95% vun Informatiounssécherheetsbedrohungen si bekannt, an Dir kënnt Iech virun hinnen schützen mat traditionelle Mëttelen wéi Antivirusen, Firewalls, IDS, WAF. Déi reschtlech 5% vun de Gefore sinn onbekannt an déi geféierlechst. Si bilden 70% vum Risiko fir eng Firma wéinst der Tatsaach datt et ganz schwéier ass se z'entdecken, vill manner géint si schützen. Beispiller sinn d'WannaCry Ransomware Epidemie, NotPetya/ExPetr, Kryptominer, d'"Cyberwaff" Stuxnet (déi den Iran seng nuklear Ariichtungen getraff huet) a vill (een aneren erënnert sech un de Kido/Conficker?) Aner Attacken déi mat klassesche Sécherheetsmoossnamen net ganz gutt verdeedegt ginn. Mir wëlle schwätzen iwwer wéi dës 5% vun de Gefore mat der Threat Hunting Technologie entgéint wierken.
Déi kontinuéierlech Evolutioun vun Cyberattacken erfuerdert konstant Detektioun a Géigemoossnamen, wat eis schlussendlech féiert un eng endlos Waffenrennen tëscht Ugräifer a Verteideger ze denken. Klassesch Sécherheetssystemer sinn net méi fäeg en akzeptablen Sécherheetsniveau ze bidden, bei deem de Risikoniveau net d'Schlësselindikatoren vun der Firma (wirtschaftlech, politesch, Ruff) beaflosst ouni se fir eng spezifesch Infrastruktur z'änneren, awer allgemeng decken se e puer vun d'Risiken. Schonn am Prozess vun der Ëmsetzung an der Konfiguratioun fanne modern Sécherheetssystemer sech an der Roll vun der Erfaassung a mussen op d'Erausfuerderunge vun der neier Zäit reagéieren.
Threat Hunting Technologie kann eng vun den Äntwerten op d'Erausfuerderunge vun eiser Zäit fir en Informatiounssécherheetsspezialist sinn. De Begrëff Threat Hunting (nach TH bezeechent) ass virun e puer Joer opgetaucht. D'Technologie selwer ass ganz interessant, awer huet nach keng allgemeng akzeptéiert Normen a Reegelen. D'Matière ass och komplizéiert vun der Heterogenitéit vun Informatiounsquellen an der klenger Zuel vu russeschsproochege Informatiounsquellen iwwer dëst Thema. An dëser Hisiicht hu mir bei LANIT-Integratioun decidéiert eng Iwwerpréiwung vun dëser Technologie ze schreiwen.
Relevanz
TH Technologie baséiert op Infrastruktur Iwwerwaachungsprozesser.. Alarméieren (ähnlech wéi MSSP Servicer) ass eng traditionell Method fir no virdru entwéckelte Ënnerschrëften an Unzeeche vun Attacken ze sichen an dorop ze reagéieren. Dëst Szenario gëtt erfollegräich duerch traditionell Signatur-baséiert Schutzinstrumenter ausgefouert. Juegd (MDR-Typ Service) ass eng Iwwerwaachungsmethod déi d'Fro beäntwert "Wou kommen d'Ënnerschrëften a Reegelen hier?" Et ass de Prozess fir Korrelatiounsregelen ze kreéieren andeems Dir verstoppt oder virdru onbekannt Indikatoren an Unzeeche vun engem Attack analyséiert. Threat Hunting bezitt sech op dës Aart vu Iwwerwaachung.
Nëmmen duerch d'Kombinatioun vun béiden Iwwerwaachungsarten kréie mir Schutz deen no bei ideal ass, awer et gëtt ëmmer e gewëssen Niveau vum Reschtrisiko.
Schutz mat zwou Zorte vu Iwwerwaachung
An dofir wäert TH (an d'Juegd a senger Gesamtheet!) ëmmer méi relevant ginn:
Geforen, Remedies, Risiken.
. Dës enthalen Typen wéi Spam, DDoS, Viren, Rootkits an aner klassesch Malware. Dir kënnt Iech vun dëse Gefore schützen andeems Dir déiselwecht klassesch Sécherheetsmoossname benotzt.
