Տեղեկատվական անվտանգության սպառնալիքների 95%-ը հայտնի է, և դուք կարող եք պաշտպանվել դրանցից՝ օգտագործելով ավանդական միջոցներ, ինչպիսիք են հակավիրուսները, firewalls-ը, IDS-ը, WAF-ը: Սպառնալիքների մնացած 5%-ն անհայտ է և ամենավտանգավորը։ Դրանք ընկերության համար ռիսկի 70%-ն են կազմում, քանի որ դրանք շատ դժվար է հայտնաբերել, առավել ևս պաշտպանել դրանցից: Օրինակներ Արդյո՞ք WannaCry փրկագին համաճարակը, NotPetya/ExPetr-ը, կրիպտոմայներները, «կիբեր զենքը» Stuxnet-ը (որը հարվածել է Իրանի միջուկային օբյեկտներին) և շատ այլ հարձակումներ (որևէ մեկը հիշում է Kido/Conficker-ը?), որոնք այնքան էլ լավ չեն պաշտպանվում անվտանգության դասական միջոցներով: Մենք ցանկանում ենք խոսել այն մասին, թե ինչպես կարելի է դիմակայել սպառնալիքների այս 5%-ին՝ օգտագործելով Threat Hunting տեխնոլոգիան:
Կիբերհարձակումների շարունակական էվոլյուցիան պահանջում է մշտական հայտնաբերում և հակաքայլեր, ինչը, ի վերջո, ստիպում է մեզ մտածել հարձակվողների և պաշտպանների միջև սպառազինությունների անվերջ մրցավազքի մասին: Անվտանգության դասական համակարգերն այլևս ի վիճակի չեն ապահովել անվտանգության ընդունելի մակարդակ, որի դեպքում ռիսկի մակարդակը չի ազդում ընկերության հիմնական ցուցանիշների (տնտեսական, քաղաքական, հեղինակություն) վրա՝ առանց դրանք փոփոխելու որոշակի ենթակառուցվածքի համար, բայց ընդհանուր առմամբ դրանք ծածկում են որոշ ռիսկերը։ Արդեն ներդրման և կազմաձևման գործընթացում ժամանակակից անվտանգության համակարգերը հայտնվում են առաջընթացին հասնելու և պետք է արձագանքեն նոր ժամանակի մարտահրավերներին:
Threat Hunting տեխնոլոգիան կարող է լինել տեղեկատվական անվտանգության մասնագետի համար մեր ժամանակի մարտահրավերների պատասխաններից մեկը: Threat Hunting (այսուհետ՝ TH) տերմինը հայտնվել է մի քանի տարի առաջ։ Տեխնոլոգիան ինքնին բավականին հետաքրքիր է, բայց դեռ չունի ընդհանուր ընդունված ստանդարտներ և կանոններ: Հարցը բարդանում է նաև տեղեկատվական աղբյուրների տարասեռությամբ և այս թեմայի վերաբերյալ ռուսալեզու տեղեկատվության աղբյուրների սակավությամբ։ Այս կապակցությամբ մենք LANIT-Integration-ում որոշեցինք ակնարկ գրել այս տեխնոլոգիայի վերաբերյալ:
Համապատասխանությունը
TH տեխնոլոգիան հիմնված է ենթակառուցվածքի մոնիտորինգի գործընթացների վրա:. Զգուշացումը (նման MSSP ծառայություններին) նախկինում մշակված ստորագրությունների և հարձակումների նշանների որոնման և դրանց արձագանքման ավանդական մեթոդ է: Այս սցենարը հաջողությամբ իրականացվում է ավանդական ստորագրության վրա հիմնված պաշտպանության գործիքների միջոցով: Որսը (MDR տիպի ծառայություն) մոնիտորինգի մեթոդ է, որը պատասխանում է «Որտեղի՞ց են գալիս ստորագրությունները և կանոնները» հարցին: Դա հարաբերակցության կանոնների ստեղծման գործընթաց է՝ վերլուծելով թաքնված կամ նախկինում անհայտ ցուցիչներն ու հարձակման նշանները: Վտանգների որսը վերաբերում է մոնիտորինգի այս տեսակին:
Միայն մոնիտորինգի երկու տեսակների համատեղմամբ մենք ստանում ենք պաշտպանություն, որը մոտ է իդեալականին, բայց միշտ կա մնացորդային ռիսկի որոշակի մակարդակ:
Պաշտպանություն՝ օգտագործելով երկու տեսակի մոնիտորինգ
Եվ ահա թե ինչու TH-ն (և որսորդությունն ամբողջությամբ!) կդառնա ավելի ակտուալ.
