A maara 95% nke ihe iyi egwu nchekwa ozi, ma ị nwere ike ichekwa onwe gị na ha site na iji ụzọ ọdịnala dịka antiviruses, firewalls, IDS, WAF. Ihe fọrọ nke nta ka ọ bụrụ 5% nke egwu egwu amaghị na nke kachasị dị ize ndụ. Ha mejupụtara 70% nke ihe ize ndụ maka ụlọ ọrụ n'ihi na ọ na-esiri ike ịchọpụta ha, ọ na-erughịkwa ichebe ha. Ihe atụ bụ WannaCry ransomware ọrịa, NotPetya / ExPetr, cryptominers, na "cyber ngwá agha" Stuxnet (nke kụrụ Iran si nuklia akụrụngwa) na ọtụtụ (onye ọ bụla ọzọ na-echeta Kido / Conficker?) Mwakpo ndị ọzọ na-adịghị nke ọma agbachitere megide oge gboo nche usoro. Anyị chọrọ ikwu maka otu esi egbochi 5% nke iyi egwu site na iji teknụzụ ịchụ nta egwu.
Mgbanwe na-aga n'ihu nke mwakpo cyber na-achọ nchọpụta mgbe niile na usoro mgbochi, nke na-emecha mee ka anyị chee echiche banyere agbụrụ ogwe aka na-adịghị agwụ agwụ n'etiti ndị na-awakpo na ndị na-agbachitere. Usoro nchekwa oge gboo enwekwaghị ike ịnye ọkwa nchekwa a na-anabata nke ọma nke ọkwa nke ihe egwu anaghị emetụta ihe ngosi isi ụlọ ọrụ (akụ na ụba, ndọrọ ndọrọ ọchịchị, aha) na-enweghị ịgbanwe ha maka akụrụngwa akọwapụtara, mana n'ozuzu ha na-ekpuchi ụfọdụ n'ime ihe ize ndụ. Ugbua na usoro mmejuputa na nhazi, usoro nchekwa nke oge a na-ahụ onwe ha na ọrụ nke ijide ma ga-azaghachi ihe ịma aka nke oge ọhụrụ.
Teknụzụ ịchụ nta egwu egwu nwere ike ịbụ otu azịza nye ihe ịma aka nke oge anyị maka ọkachamara nchekwa ozi. Okwu ịchụ nta egwu (nke a na-akpọ TH) pụtara ọtụtụ afọ gara aga. Teknụzụ n'onwe ya na-atọ ụtọ nke ukwuu, mana enwebeghị ụkpụrụ na iwu niile anabatara. Okwu a na-agbagwojukwa anya site n'iche dị iche iche nke isi ihe ọmụma na ọnụ ọgụgụ dị nta nke isi ihe ọmụma nke asụsụ Russian na isiokwu a. N'akụkụ a, anyị na LANIT-Integration kpebiri ide nyocha nke teknụzụ a.
Ihe dị mkpa
Teknụzụ TH dabere na usoro nlekota akụrụngwa.. Nleba anya (dị ka ọrụ MSSP) bụ usoro ọdịnala nke ịchọ mbinye aka na akara mbuso agha na ịzaghachi ha. A na-eme ihe ngosi a nke ọma site na ngwa nchekwa mbinye aka ọdịnala. Ịchụ nta (ụdị ọrụ MDR) bụ usoro nleba anya na-aza ajụjụ a "Olee ebe mbinye aka na iwu si abịa?" Ọ bụ usoro nke ịmepụta iwu mmekọrịta site na nyochaa ihe ngosi zoro ezo ma ọ bụ nke amabeghị na mbụ na akara nke mbuso agha. Ịchụ nta egwu na-ezo aka n'ụdị nlele a.
Naanị site na ijikọta ụdị nlele abụọ ahụ ka anyị na-enweta nchebe nke dị nso na nke ọma, ma enwere ọkwa ụfọdụ nke ihe ize ndụ.
Nchedo site na iji ụdị nlele abụọ
Ma nke a bụ ihe kpatara TH (na ịchụ nta n'ozuzu ya!) ga-adịwanye mkpa:
Egwu, ọgwụgwọ, ihe egwu.
. Ndị a gụnyere ụdị dị ka spam, DDoS, nje, rootkits na malware ndị ọzọ kpochapụrụ. Ị nwere ike ichekwa onwe gị pụọ na ihe iyi egwu ndị a site na iji otu usoro nchekwa kpochapụwo.