Während der Ëmsetzung vun all Projet, an déi reschtlech 20% vun der Aarbecht dauert 80% vun der Zäit. Och an der ganzer Bedrohungslandschaft wäerten 5% vun neie Gefore 70% vum Risiko fir eng Firma ausmaachen. An enger Firma wou Informatiounssécherheetsmanagement Prozesser organiséiert sinn, kënne mir 30% vum Risiko vun der Ëmsetzung vu bekannte Bedrohungen op déi eng oder aner Manéier verwalten andeems mir vermeit (Refus vu drahtlose Netzwierker am Prinzip), akzeptéieren (déi néideg Sécherheetsmoossnamen ëmsetzen) oder verréckelen (Zum Beispill, op d'Schëlleren vun engem integrator) dëse Risiko. Schützt Iech virun, APT Attacken, Phishing,, Cyberspionage an national Operatiounen, wéi och eng grouss Zuel vun aneren Attacke si scho vill méi schwéier. D'Konsequenze vun dëse 5% vun de Gefore wäerte vill méi eescht sinn () wéi d'Konsequenze vu Spam oder Viren, vun deenen Antivirus Software späichert.
Bal jidderee muss mat 5% vun de Gefore këmmeren. Mir hu viru kuerzem eng Open Source Léisung ze installéieren déi eng Applikatioun vum PEAR (PHP Extension and Application Repository) Repository benotzt. E Versuch fir dës Applikatioun iwwer Bireninstallatioun z'installéieren ass gescheitert well war net verfügbar (elo gëtt et e Stull drop), Ech hu misse vum GitHub installéieren. A viru kuerzem huet sech erausgestallt datt PEAR en Affer gouf.
Dir kënnt nach erënneren, eng Epidemie vun der NePetya Ransomware duerch en Update Modul fir e Steierberichterprogramm. Gefore ginn ëmmer méi raffinéiert, an déi logesch Fro stellt sech - "Wéi kënne mir dës 5% vun de Gefore entgéintwierken?"
Definitioun vun Bedrohung Juegd
Also, Threat Hunting ass de Prozess vun der proaktiver an iterativer Sich an Detektioun vu fortgeschratt Bedrohungen déi net vun traditionelle Sécherheetsinstrumenter festgestallt kënne ginn. Fortgeschratt Bedrohungen enthalen zum Beispill Attacke wéi APT, Attacken op 0-Deeg Schwachstelle, Living Off the Land, a sou weider.
Mir kënnen och ëmsetzen datt TH de Prozess ass fir Hypothesen ze testen. Dëst ass e haaptsächlech manuelle Prozess mat Automatisatiounselementer, an deem den Analyst, op säi Wëssen a seng Fäegkeeten vertrauen, grouss Informatiounsbänn op der Sich no Zeeche vu Kompromëss, déi der ursprénglech bestëmmter Hypothese iwwer d'Präsenz vun enger bestëmmter Bedrohung entspriechen. Seng ënnerschiddlech Feature ass d'Varietéit vun Informatiounsquellen.
Et sollt bemierkt datt Threat Hunting keng Aart vu Software oder Hardwareprodukt ass. Dëst sinn net Alarmer déi an enger Léisung gesi kënne ginn. Dëst ass keen IOC (Identifiers of Compromise) Sichprozess. An dëst ass net eng Aart vu passiver Aktivitéit déi ouni d'Participatioun vun Informatiounssécherheetsanalyten geschitt. Threat Juegd ass virun allem e Prozess.
Komponente vun Bedrohung Juegd
Dräi Haaptkomponente vun Threat Hunting: Daten, Technologie, Leit.
Daten (wat?), dorënner Big Data. All Zorte vu Verkéier fléissendem, Informatiounen iwwert virdrun APTs, Analyse, Donnéeën op Benotzer Aktivitéit, Reseau Donnéeën, Informatiounen aus Mataarbechter, Informatiounen iwwert Darknet a vill méi.
