ခြိမ်းခြောက်အမဲလိုက်ခြင်း သို့မဟုတ် ခြိမ်းခြောက်မှု ၅% မှ သင့်ကိုယ်သင် ကာကွယ်နည်း

သတင်းအချက်အလက်လုံခြုံရေးခြိမ်းခြောက်မှုများ၏ 95% ကို သိရှိထားပြီး ၎င်းတို့မှ သင့်ကိုယ်သင် ကာကွယ်နိုင်သည့် ရိုးရာနည်းလမ်းများဖြစ်သည့် antiviruses၊ firewalls၊ IDS၊ WAF ကဲ့သို့သော ရိုးရာနည်းလမ်းများကို အသုံးပြုထားသည်။ ကျန် 5% သော ခြိမ်းခြောက်မှုများသည် မသိရသေးဘဲ အန္တရာယ်အရှိဆုံးဖြစ်သည်။ ၎င်းတို့ကို ရှာဖွေတွေ့ရှိရန် အလွန်ခက်ခဲပြီး ၎င်းတို့ကို ကာကွယ်ရန် အလွန်နည်းသောကြောင့် ကုမ္ပဏီတစ်ခုအတွက် အန္တရာယ်၏ 70% ဖြင့် ဖွဲ့စည်းထားသည်။ ဥပမာများ "ငန်းနက်" WannaCry ransomware ကပ်ရောဂါ၊ NotPetya/ExPetr၊ cryptominers၊ "ဆိုက်ဘာလက်နက်" Stuxnet (အီရန်၏နျူကလီးယားစက်ရုံများကို ထိမှန်သည့်) နှင့် Kido/Conficker တို့ကို ကောင်းစွာမမှတ်မိသော အခြားတိုက်ခိုက်မှုများစွာတို့ဖြစ်ကြသည် ။ Threat Hunting နည်းပညာကို အသုံးပြု၍ ဤခြိမ်းခြောက်မှု 5% ကို မည်သို့ တန်ပြန်ရမည်ကို ဆွေးနွေးလိုပါသည်။

ဆိုက်ဘာတိုက်ခိုက်မှုများ၏ စဉ်ဆက်မပြတ် ဆင့်ကဲပြောင်းလဲလာမှုသည် အဆက်မပြတ်ထောက်လှမ်းမှုနှင့် တန်ပြန်ဆောင်ရွက်မှုများ လိုအပ်ပြီး ၎င်းသည် တိုက်ခိုက်သူများနှင့် ခုခံကာကွယ်သူများကြား အဆုံးမဲ့လက်နက်ပြိုင်ဆိုင်မှုကို အဆုံးစွန်ထိ တွေးတောစေပါသည်။ ဂန္တဝင်လုံခြုံရေးစနစ်များသည် တိကျသောအခြေခံအဆောက်အအုံအတွက် မွမ်းမံပြင်ဆင်ခြင်းမရှိဘဲ ကုမ္ပဏီ၏အဓိကညွှန်းကိန်းများ (စီးပွားရေး၊ နိုင်ငံရေး၊ ဂုဏ်သိက္ခာ) ကို ထိခိုက်စေနိုင်သည့် အန္တရာယ်အဆင့်ကို မထိခိုက်စေဘဲ ယေဘုယျအားဖြင့် ၎င်းတို့အချို့ကို အကျုံးဝင်စေသော၊ အန္တရာယ်များ။ အကောင်အထည်ဖော်မှုနှင့် ဖွဲ့စည်းမှုလုပ်ငန်းစဉ်များတွင် ရှိနေပြီး၊ ခေတ်မီလုံခြုံရေးစနစ်များသည် ၎င်းတို့ကို လိုက်လျောညီထွေဖြစ်စေရန်နှင့် ခေတ်သစ်၏စိန်ခေါ်မှုများကို တုံ့ပြန်ရမည်ဖြစ်သည်။

အရင်းအမြစ်

ခြိမ်းခြောက်အမဲလိုက်ခြင်းနည်းပညာသည် သတင်းအချက်အလက်လုံခြုံရေးကျွမ်းကျင်သူတစ်ဦးအတွက် ကျွန်ုပ်တို့၏အချိန်ကာလ၏စိန်ခေါ်မှုများအတွက် အဖြေတစ်ခုဖြစ်နိုင်ပါသည်။ ခြိမ်းခြောက်အမဲလိုက်ခြင်း (နောင် TH အဖြစ်ရည်ညွှန်းသည်) ဟူသော ဝေါဟာရသည် လွန်ခဲ့သော နှစ်ပေါင်းများစွာက ပေါ်ထွက်ခဲ့သည်။ နည်းပညာကိုယ်တိုင်က အတော်လေး စိတ်ဝင်စားဖို့ကောင်းပေမယ့် ယေဘူယျလက်ခံထားတဲ့ စံနှုန်းတွေနဲ့ စည်းကမ်းတွေ မရှိသေးပါ။ သတင်းအချက်အလက်ရင်းမြစ်များ၏ မျိုးရိုးဗီဇနှင့် ဤအကြောင်းအရာနှင့်ပတ်သက်သော ရုရှားဘာသာစကား သတင်းရင်းမြစ်အနည်းစုတို့ကြောင့်လည်း ရှုပ်ထွေးပါသည်။ ယင်းနှင့်ပတ်သက်၍ ကျွန်ုပ်တို့သည် LANIT-Integration မှ ဤနည်းပညာကို ပြန်လည်သုံးသပ်ရန် ဆုံးဖြတ်ခဲ့သည်။

Topic

TH နည်းပညာသည် အခြေခံအဆောက်အဦ စောင့်ကြည့်ရေး လုပ်ငန်းစဉ်များပေါ်တွင် မူတည်သည်။ အတွင်းပိုင်း စောင့်ကြည့်ခြင်းအတွက် အဓိက အခြေအနေ နှစ်ခု ရှိသည် - သတိပေးချက် နှင့် အမဲလိုက်ခြင်း. သတိပေးခြင်း (MSSP ဝန်ဆောင်မှုများနှင့် ဆင်တူသည်) သည် ယခင်က ဖန်တီးထားသော လက်မှတ်များနှင့် တိုက်ခိုက်မှုများ၏ လက္ခဏာများကို ရှာဖွေကာ ၎င်းတို့အား တုံ့ပြန်သည့် အစဉ်အလာနည်းလမ်းတစ်ခုဖြစ်သည်။ ဤဇာတ်လမ်းကို ရိုးရာလက်မှတ်အခြေခံကာကွယ်မှုကိရိယာများဖြင့် အောင်မြင်စွာလုပ်ဆောင်သည်။ အမဲလိုက်ခြင်း (MDR အမျိုးအစား ဝန်ဆောင်မှု) သည် "လက်မှတ်များနှင့် စည်းမျဉ်းများ ဘယ်ကလာသနည်း" မေးခွန်းကို ဖြေပေးသည့် စောင့်ကြည့်ရေးနည်းလမ်းတစ်ခုဖြစ်သည်။ ၎င်းသည် လျှို့ဝှက်ထားသော သို့မဟုတ် ယခင်က မသိရသေးသော အညွှန်းများနှင့် တိုက်ခိုက်မှုတစ်ခု၏ လက္ခဏာများကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ဆက်စပ်စည်းမျဉ်းများကို ဖန်တီးသည့် လုပ်ငန်းစဉ်ဖြစ်သည်။ Threat Hunting သည် ဤစောင့်ကြည့်မှုအမျိုးအစားကို ရည်ညွှန်းသည်။

စောင့်ကြည့်မှု အမျိုးအစား နှစ်မျိုးလုံးကို ပေါင်းစပ်ခြင်းဖြင့်သာ စံနမူနာနှင့် နီးစပ်သော အကာအကွယ်ကို ကျွန်ုပ်တို့ ရရှိနိုင်မည်ဖြစ်သော်လည်း ကျန်ရှိနေသော အန္တရာယ် အဆင့်အချို့ အမြဲရှိပါသည်။