Սպառնալիքներ, միջոցներ, ռիսկեր.
. Դրանք ներառում են այնպիսի տեսակներ, ինչպիսիք են սպամ, DDoS, վիրուսներ, rootkits և այլ դասական չարամիտ ծրագրեր: Դուք կարող եք պաշտպանվել ձեզ այս սպառնալիքներից՝ օգտագործելով անվտանգության նույն դասական միջոցները:
Ցանկացած նախագծի իրականացման ժամանակ, իսկ աշխատանքի մնացած 20%-ը տեւում է ժամանակի 80%-ը։ Նմանապես, ողջ սպառնալիքի լանդշաֆտի ընթացքում նոր սպառնալիքների 5%-ը կկազմի ընկերության ռիսկի 70%-ը: Ընկերությունում, որտեղ կազմակերպված են տեղեկատվական անվտանգության կառավարման գործընթացները, մենք կարող ենք այս կամ այն կերպ կառավարել հայտնի սպառնալիքների իրականացման ռիսկի 30%-ը՝ խուսափելով (սկզբունքորեն անլար ցանցերից հրաժարվելը), ընդունելով (անվտանգության անհրաժեշտ միջոցառումներ իրականացնելով) կամ տեղափոխելով։ (օրինակ, ինտեգրատորի ուսերին) այս ռիսկը: Պաշտպանեք ինքներդ ձեզ, APT հարձակումներ, ֆիշինգ,, կիբերլրտեսությունն ու ազգային գործողությունները, ինչպես նաև մեծ թվով այլ հարձակումներ արդեն շատ ավելի բարդ են։ Այս 5% սպառնալիքների հետևանքները շատ ավելի լուրջ կլինեն () քան սպամի կամ վիրուսների հետևանքները, որոնցից փրկում է հակավիրուսային ծրագիրը։
Գրեթե բոլորը ստիպված են դիմակայել սպառնալիքների 5%-ին: Մենք վերջերս ստիպված էինք տեղադրել բաց կոդով լուծում, որն օգտագործում է հավելված PEAR (PHP Extension and Application Repository) պահոցից: Այս հավելվածը տանձի տեղադրման միջոցով տեղադրելու փորձը ձախողվեց, քանի որ անհասանելի էր (այժմ դրա վրա կոճղ կա), ես ստիպված էի տեղադրել այն GitHub-ից: Եվ հենց վերջերս պարզվեց, որ ՏԱԶԸ զոհ է դարձել.
Դուք դեռ կարող եք հիշել, NePetya ransomware-ի համաճարակ՝ հարկային հաշվետվությունների ծրագրի թարմացման մոդուլի միջոցով. Սպառնալիքները գնալով ավելի են բարդանում, և տրամաբանական հարց է առաջանում. «Ինչպե՞ս կարող ենք դիմակայել սպառնալիքների այս 5%-ին»:
Վտանգների որսի սահմանում
Այսպիսով, սպառնալիքների որսը նախաձեռնողական և կրկնվող որոնման և առաջադեմ սպառնալիքների հայտնաբերման գործընթաց է, որը հնարավոր չէ հայտնաբերել անվտանգության ավանդական գործիքներով: Ընդլայնված սպառնալիքները ներառում են, օրինակ, հարձակումները, ինչպիսիք են APT-ը, հարձակումները 0-օրյա խոցելիության վրա, Living off the Land-ը և այլն:
Մենք կարող ենք նաև վերափոխել, որ TH-ն վարկածների փորձարկման գործընթաց է: Սա հիմնականում ձեռքով գործընթաց է ավտոմատացման տարրերով, որտեղ վերլուծաբանը, հենվելով իր գիտելիքների և հմտությունների վրա, մաղում է մեծ ծավալի տեղեկատվություն՝ փնտրելով փոխզիջման նշաններ, որոնք համապատասխանում են որոշակի սպառնալիքի առկայության մասին ի սկզբանե որոշված վարկածին: Նրա տարբերակիչ առանձնահատկությունը տեղեկատվության աղբյուրների բազմազանությունն է։
