95٪ معلومات جي حفاظتي خطرن جا سڃاتل آھن، ۽ توھان انھن کان پاڻ کي بچائي سگھوٿا روايتي طريقا استعمال ڪندي جيئن اينٽي وائرس، فائر والز، IDS، WAF. باقي 5 سيڪڙو خطرا اڻڄاتل ۽ سڀ کان وڌيڪ خطرناڪ آهن. اهي هڪ ڪمپني لاءِ خطري جو 70 سيڪڙو آهن انهي حقيقت جي ڪري ته انهن کي ڳولڻ تمام ڏکيو آهي ، انهن جي خلاف تمام گهٽ حفاظت. مثال ڇا WannaCry ransomware وبائي مرض، NotPetya/ExPetr، cryptominers، ”سائبر هٿيار“ Stuxnet (جيڪو ايران جي ايٽمي سهولتن کي ماريندو آهي) ۽ ٻيا ڪيترائي (ٻيو ڪنهن کي ياد آهي Kido/Conficker؟) ٻيا حملا جيڪي ڪلاسيڪي حفاظتي قدمن سان چڱيءَ طرح سان دفاع نه ڪيا ويا آهن. اسان انهي بابت ڳالهائڻ چاهيون ٿا ته انهن 5 سيڪڙو خطرن کي ڪيئن منهن ڏيڻ لاءِ Threat Hunting ٽيڪنالاجي استعمال ڪندي.
سائبر حملن جي مسلسل ارتقا کي مسلسل ڳولڻ ۽ جوابي قدمن جي ضرورت آهي، جيڪا آخرڪار اسان کي حملي ڪندڙن ۽ محافظن جي وچ ۾ هٿيارن جي لامحدود نسل جي سوچڻ جي طرف وٺي ٿي. ڪلاسڪ سيڪيورٽي سسٽم هاڻي قابل قبول سطح جي حفاظت مهيا ڪرڻ جي قابل نه آهن، جنهن تي خطري جي سطح ڪمپني جي اهم اشارن (معاشي، سياسي، شهرت) تي اثر انداز نه ٿيندي آهي بغير ڪنهن خاص انفراسٽرڪچر لاءِ انهن کي تبديل ڪرڻ جي، پر عام طور تي اهي ڪجهه ڍڪيندا آهن. خطرا. اڳ ۾ ئي عمل درآمد ۽ ترتيب جي عمل ۾، جديد سيڪيورٽي سسٽم پاڻ کي پڪڙڻ جي ڪردار ۾ ڳولي ٿو ۽ نئين وقت جي چئلينج جو جواب ڏيڻ گهرجي.
خطري جو شڪار ٽيڪنالاجي شايد اسان جي وقت جي چيلينجز جي جوابن مان هڪ ڄاڻ سيڪيورٽي ماهر لاءِ. اصطلاح Threat Hunting (هتي TH طور حوالو ڏنو ويو) ڪيترائي سال اڳ ظاهر ٿيو. ٽيڪنالاجي پاڻ ڪافي دلچسپ آهي، پر اڃا تائين عام طور تي قبول ٿيل معيار ۽ ضابطا نه آهن. اهو معاملو پڻ پيچيده آهي معلومات جي ذريعن جي heterogeneity ۽ هن موضوع تي معلومات جي روسي-ٻولي ذريعن جي ننڍي تعداد. ان سلسلي ۾، اسان LANIT-انٽيگريشن تي هن ٽيڪنالاجي جو جائزو وٺڻ جو فيصلو ڪيو.
سموري
TH ٽيڪنالاجي بنيادي ڍانچي جي نگراني جي عملن تي ڀاڙي ٿو.. خبردار ڪرڻ (MSSP خدمتن سان ملندڙ جلندڙ) اڳوڻي ترقي يافته نشانين ۽ حملن جي نشانين کي ڳولڻ ۽ انهن کي جواب ڏيڻ جو هڪ روايتي طريقو آهي. اهو منظر ڪاميابي سان روايتي دستخط جي بنياد تي حفاظتي اوزارن جي ذريعي ڪيو ويو آهي. شڪار (MDR قسم جي خدمت) هڪ نگراني جو طريقو آهي جيڪو سوال جو جواب ڏئي ٿو "دستخط ۽ ضابطا ڪٿان اچن ٿا؟" اهو لڪيل يا اڳي نامعلوم اشارن ۽ حملي جي نشانين جو تجزيو ڪندي باهمي تعلق جي ضابطن کي ٺاهڻ جو عمل آهي. خطري جو شڪار هن قسم جي نگراني ڏانهن اشارو ڪري ٿو.
صرف ٻنهي قسمن جي نگراني کي گڏ ڪرڻ سان اسان کي تحفظ ملي ٿو جيڪو مثالي جي ويجهو آهي، پر اتي هميشه هڪ مخصوص سطح جي بقا جو خطرو آهي.
