95% amin'ny fandrahonana fiarovana ny fampahalalam-baovao dia fantatra, ary azonao atao ny miaro tena amin'izy ireo amin'ny fampiasana fomba nentim-paharazana toy ny antiviruses, firewall, IDS, WAF. Ny 5% sisa amin'ny fandrahonana dia tsy fantatra ary mampidi-doza indrindra. Izy ireo dia 70% amin'ny risika ho an'ny orinasa iray noho ny zava-misy fa sarotra ny mamantatra azy ireo, mainka fa ny fiarovana azy ireo. OHATRA dia ny valan'aretina ransomware WannaCry, NotPetya/ExPetr, cryptominers, ny Stuxnet “fitaovam-piadiana an-tserasera” (izay namely ny fotodrafitrasa nokleary ao Iran) sy ny fanafihana maro hafa (misy hafa mahatadidy an'i Kido/Conficker?) izay tsy dia voaaro tsara amin'ny fepetra fiarovana mahazatra. Te hiresaka momba ny fomba hanoherana ireo fandrahonana 5% ireo izahay amin'ny fampiasana teknolojia Fandrahonana.
Ny fivoarana mitohy amin'ny fanafihana an-tserasera dia mitaky fisavana tsy tapaka sy fanoherana, izay mitarika antsika hieritreritra hazakazaka fiadiana tsy misy fiafarana eo amin'ny mpanafika sy ny mpiaro. Ny rafitra fiarovana mahazatra dia tsy afaka manome fiarovana azo ekena intsony izay tsy misy fiantraikany amin'ny tondro fototra an'ny orinasa ny haavon'ny risika (toe-karena, politika, laza) raha tsy manova azy ireo ho an'ny fotodrafitrasa manokana, fa amin'ny ankapobeny dia mirakitra ny sasany amin'ireo risika. Efa ao anatin'ny dingan'ny fampiharana sy ny fandrindrana, ny rafitra fiarovana maoderina dia mitana ny anjara asany amin'ny fisamborana ary tsy maintsy mamaly ny fanamby amin'ny fotoana vaovao.
Mety ho iray amin'ireo valin'ny fanamby amin'izao androntsika izao ho an'ny manam-pahaizana manokana momba ny fiarovana ny fampahalalam-baovao ny haitao fandrahonana. Nipoitra taona maro lasa izay ny teny hoe Threat Hunting (antsoina hoe TH). Ny teknôlôjia mihitsy no tena mahaliana, saingy tsy mbola manana fenitra sy fitsipika eken'ny besinimaro. Sarotra ihany koa ny raharaha noho ny fahasamihafan'ny loharanom-baovao sy ny fahavitsian'ny loharanom-baovao amin'ny teny Rosiana momba ity lohahevitra ity. Amin'ity lafiny ity, nanapa-kevitra ny hanoratra famerenana momba ity teknolojia ity izahay ao amin'ny LANIT-Integration.
topicality
Ny teknolojia TH dia miankina amin'ny fizotran'ny fanaraha-maso ny fotodrafitrasa.. Ny fampandrenesana (mitovy amin'ny serivisy MSSP) dia fomba nentim-paharazana amin'ny fitadiavana sonia efa novolavolaina sy famantarana fanafihana ary mamaly azy ireo. Ity toe-javatra ity dia vita soa aman-tsara amin'ny alalan'ny fitaovana fiarovana mifototra amin'ny sonia mahazatra. Ny fihazana (serivisy karazana MDR) dia fomba fanaraha-maso izay mamaly ny fanontaniana hoe "Avy aiza ny sonia sy ny fitsipika?" Izany dia dingana amin'ny famoronana fitsipika mifandraika amin'ny famakafakana ireo tondro miafina na tsy fantatra teo aloha sy famantarana ny fanafihana. Ny fihazana fandrahonana dia manondro io karazana fanaraha-maso io.
