அச்சுறுத்தல் வேட்டை அல்லது 5% அச்சுறுத்தல்களிலிருந்து உங்களை எவ்வாறு பாதுகாத்துக் கொள்வது

95% தகவல் பாதுகாப்பு அச்சுறுத்தல்கள் அறியப்படுகின்றன, மேலும் வைரஸ் தடுப்புகள், ஃபயர்வால்கள், IDS, WAF போன்ற பாரம்பரிய வழிமுறைகளைப் பயன்படுத்தி அவற்றிலிருந்து உங்களைப் பாதுகாத்துக் கொள்ளலாம். மீதமுள்ள 5% அச்சுறுத்தல்கள் அறியப்படாதவை மற்றும் மிகவும் ஆபத்தானவை. ஒரு நிறுவனத்திற்கு அவை 70% ஆபத்தில் உள்ளன, ஏனெனில் அவற்றைக் கண்டறிவது மிகவும் கடினம், அவற்றிலிருந்து பாதுகாப்பது மிகக் குறைவு. எடுத்துக்காட்டுகள் "கருப்பு ஸ்வான்ஸ்" WannaCry ransomware தொற்றுநோய், NotPetya/ExPetr, கிரிப்டோமினர்கள், "சைபர் ஆயுதம்" Stuxnet (இது ஈரானின் அணுசக்தி வசதிகளைத் தாக்கியது) மற்றும் பல (வேறு யாருக்காவது Kido/Conficker நினைவிருக்கிறதா?) கிளாசிக்கல் பாதுகாப்பு நடவடிக்கைகளுக்கு எதிராக நன்கு பாதுகாக்கப்படாத பிற தாக்குதல்கள். அச்சுறுத்தல் வேட்டை தொழில்நுட்பத்தைப் பயன்படுத்தி இந்த 5% அச்சுறுத்தல்களை எவ்வாறு எதிர்கொள்வது என்பது பற்றி நாங்கள் பேச விரும்புகிறோம்.

சைபர் தாக்குதல்களின் தொடர்ச்சியான பரிணாம வளர்ச்சிக்கு நிலையான கண்டறிதல் மற்றும் எதிர் நடவடிக்கைகள் தேவைப்படுகின்றன, இது இறுதியில் தாக்குபவர்களுக்கும் பாதுகாவலர்களுக்கும் இடையில் முடிவற்ற ஆயுதப் போட்டியைப் பற்றி சிந்திக்க வழிவகுக்கிறது. கிளாசிக் பாதுகாப்பு அமைப்புகள் இனி ஏற்றுக்கொள்ளக்கூடிய அளவிலான பாதுகாப்பை வழங்க முடியாது, இதில் ஆபத்து நிலை குறிப்பிட்ட உள்கட்டமைப்பிற்காக மாற்றாமல் நிறுவனத்தின் முக்கிய குறிகாட்டிகளை (பொருளாதார, அரசியல், நற்பெயர்) பாதிக்காது, ஆனால் பொதுவாக அவை சிலவற்றை உள்ளடக்கும். அபாயங்கள். ஏற்கனவே செயல்படுத்தல் மற்றும் உள்ளமைவு செயல்பாட்டில், நவீன பாதுகாப்பு அமைப்புகள் தங்களைப் பிடிப்பதில் பங்கு வகிக்கின்றன, மேலும் புதிய நேரத்தின் சவால்களுக்கு பதிலளிக்க வேண்டும்.

மூல

அச்சுறுத்தல் வேட்டை தொழில்நுட்பம் ஒரு தகவல் பாதுகாப்பு நிபுணருக்கு நம் காலத்தின் சவால்களுக்கான பதில்களில் ஒன்றாக இருக்கலாம். அச்சுறுத்தல் வேட்டை என்ற சொல் (இனி TH என குறிப்பிடப்படுகிறது) பல ஆண்டுகளுக்கு முன்பு தோன்றியது. தொழில்நுட்பம் மிகவும் சுவாரஸ்யமானது, ஆனால் இன்னும் பொதுவாக ஏற்றுக்கொள்ளப்பட்ட தரநிலைகள் மற்றும் விதிகள் இல்லை. தகவல் மூலங்களின் பன்முகத்தன்மை மற்றும் இந்த தலைப்பில் குறைந்த எண்ணிக்கையிலான ரஷ்ய மொழி தகவல் மூலங்களால் இந்த விஷயம் சிக்கலானது. இது சம்பந்தமாக, LANIT-Integration இல் நாங்கள் இந்த தொழில்நுட்பத்தின் மதிப்பாய்வை எழுத முடிவு செய்தோம்.