အကာအကွယ် နှစ်မျိုးလုံးကို အသုံးပြု၍ စောင့်ကြည့်ခြင်း။

ဤသည်မှာ TH (တစ်ခုလုံးကို အမဲလိုက်ခြင်း) သည် ပို၍သက်ဆိုင်လာမည်ဖြစ်သောကြောင့်၊

ခြိမ်းခြောက်မှု၊ ကုစားမှု၊ အန္တရာယ်များ။ အရင်းအမြစ်

ခြိမ်းခြောက်မှုအားလုံး၏ 95% ကို ကောင်းစွာလေ့လာထားပြီးဖြစ်သည်။. ၎င်းတို့တွင် spam၊ DDoS၊ viruses၊ rootkits နှင့် အခြားသော classic malware အမျိုးအစားများ ပါဝင်သည်။ တူညီသော ဂန္တဝင်လုံခြုံရေးအစီအမံများကို အသုံးပြု၍ ဤခြိမ်းခြောက်မှုများမှ သင့်ကိုယ်သင် ကာကွယ်နိုင်ပါသည်။

စီမံကိန်းတစ်ခုခုကို အကောင်အထည်ဖော်နေစဉ် အလုပ်၏ 20% သည် ပြီးမြောက်ရန် အချိန်၏ 80% ကြာသည်။အလုပ်၏ကျန် 20% သည် အချိန်၏ 80% ကြာသည်။ အလားတူပင်၊ ခြိမ်းခြောက်မှုအခင်းအကျင်းတစ်ခုလုံးတွင်၊ ခြိမ်းခြောက်မှုအသစ်များ၏ 5% သည် ကုမ္ပဏီတစ်ခုအတွက် အန္တရာယ်၏ 70% အတွက် ဖြစ်လိမ့်မည်။ သတင်းအချက်အလက် လုံခြုံရေး စီမံခန့်ခွဲမှု လုပ်ငန်းစဉ်များကို ဖွဲ့စည်းထားသည့် ကုမ္ပဏီတစ်ခုတွင်၊ (မူအရအားဖြင့် ကြိုးမဲ့ကွန်ရက်များကို ငြင်းဆိုခြင်း)၊ လက်ခံခြင်း (လိုအပ်သော လုံခြုံရေးအစီအမံများကို အကောင်အထည်ဖော်ခြင်း) သို့မဟုတ် ရွှေ့ပြောင်းခြင်းမှ ရှောင်ရှားခြင်းဖြင့် သိရှိထားသော ခြိမ်းခြောက်မှုများ၏ 30% ကို တစ်နည်းမဟုတ်တစ်နည်းဖြင့် စီမံခန့်ခွဲနိုင်ပါသည်။ (ဥပမာ၊ ပေါင်းစပ်သူ၏ပခုံးပေါ်သို့) ဤအန္တရာယ်။ ကိုယ့်ကိုကိုယ်ကာကွယ်ပါ။ zero-day အားနည်းချက်များAPT တိုက်ခိုက်မှုများ၊ ဖြားယောင်းခြင်း၊ ထောက်ပံ့ရေးကွင်းဆက်တိုက်ခိုက်မှုဆိုက်ဘာသူလျှိုလုပ်ခြင်း နှင့် နိုင်ငံလုံးဆိုင်ရာ စစ်ဆင်ရေးများအပြင် အခြားသော တိုက်ခိုက်မှု အများအပြားသည် ပိုမိုခက်ခဲနေပြီဖြစ်သည်။ အဆိုပါ ခြိမ်းခြောက်မှုများ၏ 5% ၏အကျိုးဆက်များသည် ပိုမိုပြင်းထန်လိမ့်မည် (buhtrap အုပ်စုမှ ဘဏ်ဆုံးရှုံးမှု ပျမ်းမျှပမာဏမှာ ၁၄၃ သန်းဖြစ်သည်။) Antivirus ဆော့ဝဲလ်မှ သိမ်းဆည်းထားသည့် spam သို့မဟုတ် ဗိုင်းရပ်စ်များ၏ အကျိုးဆက်များထက်။

လူတိုင်းနီးပါးသည် ခြိမ်းခြောက်မှု၏ 5% ကို ရင်ဆိုင်ရမည်ဖြစ်ပါသည်။ ကျွန်ုပ်တို့သည် မကြာသေးမီက PEAR (PHP Extension and Application Repository) repository မှ အက်ပလီကေးရှင်းကို အသုံးပြုသည့် open-source ဖြေရှင်းချက်ကို ထည့်သွင်းခဲ့ရပါသည်။ သစ်တော်သီးတပ်ဆင်မှုမှတစ်ဆင့် ဤအပလီကေးရှင်းကိုထည့်သွင်းရန်ကြိုးပမ်းမှု မအောင်မြင်သောကြောင့်ဖြစ်သည်။ က်ဘ်ဆိုက် မရနိုင်ပါ (ယခု ၎င်းတွင် ဆောင်းပါးတိုတစ်ခု ရှိသည်)၊ ကျွန်ုပ် ၎င်းကို GitHub မှ ထည့်သွင်းခဲ့ရပါသည်။ မကြာသေးမီကပင် PEAR သည် သားကောင်ဖြစ်လာခဲ့သည် ထောက်ပံ့ရေးကွင်းဆက်တိုက်ခိုက်မှု.

မှတ်မိသေးလား။ CCleaner ကို အသုံးပြု၍ တိုက်ခိုက်ခြင်း။အခွန်အစီရင်ခံခြင်းပရိုဂရမ်အတွက် အပ်ဒိတ် module တစ်ခုမှတဆင့် NePetya ransomware ၏ကူးစက်ရောဂါ MEDoc. ခြိမ်းခြောက်မှုများသည် ပို၍ပို၍ ဆန်းပြားလာကာ ယုတ္တိတန်သောမေးခွန်း ပေါ်လာသည် - "ဤခြိမ်းခြောက်မှု 5% ကို ကျွန်ုပ်တို့ မည်သို့တုံ့ပြန်နိုင်မည်နည်း။"

ခြိမ်းခြောက်အမဲလိုက်ခြင်း၏အဓိပ္ပါယ်

ထို့ကြောင့်၊ Threat Hunting သည် သမားရိုးကျ လုံခြုံရေးကိရိယာများဖြင့် ထောက်လှမ်း၍မရသော အဆင့်မြင့်ခြိမ်းခြောက်မှုများကို တက်ကြွပြီး ထပ်ခါထပ်ခါ ရှာဖွေခြင်းနှင့် ထောက်လှမ်းခြင်းလုပ်ငန်းစဉ်ဖြစ်သည်။ အဆင့်မြင့် ခြိမ်းခြောက်မှုများတွင် ဥပမာ၊ APT ကဲ့သို့သော တိုက်ခိုက်မှုများ၊ 0 ရက်ကြာ အားနည်းချက်များကို တိုက်ခိုက်ခြင်း၊ Living off the Land စသည်တို့ ပါဝင်ပါသည်။

TH သည် ယူဆချက်များအား စမ်းသပ်သည့် လုပ်ငန်းစဉ်ဖြစ်ကြောင်းလည်း ပြန်ဆိုနိုင်သည်။ ဤသည်မှာ အလိုအလျောက်စနစ်၏ဒြပ်စင်များပါရှိသော အများစုသော လက်စွဲလုပ်ငန်းစဉ်ဖြစ်ပြီး၊ လေ့လာသူသည် သူ၏အသိပညာနှင့် ကျွမ်းကျင်မှုများကို အားကိုးကာ အချို့သောခြိမ်းခြောက်မှုတစ်ခုရှိနေခြင်းနှင့်ပတ်သက်၍ ကနဦးသတ်မှတ်ထားသောယူဆချက်နှင့်ကိုက်ညီသည့် အပေးအယူရှိသောလက္ခဏာများကို ရှာဖွေရန်အတွက် သတင်းအချက်အလက်အများအပြားကို အစုအဝေးများမှတဆင့် ခွဲထုတ်သည်။ ၎င်း၏ထူးခြားချက်မှာ သတင်းအချက်အလတ်မျိုးစုံရှိသည်။