Amin'ny fampifangaroana ireo karazana fanaraha-maso roa ireo ihany no ahazoantsika fiarovana izay manakaiky ny idealy, saingy misy foana ny risika sisa tavela.
Fiarovana mampiasa karazana fanaraha-maso roa
Ary izao no mahatonga ny TH (sy ny fihazana manontolo!) ho lasa manan-danja kokoa:
Fandrahonana, fanafody, risika.
. Anisan'izany ny karazana spam, DDoS, viriosy, rootkits ary malware mahazatra hafa. Afaka miaro tena amin'ireo fandrahonana ireo ianao amin'ny fampiasana ireo fepetra fiarovana mahazatra.
Nandritra ny fanatanterahana ny tetikasa rehetra, ary ny 20% sisa amin'ny asa dia maka 80% amin'ny fotoana. Toy izany koa, manerana ny tontolon'ny fandrahonana iray manontolo, ny 5% amin'ny fandrahonana vaovao dia mitentina 70% amin'ny risika amin'ny orinasa iray. Ao amin'ny orinasa iray izay amboarina ny fizotran'ny fitantanana ny fiarovana ny vaovao, dia afaka mitantana ny 30% amin'ny risika amin'ny fampiharana ireo fandrahonana fantatra amin'ny fomba iray na amin'ny fomba hafa isika amin'ny alàlan'ny fisorohana (fandavana ny tambajotra tsy misy tariby amin'ny ankapobeny), fanekena (fampiharana ny fepetra fiarovana ilaina) na fanovana. (ohatra, eo an-tsoroky ny integrator) io risika io. Arovy ny tenanao amin'ny, fanafihana APT, phishing,, fitsikilovana an-tserasera sy ny hetsika nasionaly, ary koa ny fanafihana maro hafa dia efa sarotra kokoa. Ny vokatr'ireo 5% amin'ny fandrahonana ireo dia ho matotra kokoa () noho ny vokatry ny spam na viriosy, izay mitahiry rindrambaiko antivirus.
Saika ny olona rehetra dia tsy maintsy miatrika ny 5% amin'ny fandrahonana. Vao haingana izahay dia tsy maintsy nametraka vahaolana open-source izay mampiasa fampiharana avy amin'ny tahiry PEAR (PHP Extension and Application Repository). Tsy nahomby ny fikasana hametraka ity fampiharana ity amin'ny alàlan'ny fametrahana poara satria dia tsy azo (misy stub amin'izao fotoana izao), tsy maintsy nametraka azy tao amin'ny GitHub aho. Ary vao haingana no hita fa lasa niharam-boina ny PEAR.
Mbola tsaroanao, areti-mifindra amin'ny ransomware NePetya amin'ny alàlan'ny maodely fanavaozana ho an'ny programa tatitra momba ny hetra. Ny fandrahonana dia mihasarotra hatrany, ary mipoitra ny fanontaniana lojika - "Ahoana no ahafahantsika manohitra ireo fandrahonana 5% ireo?"
Famaritana ny fihazana fandrahonana
Noho izany, ny fihazana fandrahonana dia ny dingan'ny fikarohana mavitrika sy miverimberina ary fitadiavana ireo fandrahonana efa mandroso izay tsy ho hitan'ny fitaovana fiarovana mahazatra. Ny fandrahonana mandroso dia ahitana, ohatra, ny fanafihana toy ny APT, ny fanafihana amin'ny vulnerability 0 andro, ny fiainana an-tany, sy ny sisa.
Azontsika atao koa ny mamerina indray fa ny TH dia ny fizotran'ny fitsapana vinavina. Ity dia dingana amin'ny ankapobeny miaraka amin'ny singa automatique, izay ny mpandinika, miantehitra amin'ny fahalalany sy ny fahaizany, dia manasivana vaovao be dia be mba hitadiavana famantarana marimaritra iraisana izay mifanandrify amin'ny petra-kevitra voalohany momba ny fisian'ny fandrahonana iray. Ny mampiavaka azy dia ny karazana loharanom-baovao.
