ಬೆದರಿಕೆ ಬೇಟೆ, ಅಥವಾ 5% ಬೆದರಿಕೆಗಳಿಂದ ನಿಮ್ಮನ್ನು ಹೇಗೆ ರಕ್ಷಿಸಿಕೊಳ್ಳುವುದು

95% ಮಾಹಿತಿ ಭದ್ರತಾ ಬೆದರಿಕೆಗಳು ತಿಳಿದಿವೆ ಮತ್ತು ಆಂಟಿವೈರಸ್‌ಗಳು, ಫೈರ್‌ವಾಲ್‌ಗಳು, IDS, WAF ನಂತಹ ಸಾಂಪ್ರದಾಯಿಕ ವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನೀವು ಅವುಗಳಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳಬಹುದು. ಉಳಿದ 5% ಬೆದರಿಕೆಗಳು ತಿಳಿದಿಲ್ಲ ಮತ್ತು ಅತ್ಯಂತ ಅಪಾಯಕಾರಿ. ಅವರು ಕಂಪನಿಗೆ 70% ನಷ್ಟು ಅಪಾಯವನ್ನು ಹೊಂದಿದ್ದಾರೆ, ಏಕೆಂದರೆ ಅವುಗಳನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ತುಂಬಾ ಕಷ್ಟ, ಅವುಗಳ ವಿರುದ್ಧ ಕಡಿಮೆ ರಕ್ಷಿಸುತ್ತದೆ. ಉದಾಹರಣೆಗಳು "ಕಪ್ಪು ಹಂಸಗಳು" WannaCry ransomware ಸಾಂಕ್ರಾಮಿಕ, NotPetya/ExPetr, ಕ್ರಿಪ್ಟೋಮಿನರ್‌ಗಳು, "ಸೈಬರ್ ಆಯುಧ" ಸ್ಟಕ್ಸ್‌ನೆಟ್ (ಇರಾನ್‌ನ ಪರಮಾಣು ಸೌಲಭ್ಯಗಳನ್ನು ಹೊಡೆದಿದೆ) ಮತ್ತು ಅನೇಕ (ಯಾರಾದರೂ ಕಿಡೋ/ಕಾನ್‌ಫಿಕರ್ ಅನ್ನು ನೆನಪಿಸಿಕೊಳ್ಳುತ್ತಾರೆಯೇ?) ಶಾಸ್ತ್ರೀಯ ಭದ್ರತಾ ಕ್ರಮಗಳೊಂದಿಗೆ ಉತ್ತಮವಾಗಿ ಸಮರ್ಥಿಸದ ಇತರ ದಾಳಿಗಳು. ಥ್ರೆಟ್ ಹಂಟಿಂಗ್ ತಂತ್ರಜ್ಞಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಈ 5% ಬೆದರಿಕೆಗಳನ್ನು ಹೇಗೆ ಎದುರಿಸುವುದು ಎಂಬುದರ ಕುರಿತು ನಾವು ಮಾತನಾಡಲು ಬಯಸುತ್ತೇವೆ.

ಸೈಬರ್ ದಾಳಿಯ ನಿರಂತರ ವಿಕಸನಕ್ಕೆ ನಿರಂತರ ಪತ್ತೆ ಮತ್ತು ಪ್ರತಿಕ್ರಮಗಳ ಅಗತ್ಯವಿರುತ್ತದೆ, ಇದು ಅಂತಿಮವಾಗಿ ಆಕ್ರಮಣಕಾರರು ಮತ್ತು ರಕ್ಷಕರ ನಡುವಿನ ಅಂತ್ಯವಿಲ್ಲದ ಶಸ್ತ್ರಾಸ್ತ್ರ ಸ್ಪರ್ಧೆಯ ಬಗ್ಗೆ ಯೋಚಿಸಲು ನಮಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಕ್ಲಾಸಿಕ್ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಗಳು ಇನ್ನು ಮುಂದೆ ಸ್ವೀಕಾರಾರ್ಹ ಮಟ್ಟದ ಭದ್ರತೆಯನ್ನು ಒದಗಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ, ಇದರಲ್ಲಿ ಅಪಾಯದ ಮಟ್ಟವು ನಿರ್ದಿಷ್ಟ ಮೂಲಸೌಕರ್ಯಕ್ಕಾಗಿ ಅವುಗಳನ್ನು ಮಾರ್ಪಡಿಸದೆ ಕಂಪನಿಯ ಪ್ರಮುಖ ಸೂಚಕಗಳನ್ನು (ಆರ್ಥಿಕ, ರಾಜಕೀಯ, ಖ್ಯಾತಿ) ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ, ಆದರೆ ಸಾಮಾನ್ಯವಾಗಿ ಅವುಗಳು ಕೆಲವು ಒಳಗೊಳ್ಳುತ್ತವೆ. ಅಪಾಯಗಳು. ಈಗಾಗಲೇ ಅನುಷ್ಠಾನ ಮತ್ತು ಸಂರಚನೆಯ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ, ಆಧುನಿಕ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಗಳು ಹಿಡಿಯುವ ಪಾತ್ರದಲ್ಲಿ ತಮ್ಮನ್ನು ಕಂಡುಕೊಳ್ಳುತ್ತವೆ ಮತ್ತು ಹೊಸ ಸಮಯದ ಸವಾಲುಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಬೇಕು.

ಮೂಲ

ಥ್ರೆಟ್ ಹಂಟಿಂಗ್ ತಂತ್ರಜ್ಞಾನವು ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರಿಗೆ ನಮ್ಮ ಸಮಯದ ಸವಾಲುಗಳಿಗೆ ಉತ್ತರಗಳಲ್ಲಿ ಒಂದಾಗಿರಬಹುದು. ಥ್ರೆಟ್ ಹಂಟಿಂಗ್ (ಇನ್ನು ಮುಂದೆ TH ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗುತ್ತದೆ) ಎಂಬ ಪದವು ಹಲವಾರು ವರ್ಷಗಳ ಹಿಂದೆ ಕಾಣಿಸಿಕೊಂಡಿತು. ತಂತ್ರಜ್ಞಾನವು ಸಾಕಷ್ಟು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ, ಆದರೆ ಇನ್ನೂ ಯಾವುದೇ ಸಾಮಾನ್ಯವಾಗಿ ಸ್ವೀಕರಿಸಿದ ಮಾನದಂಡಗಳು ಮತ್ತು ನಿಯಮಗಳನ್ನು ಹೊಂದಿಲ್ಲ. ಈ ವಿಷಯವು ಮಾಹಿತಿ ಮೂಲಗಳ ವೈವಿಧ್ಯತೆ ಮತ್ತು ಈ ವಿಷಯದ ಬಗ್ಗೆ ಕಡಿಮೆ ಸಂಖ್ಯೆಯ ರಷ್ಯನ್ ಭಾಷೆಯ ಮೂಲಗಳಿಂದ ಕೂಡ ಜಟಿಲವಾಗಿದೆ. ಈ ನಿಟ್ಟಿನಲ್ಲಿ, LANIT-ಇಂಟಿಗ್ರೇಷನ್‌ನಲ್ಲಿ ನಾವು ಈ ತಂತ್ರಜ್ಞಾನದ ವಿಮರ್ಶೆಯನ್ನು ಬರೆಯಲು ನಿರ್ಧರಿಸಿದ್ದೇವೆ.

ಪ್ರಸ್ತುತತೆ

TH ತಂತ್ರಜ್ಞಾನವು ಮೂಲಸೌಕರ್ಯ ಮೇಲ್ವಿಚಾರಣಾ ಪ್ರಕ್ರಿಯೆಗಳ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿದೆ. ಆಂತರಿಕ ಮೇಲ್ವಿಚಾರಣೆಗೆ ಎರಡು ಪ್ರಮುಖ ಸನ್ನಿವೇಶಗಳಿವೆ - ಎಚ್ಚರಿಕೆ ಮತ್ತು ಬೇಟೆ. ಎಚ್ಚರಿಕೆ ನೀಡುವುದು (MSSP ಸೇವೆಗಳಂತೆಯೇ) ಹಿಂದೆ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಸಹಿಗಳು ಮತ್ತು ದಾಳಿಯ ಚಿಹ್ನೆಗಳನ್ನು ಹುಡುಕುವ ಮತ್ತು ಅವುಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸುವ ಸಾಂಪ್ರದಾಯಿಕ ವಿಧಾನವಾಗಿದೆ. ಸಾಂಪ್ರದಾಯಿಕ ಸಹಿ-ಆಧಾರಿತ ರಕ್ಷಣಾ ಸಾಧನಗಳಿಂದ ಈ ಸನ್ನಿವೇಶವನ್ನು ಯಶಸ್ವಿಯಾಗಿ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ. ಬೇಟೆಯಾಡುವುದು (MDR ಪ್ರಕಾರದ ಸೇವೆ) "ಸಹಿಗಳು ಮತ್ತು ನಿಯಮಗಳು ಎಲ್ಲಿಂದ ಬರುತ್ತವೆ?" ಎಂಬ ಪ್ರಶ್ನೆಗೆ ಉತ್ತರಿಸುವ ಮೇಲ್ವಿಚಾರಣಾ ವಿಧಾನವಾಗಿದೆ. ಇದು ಗುಪ್ತ ಅಥವಾ ಹಿಂದೆ ತಿಳಿದಿಲ್ಲದ ಸೂಚಕಗಳು ಮತ್ತು ದಾಳಿಯ ಚಿಹ್ನೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಮೂಲಕ ಪರಸ್ಪರ ಸಂಬಂಧದ ನಿಯಮಗಳನ್ನು ರಚಿಸುವ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ. ಬೆದರಿಕೆ ಬೇಟೆಯು ಈ ರೀತಿಯ ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ.

ಎರಡೂ ರೀತಿಯ ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಸಂಯೋಜಿಸುವ ಮೂಲಕ ಮಾತ್ರ ನಾವು ಆದರ್ಶಕ್ಕೆ ಹತ್ತಿರವಿರುವ ರಕ್ಷಣೆಯನ್ನು ಪಡೆಯುತ್ತೇವೆ, ಆದರೆ ಯಾವಾಗಲೂ ಒಂದು ನಿರ್ದಿಷ್ಟ ಮಟ್ಟದ ಉಳಿದಿರುವ ಅಪಾಯವಿರುತ್ತದೆ.

