95% ji xetereyên ewlehiya agahdariyê têne zanîn, û hûn dikarin xwe ji wan bi karanîna rêgezên kevneşopî yên wekî antivirus, firewalls, IDS, WAF biparêzin. 5% ji gefên mayî nenas û yên herî xeternak in. Ew ji bo pargîdaniyek ji% 70 xetereyê pêk tînin ji ber vê yekê ku tespîtkirina wan pir dijwar e, pir hindiktir parastina li hember wan. Examples serhildana ransomware ya WannaCry, NotPetya/ExPetr, kriptominer, "çeka sîber" Stuxnet (ku li tesîsên nukleerî yên Îranê xist) û gelek (kesê din Kido/Conficker bîr tîne?) êrîşên din ên ku bi tedbîrên ewlehiyê yên klasîk pir baş li dijî wan nayên parastin in. Em dixwazin biaxivin ka meriv çawa li hember van 5% ji xetereyan bi karanîna teknolojiya Nêçîra Tehdîdê radiweste.
Pêşveçûna domdar a êrîşên sîber hewceyê tespîtkirin û tedbîrên domdar hewce dike, ku di dawiyê de me dihêle ku em li pêşbaziyek çekan a bêdawî di navbera êrîşkar û berevanan de bifikirin. Pergalên ewlehiyê yên klasîk êdî nekarin astek ewlehiyek pejirandî peyda bikin, ku tê de asta xetereyê bandorê li ser nîşaneyên sereke yên pargîdaniyê (aborî, siyasî, navûdeng) nake bêyî ku wan ji bo binesaziyek taybetî biguhezîne, lê bi gelemperî ew hin ji wan vedigirin. rîskên. Jixwe di pêvajoya pêkanîn û vesazkirinê de, pergalên ewlekarî yên nûjen xwe di rola destgirtinê de dibînin û divê bersivê bidin kêşeyên dema nû.
Teknolojiya Nêçîra Tehdîdê ji bo pisporek ewlehiya agahdariyê dibe ku yek ji bersivên dijwariyên dema me be. Peyva Nêçîra Tehdîdê (ji vir şûnde wekî TH tê binav kirin) çend sal berê derketibû holê. Teknolojî bixwe pir balkêş e, lê hîna xwedan standard û rêzikên gelemperî yên pejirandî ne. Di heman demê de mijar ji hêla heterojeniya çavkaniyên agahdarî û hejmarek hindik a çavkaniyên agahdariya bi zimanê rûsî ve li ser vê mijarê tevlihev e. Di vî warî de, me li LANIT-Integration biryar da ku em vekolînek li ser vê teknolojiyê binivîsin.
Relevance
Teknolojiya TH bi pêvajoyên çavdêriya binesaziyê ve girêdayî ye.. Hişyarkirin (wek karûbarên MSSP) rêbazek kevneşopî ya lêgerîna li îmze û nîşanên êrîşan ên berê pêşkeftî ye û bersivdana wan e. Ev senaryo ji hêla amûrên parastinê yên kevneşopî yên bingehîn ve bi serfirazî pêk tê. Nêçîr (Xizmeta cureya MDR) rêbazek çavdêriyê ye ku bersiva pirsa "Îmze û rêgez ji ku tên?" Ew pêvajoya afirandina qaîdeyên pêwendiyê ye ku bi analîzkirina nîşan û nîşanên êrîşek veşartî an berê nenaskirî ye. Nêçîra Tehdîdê bi vî rengî çavdêriyê vedibêje.
Tenê bi berhevkirina her du cûreyên çavdêriyê em parastinek ku nêzîkê îdealê ye distînin, lê her gav astek xeterek mayînde heye.
Parastin bi karanîna du celeb çavdêriyê
Va ye çima TH (û nêçîra bi tevahî!) dê her ku diçe têkildar bibe:
Gef, derman, xetere.
. Di nav wan de celebên wekî spam, DDoS, vîrus, rootkits û malwareyên din ên klasîk hene. Hûn dikarin xwe ji van gefan bi karanîna heman tedbîrên ewlehiyê yên klasîk biparêzin.