Marihina fa ny Threat Hunting dia tsy karazana rindrambaiko na vokatra fitaovana. Tsy fampandrenesana hita amin'ny vahaolana sasany ireo. Tsy fizotry ny fikarohana IOC (Identifiers of Compromise) ity. Ary ity dia tsy karazana hetsika passive izay mitranga raha tsy misy ny fandraisan'anjaran'ny mpandinika ny fiarovana ny vaovao. Ny fihazana fandrahonana dia dingana voalohany indrindra.
Ireo singa amin'ny fihazana fandrahonana
Singa telo lehibe amin'ny fihazana fandrahonana: data, teknolojia, olona.
Data (inona?), anisan'izany ny Big Data. Ny karazana fifamoivoizana rehetra, fampahalalana momba ny APT teo aloha, fanadihadiana, angon-drakitra momba ny asan'ny mpampiasa, angon-drakitra tambajotra, fampahalalana avy amin'ny mpiasa, fampahalalana momba ny darknet sy ny maro hafa.
Teknolojia (ahoana?) fanodinana ity angona ity - ny fomba rehetra azo atao amin'ny fanodinana ity angona ity, anisan'izany ny Machine Learning.
Olona (iza?) - ireo izay manana traikefa be dia be amin'ny famakafakana fanafihana isan-karazany, namolavola intuition ary fahaizana mamantatra fanafihana. Amin'ny ankapobeny dia ireo mpandinika momba ny fiarovana ny fampahalalam-baovao izay tsy maintsy manana fahaizana mamorona petra-kevitra ary mitady fanamafisana ho azy ireo. Izy ireo no rohy lehibe amin'ny dingana.
Modely PARIS
Adam Bateman Modely PARIS ho an'ny fizotry ny TH. Ny anarana dia manondro toerana malaza any Frantsa. Ity modely ity dia azo jerena amin'ny lafiny roa - avy any ambony sy ambany.
Rehefa miasa amin'ny alàlan'ny modely avy any amin'ny farany ambany isika dia hahita porofo maro momba ny asa ratsy. Ny porofo tsirairay dia manana fepetra antsoina hoe fahatokisana - toetra iray izay maneho ny lanjan'io porofo io. Misy "vy", porofo mivantana amin'ny asa ratsy, izay ahafahantsika manatratra avy hatrany ny tampon'ny piramida ary mamorona fanairana marina momba ny aretina fantatra. Ary misy porofo ankolaka, ny fitambarany dia mety hitarika antsika ho any an-tampon'ny piramida. Toy ny mahazatra, misy porofo ankolaka bebe kokoa noho ny porofo mivantana, izay midika fa mila alamina sy anadihadiana izy ireo, tsy maintsy misy fikarohana fanampiny, ary tsara ny manao automatique izany.
Modely PARIS.
Ny tapany ambony amin'ny maodely (1 sy 2) dia mifototra amin'ny teknolojia automatique sy analyse isan-karazany, ary ny tapany ambany (3 sy 4) dia mifototra amin'ny olona manana fepetra sasany mitantana ny dingana. Azonao atao ny mandinika ny modely mihetsika avy any ambony ka hatrany ambany, izay ao amin'ny tapany ambony amin'ny loko manga dia misy fampandrenesana avy amin'ny fitaovana fiarovana nentim-paharazana (antivirus, EDR, firewall, sonia) miaraka amin'ny fahatokisana sy fahatokisana avo lenta, ary eto ambany dia misy famantarana ( IOC, URL, MD5 sy ny hafa), izay manana mari-pahaizana ambany kokoa ary mitaky fandalinana fanampiny. Ary ny ambaratonga ambany sy matevina indrindra (4) dia ny famoronana petra-kevitra, ny famoronana toe-javatra vaovao ho an'ny fiasan'ny fitaovam-piarovana nentim-paharazana. Ity ambaratonga ity dia tsy voafetra ho an'ny loharanon-kevitra voafaritra ihany. Arakaraky ny ambany ny haavony, ny fepetra takiana amin'ny fahaizan'ny mpandinika.
