95% e kërcënimeve të sigurisë së informacionit janë të njohura, dhe ju mund të mbroheni prej tyre duke përdorur mjete tradicionale si antiviruset, muret e zjarrit, IDS, WAF. 5% e mbetur e kërcënimeve janë të panjohura dhe më të rrezikshmet. Ato përbëjnë 70% të rrezikut për një kompani për faktin se është shumë e vështirë t'i zbulosh, aq më pak të mbrosh ndaj tyre. Shembuj janë epidemia e ransomware WannaCry, NotPetya/ExPetr, kriptominerët, "arma kibernetike" Stuxnet (që goditi objektet bërthamore të Iranit) dhe shumë (ndokush tjetër kujton Kido/Conficker?) sulme të tjera që nuk mbrohen shumë mirë me masat klasike të sigurisë. Ne duam të flasim se si t'i kundërshtojmë këto 5% të kërcënimeve duke përdorur teknologjinë Threat Hunting.
Evolucioni i vazhdueshëm i sulmeve kibernetike kërkon zbulim të vazhdueshëm dhe kundërmasa, gjë që përfundimisht na bën të mendojmë për një garë të pafund armësh midis sulmuesve dhe mbrojtësve. Sistemet klasike të sigurisë nuk janë më në gjendje të ofrojnë një nivel të pranueshëm sigurie, në të cilin niveli i rrezikut nuk ndikon në treguesit kryesorë të kompanisë (ekonomikë, politikë, reputacion) pa i modifikuar ata për një infrastrukturë specifike, por në përgjithësi ato mbulojnë disa prej rreziqet. Tashmë në procesin e zbatimit dhe konfigurimit, sistemet moderne të sigurisë e gjejnë veten në rolin e kapjes dhe duhet t'u përgjigjen sfidave të kohës së re.
Teknologjia Threat Hunting mund të jetë një nga përgjigjet ndaj sfidave të kohës sonë për një specialist të sigurisë së informacionit. Termi Threat Hunting (në tekstin e mëtejmë TH) u shfaq disa vite më parë. Vetë teknologjia është mjaft interesante, por ende nuk ka ndonjë standard dhe rregull të pranuar përgjithësisht. Çështja është gjithashtu e ndërlikuar nga heterogjeniteti i burimeve të informacionit dhe numri i vogël i burimeve të informacionit në gjuhën ruse për këtë temë. Në këtë drejtim, ne në LANIT-Integration vendosëm të shkruajmë një përmbledhje të kësaj teknologjie.
aktualitet
Teknologjia TH mbështetet në proceset e monitorimit të infrastrukturës.. Paralajmërimi (i ngjashëm me shërbimet MSSP) është një metodë tradicionale e kërkimit të nënshkrimeve dhe shenjave të sulmeve të zhvilluara më parë dhe për t'iu përgjigjur atyre. Ky skenar kryhet me sukses nga mjetet tradicionale të mbrojtjes të bazuara në nënshkrime. Gjuetia (shërbimi i tipit MDR) është një metodë monitorimi që i përgjigjet pyetjes "Nga vijnë nënshkrimet dhe rregullat?" Është procesi i krijimit të rregullave të korrelacionit duke analizuar treguesit dhe shenjat e një sulmi të fshehur ose të panjohur më parë. Gjuetia e kërcënimeve i referohet këtij lloji të monitorimit.
Vetëm duke kombinuar të dy llojet e monitorimit, ne marrim mbrojtje që është afër idealit, por ka gjithmonë një nivel të caktuar rreziku të mbetur.
Mbrojtja duke përdorur dy lloje monitorimi
Dhe ja pse TH (dhe gjuetia në tërësinë e saj!) do të bëhet gjithnjë e më e rëndësishme:
Kërcënimet, mjetet juridike, rreziqet.
. Këto përfshijnë lloje të tilla si spam, DDoS, viruse, rootkits dhe malware të tjerë klasikë. Ju mund të mbroheni nga këto kërcënime duke përdorur të njëjtat masa klasike sigurie.
