95٪ د معلوماتو امنیت تهدیدونه پیژندل شوي، او تاسو کولی شئ د دودیزو وسیلو لکه انټي ویروس، فایر وال، IDS، WAF په کارولو سره خپل ځان خوندي کړئ. پاتې ۵٪ ګواښونه نامعلوم او تر ټولو خطرناک دي. دوی د شرکت لپاره 5٪ خطر جوړوي د دې حقیقت له امله چې د دوی کشف کول خورا ستونزمن دي، د دوی په وړاندې خورا لږ ساتنه. مثالونه ایا د WannaCry ransomware ایپیډیمیک، NotPetya/ExPetr، cryptominers، د "سایبر وسلو" Stuxnet (کوم چې د ایران اټومي تاسیسات په نښه کوي) او ډیری نور (څوک چې کیډو/کنفیکر په یاد لري؟) نور بریدونه دي چې د کلاسیک امنیتي اقداماتو په وړاندې خورا ښه دفاع نه کیږي. موږ غواړو په دې اړه وغږیږو چې څنګه د ګواښ ښکار ټیکنالوژۍ په کارولو سره د دې 5٪ ګواښونو سره مقابله وکړو.
د سایبر بریدونو دوامداره تکامل دوامداره کشف او ضد اقداماتو ته اړتیا لري ، کوم چې په نهایت کې موږ د برید کونکو او مدافعینو ترمینځ د نه ختمیدونکي وسلو سیالۍ په اړه فکر کولو ته اړ باسي. کلاسیک امنیتي سیسټمونه نور د دې توان نلري چې د منلو وړ امنیت چمتو کړي، په کوم کې چې د خطر کچه د شرکت کلیدي شاخصونو (اقتصادي، سیاسي، شهرت) اغیزه نه کوي پرته له دې چې د ځانګړي زیربنا لپاره یې تعدیل کړي، مګر په عموم کې دوی ځینې پوښښ کوي. خطرونه لا دمخه د تطبیق او ترتیب په بهیر کې، عصري امنیتي سیسټمونه د ځان د نیولو په رول کې موندلي او باید د نوي وخت ننګونو ته ځواب ووایي.
د ګواښ ښکار ټیکنالوژي ممکن د معلوماتو امنیت متخصص لپاره زموږ د وخت ننګونو ته یو له ځوابونو څخه وي. د ګواښ ښکار اصطالح (له دې وروسته د TH په نوم یادیږي) څو کاله دمخه څرګند شو. ټیکنالوژي پخپله خورا په زړه پوري ده ، مګر لاهم په عمومي ډول منل شوي معیارونه او مقررات نلري. مسله د معلوماتو د سرچینو د توپیر او د دې موضوع په اړه د معلوماتو د روسی ژبې لږ شمیر سرچینو له امله هم پیچلې ده. په دې اړه، موږ په LANIT-Integration کې پریکړه وکړه چې د دې ټیکنالوژۍ بیاکتنه ولیکئ.
تړاو
TH ټیکنالوژي د زیربناوو د څارنې پروسو تکیه کوي.. خبرتیا (د MSSP خدماتو ته ورته) یو دودیز میتود دی چې د مخکینیو پرمختللو لاسلیکونو او د بریدونو نښو لټول او دوی ته ځواب ویل کیږي. دا سناریو په بریالیتوب سره د دودیز لاسلیک پر بنسټ محافظت وسیلو لخوا ترسره کیږي. ښکار (د MDR ډوله خدمت) د څارنې میتود دی چې پوښتنې ته ځواب ورکوي "لاسلیکونه او قواعد له کوم ځای څخه راځي؟" دا د پټو یا پخوانیو نامعلومو شاخصونو او د برید نښو تحلیل کولو له لارې د ارتباط قواعد رامینځته کولو پروسه ده. د ګواښ ښکار دې ډول څارنې ته اشاره کوي.
