshawb fawb ntxiv yuav tsum tau ua, thiab nws yog qhov tsim nyog los ua qhov no.
Model PARIS.
Lub sab sauv ntawm tus qauv (1 thiab 2) yog raws li automation technologies thiab ntau yam analytics, thiab sab qis (3 thiab 4) yog raws li cov neeg uas muaj tej yam tsim nyog uas tswj cov txheej txheem. Koj tuaj yeem xav txog tus qauv txav los ntawm sab saum toj mus rau hauv qab, qhov twg nyob rau sab sauv ntawm cov xim xiav peb muaj kev ceeb toom los ntawm cov cuab yeej kev nyab xeeb ib txwm muaj (antivirus, EDR, firewall, kos npe) nrog kev ntseeg siab thiab kev ntseeg siab, thiab hauv qab no yog cov ntsuas ( IOC, URL, MD5 thiab lwm yam), uas muaj qib qis dua ntawm qhov tseeb thiab xav tau kev kawm ntxiv. Thiab qhov qis tshaj thiab thickest theem (4) yog tiam ntawm hypotheses, kev tsim cov xwm txheej tshiab rau kev ua haujlwm ntawm kev tiv thaiv ib txwm muaj. Qib no tsis txwv tsuas yog rau cov kev qhia tshwj xeeb ntawm kev xav. Qhov qis dua, qhov xav tau ntau dua yog muab tso rau ntawm tus kws tshuaj ntsuam qhov tsim nyog.
Nws yog ib qho tseem ceeb heev uas cov kws tshuaj ntsuam xyuas tsis yog tsuas yog sim ib qho kev txiav txim siab uas tau txiav txim siab ua ntej, tab sis ua haujlwm tas li los tsim cov kev xav tshiab thiab cov kev xaiv rau kev sim lawv.
TH Siv Cov Qauv Qauv
Hauv lub ntiaj teb zoo tagnrho, TH yog cov txheej txheem txuas ntxiv mus. Tab sis, txij li tsis muaj lub ntiaj teb zoo tagnrho, cia peb txheeb xyuas thiab cov txheej txheem ntawm tib neeg, txheej txheem thiab thev naus laus zis siv. Cia peb xav txog tus qauv ntawm ib qho zoo tagnrho kheej kheej TH. Muaj 5 theem ntawm kev siv tshuab no. Cia peb saib lawv siv qhov piv txwv ntawm kev hloov pauv ntawm ib pab pawg kws tshuaj ntsuam.
Qib ntawm kev loj hlob
neeg
Cov txheej txheem
ntawm technology
0 qib
SOC Analyst
24/7
Cov cuab yeej tsoos:
Tsoos
Cov lus ceeb toom
Passive saib xyuas
IDS, AV, Sandboxing,
Tsis muaj TH
Ua haujlwm nrog kev ceeb toom
Cov cuab yeej tsom xam kos npe, Cov ntaub ntawv hem kev txawj ntse.
1 qib
SOC Analyst
Ib zaug TH
EDR
Kev sim
Basic paub txog forensics
IOC nrhiav
Ib feem ntawm cov ntaub ntawv los ntawm cov khoom siv network
Kev sim nrog TH
Kev paub zoo ntawm network thiab kev siv
Daim ntawv thov ib nrab
2 qib
Kev ua haujlwm ib ntus
Sprints
EDR
Lub caij nyoog
Nruab nrab kev paub txog forensics
Lub lis piam mus rau hli
Daim ntawv thov puv
Ib ntus TH
Kev paub zoo heev ntawm network thiab kev siv
Regular TH
Tag nrho automation ntawm EDR cov ntaub ntawv siv
Kev siv ib nrab ntawm cov peev txheej EDR siab heev
3 qib
Dedicated TH hais kom ua
24/7
Ib feem muaj peev xwm los ntsuas qhov kev xav TH
Tiv thaiv
Kev paub zoo ntawm forensics thiab malware
Tiv thaiv TH
Kev siv tag nrho cov peev txheej EDR siab heev
Cov xwm txheej tshwj xeeb TH
Kev paub zoo ntawm kev tawm tsam sab
Cov xwm txheej tshwj xeeb TH
Tag nrho cov ntaub ntawv los ntawm cov khoom siv network
Configuration kom haum koj cov kev xav tau
4 qib
Dedicated TH hais kom ua
24/7
Muaj peev xwm los ntsuam xyuas TH hypotheses
Ua thawj
Kev paub zoo ntawm forensics thiab malware
Tiv thaiv TH
Qib 3, ntxiv rau:
Siv TH
Kev paub zoo ntawm kev tawm tsam sab
Kev ntsuam xyuas, automation thiab txheeb xyuas qhov kev xav ntawm TH
nruj kev koom ua ke ntawm cov ntaub ntawv qhov chaw;
Kev tshawb fawb muaj peev xwm
kev txhim kho raws li kev xav tau thiab tsis siv tus qauv API.
