95% dhammaan hanjabaadaha ayaa durba si wanaagsan loo darsay. Kuwaas waxaa ka mid ah noocyada sida spam, DDoS, fayrasyada, rootkits iyo malware kale ee caadiga ah. Waxaad naftaada ka ilaalin kartaa khatarahaas adigoo isticmaalaya tillaabooyinka amniga caadiga ah.
Inta lagu jiro hirgelinta mashruuc kasta 20% shaqadu waxay qaadataa 80% wakhtiga in la dhamaystiro, iyo 20% soo haray ee shaqadu waxay qaadataa 80% wakhtiga. Sidoo kale, guud ahaan muuqaalka khatarta ah, 5% hanjabaadaha cusub waxay ku xisaabtami doonaan 70% khatarta shirkadda. Shirkad ay habaysan yihiin hababka maaraynta amniga macluumaadka, waxaanu maarayn karnaa 30% khatarta fulinta hanjabaadaha la og yahay si uun ama si kale anagoo iska ilaalinayna (diidmada shabakadaha wireless mabda'a ahaan), aqbala (fulinta tallaabooyinka amniga lagama maarmaanka ah) ama beddelka (tusaale ahaan, garbaha is dhexgalka) khatartan. Naftaada ka ilaali baylahda eber-maalin, Weerarada APT, phishing, weeraro silsilad sahayda, basaasnimada internetka iyo hawlgallada qaranka, iyo sidoo kale tiro badan oo weeraro kale ayaa durba aad uga sii adag. Cawaaqibta ka dhalan karta 5% hanjabaadaha ayaa aad uga sii darnaan doonaCelceliska cadadka khasaaraha bangiga ee kooxda buhtrap waa 143 milyan) marka loo eego cawaaqibka spam ama fayrasyada, kuwaas oo software-ka antivirus uu ka badbaadiyo.
Ku dhawaad ββqof kastaa waa inuu la tacaalaa 5% hanjabaadaha. Dhawaan waxa ay ahayd in aanu rakibno xal il furan oo adeegsada arji ka yimid kaydka PEAR (PHP Extension and Application Repository). Isku daygii in lagu rakibo arjigan iyada oo loo marayo rakibidda pear waa guuldareystay sababtoo ah bogga lama heli karo (hadda waxaa ku yaal stub), waa inaan ka rakibaa GitHub. Dhawaan ayayna soo baxday in PEAR uu noqday dhibane weeraro silsilad sahayda.
Wali waad xasuusan kartaa weerar adigoo isticmaalaya CCleaner, faafitaanka NePetya ransomware iyada oo loo marayo cutubka cusboonaysiinta ee barnaamijka warbixinta cashuurta MEDoc. Hanjabaadaha ayaa noqonaya kuwo aad u casrisan, waxaana soo ifbaxaya su'aasha macquulka ah - "Sideen uga hortagi karnaa 5% hanjabaadaha?"
Qeexitaanka ugaarsiga halista ah
Markaa, Ugaadhsiga Khatarta ahi waa habka raadinta firfircooni iyo raadinta ku-celiska ah iyo ogaanshaha khataraha horumarsan ee aan lagu ogaan karin aaladaha amniga ee dhaqameed. Khatarta sare waxaa ka mid ah, tusaale ahaan, weerarrada sida APT, weerarrada dayacanka 0-maalin, Ku noolaanshaha dhulka, iyo wixii la mid ah.
Waxaan sidoo kale ku celin karnaa in TH ay tahay habka tijaabinta mala-awaalka. Tani waa habka inta badan gacanta lagu sameeyo oo leh walxo otomaatig ah, kaas oo falanqeeyuhu, isaga oo ku tiirsan aqoontiisa iyo xirfadihiisa, uu ka shaandheeyo tiro badan oo macluumaad ah isagoo raadinaya calaamado tanaasul ah oo u dhigma fikradda markii hore la go'aamiyay ee ku saabsan jiritaanka khatar gaar ah. Sifadeeda gaarka ah waa noocyada kala duwan ee ilaha macluumaadka.
