තර්ජන දඩයම් කිරීම හෝ තර්ජන වලින් 5% කින් ඔබව ආරක්ෂා කර ගන්නේ කෙසේද

තොරතුරු ආරක්ෂණ තර්ජන වලින් 95% ක් දන්නා අතර, ප්‍රති-වයිරස, ෆයර්වෝල්, IDS, WAF වැනි සාම්ප්‍රදායික ක්‍රම භාවිතයෙන් ඔබට ඒවායින් ආරක්ෂා විය හැක. ඉතිරි 5% තර්ජන නොදන්නා අතර වඩාත්ම භයානක ය. සමාගමකට ඇති අවදානමෙන් 70% ක් ඔවුන්ගෙන් සමන්විත වන්නේ ඒවා හඳුනා ගැනීම ඉතා අපහසු වන අතර, ඔවුන්ගෙන් ආරක්ෂා වීමට වඩා අඩු බැවිනි. උදාහරණ "කළු හංසයන්" WannaCry ransomware වසංගතය, NotPetya/ExPetr, cryptominers, "සයිබර් අවිය" Stuxnet (ඉරානයේ න්‍යෂ්ටික පහසුකම්වලට පහර දුන්) සහ බොහෝ (වෙනත් කෙනෙකුට Kido/Conficker මතකද?) සම්භාව්‍ය ආරක්‍ෂක විධිවිධාන සමඟ හොඳින් ආරක්ෂා වී නැති වෙනත් ප්‍රහාර. Threat Hunting තාක්‍ෂණය භාවිතයෙන් මෙම 5% තර්ජනවලට මුහුණ දෙන්නේ කෙසේද යන්න ගැන අපට කතා කිරීමට අවශ්‍යය.

සයිබර් ප්‍රහාරවල අඛණ්ඩ පරිණාමය සඳහා නිරන්තර හඳුනාගැනීම් සහ ප්‍රතිප්‍රහාර අවශ්‍ය වන අතර, එය අවසානයේ ප්‍රහාරකයන් සහ ආරක්ෂකයින් අතර නිමක් නැති අවි තරඟයක් ගැන සිතීමට අපව යොමු කරයි. සම්භාව්‍ය ආරක්‍ෂක පද්ධතිවලට තවදුරටත් නිශ්චිත යටිතල ව්‍යූහයක් සඳහා ඒවා වෙනස් නොකර සමාගමේ ප්‍රධාන දර්ශක (ආර්ථික, දේශපාලන, කීර්තිය) කෙරෙහි අවදානම් මට්ටම බලපාන්නේ නැති පිළිගත හැකි මට්ටමේ ආරක්‍ෂාවක් සැපයීමට තවදුරටත් හැකියාවක් නැත, නමුත් පොදුවේ ඒවා සමහරක් ආවරණය කරයි. අවදානම්. දැනටමත් ක්‍රියාත්මක කිරීමේ සහ වින්‍යාස කිරීමේ ක්‍රියාවලියේදී, නවීන ආරක්ෂක පද්ධති අල්ලා ගැනීමේ භූමිකාව තුළ සිටින අතර නව කාලයේ අභියෝගවලට ප්‍රතිචාර දැක්විය යුතුය.

ප්රභවය

Threat Hunting තාක්‍ෂණය තොරතුරු ආරක්‍ෂක විශේෂඥයකු සඳහා අපේ කාලයේ ඇති අභියෝගවලට පිළිතුරක් විය හැකිය. Threat Hunting යන යෙදුම (මෙතැන් සිට TH ලෙස හැඳින්වේ) වසර කිහිපයකට පෙර දර්ශනය විය. තාක්‍ෂණය තරමක් සිත්ගන්නා සුළුය, නමුත් තවමත් සාමාන්‍යයෙන් පිළිගත් ප්‍රමිතීන් සහ නීති නොමැත. තොරතුරු මූලාශ්‍රවල විෂමතාවය සහ මෙම මාතෘකාව පිළිබඳ රුසියානු භාෂා ප්‍රභවයන් කුඩා සංඛ්‍යාවකින් ද කාරණය සංකීර්ණ වේ. මේ සම්බන්ධයෙන්, LANIT-Integration හි අපි මෙම තාක්ෂණය පිළිබඳ සමාලෝචනයක් ලිවීමට තීරණය කළෙමු.

වැදගත්කම

TH තාක්ෂණය යටිතල පහසුකම් අධීක්ෂණ ක්‍රියාවලීන් මත රඳා පවතී. අභ්‍යන්තර නිරීක්ෂණ සඳහා ප්‍රධාන අවස්ථා දෙකක් ඇත - අනතුරු ඇඟවීම සහ දඩයම් කිරීම. අනතුරු ඇඟවීම (MSSP සේවා හා සමාන) යනු කලින් සංවර්ධනය කරන ලද අත්සන් සහ ප්‍රහාරවල සලකුණු සෙවීමේ සහ ඒවාට ප්‍රතිචාර දැක්වීමේ සම්ප්‍රදායික ක්‍රමයකි. මෙම අවස්ථාව සාම්ප්‍රදායික අත්සන මත පදනම් වූ ආරක්ෂණ මෙවලම් මගින් සාර්ථකව සිදු කෙරේ. දඩයම් කිරීම (MDR වර්ගයේ සේවාව) යනු "අත්සන සහ නීති පැමිණෙන්නේ කොහෙන්ද?" යන ප්‍රශ්නයට පිළිතුරු සපයන අධීක්ෂණ ක්‍රමයකි. එය සැඟවුණු හෝ කලින් නොදන්නා දර්ශක සහ ප්‍රහාරයක සලකුණු විශ්ලේෂණය කිරීමෙන් සහසම්බන්ධතා රීති නිර්මාණය කිරීමේ ක්‍රියාවලියයි. Threat Hunting යන්නෙන් අදහස් කරන්නේ මෙවැනි නිරීක්ෂණ ක්‍රමයක්.

නිරීක්ෂණ වර්ග දෙකම ඒකාබද්ධ කිරීමෙන් පමණක් අපට පරමාදර්ශයට ආසන්න ආරක්ෂාවක් ලැබෙනු ඇත, නමුත් සෑම විටම යම් අවශේෂ අවදානමක් පවතී.