TH maturity theem los ntawm tib neeg, txheej txheem thiab technologies
Qib 0: tsoos, tsis siv TH. Cov kws tshuaj ntsuam xyuas tsis tu ncua ua haujlwm nrog cov txheej txheem ceeb toom hauv kev saib xyuas tsis tu ncua siv cov cuab yeej txheem thiab thev naus laus zis: IDS, AV, sandbox, kos npe tshuaj ntsuam cov cuab yeej.
Qib 1: kev sim, siv TH. Cov kws tshuaj ntsuam tib yam nrog kev paub txog kev paub txog forensics thiab kev paub zoo ntawm cov tes hauj lwm thiab cov ntawv thov tuaj yeem ua tiav ib zaug Kev Nyuaj Siab Hunting los ntawm kev tshawb nrhiav qhov ntsuas ntawm kev sib haum xeeb. EDRs tau ntxiv rau cov cuab yeej nrog ib feem ntawm cov ntaub ntawv los ntawm cov khoom siv network. Cov cuab yeej siv ib nrab.
Qib 2: periodic, ib ntus TH. Cov kws tshuaj ntsuam tib yam uas twb tau hloov kho lawv cov kev paub hauv forensics, networks thiab daim ntawv thov yuav tsum tau ua ntu zus los ntawm Kev Nyuaj Siab Hunting (sprint), hais tias, ib lub lis piam ib hlis. Cov cuab yeej ntxiv tag nrho kev tshawb nrhiav cov ntaub ntawv los ntawm cov khoom siv hauv network, automation ntawm cov ntaub ntawv tsom xam los ntawm EDR, thiab ib feem ntawm kev siv cov peev txheej EDR siab heev.
Qib 3: tiv thaiv, nquag mob ntawm TH. Peb cov kws tshuaj ntsuam tau teeb tsa lawv tus kheej rau hauv ib pab neeg mob siab rau thiab pib muaj kev paub zoo ntawm forensics thiab malware, nrog rau kev paub txog cov txheej txheem thiab kev tawm tsam ntawm kev tawm tsam. Cov txheej txheem tau ua tiav 24/7. Pab neeg no tuaj yeem kuaj TH kev xav ib nrab thaum siv tag nrho cov peev txheej siab ntawm EDR nrog rau tag nrho cov ntaub ntawv los ntawm cov khoom siv hauv network. Cov kws tshuaj ntsuam kuj tuaj yeem teeb tsa cov cuab yeej kom haum lawv cov kev xav tau.
Qib 4: high-end, siv TH. Tib pab neeg tau txais kev muaj peev xwm los tshawb fawb, muaj peev xwm tsim thiab ua kom cov txheej txheem ntawm kev sim TH hypotheses. Tam sim no cov cuab yeej tau ntxiv los ntawm kev sib koom ua ke ntawm cov ntaub ntawv, kev txhim kho software kom tau raws li qhov xav tau, thiab tsis siv tus qauv APIs.
Txoj Kev Yos Hav Zoov
Basic Threat Hunting Techniques
Π TH, nyob rau hauv kev txiav txim kom loj hlob ntawm cov cuab yeej siv, yog: kev tshawb fawb yooj yim, kev txheeb xyuas kev txheeb xyuas, cov tswv yim pom kev, kev sib sau yooj yim, kev kawm tshuab, thiab cov txheej txheem Bayesian.
Txoj kev yooj yim tshaj plaws, kev tshawb nrhiav yooj yim, yog siv los nqaim thaj tsam ntawm kev tshawb fawb siv cov lus nug tshwj xeeb. Kev txheeb xyuas kev txheeb xyuas yog siv, piv txwv li, los tsim cov neeg siv khoom lossis kev ua haujlwm hauv network hauv daim ntawv ntawm cov qauv kev txheeb cais. Cov txheej txheem pom kev pom yog siv los ua kom pom kev pom thiab ua kom yooj yim rau kev txheeb xyuas cov ntaub ntawv hauv daim duab thiab cov kab kos, uas ua rau nws yooj yim dua rau kev pom cov qauv hauv cov qauv. Cov txheej txheem ntawm kev sib sau yooj yim los ntawm cov teb tseem ceeb yog siv los ua kom zoo rau kev tshawb nrhiav thiab kev tshuaj xyuas. Qhov loj dua lub koom haum cov txheej txheem TH nce mus txog, qhov cuam tshuam ntau dua ntawm kev siv tshuab kev kawm algorithms ua. Lawv kuj tau siv dav hauv kev lim spam, tshawb xyuas cov tsheb tsis zoo thiab tshawb xyuas cov haujlwm dag. Ib hom kev kawm tshuab algorithm ntau dua yog Bayesian txoj hauv kev, uas tso cai rau kev faib tawm, txo qis tus qauv, thiab cov qauv qauv.