Waa in la ogaadaa in ugaarsiga Khatarta ahi aanu ahayn nooc ka mid ah software-ka ama agabka qalabka. Kuwani maaha digniino lagu arki karo xalalka qaarkood. Kani maaha IOC (Identifiers of Compromise) habka raadinta. Tanina ma aha nooc ka mid ah dhaqdhaqaaqyada aan qarsoonayn ee dhaca iyada oo aanay ka qaybgelin falanqeeyayaasha amniga macluumaadka. Ugaarsiga Hanjabadu waa marka ugu horraysa ee geeddi-socod.
Qaybaha Ugaadhsiga Khatarta ah
Saddexda qaybood ee ugu waaweyn ee ugaarsiga halista ah: xogta, tignoolajiyada, dadka.
Xogta (maxay?), oo ay ku jiraan Xogta Weyn. Dhammaan noocyada socodka taraafikada, macluumaadka ku saabsan APT-yadii hore, falanqaynta, xogta dhaqdhaqaaqa isticmaalaha, xogta shabakada, macluumaadka shaqaalaha, macluumaadka mugdiga madow iyo wax ka badan.
Tignoolajiyada (sidee?) habaynta xogtan - dhammaan siyaabaha suurtogalka ah ee xogtan loo habeeyo, oo ay ku jirto Barashada Mashiinka.
Dadka (yaa?) - kuwa khibrad dheer u leh falanqaynta weerarrada kala duwan, koray garashada iyo awoodda lagu ogaanayo weerarka. Caadi ahaan kuwani waa falanqeeyayaasha amniga macluumaadka kuwaas oo ay tahay inay awood u yeeshaan inay soo saaraan mala-awaal oo ay u helaan xaqiijin. Waxay yihiin isku xirka ugu weyn ee geedi socodka.
Model PARIS
Aadan Bateman sharraxaa Qaabka PARIS ee habka ugu habboon ee TH. Magacu wuxuu tilmaamayaa calaamad caan ah oo ku taal Faransiiska. Habkani waxa loo eegi karaa laba jiho - kor iyo hoos.
Marka aan ka shaqeyneyno qaabka hoose ee hoose, waxaan la kulmi doonaa caddayn badan oo ah waxqabadyo xaasidnimo ah. Caddayn kastaa waxay leedahay cabbir loo yaqaan kalsoonida - sifo ka tarjumaysa culayska caddayntan. Waxaa jira "birta", caddayn toos ah oo ku saabsan waxqabadka xaasidnimada ah, taas oo la raacayo taas oo aan isla markiiba gaari karno meesha ugu sareysa ee Ahraamta oo aan abuurno digniin dhab ah oo ku saabsan caabuq si sax ah loo yaqaan. Oo waxaa jira caddayn aan toos ahayn, wadarta taas oo sidoo kale noo horseedi karta xagga sare ee Ahraamta. Sida had iyo jeer, waxaa jira caddayn dadban oo aad uga badan caddaynta tooska ah, taas oo macnaheedu yahay inay u baahan yihiin in la kala saaro oo la falanqeeyo, waa in cilmi-baaris dheeraad ah la sameeyaa, waxaana habboon in tan si otomaatig ah loo sameeyo.
Qaybta sare ee qaabka (1 iyo 2) waxay ku salaysan tahay tignoolajiyada automation-ka iyo falanqaynta kala duwan, iyo qaybta hoose (3 iyo 4) waxay ku salaysan tahay dadka leh shahaadooyin gaar ah oo maamula habka. Waxaad tixgelin kartaa qaabka u socda kor ilaa hoos, halkaas oo qaybta sare ee midabka buluuga ah waxaan ku haynaa digniino ka imanaya qalabka amniga ee dhaqameed (antivirus, EDR, firewall, saxiixyada) oo leh kalsooni iyo kalsooni heer sare ah, hoosna waxaa ah tilmaamayaasha ( IOC, URL, MD5 iyo kuwa kale), kuwaas oo leh hubanti hoose oo u baahan daraasad dheeri ah. Iyo heerka ugu hooseeya iyo kan ugu dhumucdiisuna (4) waa jiilka mala-awaalka, abuurista xaalado cusub oo loogu talagalay hawlgalka hababka dhaqameed ee ilaalinta. Heerkani kuma koobna oo keliya ilaha la cayimay ee mala-awaalka. Marka heerka uu hooseeyo, shuruudo badan ayaa la saarayaa shahaadooyinka falanqeeyaha.