අධීක්ෂණ වර්ග දෙකක් භාවිතයෙන් ආරක්ෂා කිරීම

TH (සහ සම්පූර්ණයෙන් දඩයම් කිරීම!) වඩ වඩාත් අදාළ වන්නේ මන්ද යන්නයි:

තර්ජන, පිළියම්, අවදානම්. ප්රභවය

සියලුම තර්ජන වලින් 95% ක් දැනටමත් හොඳින් අධ්‍යයනය කර ඇත. මේවාට අයාචිත තැපැල්, DDoS, වෛරස්, රූට්කිට් සහ වෙනත් සම්භාව්‍ය අනිෂ්ට මෘදුකාංග වැනි වර්ග ඇතුළත් වේ. ඔබට එම සම්භාව්‍ය ආරක්ෂක පියවරයන් භාවිතා කරමින් මෙම තර්ජන වලින් ඔබව ආරක්ෂා කර ගත හැක.

ඕනෑම ව්යාපෘතියක් ක්රියාත්මක කිරීමේදී වැඩවලින් 20% ක් සම්පූර්ණ කිරීමට කාලයෙන් 80% ක් ගතවේ, සහ ඉතිරි 20% වැඩ සඳහා කාලයෙන් 80% ක් ගතවේ. ඒ හා සමානව, සමස්ත තර්ජන භූ දර්ශනය හරහා, නව තර්ජන වලින් 5% ක් සමාගමකට ඇති අවදානමෙන් 70% ක් වගකිව යුතුය. තොරතුරු ආරක්ෂණ කළමනාකරණ ක්‍රියාවලීන් සංවිධානය කර ඇති සමාගමක, (ප්‍රතිපත්තිමය වශයෙන් රැහැන් රහිත ජාල ප්‍රතික්ෂේප කිරීම), පිළිගැනීම (අවශ්‍ය ආරක්ෂක පියවරයන් ක්‍රියාත්මක කිරීම) හෝ මාරු කිරීමෙන් අපට දන්නා තර්ජන එක් ආකාරයකින් හෝ වෙනත් ආකාරයකින් ක්‍රියාත්මක කිරීමේ අවදානමෙන් 30% කළමනාකරණය කළ හැකිය. (උදාහරණයක් ලෙස, ඒකාබද්ධ කරන්නෙකුගේ උරහිස් මත) මෙම අවදානම. එයින් ඔබ ආරක්ෂා වන්න ශුන්‍ය-දින දුර්වලතා, APT ප්‍රහාර, තතුබෑම්, සැපයුම් දාම ප්රහාර, සයිබර් ඔත්තු බැලීම සහ ජාතික මෙහෙයුම් මෙන්ම අනෙකුත් ප්‍රහාර විශාල සංඛ්‍යාවක් දැනටමත් වඩා දුෂ්කර ය. මෙම 5% තර්ජන වල ප්‍රතිවිපාක වඩාත් බරපතල වනු ඇත (බුට්‍රැප් සමූහයේ සාමාන්‍ය බැංකු පාඩු ප්‍රමාණය මිලියන 143 කි) ප්‍රති-වයිරස මෘදුකාංග සුරකින ස්පෑම් හෝ වෛරස් වල ප්‍රතිවිපාක වලට වඩා.

සෑම කෙනෙකුටම පාහේ 5% තර්ජන සමඟ කටයුතු කිරීමට සිදු වේ. PEAR (PHP Extension and Application Repository) ගබඩාවෙන් යෙදුමක් භාවිතා කරන විවෘත මූලාශ්‍ර විසඳුමක් ස්ථාපනය කිරීමට අපට මෑතකදී සිදු විය. pear ස්ථාපනය හරහා මෙම යෙදුම ස්ථාපනය කිරීමට ගත් උත්සාහය අසාර්ථක වූ නිසා වෙබ් අඩවිය ලබා ගත නොහැකි විය (දැන් එහි අංකුරයක් ඇත), මට එය GitHub වෙතින් ස්ථාපනය කිරීමට සිදු විය. PEAR ගොදුරක් බවට පත් වූ බව මෑතකදී පෙනී ගියේය සැපයුම් දාම ප්රහාර.

ඔබට තවමත් මතක තබා ගත හැකිය CCleaner භාවිතයෙන් පහර දෙන්න, බදු වාර්තා කිරීමේ වැඩසටහනක් සඳහා යාවත්කාලීන මොඩියුලයක් හරහා NePetya ransomware වසංගතයක් MEDoc. තර්ජන වඩ වඩාත් සංකීර්ණ වෙමින් පවතින අතර තාර්කික ප්‍රශ්නය පැන නගී - “මෙම තර්ජන 5% ට අපට මුහුණ දිය හැක්කේ කෙසේද?”

තර්ජන දඩයම් අර්ථ දැක්වීම

එබැවින්, තර්ජන දඩයම යනු සාම්ප්‍රදායික ආරක්ෂක මෙවලම් මගින් අනාවරණය කර ගත නොහැකි උසස් තර්ජන ක්‍රියාශීලී සහ පුනරාවර්තන සෙවීමේ සහ අනාවරණය කිරීමේ ක්‍රියාවලියයි. උසස් තර්ජනවලට උදාහරණයක් ලෙස, APT වැනි ප්‍රහාර, දින 0 අවදානම් මත ප්‍රහාර, ගොඩබිම ජීවත් වීම, සහ යනාදිය ඇතුළත් වේ.

TH යනු උපකල්පන පරීක්‍ෂා කිරීමේ ක්‍රියාවලිය බව අපට නැවත ප්‍රකාශ කළ හැක. මෙය ප්‍රධාන වශයෙන් ස්වයංක්‍රීයකරණයේ මූලද්‍රව්‍ය සහිත අතින් ක්‍රියාවලියක් වන අතර, විශ්ලේෂකයා, ඔහුගේ දැනුම සහ කුසලතා මත විශ්වාසය තබමින්, යම් තර්ජනයක් පැවතීම පිළිබඳ මුලින් තීරණය කරන ලද උපකල්පනයට අනුරූප වන සම්මුතියේ සලකුණු සෙවීම සඳහා විශාල තොරතුරු ප්‍රමාණයක් ගවේෂණය කරයි. එහි සුවිශේෂී ලක්ෂණය වන්නේ විවිධ තොරතුරු මූලාශ්ර වේ.