Gjatë zbatimit të çdo projekti, dhe 20% e mbetur e punës merr 80% të kohës. Po kështu, në të gjithë peizazhin e kërcënimit, 5% e kërcënimeve të reja do të përbëjnë 70% të rrezikut për një kompani. Në një kompani ku organizohen proceset e menaxhimit të sigurisë së informacionit, ne mund të menaxhojmë 30% të rrezikut të zbatimit të kërcënimeve të njohura në një mënyrë ose në një tjetër duke shmangur (refuzimin e rrjeteve pa tela në parim), duke pranuar (zbatuar masat e nevojshme të sigurisë) ose duke zhvendosur (për shembull, mbi supet e një integruesi) ky rrezik. Mbroni veten nga, sulme APT, phishing,, spiunazhi kibernetik dhe operacionet kombëtare, si dhe një numër i madh sulmesh të tjera janë tashmë shumë më të vështira. Pasojat e këtyre 5% të kërcënimeve do të jenë shumë më serioze () sesa pasojat e spamit ose viruseve, nga të cilat kursen softueri antivirus.
Pothuajse të gjithë duhet të përballen me 5% të kërcënimeve. Kohët e fundit na është dashur të instalojmë një zgjidhje me burim të hapur që përdor një aplikacion nga depoja e PEAR (PHP Extension and Application Repository). Një përpjekje për të instaluar këtë aplikacion nëpërmjet instalimit të dardhës dështoi sepse ishte i padisponueshëm (tani ka një cung mbi të), më duhej ta instaloja nga GitHub. Dhe vetëm kohët e fundit doli që Dardha u bë viktimë.
Ju ende mund të mbani mend, një epidemi e ransomware NePetya përmes një moduli përditësues për një program raportimi tatimor. Kërcënimet po bëhen gjithnjë e më të sofistikuara dhe lind pyetja logjike - "Si mund t'i kundërshtojmë këto 5% të kërcënimeve?"
Përkufizimi i Gjuetisë së Kërcënimeve
Pra, Gjuetia e Kërcënimeve është procesi i kërkimit dhe zbulimit proaktiv dhe përsëritës të kërcënimeve të avancuara që nuk mund të zbulohen nga mjetet tradicionale të sigurisë. Kërcënimet e avancuara përfshijnë, për shembull, sulme të tilla si APT, sulme ndaj dobësive 0-ditore, Living off the Land, etj.
Ne gjithashtu mund të riformulojmë se TH është procesi i testimit të hipotezave. Ky është një proces kryesisht manual me elementë automatizimi, në të cilin analisti, duke u mbështetur në njohuritë dhe aftësitë e tij, analizon vëllime të mëdha informacioni në kërkim të shenjave të kompromisit që korrespondojnë me hipotezën e përcaktuar fillimisht për praninë e një kërcënimi të caktuar. Karakteristika e tij dalluese është shumëllojshmëria e burimeve të informacionit.
Duhet të theksohet se Threat Hunting nuk është një lloj produkti softuer ose hardueri. Këto nuk janë sinjalizime që mund të shihen në ndonjë zgjidhje. Ky nuk është një proces kërkimi IOC (Identifikuesit e kompromisit). Dhe ky nuk është një lloj aktiviteti pasiv që ndodh pa pjesëmarrjen e analistëve të sigurisë së informacionit. Gjuetia e kërcënimeve është para së gjithash një proces.
Komponentët e Gjuetisë së Kërcënimeve
Tre komponentët kryesorë të Gjuetisë së Kërcënimeve: të dhënat, teknologjia, njerëzit.
Të dhënat (çfarë?), duke përfshirë Big Data. Të gjitha llojet e flukseve të trafikut, informacione për APT-të e mëparshme, analitikë, të dhëna mbi aktivitetin e përdoruesve, të dhëna rrjeti, informacione nga punonjësit, informacione në rrjetin e errët dhe shumë më tepër.
Teknologjitë (si?) përpunimi i këtyre të dhënave - të gjitha mënyrat e mundshme të përpunimit të këtyre të dhënave, duke përfshirë Mësimin e Makinerisë.
