95% informācijas drošības apdraudējumu ir zināmi, un jūs varat pasargāt sevi no tiem, izmantojot tradicionālos līdzekļus, piemēram, antivīrusus, ugunsmūrus, IDS, WAF. Atlikušie 5% draudu nav zināmi un visbīstamākie. Tie veido 70% no uzņēmuma riska, jo ir ļoti grūti tos atklāt, vēl jo mazāk aizsargāt pret tiem. Piemēri ir WannaCry izspiedējvīrusu epidēmija, NotPetya/ExPetr, kriptominerāļi, “kiberierocis” Stuxnet (kas trāpīja Irānas kodoliekārtām) un daudzi citi uzbrukumi (kāds vēl atceras Kido/Conficker?), pret kuriem ar klasiskajiem drošības pasākumiem nav liela aizsardzība. Mēs vēlamies runāt par to, kā novērst šos 5% draudu, izmantojot Threat Hunting tehnoloģiju.
Nemitīgai kiberuzbrukumu attīstībai ir nepieciešama pastāvīga atklāšana un pretpasākumi, kas galu galā liek mums domāt par nebeidzamu bruņošanās sacensību starp uzbrucējiem un aizstāvjiem. Klasiskās drošības sistēmas vairs nespēj nodrošināt pieņemamu drošības līmeni, pie kura riska līmenis neietekmē uzņēmuma galvenos rādītājus (ekonomiskos, politiskos, reputāciju), nepārveidojot tos konkrētai infrastruktūrai, taču kopumā tās aptver kādu no riskus. Jau ieviešanas un konfigurācijas procesā modernās drošības sistēmas nonāk līdzinieku lomā un tām ir jāreaģē uz jaunā laika izaicinājumiem.
Draudi medības tehnoloģijas var būt viena no atbildēm uz mūsdienu izaicinājumiem informācijas drošības speciālistam. Termins Threat Hunting (turpmāk tekstā TH) parādījās pirms vairākiem gadiem. Pati tehnoloģija ir diezgan interesanta, taču tai vēl nav vispārpieņemtu standartu un noteikumu. Lietu sarežģī arī informācijas avotu neviendabīgums un nelielais krievvalodīgo informācijas avotu skaits par šo tēmu. Šajā sakarā mēs LANIT-Integration nolēmām uzrakstīt pārskatu par šo tehnoloģiju.
Atbilstība
TH tehnoloģija balstās uz infrastruktūras uzraudzības procesiem.. Brīdināšana (līdzīgi MSSP pakalpojumiem) ir tradicionāla metode iepriekš izstrādātu parakstu un uzbrukumu pazīmju meklēšanai un reaģēšanai uz tiem. Šo scenāriju veiksmīgi izpilda tradicionālie uz parakstu balstīti aizsardzības rīki. Medības (MDR tipa pakalpojums) ir uzraudzības metode, kas atbild uz jautājumu “No kurienes nāk paraksti un noteikumi?” Tas ir korelācijas noteikumu izveides process, analizējot slēptus vai iepriekš nezināmus rādītājus un uzbrukuma pazīmes. Draudu medības attiecas uz šāda veida uzraudzību.
Tikai apvienojot abus uzraudzības veidus, mēs iegūstam aizsardzību, kas ir tuvu ideālam, taču vienmēr pastāv zināms atlikušā riska līmenis.
Aizsardzība, izmantojot divu veidu uzraudzību
Un lūk, kāpēc TH (un medības kopumā!) kļūs arvien aktuālāka:
Draudi, līdzekļi, riski.
. Tie ietver tādus veidus kā surogātpasts, DDoS, vīrusi, sakņu komplekti un citas klasiskas ļaunprātīgas programmatūras. Jūs varat pasargāt sevi no šiem draudiem, izmantojot tos pašus klasiskos drošības pasākumus.
Jebkura projekta īstenošanas laikā, un atlikušie 20% darba aizņem 80% laika. Tāpat visā draudu vidē 5% jauno apdraudējumu veidos 70% no uzņēmuma riska. Uzņēmumā, kurā tiek organizēti informācijas drošības pārvaldības procesi, mēs varam pārvaldīt 30% no zināmo apdraudējumu ieviešanas riska vienā vai otrā veidā, izvairoties (principā atteikums no bezvadu tīkliem), akceptējot (ieviešot nepieciešamos drošības pasākumus) vai novirzot. (piemēram, uz integratora pleciem) šo risku. Pasargā sevi no, APT uzbrukumi, pikšķerēšana,, kiberspiegošana un nacionālās operācijas, kā arī liels skaits citu uzbrukumu jau ir daudz grūtākas. Šo 5% draudu sekas būs daudz nopietnākas () nekā surogātpasta vai vīrusu sekas, no kurām glābj pretvīrusu programmatūra.
