ការបរបាញ់ការគំរាមកំហែង ឬវិធីការពារខ្លួនអ្នកពី 5% នៃការគំរាមកំហែង

95% នៃការគំរាមកំហែងសុវត្ថិភាពព័ត៌មានត្រូវបានគេស្គាល់ ហើយអ្នកអាចការពារខ្លួនអ្នកពីពួកវាដោយប្រើមធ្យោបាយបុរាណដូចជា កំចាត់មេរោគ ជញ្ជាំងភ្លើង IDS WAF ។ ការ​គំរាម​កំហែង​ដែល​នៅ​សល់ 5% មិន​ស្គាល់​និង​គ្រោះថ្នាក់​បំផុត។ ពួកគេបង្កើតបាន 70% នៃហានិភ័យសម្រាប់ក្រុមហ៊ុនមួយ ដោយសារតែការពិតដែលថាវាពិបាកណាស់ក្នុងការរកឃើញពួកគេ ការពារពួកគេតិចជាង។ ឧទាហរណ៍ "សត្វស្វាខ្មៅ" គឺជាការរីករាលដាលនៃមេរោគ WannaCry ransomware, NotPetya/ExPetr, cryptominers, the “cyber weapon” Stuxnet (ដែលបានវាយប្រហាររោងចក្រនុយក្លេអ៊ែររបស់អ៊ីរ៉ង់) និងជាច្រើន (មានអ្នកណាខ្លះនៅចាំ Kido/Conficker?) ការវាយប្រហារផ្សេងទៀតដែលមិនត្រូវបានការពារយ៉ាងល្អជាមួយនឹងវិធានការសន្តិសុខបុរាណ។ យើងចង់និយាយអំពីរបៀបទប់ទល់នឹងការគំរាមកំហែង 5% នេះដោយប្រើបច្ចេកវិទ្យា Threat Hunting។

ការវិវត្តន៍ជាបន្តបន្ទាប់នៃការវាយប្រហារតាមអ៊ីនធឺណេត ទាមទារឱ្យមានការរកឃើញជាប្រចាំ និងវិធានការតបត ដែលនៅទីបំផុតនាំឱ្យយើងគិតពីការប្រកួតប្រជែងអាវុធគ្មានទីបញ្ចប់រវាងអ្នកវាយប្រហារ និងអ្នកការពារ។ ប្រព័ន្ធសុវត្ថិភាពបុរាណមិនអាចផ្តល់កម្រិតសុវត្ថិភាពដែលអាចទទួលយកបានទៀតទេ ដែលកម្រិតនៃហានិភ័យមិនប៉ះពាល់ដល់សូចនាករសំខាន់ៗរបស់ក្រុមហ៊ុន (សេដ្ឋកិច្ច នយោបាយ កេរ្តិ៍ឈ្មោះ) ដោយមិនបានកែប្រែពួកវាសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធជាក់លាក់មួយ ប៉ុន្តែជាទូទៅពួកគេគ្របដណ្តប់មួយចំនួននៃ ហានិភ័យ។ រួចហើយនៅក្នុងដំណើរការនៃការអនុវត្ត និងការកំណត់រចនាសម្ព័ន្ធ ប្រព័ន្ធសុវត្ថិភាពទំនើបរកឃើញថាខ្លួនពួកគេនៅក្នុងតួនាទីនៃការចាប់ឡើង ហើយត្រូវតែឆ្លើយតបទៅនឹងបញ្ហាប្រឈមនៃពេលវេលាថ្មី។

ប្រភព

បច្ចេកវិទ្យាការបរបាញ់គំរាមកំហែងអាចជាចម្លើយមួយចំពោះបញ្ហាប្រឈមនៃពេលវេលារបស់យើងសម្រាប់អ្នកឯកទេសសន្តិសុខព័ត៌មាន។ ពាក្យ​ការ​បរបាញ់​គំរាម​កំហែង (​បន្ទាប់​មក​ហៅ​ថា TH) បាន​លេច​ចេញ​ជា​ច្រើន​ឆ្នាំ​កន្លង​មក។ បច្ចេកវិទ្យាខ្លួនវាគួរឱ្យចាប់អារម្មណ៍ណាស់ ប៉ុន្តែមិនទាន់មានស្តង់ដារ និងច្បាប់ដែលទទួលយកជាទូទៅនៅឡើយ។ បញ្ហា​នេះ​ក៏​មាន​ភាព​ស្មុគ​ស្មាញ​ដោយ​ភាព​ខុស​គ្នា​នៃ​ប្រភព​ព័ត៌មាន និង​ចំនួន​តិចតួច​នៃ​ប្រភព​ព័ត៌មាន​ជា​ភាសា​រុស្ស៊ី​លើ​ប្រធានបទ​នេះ។ ក្នុងន័យនេះ យើងនៅ LANIT-Integration បានសម្រេចចិត្តសរសេរការពិនិត្យឡើងវិញអំពីបច្ចេកវិទ្យានេះ។

ភាពទាក់ទង

បច្ចេកវិទ្យា TH ពឹងផ្អែកលើដំណើរការត្រួតពិនិត្យហេដ្ឋារចនាសម្ព័ន្ធ។ មានសេណារីយ៉ូសំខាន់ពីរសម្រាប់ការត្រួតពិនិត្យផ្ទៃក្នុង - ការជូនដំណឹង និងការបរបាញ់. ការដាស់តឿន (ស្រដៀងទៅនឹងសេវាកម្ម MSSP) គឺជាវិធីសាស្រ្តប្រពៃណីក្នុងការស្វែងរកហត្ថលេខា និងសញ្ញានៃការវាយប្រហារដែលបានអភិវឌ្ឍពីមុន ហើយឆ្លើយតបទៅនឹងពួកគេ។ សេណារីយ៉ូនេះត្រូវបានអនុវត្តដោយជោគជ័យដោយឧបករណ៍ការពារដែលមានមូលដ្ឋានលើហត្ថលេខាប្រពៃណី។ ការបរបាញ់ (សេវាកម្មប្រភេទ MDR) គឺជាវិធីសាស្ត្រត្រួតពិនិត្យដែលឆ្លើយសំណួរ "តើហត្ថលេខា និងច្បាប់មកពីណា?" វាគឺជាដំណើរការនៃការបង្កើតច្បាប់ជាប់ទាក់ទងគ្នាដោយការវិភាគសូចនាករដែលលាក់ ឬមិនស្គាល់ពីមុន និងសញ្ញានៃការវាយប្រហារ។ Threat Hunting សំដៅលើប្រភេទនៃការត្រួតពិនិត្យនេះ។