Tena zava-dehibe tokoa ny tsy hitsapan'ny mpandinika tsotra fotsiny ireo petra-kevitra voafaritra mialoha, fa miasa tsy tapaka amin'ny famoronana vinavina sy safidy vaovao hitsapana azy ireo.
Modely fahamatorana fampiasana TH
Ao amin'ny tontolo idealy, ny TH dia dingana mitohy. Saingy, satria tsy misy izao tontolo izao idealy, andao hamakafaka ary fomba fiasa amin'ny lafiny olona, fomba fiasa ary teknolojia ampiasaina. Andeha hojerentsika ny modely amin'ny TH spherical idealy. Misy ambaratonga 5 ny fampiasana ity teknolojia ity. Andeha hojerentsika izy ireo amin'ny fampiasana ny ohatra momba ny fivoaran'ny ekipa mpandinika tokana.
Ambaratonga fahamatorana
olona
Ireo dingana
ny teknolojia
Haavo 0
Mpanadihady SOC
24/7
Zavamaneno nentim-paharazana:
nentim-paharazana
Sehatra fanairana
Fanaraha-maso passive
IDS, AV, Sandboxing,
Tsy misy TH
Miasa miaraka amin'ny fanairana
Fitaovana famakafakana sonia, angon-drakitra momba ny fandrahonana.
Haavo 1
Mpanadihady SOC
Indray mandeha TH
BDU
Fanandramana
Fahalalana fototra momba ny forensika
IOC fikarohana
Fandrakofana ampahany amin'ny angona avy amin'ny fitaovana tambajotra
Fanandramana miaraka amin'ny TH
Fahalalana tsara momba ny tambajotra sy ny fampiharana
Fampiharana ampahany
Haavo 2
Fibodoana vonjimaika
Sprints
BDU
potoana
Fahalalana antonony momba ny forensika
Herinandro isan-kerinandro
Fampiharana feno
TH vonjimaika
Fahalalana tsara momba ny tambajotra sy ny fampiharana
Regular TH
Automation feno ny fampiasana angona EDR
Fampiasana ampahany amin'ny fahaiza-manao EDR mandroso
Haavo 3
baiko TH natokana
24/7
Fahaizana ampahany amin'ny fitsapana vinavina TH
fisorohana
Fahalalana tsara momba ny forensika sy malware
Fisorohana TH
Fampiasana feno ny fahaiza-manao EDR mandroso
Tranga manokana TH
Fahalalana tsara momba ny lafiny mpanafika
Tranga manokana TH
Fandrakofana feno ny angona avy amin'ny fitaovana tambajotra
Configuration mifanaraka amin'ny filanao
Haavo 4
baiko TH natokana
24/7
Fahaizana feno hitsapana ny vinavina TH
mitarika ny
Fahalalana tsara momba ny forensika sy malware
Fisorohana TH
Level 3, miampy:
Mampiasa TH
Fahalalana tsara momba ny lafiny mpanafika
Fitsapana, automatique ary fanamarinana ny vinavina TH
fampidirana mafy ny loharanom-baovao;
Fahaiza-manao fikarohana
fampandrosoana araka ny filana sy ny fampiasana tsy manara-penitra ny API.
Ny haavon'ny fahamatorana TH amin'ny alàlan'ny olona, ny dingana ary ny teknolojia
Haavo 0: nentim-paharazana, tsy mampiasa TH. Ny mpandinika tsy tapaka dia miara-miasa amin'ny andiana fampandrenesana mahazatra amin'ny fomba fanaraha-maso passive mampiasa fitaovana sy teknolojia mahazatra: IDS, AV, sandbox, fitaovana famakafakana sonia.