ಎರಡು ರೀತಿಯ ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ರಕ್ಷಣೆ

ಮತ್ತು ಇಲ್ಲಿ ಏಕೆ TH (ಮತ್ತು ಅದರ ಸಂಪೂರ್ಣ ಬೇಟೆ!) ಹೆಚ್ಚು ಪ್ರಸ್ತುತವಾಗುತ್ತದೆ:

ಬೆದರಿಕೆಗಳು, ಪರಿಹಾರಗಳು, ಅಪಾಯಗಳು. ಮೂಲ

95% ಎಲ್ಲಾ ಬೆದರಿಕೆಗಳನ್ನು ಈಗಾಗಲೇ ಚೆನ್ನಾಗಿ ಅಧ್ಯಯನ ಮಾಡಲಾಗಿದೆ. ಇವುಗಳಲ್ಲಿ ಸ್ಪ್ಯಾಮ್, DDoS, ವೈರಸ್‌ಗಳು, ರೂಟ್‌ಕಿಟ್‌ಗಳು ಮತ್ತು ಇತರ ಕ್ಲಾಸಿಕ್ ಮಾಲ್‌ವೇರ್‌ಗಳಂತಹ ಪ್ರಕಾರಗಳು ಸೇರಿವೆ. ಅದೇ ಕ್ಲಾಸಿಕ್ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನೀವು ಈ ಬೆದರಿಕೆಗಳಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳಬಹುದು.

ಯಾವುದೇ ಯೋಜನೆಯ ಅನುಷ್ಠಾನದ ಸಮಯದಲ್ಲಿ 20% ಕೆಲಸವು ಪೂರ್ಣಗೊಳ್ಳಲು 80% ಸಮಯವನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ, ಮತ್ತು ಉಳಿದ 20% ಕೆಲಸವು 80% ಸಮಯವನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಅಂತೆಯೇ, ಸಂಪೂರ್ಣ ಬೆದರಿಕೆ ಭೂದೃಶ್ಯದಾದ್ಯಂತ, 5% ಹೊಸ ಬೆದರಿಕೆಗಳು ಕಂಪನಿಯ ಅಪಾಯದ 70% ನಷ್ಟಿದೆ. ಮಾಹಿತಿ ಭದ್ರತಾ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಆಯೋಜಿಸಿರುವ ಕಂಪನಿಯಲ್ಲಿ, ತಿಳಿದಿರುವ ಬೆದರಿಕೆಗಳ ಅನುಷ್ಠಾನದ ಅಪಾಯದ 30% ಅನ್ನು ನಾವು ತಪ್ಪಿಸುವ ಮೂಲಕ (ತಾತ್ವಿಕವಾಗಿ ವೈರ್‌ಲೆಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳ ನಿರಾಕರಣೆ), ಸ್ವೀಕರಿಸುವ (ಅಗತ್ಯ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಜಾರಿಗೊಳಿಸುವುದು) ಅಥವಾ ಬದಲಾಯಿಸುವ ಮೂಲಕ ನಿರ್ವಹಿಸಬಹುದು. (ಉದಾಹರಣೆಗೆ, ಸಂಯೋಜಕನ ಭುಜದ ಮೇಲೆ) ಈ ಅಪಾಯ. ನಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳಿ ಶೂನ್ಯ ದಿನದ ದುರ್ಬಲತೆಗಳು, APT ದಾಳಿಗಳು, ಫಿಶಿಂಗ್, ಪೂರೈಕೆ ಸರಣಿ ದಾಳಿಗಳು, ಸೈಬರ್ ಬೇಹುಗಾರಿಕೆ ಮತ್ತು ರಾಷ್ಟ್ರೀಯ ಕಾರ್ಯಾಚರಣೆಗಳು, ಹಾಗೆಯೇ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಇತರ ದಾಳಿಗಳು ಈಗಾಗಲೇ ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿವೆ. ಈ 5% ಬೆದರಿಕೆಗಳ ಪರಿಣಾಮಗಳು ಹೆಚ್ಚು ಗಂಭೀರವಾಗಿರುತ್ತವೆ (ಬಹ್ಟ್ರಾಪ್ ಗುಂಪಿನಿಂದ ಬ್ಯಾಂಕ್ ನಷ್ಟಗಳ ಸರಾಸರಿ ಮೊತ್ತ 143 ಮಿಲಿಯನ್) ಸ್ಪ್ಯಾಮ್ ಅಥವಾ ವೈರಸ್‌ಗಳ ಪರಿಣಾಮಗಳಿಗಿಂತ, ಆಂಟಿವೈರಸ್ ಸಾಫ್ಟ್‌ವೇರ್ ಉಳಿಸುತ್ತದೆ.

ಬಹುತೇಕ ಎಲ್ಲರೂ 5% ಬೆದರಿಕೆಗಳನ್ನು ಎದುರಿಸಬೇಕಾಗುತ್ತದೆ. ನಾವು ಇತ್ತೀಚೆಗೆ PEAR (PHP ವಿಸ್ತರಣೆ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ರೆಪೊಸಿಟರಿ) ರೆಪೊಸಿಟರಿಯಿಂದ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಬಳಸುವ ಮುಕ್ತ-ಮೂಲ ಪರಿಹಾರವನ್ನು ಸ್ಥಾಪಿಸಬೇಕಾಗಿತ್ತು. ಪಿಯರ್ ಇನ್‌ಸ್ಟಾಲ್ ಮೂಲಕ ಈ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಪ್ರಯತ್ನ ವಿಫಲವಾಗಿದೆ ಏಕೆಂದರೆ ವೆಬ್ಸೈಟ್ ಲಭ್ಯವಿಲ್ಲ (ಈಗ ಅದರ ಮೇಲೆ ಸ್ಟಬ್ ಇದೆ), ನಾನು ಅದನ್ನು GitHub ನಿಂದ ಸ್ಥಾಪಿಸಬೇಕಾಗಿತ್ತು. ಮತ್ತು ಇತ್ತೀಚೆಗೆ PEAR ಬಲಿಪಶುವಾಗಿದೆ ಎಂದು ತಿಳಿದುಬಂದಿದೆ ಪೂರೈಕೆ ಸರಣಿ ದಾಳಿಗಳು.

ನೀವು ಇನ್ನೂ ನೆನಪಿಸಿಕೊಳ್ಳಬಹುದು CCleaner ಬಳಸಿ ದಾಳಿ, ತೆರಿಗೆ ವರದಿ ಮಾಡುವ ಕಾರ್ಯಕ್ರಮಕ್ಕಾಗಿ ನವೀಕರಣ ಮಾಡ್ಯೂಲ್ ಮೂಲಕ NePetya ransomware ನ ಸಾಂಕ್ರಾಮಿಕ MEDoc. ಬೆದರಿಕೆಗಳು ಹೆಚ್ಚು ಹೆಚ್ಚು ಅತ್ಯಾಧುನಿಕವಾಗುತ್ತಿವೆ ಮತ್ತು ತಾರ್ಕಿಕ ಪ್ರಶ್ನೆ ಉದ್ಭವಿಸುತ್ತದೆ - "ಈ 5% ಬೆದರಿಕೆಗಳನ್ನು ನಾವು ಹೇಗೆ ಎದುರಿಸಬಹುದು?"

ಬೆದರಿಕೆ ಬೇಟೆಯ ವ್ಯಾಖ್ಯಾನ

ಆದ್ದರಿಂದ, ಥ್ರೆಟ್ ಹಂಟಿಂಗ್ ಎನ್ನುವುದು ಪೂರ್ವಭಾವಿ ಮತ್ತು ಪುನರಾವರ್ತಿತ ಹುಡುಕಾಟ ಮತ್ತು ಸಾಂಪ್ರದಾಯಿಕ ಭದ್ರತಾ ಸಾಧನಗಳಿಂದ ಪತ್ತೆಹಚ್ಚಲಾಗದ ಮುಂದುವರಿದ ಬೆದರಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ. ಸುಧಾರಿತ ಬೆದರಿಕೆಗಳು, ಉದಾಹರಣೆಗೆ, ಎಪಿಟಿಯಂತಹ ದಾಳಿಗಳು, 0-ದಿನದ ದುರ್ಬಲತೆಗಳ ಮೇಲಿನ ದಾಳಿಗಳು, ಲಿವಿಂಗ್ ಆಫ್ ದಿ ಲ್ಯಾಂಡ್, ಇತ್ಯಾದಿ.

TH ಎಂಬುದು ಊಹೆಗಳನ್ನು ಪರೀಕ್ಷಿಸುವ ಪ್ರಕ್ರಿಯೆ ಎಂದು ನಾವು ಪುನರಾವರ್ತನೆ ಮಾಡಬಹುದು. ಇದು ಯಾಂತ್ರೀಕೃತಗೊಂಡ ಅಂಶಗಳೊಂದಿಗೆ ಪ್ರಧಾನವಾಗಿ ಹಸ್ತಚಾಲಿತ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ, ಇದರಲ್ಲಿ ವಿಶ್ಲೇಷಕನು ತನ್ನ ಜ್ಞಾನ ಮತ್ತು ಕೌಶಲ್ಯಗಳನ್ನು ಅವಲಂಬಿಸಿ, ಒಂದು ನಿರ್ದಿಷ್ಟ ಬೆದರಿಕೆಯ ಉಪಸ್ಥಿತಿಯ ಬಗ್ಗೆ ಆರಂಭದಲ್ಲಿ ನಿರ್ಧರಿಸಿದ ಊಹೆಗೆ ಅನುಗುಣವಾದ ರಾಜಿ ಚಿಹ್ನೆಗಳ ಹುಡುಕಾಟದಲ್ಲಿ ದೊಡ್ಡ ಪ್ರಮಾಣದ ಮಾಹಿತಿಯ ಮೂಲಕ ಶೋಧಿಸುತ್ತಾನೆ. ಇದರ ವಿಶಿಷ್ಟ ಲಕ್ಷಣವೆಂದರೆ ವಿವಿಧ ಮಾಹಿತಿ ಮೂಲಗಳು.

