තොරතුරු ආරක්ෂණ තර්ජන වලින් 95% ක් දන්නා අතර, ප්රති-වයිරස, ෆයර්වෝල්, IDS, WAF වැනි සාම්ප්රදායික ක්රම භාවිතයෙන් ඔබට ඒවායින් ආරක්ෂා විය හැක. ඉතිරි 5% තර්ජන නොදන්නා අතර වඩාත්ම භයානක ය. සමාගමකට ඇති අවදානමෙන් 70% ක් ඔවුන්ගෙන් සමන්විත වන්නේ ඒවා හඳුනා ගැනීම ඉතා අපහසු වන අතර, ඔවුන්ගෙන් ආරක්ෂා වීමට වඩා අඩු බැවිනි. උදාහරණ
සයිබර් ප්රහාරවල අඛණ්ඩ පරිණාමය සඳහා නිරන්තර හඳුනාගැනීම් සහ ප්රතිප්රහාර අවශ්ය වන අතර, එය අවසානයේ ප්රහාරකයන් සහ ආරක්ෂකයින් අතර නිමක් නැති අවි තරඟයක් ගැන සිතීමට අපව යොමු කරයි. සම්භාව්ය ආරක්ෂක පද්ධතිවලට තවදුරටත් නිශ්චිත යටිතල ව්යූහයක් සඳහා ඒවා වෙනස් නොකර සමාගමේ ප්රධාන දර්ශක (ආර්ථික, දේශපාලන, කීර්තිය) කෙරෙහි අවදානම් මට්ටම බලපාන්නේ නැති පිළිගත හැකි මට්ටමේ ආරක්ෂාවක් සැපයීමට තවදුරටත් හැකියාවක් නැත, නමුත් පොදුවේ ඒවා සමහරක් ආවරණය කරයි. අවදානම්. දැනටමත් ක්රියාත්මක කිරීමේ සහ වින්යාස කිරීමේ ක්රියාවලියේදී, නවීන ආරක්ෂක පද්ධති අල්ලා ගැනීමේ භූමිකාව තුළ සිටින අතර නව කාලයේ අභියෝගවලට ප්රතිචාර දැක්විය යුතුය.
Threat Hunting තාක්ෂණය තොරතුරු ආරක්ෂක විශේෂඥයකු සඳහා අපේ කාලයේ ඇති අභියෝගවලට පිළිතුරක් විය හැකිය. Threat Hunting යන යෙදුම (මෙතැන් සිට TH ලෙස හැඳින්වේ) වසර කිහිපයකට පෙර දර්ශනය විය. තාක්ෂණය තරමක් සිත්ගන්නා සුළුය, නමුත් තවමත් සාමාන්යයෙන් පිළිගත් ප්රමිතීන් සහ නීති නොමැත. තොරතුරු මූලාශ්රවල විෂමතාවය සහ මෙම මාතෘකාව පිළිබඳ රුසියානු භාෂා ප්රභවයන් කුඩා සංඛ්යාවකින් ද කාරණය සංකීර්ණ වේ. මේ සම්බන්ධයෙන්, LANIT-Integration හි අපි මෙම තාක්ෂණය පිළිබඳ සමාලෝචනයක් ලිවීමට තීරණය කළෙමු.
වැදගත්කම
TH තාක්ෂණය යටිතල පහසුකම් අධීක්ෂණ ක්රියාවලීන් මත රඳා පවතී.
නිරීක්ෂණ වර්ග දෙකම ඒකාබද්ධ කිරීමෙන් පමණක් අපට පරමාදර්ශයට ආසන්න ආරක්ෂාවක් ලැබෙනු ඇත, නමුත් සෑම විටම යම් අවශේෂ අවදානමක් පවතී.
අධීක්ෂණ වර්ග දෙකක් භාවිතයෙන් ආරක්ෂා කිරීම
TH (සහ සම්පූර්ණයෙන් දඩයම් කිරීම!) වඩ වඩාත් අදාළ වන්නේ මන්ද යන්නයි:
තර්ජන, පිළියම්, අවදානම්.
ඕනෑම ව්යාපෘතියක් ක්රියාත්මක කිරීමේදී
සෑම කෙනෙකුටම පාහේ 5% තර්ජන සමඟ කටයුතු කිරීමට සිදු වේ. PEAR (PHP Extension and Application Repository) ගබඩාවෙන් යෙදුමක් භාවිතා කරන විවෘත මූලාශ්ර විසඳුමක් ස්ථාපනය කිරීමට අපට මෑතකදී සිදු විය. pear ස්ථාපනය හරහා මෙම යෙදුම ස්ථාපනය කිරීමට ගත් උත්සාහය අසාර්ථක වූ නිසා
ඔබට තවමත් මතක තබා ගත හැකිය
තර්ජන දඩයම් අර්ථ දැක්වීම
එබැවින්, තර්ජන දඩයම යනු සාම්ප්රදායික ආරක්ෂක මෙවලම් මගින් අනාවරණය කර ගත නොහැකි උසස් තර්ජන ක්රියාශීලී සහ පුනරාවර්තන සෙවීමේ සහ අනාවරණය කිරීමේ ක්රියාවලියයි. උසස් තර්ජනවලට උදාහරණයක් ලෙස, APT වැනි ප්රහාර, දින 0 අවදානම් මත ප්රහාර, ගොඩබිම ජීවත් වීම, සහ යනාදිය ඇතුළත් වේ.