ٻن قسمن جي نگراني کي استعمال ڪندي تحفظ
۽ ھتي آھي ڇو TH (۽ مڪمل طور تي شڪار!) وڌ ۾ وڌ لاڳاپيل ٿي ويندو:
خطرو ، علاج ، خطرو.
. انهن ۾ شامل آهن قسمون جهڙوڪ اسپام، DDoS، وائرس، روٽڪٽس ۽ ٻيون شاندار مالويئر. توهان انهن خطرن کان پاڻ کي بچائي سگهو ٿا ساڳيا کلاسک حفاظتي اپاءَ استعمال ڪندي.
ڪنهن به منصوبي جي عمل جي دوران، ۽ باقي 20٪ ڪم جو 80٪ وقت وٺندو آهي. ساڳئي طرح، سڄي خطري جي منظرنامي ۾، نئين خطرن جو 5٪ هڪ ڪمپني جي خطري جو 70٪ حساب ڪندو. هڪ ڪمپني ۾ جتي معلومات جي حفاظت جي انتظام جي عملن کي منظم ڪيو ويو آهي، اسان 30٪ خطري کي منظم ڪري سگھون ٿا معلوم خطرن تي عمل درآمد جي خطري جو هڪ طريقي سان يا ٻئي طريقي سان (اصولي طور تي وائرليس نيٽ ورڪ کي رد ڪرڻ)، قبول ڪرڻ (ضروري حفاظتي قدمن تي عمل ڪرڻ) يا منتقل ڪرڻ. (مثال طور، هڪ انٽيگريٽر جي ڪلهن تي) هي خطرو. کان پاڻ کي بچايو, APT حملا, phishing,، سائبر جاسوسي ۽ قومي آپريشن، گڏوگڏ ٻين حملن جو وڏو تعداد اڳ ۾ ئي تمام گهڻو ڏکيو آهي. انهن 5 سيڪڙو خطرن جا نتيجا تمام گهڻا سنگين هوندا () اسپام يا وائرس جي نتيجن کان، جن مان اينٽي وائرس سافٽ ويئر بچائي ٿو.
تقريبن هر ڪنهن کي 5 سيڪڙو خطرن سان منهن ڏيڻو پوندو. اسان کي تازو ئي هڪ اوپن سورس حل انسٽال ڪرڻو هو جيڪو PEAR (PHP Extension and Application Repository) مخزن مان هڪ ايپليڪيشن استعمال ڪري ٿو. پيئر انسٽال ذريعي هن ايپليڪيشن کي انسٽال ڪرڻ جي ڪوشش ناڪام ٿي وئي ڇاڪاڻ ته دستياب نه هو (هاڻي ان تي هڪ اسٽب آهي)، مون کي ان کي GitHub مان انسٽال ڪرڻو پيو. ۽ تازو ئي اهو ظاهر ٿيو ته PEAR هڪ شڪار ٿيو.
توهان اڃا تائين ياد ڪري سگهو ٿا, NePetya ransomware جي هڪ وبا هڪ تازه ڪاري ماڊل ذريعي ٽيڪس رپورٽنگ پروگرام لاءِ. ڌمڪيون وڌيڪ ۽ وڌيڪ نفيس ٿي رهيون آهن، ۽ منطقي سوال پيدا ٿئي ٿو - "اسان انهن 5 سيڪڙو خطرن کي ڪيئن منهن ڏئي سگهون ٿا؟"
خطري جي شڪار جي تعريف
تنهن ڪري، Threat Hunting ترقي يافته خطرن جي فعال ۽ تکراري ڳولا ۽ ڳولڻ جو عمل آهي جيڪو روايتي حفاظتي اوزارن جي ذريعي ڳولي نه ٿو سگهجي. ترقي يافته خطرن ۾ شامل آهن، مثال طور، حملا جهڙوڪ APT، حملا 0-ڏينهن جي خطرن تي، زمين کان ٻاهر رهڻ، وغيره.
اسان اهو پڻ ٻيهر بيان ڪري سگهون ٿا ته TH مفروضن کي جانچڻ جو عمل آهي. اهو هڪ بنيادي طور تي آٽوميشن جي عنصرن سان گڏ هڪ دستي عمل آهي، جنهن ۾ تجزيه نگار، پنهنجي علم ۽ صلاحيتن تي ڀروسو ڪندي، سمجھوتي جي نشانين جي ڳولا ۾ معلومات جي وڏي مقدار کي ڇڪي ٿو، جيڪي ڪنهن خاص خطري جي موجودگي بابت ابتدائي طور تي طئي ٿيل مفروضي سان ملن ٿا. ان جي خاص خصوصيت معلومات جي ذريعن جي مختلف قسم آهي.