មានតែតាមរយៈការរួមបញ្ចូលប្រភេទនៃការត្រួតពិនិត្យទាំងពីរប៉ុណ្ណោះ ទើបយើងទទួលបានការការពារដែលជិតនឹងឧត្តមគតិ ប៉ុន្តែវាតែងតែមានកម្រិតជាក់លាក់នៃហានិភ័យសំណល់។

ការការពារដោយប្រើការត្រួតពិនិត្យពីរប្រភេទ

ហើយនេះជាមូលហេតុដែល TH (និងការបរបាញ់ទាំងស្រុងរបស់វា!) នឹងកាន់តែពាក់ព័ន្ធកាន់តែខ្លាំងឡើង៖

ការគំរាមកំហែង, ឱសថ, ហានិភ័យ។ ប្រភព

95% នៃការគំរាមកំហែងទាំងអស់ត្រូវបានសិក្សាយ៉ាងល្អរួចហើយ. ទាំងនេះរួមមានប្រភេទដូចជា spam, DDoS, viruses, rootkits និង malware បុរាណផ្សេងទៀត។ អ្នកអាចការពារខ្លួនអ្នកពីការគំរាមកំហែងទាំងនេះដោយប្រើវិធានការសុវត្ថិភាពបុរាណដូចគ្នា។

ក្នុងអំឡុងពេលនៃការអនុវត្តគម្រោងណាមួយ។ 20% នៃការងារត្រូវចំណាយពេល 80% នៃពេលវេលាដើម្បីបញ្ចប់ហើយ 20% នៃការងារដែលនៅសល់ត្រូវចំណាយ 80% នៃពេលវេលា។ ដូចគ្នានេះដែរ នៅទូទាំងទិដ្ឋភាពនៃការគំរាមកំហែងទាំងមូល 5% នៃការគំរាមកំហែងថ្មីនឹងមាន 70% នៃហានិភ័យចំពោះក្រុមហ៊ុនមួយ។ នៅក្នុងក្រុមហ៊ុនដែលដំណើរការគ្រប់គ្រងសុវត្ថិភាពព័ត៌មានត្រូវបានរៀបចំ យើងអាចគ្រប់គ្រង 30% នៃហានិភ័យនៃការអនុវត្តការគំរាមកំហែងដែលគេស្គាល់តាមមធ្យោបាយមួយ ឬវិធីផ្សេងទៀតដោយជៀសវាង (ការបដិសេធបណ្តាញឥតខ្សែជាគោលការណ៍) ការទទួលយក (អនុវត្តវិធានការសុវត្ថិភាពចាំបាច់) ឬការផ្លាស់ប្តូរ (ឧទាហរណ៍នៅលើស្មារបស់អ្នករួមបញ្ចូល) ហានិភ័យនេះ។ ការពារខ្លួនអ្នកពី ភាពងាយរងគ្រោះសូន្យថ្ងៃ, ការវាយប្រហារ APT, បន្លំ, ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ចារកម្មតាមអ៊ីនធឺណិត និងប្រតិបត្តិការជាតិ ក៏ដូចជាការវាយប្រហារមួយចំនួនធំផ្សេងទៀត គឺមានការលំបាកច្រើនជាងមុន។ ផលវិបាកនៃការគំរាមកំហែង 5% នេះនឹងកាន់តែធ្ងន់ធ្ងរ (ចំនួនមធ្យមនៃការខាតបង់ធនាគារពីក្រុម buhtrap គឺ 143 លាន) ជាងផលវិបាកនៃសារឥតបានការ ឬមេរោគ ដែលកម្មវិធីកំចាត់មេរោគរក្សាទុក។

ស្ទើរតែគ្រប់គ្នាត្រូវប្រឈមមុខនឹង 5% នៃការគំរាមកំហែង។ ថ្មីៗនេះយើងត្រូវដំឡើងដំណោះស្រាយប្រភពបើកចំហដែលប្រើកម្មវិធីពីឃ្លាំង PEAR (PHP Extension and Application Repository) ។ ការព្យាយាមដំឡើងកម្មវិធីនេះតាមរយៈការដំឡើង pear បានបរាជ័យដោយសារតែ វេបសាយ មិនអាចប្រើបានទេ (ឥឡូវនេះមានដើមនៅលើវា) ខ្ញុំត្រូវដំឡើងវាពី GitHub ។ ហើយថ្មីៗនេះវាបានប្រែក្លាយថា PEAR បានក្លាយជាជនរងគ្រោះ ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់.

អ្នកនៅតែអាចចងចាំបាន។ វាយប្រហារដោយប្រើ CCleanerដែលជាការរីករាលដាលនៃមេរោគ NePetya ransomware តាមរយៈម៉ូឌុលអាប់ដេតសម្រាប់កម្មវិធីរាយការណ៍ពន្ធ MEDoc. ការគំរាមកំហែងកាន់តែមានភាពស្មុគ្រស្មាញ ហើយសំណួរឡូជីខលកើតឡើង - "តើយើងអាចទប់ទល់នឹងការគំរាមកំហែង 5% នេះដោយរបៀបណា?"

និយមន័យនៃការបរបាញ់គំរាមកំហែង

ដូច្នេះ ការស្វែងរកការគំរាមកំហែង គឺជាដំណើរការនៃការស្វែងរកសកម្ម និងម្តងហើយម្តងទៀត និងការស្វែងរកការគំរាមកំហែងកម្រិតខ្ពស់ ដែលមិនអាចត្រូវបានរកឃើញដោយឧបករណ៍សុវត្ថិភាពបែបប្រពៃណី។ ការគំរាមកំហែងកម្រិតខ្ពស់រួមមានឧទាហរណ៍ ការវាយប្រហារដូចជា APT ការវាយប្រហារលើភាពងាយរងគ្រោះរយៈពេល 0 ថ្ងៃ ការរស់នៅក្រៅដីជាដើម។

យើងក៏អាចនិយាយឡើងវិញថា TH គឺជាដំណើរការនៃការសាកល្បងសម្មតិកម្ម។ នេះគឺជាដំណើរការដោយដៃភាគច្រើនជាមួយនឹងធាតុផ្សំនៃស្វ័យប្រវត្តិកម្ម ដែលក្នុងនោះអ្នកវិភាគដែលពឹងផ្អែកលើចំណេះដឹង និងជំនាញរបស់គាត់ រឹបអូសព័ត៌មានជាច្រើនដើម្បីស្វែងរកសញ្ញានៃការសម្របសម្រួលដែលត្រូវនឹងសម្មតិកម្មដែលបានកំណត់ដំបូងអំពីវត្តមាននៃការគំរាមកំហែងជាក់លាក់មួយ។ លក្ខណៈពិសេសប្លែករបស់វាគឺប្រភពព័ត៌មានផ្សេងៗគ្នា។