தலைப்பு சார்ந்த

TH தொழில்நுட்பம் உள்கட்டமைப்பு கண்காணிப்பு செயல்முறைகளை நம்பியுள்ளது. உள் கண்காணிப்புக்கு இரண்டு முக்கிய காட்சிகள் உள்ளன - எச்சரிக்கை மற்றும் வேட்டை. எச்சரிக்கை (MSSP சேவைகளைப் போன்றது) என்பது முன்னர் உருவாக்கப்பட்ட கையொப்பங்கள் மற்றும் தாக்குதல்களின் அறிகுறிகளைத் தேடி அவற்றிற்கு பதிலளிப்பதற்கான ஒரு பாரம்பரிய முறையாகும். பாரம்பரிய கையொப்பம் சார்ந்த பாதுகாப்புக் கருவிகளால் இந்தக் காட்சி வெற்றிகரமாகச் செய்யப்படுகிறது. வேட்டையாடுதல் (MDR வகை சேவை) என்பது "கையொப்பங்களும் விதிகளும் எங்கிருந்து வருகின்றன?" என்ற கேள்விக்கு பதிலளிக்கும் ஒரு கண்காணிப்பு முறையாகும். இது மறைந்திருக்கும் அல்லது முன்பின் தெரியாத குறிகாட்டிகள் மற்றும் தாக்குதலின் அறிகுறிகளை பகுப்பாய்வு செய்வதன் மூலம் தொடர்பு விதிகளை உருவாக்கும் செயல்முறையாகும். அச்சுறுத்தல் வேட்டை என்பது இந்த வகை கண்காணிப்பைக் குறிக்கிறது.

இரண்டு வகையான கண்காணிப்பையும் இணைப்பதன் மூலம் மட்டுமே, இலட்சியத்திற்கு நெருக்கமான பாதுகாப்பைப் பெறுவோம், ஆனால் எஞ்சிய அபாயத்தின் ஒரு குறிப்பிட்ட அளவு எப்போதும் இருக்கும்.

இரண்டு வகையான கண்காணிப்பைப் பயன்படுத்தி பாதுகாப்பு

TH (மற்றும் முழுவதுமாக வேட்டையாடுதல்!) ஏன் பெருகிய முறையில் பொருத்தமானதாக மாறும் என்பது இங்கே:

அச்சுறுத்தல்கள், தீர்வுகள், அபாயங்கள். மூல

95% அச்சுறுத்தல்கள் ஏற்கனவே நன்கு ஆய்வு செய்யப்பட்டுள்ளன. ஸ்பேம், DDoS, வைரஸ்கள், ரூட்கிட்கள் மற்றும் பிற கிளாசிக் மால்வேர் போன்ற வகைகள் இதில் அடங்கும். அதே உன்னதமான பாதுகாப்பு நடவடிக்கைகளைப் பயன்படுத்தி இந்த அச்சுறுத்தல்களிலிருந்து உங்களைப் பாதுகாத்துக் கொள்ளலாம்.

எந்தவொரு திட்டத்தையும் செயல்படுத்தும் போது 20% வேலை முடிவதற்கு 80% நேரம் எடுக்கும், மற்றும் மீதமுள்ள 20% வேலை 80% நேரத்தை எடுக்கும். அதேபோல், முழு அச்சுறுத்தல் நிலப்பரப்பில், 5% புதிய அச்சுறுத்தல்கள் ஒரு நிறுவனத்திற்கு 70% ஆபத்தை ஏற்படுத்தும். தகவல் பாதுகாப்பு மேலாண்மை செயல்முறைகள் ஒழுங்கமைக்கப்பட்ட நிறுவனத்தில், அறியப்பட்ட அச்சுறுத்தல்களின் அபாயத்தில் 30% ஐத் தவிர்ப்பதன் மூலம் (கொள்கையில் வயர்லெஸ் நெட்வொர்க்குகளை மறுப்பது), ஏற்றுக்கொள்வது (தேவையான பாதுகாப்பு நடவடிக்கைகளை செயல்படுத்துதல்) அல்லது மாற்றுவதன் மூலம் நிர்வகிக்க முடியும். (உதாரணமாக, ஒரு ஒருங்கிணைப்பாளரின் தோள்களில்) இந்த ஆபத்து. அதிலிருந்து உங்களைப் பாதுகாத்துக் கொள்ளுங்கள் பூஜ்ஜிய நாள் பாதிப்புகள், APT தாக்குதல்கள், ஃபிஷிங், விநியோக சங்கிலி தாக்குதல்கள், இணைய உளவு மற்றும் தேசிய நடவடிக்கைகள், அத்துடன் அதிக எண்ணிக்கையிலான பிற தாக்குதல்கள் ஏற்கனவே மிகவும் கடினமானவை. இந்த 5% அச்சுறுத்தல்களின் விளைவுகள் மிகவும் தீவிரமானதாக இருக்கும் (பஹ்ட்ராப் குழுமத்தின் சராசரி வங்கி இழப்புகள் 143 மில்லியன் ஆகும்) வைரஸ் தடுப்பு மென்பொருள் சேமிக்கும் ஸ்பேம் அல்லது வைரஸ்களின் விளைவுகளை விட.

