Маалыматтык коопсуздук коркунучтарынын 95%ы белгилүү жана сиз антивирустар, брандмауэрлер, IDS, WAF сыяктуу салттуу каражаттарды колдонуу менен өзүңүздү коргой аласыз. Калган 5% коркунуч белгисиз жана эң коркунучтуу. Алар компания үчүн тобокелдиктин 70% түзөт, анткени аларды аныктоо өтө кыйын, алардан коргоо азыраак. Мисалдар WannaCry ransomware эпидемиясы, NotPetya/ExPetr, криптоминерлер, "кибер курал" Stuxnet (Ирандын өзөктүк объектилерине сокку урган) жана башка көптөгөн (Кидо/Конфикердин эсиндеби?) классикалык коопсуздук чаралары менен жакшы корголбогон башка чабуулдар. Биз Threat Hunting технологиясын колдонуу менен бул 5% коркунучка кантип каршы туруу керектиги жөнүндө сүйлөшкүбүз келет.
Кибер чабуулдардын үзгүлтүксүз эволюциясы тынымсыз аныктоону жана каршы чараларды талап кылат, бул акыры бизди чабуулчулар менен коргоочулар ортосундагы чексиз курал жарышы жөнүндө ойлонууга алып келет. Классикалык коопсуздук системалары мындан ары тобокелдиктин деңгээли компаниянын негизги көрсөткүчтөрүнө (экономикалык, саясий, репутацияга) таасирин тийгизбей турган коопсуздуктун алгылыктуу деңгээлин камсыз кыла албайт, аларды конкреттүү инфраструктура үчүн өзгөртпөстөн, бирок жалпысынан алар коопсуздуктун айрым түрлөрүн камтыйт. тобокелдиктер. Азыртадан эле ишке ашыруу жана конфигурациялоо процессинде заманбап коопсуздук системалары өздөрүн кууп чыгуунун ролун табышат жана жаңы замандын чакырыктарына жооп бериши керек.
Threat Hunting технологиясы маалымат коопсуздугу боюнча адис үчүн биздин замандын чакырыктарына жооптордун бири болушу мүмкүн. Threat Hunting термини (мындан ары - TH) бир нече жыл мурун пайда болгон. Технологиянын өзү абдан кызыктуу, бирок азырынча жалпы кабыл алынган стандарттар жана эрежелер жок. Маселе ошондой эле маалымат булактарынын гетерогендүүлүгү жана бул тема боюнча орус тилдүү маалымат булактарынын аздыгы менен татаалдашат. Ушуга байланыштуу, биз LANIT-Интеграциясында бул технологияга сын жазууну чечтик.
методологиясы
TH технологиясы инфраструктуралык мониторинг процесстерине таянат.. Эскертүү (MSSP кызматтарына окшош) - мурда иштелип чыккан кол тамгаларды жана кол салуулардын белгилерин издөөнүн жана аларга жооп берүүнүн салттуу ыкмасы. Бул сценарий кол тамгага негизделген салттуу коргоо куралдары менен ийгиликтүү аткарылууда. Аңчылык (MDR тибиндеги кызмат) – “Кол тамгалар жана эрежелер кайдан келет?” деген суроого жооп берген мониторинг ыкмасы. Бул жашыруун же мурда белгисиз индикаторлорду жана чабуулдун белгилерин талдоо аркылуу корреляция эрежелерин түзүү процесси. Threat Hunting мониторингдин бул түрүн билдирет.
Мониторингдин эки түрүн айкалыштыруу менен гана биз идеалга жакын коргоону алабыз, бирок ар дайым белгилүү бир деңгээлдеги калдык тобокелдик бар.
Мониторингдин эки түрүн колдонуу менен коргоо
Мына, эмне үчүн TH (жана аңчылык!) барган сайын актуалдуу болуп калат:
Коркунучтар, чаралар, тобокелдиктер.
. Аларга спам, DDoS, вирустар, руткиттер жана башка классикалык зыяндуу программалар кирет. Ушул эле классикалык коопсуздук чараларын колдонуп, өзүңүздү бул коркунучтардан коргой аласыз.
