95% minae securitatis informationis notae sunt, et te ab eis tueri potes utentibus instrumentis traditis sicut antiviruses, firewalls, IDS, WAF. Reliquae 5% minae ignotae et periculosae sunt. 70% periculi constituunt societatem ob hoc quod difficillimum est eas deprehendere, nedum contra eos tueri. Exempla sunt WannaCry pestilentia redemptionis, NotPetya/ExPetr, cryptominers, "telum cyber" Stuxnet (qui facultatem nuclei Iran feriunt) et multi (quisquis alius meminit Kido/Conficker?) alii impetus non optime defenduntur contra mensuras securitatis classicas. Loqui volumus quomodo his 5% minarum occurrere utendi technologiae comminationis Venationis.
Continua evolutionis cybericae impetus assiduas detectiones et countermeasures requirit, quae tandem nos cogitemus genus armorum infiniti inter oppugnatores et defensores. Systema securitatis classicae non amplius possunt acceptum securitatis gradum praebere in quo periculo non afficit indices societatis (oeconomicae, politicae, famae) sine modificatione pro certis infrastructuris, sed generatim quosdam tegunt. pericula. Iam in processu exsecutionis et schematismi, hodierni systemata securitatis in munere capiendi se inveniunt et respondere debent provocationibus novi temporis.
Venatio technologiae comminatio una potest esse e responsionibus provocationibus nostris temporis pro informatione specialist securitatis. Vocabulum comminationis Venationis (infra post TH) ante aliquot annos apparuit. Ipsa technologia satis iucunda est, sed signa et regulas generaliter non habet. Materia etiam implicata est per heterogeneitatem informationum fontium et paucitatem informationum russicarum-linguarum de hoc argumento. Qua de re apud LANIT-Integration placuit hanc technologiam retractationem conscribere.
topicality
TH technologiae infrastructurae processibus monitoriis nititur.. Commercium (similis erga MSSP officia) methodus traditam quaerendi signaturas et signa oppugnationum antea elaboratas et illis respondendi. Hoc missionis missionem feliciter exercet instrumentorum tutelae tradito-substructio. Venatio (MDR genus muneris) est methodus vigilantia quae respondet quaestioni "Ubi veniunt signaturae et regulae?" Processus rationis creandi praecepta est dividendo occultas vel antea ignotas indices et signa oppugnationis. Comminatio Venationis ad hoc genus vigilantia refertur.
Utraque tantum iungendo vigilantia tutelam prope idealem accipimus, sed periculum quoddam semper est in periculo residua.
Tutela per duo genera vigilantia
Et hic cur TH (et tota venatio!) magis magisque pertinet:
Minas, remedia, pericula.
. Haec genera includunt ut spamma, DDoS, virus, rootkits et aliae malware classicae. Ab his minis te protegere potes iisdem remediis securitatis classicae.
Per exsecutionem alicuius consiliireliquae 20% operis 80% temporis. Item per totam comminationem landscape, 5% novarum minarum pro 70% periculo ad societatem rationem reddet. In societate, ubi processus notitiae securitatis procurationis ordinantur, efficere possumus XXX% periculo exsecutionis minarum notarum aliquo modo vel alio modo, vitando (reprobationem wireless reticulorum in principio), accipiendo (explicandas necessarias cautiones mensuras) vel mobiles. (exempli gratia in umeros integratoris) hoc periculum. Protege te aImpetus, hamatio;cyber inquisitio et opera nationalia, tum magnus numerus aliorum impetus multo difficilior. Consequentiae harum 5% minarum multo graviores erunt () quam consectaria spamma vel virus, ex quibus antivirus programmatus servat.
Omnes fere minas agere cum 5%. Nuper habuimus solutionem patentem instituere quae applicatione utitur ex PIR (PHP Extensio et Repositorium Application) repositorium. Temptata res est ut install applicationis per pirum install defecit quod pervulgatum fuit (nunc in ea stipula est), me a GitHub instituere oportuit. Nuper autem evenit ut PIRRUM victima facta est.
Potes adhuc recordabor, pestilentia de NePetya redemptionis an update moduli pro programmatis relatione tributi. Minae magis magisque sophisticae fiunt, et quaestio logica oritur - "Quomodo 5% minarum occurrere possumus?"
