95% khataraha amniga macluumaadka waa la yaqaan, waxaadna iska ilaalin kartaa iyaga adigoo isticmaalaya hab dhaqameed sida antiviruses, firewalls, IDS, WAF. Inta soo hartay 5% hanjabaadaha lama garanayo waana kuwa ugu khatarta badan. Waxay ka kooban yihiin 70% khatarta shirkadda sababtoo ah waa ay adag tahay in la ogaado iyaga, oo ka ilaalinaya iyaga. Tusaalooyinka waa WannaCry ransomware faafa, NotPetya / ExPetr, cryptominers, "hubka cyber" Stuxnet (kaas oo ku dhuftay xarumaha Nukliyeerka Iran) iyo qaar badan (qof kasta oo kale xusuusto Kido / Conficker?) Weeraro kale oo aan si fiican u difaacin tallaabooyinka ammaanka caadiga ah. Waxaan rabnaa inaan ka hadalno sidii looga hortagi lahaa 5% hanjabaadaha iyadoo la isticmaalayo tignoolajiyada ugaarsiga Hanjabaadda.
Horumarka joogtada ah ee weerarrada internetka waxay u baahan tahay ogaansho joogto ah iyo tallaabooyin ka hortag ah, taas oo ugu dambeyntii noo horseedaysa inaan ka fikirno tartanka hubka ee aan dhammaadka lahayn ee u dhexeeya weeraryahannada iyo difaacayaasha. Nidaamyada amniga caadiga ah ma awoodaan inay bixiyaan heer la aqbali karo oo ammaan ah, taas oo heerka khatarta uusan saameyn ku yeelanayn tilmaamayaasha muhiimka ah ee shirkadda (dhaqaalaha, siyaasadda, sumcadda) iyada oo aan wax laga beddelin kaabayaasha gaarka ah, laakiin guud ahaan waxay daboolayaan qaar ka mid ah. khataraha. Horeba habka hirgelinta iyo qaabeynta, nidaamyada amniga casriga ah waxay isku arkaan doorka la qabsiga waana inay ka jawaabaan caqabadaha waqtiga cusub.
Tiknoolajiyada ugaarsiga khatarta ah waxay noqon kartaa mid ka mid ah jawaabaha caqabadaha waqtigeena ee khabiirka amniga macluumaadka. Erayga ugaarsiga Hanjabaadda (hadda dambe loo yaqaan TH) waxa uu soo baxay dhawr sano ka hor. Tignoolajiyada lafteedu waa mid aad u xiiso badan, laakiin wali ma laha wax heerar iyo xeerar guud ahaan la aqbalay. Arrinku waxa kale oo uu ku adag yahay kala duwanaanshaha ilaha macluumaadka iyo tirada yar ee ilaha macluumaadka ee afka Ruushka ee mawduucan. Arintan, anaga oo ah LANIT-Integration waxa aanu go'aansanay in aanu dib u eegis ku samayno farsamadan.
Qaddarin
Tignoolajiyada TH waxay ku tiirsan tahay hababka la socodka kaabayaasha.. Ogeysiinta (oo la mid ah adeegyada MSSP) waa hab dhaqameed oo lagu raadiyo saxiixyo hore loo sameeyay iyo calaamadaha weerarrada loogana jawaabo. Muuqaalkan waxaa si guul leh u sameeyay qalab ilaalin ku salaysan saxeex dhaqameed. Ugaarsiga (adeegga nooca MDR) waa hab kormeer oo ka jawaabaya su'aasha "Xagee saxiixyada iyo xeerarku ka yimaadaan?" Waa habka abuurista xeerarka isku-xidhka iyadoo la falanqeynayo tilmaamayaasha qarsoon ama aan hore loo aqoon iyo calaamadaha weerarka. Ugaarsiga Hanjabaadda waxaa loola jeedaa kormeerka noocaan ah.
Kaliya marka la isku daro labada nooc ee kormeerka waxaan helnaa ilaalin ku dhow dhow, laakiin had iyo jeer waxaa jira heer cayiman oo khatar ah.