Pob Zeb Diamond Model thiab TH Strategies
Sergio Caltagiron, Andrew Pendegast thiab Christopher Betz hauv lawv txoj haujlwm "Β» tau pom cov ntsiab lus tseem ceeb ntawm txhua yam kev ua phem thiab kev sib txuas yooj yim ntawm lawv.
Pob zeb diamond qauv rau kev ua phem
Raws li cov qauv no, muaj 4 Cov Tswv Yim Kev Nyab Xeeb Kev Nyab Xeeb, uas yog raws li cov khoom tseem ceeb sib xws.
1. Lub tswv yim tsim neeg raug tsim txom. Peb xav tias tus neeg raug tsim txom muaj cov neeg tawm tsam thiab lawv yuav xa "cov cib fim" ntawm email. Peb tab tom nrhiav rau cov ntaub ntawv yeeb ncuab hauv kev xa ntawv. Nrhiav cov txuas, txuas, thiab lwm yam. Peb tab tom nrhiav kev lees paub ntawm qhov kev xav no rau ib lub sijhawm (ib hlis, ob lub lis piam); yog tias peb tsis pom nws, ces qhov kev xav tsis ua haujlwm.
2. Infrastructure-oriented lub tswv yim. Muaj ntau txoj hauv kev los siv cov tswv yim no. Raws li kev nkag mus thiab pom, qee qhov yooj yim dua li lwm tus. Piv txwv li, peb saib xyuas lub npe servers paub tias yog tus tswv tsev siab phem. Los yog peb mus dhau cov txheej txheem ntawm kev saib xyuas tag nrho cov npe sau npe tshiab rau tus qauv paub siv los ntawm tus yeeb ncuab.
3. Muaj peev xwm-tsav lub tswv yim. Ntxiv nrog rau cov tswv yim tsom rau cov neeg raug tsim txom siv los ntawm cov neeg tiv thaiv network feem ntau, muaj lub tswv yim tsom rau lub sijhawm. Nws yog qhov thib ob nrov tshaj plaws thiab tsom mus rau kev tshawb nrhiav lub peev xwm los ntawm tus yeeb ncuab, uas yog "malware" thiab lub peev xwm ntawm tus yeeb ncuab siv cov cuab yeej raug cai xws li psexec, powershell, certutil thiab lwm yam.
4. Tus yeeb ncuab-oriented lub tswv yim. Tus yeeb ncuab-centric mus kom ze tsom rau tus yeeb ncuab nws tus kheej. Qhov no suav nrog kev siv cov ntaub ntawv qhib los ntawm cov ntaub ntawv tshaj tawm (OSINT), sau cov ntaub ntawv hais txog tus yeeb ncuab, nws cov txheej txheem thiab cov txheej txheem (TTP), kev tshuaj xyuas ntawm cov xwm txheej dhau los, Cov ntaub ntawv hem kev txawj ntse, thiab lwm yam.
Qhov chaw ntawm cov ntaub ntawv thiab kev xav hauv TH
Qee qhov chaw ntawm cov ntaub ntawv rau Kev Nyab Xeeb Kev Nyab Xeeb
Yuav muaj ntau qhov chaw ntawm cov ntaub ntawv. Tus kws tshuaj ntsuam zoo tshaj plaws yuav tsum muaj peev xwm rho tawm cov ntaub ntawv los ntawm txhua yam nyob ib puag ncig. Cov peev txheej hauv yuav luag txhua qhov kev tsim kho yuav yog cov ntaub ntawv los ntawm cov cuab yeej ruaj ntseg: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Tsis tas li ntawd, cov ntaub ntawv raug cai yuav yog ntau yam kev ntsuas ntawm kev sib haum xeeb, Kev Pabcuam Kev Txawj Ntse, CERT thiab OSINT cov ntaub ntawv. Tsis tas li ntawd, koj tuaj yeem siv cov ntaub ntawv los ntawm darknet (piv txwv li, mam li nco dheev muaj ib qho kev txiav txim rau hack lub mailbox ntawm lub taub hau ntawm ib lub koom haum, los yog ib tug neeg sib tw rau txoj hauj lwm ntawm ib tug network engineer tau raug nthuav tawm rau nws cov hauj lwm), cov ntaub ntawv tau txais los ntawm HR (kev tshuaj xyuas ntawm tus neeg sib tw los ntawm qhov chaw ua haujlwm dhau los), cov ntaub ntawv los ntawm kev pabcuam kev ruaj ntseg (piv txwv li, cov txiaj ntsig ntawm kev txheeb xyuas ntawm tus neeg sib tw).
