Мэдээллийн аюулгүй байдлын аюулын 95% нь мэдэгдэж байгаа бөгөөд та вирусны эсрэг, галт хана, IDS, WAF гэх мэт уламжлалт хэрэгслийг ашиглан өөрийгөө хамгаалах боломжтой. Үлдсэн 5% нь үл мэдэгдэх аюул бөгөөд хамгийн аюултай нь юм. Тэдгээрийг илрүүлэх нь маш хэцүү, үүнээс хамгаалах нь хамаагүй бага байдаг тул компанийн эрсдэлийн 70% -ийг бүрдүүлдэг. Жишээ WannaCry ransomware тахал, NotPetya/ExPetr, криптоминерууд, "кибер зэвсэг" Stuxnet (Ираны цөмийн байгууламжид халдсан) болон бусад олон (Kido/Conficker-г санаж байгаа хүн байна уу?) сонгодог аюулгүй байдлын арга хэмжээнүүдийн эсрэг тийм ч сайн хамгаалагдаагүй халдлага. Бид Threat Hunting технологийг ашиглан эдгээр 5% аюулыг хэрхэн эсэргүүцэх талаар ярихыг хүсч байна.
Кибер халдлагын тасралтгүй хувьсал нь байнгын илрүүлэлт, эсрэг арга хэмжээ авахыг шаарддаг бөгөөд энэ нь эцсийн дүндээ биднийг халдагчид болон хамгаалагчдын хоорондох эцэс төгсгөлгүй зэвсгийн уралдааны тухай бодоход хүргэдэг. Сонгодог аюулгүй байдлын системүүд нь эрсдэлийн түвшин нь тодорхой дэд бүтцэд өөрчлөлт оруулахгүйгээр компанийн гол үзүүлэлтүүдэд (эдийн засаг, улс төр, нэр хүнд) нөлөөлөхгүй, хүлээн зөвшөөрөгдөх түвшний аюулгүй байдлыг хангах боломжгүй болсон ч ерөнхийдөө заримыг хамардаг. эрсдэлүүд. Хэрэгжүүлэх, тохируулах явцад аль хэдийн орчин үеийн хамгаалалтын системүүд өөрсдийгөө гүйцэх үүрэг гүйцэтгэж, шинэ цаг үеийн сорилтод хариу өгөх ёстой.
Threat Hunting технологи нь мэдээллийн аюулгүй байдлын мэргэжилтний хувьд бидний цаг үеийн сорилтуудын нэг хариулт байж болох юм. Threat Hunting (цаашид TH гэх) гэдэг нэр томъёо хэдэн жилийн өмнө гарч ирсэн. Технологи нь өөрөө нэлээд сонирхолтой боловч нийтээр хүлээн зөвшөөрөгдсөн стандарт, дүрэм журам хараахан байдаггүй. Мэдээллийн эх сурвалжийн олон янз байдал, энэ сэдвээр орос хэл дээрх цөөн тооны мэдээллийн эх сурвалжаас болж асуудал төвөгтэй байдаг. Үүнтэй холбогдуулан бид LANIT-Integration-д энэ технологийн талаар тойм бичихээр шийдсэн.
Харилцаа холбоо
TH технологи нь дэд бүтцийн хяналтын процесст тулгуурладаг.. Сэрэмжлүүлэг (MSSP үйлчилгээтэй төстэй) нь өмнө нь боловсруулсан гарын үсэг, халдлагын шинж тэмдгийг хайж, түүнд хариу өгөх уламжлалт арга юм. Энэ хувилбарыг уламжлалт гарын үсэгт суурилсан хамгаалалтын хэрэгслээр амжилттай гүйцэтгэж байна. Ан агнуур (MDR төрлийн үйлчилгээ) нь “Гарын үсэг, дүрэм хаанаас гардаг вэ?” гэсэн асуултад хариулах хяналтын арга юм. Энэ нь далд эсвэл урьд өмнө мэдэгдээгүй үзүүлэлт, халдлагын шинж тэмдгүүдэд дүн шинжилгээ хийх замаар корреляцийн дүрмийг бий болгох үйл явц юм. Threat Hunting гэдэг нь энэ төрлийн хяналтыг хэлдэг.