Technologien (wéi?) Veraarbechtung vun dësen Donnéeën - all méiglech Weeër fir dës Donnéeën ze veraarbecht, och Machine Learning.
Leit (wien?) - déi, déi extensiv Erfahrung an der Analyse vun verschiddenen Attacken hunn, entwéckelt Intuition an d'Fäegkeet en Attack z'entdecken. Typesch sinn dës Informatiounssécherheetsanalyten déi d'Fäegkeet mussen Hypothesen generéieren an Bestätegung fir si fannen. Si sinn den Haaptlink am Prozess.
Modell PARIS
Adam Bateman PARIS Modell fir den ideale TH Prozess. Den Numm weist op e berühmte Landmark a Frankräich. Dëse Modell kann an zwou Richtungen gekuckt ginn - vun uewen a vun ënnen.
Wéi mir eise Wee duerch de Modell vun ënnen erop schaffen, wäerte mir vill Beweiser vu béiswëlleg Aktivitéit begéinen. All Beweis huet eng Moossnam genannt Vertrauen - eng Charakteristik déi d'Gewiicht vun dësem Beweis reflektéiert. Et gëtt "Eisen", direkt Beweiser fir béiswëlleg Aktivitéit, no deem mir direkt un d'Spëtzt vun der Pyramid erreechen kënnen an eng aktuell Alarm iwwer eng präzis bekannt Infektioun erstellen. An et gëtt indirekt Beweiser, d'Zomm vun deem kann eis och un d'Spëtzt vun der Pyramid féieren. Wéi ëmmer gëtt et vill méi indirekt Beweiser wéi direkt Beweiser, dat heescht datt se sortéiert an analyséiert musse ginn, zousätzlech Fuerschung muss gemaach ginn, an et ass ubruecht dëst ze automatiséieren.
Modell PARIS.
Den ieweschten Deel vum Modell (1 an 2) baséiert op Automatisatiounstechnologien a verschiddenen Analysen, an den ënneschten Deel (3 a 4) baséiert op Leit mat bestëmmte Qualifikatiounen, déi de Prozess verwalten. Dir kënnt de Modell vun uewen no ënnen berécksiichtegen, wou mir am ieweschten Deel vun der bloer Faarf Alarmer vun traditionelle Sécherheetsinstrumenter hunn (Antivirus, EDR, Firewall, Ënnerschrëften) mat engem héije Grad vu Vertrauen a Vertrauen, an drënner sinn Indikatoren ( IOC, URL, MD5 an anerer), déi e méi nidderegen Grad vu Sécherheet hunn an zousätzlech Studie erfuerderen. An den niddregsten an décksten Niveau (4) ass d'Generatioun vun Hypothesen, d'Schafung vun neie Szenarie fir d'Operatioun vun traditionelle Schutzmëttelen. Dësen Niveau ass net nëmme limitéiert op déi spezifizéiert Quelle vun Hypothesen. Wat den Niveau méi niddereg ass, wat méi Ufuerderungen un d'Qualifikatioune vum Analyst gestallt ginn.
Et ass ganz wichteg datt Analysten net einfach e endleche Set vu virbestëmmten Hypothesen testen, awer dauernd schaffen fir nei Hypothesen an Optiounen ze generéieren fir se ze testen.
TH Benotzen Maturitéit Modell
An enger idealer Welt ass TH e lafende Prozess. Awer well et keng ideal Welt gëtt, loosst eis analyséieren a Methoden a punkto Leit, Prozesser an Technologien benotzt. Loosst eis e Modell vun enger ideal Kugelgestalt TH betruecht. Et gi 5 Niveauen fir dës Technologie ze benotzen. Loosst eis se mat dem Beispill vun der Evolutioun vun engem eenzegen Analystenteam kucken.
Niveau vun der Reife
Leit
D'Prozesser
vun den Technologien
Niva 0
SOC Analysten
24/7
Traditionell Instrumenter:
Traditionell
Set vun Alarmer
Passiv Iwwerwaachung
IDS, AV, Sandboxing,
ouni TH
Schafft mat Alarmer
Ënnerschrëft Analyse Tools, Threat Intelligence Daten.