اهو ياد رکڻ گهرجي ته خطري جو شڪار ڪنهن قسم جو سافٽ ويئر يا هارڊويئر پراڊڪٽ ناهي. اهي خبرداري نه آهن جيڪي ڪجهه حل ۾ ڏسي سگهجن ٿيون. هي نه آهي IOC (Identifiers of Compromise) ڳولا جو عمل. ۽ هي ڪجهه قسم جي غير فعال سرگرمي ناهي جيڪا معلومات جي سيڪيورٽي تجزيه نگارن جي شموليت کان سواء ٿيندي آهي. خطري جو شڪار پهريون ۽ اهم ترين عمل آهي.
خطري جي شڪار جا اجزاء
خطري جي شڪار جا ٽي مکيه حصا: ڊيٽا، ٽيڪنالاجي، ماڻهو.
ڊيٽا (ڇا؟)بگ ڊيٽا سميت. سڀني قسمن جي ٽرئفڪ جي وهڪري، اڳوڻي APTs بابت معلومات، تجزياتي، صارف جي سرگرمي تي ڊيٽا، نيٽ ورڪ ڊيٽا، ملازمن کان معلومات، ڊارڪٽ نيٽ تي معلومات ۽ گهڻو ڪجهه.
ٽيڪنالاجيون (ڪيئن؟) ھن ڊيٽا کي پروسيس ڪرڻ - ھن ڊيٽا کي پروسيس ڪرڻ جا سڀ ممڪن طريقا، بشمول مشين لرننگ.
ماڻهو (ڪير؟) - جن کي مختلف حملن جي تجزيي ۾ وسيع تجربو آهي، ترقي يافته وجدان ۽ حملي کي ڳولڻ جي صلاحيت. عام طور تي اهي معلومات سيڪيورٽي تجزيه نگار آهن جن کي لازمي طور تي فرضي تصورات پيدا ڪرڻ ۽ انهن جي تصديق ڳولڻ جي صلاحيت هوندي. اهي عمل ۾ مکيه ڪڙي آهن.
ماڊل پيرس
آدم بيٽمن مثالي TH عمل لاء PARIS ماڊل. نالو فرانس ۾ هڪ مشهور نشان ڏانهن اشارو ڪري ٿو. هن ماڊل کي ٻن طرفن ۾ ڏسي سگهجي ٿو - مٿي ۽ هيٺان کان.
جيئن ته اسان هيٺان کان ماڊل ذريعي اسان جي طريقي سان ڪم ڪندا آهيون، اسان کي بدسلوڪي سرگرمي جي ڪيترن ئي ثبوتن سان منهن ڏينداسين. ثبوت جي هر ٽڪرا هڪ ماپ آهي جنهن کي اعتماد سڏيو ويندو آهي - هڪ خاصيت جيڪا هن ثبوت جي وزن کي ظاهر ڪري ٿي. اتي آهي "لوهه"، بدسلوڪي سرگرمي جو سڌو ثبوت، جنهن جي مطابق اسان فوري طور تي پرامڊ جي چوٽي تي پهچي سگهون ٿا ۽ صحيح طور تي ڄاڻايل انفيڪشن بابت حقيقي خبرداري ٺاهي سگهون ٿا. ۽ اڻ سڌي طرح ثبوت آهي، جنهن جو مجموعو پڻ اسان کي پرامم جي چوٽي ڏانهن وٺي سگھي ٿو. هميشه وانگر، سڌي شاهدي کان گهڻو وڌيڪ اڻ سڌي طرح ثبوت آهي، جنهن جو مطلب آهي ته انهن کي ترتيب ڏيڻ ۽ تجزيو ڪرڻ جي ضرورت آهي، اضافي تحقيق ٿيڻ گهرجي، ۽ اهو خودڪار ڪرڻ جي صلاح ڏني وئي آهي.
ماڊل پيرس.
ماڊل جو مٿو حصو (1 ۽ 2) آٽوميشن ٽيڪنالاجيز ۽ مختلف تجزياتي تي ٻڌل آهي، ۽ هيٺيون حصو (3 ۽ 4) ماڻهن تي ٻڌل آهي جيڪي ڪجهه قابليت سان عمل ڪن ٿا. توھان غور ڪري سگھوٿا ماڊل کي مٿي کان ھيٺ ڏانھن منتقل ڪرڻ، جتي نيري رنگ جي مٿئين حصي ۾ اسان وٽ روايتي حفاظتي اوزارن (اينٽي وائرس، اي ڊي آر، فائر وال، دستخط) کان اعلي سطحي اعتماد ۽ اعتماد سان خبرداري آھي، ۽ ھيٺ ڏنل اشارا آھن ( IOC، URL، MD5 ۽ ٻيا)، جن ۾ گھٽ درجي جو يقين آھي ۽ اضافي مطالعي جي ضرورت آھي. ۽ سڀ کان گھٽ ۽ ٿلهي سطح (4) مفروضن جو نسل آهي، تحفظ جي روايتي ذريعن جي آپريشن لاء نئين منظرنامي جي پيدائش. هي سطح صرف مفروضن جي مخصوص ذريعن تائين محدود ناهي. هيٺين سطح تي، وڌيڪ گهربل تجزيه نگار جي قابليت تي رکيل آهن.