Зөвхөн хоёр төрлийн хяналтыг хослуулснаар бид хамгийн тохиромжтой хамгаалалтыг олж авдаг, гэхдээ тодорхой хэмжээний үлдэгдэл эрсдэл үргэлж байдаг.
Хоёр төрлийн хяналтыг ашиглан хамгаалалт
TH (мөн агнах нь бүхэлдээ!) яагаад улам бүр хамааралтай болох болно:
Аюул, арга хэмжээ, эрсдэл.
. Эдгээрт спам, DDoS, вирус, руткит болон бусад сонгодог хорлонт програм зэрэг төрөл багтана. Та ижил сонгодог аюулгүй байдлын арга хэмжээг ашиглан эдгээр аюулаас өөрийгөө хамгаалах боломжтой.
Аливаа төслийг хэрэгжүүлэх явцад, үлдсэн 20% нь ажлын 80% -ийг эзэлдэг. Үүний нэгэн адил аюул заналхийллийн нийт нутаг дэвсгэрт шинэ аюулын 5% нь компанийн эрсдэлийн 70% -ийг эзэлнэ. Мэдээллийн аюулгүй байдлын удирдлагын үйл явцыг зохион байгуулдаг компанид бид мэдэгдэж буй аюулаас зайлсхийх (утасгүй сүлжээнээс зарчмын хувьд татгалзах), хүлээн авах (шаардлагатай аюулгүй байдлын арга хэмжээг хэрэгжүүлэх) эсвэл шилжүүлэх замаар тодорхой аюул заналхийллийг хэрэгжүүлэх эрсдлийн 30% -ийг удирдаж чадна. (жишээлбэл, интеграторын мөрөн дээр) энэ эрсдэл. Өөрийгөө хамгаалах, APT халдлага, фишинг,, кибер тагнуул, үндэсний ажиллагаа, түүнчлэн бусад олон тооны халдлага нь аль хэдийн илүү хэцүү болсон. Эдгээр 5% аюулын үр дагавар нь илүү ноцтой байх болно () вирусны эсрэг программ хангамж хадгалдаг спам эсвэл вирусын үр дагавраас илүү.
Бараг хүн бүр аюул заналхийллийн 5% -ийг даван туулах ёстой. Бид саяхан PEAR (PHP Extension and Application Repository) репозитороос програм ашигладаг нээлттэй эхийн шийдлийг суулгах шаардлагатай болсон. Энэ програмыг pear install-ээр суулгах оролдлого амжилтгүй болсон боломжгүй байсан (одоо үүн дээр бүдүүвч байгаа), би үүнийг GitHub-аас суулгах шаардлагатай болсон. Саяхан л ПИР хохирогч болсон нь тогтоогдсон.
Та одоо ч санаж чадна, татварын тайлагналын программын шинэчлэлтийн модулиар дамжуулан NePetya ransomware-ийн тархалт. Аюул заналхийлэл улам бүр боловсронгуй болж, логик асуулт гарч ирдэг - "Бид эдгээр аюулын 5% -ийг хэрхэн эсэргүүцэх вэ?"
Ажиглах аюулын тодорхойлолт
Тиймээс Threat Hunting нь уламжлалт аюулгүй байдлын хэрэгслээр илрүүлэх боломжгүй дэвшилтэт аюулыг идэвхтэй, давталттай хайх, илрүүлэх үйл явц юм. Нарийвчилсан аюул заналхийлэлд жишээлбэл, APT гэх мэт халдлага, 0-өдрийн эмзэг байдлын халдлага, Газар дээрээс амьдрах гэх мэт орно.
Бид мөн TH нь таамаглалыг шалгах үйл явц гэж дахин хэлж болно. Энэ бол автоматжуулалтын элементүүдтэй голчлон гар ажиллагаатай үйл явц бөгөөд шинжээч өөрийн мэдлэг, ур чадварт тулгуурлан тодорхой аюул заналхийлж байгаа тухай анх тодорхойлсон таамаглалд нийцсэн буулт хийх шинж тэмдгийг хайж олохын тулд их хэмжээний мэдээллийг шүүж авдаг. Үүний өвөрмөц онцлог нь мэдээллийн эх сурвалжийн олон янз байдал юм.