Aad bay muhiim u tahay in falanqeeyayaashu aysan si fudud u tijaabin go'aan kooban oo mala awaal ah oo la sii go'aamiyay, laakiin si joogto ah u shaqeeyaan si ay u abuuraan mala-awaal cusub iyo xulashooyin lagu tijaabinayo.
Qaabka Qaan-gaadhka Isticmaalka TH
Adduunka ku habboon, TH waa geedi socod socda. Laakiin, maadaama aysan jirin adduun ku habboon, aan falanqeyno qaabka qaangaadhka iyo hababka marka la eego dadka, hababka iyo farsamada loo isticmaalo. Aynu tix-gelinno nooc ka mid ah qaab-dhismeedka ku habboon ee TH. Waxaa jira 5 heerar isticmaalka tignoolajiyadan. Aynu eegno iyaga inagoo tusaale u ah koboca koox keli ah oo falanqeeya.
Heerarka qaan-gaarnimada dadka Geedi socodka of technology
Hogaamin
Aqoon heer sare ah ee forensics iyo malware
Ka hortagga TH
Heerka 3, lagu daray:
Isticmaalka TH
Aqoon heer sare ah oo dhinaca weerarka ah
Tijaabinta, otomaatignimada iyo xaqiijinta mala-awaalka TH
is dhexgalka adag ee ilaha xogta;
Awood cilmi baaris
horumarinta iyadoo loo eegayo baahiyaha iyo isticmaalka aan caadiga ahayn ee API.
Heerarka qaangaadhka TH ee dadka, hababka iyo tignoolajiyada
Heerka 0: dhaqameed, iyada oo aan la isticmaalin TH. Falanqeeyayaasha joogtada ahi waxay la shaqeeyaan jaangooyooyin digniin ah oo ku jira qaabka la socodka dadban iyagoo isticmaalaya aaladaha iyo teknoolojiyadda caadiga ah: IDS, AV, sandbox, aaladaha falanqaynta saxeexa.
Heerka 1: tijaabo ah, iyadoo la isticmaalayo TH. Isla falanqeeyayaasha leh aqoonta aasaasiga ah ee cilmi-baarista iyo aqoonta wanaagsan ee shabakadaha iyo codsiyada waxay fulin karaan hal-mar ugaarsi khatar ah iyagoo raadinaya tilmaamayaasha tanaasulka. EDR-yada waxaa lagu daraa aaladaha leh qayb ka mid ah daboolida xogta aaladaha shabakada Qalabka ayaa qayb ahaan loo isticmaalaa.
Heerka 2: xilli, ku meel gaar TH. Isla falanqeeyayaasha hore u cusboonaysiiyay aqoontooda forensics, shabakadaha iyo qaybta dalabka ayaa looga baahan yahay inay si joogto ah uga qayb qaataan ugaarsiga Hanjabaadda (sprint), dheh, usbuuc bishii. Qalabku waxay ku daraan sahaminta buuxda ee xogta aaladaha shabakada, iswada ee falanqaynta xogta ee EDR, iyo isticmaalka qayb ahaan awooda EDR ee horumarsan.