TH යනු උපකල්පන පරීක්ෂා කිරීමේ ක්රියාවලිය බව අපට නැවත ප්රකාශ කළ හැක. මෙය ප්රධාන වශයෙන් ස්වයංක්රීයකරණයේ මූලද්රව්ය සහිත අතින් ක්රියාවලියක් වන අතර, විශ්ලේෂකයා, ඔහුගේ දැනුම සහ කුසලතා මත විශ්වාසය තබමින්, යම් තර්ජනයක් පැවතීම පිළිබඳ මුලින් තීරණය කරන ලද උපකල්පනයට අනුරූප වන සම්මුතියේ සලකුණු සෙවීම සඳහා විශාල තොරතුරු ප්රමාණයක් ගවේෂණය කරයි. එහි සුවිශේෂී ලක්ෂණය වන්නේ විවිධ තොරතුරු මූලාශ්ර වේ.
Threat Hunting යනු යම් ආකාරයක මෘදුකාංග හෝ දෘඪාංග නිෂ්පාදනයක් නොවන බව සටහන් කළ යුතුය. මේවා යම් විසඳුමක් තුළ දැකිය හැකි ඇඟවීම් නොවේ. මෙය IOC (සම්මුති හඳුනාගැනීම්) සෙවුම් ක්රියාවලියක් නොවේ. මෙය තොරතුරු ආරක්ෂණ විශ්ලේෂකයින්ගේ සහභාගීත්වයෙන් තොරව සිදුවන යම් ආකාරයක නිෂ්ක්රීය ක්රියාකාරකම් නොවේ. තර්ජන දඩයම් කිරීම ප්රථමයෙන්ම ක්රියාවලියකි.
තර්ජන දඩයම් කිරීමේ සංරචක
තර්ජන දඩයම් කිරීමේ ප්රධාන කොටස් තුනක්: දත්ත, තාක්ෂණය, මිනිසුන්.
දත්ත (කුමක්ද?)විශාල දත්ත ඇතුළුව. සියලු වර්ගවල ගමනාගමන ප්රවාහ, පෙර APT පිළිබඳ තොරතුරු, විශ්ලේෂණ, පරිශීලක ක්රියාකාරකම් පිළිබඳ දත්ත, ජාල දත්ත, සේවකයින්ගේ තොරතුරු, අඳුරු ජාලයේ තොරතුරු සහ තවත් බොහෝ දේ.
තාක්ෂණය (කෙසේද?) මෙම දත්ත සැකසීම - Machine Learning ඇතුළුව, මෙම දත්ත සැකසීමේ හැකි සියලුම ක්රම.
මිනිසුන් (කවුද?) - විවිධ ප්රහාර විශ්ලේෂණය කිරීමේ පුළුල් අත්දැකීම් ඇති අය, වර්ධනය වූ බුද්ධිය සහ ප්රහාරයක් හඳුනා ගැනීමේ හැකියාව. සාමාන්යයෙන් මේවා තොරතුරු ආරක්ෂණ විශ්ලේෂකයින් වන අතර ඔවුන්ට උපකල්පන උත්පාදනය කිරීමට සහ ඒවා සඳහා තහවුරු කිරීම් සොයා ගැනීමට හැකියාව තිබිය යුතුය. ඒවා ක්රියාවලියේ ප්රධාන සම්බන්ධකයයි.
මාදිලිය PARIS
ඇඩම් බැට්මන්
අපි ආකෘතිය හරහා පහළ සිට ඉහළට ගමන් කරන විට, ද්වේෂසහගත ක්රියාකාරකම් පිළිබඳ සාක්ෂි රාශියක් අපට හමුවනු ඇත. සෑම සාක්ෂියකටම විශ්වාසය නම් මිනුමක් ඇත - මෙම සාක්ෂියේ බර පිළිබිඹු කරන ලක්ෂණයකි. “යකඩ”, ද්වේෂසහගත ක්රියාකාරකම් පිළිබඳ සෘජු සාක්ෂි ඇත, ඒ අනුව අපට වහාම පිරමීඩයේ මුදුනට ළඟා විය හැකි අතර නිශ්චිතවම දන්නා ආසාදනයක් පිළිබඳ සැබෑ අනතුරු ඇඟවීමක් නිර්මාණය කළ හැකිය. තවද වක්ර සාක්ෂි ඇත, ඒවායේ එකතුව අපව පිරමීඩයේ මුදුනට ගෙන යා හැකිය. සෑම විටම, සෘජු සාක්ෂි වලට වඩා බොහෝ වක්ර සාක්ෂි තිබේ, එයින් අදහස් කරන්නේ ඒවා වර්ග කර විශ්ලේෂණය කළ යුතු බවත්, අමතර පර්යේෂණ පැවැත්විය යුතු බවත්, මෙය ස්වයංක්රීය කිරීම සුදුසු බවත්ය.