یوازې د څارنې د دواړو ډولونو په یوځای کولو سره موږ هغه محافظت ترلاسه کوو چې مثالي ته نږدې وي، مګر تل د پاتې کیدو خطر یوه ټاکلې کچه شتون لري.
د دوه ډوله څارنې په کارولو سره محافظت
او دلته ولې TH (او په بشپړ ډول ښکار!) به په زیاتیدونکي ډول اړوند شي:
ګواښونه، درملنې، خطرونه.
. پدې کې ډولونه شامل دي لکه سپیم، DDoS، ویروسونه، روټکیټونه او نور کلاسیک مالویر. تاسو کولی شئ د ورته کلاسیک امنیتي اقداماتو په کارولو سره د دې ګواښونو څخه ځان وساتئ.
د هرې پروژې د پلي کولو پرمهال، او پاتې 20٪ کار 80٪ وخت نیسي. په ورته ډول، د ګواښ په ټوله منظره کې، 5٪ نوي ګواښونه به د شرکت لپاره 70٪ خطر حساب کړي. په هغه شرکت کې چیرې چې د معلوماتو امنیت مدیریت پروسې تنظیم شوي وي ، موږ کولی شو د پیژندل شوي ګواښونو پلي کولو خطر 30٪ په یو ډول یا بل ډول اداره کړو (په اصولو کې د بېسیم شبکې انکار) ، منلو (د اړینو امنیتي اقداماتو پلي کول) یا بدلون سره. (د مثال په توګه، د یو بشپړونکي په اوږو) دا خطر. څخه ځان وژغورئد APT بریدونه، فشینګ،، سایبر جاسوسي او ملي عملیات او همدارنګه یو لوی شمیر نور بریدونه لا دمخه خورا ستونزمن دي. د دې 5٪ ګواښونو پایلې به خورا جدي وي)) د سپیم یا ویروسونو پایلو په پرتله، له کوم څخه چې د انټي ویروس سافټویر خوندي کوي.
نږدې هرڅوک باید د 5٪ ګواښونو سره معامله وکړي. موږ پدې وروستیو کې د خلاصې سرچینې حل نصب کړی و چې د PEAR (PHP توسیع او غوښتنلیک ذخیره) ذخیره څخه غوښتنلیک کاروي. د pear install له لارې د دې اپلیکیشن د نصبولو هڅه ناکامه شوه ځکه چې شتون نلري (اوس په دې کې یو سټب شتون لري)، ما باید دا د GitHub څخه نصب کړي. او په دې وروستیو کې دا معلومه شوه چې PEAR قرباني شو.
تاسو اوس هم یادولی شئ، د مالیې راپور ورکولو برنامې لپاره د تازه ماډل له لارې د NePetya ransomware ناروغي. ګواښونه ورځ تر بلې پیچلې کیږي، او منطقي پوښتنه راپورته کیږي - "موږ څنګه کولی شو د دې 5٪ ګواښونو سره مقابله وکړو؟"
د ګواښ ښکار تعریف
نو، د ګواښ ښکار د پرمختللو ګواښونو د فعال او تکراري لټون او کشف پروسه ده چې د دودیزو امنیتي وسیلو لخوا نشي کشف کیدی. پرمختللي ګواښونه شامل دي، د بیلګې په توګه، د APT په څیر بریدونه، د 0-ورځو زیانونو باندې بریدونه، د ځمکې څخه بهر ژوند کول، او داسې نور.
موږ کولی شو بیا تکرار کړو چې TH د فرضیې ازموینې پروسه ده. دا په عمده ډول د اتوماتیک عناصرو سره یو لاسي پروسه ده، په کوم کې چې شنونکی، د هغه په پوهه او مهارتونو تکیه کوي، د جوړجاړي نښو په لټه کې د معلوماتو لوی مقدار له لارې تیریږي چې د یو ځانګړي ګواښ شتون په اړه د ابتدايي ټاکل شوي فرضیې سره مطابقت لري. د دې ځانګړی ځانګړتیا د معلوماتو مختلف سرچینې دي.