கிட்டத்தட்ட ஒவ்வொருவரும் 5% அச்சுறுத்தல்களை சமாளிக்க வேண்டியுள்ளது. PEAR (PHP Extension and Application Repository) களஞ்சியத்திலிருந்து ஒரு பயன்பாட்டைப் பயன்படுத்தும் திறந்த மூல தீர்வை நாங்கள் சமீபத்தில் நிறுவ வேண்டியிருந்தது. பேரிக்காய் நிறுவல் மூலம் இந்த பயன்பாட்டை நிறுவும் முயற்சி தோல்வியடைந்ததால் வலைத்தளத்தில் கிடைக்கவில்லை (இப்போது அதில் ஒரு ஸ்டப் உள்ளது), நான் அதை GitHub இலிருந்து நிறுவ வேண்டியிருந்தது. மேலும் சமீபத்தில் PEAR ஒரு பலியாகி விட்டது விநியோக சங்கிலி தாக்குதல்கள்.

நீங்கள் இன்னும் நினைவில் கொள்ளலாம் CCleaner பயன்படுத்தி தாக்குதல், ஒரு வரி அறிக்கை திட்டத்திற்கான மேம்படுத்தல் தொகுதி மூலம் NePetya ransomware இன் தொற்றுநோய் MEDoc. அச்சுறுத்தல்கள் மேலும் மேலும் அதிநவீனமாகி வருகின்றன, மேலும் தர்க்கரீதியான கேள்வி எழுகிறது - "இந்த 5% அச்சுறுத்தல்களை நாம் எவ்வாறு எதிர்கொள்வது?"

அச்சுறுத்தல் வேட்டையின் வரையறை

எனவே, அச்சுறுத்தல் வேட்டை என்பது பாரம்பரிய பாதுகாப்புக் கருவிகளால் கண்டறிய முடியாத மேம்பட்ட அச்சுறுத்தல்களைக் கண்டறியும் மற்றும் செயலில் உள்ள மற்றும் மீண்டும் செயல்படும் செயல்முறையாகும். மேம்பட்ட அச்சுறுத்தல்கள், எடுத்துக்காட்டாக, APT போன்ற தாக்குதல்கள், 0-நாள் பாதிப்புகள் மீதான தாக்குதல்கள், நிலத்திற்கு வெளியே வாழ்வது மற்றும் பல.

TH என்பது கருதுகோள்களை சோதிக்கும் செயல்முறை என்றும் நாம் மீண்டும் கூறலாம். இது ஆட்டோமேஷனின் கூறுகளைக் கொண்ட ஒரு பிரதான கையேடு செயல்முறையாகும், இதில் ஆய்வாளர், தனது அறிவு மற்றும் திறன்களை நம்பி, ஒரு குறிப்பிட்ட அச்சுறுத்தல் இருப்பதைப் பற்றிய ஆரம்பத்தில் தீர்மானிக்கப்பட்ட கருதுகோளுக்கு ஒத்த சமரசத்தின் அறிகுறிகளைத் தேடி பெரிய அளவிலான தகவல்களைப் பிரிக்கிறார். அதன் தனித்துவமான அம்சம் பல்வேறு தகவல் ஆதாரங்கள் ஆகும்.

அச்சுறுத்தல் வேட்டை என்பது ஒருவித மென்பொருள் அல்லது வன்பொருள் தயாரிப்பு அல்ல என்பதை கவனத்தில் கொள்ள வேண்டும். இவை சில தீர்வுகளில் காணக்கூடிய எச்சரிக்கைகள் அல்ல. இது IOC (சமரசத்தின் அடையாளங்காட்டிகள்) தேடல் செயல்முறை அல்ல. இது தகவல் பாதுகாப்பு ஆய்வாளர்களின் பங்கேற்பு இல்லாமல் நிகழும் ஒருவித செயலற்ற செயல்பாடு அல்ல. அச்சுறுத்தல் வேட்டையாடுதல் என்பது முதன்மையானது ஒரு செயல்முறையாகும்.

அச்சுறுத்தல் வேட்டையின் கூறுகள்

அச்சுறுத்தல் வேட்டையின் மூன்று முக்கிய கூறுகள்: தரவு, தொழில்நுட்பம், மக்கள்.

தரவு (என்ன?), பிக் டேட்டா உட்பட. அனைத்து வகையான போக்குவரத்து ஓட்டங்கள், முந்தைய APTகள் பற்றிய தகவல்கள், பகுப்பாய்வுகள், பயனர் செயல்பாடு குறித்த தரவு, நெட்வொர்க் தரவு, ஊழியர்களிடமிருந்து தகவல், டார்க்நெட்டில் உள்ள தகவல்கள் மற்றும் பல.

தொழில்நுட்பங்கள் (எப்படி?) இந்தத் தரவைச் செயலாக்குதல் - இயந்திர கற்றல் உட்பட இந்தத் தரவைச் செயலாக்குவதற்கான அனைத்து சாத்தியமான வழிகளும்.

மக்கள் (யார்?) - பல்வேறு தாக்குதல்களை பகுப்பாய்வு செய்வதில் விரிவான அனுபவம், வளர்ந்த உள்ளுணர்வு மற்றும் தாக்குதலைக் கண்டறியும் திறன் கொண்டவர்கள். பொதுவாக இவர்கள் தகவல் பாதுகாப்பு ஆய்வாளர்கள், அவர்கள் கருதுகோள்களை உருவாக்கி அவற்றுக்கான உறுதிப்படுத்தலைக் கண்டறியும் திறனைக் கொண்டிருக்க வேண்டும். அவை செயல்பாட்டில் முக்கிய இணைப்பு.