ಥ್ರೆಟ್ ಹಂಟಿಂಗ್ ಕೆಲವು ರೀತಿಯ ಸಾಫ್ಟ್‌ವೇರ್ ಅಥವಾ ಹಾರ್ಡ್‌ವೇರ್ ಉತ್ಪನ್ನವಲ್ಲ ಎಂದು ಗಮನಿಸಬೇಕು. ಇವು ಕೆಲವು ಪರಿಹಾರಗಳಲ್ಲಿ ಕಂಡುಬರುವ ಎಚ್ಚರಿಕೆಗಳಲ್ಲ. ಇದು IOC (ಐಡೆಂಟಿಫೈಯರ್ ಆಫ್ ಕಾಂಪ್ರಮೈಸ್) ಹುಡುಕಾಟ ಪ್ರಕ್ರಿಯೆಯಲ್ಲ. ಮತ್ತು ಇದು ಮಾಹಿತಿ ಭದ್ರತಾ ವಿಶ್ಲೇಷಕರ ಭಾಗವಹಿಸುವಿಕೆ ಇಲ್ಲದೆ ಸಂಭವಿಸುವ ಕೆಲವು ರೀತಿಯ ನಿಷ್ಕ್ರಿಯ ಚಟುವಟಿಕೆಯಲ್ಲ. ಬೆದರಿಕೆ ಬೇಟೆಯು ಮೊದಲ ಮತ್ತು ಅಗ್ರಗಣ್ಯ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ.

ಬೆದರಿಕೆ ಬೇಟೆಯ ಅಂಶಗಳು

ಬೆದರಿಕೆ ಬೇಟೆಯ ಮೂರು ಮುಖ್ಯ ಅಂಶಗಳು: ಡೇಟಾ, ತಂತ್ರಜ್ಞಾನ, ಜನರು.

ಡೇಟಾ (ಏನು?), ಬಿಗ್ ಡೇಟಾ ಸೇರಿದಂತೆ. ಎಲ್ಲಾ ರೀತಿಯ ಸಂಚಾರ ಹರಿವುಗಳು, ಹಿಂದಿನ APT ಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿ, ವಿಶ್ಲೇಷಣೆಗಳು, ಬಳಕೆದಾರರ ಚಟುವಟಿಕೆಯ ಡೇಟಾ, ನೆಟ್‌ವರ್ಕ್ ಡೇಟಾ, ಉದ್ಯೋಗಿಗಳಿಂದ ಮಾಹಿತಿ, ಡಾರ್ಕ್‌ನೆಟ್‌ನಲ್ಲಿನ ಮಾಹಿತಿ ಮತ್ತು ಇನ್ನಷ್ಟು.

ತಂತ್ರಜ್ಞಾನಗಳು (ಹೇಗೆ?) ಈ ಡೇಟಾವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವುದು - ಯಂತ್ರ ಕಲಿಕೆ ಸೇರಿದಂತೆ ಈ ಡೇಟಾವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಸಾಧ್ಯವಿರುವ ಎಲ್ಲಾ ವಿಧಾನಗಳು.

ಜನರು (ಯಾರು?) - ವಿವಿಧ ದಾಳಿಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವಲ್ಲಿ ವ್ಯಾಪಕವಾದ ಅನುಭವವನ್ನು ಹೊಂದಿರುವವರು, ಅಭಿವೃದ್ಧಿ ಹೊಂದಿದ ಅಂತಃಪ್ರಜ್ಞೆ ಮತ್ತು ದಾಳಿಯನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಸಾಮರ್ಥ್ಯ. ವಿಶಿಷ್ಟವಾಗಿ ಇವುಗಳು ಮಾಹಿತಿ ಭದ್ರತಾ ವಿಶ್ಲೇಷಕರಾಗಿದ್ದು, ಅವರು ಊಹೆಗಳನ್ನು ರಚಿಸುವ ಮತ್ತು ಅವರಿಗೆ ದೃಢೀಕರಣವನ್ನು ಕಂಡುಕೊಳ್ಳುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರಬೇಕು. ಅವರು ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಮುಖ್ಯ ಲಿಂಕ್ ಆಗಿದ್ದಾರೆ.

ಮಾದರಿ ಪ್ಯಾರಿಸ್

ಆಡಮ್ ಬೇಟೆಮನ್ ವಿವರಿಸುತ್ತದೆ ಆದರ್ಶ TH ಪ್ರಕ್ರಿಯೆಗಾಗಿ PARIS ಮಾದರಿ. ಈ ಹೆಸರು ಫ್ರಾನ್ಸ್‌ನ ಪ್ರಸಿದ್ಧ ಹೆಗ್ಗುರುತನ್ನು ಸೂಚಿಸುತ್ತದೆ. ಈ ಮಾದರಿಯನ್ನು ಎರಡು ದಿಕ್ಕುಗಳಲ್ಲಿ ವೀಕ್ಷಿಸಬಹುದು - ಮೇಲಿನಿಂದ ಮತ್ತು ಕೆಳಗಿನಿಂದ.

ನಾವು ಕೆಳಗಿನಿಂದ ಮಾದರಿಯ ಮೂಲಕ ನಮ್ಮ ರೀತಿಯಲ್ಲಿ ಕೆಲಸ ಮಾಡುವಾಗ, ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯ ಸಾಕಷ್ಟು ಪುರಾವೆಗಳನ್ನು ನಾವು ಎದುರಿಸುತ್ತೇವೆ. ಪ್ರತಿಯೊಂದು ಪುರಾವೆಯು ಆತ್ಮವಿಶ್ವಾಸ ಎಂಬ ಅಳತೆಯನ್ನು ಹೊಂದಿದೆ - ಈ ಸಾಕ್ಷ್ಯದ ತೂಕವನ್ನು ಪ್ರತಿಬಿಂಬಿಸುವ ಒಂದು ಗುಣಲಕ್ಷಣ. "ಕಬ್ಬಿಣ", ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯ ನೇರ ಸಾಕ್ಷ್ಯವಿದೆ, ಅದರ ಪ್ರಕಾರ ನಾವು ತಕ್ಷಣವೇ ಪಿರಮಿಡ್ನ ಮೇಲ್ಭಾಗವನ್ನು ತಲುಪಬಹುದು ಮತ್ತು ನಿಖರವಾಗಿ ತಿಳಿದಿರುವ ಸೋಂಕಿನ ಬಗ್ಗೆ ನಿಜವಾದ ಎಚ್ಚರಿಕೆಯನ್ನು ರಚಿಸಬಹುದು. ಮತ್ತು ಪರೋಕ್ಷ ಪುರಾವೆಗಳಿವೆ, ಅದರ ಮೊತ್ತವು ನಮ್ಮನ್ನು ಪಿರಮಿಡ್‌ನ ಮೇಲ್ಭಾಗಕ್ಕೆ ಕರೆದೊಯ್ಯುತ್ತದೆ. ಯಾವಾಗಲೂ ಹಾಗೆ, ನೇರ ಪುರಾವೆಗಳಿಗಿಂತ ಹೆಚ್ಚು ಪರೋಕ್ಷ ಪುರಾವೆಗಳಿವೆ, ಅಂದರೆ ಅವುಗಳನ್ನು ವಿಂಗಡಿಸಬೇಕು ಮತ್ತು ವಿಶ್ಲೇಷಿಸಬೇಕು, ಹೆಚ್ಚುವರಿ ಸಂಶೋಧನೆ ನಡೆಸಬೇಕು ಮತ್ತು ಇದನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಸಲಹೆ ನೀಡಲಾಗುತ್ತದೆ.

ಮಾದರಿ ಪ್ಯಾರಿಸ್. ಮೂಲ

ಮಾದರಿಯ ಮೇಲಿನ ಭಾಗವು (1 ಮತ್ತು 2) ಯಾಂತ್ರೀಕೃತಗೊಂಡ ತಂತ್ರಜ್ಞಾನಗಳು ಮತ್ತು ವಿವಿಧ ವಿಶ್ಲೇಷಣೆಗಳನ್ನು ಆಧರಿಸಿದೆ ಮತ್ತು ಕೆಳಗಿನ ಭಾಗವು (3 ಮತ್ತು 4) ಪ್ರಕ್ರಿಯೆಯನ್ನು ನಿರ್ವಹಿಸುವ ಕೆಲವು ಅರ್ಹತೆಗಳನ್ನು ಹೊಂದಿರುವ ಜನರನ್ನು ಆಧರಿಸಿದೆ. ಮೇಲಿನಿಂದ ಕೆಳಕ್ಕೆ ಚಲಿಸುವ ಮಾದರಿಯನ್ನು ನೀವು ಪರಿಗಣಿಸಬಹುದು, ಅಲ್ಲಿ ನೀಲಿ ಬಣ್ಣದ ಮೇಲಿನ ಭಾಗದಲ್ಲಿ ನಾವು ಸಾಂಪ್ರದಾಯಿಕ ಭದ್ರತಾ ಸಾಧನಗಳಿಂದ (ಆಂಟಿವೈರಸ್, ಇಡಿಆರ್, ಫೈರ್‌ವಾಲ್, ಸಹಿಗಳು) ಹೆಚ್ಚಿನ ಮಟ್ಟದ ವಿಶ್ವಾಸ ಮತ್ತು ನಂಬಿಕೆಯೊಂದಿಗೆ ಎಚ್ಚರಿಕೆಗಳನ್ನು ಹೊಂದಿದ್ದೇವೆ ಮತ್ತು ಕೆಳಗೆ ಸೂಚಕಗಳು ( IOC, URL, MD5 ಮತ್ತು ಇತರರು), ಇದು ಕಡಿಮೆ ಮಟ್ಟದ ಖಚಿತತೆಯನ್ನು ಹೊಂದಿದೆ ಮತ್ತು ಹೆಚ್ಚುವರಿ ಅಧ್ಯಯನದ ಅಗತ್ಯವಿರುತ್ತದೆ. ಮತ್ತು ಕಡಿಮೆ ಮತ್ತು ದಪ್ಪವಾದ ಮಟ್ಟ (4) ಊಹೆಗಳ ಪೀಳಿಗೆಯಾಗಿದೆ, ಸಾಂಪ್ರದಾಯಿಕ ರಕ್ಷಣೆಯ ವಿಧಾನಗಳ ಕಾರ್ಯಾಚರಣೆಗೆ ಹೊಸ ಸನ್ನಿವೇಶಗಳ ಸೃಷ್ಟಿ. ಈ ಮಟ್ಟವು ಊಹೆಗಳ ನಿರ್ದಿಷ್ಟ ಮೂಲಗಳಿಗೆ ಮಾತ್ರ ಸೀಮಿತವಾಗಿಲ್ಲ. ಕಡಿಮೆ ಮಟ್ಟ, ವಿಶ್ಲೇಷಕರ ಅರ್ಹತೆಗಳ ಮೇಲೆ ಹೆಚ್ಚಿನ ಅವಶ್ಯಕತೆಗಳನ್ನು ಇರಿಸಲಾಗುತ್ತದೆ.