Definition of Comminatio Venationis
Itaque, Minatio Venatio est processus proactiva et iterativa inquisitionis et deprehensio minarum progressarum quae per instrumenta securitatis traditionalis deprehendi non possunt. Minas provectae includunt, exempli gratia, impetus sicut APT, impetus in vulnerabilitates 0-die, Terram vivi, et sic porro.
Possumus etiam re- prehendere TH esse processum probationis hypothesium. Hic est praevalens processus manualis cum elementis automationis, in quo analysta, scientia et artibus fretus, perquirit per magnas notitiarum volumina in quaerendis notis compromissi, quae respondent initio determinatae hypothesi de praesentia cuiusdam comminationis. Insigne eius notae varietas est fontium notitiarum.
Notandum quod comminatio venationis non est quaedam luctus vel odio tellus. Haec summis montibus non sunt quae in aliqua solutione videri possunt. Hoc processum quaestionis non est IOC (Identifiers of Compromise) . Et hoc non est aliqua actio passiva quae fit sine participatione informationis securitatis coniectoribus. Venatio comminatio primo et principaliter est processus.
Components of comminatio Hunting
Tres principales partes comminationis Venationis: data, technica, homines.
Data (quid?), inter Data Big. Omnia negotiationum genera fluit, informationes circa APTs, analyticas, notitias in usoris activitatem, retis notitia, informationes ab operariis, informationes in obscuro et multo magis.
Technologies (quomodo?) hanc datam dispensando - omnes possibilis modi processus huius notitiae, inclusa Apparatus Discendi.
Homines? β qui magnam experientiam habent in analysibus variis incursus, intuitionibus enucleatis et facultates deprehendendi impetum. De more hae sunt notitiae securitatis analystae qui facultatem generandi hypotheses habere debent et confirmationem pro illis invenire. Sunt consectetur tincidunt elit.
Exemplar PARIS
Adamus Bateman Parisiensis exemplar ad specimen processum TH. Nomen ad notam notam in Gallia alludit. Exemplar hoc in duas partes considerari potest: superne et ab inferis.
Dum iter per exemplar ab imo sursum laboramus, multum actionis malignae evidentiae occurremus. Uniuscuiusque testimonii testimonium mensuram habet fiduciam appellatam - notam quae pondus huius testimoniis reflectit. Est "ferrum", directum testimonium actionis malignae, secundum quod statim ad cacumen pyramidis attingere possumus et actuosam circa notissimam contagionem intenti efficere. Et evidentia obliqua est, cuius summa etiam nos ad pyramidem cacumen ducere potest. Ut semper, multo magis indirecta indicia sunt quam rectae probationes, quae significat eas disponi et enucleari oportere, additis inquisitionibus deduci debent et id automate expedire visum est.
Exemplar Paris.
Superior pars exemplaris (1 et 2) nititur technologiae technologiae et variis analyticis, et pars inferior (3 et 4) innititur hominibus quibusdam qualificationibus, quae processus administrant. Exemplar a summo ad imum movendo considerare potes, ubi in superiore parte coloris caerulei summas habemus ab instrumentis securitatis traditis (antivirus, EDR, firewall, signaturas) cum eminentia fiduciae et fiduciae, et infra sunt indices ( IOC, URL, MD5 et alii), quae certitudinem inferiorem gradum habent et studium additionalem requirunt. Atque infimus ac densissimus ordo(4) est hypothesium generatio, novarum missionum creatio ad operandum translaticiarum subsidiorum tutelae. Haec planities non solum determinatis hypothesium fontibus limitatur. In inferiori gradu, plura requiruntur in analyst's industria.
Magni interest ut analystae non solum certum praefinitorum hypothesium tentant, sed constanter operantur novas hypotheses et optiones generandi ad eas experiendas.
Th Ritus Maturitatis Model
In mundo ideali, TH continuus processus est. Sed, cum nullus sit mundus optimus, analysin ac modos in terminis hominum, processuum et technologiarum adhibitis. Exemplar consideremus specimen sphaerici TH. Sunt 5 gradus utendi hac technicae artis. Intueamur eos utentes exemplo evolutionis unius quadrigis analystarum.