دا باید په یاد ولرئ چې د ګواښ ښکار یو ډول سافټویر یا هارډویر محصول ندی. دا خبرتیاوې ندي چې په ځینې حل کې لیدل کیدی شي. دا د IOC (د جوړجاړي پیژندونکي) د لټون پروسه نه ده. او دا یو ډول غیر فعال فعالیت ندی چې د معلوماتو امنیت شنونکو له ګډون پرته پیښیږي. د ګواښ ښکار لومړی او تر ټولو مهمه پروسه ده.
د ګواښ د ښکار اجزا
د ګواښ ښکار درې اصلي برخې: ډاټا، ټیکنالوژي، خلک.
ډاټا (څه؟)د لویو معلوماتو په ګډون. د ترافیکو جریان ټول ډولونه ، د تیرو APTs په اړه معلومات ، تحلیلونه ، د کارونکي فعالیت ډیټا ، د شبکې ډیټا ، د کارمندانو معلومات ، په تیاره کې معلومات او نور ډیر څه.
ټیکنالوژي (څنګه؟) د دې معلوماتو پروسس کول - د دې معلوماتو پروسس کولو ټولې ممکنه لارې، په شمول د ماشین زده کړه.
خلک (څوک؟) - هغه کسان چې د مختلفو بریدونو تحلیل کې پراخه تجربه لري، د انټرنېټ وده او د برید کشف کولو وړتیا لري. معمولا دا د معلوماتو امنیت شنونکي دي چې باید د فرضیې رامینځته کولو وړتیا ولري او د دوی لپاره تصدیق ومومي. دوی په پروسه کې اصلي اړیکې دي.
ماډل پاریس
ادم بیټمن د مثالي TH پروسې لپاره د پاریس ماډل. نوم په فرانسه کې یو مشهور نښه نښه کوي. دا ماډل په دوو لارښوونو کې لیدل کیدی شي - له پورته او لاندې څخه.
لکه څنګه چې موږ له لاندې څخه د ماډل له لارې کار کوو، موږ به د ناوړه فعالیت ډیری شواهدو سره مخ شو. د شواهدو هره برخه د اعتماد په نوم یو اندازه لري - یو ځانګړتیا چې د دې شواهدو وزن منعکس کوي. دلته "اوسپنه" شتون لري، د ناوړه فعالیت مستقیم شواهد، چې له مخې یې موږ کولی شو سمدستي د پیرامید سر ته ورسیږو او د دقیق پیژندل شوي انفیکشن په اړه ریښتینې خبرتیا رامنځته کړو. او غیر مستقیم شواهد شتون لري، د هغې مجموعه هم کولی شي موږ د پیرامید سر ته ورسوي. د تل په څیر، د مستقیم شواهدو په پرتله ډیر غیر مستقیم شواهد شتون لري، پدې معنی چې دوی باید ترتیب او تحلیل شي، اضافي څیړنې باید ترسره شي، او دا مشوره ورکول کیږي چې دا اتومات کړي.
ماډل پاریس.
د ماډل پورتنۍ برخه (1 او 2) د اتوماتیک ټیکنالوژیو او مختلف تحلیلونو پراساس ده ، او ښکته برخه (3 او 4) د ځانګړو وړتیاو لرونکي خلکو پورې اړه لري چې پروسې اداره کوي. تاسو کولی شئ ماډل په پام کې ونیسئ چې له پورتنۍ څخه ښکته ته حرکت کوي ، چیرې چې د نیلي رنګ په پورتنۍ برخه کې موږ د دودیز امنیت وسیلو (انټي ویروس ، EDR ، فایر وال ، لاسلیک) څخه د لوړې درجې باور او باور سره خبرتیا لرو ، او لاندې شاخصونه دي ( IOC، URL، MD5 او نور) چې د ډاډ ټیټه کچه لري او اضافي مطالعې ته اړتیا لري. او ترټولو ټیټه او ټیټه کچه (4) د فرضیې نسل دی، د ساتنې دودیزو وسیلو د عملیاتو لپاره د نوي سناریوګانو رامینځته کول. دا کچه یوازې د فرضیې په ټاکلو سرچینو پورې محدود نه ده. څومره چې کچه ټیټه وي، د شنونکي په وړتیاوو کې ډیرې اړتیاوې ځای پر ځای کیږي.
