95% ancaman keselamatan maklumat diketahui, dan anda boleh melindungi diri anda daripadanya menggunakan cara tradisional seperti antivirus, tembok api, IDS, WAF. Baki 5% ancaman tidak diketahui dan paling berbahaya. Mereka merupakan 70% daripada risiko bagi sebuah syarikat kerana hakikat bahawa ia adalah sangat sukar untuk mengesannya, lebih-lebih lagi melindungi daripada mereka. Contoh adalah wabak perisian tebusan WannaCry, NotPetya/ExPetr, pelombong kripto, "senjata siber" Stuxnet (yang melanda kemudahan nuklear Iran) dan banyak lagi (ada sesiapa masih ingat Kido/Conficker?) serangan lain yang tidak begitu dipertahankan dengan langkah keselamatan klasik. Kami ingin bercakap tentang cara mengatasi 5% ancaman ini menggunakan teknologi Memburu Ancaman.
Evolusi berterusan serangan siber memerlukan pengesanan dan tindakan balas yang berterusan, yang akhirnya membawa kita memikirkan perlumbaan senjata yang tidak berkesudahan antara penyerang dan pembela. Sistem keselamatan klasik tidak lagi dapat menyediakan tahap keselamatan yang boleh diterima, di mana tahap risiko tidak menjejaskan penunjuk utama syarikat (ekonomi, politik, reputasi) tanpa mengubah suainya untuk infrastruktur tertentu, tetapi secara amnya ia meliputi beberapa risiko. Sudah dalam proses pelaksanaan dan konfigurasi, sistem keselamatan moden mendapati diri mereka dalam peranan mengejar dan mesti bertindak balas terhadap cabaran masa baharu.
Teknologi Memburu Ancaman mungkin merupakan salah satu jawapan kepada cabaran masa kita untuk pakar keselamatan maklumat. Istilah Memburu Ancaman (selepas ini dirujuk sebagai TH) muncul beberapa tahun lalu. Teknologi itu sendiri agak menarik, tetapi belum mempunyai sebarang piawaian dan peraturan yang diterima umum. Perkara ini juga rumit oleh kepelbagaian sumber maklumat dan bilangan kecil sumber maklumat bahasa Rusia mengenai topik ini. Dalam hal ini, kami di LANIT-Integration memutuskan untuk menulis ulasan tentang teknologi ini.
Relevan
Teknologi TH bergantung pada proses pemantauan infrastruktur.. Amaran (serupa dengan perkhidmatan MSSP) ialah kaedah tradisional untuk mencari tandatangan dan tanda-tanda serangan yang dibangunkan sebelum ini dan bertindak balas terhadapnya. Senario ini berjaya dilakukan oleh alat perlindungan berasaskan tandatangan tradisional. Memburu (perkhidmatan jenis MDR) ialah kaedah pemantauan yang menjawab soalan "Dari manakah tandatangan dan peraturan datang?" Ia adalah proses mencipta peraturan korelasi dengan menganalisis petunjuk dan tanda-tanda serangan yang tersembunyi atau tidak diketahui sebelum ini. Memburu Ancaman merujuk kepada jenis pemantauan ini.
Hanya dengan menggabungkan kedua-dua jenis pemantauan kita mendapat perlindungan yang hampir ideal, tetapi sentiasa ada tahap risiko baki tertentu.
Perlindungan menggunakan dua jenis pemantauan
Dan inilah sebabnya TH (dan memburu secara keseluruhannya!) akan menjadi semakin relevan:
Ancaman, remedi, risiko.
. Ini termasuk jenis seperti spam, DDoS, virus, rootkit dan perisian hasad klasik yang lain. Anda boleh melindungi diri anda daripada ancaman ini menggunakan langkah keselamatan klasik yang sama.
Semasa pelaksanaan sebarang projek, dan baki 20% kerja mengambil 80% masa. Begitu juga, merentas keseluruhan landskap ancaman, 5% daripada ancaman baharu akan menyumbang 70% daripada risiko kepada syarikat. Dalam syarikat di mana proses pengurusan keselamatan maklumat dianjurkan, kami boleh menguruskan 30% daripada risiko pelaksanaan ancaman yang diketahui dalam satu cara atau yang lain dengan mengelak (penolakan rangkaian wayarles pada dasarnya), menerima (melaksanakan langkah keselamatan yang diperlukan) atau mengalihkan (contohnya, ke atas bahu penyepadu) risiko ini. Lindungi diri anda daripada, serangan APT, pancingan data,, pengintipan siber dan operasi nasional, serta sejumlah besar serangan lain sudah jauh lebih sukar. Akibat daripada 5% ancaman ini akan menjadi lebih serius () daripada akibat spam atau virus, yang mana perisian antivirus menyimpannya.
