95% tat-theddid għas-sigurtà tal-informazzjoni huma magħrufa, u tista 'tipproteġi lilek innifsek minnhom billi tuża mezzi tradizzjonali bħal antiviruses, firewalls, IDS, WAF. Il-5% li jifdal tat-theddid huma mhux magħrufa u l-aktar perikolużi. Jikkostitwixxu 70% tar-riskju għal kumpanija minħabba l-fatt li huwa diffiċli ħafna li jinstabu, u wisq inqas jipproteġu kontrihom. Eżempji huma l-epidemija tar-ransomware WannaCry, NotPetya/ExPetr, cryptominers, l-"arma ċibernetika" Stuxnet (li laqtet il-faċilitajiet nukleari tal-Iran) u ħafna (xi ħadd ieħor jiftakar Kido/Conficker?) attakki oħra li mhumiex difiżi tajjeb ħafna kontra b'miżuri ta 'sigurtà klassiċi. Irridu nitkellmu dwar kif niġġieldu dawn il-5% tat-theddid bl-użu tat-teknoloġija Threat Hunting.
L-evoluzzjoni kontinwa tal-attakki ċibernetiċi teħtieġ skoperta u kontromiżuri kostanti, li fl-aħħar iwassluna biex naħsbu f'tellieqa tal-armi bla tarf bejn l-attakkanti u d-difensuri. Is-sistemi ta’ sigurtà klassiċi m’għadhomx kapaċi jipprovdu livell aċċettabbli ta’ sigurtà, li fih il-livell ta’ riskju ma jaffettwax l-indikaturi ewlenin tal-kumpanija (ekonomiċi, politiċi, reputazzjoni) mingħajr ma jimmodifikawhom għal infrastruttura speċifika, iżda b’mod ġenerali jkopru xi wħud minn ir-riskji. Diġà fil-proċess ta 'implimentazzjoni u konfigurazzjoni, sistemi ta' sigurtà moderni jsibu ruħhom fir-rwol li jlaħħqu u jridu jwieġbu għall-isfidi taż-żmien il-ġdid.
It-teknoloġija Threat Hunting tista 'tkun waħda mit-tweġibiet għall-isfidi ta' żmienna għal speċjalista tas-sigurtà tal-informazzjoni. It-terminu Threat Hunting (minn hawn 'il quddiem imsejjaħ TH) deher bosta snin ilu. It-teknoloġija nnifisha hija pjuttost interessanti, iżda għad m'għandha l-ebda standard u regoli ġeneralment aċċettati. Il-kwistjoni hija kkumplikata wkoll mill-eteroġeneità tas-sorsi ta 'informazzjoni u n-numru żgħir ta' sorsi ta 'informazzjoni bil-lingwa Russa dwar dan is-suġġett. F'dan ir-rigward, aħna fil-LANIT-Integration iddeċidejna li niktbu reviżjoni ta 'din it-teknoloġija.
Rilevanza
It-teknoloġija TH tiddependi fuq proċessi ta 'monitoraġġ tal-infrastruttura.. L-allert (simili għas-servizzi MSSP) huwa metodu tradizzjonali ta’ tiftix għal firem żviluppati qabel u sinjali ta’ attakki u rispons għalihom. Dan ix-xenarju jitwettaq b'suċċess minn għodod tradizzjonali ta' protezzjoni bbażati fuq il-firma. Il-kaċċa (servizz tat-tip MDR) hija metodu ta' monitoraġġ li jwieġeb il-mistoqsija "Minn fejn jiġu l-firem u r-regoli?" Huwa l-proċess li jinħolqu regoli ta 'korrelazzjoni billi jiġu analizzati indikaturi u sinjali ta' attakk moħbija jew mhux magħrufa qabel. Threat Hunting tirreferi għal dan it-tip ta 'monitoraġġ.
Huwa biss billi ngħaqqdu ż-żewġ tipi ta' monitoraġġ li nġibu protezzjoni li tkun qrib l-ideali, iżda dejjem ikun hemm ċertu livell ta' riskju residwu.
Protezzjoni bl-użu ta 'żewġ tipi ta' monitoraġġ
U hawn għaliex TH (u l-kaċċa fl-intier tagħha!) Se jsiru dejjem aktar rilevanti:
Theddid, rimedji, riskji.
. Dawn jinkludu tipi bħal spam, DDoS, viruses, rootkits u malware klassiku ieħor. Tista' tipproteġi lilek innifsek minn dan it-theddid billi tuża l-istess miżuri ta' sigurtà klassiċi.