N'oge mmejuputa oru ngo ọ bụla, na 20% fọdụrụnụ nke ọrụ na-ewe 80% nke oge. N'otu aka ahụ, n'ofe mpaghara iyi egwu niile, 5% nke egwu ọhụrụ ga-aza 70% nke ihe ize ndụ nke ụlọ ọrụ. N'ime ụlọ ọrụ ebe a na-ahazi usoro nlekọta nchekwa ozi, anyị nwere ike ijikwa 30% nke ihe ize ndụ nke mmejuputa egwu egwu a ma ama n'otu ụzọ ma ọ bụ ọzọ site n'izere (ọjụjụ nke netwọk ikuku na ụkpụrụ), ịnakwere (imejuputa usoro nchebe dị mkpa) ma ọ bụ mgbanwe. (dịka ọmụmaatụ, n'elu ubu nke onye ntinye) ihe ize ndụ a. Chebe onwe gị pụọ na, Mwakpo APT, phishing,, cyber nledo na ọrụ mba, yana ọnụ ọgụgụ buru ibu nke ọgụ ndị ọzọ adịlarị sie ike karị. Nsonaazụ nke 5% nke iyi egwu ga-akawanye njọ () karịa nsonaazụ nke spam ma ọ bụ nje, nke software antivirus na-echekwa.
Ihe fọrọ nke nta ka ọ bụrụ onye ọ bụla ga-emeri 5% nke egwu egwu. N'oge na-adịbeghị anya, anyị ga-etinye ihe ngwọta mepere emepe nke na-eji ngwa sitere na ebe nchekwa PEAR (PHP Extension and Application Repository). Mgbalị ịwụnye ngwa a site na nrụnye ube dara n'ihi na adịghị adị (ugbu a enwere stub na ya), ekwesịrị m ịwụnye ya na GitHub. N'oge na-adịbeghị anya, ọ bịara bụrụ na PEAR ghọrọ onye a tara ahụhụ.
Ị ka nwere ike icheta, ntiwapụ nke NePetya ransomware site na modul mmelite maka mmemme mkpesa ụtụ. Egwu na-aghọwanye ọkaibe, ajụjụ ezi uche na-ebilite - "Olee otu anyị ga-esi guzogide ihe egwu 5% ndị a?"
Nkọwa nke ịchụ nta egwu
Yabụ, ịchụ nta egwu egwu bụ usoro nchọta na ịchọpụta ihe egwu dị elu nke ngwa nchekwa ọdịnala enweghị ike ịchọpụta. Ihe iyi egwu dị elu gụnyere, dịka ọmụmaatụ, mbuso agha dị ka APT, mwakpo na adịghị ike ụbọchị 0, Ibi n'ala, na ihe ndị ọzọ.
Anyị nwekwara ike ikwugharị na TH bụ usoro nke nnwale hypotheses. Nke a bụ predominantly ntuziaka usoro na ọcha akpaaka, nke onye nyocha, na-adabere na ya ihe ọmụma na nkà, sifts site nnukwu mpịakọta nke ozi na search nke ihe ịrịba ama nke ikwekọrịta na kwekọrọ ná mmalite kpebisiri ike hypothesis banyere ọnụnọ nke a ụfọdụ iyi egwu. Ihe dị iche iche ya bụ ụdị ozi dị iche iche.
Ekwesiri ighota na ichu nta egwu abughi udi ngwa ngwa ma obu ngwaike. Ndị a abụghị ọkwa ọkwa nke enwere ike ịhụ na ngwọta ụfọdụ. Nke a abụghị usoro nchọta IOC (Identifiers of Compromise). Na nke a abụghị ụfọdụ ụdị ọrụ na-agafe agafe na-eme na-enweghị ntinye nke ndị nyocha nchekwa ozi. Ịchụ nta egwu bụ nke mbụ usoro.
Akụkụ nke ịchụ nta egwu
Akụkụ atọ bụ isi nke ịchụ nta egwu: data, teknụzụ, ndị mmadụ.
Data (Kedu?), gụnyere Big Data. Ụdị okporo ụzọ niile, ozi gbasara APT gara aga, nyocha, data gbasara ọrụ onye ọrụ, data netwọkụ, ozi sitere n'aka ndị ọrụ, ozi na darknet na ọtụtụ ndị ọzọ.