Кандайдыр бир долбоорду ишке ашыруу учурунда, ал эми калган 20% жумуш убактысынын 80% алат. Ошо сыяктуу эле, бүткүл коркунуч ландшафтында жаңы коркунучтардын 5% компания үчүн тобокелдиктин 70% түзөт. Маалыматтык коопсуздукту башкаруу процесстери уюштурулган компанияда биз белгилүү коркунучтарды ишке ашыруу тобокелдигинин 30% тигил же бул жол менен болтурбоо (принципиалдуу түрдө зымсыз тармактардан баш тартуу), кабыл алуу (зарыл коопсуздук чараларын көрүү) же которуу аркылуу башкара алабыз. (мисалы, интегратордун мойнуна) бул тобокелдик. Өзүңүздү коргоңуз, APT чабуулдары, фишинг,, кибер шпиондук жана улуттук операциялар, ошондой эле башка көптөгөн чабуулдар буга чейин бир топ кыйын. Бул 5% коркунучтун кесепети алда канча олуттуу болот () антивирустук программа сактаган спамдын же вирустардын кесепеттерине караганда.
Дээрлик ар бир адам коркунучтардын 5% менен күрөшүүгө туура келет. Биз жакында PEAR (PHP Extension and Application Repository) репозиторийинен тиркемени колдонгон ачык булактуу чечимди орнотууга туура келди. Pear install аркылуу бул колдонмону орнотуу аракети ишке ашкан жок, анткени жеткиликсиз болчу (эми анда так бар), мен аны GitHubдан орнотууга туура келди. Ал эми жакында эле ал ПАРМ курмандыгы болуп калды.
Сиз дагы эле эстей аласыз, салык отчеттуулугу программасы үчүн жаңыртуу модулу аркылуу NePetya ransomware эпидемиясы. Коркунучтар барган сайын татаалдашып баратат жана логикалык суроо туулат - "Биз бул 5% коркунучка кантип каршы тура алабыз?"
Коркунучтуу аңчылыктын аныктамасы
Ошентип, Threat Hunting - бул проактивдүү жана итеративдик издөө жана өнүккөн коркунучтарды аныктоо процесси, аны салттуу коопсуздук куралдары менен аныктоо мүмкүн эмес. Өркүндөтүлгөн коркунучтарга, мисалы, APT сыяктуу чабуулдар, 0 күндүк алсыздыктарга чабуулдар, Жерден алыс жашоо ж.б.у.с.
Биз TH гипотезаларды текшерүү процесси деп дагы айта алабыз. Бул негизинен автоматташтыруу элементтери бар кол менен аткарылуучу процесс, мында аналитик өзүнүн билимине жана көндүмдөрүнө таянып, белгилүү бир коркунучтун бар экендиги жөнүндө алгач аныкталган гипотезага туура келген компромисстин белгилерин издөөдө маалыматтын чоң көлөмүн электен өткөрөт. Анын айырмалоочу өзгөчөлүгү - маалымат булактарынын ар түрдүүлүгү.
Белгилей кетчү нерсе, Threat Hunting кандайдыр бир программалык же аппараттык продукт эмес. Бул кандайдыр бир чечимде көрүнө турган эскертүүлөр эмес. Бул IOC (Идентификаторлор компромисс) издөө процесси эмес. Жана бул маалымат коопсуздугу боюнча аналитиктердин катышуусуз ишке ашкан кандайдыр бир пассивдүү ишмердүүлүк эмес. Коркунучтуу аңчылык – бул биринчи кезекте процесс.
Коркунучтуу аңчылыктын компоненттери
Threat Hunting үч негизги компоненти: маалыматтар, технология, адамдар.
Маалыматтар (эмне?), анын ичинде Big Data. Трафик агымдарынын бардык түрлөрү, мурунку APTs жөнүндө маалымат, аналитика, колдонуучунун активдүүлүгү жөнүндө маалыматтар, тармак маалыматтары, кызматкерлердин маалыматы, darknetтеги маалымат жана башкалар.
Технологиялар (кантип?) бул маалыматтарды иштетүү - бул маалыматтарды иштетүүнүн бардык мүмкүн болгон жолдору, анын ичинде Machine Learning.