Threat Hunting යනු යම් ආකාරයක මෘදුකාංග හෝ දෘඪාංග නිෂ්පාදනයක් නොවන බව සටහන් කළ යුතුය. මේවා යම් විසඳුමක් තුළ දැකිය හැකි ඇඟවීම් නොවේ. මෙය IOC (සම්මුති හඳුනාගැනීම්) සෙවුම් ක්‍රියාවලියක් නොවේ. මෙය තොරතුරු ආරක්ෂණ විශ්ලේෂකයින්ගේ සහභාගීත්වයෙන් තොරව සිදුවන යම් ආකාරයක නිෂ්ක්‍රීය ක්‍රියාකාරකම් නොවේ. තර්ජන දඩයම් කිරීම ප්‍රථමයෙන්ම ක්‍රියාවලියකි.

තර්ජන දඩයම් කිරීමේ සංරචක

තර්ජන දඩයම් කිරීමේ ප්‍රධාන කොටස් තුනක්: දත්ත, තාක්ෂණය, මිනිසුන්.

දත්ත (කුමක්ද?)විශාල දත්ත ඇතුළුව. සියලු වර්ගවල ගමනාගමන ප්‍රවාහ, පෙර APT පිළිබඳ තොරතුරු, විශ්ලේෂණ, පරිශීලක ක්‍රියාකාරකම් පිළිබඳ දත්ත, ජාල දත්ත, සේවකයින්ගේ තොරතුරු, අඳුරු ජාලයේ තොරතුරු සහ තවත් බොහෝ දේ.

තාක්ෂණය (කෙසේද?) මෙම දත්ත සැකසීම - Machine Learning ඇතුළුව, මෙම දත්ත සැකසීමේ හැකි සියලුම ක්‍රම.

මිනිසුන් (කවුද?) - විවිධ ප්‍රහාර විශ්ලේෂණය කිරීමේ පුළුල් අත්දැකීම් ඇති අය, වර්ධනය වූ බුද්ධිය සහ ප්‍රහාරයක් හඳුනා ගැනීමේ හැකියාව. සාමාන්‍යයෙන් මේවා තොරතුරු ආරක්ෂණ විශ්ලේෂකයින් වන අතර ඔවුන්ට උපකල්පන උත්පාදනය කිරීමට සහ ඒවා සඳහා තහවුරු කිරීම් සොයා ගැනීමට හැකියාව තිබිය යුතුය. ඒවා ක්‍රියාවලියේ ප්‍රධාන සම්බන්ධකයයි.

මාදිලිය PARIS

ඇඩම් බැට්මන් විස්තර කරයි පරමාදර්ශී TH ක්‍රියාවලිය සඳහා PARIS ආකෘතිය. මෙම නම ප්‍රංශයේ ප්‍රසිද්ධ සන්ධිස්ථානයකට යොමු කරයි. මෙම ආකෘතිය දිශාවන් දෙකකින් නැරඹිය හැකිය - ඉහළින් සහ පහළින්.

අපි ආකෘතිය හරහා පහළ සිට ඉහළට ගමන් කරන විට, ද්වේෂසහගත ක්‍රියාකාරකම් පිළිබඳ සාක්ෂි රාශියක් අපට හමුවනු ඇත. සෑම සාක්ෂියකටම විශ්වාසය නම් මිනුමක් ඇත - මෙම සාක්ෂියේ බර පිළිබිඹු කරන ලක්ෂණයකි. “යකඩ”, ද්වේෂසහගත ක්‍රියාකාරකම් පිළිබඳ සෘජු සාක්ෂි ඇත, ඒ අනුව අපට වහාම පිරමීඩයේ මුදුනට ළඟා විය හැකි අතර නිශ්චිතවම දන්නා ආසාදනයක් පිළිබඳ සැබෑ අනතුරු ඇඟවීමක් නිර්මාණය කළ හැකිය. තවද වක්‍ර සාක්ෂි ඇත, ඒවායේ එකතුව අපව පිරමීඩයේ මුදුනට ගෙන යා හැකිය. සෑම විටම, සෘජු සාක්ෂි වලට වඩා බොහෝ වක්‍ර සාක්ෂි තිබේ, එයින් අදහස් කරන්නේ ඒවා වර්ග කර විශ්ලේෂණය කළ යුතු බවත්, අමතර පර්යේෂණ පැවැත්විය යුතු බවත්, මෙය ස්වයංක්‍රීය කිරීම සුදුසු බවත්ය.

මාදිලිය PARIS. ප්රභවය

ආකෘතියේ ඉහළ කොටස (1 සහ 2) ස්වයංක්‍රීය තාක්‍ෂණයන් සහ විවිධ විශ්ලේෂණ මත පදනම් වන අතර පහළ කොටස (3 සහ 4) ක්‍රියාවලිය කළමනාකරණය කරන යම් සුදුසුකම් ඇති පුද්ගලයින් මත පදනම් වේ. ඉහළ සිට පහළට චලනය වන ආකෘතිය ඔබට සලකා බැලිය හැකිය, එහිදී නිල් පැහැයේ ඉහළ කොටසේ ඉහළ විශ්වාසයකින් සහ විශ්වාසයකින් සාම්ප්‍රදායික ආරක්ෂක මෙවලම් (ප්‍රති-වයිරස, EDR, ෆයර්වෝල්, අත්සන්) වෙතින් අපට ඇඟවීම් ඇති අතර පහත දර්ශක ඇත ( IOC, URL, MD5 සහ වෙනත්), අඩු නිශ්චිතභාවයක් ඇති සහ අමතර අධ්‍යයනයක් අවශ්‍ය වේ. සහ අඩුම සහ ඝනකම මට්ටම (4) යනු උපකල්පන උත්පාදනය කිරීම, සාම්ප්රදායික ආරක්ෂණ ක්රම ක්රියාත්මක කිරීම සඳහා නව අවස්ථා නිර්මාණය කිරීමයි. මෙම මට්ටම උපකල්පනවල නිශ්චිත මූලාශ්‍රවලට පමණක් සීමා නොවේ. මට්ටම අඩු වන තරමට, විශ්ලේෂකයාගේ සුදුසුකම් මත අවශ්‍යතා වැඩි වේ.

