95% informacijos saugumo grėsmių yra žinomos, ir jūs galite apsisaugoti nuo jų naudodami tradicines priemones, tokias kaip antivirusinės, ugniasienės, IDS, WAF. Likę 5% grėsmių nežinomos ir pačios pavojingiausios. Jie sudaro 70% įmonės rizikos dėl to, kad juos labai sunku aptikti, o tuo labiau apsaugoti nuo jų. Pavyzdžiai yra WannaCry ransomware epidemija, NotPetya / ExPetr, kriptovaliutos, "kibernetinis ginklas" Stuxnet (kuris smogė Irano branduoliniams objektams) ir daugelis kitų (kas dar prisimena Kido / Conficker?) atakų, nuo kurių nėra labai gerai apsaugotos klasikinės saugumo priemonės. Norime pakalbėti apie tai, kaip atremti šiuos 5 % grėsmių naudojant Threat Hunting technologiją.
Nuolatinė kibernetinių atakų raida reikalauja nuolatinio aptikimo ir atsakomųjų priemonių, o tai galiausiai verčia galvoti apie nesibaigiančias ginklavimosi varžybas tarp užpuolikų ir gynėjų. Klasikinės apsaugos sistemos nebepajėgia užtikrinti priimtino saugumo lygio, kuriam esant rizikos lygis nedaro įtakos pagrindiniams įmonės rodikliams (ekonominiams, politiniams, reputacijai), nekeičiant jų konkrečiai infrastruktūrai, tačiau apskritai jos apima kai kuriuos rizika. Šiuolaikinės apsaugos sistemos jau diegimo ir konfigūravimo procese atsiduria pasivijimo vaidmenyje ir turi reaguoti į naujų laikų iššūkius.
Grėsmių medžioklės technologijos gali būti vienas iš atsakymų į mūsų laikų iššūkius informacijos saugos specialistui. Terminas „Grėsmių medžioklė“ (toliau – TH) atsirado prieš keletą metų. Pati technologija gana įdomi, tačiau dar neturi jokių visuotinai priimtų standartų ir taisyklių. Reikalą apsunkina ir informacijos šaltinių nevienalytiškumas bei nedidelis rusakalbių informacijos šaltinių šia tema skaičius. Šiuo atžvilgiu mes, LANIT-Integration, nusprendėme parašyti šios technologijos apžvalgą.
Aktualumas
TH technologija remiasi infrastruktūros stebėjimo procesais.. Perspėjimas (panašus į MSSP paslaugas) yra tradicinis būdas ieškoti anksčiau sukurtų parašų ir atakų ženklų bei į juos reaguoti. Šį scenarijų sėkmingai įgyvendina tradiciniai parašu pagrįsti apsaugos įrankiai. Medžioklė (MDR tipo paslauga) yra stebėjimo metodas, atsakantis į klausimą „Iš kur atsiranda parašai ir taisyklės? Tai koreliacijos taisyklių kūrimo procesas, analizuojant paslėptus ar anksčiau nežinomus rodiklius ir atakos požymius. Grėsmių medžioklė reiškia tokio tipo stebėjimą.
Tik derindami abu stebėjimo tipus gauname apsaugą, kuri yra artima idealiai, tačiau visada yra tam tikras liekamosios rizikos lygis.
Apsauga naudojant dviejų tipų stebėjimą
Štai kodėl TH (ir visa medžioklė!) taps vis aktualesnė:
Grėsmės, priemonės, rizika.
. Tai apima tokius tipus kaip šlamštas, DDoS, virusai, rootkit ir kitos klasikinės kenkėjiškos programos. Galite apsisaugoti nuo šių grėsmių naudodami tas pačias klasikines saugumo priemones.
Bet kurio projekto metu, o likę 20% darbo užtrunka 80% laiko. Panašiai visoje grėsmių aplinkoje 5 % naujų grėsmių sudarys 70 % įmonės rizikos. Įmonėje, kurioje organizuoti informacijos saugos valdymo procesai, 30% žinomų grėsmių realizavimo rizikos vienaip ar kitaip galime valdyti vengdami (belaidžių tinklų atsisakymas iš esmės), sutikdami (įgyvendindami reikiamas saugumo priemones) ar perkeldami. (pavyzdžiui, ant integratoriaus pečių) šią riziką. Apsaugokite save nuo, APT atakos, sukčiavimas,, kibernetinis šnipinėjimas ir nacionalinės operacijos, taip pat daugybė kitų atakų jau yra daug sunkesnės. Šių 5 % grėsmių pasekmės bus daug rimtesnės () nei šiukšlių ar virusų pasekmes, nuo kurių gelbsti antivirusinė programinė įranga.