Պետք է նշել, որ Threat Hunting-ը ծրագրային կամ ապարատային արտադրանք չէ: Սրանք ազդանշաններ չեն, որոնք կարելի է տեսնել ինչ-որ լուծման մեջ: Սա ՄՕԿ-ի (Փոխզիջման նույնացուցիչներ) որոնման գործընթաց չէ: Եվ սա ինչ-որ պասիվ գործունեություն չէ, որը տեղի է ունենում առանց տեղեկատվական անվտանգության վերլուծաբանների մասնակցության։ Վտանգների որսը նախ և առաջ գործընթաց է:
Սպառնալիքների որսի բաղադրիչները
Վտանգների որսի երեք հիմնական բաղադրիչ՝ տվյալներ, տեխնոլոգիա, մարդիկ:
Տվյալներ (ինչ?), ներառյալ Big Data. Բոլոր տեսակի երթևեկության հոսքեր, տեղեկատվություն նախորդ APT-ների մասին, վերլուծություն, օգտատերերի գործունեության վերաբերյալ տվյալներ, ցանցային տվյալներ, աշխատակիցների տեղեկատվություն, darknet-ի մասին տեղեկատվություն և շատ ավելին:
Տեխնոլոգիաներ (ինչպես?) այս տվյալների մշակում - այս տվյալների մշակման բոլոր հնարավոր եղանակները, ներառյալ մեքենայական ուսուցումը:
Մարդիկ (ով?) – նրանք, ովքեր ունեն տարբեր հարձակումների վերլուծության մեծ փորձ, զարգացած ինտուիցիա և հարձակում հայտնաբերելու կարողություն: Սովորաբար սրանք տեղեկատվական անվտանգության վերլուծաբաններ են, ովքեր պետք է ունենան վարկածներ առաջացնելու և դրանց համար հաստատում գտնելու ունակություն: Նրանք գործընթացի հիմնական օղակն են:
Մոդել ՓԱՐԻԶ
Ադամ Բեյթման PARIS մոդելը իդեալական TH գործընթացի համար: Անունը ակնարկում է Ֆրանսիայի հայտնի տեսարժան վայրի մասին։ Այս մոդելը կարելի է դիտել երկու ուղղությամբ՝ վերևից և ներքևից:
Մինչ մենք մոդելի միջով վարում ենք ներքևից վեր, մենք կհանդիպենք վնասակար գործունեության բազմաթիվ ապացույցների: Յուրաքանչյուր ապացույց ունի մի միջոց, որը կոչվում է վստահություն. հատկանիշ, որն արտացոլում է այս ապացույցի կշիռը: Գոյություն ունի «երկաթ», վնասակար գործունեության ուղղակի ապացույց, ըստ որի մենք կարող ենք անմիջապես հասնել բուրգի գագաթին և իրական ահազանգ ստեղծել ճշգրիտ հայտնի վարակի մասին: Եվ կան անուղղակի ապացույցներ, որոնց գումարը նույնպես կարող է մեզ տանել դեպի բուրգի գագաթը։ Ինչպես միշտ, կան շատ ավելի շատ անուղղակի ապացույցներ, քան ուղղակի ապացույցները, ինչը նշանակում է, որ դրանք պետք է տեսակավորվեն և վերլուծվեն, պետք է լրացուցիչ հետազոտություններ իրականացվեն, և դա նպատակահարմար է ավտոմատացնել:
Մոդել ՓԱՐԻԶ.
