95% ya matishio ya usalama wa habari yanajulikana, na unaweza kujikinga nayo kwa kutumia njia za jadi kama vile kingavirusi, ngome, IDS, WAF. 5% iliyobaki ya vitisho haijulikani na hatari zaidi. Wanajumuisha 70% ya hatari kwa kampuni kutokana na ukweli kwamba ni vigumu sana kuwagundua, na pia kulinda dhidi yao. Mifano ni janga la WannaCry ransomware, NotPetya/ExPetr, wachimbaji wa madini, "silaha ya mtandao" Stuxnet (ambayo iligonga vituo vya nyuklia vya Iran) na mengi (yeyote mwingine anakumbuka Kido/Conficker?) mashambulizi mengine ambayo hayatetewi vyema dhidi yake kwa hatua za usalama za kawaida. Tunataka kuzungumza kuhusu jinsi ya kukabiliana na 5% ya vitisho hivi kwa kutumia teknolojia ya Uwindaji wa Tishio.
Mabadiliko yanayoendelea ya mashambulizi ya mtandaoni yanahitaji ugunduzi wa mara kwa mara na hatua za kupinga, ambazo hatimaye hutuongoza kufikiria mashindano ya silaha yasiyoisha kati ya washambuliaji na watetezi. Mifumo ya usalama ya zamani haiwezi tena kutoa kiwango kinachokubalika cha usalama, ambapo kiwango cha hatari hakiathiri viashiria muhimu vya kampuni (kiuchumi, kisiasa, sifa) bila kuvirekebisha kwa miundombinu maalum, lakini kwa ujumla hufunika baadhi ya hatari. Tayari katika mchakato wa utekelezaji na usanidi, mifumo ya kisasa ya usalama inajikuta katika jukumu la kukamata na lazima ijibu changamoto za wakati mpya.
Teknolojia ya Uwindaji wa Tishio inaweza kuwa mojawapo ya majibu kwa changamoto za wakati wetu kwa mtaalamu wa usalama wa habari. Neno Uwindaji wa Tishio (hapa linajulikana kama TH) lilionekana miaka kadhaa iliyopita. Teknolojia yenyewe inavutia sana, lakini bado haina viwango na sheria zinazokubalika kwa ujumla. Jambo hilo pia ni ngumu na utofauti wa vyanzo vya habari na idadi ndogo ya vyanzo vya habari vya lugha ya Kirusi juu ya mada hii. Katika suala hili, sisi katika LANIT-Integration tuliamua kuandika mapitio ya teknolojia hii.
Umuhimu
Teknolojia ya TH inategemea michakato ya ufuatiliaji wa miundombinu.. Kutahadharisha (sawa na huduma za MSSP) ni mbinu ya kitamaduni ya kutafuta saini na ishara zilizotengenezwa hapo awali za mashambulizi na kujibu. Hali hii inatekelezwa kwa ufanisi na zana za jadi za ulinzi zinazozingatia saini. Uwindaji (huduma ya aina ya MDR) ni njia ya ufuatiliaji inayojibu swali "Sahihi na sheria hutoka wapi?" Ni mchakato wa kuunda sheria za uunganisho kwa kuchambua viashiria vilivyofichwa au visivyojulikana hapo awali na ishara za shambulio. Uwindaji wa Tishio unarejelea aina hii ya ufuatiliaji.
Ni kwa kuchanganya aina zote mbili za ufuatiliaji ndipo tunapata ulinzi ambao uko karibu na bora, lakini daima kuna kiwango fulani cha hatari iliyobaki.
Ulinzi kwa kutumia aina mbili za ufuatiliaji
Na hii ndio sababu TH (na uwindaji kwa ukamilifu!) itazidi kuwa muhimu:
Vitisho, tiba, hatari.
. Hizi ni pamoja na aina kama vile barua taka, DDoS, virusi, rootkits na programu nyingine hasidi za kawaida. Unaweza kujikinga dhidi ya vitisho hivi kwa kutumia mbinu sawa za usalama.