Di dema pêkanîna her projeyê de, û 20% mayî ya xebatê 80% ji demê digire. Bi heman rengî, li seranserê perestgeha tehdîdê, 5% ji xetereyên nû dê ji% 70% xetera pargîdaniyek hesab bike. Di pargîdaniyek ku pêvajoyên rêveberiya ewlehiya agahdariya organîzekirî de têne organîze kirin, em dikarin ji% 30 ji xetereya pêkanîna xetereyên naskirî bi rengekî an yekî din rêve bibin bi rêvegirtina (bi prensîb redkirina torên bêtêl), pejirandin (cîanîna tedbîrên ewlehiyê yên pêwîst) an veguheztin. (mînak, li ser milên entegrator) ev xetere. Xwe ji parastin, êrîşên APT, phishing,, sîxuriya sîber û operasyonên niştimanî, û herwiha hejmareke mezin ji êrîşên din jixwe gelek dijwartir in. Encamên van 5% gefan dê pir girantir bin () ji encamên spam an vîrusan, ku nermalava antivirus jê xilas dike.
Hema hema her kes neçar e ku bi 5% ji gefan re mijûl bibe. Di van demên dawî de me neçar ma ku çareseriyek çavkaniyek vekirî saz bikin ku serîlêdanek ji depoya PEAR (PHP Extension and Application Depo) bikar tîne. Hewldanek ji bo sazkirina vê sepanê bi riya sazkirina pear têk çû ji ber ku ne berdest bû (niha li ser wê stûyek heye), neçar ma ku wê ji GitHub saz bikim. Û hema vê dawiyê derket holê ku PEAR bûye qurban.
Hûn hîn jî dikarin bîr bînin, serpêhatiyek ransomware NePetya bi modulek nûvekirinê ya ji bo bernameyek ragihandina bacê. Gef her ku diçe sofîstîketir dibin, û pirsa mantiqî derdikeve holê - "Em çawa dikarin li hember van 5% ji tehdîdan bisekinin?"
Definition of Threat Hunting
Ji ber vê yekê, Nêçîra Tehdîdê pêvajoya lêgerîna proaktîf û dubare û tespîtkirina xetereyên pêşkeftî ye ku ji hêla amûrên ewlehiyê yên kevneşopî ve nayên tesbît kirin. Gefên pêşkeftî, wek nimûne, êrişên wekî APT, êrişên li ser lawaziyên 0-rojî, Jiyana li derveyî Erdê, û hwd.
Her weha em dikarin ji nû ve binivîsin ku TH pêvajoya ceribandina hîpotezan e. Ev pêvajoyek bi gelemperî bi destan e ku bi hêmanên otomasyonê ve girêdayî ye, ku tê de vekoler, xwe dispêre zanîn û jêhatîbûna xwe, di lêgerîna nîşanên lihevhatinê de ku bi hîpoteza destpêkê ya diyarkirî ya li ser hebûna xeterek diyarkirî re têkildar e, di nav cildên mezin ên agahdariyê de digere. Taybetmendiya wê ya cihêreng cûrbecûr çavkaniyên agahdariyê ye.
Divê were zanîn ku Threat Hunting ne cûreyek nermalava an hilberek hişk e. Ev ne hişyariyên ku di hin çareseriyê de têne dîtin. Ev ne pêvajoyek lêgerînê ya IOC (Nasnameyên Lihevkirinê) ye. Û ev ne celebek çalakiyek pasîf e ku bêyî beşdarbûna analîstên ewlehiya agahdariyê pêk tê. Nêçîra Tehdîd berî her tiştî pêvajoyek e.
Pêkhateyên nêçîra gefan
Sê hêmanên sereke yên Nêçîra Tehdîdê: dane, teknolojî, mirov.
Daneyên (çi?), di nav de Daneyên Mezin. Her cûre herikîna trafîkê, agahdariya di derbarê APT-yên berê de, analîtîk, daneyên li ser çalakiya bikarhêner, daneyên torê, agahdariya ji karmendan, agahdariya li ser tariyê û hêj bêtir.