اهو تمام ضروري آهي ته تجزيه نگار صرف اڳواٽ مقرر ڪيل مفروضن جي هڪ محدود سيٽ کي نه پرکين، پر مسلسل نوان مفروضا پيدا ڪرڻ لاءِ ڪم ڪن ۽ انهن کي جانچڻ لاءِ آپشنز پيدا ڪن.
TH استعمال جي پختگي ماڊل
هڪ مثالي دنيا ۾، TH هڪ جاري عمل آهي. پر، جيئن ته ڪا مثالي دنيا ناهي، اچو ته تجزيو ڪريون ۽ ماڻهن جي لحاظ کان طريقن، پروسيس ۽ ٽيڪنالاجيون استعمال ڪيون ويون آهن. اچو ته هڪ مثالي گول TH جي ماڊل تي غور ڪريون. هن ٽيڪنالاجي کي استعمال ڪرڻ جا 5 سطح آهن. اچو ته انهن کي تجزيه نگارن جي هڪ ٽيم جي ارتقا جو مثال استعمال ڪري ڏسو.
پختگي جي سطح
ماڻهو
پروسيس
ٽيڪنالاجي جو
سطح 0
SOC تجزيه نگار
24/7
روايتي اوزار:
روايتي
خبردارين جو سيٽ
غير فعال نگراني
IDS, AV, Sandboxing,
بغير TH
خبردارين سان ڪم ڪرڻ
دستخط تجزياتي اوزار، خطري جي ڄاڻ واري ڊيٽا.
سطح 1
SOC تجزيه نگار
هڪ ڀيرو TH
EDR
تجرباتي
فارنزڪ جي بنيادي ڄاڻ
IOC ڳولا
نيٽ ورڪ ڊوائيسز کان ڊيٽا جي جزوي ڪوريج
تجربا TH
نيٽ ورڪ ۽ ايپليڪيشنن جي سٺي ڄاڻ
جزوي درخواست
سطح 2
عارضي قبضو
اسپرنٽ
EDR
وقتي
فارنزڪ جي سراسري ڄاڻ
هفتي کان مهيني تائين
مڪمل ايپليڪيشن
عارضي TH
نيٽ ورڪ ۽ ايپليڪيشنن جي بهترين ڄاڻ
باقاعده TH
EDR ڊيٽا جي استعمال جي مڪمل خودڪار
ترقي يافته EDR صلاحيتن جو جزوي استعمال
سطح 3
وقف ٿيل TH حڪم
24/7
مفروضن کي جانچڻ جي جزوي صلاحيت TH
روڪڻ وارو
فرانزڪ ۽ مالويئر جي بهترين ڄاڻ
روڪٿام TH
جديد EDR صلاحيتن جو مڪمل استعمال
خاص ڪيس TH
حملي واري پاسي جي بهترين ڄاڻ
خاص ڪيس TH
نيٽ ورڪ ڊوائيسز کان ڊيٽا جي مڪمل ڪوريج
توهان جي ضرورتن مطابق ترتيب ڏيڻ
سطح 4
وقف ٿيل TH حڪم
24/7
TH مفروضن کي جانچڻ جي مڪمل صلاحيت
اڳواڻي
فرانزڪ ۽ مالويئر جي بهترين ڄاڻ
روڪٿام TH
سطح 3، پلس:
TH استعمال ڪندي
حملي واري پاسي جي بهترين ڄاڻ
مفروضن جي جاچ، خودڪار ۽ تصديق TH
ڊيٽا ذريعن جي سخت انضمام؛
تحقيق جي صلاحيت
ضرورتن مطابق ترقي ۽ API جي غير معياري استعمال.
ماڻهن، عملن ۽ ٽيڪنالاجيز طرفان TH پختگي جي سطح
سطح 0: روايتي، TH استعمال ڪرڻ کان سواء. باقاعده تجزيهڪار معياري اوزار ۽ ٽيڪنالاجي استعمال ڪندي غير فعال مانيٽرنگ موڊ ۾ الرٽ جي معياري سيٽ سان ڪم ڪن ٿا: IDS، AV، sandbox، signature analysis tools.
سطح 1: تجرباتي، TH استعمال ڪندي. ساڳيا تجزيه نگار جيڪي فرانزڪس جي بنيادي ڄاڻ ۽ نيٽ ورڪ ۽ ايپليڪيشنن جي سٺي ڄاڻ سان گڏ سمجھوتي جي اشارن جي ڳولا ڪندي هڪ ڀيري خطري جو شڪار ڪري سگهن ٿا. EDRs نيٽ ورڪ ڊوائيسز کان ڊيٽا جي جزوي ڪوريج سان اوزارن ۾ شامل ڪيا ويا آھن. اوزار جزوي طور استعمال ڪيا ويا آهن.