Hampir semua orang terpaksa berhadapan dengan 5% ancaman. Baru-baru ini kami terpaksa memasang penyelesaian sumber terbuka yang menggunakan aplikasi daripada repositori PEAR (Sambungan PHP dan Repositori Aplikasi). Percubaan untuk memasang aplikasi ini melalui pemasangan pear gagal kerana tidak tersedia (kini terdapat stub padanya), saya terpaksa memasangnya dari GitHub. Dan baru-baru ini ternyata PEAR menjadi mangsa.
Anda masih boleh ingat, wabak perisian tebusan NePetya melalui modul kemas kini untuk program pelaporan cukai. Ancaman menjadi lebih dan lebih canggih, dan persoalan logik timbul - "Bagaimanakah kita boleh menentang 5% ancaman ini?"
Definisi Memburu Ancaman
Jadi, Memburu Ancaman ialah proses carian dan pengesanan proaktif dan berulang bagi ancaman lanjutan yang tidak dapat dikesan oleh alat keselamatan tradisional. Ancaman lanjutan termasuk, sebagai contoh, serangan seperti APT, serangan terhadap kelemahan 0 hari, Living off the Land dan sebagainya.
Kita juga boleh menyatakan semula bahawa TH ialah proses menguji hipotesis. Ini adalah proses yang kebanyakannya manual dengan elemen automasi, di mana penganalisis, bergantung pada pengetahuan dan kemahirannya, menyaring sejumlah besar maklumat untuk mencari tanda-tanda kompromi yang sepadan dengan hipotesis yang ditentukan pada awalnya tentang kehadiran ancaman tertentu. Ciri tersendirinya ialah kepelbagaian sumber maklumat.
Perlu diingatkan bahawa Memburu Ancaman bukanlah sejenis produk perisian atau perkakasan. Ini bukan makluman yang boleh dilihat dalam beberapa penyelesaian. Ini bukan proses carian IOC (Pengenal Kompromi). Dan ini bukan sejenis aktiviti pasif yang berlaku tanpa penyertaan penganalisis keselamatan maklumat. Memburu Ancaman adalah satu proses yang pertama sekali.
Komponen Pemburuan Ancaman
Tiga komponen utama Memburu Ancaman: data, teknologi, orang.
Data (apa?), termasuk Data Besar. Semua jenis aliran trafik, maklumat tentang APT sebelumnya, analitik, data mengenai aktiviti pengguna, data rangkaian, maklumat daripada pekerja, maklumat di darknet dan banyak lagi.
Teknologi (bagaimana?) memproses data ini - semua cara yang mungkin untuk memproses data ini, termasuk Pembelajaran Mesin.
Orang (siapa?) β mereka yang mempunyai pengalaman luas dalam menganalisis pelbagai serangan, mengembangkan intuisi dan keupayaan untuk mengesan serangan. Biasanya ini adalah penganalisis keselamatan maklumat yang mesti mempunyai keupayaan untuk menjana hipotesis dan mencari pengesahan untuk mereka. Mereka adalah pautan utama dalam proses itu.
Model PARIS
Adam Bateman Model PARIS untuk proses TH yang ideal. Nama itu merujuk kepada mercu tanda terkenal di Perancis. Model ini boleh dilihat dalam dua arah - dari atas dan dari bawah.
Semasa kami menggunakan model dari bawah ke atas, kami akan menemui banyak bukti aktiviti berniat jahat. Setiap bukti mempunyai ukuran yang dipanggil keyakinan - ciri yang mencerminkan berat bukti ini. Terdapat "besi", bukti langsung aktiviti berniat jahat, yang menurutnya kita boleh segera mencapai puncak piramid dan membuat amaran sebenar tentang jangkitan yang diketahui dengan tepat. Dan terdapat bukti tidak langsung, yang jumlahnya juga boleh membawa kita ke puncak piramid. Seperti biasa, terdapat lebih banyak bukti tidak langsung daripada bukti langsung, yang bermaksud bahawa mereka perlu diisih dan dianalisis, penyelidikan tambahan mesti dijalankan, dan adalah dinasihatkan untuk mengautomasikannya.