Gradus maturitatis
populo
fiunt
technicae
gradu 0
SOC Analystae
24/7
Instrumenta Institutio:
traditional
Constitue summis
Passiva magna
IDS, AV, Sandboxing;
Sine TH
Opus summis
Instrumenta signaturae analysis, comminatio intelligentiae data.
gradu 1
SOC Analystae
Unus-vicis TH
BDU
Experimental
Basic scientia forensics
IOC quaerere
Partis coverage de notitia network machinis
Experimenta cum TH
Bona cognitio retiacula et applicationes
Partialis application
gradu 2
Tempus occupationis
Sprints
BDU
Periodic
Mediocris scientia iudicialis
Ad mensem septimana
Plena application
Tempus TH
Praeclara scientia reticulorum et applicationum
regularis TH
Plena automation de EDR notitia usus
Partialis usus facultatibus provectis EDR
gradu 3
Dedicavit TH mandatum
24/7
Facultatem partialem test hypothesibus TH
Praeventiva
Praeclara scientia forensium et malware
Praecaventur TH
Plenus usus facultatibus provectis EDR
Casus speciales TH
Egregiam partem oppugnationis
Casus speciales TH
Plena coverage de notitia network cogitationes
Configurationis ad usus necessitates
gradu 4
Dedicavit TH mandatum
24/7
Plena facultatem test hypotheses TH
Ducens
Praeclara scientia forensium et malware
Praecaventur TH
Level III, plus;
per TH
Egregiam partem oppugnationis
Testis, automatio et verificationis hypothesium TH
stricta integratio fontium notitiarum;
Investigationis facultatem
evolutionis secundum necessitates et usus non-commodus API.
T. Maturitas gradus ab hominibus, processibus et technologiae
Level 0: traditum, sine usu TH. Iusta analystae operantur cum norma erectorum in possibili vigilantia modo utendi normas instrumenta et technologias: IDS, AV, sandbox, instrumenta analysi subscriptio.
Level 1: experimentalem, utens TH. Eadem analysta cum basic scientia rerum forensium ac bonarum scientiarum retiacula et applicationes unum tempus comminatio Venationis exsequi possunt per exploratores compromissi indices. Accedunt EDRs instrumenta cum coverage partiali notitiarum e retis machinis. Instrumenta partim adhibita sunt.
Level 2: periodicum, tempus TH. Iidem analysi qui iam scientiam suam in forensicis, reticulis et applicationis parte iecerunt, requiruntur ut semper in comminatione Venationis (sprint), dicunt, hebdomadam mensem. Instrumenta plenam explorationem notitiarum e retis machinis addunt, automationem analyseos ab EDR et partiales usus facultatum EDR progressarum.
Level 3: praecavendum, frequent cases of TH. Analystae nostri se in turmas devotas constituerunt et inceperunt habere egregiam cognitionem forensium et malware, ac scientia methodorum et ratio oppugnandi. Processus iam exercetur 24/7. Turma TH hypotheses ex parte probare potest, dum provectae facultates EDR plene levant cum plena coverage notitiarum e retis machinis. Analystae etiam instrumenta configurare possunt ad usus eorum necessitates.
Level 4: summus finis, uti TH. Idem quadrigis facultatem investigandi acquirit, facultatem generandi et automate processum probandi TH hypotheses. Instrumenta iam addita sunt per arctam integrationem fontium notitiarum, programmatum programmatum ad usus necessarios et usus APIs non norma.
Venatio Techniques comminatio
Basic comminatio Hunting Techniques
Π TH, in ordine ad maturitatem technologiarum adhibitarum, sunt: ββinvestigatio fundamentalis, analysis statistica, ars visualisation, aggregationes simplices, apparatus discendi, methodi Bayesian.