Haavo 1: andrana, mampiasa TH. Ireo mpandinika mitovy amin'ny fahalalana fototra momba ny forensika sy fahalalana tsara momba ny tambajotra sy ny fampiharana dia afaka manatanteraka fihazana fandrahonana indray mandeha amin'ny alàlan'ny fitadiavana ireo famantarana ny marimaritra iraisana. Ny EDR dia ampiana amin'ny fitaovana misy fandrakofana ampahany amin'ny angona avy amin'ny fitaovana tambajotra. Ny fitaovana dia ampiasaina amin'ny ampahany.
Haavo 2: tsindraindray, vonjimaika TH. Ireo mpandinika izay efa nanatsara ny fahalalany momba ny forensics, tambajotra ary ny ampahany amin'ny fampiharana dia takiana amin'ny fandraisana anjara tsy tapaka amin'ny Threat Hunting (sprint), hoy, herinandro isam-bolana. Ny fitaovana dia manampy fikarohana feno momba ny angona avy amin'ny fitaovan'ny tambajotra, automatique ny famakafakana angona avy amin'ny EDR, ary ny ampahany amin'ny fampiasana ny fahaiza-manao EDR mandroso.
Haavo 3: fisorohana, tranga matetika ny TH. Ny mpandinika anay dia nandamina ny tenany ho ekipa voatokana ary nanomboka nanana fahalalana tsara momba ny forensika sy malware, ary koa ny fahalalana ny fomba sy ny paikadin'ny lafiny mpanafika. Efa vita 24/7 ny dingana. Ny ekipa dia afaka manandrana ampahany amin'ny vinavina TH raha mampiasa tanteraka ny fahaiza-manaon'ny EDR miaraka amin'ny fandrakofana feno ny angona avy amin'ny fitaovana tambajotra. Ny mpandinika koa dia afaka manamboatra fitaovana mifanaraka amin'ny filany.
Haavo 4: avo lenta, mampiasa TH. Ny ekipa iray ihany dia nahazo ny fahaiza-manao fikarohana, ny fahaizana mamorona sy manara-maso ny fizotran'ny fitsapana ny vinavina TH. Amin'izao fotoana izao, ny fitaovana dia nomen'ny fampidirana akaiky ny loharanom-baovao, ny fampivoarana rindrambaiko mba hanomezana ny filana, ary ny fampiasana API tsy manara-penitra.
Teknika fihazana fandrahonana
Teknika fototra fihazana fandrahonana
К Ny TH, amin'ny filaharan'ny fahamatoran'ny teknolojia ampiasaina, dia: fikarohana fototra, famakafakana statistika, teknika fijerena sary, fanangonana tsotra, fianarana milina ary fomba Bayesian.
Ny fomba tsotra indrindra, ny fikarohana fototra, dia ampiasaina mba hampihenana ny faritry ny fikarohana amin'ny fampiasana fanontaniana manokana. Ny famakafakana statistika dia ampiasaina, ohatra, mba hananganana hetsika mahazatra mpampiasa na tambajotra amin'ny endrika modely statistika. Ny teknikan'ny fijerena maso dia ampiasaina hanehoana sy hanatsorana ny famakafakana angon-drakitra amin'ny endrika grafika sy tabilao, izay manamora kokoa ny mamantatra ny lamina ao amin'ny santionany. Ny teknikan'ny fanangonana tsotra amin'ny sehatra manan-danja dia ampiasaina hanatsara ny fikarohana sy famakafakana. Arakaraky ny hahatongavan'ny fizotry ny TH ho matotra kokoa ny fikambanana iray, dia lasa manan-danja kokoa ny fampiasana ny algorithm fianarana milina. Izy ireo koa dia ampiasaina betsaka amin'ny fanivanana spam, mamantatra ny fifamoivoizana maloto ary mamantatra ny hetsika hosoka. Ny karazana algorithm fianarana milina mandroso kokoa dia ny fomba Bayesian, izay mamela ny fanasokajiana, ny fampihenana ny haben'ny santionany ary ny modeling lohahevitra.