Niva 1
SOC Analysten
Eemol TH
BDU
Experimentell
Basis Wëssen vun Forensik
IOC Sich
Deelweis Ofdeckung vun Daten aus Netzwierkapparater
Experimenter mat TH
Gutt Wëssen iwwer Netzwierker an Uwendungen
Deelweis Applikatioun
Niva 2
Temporär Besetzung
Sprints
BDU
Periodesch
Duerchschnëtt Wëssen iwwer Forensik
Woch zu Mount
Voll Applikatioun
Temporär TH
Exzellent Wëssen iwwer Netzwierker an Uwendungen
Regelméisseg TH
Voll Automatisatioun vun EDR Dateverbrauch
Deelweis Notzung vun fortgeschratt EDR Fäegkeeten
Niva 3
Engagéierten TH Kommando
24/7
Deelweis Fäegkeet fir Hypothesen TH ze testen
Präventiv
Exzellent Wëssen iwwer Forensik a Malware
Präventiv TH
Voll Notzung vun fortgeschratt EDR Fäegkeeten
Spezialfäll TH
Excellent Wëssen vun der Ugrëffsbeméiungen Säit
Spezialfäll TH
Voll Ofdeckung vun Daten aus Netzwierkapparater
Konfiguratioun fir Är Besoinen ze passen
Niva 4
Engagéierten TH Kommando
24/7
Voll Fäegkeet fir TH Hypothesen ze testen
Féierung
Exzellent Wëssen iwwer Forensik a Malware
Präventiv TH
Niveau 3, plus:
Benotzt TH
Excellent Wëssen vun der Ugrëffsbeméiungen Säit
Testen, Automatisatioun a Verifizéierung vun Hypothesen TH
enk Integratioun vun Datequellen;
Fuerschung Fäegkeet
Entwécklung no Besoinen an Net-Standard Notzung vun API.
TH Reifeniveau vu Leit, Prozesser an Technologien
Niveau 0: traditionell, ouni TH ze benotzen. Regelméisseg Analysten schaffen mat engem Standard Set vun Alarmer am passive Iwwerwaachungsmodus mat Standard Tools an Technologien: IDS, AV, Sandbox, Ënnerschrëft Analyse Tools.
Niveau 1: experimentell, benotzt TH. Déiselwecht Analysten mat Basiskenntnisser vun der Forensik a gudde Wëssen iwwer Netzwierker an Uwendungen kënnen eng Kéier Threat Hunting ausféieren andeems Dir no Indikatoren vu Kompromëss sicht. EDRs ginn op d'Tools bäigefüügt mat deelweiser Ofdeckung vun Daten aus Netzwierkapparater. D'Tools ginn deelweis benotzt.
Niveau 2: periodesch, temporär TH. Déiselwecht Analysten, déi hir Wëssen an der Forensik, Netzwierker an den Applikatiounsdeel scho verbessert hunn, mussen regelméisseg op Threat Hunting (Sprint) engagéieren, soen, eng Woch am Mount. D'Tools addéiere voll Exploratioun vun Daten aus Netzgeräter, Automatisatioun vun Datenanalyse vun EDR, an deelweis Notzung vun fortgeschratten EDR Fäegkeeten.
Niveau 3: präventiv, heefeg Fäll vun TH. Eis Analysten hunn sech an en engagéierten Team organiséiert an hunn ugefaang exzellent Wëssen iwwer Forensik a Malware ze hunn, souwéi Wëssen iwwer d'Methoden an d'Taktik vun der attackéierter Säit. De Prozess gëtt scho 24/7 duerchgefouert. D'Team ass fäeg deelweis TH-Hypothesen ze testen, wärend déi fortgeschratt Fäegkeeten vun EDR mat voller Ofdeckung vun Daten aus Netzgeräter voll profitéiert. Analysten kënnen och Tools konfiguréieren fir hir Bedierfnesser ze passen.
Niveau 4: héich-Enn, benotzen TH. Datselwecht Team krut d'Fäegkeet fir ze fuerschen, d'Fäegkeet fir de Prozess fir TH Hypothesen ze testen an ze automatiséieren. Elo sinn d'Tools ergänzt ginn duerch enk Integratioun vun Datequellen, Softwareentwécklung fir Bedierfnesser ze treffen, an net-Standard Notzung vun APIen.