Beveik kiekvienam tenka susidurti su 5% grėsmių. Neseniai turėjome įdiegti atvirojo kodo sprendimą, kuris naudoja programą iš PEAR (PHP plėtinio ir programų saugyklos) saugyklos. Bandymas įdiegti šią programą naudojant kriaušės diegimą nepavyko, nes buvo nepasiekiamas (dabar ant jo yra šakutė), turėjau jį įdiegti iš GitHub. Ir visai neseniai paaiškėjo, kad KRIAUŠA tapo auka.
Dar gali prisiminti, NePetya ransomware epidemija per mokesčių ataskaitų programos atnaujinimo modulį. Grėsmės tampa vis sudėtingesnės, todėl kyla logiškas klausimas: „Kaip mes galime atremti šiuos 5% grėsmių?
Grėsmių medžioklės apibrėžimas
Taigi, grėsmių paieška yra aktyvios ir kartotinės pažangių grėsmių, kurių negali aptikti tradicinės saugos priemonės, paieškos ir aptikimo procesas. Išplėstinės grėsmės apima, pavyzdžiui, atakas, tokias kaip APT, atakas prieš 0 dienų pažeidžiamumą, „Living off the Land“ ir pan.
Taip pat galime perfrazuoti, kad TH yra hipotezių tikrinimo procesas. Tai daugiausia rankinis procesas su automatizavimo elementais, kurio metu analitikas, pasikliaudamas savo žiniomis ir įgūdžiais, sijoja didelius informacijos kiekius, ieškodamas kompromiso ženklų, atitinkančių iš pradžių nustatytą hipotezę apie tam tikros grėsmės buvimą. Jo išskirtinis bruožas – informacijos šaltinių įvairovė.
Reikėtų pažymėti, kad „Treat Hunting“ nėra koks nors programinės įrangos ar aparatinės įrangos produktas. Tai nėra įspėjimai, kuriuos galima pamatyti kai kuriuose sprendimuose. Tai nėra IOC (Identifiers of Compromise) paieškos procesas. Ir tai nėra kažkokia pasyvi veikla, kuri vyksta be informacijos saugumo analitikų dalyvavimo. Grėsmių medžioklė visų pirma yra procesas.
Grėsmių medžioklės komponentai
Trys pagrindiniai grėsmių medžioklės komponentai: duomenys, technologijos, žmonės.
Duomenys (kas?), įskaitant didelius duomenis. Visų rūšių srautai, informacija apie ankstesnius APT, analizė, duomenys apie vartotojų veiklą, tinklo duomenys, informacija iš darbuotojų, informacija apie darknet ir daug daugiau.
Technologijos (kaip?) šių duomenų apdorojimas – visi galimi šių duomenų apdorojimo būdai, įskaitant mašininį mokymąsi.
Žmonės kurie?) – turintys didelę patirtį analizuojant įvairius išpuolius, išsiugdę intuiciją ir gebėjimą aptikti priepuolį. Paprastai tai yra informacijos saugumo analitikai, kurie turi turėti galimybę generuoti hipotezes ir rasti joms patvirtinimą. Jie yra pagrindinė proceso grandis.
Modelis PARIS
Adomas Batemanas PARIS modelis idealiam TH procesui. Pavadinimas susijęs su garsiuoju Prancūzijos paminklu. Šį modelį galima apžiūrėti dviem kryptimis – iš viršaus ir iš apačios.
Dirbdami su modeliu iš apačios į viršų, susidursime su daugybe kenkėjiškos veiklos įrodymų. Kiekvienas įrodymas turi matą, vadinamą pasitikėjimu – charakteristika, kuri atspindi šių įrodymų svorį. Yra „geležis“, tiesioginiai piktavališkos veiklos įrodymai, pagal kuriuos galime iš karto pasiekti piramidės viršūnę ir sukurti tikrą perspėjimą apie tiksliai žinomą infekciją. Ir yra netiesioginių įrodymų, kurių suma taip pat gali mus nuvesti į piramidės viršūnę. Netiesioginių įrodymų, kaip visada, yra daug daugiau nei tiesioginių, vadinasi, juos reikia rūšiuoti ir analizuoti, atlikti papildomus tyrimus, kuriuos patartina automatizuoti.