Matul l-implimentazzjoni ta 'kwalunkwe proġett, u l-20% li jifdal tax-xogħol jieħu 80% tal-ħin. Bl-istess mod, madwar il-pajsaġġ kollu tat-theddid, 5% tat-theddid ġdid se jammontaw għal 70% tar-riskju għal kumpanija. F'kumpanija fejn il-proċessi tal-ġestjoni tas-sigurtà tal-informazzjoni huma organizzati, nistgħu nimmaniġġjaw 30% tar-riskju tal-implimentazzjoni ta' theddid magħruf b'xi mod jew ieħor billi nevitaw (rifjut ta' netwerks mingħajr fili fil-prinċipju), naċċettaw (nimplimentaw il-miżuri ta' sigurtà meħtieġa) jew inċaqilqu (per eżempju, fuq l-ispallejn ta 'integratur) dan ir-riskju. Ipproteġi lilek innifsek minn, attakki APT, phishing,, l-ispjunaġġ ċibernetiku u l-operazzjonijiet nazzjonali, kif ukoll numru kbir ta’ attakki oħra diġà huma ħafna aktar diffiċli. Il-konsegwenzi ta' dawn il-5% tat-theddid se jkunu ħafna aktar serji () milli l-konsegwenzi tal-ispam jew tal-viruses, li minnhom jiffranka s-softwer tal-antivirus.
Kważi kulħadd għandu jindirizza 5% tat-theddid. Riċentement kellna ninstallaw soluzzjoni open-source li tuża applikazzjoni mir-repożitorju PEAR (PHP Extension and Application Repository). Tentattiv biex tinstalla din l-applikazzjoni permezz tal-pear install falla minħabba ma kienx disponibbli (issa hemm stub fuqu), kelli ninstallah minn GitHub. U dan l-aħħar irriżulta li PEAR saret vittma.
Inti xorta tista 'tiftakar, epidemija tar-ransomware NePetya permezz ta 'modulu ta' aġġornament għal programm ta 'rappurtar tat-taxxa. It-theddid qed isir aktar u aktar sofistikat, u tqum il-mistoqsija loġika - "Kif nistgħu nirribattu dawn il-5% tat-theddid?"
Definizzjoni ta' Kaċċa għat-Theddid
Allura, Threat Hunting huwa l-proċess ta 'tfittxija u skoperta proattiva u iterattiva ta' theddid avvanzat li ma jistax jiġi skopert minn għodod ta 'sigurtà tradizzjonali. Theddid avvanzat jinkludi, pereżempju, attakki bħal APT, attakki fuq vulnerabbiltajiet 0-day, Living off the Land, eċċ.
Nistgħu wkoll nirriformulaw li TH huwa l-proċess tal-ittestjar tal-ipoteżi. Dan huwa proċess prinċipalment manwali b'elementi ta 'awtomazzjoni, li fih l-analista, billi bbażat ruħha fuq l-għarfien u l-ħiliet tiegħu, jgħarbel volumi kbar ta' informazzjoni fit-tfittxija ta 'sinjali ta' kompromess li jikkorrispondu għall-ipoteżi ddeterminata inizjalment dwar il-preżenza ta 'ċerta theddida. Il-karatteristika distintiva tagħha hija l-varjetà ta 'sorsi ta' informazzjoni.
Għandu jiġi nnutat li Threat Hunting mhix xi tip ta 'prodott ta' softwer jew hardware. Dawn mhumiex allerti li jistgħu jidhru f'xi soluzzjoni. Dan mhuwiex proċess ta’ tfittxija tal-IOC (Identifikaturi ta’ Kompromess). U din mhix xi tip ta 'attività passiva li sseħħ mingħajr il-parteċipazzjoni ta' analisti tas-sigurtà tal-informazzjoni. Threat Hunting hija l-ewwel u qabel kollox proċess.
Komponenti tal-Kaċċa għat-Theddid
Tliet komponenti ewlenin tat-Threat Hunting: data, teknoloġija, nies.
Dejta (xiex?), inkluż Big Data. Kull tip ta 'flussi tat-traffiku, informazzjoni dwar APTs preċedenti, analiżi, data dwar l-attività tal-utent, data tan-netwerk, informazzjoni mill-impjegati, informazzjoni fuq id-darknet u ħafna aktar.