Modely diamondra sy paikady TH
Sergio Caltagiron, Andrew Pendegast ary Christopher Betz amin'ny asany "» nampiseho ny singa fototra amin'ny hetsika ratsy rehetra sy ny fifandraisana fototra eo amin'izy ireo.
Modely diamondra ho an'ny asa ratsy
Araka ity maodely ity dia misy paikady 4 amin'ny fihazana fandrahonana, izay mifototra amin'ireo singa fototra mifandraika amin'izany.
1. Tetikady mitodika amin'ny niharam-boina. Heverintsika fa manana mpanohitra ny niharam-boina ary hanolotra "fahafahana" amin'ny alàlan'ny mailaka izy ireo. Mitady angona fahavalo amin'ny mailaka izahay. Mitadiava rohy, attachments, sns. Mitady fanamafisana an'io petra-kevitra io izahay mandritra ny fe-potoana iray (iray volana, tapa-bolana); raha tsy mahita izany isika, dia tsy mandeha ny petra-kevitra.
2. Paikady miompana amin'ny fotodrafitrasa. Misy fomba maro hampiasana ity paikady ity. Miankina amin'ny fidirana sy ny fahitana, ny sasany dia mora kokoa noho ny hafa. Ohatra, manara-maso ireo lohamilina anaran-tsehatra fantatra amin'ny fampiantranoana sehatra maloto izahay. Na mandeha amin'ny fanaraha-maso ny fisoratana anarana anaran-tsehatra vaovao ho an'ny lamina fantatra ampiasain'ny fahavalo.
3. Tetikady ateraky ny fahaiza-manao. Ankoatra ny paikady mifantoka amin'ny niharam-boina ampiasain'ny ankamaroan'ny mpiaro ny tambajotra, dia misy paikady mifantoka amin'ny fahafahana. Io no faharoa malaza indrindra ary mifantoka amin'ny fitadiavana ny fahaiza-manaon'ny fahavalo, dia ny "malware" sy ny fahafahan'ny fahavalo mampiasa fitaovana ara-dalàna toy ny psexec, powershell, certutil sy ny hafa.
4. Paikady mitodika amin'ny fahavalo. Ny fomba fiasa mifototra amin'ny adversary dia mifantoka amin'ny fahavalo. Anisan'izany ny fampiasana vaovao misokatra avy amin'ny loharanom-baovao azo ampahibemaso (OSINT), fanangonana angon-drakitra momba ny fahavalo, ny teknika sy ny fomba fiasany (TTP), ny famakafakana ny zava-nitranga teo aloha, ny angon-drakitra momba ny fandrahonana, sns.
Loharanom-baovao sy vinavina ao amin'ny TH
Loharanom-baovao sasany momba ny fihazana fandrahonana
Mety misy loharanom-baovao maro. Ny mpandinika tsara indrindra dia tokony ho afaka maka vaovao amin'ny zavatra rehetra manodidina. Ny loharano mahazatra amin'ny fotodrafitrasa rehetra dia angona avy amin'ny fitaovana fiarovana: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Ary koa, ny loharanom-baovao mahazatra dia ho famantarana isan-karazany amin'ny marimaritra iraisana, sampan-draharahan'ny faharanitan-tsaina, CERT ary angon-drakitra OSINT. Fanampin'izany, azonao atao ny mampiasa fampahalalana avy amin'ny darknet (ohatra, misy baiko tampoka handroahana ny boaty mailaka an'ny lehiben'ny fikambanana, na ny kandidà ho an'ny toeran'ny injeniera amin'ny tambajotra dia naharihary noho ny asany), fampahalalana azo avy amin'ny HR (famerenana ny kandidà avy amin'ny toeram-piasana teo aloha), fampahalalana avy amin'ny serivisy fiarovana (ohatra, ny valin'ny fanamarinana ny mpiara-miasa).