Bedrohung Juegd Techniken
Basis Bedrohung Juegd Techniken
К TH, an der Reiefolleg vun der benotzter Technologie, sinn: Basis Sich, statistesch Analyse, Visualiséierungstechniken, einfach Aggregatiounen, Maschinnléieren, a Bayesian Methoden.
Déi einfachst Method, eng Basis Sich, gëtt benotzt fir d'Rechercheberäich mat spezifesche Ufroen ze schmuel. Statistesch Analyse gëtt zum Beispill benotzt fir typesch Benotzer- oder Netzwierkaktivitéit a Form vun engem statistesche Modell ze konstruéieren. Visualiséierungstechnike gi benotzt fir d'Analyse vun Daten visuell ze weisen an ze vereinfachen a Form vu Grafiken an Charts, wat et vill méi einfach mécht Musteren an der Probe z'erkennen. D'Technik vun einfachen Aggregatiounen duerch Schlësselfelder gëtt benotzt fir d'Sich an d'Analyse ze optimiséieren. Wat méi reift den TH-Prozess vun enger Organisatioun erreecht, dest méi relevant gëtt d'Benotzung vu Maschinnléiere Algorithmen. Si ginn och wäit benotzt fir Spam ze filteren, béiswëlleg Traffic z'entdecken an betrügeresch Aktivitéiten z'entdecken. Eng méi fortgeschratt Aart vu Maschinnléieren Algorithmus ass Bayesian Methoden, déi Klassifikatioun, Probegréisst Reduktioun an Themamodelléierung erlaben.
Diamant Modell an TH Strategien
Sergio Caltagiron, Andrew Pendegast a Christopher Betz an hirem Wierk "» huet d'Haaptschlësselkomponente vun all béiswëlleg Aktivitéit gewisen an d'Basisverbindung tëscht hinnen.
Diamant Modell fir béiswëlleg Aktivitéit
No dësem Modell ginn et 4 Bedrohung Juegd Strategien, déi op der entspriechend Schlëssel Komponente baséiert sinn.
1. Affer-orientéiert Strategie. Mir dovun ausgoen, datt d'Affer Géigespiller huet a si liwweren "Méiglechkeeten" via E-Mail. Mir sichen Feinddaten an der Mail. Sich no Linken, Uschlëss, etc. Mir sichen no Bestätegung vun dëser Hypothese fir eng gewëssen Zäit (e Mount, zwou Wochen); wa mir et net fannen, dann huet d'Hypothese net geschafft.
2. Infrastrukturorientéiert Strategie. Et gi verschidde Methoden fir dës Strategie ze benotzen. Ofhängeg vum Zougang a Visibilitéit sinn e puer méi einfach wéi anerer. Zum Beispill iwwerwaache mir Domain Numm Serveren bekannt fir béiswëlleg Domainen ze hosten. Oder mir ginn duerch de Prozess vun der Iwwerwaachung vun all neien Domain Numm Aschreiwunge fir e bekannt Muster benotzt vun engem Géigner.
3. Kapazitéit-Undriff Strategie. Nieft der Affer-konzentréiert Strategie vun stäerkste Reseau Verdeedeger benotzt, gëtt et eng Chance-konzentréiert Strategie. Et ass déi zweet beléifste a konzentréiert sech op d'Erkennung vu Fäegkeeten vum Géigner, nämlech "Malware" an d'Fäegkeet vum Géigner fir legitim Tools wéi psexec, Powershell, certutil an anerer ze benotzen.
4. Feind-orientéiert Strategie. Déi Géigner-centric Approche konzentréiert sech op de Géigner selwer. Dëst beinhalt d'Benotzung vun offen Informatioun aus ëffentlech verfügbare Quellen (OSINT), Sammlung vun Daten iwwer de Feind, seng Techniken a Methoden (TTP), Analyse vu fréiere Tëschefäll, Threat Intelligence Daten, etc.