Wakati wa utekelezaji wa mradi wowote, na 20% iliyobaki ya kazi inachukua 80% ya wakati. Vivyo hivyo, katika mazingira yote ya tishio, 5% ya vitisho vipya vitachangia 70% ya hatari kwa kampuni. Katika kampuni ambapo michakato ya usimamizi wa usalama wa habari imepangwa, tunaweza kudhibiti 30% ya hatari ya utekelezaji wa vitisho vinavyojulikana kwa njia moja au nyingine kwa kuzuia (kukataa mitandao isiyo na waya kimsingi), kukubali (kutekeleza hatua muhimu za usalama) au kuhamisha. (kwa mfano, kwenye mabega ya kiunganishi) hatari hii. Jilinde na, mashambulizi ya APT, wizi wa data binafsi,, ujasusi wa mtandao na shughuli za kitaifa, pamoja na idadi kubwa ya mashambulizi mengine tayari ni magumu zaidi. Matokeo ya 5% ya vitisho hivi yatakuwa mbaya zaidi () kuliko matokeo ya barua taka au virusi, ambayo programu ya antivirus huokoa.
Karibu kila mtu anapaswa kukabiliana na 5% ya vitisho. Hivi majuzi tulilazimika kusakinisha suluhisho la programu huria ambalo linatumia programu kutoka hazina ya PEAR (PHP Extension and Application Repository). Jaribio la kusakinisha programu hii kupitia usakinishaji wa pear halikufaulu kwa sababu haikupatikana (sasa kuna mbegu juu yake), ilibidi niisanishe kutoka kwa GitHub. Na hivi majuzi tu iliibuka kuwa PEAR alikua mwathirika.
Bado unaweza kukumbuka, janga la programu ya ukombozi ya NePetya kupitia sehemu ya sasisho ya mpango wa kuripoti kodi. Vitisho vinazidi kuwa vya kisasa zaidi, na swali la kimantiki linatokea - "Tunawezaje kukabiliana na vitisho hivi 5%?"
Ufafanuzi wa Uwindaji wa Tishio
Kwa hivyo, Uwindaji wa Tishio ni mchakato wa utafutaji unaoendelea na unaorudiwa na kugundua vitisho vya hali ya juu ambavyo haviwezi kutambuliwa na zana za jadi za usalama. Vitisho vya hali ya juu ni pamoja na, kwa mfano, mashambulizi kama vile APT, mashambulizi dhidi ya athari za siku 0, Kuishi Nje ya Ardhi, na kadhalika.
Tunaweza pia kusema upya kwamba TH ni mchakato wa kupima hypotheses. Huu ni mchakato wa mwongozo ulio na vitu vya otomatiki, ambapo mchambuzi, akitegemea maarifa na ustadi wake, hupitia habari nyingi kutafuta ishara za maelewano ambazo zinalingana na nadharia iliyoamuliwa hapo awali juu ya uwepo wa tishio fulani. Kipengele chake tofauti ni aina mbalimbali za vyanzo vya habari.
Ikumbukwe kwamba Uwindaji wa Tishio sio aina fulani ya programu au bidhaa za vifaa. Hizi sio arifa ambazo zinaweza kuonekana katika suluhisho fulani. Huu si mchakato wa utafutaji wa IOC (Vitambulisho vya Maelewano). Na hii sio aina fulani ya shughuli ya kupita ambayo hufanyika bila ushiriki wa wachambuzi wa usalama wa habari. Uwindaji wa Tishio ni mchakato wa kwanza kabisa.
Vipengele vya Uwindaji wa Tishio
Vipengele vitatu kuu vya Uwindaji wa Tishio: data, teknolojia, watu.
Takwimu (nini?), ikiwa ni pamoja na Data Kubwa. Aina zote za mtiririko wa trafiki, habari kuhusu APT za awali, uchanganuzi, data juu ya shughuli za watumiaji, data ya mtandao, habari kutoka kwa wafanyikazi, habari kwenye mtandao wa giza na mengi zaidi.
Teknolojia (vipi?) kuchakata data hii - njia zote zinazowezekana za kuchakata data hii, pamoja na Kujifunza kwa Mashine.