Model PARIS.
Bahagian atas model (1 dan 2) adalah berdasarkan teknologi automasi dan pelbagai analitik, dan bahagian bawah (3 dan 4) adalah berdasarkan orang yang mempunyai kelayakan tertentu yang menguruskan proses tersebut. Anda boleh mempertimbangkan model bergerak dari atas ke bawah, di mana di bahagian atas warna biru kami mempunyai makluman daripada alat keselamatan tradisional (antivirus, EDR, firewall, tandatangan) dengan tahap keyakinan dan kepercayaan yang tinggi, dan di bawah adalah penunjuk ( IOC, URL, MD5 dan lain-lain), yang mempunyai tahap kepastian yang lebih rendah dan memerlukan kajian tambahan. Dan tahap paling rendah dan paling tebal (4) ialah penjanaan hipotesis, penciptaan senario baharu untuk pengendalian cara perlindungan tradisional. Tahap ini tidak terhad hanya kepada sumber hipotesis yang ditentukan. Lebih rendah tahap, lebih banyak keperluan diletakkan pada kelayakan penganalisis.
Adalah sangat penting bahawa penganalisis tidak hanya menguji set terhingga hipotesis yang telah ditetapkan, tetapi sentiasa berusaha untuk menjana hipotesis dan pilihan baharu untuk mengujinya.
Model Kematangan Penggunaan TH
Dalam dunia yang ideal, TH adalah proses yang berterusan. Tetapi, kerana tidak ada dunia yang ideal, mari analisa dan kaedah dari segi manusia, proses dan teknologi yang digunakan. Mari kita pertimbangkan model TH sfera yang ideal. Terdapat 5 tahap penggunaan teknologi ini. Mari kita lihat mereka menggunakan contoh evolusi satu pasukan penganalisis.
Tahap kematangan
Orang
Proses
Teknologi
Tahap 0
Penganalisis SOC
24/7
Alat tradisional:
Tradisional
Set makluman
Pemantauan pasif
IDS, AV, Kotak Pasir,
Tanpa TH
Bekerja dengan makluman
Alat analisis tandatangan, data Perisikan Ancaman.
Tahap 1
Penganalisis SOC
TH sekali
BDU
Percubaan
Pengetahuan asas forensik
carian IOC
Liputan separa data daripada peranti rangkaian
Eksperimen dengan TH
Pengetahuan yang baik tentang rangkaian dan aplikasi
Permohonan separa
Tahap 2
Pekerjaan sementara
Lari pecut
BDU
Berkala
Purata pengetahuan forensik
Minggu ke bulan
Permohonan penuh
TH sementara
Pengetahuan yang sangat baik tentang rangkaian dan aplikasi
TH biasa
Automasi penuh penggunaan data EDR
Penggunaan separa keupayaan EDR lanjutan
Tahap 3
Perintah TH khusus
24/7
Keupayaan separa untuk menguji hipotesis TH
Pencegahan
Pengetahuan yang sangat baik tentang forensik dan perisian hasad
TH pencegahan
Penggunaan penuh keupayaan EDR lanjutan
Kes-kes khas TH
Pengetahuan yang sangat baik tentang bahagian serangan
Kes-kes khas TH
Liputan penuh data daripada peranti rangkaian
Konfigurasi untuk memenuhi keperluan anda
Tahap 4
Perintah TH khusus
24/7
Keupayaan penuh untuk menguji hipotesis TH
Mengetuai
Pengetahuan yang sangat baik tentang forensik dan perisian hasad
TH pencegahan
Tahap 3, ditambah:
Menggunakan TH
Pengetahuan yang sangat baik tentang bahagian serangan
Pengujian, automasi dan pengesahan hipotesis TH
penyepaduan ketat sumber data;
Keupayaan penyelidikan
pembangunan mengikut keperluan dan penggunaan API yang tidak standard.
Tahap kematangan TH mengikut manusia, proses dan teknologi
Tahap 0: tradisional, tanpa menggunakan TH. Penganalisis biasa bekerja dengan set makluman standard dalam mod pemantauan pasif menggunakan alat dan teknologi standard: IDS, AV, kotak pasir, alat analisis tandatangan.