Teknoloġiji (kif?) l-ipproċessar ta' din id-dejta - il-modi kollha possibbli ta' kif tiġi pproċessata din id-dejta, inkluż it-Tagħlim tal-Machine.
Nies (min?) – dawk li għandhom esperjenza estensiva fl-analiżi ta’ diversi attakki, żviluppaw l-intuwizzjoni u l-abbiltà li jiskopru attakk. Tipikament dawn huma analisti tas-sigurtà tal-informazzjoni li għandu jkollhom il-kapaċità li jiġġeneraw ipoteżi u jsibu konferma għalihom. Huma l-ħolqa ewlenija fil-proċess.
Mudell PARIS
Adam Bateman Mudell ta' PARIS għall-proċess TH ideali. L-isem jalludi għal monument famuż fi Franza. Dan il-mudell jista 'jaraha f'żewġ direzzjonijiet - minn fuq u minn taħt.
Hekk kif naħdmu fil-mudell minn isfel għal fuq, se niltaqgħu ma 'ħafna evidenza ta' attività malizzjuża. Kull biċċa evidenza għandha miżura msejħa kunfidenza - karatteristika li tirrifletti l-piż ta 'din l-evidenza. Hemm "ħadid", evidenza diretta ta 'attività malizzjuża, li skontha nistgħu nilħqu immedjatament il-quċċata tal-piramida u noħolqu twissija attwali dwar infezzjoni magħrufa preċiżament. U hemm evidenza indiretta, li s-somma tagħha tista 'wkoll twassalna sal-quċċata tal-piramida. Bħal dejjem, hemm ħafna aktar evidenza indiretta minn evidenza diretta, li jfisser li jeħtieġ li jiġu magħżula u analizzati, trid issir riċerka addizzjonali, u huwa rakkomandabbli li din tiġi awtomatizzata.
Mudell PARIS.
Il-parti ta 'fuq tal-mudell (1 u 2) hija bbażata fuq teknoloġiji ta' awtomazzjoni u analitiċi varji, u l-parti t'isfel (3 u 4) hija bbażata fuq nies b'ċerti kwalifiki li jamministraw il-proċess. Tista 'tikkunsidra l-mudell li jiċċaqlaq minn fuq għal isfel, fejn fil-parti ta' fuq tal-kulur blu għandna twissijiet minn għodod ta 'sigurtà tradizzjonali (antivirus, EDR, firewall, firem) bi grad għoli ta' kunfidenza u fiduċja, u taħt hemm indikaturi ( IOC, URL, MD5 u oħrajn), li għandhom grad aktar baxx ta’ ċertezza u jeħtieġu studju addizzjonali. U l-iktar livell baxx u eħxen (4) huwa l-ġenerazzjoni ta 'ipoteżi, il-ħolqien ta' xenarji ġodda għat-tħaddim ta 'mezzi tradizzjonali ta' protezzjoni. Dan il-livell mhuwiex limitat biss għas-sorsi speċifikati ta 'ipoteżi. Aktar ma jkun baxx il-livell, aktar rekwiżiti jitqiegħdu fuq il-kwalifiki tal-analista.
Huwa importanti ħafna li l-analisti ma jittestjawx sempliċement sett finit ta 'ipoteżi predeterminati, iżda jaħdmu kontinwament biex jiġġeneraw ipoteżijiet u għażliet ġodda għall-ittestjar tagħhom.
Mudell tal-Maturità tal-Użu TH
F'dinja ideali, TH huwa proċess kontinwu. Iżda, peress li m'hemmx dinja ideali, ejja nanalizzaw u metodi f'termini ta' nies, proċessi u teknoloġiji użati. Ejja nikkunsidraw mudell ta' TH sferiku ideali. Hemm 5 livelli ta 'użu ta' din it-teknoloġija. Ejja nħarsu lejhom billi tuża l-eżempju tal-evoluzzjoni ta 'tim wieħed ta' analisti.
Livelli ta' maturità
Nies
Proċessi
Teknoloġija
Livell 0
Analisti SOC
24/7
Strumenti tradizzjonali:
Tradizzjonali
Sett ta' twissijiet
Monitoraġġ passiv
IDS, AV, Sandboxing,
Mingħajr TH
Ħidma ma 'twissijiet
Għodod ta' analiżi tal-firem, data dwar it-Theddid Intelligence.