Watu ambao?) - wale ambao wana uzoefu mkubwa katika kuchambua mashambulizi mbalimbali, intuition iliyoendelea na uwezo wa kuchunguza mashambulizi. Kwa kawaida hawa ni wachanganuzi wa usalama wa habari ambao lazima wawe na uwezo wa kutoa nadharia na kupata uthibitisho kwao. Wao ni kiungo kikuu katika mchakato.
Mfano PARIS
Adam Bateman Mfano wa PARIS kwa mchakato bora wa TH. Jina hilo linarejelea alama maarufu nchini Ufaransa. Mfano huu unaweza kutazamwa kwa pande mbili - kutoka juu na kutoka chini.
Tunapofanya kazi kupitia modeli kutoka chini kwenda juu, tutakutana na ushahidi mwingi wa shughuli mbaya. Kila kipande cha ushahidi kina kipimo kiitwacho kujiamini - sifa inayoakisi uzito wa ushahidi huu. Kuna "chuma", ushahidi wa moja kwa moja wa shughuli mbaya, kulingana na ambayo tunaweza kufikia mara moja juu ya piramidi na kuunda tahadhari halisi kuhusu maambukizi yanayojulikana kwa usahihi. Na kuna ushahidi usio wa moja kwa moja, jumla ambayo inaweza pia kutuongoza juu ya piramidi. Kama kawaida, kuna ushahidi mwingi zaidi wa moja kwa moja kuliko ushahidi wa moja kwa moja, ambayo ina maana kwamba wanahitaji kupangwa na kuchambuliwa, utafiti wa ziada lazima ufanyike, na inashauriwa kubinafsisha hili.
Mfano PARIS.
Sehemu ya juu ya mfano (1 na 2) inategemea teknolojia za automatisering na uchambuzi mbalimbali, na sehemu ya chini (3 na 4) inategemea watu wenye sifa fulani wanaosimamia mchakato. Unaweza kuzingatia mfano unaohamia kutoka juu hadi chini, ambapo katika sehemu ya juu ya rangi ya bluu tuna tahadhari kutoka kwa zana za jadi za usalama (antivirus, EDR, firewall, saini) na kiwango cha juu cha kujiamini na uaminifu, na chini ni viashiria ( IOC, URL, MD5 na zingine), ambazo zina kiwango cha chini cha uhakika na zinahitaji masomo ya ziada. Na kiwango cha chini na nene (4) ni kizazi cha nadharia, uundaji wa hali mpya za uendeshaji wa njia za jadi za ulinzi. Kiwango hiki sio tu kwa vyanzo maalum vya nadharia. Kiwango cha chini, mahitaji zaidi yanawekwa kwenye sifa za mchambuzi.
Ni muhimu sana kwamba wachambuzi wasijaribu tu seti fupi ya dhahania zilizoamuliwa mapema, lakini wafanye kazi kila mara ili kutoa dhahania mpya na chaguzi za kuzijaribu.
TH Usage Ukomavu Model
Katika ulimwengu bora, TH ni mchakato unaoendelea. Lakini, kwa kuwa hakuna ulimwengu bora, hebu tuchambue na mbinu katika suala la watu, taratibu na teknolojia zinazotumika. Wacha tuzingatie mfano wa TH bora ya duara. Kuna viwango 5 vya kutumia teknolojia hii. Wacha tuwaangalie kwa kutumia mfano wa mageuzi ya timu moja ya wachambuzi.
Viwango vya ukomavu
Watu
Mchakato
Teknolojia
Kiwango cha 0
Wachambuzi wa SOC
24/7
Vyombo vya jadi:
Jadi
Seti ya arifa
Ufuatiliaji wa kupita kiasi
IDS, AV, Sandboxing,
Bila TH
Kufanya kazi na arifa
Zana za kuchanganua saini, Data ya Ujasusi wa Tishio.