Teknolojî (çawa?) Pêvajoya vê daneyê - hemî awayên gengaz ên hilberandina van daneyan, tevî Fêrbûna Makîneyê.
Mirov (kî?) - yên ku di analîzkirina êrîşên cûrbecûr de xwedan ezmûnek berfireh in, têgihiştinek pêşkeftî û şiyana tespîtkirina êrişek pêşkeftî ye. Bi gelemperî ev analîstên ewlehiya agahdariyê ne ku pêdivî ye ku jêhatîbûna hîpotezan biafirînin û ji wan re pejirandinê bibînin. Ew girêdana sereke ya pêvajoyê ne.
Model PARIS
Adam Bateman Modela PARIS ji bo pêvajoya TH ya îdeal. Navê îşaretek navdar a Fransa ye. Ev model dikare di du aliyan de were dîtin - ji jor û ji jêr.
Gava ku em di nav modelê de ji binî jor ve dixebitin, em ê rastî gelek delîlên çalakiya xirab werin. Her delîlek xwedan pîvanek e ku jê re bawerî tê gotin - taybetmendiyek ku giraniya wê delîlê nîşan dide. "hesin" heye, delîlek rasterast a çalakiya xerab, li gorî ku em dikarin tavilê bigihîjin serê pîramîdê û hişyariyek rastîn li ser enfeksiyonek tam naskirî biafirînin. Û delîlên nerasterast hene, ku berhevoka wan jî dikare me berbi serê pîramîdê ve bibe. Mîna her gav, ji delîlên rasterast pirtir delîlên nerasterast hene, ku tê vê wateyê ku ew hewce ne ku werin rêz kirin û analîz kirin, divê lêkolînek zêde were kirin, û tê pêşniyar kirin ku vê yekê otomatîk bikin.
Model PARIS.
Beşa jorîn a modelê (1 û 2) li ser teknolojiyên otomasyonê û analîtîkên cihêreng, û beşa jêrîn (3 û 4) li ser mirovên bi hin jêhatîbûnên ku pêvajoyê birêve dibin ve girêdayî ye. Hûn dikarin modelê ji serî ber bi jêr ve bihesibînin, li cihê ku di beşa jorîn a rengê şîn de em ji amûrên ewlehiyê yên kevneşopî (antîvîrûs, EDR, dîwarê agir, îmze) bi dereceyek pêbawer û pêbaweriyê hişyar in, û li jêr jî nîşan hene ( IOC, URL, MD5 û yên din), yên ku xwedan astek pêbaweriyek kêmtir in û hewceyê lêkolînek din in. Û asta herî nizm û qalind (4) afirandina hîpotezan e, çêkirina senaryoyên nû ji bo xebitandina amûrên parastinê yên kevneşopî ye. Ev ast ne tenê bi çavkaniyên diyarkirî yên hîpotezan ve sînorkirî ye. Asta hindiktir, ew qas bêtir hewcedarî li ser kalîteyên analîstê têne danîn.
Pir girîng e ku vekoler ne tenê komek bêdawî ya hîpotezên diyarkirî ceribandin, lê bi berdewamî bixebitin ku hîpotez û vebijarkên nû ji bo ceribandina wan biafirînin.
TH Bikaranîna Modela Maturity
Di cîhanek îdeal de, TH pêvajoyek domdar e. Lê, ji ber ku cîhanek îdeal tune, em analîz bikin û rêbazên di warê mirovan, pêvajoyên û teknolojiyên bikaranîn. Werin em modelek TH-ya îdeal a spherîkî bifikirin. 5 astên bikaranîna vê teknolojiyê hene. Ka em bi mînaka pêşkeftina yek tîmek analîstan li wan binêrin.
Asta mezinbûnê
gel
Pêvajoyên
ji teknolojiya
Asta 0
Analîstên SOC
24/7
Amûrên kevneşopî:
Kevneşopî
Set alerts
Çavdêriya pasîf
IDS, AV, Sandboxing,
Bêyî TH
Bi alertan re dixebitin
Amûrên analîzkirina îmzeyê, Daneyên Îstîxbarata Tehdîdê.