دا ډیره مهمه ده چې شنونکي په ساده ډول د مخکې ټاکل شوي فرضیې یوه محدوده مجموعه نه ازموي، بلکې په دوامداره توګه کار کوي ترڅو نوي فرضیې او د دوی د ازموینې لپاره اختیارونه رامینځته کړي.
TH د استعمال د پختوالي ماډل
په یوه مثالي نړۍ کې، TH یوه روانه پروسه ده. مګر، ځکه چې هیڅ مثالی نړۍ شتون نلري، راځئ چې تحلیل وکړو او د خلکو، پروسو او ټیکنالوژیو په برخه کې کارول شوي میتودونه. راځئ چې د مثالي کروی TH ماډل په پام کې ونیسو. د دې ټیکنالوژۍ کارولو 5 درجې شتون لري. راځئ چې دوی ته د شنونکو د یوې ډلې د تکامل مثال په کارولو سره وګورو.
د بلوغت کچه
خلک
پروسې
د تکنالوژۍ
د 0 کچه
د SOC شنونکي
24/7
دودیز وسایل:
دودیز
د خبرتیاو مجموعه
غیر فعاله څارنه
IDS, AV, Sandboxing,
د TH پرته
د خبرتیاو سره کار کول
د لاسلیک تحلیل وسیلې، د ګواښ استخباراتو ډاټا.
د 1 کچه
د SOC شنونکي
یو ځل TH
BDU
تجربوي
د عدلي طب اساسي پوهه
د IOC لټون
د شبکې وسیلو څخه د معلوماتو جزوی پوښښ
د TH سره تجربې
د شبکو او غوښتنلیکونو ښه پوهه
جزوی غوښتنلیک
د 2 کچه
موقتي اشغال
سپرنټونه
BDU
دوره
د عدلي طب په اړه منځنۍ پوهه
اونۍ تر میاشتې
بشپړ غوښتنلیک
لنډمهاله TH
د شبکو او غوښتنلیکونو عالي پوهه
منظم TH
د EDR ډیټا کارولو بشپړ اتومات
د پرمختللو EDR ظرفیتونو جزوی کارول
د 3 کچه
وقف شوی TH کمانډ
24/7
د فرضیې TH ازموینې لپاره جزوي وړتیا
مخنیوی
د فارنزیک او مالویر عالي پوهه
مخنیوی TH
د پرمختللو EDR وړتیاوو بشپړ کارول
ځانګړې قضیې TH
د برید کونکي اړخ غوره پوهه
ځانګړې قضیې TH
د شبکې وسیلو څخه د معلوماتو بشپړ پوښښ
ستاسو د اړتیاو سره سم تنظیم کول
د 4 کچه
وقف شوی TH کمانډ
24/7
د TH فرضیې ازموینې بشپړ وړتیا
مخکښ
د فارنزیک او مالویر عالي پوهه
مخنیوی TH
دریمه درجه، جمع:
د TH کارول
د برید کونکي اړخ غوره پوهه
ازموینه، اتومات کول او د فرضیې تصدیق کول TH
د معلوماتو سرچینو کلک ادغام؛
د څیړنې وړتیا
د اړتیاو سره سم پراختیا او د API غیر معیاري کارول.
د خلکو، پروسو او ټیکنالوژیو لخوا د TH د پختۍ کچه
کچه 0: دودیز، د TH کارولو پرته. منظم شنونکي د معیاري وسیلو او ټیکنالوژیو په کارولو سره د غیر فعال نظارت حالت کې د خبرتیاو معیاري سیټ سره کار کوي: IDS ، AV ، سینڈ باکس ، د لاسلیک تحلیل وسیلې.