Kiwango cha 1
Wachambuzi wa SOC
Mara moja TH
BDU
Majaribio
Maarifa ya kimsingi ya forensics
Utafutaji wa IOC
Ufikiaji mdogo wa data kutoka kwa vifaa vya mtandao
Majaribio ya TH
Ujuzi mzuri wa mitandao na programu
Maombi ya sehemu
Kiwango cha 2
Kazi ya muda
Sprints
BDU
Mara kwa mara
Ujuzi wa wastani wa forensics
Wiki hadi mwezi
Maombi kamili
TH ya muda
Ujuzi bora wa mitandao na programu
TH ya kawaida
Uendeshaji kamili wa matumizi ya data ya EDR
Matumizi ya sehemu ya uwezo wa hali ya juu wa EDR
Kiwango cha 3
Amri ya TH iliyojitolea
24/7
Uwezo wa sehemu ya kupima hypotheses TH
Kinga
Ujuzi bora wa ujasusi na programu hasidi
Kinga ya TH
Matumizi kamili ya uwezo wa hali ya juu wa EDR
Kesi maalum TH
Ujuzi bora wa upande wa kushambulia
Kesi maalum TH
Chanjo kamili ya data kutoka kwa vifaa vya mtandao
Usanidi ili kukidhi mahitaji yako
Kiwango cha 4
Amri ya TH iliyojitolea
24/7
Uwezo kamili wa kujaribu nadharia za TH
Inaongoza
Ujuzi bora wa ujasusi na programu hasidi
Kinga ya TH
Kiwango cha 3, pamoja na:
Kwa kutumia TH
Ujuzi bora wa upande wa kushambulia
Upimaji, otomatiki na uthibitishaji wa nadharia TH
ushirikiano mkali wa vyanzo vya data;
Uwezo wa utafiti
maendeleo kulingana na mahitaji na matumizi yasiyo ya kawaida ya API.
Viwango vya ukomavu wa TH kwa watu, michakato na teknolojia
Kiwango cha 0: jadi, bila kutumia TH. Wachambuzi wa kawaida hufanya kazi na seti ya kawaida ya arifa katika hali ya ufuatiliaji kwa kutumia zana na teknolojia za kawaida: IDS, AV, sandbox, zana za kuchanganua sahihi.
Kiwango cha 1: majaribio, kwa kutumia TH. Wachambuzi sawa na ujuzi wa msingi wa forensics na ujuzi mzuri wa mitandao na maombi wanaweza kutekeleza Uwindaji wa Tishio kwa wakati mmoja kwa kutafuta viashiria vya maelewano. EDRs huongezwa kwa zana zenye ufunikaji wa data kutoka kwa vifaa vya mtandao. Zana hutumiwa kwa sehemu.
Kiwango cha 2: mara kwa mara, TH ya muda. Wachambuzi sawa ambao tayari wameboresha ujuzi wao katika forensics, mitandao na sehemu ya maombi wanatakiwa kushiriki mara kwa mara katika Uwindaji wa Tishio (sprint), sema, wiki kwa mwezi. Zana zinaongeza uchunguzi kamili wa data kutoka kwa vifaa vya mtandao, uwekaji otomatiki wa uchanganuzi wa data kutoka kwa EDR, na matumizi ya sehemu ya uwezo wa hali ya juu wa EDR.
Kiwango cha 3: kuzuia, kesi za mara kwa mara za TH. Wachambuzi wetu walijipanga katika timu iliyojitolea na wakaanza kuwa na ujuzi bora wa uchunguzi na programu hasidi, pamoja na ujuzi wa mbinu na mbinu za upande wa kushambulia. Mchakato tayari unafanywa 24/7. Timu ina uwezo wa kujaribu nadharia dhahania za TH huku ikitumia kikamilifu uwezo wa hali ya juu wa EDR kwa ufikiaji kamili wa data kutoka kwa vifaa vya mtandao. Wachambuzi pia wanaweza kusanidi zana kulingana na mahitaji yao.
Kiwango cha 4: high-mwisho, tumia TH. Timu hiyo hiyo ilipata uwezo wa kutafiti, uwezo wa kutengeneza na kugeuza mchakato wa kujaribu nadharia za TH. Sasa zana zimeongezewa na ushirikiano wa karibu wa vyanzo vya data, uundaji wa programu ili kukidhi mahitaji, na matumizi yasiyo ya kawaida ya API.