Methodus simplicissima, inquisitio fundamentalis, ad angustandam aream investigationis adhibitis certis quaestionibus adhibetur. Analysis statistica adhibetur, exempli gratia, ad construendam usorem typicam vel retis activitatem in forma statisticalis exemplar. Artes visualizationis adhibentur ad uisum proponere ac simpliciorem reddere analysin notarum in forma grapharum et chartarum, quae multo facilius sunt exemplaria in sample discernere. Ars aggregationum simplicium per clavem agrorum ad optimize inquisitionis et analysis adhibetur. Quo maturior processus TH regiminis attingit, eo magis usus apparatus algorithms discendi fit. Late etiam adhibentur in spamma eliquandi, deprehendendi malitiosos negotiationis ac dolosas actiones deprehendere. Provectioris machinae genus algorithmus discendi est methodi Bayesian, quae permittit pro classificatione, magnitudine reductionis, et argumenti exemplandi.
Adamas Model and TH Strategies
Sergius Caltagiron, Andreas Pendegast et Christophorus Betz in opere suo "Β» principales partes praecipuas cuiuslibet malitiei activitatis et nexum fundamentalem inter eos ostendit.
Adamas exemplar malitiosum
Secundum hoc exemplar, consilia venationum 4 minae sunt quae in respondentibus componentibus clavis nituntur.
1. Hostia orientatur militarium. Hostia supponitur habere adversarios et "occasiones" tradent per email. Quaerimus hostem notitia in manibus tabellariorum est. Quaere nexus, affectus, etc. Huius hypothesis confirmationem quaerimus per certum temporis spatium (mensem, duas septimanas): si non invenimus, hypothesis non laboravit.
2. Infrastructure consilio ordinatur. Plures modi sunt huius consilii utendi. Secundum accessum et visibilitatem, alia aliis faciliora sunt. Exempli gratia, monitor domain nomen servientibus notum est ad ditiones malignas hospitari. Vel imus per processum vigilantiae omnium nominum novarum adnotationes ad notum exemplar ab adversario adhibitum.
3. Facultas consiliorum agitatae. Praeter militarium victimarum feruntur a plerisque retis defensoribus adhibitis, opportunitas consilii feruntur. Secunda est maxime popularis et ad deprehendendas facultates ab adversario, scilicet "malware" et facultas adversarii uti instrumenta legitima, ut psexec, potentiae, certutiae et cetera.
4. Hostibus consilio orientatur. Hostis centralis accessus ad ipsum adversarium intendit. Hoc includit usum notitiarum apertarum ex fontibus publice promptis (OSINT), collectione notitiarum de hoste, artificiis et methodis (TTP), analysis incidentium priorum, notitiae comminationis intelligentiae, etc.
Sources of information and hypotheses in TH
Aliquot fontes informationes de comminatione Hunting
Plures esse possunt informationes. Analysta idealis ex omnibus, quae circa sunt, extrahere poterit. Fontes typici in omnibus fere infrastructuris notae erunt instrumenta securitatis: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Item, fontes informationes typicae erunt variae indices compromissi, comminationis intelligentiae officia, CERT et OSINT data. Accedit, informationes uti potes ex obscuro obscuro (exempli gratia, repente ordo est ut mailbox capitis organizationis constringatur, vel candidatus positioni fabrum retis ad eius operationem patefactum), informationes e receptae. HR (recensiones candidatorum ex priore loco operis), informationes ex servitio securitatis (exempli gratia eventus verificationis counterparty).
Priusquam autem omnibus in promptu sint fontes, unam saltem hypothesin habere necesse est.
Ut hypotheses experiantur, praemittendae sunt. Et ut hypotheses multiplices proponamus, necesse est accessum systematicum adhibere. Processus hypothesium generandi fusius describiturcommodissimum est hoc schema pro fundamento processus proponentis hypothesibus assumere.
Praecipuum hypothesium erit ATT&CK matrix (Adversarial Tactics, Techniques and Common Knowledge). Est, essentialiter, scientia turpia et exemplar perpendendis moribus oppugnantium qui suas actiones exercent in ultimis oppugnationis gradibus, notione homicidii Catenae utens plerumque describitur. Hoc est, in gradibus postquam oppugnator retem internum incepti vel in mobilem machinam penetravit. Cognitio basis principiorum comprehendit descriptiones rationum et technicarum 121 oppugnationum, quarum singulae singillatim descriptae sunt in Wiki format. Varius comminatio intelligentiae analytica aptissima est ut principium generandi hypotheses. Notae singulares eventus sunt analysis infrastructurae ac perspicacitatis probationes - haec est pretiosissima notitia quae hypotheses ferreas nobis dare potest ob hoc quod certis infrastructuris cum suis defectibus specificis nituntur.