Tahap 1: eksperimen, menggunakan TH. Penganalisis yang sama dengan pengetahuan asas forensik dan pengetahuan yang baik tentang rangkaian dan aplikasi boleh menjalankan Memburu Ancaman sekali sahaja dengan mencari petunjuk kompromi. EDR ditambahkan pada alat dengan liputan separa data daripada peranti rangkaian. Alat itu digunakan sebahagiannya.
Tahap 2: berkala, TH sementara. Penganalisis yang sama yang telah meningkatkan pengetahuan mereka dalam forensik, rangkaian dan bahagian aplikasi dikehendaki kerap terlibat dalam Memburu Ancaman (pecut), katakan, seminggu sebulan. Alat ini menambah penerokaan penuh data daripada peranti rangkaian, automasi analisis data daripada EDR dan penggunaan separa keupayaan EDR lanjutan.
Tahap 3: pencegahan, kes kerap TH. Penganalisis kami menyusun diri mereka ke dalam pasukan yang berdedikasi dan mula mempunyai pengetahuan yang sangat baik tentang forensik dan perisian hasad, serta pengetahuan tentang kaedah dan taktik pihak penyerang. Proses ini telah pun dijalankan 24/7. Pasukan ini dapat menguji sebahagian hipotesis TH sambil memanfaatkan sepenuhnya keupayaan lanjutan EDR dengan liputan penuh data daripada peranti rangkaian. Penganalisis juga boleh mengkonfigurasi alat untuk memenuhi keperluan mereka.
Tahap 4: mewah, gunakan TH. Pasukan yang sama memperoleh keupayaan untuk menyelidik, keupayaan untuk menjana dan mengautomasikan proses menguji hipotesis TH. Kini alatan itu telah ditambah dengan penyepaduan rapat sumber data, pembangunan perisian untuk memenuhi keperluan, dan penggunaan bukan standard API.
Teknik Memburu Ancaman
Teknik Asas Memburu Ancaman
Π TH, mengikut kematangan teknologi yang digunakan, ialah: carian asas, analisis statistik, teknik visualisasi, pengagregatan mudah, pembelajaran mesin dan kaedah Bayesian.
Kaedah paling mudah, carian asas, digunakan untuk mengecilkan kawasan penyelidikan menggunakan pertanyaan khusus. Analisis statistik digunakan, sebagai contoh, untuk membina pengguna biasa atau aktiviti rangkaian dalam bentuk model statistik. Teknik visualisasi digunakan untuk memaparkan secara visual dan memudahkan analisis data dalam bentuk graf dan carta, yang menjadikannya lebih mudah untuk membezakan corak dalam sampel. Teknik pengagregatan mudah mengikut medan utama digunakan untuk mengoptimumkan carian dan analisis. Semakin matang proses TH organisasi dicapai, semakin relevan penggunaan algoritma pembelajaran mesin. Ia juga digunakan secara meluas dalam menapis spam, mengesan trafik berniat jahat dan mengesan aktiviti penipuan. Jenis algoritma pembelajaran mesin yang lebih maju ialah kaedah Bayesian, yang membenarkan pengelasan, pengurangan saiz sampel dan pemodelan topik.
Model Berlian dan Strategi TH
Sergio Caltagiron, Andrew Pendegast dan Christopher Betz dalam karya mereka "Β» menunjukkan komponen utama utama bagi sebarang aktiviti berniat jahat dan hubungan asas antara mereka.
Model berlian untuk aktiviti berniat jahat
Menurut model ini, terdapat 4 strategi Memburu Ancaman, yang berdasarkan komponen utama yang sepadan.
1. Strategi berorientasikan mangsa. Kami menganggap bahawa mangsa mempunyai lawan dan mereka akan menyampaikan "peluang" melalui e-mel. Kami sedang mencari data musuh dalam mel. Cari pautan, lampiran, dsb. Kami sedang mencari pengesahan hipotesis ini untuk tempoh masa tertentu (sebulan, dua minggu); jika kami tidak menemuinya, maka hipotesis tidak berfungsi.