Mbinu za Uwindaji wa Tishio
Mbinu za Msingi za Uwindaji wa Tishio
Π TH, kwa mpangilio wa ukomavu wa teknolojia inayotumika, ni: utafutaji wa kimsingi, uchanganuzi wa takwimu, mbinu za kuona, miunganisho rahisi, kujifunza kwa mashine, na mbinu za Bayesian.
Njia rahisi zaidi, utafutaji wa kimsingi, hutumiwa kupunguza eneo la utafiti kwa kutumia maswali maalum. Uchambuzi wa takwimu hutumiwa, kwa mfano, kuunda shughuli za kawaida za mtumiaji au mtandao kwa njia ya mfano wa takwimu. Mbinu za taswira hutumiwa kuonyesha na kurahisisha uchanganuzi wa data katika mfumo wa grafu na chati, ambayo hurahisisha zaidi kutambua ruwaza katika sampuli. Mbinu ya ujumlisho rahisi kwa nyanja muhimu hutumiwa kuboresha utafutaji na uchanganuzi. Kadiri mchakato wa TH wa shirika unavyoendelea kukomaa, ndivyo matumizi ya kanuni za kujifunza mashine yanavyokuwa muhimu zaidi. Pia hutumiwa sana katika kuchuja barua taka, kugundua trafiki hasidi na kugundua shughuli za ulaghai. Aina ya juu zaidi ya algoriti ya kujifunza mashine ni mbinu za Bayesian, zinazoruhusu uainishaji, upunguzaji wa saizi ya sampuli na uundaji wa mada.
Mwanamitindo wa Almasi na Mikakati ya TH
Sergio Caltagiron, Andrew Pendegast na Christopher Betz katika kazi zao "Β» ilionyesha vipengele muhimu vya shughuli yoyote hasidi na uhusiano wa kimsingi kati yao.
Mfano wa almasi kwa shughuli mbaya
Kulingana na mtindo huu, kuna mikakati 4 ya Uwindaji wa Tishio, ambayo inategemea vipengele muhimu vinavyolingana.
1. Mkakati unaolenga waathiriwa. Tunadhani kwamba mwathirika ana wapinzani na watatoa "fursa" kupitia barua pepe. Tunatafuta data ya adui kwenye barua. Tafuta viungo, viambatisho, n.k. Tunatafuta uthibitisho wa nadharia hii kwa muda fulani (mwezi, wiki mbili); ikiwa hatujaipata, basi nadharia haikufanya kazi.
2. Mkakati unaozingatia miundombinu. Kuna njia kadhaa za kutumia mkakati huu. Kulingana na ufikiaji na mwonekano, zingine ni rahisi zaidi kuliko zingine. Kwa mfano, tunafuatilia seva za majina ya kikoa zinazojulikana kupangisha vikoa hasidi. Au tunapitia mchakato wa kufuatilia usajili mpya wa majina ya kikoa kwa muundo unaojulikana unaotumiwa na adui.
3. Mkakati unaoendeshwa na uwezo. Mbali na mkakati unaozingatia mwathirika unaotumiwa na watetezi wengi wa mtandao, kuna mkakati unaozingatia fursa. Ni ya pili kwa umaarufu na inalenga katika kugundua uwezo kutoka kwa adui, yaani "programu hasidi" na uwezo wa adui kutumia zana halali kama vile psexec, powershell, certutil na zingine.
4. Mkakati wenye mwelekeo wa adui. Mtazamo wa mpinzani humlenga mpinzani mwenyewe. Hii ni pamoja na matumizi ya taarifa wazi kutoka kwa vyanzo vinavyopatikana hadharani (OSINT), ukusanyaji wa data kuhusu adui, mbinu na mbinu zake (TTP), uchambuzi wa matukio ya awali, data ya Intelligence ya Tishio, n.k.