මාදිලිය PARIS.
ආකෘතියේ ඉහළ කොටස (1 සහ 2) ස්වයංක්රීය තාක්ෂණයන් සහ විවිධ විශ්ලේෂණ මත පදනම් වන අතර පහළ කොටස (3 සහ 4) ක්රියාවලිය කළමනාකරණය කරන යම් සුදුසුකම් ඇති පුද්ගලයින් මත පදනම් වේ. ඉහළ සිට පහළට චලනය වන ආකෘතිය ඔබට සලකා බැලිය හැකිය, එහිදී නිල් පැහැයේ ඉහළ කොටසේ ඉහළ විශ්වාසයකින් සහ විශ්වාසයකින් සාම්ප්රදායික ආරක්ෂක මෙවලම් (ප්රති-වයිරස, EDR, ෆයර්වෝල්, අත්සන්) වෙතින් අපට ඇඟවීම් ඇති අතර පහත දර්ශක ඇත ( IOC, URL, MD5 සහ වෙනත්), අඩු නිශ්චිතභාවයක් ඇති සහ අමතර අධ්යයනයක් අවශ්ය වේ. සහ අඩුම සහ ඝනකම මට්ටම (4) යනු උපකල්පන උත්පාදනය කිරීම, සාම්ප්රදායික ආරක්ෂණ ක්රම ක්රියාත්මක කිරීම සඳහා නව අවස්ථා නිර්මාණය කිරීමයි. මෙම මට්ටම උපකල්පනවල නිශ්චිත මූලාශ්රවලට පමණක් සීමා නොවේ. මට්ටම අඩු වන තරමට, විශ්ලේෂකයාගේ සුදුසුකම් මත අවශ්යතා වැඩි වේ.
විශ්ලේෂකයින් විසින් පරිමිත පූර්ව නිර්ණය කරන ලද උපකල්පන මාලාවක් සරලව පරීක්ෂා නොකර, ඒවා පරීක්ෂා කිරීම සඳහා නව උපකල්පන සහ විකල්ප උත්පාදනය කිරීමට නිරන්තරයෙන් කටයුතු කිරීම ඉතා වැදගත් වේ.
TH භාවිත පරිණත ආකෘතිය
පරමාදර්ශී ලෝකයක, TH යනු අඛණ්ඩ ක්රියාවලියකි. නමුත්, පරමාදර්ශී ලෝකයක් නොමැති නිසා, අපි විශ්ලේෂණය කරමු
පරිණත මට්ටම්
ජනතාව
ක්රියාවලි
තාක්ෂණය
පළමු මට්ටම
SOC විශ්ලේෂකයින්
24/7
සාම්ප්රදායික උපකරණ:
සාම්ප්රදායික
ඇඟවීම් කට්ටලය
නිෂ්ක්රීය අධීක්ෂණය
IDS, AV, Sandboxing,
TH නොමැතිව
ඇඟවීම් සමඟ වැඩ කිරීම
අත්සන විශ්ලේෂණ මෙවලම්, තර්ජන බුද්ධි දත්ත.
පළමු මට්ටම
SOC විශ්ලේෂකයින්
එක් වරක් TH
EDR
පර්යේෂණාත්මක
අධිකරණ වෛද්ය විද්යාව පිළිබඳ මූලික දැනුම
IOC සෙවීම
ජාල උපාංග වලින් දත්ත අර්ධ වශයෙන් ආවරණය කිරීම
TH සමඟ අත්හදා බැලීම්
ජාල සහ යෙදුම් පිළිබඳ හොඳ දැනුමක්
අර්ධ යෙදුම
පළමු මට්ටම
තාවකාලික රැකියාව
ස්ප්රින්ට්ස්
EDR
කාලානුරූපී
අධිකරණ වෛද්ය විද්යාව පිළිබඳ සාමාන්ය දැනුම
සතියෙන් මාසය
සම්පූර්ණ අයදුම්පත
තාවකාලික TH
ජාල සහ යෙදුම් පිළිබඳ විශිෂ්ට දැනුමක්
නිතිපතා TH
EDR දත්ත භාවිතයේ සම්පූර්ණ ස්වයංක්රීයකරණය
උසස් EDR හැකියාවන් අර්ධ වශයෙන් භාවිතා කිරීම
පළමු මට්ටම
කැපවූ TH විධානය
24/7
උපකල්පන පරීක්ෂා කිරීමට අර්ධ හැකියාව TH
නිවාරක
අධිකරණ වෛද්ය විද්යාව සහ අනිෂ්ට මෘදුකාංග පිළිබඳ විශිෂ්ට දැනුමක්
නිවාරණ TH
උසස් EDR හැකියාවන් පූර්ණ ලෙස භාවිතා කිරීම
විශේෂ අවස්ථා TH
ප්රහාරක පැත්ත ගැන විශිෂ්ට දැනුමක්
විශේෂ අවස්ථා TH
ජාල උපාංග වලින් දත්ත සම්පූර්ණ ආවරණය
ඔබගේ අවශ්යතාවයට සරිලන පරිදි වින්යාස කිරීම
පළමු මට්ටම
කැපවූ TH විධානය
24/7
TH උපකල්පන පරීක්ෂා කිරීමට පූර්ණ හැකියාව
පෙරමුණේ
අධිකරණ වෛද්ය විද්යාව සහ අනිෂ්ට මෘදුකාංග පිළිබඳ විශිෂ්ට දැනුමක්
නිවාරණ TH
3 මට්ටම, අමතර:
TH භාවිතා කිරීම
ප්රහාරක පැත්ත ගැන විශිෂ්ට දැනුමක්
උපකල්පන පරීක්ෂා කිරීම, ස්වයංක්රීයකරණය සහ සත්යාපනය TH
දත්ත මූලාශ්ර දැඩි ලෙස ඒකාබද්ධ කිරීම;
පර්යේෂණ හැකියාව
අවශ්යතා අනුව සංවර්ධනය සහ API සම්මත නොවන භාවිතය.