Адамдар (ким?) – ар кандай чабуулдарды талдоодо чоң тажрыйбасы бар, интуициясы өнүккөн жана чабуулду аныктоо жөндөмү барлар. Эреже катары, бул гипотезаларды түзүү жана алар үчүн тастыктоо табуу жөндөмүнө ээ болушу керек маалыматтык коопсуздук аналитиктери. Алар процесстин негизги звеносу болуп саналат.
Модель ПАРИЖ
Адам Бейтман Идеалдуу TH процесси үчүн ПАРИЖ модели. Бул ысым Франциядагы белгилүү жерди билдирет. Бул моделди эки багытта көрүүгө болот - жогорудан жана ылдыйдан.
Моделди ылдыйдан өйдө карай иштеп жатканыбызда, биз зыяндуу аракеттердин көптөгөн далилдерине туш болобуз. Ар бир далилдин ишеним деп аталган өлчөмү бар – бул далилдердин салмагын чагылдырган мүнөздөмө. "Темир", зыяндуу иш-аракеттин түздөн-түз далили бар, ага ылайык биз дароо пирамиданын чокусуна жетип, так белгилүү инфекция жөнүндө иш жүзүндө эскертүү түзө алабыз. Жана кыйыр далилдер бар, алардын суммасы бизди пирамиданын чокусуна алып барышы мүмкүн. Кадимкидей эле, түз далилдерге караганда кыйыр далилдер алда канча көп, демек, аларды сорттоо жана талдоо керек, кошумча изилдөөлөр жүргүзүлүшү керек жана муну автоматташтыруу максатка ылайыктуу.
Модель ПАРИЖ.
Моделдин жогорку бөлүгү (1 жана 2) автоматташтыруу технологияларына жана ар кандай аналитикага негизделген, ал эми төмөнкү бөлүгү (3 жана 4) процессти башкарган белгилүү бир квалификациядагы адамдарга негизделген. Моделди өйдөдөн ылдый карай жылдырып карап көрсөңүз болот, анда көк түстүн жогорку бөлүгүндө бизде традициялык коопсуздук куралдарынан (антивирус, EDR, брандмауэр, кол тамгалар) жогорку ишеним жана ишеним менен эскертүүлөр бар, ал эми төмөндө көрсөткүчтөр ( IOC, URL, MD5 жана башкалар), алар төмөнкү ишенимдүүлүк даражасына ээ жана кошумча изилдөөнү талап кылат. Ал эми эң төмөнкү жана эң калың деңгээл (4) – гипотезаларды түзүү, салттуу коргонуу каражаттарынын иштешинин жаңы сценарийлерин түзүү. Бул деңгээл гипотезалардын көрсөтүлгөн булактары менен гана чектелбейт. Деңгээл канчалык төмөн болсо, аналитиктин квалификациясына ошончолук көп талаптар коюлат.
Аналитиктер алдын ала аныкталган гипотезалардын чектүү топтомун сынап тим болбостон, жаңы гипотезаларды жана аларды текшерүүнүн варианттарын түзүү үчүн тынымсыз иштеши абдан маанилүү.
TH колдонуунун жетилүү модели
Идеалдуу дүйнөдө TH үзгүлтүксүз процесс. Бирок, идеалдуу дүйнө жок болгондуктан, талдап көрөлү жана колдонулган адамдар, процесстер жана технологиялар боюнча методдор. Келгиле, идеалдуу сфералык TH моделин карап көрөлү. Бул технологияны колдонуунун 5 деңгээли бар. Келгиле, аналитиктердин бирдиктүү командасынын эволюциясынын мисалында аларды карап көрөлү.
Жетилгендиктин деңгээли
эл
жараяндар
технология
деңгээл 0
SOC аналитиктери
24/7
Салттуу аспаптар:
салттуу
Эскертүүлөр топтому
Пассивдүү мониторинг
IDS, AV, Sandboxing,
TH жок
Эскертүүлөр менен иштөө
Кол коюу талдоо куралдары, Threat Intelligence маалыматтары.