Heerka 3: ka hortagga, xaaladaha soo noqnoqda ee TH. Falanqeeyayaashayadu waxay isu abaabuleen koox u go'an waxayna bilaabeen inay aqoon fiican u yeeshaan forensics iyo malware, iyo sidoo kale aqoonta hababka iyo tabaha dhinaca weerarka. Habka waxaa mar hore la fuliyay 24/7. Kooxdu waxay awood u leedahay inay qayb ahaan tijaabiso mala-awaalka TH iyagoo si buuxda uga faa'iidaysanaya awoodaha horumarsan ee EDR oo leh dabool buuxa oo ah xogta aaladaha shabakada. Falanqeeyayaasha ayaa sidoo kale awood u leh inay habeeyaan aaladaha ku habboon baahidooda.
Heerka 4: heer sare, isticmaal TH. Isla kooxdaas waxay heleen awoodda cilmi-baarista, awoodda ay ku soo saari karaan oo ay otomaatig ugu yihiin habka tijaabinta mala-awaalka TH. Hadda qalabka waxaa lagu kabay is dhexgalka dhow ee ilaha xogta, horumarinta software si loo daboolo baahiyaha, iyo isticmaalka aan caadiga ahayn ee API-yada.
Farsamooyinka ugaarsiga Hanjabaadda
Farsamooyinka ugaarsiga Halista aasaasiga ah
Π farsamo yaqaan TH, sida ay u kala horreeyaan biseylka tignoolajiyada loo isticmaalo, waa: raadinta aasaasiga ah, falanqaynta tirakoobka, farsamooyinka muuqaalka, isu geynta fudud, barashada mashiinka, iyo hababka Bayesian.
Habka ugu fudud, raadinta aasaasiga ah, ayaa loo adeegsadaa si loo yareeyo aagga cilmi-baarista iyadoo la adeegsanayo weydiimo gaar ah. Falanqaynta tirakoobka ayaa loo adeegsadaa, tusaale ahaan, si loo dhiso isticmaale caadi ah ama nashaadaad shabakadeed oo ah qaab xisaabeed. Farsamooyinka muuqaalka waxaa loo isticmaalaa in muuqaal ahaan loo soo bandhigo oo loo fududeeyo falanqaynta xogta qaabka garaafyada iyo jaantusyada, taas oo sahlaysa in la ogaado qaababka muunada. Farsamada isku-darka fudud ee meelaha muhiimka ah ayaa loo isticmaalaa si kor loogu qaado raadinta iyo falanqaynta. Mar kasta oo habka TH ee ururku uu basbado, waa inta la xidhiidha isticmaalka algorithms-yada barashada mashiinka. Waxa kale oo si weyn loogu isticmaalaa shaandhaynta spamka, ogaanshaha taraafikada xaasidnimada ah iyo ogaanshaha dhaqdhaqaaqyada been abuurka ah. Nooc aad u horumarsan oo ah barashada mashiinka algorithm waa hababka Bayesian, kaas oo u oggolaanaya kala soocida, dhimista muunada, iyo qaabaynta mawduuca.
Qaabka Dheeman iyo Xeeladaha TH
Sergio Caltagiron, Andrew Pendegast iyo Christopher Betz shaqadooda "Qaabka Dheeman ee Falanqaynta FaragelintaΒ» waxay muujisay qaybaha muhiimka ah ee hawl kasta oo xaasidnimo ah iyo xidhiidhka aasaasiga ah ee ka dhexeeya.
Qaabka dheemanka ee hawlaha xaasidnimada leh
Sida ku cad qaabkan, waxaa jira 4 xeeladood oo ugaarsi ah, kuwaas oo ku salaysan qaybaha muhiimka ah ee u dhigma.
1. Xeelad ku wajahan dhibbanaha. Waxaan u qaadaneynaa in dhibbanuhu uu leeyahay kuwa ka soo horjeeda oo ay ku gaarsiin doonaan "fursadaha" iimaylka. Waxaan ku raadineynaa xogta cadowga boostada. Raadi xiriiriyeyaasha, lifaaqyada, iwm. Waxaan raadineynaa xaqiijinta mala-awaalkan muddo cayiman (bil, laba toddobaad) haddii aan la helin, markaa mala-awaalku ma shaqeyn.