மாதிரி பாரிஸ்

ஆடம் பேட்மேன் விவரிக்கிறது சிறந்த TH செயல்முறைக்கான PARIS மாதிரி. இந்தப் பெயர் பிரான்சில் உள்ள ஒரு புகழ்பெற்ற அடையாளத்தைக் குறிக்கிறது. இந்த மாதிரியை இரண்டு திசைகளில் பார்க்க முடியும் - மேலே இருந்து மற்றும் கீழே இருந்து.

நாம் கீழே இருந்து மாதிரியின் வழியாகச் செல்லும்போது, ​​தீங்கிழைக்கும் செயலுக்கான பல ஆதாரங்களைச் சந்திப்போம். ஒவ்வொரு ஆதாரத்திற்கும் நம்பிக்கை என்று அழைக்கப்படும் ஒரு அளவு உள்ளது - இந்த ஆதாரத்தின் எடையை பிரதிபலிக்கும் ஒரு பண்பு. "இரும்பு", தீங்கிழைக்கும் செயல்பாட்டின் நேரடி சான்றுகள் உள்ளன, அதன்படி நாம் உடனடியாக பிரமிட்டின் உச்சியை அடையலாம் மற்றும் துல்லியமாக அறியப்பட்ட தொற்று பற்றிய உண்மையான எச்சரிக்கையை உருவாக்கலாம். மற்றும் மறைமுக சான்றுகள் உள்ளன, அதன் கூட்டுத்தொகை நம்மை பிரமிட்டின் உச்சிக்கு இட்டுச் செல்லும். எப்போதும் போல, நேரடி ஆதாரங்களை விட மறைமுக சான்றுகள் உள்ளன, அதாவது அவை வரிசைப்படுத்தப்பட்டு பகுப்பாய்வு செய்யப்பட வேண்டும், கூடுதல் ஆராய்ச்சி நடத்தப்பட வேண்டும், மேலும் இதை தானியக்கமாக்குவது நல்லது.

மாதிரி பாரிஸ். மூல

மாதிரியின் மேல் பகுதி (1 மற்றும் 2) ஆட்டோமேஷன் தொழில்நுட்பங்கள் மற்றும் பல்வேறு பகுப்பாய்வுகளை அடிப்படையாகக் கொண்டது, மேலும் கீழ் பகுதி (3 மற்றும் 4) செயல்முறையை நிர்வகிக்கும் சில தகுதிகளைக் கொண்ட நபர்களை அடிப்படையாகக் கொண்டது. மேலிருந்து கீழாக நகரும் மாதிரியை நீங்கள் பரிசீலிக்கலாம், அங்கு நீல நிறத்தின் மேல் பகுதியில் பாரம்பரிய பாதுகாப்பு கருவிகள் (ஆன்டிவைரஸ், ஈடிஆர், ஃபயர்வால், கையொப்பங்கள்) அதிக நம்பிக்கை மற்றும் நம்பிக்கையுடன் எச்சரிக்கைகள் உள்ளன, மேலும் கீழே குறிகாட்டிகள் உள்ளன ( IOC, URL, MD5 மற்றும் பிற), இவை குறைந்த அளவிலான உறுதியைக் கொண்டவை மற்றும் கூடுதல் ஆய்வு தேவை. மற்றும் குறைந்த மற்றும் தடிமனான நிலை (4) என்பது கருதுகோள்களின் தலைமுறை, பாரம்பரிய பாதுகாப்பு வழிமுறைகளின் செயல்பாட்டிற்கான புதிய காட்சிகளை உருவாக்குதல். இந்த நிலை கருதுகோள்களின் குறிப்பிட்ட ஆதாரங்களுக்கு மட்டும் வரையறுக்கப்படவில்லை. குறைந்த நிலை, ஆய்வாளரின் தகுதிகளில் அதிக தேவைகள் வைக்கப்படுகின்றன.

ஆய்வாளர்கள் முன்னரே தீர்மானிக்கப்பட்ட கருதுகோள்களின் வரையறுக்கப்பட்ட தொகுப்பை வெறுமனே சோதிக்காமல், புதிய கருதுகோள்களையும் அவற்றைச் சோதிப்பதற்கான விருப்பங்களையும் உருவாக்க தொடர்ந்து பணியாற்றுவது மிகவும் முக்கியம்.

TH பயன்பாட்டு முதிர்வு மாதிரி

ஒரு சிறந்த உலகில், TH என்பது ஒரு தொடர்ச்சியான செயல்முறையாகும். ஆனால், சிறந்த உலகம் இல்லை என்பதால், பகுப்பாய்வு செய்வோம் முதிர்வு மாதிரி மற்றும் பயன்படுத்தப்படும் மக்கள், செயல்முறைகள் மற்றும் தொழில்நுட்பங்களின் அடிப்படையில் முறைகள். ஒரு சிறந்த கோள TH இன் மாதிரியைக் கருத்தில் கொள்வோம். இந்த தொழில்நுட்பத்தைப் பயன்படுத்துவதில் 5 நிலைகள் உள்ளன. ஆய்வாளர்களின் ஒரு குழுவின் பரிணாம வளர்ச்சியின் உதாரணத்தைப் பயன்படுத்தி அவற்றைப் பார்ப்போம்.