деңгээл 1
SOC аналитиктери
Бир жолку TH
EDR
Эксперименталдык
Криминалистика боюнча негизги билим
IOC издөө
Тармактык түзүлүштөрдөн маалыматтарды жарым-жартылай камтуу
TH менен эксперименттер
тармактарды жана колдонмолорду жакшы билүү
Жарым-жартылай колдонуу
деңгээл 2
Убактылуу иш
Спринттер
EDR
Мезгилдүү
Соттук экспертиза боюнча орточо билими
Аптадан айга
Толук колдонмо
Убактылуу TH
тармактарды жана тиркемелерди мыкты билүү
Кадимки TH
EDR маалыматтарын колдонууну толук автоматташтыруу
Өркүндөтүлгөн EDR мүмкүнчүлүктөрүн жарым-жартылай колдонуу
деңгээл 3
Арналган TH буйругу
24/7
Гипотезаларды сыноо үчүн жарым-жартылай жөндөмдүүлүк TH
Алдын алуу
Криминалистика жана зыяндуу программалар боюнча мыкты билим
Алдын алуу TH
өнүккөн EDR мүмкүнчүлүктөрүн толук пайдалануу
Өзгөчө учурлар TH
Чабуул жасаган тарапты мыкты билүү
Өзгөчө учурлар TH
Тармак түзмөктөрүнөн алынган маалыматтарды толук камтуу
Сиздин муктаждыктарыңызга ылайыктуу конфигурация
деңгээл 4
Арналган TH буйругу
24/7
TH гипотезаларын текшерүүгө толук мүмкүнчүлүк
Жетектөөчү
Криминалистика жана зыяндуу программалар боюнча мыкты билим
Алдын алуу TH
3-деңгээл, кошумча:
TH колдонуу
Чабуул жасаган тарапты мыкты билүү
Гипотезаларды текшерүү, автоматташтыруу жана текшерүү TH
маалымат булактарынын тыгыз интеграциясы;
Изилдөө жөндөмдүүлүгү
муктаждыктарга жана API стандарттуу эмес колдонууга ылайык иштеп чыгуу.
Адамдар, процесстер жана технологиялар боюнча TH жетилгендик деңгээли
0-деңгээл: салттуу, TH колдонбостон. Кадимки аналитиктер стандарттуу инструменттерди жана технологияларды колдонуу менен пассивдүү мониторинг режиминде эскертүүлөрдүн стандарттуу топтому менен иштешет: IDS, AV, құмсалгыч, кол талдоо куралдары.
1-деңгээл: эксперименталдык, TH колдонуу. Криминалистика боюнча негизги билими бар жана тармактарды жана тиркемелерди жакшы билген аналитиктер компромисстин индикаторлорун издөө менен бир жолку Threat Hunting жүргүзө алышат. Тармактык түзүлүштөрдөн алынган маалыматтарды жарым-жартылай камтыган куралдарга EDRs кошулат. Куралдар жарым-жартылай колдонулат.
2-деңгээл: мезгилдүү, убактылуу TH. Криминалистика, тармактар жана колдонмо бөлүгү боюнча билимин өркүндөткөн аналитиктер, айталы, айына бир жумада дайыма Threat Hunting (спринт) менен алектениши керек. Куралдар тармактык түзүлүштөрдөн маалыматтарды толук изилдөөнү, EDRден маалыматтарды талдоону автоматташтырууну жана өнүккөн EDR мүмкүнчүлүктөрүн жарым-жартылай колдонууну кошот.
3-деңгээл: алдын алуу, TH көп учурлар. Биздин аналитиктер атайын командага биригип, криминалистика жана зыяндуу программалар боюнча мыкты билимге ээ боло башташты, ошондой эле чабуулчу тараптын ыкмаларын жана тактикасын биле башташты. Процесс буга чейин 24/7 жүргүзүлүп жатат. Команда TH гипотезаларын жарым-жартылай сынай алат, ал эми EDRдин өркүндөтүлгөн мүмкүнчүлүктөрүн тармактык түзүлүштөрдөн маалыматтарды толук камтуу менен толук колдоно алат. Аналитиктер ошондой эле алардын муктаждыктарына ылайыктуу куралдарды конфигурациялай алышат.
4-деңгээл: жогорку сапаттагы, TH колдонуңуз. Ошол эле команда изилдөө жөндөмдүүлүгүнө, TH гипотезаларын текшерүү процессин генерациялоо жана автоматташтыруу жөндөмүнө ээ болду. Эми инструменттер маалымат булактарынын тыгыз интеграциясы, керектөөлөрдү канааттандыруу үчүн программалык камсыздоону иштеп чыгуу жана API'лерди стандарттуу эмес колдонуу менен толукталды.