Tab sis ua ntej siv tag nrho cov peev txheej, nws yuav tsum muaj tsawg kawg yog ib qho kev xav.
Txhawm rau ntsuas cov kev xav, lawv yuav tsum xub muab tso rau pem hauv ntej. Thiab txhawm rau muab tso rau ntau qhov kev xav zoo, nws yog qhov yuav tsum tau siv txoj hauv kev zoo. Cov txheej txheem ntawm kev tsim cov kev xav tau piav qhia ntau ntxiv hauv, nws yog qhov yooj yim heev los coj cov tswv yim no los ua lub hauv paus rau cov txheej txheem ntawm kev tso rau pem hauv ntej hypotheses.
Lub hauv paus ntsiab lus ntawm hypotheses yuav yog ATT & CK matrix (Txoj kev sib cav sib ceg, txuj ci thiab kev txawj ntse). Nws yog, qhov tseem ceeb, lub hauv paus kev paub thiab qauv rau kev ntsuas tus cwj pwm ntawm cov neeg tawm tsam uas ua lawv cov haujlwm hauv cov kauj ruam kawg ntawm kev tawm tsam, feem ntau tau piav qhia siv lub tswvyim ntawm Kill Chain. Ntawd yog, nyob rau theem tom qab tus neeg tawm tsam tau nkag mus rau hauv lub network sab hauv ntawm lub tuam txhab lossis mus rau lub xov tooj ntawm tes. Lub hauv paus kev paub keeb kwm suav nrog cov lus piav qhia ntawm 121 tactics thiab cov tswv yim siv hauv kev tawm tsam, txhua yam uas tau piav qhia hauv Wiki hom. Ntau yam Kev Tshawb Fawb Kev Ua Phem Txhaum Cai yog qhov zoo tsim nyog los tsim cov kev xav. Ntawm qhov kev ceeb toom tshwj xeeb yog cov txiaj ntsig ntawm kev txheeb xyuas kev tsim kho vaj tse thiab kev nkag mus rau cov ntaub ntawv - qhov no yog cov ntaub ntawv tseem ceeb tshaj plaws uas tuaj yeem muab peb cov kev xav ntawm ironclad vim qhov tseeb tias lawv tau ua raws li cov txheej txheem tshwj xeeb nrog nws cov kev tsis txaus.
Cov txheej txheem kuaj hypothesis
Sergei Soldatov coj nrog rau cov lus piav qhia ntxaws txog cov txheej txheem, nws qhia txog cov txheej txheem ntawm kev sim TH kev xav hauv ib qho system. Kuv yuav qhia cov theem tseem ceeb nrog cov lus piav qhia luv luv.
Theem 1: TI Farm
Nyob rau theem no nws yog ib qho tsim nyog los ua kom pom tseeb khoom (los ntawm kev txheeb xyuas lawv ua ke nrog tag nrho cov ntaub ntawv hem thawj) thiab muab cov ntawv sau rau lawv cov yam ntxwv. Cov no yog cov ntaub ntawv, URL, MD5, txheej txheem, kev siv hluav taws xob, kev tshwm sim. Thaum hla lawv los ntawm Threat Intelligence systems, nws yog ib qho tsim nyog los txuas cov cim npe. Ntawd yog, lub vev xaib no tau pom hauv CNC hauv ib xyoos li ntawd, MD5 tau cuam tshuam nrog xws li thiab xws li malware, MD5 no tau rub tawm los ntawm lub xaib uas faib malware.
Theem 2: Cases
Nyob rau theem ob, peb saib kev sib cuam tshuam ntawm cov khoom no thiab txheeb xyuas qhov kev sib raug zoo ntawm tag nrho cov khoom no. Peb tau txais cov cim cim uas ua ib yam dab tsi phem.
Theem 3: Analyst
Nyob rau theem thib peb, rooj plaub raug xa mus rau tus kws tshuaj ntsuam xyuas uas muaj kev paub dhau los hauv kev tshuaj xyuas, thiab nws tau txiav txim siab. Nws txheeb xyuas cov bytes dab tsi, qhov twg, ua li cas, vim li cas thiab vim li cas qhov chaws no ua. Lub cev no yog malware, lub computer no tau kis. Qhia txog kev sib txuas ntawm cov khoom, tshawb xyuas cov txiaj ntsig ntawm kev khiav ntawm sandbox.