පුද්ගලයන්, ක්රියාවලි සහ තාක්ෂණයන් අනුව TH පරිණත මට්ටම්
පෙළ 0: සාම්ප්රදායික, TH භාවිතා නොකර. නිත්ය විශ්ලේෂකයින් සම්මත මෙවලම් සහ තාක්ෂණයන් භාවිතයෙන් උදාසීන අධීක්ෂණ මාදිලියේ සම්මත ඇඟවීම් කට්ටලයක් සමඟ ක්රියා කරයි: IDS, AV, sandbox, අත්සන විශ්ලේෂණ මෙවලම්.
පෙළ 1: පර්යේෂණාත්මක, TH භාවිතා කරමින්. අධිකරණ වෛද්ය විද්යාව පිළිබඳ මූලික දැනුමක් සහ ජාල සහ යෙදුම් පිළිබඳ හොඳ දැනුමක් ඇති එම විශ්ලේෂකයින්ට සම්මුතියේ දර්ශක සෙවීමෙන් එක් වරක් තර්ජන දඩයම සිදු කළ හැකිය. ජාල උපාංගවලින් දත්ත අර්ධ ආවරණයක් සහිත මෙවලම් වෙත EDR එකතු කරනු ලැබේ. මෙවලම් අර්ධ වශයෙන් භාවිතා වේ.
පෙළ 2: ආවර්තිතා, තාවකාලික TH. අධිකරණ වෛද්ය විද්යාව, ජාල සහ යෙදුම් කොටස පිළිබඳ දැනටමත් තම දැනුම වැඩිදියුණු කර ඇති එම විශ්ලේෂකයින් මසකට සතියක් තර්ජන දඩයම් කිරීමේ (ස්ප්රින්ට්) නිතිපතා නිරත වීමට අවශ්ය වේ. මෙවලම් ජාල උපාංගවලින් දත්ත සම්පූර්ණයෙන් ගවේෂණය කිරීම, EDR වෙතින් දත්ත විශ්ලේෂණය ස්වයංක්රීය කිරීම සහ උසස් EDR හැකියාවන් අර්ධ වශයෙන් භාවිතා කිරීම එක් කරයි.
පෙළ 3: වැළැක්වීමේ, TH හි නිතර සිදුවන අවස්ථා. අපගේ විශ්ලේෂකයින් කැපවූ කණ්ඩායමකට සංවිධානය වී අධිකරණ වෛද්ය විද්යාව සහ අනිෂ්ට මෘදුකාංග පිළිබඳ විශිෂ්ට දැනුමක් මෙන්ම ප්රහාරක පැත්තේ ක්රම සහ උපක්රම පිළිබඳ දැනුමක් ලබා ගැනීමට පටන් ගත්හ. ක්රියාවලිය දැනටමත් 24/7 සිදු කරනු ලැබේ. ජාල උපාංගවලින් දත්ත සම්පූර්ණයෙන් ආවරණය කිරීමත් සමඟ EDR හි උසස් හැකියාවන් සම්පූර්ණයෙන් ප්රයෝජනයට ගනිමින් TH උපකල්පන අර්ධ වශයෙන් පරීක්ෂා කිරීමට කණ්ඩායමට හැකි වේ. විශ්ලේෂකයින්ට ඔවුන්ගේ අවශ්යතාවලට සරිලන පරිදි මෙවලම් වින්යාස කිරීමට ද හැකිය.
පෙළ 4: ඉහළ මට්ටමේ, TH භාවිතා කරන්න. එම කණ්ඩායමම පර්යේෂණ කිරීමේ හැකියාව, TH උපකල්පන පරීක්ෂා කිරීමේ ක්රියාවලිය උත්පාදනය කිරීමේ සහ ස්වයංක්රීය කිරීමේ හැකියාව ලබා ගත්හ. දැන් මෙවලම් දත්ත මූලාශ්ර සමීපව ඒකාබද්ධ කිරීම, අවශ්යතා සපුරාලීම සඳහා මෘදුකාංග සංවර්ධනය සහ API වල සම්මත නොවන භාවිතය මගින් පරිපූරණය කර ඇත.