Teknụzụ (kedu?) nhazi data a - ụzọ niile enwere ike isi hazie data a, gụnyere mmụta igwe.
Ndị mmadụ (onye?) - ndị nwere ahụmahụ dị ukwuu n'ịtụle ọgụ dị iche iche, zụlite echiche na ikike ịchọpụta ọgụ. Ndị a bụ ndị nyocha nchekwa ozi ga-enwerịrị ike iwepụta echiche wee chọta nkwenye maka ha. Ha bụ isi njikọ na usoro.
Ụdị PARIS
Adam Bateman Ụdị PARIS maka usoro TH kacha mma. Aha ahụ na-ezo aka n'ama ama ama na France. Enwere ike ilele ihe nlereanya a n'akụkụ abụọ - site n'elu na site n'okpuru.
Ka anyị na-arụ ọrụ anyị site na ihe nlereanya site na ala, anyị ga-ezute ọtụtụ ihe àmà nke omume ọjọọ. Ibe ihe akaebe ọ bụla nwere ihe a na-akpọ ntụkwasị obi - njirimara nke gosipụtara ịdị arọ nke ihe akaebe a. Enwere “ígwè”, ihe àmà kpọmkwem nke omume ọjọọ, dị ka nke anyị nwere ike iru n'elu pyramid ozugbo wee mepụta njikere n'ezie banyere ọrịa a maara nke ọma. Na e nwere ihe àmà na-apụtaghị ìhè, nchikota nke nwekwara ike iduga anyị n'elu pyramid ahụ. Dị ka mgbe niile, enwere ọtụtụ ihe akaebe na-apụtaghị ìhè karịa ihe akaebe doro anya, nke pụtara na ọ dị mkpa ka ahazi ha na nyocha ya, a ga-emerịrị nyocha ọzọ, ọ dịkwa mma ịmegharị nke a.
Ụdị PARIS.
Akụkụ elu nke ihe nlereanya (1 na 2) dabeere na teknụzụ akpaaka na nyocha dị iche iche, na akụkụ ala (3 na 4) dabere na ndị nwere ụfọdụ iru eru na-achịkwa usoro ahụ. Ị nwere ike ịtụle ihe nlereanya ahụ na-esi n'elu gaa na ala, ebe n'akụkụ elu nke agba anụnụ anụnụ anyị nwere ọkwa sitere na ngwá ọrụ nchebe omenala (antivirus, EDR, firewall, signatures) na nnukwu ntụkwasị obi na ntụkwasị obi, na n'okpuru ebe a bụ ihe ngosi ( IOC, URL, MD5 na ndị ọzọ), nke nwere nrịbama dị ala ma chọọ ọmụmụ ihe ọzọ. Na ọkwa kachasị ala na nke kachasị (4) bụ ọgbọ nke hypotheses, ịmepụta ọnọdụ ọhụrụ maka ọrụ nke ụzọ nchebe omenala. Ọ bụghị naanị na isi mmalite nke hypotheses ka akọwapụtara ọkwa a. Na ọkwa dị ala, a na-etinyekwu ihe achọrọ na ntozu onye nyocha.
Ọ dị ezigbo mkpa na ndị nyocha anaghị anwale naanị njedebe nke echiche ndị eburu ụzọ kpebie, kama na-arụ ọrụ mgbe niile iji mepụta echiche ọhụrụ na nhọrọ maka ịnwale ha.
Ụdị ntozu oke ojiji nke TH
N'ime ụwa zuru oke, TH bụ usoro na-aga n'ihu. Ma, ebe ọ bụ na ọ dịghị ezigbo ụwa, ka anyị nyochaa na usoro n'ihe gbasara ndị mmadụ, usoro na teknụzụ ejiri. Ka anyị tụlee ihe atụ nke ezigbo okirikiri TH. Enwere ọkwa 5 nke iji teknụzụ a. Ka anyị lee ha anya site n'iji ihe atụ nke evolushọn nke otu ndị nyocha.
Ọkwa ntozu okè
ndị mmadụ
Nhazi
nke technology
Ọkwa 0
Ndị nyocha SOC
24/7
Ngwa ọdịnala:
Omenala
Nhazi ọkwa
Nleba anya na-agafe agafe
IDS, AV, Sandboxing,
Enweghị TH
Na-arụ ọrụ na alerts
Ngwa nyocha mbinye aka, data ọgụgụ isi iyi egwu.