Cov txiaj ntsig ntawm tus kws tshuaj ntsuam ua haujlwm tau xa mus ntxiv. Digital Forensics tshuaj xyuas cov duab, Malware Analysis tshuaj xyuas "lub cev" pom, thiab pab pawg neeg tshwm sim tuaj yeem mus rau qhov chaw thiab tshawb xyuas qee yam uas twb muaj lawm. Qhov tshwm sim ntawm kev ua haujlwm yuav yog qhov kev lees paub qhov tseeb, kev tawm tsam thiab kev tawm tsam.
Cov txiaj ntsim tau los
Kev Nyab Xeeb Kev Nyab Xeeb yog ib qho cuab yeej siv rau cov tub ntxhais hluas uas muaj peev xwm tawm tsam qhov kev hem thawj, tshiab thiab tsis yog tus qauv, uas muaj kev cia siab zoo uas tau muab cov kev hem thawj loj zuj zus tuaj thiab qhov nyuaj ntawm cov koom haum koom nrog. Nws yuav tsum muaj peb yam - cov ntaub ntawv, cov cuab yeej thiab cov kws tshuaj ntsuam. Cov txiaj ntsig ntawm Threat Hunting tsis txwv rau kev tiv thaiv kev ua phem. Tsis txhob hnov ββββqab tias thaum lub sijhawm tshawb nrhiav peb dhia mus rau hauv peb cov kev tsim kho vaj tse thiab nws cov ntsiab lus tsis muaj zog los ntawm qhov muag ntawm tus kws tshuaj ntsuam kev nyab xeeb thiab tuaj yeem ntxiv dag zog rau cov ntsiab lus no.
Thawj cov kauj ruam uas, hauv peb lub tswv yim, yuav tsum tau ua kom pib TH txheej txheem hauv koj lub koom haum.
- Saib xyuas kev tiv thaiv cov ntsiab lus kawg thiab network infrastructure. Saib xyuas kev pom (NetFlow) thiab tswj (firewall, IDS, IPS, DLP) ntawm tag nrho cov txheej txheem ntawm koj lub network. Paub koj lub network los ntawm ntug router mus rau tus tswv tsev kawg.
- Tshawb nrhiav.
- Ua cov pentests tsis tu ncua ntawm yam tsawg kawg yog qhov tseem ceeb ntawm cov khoom siv sab nraud, txheeb xyuas nws cov txiaj ntsig, txheeb xyuas lub hom phiaj tseem ceeb rau kev tawm tsam thiab kaw lawv qhov tsis zoo.
- Ua raws li qhov qhib qhov threat Intelligence system (piv txwv li, MISP, Yeti) thiab txheeb xyuas cov ntawv sau ua ke nrog nws.
- Siv qhov xwm txheej teb platform (IRP): R-Vision IRP, Hive, sandbox rau kev tshuaj xyuas cov ntaub ntawv tsis txaus ntseeg (FortiSandbox, Cuckoo).
- Automate cov txheej txheem niaj hnub. Kev txheeb xyuas cov cav, kaw qhov xwm txheej, qhia cov neeg ua haujlwm yog qhov chaw loj rau automation.
- Kawm kom muaj kev cuam tshuam zoo nrog engineers, developers, thiab technical support los koom tes ntawm cov xwm txheej.
- Sau tag nrho cov txheej txheem, cov ntsiab lus tseem ceeb, ua tiav cov txiaj ntsig kom rov qab mus rau lawv tom qab lossis qhia cov ntaub ntawv no nrog cov npoj yaig;
- Ua kom muaj kev sib raug zoo: Paub txog dab tsi tshwm sim nrog koj cov neeg ua haujlwm, leej twg koj ntiav, thiab leej twg koj muab kev nkag mus rau lub koom haum cov ntaub ntawv xov xwm.
- Ua raws li cov kev xav tau hauv thaj tsam ntawm cov kev hem thawj tshiab thiab txoj hauv kev tiv thaiv, nce koj qib kev paub txog kev txawj ntse (nrog rau kev ua haujlwm ntawm IT cov kev pabcuam thiab subsystems), tuaj koom cov rooj sib tham thiab sib tham nrog cov npoj yaig.
Npaj los tham txog lub koom haum ntawm TH txheej txheem hauv cov lus pom.
Los yog tuaj ua haujlwm nrog peb!
Cov peev txheej thiab cov ntaub ntawv los kawm
Tau qhov twg los: www.hab.com