முதிர்ச்சி நிலைகள்
மக்கள்
செயல்முறைகள்
தொழில்நுட்பம்

0 நிலை
SOC ஆய்வாளர்கள்
24/7
பாரம்பரிய கருவிகள்:

பாரம்பரிய
எச்சரிக்கைகளின் தொகுப்பு
செயலற்ற கண்காணிப்பு
ஐடிஎஸ், ஏவி, சாண்ட்பாக்சிங்,

TH இல்லாமல்
விழிப்பூட்டல்களுடன் பணிபுரிதல்

கையொப்ப பகுப்பாய்வு கருவிகள், அச்சுறுத்தல் நுண்ணறிவு தரவு.

1 நிலை
SOC ஆய்வாளர்கள்
ஒருமுறை TH
ஈ.டி.ஆர்

பரிசோதனை
தடயவியல் பற்றிய அடிப்படை அறிவு
IOC தேடல்
நெட்வொர்க் சாதனங்களிலிருந்து தரவின் பகுதி கவரேஜ்

TH உடன் பரிசோதனைகள்
நெட்வொர்க்குகள் மற்றும் பயன்பாடுகள் பற்றிய நல்ல அறிவு

பகுதி பயன்பாடு

2 நிலை
தற்காலிக தொழில்
ஸ்பிரிண்ட்ஸ்
ஈ.டி.ஆர்

காலமுறை
தடயவியல் பற்றிய சராசரி அறிவு
வாரம் மாதம்
முழு விண்ணப்பம்

தற்காலிக TH
நெட்வொர்க்குகள் மற்றும் பயன்பாடுகள் பற்றிய சிறந்த அறிவு
வழக்கமான TH
EDR தரவு பயன்பாட்டின் முழு ஆட்டோமேஷன்

மேம்பட்ட EDR திறன்களின் பகுதி பயன்பாடு

3 நிலை
அர்ப்பணிக்கப்பட்ட TH கட்டளை
24/7
கருதுகோள்களை சோதிக்கும் பகுதி திறன் TH

தடுப்பு
தடயவியல் மற்றும் தீம்பொருள் பற்றிய சிறந்த அறிவு
தடுப்பு TH
மேம்பட்ட EDR திறன்களை முழுமையாகப் பயன்படுத்துதல்

சிறப்பு வழக்குகள் TH
தாக்குதல் பக்கத்தைப் பற்றிய சிறந்த அறிவு
சிறப்பு வழக்குகள் TH
நெட்வொர்க் சாதனங்களிலிருந்து தரவின் முழு பாதுகாப்பு

உங்கள் தேவைகளுக்கு ஏற்ப கட்டமைப்பு

4 நிலை
அர்ப்பணிக்கப்பட்ட TH கட்டளை
24/7
TH கருதுகோள்களை சோதிக்கும் முழு திறன்

முன்னணி
தடயவியல் மற்றும் தீம்பொருள் பற்றிய சிறந்த அறிவு
தடுப்பு TH
நிலை 3, பிளஸ்:

TH ஐப் பயன்படுத்துகிறது
தாக்குதல் பக்கத்தைப் பற்றிய சிறந்த அறிவு
கருதுகோள்களின் சோதனை, ஆட்டோமேஷன் மற்றும் சரிபார்ப்பு TH
தரவு மூலங்களின் இறுக்கமான ஒருங்கிணைப்பு;

ஆராய்ச்சி திறன்

தேவைகளுக்கு ஏற்ப வளர்ச்சி மற்றும் API இன் தரமற்ற பயன்பாடு.

மக்கள், செயல்முறைகள் மற்றும் தொழில்நுட்பங்கள் மூலம் TH முதிர்வு நிலைகள்

நிலை 0: பாரம்பரியமானது, TH ஐப் பயன்படுத்தாமல். வழக்கமான ஆய்வாளர்கள் நிலையான கருவிகள் மற்றும் தொழில்நுட்பங்களைப் பயன்படுத்தி செயலற்ற கண்காணிப்பு பயன்முறையில் நிலையான விழிப்பூட்டல்களுடன் வேலை செய்கிறார்கள்: IDS, AV, சாண்ட்பாக்ஸ், கையொப்ப பகுப்பாய்வு கருவிகள்.

நிலை 1: சோதனை, TH ஐப் பயன்படுத்தி. தடயவியல் பற்றிய அடிப்படை அறிவு மற்றும் நெட்வொர்க்குகள் மற்றும் பயன்பாடுகள் பற்றிய நல்ல அறிவைக் கொண்ட அதே ஆய்வாளர்கள் சமரசத்தின் குறிகாட்டிகளைத் தேடுவதன் மூலம் ஒரு முறை அச்சுறுத்தல் வேட்டையை மேற்கொள்ள முடியும். நெட்வொர்க் சாதனங்களிலிருந்து தரவின் பகுதி கவரேஜ் கொண்ட கருவிகளில் EDRகள் சேர்க்கப்படுகின்றன. கருவிகள் ஓரளவு பயன்படுத்தப்படுகின்றன.