තර්ජන දඩයම් ශිල්පීය ක්රම
මූලික තර්ජන දඩයම් ශිල්පීය ක්රම
К
සරලම ක්රමය, මූලික සෙවීම, විශේෂිත විමසුම් භාවිතා කරමින් පර්යේෂණ ක්ෂේත්රය පටු කිරීමට භාවිතා කරයි. සංඛ්යානමය විශ්ලේෂණයක් භාවිතා කරනුයේ, සංඛ්යානමය ආකෘතියක් ආකාරයෙන් සාමාන්ය පරිශීලක හෝ ජාල ක්රියාකාරකම් ගොඩනැගීම සඳහාය. ප්රස්තාර සහ ප්රස්ථාර ආකාරයෙන් දත්ත විශ්ලේෂණය දෘශ්ය ලෙස ප්රදර්ශනය කිරීමට සහ සරල කිරීමට දෘශ්යකරණ ශිල්පීය ක්රම භාවිතා කරන අතර එමඟින් නියැදියේ රටා හඳුනා ගැනීම වඩාත් පහසු කරයි. සෙවීම් සහ විශ්ලේෂණය ප්රශස්ත කිරීම සඳහා ප්රධාන ක්ෂේත්ර මගින් සරල එකතු කිරීමේ තාක්ෂණය භාවිතා වේ. සංවිධානයක TH ක්රියාවලිය වඩාත් පරිණත වන තරමට, යන්ත්ර ඉගෙනීමේ ඇල්ගොරිතම භාවිතය වඩාත් අදාළ වේ. අයාචිත තැපැල් පෙරීම, අනිෂ්ට ගමනාගමනය හඳුනා ගැනීම සහ වංචනික ක්රියාකාරකම් හඳුනා ගැනීම සඳහා ද ඒවා බහුලව භාවිතා වේ. වඩාත් දියුණු යන්ත්ර ඉගෙනුම් ඇල්ගොරිතමයක් වන්නේ වර්ගීකරණය, නියැදි ප්රමාණය අඩු කිරීම සහ මාතෘකා ආකෘතිකරණය සඳහා ඉඩ සලසන Bayesian ක්රම වේ.
දියමන්ති ආකෘතිය සහ TH උපාය මාර්ග
Sergio Caltagiron, Andrew Pendegast සහ Christopher Betz ඔවුන්ගේ කෘතියේ "
ද්වේෂසහගත ක්රියාකාරකම් සඳහා දියමන්ති ආකෘතිය
මෙම ආකෘතියට අනුව, තර්ජන දඩයම් කිරීමේ උපාය මාර්ග 4 ක් ඇත, ඒවා අනුරූප ප්රධාන සංරචක මත පදනම් වේ.
1. වින්දිතයන් ඉලක්ක කරගත් උපාය. වින්දිතයාට විරුද්ධවාදීන් සිටින අතර ඔවුන් ඊමේල් හරහා "අවස්ථා" ලබා දෙනු ඇතැයි අපි උපකල්පනය කරමු. අපි තැපෑලෙන් සතුරාගේ දත්ත සොයමින් සිටිමු. සබැඳි, ඇමුණුම් ආදිය සොයන්න. අපි මෙම උපකල්පනය නිශ්චිත කාලයක් සඳහා (මාසයක්, සති දෙකක්) තහවුරු කිරීමට සොයමින් සිටිමු; අපි එය සොයා නොගත්තොත්, උපකල්පනය වැඩ කළේ නැත.
2. යටිතල පහසුකම්-නැඹුරු උපාය. මෙම උපාය මාර්ගය භාවිතා කිරීම සඳහා ක්රම කිහිපයක් තිබේ. ප්රවේශය සහ දෘශ්යතාව මත පදනම්ව, සමහරක් අනෙක් ඒවාට වඩා පහසු වේ. උදාහරණයක් ලෙස, අපි අනිෂ්ට වසම් සත්කාරක ලෙස දන්නා වසම් නාම සේවාදායකයන් නිරීක්ෂණය කරමු. නැතහොත් අපි විරුද්ධවාදියෙකු විසින් භාවිතා කරන දන්නා රටාවක් සඳහා සියලුම නව වසම් නාම ලියාපදිංචි කිරීම් නිරීක්ෂණය කිරීමේ ක්රියාවලිය හරහා යන්නෙමු.
3. හැකියාව මත පදනම් වූ උපාය මාර්ගය. බොහෝ ජාල ආරක්ෂකයින් විසින් භාවිතා කරනු ලබන ගොදුරු ඉලක්ක කරගත් උපාය මාර්ගයට අමතරව, අවස්ථා කේන්ද්ර කරගත් උපාය මාර්ගයක් ඇත. එය දෙවන වඩාත් ජනප්රිය වන අතර ප්රතිවාදියාගේ හැකියාවන් හඳුනා ගැනීම කෙරෙහි අවධානය යොමු කරයි, එනම් “අනිෂ්ට මෘදුකාංග” සහ විරුද්ධවාදියාට psexec, powershell, certutil සහ වෙනත් නීත්යානුකූල මෙවලම් භාවිතා කිරීමට ඇති හැකියාව.