Threat Hunting သည် ဆော့ဖ်ဝဲလ် သို့မဟုတ် ဟာ့ဒ်ဝဲ ထုတ်ကုန်တစ်မျိုးမဟုတ်ကြောင်း သတိပြုသင့်သည်။ ဤအရာများသည် အချို့သောဖြေရှင်းချက်များတွင် မြင်တွေ့နိုင်သည့် သတိပေးချက်များမဟုတ်ပါ။ ၎င်းသည် IOC (Identifiers of Compromise) ရှာဖွေရေးလုပ်ငန်းစဉ်မဟုတ်ပါ။ ဤသည်မှာ သတင်းအချက်အလက် လုံခြုံရေး လေ့လာသုံးသပ်သူများ၏ ပါဝင်မှုမရှိဘဲ ဖြစ်ပေါ်လာသော လှုပ်ရှားမှုမျိုးမဟုတ်ပေ။ ခြိမ်းခြောက်အမဲလိုက်ခြင်းသည် ပထမဆုံးနှင့် ဗွေဆော်ဦးလုပ်ငန်းစဉ်ဖြစ်သည်။

Threat Hunting ၏ အစိတ်အပိုင်းများ

Threat Hunting ၏ အဓိက အစိတ်အပိုင်း သုံးခု- ဒေတာ၊ နည်းပညာ၊ လူ။

ဒေတာ (ဘာလဲ?)Big Data အပါအဝင်။ အသွားအလာ အမျိုးမျိုး၊ ယခင် APT များအကြောင်း အချက်အလက်များ၊ ခွဲခြမ်းစိတ်ဖြာချက်၊ အသုံးပြုသူ လုပ်ဆောင်ချက်ဆိုင်ရာ ဒေတာ၊ ကွန်ရက်ဒေတာ၊ ဝန်ထမ်းများထံမှ အချက်အလက်များ၊ darknet ပေါ်ရှိ အချက်အလက်များ နှင့် အခြားအရာများ။

နည်းပညာများ (ဘယ်လိုလဲ) ဤဒေတာကို လုပ်ဆောင်ခြင်း - Machine Learning အပါအဝင် ဤဒေတာကို လုပ်ဆောင်ရန် ဖြစ်နိုင်သည့်နည်းလမ်းများအားလုံးကို။

လူတွေ (ဘယ်သူလဲ) - အမျိုးမျိုးသော တိုက်ခိုက်မှုများကို ခွဲခြမ်းစိတ်ဖြာခြင်းတွင် အတွေ့အကြုံများစွာရှိသူများ၊ ထိုးထွင်းသိမြင်နိုင်စွမ်းနှင့် တိုက်ခိုက်မှုကို ဖော်ထုတ်နိုင်စွမ်းရှိသူများ။ ယေဘုယျအားဖြင့် ၎င်းတို့သည် တွေးခေါ်ချက်များကို ထုတ်ပေးနိုင်ပြီး ၎င်းတို့အတွက် အတည်ပြုချက်ကို ရှာဖွေနိုင်စွမ်းရှိရမည့် သတင်းအချက်အလက် လုံခြုံရေး လေ့လာသုံးသပ်သူများဖြစ်သည်။ ၎င်းတို့သည် လုပ်ငန်းစဉ်တွင် အဓိက လင့်ခ်များဖြစ်သည်။

မော်ဒယ် PARIS

Adam Bateman ဖော်ပြသည် စံပြ TH လုပ်ငန်းစဉ်အတွက် PARIS မော်ဒယ်။ ထိုအမည်သည် ပြင်သစ်ရှိ အထင်ကရနေရာတစ်ခုအဖြစ် ရည်ညွှန်းသည်။ ဤမော်ဒယ်ကို အပေါ်မှ နှင့် အောက်မှ လမ်းကြောင်း နှစ်ခုဖြင့် ကြည့်ရှုနိုင်ပါသည်။

ကျွန်ုပ်တို့သည် မော်ဒယ်ကို အောက်ခြေမှ တဆင့် လုပ်ဆောင်သည်နှင့်အမျှ၊ ကျွန်ုပ်တို့သည် အန္တရာယ်ရှိသော လုပ်ဆောင်မှု၏ အထောက်အထားများစွာကို ကြုံတွေ့ရမည်ဖြစ်ပါသည်။ အထောက်အထားတစ်ခုစီတိုင်းတွင် ယုံကြည်မှုဟုခေါ်သော အတိုင်းအတာတစ်ခုရှိသည် - ဤအထောက်အထား၏အလေးချိန်ကို ထင်ဟပ်စေသည့် လက္ခဏာတစ်ခုရှိသည်။ ကျွန်ုပ်တို့သည် ပိရမစ်ထိပ်သို့ ချက်ချင်းရောက်ရှိနိုင်ပြီး တိကျစွာသိထားသော ကူးစက်ခံရမှုနှင့်ပတ်သက်၍ အမှန်တကယ်သတိပေးချက်ဖန်တီးနိုင်သောကြောင့် “သံ”၊ အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်၏ တိုက်ရိုက်အထောက်အထားများ ရှိပါသည်။ သွယ်ဝိုက်သော အထောက်အထားများ ရှိသည်၊ ထိုပမာဏသည် ကျွန်ုပ်တို့အား ပိရမစ်၏ထိပ်သို့ ပို့ဆောင်ပေးနိုင်သည် ။ အစဉ်အတိုင်း၊ တိုက်ရိုက်သက်သေအထောက်အထားများထက် သွယ်ဝိုက်သောသက်သေများစွာရှိသည်၊ ဆိုလိုသည်မှာ ၎င်းတို့ကို ခွဲခြမ်းစိတ်ဖြာရန် လိုအပ်သည်၊ ထပ်လောင်းသုတေသနပြုလုပ်ရမည်ဖြစ်ပြီး ၎င်းကို အလိုအလျောက်ပြုလုပ်ရန် အကြံပြုလိုပါသည်။

မော်ဒယ် PARIS ။ အရင်းအမြစ်

မော်ဒယ် (1 နှင့် 2) ၏ အပေါ်ပိုင်းသည် အလိုအလျောက်စနစ်နည်းပညာများနှင့် အမျိုးမျိုးသော ခွဲခြမ်းစိတ်ဖြာမှုများအပေါ် အခြေခံထားပြီး အောက်ပိုင်း (3 နှင့် 4) သည် လုပ်ငန်းစဉ်ကို စီမံခန့်ခွဲသော အရည်အချင်းအချို့ရှိသူများအပေါ် အခြေခံထားသည်။ အပြာရောင်၏ အပေါ်ပိုင်းတွင် ကျွန်ုပ်တို့သည် ယုံကြည်မှုနှင့် ယုံကြည်မှုမြင့်မားသော ရိုးရာလုံခြုံရေးကိရိယာများ ( antivirus ၊ EDR ၊ firewall ၊ signatures ) တို့မှ သတိပေးချက်များ ပါရှိသည့် အပေါ်မှအောက်ခြေသို့ ရွေ့လျားနေသည့် မော်ဒယ်ကို သင်စဉ်းစားနိုင်ပြီး၊ အောက်တွင် ညွှန်ကိန်းများ ( IOC၊ URL၊ MD5 နှင့် အခြားအရာများ) သည် သေချာမှုနည်းပါးပြီး ထပ်လောင်းလေ့လာမှု လိုအပ်ပါသည်။ အနိမ့်ဆုံးနှင့် အထူဆုံးအဆင့် (၄) သည် သမားရိုးကျ အကာအကွယ်ပေးသည့် လုပ်ဆောင်ချက်အတွက် မြင်ကွင်းအသစ်များ ဖန်တီးခြင်းဖြစ်သည်ဟု ယူဆချက်များ၏ မျိုးဆက်ဖြစ်သည်။ ဤအဆင့်သည် သတ်မှတ်ထားသော ယူဆချက်များ၏ အရင်းအမြစ်များ အတွက်သာ အကန့်အသတ်မရှိပေ။ အဆင့်နိမ့်လေ၊ လေ့လာသူ၏ အရည်အချင်းများအပေါ်တွင် လိုအပ်ချက် ပိုများလေဖြစ်သည်။