Մոդելի վերին մասը (1 և 2) հիմնված է ավտոմատացման տեխնոլոգիաների և տարբեր վերլուծությունների վրա, իսկ ստորին մասը (3 և 4) հիմնված է որոշակի որակավորում ունեցող մարդկանց վրա, ովքեր ղեկավարում են գործընթացը: Դուք կարող եք դիտարկել մոդելը վերևից ներքև շարժվող, որտեղ կապույտ գույնի վերին մասում մենք ունենք անվտանգության ավանդական գործիքներից (հակավիրուսային, EDR, firewall, ստորագրություններ) զգուշացումներ՝ վստահության և վստահության բարձր աստիճանով, իսկ ստորև՝ ցուցիչներ ( ՄՕԿ, URL, MD5 և այլն), որոնք ունեն որոշակիության ավելի ցածր աստիճան և պահանջում են լրացուցիչ ուսումնասիրություն։ Իսկ ամենացածր ու հաստ մակարդակը (4) վարկածների առաջացումն է, ավանդական պաշտպանության միջոցների գործարկման նոր սցենարների ստեղծումը։ Այս մակարդակը չի սահմանափակվում միայն վարկածների նշված աղբյուրներով: Որքան ցածր է մակարդակը, այնքան ավելի շատ պահանջներ են դրվում վերլուծաբանի որակավորման վրա:
Շատ կարևոր է, որ վերլուծաբանները ոչ թե պարզապես փորձարկեն կանխորոշված վարկածների վերջավոր հավաքածուն, այլ անընդհատ աշխատեն ստեղծել նոր վարկածներ և դրանք փորձարկելու տարբերակներ:
TH Օգտագործման հասունության մոդել
Իդեալական աշխարհում TH-ն շարունակական գործընթաց է: Բայց քանի որ իդեալական աշխարհ չկա, եկեք վերլուծենք և մեթոդները՝ օգտագործվող մարդկանց, գործընթացների և տեխնոլոգիաների առումով: Դիտարկենք իդեալական գնդաձև TH-ի մոդելը: Այս տեխնոլոգիայի կիրառման 5 մակարդակ կա. Եկեք նայենք դրանց՝ օգտագործելով վերլուծաբանների մեկ թիմի էվոլյուցիայի օրինակը:
Հասունության մակարդակները
Մարդիկ
Գործընթացները
Տեխնոլոգիա
Level 0
SOC-ի վերլուծաբաններ
24/7
Ավանդական գործիքներ.
Ավանդական
Ծանուցումների հավաքածու
Պասիվ մոնիտորինգ
IDS, AV, Sandboxing,
Առանց Թ.Հ
Աշխատեք ազդանշանների հետ
Ստորագրության վերլուծության գործիքներ, սպառնալիքների հետախուզության տվյալներ:
Level 1
SOC-ի վերլուծաբաններ
Միանվագ Թ.Հ
EDR
Փորձարարական
Դատաբժշկական բազային գիտելիքներ
ՄՕԿ որոնում
Ցանցային սարքերից տվյալների մասնակի ծածկույթ
Փորձարկումներ Թ.Հ
Ցանցերի և հավելվածների լավ իմացություն
Մասնակի կիրառում
Level 2
Ժամանակավոր զբաղմունք
Sprints
EDR
Պարբերական
Միջին դատաբժշկական գիտելիքներ
Շաբաթից ամիս
Ամբողջական դիմում
Ժամանակավոր Թ.Հ
Ցանցերի և հավելվածների գերազանց իմացություն
Կանոնավոր Թ.Հ
EDR տվյալների օգտագործման ամբողջական ավտոմատացում
EDR-ի առաջադեմ հնարավորությունների մասնակի օգտագործումը
Level 3
Նվիրված TH հրաման
24/7
Հիպոթեզները ստուգելու մասնակի կարողություն Թ.Հ
Կանխարգելիչ
Դատաբժշկական և չարամիտ ծրագրերի գերազանց իմացություն
Կանխարգելիչ Թ.Հ
EDR-ի առաջադեմ հնարավորությունների ամբողջական օգտագործումը
Հատուկ դեպքեր Թ.Հ
Հարձակվող կողմի գերազանց իմացություն
Հատուկ դեպքեր Թ.Հ
Ցանցային սարքերից տվյալների ամբողջական ծածկույթ
Ձեր կարիքներին համապատասխան կոնֆիգուրացիա
Level 4
Նվիրված TH հրաման
24/7
TH վարկածները ստուգելու լիարժեք ունակություն
Առաջատար
Դատաբժշկական և չարամիտ ծրագրերի գերազանց իմացություն
Կանխարգելիչ Թ.Հ
Մակարդակ 3, գումարած.