Modelis PARIS.
Viršutinė modelio dalis (1 ir 2) paremta automatizavimo technologijomis ir įvairia analitika, o apatinė (3 ir 4) – tam tikros kvalifikacijos žmones, kurie valdo procesą. Galite manyti, kad modelis juda iš viršaus į apačią, kur viršutinėje mėlynos spalvos dalyje yra perspėjimai iš tradicinių saugos įrankių (antivirusinė, EDR, ugniasienė, parašai) su dideliu pasitikėjimu ir pasitikėjimu, o žemiau yra indikatoriai ( IOC, URL, MD5 ir kiti), kurių tikrumas yra mažesnis ir reikalauja papildomų tyrimų. O žemiausias ir storiausias lygis (4) – hipotezių generavimas, naujų tradicinių apsaugos priemonių veikimo scenarijų kūrimas. Šis lygis neapsiriboja tik nurodytais hipotezių šaltiniais. Kuo žemesnis lygis, tuo daugiau reikalavimų keliama analitiko kvalifikacijai.
Labai svarbu, kad analitikai ne tik tikrintų baigtinį iš anksto nustatytų hipotezių rinkinį, bet nuolat dirbtų kurdami naujas hipotezes ir jų tikrinimo galimybes.
TH naudojimo brandos modelis
Idealiame pasaulyje TH yra nuolatinis procesas. Tačiau, kadangi idealaus pasaulio nėra, paanalizuokime ir metodai, kalbant apie žmones, procesus ir naudojamas technologijas. Panagrinėkime idealios sferinės TH modelį. Yra 5 šios technologijos naudojimo lygiai. Pažvelkime į juos naudodamiesi vienos analitikų komandos evoliucijos pavyzdžiu.
Brandos lygiai
Žmonės
Procesai
Technologija
0 lygis
SOC analitikai
24/7
Tradiciniai instrumentai:
Tradicinis
Įspėjimų rinkinys
Pasyvus stebėjimas
IDS, AV, smėlio dėžė,
Be TH
Darbas su įspėjimais
Parašo analizės įrankiai, grėsmių žvalgybos duomenys.
1 lygis
SOC analitikai
Vienkartinis TH
EDR
Eksperimentinis
Pagrindinės kriminalistikos žinios
IOC paieška
Dalinis duomenų iš tinklo įrenginių aprėptis
Eksperimentai su TH
Geras tinklų ir programų išmanymas
Dalinis taikymas
2 lygis
Laikina okupacija
Sprintai
EDR
Periodinis
Vidutinės kriminalistikos žinios
Nuo savaitės iki mėnesio
Pilna paraiška
Laikinasis TH
Puikios tinklų ir taikomųjų programų žinios
Reguliarus TH
Pilnas EDR duomenų naudojimo automatizavimas
Dalinis pažangių EDR galimybių panaudojimas
3 lygis
Skirta TH komanda
24/7
Dalinis gebėjimas patikrinti hipotezes TH
Prevencinis
Puikios kriminalistikos ir kenkėjiškų programų išmanymas
Prevencinis TH
Visiškai išnaudoti pažangias EDR galimybes
Ypatingi atvejai TH
Puikiai išmano atakuojančią pusę
Ypatingi atvejai TH
Visa duomenų iš tinklo įrenginių aprėptis
Konfigūracija pagal jūsų poreikius
4 lygis
Skirta TH komanda
24/7
Visiškas gebėjimas patikrinti TH hipotezes
Pirmaujantis
Puikios kriminalistikos ir kenkėjiškų programų išmanymas
Prevencinis TH
3 lygis, plius:
Naudojant TH
Puikiai išmano atakuojančią pusę
Hipotezių tikrinimas, automatizavimas ir tikrinimas TH
glaudus duomenų šaltinių integravimas;
Tyrimo gebėjimas
plėtra pagal poreikius ir nestandartinis API naudojimas.