Livell 1
Analisti SOC
TH ta' darba
BDU
Sperimentali
Għarfien bażiku tal-forensika
Tfittxija tal-IOC
Kopertura parzjali ta' data minn apparat tan-netwerk
Esperimenti b'TH
Għarfien tajjeb ta 'netwerks u applikazzjonijiet
Applikazzjoni parzjali
Livell 2
Okkupazzjoni temporanja
Sprints
BDU
Perjodiku
Għarfien medju tal-forensika
Ġimgħa għal xahar
Applikazzjoni sħiħa
TH Temporanju
Għarfien eċċellenti ta 'netwerks u applikazzjonijiet
TH regolari
Awtomazzjoni sħiħa tal-użu tad-dejta tal-EDR
Użu parzjali ta' kapaċitajiet EDR avvanzati
Livell 3
Kmand TH dedikat
24/7
Kapaċità parzjali biex jiġu ttestjati l-ipoteżijiet TH
Preventiva
Għarfien eċċellenti tal-forensika u l-malware
TH preventiva
Użu sħiħ ta 'kapaċitajiet EDR avvanzati
Każijiet speċjali TH
Għarfien eċċellenti tan-naħa li tattakka
Każijiet speċjali TH
Kopertura sħiħa tad-dejta minn tagħmir tan-netwerk
Konfigurazzjoni li taqbel mal-bżonnijiet tiegħek
Livell 4
Kmand TH dedikat
24/7
Kapaċità sħiħa li tittestja l-ipoteżi TH
Tmexxi
Għarfien eċċellenti tal-forensika u l-malware
TH preventiva
Livell 3, flimkien ma':
Bl-użu ta' TH
Għarfien eċċellenti tan-naħa li tattakka
Ittestjar, awtomazzjoni u verifika ta 'ipoteżi TH
integrazzjoni stretta tas-sorsi tad-dejta;
Kapaċità ta 'riċerka
żvilupp skont il-ħtiġijiet u l-użu mhux standard tal-API.
TH livelli ta' maturità minn nies, proċessi u teknoloġiji
Livell 0: tradizzjonali, mingħajr ma tuża TH. Analisti regolari jaħdmu ma 'sett standard ta' twissijiet fil-modalità ta 'monitoraġġ passiv bl-użu ta' għodod u teknoloġiji standard: IDS, AV, sandbox, għodod ta 'analiżi tal-firma.
Livell 1: sperimentali, bl-użu ta 'TH. L-istess analisti b'għarfien bażiku tal-forensika u għarfien tajjeb ta 'netwerks u applikazzjonijiet jistgħu jwettqu Threat Hunting ta' darba billi jfittxu indikaturi ta 'kompromess. L-EDRs huma miżjuda mal-għodod b'kopertura parzjali tad-dejta minn tagħmir tan-netwerk. L-għodod huma parzjalment użati.
Livell 2: perjodiku, temporanju TH. L-istess analisti li diġà aġġornaw l-għarfien tagħhom fil-forensika, in-netwerks u l-parti tal-applikazzjoni huma meħtieġa li jidħlu regolarment f'Threat Hunting (sprint), ngħidu aħna, ġimgħa fix-xahar. L-għodod iżidu esplorazzjoni sħiħa tad-dejta minn tagħmir tan-netwerk, awtomazzjoni tal-analiżi tad-dejta mill-EDR, u użu parzjali ta 'kapaċitajiet EDR avvanzati.
Livell 3: preventivi, każijiet frekwenti ta 'TH. L-analisti tagħna organizzaw lilhom infushom f'tim iddedikat u bdew ikollhom għarfien eċċellenti tal-forensika u l-malware, kif ukoll għarfien tal-metodi u t-tattiċi tan-naħa li tattakka. Il-proċess diġà jitwettaq 24/7. It-tim huwa kapaċi jittestja parzjalment l-ipoteżi TH filwaqt li jisfrutta bis-sħiħ il-kapaċitajiet avvanzati tal-EDR b'kopertura sħiħa tad-dejta minn apparati tan-netwerk. L-analisti jistgħu wkoll jikkonfiguraw l-għodod skont il-bżonnijiet tagħhom.
Livell 4: high-end, uża TH. L-istess tim akkwista l-abbiltà li jirriċerka, il-kapaċità li jiġġenera u awtomat il-proċess tal-ittestjar tal-ipoteżi TH. Issa l-għodod ġew issupplimentati b'integrazzjoni mill-qrib tas-sorsi tad-dejta, żvilupp ta 'softwer biex jintlaħqu l-ħtiġijiet, u użu mhux standard tal-APIs.