Օգտագործելով TH
Հարձակվող կողմի գերազանց իմացություն
Հիպոթեզների փորձարկում, ավտոմատացում և ստուգում Թ.Հ
տվյալների աղբյուրների խիստ ինտեգրում;
Հետազոտության կարողություն
մշակում ըստ կարիքների և API-ի ոչ ստանդարտ օգտագործման:
TH հասունության մակարդակներն ըստ մարդկանց, գործընթացների և տեխնոլոգիաների
Մակարդակ 0: ավանդական, առանց ԹՀ-ի օգտագործման: Սովորական վերլուծաբաններն աշխատում են պասիվ մոնիտորինգի ռեժիմում ազդանշանների ստանդարտ փաթեթով՝ օգտագործելով ստանդարտ գործիքներ և տեխնոլոգիաներ՝ IDS, AV, sandbox, ստորագրությունների վերլուծության գործիքներ:
Մակարդակ 1: փորձարարական՝ օգտագործելով TH. Նույն վերլուծաբանները, ովքեր տիրապետում են դատաբժշկական գիտելիքների և ցանցերի և հավելվածների լավ իմացությանը, կարող են իրականացնել միանգամյա սպառնալիքների որս՝ փնտրելով փոխզիջման ցուցիչներ: Ցանցային սարքերի տվյալների մասնակի ծածկույթով գործիքներին ավելացվում են EDR-ներ: Գործիքները մասամբ օգտագործված են։
Մակարդակ 2: պարբերական, ժամանակավոր Թ.Հ. Նույն վերլուծաբանները, ովքեր արդեն կատարելագործել են իրենց գիտելիքները դատաբժշկական, ցանցերի և կիրառական մասի վերաբերյալ, պարտավոր են պարբերաբար զբաղվել սպառնալիքների որսով (սպրինտ), ասենք, ամիսը մեկ շաբաթ: Գործիքներն ավելացնում են ցանցային սարքերի տվյալների ամբողջական ուսումնասիրություն, EDR-ից տվյալների վերլուծության ավտոմատացում և առաջադեմ EDR հնարավորությունների մասնակի օգտագործում:
Մակարդակ 3: կանխարգելիչ, հաճախակի դեպքեր ԹՀ. Մեր վերլուծաբանները կազմավորվեցին նվիրված թիմի մեջ և սկսեցին գերազանց իմացություն ունենալ դատաբժշկական և չարամիտ ծրագրերի, ինչպես նաև հարձակվող կողմի մեթոդների և մարտավարության մասին: Գործընթացն արդեն իրականացվում է 24/7։ Թիմը ի վիճակի է մասնակիորեն փորձարկել TH վարկածները՝ միևնույն ժամանակ ամբողջությամբ օգտագործելով EDR-ի առաջադեմ հնարավորությունները՝ ցանցային սարքերի տվյալների ամբողջական ծածկույթով: Վերլուծաբանները կարող են նաև կարգավորել գործիքներն իրենց կարիքներին համապատասխան:
Մակարդակ 4: բարձրակարգ, օգտագործեք TH. Նույն թիմը ձեռք է բերել հետազոտելու ունակություն, TH վարկածների փորձարկման գործընթացը գեներացնելու և ավտոմատացնելու կարողություն։ Այժմ գործիքները համալրվել են տվյալների աղբյուրների սերտ ինտեգրմամբ, կարիքները բավարարելու համար ծրագրային ապահովման մշակմամբ և API-ների ոչ ստանդարտ կիրառմամբ:
Վտանգների որսի տեխնիկա
Վտանգների որսի հիմնական տեխնիկան
К TH-ն, ըստ օգտագործվող տեխնոլոգիայի հասունության, հետևյալն են՝ հիմնական որոնումը, վիճակագրական վերլուծությունը, վիզուալիզացիայի տեխնիկան, պարզ ագրեգացիաները, մեքենայական ուսուցումը և Բայեսյան մեթոդները:
Ամենապարզ մեթոդը՝ հիմնական որոնումը, օգտագործվում է հետազոտության տարածքը նեղացնելու համար՝ օգտագործելով հատուկ հարցումներ: Վիճակագրական վերլուծությունը օգտագործվում է, օրինակ, տիպիկ օգտագործողի կամ ցանցային գործունեության կառուցման համար՝ վիճակագրական մոդելի տեսքով: Վիզուալիզացիայի տեխնիկան օգտագործվում է գրաֆիկների և գծապատկերների տեսքով տվյալների վերլուծությունը տեսողականորեն ցուցադրելու և պարզեցնելու համար, ինչը շատ ավելի հեշտ է