کچه 1: تجربوي، د TH په کارولو سره. ورته شنونکي چې د عدلي طب لومړني پوهه لري او د شبکو او غوښتنلیکونو ښه پوهه لري کولی شي د جوړجاړي شاخصونو په لټه کې د یو وخت ګواښ ښکار ترسره کړي. EDRs په وسیلو کې د شبکې وسیلو څخه د معلوماتو جزوي پوښښ سره اضافه شوي. وسایل په جزوي توګه کارول کیږي.
کچه 2: دوراني، لنډمهاله TH. ورته شنونکي چې دمخه یې د فارنزیک ، شبکو او غوښتنلیک برخه کې خپله پوهه لوړه کړې ده اړین دي چې په منظم ډول د ګواښ ښکار (سپرنټ) کې برخه واخلي ، وايي په میاشت کې یوه اونۍ. وسیلې د شبکې وسیلو څخه د ډیټا بشپړ سپړنه ، د EDR څخه د ډیټا تحلیل اتومات کول ، او د پرمختللي EDR ظرفیتونو جزوي کارول اضافه کوي.
کچه 3: مخنیوی، د TH مکرر قضیې. زموږ شنونکو ځانونه په یوه وقف شوي ټیم کې تنظیم کړل او د فارنزیک او مالویر په اړه یې ښه پوهه پیل کړه، په بیله بیا د برید کونکي اړخ د میتودونو او تاکتیکونو پوهه. پروسه لا دمخه 24/7 ترسره کیږي. ټیم د دې وړتیا لري چې په جزوي ډول د TH فرضیې ازموینه وکړي پداسې حال کې چې د شبکې وسیلو څخه د ډیټا بشپړ پوښښ سره د EDR پرمختللي وړتیاو څخه په بشپړ ډول ګټه پورته کوي. شنونکي هم د دې وړتیا لري چې د دوی اړتیاو سره سم وسایل تنظیم کړي.
کچه 4: لوړ پای، TH وکاروئ. ورته ټیم د څیړنې وړتیا، د TH فرضیې ازموینې پروسې تولید او اتومات کولو وړتیا ترلاسه کړه. اوس وسیلې د ډیټا سرچینو نږدې ادغام ، اړتیاو پوره کولو لپاره د سافټویر پراختیا ، او د APIs غیر معیاري کارونې لخوا ضمیمه شوي.
د ګواښ ښکار تخنیکونه
د خطر د ښکار اساسی تخنیکونه
К TH، د کارول شوي ټیکنالوژۍ د بشپړتیا په ترتیب کې، دا دي: بنسټیز لټون، احصایوي تحلیل، د لید تخنیکونه، ساده مجموعه، د ماشین زده کړه، او د بایسیان میتودونه.
ترټولو ساده میتود، یو بنسټیز لټون، د ځانګړو پوښتنو په کارولو سره د څیړنې ساحه محدودولو لپاره کارول کیږي. احصایوي تحلیل کارول کیږي، د بیلګې په توګه، د احصایوي ماډل په بڼه د عادي کاروونکي یا شبکې فعالیت جوړولو لپاره. د بصری کولو تخنیکونه د ګرافونو او چارټونو په بڼه د معلوماتو تحلیل په لید کې ښودلو او ساده کولو لپاره کارول کیږي، کوم چې په نمونه کې د نمونو پیژندل خورا اسانه کوي. د کلیدي ساحو لخوا د ساده راټولولو تخنیک د لټون او تحلیل غوره کولو لپاره کارول کیږي. هرڅومره چې د یوې ادارې TH پروسه وده ومومي ، د ماشین زده کړې الګوریتم کارول خورا اړوند کیږي. دوی په پراخه کچه د سپیم فلټر کولو، د ناوړه ټرافیک کشف او د درغلیو فعالیتونو کشف کولو کې هم کارول کیږي. د ماشین زده کړې الګوریتم یو ډیر پرمختللی ډول د بایسیان میتودونه دي، کوم چې طبقه بندي، د نمونې اندازې کمولو، او د موضوع ماډلینګ ته اجازه ورکوي.