Ilaalinta iyadoo la adeegsanayo laba nooc oo kormeer ah
Oo waa kan sababta TH (iyo ugaarsiga gebi ahaanba!) Waxay noqon doontaa mid sii kordheysa oo khuseeya:
Hanjabaado, dawooyin, khataro.
. Kuwaas waxaa ka mid ah noocyada sida spam, DDoS, fayrasyada, rootkits iyo malware kale ee caadiga ah. Waxaad naftaada ka ilaalin kartaa khatarahaas adigoo isticmaalaya tillaabooyinka amniga caadiga ah.
Inta lagu jiro hirgelinta mashruuc kasta, iyo 20% soo haray ee shaqadu waxay qaadataa 80% wakhtiga. Sidoo kale, guud ahaan muuqaalka khatarta ah, 5% hanjabaadaha cusub waxay ku xisaabtami doonaan 70% khatarta shirkadda. Shirkad ay habaysan yihiin hababka maaraynta amniga macluumaadka, waxaanu maarayn karnaa 30% khatarta fulinta hanjabaadaha la og yahay si uun ama si kale anagoo iska ilaalinayna (diidmada shabakadaha wireless mabda'a ahaan), aqbala (fulinta tallaabooyinka amniga lagama maarmaanka ah) ama beddelka (tusaale ahaan, garbaha is dhexgalka) khatartan. Naftaada ka ilaali, Weerarada APT, phishing,, basaasnimada internetka iyo hawlgallada qaranka, iyo sidoo kale tiro badan oo weeraro kale ayaa durba aad uga sii adag. Cawaaqibta ka dhalan karta 5% hanjabaadaha ayaa aad uga sii darnaan doona) marka loo eego cawaaqibka spam ama fayrasyada, kuwaas oo software-ka antivirus uu ka badbaadiyo.
Ku dhawaad ββqof kastaa waa inuu la tacaalaa 5% hanjabaadaha. Dhawaan waxa ay ahayd in aanu rakibno xal il furan oo adeegsada arji ka yimid kaydka PEAR (PHP Extension and Application Repository). Isku daygii in lagu rakibo arjigan iyada oo loo marayo rakibidda pear waa guuldareystay sababtoo ah lama heli karo (hadda waxaa ku yaal stub), waa inaan ka rakibaa GitHub. Dhawaan ayayna soo baxday in PEAR uu noqday dhibane.
Wali waad xasuusan kartaa, faafitaanka NePetya ransomware iyada oo loo marayo cutubka cusboonaysiinta ee barnaamijka warbixinta cashuurta. Hanjabaadaha ayaa noqonaya kuwo aad u casrisan, waxaana soo ifbaxaya su'aasha macquulka ah - "Sideen uga hortagi karnaa 5% hanjabaadaha?"
Qeexitaanka ugaarsiga halista ah
Markaa, Ugaadhsiga Khatarta ahi waa habka raadinta firfircooni iyo raadinta ku-celiska ah iyo ogaanshaha khataraha horumarsan ee aan lagu ogaan karin aaladaha amniga ee dhaqameed. Khatarta sare waxaa ka mid ah, tusaale ahaan, weerarrada sida APT, weerarrada dayacanka 0-maalin, Ku noolaanshaha dhulka, iyo wixii la mid ah.
Waxaan sidoo kale ku celin karnaa in TH ay tahay habka tijaabinta mala-awaalka. Tani waa habka inta badan gacanta lagu sameeyo oo leh walxo otomaatig ah, kaas oo falanqeeyuhu, isaga oo ku tiirsan aqoontiisa iyo xirfadihiisa, uu ka shaandheeyo tiro badan oo macluumaad ah isagoo raadinaya calaamado tanaasul ah oo u dhigma fikradda markii hore la go'aamiyay ee ku saabsan jiritaanka khatar gaar ah. Sifadeeda gaarka ah waa noocyada kala duwan ee ilaha macluumaadka.