Informatiounsquellen an Hypothesen an TH
E puer Informatiounsquellen fir Threat Hunting
Et kënne vill Informatiounsquellen sinn. En idealen Analyst soll fäeg sinn Informatioun aus alles ze extrahieren wat ronderëm ass. Typesch Quellen a bal all Infrastruktur sinn Daten aus Sécherheetsinstrumenter: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Och typesch Informatiounsquellen sinn verschidden Indikatoren vu Kompromëss, Threat Intelligence Services, CERT an OSINT Daten. Zousätzlech kënnt Dir d'Informatioun vum Darknet benotzen (zum Beispill, op eemol gëtt et eng Bestellung fir d'Mailbox vum Chef vun enger Organisatioun ze hacken, oder e Kandidat fir d'Positioun vun engem Netzwierkingenieur gouf fir seng Aktivitéit ausgesat), Informatioun kritt vum HR (Rezensiounen vum Kandidat vun enger fréierer Aarbechtsplaz), Informatioun vum Sécherheetsservice (zum Beispill d'Resultater vun der Verifizéierung vun der Géigepartei).
Awer ier Dir all verfügbare Quelle benotzt, ass et néideg op d'mannst eng Hypothese ze hunn.
Fir Hypothesen ze testen, musse se als éischt virgestallt ginn. A fir vill qualitativ héichwäerteg Hypothesen virzestellen, ass et néideg eng systematesch Approche anzesetzen. De Prozess fir Hypothesen ze generéieren gëtt méi am Detail beschriwwen, Et ass ganz bequem dëst Schema als Basis fir de Prozess vun Hypothesen virzestellen.
D'Haaptquell vun Hypothesen wäert sinn ATT&CK Matrix (Géigespiller Taktik, Techniken a gemeinsame Wëssen). Et ass am Wesentlechen eng Wëssensbasis a Modell fir d'Behuele vun Ugräifer ze bewäerten, déi hir Aktivitéiten an de leschte Schrëtt vun engem Attack ausféieren, normalerweis beschriwwe mat dem Konzept vu Kill Chain. Dat ass, an de Stadien no engem Ugräifer am internen Netzwierk vun enger Entreprise oder op engem mobilen Apparat penetréiert. D'Wëssenbasis enthält ursprénglech Beschreiwunge vun 121 Taktiken an Techniken, déi am Attack benotzt ginn, jidderee vun deenen am Detail am Wiki-Format beschriwwe gëtt. Verschidde Threat Intelligence Analyse si gutt gëeegent als Quell fir Hypothesen ze generéieren. Besonnesch bemierkenswäert sinn d'Resultater vun der Infrastrukturanalyse an der Pénétratiounstester - dat ass déi wäertvollst Donnéeën, déi eis Eisenhypothesen kënne ginn wéinst der Tatsaach, datt se op enger spezifescher Infrastruktur mat senge spezifesche Mängel baséieren.
Hypothese Test Prozess
Sergei Soldatov bruecht mat enger detailléierter Beschreiwung vum Prozess illustréiert et de Prozess fir TH Hypothesen an engem eenzege System ze testen. Ech wäert d'Haaptstadien mat enger kuerzer Beschreiwung uginn.
Etapp 1: TI Bauerenhaff
Op dëser Etapp ass et néideg ze Highlight Objeten (duerch datt se zesumme mat all Bedrohungsdaten analyséiert ginn) an hinnen Etiketten fir hir Charakteristiken zouginn. Dëst sinn Datei, URL, MD5, Prozess, Utility, Event. Wann Dir se duerch Threat Intelligence Systemer passéiert, ass et néideg Tags ze befestigen. Dat ass, dëse Site gouf an CNC an esou an esou engem Joer gemierkt, dës MD5 war mat esou an esou Malware verbonnen, dës MD5 gouf vun engem Site erofgelueden deen Malware verdeelt huet.
Etapp 2: Fäll
Op der zweeter Stuf kucke mir d'Interaktioun tëscht dësen Objeten an identifizéieren d'Relatiounen tëscht all dësen Objeten. Mir kréien markéiert Systemer déi eppes Schlechtes maachen.