Njerëzit (kush?) – ata që kanë përvojë të gjerë në analizimin e sulmeve të ndryshme, kanë zhvilluar intuitë dhe aftësi për të zbuluar një sulm. Zakonisht këta janë analistë të sigurisë së informacionit, të cilët duhet të kenë aftësinë për të gjeneruar hipoteza dhe për të gjetur konfirmim për to. Ata janë lidhja kryesore në këtë proces.
Modeli PARIS
Adam Bateman Modeli PARIS për procesin ideal të TH. Emri duket se aludon në një pikë referimi të famshme në Francë. Ky model mund të shihet në dy drejtime - nga lart dhe nga poshtë.
Ndërsa punojmë përmes modelit nga poshtë lart, do të hasim shumë prova të aktivitetit keqdashës. Çdo provë ka një masë të quajtur besim - një karakteristikë që pasqyron peshën e kësaj prove. Ekziston "hekuri", dëshmi e drejtpërdrejtë e aktivitetit keqdashës, sipas të cilit ne mund të arrijmë menjëherë majën e piramidës dhe të krijojmë një alarm aktual për një infeksion të njohur saktësisht. Dhe ka prova indirekte, shuma e të cilave mund të na çojë edhe në majën e piramidës. Si gjithmonë, ka shumë më tepër prova indirekte sesa prova të drejtpërdrejta, që do të thotë se ato duhet të renditen dhe analizohen, duhet të kryhen kërkime shtesë dhe këshillohet që kjo të automatizohet.
Modeli PARIS.
Pjesa e sipërme e modelit (1 dhe 2) bazohet në teknologjitë e automatizimit dhe analitika të ndryshme, dhe pjesa e poshtme (3 dhe 4) bazohet në njerëz me kualifikime të caktuara që menaxhojnë procesin. Ju mund ta konsideroni modelin duke lëvizur nga lart poshtë, ku në pjesën e sipërme të ngjyrës blu kemi sinjalizime nga mjetet tradicionale të sigurisë (antivirus, EDR, firewall, nënshkrime) me një shkallë të lartë besimi dhe besimi, dhe më poshtë janë treguesit ( IOC, URL, MD5 dhe të tjera), të cilat kanë një shkallë më të ulët sigurie dhe kërkojnë studim shtesë. Dhe niveli më i ulët dhe më i trashë (4) është gjenerimi i hipotezave, krijimi i skenarëve të rinj për funksionimin e mjeteve tradicionale të mbrojtjes. Ky nivel nuk kufizohet vetëm në burimet e specifikuara të hipotezave. Sa më i ulët niveli, aq më shumë kërkesa vendosen për kualifikimet e analistit.
Është shumë e rëndësishme që analistët të mos testojnë thjesht një grup të kufizuar hipotezash të paracaktuara, por të punojnë vazhdimisht për të gjeneruar hipoteza dhe opsione të reja për testimin e tyre.
TH Modeli i Pjekurisë së Përdorimit
Në një botë ideale, TH është një proces i vazhdueshëm. Por, meqenëse nuk ka botë ideale, le të analizojmë dhe metodat për sa i përket njerëzve, proceseve dhe teknologjive të përdorura. Le të shqyrtojmë një model të një TH ideale sferike. Ekzistojnë 5 nivele të përdorimit të kësaj teknologjie. Le t'i shikojmë ato duke përdorur shembullin e evolucionit të një ekipi të vetëm analistësh.
Nivelet e pjekurisë
Njerëz
proceset
Teknologji
Niveli i 0
Analistët e KOS-it
24/7
Instrumentet tradicionale:
Tradicional
Set i sinjalizimeve
Monitorimi pasiv
IDS, AV, Sandboxing,
Pa TH
Puna me alarme
Mjetet e analizës së nënshkrimit, të dhënat e inteligjencës së kërcënimeve.