ವಿಶ್ಲೇಷಕರು ಪೂರ್ವನಿರ್ಧರಿತ ಊಹೆಗಳ ಒಂದು ಸೀಮಿತ ಗುಂಪನ್ನು ಸರಳವಾಗಿ ಪರೀಕ್ಷಿಸುವುದಿಲ್ಲ, ಆದರೆ ಅವುಗಳನ್ನು ಪರೀಕ್ಷಿಸಲು ಹೊಸ ಕಲ್ಪನೆಗಳು ಮತ್ತು ಆಯ್ಕೆಗಳನ್ನು ರಚಿಸಲು ನಿರಂತರವಾಗಿ ಕೆಲಸ ಮಾಡುವುದು ಬಹಳ ಮುಖ್ಯ.

TH ಬಳಕೆಯ ಮೆಚುರಿಟಿ ಮಾದರಿ

ಆದರ್ಶ ಜಗತ್ತಿನಲ್ಲಿ, TH ಒಂದು ನಡೆಯುತ್ತಿರುವ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ. ಆದರೆ, ಆದರ್ಶ ಜಗತ್ತು ಇಲ್ಲದಿರುವುದರಿಂದ, ವಿಶ್ಲೇಷಿಸೋಣ ಪ್ರಬುದ್ಧತೆಯ ಮಾದರಿ ಮತ್ತು ಬಳಸಿದ ಜನರು, ಪ್ರಕ್ರಿಯೆಗಳು ಮತ್ತು ತಂತ್ರಜ್ಞಾನಗಳ ವಿಷಯದಲ್ಲಿ ವಿಧಾನಗಳು. ಆದರ್ಶ ಗೋಲಾಕಾರದ TH ನ ಮಾದರಿಯನ್ನು ನಾವು ಪರಿಗಣಿಸೋಣ. ಈ ತಂತ್ರಜ್ಞಾನವನ್ನು ಬಳಸುವ 5 ಹಂತಗಳಿವೆ. ವಿಶ್ಲೇಷಕರ ಒಂದೇ ತಂಡದ ವಿಕಾಸದ ಉದಾಹರಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಅವುಗಳನ್ನು ನೋಡೋಣ.

ಪ್ರಬುದ್ಧತೆಯ ಮಟ್ಟಗಳು
ಜನರು
ಪ್ರಕ್ರಿಯೆಗಳು
ತಂತ್ರಜ್ಞಾನದ

0 ಮಟ್ಟ
SOC ವಿಶ್ಲೇಷಕರು
24/7
ಸಾಂಪ್ರದಾಯಿಕ ವಾದ್ಯಗಳು:

ಸಾಂಪ್ರದಾಯಿಕ
ಎಚ್ಚರಿಕೆಗಳ ಸೆಟ್
ನಿಷ್ಕ್ರಿಯ ಮೇಲ್ವಿಚಾರಣೆ
IDS, AV, ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸಿಂಗ್,

TH ಇಲ್ಲದೆ
ಎಚ್ಚರಿಕೆಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವುದು

ಸಹಿ ವಿಶ್ಲೇಷಣೆ ಪರಿಕರಗಳು, ಬೆದರಿಕೆ ಗುಪ್ತಚರ ಡೇಟಾ.

1 ಮಟ್ಟ
SOC ವಿಶ್ಲೇಷಕರು
ಒಂದು ಬಾರಿ TH
ಇಡಿಆರ್

ಪ್ರಾಯೋಗಿಕ
ವಿಧಿವಿಜ್ಞಾನದ ಮೂಲಭೂತ ಜ್ಞಾನ
IOC ಹುಡುಕಾಟ
ನೆಟ್ವರ್ಕ್ ಸಾಧನಗಳಿಂದ ಡೇಟಾದ ಭಾಗಶಃ ಕವರೇಜ್

TH ಜೊತೆಗಿನ ಪ್ರಯೋಗಗಳು
ನೆಟ್‌ವರ್ಕ್‌ಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಉತ್ತಮ ಜ್ಞಾನ

ಭಾಗಶಃ ಅಪ್ಲಿಕೇಶನ್

2 ಮಟ್ಟ
ತಾತ್ಕಾಲಿಕ ಉದ್ಯೋಗ
ಸ್ಪ್ರಿಂಟ್ಸ್
ಇಡಿಆರ್

ಆವರ್ತಕ
ನ್ಯಾಯಶಾಸ್ತ್ರದ ಸರಾಸರಿ ಜ್ಞಾನ
ವಾರದಿಂದ ತಿಂಗಳು
ಪೂರ್ಣ ಅಪ್ಲಿಕೇಶನ್

ತಾತ್ಕಾಲಿಕ ಟಿಎಚ್
ನೆಟ್‌ವರ್ಕ್‌ಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಅತ್ಯುತ್ತಮ ಜ್ಞಾನ
ನಿಯಮಿತ TH
EDR ಡೇಟಾ ಬಳಕೆಯ ಸಂಪೂರ್ಣ ಆಟೊಮೇಷನ್

ಸುಧಾರಿತ EDR ಸಾಮರ್ಥ್ಯಗಳ ಭಾಗಶಃ ಬಳಕೆ

3 ಮಟ್ಟ
ಮೀಸಲಾದ TH ಆಜ್ಞೆ
24/7
ಊಹೆಗಳನ್ನು ಪರೀಕ್ಷಿಸಲು ಭಾಗಶಃ ಸಾಮರ್ಥ್ಯ TH

ಪ್ರಿವೆಂಟಿವ್
ಫೋರೆನ್ಸಿಕ್ಸ್ ಮತ್ತು ಮಾಲ್‌ವೇರ್‌ನ ಅತ್ಯುತ್ತಮ ಜ್ಞಾನ
ಪ್ರಿವೆಂಟಿವ್ ಟಿಎಚ್
ಸುಧಾರಿತ EDR ಸಾಮರ್ಥ್ಯಗಳ ಸಂಪೂರ್ಣ ಬಳಕೆ

ವಿಶೇಷ ಪ್ರಕರಣಗಳು TH
ಆಕ್ರಮಣಕಾರಿ ಬದಿಯ ಅತ್ಯುತ್ತಮ ಜ್ಞಾನ
ವಿಶೇಷ ಪ್ರಕರಣಗಳು TH
ನೆಟ್ವರ್ಕ್ ಸಾಧನಗಳಿಂದ ಡೇಟಾದ ಸಂಪೂರ್ಣ ಕವರೇಜ್

ನಿಮ್ಮ ಅಗತ್ಯಗಳಿಗೆ ಸರಿಹೊಂದುವಂತೆ ಕಾನ್ಫಿಗರೇಶನ್

4 ಮಟ್ಟ
ಮೀಸಲಾದ TH ಆಜ್ಞೆ
24/7
TH ಊಹೆಗಳನ್ನು ಪರೀಕ್ಷಿಸುವ ಸಂಪೂರ್ಣ ಸಾಮರ್ಥ್ಯ

ಮುನ್ನಡೆಸುತ್ತಿದೆ
ಫೋರೆನ್ಸಿಕ್ಸ್ ಮತ್ತು ಮಾಲ್‌ವೇರ್‌ನ ಅತ್ಯುತ್ತಮ ಜ್ಞಾನ
ಪ್ರಿವೆಂಟಿವ್ ಟಿಎಚ್
ಹಂತ 3, ಜೊತೆಗೆ:

TH ಅನ್ನು ಬಳಸುವುದು
ಆಕ್ರಮಣಕಾರಿ ಬದಿಯ ಅತ್ಯುತ್ತಮ ಜ್ಞಾನ
ಪರೀಕ್ಷೆ, ಯಾಂತ್ರೀಕೃತಗೊಂಡ ಮತ್ತು ಊಹೆಗಳ ಪರಿಶೀಲನೆ TH
ಡೇಟಾ ಮೂಲಗಳ ಬಿಗಿಯಾದ ಏಕೀಕರಣ;

ಸಂಶೋಧನಾ ಸಾಮರ್ಥ್ಯ

ಅಗತ್ಯಗಳಿಗೆ ಅನುಗುಣವಾಗಿ ಅಭಿವೃದ್ಧಿ ಮತ್ತು API ಯ ಪ್ರಮಾಣಿತವಲ್ಲದ ಬಳಕೆ.

ಜನರು, ಪ್ರಕ್ರಿಯೆಗಳು ಮತ್ತು ತಂತ್ರಜ್ಞಾನಗಳಿಂದ TH ಮೆಚುರಿಟಿ ಮಟ್ಟಗಳು

ಹಂತ 0: ಸಾಂಪ್ರದಾಯಿಕ, TH ಬಳಸದೆ. ನಿಯಮಿತ ವಿಶ್ಲೇಷಕರು ಪ್ರಮಾಣಿತ ಪರಿಕರಗಳು ಮತ್ತು ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನಿಷ್ಕ್ರಿಯ ಮಾನಿಟರಿಂಗ್ ಮೋಡ್‌ನಲ್ಲಿ ಪ್ರಮಾಣಿತ ಎಚ್ಚರಿಕೆಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುತ್ತಾರೆ: IDS, AV, ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್, ಸಹಿ ವಿಶ್ಲೇಷಣೆ ಪರಿಕರಗಳು.