Коркунучтуу аңчылык техникалары
Коркунучтарга аңчылык кылуунун негизги ыкмалары
К TH, колдонулган технологиянын жетилгендигине жараша: негизги издөө, статистикалык талдоо, визуалдаштыруу ыкмалары, жөнөкөй агрегаттар, машинаны үйрөнүү жана Байес усулдары.
Эң жөнөкөй ыкма, негизги издөө, белгилүү бир суроону колдонуу менен изилдөө чөйрөсүн тарытуу үчүн колдонулат. Статистикалык талдоо, мисалы, статистикалык модель түрүндө типтүү колдонуучу же тармак ишин куруу үчүн колдонулат. Визуалдаштыруу ыкмалары графиктер жана диаграммалар түрүндөгү маалыматтарды визуалдык көрсөтүү жана талдоону жөнөкөйлөтүү үчүн колдонулат, бул үлгүдөгү үлгүлөрдү аныктоону бир топ жеңилдетет. Негизги талаалар боюнча жөнөкөй топтоо ыкмасы издөө жана анализди оптималдаштыруу үчүн колдонулат. Уюмдун TH процесси канчалык жетилген сайын, машинаны үйрөнүү алгоритмдерин колдонуу ошончолук актуалдуу болуп калат. Алар ошондой эле спамды чыпкалоодо, зыяндуу трафикти аныктоодо жана алдамчылык аракеттерди аныктоодо кеңири колдонулат. Машина үйрөнүү алгоритминин бир кыйла өркүндөтүлгөн түрү классификациялоого, үлгү көлөмүн кыскартууга жана теманы моделдөөгө мүмкүндүк берген Байес усулдары болуп саналат.
Алмаз модели жана TH стратегиялары
Серхио Кальтагирон, Эндрю Пендегаст жана Кристофер Бетц өз иштеринде "» ар кандай зыяндуу аракеттердин негизги негизги компоненттерин жана алардын ортосундагы негизги байланышты көрсөттү.
Зыяндуу аракет үчүн алмаз модели
Бул моделге ылайык, тиешелүү негизги компоненттерге негизделген 4 Threat Hunting стратегиясы бар.
1. Курмандыкка багытталган стратегия. Биз жабырлануучунун каршылаштары бар жана алар электрондук почта аркылуу "мүмкүнчүлүктөрдү" жеткирет деп ойлойбуз. Биз почтадан душмандын маалыматтарын издеп жатабыз. Шилтемелерди, тиркемелерди ж.б. издөө. Биз бул гипотезаны белгилүү бир убакыттын ичинде (бир ай, эки жума) тастыктоо үчүн издеп жатабыз; эгерде биз аны таппасак, анда гипотеза иштеген жок.
2. Инфраструктурага багытталган стратегия. Бул стратегияны колдонуу үчүн бир нече ыкмалары бар. Мүмкүнчүлүккө жана көрүнүүгө жараша, айрымдары башкаларга караганда оңой. Мисалы, биз зыяндуу домендерди жайгаштыруу үчүн белгилүү болгон домендик аталыш серверлерин көзөмөлдөйбүз. Же биз бардык жаңы домендик аталыштарды каттоо процессине каршылаш колдонгон белгилүү үлгү үчүн мониторинг жүргүзүү процессинен өтөбүз.
3. Мүмкүнчүлүккө негизделген стратегия. Көпчүлүк тармак коргоочулары колдонгон жабырлануучуга багытталган стратегиядан тышкары, мүмкүнчүлүккө багытталган стратегия бар. Бул экинчи эң популярдуу жана душмандын мүмкүнчүлүктөрүн, тактап айтканда "зыяндуу программаны" жана душмандын psexec, powershell, certutil жана башкалар сыяктуу мыйзамдуу куралдарын колдонуу мүмкүнчүлүгүн аныктоого багытталган.
4. Душманга багытталган стратегия. Душманга багытталган мамиле душмандын өзүнө багытталган. Бул жалпыга жеткиликтүү булактардан ачык маалыматты пайдаланууну (OSINT), душман жөнүндө маалыматтарды чогултуу, анын ыкмалары жана ыкмалары (TTP), мурунку окуяларды талдоо, Threat Intelligence маалыматтары ж.б.