Niveli i 1
Analistët e KOS-it
Një herë TH
EDR
Eksperimentale
Njohuri bazë të mjekësisë ligjore
Kërkimi i IOC
Mbulim i pjesshëm i të dhënave nga pajisjet e rrjetit
Eksperimentet me TH
Njohuri të mira të rrjeteve dhe aplikacioneve
Aplikim i pjesshëm
Niveli i 2
Okupimi i përkohshëm
Sprintet
EDR
Periodike
Njohuri mesatare të mjekësisë ligjore
Javë në muaj
Aplikim i plotë
TH e përkohshme
Njohuri të shkëlqyera të rrjeteve dhe aplikacioneve
TH e rregullt
Automatizimi i plotë i përdorimit të të dhënave EDR
Përdorimi i pjesshëm i aftësive të avancuara EDR
Niveli i 3
Komanda e përkushtuar TH
24/7
Aftësia e pjesshme për të testuar hipotezat TH
Parandaluese
Njohuri të shkëlqyera të mjekësisë ligjore dhe malware
TH parandaluese
Përdorimi i plotë i aftësive të avancuara EDR
Raste të veçanta TH
Njohuri të shkëlqyera të ekipit sulmues
Raste të veçanta TH
Mbulim i plotë i të dhënave nga pajisjet e rrjetit
Konfigurimi për t'iu përshtatur nevojave tuaja
Niveli i 4
Komanda e përkushtuar TH
24/7
Aftësi e plotë për të testuar hipotezat e TH
drejtues
Njohuri të shkëlqyera të mjekësisë ligjore dhe malware
TH parandaluese
Niveli 3, plus:
Duke përdorur TH
Njohuri të shkëlqyera të ekipit sulmues
Testimi, automatizimi dhe verifikimi i hipotezave TH
integrimi i ngushtë i burimeve të të dhënave;
Aftësia kërkimore
zhvillimi sipas nevojave dhe përdorimi jo standard i API-së.
Nivelet e pjekurisë së TH sipas njerëzve, proceseve dhe teknologjive
Niveli 0: tradicionale, pa përdorur TH. Analistët e rregullt punojnë me një grup standard sinjalizimesh në modalitetin e monitorimit pasiv duke përdorur mjete dhe teknologji standarde: IDS, AV, sandbox, mjete të analizës së nënshkrimit.
Niveli 1: eksperimentale, duke përdorur TH. Të njëjtët analistë me njohuri bazë të mjekësisë ligjore dhe njohuri të mira të rrjeteve dhe aplikacioneve mund të kryejnë një herë gjuetinë e kërcënimeve duke kërkuar tregues të kompromisit. EDR-të u shtohen mjeteve me mbulim të pjesshëm të të dhënave nga pajisjet e rrjetit. Mjetet janë pjesërisht të përdorura.
Niveli 2: TH periodike, e përkohshme. Të njëjtët analistë që kanë përmirësuar tashmë njohuritë e tyre në forenzikë, rrjete dhe pjesën e aplikimit u kërkohet të angazhohen rregullisht në Gjuetinë e Kërcënimeve (sprint), të themi, një javë në muaj. Mjetet shtojnë eksplorimin e plotë të të dhënave nga pajisjet e rrjetit, automatizimin e analizës së të dhënave nga EDR dhe përdorimin e pjesshëm të aftësive të avancuara EDR.
Niveli 3: rastet parandaluese, të shpeshta të TH. Analistët tanë u organizuan në një ekip të përkushtuar dhe filluan të kenë njohuri të shkëlqyera të mjekësisë ligjore dhe malware, si dhe njohuri për metodat dhe taktikat e palës sulmuese. Procesi tashmë kryhet 24/7. Ekipi është në gjendje të testojë pjesërisht hipotezat TH ndërsa shfrytëzon plotësisht aftësitë e avancuara të EDR me mbulimin e plotë të të dhënave nga pajisjet e rrjetit. Analistët janë gjithashtu në gjendje të konfigurojnë mjetet për t'iu përshtatur nevojave të tyre.