ಹಂತ 1: ಪ್ರಾಯೋಗಿಕ, TH ಬಳಸಿ. ವಿಧಿವಿಜ್ಞಾನದ ಮೂಲಭೂತ ಜ್ಞಾನ ಮತ್ತು ನೆಟ್‌ವರ್ಕ್‌ಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಉತ್ತಮ ಜ್ಞಾನವನ್ನು ಹೊಂದಿರುವ ಅದೇ ವಿಶ್ಲೇಷಕರು ರಾಜಿ ಸೂಚಕಗಳನ್ನು ಹುಡುಕುವ ಮೂಲಕ ಒಂದು ಬಾರಿ ಬೆದರಿಕೆ ಬೇಟೆಯನ್ನು ನಡೆಸಬಹುದು. ನೆಟ್‌ವರ್ಕ್ ಸಾಧನಗಳಿಂದ ಡೇಟಾದ ಭಾಗಶಃ ವ್ಯಾಪ್ತಿಯೊಂದಿಗೆ ಉಪಕರಣಗಳಿಗೆ EDR ಗಳನ್ನು ಸೇರಿಸಲಾಗುತ್ತದೆ. ಉಪಕರಣಗಳನ್ನು ಭಾಗಶಃ ಬಳಸಲಾಗುತ್ತದೆ.

ಹಂತ 2: ಆವರ್ತಕ, ತಾತ್ಕಾಲಿಕ TH. ಫೋರೆನ್ಸಿಕ್ಸ್, ನೆಟ್‌ವರ್ಕ್‌ಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಭಾಗದಲ್ಲಿ ಈಗಾಗಲೇ ತಮ್ಮ ಜ್ಞಾನವನ್ನು ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಿದ ಅದೇ ವಿಶ್ಲೇಷಕರು ನಿಯಮಿತವಾಗಿ ಥ್ರೆಟ್ ಹಂಟಿಂಗ್ (ಸ್ಪ್ರಿಂಟ್) ನಲ್ಲಿ ತೊಡಗಿಸಿಕೊಳ್ಳಬೇಕಾಗುತ್ತದೆ, ಅಂದರೆ, ತಿಂಗಳಿಗೆ ಒಂದು ವಾರ. ಪರಿಕರಗಳು ನೆಟ್‌ವರ್ಕ್ ಸಾಧನಗಳಿಂದ ಡೇಟಾದ ಪೂರ್ಣ ಪರಿಶೋಧನೆ, EDR ನಿಂದ ಡೇಟಾ ವಿಶ್ಲೇಷಣೆಯ ಸ್ವಯಂಚಾಲಿತತೆ ಮತ್ತು ಸುಧಾರಿತ EDR ಸಾಮರ್ಥ್ಯಗಳ ಭಾಗಶಃ ಬಳಕೆಯನ್ನು ಸೇರಿಸುತ್ತವೆ.

ಹಂತ 3: ತಡೆಗಟ್ಟುವ, TH ನ ಆಗಾಗ್ಗೆ ಪ್ರಕರಣಗಳು. ನಮ್ಮ ವಿಶ್ಲೇಷಕರು ತಮ್ಮನ್ನು ಸಮರ್ಪಿತ ತಂಡವಾಗಿ ಸಂಘಟಿಸಿದರು ಮತ್ತು ಫೋರೆನ್ಸಿಕ್ಸ್ ಮತ್ತು ಮಾಲ್‌ವೇರ್‌ನ ಅತ್ಯುತ್ತಮ ಜ್ಞಾನವನ್ನು ಹೊಂದಲು ಪ್ರಾರಂಭಿಸಿದರು, ಜೊತೆಗೆ ಆಕ್ರಮಣಕಾರಿ ಭಾಗದ ವಿಧಾನಗಳು ಮತ್ತು ತಂತ್ರಗಳ ಜ್ಞಾನವನ್ನು ಹೊಂದಲು ಪ್ರಾರಂಭಿಸಿದರು. ಪ್ರಕ್ರಿಯೆಯನ್ನು ಈಗಾಗಲೇ 24/7 ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ. ನೆಟ್‌ವರ್ಕ್ ಸಾಧನಗಳಿಂದ ಡೇಟಾದ ಸಂಪೂರ್ಣ ಕವರೇಜ್‌ನೊಂದಿಗೆ EDR ನ ಸುಧಾರಿತ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನಿಯಂತ್ರಿಸುವಾಗ ತಂಡವು TH ಊಹೆಗಳನ್ನು ಭಾಗಶಃ ಪರೀಕ್ಷಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ವಿಶ್ಲೇಷಕರು ತಮ್ಮ ಅಗತ್ಯಗಳಿಗೆ ಸರಿಹೊಂದುವಂತೆ ಪರಿಕರಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಸಹ ಸಾಧ್ಯವಾಗುತ್ತದೆ.

ಹಂತ 4: ಉನ್ನತ ಮಟ್ಟದ, TH ಬಳಸಿ. ಅದೇ ತಂಡವು ಸಂಶೋಧನೆ ಮಾಡುವ ಸಾಮರ್ಥ್ಯ, TH ಊಹೆಗಳನ್ನು ಪರೀಕ್ಷಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಉತ್ಪಾದಿಸುವ ಮತ್ತು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಪಡೆದುಕೊಂಡಿದೆ. ಈಗ ಉಪಕರಣಗಳು ಡೇಟಾ ಮೂಲಗಳ ನಿಕಟ ಏಕೀಕರಣ, ಅಗತ್ಯಗಳನ್ನು ಪೂರೈಸಲು ಸಾಫ್ಟ್‌ವೇರ್ ಅಭಿವೃದ್ಧಿ ಮತ್ತು API ಗಳ ಪ್ರಮಾಣಿತವಲ್ಲದ ಬಳಕೆಯಿಂದ ಪೂರಕವಾಗಿದೆ.

ಬೆದರಿಕೆ ಬೇಟೆಯ ತಂತ್ರಗಳು

ಬೇಸಿಕ್ ಥ್ರೆಟ್ ಹಂಟಿಂಗ್ ಟೆಕ್ನಿಕ್ಸ್

К ತಂತ್ರಜ್ಞರು TH, ಬಳಸಿದ ತಂತ್ರಜ್ಞಾನದ ಪರಿಪಕ್ವತೆಯ ಕ್ರಮದಲ್ಲಿ: ಮೂಲ ಹುಡುಕಾಟ, ಸಂಖ್ಯಾಶಾಸ್ತ್ರೀಯ ವಿಶ್ಲೇಷಣೆ, ದೃಶ್ಯೀಕರಣ ತಂತ್ರಗಳು, ಸರಳವಾದ ಒಟ್ಟುಗೂಡಿಸುವಿಕೆಗಳು, ಯಂತ್ರ ಕಲಿಕೆ ಮತ್ತು ಬೇಸಿಯನ್ ವಿಧಾನಗಳು.

ಸರಳವಾದ ವಿಧಾನ, ಮೂಲಭೂತ ಹುಡುಕಾಟ, ನಿರ್ದಿಷ್ಟ ಪ್ರಶ್ನೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಂಶೋಧನೆಯ ಪ್ರದೇಶವನ್ನು ಕಿರಿದಾಗಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಸಂಖ್ಯಾಶಾಸ್ತ್ರೀಯ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಉದಾಹರಣೆಗೆ, ವಿಶಿಷ್ಟ ಬಳಕೆದಾರ ಅಥವಾ ನೆಟ್‌ವರ್ಕ್ ಚಟುವಟಿಕೆಯನ್ನು ಸಂಖ್ಯಾಶಾಸ್ತ್ರೀಯ ಮಾದರಿಯ ರೂಪದಲ್ಲಿ ನಿರ್ಮಿಸಲು. ಗ್ರಾಫ್‌ಗಳು ಮತ್ತು ಚಾರ್ಟ್‌ಗಳ ರೂಪದಲ್ಲಿ ದತ್ತಾಂಶದ ವಿಶ್ಲೇಷಣೆಯನ್ನು ದೃಷ್ಟಿಗೋಚರವಾಗಿ ಪ್ರದರ್ಶಿಸಲು ಮತ್ತು ಸರಳಗೊಳಿಸಲು ದೃಶ್ಯೀಕರಣ ತಂತ್ರಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ಮಾದರಿಯಲ್ಲಿನ ನಮೂನೆಗಳನ್ನು ಗ್ರಹಿಸಲು ಹೆಚ್ಚು ಸುಲಭವಾಗುತ್ತದೆ. ಹುಡುಕಾಟ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಯನ್ನು ಅತ್ಯುತ್ತಮವಾಗಿಸಲು ಪ್ರಮುಖ ಕ್ಷೇತ್ರಗಳ ಮೂಲಕ ಸರಳವಾದ ಒಟ್ಟುಗೂಡಿಸುವಿಕೆಯ ತಂತ್ರವನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಸಂಸ್ಥೆಯ TH ಪ್ರಕ್ರಿಯೆಯು ಹೆಚ್ಚು ಪ್ರಬುದ್ಧವಾಗಿದೆ, ಯಂತ್ರ ಕಲಿಕೆ ಅಲ್ಗಾರಿದಮ್‌ಗಳ ಬಳಕೆಯು ಹೆಚ್ಚು ಪ್ರಸ್ತುತವಾಗುತ್ತದೆ. ಸ್ಪ್ಯಾಮ್ ಅನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು, ದುರುದ್ದೇಶಪೂರಿತ ದಟ್ಟಣೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು ಮೋಸದ ಚಟುವಟಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಅವುಗಳನ್ನು ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ. ಮೆಷಿನ್ ಲರ್ನಿಂಗ್ ಅಲ್ಗಾರಿದಮ್‌ನ ಹೆಚ್ಚು ಸುಧಾರಿತ ಪ್ರಕಾರವೆಂದರೆ ಬೇಸಿಯನ್ ವಿಧಾನಗಳು, ಇದು ವರ್ಗೀಕರಣ, ಮಾದರಿ ಗಾತ್ರ ಕಡಿತ ಮತ್ತು ವಿಷಯ ಮಾಡೆಲಿಂಗ್‌ಗೆ ಅವಕಾಶ ನೀಡುತ್ತದೆ.