ခွဲခြမ်းစိတ်ဖြာသူများသည် ကြိုတင်သတ်မှတ်ထားသော ယူဆချက်များကို ရိုးရှင်းစွာ မစမ်းသပ်ဘဲ၊ ၎င်းတို့ကို စမ်းသပ်ရန်အတွက် တွေးခေါ်မှုအသစ်များနှင့် ရွေးချယ်စရာများဖန်တီးရန် အဆက်မပြတ်လုပ်ဆောင်ရန် အလွန်အရေးကြီးပါသည်။

TH အသုံးပြုမှု ရင့်ကျက်မှုပုံစံ

စံပြကမ္ဘာတစ်ခုတွင် TH သည် ဆက်လက်လုပ်ဆောင်နေသော လုပ်ငန်းစဉ်တစ်ခုဖြစ်သည်။ သို့သော်၊ စံနမူနာကမ္ဘာမရှိသောကြောင့်၊ ခွဲခြမ်းစိတ်ဖြာကြည့်ကြပါစို့ ရင့်ကျက်မှုပုံစံ လူများ၊ လုပ်ငန်းစဉ်များနှင့် နည်းပညာများတွင် အသုံးပြုသော နည်းလမ်းများ။ စံပြစက်ဝိုင်း TH ၏ မော်ဒယ်ကို သုံးသပ်ကြည့်ကြစို့။ ဤနည်းပညာကိုအသုံးပြုခြင်းအဆင့် 5 ရှိသည်။ အကဲခတ်အဖွဲ့တစ်ဖွဲ့တည်း၏ ဆင့်ကဲဖြစ်စဉ်နမူနာကို အသုံးပြု၍ ၎င်းတို့ကို ကြည့်ကြပါစို့။

ရင့်ကျက်မှုအဆင့်များ
လူထု
လုပ်ငန်းစဉ်များ
နည်းပညာ

အဆင့် 0
SOC လေ့လာသုံးသပ်သူများ
24/7
ရိုးရာတူရိယာများ

အစဉ်အလာ
သတိပေးချက်အစုံ
Passive စောင့်ကြည့်ခြင်း။
IDS၊ AV၊ Sandboxing၊

TH မပါဘဲ
သတိပေးချက်များနှင့်အတူအလုပ်လုပ်

လက်မှတ်ခွဲခြမ်းစိတ်ဖြာခြင်းကိရိယာများ၊ ခြိမ်းခြောက်မှုထောက်လှမ်းရေးဒေတာ။

အဆင့် 1
SOC လေ့လာသုံးသပ်သူများ
တစ်ကြိမ် TH
BDU

သမ္ဘာ
မှုခင်းဆေးပညာဆိုင်ရာ အခြေခံဗဟုသုတ
အိုင်အိုစီ ရှာဖွေရေး
ကွန်ရက်စက်ပစ္စည်းများမှ ဒေတာများ၏ တစ်စိတ်တစ်ပိုင်း လွှမ်းခြုံမှု

TH ဖြင့် စမ်းသပ်မှုများ
Network နှင့် Application များကို ကောင်းမွန်စွာ သိရှိနိုင်ရမည်။

တစ်စိတ်တစ်ပိုင်းလျှောက်လွှာ

အဆင့် 2
ယာယီအလုပ်အကိုင်
ပြေးခြင်း။
BDU

အချိန်အခါအလိုက်
မှုခင်းဆေးပညာဆိုင်ရာ ပျမ်းမျှအသိပညာ
တစ်ပတ်မှ တစ်လ
လျှောက်လွှာအပြည့်အစုံ

ယာယီ TH
Network နှင့် Application များကို အထူးကောင်းမွန်သော ဗဟုသုတ
ပုံမှန် TH
EDR ဒေတာအသုံးပြုမှု၏ အပြည့်အဝ အလိုအလျောက်စနစ်

အဆင့်မြင့် EDR စွမ်းရည်များကို တစ်စိတ်တစ်ပိုင်းအသုံးပြုခြင်း။

အဆင့် 3
သီးသန့် TH အမိန့်
24/7
တစ်စိတ်တစ်ပိုင်း TH အယူအဆများကို စမ်းသပ်နိုင်စွမ်း

ကြိုတင်ကာကွယ်မှု
မှုခင်းဆေးပညာနှင့် malware ဆိုင်ရာ အထူးကောင်းမွန်သော အသိပညာ
ကြိုတင်ကာကွယ်မှု TH
အဆင့်မြင့် EDR စွမ်းရည်များကို အပြည့်အဝအသုံးပြုခြင်း။

အထူးကိစ္စများတွင် TH
တိုက်စစ်ပိုင်းကို ကောင်းကောင်းသိတယ်။
အထူးကိစ္စများတွင် TH
ကွန်ရက်စက်ပစ္စည်းများမှ ဒေတာအပြည့်အစုံကို လွှမ်းခြုံထားသည်။

သင်၏လိုအပ်ချက်များနှင့်ကိုက်ညီစေရန်ဖွဲ့စည်းမှု

အဆင့် 4
သီးသန့် TH အမိန့်
24/7
TH အယူအဆများကို စမ်းသပ်ရန် စွမ်းရည်အပြည့်

ဇာတ်လိုက်
မှုခင်းဆေးပညာနှင့် malware ဆိုင်ရာ အထူးကောင်းမွန်သော အသိပညာ
ကြိုတင်ကာကွယ်မှု TH
အဆင့် 3၊ အပေါင်း-

TH ကိုအသုံးပြုခြင်း။
တိုက်စစ်ပိုင်းကို ကောင်းကောင်းသိတယ်။
စမ်းသပ်ခြင်း၊ အလိုအလျောက်လုပ်ဆောင်ခြင်းနှင့် TH အယူအဆများကို အတည်ပြုခြင်း။
ဒေတာရင်းမြစ်များ၏ တင်းကျပ်စွာ ပေါင်းစပ်မှု၊

သုတေသနစွမ်းရည်

API ၏ စံသတ်မှတ်ချက်မဟုတ်သော အသုံးပြုမှု လိုအပ်ချက်အရ ဖွံ့ဖြိုးတိုးတက်မှု။

လူများ၊ လုပ်ငန်းစဉ်များနှင့် နည်းပညာများဖြင့် TH ရင့်ကျက်မှုအဆင့်

အဆင့် ၁: TH မသုံးဘဲ ရိုးရာ။ ပုံမှန်လေ့လာသုံးသပ်သူများသည် စံကိရိယာများနှင့် နည်းပညာများ- IDS၊ AV၊ sandbox၊ လက်မှတ်ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများကို အသုံးပြု၍ passive စောင့်ကြည့်ခြင်းမုဒ်တွင် စံသတ်မှတ်ထားသော သတိပေးချက်များနှင့် အလုပ်လုပ်ပါသည်။

အဆင့် ၁: TH ကို အသုံးပြု၍ စမ်းသပ်ခြင်း။ မှုခင်းဆေးပညာဆိုင်ရာ အခြေခံအသိပညာနှင့် ကွန်ရက်များနှင့် အပလီကေးရှင်းများအကြောင်း ကောင်းစွာသိရှိထားသည့် တူညီသောလေ့လာသုံးသပ်သူများသည် အပေးအယူဆိုင်ရာ ညွှန်ကိန်းများကို ရှာဖွေခြင်းဖြင့် တစ်ကြိမ်တစ်ခါ ခြိမ်းခြောက်မှုအမဲလိုက်ခြင်းကို လုပ်ဆောင်နိုင်သည်။ ကွန်ရက်စက်ပစ္စည်းများမှ ဒေတာတစ်စိတ်တစ်ပိုင်းအကျုံးဝင်သည့် ကိရိယာများတွင် EDR များကို ထည့်သွင်းထားသည်။ ကိရိယာများကို တစ်စိတ်တစ်ပိုင်း အသုံးပြုထားသည်။