විශ්ලේෂකයින් විසින් පරිමිත පූර්ව නිර්ණය කරන ලද උපකල්පන මාලාවක් සරලව පරීක්‍ෂා නොකර, ඒවා පරීක්‍ෂා කිරීම සඳහා නව උපකල්පන සහ විකල්ප උත්පාදනය කිරීමට නිරන්තරයෙන් කටයුතු කිරීම ඉතා වැදගත් වේ.

TH භාවිත පරිණත ආකෘතිය

පරමාදර්ශී ලෝකයක, TH යනු අඛණ්ඩ ක්‍රියාවලියකි. නමුත්, පරමාදර්ශී ලෝකයක් නොමැති නිසා, අපි විශ්ලේෂණය කරමු පරිණත ආකෘතිය සහ භාවිතා කරන පුද්ගලයින්, ක්‍රියාවලි සහ තාක්ෂණයන් අනුව ක්‍රම. අපි පරමාදර්ශී ගෝලාකාර TH ආකෘතියක් සලකා බලමු. මෙම තාක්ෂණය භාවිතා කිරීමේ මට්ටම් 5 ක් ඇත. තනි විශ්ලේෂක කණ්ඩායමක පරිණාමයේ උදාහරණය භාවිතා කරමින් ඔවුන් දෙස බලමු.

පරිණත මට්ටම්
ජනතාව
ක්රියාවලි
තාක්ෂණය

පළමු මට්ටම
SOC විශ්ලේෂකයින්
24/7
සාම්ප්රදායික උපකරණ:

සාම්ප්රදායික
ඇඟවීම් කට්ටලය
නිෂ්ක්‍රීය අධීක්ෂණය
IDS, AV, Sandboxing,

TH නොමැතිව
ඇඟවීම් සමඟ වැඩ කිරීම

අත්සන විශ්ලේෂණ මෙවලම්, තර්ජන බුද්ධි දත්ත.

පළමු මට්ටම
SOC විශ්ලේෂකයින්
එක් වරක් TH
EDR

පර්යේෂණාත්මක
අධිකරණ වෛද්ය විද්යාව පිළිබඳ මූලික දැනුම
IOC සෙවීම
ජාල උපාංග වලින් දත්ත අර්ධ වශයෙන් ආවරණය කිරීම

TH සමඟ අත්හදා බැලීම්
ජාල සහ යෙදුම් පිළිබඳ හොඳ දැනුමක්

අර්ධ යෙදුම

පළමු මට්ටම
තාවකාලික රැකියාව
ස්ප්රින්ට්ස්
EDR

කාලානුරූපී
අධිකරණ වෛද්ය විද්යාව පිළිබඳ සාමාන්ය දැනුම
සතියෙන් මාසය
සම්පූර්ණ අයදුම්පත

තාවකාලික TH
ජාල සහ යෙදුම් පිළිබඳ විශිෂ්ට දැනුමක්
නිතිපතා TH
EDR දත්ත භාවිතයේ සම්පූර්ණ ස්වයංක්‍රීයකරණය

උසස් EDR හැකියාවන් අර්ධ වශයෙන් භාවිතා කිරීම

පළමු මට්ටම
කැපවූ TH විධානය
24/7
උපකල්පන පරීක්ෂා කිරීමට අර්ධ හැකියාව TH

නිවාරක
අධිකරණ වෛද්‍ය විද්‍යාව සහ අනිෂ්ට මෘදුකාංග පිළිබඳ විශිෂ්ට දැනුමක්
නිවාරණ TH
උසස් EDR හැකියාවන් පූර්ණ ලෙස භාවිතා කිරීම

විශේෂ අවස්ථා TH
ප්රහාරක පැත්ත ගැන විශිෂ්ට දැනුමක්
විශේෂ අවස්ථා TH
ජාල උපාංග වලින් දත්ත සම්පූර්ණ ආවරණය

ඔබගේ අවශ්‍යතාවයට සරිලන පරිදි වින්‍යාස කිරීම

පළමු මට්ටම
කැපවූ TH විධානය
24/7
TH උපකල්පන පරීක්ෂා කිරීමට පූර්ණ හැකියාව

පෙරමුණේ
අධිකරණ වෛද්‍ය විද්‍යාව සහ අනිෂ්ට මෘදුකාංග පිළිබඳ විශිෂ්ට දැනුමක්
නිවාරණ TH
3 මට්ටම, අමතර:

TH භාවිතා කිරීම
ප්රහාරක පැත්ත ගැන විශිෂ්ට දැනුමක්
උපකල්පන පරීක්ෂා කිරීම, ස්වයංක්‍රීයකරණය සහ සත්‍යාපනය TH
දත්ත මූලාශ්ර දැඩි ලෙස ඒකාබද්ධ කිරීම;

පර්යේෂණ හැකියාව

අවශ්යතා අනුව සංවර්ධනය සහ API සම්මත නොවන භාවිතය.

පුද්ගලයන්, ක්‍රියාවලි සහ තාක්ෂණයන් අනුව TH පරිණත මට්ටම්

පෙළ 0: සාම්ප්රදායික, TH භාවිතා නොකර. නිත්‍ය විශ්ලේෂකයින් සම්මත මෙවලම් සහ තාක්ෂණයන් භාවිතයෙන් උදාසීන අධීක්ෂණ මාදිලියේ සම්මත ඇඟවීම් කට්ටලයක් සමඟ ක්‍රියා කරයි: IDS, AV, sandbox, අත්සන විශ්ලේෂණ මෙවලම්.

පෙළ 1: පර්යේෂණාත්මක, TH භාවිතා කරමින්. අධිකරණ වෛද්‍ය විද්‍යාව පිළිබඳ මූලික දැනුමක් සහ ජාල සහ යෙදුම් පිළිබඳ හොඳ දැනුමක් ඇති එම විශ්ලේෂකයින්ට සම්මුතියේ දර්ශක සෙවීමෙන් එක් වරක් තර්ජන දඩයම සිදු කළ හැකිය. ජාල උපාංගවලින් දත්ත අර්ධ ආවරණයක් සහිත මෙවලම් වෙත EDR එකතු කරනු ලැබේ. මෙවලම් අර්ධ වශයෙන් භාවිතා වේ.