د ډیمنډ ماډل او TH ستراتیژۍ
سرجیو کالټاګیرون، انډریو پینډګاسټ او کریسټوفر بیټز په خپل کار کې "» د هر ډول ناوړه فعالیت اصلي کلیدي برخې او د دوی ترمنځ بنسټیز اړیکه وښودله.
د ناوړه فعالیت لپاره د الماس ماډل
د دې ماډل له مخې، د ګواښ ښکار 4 ستراتیژۍ شتون لري، چې د اړوندو کلیدي برخو پر بنسټ والړ دي.
1. د قربانیانو پر بنسټ تګلاره. موږ ګومان کوو چې قرباني مخالفین لري او دوی به د بریښنالیک له لارې "فرصتونه" وړاندې کړي. موږ په میل کې د دښمن معلوماتو په لټه کې یو. د لینکونو، ضمیمو او نورو لپاره لټون وکړئ. موږ د یوې ټاکلې مودې لپاره د دې فرضیې د تایید په لټه کې یو (یوه میاشت، دوه اونۍ)؛ که موږ دا ونه موندل، نو فرضیه کار نه کوي.
2. د زیربنا پر بنسټ ستراتیژي. د دې ستراتیژۍ کارولو لپاره ډیری میتودونه شتون لري. د لاسرسي او لید پورې اړه لري، ځینې یې د نورو په پرتله اسانه دي. د مثال په توګه، موږ د ډومین نوم سرورونو څارنه کوو چې د ناوړه ډومینونو کوربه کولو لپاره پیژندل شوي. یا موږ د ټولو نوي ډومین نوم نوم لیکنې د څارنې پروسې ته ځو د پیژندل شوي نمونې لپاره چې د مخالف لخوا کارول کیږي.
3. د وړتیا پر بنسټ ستراتیژي. د قرباني متمرکز ستراتیژۍ سربیره چې د ډیری شبکې مدافعینو لخوا کارول کیږي، د فرصت متمرکز ستراتیژي شتون لري. دا دوهم خورا مشهور دی او د مخالف څخه د وړتیاو په موندلو تمرکز کوي ، د بیلګې په توګه "مالویر" او د مشروع وسیلو لکه psexec ، powershell ، certutil او نورو کارولو لپاره د مخالف وړتیا.
4. د دښمن پر وړاندې ستراتیژي. د مخالف متمرکز چلند په خپل مخالف تمرکز کوي. پدې کې د عامه معلوماتو سرچینې (OSINT) څخه د خلاص معلوماتو کارول، د دښمن په اړه د معلوماتو راټولول، د هغه تخنیکونه او طریقې (TTP)، د پخوانیو پیښو تحلیل، د ګواښ استخباراتو ډاټا، او نور شامل دي.
په TH کې د معلوماتو او فرضیو سرچینې
د ګواښ ښکار لپاره د معلوماتو ځینې سرچینې
د معلوماتو ډیری سرچینې شتون لري. یو مثالی شنونکی باید د دې وړتیا ولري چې د هر هغه څه څخه معلومات راوباسي چې شاوخوا دي. په نږدې هر زیربنا کې عادي سرچینې به د امنیتي وسیلو څخه ډاټا وي: DLP، SIEM، IDS/IPS، WAF/FW، EDR. همدارنګه، د معلوماتو عادي سرچینې به د جوړجاړي مختلف شاخصونه، د ګواښ استخباراتي خدماتو، CERT او OSINT ډاټا وي. سربیره پردې ، تاسو کولی شئ د تاریک نیټ څخه معلومات وکاروئ (د مثال په توګه ، ناڅاپه د یوې ادارې د مشر میل باکس هیک کولو امر شتون لري ، یا د شبکې انجینر پوسټ لپاره نوماند د هغه فعالیت لپاره افشا شوی دی) ، ترلاسه شوي معلومات. HR (د کار د پخواني ځای څخه د کاندید بیاکتنې)، د امنیتي خدماتو څخه معلومات (د بیلګې په توګه، د مقابل لوري د تایید پایلې).