ಡೈಮಂಡ್ ಮಾದರಿ ಮತ್ತು TH ತಂತ್ರಗಳು

ಸೆರ್ಗಿಯೋ ಕ್ಯಾಲ್ಟಗಿರಾನ್, ಆಂಡ್ರ್ಯೂ ಪೆಂಡೆಗಾಸ್ಟ್ ಮತ್ತು ಕ್ರಿಸ್ಟೋಫರ್ ಬೆಟ್ಜ್ ಅವರ ಕೆಲಸದಲ್ಲಿ "ಒಳನುಗ್ಗುವಿಕೆ ವಿಶ್ಲೇಷಣೆಯ ಡೈಮಂಡ್ ಮಾಡೆಲ್» ಯಾವುದೇ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯ ಮುಖ್ಯ ಅಂಶಗಳನ್ನು ಮತ್ತು ಅವುಗಳ ನಡುವಿನ ಮೂಲಭೂತ ಸಂಪರ್ಕವನ್ನು ತೋರಿಸಿದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಗಾಗಿ ಡೈಮಂಡ್ ಮಾದರಿ

ಈ ಮಾದರಿಯ ಪ್ರಕಾರ, 4 ಬೆದರಿಕೆ ಬೇಟೆ ತಂತ್ರಗಳಿವೆ, ಅವು ಅನುಗುಣವಾದ ಪ್ರಮುಖ ಘಟಕಗಳನ್ನು ಆಧರಿಸಿವೆ.

1. ಬಲಿಪಶು-ಆಧಾರಿತ ತಂತ್ರ. ಬಲಿಪಶು ವಿರೋಧಿಗಳನ್ನು ಹೊಂದಿದ್ದಾರೆ ಮತ್ತು ಅವರು ಇಮೇಲ್ ಮೂಲಕ "ಅವಕಾಶಗಳನ್ನು" ತಲುಪಿಸುತ್ತಾರೆ ಎಂದು ನಾವು ಊಹಿಸುತ್ತೇವೆ. ನಾವು ಮೇಲ್‌ನಲ್ಲಿ ಶತ್ರು ಡೇಟಾವನ್ನು ಹುಡುಕುತ್ತಿದ್ದೇವೆ. ಲಿಂಕ್‌ಗಳು, ಲಗತ್ತುಗಳು ಇತ್ಯಾದಿಗಳಿಗಾಗಿ ಹುಡುಕಿ. ನಾವು ಒಂದು ನಿರ್ದಿಷ್ಟ ಅವಧಿಗೆ (ಒಂದು ತಿಂಗಳು, ಎರಡು ವಾರಗಳು) ಈ ಊಹೆಯ ದೃಢೀಕರಣವನ್ನು ಹುಡುಕುತ್ತಿದ್ದೇವೆ; ನಾವು ಅದನ್ನು ಕಂಡುಹಿಡಿಯದಿದ್ದರೆ, ನಂತರ ಊಹೆಯು ಕೆಲಸ ಮಾಡಲಿಲ್ಲ.

2. ಮೂಲಸೌಕರ್ಯ ಆಧಾರಿತ ತಂತ್ರ. ಈ ತಂತ್ರವನ್ನು ಬಳಸಲು ಹಲವಾರು ವಿಧಾನಗಳಿವೆ. ಪ್ರವೇಶ ಮತ್ತು ಗೋಚರತೆಯನ್ನು ಅವಲಂಬಿಸಿ, ಕೆಲವು ಇತರರಿಗಿಂತ ಸುಲಭವಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ದುರುದ್ದೇಶಪೂರಿತ ಡೊಮೇನ್‌ಗಳನ್ನು ಹೋಸ್ಟ್ ಮಾಡಲು ತಿಳಿದಿರುವ ಡೊಮೇನ್ ನೇಮ್ ಸರ್ವರ್‌ಗಳನ್ನು ನಾವು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತೇವೆ. ಅಥವಾ ಎದುರಾಳಿ ಬಳಸುವ ತಿಳಿದಿರುವ ಮಾದರಿಗಾಗಿ ನಾವು ಎಲ್ಲಾ ಹೊಸ ಡೊಮೇನ್ ಹೆಸರು ನೋಂದಣಿಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವ ಪ್ರಕ್ರಿಯೆಯ ಮೂಲಕ ಹೋಗುತ್ತೇವೆ.

3. ಸಾಮರ್ಥ್ಯ-ಚಾಲಿತ ತಂತ್ರ. ಹೆಚ್ಚಿನ ನೆಟ್‌ವರ್ಕ್ ರಕ್ಷಕರು ಬಳಸುವ ಬಲಿಪಶು-ಕೇಂದ್ರಿತ ತಂತ್ರದ ಜೊತೆಗೆ, ಅವಕಾಶ-ಕೇಂದ್ರಿತ ತಂತ್ರವಿದೆ. ಇದು ಎರಡನೇ ಅತ್ಯಂತ ಜನಪ್ರಿಯವಾಗಿದೆ ಮತ್ತು ಎದುರಾಳಿಯಿಂದ "ಮಾಲ್‌ವೇರ್" ಮತ್ತು psexec, powershell, certutil ಮತ್ತು ಇತರವುಗಳಂತಹ ಕಾನೂನುಬದ್ಧ ಸಾಧನಗಳನ್ನು ಬಳಸುವ ಎದುರಾಳಿಯ ಸಾಮರ್ಥ್ಯವನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಕೇಂದ್ರೀಕರಿಸುತ್ತದೆ.

4. ಶತ್ರು-ಆಧಾರಿತ ತಂತ್ರ. ವಿರೋಧಿ-ಕೇಂದ್ರಿತ ವಿಧಾನವು ಎದುರಾಳಿಯ ಮೇಲೆಯೇ ಕೇಂದ್ರೀಕರಿಸುತ್ತದೆ. ಇದು ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಮೂಲಗಳಿಂದ ಮುಕ್ತ ಮಾಹಿತಿಯ ಬಳಕೆಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ (OSINT), ಶತ್ರುಗಳ ಬಗ್ಗೆ ಡೇಟಾ ಸಂಗ್ರಹಣೆ, ಅವನ ತಂತ್ರಗಳು ಮತ್ತು ವಿಧಾನಗಳು (TTP), ಹಿಂದಿನ ಘಟನೆಗಳ ವಿಶ್ಲೇಷಣೆ, ಬೆದರಿಕೆ ಗುಪ್ತಚರ ಡೇಟಾ, ಇತ್ಯಾದಿ.

TH ನಲ್ಲಿ ಮಾಹಿತಿ ಮತ್ತು ಊಹೆಗಳ ಮೂಲಗಳು

ಬೆದರಿಕೆ ಬೇಟೆಯ ಮಾಹಿತಿಯ ಕೆಲವು ಮೂಲಗಳು

ಮಾಹಿತಿಯ ಹಲವು ಮೂಲಗಳು ಇರಬಹುದು. ಆದರ್ಶ ವಿಶ್ಲೇಷಕನು ಸುತ್ತಮುತ್ತಲಿನ ಎಲ್ಲದರಿಂದ ಮಾಹಿತಿಯನ್ನು ಹೊರತೆಗೆಯಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ಯಾವುದೇ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿನ ವಿಶಿಷ್ಟ ಮೂಲಗಳು ಭದ್ರತಾ ಸಾಧನಗಳಿಂದ ಡೇಟಾ ಆಗಿರುತ್ತದೆ: DLP, SIEM, IDS/IPS, WAF/FW, EDR. ಅಲ್ಲದೆ, ಮಾಹಿತಿಯ ವಿಶಿಷ್ಟ ಮೂಲಗಳು ರಾಜಿ, ಬೆದರಿಕೆ ಗುಪ್ತಚರ ಸೇವೆಗಳು, CERT ಮತ್ತು OSINT ಡೇಟಾದ ವಿವಿಧ ಸೂಚಕಗಳಾಗಿವೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ನೀವು ಡಾರ್ಕ್‌ನೆಟ್‌ನಿಂದ ಮಾಹಿತಿಯನ್ನು ಬಳಸಬಹುದು (ಉದಾಹರಣೆಗೆ, ಸಂಸ್ಥೆಯ ಮುಖ್ಯಸ್ಥರ ಮೇಲ್‌ಬಾಕ್ಸ್ ಅನ್ನು ಹ್ಯಾಕ್ ಮಾಡಲು ಇದ್ದಕ್ಕಿದ್ದಂತೆ ಆದೇಶವಿದೆ, ಅಥವಾ ನೆಟ್‌ವರ್ಕ್ ಎಂಜಿನಿಯರ್ ಸ್ಥಾನದ ಅಭ್ಯರ್ಥಿಯು ಅವರ ಚಟುವಟಿಕೆಗಾಗಿ ಬಹಿರಂಗಗೊಂಡಿದ್ದಾರೆ), ಮಾಹಿತಿಯಿಂದ ಸ್ವೀಕರಿಸಲಾಗಿದೆ ಮಾನವ ಸಂಪನ್ಮೂಲ (ಹಿಂದಿನ ಕೆಲಸದ ಸ್ಥಳದಿಂದ ಅಭ್ಯರ್ಥಿಯ ವಿಮರ್ಶೆಗಳು), ಭದ್ರತಾ ಸೇವೆಯಿಂದ ಮಾಹಿತಿ (ಉದಾಹರಣೆಗೆ, ಕೌಂಟರ್ಪಾರ್ಟಿಯ ಪರಿಶೀಲನೆಯ ಫಲಿತಾಂಶಗಳು).

ಆದರೆ ಲಭ್ಯವಿರುವ ಎಲ್ಲಾ ಮೂಲಗಳನ್ನು ಬಳಸುವ ಮೊದಲು, ಕನಿಷ್ಠ ಒಂದು ಊಹೆಯನ್ನು ಹೊಂದಿರುವುದು ಅವಶ್ಯಕ.

ಮೂಲ

ಊಹೆಗಳನ್ನು ಪರೀಕ್ಷಿಸಲು, ಅವುಗಳನ್ನು ಮೊದಲು ಮುಂದಿಡಬೇಕು. ಮತ್ತು ಅನೇಕ ಉನ್ನತ-ಗುಣಮಟ್ಟದ ಕಲ್ಪನೆಗಳನ್ನು ಮುಂದಿಡಲು, ವ್ಯವಸ್ಥಿತ ವಿಧಾನವನ್ನು ಅನ್ವಯಿಸುವುದು ಅವಶ್ಯಕ. ಕಲ್ಪನೆಗಳನ್ನು ರಚಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಹೆಚ್ಚು ವಿವರವಾಗಿ ವಿವರಿಸಲಾಗಿದೆ ಲೇಖನ, ಊಹೆಗಳನ್ನು ಮುಂದಿಡುವ ಪ್ರಕ್ರಿಯೆಗೆ ಈ ಯೋಜನೆಯನ್ನು ಆಧಾರವಾಗಿ ತೆಗೆದುಕೊಳ್ಳುವುದು ತುಂಬಾ ಅನುಕೂಲಕರವಾಗಿದೆ.