Threat Hunting нь ямар нэг програм хангамж, техник хангамжийн бүтээгдэхүүн биш гэдгийг тэмдэглэх нь зүйтэй. Эдгээр нь зарим шийдэлд харагдах сэрэмжлүүлэг биш юм. Энэ нь IOC (Identifiers of Compromise) хайлтын процесс биш юм. Энэ нь мэдээллийн аюулгүй байдлын шинжээчдийн оролцоогүйгээр хийгддэг идэвхгүй үйл ажиллагаа биш юм. Ажиглах нь юуны түрүүнд үйл явц юм.
аюул агнуурын бүрэлдэхүүн хэсгүүд
Threat Hunting-ийн гурван үндсэн бүрэлдэхүүн хэсэг: өгөгдөл, технологи, хүмүүс.
Өгөгдөл (юу?), үүнд Big Data. Бүх төрлийн хөдөлгөөний урсгал, өмнөх APT-ийн талаарх мэдээлэл, аналитик, хэрэглэгчийн үйл ажиллагааны өгөгдөл, сүлжээний өгөгдөл, ажилчдын мэдээлэл, darknet дээрх мэдээлэл болон бусад зүйлс.
Технологи (яаж?) энэ өгөгдлийг боловсруулах - энэ өгөгдлийг боловсруулах бүх боломжит аргууд, түүний дотор Machine Learning.
Хүмүүс (хэн?) – төрөл бүрийн халдлагыг шинжлэх арвин туршлагатай, зөн совингоо хөгжүүлж, халдлагыг илрүүлэх чадвартай хүмүүс. Ихэвчлэн эдгээр нь мэдээллийн аюулгүй байдлын шинжээчид бөгөөд таамаглал дэвшүүлж, тэдгээрийн баталгааг олох чадвартай байх ёстой. Эдгээр нь үйл явцын гол холбоос юм.
Загвар ПАРИС
Адам Бейтман TH процессын хамгийн тохиромжтой ПАРИС загвар. Энэ нэр нь Францын алдартай дурсгалт газрыг хэлдэг. Энэ загварыг дээрээс болон доороос хоёр чиглэлд харж болно.
Загварыг доороос дээш гаргах явцад бид хорлонтой үйл ажиллагааны олон нотлох баримттай тулгарах болно. Нотлох баримт бүр нь итгэл гэж нэрлэгддэг хэмжүүртэй байдаг - энэ нотлох баримтын жинг харуулсан шинж чанар. Хортой үйл ажиллагааны шууд нотолгоо болох "төмөр" байдаг бөгөөд үүний дагуу бид пирамидын оройд нэн даруй хүрч, тодорхой халдварын талаар бодит сэрэмжлүүлгийг бий болгож чадна. Мөн шууд бус нотлох баримтууд байдаг бөгөөд тэдгээрийн нийлбэр нь биднийг пирамидын оргилд хүргэж болзошгүй юм. Ердийнх шиг, шууд нотлох баримтаас хамаагүй илүү шууд бус нотлох баримтууд байдаг бөгөөд энэ нь тэдгээрийг ангилж, шинжлэх шаардлагатай гэсэн үг бөгөөд нэмэлт судалгаа хийх шаардлагатай бөгөөд үүнийг автоматжуулах нь зүйтэй юм.
Загвар ПАРИС.
Загварын дээд хэсэг (1 ба 2) нь автоматжуулалтын технологи, төрөл бүрийн аналитик дээр суурилдаг бол доод хэсэг (3 ба 4) нь үйл явцыг удирдаж буй тодорхой мэргэшсэн хүмүүс дээр суурилдаг. Цэнхэр өнгөний дээд хэсэгт бид уламжлалт аюулгүй байдлын хэрэгслүүдийн (антивирус, EDR, галт хана, гарын үсэг) өндөр түвшний итгэл, итгэлцлийн сэрэмжлүүлэг, доороос доошоо хөдөлж буй загварыг авч үзэх боломжтой. ОУОХ, URL, MD5 болон бусад). Хамгийн доод, хамгийн зузаан түвшин (4) бол таамаглалыг бий болгох, уламжлалт хамгаалалтын хэрэгслийг ажиллуулах шинэ хувилбаруудыг бий болгох явдал юм. Энэ түвшин нь зөвхөн таамаглалын заасан эх сурвалжаар хязгаарлагдахгүй. Түвшин бага байх тусам шинжээчийн мэргэшилд илүү их шаардлага тавьдаг.