4. සතුරා ඉලක්ක කරගත් උපාය. ප්රතිවාදී කේන්ද්රීය ප්රවේශය විරුද්ධවාදියා කෙරෙහිම අවධානය යොමු කරයි. ප්රසිද්ධියේ පවතින මූලාශ්රවලින් විවෘත තොරතුරු භාවිතා කිරීම (OSINT), සතුරා පිළිබඳ දත්ත රැස් කිරීම, ඔහුගේ ශිල්පීය ක්රම සහ ක්රම (TTP), පෙර සිදුවීම් විශ්ලේෂණය, තර්ජන බුද්ධි දත්ත ආදිය මෙයට ඇතුළත් වේ.
TH හි තොරතුරු සහ උපකල්පන මූලාශ්ර
තර්ජන දඩයම් කිරීම සඳහා සමහර තොරතුරු මූලාශ්ර
බොහෝ තොරතුරු මූලාශ්ර තිබිය හැක. පරමාදර්ශී විශ්ලේෂකයෙකුට අවට ඇති සෑම දෙයකින්ම තොරතුරු උකහා ගැනීමට හැකි විය යුතුය. ඕනෑම යටිතල ව්යුහයක සාමාන්ය මූලාශ්ර වනුයේ ආරක්ෂක මෙවලම් වෙතින් වන දත්ත වේ: DLP, SIEM, IDS/IPS, WAF/FW, EDR. එසේම, සාමාන්ය තොරතුරු මූලාශ්ර වන්නේ සම්මුතියේ විවිධ දර්ශක, තර්ජන බුද්ධි සේවා, CERT සහ OSINT දත්ත වේ. මීට අමතරව, ඔබට Darknet වෙතින් තොරතුරු භාවිතා කළ හැකිය (උදාහරණයක් ලෙස, හදිසියේම සංවිධානයක ප්රධානියාගේ තැපැල් පෙට්ටිය හැක් කිරීමට නියෝගයක් තිබේ, නැතහොත් ජාල ඉංජිනේරුවෙකුගේ තනතුර සඳහා අපේක්ෂකයෙකු ඔහුගේ ක්රියාකාරකම් සඳහා නිරාවරණය වී ඇත), ලැබුණු තොරතුරු මානව සම්පත් (පෙර සේවා ස්ථානයෙන් අපේක්ෂකයාගේ සමාලෝචන), ආරක්ෂක සේවයේ තොරතුරු (උදාහරණයක් ලෙස, ප්රතිපක්ෂයේ සත්යාපනයේ ප්රතිඵල).
නමුත් පවතින සියලුම මූලාශ්ර භාවිතා කිරීමට පෙර, අවම වශයෙන් එක් උපකල්පනයක් හෝ තිබීම අවශ්ය වේ.
උපකල්පන පරීක්ෂා කිරීම සඳහා, ඒවා මුලින්ම ඉදිරිපත් කළ යුතුය. තවද බොහෝ උසස් තත්ත්වයේ උපකල්පන ඉදිරිපත් කිරීම සඳහා, ක්රමානුකූල ප්රවේශයක් යෙදීම අවශ්ය වේ. උපකල්පන ජනනය කිරීමේ ක්රියාවලිය වඩාත් විස්තරාත්මකව විස්තර කෙරේ
උපකල්පනවල ප්රධාන මූලාශ්රය වනු ඇත ATT&CK අනුකෘතිය (විරුද්ධ උපක්රම, ශිල්පීය ක්රම සහ පොදු දැනුම). එය සාරය වශයෙන්, සාමාන්යයෙන් Kill Chain සංකල්පය භාවිතයෙන් විස්තර කෙරෙන ප්රහාරයක අවසාන පියවරේදී තම ක්රියාකාරකම් සිදු කරන ප්රහාරකයින්ගේ හැසිරීම තක්සේරු කිරීම සඳහා දැනුම පදනමක් සහ ආදර්ශයක් වේ. එනම්, ප්රහාරකයෙකු ව්යවසායක අභ්යන්තර ජාලයට හෝ ජංගම උපාංගයකට විනිවිද ගිය පසු අදියරේදී ය. ප්රහාරයේ දී භාවිතා කරන උපක්රම සහ ශිල්පීය ක්රම 121 ක් පිළිබඳ විස්තර දැනුම පදනමේ මුලින් ඇතුළත් වූ අතර, ඒ සෑම එකක්ම විකී ආකෘතියෙන් විස්තරාත්මකව විස්තර කර ඇත. උපකල්පන ජනනය කිරීම සඳහා මූලාශ්රයක් ලෙස විවිධ තර්ජන බුද්ධි විශ්ලේෂණ හොඳින් ගැලපේ. විශේෂයෙන් සැලකිල්ලට ගත යුතු යටිතල පහසුකම් විශ්ලේෂණය සහ විනිවිද යාමේ පරීක්ෂණවල ප්රතිඵල - මෙය නිශ්චිත අඩුපාඩු සහිත නිශ්චිත යටිතල ව්යුහයක් මත පදනම් වී ඇති නිසා අපට අයෝමය උපකල්පන ලබා දිය හැකි වටිනාම දත්ත වේ.