គួរកត់សំគាល់ថា Threat Hunting មិនមែនជាប្រភេទសូហ្វវែរ ឬផលិតផលផ្នែករឹងនោះទេ។ ទាំងនេះមិនមែនជាការជូនដំណឹងដែលអាចមើលឃើញនៅក្នុងដំណោះស្រាយមួយចំនួននោះទេ។ នេះមិនមែនជាដំណើរការស្វែងរក IOC (Identifiers of Compromise) ទេ។ ហើយនេះមិនមែនជាសកម្មភាពអកម្មមួយចំនួនដែលកើតឡើងដោយគ្មានការចូលរួមពីអ្នកវិភាគសុវត្ថិភាពព័ត៌មាននោះទេ។ ការប្រមាញ់គំរាមកំហែង គឺជាដំណើរការដំបូង និងសំខាន់បំផុត។

ធាតុផ្សំនៃការបរបាញ់គំរាមកំហែង

សមាសធាតុសំខាន់ៗចំនួនបីនៃការបរបាញ់គំរាមកំហែង៖ ទិន្នន័យ បច្ចេកវិទ្យា មនុស្ស។

ទិន្នន័យ (អ្វី?)រួមទាំងទិន្នន័យធំ។ គ្រប់ប្រភេទនៃលំហូរចរាចរណ៍ ព័ត៌មានអំពី APTs ពីមុន ការវិភាគ ទិន្នន័យអំពីសកម្មភាពអ្នកប្រើប្រាស់ ទិន្នន័យបណ្តាញ ព័ត៌មានពីបុគ្គលិក ព័ត៌មាននៅលើ Darknet និងច្រើនទៀត។

បច្ចេកវិទ្យា (ដោយរបៀបណា?) ដំណើរការទិន្នន័យនេះ - វិធីដែលអាចធ្វើបានទាំងអស់នៃការដំណើរការទិន្នន័យនេះ រួមទាំងការរៀនម៉ាស៊ីនផងដែរ។

មនុស្ស​ដែល?) - អ្នកដែលមានបទពិសោធន៍យ៉ាងទូលំទូលាយក្នុងការវិភាគការវាយប្រហារផ្សេងៗ បានបង្កើតវិចារណញាណ និងសមត្ថភាពក្នុងការរកឃើញការវាយប្រហារ។ ជាធម្មតា ទាំងនេះគឺជាអ្នកវិភាគសុវត្ថិភាពព័ត៌មាន ដែលត្រូវតែមានសមត្ថភាពបង្កើតសម្មតិកម្ម និងស្វែងរកការបញ្ជាក់សម្រាប់ពួកគេ។ ពួកគេគឺជាតំណភ្ជាប់សំខាន់នៅក្នុងដំណើរការ។

ម៉ូដែលប៉ារីស

អាដាំ Bateman ពិពណ៌នា គំរូទីក្រុងប៉ារីសសម្រាប់ដំណើរការ TH ដ៏ល្អ។ ឈ្មោះ​នេះ​សំដៅ​ទៅ​លើ​ទីតាំង​ដ៏​ល្បី​មួយ​នៅ​ប្រទេស​បារាំង។ ម៉ូដែលនេះអាចត្រូវបានមើលក្នុងទិសដៅពីរ - ពីខាងលើនិងពីខាងក្រោម។

នៅពេលដែលយើងធ្វើការតាមរយៈគំរូពីបាតឡើងលើ យើងនឹងជួបប្រទះនូវភស្តុតាងជាច្រើននៃសកម្មភាពព្យាបាទ។ ភស្តុតាងនីមួយៗមានវិធានការមួយហៅថា ទំនុកចិត្ត - លក្ខណៈដែលឆ្លុះបញ្ចាំងពីទម្ងន់នៃភស្តុតាងនេះ។ មាន "ជាតិដែក" ដែលជាភស្តុតាងផ្ទាល់នៃសកម្មភាពព្យាបាទ ដែលយើងអាចទៅដល់កំពូលនៃពីរ៉ាមីតភ្លាមៗ និងបង្កើតការជូនដំណឹងពិតប្រាកដអំពីការឆ្លងមេរោគដែលគេស្គាល់យ៉ាងច្បាស់។ ហើយមានភ័ស្តុតាងដោយប្រយោល ដែលផលបូកក៏អាចនាំយើងទៅដល់កំពូលនៃពីរ៉ាមីតផងដែរ។ ដូចរាល់ដង មានភ័ស្តុតាងប្រយោលច្រើនជាងភស្តុតាងផ្ទាល់ ដែលមានន័យថាពួកគេត្រូវការតម្រៀប និងវិភាគ ការស្រាវជ្រាវបន្ថែមត្រូវតែធ្វើឡើង ហើយវាត្រូវបានណែនាំឱ្យធ្វើស្វ័យប្រវត្តិកម្មនេះ។

ម៉ូដែលប៉ារីស។ ប្រភព

ផ្នែកខាងលើនៃគំរូ (1 និង 2) គឺផ្អែកលើបច្ចេកវិទ្យាស្វ័យប្រវត្តិកម្ម និងការវិភាគផ្សេងៗ ហើយផ្នែកខាងក្រោម (3 និង 4) គឺផ្អែកលើមនុស្សដែលមានលក្ខណៈសម្បត្តិជាក់លាក់ដែលគ្រប់គ្រងដំណើរការ។ អ្នកអាចពិចារណាលើគំរូដែលផ្លាស់ប្តូរពីកំពូលទៅបាត ដែលនៅផ្នែកខាងលើនៃពណ៌ខៀវ យើងមានសញ្ញាជូនដំណឹងពីឧបករណ៍សុវត្ថិភាពប្រពៃណី (កំចាត់មេរោគ EDR ជញ្ជាំងភ្លើង ហត្ថលេខា) ជាមួយនឹងកម្រិតខ្ពស់នៃភាពជឿជាក់ និងទំនុកចិត្ត ហើយខាងក្រោមគឺជាសូចនាករ ( IOC, URL, MD5 និងផ្សេងៗទៀត) ដែលមានកម្រិតភាពប្រាកដប្រជាទាបជាង ហើយត្រូវការការសិក្សាបន្ថែម។ ហើយកម្រិតទាបបំផុត និងក្រាស់បំផុត (4) គឺជាការបង្កើតសម្មតិកម្ម ការបង្កើតសេណារីយ៉ូថ្មីសម្រាប់ប្រតិបត្តិការនៃមធ្យោបាយការពារប្រពៃណី។ កម្រិតនេះមិនត្រូវបានកំណត់ត្រឹមតែប្រភពជាក់លាក់នៃសម្មតិកម្មប៉ុណ្ណោះទេ។ កម្រិតទាប តម្រូវការកាន់តែច្រើនត្រូវបានដាក់លើគុណវុឌ្ឍិរបស់អ្នកវិភាគ។