Шинжээчид урьдчилан тодорхойлсон таамаглалуудын хязгаарлагдмал багцыг зүгээр нэг шалгадаггүй, харин шинэ таамаглал, тэдгээрийг шалгах хувилбаруудыг бий болгохын тулд байнга ажиллах нь маш чухал юм.
TH ашиглалтын төлөвшлийн загвар
Тохиромжтой ертөнцөд TH бол тасралтгүй үйл явц юм. Гэхдээ төгс ертөнц байхгүй тул дүн шинжилгээ хийцгээе болон ашигласан хүмүүс, үйл явц, технологийн хувьд арга. Хамгийн тохиромжтой бөмбөрцөг хэлбэрийн TH-ийн загварыг авч үзье. Энэ технологийг ашиглах 5 түвшин байдаг. Шинжээчдийн нэг багийн хувьслын жишээг ашиглан тэдгээрийг харцгаая.
Төлөвшлийн түвшин
хүн
Үйл явц
технологи
0 түвшин
SOC-ийн шинжээчид
24/7
Уламжлалт хэрэгслүүд:
Уламжлалт
Анхааруулгын багц
Идэвхгүй хяналт
IDS, AV, Sandboxing,
THгүйгээр
Сэрэмжлүүлэгтэй ажиллах
Гарын үсгийн шинжилгээний хэрэгслүүд, Аюулын тагнуулын өгөгдөл.
1 түвшин
SOC-ийн шинжээчид
Нэг удаагийн TH
БДУ
Туршилтын
Шүүх эмнэлгийн анхан шатны мэдлэг
ОУОХ-ны хайлт
Сүлжээний төхөөрөмжүүдийн өгөгдлийн хэсэгчилсэн хамрах хүрээ
TH-тэй хийсэн туршилтууд
Сүлжээ, хэрэглээний талаар сайн мэдлэгтэй
Хэсэгчилсэн өргөдөл
2 түвшин
Түр зуурын ажил мэргэжил
Спринт
БДУ
Үе үе
Шүүх эмнэлгийн талаархи дундаж мэдлэг
Долоо хоногоос сар хүртэл
Бүрэн өргөдөл
Түр зуурын TH
Сүлжээ, хэрэглээний талаар маш сайн мэдлэгтэй
Ердийн TH
EDR дата ашиглалтын бүрэн автоматжуулалт
Дэвшилтэт EDR боломжуудыг хэсэгчлэн ашиглах
3 түвшин
Зориулалтын TH тушаал
24/7
Таамаглалыг шалгах хэсэгчилсэн чадвар TH
Урьдчилан сэргийлэх
Шүүх эмнэлгийн болон хортой програмын талаар маш сайн мэдлэгтэй
Урьдчилан сэргийлэх TH
Дэвшилтэт EDR боломжуудыг бүрэн ашиглах
Онцгой тохиолдлууд TH
Довтолгооны талаар маш сайн мэдлэгтэй
Онцгой тохиолдлууд TH
Сүлжээний төхөөрөмжүүдийн мэдээллийн бүрэн хамрах хүрээ
Таны хэрэгцээнд тохирсон тохиргоо
4 түвшин
Зориулалтын TH тушаал
24/7
TH таамаглалыг шалгах бүрэн чадвартай
Тэргүүлж байна
Шүүх эмнэлгийн болон хортой програмын талаар маш сайн мэдлэгтэй
Урьдчилан сэргийлэх TH
3-р түвшин, нэмэх нь:
TH ашиглаж байна
Довтолгооны талаар маш сайн мэдлэгтэй
Таамаглалыг турших, автоматжуулах, баталгаажуулах TH
мэдээллийн эх сурвалжийг нягт нэгтгэх;
Судалгааны чадвар
хэрэгцээнд нийцүүлэн хөгжүүлж, API-ийн стандарт бус хэрэглээ.
Хүмүүс, үйл явц, технологиор TH төлөвшлийн түвшин
Түвшин 0: уламжлалт, TH ашиглахгүйгээр. Тогтмол шинжээчид стандарт хэрэгсэл, технологийг ашиглан идэвхгүй хяналтын горимд стандарт дохиололтой ажилладаг: IDS, AV, хамгаалагдсан хязгаарлагдмал орчин, гарын үсгийн шинжилгээний хэрэгслүүд.