դարձնում նմուշների տարբերակումը: Հիմնական դաշտերի պարզ ագրեգացիաների տեխնիկան օգտագործվում է որոնման և վերլուծության օպտիմալացման համար: Որքան ավելի հասուն է դառնում կազմակերպության TH գործընթացը, այնքան ավելի տեղին է դառնում մեքենայական ուսուցման ալգորիթմների օգտագործումը: Դրանք նաև լայնորեն օգտագործվում են սպամի զտման, վնասակար թրաֆիկի հայտնաբերման և խարդախ գործողությունների հայտնաբերման համար: Մեքենայի ուսուցման ալգորիթմի ավելի առաջադեմ տեսակը Բայեսյան մեթոդներն են, որոնք թույլ են տալիս դասակարգել, ընտրանքի չափի կրճատում և թեմայի մոդելավորում:
Diamond Model and TH Strategies
Սերխիո Կալտագիրոնը, Էնդրյու Պենդեգասը և Քրիստոֆեր Բեթսը իրենց աշխատանքում»» ցույց տվեց ցանկացած վնասակար գործունեության հիմնական հիմնական բաղադրիչները և դրանց միջև հիմնական կապը:
Ադամանդի մոդել վնասակար գործունեության համար
Այս մոդելի համաձայն՝ գոյություն ունեն սպառնալիքների որսի 4 ռազմավարություն, որոնք հիմնված են համապատասխան հիմնական բաղադրիչների վրա։
1. Զոհին ուղղված ռազմավարություն. Ենթադրում ենք, որ տուժողը հակառակորդներ ունի, և նրանք էլփոստով «հնարավորություններ» կտան։ Փոստով փնտրում ենք թշնամու տվյալներ։ Որոնեք հղումներ, հավելվածներ և այլն: Մենք փնտրում ենք այս վարկածի հաստատումը որոշակի ժամանակահատվածում (մեկ ամիս, երկու շաբաթ), եթե չենք գտնում, ապա վարկածը չի գործում։
2. Ենթակառուցվածքին ուղղված ռազմավարություն. Այս ռազմավարությունն օգտագործելու մի քանի եղանակ կա. Կախված հասանելիությունից և տեսանելիությունից, ոմանք ավելի հեշտ են, քան մյուսները: Օրինակ, մենք վերահսկում ենք տիրույթի անունների սերվերները, որոնք հայտնի են որպես վնասակար տիրույթներ: Կամ մենք անցնում ենք հակառակորդի կողմից օգտագործվող բոլոր նոր տիրույթի անունների գրանցումների մոնիտորինգի գործընթացին:
3. Կարողությունների վրա հիմնված ռազմավարություն. Ցանցի պաշտպաններից շատերի կողմից օգտագործվող զոհերի վրա կենտրոնացած ռազմավարությունից բացի, կա հնարավորությունների վրա կենտրոնացած ռազմավարություն: Այն երկրորդ ամենատարածվածն է և կենտրոնանում է հակառակորդի հնարավորությունների հայտնաբերման վրա, մասնավորապես, «չարամիտ» և հակառակորդի կարողության՝ օգտագործելու օրինական գործիքներ, ինչպիսիք են psexec, powershell, certutil և այլն:
4. Հակառակորդին ուղղված ռազմավարություն. Հակառակորդակենտրոն մոտեցումը կենտրոնանում է հենց հակառակորդի վրա: Սա ներառում է բաց տեղեկատվության օգտագործումը հանրությանը հասանելի աղբյուրներից (OSINT), հակառակորդի, նրա տեխնիկայի և մեթոդների (TTP) մասին տվյալների հավաքագրում, նախորդ միջադեպերի վերլուծություն, սպառնալիքների հետախուզության տվյալներ և այլն:
Տեղեկատվության աղբյուրները և վարկածները Թ.Հ
Վտանգների որսի համար տեղեկատվության որոշ աղբյուրներ