အဆင့် ၁: အချိန်အလိုက်၊ ယာယီ TH။ မှုခင်းဆေးပညာ၊ ကွန်ရက်များနှင့် အက်ပလီကေးရှင်းများတွင် ၎င်းတို့၏ အသိပညာကို အဆင့်မြှင့်ထားပြီးဖြစ်သည့် အလားတူ လေ့လာသုံးသပ်သူများသည် ခြိမ်းခြောက်အမဲလိုက်ခြင်း (ပြေးလွှားခြင်း) တွင် တစ်လလျှင် တစ်ပတ် ပုံမှန်ပါဝင်ရန် လိုအပ်သည်ဟု ဆိုသည်။ ကိရိယာများသည် ကွန်ရက်စက်ပစ္စည်းများမှ ဒေတာကို အပြည့်အဝရှာဖွေခြင်း၊ EDR မှ ဒေတာခွဲခြမ်းစိတ်ဖြာမှုကို အလိုအလျောက်လုပ်ဆောင်ခြင်းနှင့် အဆင့်မြင့် EDR စွမ်းရည်များကို တစ်စိတ်တစ်ပိုင်းအသုံးပြုခြင်းတို့ကို ပေါင်းထည့်ပါသည်။

အဆင့် ၁: TH ၏ကြိုတင်ကာကွယ်မှု၊ မကြာခဏဖြစ်ပွားမှုများ။ ကျွန်ုပ်တို့၏ သုံးသပ်သူများသည် မိမိတို့ကိုယ်ကို သီးခြားအဖွဲ့တစ်ခုအဖြစ် ဖွဲ့စည်းပြီး မှုခင်းဆေးပညာနှင့် မဲလ်ဝဲဆိုင်ရာ အသိပညာအပြင် တိုက်ခိုက်ရေးဘက်ဆိုင်ရာ နည်းလမ်းများနှင့် နည်းပရိယာယ်ဆိုင်ရာ အသိပညာများပါရှိလာသည်။ လုပ်ငန်းစဉ်ကို 24/7 ဆောင်ရွက်နေပြီဖြစ်သည်။ အဖွဲ့သည် ကွန်ရက်စက်ပစ္စည်းများမှ ဒေတာအပြည့်အ၀လွှမ်းခြုံမှုဖြင့် EDR ၏အဆင့်မြင့်စွမ်းဆောင်ရည်များကို အပြည့်အဝအသုံးချနေချိန်တွင် TH အယူအဆများကို တစ်စိတ်တစ်ပိုင်းစမ်းသပ်နိုင်သည်။ အကဲခတ်သူများသည် ၎င်းတို့၏ လိုအပ်ချက်များနှင့် ကိုက်ညီသော ကိရိယာများကို လည်း စီစဉ်သတ်မှတ်နိုင်သည်။

အဆင့် ၁: အဆင့်မြင့်၊ TH ကိုသုံးပါ။ တူညီသောအဖွဲ့သည် သုတေသနပြုနိုင်စွမ်း၊ TH အယူအဆများကို စမ်းသပ်ခြင်းလုပ်ငန်းစဉ်ကို အလိုအလျောက်ထုတ်လုပ်နိုင်စွမ်းနှင့် အလိုအလျောက်လုပ်ဆောင်နိုင်စွမ်းတို့ကို ရရှိခဲ့သည်။ ယခုအခါ ကိရိယာများကို ဒေတာရင်းမြစ်များ၏ အနီးကပ်ပေါင်းစည်းမှု၊ လိုအပ်ချက်များနှင့် ကိုက်ညီစေရန် ဆော့ဖ်ဝဲလ်ဖွံ့ဖြိုးတိုးတက်မှုနှင့် API များကို စံမဟုတ်သော အသုံးပြုမှုတို့ဖြင့် ဖြည့်စွက်ထားသည်။

ခြိမ်းခြောက်အမဲလိုက်ခြင်းနည်းပညာများ

အခြေခံခြိမ်းခြောက်မှုအမဲလိုက်ခြင်းနည်းပညာများ

К နည်းပညာရှင်များ အသုံးပြုထားသောနည်းပညာ၏ရင့်ကျက်မှုအစီအစဥ်အရ TH သည် အခြေခံရှာဖွေမှု၊ ကိန်းဂဏန်းခွဲခြမ်းစိတ်ဖြာမှု၊ အမြင်အာရုံပုံဖော်ခြင်းနည်းပညာများ၊ ရိုးရှင်းသောစုစည်းမှုများ၊ စက်သင်ယူမှုနှင့် Bayesian နည်းလမ်းများ။

အရိုးရှင်းဆုံးနည်းလမ်းဖြစ်သည့် အခြေခံရှာဖွေမှုအား တိကျသောမေးခွန်းများကို အသုံးပြု၍ သုတေသနနယ်ပယ်ကို ကျဉ်းမြောင်းစေရန် အသုံးပြုပါသည်။ ဥပမာအားဖြင့်၊ ပုံမှန်အသုံးပြုသူ သို့မဟုတ် ကွန်ရက်လုပ်ဆောင်ချက်ကို ကိန်းဂဏန်းစံနမူနာပုံစံဖြင့် တည်ဆောက်ရန်အတွက် ကိန်းဂဏန်းခွဲခြမ်းစိတ်ဖြာမှုကို အသုံးပြုသည်။ Visualization နည်းပညာများကို ဂရပ်များနှင့် ဇယားများပုံစံဖြင့် ဒေတာခွဲခြမ်းစိတ်ဖြာမှုကို ရိုးရှင်းလွယ်ကူစွာ မြင်သာအောင်ပြသရန်နှင့် နမူနာပုံစံများကို ပိုင်းခြားသိမြင်ရန် ပိုမိုလွယ်ကူစေသည်။ အဓိကနယ်ပယ်များအလိုက် ရိုးရှင်းသော စုစည်းမှုနည်းပညာကို ရှာဖွေမှုနှင့် ခွဲခြမ်းစိတ်ဖြာမှုကို အကောင်းဆုံးဖြစ်အောင် ပြုလုပ်ရန် အသုံးပြုပါသည်။ အဖွဲ့အစည်းတစ်ခု၏ TH လုပ်ငန်းစဉ်များ ပိုမိုရင့်ကျက်လာလေ၊ စက်သင်ယူမှု အယ်လဂိုရီသမ်များကို အသုံးပြုခြင်းသည် ပိုမိုသက်ဆိုင်လာလေဖြစ်သည်။ ၎င်းတို့ကို spam စစ်ထုတ်ခြင်း၊ အန္တရာယ်ရှိသော အသွားအလာများကို ရှာဖွေခြင်းနှင့် လိမ်လည်လှည့်ဖြားသည့် လုပ်ဆောင်ချက်များကို ရှာဖွေခြင်းတွင်လည်း တွင်ကျယ်စွာ အသုံးပြုပါသည်။ ပိုမိုအဆင့်မြင့်သော စက်သင်ယူမှု အယ်လဂိုရီသမ် အမျိုးအစားသည် အမျိုးအစားခွဲခြင်း၊ နမူနာအရွယ်အစား လျှော့ချခြင်းနှင့် ခေါင်းစဉ်ပုံစံ ရေးဆွဲခြင်းတို့ကို ခွင့်ပြုသည့် Bayesian နည်းလမ်းများဖြစ်သည်။