2. Strategi berorientasikan infrastruktur. Terdapat beberapa kaedah untuk menggunakan strategi ini. Bergantung pada akses dan keterlihatan, sesetengahnya lebih mudah daripada yang lain. Sebagai contoh, kami memantau pelayan nama domain yang diketahui mengehoskan domain berniat jahat. Atau kami melalui proses memantau semua pendaftaran nama domain baharu untuk corak yang diketahui digunakan oleh musuh.
3. Strategi dipacu keupayaan. Selain strategi tertumpu kepada mangsa yang digunakan oleh kebanyakan pembela rangkaian, terdapat strategi tertumpu pada peluang. Ia adalah yang kedua paling popular dan memfokuskan pada pengesanan keupayaan daripada musuh, iaitu "malware" dan keupayaan lawan untuk menggunakan alat yang sah seperti psexec, powershell, certutil dan lain-lain.
4. Strategi berorientasikan musuh. Pendekatan berpusatkan musuh memberi tumpuan kepada musuh itu sendiri. Ini termasuk penggunaan maklumat terbuka daripada sumber awam (OSINT), pengumpulan data tentang musuh, teknik dan kaedahnya (TTP), analisis insiden sebelumnya, data Perisikan Ancaman, dsb.
Sumber maklumat dan hipotesis dalam TH
Beberapa sumber maklumat untuk Memburu Ancaman
Terdapat banyak sumber maklumat. Seorang penganalisis yang ideal harus dapat mengekstrak maklumat daripada semua yang ada di sekeliling. Sumber biasa dalam hampir mana-mana infrastruktur ialah data daripada alatan keselamatan: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Selain itu, sumber maklumat biasa ialah pelbagai petunjuk kompromi, perkhidmatan Perisikan Ancaman, data CERT dan OSINT. Selain itu, anda boleh menggunakan maklumat daripada darknet (contohnya, tiba-tiba terdapat perintah untuk menggodam peti mel ketua organisasi, atau calon untuk jawatan jurutera rangkaian telah didedahkan untuk aktivitinya), maklumat yang diterima daripada HR (semakan calon dari tempat kerja sebelumnya), maklumat daripada perkhidmatan keselamatan (sebagai contoh, hasil pengesahan rakan niaga).
Tetapi sebelum menggunakan semua sumber yang ada, perlu mempunyai sekurang-kurangnya satu hipotesis.
Untuk menguji hipotesis, mereka mesti dikemukakan terlebih dahulu. Dan untuk mengemukakan banyak hipotesis berkualiti tinggi, adalah perlu untuk menggunakan pendekatan yang sistematik. Proses penjanaan hipotesis diterangkan dengan lebih terperinci dalam, adalah sangat mudah untuk mengambil skim ini sebagai asas untuk proses mengemukakan hipotesis.
Sumber utama hipotesis adalah Matriks ATT&CK (Taktik Perlawanan, Teknik dan Pengetahuan Bersama). Ia, pada dasarnya, pangkalan pengetahuan dan model untuk menilai tingkah laku penyerang yang menjalankan aktiviti mereka dalam langkah terakhir serangan, biasanya diterangkan menggunakan konsep Kill Chain. Iaitu, pada peringkat selepas penyerang telah menembusi rangkaian dalaman perusahaan atau ke peranti mudah alih. Pangkalan pengetahuan pada asalnya termasuk penerangan tentang 121 taktik dan teknik yang digunakan dalam serangan, setiap satunya diterangkan secara terperinci dalam format Wiki. Pelbagai analisis Perisikan Ancaman sangat sesuai sebagai sumber untuk menjana hipotesis. Nota khusus ialah hasil analisis infrastruktur dan ujian penembusan - ini adalah data paling berharga yang boleh memberi kita hipotesis kuku besi kerana fakta bahawa ia berdasarkan infrastruktur tertentu dengan kelemahan khusus.
Proses ujian hipotesis
Sergei Soldatov dibawa dengan penerangan terperinci tentang proses tersebut, ia menggambarkan proses menguji hipotesis TH dalam satu sistem. Saya akan menunjukkan peringkat utama dengan penerangan ringkas.