පෙළ 2: ආවර්තිතා, තාවකාලික TH. අධිකරණ වෛද්‍ය විද්‍යාව, ජාල සහ යෙදුම් කොටස පිළිබඳ දැනටමත් තම දැනුම වැඩිදියුණු කර ඇති එම විශ්ලේෂකයින් මසකට සතියක් තර්ජන දඩයම් කිරීමේ (ස්ප්‍රින්ට්) නිතිපතා නිරත වීමට අවශ්‍ය වේ. මෙවලම් ජාල උපාංගවලින් දත්ත සම්පූර්ණයෙන් ගවේෂණය කිරීම, EDR වෙතින් දත්ත විශ්ලේෂණය ස්වයංක්‍රීය කිරීම සහ උසස් EDR හැකියාවන් අර්ධ වශයෙන් භාවිතා කිරීම එක් කරයි.

පෙළ 3: වැළැක්වීමේ, TH හි නිතර සිදුවන අවස්ථා. අපගේ විශ්ලේෂකයින් කැපවූ කණ්ඩායමකට සංවිධානය වී අධිකරණ වෛද්‍ය විද්‍යාව සහ අනිෂ්ට මෘදුකාංග පිළිබඳ විශිෂ්ට දැනුමක් මෙන්ම ප්‍රහාරක පැත්තේ ක්‍රම සහ උපක්‍රම පිළිබඳ දැනුමක් ලබා ගැනීමට පටන් ගත්හ. ක්රියාවලිය දැනටමත් 24/7 සිදු කරනු ලැබේ. ජාල උපාංගවලින් දත්ත සම්පූර්ණයෙන් ආවරණය කිරීමත් සමඟ EDR හි උසස් හැකියාවන් සම්පූර්ණයෙන් ප්‍රයෝජනයට ගනිමින් TH උපකල්පන අර්ධ වශයෙන් පරීක්ෂා කිරීමට කණ්ඩායමට හැකි වේ. විශ්ලේෂකයින්ට ඔවුන්ගේ අවශ්‍යතාවලට සරිලන පරිදි මෙවලම් වින්‍යාස කිරීමට ද හැකිය.

පෙළ 4: ඉහළ මට්ටමේ, TH භාවිතා කරන්න. එම කණ්ඩායමම පර්යේෂණ කිරීමේ හැකියාව, TH උපකල්පන පරීක්ෂා කිරීමේ ක්‍රියාවලිය උත්පාදනය කිරීමේ සහ ස්වයංක්‍රීය කිරීමේ හැකියාව ලබා ගත්හ. දැන් මෙවලම් දත්ත මූලාශ්‍ර සමීපව ඒකාබද්ධ කිරීම, අවශ්‍යතා සපුරාලීම සඳහා මෘදුකාංග සංවර්ධනය සහ API වල සම්මත නොවන භාවිතය මගින් පරිපූරණය කර ඇත.

තර්ජන දඩයම් ශිල්පීය ක්රම

මූලික තර්ජන දඩයම් ශිල්පීය ක්‍රම

К කාර්මික ශිල්පීන් TH, භාවිතා කරන තාක්‍ෂණයේ පරිණතභාවය අනුව: මූලික සෙවීම්, සංඛ්‍යානමය විශ්ලේෂණය, දෘශ්‍යකරණ ශිල්පීය ක්‍රම, සරල එකතු කිරීම්, යන්ත්‍ර ඉගෙනීම සහ Bayesian ක්‍රම.

සරලම ක්‍රමය, මූලික සෙවීම, විශේෂිත විමසුම් භාවිතා කරමින් පර්යේෂණ ක්ෂේත්‍රය පටු කිරීමට භාවිතා කරයි. සංඛ්යානමය විශ්ලේෂණයක් භාවිතා කරනුයේ, සංඛ්යානමය ආකෘතියක් ආකාරයෙන් සාමාන්ය පරිශීලක හෝ ජාල ක්රියාකාරකම් ගොඩනැගීම සඳහාය. ප්‍රස්තාර සහ ප්‍රස්ථාර ආකාරයෙන් දත්ත විශ්ලේෂණය දෘශ්‍ය ලෙස ප්‍රදර්ශනය කිරීමට සහ සරල කිරීමට දෘශ්‍යකරණ ශිල්පීය ක්‍රම භාවිතා කරන අතර එමඟින් නියැදියේ රටා හඳුනා ගැනීම වඩාත් පහසු කරයි. සෙවීම් සහ විශ්ලේෂණය ප්‍රශස්ත කිරීම සඳහා ප්‍රධාන ක්ෂේත්‍ර මගින් සරල එකතු කිරීමේ තාක්ෂණය භාවිතා වේ. සංවිධානයක TH ක්‍රියාවලිය වඩාත් පරිණත වන තරමට, යන්ත්‍ර ඉගෙනීමේ ඇල්ගොරිතම භාවිතය වඩාත් අදාළ වේ. අයාචිත තැපැල් පෙරීම, අනිෂ්ට ගමනාගමනය හඳුනා ගැනීම සහ වංචනික ක්‍රියාකාරකම් හඳුනා ගැනීම සඳහා ද ඒවා බහුලව භාවිතා වේ. වඩාත් දියුණු යන්ත්‍ර ඉගෙනුම් ඇල්ගොරිතමයක් වන්නේ වර්ගීකරණය, නියැදි ප්‍රමාණය අඩු කිරීම සහ මාතෘකා ආකෘතිකරණය සඳහා ඉඩ සලසන Bayesian ක්‍රම වේ.

දියමන්ති ආකෘතිය සහ TH උපාය මාර්ග

Sergio Caltagiron, Andrew Pendegast සහ Christopher Betz ඔවුන්ගේ කෘතියේ "ආක්‍රමණ විශ්ලේෂණයේ දියමන්ති ආකෘතිය»ඕනෑම ද්වේශසහගත ක්‍රියාකාරකමක ප්‍රධාන ප්‍රධාන කොටස් සහ ඒවා අතර මූලික සම්බන්ධය පෙන්වයි.