Waa in la ogaadaa in ugaarsiga Khatarta ahi aanu ahayn nooc ka mid ah software-ka ama agabka qalabka. Kuwani maaha digniino lagu arki karo xalalka qaarkood. Kani maaha IOC (Identifiers of Compromise) habka raadinta. Tanina ma aha nooc ka mid ah dhaqdhaqaaqyada aan qarsoonayn ee dhaca iyada oo aanay ka qaybgelin falanqeeyayaasha amniga macluumaadka. Ugaarsiga Hanjabadu waa marka ugu horraysa ee geeddi-socod.
Qaybaha Ugaadhsiga Khatarta ah
Saddexda qaybood ee ugu waaweyn ee ugaarsiga halista ah: xogta, tignoolajiyada, dadka.
Xogta (maxay?), oo ay ku jiraan Xogta Weyn. Dhammaan noocyada socodka taraafikada, macluumaadka ku saabsan APT-yadii hore, falanqaynta, xogta dhaqdhaqaaqa isticmaalaha, xogta shabakada, macluumaadka shaqaalaha, macluumaadka mugdiga madow iyo wax ka badan.
Tignoolajiyada (sidee?) habaynta xogtan - dhammaan siyaabaha suurtogalka ah ee xogtan loo habeeyo, oo ay ku jirto Barashada Mashiinka.
Dadka (yaa?) - kuwa khibrad dheer u leh falanqaynta weerarrada kala duwan, koray garashada iyo awoodda lagu ogaanayo weerarka. Caadi ahaan kuwani waa falanqeeyayaasha amniga macluumaadka kuwaas oo ay tahay inay awood u yeeshaan inay soo saaraan mala-awaal oo ay u helaan xaqiijin. Waxay yihiin isku xirka ugu weyn ee geedi socodka.
Model PARIS
Aadan Bateman Qaabka PARIS ee habka ugu habboon ee TH. Magacu wuxuu tilmaamayaa calaamad caan ah oo ku taal Faransiiska. Habkani waxa loo eegi karaa laba jiho - kor iyo hoos.
Marka aan ka shaqeyneyno qaabka hoose ee hoose, waxaan la kulmi doonaa caddayn badan oo ah waxqabadyo xaasidnimo ah. Caddayn kastaa waxay leedahay cabbir loo yaqaan kalsoonida - sifo ka tarjumaysa culayska caddayntan. Waxaa jira "birta", caddayn toos ah oo ku saabsan waxqabadka xaasidnimada ah, taas oo la raacayo taas oo aan isla markiiba gaari karno meesha ugu sareysa ee Ahraamta oo aan abuurno digniin dhab ah oo ku saabsan caabuq si sax ah loo yaqaan. Oo waxaa jira caddayn aan toos ahayn, wadarta taas oo sidoo kale noo horseedi karta xagga sare ee Ahraamta. Sida had iyo jeer, waxaa jira caddayn dadban oo aad uga badan caddaynta tooska ah, taas oo macnaheedu yahay inay u baahan yihiin in la kala saaro oo la falanqeeyo, waa in cilmi-baaris dheeraad ah la sameeyaa, waxaana habboon in tan si otomaatig ah loo sameeyo.
Model PARIS.
Qaybta sare ee qaabka (1 iyo 2) waxay ku salaysan tahay tignoolajiyada automation-ka iyo falanqaynta kala duwan, iyo qaybta hoose (3 iyo 4) waxay ku salaysan tahay dadka leh shahaadooyin gaar ah oo maamula habka. Waxaad tixgelin kartaa qaabka u socda kor ilaa hoos, halkaas oo qaybta sare ee midabka buluuga ah waxaan ku haynaa digniino ka imanaya qalabka amniga ee dhaqameed (antivirus, EDR, firewall, saxiixyada) oo leh kalsooni iyo kalsooni heer sare ah, hoosna waxaa ah tilmaamayaasha ( IOC, URL, MD5 iyo kuwa kale), kuwaas oo leh hubanti hoose oo u baahan daraasad dheeri ah. Iyo heerka ugu hooseeya iyo kan ugu dhumucdiisuna (4) waa jiilka mala-awaalka, abuurista xaalado cusub oo loogu talagalay hawlgalka hababka dhaqameed ee ilaalinta. Heerkani kuma koobna oo keliya ilaha la cayimay ee mala-awaalka. Marka heerka uu hooseeyo, shuruudo badan ayaa la saarayaa shahaadooyinka falanqeeyaha.