நிலை 2: கால, தற்காலிக TH. தடயவியல், நெட்வொர்க்குகள் மற்றும் பயன்பாட்டுப் பகுதி ஆகியவற்றில் ஏற்கனவே தங்கள் அறிவை மேம்படுத்திய அதே ஆய்வாளர்கள், ஒரு மாதத்திற்கு ஒரு வாரம் தொடர்ந்து அச்சுறுத்தல் வேட்டையில் (ஸ்பிரிண்ட்) ஈடுபட வேண்டும். கருவிகள் நெட்வொர்க் சாதனங்களிலிருந்து தரவின் முழு ஆய்வு, EDR இலிருந்து தரவு பகுப்பாய்வு தானியங்கு மற்றும் மேம்பட்ட EDR திறன்களின் பகுதியளவு பயன்பாடு ஆகியவற்றைச் சேர்க்கின்றன.

நிலை 3: தடுப்பு, அடிக்கடி TH வழக்குகள். எங்கள் ஆய்வாளர்கள் தங்களை ஒரு பிரத்யேக குழுவாக ஒழுங்கமைத்து, தடயவியல் மற்றும் தீம்பொருள் பற்றிய சிறந்த அறிவையும், தாக்குதல் பக்கத்தின் முறைகள் மற்றும் தந்திரோபாயங்கள் பற்றிய அறிவையும் பெறத் தொடங்கினர். செயல்முறை ஏற்கனவே 24/7 மேற்கொள்ளப்படுகிறது. நெட்வொர்க் சாதனங்களிலிருந்து தரவை முழுவதுமாக கவரேஜ் செய்வதன் மூலம் EDR இன் மேம்பட்ட திறன்களை முழுமையாக மேம்படுத்தும் போது குழு TH கருதுகோள்களை ஓரளவு சோதிக்க முடியும். ஆய்வாளர்கள் தங்கள் தேவைகளுக்கு ஏற்றவாறு கருவிகளை உள்ளமைக்க முடியும்.

நிலை 4: உயர்நிலை, TH ஐப் பயன்படுத்தவும். அதே குழு ஆராய்ச்சி செய்யும் திறன், TH கருதுகோள்களை சோதிக்கும் செயல்முறையை உருவாக்கும் மற்றும் தானியங்கு செய்யும் திறன் ஆகியவற்றைப் பெற்றது. இப்போது கருவிகள் தரவு மூலங்களின் நெருக்கமான ஒருங்கிணைப்பு, தேவைகளைப் பூர்த்தி செய்வதற்கான மென்பொருள் மேம்பாடு மற்றும் APIகளின் தரமற்ற பயன்பாடு ஆகியவற்றால் கூடுதலாக வழங்கப்பட்டுள்ளன.

அச்சுறுத்தல் வேட்டை நுட்பங்கள்

அடிப்படை அச்சுறுத்தல் வேட்டை நுட்பங்கள்

К தொழில்நுட்ப வல்லுநர்கள் TH, பயன்படுத்தப்படும் தொழில்நுட்பத்தின் முதிர்ச்சியின் வரிசையில்: அடிப்படை தேடல், புள்ளிவிவர பகுப்பாய்வு, காட்சிப்படுத்தல் நுட்பங்கள், எளிய திரட்டல்கள், இயந்திர கற்றல் மற்றும் பேய்சியன் முறைகள்.

எளிய முறை, ஒரு அடிப்படை தேடல், குறிப்பிட்ட வினவல்களைப் பயன்படுத்தி ஆராய்ச்சியின் பகுதியைக் குறைக்கப் பயன்படுகிறது. புள்ளிவிவர பகுப்பாய்வு பயன்படுத்தப்படுகிறது, எடுத்துக்காட்டாக, ஒரு புள்ளிவிவர மாதிரியின் வடிவத்தில் வழக்கமான பயனர் அல்லது நெட்வொர்க் செயல்பாட்டை உருவாக்க. காட்சிப்படுத்தல் நுட்பங்கள் வரைபடங்கள் மற்றும் விளக்கப்படங்களின் வடிவத்தில் தரவின் பகுப்பாய்வை பார்வைக்குக் காண்பிக்கவும் எளிமைப்படுத்தவும் பயன்படுத்தப்படுகின்றன, இது மாதிரியில் உள்ள வடிவங்களைக் கண்டறிவதை மிகவும் எளிதாக்குகிறது. தேடல் மற்றும் பகுப்பாய்வை மேம்படுத்துவதற்கு முக்கிய துறைகளின் மூலம் எளிய திரட்டல் நுட்பம் பயன்படுத்தப்படுகிறது. ஒரு நிறுவனத்தின் TH செயல்முறை எவ்வளவு முதிர்ச்சியடைந்தால், இயந்திர கற்றல் வழிமுறைகளின் பயன்பாடு மிகவும் பொருத்தமானதாகிறது. அவை ஸ்பேமை வடிகட்டுதல், தீங்கிழைக்கும் போக்குவரத்தைக் கண்டறிதல் மற்றும் மோசடி நடவடிக்கைகளைக் கண்டறிதல் ஆகியவற்றிலும் பரவலாகப் பயன்படுத்தப்படுகின்றன. இன்னும் மேம்பட்ட வகை இயந்திர கற்றல் அல்காரிதம் என்பது பேய்சியன் முறைகள் ஆகும், இது வகைப்பாடு, மாதிரி அளவு குறைப்பு மற்றும் தலைப்பு மாதிரியாக்கம் ஆகியவற்றை அனுமதிக்கிறது.