Asta 1
Analîstên SOC
Yek-car TH
EDR
Experimental
Zanîna bingehîn ya edlî
Lêgerîna IOC
Vegirtina qismî ya daneyên ji cîhazên torê
Ceribandinên bi TH
Zanîna baş a toran û sepanan
sepana qismî
Asta 2
Dagirkeriya demkî
Sprints
EDR
Demrêzî
Average zanîna edlî
Heft bi meh
Serlêdana tevahî
Demkî TH
Zanîna baş a toran û sepanan
Regular TH
Otomasyona tevahî ya karanîna daneya EDR
Bikaranîna parçeyî ya kapasîteyên pêşkeftî yên EDR
Asta 3
Fermana TH ya veqetandî
24/7
Qabiliyeta qismî ya ceribandina hîpotezên TH
Tedbîr
Zanîna hêja ya dadwerî û malware
Pêşîlêgirtina TH
Bikaranîna bêkêmasî ya kapasîteyên pêşkeftî yên EDR
Dozên taybet TH
Ji aliyê êrîşkar de zanîna baş
Dozên taybet TH
Vegirtina tevahî daneyên ji cîhazên torê
Veavakirin li gorî hewcedariyên we
Asta 4
Fermana TH ya veqetandî
24/7
Kapasîteya bêkêmasî ya ceribandina hîpotezên TH
Rêbertî
Zanîna hêja ya dadwerî û malware
Pêşîlêgirtina TH
Asta 3, zêde:
Bikaranîna TH
Ji aliyê êrîşkar de zanîna baş
Testkirin, otomasyon û verastkirina hîpotezên TH
entegrasyona hişk a çavkaniyên daneyê;
Kapasîteya lêkolînê
pêşveçûna li gorî hewcedariyên û karanîna ne-standard a API-ê.
Asta mezinbûna TH ji hêla mirov, pêvajo û teknolojiyê ve
Ast 0: kevneşopî, bêyî bikaranîna TH. Analîstên birêkûpêk bi komek standard a hişyariyan re di moda çavdêriya pasîf de bi karanîna amûr û teknolojiyên standard dixebitin: IDS, AV, sandbox, amûrên analîzkirina îmzeyê.
Ast 1: ezmûnî, bi karanîna TH. Heman analîstên xwedan zanîna bingehîn a dadrêsiyê û zanîna baş a toran û serlêdanan dikarin bi lêgerîna li nîşanên lihevhatinê yek-car Nêçîra Tehdîdê pêk bînin. EDR li amûrên bi vegirtina qismî ya daneyên ji amûrên torê têne zêde kirin. Amûr bi qismî tên bikaranîn.
Ast 2: demkî, demkî TH. Heman analîstên ku berê zanîna xwe di warê dadwerî, toran û beşa serîlêdanê de nûve kirine, pêdivî ye ku bi rêkûpêk bi Nêçîra Tehdîdê (sprint) ve mijûl bibin, dibêjin, mehê hefteyekê. Amûr lêgerîna tevahî daneyên ji cîhazên torê, otomatîkkirina analîza daneyê ji EDR, û karanîna qismî ya kapasîteyên pêşkeftî yên EDR zêde dikin.
Ast 3: pêşîlêgirtin, bûyerên pir caran yên TH. Vekolerên me xwe di nav tîmek fedakar de birêxistin kirin û dest bi zanîna dadwerî û malware, û her weha zanîna rêbaz û taktîkên aliyê êrîşkar kirin. Pêvajo jixwe 24/7 tê meşandin. Tîm karibe qismî hîpotezên TH-ê biceribîne dema ku bi tevahî kapasîteyên pêşkeftî yên EDR-ê bi vegirtina tevahî daneyên ji cîhazên torê re bikar tîne. Di heman demê de analîst dikarin amûran li gorî hewcedariyên xwe mîheng bikin.
Ast 4: dawiya bilind, TH bikar bînin. Heman tîmê şiyana lêkolînê, şiyana hilberandin û otomatîkkirina pêvajoya ceribandina hîpotezên TH bi dest xist. Naha amûr bi yekbûna nêzîk a çavkaniyên daneyê, pêşkeftina nermalavê ji bo bicîhanîna hewcedariyên, û karanîna ne-standard a API-yê hatine zêdekirin.