Tekniki tal-Kaċċa għat-Theddid
Tekniki Bażiċi tal-Kaċċa għat-Theddid
К TH, fl-ordni tal-maturità tat-teknoloġija użata, huma: tfittxija bażika, analiżi statistika, tekniki ta 'viżwalizzazzjoni, aggregazzjonijiet sempliċi, tagħlim tal-magni, u metodi Bayesiani.
L-aktar metodu sempliċi, tfittxija bażika, jintuża biex jonqos iż-żona tar-riċerka billi tuża mistoqsijiet speċifiċi. L-analiżi statistika tintuża, pereżempju, biex tinbena attività tipika tal-utent jew tan-netwerk fil-forma ta' mudell statistiku. It-tekniki tal-viżwalizzazzjoni huma wżati biex juru u jissimplifikaw viżwalment l-analiżi tad-dejta fil-forma ta 'graffs u charts, li jagħmluha ħafna aktar faċli biex jintgħaraf mudelli fil-kampjun. It-teknika ta' aggregazzjonijiet sempliċi b'oqsma ewlenin tintuża biex tottimizza t-tfittxija u l-analiżi. Aktar ma jilħaq il-proċess TH ta' organizzazzjoni, iktar isir rilevanti l-użu tal-algoritmi tat-tagħlim tal-magni. Jintużaw ukoll ħafna biex jiffiltraw l-ispam, jiskopru traffiku malizzjuż u jiskopru attivitajiet frawdolenti. Tip aktar avvanzat ta 'algoritmu ta' tagħlim tal-magni huma metodi Bayesjani, li jippermettu klassifikazzjoni, tnaqqis fid-daqs tal-kampjun, u mmudellar tas-suġġett.
Mudell tad-Djamanti u Strateġiji TH
Sergio Caltagiron, Andrew Pendegast u Christopher Betz fix-xogħol tagħhom "» wera l-komponenti ewlenin ewlenin ta 'kwalunkwe attività malizzjuża u l-konnessjoni bażika bejniethom.
Mudell tad-djamanti għal attività malizzjuża
Skond dan il-mudell, hemm 4 strateġiji Threat Hunting, li huma bbażati fuq il-komponenti ewlenin korrispondenti.
1. Strateġija orjentata lejn il-vittmi. Nassumu li l-vittma għandha avversarji u dawn se jwasslu "opportunitajiet" permezz tal-email. Qegħdin infittxu dejta tal-għadu bil-posta. Fittex għal links, attachments, eċċ. Qegħdin infittxu konferma ta 'din l-ipoteżi għal ċertu perjodu ta' żmien (xahar, ġimgħatejn); jekk ma nsibhiex, allura l-ipoteżi ma ħadmitx.
2. Strateġija orjentata lejn l-infrastruttura. Hemm diversi metodi biex tuża din l-istrateġija. Skont l-aċċess u l-viżibilità, xi wħud huma aktar faċli minn oħrajn. Pereżempju, aħna nissorveljaw is-servers tal-ismijiet tad-dominju magħrufa li jospitaw dominji malizzjużi. Jew ngħaddu mill-proċess ta' monitoraġġ tar-reġistrazzjonijiet ġodda kollha tal-ismijiet tad-dominju għal mudell magħruf użat minn avversarju.
3. Strateġija mmexxija mill-kapaċità. Minbarra l-istrateġija ffukata fuq il-vittma użata mill-biċċa l-kbira tad-difensuri tan-netwerk, hemm strateġija ffukata fuq l-opportunità. Huwa t-tieni l-aktar popolari u jiffoka fuq l-iskoperta ta 'kapaċitajiet mill-avversarju, jiġifieri "malware" u l-abbiltà tal-avversarju li juża għodod leġittimi bħal psexec, powershell, certutil u oħrajn.
4. Strateġija orjentata lejn l-għadu. L-approċċ iċċentrat fuq l-avversarju jiffoka fuq l-avversarju innifsu. Dan jinkludi l-użu ta’ informazzjoni miftuħa minn sorsi disponibbli pubblikament (OSINT), ġbir ta’ dejta dwar l-għadu, it-tekniki u l-metodi tiegħu (TTP), analiżi ta’ inċidenti preċedenti, dejta tal-Intelliġenza dwar it-Theddid, eċċ.