វាមានសារៈសំខាន់ខ្លាំងណាស់ដែលអ្នកវិភាគមិនគ្រាន់តែសាកល្បងសំណុំនៃសម្មតិកម្មដែលបានកំណត់ទុកជាមុននោះទេ ប៉ុន្តែធ្វើការជានិច្ចដើម្បីបង្កើតសម្មតិកម្មថ្មី និងជម្រើសសម្រាប់សាកល្បងពួកគេ។

គំរូការប្រើប្រាស់ TH

នៅក្នុងពិភពដ៏ល្អមួយ TH គឺជាដំណើរការដែលកំពុងដំណើរការ។ ប៉ុន្តែ​ដោយ​សារ​តែ​គ្មាន​ពិភព​ឧត្តម​គតិ​ទេ ចូរ​យើង​វិភាគ គំរូនៃភាពចាស់ទុំ និងវិធីសាស្រ្តទាក់ទងនឹងមនុស្ស ដំណើរការ និងបច្ចេកវិទ្យាដែលបានប្រើ។ ចូរយើងពិចារណាគំរូនៃ TH ស្វ៊ែរដ៏ល្អមួយ។ មាន 5 កម្រិតនៃការប្រើប្រាស់បច្ចេកវិទ្យានេះ។ សូមក្រឡេកមើលពួកគេដោយប្រើឧទាហរណ៍នៃការវិវត្តនៃក្រុមអ្នកវិភាគតែមួយ។

កម្រិតនៃភាពចាស់ទុំ
ប្រជាជន
ដំណើរការ
បច្ចេកវិទ្យា

កំរិត ១
អ្នកវិភាគ SOC
24/7
ឧបករណ៍ប្រពៃណី៖

ប្រពៃណី
សំណុំនៃការជូនដំណឹង
ការត្រួតពិនិត្យអកម្ម
IDS, AV, Sandboxing,

ដោយគ្មាន TH
ធ្វើការជាមួយការជូនដំណឹង

ឧបករណ៍វិភាគហត្ថលេខា ទិន្នន័យគម្រាមកំហែង។

កំរិត ១
អ្នកវិភាគ SOC
មួយដង TH
អេឌីអរ

ពិសោធន៍
ចំណេះដឹងជាមូលដ្ឋាននៃកោសល្យវិច្ច័យ
ការស្វែងរក IOC
ការគ្របដណ្តប់ដោយផ្នែកនៃទិន្នន័យពីឧបករណ៍បណ្តាញ

ពិសោធន៍ជាមួយ TH
មានចំណេះដឹងល្អអំពីបណ្តាញ និងកម្មវិធី

ការដាក់ពាក្យដោយផ្នែក

កំរិត ១
មុខរបរបណ្តោះអាសន្ន
រត់
អេឌីអរ

តាមកាលកំណត់
ចំណេះដឹងជាមធ្យមនៃកោសល្យវិច្ច័យ
ពីសប្តាហ៍ទៅមួយខែ
កម្មវិធីពេញលេញ

បណ្តោះអាសន្ន TH
ចំណេះដឹងល្អអំពីបណ្តាញ និងកម្មវិធី
ធម្មតា TH
ស្វ័យប្រវត្តិកម្មពេញលេញនៃការប្រើប្រាស់ទិន្នន័យ EDR

ការប្រើប្រាស់ផ្នែកខ្លះនៃសមត្ថភាព EDR កម្រិតខ្ពស់

កំរិត ១
ពាក្យបញ្ជា TH ឧទ្ទិស
24/7
សមត្ថភាពផ្នែកដើម្បីសាកល្បងសម្មតិកម្ម TH

បង្ការ
ចំនេះដឹងដ៏ល្អនៃកោសល្យវិច្ច័យ និងមេរោគ
ការពារ TH
ការប្រើប្រាស់ពេញលេញនៃសមត្ថភាព EDR កម្រិតខ្ពស់

ករណីពិសេស TH
ចំនេះដឹងដ៏អស្ចារ្យនៃភាគីវាយប្រហារ
ករណីពិសេស TH
ការគ្របដណ្តប់ពេញលេញនៃទិន្នន័យពីឧបករណ៍បណ្តាញ

ការកំណត់រចនាសម្ព័ន្ធតាមតម្រូវការរបស់អ្នក។

កំរិត ១
ពាក្យបញ្ជា TH ឧទ្ទិស
24/7
សមត្ថភាពពេញលេញដើម្បីសាកល្បងសម្មតិកម្ម TH

នាំមុខ
ចំនេះដឹងដ៏ល្អនៃកោសល្យវិច្ច័យ និងមេរោគ
ការពារ TH
កម្រិត 3 បូក៖

ការប្រើប្រាស់ TH
ចំនេះដឹងដ៏អស្ចារ្យនៃភាគីវាយប្រហារ
ការធ្វើតេស្ត ស្វ័យប្រវត្តិកម្ម និងការផ្ទៀងផ្ទាត់សម្មតិកម្ម TH
ការរួមបញ្ចូលយ៉ាងតឹងរឹងនៃប្រភពទិន្នន័យ;

សមត្ថភាពស្រាវជ្រាវ

ការអភិវឌ្ឍន៍តាមតម្រូវការ និងការប្រើប្រាស់មិនស្តង់ដារនៃ API ។

កម្រិតនៃភាពចាស់ទុំរបស់ TH ដោយមនុស្ស ដំណើរការ និងបច្ចេកវិទ្យា

កំរិត ១៖ ប្រពៃណីដោយមិនប្រើ TH ។ អ្នកវិភាគទៀងទាត់ធ្វើការជាមួយសំណុំស្តង់ដារនៃការជូនដំណឹងនៅក្នុងរបៀបត្រួតពិនិត្យអកម្មដោយប្រើឧបករណ៍ និងបច្ចេកវិទ្យាស្តង់ដារ៖ IDS, AV, sandbox, ឧបករណ៍វិភាគហត្ថលេខា។