Teknîkên nêçîrê yên tehdîdê
Teknîkên nêçîrê yên bingehîn
К TH, bi rêza gihîştina teknolojiya ku hatî bikar anîn, ev in: lêgerîna bingehîn, analîza statîstîkî, teknîkên dîtbarî, kombûnên hêsan, fêrbûna makîneyê, û rêbazên Bayesian.
Rêbaza herî hêsan, lêgerînek bingehîn, tê bikar anîn da ku qada lêkolînê bi karanîna pirsên taybetî teng bike. Analîza statîstîkî tê bikar anîn, ji bo nimûne, ji bo avakirina çalakiya bikarhêner an torê ya tîpîk di forma modelek statîstîkî de. Teknolojiyên dîtbarîkirinê têne bikar anîn da ku bi dîtbarî vekolîna daneyan di forma grafîkan û nexşeyan de nîşan bidin û hêsan bikin, ku danasîna nimûneyên di nimûneyê de pir hêsantir dike. Teknîka kombûnên hêsan ên ji hêla qadên sereke ve ji bo xweşbînkirina lêgerîn û analîzê tê bikar anîn. Her ku pêvajoyek TH ya rêxistinek gihîştî bigihîje, karanîna algorîtmayên fêrbûna makîneyê ew qas têkildar dibe. Ew di heman demê de bi berfirehî di fîlterkirina spam, tespîtkirina seyrûsefera xerab û tespîtkirina çalakiyên xapînok de têne bikar anîn. Cûreyek pêşkeftî ya algorîtmaya fêrbûna makîneyê rêbazên Bayesian e, ku rê dide dabeşkirin, kêmkirina mezinahiya nimûneyê, û modelkirina mijarê.
Modela Diamond û Stratejiyên TH
Sergio Caltagiron, Andrew Pendegast û Christopher Betz di xebata xwe de "» pêkhateyên sereke yên her çalakiyek xirab û pêwendiya bingehîn di navbera wan de destnîşan kir.
Modela Diamond ji bo çalakiya xerab
Li gorî vê modelê, 4 stratejiyên Nêçîra Tehdîdê hene, ku li ser bingeha pêkhateyên sereke yên têkildar in.
1. Stratejiya mexdûr. Em texmîn dikin ku mexdûr dijberên xwe hene û ew ê "derfetan" bi e-nameyê radest bikin. Em di nameyê de li daneyên dijmin digerin. Li girêdan, pêvedan, hwd bigerin. Em ji bo demek diyarkirî (mehek, du hefte) li piştrastkirina vê hîpotezê digerin; heke em wê nebînin, wê hingê hîpotez nexebitî.
2. Stratejiya binesaziyê. Ji bo bikaranîna vê stratejiyê gelek rêbaz hene. Bi gihîştin û dîtinê ve girêdayî, hin ji yên din hêsantir in. Mînakî, em serverên navên domainê yên ku wekî mêvandariya domên xerab têne zanîn çavdêrî dikin. An jî em di pêvajoya şopandina hemî qeydên navên domainê yên nû de ji bo şêwazek naskirî ku ji hêla dijberek ve hatî bikar anîn derbas dibin.
3. Stratejiya kapasîteyê. Ji bilî stratejiya mexdûr-balkêş ku ji hêla piraniya parêzvanên torê ve tê bikar anîn, stratejiyek li ser firsendê heye. Ew duyemîn herî populer e û balê dikişîne ser tespîtkirina kapasîteyên ji dijmin, ango "malware" û şiyana dijber ku amûrên rewa yên wekî psexec, powershell, certutil û yên din bikar bîne.
4. Stratejiya dijminane. Nêzîkatiya dijber-navendî li ser dijmin bi xwe disekine. Di nav vê yekê de karanîna agahdariya vekirî ji çavkaniyên gelemperî (OSINT), berhevkirina daneyên di derbarê dijmin, teknîk û rêbazên wî (TTP), analîzkirina bûyerên berê, daneyên Îstîxbarata Tehdîdê, hwd.