TH brandos lygiai pagal žmones, procesus ir technologijas
0 lygis: tradicinis, nenaudojant TH. Nuolatiniai analitikai dirba su standartiniu įspėjimų rinkiniu pasyviojo stebėjimo režimu, naudodami standartinius įrankius ir technologijas: IDS, AV, smėlio dėžę, parašo analizės įrankius.
1 lygis: eksperimentinis, naudojant TH. Tie patys analitikai, turintys pagrindinių žinių apie kriminalistiką ir gerai išmanantys tinklus bei programas, gali atlikti vienkartinę grėsmių paiešką, ieškodami kompromiso rodiklių. EDR pridedami prie įrankių, kuriuose yra dalinis duomenų iš tinklo įrenginių aprėptis. Priemonės iš dalies panaudotos.
2 lygis: periodinis, laikinas TH. Tie patys analitikai, kurie jau tobulino savo žinias kriminalistikos, tinklų ir taikomosios dalies srityse, privalo reguliariai, tarkime, savaitę per mėnesį užsiimti grėsmių medžiokle (sprintu). Įrankiai papildo visą duomenų iš tinklo įrenginių tyrinėjimą, duomenų analizės iš EDR automatizavimą ir dalinį pažangių EDR galimybių naudojimą.
3 lygis: prevenciniai, dažni TH atvejai. Mūsų analitikai susibūrė į tam skirtą komandą ir pradėjo puikiai išmanyti kriminalistiką ir kenkėjiškas programas, taip pat išmanyti atakuojančios pusės metodus ir taktiką. Procesas jau vykdomas 24/7. Komanda gali iš dalies patikrinti TH hipotezes, visiškai išnaudodama pažangias EDR galimybes, aprėpdama duomenis iš tinklo įrenginių. Analitikai taip pat gali konfigūruoti įrankius pagal savo poreikius.
4 lygis: aukščiausios klasės, naudokite TH. Ta pati komanda įgijo gebėjimą tyrinėti, gebėjimą generuoti ir automatizuoti TH hipotezių tikrinimo procesą. Dabar įrankius papildė glaudus duomenų šaltinių integravimas, programinės įrangos kūrimas pagal poreikius ir nestandartinis API naudojimas.
Grėsmių medžioklės būdai
Pagrindiniai grėsmių medžioklės būdai
К TH, pagal naudojamų technologijų brandą, yra: pagrindinė paieška, statistinė analizė, vizualizacijos metodai, paprastas agregavimas, mašininis mokymasis ir Bajeso metodai.
Paprasčiausias metodas – pagrindinė paieška – naudojamas susiaurinti tyrimų sritį naudojant konkrečias užklausas. Statistinė analizė naudojama, pavyzdžiui, norint sukurti tipišką vartotojo ar tinklo veiklą statistinio modelio forma. Vizualizacijos metodai naudojami vizualiai parodyti ir supaprastinti duomenų analizę grafikų ir diagramų pavidalu, todėl daug lengviau atpažinti pavyzdį. Paieškos ir analizės optimizavimui naudojama paprastų agregacijų pagal pagrindinius laukus technika. Kuo brandesnis organizacijos TH procesas, tuo aktualesnis tampa mašininio mokymosi algoritmų naudojimas. Jie taip pat plačiai naudojami filtruojant šlamštą, aptinkant kenkėjišką srautą ir aptinkant nesąžiningą veiklą. Pažangesnis mašininio mokymosi algoritmo tipas yra Bajeso metodai, leidžiantys klasifikuoti, sumažinti imties dydį ir modeliuoti temą.
Deimantinis modelis ir TH strategijos
Sergio Caltagironas, Andrew Pendegastas ir Christopheris Betzas savo darbuose "» parodė pagrindinius bet kokios kenkėjiškos veiklos komponentus ir pagrindinį ryšį tarp jų.
Deimantinis piktavališkos veiklos modelis
Pagal šį modelį yra 4 grėsmių paieškos strategijos, pagrįstos atitinkamais pagrindiniais komponentais.
1. Į auką orientuota strategija. Manome, kad auka turi priešininkų ir jie suteiks „galimybių“ el. paštu. Pašte ieškome priešo duomenų. Ieškokite nuorodų, priedų ir kt. Šiai hipotezei patvirtinimo ieškome tam tikrą laiką (mėnesį, dvi savaites), jei nerandame, vadinasi, hipotezė nepasiteisino.