Түвшин 1: туршилтын, TH ашиглан. Шүүх эмнэлгийн анхан шатны мэдлэгтэй, сүлжээ, хэрэглээний талаар сайн мэдлэгтэй ижил шинжээчид буулт хийх үзүүлэлтүүдийг хайж олох замаар нэг удаагийн аюул заналхийллийг хийх боломжтой. Сүлжээний төхөөрөмжүүдийн өгөгдлийн хэсэгчилсэн хамрах хүрээ бүхий хэрэгслүүдэд EDR-ийг нэмсэн. Хэрэгслийг хэсэгчлэн ашигладаг.
Түвшин 2: үе үе, түр зуурын TH. Шүүхийн шинжилгээ, сүлжээ, хэрэглээний хэсэгт мэдлэгээ дээшлүүлсэн ижил шинжээчид сард долоо хоногт тогтмол аюул занал агнах (спринт) хийх шаардлагатай байдаг. Энэхүү хэрэгслүүд нь сүлжээний төхөөрөмжүүдийн өгөгдлийг бүрэн судлах, EDR-ээс өгөгдөлд дүн шинжилгээ хийх автоматжуулалт, EDR дэвшилтэт чадавхийг хэсэгчлэн ашиглах боломжийг нэмдэг.
Түвшин 3: TH-ийн урьдчилан сэргийлэх, байнга тохиолддог тохиолдол. Манай шинжээчид өөрсдийгөө зориулалтын баг болгон зохион байгуулж, криминалистик болон хортой програмын талаар маш сайн мэдлэгтэй, түүнчлэн довтолж буй талын арга, тактикийн талаархи мэдлэгтэй болсон. Процесс аль хэдийн 24/7 явагдаж байна. Тус баг нь сүлжээний төхөөрөмжүүдийн өгөгдлийг бүрэн хамарсан EDR-ийн дэвшилтэт чадавхийг бүрэн ашиглахын зэрэгцээ TH таамаглалыг хэсэгчлэн шалгах боломжтой. Шинжээчид мөн өөрсдийн хэрэгцээнд нийцүүлэн багаж хэрэгслийг тохируулах боломжтой.
Түвшин 4: дээд зэрэглэлийн, TH ашиглах. Ижил баг нь судалгаа хийх чадвар, TH таамаглалыг шалгах үйл явцыг бий болгох, автоматжуулах чадварыг олж авсан. Өгөгдлийн эх сурвалжийг нягт уялдуулах, хэрэгцээг хангах програм хангамжийг хөгжүүлэх, API-ийн стандарт бус хэрэглээ зэрэг хэрэгслүүдийг нэмж оруулав.
аюул занал агнуурын техник
Аюул заналхийллийн агнуурын үндсэн арга техник
К Ашигласан технологийн төлөвшлийн дарааллаар TH нь: үндсэн хайлт, статистик дүн шинжилгээ, дүрслэх арга, энгийн нэгтгэл, машин сурах, Байесийн аргууд.
Хамгийн энгийн арга буюу үндсэн хайлт нь тодорхой асуулга ашиглан судалгааны талбарыг нарийсгахад ашиглагддаг. Статистикийн шинжилгээг жишээ нь статистик загвар хэлбэрээр ердийн хэрэглэгч эсвэл сүлжээний үйл ажиллагааг бий болгоход ашигладаг. Дүрслэх аргуудыг график, диаграм хэлбэрээр өгөгдлийн шинжилгээг нүдээр харуулах, хялбаршуулахад ашигладаг бөгөөд энэ нь дээж дэх хэв маягийг ялгахад хялбар болгодог. Хайлт, дүн шинжилгээг оновчтой болгохын тулд үндсэн талбаруудаар энгийн нэгтгэх техникийг ашигладаг. Байгууллагын TH үйл явц хэдий чинээ боловсорч гүйцнэ, төдий чинээ машин сургалтын алгоритмыг ашиглах нь илүү хамааралтай болно. Эдгээр нь спамыг шүүх, хортой урсгалыг илрүүлэх, залилан мэхлэх үйлдлийг илрүүлэхэд өргөн хэрэглэгддэг. Машин сургалтын алгоритмын илүү дэвшилтэт төрөл бол Байесийн аргууд бөгөөд ангилах, түүврийн хэмжээг багасгах, сэдвийг загварчлах боломжийг олгодог.