Aad bay muhiim u tahay in falanqeeyayaashu aysan si fudud u tijaabin go'aan kooban oo mala awaal ah oo la sii go'aamiyay, laakiin si joogto ah u shaqeeyaan si ay u abuuraan mala-awaal cusub iyo xulashooyin lagu tijaabinayo.
Qaabka Qaan-gaadhka Isticmaalka TH
Adduunka ku habboon, TH waa geedi socod socda. Laakiin, maadaama aysan jirin adduun ku habboon, aan falanqeyno iyo hababka marka la eego dadka, hababka iyo farsamada loo isticmaalo. Aynu tix-gelinno nooc ka mid ah qaab-dhismeedka ku habboon ee TH. Waxaa jira 5 heerar isticmaalka tignoolajiyadan. Aynu eegno iyaga inagoo tusaale u ah koboca koox keli ah oo falanqeeya.
Heerarka qaan-gaarnimada
dadka
Geedi socodka
of technology
Heerka 0
Falanqeeyayaasha SOC
24/7
Qalabka dhaqameed:
Dhaqan ahaan
Dejinta digniinaha
Kormeer dadban
IDS, AV, Sandboxing,
La'aanteed TH
La shaqaynta digniinaha
Qalabka falanqaynta saxeexa, xogta sirdoonka Hanjabaad.
Heerka 1
Falanqeeyayaasha SOC
Hal mar TH
EDR
Tijaabi
Aqoonta aasaasiga ah ee forensics-ka
Raadinta IOC
Daboolista qayb ka mid ah xogta aaladaha shabakada
Tijaabooyinka TH
Aqoonta wanaagsan ee shabakadaha iyo codsiyada
Codsiga qayb ahaan
Heerka 2
Shaqo ku meel gaar ah
Sprints
EDR
Mar mar
Celceliska aqoonta forensics-ka
Todobaad ilaa bil
Codsi buuxa
Ku meel gaadhka ah TH
Aqoon heer sare ah ee shabakadaha iyo codsiyada
TH joogto ah
Automation buuxa ee isticmaalka xogta EDR
Isticmaalka qayb ka mid ah awoodaha EDR ee horumarsan
Heerka 3
Talada TH go'an
24/7
Awood qayb ahaan lagu tijaabiyo mala-awaalka TH
Ka hortag
Aqoon heer sare ah ee forensics iyo malware
Ka hortagga TH
Isticmaalka buuxa ee awoodaha EDR ee horumarsan
Kiisaska gaarka ah TH
Aqoon heer sare ah oo dhinaca weerarka ah
Kiisaska gaarka ah TH
Daboolista buuxda ee xogta aaladaha shabakada
Habaynta ku habboon baahiyahaaga
Heerka 4
Talada TH go'an
24/7
Awood buuxda oo lagu tijaabiyo mala-awaalka TH
Hogaamin
Aqoon heer sare ah ee forensics iyo malware
Ka hortagga TH
Heerka 3, lagu daray:
Isticmaalka TH
Aqoon heer sare ah oo dhinaca weerarka ah
Tijaabinta, otomaatignimada iyo xaqiijinta mala-awaalka TH
is dhexgalka adag ee ilaha xogta;
Awood cilmi baaris
horumarinta iyadoo loo eegayo baahiyaha iyo isticmaalka aan caadiga ahayn ee API.
Heerarka qaangaadhka TH ee dadka, hababka iyo tignoolajiyada
Heerka 0: dhaqameed, iyada oo aan la isticmaalin TH. Falanqeeyayaasha joogtada ahi waxay la shaqeeyaan jaangooyooyin digniin ah oo ku jira qaabka la socodka dadban iyagoo isticmaalaya aaladaha iyo teknoolojiyadda caadiga ah: IDS, AV, sandbox, aaladaha falanqaynta saxeexa.