Sorsi ta' informazzjoni u ipoteżi f'TH
Xi sorsi ta' informazzjoni għal Threat Hunting
Jista' jkun hemm ħafna sorsi ta' informazzjoni. Analista ideali għandu jkun kapaċi jiġbed l-informazzjoni minn dak kollu li hemm madwar. Sorsi tipiċi fi kważi kull infrastruttura se jkunu data minn għodod tas-sigurtà: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Ukoll, sorsi tipiċi ta 'informazzjoni se jkunu indikaturi varji ta' kompromess, servizzi ta 'Intelliġenza dwar it-Theddid, data CERT u OSINT. Barra minn hekk, tista 'tuża informazzjoni mid-darknet (per eżempju, f'daqqa waħda hemm ordni biex hack il-kaxxa postali tal-kap ta' organizzazzjoni, jew kandidat għall-pożizzjoni ta 'inġinier tan-netwerk ikun ġie espost għall-attività tiegħu), informazzjoni riċevuta minn HR (reviżjonijiet tal-kandidat minn post tax-xogħol preċedenti), informazzjoni mis-servizz tas-sigurtà (per eżempju, ir-riżultati tal-verifika tal-kontroparti).
Iżda qabel ma tuża s-sorsi kollha disponibbli, huwa meħtieġ li jkun hemm mill-inqas ipoteżi waħda.
Sabiex jiġu ttestjati l-ipoteżi, l-ewwel iridu jitressqu. U sabiex tressaq ħafna ipoteżi ta 'kwalità għolja, huwa meħtieġ li jiġi applikat approċċ sistematiku. Il-proċess tal-ġenerazzjoni tal-ipoteżi huwa deskritt f'aktar dettall fi, huwa konvenjenti ħafna li tieħu din l-iskema bħala l-bażi għall-proċess tat-tressiq ta' ipoteżijiet.
Is-sors ewlieni tal-ipoteżi se jkun ATT & CK matriċi (Tattiċi Avversarji, Tekniki u Għarfien Komuni). Huwa, essenzjalment, bażi ta 'għarfien u mudell għall-valutazzjoni tal-imġieba ta' attakkanti li jwettqu l-attivitajiet tagħhom fl-aħħar passi ta 'attakk, normalment deskritti bl-użu tal-kunċett ta' Kill Chain. Jiġifieri, fl-istadji wara li attakkant ikun ippenetra n-netwerk intern ta 'intrapriża jew fuq apparat mobbli. Il-bażi ta 'għarfien oriġinarjament kienet tinkludi deskrizzjonijiet ta' 121 tattika u teknika użati fl-attakk, li kull waħda minnhom hija deskritta fid-dettall fil-format Wiki. Diversi analitiċi tal-Intelliġenza tat-Theddid huma adattati tajjeb bħala sors għall-ġenerazzjoni ta' ipoteżijiet. Ta’ min jinnota b’mod partikolari r-riżultati tal-analiżi tal-infrastruttura u t-testijiet tal-penetrazzjoni - din hija l-aktar data siewja li tista’ tagħtina ipoteżi ironclad minħabba l-fatt li huma bbażati fuq infrastruttura speċifika bin-nuqqasijiet speċifiċi tagħha.
Proċess tal-ittestjar tal-ipoteżi
Sergei Soldatov ġab b'deskrizzjoni dettaljata tal-proċess, turi l-proċess tal-ittestjar tal-ipoteżi TH f'sistema waħda. Se nindika l-istadji ewlenin b'deskrizzjoni qasira.
Stadju 1: TI Farm
F'dan l-istadju huwa meħtieġ li jiġi enfasizzat oġġetti (billi janalizzahom flimkien mad-dejta kollha dwar it-theddid) u tassenjahom tikketti għall-karatteristiċi tagħhom. Dawn huma fajl, URL, MD5, proċess, utilità, avveniment. Meta tgħaddihom minn sistemi ta 'Threat Intelligence, huwa meħtieġ li jitwaħħlu tikketti. Jiġifieri, dan is-sit ġie nnutat f'CNC f'tali u dik is-sena, dan l-MD5 kien assoċjat ma' tali u tali malware, dan l-MD5 ġie mniżżel minn sit li jqassam malware.
Stadju 2: Każijiet
Fit-tieni stadju, inħarsu lejn l-interazzjoni bejn dawn l-oġġetti u nidentifikaw ir-relazzjonijiet bejn dawn l-oġġetti kollha. Ikollna sistemi mmarkati li jagħmlu xi ħaġa ħażina.