កំរិត ១៖ ការពិសោធន៍ដោយប្រើ TH ។ អ្នកវិភាគដូចគ្នាដែលមានចំណេះដឹងជាមូលដ្ឋាននៃការធ្វើកោសល្យវិច្ច័យ និងចំណេះដឹងល្អអំពីបណ្តាញ និងកម្មវិធីអាចអនុវត្តការស្វែងរកការគំរាមកំហែងតែម្តង ដោយស្វែងរកសូចនាករនៃការសម្របសម្រួល។ EDRs ត្រូវបានបន្ថែមទៅឧបករណ៍ជាមួយនឹងការគ្របដណ្តប់ដោយផ្នែកនៃទិន្នន័យពីឧបករណ៍បណ្តាញ។ ឧបករណ៍ត្រូវបានប្រើប្រាស់ដោយផ្នែក។

កំរិត ១៖ តាមកាលកំណត់, បណ្តោះអាសន្ន TH ។ អ្នកវិភាគដូចគ្នាដែលបានធ្វើឱ្យប្រសើរឡើងនូវចំណេះដឹងរបស់ពួកគេរួចហើយនៅក្នុងផ្នែកកោសល្យវិច្ច័យ បណ្តាញ និងផ្នែកកម្មវិធី តម្រូវឱ្យចូលរួមជាទៀងទាត់ក្នុង ការប្រមាញ់គំរាមកំហែង (រត់) និយាយថាក្នុងមួយសប្តាហ៍ក្នុងមួយខែ។ ឧបករណ៍បន្ថែមការរុករកទិន្នន័យពេញលេញពីឧបករណ៍បណ្តាញ ស្វ័យប្រវត្តិកម្មនៃការវិភាគទិន្នន័យពី EDR និងការប្រើប្រាស់ផ្នែកខ្លះនៃសមត្ថភាព EDR កម្រិតខ្ពស់។

កំរិត ១៖ ការបង្ការ, ករណីញឹកញាប់នៃ TH ។ អ្នកវិភាគរបស់យើងបានរៀបចំខ្លួនពួកគេទៅជាក្រុមដែលមានការយកចិត្តទុកដាក់ ហើយចាប់ផ្តើមមានចំណេះដឹងដ៏ល្អអំពីកោសល្យវិច្ច័យ និងមេរោគ ក៏ដូចជាចំណេះដឹងអំពីវិធីសាស្រ្ត និងយុទ្ធសាស្ត្ររបស់ភាគីវាយប្រហារ។ ដំណើរការនេះត្រូវបានអនុវត្ត 24/7 រួចហើយ។ ក្រុមការងារអាចសាកល្បងផ្នែកខ្លះនៃសម្មតិកម្ម TH ខណៈពេលដែលប្រើប្រាស់យ៉ាងពេញលេញនូវសមត្ថភាពកម្រិតខ្ពស់នៃ EDR ជាមួយនឹងការគ្របដណ្តប់ពេញលេញនៃទិន្នន័យពីឧបករណ៍បណ្តាញ។ អ្នកវិភាគក៏អាចកំណត់រចនាសម្ព័ន្ធឧបករណ៍ឱ្យសមនឹងតម្រូវការរបស់ពួកគេផងដែរ។

កំរិត ១៖ កម្រិតខ្ពស់ ប្រើ TH ។ ក្រុមដូចគ្នាទទួលបានសមត្ថភាពក្នុងការស្រាវជ្រាវ សមត្ថភាពក្នុងការបង្កើត និងស្វ័យប្រវត្តិកម្មដំណើរការនៃការសាកល្បងសម្មតិកម្ម TH ។ ឥឡូវនេះឧបករណ៍ត្រូវបានបំពេញបន្ថែមដោយការរួមបញ្ចូលយ៉ាងជិតស្និទ្ធនៃប្រភពទិន្នន័យ ការអភិវឌ្ឍន៍កម្មវិធីដើម្បីបំពេញតម្រូវការ និងការប្រើប្រាស់ APIs មិនស្តង់ដារ។

បច្ចេកទេសប្រមាញ់គំរាមកំហែង

បច្ចេកទេសស្វែងរកការគំរាមកំហែងជាមូលដ្ឋាន

К អ្នកបច្ចេកទេស TH តាមលំដាប់នៃភាពចាស់ទុំនៃបច្ចេកវិទ្យាដែលប្រើគឺ៖ ការស្វែងរកជាមូលដ្ឋាន ការវិភាគស្ថិតិ បច្ចេកទេសមើលឃើញ ការប្រមូលផ្តុំសាមញ្ញ ការរៀនម៉ាស៊ីន និងវិធីសាស្ត្រ Bayesian ។

វិធីសាស្រ្តដ៏សាមញ្ញបំផុតដែលជាការស្វែងរកជាមូលដ្ឋានត្រូវបានប្រើដើម្បីបង្រួមតំបន់នៃការស្រាវជ្រាវដោយប្រើសំណួរជាក់លាក់។ ការវិភាគស្ថិតិត្រូវបានប្រើជាឧទាហរណ៍ ដើម្បីបង្កើតអ្នកប្រើប្រាស់ធម្មតា ឬសកម្មភាពបណ្តាញក្នុងទម្រង់ជាគំរូស្ថិតិ។ បច្ចេកទេសមើលឃើញត្រូវបានប្រើដើម្បីបង្ហាញដោយមើលឃើញ និងសម្រួលការវិភាគទិន្នន័យក្នុងទម្រង់ជាក្រាហ្វ និងគំនូសតាង ដែលធ្វើឱ្យវាកាន់តែងាយស្រួលក្នុងការស្វែងយល់ពីគំរូនៅក្នុងគំរូ។ បច្ចេកទេសនៃការប្រមូលផ្តុំសាមញ្ញដោយវាលគន្លឹះត្រូវបានប្រើដើម្បីបង្កើនប្រសិទ្ធភាពការស្វែងរក និងការវិភាគ។ កាលណាដំណើរការ TH របស់ស្ថាប័នមានភាពចាស់ទុំកាន់តែច្រើន ការប្រើប្រាស់ក្បួនដោះស្រាយម៉ាស៊ីនកាន់តែមានភាពពាក់ព័ន្ធ។ ពួកគេក៏ត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយក្នុងការត្រងសារឥតបានការ ស្វែងរកចរាចរណ៍ដែលមានគំនិតអាក្រក់ និងស្វែងរកសកម្មភាពក្លែងបន្លំ។ ប្រភេទកម្រិតខ្ពស់នៃក្បួនដោះស្រាយការរៀនម៉ាស៊ីនគឺវិធីសាស្ត្រ Bayesian ដែលអនុញ្ញាតឱ្យមានការបែងចែក ការកាត់បន្ថយទំហំគំរូ និងការធ្វើគំរូតាមប្រធានបទ។