Heerka 1: tijaabo ah, iyadoo la isticmaalayo TH. Isla falanqeeyayaasha leh aqoonta aasaasiga ah ee cilmi-baarista iyo aqoonta wanaagsan ee shabakadaha iyo codsiyada waxay fulin karaan hal-mar ugaarsi khatar ah iyagoo raadinaya tilmaamayaasha tanaasulka. EDR-yada waxaa lagu daraa aaladaha leh qayb ka mid ah daboolida xogta aaladaha shabakada Qalabka ayaa qayb ahaan loo isticmaalaa.
Heerka 2: xilli, ku meel gaar TH. Isla falanqeeyayaasha hore u cusboonaysiiyay aqoontooda forensics, shabakadaha iyo qaybta dalabka ayaa looga baahan yahay inay si joogto ah uga qayb qaataan ugaarsiga Hanjabaadda (sprint), dheh, usbuuc bishii. Qalabku waxay ku daraan sahaminta buuxda ee xogta aaladaha shabakada, iswada ee falanqaynta xogta ee EDR, iyo isticmaalka qayb ahaan awooda EDR ee horumarsan.
Heerka 3: ka hortagga, xaaladaha soo noqnoqda ee TH. Falanqeeyayaashayadu waxay isu abaabuleen koox u go'an waxayna bilaabeen inay aqoon fiican u yeeshaan forensics iyo malware, iyo sidoo kale aqoonta hababka iyo tabaha dhinaca weerarka. Habka waxaa mar hore la fuliyay 24/7. Kooxdu waxay awood u leedahay inay qayb ahaan tijaabiso mala-awaalka TH iyagoo si buuxda uga faa'iidaysanaya awoodaha horumarsan ee EDR oo leh dabool buuxa oo ah xogta aaladaha shabakada. Falanqeeyayaasha ayaa sidoo kale awood u leh inay habeeyaan aaladaha ku habboon baahidooda.
Heerka 4: heer sare, isticmaal TH. Isla kooxdaas waxay heleen awoodda cilmi-baarista, awoodda ay ku soo saari karaan oo ay otomaatig ugu yihiin habka tijaabinta mala-awaalka TH. Hadda qalabka waxaa lagu kabay is dhexgalka dhow ee ilaha xogta, horumarinta software si loo daboolo baahiyaha, iyo isticmaalka aan caadiga ahayn ee API-yada.
Farsamooyinka ugaarsiga Hanjabaadda
Farsamooyinka ugaarsiga Halista aasaasiga ah
Π TH, sida ay u kala horreeyaan biseylka tignoolajiyada loo isticmaalo, waa: raadinta aasaasiga ah, falanqaynta tirakoobka, farsamooyinka muuqaalka, isu geynta fudud, barashada mashiinka, iyo hababka Bayesian.
Habka ugu fudud, raadinta aasaasiga ah, ayaa loo adeegsadaa si loo yareeyo aagga cilmi-baarista iyadoo la adeegsanayo weydiimo gaar ah. Falanqaynta tirakoobka ayaa loo adeegsadaa, tusaale ahaan, si loo dhiso isticmaale caadi ah ama nashaadaad shabakadeed oo ah qaab xisaabeed. Farsamooyinka muuqaalka waxaa loo isticmaalaa in muuqaal ahaan loo soo bandhigo oo loo fududeeyo falanqaynta xogta qaabka garaafyada iyo jaantusyada, taas oo sahlaysa in la ogaado qaababka muunada. Farsamada isku-darka fudud ee meelaha muhiimka ah ayaa loo isticmaalaa si kor loogu qaado raadinta iyo falanqaynta. Mar kasta oo habka TH ee ururku uu basbado, waa inta la xidhiidha isticmaalka algorithms-yada barashada mashiinka. Waxa kale oo si weyn loogu isticmaalaa shaandhaynta spamka, ogaanshaha taraafikada xaasidnimada ah iyo ogaanshaha dhaqdhaqaaqyada been abuurka ah. Nooc aad u horumarsan oo ah barashada mashiinka algorithm waa hababka Bayesian, kaas oo u oggolaanaya kala soocida, dhimista muunada, iyo qaabaynta mawduuca.