Çavkaniyên agahî û hîpotezên TH
Hin çavkaniyên agahdariyê ji bo Nêçîra Tehdîdê
Dibe ku gelek çavkaniyên agahdariyê hebin. Divê analîstek îdeal bikaribe ji her tiştê ku li derdorê ye agahdarî derxîne. Çavkaniyên gelemperî hema hema li her binesaziyê dê daneyên ji amûrên ewlehiyê bin: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Di heman demê de, çavkaniyên gelemperî yên agahdariyê dê nîşanên cihêreng ên lihevhatinê, karûbarên îstîxbarata xeternak, daneyên CERT û OSINT bin. Wekî din, hûn dikarin agahdariya ji tariyê bikar bînin (mînakî, ji nişkê ve fermanek heye ku qutiya posteyê ya serokê rêxistinek hak bike, an berendamek ji bo pozîsyona endezyarek torê ji bo çalakiya wî hatî eşkere kirin), agahdariya ku ji HR (nirxandinên berendamê ji cîhek berê ya xebatê), agahdariya ji karûbarê ewlehiyê (mînakî, encamên verastkirina alîgir).
Lê berî ku hemî çavkaniyên berdest bikar bînin, pêdivî ye ku bi kêmanî yek hîpotezek hebe.
Ji bo ceribandina hîpotezan, divê pêşî ew werin derxistin. Û ji bo derxistina gelek hîpotezên bi kalîte, pêdivî ye ku meriv nêzîkatiyek birêkûpêk were sepandin. Pêvajoya hilberandina hîpotezan bi berfirehî tê vegotin, pir hêsan e ku meriv vê nexşeyê wekî bingehek ji bo pêvajoya derxistina hîpotezan bigire.
Çavkaniya sereke ya hîpotezan dê bibe ATT & CK matrix (Taktîkên Dijber, Teknîkî û Zanînên Hevbeş). Ew, di eslê xwe de, bingehek zanyarî û modelek e ji bo nirxandina tevgera êrîşkerên ku çalakiyên xwe di gavên paşîn ên êrîşê de pêk tînin, ku bi gelemperî bi karanîna têgeha Kill Chain tê vegotin. Ango, di qonaxên piştî ku êrîşkar derbasî tora navxweyî ya pargîdaniyek an ser amûrek mobîl bûye. Bingeha zanînê bi eslê xwe danasînên 121 taktîk û teknîkên ku di êrîşê de hatine bikar anîn, dihewand, ku her yek ji wan bi hûrgulî di formata Wiki de têne vegotin. Analîtîkên Cûda yên Îstîxbarata Tehdîdê wekî çavkaniyek ji bo çêkirina hîpotezan baş in. Bi taybetî encamên analîzên binesaziyê û ceribandinên penetînê ne - ev daneya herî bi qîmet e ku dikare hîpotezên hesinî bide me ji ber vê yekê ku ew li ser bingehek binesaziyek taybetî bi kêmasiyên wê yên taybetî ve têne damezrandin.
Pêvajoya ceribandina hîpotezê
Sergey Soldatov anî bi danasîna berfireh a pêvajoyê, ew pêvajoya ceribandina hîpotezên TH-ê di pergalek yekane de destnîşan dike. Ez ê qonaxên sereke bi ravekek kurt destnîşan bikim.
Qonaxa 1: TI Farm
Di vê qonaxê de pêdivî ye ku were ronî kirin tiştên (bi analîzkirina wan digel hemî daneyên xetereyê) û ji bo taybetmendiyên wan etîketan danîne. Ev pel, URL, MD5, pêvajo, karûbar, bûyer in. Dema ku wan di pergalên îstîxbarata Gefê re derbas dikin, pêdivî ye ku etîketan pêve bikin. Ango ev malper di sal û salekê de di CNC de hate dîtin, ev MD5 bi vî rengî malware ve girêdayî bû, ev MD5 ji malperek ku malware belav dike hate dakêşandin.