ද්වේෂසහගත ක්‍රියාකාරකම් සඳහා දියමන්ති ආකෘතිය

මෙම ආකෘතියට අනුව, තර්ජන දඩයම් කිරීමේ උපාය මාර්ග 4 ක් ඇත, ඒවා අනුරූප ප්රධාන සංරචක මත පදනම් වේ.

1. වින්දිතයන් ඉලක්ක කරගත් උපාය. වින්දිතයාට විරුද්ධවාදීන් සිටින අතර ඔවුන් ඊමේල් හරහා "අවස්ථා" ලබා දෙනු ඇතැයි අපි උපකල්පනය කරමු. අපි තැපෑලෙන් සතුරාගේ දත්ත සොයමින් සිටිමු. සබැඳි, ඇමුණුම් ආදිය සොයන්න. අපි මෙම උපකල්පනය නිශ්චිත කාලයක් සඳහා (මාසයක්, සති දෙකක්) තහවුරු කිරීමට සොයමින් සිටිමු; අපි එය සොයා නොගත්තොත්, උපකල්පනය වැඩ කළේ නැත.

2. යටිතල පහසුකම්-නැඹුරු උපාය. මෙම උපාය මාර්ගය භාවිතා කිරීම සඳහා ක්රම කිහිපයක් තිබේ. ප්රවේශය සහ දෘශ්යතාව මත පදනම්ව, සමහරක් අනෙක් ඒවාට වඩා පහසු වේ. උදාහරණයක් ලෙස, අපි අනිෂ්ට වසම් සත්කාරක ලෙස දන්නා වසම් නාම සේවාදායකයන් නිරීක්ෂණය කරමු. නැතහොත් අපි විරුද්ධවාදියෙකු විසින් භාවිතා කරන දන්නා රටාවක් සඳහා සියලුම නව වසම් නාම ලියාපදිංචි කිරීම් නිරීක්ෂණය කිරීමේ ක්‍රියාවලිය හරහා යන්නෙමු.

3. හැකියාව මත පදනම් වූ උපාය මාර්ගය. බොහෝ ජාල ආරක්ෂකයින් විසින් භාවිතා කරනු ලබන ගොදුරු ඉලක්ක කරගත් උපාය මාර්ගයට අමතරව, අවස්ථා කේන්ද්‍ර කරගත් උපාය මාර්ගයක් ඇත. එය දෙවන වඩාත් ජනප්‍රිය වන අතර ප්‍රතිවාදියාගේ හැකියාවන් හඳුනා ගැනීම කෙරෙහි අවධානය යොමු කරයි, එනම් “අනිෂ්ට මෘදුකාංග” සහ විරුද්ධවාදියාට psexec, powershell, certutil සහ වෙනත් නීත්‍යානුකූල මෙවලම් භාවිතා කිරීමට ඇති හැකියාව.

4. සතුරා ඉලක්ක කරගත් උපාය. ප්‍රතිවාදී කේන්ද්‍රීය ප්‍රවේශය විරුද්ධවාදියා කෙරෙහිම අවධානය යොමු කරයි. ප්‍රසිද්ධියේ පවතින මූලාශ්‍රවලින් විවෘත තොරතුරු භාවිතා කිරීම (OSINT), සතුරා පිළිබඳ දත්ත රැස් කිරීම, ඔහුගේ ශිල්පීය ක්‍රම සහ ක්‍රම (TTP), පෙර සිදුවීම් විශ්ලේෂණය, තර්ජන බුද්ධි දත්ත ආදිය මෙයට ඇතුළත් වේ.

TH හි තොරතුරු සහ උපකල්පන මූලාශ්‍ර

තර්ජන දඩයම් කිරීම සඳහා සමහර තොරතුරු මූලාශ්‍ර

බොහෝ තොරතුරු මූලාශ්ර තිබිය හැක. පරමාදර්ශී විශ්ලේෂකයෙකුට අවට ඇති සෑම දෙයකින්ම තොරතුරු උකහා ගැනීමට හැකි විය යුතුය. ඕනෑම යටිතල ව්‍යුහයක සාමාන්‍ය මූලාශ්‍ර වනුයේ ආරක්ෂක මෙවලම් වෙතින් වන දත්ත වේ: DLP, SIEM, IDS/IPS, WAF/FW, EDR. එසේම, සාමාන්‍ය තොරතුරු මූලාශ්‍ර වන්නේ සම්මුතියේ විවිධ දර්ශක, තර්ජන බුද්ධි සේවා, CERT සහ OSINT දත්ත වේ. මීට අමතරව, ඔබට Darknet වෙතින් තොරතුරු භාවිතා කළ හැකිය (උදාහරණයක් ලෙස, හදිසියේම සංවිධානයක ප්‍රධානියාගේ තැපැල් පෙට්ටිය හැක් කිරීමට නියෝගයක් තිබේ, නැතහොත් ජාල ඉංජිනේරුවෙකුගේ තනතුර සඳහා අපේක්ෂකයෙකු ඔහුගේ ක්‍රියාකාරකම් සඳහා නිරාවරණය වී ඇත), ලැබුණු තොරතුරු මානව සම්පත් (පෙර සේවා ස්ථානයෙන් අපේක්ෂකයාගේ සමාලෝචන), ආරක්ෂක සේවයේ තොරතුරු (උදාහරණයක් ලෙස, ප්රතිපක්ෂයේ සත්යාපනයේ ප්රතිඵල).

නමුත් පවතින සියලුම මූලාශ්‍ර භාවිතා කිරීමට පෙර, අවම වශයෙන් එක් උපකල්පනයක් හෝ තිබීම අවශ්‍ය වේ.

ප්රභවය

උපකල්පන පරීක්ෂා කිරීම සඳහා, ඒවා මුලින්ම ඉදිරිපත් කළ යුතුය. තවද බොහෝ උසස් තත්ත්වයේ උපකල්පන ඉදිරිපත් කිරීම සඳහා, ක්රමානුකූල ප්රවේශයක් යෙදීම අවශ්ය වේ. උපකල්පන ජනනය කිරීමේ ක්‍රියාවලිය වඩාත් විස්තරාත්මකව විස්තර කෙරේ ලිපියයි, උපකල්පන ඉදිරිපත් කිරීමේ ක්රියාවලිය සඳහා පදනම ලෙස මෙම යෝජනා ක්රමය ගැනීම ඉතා පහසු වේ.