Gandrīz ikvienam ir jātiek galā ar 5% draudu. Nesen mums bija jāinstalē atvērtā pirmkoda risinājums, kas izmanto lietojumprogrammu no PEAR (PHP paplašinājumu un lietojumprogrammu krātuve) repozitorija. Mēģinājums instalēt šo lietojumprogrammu, izmantojot bumbieru instalēšanu, neizdevās, jo nebija pieejams (tagad uz tā ir stubs), man tas bija jāinstalē no GitHub. Un pavisam nesen izrādījās, ka Bumbieris kļuva par upuri.
Jūs joprojām varat atcerēties, NePetya ransomware epidēmija, izmantojot nodokļu ziņošanas programmas atjaunināšanas moduli. Draudi kļūst arvien sarežģītāki, un rodas loģisks jautājums - "Kā mēs varam pretoties šiem 5% draudu?"
Draudu medības definīcija
Tātad draudu meklēšana ir proaktīvas un iteratīvās meklēšanas un uzlaboto apdraudējumu atklāšanas process, ko nevar noteikt ar tradicionālajiem drošības rīkiem. Uzlabotie draudi ietver, piemēram, tādus uzbrukumus kā APT, uzbrukumus 0-dienu ievainojamībām, Living off the Land un tā tālāk.
Mēs varam arī pārfrāzēt, ka TH ir hipotēžu pārbaudes process. Šis ir pārsvarā manuāls process ar automatizācijas elementiem, kurā analītiķis, paļaujoties uz savām zināšanām un prasmēm, izsijā lielus informācijas apjomus, meklējot kompromisa pazīmes, kas atbilst sākotnēji izvirzītajai hipotēzei par noteiktu draudu klātbūtni. Tās atšķirīgā iezīme ir informācijas avotu daudzveidība.
Jāatzīmē, ka Threat Hunting nav kaut kāds programmatūras vai aparatūras produkts. Tie nav brīdinājumi, ko var redzēt dažos risinājumos. Šis nav IOC (Identifiers of Compromise) meklēšanas process. Un tā nav kaut kāda pasīva darbība, kas notiek bez informācijas drošības analītiķu līdzdalības. Draudu medības pirmām kārtām ir process.
Draudu medību sastāvdaļas
Trīs galvenās draudu medības sastāvdaļas: dati, tehnoloģija, cilvēki.
Dati (ko?), ieskaitot lielos datus. Visa veida trafika plūsmas, informācija par iepriekšējiem APT, analītika, dati par lietotāju aktivitātēm, tīkla dati, informācija no darbiniekiem, informācija par tumšo tīklu un daudz kas cits.
Tehnoloģijas (kā?) šo datu apstrāde – visi iespējamie šo datu apstrādes veidi, tostarp mašīnmācīšanās.
Cilvēki, kas?) – tiem, kam ir liela pieredze dažādu uzbrukumu analīzē, attīstīta intuīcija un spēja atklāt uzbrukumu. Parasti tie ir informācijas drošības analītiķi, kuriem ir jāspēj ģenerēt hipotēzes un atrast tām apstiprinājumu. Tās ir galvenā saikne šajā procesā.
Modelis PARIS
Ādams Betmens PARIS modelis ideālam TH procesam. Nosaukums atsaucas uz slavenu orientieri Francijā. Šo modeli var aplūkot divos virzienos – no augšas un no apakšas.
Izstrādājot modeli no apakšas uz augšu, mēs saskarsimies ar daudziem ļaunprātīgas darbības pierādījumiem. Katram pierādījumam ir mērs, ko sauc par pārliecību – īpašība, kas atspoguļo šo pierādījumu svaru. Ir “dzelzs”, tieši pierādījumi par ļaunprātīgu darbību, saskaņā ar kuru mēs varam nekavējoties sasniegt piramīdas virsotni un radīt reālu brīdinājumu par precīzi zināmu infekciju. Un ir netieši pierādījumi, kuru summa var arī mūs novest līdz piramīdas virsotnei. Kā vienmēr, ir daudz vairāk netiešu pierādījumu nekā tiešo pierādījumu, kas nozīmē, ka tie ir jāšķiro un jāanalizē, jāveic papildu pētījumi, un ieteicams to automatizēt.