Hypothesis processus tentationis
Sergei Soldatov intulit cum accuratiore processus descriptione, processus tentationis TH hypotheses in una systemate illustrat. Gradus principales breviter indicabo.
Stage 1: TI Farm
In hoc statu necessarium est ad exaggerandam obiecti (per eas simul cum omni comminatione data) eisque labellas pro notis earum adsignando. Haec sunt fasciculi, URL, MD5, processus, utilitas, eventus. Cum eas per systemata intelligentiam comminationem transeundo, necessarium est ad tags apponere. Hoc est, hic situs notatus in CNC tali et tali anno, hoc MD5 cum tali malware associatus, hoc MD5 ex loco malware distribuente recepta est.
Scaena II: Causae
In secundo gradu harum rerum commercium spectamus et relationes inter omnia illa obiecta cognoscimus. Systema notatum adimus qui aliquid mali faciunt.
Scaena III: Analyticum
In tertio gradu casus ad peritum analyticum transfertur, qui in analysi experientiam late experitur, et sententiam facit. Pars ad bytes quid, ubi, quomodo, quare et quare hoc signum facit. Hoc corpus malware, hoc computatorium infectum est. Retegit nexus inter obiecta, impedit eventus per arenas discurrentes.
Eventus operis analysti ulterius transmittuntur. Digital Forensics imagines examinat, Malware Analysis "corpora" inventa examinat, et dolor responsionis incidentis ad locum ire potest et aliquid iam ibi explorare potest. Effectus operis erit hypothesis confirmata, oppugnatio identificatus ac modi contra.
results
Comminatio Venatio est satis iuvenum technologiae quae efficaciter potest ad resistendum nativus, novas ac non normas minis, quae magnas exspectationes dedit incrementum talium minis et multiplicitatem infrastructuram corporati augendam. Tria requirit, data, instrumenta et analystas. Beneficia comminationis Venationis non limitantur ad minas exsequendas prohibendas. Noli oblivisci nos per processum inquisitionis in infrastructuram nostram intendere et puncta eius infirma per oculos analysti securitatis et haec puncta ulterius corroborare posse.
Primi gradus, in nostra sententia, sumi debent processum TH processuum in tua ordinatione incipiendum.
- Cura ut terminos ac retiacula infrastructura tueantur. Cura visibilitatis (NetFlow) et moderatio (firewall, IDS, IPS, DLP) omnium processuum in retis tuis. Nosce retia tua ab ore itineris ad ultimum exercitum.
- Explore.
- Pentes regulares saltem opes clavium externas ducere, eius eventus resolvere, praecipua scuta pro oppugnatione et vulnerabilitates eorum claude.
- Principium apertum deducendi ratio intelligentiae comminationis (exempli gratia: MISP, Yeti) et analyses tigna in coniunctione cum eo.
- Exsecutio incident responsio suggestum (IRP): R-Visio IRP, Alveare, sandbox analysin suspectas imagini (FortiSandbox, Cuckoo).
- Processus exercitationis automate. Analysis lignorum, incidentium memoria, baculum informans ingens campus est ad automationem.
- Disce efficaciter penitus cum mechanicis, tincidunt, et technicis subsidiis ad in incidentibus collaborandum.
- Documentum totum processum, cardines, eventus consecuti sunt ut postea ad illos redirent vel hanc notitiam cum collegis communicarent;
- Sociali esto: Agnoscite quid cum operariis vestris agatur, qui conducitis, et qui aditum ad informationes organizationis praebetis.
- Conserva pariter in campo novarum minis ac modos tutelae, gradum auge literae technicae (in operatione IT officiorum et subsystematum), colloquia attende et cum collegis communica.
Promptus ad discutere ordinationem processus TH in comment.
Aut age nobiscum!
Fontes et materiae ad studium
Source: www.habr.com