سطح 2: وقتي، عارضي TH. ساڳيا تجزيه نگار جيڪي اڳ ۾ ئي پنهنجي ڄاڻ کي اپ گريڊ ڪري چڪا آهن فارنڪس، نيٽ ورڪ ۽ ايپليڪيشن جي حصي ۾ باقاعده طور تي خطري جي شڪار (اسپرنٽ) ۾ مشغول ٿيڻ جي ضرورت آهي، چوندا آهن، هڪ هفتي هڪ مهيني. اوزار نيٽ ورڪ ڊوائيسز مان ڊيٽا جي مڪمل ڳولا، EDR کان ڊيٽا جي تجزيي جي خودڪار، ۽ ترقي يافته EDR صلاحيتن جو جزوي استعمال شامل ڪري ٿو.
سطح 3: روڪٿام، بار بار ڪيس TH. اسان جي تجزيه نگارن پاڻ کي هڪ وقف ٽيم ۾ منظم ڪيو ۽ انهن کي فورينڪس ۽ مالويئر جي بهترين ڄاڻ حاصل ڪرڻ شروع ڪئي، انهي سان گڏ حملي واري پاسي جي طريقن ۽ حڪمت عملي جي ڄاڻ. اهو عمل اڳ ۾ ئي 24/7 ڪيو ويو آهي. ٽيم جزوي طور تي TH مفروضن کي جانچڻ جي قابل آهي جڏهن ته مڪمل طور تي نيٽ ورڪ ڊوائيسز کان ڊيٽا جي مڪمل ڪوريج سان EDR جي جديد صلاحيتن کي استعمال ڪندي. تجزيه نگار پڻ اوزار ترتيب ڏيڻ جي قابل آهن انهن جي ضرورتن مطابق.
سطح 4: اعلي-آخر، TH استعمال ڪريو. ساڳئي ٽيم تحقيق ڪرڻ جي صلاحيت حاصل ڪئي، TH مفروضن کي جانچڻ جي عمل کي پيدا ڪرڻ ۽ خودڪار ڪرڻ جي صلاحيت. ھاڻي اوزار مڪمل ڪيا ويا آھن ڊيٽا ذريعن جي ويجھي انضمام، ضرورتن کي پورو ڪرڻ لاءِ سافٽ ويئر ڊولپمينٽ، ۽ APIs جي غير معياري استعمال.
خطري جو شڪار ٽيڪنڪ
بنيادي خطري جو شڪار ٽيڪنڪ
К TH، استعمال ٿيل ٽيڪنالاجي جي پختگي جي ترتيب ۾، هي آهن: بنيادي ڳولا، شمارياتي تجزيي، بصري ٽيڪنالاجي، سادي مجموعي، مشين سکيا، ۽ Bayesian طريقا.
آسان طريقو، هڪ بنيادي ڳولا، مخصوص سوالن کي استعمال ڪندي تحقيق جي علائقي کي تنگ ڪرڻ لاء استعمال ڪيو ويندو آهي. شمارياتي تجزيو استعمال ڪيو ويندو آهي، مثال طور، هڪ شمارياتي ماڊل جي صورت ۾ عام صارف يا نيٽ ورڪ جي سرگرمي کي تعمير ڪرڻ لاء. بصري ٽيڪنڪ استعمال ڪيا ويندا آهن بصري طور تي ڏيکاريل ۽ آسان ڪرڻ لاءِ ڊيٽا جي تجزيو کي گراف ۽ چارٽ جي صورت ۾، جيڪو نموني ۾ نمونن کي سمجهڻ آسان بڻائي ٿو. اهم شعبن پاران سادي مجموعن جي ٽيڪنڪ کي استعمال ڪيو ويندو آهي ڳولا ۽ تجزيو کي بهتر ڪرڻ لاءِ. هڪ تنظيم جو TH عمل جيترو پختو ٿيندو، اوترو ئي وڌيڪ لاڳاپيل ٿيندو مشين جي سکيا واري الگورتھم جو استعمال. اهي اسپام کي فلٽر ڪرڻ، بدسلوڪي ٽرئفڪ کي ڳولڻ ۽ دوکي جي سرگرمين کي ڳولڻ ۾ پڻ وڏي پيماني تي استعمال ٿيندا آهن. مشين لرننگ الورورٿم جو هڪ وڌيڪ جديد قسم آهي Bayesian طريقا، جيڪي درجه بندي، نموني سائيز جي گھٽتائي، ۽ موضوع جي ماڊلنگ جي اجازت ڏين ٿا.