Diamond Model နှင့် TH Strategies

Sergio Caltagiron၊ Andrew Pendegast နှင့် Christopher Betz တို့သည် ၎င်းတို့၏ အလုပ်တွင် "ကျူးကျော်ဝင်ရောက်မှု ခွဲခြမ်းစိတ်ဖြာခြင်း၏ စိန်ပုံစံ» အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များ၏ အဓိကသော့ချက်အစိတ်အပိုင်းများနှင့် ၎င်းတို့ကြားရှိ အခြေခံချိတ်ဆက်မှုများကို ပြသခဲ့သည်။

အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်အတွက် စိန်မော်ဒယ်

ဤပုံစံအရ၊ ဆက်စပ်သောသော့ချက်အစိတ်အပိုင်းများအပေါ်အခြေခံသည့် ခြိမ်းခြောက်မှုအမဲလိုက်ခြင်းဗျူဟာ ၄ ခုရှိသည်။

1. သားကောင်ဆန်တဲ့ဗျူဟာ။ သားကောင်တွင် ပြိုင်ဘက်များရှိနေသည်ဟု ကျွန်ုပ်တို့ယူဆပြီး ၎င်းတို့သည် အီးမေးလ်မှတစ်ဆင့် “အခွင့်အလမ်းများ” ကို ပေးဆောင်မည်ဖြစ်သည်။ ကျွန်ုပ်တို့သည် အီးမေးလ်ထဲတွင် ရန်သူဒေတာကို ရှာဖွေနေပါသည်။ လင့်ခ်များ၊ ပူးတွဲပါဖိုင်များ စသည်တို့ကို ရှာဖွေပါ။ ကျွန်ုပ်တို့သည် အချိန်ကာလတစ်ခု (တစ်လ၊ နှစ်ပတ်) အတွက် ဤယူဆချက်အား အတည်ပြုချက်ကို ရှာဖွေနေပါသည်၊ ၎င်းကို မတွေ့ပါက၊ ယင်းယူဆချက်သည် အလုပ်မဖြစ်ပါ။

2. အခြေခံအဆောက်အဦ-အသားပေးဗျူဟာ။ ဤနည်းဗျူဟာကို အသုံးပြုရန် နည်းလမ်းများစွာရှိပါသည်။ ဝင်ရောက်မှုနှင့် မြင်နိုင်စွမ်းပေါ်မူတည်၍ အချို့သည် အခြားသူများထက် ပိုမိုလွယ်ကူသည်။ ဥပမာအားဖြင့်၊ ကျွန်ုပ်တို့သည် အန္တရာယ်ရှိသော ဒိုမိန်းများကို လက်ခံဆောင်ရွက်ပေးသည်ဟု သိထားသော ဒိုမိန်းအမည်ဆာဗာများကို စောင့်ကြည့်ပါသည်။ သို့မဟုတ် ကျွန်ုပ်တို့သည် ရန်သူတစ်ဦးအသုံးပြုသည့် လူသိများသည့်ပုံစံအတွက် ဒိုမိန်းအမည်သစ်များ မှတ်ပုံတင်ခြင်းအားလုံးကို စောင့်ကြည့်စစ်ဆေးခြင်းလုပ်ငန်းစဉ်ကို ဖြတ်သန်းနေပါသည်။

3. စွမ်းဆောင်ရည်-မောင်းနှင်သောဗျူဟာ။ ကွန်ရက်ကာကွယ်သူများ အသုံးပြုသည့် သားကောင်ကို အာရုံစိုက်သည့် ဗျူဟာအပြင် အခွင့်အလမ်းကို အာရုံစိုက်သည့် နည်းဗျူဟာလည်း ရှိသည်။ ၎င်းသည် ဒုတိယလူကြိုက်အများဆုံးဖြစ်ပြီး၊ အမည်ရ “malware” နှင့် ရန်သူ၏စွမ်းရည်များဖြစ်သည့် psexec၊ powershell၊ certutil နှင့် အခြားတရားဝင်ကိရိယာများကို အသုံးပြုရန် ရန်သူ၏စွမ်းရည်ကို အာရုံစိုက်ထားသည်။

4. ရန်သူကို ဦးတည်သောဗျူဟာ။ ရန်ဘက်ဗဟိုပြုချဉ်းကပ်နည်းသည် ရန်သူကိုယ်တိုင်အပေါ် အာရုံစိုက်သည်။ ၎င်းတွင် အများသူငှာရရှိနိုင်သည့်ရင်းမြစ်များ (OSINT)၊ ရန်သူနှင့်ပတ်သက်သည့် ဒေတာစုဆောင်းမှု၊ ၎င်း၏နည်းပညာများနှင့် နည်းလမ်းများ (TTP)၊ ယခင်ဖြစ်ရပ်များကို ခွဲခြမ်းစိတ်ဖြာခြင်း၊ ခြိမ်းခြောက်မှုဆိုင်ရာ ထောက်လှမ်းရေးဒေတာ၊ စသည်တို့မှ ပွင့်လင်းသောအချက်အလက်များကို အသုံးပြုခြင်း ပါဝင်သည်။

TH ရှိ သတင်းအရင်းအမြစ်များနှင့် ယူဆချက်

ခြိမ်းခြောက်မှုအမဲလိုက်ခြင်းအတွက် သတင်းရင်းမြစ်အချို့

သတင်းအချက်အလက်အရင်းအမြစ်များစွာရှိနိုင်သည်။ စံပြသုံးသပ်သူသည် ပတ်ဝန်းကျင်ရှိအရာအားလုံးမှ အချက်အလက်များကို ထုတ်ယူနိုင်သင့်သည်။ အခြေခံအဆောက်အဦတိုင်းနီးပါးရှိ ပုံမှန်ရင်းမြစ်များသည် လုံခြုံရေးကိရိယာများမှဒေတာများဖြစ်ကြလိမ့်မည်- DLP၊ SIEM၊ IDS/IPS၊ WAF/FW၊ EDR။ ထို့အပြင်၊ ပုံမှန်သတင်းရင်းမြစ်များသည် အပေးအယူအနှိမ့်ချမှု၊ ခြိမ်းခြောက်မှုထောက်လှမ်းရေးဝန်ဆောင်မှုများ၊ CERT နှင့် OSINT ဒေတာများ၏ အမျိုးမျိုးသော ညွှန်ကိန်းများဖြစ်လိမ့်မည်။ ထို့အပြင်၊ သင်သည် darknet မှအချက်အလက်များကိုအသုံးပြုနိုင်သည် (ဥပမာ၊ အဖွဲ့အစည်းတစ်ခု၏အကြီးအကဲ၏စာတိုက်ပုံးကို ရုတ်တရက်ဟက်ခ်ရန်အမိန့်တစ်ခုရှိလာသည်၊ သို့မဟုတ် ကွန်ရက်အင်ဂျင်နီယာရာထူးအတွက် ကိုယ်စားလှယ်လောင်းတစ်ဦးသည် ၎င်း၏လုပ်ဆောင်ချက်အတွက် ဖော်ထုတ်ထားသည်)၊ HR (ယခင်အလုပ်နေရာမှ ကိုယ်စားလှယ်လောင်းအား ပြန်လည်သုံးသပ်ခြင်း)၊ လုံခြုံရေးဝန်ဆောင်မှုမှ အချက်အလက်များ (ဥပမာ၊ ပြိုင်ဘက်၏ အတည်ပြုခြင်းရလဒ်များ)။

သို့သော် ရရှိနိုင်သော အရင်းအမြစ်အားလုံးကို အသုံးမပြုမီ၊ အနည်းဆုံး ယူဆချက်တစ်ခုရှိရန် လိုအပ်ပါသည်။

အရင်းအမြစ်

အယူအဆများကို စမ်းသပ်ရန်အတွက် ၎င်းတို့ကို ဦးစွာတင်ပြရမည်ဖြစ်သည်။ အရည်အသွေးမြင့်သော ယူဆချက်များစွာကို တင်ပြနိုင်ရန်၊ စနစ်တကျ ချဉ်းကပ်မှုကို ကျင့်သုံးရန် လိုအပ်ပါသည်။ အယူအဆများ ဖန်တီးခြင်း လုပ်ငန်းစဉ်ကို တွင် ပိုမိုအသေးစိတ် ဖော်ပြထားပါသည်။ ဆောင်းပါး၊ ဤအစီအစဥ်အား တွေးခေါ်ချက်များကို ရှေ့သို့တင်ခြင်းလုပ်ငန်းစဉ်အတွက် အခြေခံအဖြစ် ယူရန် အလွန်အဆင်ပြေပါသည်။