2. Į infrastruktūrą orientuota strategija. Yra keletas šios strategijos naudojimo būdų. Priklausomai nuo prieigos ir matomumo, kai kurie yra lengvesni nei kiti. Pavyzdžiui, stebime domenų vardų serverius, kuriuose yra kenkėjiškų domenų. Arba stebime visas naujas domeno vardų registracijas pagal žinomą priešininko naudojamą modelį.
3. Pajėgumais grindžiama strategija. Be į aukas orientuotos strategijos, kurią naudoja dauguma tinklo gynėjų, yra ir į galimybes orientuota strategija. Jis yra antras pagal populiarumą ir skirtas aptikti priešininko galimybes, būtent „kenkėjišką programinę įrangą“ ir priešininko galimybę naudoti teisėtus įrankius, tokius kaip psexec, powershell, certutil ir kt.
4. Į priešą orientuota strategija. Į priešininką orientuotas požiūris sutelkiamas į patį priešininką. Tai apima atviros informacijos iš viešai prieinamų šaltinių (OSINT) naudojimą, duomenų apie priešą rinkimą, jo metodus ir metodus (TTP), ankstesnių incidentų analizę, grėsmių žvalgybos duomenis ir kt.
Informacijos šaltiniai ir hipotezės TH
Kai kurie informacijos šaltiniai apie grėsmių medžioklę
Informacijos šaltinių gali būti daug. Idealus analitikas turėtų sugebėti išgauti informaciją iš visko, kas yra aplinkui. Tipiški šaltiniai beveik bet kurioje infrastruktūroje bus duomenys iš saugos įrankių: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Taip pat tipiški informacijos šaltiniai bus įvairūs kompromiso rodikliai, Threat Intelligence tarnybos, CERT ir OSINT duomenys. Be to, galite naudoti informaciją iš „darkneto“ (pavyzdžiui, staiga gaunamas nurodymas nulaužti organizacijos vadovo pašto dėžutę arba už savo veiklą buvo atskleistas kandidatas į tinklo inžinieriaus pareigas), informacija, gauta iš HR (kandidato atsiliepimai iš ankstesnės darbo vietos), saugos tarnybos informacija (pavyzdžiui, sandorio šalies patikrinimo rezultatai).
Tačiau prieš naudojant visus turimus šaltinius, būtina turėti bent vieną hipotezę.
Norint patikrinti hipotezes, pirmiausia reikia jas iškelti. O norint iškelti daug kokybiškų hipotezių, būtina taikyti sisteminį požiūrį. Hipotezių generavimo procesas išsamiau aprašytas, labai patogu šią schemą laikyti hipotezių iškėlimo proceso pagrindu.
Pagrindinis hipotezių šaltinis bus ATT&CK matrica (Rūšio taktika, metodai ir bendros žinios). Iš esmės tai yra žinių bazė ir modelis, skirtas įvertinti užpuolikų, kurie vykdo savo veiklą paskutiniuose atakos žingsniuose, elgesį, paprastai apibūdinamą naudojant „Kill Chain“ sąvoką. Tai yra, tais etapais, kai užpuolikas įsiskverbia į įmonės vidinį tinklą arba į mobilųjį įrenginį. Iš pradžių žinių bazėje buvo aprašyta 121 atakoje naudojama taktika ir technika, kurių kiekviena išsamiai aprašyta Wiki formatu. Įvairi grėsmių žvalgybos analizė puikiai tinka kaip hipotezių generavimo šaltinis. Ypač atkreiptinas dėmesys į infrastruktūros analizės ir įsiskverbimo testų rezultatus – tai yra vertingiausi duomenys, galintys kelti mums geležines hipotezes dėl to, kad jos yra pagrįstos specifine infrastruktūra su specifiniais jos trūkumais.
Hipotezių tikrinimo procesas
Sergejus Soldatovas atnešė su detaliu proceso aprašymu iliustruoja TH hipotezių tikrinimo vienoje sistemoje procesą. Pagrindinius etapus nurodysiu trumpu aprašymu.
1 etapas: TI ūkis
Šiame etape būtina pabrėžti objektai (analizuojant juos kartu su visais grėsmės duomenimis) ir priskiriant jiems jų charakteristikų etiketes. Tai yra failas, URL, MD5, procesas, įrankis, įvykis. Perduodant juos per Threat Intelligence sistemas, būtina pritvirtinti žymas. Tai yra, ši svetainė buvo pastebėta CNC tokiais ir tokiais metais, šis MD5 buvo susietas su tokia ir tokia kenkėjiška programa, šis MD5 buvo atsiųstas iš svetainės, kuri platino kenkėjiškas programas.