උපකල්පිත පරීක්ෂණ ක්රියාවලිය
සර්ජි සොල්ඩටොව් ගෙනාවා
අදියර 1: TI ගොවිපල
මෙම අදියරේදී එය ඉස්මතු කිරීම අවශ්ය වේ වස්තු (සියලු තර්ජන දත්ත සමඟ ඒවා විශ්ලේෂණය කිරීමෙන්) සහ ඒවායේ ලක්ෂණ සඳහා ලේබල් ලබා දීම. මේවා ගොනු, URL, MD5, ක්රියාවලිය, උපයෝගීතාව, සිදුවීම වේ. තර්ජන බුද්ධි පද්ධති හරහා ඒවා ගමන් කරන විට, ටැග් ඇමිණීම අවශ්ය වේ. එනම්, මෙම වෙබ් අඩවිය CNC හි එවැනි වසරක් තුළ නිරීක්ෂණය විය, මෙම MD5 එවැනි අනිෂ්ට මෘදුකාංග සමඟ සම්බන්ධ වී ඇත, මෙම MD5 බාගත කර ඇත්තේ අනිෂ්ට මෘදුකාංග බෙදා හරින වෙබ් අඩවියකිනි.
අදියර 2: නඩු
දෙවන අදියරේදී, අපි මෙම වස්තූන් අතර අන්තර්ක්රියා දෙස බලන අතර මෙම සියලු වස්තූන් අතර සම්බන්ධතා හඳුනා ගනිමු. නරක දෙයක් කරන සලකුණු පද්ධති අපට ලැබේ.
අදියර 3: විශ්ලේෂක
තෙවන අදියරේදී, නඩුව විශ්ලේෂණය පිළිබඳ පුළුල් අත්දැකීම් ඇති පළපුරුදු විශ්ලේෂකයෙකු වෙත මාරු කරනු ලබන අතර, ඔහු තීන්දුවක් ලබා දෙයි. ඔහු මෙම කේතය කරන්නේ කුමක්ද, කොහේද, කෙසේද, ඇයි සහ ඇයිද යන්න බයිට් වලට විග්රහ කරයි. මෙම ශරීරය අනිෂ්ට මෘදුකාංගයකි, මෙම පරිගණකය ආසාදනය වී ඇත. වස්තූන් අතර සම්බන්ධතා හෙළි කරයි, වැලිපිල්ල හරහා ධාවනය කිරීමේ ප්රතිඵල පරීක්ෂා කරයි.
විශ්ලේෂකයාගේ කාර්යයේ ප්රතිඵල තවදුරටත් සම්ප්රේෂණය වේ. ඩිජිටල් අධිකරණ වෛද්ය විද්යාව විසින් පින්තූර පරීක්ෂා කරයි, අනිෂ්ට මෘදුකාංග විශ්ලේෂණය මගින් සොයාගත් “ශරීර” පරීක්ෂා කරයි, සහ සිදුවීම් ප්රතිචාර කණ්ඩායමට වෙබ් අඩවියට ගොස් දැනටමත් එහි ඇති දෙයක් විමර්ශනය කළ හැකිය. කාර්යයේ ප්රතිඵලය වනුයේ තහවුරු කරන ලද කල්පිතයක්, හඳුනාගත් ප්රහාරයක් සහ එය ප්රතිවිරෝධී කිරීමේ ක්රම වේ.
ප්රතිඵල
Threat Hunting යනු අභිරුචිකරණය කරන ලද, නව සහ සම්මත නොවන තර්ජනවලට ඵලදායි ලෙස මුහුණ දිය හැකි තරමක් තරුණ තාක්ෂණයක් වන අතර, එවැනි තර්ජන වර්ධනය වන සංඛ්යාව සහ ආයතනික යටිතල ව්යුහයේ වැඩිවන සංකීර්ණත්වය අනුව විශාල අපේක්ෂාවන් ඇත. එයට සංරචක තුනක් අවශ්ය වේ - දත්ත, මෙවලම් සහ විශ්ලේෂක. තර්ජන දඩයම් කිරීමේ ප්රතිලාභ තර්ජන ක්රියාත්මක කිරීම වැළැක්වීමට සීමා නොවේ. සෙවුම් ක්රියාවලියේදී අපි ආරක්ෂක විශ්ලේෂකයෙකුගේ ඇසින් අපගේ යටිතල පහසුකම් සහ එහි දුර්වල කරුණු වෙත කිමිදෙන බවත් මෙම කරුණු තවදුරටත් ශක්තිමත් කළ හැකි බවත් අමතක නොකරන්න.