Diamond Model និង TH Strategies

Sergio Caltagiron, Andrew Pendegast និង Christopher Betz នៅក្នុងការងាររបស់ពួកគេ "គំរូពេជ្រនៃការវិភាគការឈ្លានពាន» បានបង្ហាញពីសមាសធាតុសំខាន់ៗនៃសកម្មភាពព្យាបាទ និងការតភ្ជាប់ជាមូលដ្ឋានរវាងពួកវា។

គំរូពេជ្រសម្រាប់សកម្មភាពព្យាបាទ

យោងតាមគំរូនេះ មានយុទ្ធសាស្រ្ត 4 Threat Hunting ដែលផ្អែកលើធាតុផ្សំសំខាន់ៗដែលត្រូវគ្នា។

1. យុទ្ធសាស្រ្តតម្រង់ទិសជនរងគ្រោះ។ យើងសន្មត់ថាជនរងគ្រោះមានគូប្រជែង ហើយពួកគេនឹងផ្តល់ "ឱកាស" តាមរយៈអ៊ីមែល។ យើងកំពុងស្វែងរកទិន្នន័យរបស់សត្រូវនៅក្នុងសំបុត្រ។ ស្វែងរកតំណ ឯកសារភ្ជាប់។ល។ យើងកំពុងស្វែងរកការបញ្ជាក់ពីសម្មតិកម្មនេះក្នុងរយៈពេលជាក់លាក់មួយ (មួយខែ ពីរសប្តាហ៍) ប្រសិនបើយើងរកមិនឃើញទេ នោះសម្មតិកម្មមិនដំណើរការទេ។

2. យុទ្ធសាស្រ្តតម្រង់ទិសហេដ្ឋារចនាសម្ព័ន្ធ។ មានវិធីសាស្រ្តជាច្រើនសម្រាប់ការប្រើប្រាស់យុទ្ធសាស្រ្តនេះ។ អាស្រ័យលើការចូលប្រើ និងការមើលឃើញ ខ្លះងាយស្រួលជាងកន្លែងផ្សេងទៀត។ ឧទាហរណ៍ យើងត្រួតពិនិត្យម៉ាស៊ីនមេឈ្មោះដែនដែលគេស្គាល់ថាជាម្ចាស់ផ្ទះដែនព្យាបាទ។ ឬយើងឆ្លងកាត់ដំណើរការត្រួតពិនិត្យការចុះឈ្មោះឈ្មោះដែនថ្មីទាំងអស់សម្រាប់លំនាំដែលគេស្គាល់ដែលប្រើដោយសត្រូវ។

3. យុទ្ធសាស្ត្រជំរុញដោយសមត្ថភាព។ បន្ថែមពីលើយុទ្ធសាស្ត្រផ្តោតលើជនរងគ្រោះដែលប្រើដោយអ្នកការពារបណ្តាញភាគច្រើន មានយុទ្ធសាស្ត្រផ្តោតលើឱកាស។ វាគឺជាការពេញនិយមបំផុតទីពីរ ហើយផ្តោតលើការស្វែងរកសមត្ថភាពពីមារសត្រូវ ពោលគឺ "មេរោគ" និងសមត្ថភាពរបស់សត្រូវក្នុងការប្រើឧបករណ៍ស្របច្បាប់ដូចជា psexec, powershell, certutil និងផ្សេងទៀត។

4. យុទ្ធសាស្រ្តតម្រង់ទិសសត្រូវ។ វិធីសាស្រ្តផ្ដោតលើមារសត្រូវផ្តោតលើសត្រូវផ្ទាល់។ នេះរួមបញ្ចូលទាំងការប្រើប្រាស់ព័ត៌មានបើកចំហពីប្រភពដែលមានជាសាធារណៈ (OSINT) ការប្រមូលទិន្នន័យអំពីសត្រូវ បច្ចេកទេស និងវិធីសាស្រ្តរបស់គាត់ (TTP) ការវិភាគឧប្បត្តិហេតុពីមុន ទិន្នន័យការគំរាមកំហែងការស៊ើបការណ៍ជាដើម។

ប្រភពនៃព័ត៌មាន និងសម្មតិកម្មនៅក្នុង TH

ប្រភព​ព័ត៌មាន​មួយ​ចំនួន​សម្រាប់​ការ​ប្រមាញ់​គំរាមកំហែង

វាអាចមានប្រភពពត៌មានជាច្រើន។ អ្នកវិភាគដ៏ល្អម្នាក់គួរតែអាចទាញយកព័ត៌មានពីអ្វីគ្រប់យ៉ាងដែលនៅជុំវិញ។ ប្រភពធម្មតានៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធស្ទើរតែទាំងអស់នឹងជាទិន្នន័យពីឧបករណ៍សុវត្ថិភាព៖ DLP, SIEM, IDS/IPS, WAF/FW, EDR។ ដូចគ្នានេះផងដែរ ប្រភពនៃព័ត៌មានធម្មតានឹងជាសូចនាករផ្សេងៗនៃការសម្របសម្រួល សេវាការគំរាមកំហែងគំរាមកំហែង ទិន្នន័យ CERT និង OSINT ។ លើសពីនេះ អ្នកអាចប្រើព័ត៌មានពី darknet (ឧទាហរណ៍ ស្រាប់តែមានការបញ្ជាទិញមួយដើម្បី hack ប្រអប់សំបុត្ររបស់ប្រធានអង្គការ ឬបេក្ខជនសម្រាប់មុខតំណែងវិស្វករបណ្តាញត្រូវបានលាតត្រដាងសម្រាប់សកម្មភាពរបស់គាត់) ព័ត៌មានដែលទទួលបានពី ធនធានមនុស្ស (ការពិនិត្យបេក្ខជនពីកន្លែងធ្វើការពីមុន) ព័ត៌មានពីសេវាសន្តិសុខ (ឧទាហរណ៍ លទ្ធផលនៃការផ្ទៀងផ្ទាត់សមភាគី)។

ប៉ុន្តែមុននឹងប្រើប្រាស់ប្រភពដែលមានទាំងអស់ ចាំបាច់ត្រូវមានសម្មតិកម្មយ៉ាងហោចណាស់មួយ។