Vyanzo vya habari na nadharia katika TH
Baadhi ya vyanzo vya habari kwa Uwindaji wa Tishio
Kunaweza kuwa na vyanzo vingi vya habari. Mchambuzi bora anapaswa kupata habari kutoka kwa kila kitu kilicho karibu. Vyanzo vya kawaida katika karibu miundombinu yoyote itakuwa data kutoka kwa zana za usalama: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Pia, vyanzo vya kawaida vya habari vitakuwa viashiria mbalimbali vya maelewano, huduma za Upelelezi wa Tishio, data ya CERT na OSINT. Kwa kuongeza, unaweza kutumia habari kutoka kwa giza (kwa mfano, ghafla kuna agizo la kuteka kisanduku cha barua cha mkuu wa shirika, au mgombea wa nafasi ya mhandisi wa mtandao amefichuliwa kwa shughuli zake), habari iliyopokelewa kutoka. HR (hakiki za mgombea kutoka mahali pa kazi hapo awali), habari kutoka kwa huduma ya usalama ( kwa mfano, matokeo ya uthibitisho wa mshirika).
Lakini kabla ya kutumia vyanzo vyote vinavyopatikana, ni muhimu kuwa na angalau hypothesis moja.
Ili kupima hypotheses, lazima kwanza ziwekwe mbele. Na ili kuweka dhana nyingi za ubora wa juu, ni muhimu kutumia mbinu ya utaratibu. Mchakato wa kuzalisha hypotheses umeelezwa kwa undani zaidi katika, ni rahisi sana kuchukua mpango huu kama msingi wa mchakato wa kuweka mbele hypotheses.
Chanzo kikuu cha nadharia kitakuwa Mchanganyiko wa ATT&CK (Mbinu za Adui, Mbinu na Maarifa ya Kawaida). Kimsingi, ni msingi wa maarifa na kielelezo cha kutathmini tabia ya wavamizi wanaotekeleza shughuli zao katika hatua za mwisho za shambulio, kwa kawaida hufafanuliwa kwa kutumia dhana ya Kill Chain. Hiyo ni, katika hatua baada ya mshambuliaji kupenya mtandao wa ndani wa biashara au kwenye kifaa cha rununu. Msingi wa maarifa ulijumuisha maelezo ya mbinu na mbinu 121 zinazotumiwa katika mashambulizi, ambayo kila moja imeelezwa kwa kina katika umbizo la Wiki. Uchanganuzi mbalimbali wa Ujasusi wa Threat unafaa vyema kama chanzo cha kuzalisha dhahania. Ya kumbuka hasa ni matokeo ya uchambuzi wa miundombinu na vipimo vya kupenya - hii ni data ya thamani zaidi ambayo inaweza kutupa hypotheses ironclad kutokana na ukweli kwamba wao ni msingi wa miundombinu maalum na mapungufu yake maalum.
Mchakato wa kupima hypothesis
Sergei Soldatov alileta na maelezo ya kina ya mchakato, inaonyesha mchakato wa kupima hypotheses ya TH katika mfumo mmoja. Nitaonyesha hatua kuu kwa maelezo mafupi.
Hatua ya 1: Shamba la TI
Katika hatua hii ni muhimu kuonyesha vitu (kwa kuzichanganua pamoja na data zote za tishio) na kuwapa lebo kwa sifa zao. Hizi ni faili, URL, MD5, mchakato, matumizi, tukio. Wakati wa kuzipitisha kupitia mifumo ya Ujasusi wa Tishio, ni muhimu kuambatisha vitambulisho. Hiyo ni, tovuti hii iligunduliwa katika CNC katika mwaka kama huo, MD5 hii ilihusishwa na programu hasidi kama hizo, MD5 hii ilipakuliwa kutoka kwa tovuti ambayo inasambaza programu hasidi.
Hatua ya 2: Kesi
Katika hatua ya pili, tunaangalia mwingiliano kati ya vitu hivi na kutambua uhusiano kati ya vitu hivi vyote. Tunapata mifumo iliyowekwa alama ambayo hufanya kitu kibaya.