උපකල්පනවල ප්රධාන මූලාශ්රය වනු ඇත ATT&CK අනුකෘතිය (විරුද්ධ උපක්‍රම, ශිල්පීය ක්‍රම සහ පොදු දැනුම). එය සාරය වශයෙන්, සාමාන්‍යයෙන් Kill Chain සංකල්පය භාවිතයෙන් විස්තර කෙරෙන ප්‍රහාරයක අවසාන පියවරේදී තම ක්‍රියාකාරකම් සිදු කරන ප්‍රහාරකයින්ගේ හැසිරීම තක්සේරු කිරීම සඳහා දැනුම පදනමක් සහ ආදර්ශයක් වේ. එනම්, ප්‍රහාරකයෙකු ව්‍යවසායක අභ්‍යන්තර ජාලයට හෝ ජංගම උපාංගයකට විනිවිද ගිය පසු අදියරේදී ය. ප්‍රහාරයේ දී භාවිතා කරන උපක්‍රම සහ ශිල්පීය ක්‍රම 121 ක් පිළිබඳ විස්තර දැනුම පදනමේ මුලින් ඇතුළත් වූ අතර, ඒ සෑම එකක්ම විකී ආකෘතියෙන් විස්තරාත්මකව විස්තර කර ඇත. උපකල්පන ජනනය කිරීම සඳහා මූලාශ්‍රයක් ලෙස විවිධ තර්ජන බුද්ධි විශ්ලේෂණ හොඳින් ගැලපේ. විශේෂයෙන් සැලකිල්ලට ගත යුතු යටිතල පහසුකම් විශ්ලේෂණය සහ විනිවිද යාමේ පරීක්ෂණවල ප්රතිඵල - මෙය නිශ්චිත අඩුපාඩු සහිත නිශ්චිත යටිතල ව්යුහයක් මත පදනම් වී ඇති නිසා අපට අයෝමය උපකල්පන ලබා දිය හැකි වටිනාම දත්ත වේ.

උපකල්පිත පරීක්ෂණ ක්රියාවලිය

සර්ජි සොල්ඩටොව් ගෙනාවා හොඳ රූප සටහන ක්‍රියාවලියේ සවිස්තරාත්මක විස්තරයක් සමඟින්, එය තනි පද්ධතියක් තුළ TH උපකල්පන පරීක්ෂා කිරීමේ ක්‍රියාවලිය නිරූපණය කරයි. මම කෙටි විස්තරයක් සමඟ ප්රධාන අදියර සඳහන් කරමි.

ප්රභවය

අදියර 1: TI ගොවිපල

මෙම අදියරේදී එය ඉස්මතු කිරීම අවශ්ය වේ වස්තු (සියලු තර්ජන දත්ත සමඟ ඒවා විශ්ලේෂණය කිරීමෙන්) සහ ඒවායේ ලක්ෂණ සඳහා ලේබල් ලබා දීම. මේවා ගොනු, URL, MD5, ක්‍රියාවලිය, උපයෝගීතාව, සිදුවීම වේ. තර්ජන බුද්ධි පද්ධති හරහා ඒවා ගමන් කරන විට, ටැග් ඇමිණීම අවශ්ය වේ. එනම්, මෙම වෙබ් අඩවිය CNC හි එවැනි වසරක් තුළ නිරීක්ෂණය විය, මෙම MD5 එවැනි අනිෂ්ට මෘදුකාංග සමඟ සම්බන්ධ වී ඇත, මෙම MD5 බාගත කර ඇත්තේ අනිෂ්ට මෘදුකාංග බෙදා හරින වෙබ් අඩවියකිනි.

අදියර 2: නඩු

දෙවන අදියරේදී, අපි මෙම වස්තූන් අතර අන්තර්ක්‍රියා දෙස බලන අතර මෙම සියලු වස්තූන් අතර සම්බන්ධතා හඳුනා ගනිමු. නරක දෙයක් කරන සලකුණු පද්ධති අපට ලැබේ.

අදියර 3: විශ්ලේෂක

තෙවන අදියරේදී, නඩුව විශ්ලේෂණය පිළිබඳ පුළුල් අත්දැකීම් ඇති පළපුරුදු විශ්ලේෂකයෙකු වෙත මාරු කරනු ලබන අතර, ඔහු තීන්දුවක් ලබා දෙයි. ඔහු මෙම කේතය කරන්නේ කුමක්ද, කොහේද, කෙසේද, ඇයි සහ ඇයිද යන්න බයිට් වලට විග්‍රහ කරයි. මෙම ශරීරය අනිෂ්ට මෘදුකාංගයකි, මෙම පරිගණකය ආසාදනය වී ඇත. වස්තූන් අතර සම්බන්ධතා හෙළි කරයි, වැලිපිල්ල හරහා ධාවනය කිරීමේ ප්රතිඵල පරීක්ෂා කරයි.

විශ්ලේෂකයාගේ කාර්යයේ ප්රතිඵල තවදුරටත් සම්ප්රේෂණය වේ. ඩිජිටල් අධිකරණ වෛද්‍ය විද්‍යාව විසින් පින්තූර පරීක්ෂා කරයි, අනිෂ්ට මෘදුකාංග විශ්ලේෂණය මගින් සොයාගත් “ශරීර” පරීක්ෂා කරයි, සහ සිදුවීම් ප්‍රතිචාර කණ්ඩායමට වෙබ් අඩවියට ගොස් දැනටමත් එහි ඇති දෙයක් විමර්ශනය කළ හැකිය. කාර්යයේ ප්රතිඵලය වනුයේ තහවුරු කරන ලද කල්පිතයක්, හඳුනාගත් ප්රහාරයක් සහ එය ප්රතිවිරෝධී කිරීමේ ක්රම වේ.