ប្រភព

ដើម្បីសាកល្បងសម្មតិកម្ម គេត្រូវតែដាក់ចេញជាដំបូង។ ហើយដើម្បីដាក់ចេញនូវសម្មតិកម្មដែលមានគុណភាពខ្ពស់ជាច្រើន ចាំបាច់ត្រូវអនុវត្តវិធីសាស្រ្តជាប្រព័ន្ធ។ ដំណើរការនៃការបង្កើតសម្មតិកម្មត្រូវបានពិពណ៌នាលម្អិតបន្ថែមទៀតនៅក្នុង អត្ថបទវាជាការងាយស្រួលណាស់ក្នុងការយកគ្រោងការណ៍នេះជាមូលដ្ឋានសម្រាប់ដំណើរការនៃការដាក់ចេញនូវសម្មតិកម្ម។

ប្រភពសំខាន់នៃសម្មតិកម្មនឹងមាន ម៉ាទ្រីស ATT&CK (យុទ្ធសាស្ត្រសត្រូវ បច្ចេកទេស និងចំណេះដឹងទូទៅ)។ ជាទូទៅវាគឺជាមូលដ្ឋានចំណេះដឹង និងជាគំរូសម្រាប់វាយតម្លៃអាកប្បកិរិយារបស់អ្នកវាយប្រហារដែលអនុវត្តសកម្មភាពរបស់ពួកគេនៅក្នុងជំហានចុងក្រោយនៃការវាយប្រហារ ដែលជាធម្មតាត្រូវបានពិពណ៌នាដោយប្រើគំនិតនៃ Kill Chain ។ នោះគឺនៅដំណាក់កាលបន្ទាប់ពីអ្នកវាយប្រហារបានជ្រៀតចូលទៅក្នុងបណ្តាញផ្ទៃក្នុងរបស់សហគ្រាស ឬនៅលើឧបករណ៍ចល័ត។ មូលដ្ឋានចំណេះដឹងដើមឡើយរួមបញ្ចូលការពិពណ៌នាអំពីយុទ្ធសាស្ត្រ និងបច្ចេកទេសចំនួន 121 ដែលប្រើក្នុងការវាយប្រហារ ដែលនីមួយៗត្រូវបានពិពណ៌នាយ៉ាងលម្អិតនៅក្នុងទម្រង់វិគី។ ការវិភាគ​ការ​ស៊ើបការណ៍​គំរាមកំហែង​ផ្សេងៗ​ត្រូវ​បាន​សម​ល្អ​ជា​ប្រភព​សម្រាប់​បង្កើត​សម្មតិកម្ម។ ចំណាំជាពិសេសគឺលទ្ធផលនៃការវិភាគហេដ្ឋារចនាសម្ព័ន្ធនិងការធ្វើតេស្តការជ្រៀតចូល - នេះគឺជាទិន្នន័យដ៏មានតម្លៃបំផុតដែលអាចផ្តល់ឱ្យយើងនូវសម្មតិកម្មដែកដោយសារតែការពិតដែលថាពួកគេផ្អែកលើហេដ្ឋារចនាសម្ព័ន្ធជាក់លាក់ជាមួយនឹងចំណុចខ្វះខាតជាក់លាក់របស់វា។

ដំណើរការសាកល្បងសម្មតិកម្ម

លោក Sergei Soldatov បាននាំមក ដ្យាក្រាមល្អ។ ជាមួយនឹងការពិពណ៌នាលម្អិតនៃដំណើរការ វាបង្ហាញពីដំណើរការនៃការធ្វើតេស្តសម្មតិកម្ម TH នៅក្នុងប្រព័ន្ធតែមួយ។ ខ្ញុំនឹងបង្ហាញពីដំណាក់កាលសំខាន់ៗជាមួយនឹងការពិពណ៌នាសង្ខេប។

ប្រភព

ដំណាក់កាលទី 1: កសិដ្ឋាន TI

នៅដំណាក់កាលនេះវាចាំបាច់ក្នុងការបន្លិច វត្ថុ (ដោយ​ការ​វិភាគ​ពួកវា​រួម​ជា​មួយ​នឹង​ទិន្នន័យ​ការ​គំរាម​កំហែង​ទាំង​អស់) និង​កំណត់​ស្លាក​សម្រាប់​លក្ខណៈ​របស់​ពួកគេ។ ទាំងនេះគឺជាឯកសារ, URL, MD5, ដំណើរការ, ឧបករណ៍ប្រើប្រាស់, ព្រឹត្តិការណ៍។ នៅពេលបញ្ជូនពួកគេតាមរយៈប្រព័ន្ធ Threat Intelligence ចាំបាច់ត្រូវភ្ជាប់ស្លាក។ នោះគឺគេហទំព័រនេះត្រូវបានគេកត់សម្គាល់ឃើញនៅក្នុង CNC ក្នុងឆ្នាំបែបនេះ ហើយ MD5 នេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងមេរោគបែបនេះ ហើយ MD5 នេះត្រូវបានទាញយកពីគេហទំព័រដែលចែកចាយមេរោគ។

ដំណាក់កាលទី 2: ករណី

នៅដំណាក់កាលទីពីរ យើងពិនិត្យមើលអន្តរកម្មរវាងវត្ថុទាំងនេះ និងកំណត់ទំនាក់ទំនងរវាងវត្ថុទាំងអស់នេះ។ យើងទទួលបានប្រព័ន្ធសម្គាល់ដែលធ្វើអ្វីមួយមិនល្អ។

ដំណាក់កាលទី 3: អ្នកវិភាគ

នៅដំណាក់កាលទី 3 ករណីនេះត្រូវបានផ្ទេរទៅឱ្យអ្នកវិភាគដែលមានបទពិសោធន៍យ៉ាងទូលំទូលាយក្នុងការវិភាគហើយគាត់ធ្វើសាលក្រម។ គាត់ញែកទៅជាបៃថាអ្វី កន្លែងណា របៀបណា ហេតុអ្វី និងហេតុអ្វីលេខកូដនេះធ្វើ។ រាងកាយនេះគឺជាមេរោគ កុំព្យូទ័រនេះត្រូវបានឆ្លងមេរោគ។ បង្ហាញការតភ្ជាប់រវាងវត្ថុ ពិនិត្យមើលលទ្ធផលនៃការដំណើរការតាមរយៈប្រអប់ខ្សាច់។