ယူဆချက်တွေရဲ့ အဓိက အရင်းအမြစ်ဖြစ်ပါလိမ့်မယ်။ ATT&CK မက်ထရစ် (ရန်သူနည်းဗျူဟာများ၊ နည်းစနစ်များနှင့် ဘုံအသိပညာ)။ အနှစ်သာရအားဖြင့်၊ ၎င်းသည် Kill Chain သဘောတရားကို အသုံးပြု၍ တိုက်ခိုက်မှုတစ်ခု၏ နောက်ဆုံးအဆင့်တွင် ၎င်းတို့၏ လုပ်ဆောင်ချက်များကို လုပ်ဆောင်သည့် တိုက်ခိုက်သူများ၏ အပြုအမူကို အကဲဖြတ်ရန်အတွက် အသိပညာအခြေခံနှင့် စံနမူနာတစ်ခုဖြစ်သည်။ ဆိုလိုသည်မှာ တိုက်ခိုက်သူသည် လုပ်ငန်းတစ်ခု၏ အတွင်းပိုင်းကွန်ရက် သို့မဟုတ် မိုဘိုင်းကိရိယာပေါ်သို့ ထိုးဖောက်ဝင်ရောက်ပြီးနောက် အဆင့်များတွင်ဖြစ်သည်။ အသိပညာအခြေခံတွင် မူလက တိုက်ခိုက်ရာတွင်အသုံးပြုသည့် နည်းဗျူဟာ 121 နှင့် နည်းစနစ်ဖော်ပြချက်များပါ၀င်ပြီး တစ်ခုချင်းစီကို Wiki ဖော်မတ်ဖြင့် အသေးစိတ်ဖော်ပြထားပါသည်။ အမျိုးမျိုးသော Threat Intelligence ခွဲခြမ်းစိတ်ဖြာချက်များသည် တွေးခေါ်မှုများကို ဖန်တီးရန်အတွက် အရင်းအမြစ်တစ်ခုအဖြစ် ကောင်းစွာသင့်လျော်ပါသည်။ အထူးသတိပြုရမည့်အချက်မှာ အခြေခံအဆောက်အအုံပိုင်းခြားစိတ်ဖြာမှုနှင့် ထိုးဖောက်စမ်းသပ်မှုများ၏ရလဒ်များဖြစ်သည် - ၎င်းသည် ကျွန်ုပ်တို့အား တိကျသောအခြေခံအဆောက်အအုံတစ်ခုအပေါ်တွင်အခြေခံထားသည့်အချက်ကြောင့် ၎င်းတို့သည် တိကျသောချို့ယွင်းချက်များနှင့်အခြေခံအဆောက်အအုံတစ်ခုပေါ်တွင်အခြေခံထားသောကြောင့်ကျွန်ုပ်တို့အား သံထည်ပါသောယူဆချက်များကိုပေးစွမ်းနိုင်သည့်တန်ဖိုးအရှိဆုံးဒေတာဖြစ်ပါသည်။

ယူဆချက်စမ်းသပ်ခြင်းလုပ်ငန်းစဉ်

Sergei Soldatov ယူဆောင်လာသည်။ အခုမှ ကောင်းတယ်။ လုပ်ငန်းစဉ်၏အသေးစိတ်ဖော်ပြချက်နှင့်အတူ၊ ၎င်းသည် စနစ်တစ်ခုတည်းတွင် TH အယူအဆများကို စမ်းသပ်ခြင်းလုပ်ငန်းစဉ်ကို သရုပ်ဖော်သည်။ အတိုချုံးဖော်ပြချက်နှင့်အတူ အဓိကအဆင့်များကို ကျွန်ုပ်ညွှန်ပြပါမည်။

အရင်းအမြစ်

အဆင့် 1- TI Farm

ဤအဆင့်တွင် ၎င်းကို မီးမောင်းထိုးပြရန် လိုအပ်သည်။ အရာဝတ္ထု (ခြိမ်းခြောက်မှုဒေတာအားလုံးနှင့်အတူ ၎င်းတို့ကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့်) နှင့် ၎င်းတို့၏ဝိသေသလက္ခဏာများအတွက် အညွှန်းများသတ်မှတ်ပေးခြင်း။ ၎င်းတို့သည် ဖိုင်၊ URL၊ MD5၊ လုပ်ငန်းစဉ်၊ အသုံးဝင်မှု၊ ဖြစ်ရပ်များဖြစ်သည်။ ၎င်းတို့ကို Threat Intelligence စနစ်များမှတစ်ဆင့် ဖြတ်သန်းသည့်အခါ၊ tag တွဲထားရန် လိုအပ်ပါသည်။ ဆိုလိုသည်မှာ၊ ဤဆိုက်ကို CNC တွင် သတိပြုမိခဲ့ပြီး ထိုနှစ်တွင်၊ ဤ MD5 သည် ထိုကဲ့သို့သော malware များနှင့် ဆက်စပ်နေပြီး၊ ဤ MD5 ကို malware ဖြန့်ဝေသည့်ဆိုက်မှ ဒေါင်းလုဒ်လုပ်ထားသည်။

အဆင့် 2- အမှုတွဲများ

ဒုတိယအဆင့်တွင်၊ ကျွန်ုပ်တို့သည် ဤအရာဝတ္ထုများကြား အပြန်အလှန်အကျိုးသက်ရောက်မှုကို ကြည့်ရှုပြီး ဤအရာဝတ္တုအားလုံးကြားရှိ ဆက်စပ်မှုများကို ခွဲခြားသတ်မှတ်သည်။ ကျွန်ုပ်တို့သည် မကောင်းသောအရာကို လုပ်ဆောင်သည့် အမှတ်အသားစနစ်များကို ရရှိပါသည်။

အဆင့် 3- လေ့လာသူ

တတိယအဆင့်တွင်၊ အမှုကို ခွဲခြမ်းစိတ်ဖြာမှုတွင် အတွေ့အကြုံများစွာရှိသည့် အတွေ့အကြုံရှိ အကဲခတ်တစ်ဦးထံ လွှဲပြောင်းပြီး စီရင်ချက်ချသည်။ သူက ဘာ၊ ဘယ်နေရာ၊ ဘယ်လို၊ ဘာ့ကြောင့် ဒီကုဒ်လုပ်တာလဲ ဆိုတာကို bytes နဲ့ ပိုင်းခြားပါတယ်။ ဤကိုယ်ထည်သည် Malware ဖြစ်ပြီး၊ ဤကွန်ပြူတာ ကူးစက်ခံခဲ့ရသည်။ အရာဝတ္ထုများကြား ချိတ်ဆက်မှုများကို ထုတ်ပြပြီး sandbox မှတဆင့် လုပ်ဆောင်ခြင်း၏ ရလဒ်များကို စစ်ဆေးပါ။

အကဲခတ်သူ၏အလုပ်၏ရလဒ်များကို ထပ်ဆင့်ပို့သည်။ ဒစ်ဂျစ်တယ်မှုခင်းဆေးပညာသည် ရုပ်ပုံများကို စစ်ဆေးသည်၊ Malware Analysis သည် တွေ့ရှိသော "အလောင်းများ" ကို စစ်ဆေးပြီး Incident Response အဖွဲ့သည် ဆိုက်သို့ သွားကာ ထိုနေရာရှိ တစ်ခုခုကို စုံစမ်းစစ်ဆေးနိုင်သည်။ အလုပ်၏ရလဒ်သည် အတည်ပြုယူဆချက်တစ်ခု၊ ဖော်ထုတ်ထားသော တိုက်ခိုက်မှုနှင့် ၎င်းအား တန်ပြန်ရန်နည်းလမ်းများ ဖြစ်လိမ့်မည်။