THдеги маалымат жана гипотеза булактары
Threat Hunting үчүн кээ бир маалымат булактары
Маалымат булактары көп болушу мүмкүн. Идеалдуу аналитик айланадагы бардык нерселерден маалымат ала алышы керек. Дээрлик бардык инфраструктуранын типтүү булактары коопсуздук куралдарынын маалыматтары болот: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Ошондой эле, типтүү маалымат булактары компромисстин ар кандай көрсөткүчтөрү, коркунуч чалгындоо кызматтары, CERT жана OSINT маалыматтары болот. Кошумчалай кетсек, сиз darknet'тен маалыматты колдоно аласыз (мисалы, күтүлбөгөн жерден уюмдун жетекчисинин почта ящигин бузууга буйрук келип чыгат же тармак инженеринин кызматына талапкер анын ишмердүүлүгү үчүн ачыкка чыкты), HR (мурунку иштеген жеринен талапкердин пикирлери), коопсуздук кызматынын маалыматы (мисалы, контрагентти текшерүүнүн жыйынтыгы).
Бирок колдо болгон бардык булактарды колдонуудан мурун, жок эле дегенде, бир гипотеза болушу керек.
Гипотезаларды текшерүү үчүн алгач алар ортого салынышы керек. Ал эми көптөгөн жогорку сапаттагы гипотезаларды алдыга коюу үчүн системалуу мамилени колдонуу зарыл. Гипотезаларды түзүү процесси кененирээк сүрөттөлөт, гипотезаларды алдыга коюу процессинин негизи катары бул схеманы алуу абдан ыңгайлуу.
Гипотезалардын негизги булагы болот ATT&CK матрицасы (Каршылашуунун тактикасы, техникасы жана жалпы билими). Бул, адатта, Kill Chain концепциясын колдонуу менен сүрөттөлгөн чабуулдун акыркы кадамдарында өз иш-аракеттерин жүзөгө ашырган чабуулчулардын жүрүм-турумун баалоо үчүн билим базасы жана модели. Башкача айтканда, чабуулчу ишкананын ички тармагына же мобилдик түзүлүшкө киргенден кийинки этаптарда. Билим базасы алгач чабуулда колдонулган 121 тактиканын жана техниканын сүрөттөмөсүн камтыган, алардын ар бири Wiki форматында кеңири сүрөттөлгөн. Ар кандай Threat Intelligence аналитикасы гипотезаларды түзүү үчүн булак катары ылайыктуу. Инфраструктураны анализдөөнүн жана өтүү сыноолорунун натыйжалары өзгөчө көңүл бурууга тийиш – бул бизге темирдей гипотезаларды бере турган эң баалуу маалыматтар, анткени алар конкреттүү инфраструктурага анын конкреттүү кемчиликтери менен негизделген.
Гипотезаны текшерүү процесси
Сергей Солдатов алып келди процесстин деталдуу сүрөттөлүшү менен, ал бирдиктүү системада TH гипотезаларын текшерүү процессин көрсөтөт. Мен кыскача сүрөттөмө менен негизги этаптарын көрсөтөм.
1-этап: TI Farm
Бул этапта баса белгилеп кетүү зарыл объектилер (бардык коркунуч маалыматтары менен бирге аларды талдоо менен) жана алардын мүнөздөмөлөрү үчүн энбелгилерди ыйгаруу. Бул файл, URL, MD5, процесс, утилита, окуя. Аларды Threat Intelligence системалары аркылуу өткөрүп жатканда, тегдерди тиркөө керек. Башкача айтканда, бул сайт баланча жылы CNCде байкалган, бул MD5 баланча зыяндуу программа менен байланышкан, бул MD5 зыяндуу программаны тараткан сайттан жүктөлгөн.
2-этап: учурлар
Экинчи этапта биз бул объектилердин ортосундагы өз ара аракеттенүүнү карайбыз жана бардык бул объекттердин ортосундагы байланыштарды аныктайбыз. Биз жаман нерсе кылган системаларды алабыз.