Etapp 3: Analyst
Op der drëtter Stuf gëtt de Fall un en erfuerene Analyst transferéiert, deen extensiv Erfahrung an der Analyse huet, an hien mécht en Uerteel. Hien parséiert op d'Bytes wat, wou, wéi, firwat a firwat dëse Code mécht. Dëse Kierper war Malware, dëse Computer war infizéiert. Entdeckt Verbindungen tëscht Objeten, kontrolléiert d'Resultater vum Lafen duerch d'Sandkëscht.
D'Resultater vun der Aarbecht vum Analyst gi weider iwwerdroen. Digital Forensics iwwerpréift Biller, Malware Analyse iwwerpréift d'"Kierper" déi fonnt goufen, an d'Incident Response Team kann op de Site goen an eppes schonn do z'ënnersichen. D'Resultat vun der Aarbecht wäert eng bestätegt Hypothese sinn, e identifizéierten Attack a Weeër fir et ze bekämpfen.
Resultater
Threat Hunting ass eng zimlech jonk Technologie déi effektiv personaliséiert, nei an net-Standard Bedrohungen entgéintwierke kann, déi grouss Perspektiven huet no der wuessender Zuel vun esou Bedrohungen an der ëmmer méi Komplexitéit vun der Firmeninfrastruktur. Et erfuerdert dräi Komponenten - Daten, Tools an Analysten. D'Virdeeler vun der Threat Hunting sinn net limitéiert op d'Verhënnerung vun der Ëmsetzung vu Bedrohungen. Vergiesst net datt mir während dem Sichprozess an eis Infrastruktur a seng Schwächen duerch d'Ae vun engem Sécherheetsanalytiker tauchen a kënnen dës Punkte weider stäerken.
Déi éischt Schrëtt, déi, eiser Meenung no, musse gemaach ginn fir den TH Prozess an Ärer Organisatioun unzefänken.
- Passt op d'Schutz vun Endpunkter an Netzwierkinfrastrukturen. Passt op Visibilitéit (NetFlow) a Kontroll (Firewall, IDS, IPS, DLP) vun all Prozesser op Ärem Netz. Kennt Äert Netzwierk vum Randrouter bis zum allerleschte Host.
- Entdeckt.
- Fëllt reegelméisseg Pentests vun op d'mannst Schlëssel externe Ressourcen, analyséiert seng Resultater, identifizéieren d'Haaptziler fir Attacken a schließen hir Schwachstelle.
- Implementéiert en Open Source Threat Intelligence System (zum Beispill MISP, Yeti) an analyséiert Logbicher a Verbindung mat deem.
- Ëmsetzen eng Incident Response Plattform (IRP): R-Vision IRP, The Hive, Sandkëscht fir verdächteg Dateien ze analyséieren (FortiSandbox, Cuckoo).
- Automatiséieren Routine Prozesser. Analyse vu Logbicher, Enregistréiere vun Tëschefäll, Personal informéieren ass e grousst Feld fir Automatisatioun.
- Léiert effektiv mat Ingenieuren, Entwéckler an technescher Ënnerstëtzung ze interagéieren fir un Tëschefäll ze kollaboréieren.
- Dokumentéiert de ganze Prozess, Schlësselpunkten, erreecht Resultater fir spéider op si zréckzekommen oder dës Donnéeën mat Kollegen ze deelen;
- Sidd sozial: Sidd bewosst wat mat Äre Mataarbechter lass ass, wien Dir astellt, a wien Dir Zougang zu den Informatiounsressourcen vun der Organisatioun gitt.
- Bleift mat Trends am Beräich vun neie Bedrohungen a Schutzmethoden, erhéicht Ären Niveau vun der technescher Alphabetiséierung (och an der Operatioun vun IT Servicer an Ënnersystemer), besicht Konferenzen a kommunizéiert mat Kollegen.
Bereet fir d'Organisatioun vum TH Prozess an de Kommentaren ze diskutéieren.
Oder kommt bei eis schaffen!
Quellen a Material fir ze studéieren
Source: will.com