Алмазан загвар ба TH стратеги
Сержио Калтагирон, Эндрю Пендегаст, Кристофер Бетц нар өөрсдийн бүтээлдээ "» аливаа хорлонтой үйл ажиллагааны үндсэн үндсэн бүрэлдэхүүн хэсгүүд болон тэдгээрийн хоорондын үндсэн холболтыг харуулсан.
Хортой үйл ажиллагаанд зориулсан алмазан загвар
Энэ загварын дагуу харгалзах гол бүрэлдэхүүн хэсгүүдэд суурилсан аюул агнуурын 4 стратеги байдаг.
1. Хохирогчид чиглэсэн стратеги. Хохирогч өрсөлдөгчидтэй бөгөөд тэд имэйлээр "боломж" өгөх болно гэж бид таамаглаж байна. Бид шуудангаар дайсны мэдээллийг хайж байна. Холбоос, хавсралт гэх мэтийг хайх. Бид энэ таамаглалыг тодорхой хугацаанд (нэг сар, хоёр долоо хоног) батлахыг хайж байгаа бөгөөд хэрэв бид үүнийг олж чадаагүй бол таамаглал ажиллахгүй болно.
2. Дэд бүтцэд чиглэсэн стратеги. Энэ стратегийг ашиглах хэд хэдэн арга байдаг. Хандалт, харагдах байдлаас хамааран зарим нь бусдаас илүү хялбар байдаг. Жишээлбэл, бид хортой домэйн байршуулдаг домэйн нэрийн серверүүдийг хянадаг. Эсвэл бид бүх шинэ домэйн нэрийн бүртгэлийг дайсны ашиглаж буй мэдэгдэж буй загварт хяналт тавих үйл явцаар дамждаг.
3. Чадварт суурилсан стратеги. Ихэнх сүлжээний хамгаалагчдын ашигладаг хохирогчдод чиглэсэн стратегиас гадна боломжид чиглэсэн стратеги байдаг. Энэ нь хамгийн алдартай хоёр дахь бөгөөд дайсны чадвар, тухайлбал "хорлонтой програм" болон psexec, powershell, certutil болон бусад хууль ёсны хэрэгслийг ашиглах чадварыг илрүүлэхэд чиглэгддэг.
4. Дайсанд чиглэсэн стратеги. Дайсан дээр төвлөрсөн хандлага нь дайсан дээрээ төвлөрдөг. Үүнд олон нийтэд нээлттэй эх сурвалжаас нээлттэй мэдээллийг ашиглах (OSINT), дайсны тухай мэдээлэл цуглуулах, түүний техник, арга барил (TTP), өмнөх тохиолдлуудад дүн шинжилгээ хийх, аюулын тагнуулын мэдээлэл гэх мэт орно.
TH дахь мэдээллийн эх сурвалж, таамаглал
Threat Hunting мэдээллийн зарим эх сурвалж
Мэдээллийн олон эх сурвалж байж болно. Тохиромжтой шинжээч нь эргэн тойронд байгаа бүх зүйлээс мэдээлэл авах чадвартай байх ёстой. Бараг бүх дэд бүтцийн ердийн эх сурвалжууд нь DLP, SIEM, IDS/IPS, WAF/FW, EDR зэрэг аюулгүй байдлын хэрэгслүүдийн өгөгдөл байх болно. Мөн мэдээллийн ердийн эх сурвалжууд нь буулт хийх янз бүрийн үзүүлэлтүүд, аюулын тагнуулын үйлчилгээ, CERT болон OSINT өгөгдөл байх болно. Нэмж дурдахад, та харанхуй сүлжээний мэдээллийг ашиглаж болно (жишээлбэл, байгууллагын даргын шуудангийн хайрцгийг гэнэт хакердах тушаал гарсан эсвэл сүлжээний инженерийн албан тушаалд нэр дэвшигчийн үйл ажиллагаа илчлэгдсэн гэх мэт), Хүний нөөц (өмнөх ажлын газраас нэр дэвшигчийн тойм), аюулгүй байдлын албаны мэдээлэл (жишээлбэл, эсрэг талын баталгаажуулалтын үр дүн).