ප්රභවය
 

ප්රතිඵල

Threat Hunting යනු අභිරුචිකරණය කරන ලද, නව සහ සම්මත නොවන තර්ජනවලට ඵලදායි ලෙස මුහුණ දිය හැකි තරමක් තරුණ තාක්‍ෂණයක් වන අතර, එවැනි තර්ජන වර්ධනය වන සංඛ්‍යාව සහ ආයතනික යටිතල ව්‍යුහයේ වැඩිවන සංකීර්ණත්වය අනුව විශාල අපේක්ෂාවන් ඇත. එයට සංරචක තුනක් අවශ්‍ය වේ - දත්ත, මෙවලම් සහ විශ්ලේෂක. තර්ජන දඩයම් කිරීමේ ප්‍රතිලාභ තර්ජන ක්‍රියාත්මක කිරීම වැළැක්වීමට සීමා නොවේ. සෙවුම් ක්‍රියාවලියේදී අපි ආරක්ෂක විශ්ලේෂකයෙකුගේ ඇසින් අපගේ යටිතල පහසුකම් සහ එහි දුර්වල කරුණු වෙත කිමිදෙන බවත් මෙම කරුණු තවදුරටත් ශක්තිමත් කළ හැකි බවත් අමතක නොකරන්න.

අපගේ මතය අනුව, ඔබේ සංවිධානයේ TH ක්‍රියාවලිය ආරම්භ කිරීමට ගත යුතු පළමු පියවර.

1. අන්ත ලක්ෂ්‍ය සහ ජාල යටිතල පහසුකම් ආරක්ෂා කිරීම ගැන සැලකිලිමත් වන්න. ඔබේ ජාලයේ ඇති සියලුම ක්‍රියාවලීන්ගේ දෘශ්‍යතාව (NetFlow) සහ පාලනය (ෆයර්වෝල්, IDS, IPS, DLP) ගැන සැලකිලිමත් වන්න. එජ් රවුටරයේ සිට අවසාන ධාරකය දක්වා ඔබේ ජාලය දැන ගන්න.
2. ගවේෂණය කරන්න MITER ATT&CK.
3. අවම වශයෙන් ප්‍රධාන බාහිර සම්පත්වල නිතිපතා පෙන්ටෙස්ට් පැවැත්වීම, එහි ප්‍රතිඵල විශ්ලේෂණය කිරීම, ප්‍රහාරය සඳහා ප්‍රධාන ඉලක්ක හඳුනා ගැනීම සහ ඒවායේ දුර්වලතා වසා දැමීම.
4. විවෘත මූලාශ්‍ර තර්ජන බුද්ධි පද්ධතියක් ක්‍රියාත්මක කරන්න (උදාහරණයක් ලෙස, MISP, Yeti) සහ ඒ හා සම්බන්ධව ලඝු-සටහන් විශ්ලේෂණය කරන්න.
5. සිද්ධි ප්‍රතිචාර වේදිකාවක් ක්‍රියාත්මක කරන්න (IRP): R-Vision IRP, The Hive, සැක සහිත ගොනු විශ්ලේෂණය කිරීම සඳහා වැලිපිල්ල (FortiSandbox, Cuckoo).
6. සාමාන්‍ය ක්‍රියාවලීන් ස්වයංක්‍රීය කරන්න. ලඝු-සටහන් විශ්ලේෂණය, සිදුවීම් වාර්තා කිරීම, කාර්ය මණ්ඩලය දැනුවත් කිරීම ස්වයංක්‍රීයකරණය සඳහා විශාල ක්ෂේත්‍රයකි.
7. සිද්ධීන් සම්බන්ධයෙන් සහයෝගයෙන් කටයුතු කිරීමට ඉංජිනේරුවන්, සංවර්ධකයින් සහ තාක්ෂණික සහාය සමඟ ඵලදායී ලෙස අන්තර් ක්‍රියා කිරීමට ඉගෙන ගන්න.
8. සම්පූර්ණ ක්‍රියාවලිය ලේඛනගත කරන්න, ප්‍රධාන කරුණු, සාක්ෂාත් කර ගත් ප්‍රතිඵල පසුව ඔවුන් වෙත නැවත පැමිණීමට හෝ මෙම දත්ත සගයන් සමඟ බෙදා ගන්න;
9. සමාජශීලී වන්න: ඔබේ සේවකයින් සමඟ සිදුවන්නේ කුමක්ද, ඔබ කුලියට ගන්නා අය සහ ඔබ සංවිධානයේ තොරතුරු සම්පත් වෙත ප්‍රවේශය ලබා දෙන්නේ කවුරුන්ද යන්න පිළිබඳව දැනුවත් වන්න.
10. නව තර්ජන සහ ආරක්ෂණ ක්‍රම ක්ෂේත්‍රයේ ප්‍රවණතා පිළිබඳව අවධානයෙන් සිටින්න, ඔබේ තාක්ෂණික සාක්ෂරතා මට්ටම (තොරතුරු තාක්ෂණ සේවා සහ උප පද්ධති ක්‍රියාත්මක කිරීම ඇතුළුව), සම්මන්ත්‍රණවලට සහභාගී වන්න සහ සගයන් සමඟ සන්නිවේදනය කරන්න.

අදහස් දැක්වීමේදී TH ක්‍රියාවලිය සංවිධානය කිරීම ගැන සාකච්ඡා කිරීමට සූදානම්.

නැත්නම් එන්න අපිත් එක්ක වැඩ කරන්න!

• ප්‍රධාන තොරතුරු ආරක්ෂණ උපදේශක
• තොරතුරු ආරක්ෂාව සඳහා පද්ධති ගෘහ නිර්මාණ ශිල්පියා
• Lead Network Security Engineer
• ප්‍රමුඛ තොරතුරු ආරක්ෂක ඉංජිනේරු (SIEM)
• තොරතුරු ආරක්ෂණ ගෘහ නිර්මාණ ශිල්පියා (යෙදුම)

අධ්යයනය කිරීමට මූලාශ්ර සහ ද්රව්ය

• තර්ජනය.ගුරු
• attack.mitre.org
• ඩිජිටල් forensics.sans.org
• resources.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• reply-to-all.blogspot.com
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

මූලාශ්රය: www.habr.com