Qaabka Dheeman iyo Xeeladaha TH
Sergio Caltagiron, Andrew Pendegast iyo Christopher Betz shaqadooda "Β» waxay muujisay qaybaha muhiimka ah ee hawl kasta oo xaasidnimo ah iyo xidhiidhka aasaasiga ah ee ka dhexeeya.
Qaabka dheemanka ee hawlaha xaasidnimada leh
Sida ku cad qaabkan, waxaa jira 4 xeeladood oo ugaarsi ah, kuwaas oo ku salaysan qaybaha muhiimka ah ee u dhigma.
1. Xeelad ku wajahan dhibbanaha. Waxaan u qaadaneynaa in dhibbanuhu uu leeyahay kuwa ka soo horjeeda oo ay ku gaarsiin doonaan "fursadaha" iimaylka. Waxaan ku raadineynaa xogta cadowga boostada. Raadi xiriiriyeyaasha, lifaaqyada, iwm. Waxaan raadineynaa xaqiijinta mala-awaalkan muddo cayiman (bil, laba toddobaad) haddii aan la helin, markaa mala-awaalku ma shaqeyn.
2. Istaraatiijiyad ku jihaysan kaabayaasha dhaqaalaha. Waxaa jira dhowr siyaabood oo loo isticmaalo istaraatiijiyadan. Iyada oo ku xidhan gelitaanka iyo muuqaalka, qaar ayaa ka fudud kuwa kale. Tusaale ahaan, waxaanu la soconaa xayndaabyada magaca domainka ee loo yaqaano inay martigeliyaan xayndaabka. Ama waxaan mareynaa habka la socodka dhammaan diiwaan gelinta magac domain cusub ee qaabka la yaqaan ee uu isticmaalo cadowgu.
3. Istaraatiijiyad karti-u-qaadis ah. Marka laga soo tago istiraatijiyadda diiradda saara dhibbanaha ee ay adeegsadaan inta badan difaacayaasha shabakadu, waxaa jirta istaraatiijiyad diiradda saaraysa fursadda. Waa tan labaad ee ugu caansan waxayna diiradda saartaa ogaanshaha awoodaha ka soo horjeeda cadowga, kuwaas oo ah "malware" iyo awoodda cadowga si uu u isticmaalo qalabka sharciga ah sida psexec, powershell, certutil iyo kuwa kale.
4. Xeelad ku wajahan cadowga. Habka cadowgu udub dhexaad u yahay waxa uu xooga saaraa cadawga laftiisa. Tan waxaa ka mid ah isticmaalka macluumaadka furan ee laga helo ilaha dadweynaha ee la heli karo (OSINT), ururinta xogta cadowga, farsamooyinkiisa iyo hababkiisa (TTP), falanqaynta dhacdooyinkii hore, xogta sirdoonka khatarta ah, iwm.
Ilaha macluumaadka iyo mala-awaalka ku jira TH
Qaar ka mid ah ilaha macluumaadka ee ugaarsiga halista ah
Waxaa jiri kara ilo badan oo macluumaad ah. Falanqeeyaha ugu habboon waa inuu awood u leeyahay inuu ka soo saaro macluumaadka wax kasta oo ku xeeran. Ilaha caadiga ah ee ku dhawaad ββkaabayaal kasta ayaa noqon doona xogta laga helay aaladaha amniga: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Sidoo kale, ilaha caadiga ah ee macluumaadka waxay noqon doonaan tilmaameyaal kala duwan oo tanaasul ah, Adeegyada Sirdoonka Hanjabaad, CERT iyo xogta OSINT. Intaa waxaa dheer, waxaad isticmaali kartaa macluumaadka mugdiga ah (tusaale ahaan, si lama filaan ah waxaa jira amar ah in la jabsado sanduuqa boostada ee madaxa hay'adda, ama musharaxa jagada injineernimada shabakada ayaa lagu muujiyay waxqabadkiisa), macluumaadka laga helay HR (dib u eegis ku saabsan musharaxa ka yimid goob hore oo shaqo), macluumaadka laga helo adeegga amniga (tusaale ahaan, natiijooyinka xaqiijinta dhiggiisa).