ಊಹೆಗಳ ಮುಖ್ಯ ಮೂಲವು ಇರುತ್ತದೆ ATT&CK ಮ್ಯಾಟ್ರಿಕ್ಸ್ (ವಿರೋಧಿ ತಂತ್ರಗಳು, ತಂತ್ರಗಳು ಮತ್ತು ಸಾಮಾನ್ಯ ಜ್ಞಾನ). ಇದು ಮೂಲಭೂತವಾಗಿ, ದಾಳಿಯ ಕೊನೆಯ ಹಂತಗಳಲ್ಲಿ ತಮ್ಮ ಚಟುವಟಿಕೆಗಳನ್ನು ನಡೆಸುವ ಆಕ್ರಮಣಕಾರರ ನಡವಳಿಕೆಯನ್ನು ನಿರ್ಣಯಿಸಲು ಜ್ಞಾನದ ಮೂಲ ಮತ್ತು ಮಾದರಿಯಾಗಿದೆ, ಇದನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಕಿಲ್ ಚೈನ್ ಪರಿಕಲ್ಪನೆಯನ್ನು ಬಳಸಿ ವಿವರಿಸಲಾಗಿದೆ. ಅಂದರೆ, ಆಕ್ರಮಣಕಾರರು ಎಂಟರ್‌ಪ್ರೈಸ್‌ನ ಆಂತರಿಕ ನೆಟ್‌ವರ್ಕ್ ಅಥವಾ ಮೊಬೈಲ್ ಸಾಧನಕ್ಕೆ ನುಗ್ಗಿದ ನಂತರ ಹಂತಗಳಲ್ಲಿ. ಜ್ಞಾನದ ಮೂಲವು ಮೂಲತಃ 121 ತಂತ್ರಗಳು ಮತ್ತು ದಾಳಿಯಲ್ಲಿ ಬಳಸಿದ ತಂತ್ರಗಳ ವಿವರಣೆಯನ್ನು ಒಳಗೊಂಡಿತ್ತು, ಪ್ರತಿಯೊಂದನ್ನು ವಿಕಿ ಸ್ವರೂಪದಲ್ಲಿ ವಿವರವಾಗಿ ವಿವರಿಸಲಾಗಿದೆ. ವಿವಿಧ ಥ್ರೆಟ್ ಇಂಟೆಲಿಜೆನ್ಸ್ ಅನಾಲಿಟಿಕ್ಸ್ ಊಹೆಗಳನ್ನು ರಚಿಸಲು ಒಂದು ಮೂಲವಾಗಿ ಸೂಕ್ತವಾಗಿರುತ್ತದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ ಗಮನಿಸಬೇಕಾದ ಅಂಶವೆಂದರೆ ಮೂಲಸೌಕರ್ಯ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ನುಗ್ಗುವ ಪರೀಕ್ಷೆಗಳ ಫಲಿತಾಂಶಗಳು - ಇದು ನಿರ್ದಿಷ್ಟ ನ್ಯೂನತೆಗಳೊಂದಿಗೆ ನಿರ್ದಿಷ್ಟ ಮೂಲಸೌಕರ್ಯವನ್ನು ಆಧರಿಸಿದೆ ಎಂಬ ಅಂಶದಿಂದಾಗಿ ನಮಗೆ ಕಬ್ಬಿಣದ ಹೊದಿಕೆಯ ಕಲ್ಪನೆಗಳನ್ನು ನೀಡಬಲ್ಲ ಅತ್ಯಮೂಲ್ಯ ಡೇಟಾ.

ಊಹೆಯ ಪರೀಕ್ಷಾ ಪ್ರಕ್ರಿಯೆ

ಸೆರ್ಗೆಯ್ ಸೋಲ್ಡಾಟೋವ್ ತಂದರು ಉತ್ತಮ ರೇಖಾಚಿತ್ರ ಪ್ರಕ್ರಿಯೆಯ ವಿವರವಾದ ವಿವರಣೆಯೊಂದಿಗೆ, ಇದು ಒಂದೇ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ TH ಊಹೆಗಳನ್ನು ಪರೀಕ್ಷಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ವಿವರಿಸುತ್ತದೆ. ನಾನು ಸಂಕ್ಷಿಪ್ತ ವಿವರಣೆಯೊಂದಿಗೆ ಮುಖ್ಯ ಹಂತಗಳನ್ನು ಸೂಚಿಸುತ್ತೇನೆ.

ಮೂಲ

ಹಂತ 1: TI ಫಾರ್ಮ್

ಈ ಹಂತದಲ್ಲಿ ಹೈಲೈಟ್ ಮಾಡುವುದು ಅವಶ್ಯಕ ವಸ್ತುಗಳು (ಎಲ್ಲಾ ಬೆದರಿಕೆ ಡೇಟಾದೊಂದಿಗೆ ಅವುಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಮೂಲಕ) ಮತ್ತು ಅವುಗಳ ಗುಣಲಕ್ಷಣಗಳಿಗೆ ಲೇಬಲ್‌ಗಳನ್ನು ನಿಯೋಜಿಸುವುದು. ಅವುಗಳೆಂದರೆ ಫೈಲ್, URL, MD5, ಪ್ರಕ್ರಿಯೆ, ಉಪಯುಕ್ತತೆ, ಈವೆಂಟ್. ಥ್ರೆಟ್ ಇಂಟೆಲಿಜೆನ್ಸ್ ಸಿಸ್ಟಮ್‌ಗಳ ಮೂಲಕ ಅವುಗಳನ್ನು ಹಾದುಹೋಗುವಾಗ, ಟ್ಯಾಗ್‌ಗಳನ್ನು ಲಗತ್ತಿಸುವುದು ಅವಶ್ಯಕ. ಅಂದರೆ, ಈ ಸೈಟ್ ಅನ್ನು ಅಂತಹ ಮತ್ತು ಅಂತಹ ಒಂದು ವರ್ಷದಲ್ಲಿ CNC ನಲ್ಲಿ ಗಮನಿಸಲಾಗಿದೆ, ಈ MD5 ಅನ್ನು ಅಂತಹ ಮತ್ತು ಅಂತಹ ಮಾಲ್‌ವೇರ್‌ಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸಲಾಗಿದೆ, ಈ MD5 ಅನ್ನು ಮಾಲ್‌ವೇರ್ ವಿತರಿಸಿದ ಸೈಟ್‌ನಿಂದ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲಾಗಿದೆ.

ಹಂತ 2: ಪ್ರಕರಣಗಳು

ಎರಡನೇ ಹಂತದಲ್ಲಿ, ನಾವು ಈ ವಸ್ತುಗಳ ನಡುವಿನ ಪರಸ್ಪರ ಕ್ರಿಯೆಯನ್ನು ನೋಡುತ್ತೇವೆ ಮತ್ತು ಈ ಎಲ್ಲಾ ವಸ್ತುಗಳ ನಡುವಿನ ಸಂಬಂಧವನ್ನು ಗುರುತಿಸುತ್ತೇವೆ. ಕೆಟ್ಟದ್ದನ್ನು ಮಾಡುವ ಗುರುತು ವ್ಯವಸ್ಥೆಗಳನ್ನು ನಾವು ಪಡೆಯುತ್ತೇವೆ.

ಹಂತ 3: ವಿಶ್ಲೇಷಕ

ಮೂರನೇ ಹಂತದಲ್ಲಿ, ವಿಶ್ಲೇಷಣೆಯಲ್ಲಿ ವ್ಯಾಪಕ ಅನುಭವ ಹೊಂದಿರುವ ಅನುಭವಿ ವಿಶ್ಲೇಷಕರಿಗೆ ಪ್ರಕರಣವನ್ನು ವರ್ಗಾಯಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅವರು ತೀರ್ಪು ನೀಡುತ್ತಾರೆ. ಈ ಕೋಡ್ ಏನು, ಎಲ್ಲಿ, ಹೇಗೆ, ಏಕೆ ಮತ್ತು ಏಕೆ ಮಾಡುತ್ತದೆ ಎಂಬುದನ್ನು ಅವನು ಬೈಟ್‌ಗಳಿಗೆ ಪಾರ್ಸ್ ಮಾಡುತ್ತಾನೆ. ಈ ದೇಹವು ಮಾಲ್ವೇರ್ ಆಗಿತ್ತು, ಈ ಕಂಪ್ಯೂಟರ್ ಸೋಂಕಿಗೆ ಒಳಗಾಗಿದೆ. ವಸ್ತುಗಳ ನಡುವಿನ ಸಂಪರ್ಕಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ, ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಮೂಲಕ ಚಾಲನೆಯಲ್ಲಿರುವ ಫಲಿತಾಂಶಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ.

ವಿಶ್ಲೇಷಕರ ಕೆಲಸದ ಫಲಿತಾಂಶಗಳನ್ನು ಮತ್ತಷ್ಟು ರವಾನಿಸಲಾಗುತ್ತದೆ. ಡಿಜಿಟಲ್ ಫೋರೆನ್ಸಿಕ್ಸ್ ಚಿತ್ರಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ, ಮಾಲ್‌ವೇರ್ ವಿಶ್ಲೇಷಣೆಯು ಕಂಡುಬರುವ "ದೇಹಗಳನ್ನು" ಪರಿಶೀಲಿಸುತ್ತದೆ ಮತ್ತು ಘಟನೆಯ ಪ್ರತಿಕ್ರಿಯೆ ತಂಡವು ಸೈಟ್‌ಗೆ ಹೋಗಬಹುದು ಮತ್ತು ಈಗಾಗಲೇ ಅಲ್ಲಿ ಏನಾದರೂ ತನಿಖೆ ಮಾಡಬಹುದು. ಕೆಲಸದ ಫಲಿತಾಂಶವು ದೃಢೀಕರಿಸಿದ ಊಹೆ, ಗುರುತಿಸಲಾದ ದಾಳಿ ಮತ್ತು ಅದನ್ನು ಎದುರಿಸುವ ಮಾರ್ಗಗಳಾಗಿರುತ್ತದೆ.