2 etapas: atvejai
Antrame etape mes žiūrime į šių objektų sąveiką ir nustatome ryšius tarp visų šių objektų. Gauname pažymėtas sistemas, kurios daro kažką blogo.
3 etapas: analitikas
Trečiajame etape byla perduodama patyrusiam analitikui, turinčiam didelę analizės patirtį, ir jis priima nuosprendį. Jis išanalizuoja iki baitų, ką, kur, kaip, kodėl ir kodėl daro šis kodas. Šis kūnas buvo kenkėjiška programa, šis kompiuteris buvo užkrėstas. Atskleidžia ryšius tarp objektų, patikrina bėgimo per smėlio dėžę rezultatus.
Analitiko darbo rezultatai perduodami toliau. Skaitmeninė kriminalistika tiria vaizdus, kenkėjiškų programų analizė tiria rastus „kūnus“, o reagavimo į incidentus komanda gali nuvykti į svetainę ir jau ten kažką ištirti. Darbo rezultatas bus patvirtinta hipotezė, nustatytas išpuolis ir būdai jai atremti.
rezultatai
Grėsmių medžioklė yra gana jauna technologija, galinti veiksmingai kovoti su pritaikytomis, naujomis ir nestandartinėmis grėsmėmis, kuri turi daug perspektyvų, atsižvelgiant į didėjantį tokių grėsmių skaičių ir didėjančią įmonių infrastruktūros sudėtingumą. Tam reikalingi trys komponentai – duomenys, įrankiai ir analitikai. Grėsmių medžioklės nauda neapsiriboja grėsmių įgyvendinimo prevencija. Nepamirškite, kad paieškos proceso metu saugumo analitiko akimis pasineriame į savo infrastruktūrą ir jos silpnąsias vietas ir galime šias vietas dar labiau sustiprinti.
Pirmieji žingsniai, kuriuos, mūsų nuomone, reikia atlikti norint pradėti TH procesą jūsų organizacijoje.
- Pasirūpinkite galinių taškų ir tinklo infrastruktūros apsauga. Pasirūpinkite visų tinklo procesų matomumu (NetFlow) ir valdymu (ugniasienė, IDS, IPS, DLP). Žinokite savo tinklą nuo krašto maršrutizatoriaus iki paskutinio pagrindinio kompiuterio.
- Naršyti.
- Reguliariai atlikite bent pagrindinių išorinių išteklių pentestus, analizuokite jų rezultatus, nustatykite pagrindinius atakos tikslus ir pašalinkite jų pažeidžiamumą.
- Įdiekite atvirojo kodo Threat Intelligence sistemą (pavyzdžiui, MISP, Yeti) ir kartu su ja analizuokite žurnalus.
- Įdiekite reagavimo į incidentus platformą (IRP): R-Vision IRP, The Hive, smėlio dėžę, skirtą įtartinų failų analizei (FortiSandbox, Cuckoo).
- Automatizuoti įprastus procesus. Žurnalų analizė, incidentų fiksavimas, darbuotojų informavimas – didžiulė automatizavimo sritis.
- Išmokite efektyviai bendrauti su inžinieriais, kūrėjais ir technine pagalba, kad galėtumėte bendradarbiauti sprendžiant incidentus.
- Dokumentuoti visą procesą, pagrindinius taškus, pasiektus rezultatus, kad vėliau prie jų sugrįžtumėte arba pasidalintumėte šiais duomenimis su kolegomis;
- Būkite socialūs: žinokite, kas vyksta su jūsų darbuotojais, ką samdote ir kam suteikiate prieigą prie organizacijos informacijos išteklių.
- Sekite tendencijas naujų grėsmių ir apsaugos metodų srityje, kelkite savo techninio raštingumo lygį (įskaitant IT paslaugų ir posistemių eksploatavimą), dalyvaukite konferencijose ir bendraukite su kolegomis.
Pasiruošę aptarti TH proceso organizavimą komentaruose.
Arba ateik dirbti su mumis!
Tyrimui skirti šaltiniai ir medžiaga
Šaltinis: www.habr.com