Laakiin ka hor inta aan la isticmaalin dhammaan ilaha la heli karo, waxaa lagama maarmaan ah in la helo ugu yaraan hal mala-awaal.
Si mala awaal loo tijaabiyo, waa in marka hore la soo bandhigaa. Iyo si loo soo bandhigo mala-awaal badan oo tayo sare leh, waxaa lagama maarmaan ah in la dabaqo hab nidaamsan. Habka abuuritaanka mala-awaalka waxaa lagu sifeeyay si faahfaahsan, aad bay u habboon tahay in nidaamkan loo qaato aasaaska geeddi-socodka soo jeedinta mala-awaalka.
Isha ugu weyn ee mala-awaalka ayaa noqon doona Matrix ATT&CK (Xeeladaha Cadawga ah, Farsamooyinka iyo Aqoonta Caadiga ah). Waa, nuxur ahaan, saldhig aqooneed iyo qaab lagu qiimaynayo hab-dhaqanka weeraryahannada fulinaya hawlahooda tallaabooyinka u dambeeya ee weerarka, sida caadiga ah waxaa lagu tilmaamaa iyadoo la adeegsanayo fikradda Silsiladda Dilka. Taasi waa, marxaladaha ka dib marka uu weerarku galo shabakada gudaha ee shirkad ama qalab mobile. Saldhigga aqoonta asal ahaan waxaa ku jiray sharraxaadaha 121 tabaha iyo farsamooyinka loo isticmaalo weerarka, kuwaas oo mid walba si faahfaahsan loogu qeexay qaabka Wiki. Falanqaynta sirdoonka khataraha kala duwan ayaa si fiican ugu habboon ilaha laga soo saaro mala-awaalka. Waxaa xusid gaar ah leh natiijooyinka falanqaynta kaabayaasha iyo imtixaannada gelitaanka - tani waa xogta ugu qiimaha badan ee ina siin karta mala-awaal bir ah sababtoo ah xaqiiqda ah inay ku saleysan yihiin kaabayaal gaar ah oo leh cillado gaar ah.
Habka tijaabinta mala-awaalka
Sergei Soldatov ayaa keenay iyada oo si faahfaahsan u sharraxaysa habka, waxay muujinaysaa habka tijaabinta mala-awaalka TH ee hal nidaam. Waxaan ku tilmaami doonaa marxaladaha ugu muhiimsan sharraxaad kooban.
Marxaladda 1: TI Farm
Marxaladdan waxaa lagama maarmaan ah in la muujiyo shay (adigoo la falanqeynaya iyaga iyo dhammaan xogta khatarta ah) oo u qoondeeynaya calaamado sifooyinkooda ah. Kuwani waa fayl, URL, MD5, habka, utility, dhacdo. Marka la dhex maro nidaamyada Sirdoonka Khatarta ah, waxaa lagama maarmaan ah in lagu dhejiyo calaamadaha. Taasi waa, goobtan waxaa lagu ogaaday CNC sanadkaas oo kale, MD5-kan waxaa lala xiriiriyay malware-ka noocaas ah, MD5-kan waxaa laga soo dejiyey goob lagu qaybiyo malware.
Marxaladda 2: Kiisaska
Marxaladda labaad, waxaan eegnaa isdhexgalka ka dhexeeya walxahan oo aan aqoonsanno xiriirka ka dhexeeya dhammaan walxahan. Waxaan helnaa nidaamyo calaamadeysan oo sameeya wax xun.
Marxaladda 3: Falanqeeye
Marxaladda saddexaad, waxa kiiska loo gudbiyaa khabiir khibrad leh oo khibrad dheer u leh falanqaynta, isaga ayaana go'aan ka gaaraya. Waxa uu hoos u dhigayaa bytes waxa, meesha, sida, sababta iyo sababta code this sameeyo. Jidhkani waxa uu ahaa malware, kombayutarkani waa uu bukay. Waxay daaha ka qaadaa xidhiidhka ka dhexeeya walxaha, hubiya natiijooyinka dhex-socodka sanduuqa-cammuudda.