Տեղեկատվության բազմաթիվ աղբյուրներ կարող են լինել։ Իդեալական վերլուծաբանը պետք է կարողանա տեղեկատվություն կորզել այն ամենից, ինչ շուրջը կա: Գրեթե ցանկացած ենթակառուցվածքի տիպիկ աղբյուրները կլինեն անվտանգության գործիքների տվյալները՝ DLP, SIEM, IDS/IPS, WAF/FW, EDR: Նաև տեղեկատվության բնորոշ աղբյուրները կլինեն փոխզիջման տարբեր ցուցիչներ, սպառնալիքների հետախուզական ծառայություններ, CERT և OSINT տվյալները: Բացի այդ, դուք կարող եք օգտագործել տեղեկատվություն darknet-ից (օրինակ, հանկարծ հրաման է արձակվել կոտրել կազմակերպության ղեկավարի փոստարկղը, կամ ցանցային ինժեների պաշտոնի թեկնածուն ենթարկվել է իր գործունեության համար), ստացված տեղեկատվությունը. HR (թեկնածուի ակնարկներ նախորդ աշխատանքի վայրից), տեղեկատվություն անվտանգության ծառայությունից (օրինակ, կոնտրագենտի ստուգման արդյունքները):
Բայց բոլոր առկա աղբյուրներն օգտագործելուց առաջ անհրաժեշտ է ունենալ առնվազն մեկ վարկած։
Վարկածները ստուգելու համար նախ պետք է դրանք առաջ քաշել։ Իսկ շատ որակյալ վարկածներ առաջ քաշելու համար անհրաժեշտ է համակարգված մոտեցում կիրառել։ Հիպոթեզների ստեղծման գործընթացը ավելի մանրամասն նկարագրված է, շատ հարմար է այս սխեման հիմք ընդունել վարկածներ առաջ քաշելու գործընթացի համար։
Վարկածների հիմնական աղբյուրը կլինի ATT&CK մատրիցա (Հակառակորդի մարտավարություն, տեխնիկա և ընդհանուր գիտելիքներ): Այն, ըստ էության, գիտելիքի բազա է և մոդել՝ գնահատելու հարձակվողների վարքագիծը, ովքեր իրականացնում են իրենց գործունեությունը հարձակման վերջին քայլերում, որը սովորաբար նկարագրվում է «Kill Chain» հասկացության միջոցով: Այսինքն, այն փուլերում, երբ հարձակվողը ներթափանցել է ձեռնարկության ներքին ցանց կամ շարժական սարք: Գիտելիքների բազան ի սկզբանե ներառում էր հարձակման ժամանակ օգտագործվող 121 մարտավարության և տեխնիկայի նկարագրություններ, որոնցից յուրաքանչյուրը մանրամասն նկարագրված է Վիքի ձևաչափով։ Տարբեր սպառնալիքների հետախուզական վերլուծություններ լավ են պիտանի որպես վարկածներ ստեղծելու աղբյուր: Հատկապես ուշագրավ են ենթակառուցվածքի վերլուծության և ներթափանցման թեստերի արդյունքները. սա ամենաարժեքավոր տվյալն է, որը կարող է մեզ երկաթե վարկածներ տալ, քանի որ դրանք հիմնված են կոնկրետ ենթակառուցվածքի վրա՝ իր հատուկ թերություններով:
Վարկածների փորձարկման գործընթացը
Սերգեյ Սոլդատովը բերեց գործընթացի մանրամասն նկարագրությամբ այն ցույց է տալիս TH վարկածների փորձարկման գործընթացը մեկ համակարգում: Հակիրճ նկարագրությամբ կնշեմ հիմնական փուլերը։
Փուլ 1. ԹԻ ֆերմա
Այս փուլում անհրաժեշտ է առանձնացնել առարկաներ (վերլուծելով դրանք բոլոր սպառնալիքների տվյալների հետ միասին) և դրանց բնութագրերի համար պիտակներ հատկացնելով: Սրանք են ֆայլը, URL-ը, MD5-ը, պրոցեսը, օգտակարությունը, իրադարձությունը: Դրանք Threat Intelligence համակարգերով անցնելիս անհրաժեշտ է կցել պիտակներ։ Այսինքն, այս կայքը այսինչ տարում նկատվել է CNC-ում, այս MD5-ը կապված է եղել այսինչ չարամիտ ծրագրի հետ, այս MD5-ը ներբեռնվել է չարամիտ ծրագրեր տարածող կայքից:
Փուլ 2. դեպքեր
Երկրորդ փուլում մենք դիտարկում ենք այս օբյեկտների փոխազդեցությունը և բացահայտում ենք այս բոլոր օբյեկտների միջև փոխհարաբերությունները: Մենք ստանում ենք նշաններ, որոնք վատ բան են անում:
Փուլ 3. Վերլուծաբան
Երրորդ փուլում գործը փոխանցվում է փորձառու վերլուծաբանին, որն ունի վերլուծության մեծ փորձ, և նա կայացնում է դատավճիռ։ Նա վերլուծում է մինչև բայթեր, թե ինչ, որտեղ, ինչպես, ինչու և ինչու է անում այս կոդը: Այս մարմինը չարամիտ ծրագիր էր, այս համակարգիչը վարակված էր: Բացահայտում է առարկաների միջև կապը, ստուգում է ավազատուփով վազելու արդյունքները:
Վերլուծաբանի աշխատանքի արդյունքները փոխանցվում են հետագա։ Digital Forensics-ն ուսումնասիրում է պատկերները, չարամիտ ծրագրերի վերլուծությունը՝ հայտնաբերված «մարմինները», և միջադեպերի արձագանքման թիմը կարող է գնալ կայք և հետաքննել ինչ-որ բան արդեն այնտեղ: Աշխատանքի արդյունքը կլինի հաստատված վարկածը, բացահայտված հարձակումը և դրան հակազդելու ուղիները:
Արդյունքները
Threat Hunting-ը բավականին երիտասարդ տեխնոլոգիա է, որը կարող է արդյունավետորեն դիմակայել հարմարեցված, նոր և ոչ ստանդարտ սպառնալիքներին, որը մեծ հեռանկարներ ունի՝ հաշվի առնելով նման սպառնալիքների աճող թիվը և կորպորատիվ ենթակառուցվածքի բարդությունը: Այն պահանջում է երեք բաղադրիչ՝ տվյալներ, գործիքներ և վերլուծաբաններ։ Վտանգների որսի առավելությունները չեն սահմանափակվում միայն սպառնալիքների իրականացման կանխարգելմամբ: Մի մոռացեք, որ որոնման գործընթացում մենք սուզվում ենք մեր ենթակառուցվածքի և դրա թույլ կողմերի մեջ՝ անվտանգության վերլուծաբանի աչքերով և կարող ենք ավելի ամրապնդել այդ կետերը:
Առաջին քայլերը, որոնք, մեր կարծիքով, պետք է ձեռնարկվեն ձեր կազմակերպությունում TH գործընթացը սկսելու համար:
- Հոգ տանել վերջնակետերի և ցանցային ենթակառուցվածքների պաշտպանության մասին: Հոգ տանել ձեր ցանցի բոլոր գործընթացների տեսանելիության մասին (NetFlow) և վերահսկել (firewall, IDS, IPS, DLP): Իմացեք ձեր ցանցը ծայրամասային երթուղիչից մինչև վերջին հոսթ:
- Ուսումնասիրել.
- Պարբերաբար անցկացնել առնվազն առանցքային արտաքին ռեսուրսների փորձարկումներ, վերլուծել դրա արդյունքները, բացահայտել հարձակման հիմնական թիրախները և փակել դրանց խոցելիությունը:
- Ներդրեք բաց կոդով սպառնալիքների հետախուզական համակարգ (օրինակ՝ MISP, Yeti) և վերլուծեք տեղեկամատյանները դրա հետ միասին:
- Իրականացնել միջադեպերի արձագանքման հարթակ (IRP)՝ R-Vision IRP, The Hive, ավազատուփ՝ կասկածելի ֆայլերի վերլուծության համար (FortiSandbox, Cuckoo):
- Ավտոմատացրեք սովորական գործընթացները: Գրանցամատյանների վերլուծությունը, միջադեպերի գրանցումը, անձնակազմի իրազեկումը հսկայական դաշտ է ավտոմատացման համար։
- Սովորեք արդյունավետ կերպով համագործակցել ինժեներների, մշակողների և տեխնիկական աջակցության հետ՝ միջադեպերի ժամանակ համագործակցելու համար:
- Փաստաթղթավորեք ամբողջ գործընթացը, հիմնական կետերը, ձեռք բերված արդյունքները, որպեսզի հետագայում վերադառնանք դրանց կամ կիսվեք այս տվյալները գործընկերների հետ.
- Եղեք սոցիալական. տեղյակ եղեք, թե ինչ է կատարվում ձեր աշխատակիցների հետ, ում եք վարձում և ում եք թույլ տալիս մուտք գործել կազմակերպության տեղեկատվական ռեսուրսներ:
- Հետևեք նոր սպառնալիքների և պաշտպանության մեթոդների ոլորտում առկա միտումներին, բարձրացրեք ձեր տեխնիկական գրագիտության մակարդակը (ներառյալ ՏՏ ծառայությունների և ենթահամակարգերի գործարկումը), մասնակցեք կոնֆերանսների և շփվեք գործընկերների հետ:
Պատրաստ է քննարկել TH գործընթացի կազմակերպումը մեկնաբանություններում։
Կամ արի աշխատիր մեզ հետ։
Ուսումնասիրության աղբյուրներ և նյութեր
Source: www.habr.com