Niveli 4: niveli i lartë, përdorni TH. I njëjti ekip fitoi aftësinë për të hulumtuar, aftësinë për të gjeneruar dhe automatizuar procesin e testimit të hipotezave TH. Tani mjetet janë plotësuar nga integrimi i ngushtë i burimeve të të dhënave, zhvillimi i softuerit për të përmbushur nevojat dhe përdorimi jo standard i API-ve.
Teknikat e gjuetisë së kërcënimeve
Teknikat bazë të gjuetisë së kërcënimeve
К TH, sipas maturisë së teknologjisë së përdorur, janë: kërkimi bazë, analiza statistikore, teknikat e vizualizimit, grumbullimet e thjeshta, mësimi i makinerive dhe metodat Bayesian.
Metoda më e thjeshtë, një kërkim bazë, përdoret për të ngushtuar zonën e kërkimit duke përdorur pyetje specifike. Analiza statistikore përdoret, për shembull, për të ndërtuar një aktivitet tipik të përdoruesit ose rrjetit në formën e një modeli statistikor. Teknikat e vizualizimit përdoren për të shfaqur vizualisht dhe thjeshtuar analizën e të dhënave në formën e grafikëve dhe grafikëve, të cilat e bëjnë shumë më të lehtë dallimin e modeleve në mostër. Teknika e grumbullimeve të thjeshta sipas fushave kryesore përdoret për të optimizuar kërkimin dhe analizën. Sa më i pjekur të arrijë procesi TH i një organizate, aq më i rëndësishëm bëhet përdorimi i algoritmeve të mësimit të makinerive. Ato përdoren gjithashtu gjerësisht në filtrimin e postës së padëshiruar, zbulimin e trafikut me qëllim të keq dhe zbulimin e aktiviteteve mashtruese. Një lloj më i avancuar i algoritmit të mësimit të makinerive janë metodat Bayesian, të cilat lejojnë klasifikimin, zvogëlimin e madhësisë së mostrës dhe modelimin e temave.
Modeli i Diamantit dhe Strategjitë TH
Sergio Caltagiron, Andrew Pendegast dhe Christopher Betz në punën e tyre "» tregoi komponentët kryesorë kryesorë të çdo aktiviteti keqdashës dhe lidhjen bazë midis tyre.
Model diamanti për aktivitete me qëllim të keq
Sipas këtij modeli, ekzistojnë 4 strategji të gjuetisë së kërcënimeve, të cilat bazohen në komponentët kryesorë përkatës.
1. Strategjia e orientuar nga viktima. Ne supozojmë se viktima ka kundërshtarë dhe ata do të ofrojnë "mundësi" përmes emailit. Ne po kërkojmë të dhëna të armikut në postë. Kërkoni për lidhje, bashkëngjitje, etj. Ne po kërkojmë konfirmimin e kësaj hipoteze për një periudhë të caktuar kohore (një muaj, dy javë); nëse nuk e gjejmë, atëherë hipoteza nuk funksionoi.
2. Strategjia e orientuar nga infrastruktura. Ka disa mënyra për të përdorur këtë strategji. Në varësi të aksesit dhe dukshmërisë, disa janë më të lehta se të tjerët. Për shembull, ne monitorojmë serverët e emrave të domenit të njohur për të pritur domene me qëllim të keq. Ose kalojmë procesin e monitorimit të të gjitha regjistrimeve të reja të emrave të domenit për një model të njohur të përdorur nga një kundërshtar.
3. Strategjia e drejtuar nga aftësitë. Përveç strategjisë së fokusuar te viktima e përdorur nga shumica e mbrojtësve të rrjetit, ekziston një strategji e fokusuar te mundësitë. Është i dyti më i popullarizuari dhe fokusohet në zbulimin e aftësive nga kundërshtari, përkatësisht "malware" dhe aftësinë e kundërshtarit për të përdorur mjete legjitime si psexec, powershell, certutil dhe të tjera.
4. Strategjia e orientuar nga armiku. Qasja me në qendër kundërshtarin fokusohet te vetë kundërshtari. Kjo përfshin përdorimin e informacionit të hapur nga burime të disponueshme publikisht (OSINT), mbledhjen e të dhënave për armikun, teknikat dhe metodat e tij (TTP), analizën e incidenteve të mëparshme, të dhënat e Inteligjencës së Kërcënimeve, etj.