Saingy alohan'ny hampiasana ireo loharano rehetra misy dia ilaina ny manana vinavina iray farafahakeliny.
Mba hitsapana ny vinavina dia tsy maintsy apetraka aloha izy ireo. Ary mba hametrahana petra-kevitra avo lenta maro dia ilaina ny mampihatra fomba fiasa mirindra. Ny dingan'ny famoronana petra-kevitra dia voafaritra amin'ny antsipiriany kokoa ao amin'ny, tena mety ny mandray an'io tetika io ho fototry ny dingan'ny fametrahana vinavina.
Ny tena loharanon'ny hypotheses dia ho ATT&CK matrix (Tetika, teknika ary fahalalana iraisana). Raha ny tena izy, dia fototry ny fahalalana sy maodely hanombanana ny fihetsiky ny mpanafika izay manatanteraka ny asany amin'ny dingana farany amin'ny fanafihana iray, izay matetika voalaza amin'ny fampiasana ny foto-kevitry ny Kill Chain. Izany hoe, amin'ny dingana aorian'ny nidiran'ny mpanafika ny tambajotra anatiny amin'ny orinasa iray na amin'ny fitaovana finday. Ny fototry ny fahalalana tany am-boalohany dia nahitana famaritana ny tetika sy teknika 121 ampiasaina amin'ny fanafihana, izay voafaritra amin'ny antsipiriany amin'ny endrika Wiki. Ny famakafakana momba ny faharanitan-tsaina isan-karazany dia mifanentana tsara ho loharanom-pamokarana vinavina. Ny marihina manokana dia ny vokatry ny fanadihadiana momba ny fotodrafitrasa sy ny fitsirihana ny fidirana - izany no angon-drakitra sarobidy indrindra izay afaka manome antsika vinavina vy noho ny zava-misy fa mifototra amin'ny fotodrafitrasa manokana misy ny lesoka manokana.
Fizotry ny fitiliana hypothesis
Sergei Soldatov nitondra miaraka amin'ny famaritana amin'ny antsipiriany momba ny dingana, dia mampiseho ny fizotran'ny fitsapana ny vinavina TH ao anaty rafitra tokana. Holazaiko ireo dingana lehibe miaraka amin'ny famaritana fohy.
Dingana 1: TI Farm
Amin'ity dingana ity dia ilaina ny manasongadina zavatra (amin'ny alalan'ny famakafakana azy ireo miaraka amin'ny angon-drakitra fandrahonana rehetra) sy ny fanomezana azy ireo marika momba ny toetrany. Ireo dia rakitra, URL, MD5, process, utility, hetsika. Rehefa mandalo azy ireo amin'ny rafitra Threat Intelligence dia ilaina ny mametraka marika. Izany hoe, ity tranokala ity dia voamarika tao amin'ny CNC tamin'ny taona toy izao, ity MD5 ity dia mifandray amin'ny malware toy izany, ity MD5 ity dia alaina avy amin'ny tranokala iray izay mizara malware.
Dingana 2: Raharaha
Amin'ny dingana faharoa, mijery ny fifandraisana misy eo amin'ireo zavatra ireo isika ary mamantatra ny fifandraisan'ireo zavatra rehetra ireo. Mahazo rafitra voamarika izay manao zavatra ratsy isika.
Dingana 3: Mpandinika
Amin’ny dingana fahatelo dia afindra any amin’ny mpandinika efa za-draharaha izay manana traikefa be amin’ny famakafakana ny raharaha, ary mandray ny didim-pitsarana izy. Ampitahao amin'ny bytes hoe inona, aiza, ahoana, nahoana ary nahoana ity code ity. Ity vatana ity dia malware, ity solosaina ity dia voan'ny aretina. Manambara ny fifandraisan'ny zavatra, manamarina ny vokatry ny fandehanana amin'ny alàlan'ny boaty fasika.