டயமண்ட் மாடல் மற்றும் TH உத்திகள்

செர்ஜியோ கால்டகிரோன், ஆண்ட்ரூ பென்டேகாஸ்ட் மற்றும் கிறிஸ்டோபர் பெட்ஸ் அவர்களின் வேலையில் "ஊடுருவல் பகுப்பாய்வு வைர மாதிரி» எந்தவொரு தீங்கிழைக்கும் செயல்பாட்டின் முக்கிய கூறுகளையும் அவற்றுக்கிடையேயான அடிப்படை தொடர்பையும் காட்டியது.

தீங்கிழைக்கும் செயல்பாட்டிற்கான வைர மாதிரி

இந்த மாதிரியின் படி, 4 அச்சுறுத்தல் வேட்டை உத்திகள் உள்ளன, அவை தொடர்புடைய முக்கிய கூறுகளை அடிப்படையாகக் கொண்டவை.

1. பாதிக்கப்பட்டவர் சார்ந்த உத்தி. பாதிக்கப்பட்டவருக்கு எதிரிகள் இருப்பதாகவும், அவர்கள் மின்னஞ்சல் மூலம் "வாய்ப்புகளை" வழங்குவார்கள் என்றும் நாங்கள் கருதுகிறோம். மின்னஞ்சலில் எதிரி தரவை நாங்கள் தேடுகிறோம். இணைப்புகள், இணைப்புகள் போன்றவற்றைத் தேடுங்கள். இந்த கருதுகோளை ஒரு குறிப்பிட்ட காலத்திற்கு (ஒரு மாதம், இரண்டு வாரங்கள்) உறுதிப்படுத்த நாங்கள் தேடுகிறோம்; நாங்கள் அதைக் கண்டுபிடிக்கவில்லை என்றால், கருதுகோள் வேலை செய்யவில்லை.

2. உள்கட்டமைப்பு சார்ந்த உத்தி. இந்த மூலோபாயத்தைப் பயன்படுத்த பல வழிகள் உள்ளன. அணுகல் மற்றும் தெரிவுநிலையைப் பொறுத்து, சில மற்றவர்களை விட எளிதாக இருக்கும். எடுத்துக்காட்டாக, தீங்கிழைக்கும் டொமைன்களை ஹோஸ்ட் செய்யும் டொமைன் பெயர் சர்வர்களை நாங்கள் கண்காணிக்கிறோம். அல்லது எதிரியால் பயன்படுத்தப்படும் அறியப்பட்ட வடிவத்திற்கான அனைத்து புதிய டொமைன் பெயர் பதிவுகளையும் கண்காணிக்கும் செயல்முறையை நாங்கள் மேற்கொள்கிறோம்.

3. திறன் சார்ந்த உத்தி. பெரும்பாலான நெட்வொர்க் பாதுகாவலர்களால் பயன்படுத்தப்படும் பாதிக்கப்பட்ட-மையப்படுத்தப்பட்ட மூலோபாயம் கூடுதலாக, ஒரு வாய்ப்பு-மையப்படுத்தப்பட்ட உத்தி உள்ளது. இது இரண்டாவது மிகவும் பிரபலமானது மற்றும் எதிரியிடமிருந்து திறன்களைக் கண்டறிவதில் கவனம் செலுத்துகிறது, அதாவது "மால்வேர்" மற்றும் psexec, powershell, certutil மற்றும் பிற போன்ற முறையான கருவிகளைப் பயன்படுத்தும் எதிரியின் திறன்.

4. எதிரி சார்ந்த உத்தி. எதிரியை மையமாகக் கொண்ட அணுகுமுறை எதிரியை மையமாகக் கொண்டுள்ளது. பொதுவில் கிடைக்கும் ஆதாரங்களில் இருந்து திறந்த தகவலைப் பயன்படுத்துதல் (OSINT), எதிரியைப் பற்றிய தரவு சேகரிப்பு, அவனது நுட்பங்கள் மற்றும் முறைகள் (TTP), முந்தைய சம்பவங்களின் பகுப்பாய்வு, அச்சுறுத்தல் நுண்ணறிவு தரவு போன்றவை இதில் அடங்கும்.