Ọkwa 1
Ndị nyocha SOC
Otu oge TH
BDU
Nnwale
Ihe ọmụma bụ isi nke forensics
IOC achọ
Mkpuchi data sitere na ngwaọrụ netwọk
Nnwale na TH
Ezi ihe ọmụma nke netwọk na ngwa
Ngwa akụkụ
Ọkwa 2
Ọrụ nwa oge
Sprints
BDU
Nke oge
Nkezi ihe ọmụma nke forensics
Izu ụka ruo ọnwa
Ngwa zuru ezu
Nwa oge TH
Ọmụma kacha mma nke netwọkụ na ngwa
TH oge niile
Akpaaka zuru oke nke ojiji data EDR
Iji obere ikike EDR eme ihe
Ọkwa 3
Iwu TH raara onwe ya nye
24/7
Ikike nke obere iji nwalee hypotheses TH
Mgbochi
Ezigbo ihe ọmụma nke forensics na malware
Mgbochi TH
Ojiji zuru oke nke ike EDR dị elu
Okwu pụrụ iche TH
Ezigbo ihe ọmụma nke akụkụ ọgụ
Okwu pụrụ iche TH
Mkpuchi data sitere na ngwaọrụ netwọkụ zuru oke
Nhazi nke dabara na mkpa gị
Ọkwa 4
Iwu TH raara onwe ya nye
24/7
Ikike zuru oke iji nwalee echiche TH
Na-edu
Ezigbo ihe ọmụma nke forensics na malware
Mgbochi TH
Ọkwa 3, gbakwunyere:
Iji TH
Ezigbo ihe ọmụma nke akụkụ ọgụ
Nnwale, akpaaka na nkwenye nke hypotheses TH
njikọ siri ike nke isi mmalite data;
Ikike nyocha
mmepe dabere na mkpa yana ojiji API na-abụghị ọkọlọtọ.
TH ntozu oke site na ndị mmadụ, usoro na teknụzụ
Ọkwa 0: omenala, na-ejighị TH. Ndị nyocha oge niile na-arụ ọrụ na ọkwa ọkwa ọkwa na ọnọdụ nleba anya na-agafe agafe na-eji ngwaọrụ na teknụzụ ọkọlọtọ: IDS, AV, sandbox, ngwaọrụ nyocha mbinye aka.
Ọkwa 1: nnwale, na-eji TH. Otu ndị nyocha ahụ nwere ihe ọmụma bụ isi nke forensics na ezigbo ihe ọmụma nke netwọkụ na ngwa nwere ike ịme ịchụ nta egwu otu oge site na ịchọ ihe ngosi nke nkwekọrịta. A na-agbakwunye EDR na ngwaọrụ ndị nwere akụkụ mkpuchi data sitere na ngwaọrụ netwọkụ. A na-eji akụkụ ụfọdụ eme ihe.
Ọkwa 2: oge, nwa oge TH. Otu ndị nyocha nke kwalitegoro ihe ọmụma ha na forensics, netwọkụ na akụkụ ngwa ka achọrọ ka ha na-etinye aka na ịchụ nta egwu (sprint), sị, otu izu n'ọnwa. Ngwa ndị ahụ na-agbakwunye nyocha zuru ezu nke data sitere na ngwaọrụ netwọkụ, akpaaka nke nyocha data sitere na EDR, na iji obere ikike EDR eme ihe.
Ọkwa 3: mgbochi, ugboro ugboro nke TH. Ndị nyocha anyị haziri onwe ha ka ha bụrụ ndị otu raara onwe ha nye wee malite inwe ezigbo ihe ọmụma banyere forensics na malware, yana ihe ọmụma nke ụzọ na usoro nke akụkụ ọgụ. Emeelarị usoro a 24/7. Ndị otu ahụ nwere ike ịnwale ụfọdụ echiche TH ka ha na-eji ike zuru oke nke EDR na-ekpuchi data sitere na ngwaọrụ netwọkụ. Ndị nyocha na-enwekwa ike ịhazi ngwaọrụ iji gboo mkpa ha.