Peringkat 1: Ladang TI
Pada peringkat ini adalah perlu untuk menyerlahkan benda (dengan menganalisisnya bersama-sama dengan semua data ancaman) dan memberikan mereka label untuk ciri-cirinya. Ini ialah fail, URL, MD5, proses, utiliti, acara. Apabila menghantarnya melalui sistem Perisikan Ancaman, adalah perlu untuk melampirkan tag. Iaitu, laman web ini diperhatikan dalam CNC pada tahun ini dan itu, MD5 ini dikaitkan dengan malware ini dan itu, MD5 ini dimuat turun dari tapak yang mengedarkan perisian hasad.
Peringkat 2: Kes
Pada peringkat kedua, kita melihat interaksi antara objek ini dan mengenal pasti hubungan antara semua objek ini. Kami mendapat sistem bertanda yang melakukan sesuatu yang buruk.
Peringkat 3: Penganalisis
Pada peringkat ketiga, kes itu dipindahkan kepada penganalisis berpengalaman yang mempunyai pengalaman luas dalam analisis, dan dia membuat keputusan. Dia menghuraikan ke bait apa, di mana, bagaimana, mengapa dan mengapa kod ini berfungsi. Badan ini adalah perisian hasad, komputer ini telah dijangkiti. Mendedahkan sambungan antara objek, menyemak keputusan berjalan melalui kotak pasir.
Hasil kerja penganalisis dihantar lebih jauh. Forensik Digital memeriksa imej, Analisis Perisian Hasad memeriksa "mayat" yang ditemui dan pasukan Tindak Balas Insiden boleh pergi ke tapak dan menyiasat sesuatu yang sudah ada. Hasil kerja akan menjadi hipotesis yang disahkan, serangan yang dikenal pasti dan cara untuk mengatasinya.
Keputusan
Memburu Ancaman ialah teknologi yang agak muda yang boleh melawan ancaman tersuai, baharu dan bukan standard dengan berkesan, yang mempunyai prospek yang besar memandangkan peningkatan jumlah ancaman sedemikian dan peningkatan kerumitan infrastruktur korporat. Ia memerlukan tiga komponen - data, alat dan penganalisis. Faedah Memburu Ancaman tidak terhad kepada menghalang pelaksanaan ancaman. Jangan lupa bahawa semasa proses carian kami menyelami infrastruktur kami dan titik lemahnya melalui mata penganalisis keselamatan dan boleh mengukuhkan lagi perkara ini.
Langkah pertama yang, pada pendapat kami, perlu diambil untuk memulakan proses TH dalam organisasi anda.
- Berhati-hati untuk melindungi titik akhir dan infrastruktur rangkaian. Jaga keterlihatan (NetFlow) dan kawalan (firewall, IDS, IPS, DLP) semua proses pada rangkaian anda. Ketahui rangkaian anda dari penghala tepi ke hos terakhir.
- Meneroka.
- Menjalankan pentest biasa sekurang-kurangnya sumber luaran utama, menganalisis keputusannya, mengenal pasti sasaran utama untuk serangan dan menutup kelemahan mereka.
- Laksanakan sistem Perisikan Ancaman sumber terbuka (contohnya, MISP, Yeti) dan analisis log bersama-sama dengannya.
- Laksanakan platform tindak balas insiden (IRP): R-Vision IRP, The Hive, kotak pasir untuk menganalisis fail yang mencurigakan (FortiSandbox, Cuckoo).
- Automasi proses rutin. Analisis log, rakaman insiden, memaklumkan kakitangan adalah bidang yang besar untuk automasi.
- Belajar untuk berinteraksi secara berkesan dengan jurutera, pembangun dan sokongan teknikal untuk bekerjasama dalam insiden.
- Dokumentasikan keseluruhan proses, perkara utama, hasil yang dicapai untuk kembali kepada mereka kemudian atau kongsi data ini dengan rakan sekerja;
- Jadilah sosial: Berhati-hati tentang perkara yang berlaku dengan pekerja anda, siapa yang anda ambil dan siapa yang anda berikan akses kepada sumber maklumat organisasi.
- Sentiasa mengikuti trend dalam bidang ancaman dan kaedah perlindungan baharu, tingkatkan tahap celik teknikal anda (termasuk dalam pengendalian perkhidmatan dan subsistem IT), menghadiri persidangan dan berkomunikasi dengan rakan sekerja.
Bersedia untuk membincangkan penganjuran proses TH dalam ulasan.
Atau datang bekerja dengan kami!
Sumber dan bahan untuk dikaji
Sumber: www.habr.com