අපගේ මතය අනුව, ඔබේ සංවිධානයේ TH ක්රියාවලිය ආරම්භ කිරීමට ගත යුතු පළමු පියවර.
- අන්ත ලක්ෂ්ය සහ ජාල යටිතල පහසුකම් ආරක්ෂා කිරීම ගැන සැලකිලිමත් වන්න. ඔබේ ජාලයේ ඇති සියලුම ක්රියාවලීන්ගේ දෘශ්යතාව (NetFlow) සහ පාලනය (ෆයර්වෝල්, IDS, IPS, DLP) ගැන සැලකිලිමත් වන්න. එජ් රවුටරයේ සිට අවසාන ධාරකය දක්වා ඔබේ ජාලය දැන ගන්න.
- ගවේෂණය කරන්න
MITER ATT&CK . - අවම වශයෙන් ප්රධාන බාහිර සම්පත්වල නිතිපතා පෙන්ටෙස්ට් පැවැත්වීම, එහි ප්රතිඵල විශ්ලේෂණය කිරීම, ප්රහාරය සඳහා ප්රධාන ඉලක්ක හඳුනා ගැනීම සහ ඒවායේ දුර්වලතා වසා දැමීම.
- විවෘත මූලාශ්ර තර්ජන බුද්ධි පද්ධතියක් ක්රියාත්මක කරන්න (උදාහරණයක් ලෙස, MISP, Yeti) සහ ඒ හා සම්බන්ධව ලඝු-සටහන් විශ්ලේෂණය කරන්න.
- සිද්ධි ප්රතිචාර වේදිකාවක් ක්රියාත්මක කරන්න (IRP): R-Vision IRP, The Hive, සැක සහිත ගොනු විශ්ලේෂණය කිරීම සඳහා වැලිපිල්ල (FortiSandbox, Cuckoo).
- සාමාන්ය ක්රියාවලීන් ස්වයංක්රීය කරන්න. ලඝු-සටහන් විශ්ලේෂණය, සිදුවීම් වාර්තා කිරීම, කාර්ය මණ්ඩලය දැනුවත් කිරීම ස්වයංක්රීයකරණය සඳහා විශාල ක්ෂේත්රයකි.
- සිද්ධීන් සම්බන්ධයෙන් සහයෝගයෙන් කටයුතු කිරීමට ඉංජිනේරුවන්, සංවර්ධකයින් සහ තාක්ෂණික සහාය සමඟ ඵලදායී ලෙස අන්තර් ක්රියා කිරීමට ඉගෙන ගන්න.
- සම්පූර්ණ ක්රියාවලිය ලේඛනගත කරන්න, ප්රධාන කරුණු, සාක්ෂාත් කර ගත් ප්රතිඵල පසුව ඔවුන් වෙත නැවත පැමිණීමට හෝ මෙම දත්ත සගයන් සමඟ බෙදා ගන්න;
- සමාජශීලී වන්න: ඔබේ සේවකයින් සමඟ සිදුවන්නේ කුමක්ද, ඔබ කුලියට ගන්නා අය සහ ඔබ සංවිධානයේ තොරතුරු සම්පත් වෙත ප්රවේශය ලබා දෙන්නේ කවුරුන්ද යන්න පිළිබඳව දැනුවත් වන්න.
- නව තර්ජන සහ ආරක්ෂණ ක්රම ක්ෂේත්රයේ ප්රවණතා පිළිබඳව අවධානයෙන් සිටින්න, ඔබේ තාක්ෂණික සාක්ෂරතා මට්ටම (තොරතුරු තාක්ෂණ සේවා සහ උප පද්ධති ක්රියාත්මක කිරීම ඇතුළුව), සම්මන්ත්රණවලට සහභාගී වන්න සහ සගයන් සමඟ සන්නිවේදනය කරන්න.
අදහස් දැක්වීමේදී TH ක්රියාවලිය සංවිධානය කිරීම ගැන සාකච්ඡා කිරීමට සූදානම්.
නැත්නම් එන්න අපිත් එක්ක වැඩ කරන්න!
ප්රධාන තොරතුරු ආරක්ෂණ උපදේශක තොරතුරු ආරක්ෂාව සඳහා පද්ධති ගෘහ නිර්මාණ ශිල්පියා Lead Network Security Engineer ප්රමුඛ තොරතුරු ආරක්ෂක ඉංජිනේරු (SIEM) තොරතුරු ආරක්ෂණ ගෘහ නිර්මාණ ශිල්පියා (යෙදුම)
අධ්යයනය කිරීමට මූලාශ්ර සහ ද්රව්ය
තර්ජනය.ගුරු attack.mitre.org ඩිජිටල් forensics.sans.org resources.infosecinstitute.com www.redcanary.com www.cybereason.com www.anti-malware.ru www.anti-malware.ru reply-to-all.blogspot.com lukatsky.blogspot.com whitepapers.theregister.co.uk
මූලාශ්රය: www.habr.com