3-этап: Аналитик
Үчүнчү этапта иш талдоо боюнча чоң тажрыйбасы бар тажрыйбалуу аналитикке өткөрүлүп, ал өкүм чыгарат. Ал бул код эмне, кайда, кантип, эмне үчүн жана эмне үчүн байттарга чейин талдайт. Бул дене зыяндуу программа болгон, бул компьютер жуккан. Объекттердин ортосундагы байланыштарды ачып берет, кумкоргондон өтүүнүн жыйынтыгын текшерет.
Талдоочунун ишинин жыйынтыгы андан ары берилет. Санариптик криминалистика сүрөттөрдү, кесепеттүү программаларды талдоо табылган "денелерди" текшерет жана Incident Response командасы сайтка барып, ал жердеги нерсени иликтей алат. Иштин жыйынтыгы тастыкталган гипотеза, аныкталган чабуул жана ага каршы туруу жолдору болот.
натыйжалары
Threat Hunting – бул ылайыкташтырылган, жаңы жана стандарттуу эмес коркунучтарга натыйжалуу каршы тура ала турган кыйла жаш технология, мындай коркунучтардын санынын өсүшүн жана корпоративдик инфраструктуранын татаалданышын эске алганда, анын келечеги чоң. Бул үч компонентти талап кылат - маалыматтар, аспаптар жана аналитиктер. Threat Huntingтин пайдасы коркунучтарды ишке ашыруунун алдын алуу менен эле чектелбейт. Издөө процессинде биз инфраструктурабызга жана анын алсыз жерлерине коопсуздук боюнча аналитиктин көзү менен кирип, бул пункттарды дагы да бекемдей аларыбызды унутпаңыз.
Биздин оюбузча, уюмуңузда TH процессин баштоо үчүн жасалышы керек болгон биринчи кадамдар.
- Акыркы чекиттерди жана тармактык инфраструктураны коргоого кам көрүңүз. Тармагыңыздагы бардык процесстердин көрүнүүсүнө (NetFlow) жана көзөмөлдөөгө (брандмауэр, IDS, IPS, DLP) кам көрүңүз. Тармагыңызды четтеги роутерден эң акыркы хостко чейин билиңиз.
- Изилдөө.
- Жок дегенде негизги тышкы ресурстарга үзгүлтүксүз пенесттерди жүргүзүү, анын натыйжаларын талдоо, чабуулдун негизги максаттарын аныктоо жана алардын алсыз жерлерин жабуу.
- Ачык булактуу Threat Intelligence системасын ишке ашыруу (мисалы, MISP, Yeti) жана аны менен бирге журналдарды талдоо.
- Окуяга жооп берүү платформасын (IRP) ишке ашыруу: R-Vision IRP, The Hive, шектүү файлдарды талдоо үчүн кум чөйрөсү (FortiSandbox, Cuckoo).
- Күнүмдүк процесстерди автоматташтыруу. Журналдарды талдоо, инциденттерди эсепке алуу, кызматкерлерге маалымат берүү - автоматташтыруу үчүн чоң тармак.
- Инциденттер боюнча кызматташуу үчүн инженерлер, иштеп чыгуучулар жана техникалык колдоо менен эффективдүү иштешүүнү үйрөнүңүз.
- Процессти, негизги пункттарды, жетишилген натыйжаларды кийинчерээк кайтаруу үчүн документтештирүү же бул маалыматтарды кесиптештер менен бөлүшүү;
- Коомдук болуңуз: Кызматкерлериңиз менен эмне болуп жатканын, кимди жалдап жатканыңыздан жана уюмдун маалымат ресурстарына кирүү мүмкүнчүлүгүнөн кабардар болуңуз.
- Жаңы коркунучтар жана коргоо ыкмалары чөйрөсүндөгү тенденциялардан кабардар болуңуз, өзүңүздүн техникалык сабаттуулугуңуздун деңгээлин жогорулатыңыз (анын ичинде IT кызматтарынын жана подсистемаларынын иштешинде), конференцияларга катышып, кесиптештер менен баарлашыңыз.
Комментарийлерде TH процессин уюштурууну талкуулоого даяр.
Же биз менен келиңиз!
Изилдөө үчүн булактар жана материалдар
Source: www.habr.com