Natiijooyinka shaqada falanqeeyuhu waa la sii gudbiyaa. Forensics-ka dhijitaalka ah waxay baartaa sawirada, Falanqaynta Malware waxay baartaa "jidhka" la helay, kooxda ka jawaab celinta dhacdada waxay aadi kartaa goobta oo ay baari karaan wax horayba u jiray. Natiijada shaqadu waxay noqon doontaa mala-awaal la xaqiijiyay, weerar la aqoonsaday iyo siyaabo looga hortago.
Natiijooyinka
Hanjabaadda Ugaarsiga waa tignoolajiyada da'da yar oo si hufan uga hortagi karta khataraha la habeeyay, kuwa cusub iyo kuwa aan caadiga ahayn, taas oo leh rajooyin aad u wanaagsan marka loo eego tirada sii kordhaysa ee hanjabaadahaas iyo kakanaanta sii kordhaysa ee kaabayaasha shirkadaha. Waxay u baahan tahay saddex qaybood - xog, qalab iyo falanqeeye. Faa'iidooyinka ugaarsiga khatarta ah kuma koobna ka hortagga hirgelinta hanjabaadaha. Ha iloobin in inta lagu jiro habka raadinta aan u galno kaabayaashayaga iyo meelaha daciifka ah iyada oo loo marayo indhaha falanqeeyayaasha amniga oo sii xoojin kara qodobadan.
Tallaabooyinka ugu horreeya ee, ra'yigeenna, waxay u baahan yihiin in la qaado si loo bilaabo geeddi-socodka TH ee ururkaaga.
- Ka taxadar ilaalinta meelaha dhamaadka ah iyo kaabayaasha shabakada Ka taxadar aragtida (NetFlow) oo koontarool (firewall, IDS, IPS, DLP) dhammaan hababka shabakadaada. Baro shabakadaada laga bilaabo router-ka gees ilaa martigeliyaha ugu dambeeya.
- Baadh.
- Samee fal-celin joogto ah oo ah ugu yaraan ilaha dibadda ee muhiimka ah, falanqee natiijooyinkeeda, aqoonso bartilmaameedyada ugu muhiimsan ee weerarka oo xidh baylahdooda.
- Hirgeli nidaamka sirdoonka Hanjabaad il furan (tusaale, MISP, Yeti) oo la falanqayso diiwaannada iyada oo lala kaashanayo.
- Hirgeli goobta jawaabta shilka (IRP): R-Vision IRP, The Hive, sandbox si loo falanqeeyo faylalka shakiga leh (FortiSandbox, Cuckoo).
- Si toos ah u samee hababka caadiga ah. Falanqaynta diiwaannada, duubista dhacdooyinka, wargelinta shaqaalaha waa goob aad u weyn oo otomaatig ah.
- Baro inaad si wax ku ool ah ula falgasho injineerada, horumarinta, iyo taageerada farsamada si aad isaga kaashato dhacdooyinka.
- Qor habka oo dhan, qodobbada muhiimka ah, natiijooyinka la gaaray si aad hadhow ugu soo noqoto ama xogtan ula wadaagto asxaabta;
- Noqo bulsho: Ka digtoonow waxa ka socda shaqaalahaaga, cidda aad shaqaaleysiiso, iyo cidda aad siisid ilaha macluumaadka ee ururka.
- La soco isbeddellada ku saabsan hanjabaadaha cusub iyo hababka ilaalinta, kordhi heerka aqoonta farsamada (oo ay ku jiraan hawlgalka adeegyada IT iyo nidaamyada hoose), ka qayb gal shirarka oo la xiriir asxaabtaada.
Diyaar u ah inaad ka hadasho abaabulka habka TH ee faallooyinka.
Ama nala shaqee!
Ilaha iyo agabka wax lagu barto
Source: www.habr.com