مګر د ټولو موجودو سرچینو کارولو دمخه، دا اړینه ده چې لږترلږه یو فرضیه ولرئ.
د فرضیې ازموینې لپاره، دوی باید لومړی وړاندې شي. او د دې لپاره چې د لوړ کیفیت ډیری فرضیې وړاندې کړي، دا اړینه ده چې یو سیسټمیک چلند پلي کړئ. د فرضیې رامینځته کولو پروسه په تفصیل سره تشریح شوې، دا خورا اسانه ده چې دا سکیم د فرضیې وړاندې کولو پروسې اساس په توګه واخلو.
د فرضیې اصلي سرچینه به وي ATT او CK میټریکس (مخالفانه تاکتیکونه، تخنیکونه او عام پوهه). دا په اصل کې، د برید کونکو د چلند ارزولو لپاره د پوهې اساس او ماډل دی چې د برید په وروستیو مرحلو کې خپل فعالیتونه ترسره کوي، معمولا د وژنې سلسلې مفهوم په کارولو سره تشریح شوي. دا، په مرحلو کې وروسته له هغه چې بریدګر د یوې تصدۍ داخلي شبکې یا ګرځنده وسیله ته ننوځي. د پوهې اساس په اصل کې د 121 تاکتیکونو او تخنیکونو توضیحات شامل دي چې په برید کې کارول کیږي، چې هر یو یې د ویکي په بڼه کې په تفصیل سره بیان شوي. د مختلف ګواښ استخباراتو تحلیلونه د فرضیې رامینځته کولو لپاره د سرچینې په توګه مناسب دي. د ځانګړي یادونه د زیربنا تحلیلونو او د ننوتلو ازموینو پایلې دي - دا خورا ارزښتناک معلومات دي چې کولی شي موږ ته د اوسپنې فرضي فرضیې د دې حقیقت له امله راکړي چې دوی د دې ځانګړي نیمګړتیاو سره د ځانګړي زیربنا پراساس دي.
د فرضیې ازموینې پروسه
سرګي سولداتوف راوړل د پروسې د تفصيلي توضیحاتو سره، دا په یو واحد سیسټم کې د TH فرضیې ازموینې پروسه روښانه کوي. زه به په لنډ وضاحت سره اصلي مرحلې په ګوته کړم.
مرحله 1: د TI فارم
پدې مرحله کې دا اړینه ده چې روښانه شي څیزونه (د ټولو ګواښونو ډیټا سره یوځای تحلیل کولو سره) او د دوی ځانګړتیاو لپاره لیبلونه ګمارل. دا فایل، یو آر ایل، MD5، پروسه، افادیت، پیښه دي. کله چې دوی د ګواښ استخباراتو سیسټمونو له لارې تیریږي ، نو اړینه ده چې ټاګونه ضمیمه کړئ. دا چې دا سایټ په CNC کې په داسې کال کې لیدل شوی و، دا MD5 د داسې او داسې مالویر سره تړاو درلود، دا MD5 د هغه سایټ څخه ډاونلوډ شوی و چې مالویر یې توزیع کړی و.
مرحله 2: قضیې
په دویمه مرحله کې، موږ د دې شیانو ترمنځ تعامل ګورو او د دې ټولو شیانو ترمنځ اړیکې پیژنو. موږ په نښه شوي سیسټمونه ترلاسه کوو چې یو څه بد کوي.
دریمه مرحله: شنونکی
په دریم پړاو کې، قضیه یو تجربه لرونکي شنونکي ته لیږدول کیږي چې په تحلیل کې پراخه تجربه لري، او هغه پریکړه کوي. هغه بایټونو ته تحلیل کوي چې څه، چیرته، څنګه، ولې او ولې دا کوډ کوي. دا بدن مالویر و، دا کمپیوټر اخته و. د شیانو ترمینځ اړیکې ښکاره کوي، د شګو بکس له لارې د چلولو پایلې ګوري.