លទ្ធផលនៃការងាររបស់អ្នកវិភាគត្រូវបានបញ្ជូនបន្ត។ Digital Forensics ពិនិត្យរូបភាព ការវិភាគ Malware ពិនិត្យ "សាកសព" ដែលបានរកឃើញ ហើយក្រុមឆ្លើយតបឧប្បត្តិហេតុអាចចូលទៅកាន់គេហទំព័រ និងស៊ើបអង្កេតអ្វីមួយនៅទីនោះ។ លទ្ធផលនៃការងារនឹងក្លាយជាសម្មតិកម្មដែលបានបញ្ជាក់ ការវាយប្រហារដែលបានកំណត់អត្តសញ្ញាណ និងវិធីដើម្បីទប់ទល់នឹងវា។

ប្រភព
 

លទ្ធផល

Threat Hunting គឺជាបច្ចេកវិទ្យាវ័យក្មេងដែលអាចទប់ទល់នឹងការគម្រាមកំហែងតាមតម្រូវការ ថ្មី និងមិនមានស្តង់ដារប្រកបដោយប្រសិទ្ធភាព ដែលមានការរំពឹងទុកដ៏អស្ចារ្យដោយសារការកើនឡើងនៃការគំរាមកំហែងបែបនេះ និងការកើនឡើងនៃភាពស្មុគស្មាញនៃហេដ្ឋារចនាសម្ព័ន្ធសាជីវកម្ម។ វាទាមទារសមាសភាគបី - ទិន្នន័យ ឧបករណ៍ និងអ្នកវិភាគ។ អត្ថប្រយោជន៍នៃការបរបាញ់គំរាមកំហែងមិនត្រូវបានកំណត់ចំពោះការការពារការអនុវត្តការគំរាមកំហែងនោះទេ។ កុំភ្លេចថាក្នុងអំឡុងពេលដំណើរការស្វែងរក យើងចូលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់យើង និងចំណុចខ្សោយរបស់វា តាមរយៈក្រសែភ្នែករបស់អ្នកវិភាគសុវត្ថិភាព ហើយអាចពង្រឹងចំណុចទាំងនេះបន្ថែមទៀត។

ជំហានដំបូងដែលតាមគំនិតរបស់យើង ត្រូវធ្វើដើម្បីចាប់ផ្តើមដំណើរការ TH នៅក្នុងស្ថាប័នរបស់អ្នក។

1. ថែរក្សាការការពារចំណុចបញ្ចប់ និងហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ។ ថែរក្សាភាពមើលឃើញ (NetFlow) និងការគ្រប់គ្រង (ជញ្ជាំងភ្លើង IDS, IPS, DLP) នៃដំណើរការទាំងអស់នៅលើបណ្តាញរបស់អ្នក។ ស្គាល់បណ្តាញរបស់អ្នកពី edge router ទៅ host ចុងក្រោយបំផុត។
2. រុករក MITER ATT&CK.
3. ធ្វើការសាកល្បងជាប្រចាំនូវធនធានខាងក្រៅសំខាន់ៗ វិភាគលទ្ធផលរបស់វា កំណត់គោលដៅចម្បងសម្រាប់ការវាយប្រហារ និងបិទភាពងាយរងគ្រោះរបស់ពួកគេ។
4. អនុវត្តប្រព័ន្ធស៊ើបការណ៍គំរាមកំហែងប្រភពបើកចំហ (ឧទាហរណ៍ MISP, Yeti) និងវិភាគកំណត់ហេតុដោយភ្ជាប់ជាមួយវា។
5. អនុវត្តវេទិកាឆ្លើយតបឧប្បត្តិហេតុ (IRP)៖ R-Vision IRP, The Hive, sandbox សម្រាប់វិភាគឯកសារគួរឱ្យសង្ស័យ (FortiSandbox, Cuckoo)។
6. ធ្វើឱ្យដំណើរការធម្មតាដោយស្វ័យប្រវត្តិ។ ការវិភាគកំណត់ហេតុ ការកត់ត្រាឧប្បត្តិហេតុ ការជូនដំណឹងដល់បុគ្គលិក គឺជាវិស័យដ៏ធំមួយសម្រាប់ស្វ័យប្រវត្តិកម្ម។
7. រៀនធ្វើអន្តរកម្មប្រកបដោយប្រសិទ្ធភាពជាមួយវិស្វករ អ្នកអភិវឌ្ឍន៍ និងជំនួយបច្ចេកទេស ដើម្បីសហការលើឧប្បត្តិហេតុ។
8. ចងក្រងឯកសារដំណើរការទាំងមូល ចំណុចសំខាន់ៗ លទ្ធផលដែលសម្រេចបាន ដើម្បីត្រលប់ទៅពួកគេនៅពេលក្រោយ ឬចែករំលែកទិន្នន័យនេះជាមួយសហសេវិក។
9. ត្រូវមានសង្គម៖ ត្រូវដឹងពីអ្វីដែលកំពុងកើតឡើងជាមួយបុគ្គលិករបស់អ្នក អ្នកជួលអ្នកណា និងអ្នកណាដែលអ្នកផ្តល់សិទ្ធិចូលប្រើប្រាស់ធនធានព័ត៌មានរបស់អង្គការ។
10. រក្សានិន្នាការក្នុងវិស័យនៃការគំរាមកំហែងថ្មី និងវិធីសាស្រ្តនៃការការពារ បង្កើនកម្រិតចំណេះដឹងបច្ចេកទេសរបស់អ្នក (រួមទាំងប្រតិបត្តិការនៃសេវាកម្ម IT និងប្រព័ន្ធរង) ចូលរួមសន្និសីទ និងទំនាក់ទំនងជាមួយសហសេវិក។

រួចរាល់ដើម្បីពិភាក្សាអំពីការរៀបចំដំណើរការ TH នៅក្នុងមតិយោបល់។

ឬមកធ្វើការជាមួយយើង!

• ដឹកនាំទីប្រឹក្សាសន្តិសុខព័ត៌មាន
• ស្ថាបត្យករប្រព័ន្ធសម្រាប់សុវត្ថិភាពព័ត៌មាន
• វិស្វករសុវត្ថិភាពបណ្តាញនាំមុខ
• វិស្វករសុវត្ថិភាពព័ត៌មាននាំមុខ (SIEM)
• ស្ថាបត្យករសន្តិសុខព័ត៌មាន (កម្មវិធី)

ប្រភព និងសម្ភារៈសិក្សា

• អ្នកគំរាមកំហែង.guru
• attack.mitre.org
• ឌីជីថល-forensics.sans.org
• resources.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• ឆ្លើយតបទៅ all.blogspot.com
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

ប្រភព: www.habr.com