Ampitaina bebe kokoa ny vokatry ny asan’ny mpandinika. Ny Digital Forensics dia mandinika sary, Malware Analysis dia mandinika ireo "vatana" hita, ary ny ekipan'ny Inside Response dia afaka mandeha any amin'ny tranokala ary manadihady zavatra efa misy. Ny vokatry ny asa dia ho vinavina voamarina, fanafihana fantatra ary fomba hiadiana amin'izany.
vokatra
Ny fihazana fandrahonana dia teknôlôjia somary tanora izay afaka manohitra amin'ny fomba mahomby ny fandrahonana namboarina, vaovao ary tsy manara-penitra, izay manana fanantenana lehibe noho ny fitomboan'ny fandrahonana toy izany sy ny fitomboan'ny fahasarotan'ny fotodrafitrasa orinasa. Mitaky singa telo izany - angona, fitaovana ary mpandinika. Ny tombony azo amin'ny fihazana fandrahonana dia tsy voafetra amin'ny fisorohana ny fampiharana ny fandrahonana. Aza adino fa mandritra ny dingan'ny fikarohana dia mitsoraka ao anatin'ny fotodrafitrasantsika sy ny fahalemeny isika amin'ny alalan'ny mason'ny mpandinika ny fiarovana ary afaka manamafy bebe kokoa ireo teboka ireo.
Ny dingana voalohany izay, araka ny hevitray, dia tokony hatao mba hanombohana ny dingana TH ao amin'ny fikambananao.
- Tandremo ny fiarovana ny teboka farany sy ny fotodrafitrasa tambajotra. Tandremo ny fahitana (NetFlow) sy ny fanaraha-maso (firewall, IDS, IPS, DLP) ny dingana rehetra ao amin'ny tambajotrao. Fantaro ny tambajotranao manomboka amin'ny router sisiny ka hatramin'ny mpampiantrano farany.
- hijery.
- Manaova pentesta tsy tapaka amin'ny loharanon-karena ivelany, mamakafaka ny valiny, fantaro ny tanjona lehibe amin'ny fanafihana ary manakatona ny fahalemeny.
- Mampihatra rafitra fandrahonana faharanitan-tsaina misokatra (ohatra, MISP, Yeti) ary diniho ny logs miaraka amin'izany.
- Mampihatra sehatra famaliana trangan-javatra (IRP): R-Vision IRP, The Hive, sandbox handinihana ireo rakitra mampiahiahy (FortiSandbox, Cuckoo).
- Manao ho azy ny fizotry ny mahazatra. Ny famakafakana ny logs, ny firaketana ny zava-nitranga, ny fampahafantarana ny mpiasa dia sehatra goavana ho an'ny automatique.
- Mianara mifandray tsara amin'ny injeniera, mpamorona ary fanohanana ara-teknika mba hiara-hiasa amin'ny tranga.
- Raketo an-tsoratra ny dingana manontolo, ny hevi-dehibe, ny vokatra azo mba hiverenana amin'izy ireo any aoriana any na hizara izany angona izany amin'ny mpiara-miasa;
- Aoka ho fiaraha-monina: Fantaro ny zava-mitranga amin'ny mpiasanao, ny olona karamainao, ary ny olona omenao fahafahana miditra amin'ny loharanom-baovaon'ny fikambanana.
- Araho hatrany ny fironana eo amin'ny sehatry ny fandrahonana vaovao sy ny fomba fiarovana, ampitomboy ny fahaiza-manaonao ara-teknika (ao anatin'izany ny fampandehanana ny serivisy IT sy ny subsystems), manatrika fihaonambe ary mifandray amin'ny mpiara-miasa.
Vonona ny hiresaka momba ny fandaminana ny fizotran'ny TH amin'ny fanehoan-kevitra.
Na tongava miasa aminay!
Loharano sy fitaovana hianarana
Source: www.habr.com