Burimet e informacionit dhe hipotezat në TH
Disa burime informacioni për Gjuetinë e Kërcënimeve
Mund të ketë shumë burime informacioni. Një analist ideal duhet të jetë në gjendje të nxjerrë informacion nga gjithçka që është përreth. Burimet tipike në pothuajse çdo infrastrukturë do të jenë të dhënat nga mjetet e sigurisë: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Gjithashtu, burime tipike informacioni do të jenë tregues të ndryshëm të kompromisit, shërbimet e inteligjencës së kërcënimeve, të dhënat CERT dhe OSINT. Për më tepër, mund të përdorni informacione nga rrjeti i errët (për shembull, papritmas ka një urdhër për të hakuar kutinë postare të drejtuesit të një organizate, ose një kandidat për pozicionin e një inxhinieri rrjeti është ekspozuar për aktivitetin e tij), informacioni i marrë nga HR (rishikime të kandidatit nga një vend i mëparshëm i punës), informacion nga shërbimi i sigurisë (për shembull, rezultatet e verifikimit të palës tjetër).
Por përpara se të përdorni të gjitha burimet në dispozicion, është e nevojshme të keni të paktën një hipotezë.
Për të testuar hipotezat, ato duhet së pari të parashtrohen. Dhe për të paraqitur shumë hipoteza me cilësi të lartë, është e nevojshme të zbatohet një qasje sistematike. Procesi i gjenerimit të hipotezave përshkruhet më në detaje në, është shumë e përshtatshme të merret kjo skemë si bazë për procesin e parashtrimit të hipotezave.
Burimi kryesor i hipotezave do të jetë Matrica ATT&CK (Taktika kundërshtare, teknika dhe njohuri të përbashkëta). Ai është, në thelb, një bazë njohurish dhe model për vlerësimin e sjelljes së sulmuesve që kryejnë aktivitetet e tyre në hapat e fundit të një sulmi, zakonisht të përshkruar duke përdorur konceptin e Zinxhirit të Vrasjes. Kjo do të thotë, në fazat pasi një sulmues ka depërtuar në rrjetin e brendshëm të një ndërmarrje ose në një pajisje celulare. Baza e njohurive fillimisht përfshinte përshkrime të 121 taktikave dhe teknikave të përdorura në sulm, secila prej të cilave përshkruhet në detaje në formatin Wiki. Analizat e ndryshme të Inteligjencës së Kërcënimeve janë të përshtatshme si burim për gjenerimin e hipotezave. Vlen të përmendet veçanërisht rezultatet e analizës së infrastrukturës dhe testeve të depërtimit - këto janë të dhënat më të vlefshme që mund të na japin hipoteza të hekurta për faktin se ato bazohen në një infrastrukturë specifike me mangësitë e saj specifike.
Procesi i testimit të hipotezave
Sergei Soldatov solli me një përshkrim të detajuar të procesit, ai ilustron procesin e testimit të hipotezave TH në një sistem të vetëm. Unë do të tregoj fazat kryesore me një përshkrim të shkurtër.
Faza 1: Ferma TI
Në këtë fazë është e nevojshme të theksohen objekte (duke i analizuar ato së bashku me të gjitha të dhënat e kërcënimit) dhe duke u caktuar atyre etiketa për karakteristikat e tyre. Këto janë skedari, URL, MD5, procesi, mjeti, ngjarja. Kur i kaloni ato nëpër sistemet e Inteligjencës së Kërcënimit, është e nevojshme të bashkëngjitni etiketa. Kjo do të thotë, kjo faqe u vu re në CNC në filan vit, ky MD5 u shoqërua me filan malware, ky MD5 u shkarkua nga një faqe që shpërndante malware.
Faza 2: Rastet
Në fazën e dytë, ne shikojmë ndërveprimin midis këtyre objekteve dhe identifikojmë marrëdhëniet midis të gjitha këtyre objekteve. Ne marrim sisteme të shënuara që bëjnë diçka të keqe.