2. Istaraatiijiyad ku jihaysan kaabayaasha dhaqaalaha. Waxaa jira dhowr siyaabood oo loo isticmaalo istaraatiijiyadan. Iyada oo ku xidhan gelitaanka iyo muuqaalka, qaar ayaa ka fudud kuwa kale. Tusaale ahaan, waxaanu la soconaa xayndaabyada magaca domainka ee loo yaqaano inay martigeliyaan xayndaabka. Ama waxaan mareynaa habka la socodka dhammaan diiwaan gelinta magac domain cusub ee qaabka la yaqaan ee uu isticmaalo cadowgu.
3. Istaraatiijiyad karti-u-qaadis ah. Marka laga soo tago istiraatijiyadda diiradda saara dhibbanaha ee ay adeegsadaan inta badan difaacayaasha shabakadu, waxaa jirta istaraatiijiyad diiradda saaraysa fursadda. Waa tan labaad ee ugu caansan waxayna diiradda saartaa ogaanshaha awoodaha ka soo horjeeda cadowga, kuwaas oo ah "malware" iyo awoodda cadowga si uu u isticmaalo qalabka sharciga ah sida psexec, powershell, certutil iyo kuwa kale.
4. Xeelad ku wajahan cadowga. Habka cadowgu udub dhexaad u yahay waxa uu xooga saaraa cadawga laftiisa. Tan waxaa ka mid ah isticmaalka macluumaadka furan ee laga helo ilaha dadweynaha ee la heli karo (OSINT), ururinta xogta cadowga, farsamooyinkiisa iyo hababkiisa (TTP), falanqaynta dhacdooyinkii hore, xogta sirdoonka khatarta ah, iwm.
Ilaha macluumaadka iyo mala-awaalka ku jira TH
Qaar ka mid ah ilaha macluumaadka ee ugaarsiga halista ah
Waxaa jiri kara ilo badan oo macluumaad ah. Falanqeeyaha ugu habboon waa inuu awood u leeyahay inuu ka soo saaro macluumaadka wax kasta oo ku xeeran. Ilaha caadiga ah ee ku dhawaad ββkaabayaal kasta ayaa noqon doona xogta laga helay aaladaha amniga: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Sidoo kale, ilaha caadiga ah ee macluumaadka waxay noqon doonaan tilmaameyaal kala duwan oo tanaasul ah, Adeegyada Sirdoonka Hanjabaad, CERT iyo xogta OSINT. Intaa waxaa dheer, waxaad isticmaali kartaa macluumaadka mugdiga ah (tusaale ahaan, si lama filaan ah waxaa jira amar ah in la jabsado sanduuqa boostada ee madaxa hay'adda, ama musharaxa jagada injineernimada shabakada ayaa lagu muujiyay waxqabadkiisa), macluumaadka laga helay HR (dib u eegis ku saabsan musharaxa ka yimid goob hore oo shaqo), macluumaadka laga helo adeegga amniga (tusaale ahaan, natiijooyinka xaqiijinta dhiggiisa).
Laakiin ka hor inta aan la isticmaalin dhammaan ilaha la heli karo, waxaa lagama maarmaan ah in la helo ugu yaraan hal mala-awaal.
Si mala awaal loo tijaabiyo, waa in marka hore la soo bandhigaa. Iyo si loo soo bandhigo mala-awaal badan oo tayo sare leh, waxaa lagama maarmaan ah in la dabaqo hab nidaamsan. Habka abuuritaanka mala-awaalka waxaa lagu sifeeyay si faahfaahsan maqaal, aad bay u habboon tahay in nidaamkan loo qaato aasaaska geeddi-socodka soo jeedinta mala-awaalka.