هيرن جو ماڊل ۽ TH حڪمت عمليون
سرجيو ڪلٽيگيرون، اينڊريو پينڊگاسٽ ۽ ڪرسٽوفر بيٽز پنهنجي ڪم ۾ "» ڪنهن به بدسلوڪي سرگرمي جا بنيادي اهم حصا ۽ انهن جي وچ ۾ بنيادي ڪنيڪشن ڏيکاريا.
بدسلوڪي سرگرمي لاء هيرن جو ماڊل
هن ماڊل جي مطابق، 4 خطري جي شڪار حڪمت عمليون آهن، جيڪي لاڳاپيل اهم حصن تي ٻڌل آهن.
1. قرباني تي ٻڌل حڪمت عملي. اسان فرض ڪريون ٿا ته مقتول جا مخالف آهن ۽ اهي اي ميل ذريعي ”موقعون“ پهچائيندا. اسان ميل ۾ دشمن جي ڊيٽا ڳولي رهيا آهيون. ڳنڍڻ، ڳنڍڻ وغيره. اسان هن مفروضي جي تصديق لاءِ ڳولي رهيا آهيون هڪ خاص مدت (هڪ مهينو، ٻه هفتا)؛ جيڪڏهن اسان ان کي نه ڳوليندا آهيون، ته پوءِ مفروضو ڪم نه ڪيو.
2. انفراسٽرڪچر تي مبني حڪمت عملي. ھن حڪمت عملي کي استعمال ڪرڻ لاء ڪيترائي طريقا آھن. رسائي ۽ نمائش تي مدار رکندي، ڪجهه ٻين کان وڌيڪ آسان آهن. مثال طور، اسان ڊومين نالو سرورز جي نگراني ڪندا آهيون جيڪي بدسلوڪي ڊومينز کي ميزباني ڪرڻ لاء سڃاتل آهن. يا اسان سڀني نئين ڊومين جي نالي جي رجسٽريشن جي نگراني جي عمل جي ذريعي وڃون ٿا هڪ مشهور نموني لاء جيڪو مخالف طرفان استعمال ڪيو ويو آهي.
3. قابليت تي ٻڌل حڪمت عملي. گهڻو ڪري نيٽ ورڪ محافظن پاران استعمال ڪيل قرباني-مرڪز حڪمت عملي جي اضافي ۾، اتي هڪ موقعي تي مرڪوز حڪمت عملي آهي. اهو ٻيو سڀ کان وڌيڪ مشهور آهي ۽ مخالف جي صلاحيتن کي ڳولڻ تي ڌيان ڏئي ٿو، يعني "مالويئر" ۽ جائز اوزار استعمال ڪرڻ لاء مخالف جي صلاحيت جهڙوڪ psexec، powershell، certutil ۽ ٻيا.
4. دشمن جي حڪمت عملي. مخالف مرڪزي نقطه نظر مخالف پاڻ تي ڌيان ڏئي ٿو. ھن ۾ عوامي طور تي دستياب ذريعن (OSINT) کان کليل معلومات جو استعمال، دشمن بابت ڊيٽا گڏ ڪرڻ، سندس ٽيڪنڪ ۽ طريقا (TTP)، گذريل واقعن جو تجزيو، خطري جي ڄاڻ واري ڊيٽا، وغيره شامل آھن.
TH ۾ معلومات ۽ مفروضن جا ذريعا
Threat Hunting لاءِ معلومات جا ڪجهه ذريعا
معلومات جا ڪيترائي ذريعا ٿي سگهن ٿا. هڪ مثالي تجزيه نگار کي هر شيءِ مان معلومات ڪڍڻ گهرجي جيڪا چوڌاري آهي. تقريبن ڪنهن به انفراسٽرڪچر ۾ عام ذريعا حفاظتي اوزارن مان ڊيٽا هوندا: DLP، SIEM، IDS/IPS، WAF/FW، EDR. انهي سان گڏ، معلومات جا عام ذريعا سمجھوتا جا مختلف اشارا هوندا، خطري جي انٽيليجنس سروسز، CERT ۽ OSINT ڊيٽا. اضافي طور تي، توهان استعمال ڪري سگهو ٿا ڊارڪٽ نيٽ مان معلومات (مثال طور، اوچتو هڪ تنظيم جي سربراهه جي ميل باڪس کي هيڪ ڪرڻ جو حڪم آهي، يا نيٽ ورڪ انجنيئر جي پوزيشن لاء اميدوار پنهنجي سرگرمي لاء بي نقاب ڪيو ويو آهي)، مان حاصل ڪيل معلومات. HR (ڪم جي پوئين جڳهه کان اميدوار جو جائزو)، سيڪيورٽي سروس کان معلومات (مثال طور، مخالف ڌر جي تصديق جا نتيجا).
پر سڀني دستياب ذريعن کي استعمال ڪرڻ کان اڳ، گهٽ ۾ گهٽ هڪ مفروضو هجڻ ضروري آهي.