Ọkwa 4: elu-ọgwụgwụ, jiri TH. Otu otu ahụ nwetara ikike nyocha, ikike imepụta na megharịa usoro nnwale TH hypotheses. Ugbu a agbakwunyere ngwaọrụ ndị ahụ site na ijikọ isi mmalite data, mmepe ngwanrọ iji gboo mkpa, yana ojiji API na-abụghị ọkọlọtọ.
Usoro ịchụ nta egwu
Usoro ịchụ nta ihe iyi egwu
К TH, n'usoro ntozu nke teknụzụ ejiri mee ihe, bụ: ọchụchọ bụ isi, nyocha ọnụ ọgụgụ, usoro nhụta anya, nchịkọta dị mfe, mmụta igwe, na ụzọ Bayesian.
A na-eji usoro kachasị mfe, nyocha bụ isi, iji wedata mpaghara nyocha site na iji ajụjụ akọwapụtara. A na-eji nyocha ndekọ ọnụ ọgụgụ, dịka ọmụmaatụ, iji wuo onye ọrụ ma ọ bụ ọrụ netwọk n'ụdị nlere ọnụ ọgụgụ. A na-eji usoro nlegharị anya iji gosipụta anya na ime ka nyocha nke data dị n'ụdị eserese na chaatị dị mfe, nke na-eme ka ọ dịkwuo mfe ịghọta ụkpụrụ na nlele. A na-eji usoro nchịkọta dị mfe site na mpaghara igodo iji kwalite ọchụchọ na nyocha. Ka usoro TH nke ụlọ ọrụ tozuru oke na-eru, ka ojiji nke mmụta igwe na-adịkwa mkpa. A na-ejikwa ha eme ihe n'ọtụtụ ebe na nzacha spam, ịchọpụta okporo ụzọ ọjọọ na ịchọpụta ihe omume aghụghọ. Ụdị mmụta igwe dị elu karịa algọridim bụ ụzọ Bayesian, nke na-enye ohere maka nhazi ọkwa, mbelata nha nha, na nhazi isiokwu.
Ụdị diamond na TH Strategies
Sergio Caltagiron, Andrew Pendegast na Christopher Betz na ọrụ ha "»gosipụtara isi akụkụ nke omume ọjọọ ọ bụla yana njikọ bụ isi n'etiti ha.
Ụdị diamond maka omume ọjọọ
Dị ka ihe nlereanya a si dị, e nwere 4 atụmatụ ịchụ nta egwu, nke dabere na isi ihe ndị kwekọrọ.
1. Atụmatụ metụtara ndị ihe metụtara. Anyị na-eche na onye ahụ a tara ahụhụ nwere ndị mmegide na ha ga-ebuga "ohere" site na email. Anyị na-achọ data ndị iro na mail. Chọọ njikọ, mgbakwunye, wdg. Anyị na-achọ nkwenye nke nkwupụta a ruo oge ụfọdụ (otu ọnwa, izu abụọ); ọ bụrụ na anyị achọtaghị ya, mgbe ahụ, echiche ahụ adịghị arụ ọrụ.
2. Atụmatụ gbasara akụrụngwa. Enwere ụzọ dị iche iche maka iji atụmatụ a. Dabere na ịnweta na visibiliti, ụfọdụ dị mfe karịa ndị ọzọ. Dịka ọmụmaatụ, anyị na-enyocha ihe nkesa aha ngalaba mara na ha na-akwado ngalaba ọjọọ. Ma ọ bụ anyị na-aga site na usoro nke nlekota niile ọhụrụ ngalaba aha registrations maka a maara ụkpụrụ nke onye iro na-eji.
3. Atụmatụ nke ike na-achị. Na mgbakwunye na atụmatụ gbadoro anya nke onye ọchụnta ego ji ọtụtụ ndị na-agbachitere netwọkụ na-eji, enwere atụmatụ gbadoro anya ohere. Ọ bụ nke abụọ kachasị ewu ewu ma na-elekwasị anya n'ịchọpụta ike sitere n'aka onye iro, ya bụ "malware" na ikike nke onye iro iji ngwaọrụ ziri ezi dị ka psexec, powershell, certutil na ndị ọzọ.
4. Atụmatụ nke ndị iro. Ụzọ nke onye mmegide na-elekwasị anya na onye iro n'onwe ya. Nke a gụnyere iji ozi mepere emepe sitere na isi mmalite ọha (OSINT), nchịkọta data gbasara onye iro, usoro ya na ụzọ ya (TTP), nyocha nke ihe mere n'oge gara aga, data ọgụgụ isi iyi egwu, wdg.