Isha ugu weyn ee mala-awaalka ayaa noqon doona Matrix ATT&CK (Xeeladaha Cadawga ah, Farsamooyinka iyo Aqoonta Caadiga ah). Waa, nuxur ahaan, saldhig aqooneed iyo qaab lagu qiimaynayo hab-dhaqanka weeraryahannada fulinaya hawlahooda tallaabooyinka u dambeeya ee weerarka, sida caadiga ah waxaa lagu tilmaamaa iyadoo la adeegsanayo fikradda Silsiladda Dilka. Taasi waa, marxaladaha ka dib marka uu weerarku galo shabakada gudaha ee shirkad ama qalab mobile. Saldhigga aqoonta asal ahaan waxaa ku jiray sharraxaadaha 121 tabaha iyo farsamooyinka loo isticmaalo weerarka, kuwaas oo mid walba si faahfaahsan loogu qeexay qaabka Wiki. Falanqaynta sirdoonka khataraha kala duwan ayaa si fiican ugu habboon ilaha laga soo saaro mala-awaalka. Waxaa xusid gaar ah leh natiijooyinka falanqaynta kaabayaasha iyo imtixaannada gelitaanka - tani waa xogta ugu qiimaha badan ee ina siin karta mala-awaal bir ah sababtoo ah xaqiiqda ah inay ku saleysan yihiin kaabayaal gaar ah oo leh cillado gaar ah.
Habka tijaabinta mala-awaalka
Sergei Soldatov ayaa keenay jaantus wanaagsan iyada oo si faahfaahsan u sharraxaysa habka, waxay muujinaysaa habka tijaabinta mala-awaalka TH ee hal nidaam. Waxaan ku tilmaami doonaa marxaladaha ugu muhiimsan sharraxaad kooban.
Hanjabaadda Ugaarsiga waa tignoolajiyada da'da yar oo si hufan uga hortagi karta khataraha la habeeyay, kuwa cusub iyo kuwa aan caadiga ahayn, taas oo leh rajooyin aad u wanaagsan marka loo eego tirada sii kordhaysa ee hanjabaadahaas iyo kakanaanta sii kordhaysa ee kaabayaasha shirkadaha. Waxay u baahan tahay saddex qaybood - xog, qalab iyo falanqeeye. Faa'iidooyinka ugaarsiga khatarta ah kuma koobna ka hortagga hirgelinta hanjabaadaha. Ha iloobin in inta lagu jiro habka raadinta aan u galno kaabayaashayaga iyo meelaha daciifka ah iyada oo loo marayo indhaha falanqeeyayaasha amniga oo sii xoojin kara qodobadan.
Tallaabooyinka ugu horreeya ee, ra'yigeenna, waxay u baahan yihiin in la qaado si loo bilaabo geeddi-socodka TH ee ururkaaga.
Hirgeli nidaamka sirdoonka Hanjabaad il furan (tusaale, MISP, Yeti) oo la falanqayso diiwaannada iyada oo lala kaashanayo.
Hirgeli goobta jawaabta shilka (IRP): R-Vision IRP, The Hive, sandbox si loo falanqeeyo faylalka shakiga leh (FortiSandbox, Cuckoo).
Si toos ah u samee hababka caadiga ah. Falanqaynta diiwaannada, duubista dhacdooyinka, wargelinta shaqaalaha waa goob aad u weyn oo otomaatig ah.
Baro inaad si wax ku ool ah ula falgasho injineerada, horumarinta, iyo taageerada farsamada si aad isaga kaashato dhacdooyinka.
Qor habka oo dhan, qodobbada muhiimka ah, natiijooyinka la gaaray si aad hadhow ugu soo noqoto ama xogtan ula wadaagto asxaabta;
Noqo bulsho: Ka digtoonow waxa ka socda shaqaalahaaga, cidda aad shaqaaleysiiso, iyo cidda aad siisid ilaha macluumaadka ee ururka.
La soco isbeddellada ku saabsan hanjabaadaha cusub iyo hababka ilaalinta, kordhi heerka aqoonta farsamada (oo ay ku jiraan hawlgalka adeegyada IT iyo nidaamyada hoose), ka qayb gal shirarka oo la xiriir asxaabtaada.
Diyaar u ah inaad ka hadasho abaabulka habka TH ee faallooyinka.