Modelis PARIS.
Modeļa augšējā daļa (1 un 2) ir balstīta uz automatizācijas tehnoloģijām un dažādu analīzi, bet apakšējā daļa (3 un 4) ir balstīta uz cilvēkiem ar noteiktu kvalifikāciju, kas vada procesu. Varat apsvērt modeli, kas pārvietojas no augšas uz leju, kur zilās krāsas augšējā daļā mums ir brīdinājumi no tradicionālajiem drošības rīkiem (antivīruss, EDR, ugunsmūris, paraksti) ar augstu pārliecības un uzticamības pakāpi, un zemāk ir indikatori ( IOC, URL, MD5 un citi), kuriem ir zemāka noteiktības pakāpe un kuriem nepieciešama papildu izpēte. Un zemākais un biezākais līmenis (4) ir hipotēžu ģenerēšana, jaunu tradicionālo aizsardzības līdzekļu darbības scenāriju veidošana. Šis līmenis neaprobežojas tikai ar norādītajiem hipotēžu avotiem. Jo zemāks līmenis, jo lielākas prasības tiek izvirzītas analītiķa kvalifikācijai.
Ir ļoti svarīgi, lai analītiķi nepārbauda tikai noteiktu iepriekš noteiktu hipotēžu kopumu, bet pastāvīgi strādā, lai radītu jaunas hipotēzes un to pārbaudes iespējas.
TH lietošanas termiņa modelis
Ideālā pasaulē TH ir nepārtraukts process. Bet, tā kā ideālas pasaules nav, analizēsim un metodes cilvēku, procesu un izmantoto tehnoloģiju ziņā. Apskatīsim ideālas sfēriskas TH modeli. Šīs tehnoloģijas izmantošanai ir 5 līmeņi. Apskatīsim tos, izmantojot vienas analītiķu komandas evolūcijas piemēru.
Brieduma līmeņi
Cilvēki
Procesi
Tehnoloģija
0 līmenis
SOC analītiķi
24/7
Tradicionālie instrumenti:
Tradicionāls
Brīdinājumu komplekts
Pasīvā uzraudzība
IDS, AV, smilškaste,
Bez TH
Darbs ar brīdinājumiem
Parakstu analīzes rīki, draudu izlūkošanas dati.
1 līmenis
SOC analītiķi
Vienreizējs TH
EDR
Eksperimentāls
Kriminālistikas pamatzināšanas
SOK meklēšana
Daļējs datu pārklājums no tīkla ierīcēm
Eksperimenti ar TH
Labas zināšanas par tīkliem un lietojumprogrammām
Daļēja pieteikšanās
2 līmenis
Pagaidu nodarbošanās
Sprints
EDR
Periodiski
Vidējās zināšanas kriminālistikā
No nedēļas uz mēnesi
Pilna pieteikšanās
Pagaidu TH
Teicamas zināšanas par tīkliem un lietojumprogrammām
Regulāra TH
Pilnīga EDR datu izmantošanas automatizācija
Daļēja uzlaboto EDR iespēju izmantošana
3 līmenis
Īpaša TH komanda
24/7
Daļēja spēja pārbaudīt hipotēzes TH
Profilaktiski
Teicamas zināšanas kriminālistikas un ļaunprātīgas programmatūras jomā
Profilaktiskā TH
Pilnībā izmantotas uzlabotās EDR iespējas
Īpaši gadījumi TH
Lieliskas zināšanas par uzbrucēju pusi
Īpaši gadījumi TH
Pilns datu pārklājums no tīkla ierīcēm
Konfigurācija atbilstoši jūsu vajadzībām
4 līmenis
Īpaša TH komanda
24/7
Pilnīga iespēja pārbaudīt TH hipotēzes
Vadošais
Teicamas zināšanas kriminālistikas un ļaunprātīgas programmatūras jomā
Profilaktiskā TH
3. līmenis, kā arī:
Izmantojot TH
Lieliskas zināšanas par uzbrucēju pusi
Hipotēžu pārbaude, automatizācija un pārbaude TH
cieša datu avotu integrācija;
Pētniecības spējas
izstrāde atbilstoši vajadzībām un nestandarta API izmantošana.