Stadju 3: Analista
Fit-tielet stadju, il-każ jiġi trasferit lil analista b'esperjenza li għandu esperjenza estensiva fl-analiżi, u jagħmel verdett. Huwa jeżamina l-bytes dak, fejn, kif, għaliex u għaliex dan il-kodiċi jagħmel. Dan il-korp kien malware, dan il-kompjuter kien infettat. Jikxef konnessjonijiet bejn l-oġġetti, jiċċekkja r-riżultati tal-ġirja permezz tal-kaxxa tar-ramel.
Ir-riżultati tax-xogħol tal-analista jiġu trażmessi aktar. Il-Forensika Diġitali teżamina l-immaġini, l-Analiżi tal-Malware teżamina l-"korpi" misjuba, u t-tim ta 'Rispons għall-Inċidenti jista' jmur fuq is-sit u jinvestiga xi ħaġa li diġà hemm. Ir-riżultat tax-xogħol se jkun ipoteżi kkonfermata, attakk identifikat u modi biex jiġġielduh.
Riżultati ta '
Threat Hunting hija teknoloġija pjuttost żagħżugħa li tista' effettivament tikkumbatti theddid personalizzat, ġdid u mhux standard, li għandha prospetti kbar minħabba n-numru dejjem jikber ta 'tali theddid u l-kumplessità dejjem tikber tal-infrastruttura korporattiva. Hija teħtieġ tliet komponenti - data, għodod u analisti. Il-benefiċċji tat-Threat Hunting mhumiex limitati għall-prevenzjoni tal-implimentazzjoni tat-theddid. Tinsiex li matul il-proċess ta’ tfittxija ngħaddu fl-infrastruttura tagħna u fil-punti dgħajfa tagħha permezz ta’ għajnejn analista tas-sigurtà u nistgħu nkomplu nsaħħu dawn il-punti.
L-ewwel passi li, fl-opinjoni tagħna, jeħtieġ li jittieħdu biex jibda l-proċess TH fl-organizzazzjoni tiegħek.
- Oqgħod attent li tipproteġi l-endpoints u l-infrastruttura tan-netwerk. Ħu ħsieb il-viżibilità (NetFlow) u l-kontroll (firewall, IDS, IPS, DLP) tal-proċessi kollha fuq in-netwerk tiegħek. Kun af in-netwerk tiegħek mir-router tat-tarf sal-aħħar host.
- Esplora.
- Twettaq pentests regolari ta 'mill-inqas riżorsi esterni ewlenin, tanalizza r-riżultati tagħha, identifika l-miri ewlenin għall-attakk u tagħlaq il-vulnerabbiltajiet tagħhom.
- Implimenta sistema open source Threat Intelligence (per eżempju, MISP, Yeti) u tanalizza zkuk flimkien magħha.
- Implimenta pjattaforma ta 'rispons għall-inċidenti (IRP): R-Vision IRP, The Hive, sandbox għall-analiżi ta' fajls suspettużi (FortiSandbox, Cuckoo).
- Awtomatizza l-proċessi ta’ rutina. Analiżi ta 'zkuk, reġistrazzjoni ta' inċidenti, informazzjoni lill-persunal hija qasam enormi għall-awtomazzjoni.
- Tgħallem jinteraġixxi b'mod effettiv ma 'inġiniera, żviluppaturi, u appoġġ tekniku biex tikkollabora fuq inċidenti.
- Iddokumenta l-proċess kollu, il-punti ewlenin, ir-riżultati miksuba sabiex terġa 'lura għalihom aktar tard jew taqsam din id-dejta mal-kollegi;
- Kun soċjali: Kun konxju ta' x'inhu għaddej mal-impjegati tiegħek, lil min timpjega, u lil min tagħti aċċess għar-riżorsi ta' informazzjoni tal-organizzazzjoni.
- Żomm ruħek aġġornat mat-tendenzi fil-qasam tat-theddid u l-metodi ġodda ta 'protezzjoni, żid il-livell tiegħek ta' litteriżmu tekniku (inkluż fl-operat tas-servizzi u sottosistemi tal-IT), attendi konferenzi u kkomunika mal-kollegi.
Lest biex tiddiskuti l-organizzazzjoni tal-proċess TH fil-kummenti.
Jew ejja taħdem magħna!
Sorsi u materjali għall-istudju
Sors: www.habr.com