ಮೂಲ
 

ಫಲಿತಾಂಶಗಳು

ಬೆದರಿಕೆ ಬೇಟೆಯು ಸಾಕಷ್ಟು ಯುವ ತಂತ್ರಜ್ಞಾನವಾಗಿದ್ದು, ಕಸ್ಟಮೈಸ್ ಮಾಡಿದ, ಹೊಸ ಮತ್ತು ಪ್ರಮಾಣಿತವಲ್ಲದ ಬೆದರಿಕೆಗಳನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಎದುರಿಸಬಲ್ಲದು, ಇದು ಇಂತಹ ಬೆದರಿಕೆಗಳ ಹೆಚ್ಚುತ್ತಿರುವ ಸಂಖ್ಯೆ ಮತ್ತು ಕಾರ್ಪೊರೇಟ್ ಮೂಲಸೌಕರ್ಯಗಳ ಹೆಚ್ಚುತ್ತಿರುವ ಸಂಕೀರ್ಣತೆಗೆ ಹೆಚ್ಚಿನ ನಿರೀಕ್ಷೆಗಳನ್ನು ಹೊಂದಿದೆ. ಇದಕ್ಕೆ ಮೂರು ಘಟಕಗಳು ಬೇಕಾಗುತ್ತವೆ - ಡೇಟಾ, ಉಪಕರಣಗಳು ಮತ್ತು ವಿಶ್ಲೇಷಕರು. ಥ್ರೆಟ್ ಹಂಟಿಂಗ್‌ನ ಪ್ರಯೋಜನಗಳು ಬೆದರಿಕೆಗಳ ಅನುಷ್ಠಾನವನ್ನು ತಡೆಗಟ್ಟುವುದಕ್ಕೆ ಸೀಮಿತವಾಗಿಲ್ಲ. ಹುಡುಕಾಟ ಪ್ರಕ್ರಿಯೆಯ ಸಮಯದಲ್ಲಿ ನಾವು ಭದ್ರತಾ ವಿಶ್ಲೇಷಕರ ಕಣ್ಣುಗಳ ಮೂಲಕ ನಮ್ಮ ಮೂಲಸೌಕರ್ಯ ಮತ್ತು ಅದರ ದುರ್ಬಲ ಅಂಶಗಳಿಗೆ ಧುಮುಕುತ್ತೇವೆ ಮತ್ತು ಈ ಅಂಶಗಳನ್ನು ಇನ್ನಷ್ಟು ಬಲಪಡಿಸಬಹುದು ಎಂಬುದನ್ನು ಮರೆಯಬೇಡಿ.

ನಮ್ಮ ಅಭಿಪ್ರಾಯದಲ್ಲಿ, ನಿಮ್ಮ ಸಂಸ್ಥೆಯಲ್ಲಿ TH ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸಲು ತೆಗೆದುಕೊಳ್ಳಬೇಕಾದ ಮೊದಲ ಹಂತಗಳು.

1. ಎಂಡ್‌ಪಾಯಿಂಟ್‌ಗಳು ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ಮೂಲಸೌಕರ್ಯವನ್ನು ರಕ್ಷಿಸುವುದನ್ನು ನೋಡಿಕೊಳ್ಳಿ. ನಿಮ್ಮ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿನ ಎಲ್ಲಾ ಪ್ರಕ್ರಿಯೆಗಳ ಗೋಚರತೆಯನ್ನು (ನೆಟ್‌ಫ್ಲೋ) ಮತ್ತು ನಿಯಂತ್ರಣವನ್ನು (ಫೈರ್‌ವಾಲ್, ಐಡಿಎಸ್, ಐಪಿಎಸ್, ಡಿಎಲ್‌ಪಿ) ನೋಡಿಕೊಳ್ಳಿ. ಎಡ್ಜ್ ರೂಟರ್‌ನಿಂದ ಕೊನೆಯ ಹೋಸ್ಟ್‌ಗೆ ನಿಮ್ಮ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ತಿಳಿದುಕೊಳ್ಳಿ.
2. ಅನ್ವೇಷಿಸಿ MITER ATT&CK.
3. ಕನಿಷ್ಠ ಪ್ರಮುಖ ಬಾಹ್ಯ ಸಂಪನ್ಮೂಲಗಳ ನಿಯಮಿತ ಪೆಂಟೆಸ್ಟ್‌ಗಳನ್ನು ನಡೆಸಿ, ಅದರ ಫಲಿತಾಂಶಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಿ, ದಾಳಿಯ ಮುಖ್ಯ ಗುರಿಗಳನ್ನು ಗುರುತಿಸಿ ಮತ್ತು ಅವುಗಳ ದುರ್ಬಲತೆಗಳನ್ನು ಮುಚ್ಚಿ.
4. ಓಪನ್ ಸೋರ್ಸ್ ಥ್ರೆಟ್ ಇಂಟೆಲಿಜೆನ್ಸ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ಅಳವಡಿಸಿ (ಉದಾಹರಣೆಗೆ, MISP, ಯೇತಿ) ಮತ್ತು ಅದರೊಂದಿಗೆ ಲಾಗ್‌ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಿ.
5. ಘಟನೆಯ ಪ್ರತಿಕ್ರಿಯೆ ವೇದಿಕೆಯನ್ನು (IRP) ಅಳವಡಿಸಿ: R-Vision IRP, ದಿ ಹೈವ್, ಅನುಮಾನಾಸ್ಪದ ಫೈಲ್‌ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ (FortiSandbox, Cuckoo).
6. ದಿನನಿತ್ಯದ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಿ. ಲಾಗ್‌ಗಳ ವಿಶ್ಲೇಷಣೆ, ಘಟನೆಗಳ ರೆಕಾರ್ಡಿಂಗ್, ಸಿಬ್ಬಂದಿಗೆ ಮಾಹಿತಿ ನೀಡುವುದು ಯಾಂತ್ರೀಕೃತಗೊಂಡ ಕ್ಷೇತ್ರವಾಗಿದೆ.
7. ಘಟನೆಗಳಲ್ಲಿ ಸಹಕರಿಸಲು ಎಂಜಿನಿಯರ್‌ಗಳು, ಡೆವಲಪರ್‌ಗಳು ಮತ್ತು ತಾಂತ್ರಿಕ ಬೆಂಬಲದೊಂದಿಗೆ ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಸಂವಹನ ನಡೆಸಲು ಕಲಿಯಿರಿ.
8. ನಂತರ ಅವರಿಗೆ ಹಿಂತಿರುಗಲು ಅಥವಾ ಈ ಡೇಟಾವನ್ನು ಸಹೋದ್ಯೋಗಿಗಳೊಂದಿಗೆ ಹಂಚಿಕೊಳ್ಳಲು ಸಂಪೂರ್ಣ ಪ್ರಕ್ರಿಯೆ, ಪ್ರಮುಖ ಅಂಶಗಳು, ಸಾಧಿಸಿದ ಫಲಿತಾಂಶಗಳನ್ನು ದಾಖಲಿಸಿ;
9. ಸಾಮಾಜಿಕವಾಗಿರಿ: ನಿಮ್ಮ ಉದ್ಯೋಗಿಗಳೊಂದಿಗೆ ಏನು ನಡೆಯುತ್ತಿದೆ, ನೀವು ಯಾರನ್ನು ನೇಮಿಸಿಕೊಳ್ಳುತ್ತೀರಿ ಮತ್ತು ಸಂಸ್ಥೆಯ ಮಾಹಿತಿ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ನೀವು ಪ್ರವೇಶವನ್ನು ನೀಡುವವರ ಬಗ್ಗೆ ತಿಳಿದಿರಲಿ.
10. ಹೊಸ ಬೆದರಿಕೆಗಳು ಮತ್ತು ರಕ್ಷಣೆಯ ವಿಧಾನಗಳ ಕ್ಷೇತ್ರದಲ್ಲಿನ ಪ್ರವೃತ್ತಿಗಳ ಪಕ್ಕದಲ್ಲಿರಿ, ನಿಮ್ಮ ತಾಂತ್ರಿಕ ಸಾಕ್ಷರತೆಯ ಮಟ್ಟವನ್ನು ಹೆಚ್ಚಿಸಿ (ಐಟಿ ಸೇವೆಗಳು ಮತ್ತು ಉಪವ್ಯವಸ್ಥೆಗಳ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಒಳಗೊಂಡಂತೆ), ಸಮ್ಮೇಳನಗಳಿಗೆ ಹಾಜರಾಗಿ ಮತ್ತು ಸಹೋದ್ಯೋಗಿಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಿ.

ಕಾಮೆಂಟ್‌ಗಳಲ್ಲಿ TH ಪ್ರಕ್ರಿಯೆಯ ಸಂಘಟನೆಯನ್ನು ಚರ್ಚಿಸಲು ಸಿದ್ಧವಾಗಿದೆ.

ಅಥವಾ ನಮ್ಮೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಬನ್ನಿ!

• ಪ್ರಮುಖ ಮಾಹಿತಿ ಭದ್ರತಾ ಸಲಹೆಗಾರ
• ಮಾಹಿತಿ ಭದ್ರತೆಗಾಗಿ ಸಿಸ್ಟಮ್ ಆರ್ಕಿಟೆಕ್ಟ್
• ಲೀಡ್ ನೆಟ್ವರ್ಕ್ ಸೆಕ್ಯುರಿಟಿ ಇಂಜಿನಿಯರ್
• ಪ್ರಮುಖ ಮಾಹಿತಿ ಭದ್ರತಾ ಇಂಜಿನಿಯರ್ (SIEM)
• ಮಾಹಿತಿ ಭದ್ರತಾ ವಾಸ್ತುಶಿಲ್ಪಿ (ಅಪ್ಲಿಕೇಶನ್)

ಅಧ್ಯಯನ ಮಾಡಲು ಮೂಲಗಳು ಮತ್ತು ವಸ್ತುಗಳು

• ಬೆದರಿಕೆ ಹಾಕುವವನು.ಗುರು
• attack.mitre.org
• ಡಿಜಿಟಲ್ ಫೊರೆನ್ಸಿಕ್ಸ್.sans.org
• resources.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• reply-to-all.blogspot.com
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

ಮೂಲ: www.habr.com