Isi mmalite nke ozi na hypotheses na TH
Ụfọdụ isi mmalite ozi maka ịchụ nta egwu
Enwere ike inwe ọtụtụ isi mmalite nke ozi. Onye nyocha dị mma kwesịrị inwe ike wepụta ozi sitere na ihe niile dị gburugburu. Isi mmalite na ihe fọrọ nke nta ka ọ bụrụ akụrụngwa ọ bụla ga-abụ data sitere na ngwaọrụ nchekwa: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Ọzọkwa, isi mmalite nke ozi ga-abụ ihe ngosi dị iche iche nke nkwekọrịta, ọrụ ọgụgụ isi iyi egwu, data CERT na OSINT. Na mgbakwunye, ị nwere ike iji ozi sitere na darknet (dịka ọmụmaatụ, na mberede enwere iwu ka ịwapụ igbe ozi nke onye isi otu nzukọ, ma ọ bụ onye na-achọ ọkwa nke injinia netwọkụ ekpughere maka ọrụ ya), ozi enwetara site na. HR (nyocha nke onye nyocha site na ebe ọrụ gara aga), ozi sitere na ọrụ nchekwa (dịka ọmụmaatụ, nsonaazụ nke nkwenye nke onye mmekọ).
Mana tupu iji isi mmalite niile dị, ọ dị mkpa ịnwe opekata mpe otu echiche.
Iji nwalee hypotheses, a ga-ebu ụzọ tinye ha n'ihu. Na iji wepụta ọtụtụ echiche dị elu, ọ dị mkpa itinye usoro nhazi usoro. A kọwara usoro nke imepụta hypotheses n'ụzọ zuru ezu na, ọ dị ezigbo mma iwere atụmatụ a dị ka ihe ndabere maka usoro nke itinye echiche.
Isi iyi nke hypotheses ga-abụ ATT&CK matrix (Usoro mmegide, usoro na ihe ọmụma nkịtị). Ọ bụ, n'ezie, ntọala ihe ọmụma na ihe nlereanya maka ịtụle omume nke ndị na-awakpo ndị na-eme ihe omume ha na usoro ikpeazụ nke mwakpo, nke a na-akọwakarị site na iji echiche nke Kill Chain. Ya bụ, na ọkwa mgbe onye mwakpo batara na netwọkụ dị n'ime ụlọ ọrụ ma ọ bụ na ngwaọrụ mkpanaka. Ntọala ihe ọmụma na mbụ gụnyere nkọwa nke ụzọ 121 na usoro eji ebuso agha, nke ọ bụla a kọwara nke ọma n'ụdị Wiki. Ntụle ọgụgụ isi iyi egwu dị iche iche dabara nke ọma dị ka isi mmalite maka imepụta echiche. Otu ihe mara mma bụ nsonaazụ nke nyocha akụrụngwa na ule ntinye - nke a bụ data kachasị baa uru nke nwere ike inye anyị echiche ironclad n'ihi na ha dabere na akụrụngwa akọwapụtara nke ọma na adịghị ike ya.
Usoro nyocha nke hypothesis
Sergei Soldatov wetara na nkọwa zuru ezu nke usoro ahụ, ọ na-egosipụta usoro nke ịnwale TH hypotheses na otu usoro. M ga-egosi isi nkebi na nkowa nkenke.
Nkeji 1: TI Ugbo
N'oge a ọ dị mkpa ka ọ pụta ìhè ihe (site n'ịtụle ha ọnụ yana data niile iyi egwu) ma kenye ha akara maka njirimara ha. Ndị a bụ faịlụ, URL, MD5, usoro, ọrụ, mmemme. Mgbe ị na-agafe ha site na sistemụ ọgụgụ isi egwu, ọ dị mkpa itinye mkpado. Ya bụ, a hụrụ saịtị a na CNC n'ime otu afọ ahụ, MD5 a jikọtara ya na ụdị malware dị otú ahụ, MD5 a ebudatara na saịtị na-ekesa malware.
Nkeji 2: Okwu
Na ọkwa nke abụọ, anyị na-eleba anya na mmekọrịta dị n'etiti ihe ndị a ma chọpụta mmekọrịta dị n'etiti ihe ndị a niile. Anyị na-enweta usoro akara na-eme ihe ọjọọ.