Гэхдээ байгаа бүх эх сурвалжийг ашиглахын өмнө дор хаяж нэг таамаглалтай байх шаардлагатай.
Таамаглалыг шалгахын тулд эхлээд тэдгээрийг дэвшүүлэх ёстой. Мөн өндөр чанартай олон таамаг дэвшүүлэхийн тулд системчилсэн хандлагыг хэрэгжүүлэх шаардлагатай. Таамаглал үүсгэх үйл явцыг илүү дэлгэрэнгүй тайлбарласан болно, энэ схемийг таамаглал дэвшүүлэх үйл явцын үндэс болгон авах нь маш тохиромжтой.
Таамаглалын гол эх сурвалж нь байх болно ATT&CK матриц (Сөргөлдөөний тактик, арга техник, нийтлэг мэдлэг). Энэ нь үндсэндээ халдлагын сүүлийн үе шатанд үйл ажиллагаагаа явуулж буй халдагчдын зан төлөвийг үнэлэх мэдлэгийн бааз, загвар бөгөөд ихэвчлэн Kill Chain гэсэн ойлголтыг ашиглан тайлбарладаг. Өөрөөр хэлбэл халдагчид аж ахуйн нэгжийн дотоод сүлжээ эсвэл хөдөлгөөнт төхөөрөмж рүү нэвтэрсний дараах үе шатуудад. Мэдлэгийн санд анх довтолгоонд ашигласан 121 тактик, аргын тайлбар багтсан бөгөөд тус бүрийг Wiki форматаар дэлгэрэнгүй тайлбарласан болно. Төрөл бүрийн аюулын тагнуулын аналитик нь таамаглалыг бий болгох эх сурвалж болгон ашиглахад тохиромжтой. Дэд бүтцийн шинжилгээ, нэвтрэлтийн туршилтын үр дүн нь онцгой анхаарал татаж байна - энэ нь тодорхой дутагдалтай дэд бүтцэд суурилсан тул бидэнд төмөр шигтгээтэй таамаглал дэвшүүлж болох хамгийн үнэ цэнэтэй өгөгдөл юм.
Таамаглалыг шалгах үйл явц
Сергей Солдатов авчирсан үйл явцын нарийвчилсан тайлбарын хамт TH таамаглалыг нэг системд турших үйл явцыг харуулсан болно. Би үндсэн үе шатуудыг товч тайлбартайгаар зааж өгөх болно.
1-р шат: TI Farm
Энэ үе шатанд үүнийг тодруулах шаардлагатай байна объектууд (бүх аюулын өгөгдөлтэй хамт дүн шинжилгээ хийх замаар) болон тэдгээрийн шинж чанаруудын шошгыг оноох. Эдгээр нь файл, URL, MD5, процесс, хэрэгсэл, үйл явдал юм. Тэдгээрийг Threat Intelligence системээр дамжуулахдаа шошго хавсаргах шаардлагатай. Өөрөөр хэлбэл, энэ сайтыг CNC дээр ийм ийм жил анзаарсан, энэ MD5 нь ийм ийм хортой програмтай холбоотой байсан, энэ MD5 нь хортой програм түгээдэг сайтаас татагдсан.
2-р шат: Тохиолдол
Хоёр дахь шатанд бид эдгээр объектуудын харилцан үйлчлэлийг харж, эдгээр бүх объектуудын хоорондын харилцааг тодорхойлдог. Бид ямар нэг муу зүйл хийдэг системүүдийг авдаг.
3-р шат: Шинжээч
Гурав дахь шатанд хэргийг дүн шинжилгээ хийх арвин туршлагатай туршлагатай шинжээчид шилжүүлж, тэр шийдвэрээ гаргадаг. Тэрээр энэ кодыг юу, хаана, хэрхэн, яагаад, яагаад хийдэг болохыг байт хүртэл задлан шинжилдэг. Энэ бие нь хортой програм байсан, энэ компьютер халдвар авсан. Объектуудын хоорондын холболтыг илрүүлж, хамгаалагдсан хязгаарлагдмал орчинд гүйлтийн үр дүнг шалгана.