مفروضن کي جانچڻ لاءِ، انهن کي پهريان اڳيان رکڻو پوندو. ۽ ڪيترن ئي اعلي معيار جي مفروضن کي اڳتي وڌائڻ لاء، اهو ضروري آهي ته هڪ منظم طريقي سان لاڳو ٿئي. مفروضو پيدا ڪرڻ جي عمل کي وڌيڪ تفصيل سان بيان ڪيو ويو آهي، اهو تمام آسان آهي ته هن اسڪيم کي فرضي تصورن کي پيش ڪرڻ جي عمل جي بنياد طور.
hypotheses جو مکيه ذريعو ٿيندو ATT ۽ CK ميٽرڪس (مخالف حڪمت عمليون، ٽيڪنڪس ۽ عام علم). اهو، جوهر ۾، هڪ علم جو بنياد ۽ نمونو آهي ته حملي آورن جي رويي جو اندازو لڳائڻ لاءِ جيڪي پنهنجيون سرگرميون حملي جي آخري مرحلن ۾ سرانجام ڏين ٿا، عام طور تي ڪل چين جي تصور کي استعمال ڪندي بيان ڪيو ويو آهي. اهو آهي، مرحلن تي هڪ حملي کان پوء هڪ انٽرنيشنل جي اندروني نيٽ ورڪ يا هڪ موبائل ڊوائيس تي داخل ٿيو آهي. علم جي بنياد ۾ اصل ۾ 121 حڪمت عملين ۽ حملن ۾ استعمال ٿيندڙ طريقن جا تفصيل شامل هئا، جن مان هر هڪ وڪي فارميٽ ۾ تفصيل سان بيان ڪيو ويو آهي. مختلف Threat Intelligence analytics چڱيءَ طرح موزون آهن هڪ ماخذ جي طور تي مفروضن کي پيدا ڪرڻ لاءِ. خاص طور تي نوٽ ڪيل بنيادي ڍانچي جي تجزيي ۽ دخول ٽيسٽ جا نتيجا آهن - هي سڀ کان قيمتي ڊيٽا آهي جيڪو اسان کي لوهي ڪلڊ مفروضو ڏئي سگهي ٿو ڇاڪاڻ ته اهي هڪ مخصوص انفراسٽرڪچر تي ٻڌل آهن ان جي مخصوص خامين سان.
مفروضو جاچڻ جو عمل
سرجي Soldatov کڻي آيو پروسيس جي تفصيلي وضاحت سان، اهو هڪ واحد سسٽم ۾ TH مفروضن کي جانچڻ جي عمل کي بيان ڪري ٿو. مان مختصر وضاحت سان مکيه مرحلن جي نشاندهي ڪندس.
اسٽيج 1: TI فارم
هن مرحلي تي ان کي اجاگر ڪرڻ ضروري آهي شيون (انهن کي سڀني خطرن جي ڊيٽا سان گڏ تجزيو ڪندي) ۽ انهن کي انهن جي خاصيتن لاء ليبل تفويض ڪندي. اھي فائل آھن، URL، MD5، عمل، افاديت، واقعا. جڏهن انهن کي Threat Intelligence سسٽم ذريعي گذري ٿو، اهو ضروري آهي ته ٽيگ ڳنڍڻ. يعني هي سائيٽ اهڙي سال ۾ CNC ۾ نوٽ ڪئي وئي هئي، هي MD5 اهڙي ۽ اهڙي مالويئر سان جڙيل هو، هي MD5 هڪ سائيٽ تان ڊائون لوڊ ڪيو ويو هو جيڪا مالويئر ورهائي ٿي.
اسٽيج 2: ڪيس
ٻئي مرحلي تي، اسان انهن شين جي وچ ۾ رابطي کي ڏسون ٿا ۽ انهن سڀني شين جي وچ ۾ لاڳاپن جي نشاندهي ڪريون ٿا. اسان کي نشان لڳل سسٽم ملي ٿو جيڪي ڪجھ خراب ڪن ٿا.
اسٽيج 3: تجزيه نگار
ٽئين مرحلي ۾، ڪيس هڪ تجربيڪار تجزيه نگار ڏانهن منتقل ڪيو ويندو آهي، جيڪو تجزيي ۾ وسيع تجربو رکي ٿو، ۽ هو فيصلو ڪري ٿو. هي بائٽس کي پارس ڪري ٿو ته هي ڪوڊ ڇا، ڪٿي، ڪيئن، ڇو ۽ ڇو ڪندو آهي. هي جسم مالويئر هو، هي ڪمپيوٽر متاثر هو. شين جي وچ ۾ رابطن کي ظاهر ڪري ٿو، سينڊ باڪس ذريعي هلڻ جا نتيجا چيڪ ڪري ٿو.