Nkeji 3: Nyocha
N'ọkwa nke atọ, a na-ebufe ikpe ahụ na onye nyocha nwere ahụmahụ nke nwere ahụmahụ dị ukwuu na nyocha, ọ na-ekpekwa ikpe. Ọ na-atụgharị na bytes ihe, ebe, otú, ihe mere na ihe mere koodu a na-eme. Ahụ a bụ malware, kọmputa a bu ọrịa. Na-ekpughe njikọ dị n'etiti ihe, na-enyocha nsonaazụ nke ịgba ọsọ site na igbe ájá.
A na-ekesa nsonaazụ nke ọrụ nyocha n'ihu. Digital Forensics na-enyocha onyonyo, Malware Analysis na-enyocha “anụ ahụ” achọtara, yana ndị otu nzaghachi ihe mberede nwere ike ịga na saịtị wee nyochaa ihe dị adị. Nsonaazụ nke ọrụ ahụ ga-abụ nkwupụta nkwenye ekwenyesiri ike, ọgụ a chọpụtara na ụzọ isi merie ya.
Nsonaazụ
Ịchụ nta egwu bụ teknụzụ na-eto eto nke nwere ike imeri nke ọma ahaziri ahazi, egwu ọhụrụ na nke na-abụghị ọkọlọtọ, nke nwere atụmanya dị ukwuu n'ihi ọnụ ọgụgụ na-eto eto nke egwu dị otú ahụ yana mgbagwoju anya nke akụrụngwa ụlọ ọrụ. Ọ chọrọ ihe atọ - data, ngwaọrụ na ndị nyocha. Uru nke ịchụ nta egwu abụghị naanị igbochi mmejuputa egwu. Echefula na n'oge usoro ọchụchọ anyị na-abanye n'ime akụrụngwa anyị na ebe adịghị ike ya site n'anya onye nyocha nchekwa ma nwee ike ime ka isi ihe ndị a dịkwuo ike.
Nzọụkwụ mbụ nke, n'echiche anyị, kwesịrị ime ka ịmalite usoro TH na nzukọ gị.
- Lezienụ anya na-echekwa ebe njedebe na akụrụngwa netwọkụ. Lekọta visibiliti (NetFlow) na njikwa (firewall, IDS, IPS, DLP) usoro niile dị na netwọkụ gị. Mara netwọkụ gị site na rawụta ihu ruo na onye ọbịa ikpeazụ.
- Chọgharịa.
- Mee pentests mgbe niile nke opekata mpe isi ihe dị na mpụga, nyochaa nsonaazụ ya, chọpụta ebumnuche ndị bụ isi maka mwakpo wee mechie adịghị ike ha.
- Mejuputa usoro ọgụgụ isi iyi egwu (dịka ọmụmaatụ, MISP, Yeti) wee nyochaa ndekọ na njikọ ya.
- Mejuputa usoro nzaghachi ihe omume (IRP): R-Vision IRP, The Hive, sandbox maka nyochaa faịlụ enyo enyo (FortiSandbox, Cuckoo).
- Megharịa usoro ihe omume. Nyocha nke ndekọ, ndekọ nke ihe omume, na-agwa ndị ọrụ ozi bụ nnukwu ubi maka akpaaka.
- Mụta ka gị na ndị injinia, ndị nrụpụta na nkwado teknụzụ na-emekọrịta ihe nke ọma ka imekọ ihe ọnụ na ihe omume.
- Detuo usoro dum, isi ihe, rụpụtara nsonaazụ iji laghachi na ha ma emechaa ma ọ bụ kesaa data a na ndị ọrụ ibe;
- Na-elekọta mmadụ: Mara ihe na-eme na ndị ọrụ gị, ndị ị na-akwụ ụgwọ, na ndị ị na-enye ohere ịnweta akụrụngwa ozi nke nzukọ.
- Nọgidenụ na-agbaso usoro ihe egwu na ụzọ nchebe ọhụrụ, mụbaa ọkwa nka nka (gụnyere ọrụ nke ọrụ IT na sistemụ arụmọrụ), gaa nzukọ ma soro ndị ọrụ ibe gị kparịta ụka.
Njikere ikwurịta nhazi nke usoro TH na nkwupụta.
Ma ọ bụ soro anyị rụọ ọrụ!
Isi mmalite na ihe ọmụmụ
isi: www.habr.com