Faza 3: Analist
Në fazën e tretë, çështja i transferohet një analisti me përvojë, i cili ka përvojë të gjerë në analizë, dhe ai merr një vendim. Ai analizon deri në bajt çfarë, ku, si, pse dhe pse bën ky kod. Ky trup ishte malware, ky kompjuter ishte i infektuar. Zbulon lidhjet midis objekteve, kontrollon rezultatet e vrapimit nëpër sandbox.
Rezultatet e punës së analistit transmetohen më tej. Digital Forensics ekzaminon imazhet, Malware Analysis ekzaminon "trupat" e gjetur dhe ekipi i Reagimit ndaj Incidentit mund të shkojë në sit dhe të hetojë diçka tashmë atje. Rezultati i punës do të jetë një hipotezë e konfirmuar, një sulm i identifikuar dhe mënyra për ta kundërshtuar atë.
Rezultatet e
Threat Hunting është një teknologji mjaft e re që mund të kundërshtojë në mënyrë efektive kërcënimet e personalizuara, të reja dhe jo standarde, e cila ka perspektiva të mëdha duke pasur parasysh numrin në rritje të kërcënimeve të tilla dhe kompleksitetin në rritje të infrastrukturës së korporatës. Ai kërkon tre komponentë - të dhëna, mjete dhe analistë. Përfitimet e Gjuetisë së Kërcënimeve nuk kufizohen në parandalimin e zbatimit të kërcënimeve. Mos harroni se gjatë procesit të kërkimit ne zhytemi në infrastrukturën tonë dhe pikat e dobëta të saj përmes syve të një analisti sigurie dhe mund t'i forcojmë më tej këto pika.
Hapat e parë që, sipas mendimit tonë, duhet të ndërmerren për të filluar procesin e TH në organizatën tuaj.
- Kujdesuni për mbrojtjen e pikave fundore dhe infrastrukturës së rrjetit. Kujdesuni për dukshmërinë (NetFlow) dhe kontrollin (firewall, IDS, IPS, DLP) të të gjitha proceseve në rrjetin tuaj. Njihni rrjetin tuaj nga ruteri i skajit deri te hosti i fundit.
- Eksploroni.
- Kryeni penteste të rregullta të të paktën burimeve kryesore të jashtme, analizoni rezultatet e tij, identifikoni objektivat kryesore për sulm dhe mbyllni dobësitë e tyre.
- Zbatoni një sistem të inteligjencës së kërcënimeve me burim të hapur (për shembull, MISP, Yeti) dhe analizoni regjistrat në lidhje me të.
- Zbatoni një platformë reagimi ndaj incidentit (IRP): R-Vision IRP, The Hive, sandbox për analizimin e skedarëve të dyshimtë (FortiSandbox, Cuckoo).
- Automatizoni proceset rutinë. Analiza e regjistrave, regjistrimi i incidenteve, informimi i stafit është një fushë e madhe për automatizim.
- Mësoni të ndërveproni në mënyrë efektive me inxhinierët, zhvilluesit dhe mbështetjen teknike për të bashkëpunuar në incidente.
- Dokumentoni të gjithë procesin, pikat kyçe, rezultatet e arritura për t'u kthyer në to më vonë ose për t'i ndarë këto të dhëna me kolegët;
- Jini social: Jini të vetëdijshëm për atë që po ndodh me punonjësit tuaj, kë punësoni dhe kujt i jepni akses në burimet e informacionit të organizatës.
- Mbani krah për krah tendencat në fushën e kërcënimeve dhe metodave të reja të mbrojtjes, rrisni nivelin tuaj të njohurive teknike (duke përfshirë funksionimin e shërbimeve dhe nënsistemeve të IT), merrni pjesë në konferenca dhe komunikoni me kolegët.
Gati për të diskutuar organizimin e procesit të TH në komente.
Ose ejani të punoni me ne!
Burimet dhe materialet për të studiuar
Burimi: www.habr.com