Hatua ya 3: Mchambuzi
Katika hatua ya tatu, kesi hiyo inahamishiwa kwa mchambuzi mwenye uzoefu ambaye ana uzoefu mkubwa katika uchambuzi, na anatoa uamuzi. Anachanganua hadi ka nini, wapi, vipi, kwa nini na kwa nini msimbo huu hufanya. Mwili huu ulikuwa programu hasidi, kompyuta hii iliambukizwa. Inaonyesha miunganisho kati ya vitu, hukagua matokeo ya kukimbia kupitia sanduku la mchanga.
Matokeo ya kazi ya mchambuzi yanapitishwa zaidi. Uchunguzi wa Uchunguzi wa Dijiti huchunguza picha, Uchambuzi wa Programu hasidi huchunguza "miili" iliyopatikana, na timu ya Majibu ya Matukio inaweza kwenda kwenye tovuti na kuchunguza jambo ambalo tayari lipo. Matokeo ya kazi itakuwa hypothesis iliyothibitishwa, mashambulizi yaliyotambuliwa na njia za kukabiliana nayo.
Matokeo ya
Uwindaji wa Tishio ni teknolojia changa ambayo inaweza kukabiliana kikamilifu na vitisho vilivyobinafsishwa, vipya na visivyo vya kawaida, ambayo ina matarajio makubwa kutokana na kuongezeka kwa idadi ya vitisho hivyo na kuongezeka kwa utata wa miundombinu ya shirika. Inahitaji vipengele vitatu - data, zana na wachambuzi. Faida za Uwindaji wa Tishio sio tu kuzuia utekelezaji wa vitisho. Usisahau kwamba wakati wa mchakato wa utafutaji tunaingia kwenye miundombinu yetu na pointi zake dhaifu kupitia macho ya mchambuzi wa usalama na tunaweza kuimarisha pointi hizi zaidi.
Hatua za kwanza ambazo, kwa maoni yetu, zinahitajika kuchukuliwa ili kuanza mchakato wa TH katika shirika lako.
- Jihadharini na ulinzi wa vituo na miundombinu ya mtandao. Jihadharini na mwonekano (NetFlow) na udhibiti (firewall, IDS, IPS, DLP) ya michakato yote kwenye mtandao wako. Jua mtandao wako kutoka kwa kipanga njia cha ukingo hadi mwenyeji wa mwisho kabisa.
- Gundua.
- Fanya pentest za mara kwa mara za angalau rasilimali muhimu za nje, kuchambua matokeo yake, kutambua malengo makuu ya mashambulizi na kufunga udhaifu wao.
- Tekeleza mfumo huria wa Ujasusi wa Tishio (kwa mfano, MISP, Yeti) na uchanganue kumbukumbu kwa kushirikiana nao.
- Tekeleza jukwaa la majibu ya matukio (IRP): R-Vision IRP, The Hive, sandbox ya kuchanganua faili zinazotiliwa shaka (FortiSandbox, Cuckoo).
- Otomatiki michakato ya kawaida. Uchambuzi wa magogo, kurekodi matukio, kuwajulisha wafanyakazi ni uwanja mkubwa wa automatisering.
- Jifunze kushirikiana vyema na wahandisi, wasanidi programu, na usaidizi wa kiufundi ili kushirikiana kwenye matukio.
- Andika mchakato mzima, pointi muhimu, matokeo yaliyopatikana ili kurudi kwao baadaye au kushiriki data hii na wenzako;
- Kuwa na jamii: Fahamu kinachoendelea na wafanyikazi wako, unaowaajiri, na unaowapa ufikiaji wa rasilimali za habari za shirika.
- Endelea kujiendeleza katika uwanja wa vitisho na mbinu mpya za ulinzi, ongeza kiwango chako cha ujuzi wa kiufundi (pamoja na uendeshaji wa huduma za IT na mifumo ndogo), kuhudhuria mikutano na kuwasiliana na wenzako.
Tayari kujadili shirika la mchakato wa TH katika maoni.
Au njoo ufanye kazi nasi!
Vyanzo na nyenzo za kusoma
Chanzo: mapenzi.com