د شنونکي د کار پایلې نور هم لیږدول کیږي. ډیجیټل فارنزیک عکسونه معاینه کوي ، د مالویر تحلیل موندل شوي "جسدونه" معاینه کوي ، او د پیښې غبرګون ټیم کولی شي سایټ ته لاړ شي او دمخه یو څه وپلټي. د کار پایله به یو تایید شوی فرضیه، یو پیژندل شوی برید او د هغې سره د مقابلې لارې چارې وي.
پایلې
د ګواښ ښکار یو کافي ځوان ټیکنالوژي ده چې کولی شي په مؤثره توګه د دودیز ، نوي او غیر معیاري ګواښونو سره په مؤثره توګه مقابله وکړي ، کوم چې د ورته ګواښونو ډیریدونکي شمیر او د کارپوریټ زیربناوو ډیریدونکي پیچلتیا ته په پام سره لوی امکانات لري. دا درې برخو ته اړتیا لري - ډاټا، وسایل او شنونکي. د ګواښ ښکار ګټې د ګواښونو د پلي کولو مخنیوي پورې محدود ندي. مه هېروئ چې د لټون پروسې په جریان کې موږ د امنیتي شنونکي د سترګو له لارې زموږ زیربنا او د هغې ضعیف ټکو ته ګورو او کولی شو دا ټکي نور هم پیاوړي کړو.
لومړني ګامونه چې زموږ په نظر باید ستاسو په سازمان کې د TH پروسې پیل کولو لپاره ونیول شي.
- د پای ټکي او د شبکې زیربنا ساتنې ته پاملرنه وکړئ. ستاسو په شبکه کې د ټولو پروسو لید (NetFlow) او کنټرول (فائر وال، IDS، IPS، DLP) ته پاملرنه وکړئ. خپل شبکه د څنډې روټر څخه خورا وروستي کوربه ته وپیژنئ.
- سپړنه.
- د لږ تر لږه کلیدي بهرنیو سرچینو منظم پینټیسټونه ترسره کړئ، پایلې یې تحلیل کړئ، د برید اصلي هدفونه وپیژنئ او د دوی زیان منونکي وتړئ.
- د خلاصې سرچینې ګواښ استخباراتو سیسټم پلي کړئ (د بیلګې په توګه، MISP، Yeti) او د هغې سره په ګډه د لاګونو تحلیل کړئ.
- د پیښې غبرګون پلیټ فارم پلي کړئ (IRP): R-Vision IRP، The Hive، د شکمنو فایلونو تحلیل لپاره سینڈ باکس (FortiSandbox، Cuckoo).
- د معمول پروسې اتومات کول. د لاګونو تحلیل، د پیښو ثبتول، د کارمندانو خبرتیا د اتومات کولو لپاره لوی ډګر دی.
- په پیښو کې د همکارۍ لپاره د انجینرانو ، پراختیا کونکو او تخنیکي ملاتړ سره په مؤثره توګه متقابل عمل کول زده کړئ.
- ټوله پروسه مستند کړئ، کلیدي ټکي، لاسته راوړنې پایلې د دې لپاره چې وروسته بیرته راستانه شي یا دا معلومات د همکارانو سره شریک کړئ؛
- ټولنیز اوسئ: په دې پوه شئ چې ستاسو د کارمندانو سره څه تیریږي، تاسو څوک ګمارئ، او څوک چې تاسو د سازمان معلوماتو سرچینو ته لاسرسی درکوي.
- د نویو ګواښونو او د ساتنې میتودونو په ساحه کې د رجحاناتو سره سم وساتئ، د تخنیکي سواد کچه لوړه کړئ (د IT خدماتو او فرعي سیسټمونو په شمول)، کنفرانسونو کې ګډون وکړئ او د همکارانو سره اړیکه ونیسئ.
په نظرونو کې د TH پروسې تنظیم په اړه بحث کولو ته چمتو دی.
یا راشئ له موږ سره کار وکړئ!
د مطالعې لپاره سرچینې او توکي
سرچینه: www.habr.com