تجزيه نگار جي ڪم جا نتيجا اڳتي وڌيا وڃن ٿا. ڊجيٽل فارنزڪس تصويرن جي جانچ ڪري ٿو، مالويئر تجزيا جانچي ٿو "لاش" مليا، ۽ واقعن جي جوابي ٽيم سائيٽ ڏانهن وڃي سگهي ٿي ۽ اڳ ۾ ئي ڪجهه تحقيق ڪري سگهي ٿي. ڪم جو نتيجو هڪ تصديق ٿيل مفروضو، هڪ سڃاڻپ حملي ۽ ان کي منهن ڏيڻ جا طريقا هوندا.
نتيجو
خطري جو شڪار هڪ انتهائي نوجوان ٽيڪنالاجي آهي جيڪا مؤثر طريقي سان ڪسٽمائيز، نون ۽ غير معياري خطرن کي منهن ڏئي سگهي ٿي، جنهن ۾ اهڙن خطرن جي وڌندڙ تعداد ۽ ڪارپوريٽ انفراسٽرڪچر جي وڌندڙ پيچيدگي کي نظر ۾ رکڻ جا وڏا امڪان آهن. ان کي ٽن حصن جي ضرورت آهي - ڊيٽا، اوزار ۽ تجزيه نگار. خطري جي شڪار جا فائدا خطرن جي نفاذ کي روڪڻ تائين محدود نه آهن. اهو نه وساريو ته ڳولا جي عمل دوران اسان پنهنجي انفراسٽرڪچر ۽ ان جي ڪمزور نقطن ۾ هڪ سيڪيورٽي تجزيه نگار جي نظرن ذريعي غور ڪيو ۽ انهن نقطن کي وڌيڪ مضبوط ڪري سگهون ٿا.
پهرين قدم جيڪي، اسان جي راء ۾، توهان جي تنظيم ۾ TH عمل کي شروع ڪرڻ جي ضرورت آهي.
- آخر پوائنٽس ۽ نيٽ ورڪ انفراسٽرڪچر جي حفاظت جو خيال رکو. توهان جي نيٽ ورڪ تي سڀني عملن جي نمائش (NetFlow) ۽ ڪنٽرول (فائر وال، IDS، IPS، DLP) جو خيال رکو. ڄاڻو پنھنجي نيٽ ورڪ کي ڪنڊ روٽر کان بلڪل آخري ميزبان تائين.
- Exploreوليو.
- گهٽ ۾ گهٽ اهم خارجي وسيلن جي باقاعده پينٽسٽس کي منظم ڪريو، ان جي نتيجن جو تجزيو ڪيو، حملي جي مکيه هدفن جي نشاندهي ڪريو ۽ انهن جي نقصانن کي بند ڪريو.
- هڪ اوپن سورس ٿريٽ انٽيليجنس سسٽم لاڳو ڪريو (مثال طور، MISP، Yeti) ۽ ان سان گڏ لاگن جو تجزيو ڪريو.
- هڪ واقعن جي جوابي پليٽ فارم تي عمل ڪريو (IRP): R-Vision IRP، The Hive، مشڪوڪ فائلن جو تجزيو ڪرڻ لاءِ سينڊ باڪس (FortiSandbox, Cuckoo).
- معمولي عملن کي خودڪار ڪريو. لاگن جو تجزيو، واقعن جي رڪارڊنگ، اسٽاف کي ڄاڻ ڏيڻ آٽوميشن لاءِ هڪ وڏو ميدان آهي.
- واقعن تي تعاون ڪرڻ لاءِ انجنيئرز، ڊولپرز، ۽ ٽيڪنيڪل سپورٽ سان مؤثر طريقي سان لهه وچڙ ڪرڻ سکو.
- سڄي عمل کي دستاويز ڪريو، اهم نقطا، حاصل ڪيل نتيجن کي بعد ۾ انهن ڏانهن موٽڻ يا هن ڊيٽا کي ڀائيوارن سان حصيداري ڪرڻ لاء؛
- سماجي رهو: توهان جي ملازمن سان ڇا ٿي رهيو آهي، توهان ڪير نوڪري ڪندا آهيو، ۽ توهان تنظيم جي معلومات جي وسيلن تائين رسائي فراهم ڪندا آهيو.
- نون خطرن ۽ تحفظ جي طريقن جي ميدان ۾ رجحانات کان واقف رکو، پنھنجي ٽيڪنيڪل خواندگي جي سطح کي وڌايو (بشمول آئي ٽي سروسز ۽ سب سسٽم جي آپريشن ۾)، ڪانفرنس ۾ شرڪت ڪريو ۽ ساٿين سان ڳالھ ٻولھ ڪريو.
تبصرن ۾ TH عمل جي تنظيم تي بحث ڪرڻ لاء تيار.
يا اچو اسان سان گڏ ڪم ڪريو!
مطالعي لاء ذريعا ۽ مواد
جو ذريعو: www.habr.com