အရင်းအမြစ်
 

ရလဒ်များကို

Threat Hunting သည် စိတ်ကြိုက်၊ အသစ်နှင့် စံမဟုတ်သော ခြိမ်းခြောက်မှုများကို ထိရောက်စွာ တန်ပြန်ပေးနိုင်သည့် ငယ်ရွယ်နုပျိုသော နည်းပညာတစ်ခုဖြစ်ပြီး ထိုကဲ့သို့သော ခြိမ်းခြောက်မှုများ တိုးပွားလာခြင်းနှင့် ကော်ပိုရိတ်အခြေခံအဆောက်အအုံများ၏ ရှုပ်ထွေးမှုများ တိုးပွားလာခြင်းကြောင့် အလားအလာကောင်းများရှိသည်။ ၎င်းသည် ဒေတာ၊ ကိရိယာများနှင့် ခွဲခြမ်းစိတ်ဖြာသူအတွက် အစိတ်အပိုင်းသုံးခု လိုအပ်သည်။ Threat Hunting ၏ အကျိုးကျေးဇူးများသည် ခြိမ်းခြောက်မှုများကို အကောင်အထည်ဖော်ခြင်းမှ ကာကွယ်ခြင်းအတွက် အကန့်အသတ်မရှိပေ။ ရှာဖွေရေးလုပ်ငန်းစဉ်အတွင်း ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏အခြေခံအဆောက်အအုံနှင့် ၎င်း၏အားနည်းချက်များကို လုံခြုံရေးအကဲခတ်သူတစ်ဦး၏အမြင်ဖြင့် စူးစမ်းလေ့လာပြီး အဆိုပါအချက်များအား ပိုမိုအားကောင်းလာစေနိုင်ကြောင်း မမေ့ပါနှင့်။

ကျွန်ုပ်တို့၏အမြင်အရ သင့်အဖွဲ့အစည်းတွင် TH လုပ်ငန်းစဉ်ကို စတင်ရန် ပထမဆုံးခြေလှမ်းများ လိုအပ်ပါသည်။

1. အဆုံးမှတ်များနှင့် ကွန်ရက်အခြေခံအဆောက်အအုံများကို ကာကွယ်ရန် ဂရုစိုက်ပါ။ သင့်ကွန်ရက်ရှိ လုပ်ငန်းစဉ်အားလုံး၏ မြင်နိုင်စွမ်း (NetFlow) နှင့် ထိန်းချုပ်မှု (firewall၊ IDS၊ IPS၊ DLP) ကို ဂရုစိုက်ပါ။ သင့်ကွန်ရက်ကို edge router မှ နောက်ဆုံး host အထိ သိပါ။
2. စူးစမ်းပါ MITER ATT&CK.
3. အနည်းဆုံးသော့ပြင်ပအရင်းအမြစ်များကို ပုံမှန်စမ်းသပ်မှုများပြုလုပ်ပါ၊ ၎င်း၏ရလဒ်များကိုခွဲခြမ်းစိတ်ဖြာကာ၊ တိုက်ခိုက်ရန်အတွက် အဓိကပစ်မှတ်များကို ဖော်ထုတ်ပြီး ၎င်းတို့၏အားနည်းချက်များကို ပိတ်လိုက်ပါ။
4. open source ခြိမ်းခြောက်မှုထောက်လှမ်းရေးစနစ် (ဥပမာ၊ MISP၊ Yeti) ကို အကောင်အထည်ဖော်ပြီး ၎င်းနှင့်တွဲဖက်၍ မှတ်တမ်းများကို ပိုင်းခြားစိတ်ဖြာပါ။
5. အဖြစ်အပျက်တုံ့ပြန်မှုပလက်ဖောင်း (IRP) ကို အကောင်အထည်ဖော်ပါ- R-Vision IRP၊ The Hive၊ သံသယဖြစ်ဖွယ်ဖိုင်များကို ခွဲခြမ်းစိတ်ဖြာရန်အတွက် sandbox (FortiSandbox၊ Cuckoo)။
6. ပုံမှန်လုပ်ငန်းစဉ်များကို အလိုအလျောက်လုပ်ပါ။ မှတ်တမ်းများကို လေ့လာခြင်း၊ အဖြစ်အပျက်များကို မှတ်တမ်းတင်ခြင်း၊ ဝန်ထမ်းများအား အသိပေးခြင်းသည် အလိုအလျောက်စနစ်အတွက် ကြီးမားသောနယ်ပယ်တစ်ခုဖြစ်သည်။
7. အဖြစ်အပျက်များနှင့်ပတ်သက်၍ ပူးပေါင်းဆောင်ရွက်ရန် အင်ဂျင်နီယာများ၊ ဆော့ဖ်ဝဲအင်ဂျင်နီယာများနှင့် နည်းပညာပံ့ပိုးကူညီမှုများနှင့် ထိထိရောက်ရောက် အပြန်အလှန်တုံ့ပြန်တတ်ရန် သင်ယူပါ။
8. လုပ်ငန်းစဉ်တစ်ခုလုံး၊ အဓိကအချက်များ၊ အောင်မြင်သောရလဒ်များကို နောက်ပိုင်းတွင် ၎င်းတို့ထံပြန်သွားရန် သို့မဟုတ် ဤဒေတာကို လုပ်ဖော်ကိုင်ဖက်များနှင့် မျှဝေရန်၊
9. လူမှုဆက်ဆံရေးရှိပါ- သင့်ဝန်ထမ်းများတွင် ဖြစ်ပျက်နေသည့်အရာများကို သတိပြုပါ၊ သင်ငှားရမ်းမည့်သူနှင့် အဖွဲ့အစည်း၏ အချက်အလက်အရင်းအမြစ်များကို သင်ဝင်ရောက်ခွင့်ပေးသည့်သူကို သတိထားပါ။
10. ခြိမ်းခြောက်မှုအသစ်များနှင့် ကာကွယ်ရေးနည်းလမ်းများနယ်ပယ်တွင် ခေတ်ရေစီးကြောင်းများကို ရင်ဘောင်တန်းကာ သင်၏နည်းပညာတတ်မြောက်မှုအဆင့်ကို မြှင့်တင်ပါ (အိုင်တီဝန်ဆောင်မှုများနှင့် စနစ်ခွဲများလုပ်ဆောင်မှုတွင် အပါအဝင်)၊ ညီလာခံများကို တက်ရောက်ပြီး လုပ်ဖော်ကိုင်ဖက်များနှင့် ဆက်သွယ်ပါ။

မှတ်ချက်များတွင် TH လုပ်ငန်းစဉ်၏အဖွဲ့အစည်းကို ဆွေးနွေးရန်အဆင်သင့်ဖြစ်နေပါပြီ။

ဒါမှမဟုတ် ငါတို့နဲ့ အလုပ်တွဲလုပ်ပါ။

• သတင်းအချက်အလက် လုံခြုံရေး အတိုင်ပင်ခံ ဦးဆောင်သူ
• သတင်းအချက်အလက်လုံခြုံရေးအတွက် စနစ်ဗိသုကာပညာရှင်
• ကွန်ရက်လုံခြုံရေးအင်ဂျင်နီယာ ဦးဆောင်သူ
• ဦးဆောင်သတင်းအချက်အလက်လုံခြုံရေးအင်ဂျင်နီယာ (SIEM)
• သတင်းအချက်အလက် လုံခြုံရေး ဗိသုကာပညာရှင် (လျှောက်လွှာ)

လေ့လာရန် အရင်းအမြစ်များနှင့် ပစ္စည်းများ

• threathunter.guru
• attack.mitre.org
• ဒစ်ဂျစ်တယ်-forensics.sans.org
• resources.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• အကြောင်းပြန်-to-all.blogspot.com
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

source: www.habr.com