TH brieduma līmeņi pēc cilvēkiem, procesiem un tehnoloģijām
0. līmenis: tradicionāli, neizmantojot TH. Regulāri analītiķi strādā ar standarta brīdinājumu komplektu pasīvās uzraudzības režīmā, izmantojot standarta rīkus un tehnoloģijas: IDS, AV, smilškaste, parakstu analīzes rīkus.
1. līmenis: eksperimentāli, izmantojot TH. Tie paši analītiķi ar pamatzināšanām kriminālistikas jomā un labām zināšanām par tīkliem un lietojumprogrammām var veikt vienreizēju draudu meklēšanu, meklējot kompromisa rādītājus. EDR tiek pievienoti rīkiem ar daļēju datu pārklājumu no tīkla ierīcēm. Instrumenti ir daļēji izmantoti.
2. līmenis: periodiska, pagaidu TH. Tiem pašiem analītiķiem, kuri jau ir papildinājuši savas zināšanas kriminālistikā, tīklos un lietojumprogrammu daļā, regulāri jāiesaistās draudu medībās (sprintā), teiksim, nedēļu mēnesī. Rīki pievieno pilnīgu datu izpēti no tīkla ierīcēm, datu analīzes automatizāciju no EDR un daļēju uzlaboto EDR iespēju izmantošanu.
3. līmenis: profilaktiski, bieži TH gadījumi. Mūsu analītiķi apvienojās īpašā komandā, un viņiem bija lieliskas zināšanas par kriminālistikas un ļaunprātīgas programmatūras jomām, kā arī zināšanas par uzbrucēju puses metodēm un taktiku. Process jau tiek veikts 24/7. Komanda spēj daļēji pārbaudīt TH hipotēzes, vienlaikus pilnībā izmantojot EDR uzlabotās iespējas ar pilnu datu pārklājumu no tīkla ierīcēm. Analītiķi var arī konfigurēt rīkus atbilstoši savām vajadzībām.
4. līmenis: augstākās klases, izmantojiet TH. Tā pati komanda ieguva spēju pētīt, spēju ģenerēt un automatizēt TH hipotēžu pārbaudes procesu. Tagad rīki ir papildināti ar ciešu datu avotu integrāciju, programmatūras izstrādi atbilstoši vajadzībām un nestandarta API izmantošanu.
Draudu medību paņēmieni
Pamata draudu medības metodes
К TH izmantoto tehnoloģiju brieduma secībā ir: pamata meklēšana, statistiskā analīze, vizualizācijas metodes, vienkārši apkopojumi, mašīnmācīšanās un Bajesa metodes.
Vienkāršākā metode, pamata meklēšana, tiek izmantota, lai sašaurinātu izpētes jomu, izmantojot īpašus vaicājumus. Statistisko analīzi izmanto, piemēram, lai izveidotu tipisku lietotāja vai tīkla darbību statistikas modeļa veidā. Vizualizācijas metodes tiek izmantotas, lai vizuāli attēlotu un vienkāršotu datu analīzi grafiku un diagrammu veidā, kas ievērojami atvieglo modeļu saskatīšanu paraugā. Lai optimizētu meklēšanu un analīzi, tiek izmantota vienkārša apkopošana pēc galvenajiem laukiem. Jo nobriedušāks kļūst organizācijas TH process, jo atbilstošāka kļūst mašīnmācīšanās algoritmu izmantošana. Tos plaši izmanto arī surogātpasta filtrēšanai, ļaunprātīgas datplūsmas atklāšanā un krāpniecisku darbību atklāšanā. Uzlabotāks mašīnmācīšanās algoritma veids ir Beijesa metodes, kas ļauj veikt klasifikāciju, samazināt izlases lielumu un modelēt tēmu.
Dimanta modelis un TH stratēģijas
Serhio Kaltagirons, Endrjū Pendegasts un Kristofers Bets savos darbos "» parādīja jebkuras ļaunprātīgas darbības galvenās galvenās sastāvdaļas un pamata savienojumu starp tām.
Dimanta modelis ļaunprātīgai darbībai
Saskaņā ar šo modeli ir 4 draudu meklēšanas stratēģijas, kuru pamatā ir attiecīgie galvenie komponenti.
1. Uz upuri orientēta stratēģija. Mēs pieņemam, ka cietušajam ir pretinieki, un viņi pa e-pastu sniegs “iespējas”. Mēs meklējam ienaidnieka datus pa pastu. Meklēt saites, pielikumus utt. Mēs meklējam apstiprinājumu šai hipotēzei uz noteiktu laiku (mēnesi, divas nedēļas), ja mēs to neatrodam, tad hipotēze nedarbojās.