Qonaxa 2: Doz
Di qonaxa duyemîn de, em li têkiliya di navbera van tiştan de dinêrin û têkiliyên di navbera van hemû tiştan de nas dikin. Em pergalên nîşankirî yên ku tiştek xirab dikin digirin.
Qonaxa 3: Analîst
Di qonaxa sêyem de, doz ji analîstek pispor re ku di analîzê de xwedan ezmûnek berfireh e, tê veguheztin û ew biryarek dide. Ew heta biteyan çi, li ku, çawa, çima û çima ev kod dike par dike. Ev laş malware bû, ev komputer vegirtî bû. Têkiliyên di navbera tiştan de eşkere dike, encamên bazdana di nav sandboxê de kontrol dike.
Encamên xebata analîstê bêtir têne şandin. Dadweriya Dîjîtal wêneyan dikole, Analîza Malware "laşên" hatine dîtin lêkolîn dike, û tîmê Bersiva Bûyerê dikare biçe malperê û li wir tiştek lêkolîn bike. Encama xebatê dê hîpotezek pejirandî, êrîşek naskirî û rêyên li dijî wê be.
Encam
The Threat Hunting teknolojiyek pir ciwan e ku dikare bi bandor li hember gefên xwerû, nû û ne-standard raweste, ku ji ber zêdebûna hêjmara xetereyên weha û tevliheviya zêde ya binesaziya pargîdanî xwedan perspektîfên mezin e. Ew sê beşan hewce dike - dane, amûr û analîst. Feydeyên Nêçîra Tehdîdê bi pêşîlêgirtina pêkanîna tehdîdan re sînordar nabe. Ji bîr nekin ku di pêvajoya lêgerînê de em bi çavê analîstek ewlehiyê di binesaziya xwe û xalên lawaz ên wê de vedigerin û dikarin van xalan hîn xurtir bikin.
Ji bo destpêkirina pêvajoya TH di rêxistina we de gavên pêşîn ên ku li gorî me divê werin avêtin.
- Bala xwe bidin parastina xalên dawî û binesaziya torê. Hişyariya dîtinê (NetFlow) û kontrolkirina (firewall, IDS, IPS, DLP) hemî pêvajoyên li ser tora xwe bikin. Tora xwe ji routerê qiraxa heya mêvandarê herî paşîn nas bikin.
- Lêkolîn.
- Pêlên birêkûpêk ên bi kêmî ve çavkaniyên sereke yên derveyî pêk bînin, encamên wê analîz bikin, armancên sereke yên êrîşê nas bikin û qelsiyên wan bigirin.
- Pergalek îstîxbarata Gefê ya çavkaniyek vekirî (mînak, MISP, Yeti) bicîh bikin û bi wê re têketin analîz bikin.
- Platformek bersivdayîna bûyerê (IRP) bicîh bikin: R-Vision IRP, The Hive, sandbox ji bo analîzkirina pelên gumanbar (FortiSandbox, Cuckoo).
- Pêvajoyên rûtîn bixweber bikin. Analîzkirina têketin, tomarkirina bûyeran, agahdarkirina karmendan ji bo otomasyonê qadek mezin e.
- Fêr bibin ku hûn bi endezyar, pêşdebir û piştgiriya teknîkî re bi bandor têkilî daynin da ku li ser bûyeran hevkariyê bikin.
- Tevahiya pêvajoyê, xalên sereke, encamên bidestxistî belge bikin da ku paşê li wan vegerin an jî van daneyan bi hevkaran re parve bikin;
- Civakî bin: Hay jê hebin ka bi xebatkarên we re çi diqewime, hûn kê digirin, û hûn ê bigihînin çavkaniyên agahdariya rêxistinê.
- Di warê tehdîd û rêbazên nû yên parastinê de rêgezên xwe bişopînin, asta xwendewariya teknîkî ya xwe zêde bikin (di nav de xebitandina karûbarên IT û jêrpergalan), beşdarî konferansan bibin û bi hevkarên xwe re têkilî daynin.
Amade ne ku di şîroveyan de rêxistina pêvajoya TH-ê nîqaş bikin.
An jî werin bi me re bixebitin!
Çavkanî û materyalên ji bo lêkolînê
Source: www.habr.com