Шинжээчийн ажлын үр дүнг цааш нь дамжуулдаг. Дижитал криминалистууд зургийг шалгаж, хортой програмын шинжилгээ нь олдсон "биеийг" шалгадаг бөгөөд ослын хариу арга хэмжээний баг сайт руу орж, тэнд байгаа зүйлийг шалгаж болно. Ажлын үр дүн нь батлагдсан таамаглал, тодорхойлсон халдлага, түүнийг эсэргүүцэх арга замууд байх болно.
Үр дүн
Threat Hunting нь өөрчлөн тохируулсан, шинэ, стандарт бус аюул заналхийллийг үр дүнтэй эсэргүүцэх нэлээн залуу технологи бөгөөд ийм аюулын тоо өсөн нэмэгдэж, корпорацийн дэд бүтцийн нарийн төвөгтэй байдлыг харгалзан үзэх боломжтой. Үүнд өгөгдөл, багаж хэрэгсэл, шинжээч гэсэн гурван бүрэлдэхүүн хэсэг шаардлагатай. Threat Hunting-ийн ашиг тус нь аюулыг хэрэгжүүлэхээс урьдчилан сэргийлэхэд хязгаарлагдахгүй. Хайлтын явцад бид дэд бүтэц, түүний сул талуудыг аюулгүй байдлын шинжээчийн нүдээр харж, эдгээр цэгүүдийг улам бэхжүүлж чадна гэдгийг бүү мартаарай.
Бидний бодлоор танай байгууллагад TH үйл явцыг эхлүүлэхийн тулд хийх ёстой эхний алхамууд.
- Төгсгөлийн цэгүүд болон сүлжээний дэд бүтцийг хамгаалахад анхаар. Өөрийн сүлжээн дэх бүх процессуудын харагдах байдал (NetFlow) болон хяналтыг (галт хана, IDS, IPS, DLP) анхаарч үзээрэй. Сүлжээгээ захын чиглүүлэгчээс хамгийн сүүлийн хост хүртэл мэдэж аваарай.
- Судлах.
- Наад зах нь гадаад гол нөөцийн талаар тогтмол шалгалт хийж, түүний үр дүнд дүн шинжилгээ хийж, халдлагын гол байг тодорхойлж, сул талуудыг нь хаа.
- Нээлттэй эхийн Threat Intelligence системийг (жишээ нь, MISP, Yeti) хэрэгжүүлж, түүнтэй хамт бүртгэлд дүн шинжилгээ хийх.
- Осолд хариу арга хэмжээ авах платформыг (IRP) хэрэгжүүлэх: R-Vision IRP, The Hive, сэжигтэй файлд дүн шинжилгээ хийх хамгаалагдсан хязгаарлагдмал орчин (FortiSandbox, Cuckoo).
- Ердийн үйл явцыг автоматжуулах. Бүртгэлд дүн шинжилгээ хийх, зөрчлийг бүртгэх, ажилтнуудад мэдээлэл өгөх нь автоматжуулалтын асар том талбар юм.
- Инженерүүд, хөгжүүлэгчид болон техникийн дэмжлэгтэй үр дүнтэй харилцаж, ослын талаар хамтран ажиллаж сур.
- Бүх үйл явц, гол цэгүүд, хүрсэн үр дүнг дараа нь буцааж өгөхийн тулд баримтжуулж эсвэл хамт ажиллагсадтайгаа хуваалцах;
- Нийгэмлэг бай: Ажилчиддаа юу болж байгаа, хэнийг ажилд авч байгаа, байгууллагын мэдээллийн нөөцөд хэнд хандах эрх олгож байгаагаа мэдэж байгаарай.
- Шинэ аюул заналхийлэл, хамгаалах аргуудын чиг хандлагыг дагаж мөрдөж, техникийн мэдлэгийн түвшингээ (түүний дотор мэдээллийн технологийн үйлчилгээ, дэд системүүдийн үйл ажиллагаанд) нэмэгдүүлэх, бага хуралд оролцох, хамтран ажиллагсадтайгаа харилцах.
Сэтгэгдэл дээр TH үйл явцын зохион байгуулалтын талаар хэлэлцэхэд бэлэн байна.
Эсвэл бидэнтэй хамт ажиллана уу!
Судлах эх сурвалж, материал
Эх сурвалж: www.habr.com