2. Uz infrastruktūru orientēta stratēģija. Šīs stratēģijas izmantošanai ir vairākas metodes. Atkarībā no piekļuves un redzamības daži ir vieglāki nekā citi. Piemēram, mēs pārraugām domēna nosaukumu serverus, par kuriem zināms, ka tie mitina ļaunprātīgus domēnus. Vai arī mēs uzraugām visu jauno domēna vārdu reģistrāciju attiecībā uz zināmu modeli, ko izmanto pretinieks.
3. Uz spējām balstīta stratēģija. Papildus uz upuriem vērstai stratēģijai, ko izmanto lielākā daļa tīkla aizstāvju, ir arī uz iespējām vērsta stratēģija. Tas ir otrs populārākais un koncentrējas uz pretinieka iespēju atklāšanu, proti, “ļaunprātīgu programmatūru” un pretinieka spēju izmantot likumīgus rīkus, piemēram, psexec, powershell, certutil un citus.
4. Uz ienaidnieku orientēta stratēģija. Uz pretinieku vērstā pieeja koncentrējas uz pašu pretinieku. Tas ietver atklātas informācijas izmantošanu no publiski pieejamiem avotiem (OSINT), datu vākšanu par ienaidnieku, viņa paņēmieniem un metodēm (TTP), iepriekšējo incidentu analīzi, draudu izlūkošanas datus utt.
Informācijas avoti un hipotēzes TH
Daži informācijas avoti par draudu medībām
Informācijas avotu var būt daudz. Ideālam analītiķim jāspēj iegūt informāciju no visa, kas ir apkārt. Tipiski avoti gandrīz jebkurā infrastruktūrā būs dati no drošības rīkiem: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Tāpat tipiski informācijas avoti būs dažādi kompromisa rādītāji, draudu izlūkošanas dienesti, CERT un OSINT dati. Papildus var izmantot informāciju no darkneta (piemēram, pēkšņi ir dots rīkojums uzlauzt kādas organizācijas vadītāja pastkastīti vai par savu darbību ir atklāts tīkla inženiera amata kandidāts), informācija, kas saņemta no HR (kandidāta atsauksmes no iepriekšējās darba vietas), informācija no drošības dienesta (piemēram, darījuma partnera pārbaudes rezultāti).
Bet pirms visu pieejamo avotu izmantošanas ir jābūt vismaz vienai hipotēzei.
Lai pārbaudītu hipotēzes, tās vispirms ir jāizvirza. Un, lai izvirzītu daudzas augstas kvalitātes hipotēzes, ir jāpiemēro sistemātiska pieeja. Sīkāk hipotēžu ģenerēšanas process ir aprakstīts, šo shēmu ir ļoti ērti ņemt par pamatu hipotēžu izvirzīšanas procesam.
Galvenais hipotēžu avots būs ATT&CK matrica (Pretendenta taktika, paņēmieni un kopējās zināšanas). Būtībā tā ir zināšanu bāze un modelis to uzbrucēju uzvedības novērtēšanai, kuri veic savas darbības uzbrukuma pēdējos posmos, ko parasti apraksta, izmantojot jēdzienu Kill Chain. Tas ir, posmos pēc tam, kad uzbrucējs ir iekļuvis uzņēmuma iekšējā tīklā vai mobilajā ierīcē. Zināšanu bāze sākotnēji ietvēra 121 uzbrukumā izmantotās taktikas un tehnikas aprakstus, no kuriem katrs ir detalizēti aprakstīts Wiki formātā. Dažādas draudu izlūkošanas analītikas ir labi piemērotas kā avots hipotēžu ģenerēšanai. Īpaši jāatzīmē infrastruktūras analīzes un iespiešanās pārbaužu rezultāti – tie ir visvērtīgākie dati, kas var sniegt mums dzelžainas hipotēzes, jo to pamatā ir noteikta infrastruktūra ar tās specifiskajiem trūkumiem.
Hipotēžu pārbaudes process
Sergejs Soldatovs atveda ar detalizētu procesa aprakstu, tas ilustrē TH hipotēžu pārbaudes procesu vienotā sistēmā. Ar īsu aprakstu norādīšu galvenos posmus.
1. posms: TI Farm
Šajā posmā ir nepieciešams izcelt objekti (analizējot tos kopā ar visiem draudu datiem) un piešķirot tiem iezīmes to īpašībām. Tie ir fails, URL, MD5, process, utilīta, notikums. Nododot tos caur Threat Intelligence sistēmām, ir nepieciešams pievienot tagus. Tas ir, šī vietne tika pamanīta CNC tādā un tādā gadā, šis MD5 bija saistīts ar tādu un tādu ļaunprogrammatūru, šis MD5 tika lejupielādēts no vietnes, kas izplatīja ļaunprogrammatūru.
2. posms: lietas
Otrajā posmā mēs aplūkojam šo objektu mijiedarbību un identificējam attiecības starp visiem šiem objektiem. Mēs saņemam iezīmētas sistēmas, kas dara kaut ko sliktu.
3. posms: analītiķis
Trešajā posmā lieta tiek nodota pieredzējušam analītiķim, kuram ir liela pieredze analīzē, un viņš pieņem spriedumu. Viņš parsē līdz baitiem, ko, kur, kā, kāpēc un kāpēc šis kods dara. Šis ķermenis bija ļaunprātīga programmatūra, šis dators bija inficēts. Atklāj savienojumus starp objektiem, pārbauda skriešanas rezultātus smilšu kastē.
Analītiķa darba rezultāti tiek nodoti tālāk. Digitālā kriminālistika pārbauda attēlus, ļaunprātīgas programmatūras analīze pārbauda atrastos “ķermeņus”, un incidentu reaģēšanas komanda var doties uz vietni un izmeklēt kaut ko jau tur. Darba rezultāts būs apstiprināta hipotēze, identificēts uzbrukums un veidi, kā to novērst.
Rezultāti
Draudi medības ir diezgan jauna tehnoloģija, kas var efektīvi cīnīties pret pielāgotiem, jauniem un nestandarta draudiem, kam ir lielas izredzes, ņemot vērā pieaugošo šādu apdraudējumu skaitu un korporatīvās infrastruktūras pieaugošo sarežģītību. Tam nepieciešami trīs komponenti – dati, rīki un analītiķi. Ieguvumi no draudu medībām neaprobežojas tikai ar draudu īstenošanas novēršanu. Neaizmirstiet, ka meklēšanas procesā mēs iedziļināmies mūsu infrastruktūrā un tās vājajos punktos ar drošības analītiķa acīm un varam vēl vairāk nostiprināt šos punktus.
Pirmie soļi, kas, mūsuprāt, ir jāveic, lai uzsāktu TH procesu jūsu organizācijā.
- Rūpējieties par galapunktu un tīkla infrastruktūras aizsardzību. Rūpējieties par visu tīkla procesu redzamību (NetFlow) un kontroli (ugunsmūris, IDS, IPS, DLP). Ziniet savu tīklu no malas maršrutētāja līdz pēdējam resursdatoram.
- Izpētīt.
- Regulāri veiciet vismaz galveno ārējo resursu pārbaudes, analizējiet tās rezultātus, identificējiet galvenos uzbrukuma mērķus un novērsiet to ievainojamības.
- Ieviesiet atvērtā koda draudu izlūkošanas sistēmu (piemēram, MISP, Yeti) un analizējiet žurnālus kopā ar to.
- Ieviesiet incidentu reaģēšanas platformu (IRP): R-Vision IRP, The Hive, smilškaste aizdomīgu failu analīzei (FortiSandbox, Cuckoo).
- Automatizējiet ikdienas procesus. Žurnālu analīze, incidentu reģistrēšana, darbinieku informēšana ir milzīgs automatizācijas lauks.
- Iemācieties efektīvi sadarboties ar inženieriem, izstrādātājiem un tehnisko atbalstu, lai sadarbotos incidentu gadījumos.
- Dokumentē visu procesu, galvenos punktus, sasniegtos rezultātus, lai vēlāk pie tiem atgrieztos vai dalītos ar šiem datiem ar kolēģiem;
- Esiet sabiedrisks: esiet informēts par to, kas notiek ar jūsu darbiniekiem, kurus jūs pieņemat darbā un kam piešķirat piekļuvi organizācijas informācijas resursiem.
- Sekojiet līdzi tendencēm jaunu apdraudējumu un aizsardzības metožu jomā, paaugstiniet savu tehniskās pratības līmeni (tostarp IT pakalpojumu un apakšsistēmu darbībā), apmeklējiet konferences un komunicējiet ar kolēģiem.
Gatavs komentāros apspriest TH procesa organizāciju.
Vai arī nāc strādāt pie mums!
Izpētes avoti un materiāli
Avots: www.habr.com