TH இல் தகவல் மற்றும் கருதுகோள்களின் ஆதாரங்கள்

அச்சுறுத்தல் வேட்டைக்கான சில தகவல் ஆதாரங்கள்

பல தகவல் ஆதாரங்கள் இருக்கலாம். ஒரு சிறந்த ஆய்வாளர் சுற்றியுள்ள எல்லாவற்றிலிருந்தும் தகவலைப் பிரித்தெடுக்க முடியும். ஏறக்குறைய எந்த உள்கட்டமைப்பிலும் உள்ள பொதுவான ஆதாரங்கள் பாதுகாப்புக் கருவிகளின் தரவுகளாக இருக்கும்: DLP, SIEM, IDS/IPS, WAF/FW, EDR. மேலும், பொதுவான தகவல் ஆதாரங்கள் சமரசம், அச்சுறுத்தல் நுண்ணறிவு சேவைகள், CERT மற்றும் OSINT தரவு ஆகியவற்றின் பல்வேறு குறிகாட்டிகளாக இருக்கும். கூடுதலாக, நீங்கள் டார்க்நெட்டிலிருந்து தகவல்களைப் பயன்படுத்தலாம் (எடுத்துக்காட்டாக, திடீரென்று ஒரு அமைப்பின் தலைவரின் அஞ்சல் பெட்டியை ஹேக் செய்ய ஒரு உத்தரவு உள்ளது, அல்லது நெட்வொர்க் பொறியாளர் பதவிக்கான வேட்பாளர் அவரது செயல்பாட்டிற்காக அம்பலப்படுத்தப்பட்டார்), பெறப்பட்ட தகவல்கள் HR (முந்தைய பணியிடத்திலிருந்து வேட்பாளரின் மதிப்புரைகள்), பாதுகாப்பு சேவையிலிருந்து தகவல் (உதாரணமாக, எதிர் தரப்பின் சரிபார்ப்பு முடிவுகள்).

ஆனால் கிடைக்கக்கூடிய அனைத்து ஆதாரங்களையும் பயன்படுத்துவதற்கு முன், குறைந்தபட்சம் ஒரு கருதுகோளையாவது வைத்திருப்பது அவசியம்.

மூல

கருதுகோள்களை சோதிக்க, அவை முதலில் முன்வைக்கப்பட வேண்டும். மேலும் பல உயர்தர கருதுகோள்களை முன்வைக்க, முறையான அணுகுமுறையைப் பயன்படுத்துவது அவசியம். கருதுகோள்களை உருவாக்கும் செயல்முறை இன்னும் விரிவாக விவரிக்கப்பட்டுள்ளது கட்டுரை, கருதுகோள்களை முன்வைக்கும் செயல்முறைக்கு இந்த திட்டத்தை அடிப்படையாக எடுத்துக்கொள்வது மிகவும் வசதியானது.

கருதுகோள்களின் முக்கிய ஆதாரமாக இருக்கும் ATT&CK அணி (எதிரி தந்திரங்கள், நுட்பங்கள் மற்றும் பொது அறிவு). சாராம்சத்தில், இது ஒரு அறிவுத் தளம் மற்றும் தாக்குதலின் கடைசிப் படிகளில் தங்கள் நடவடிக்கைகளை மேற்கொள்ளும் தாக்குபவர்களின் நடத்தையை மதிப்பிடுவதற்கான மாதிரியாகும், இது பொதுவாக கில் செயின் என்ற கருத்தைப் பயன்படுத்தி விவரிக்கப்படுகிறது. அதாவது, தாக்குபவர் ஒரு நிறுவனத்தின் உள் நெட்வொர்க்கிற்குள் அல்லது மொபைல் சாதனத்தில் ஊடுருவிய பிறகு கட்டங்களில். அறிவுத் தளத்தில் முதலில் 121 தந்திரோபாயங்கள் மற்றும் தாக்குதலில் பயன்படுத்தப்படும் நுட்பங்கள் பற்றிய விளக்கங்கள் இருந்தன, ஒவ்வொன்றும் விக்கி வடிவத்தில் விரிவாக விவரிக்கப்பட்டுள்ளன. பல்வேறு அச்சுறுத்தல் நுண்ணறிவு பகுப்பாய்வு கருதுகோள்களை உருவாக்குவதற்கான ஆதாரமாக மிகவும் பொருத்தமானது. உள்கட்டமைப்பு பகுப்பாய்வு மற்றும் ஊடுருவல் சோதனைகளின் முடிவுகள் குறிப்பாக கவனிக்கத்தக்கவை - இது ஒரு குறிப்பிட்ட உள்கட்டமைப்பை அதன் குறிப்பிட்ட குறைபாடுகளுடன் அடிப்படையாகக் கொண்டிருப்பதால், இரும்புக் கருதுகோள்களை நமக்கு வழங்கக்கூடிய மிகவும் மதிப்புமிக்க தரவு இதுவாகும்.

கருதுகோள் சோதனை செயல்முறை

செர்ஜி சோல்டடோவ் கொண்டு வந்தார் நல்ல வரைபடம் செயல்முறையின் விரிவான விளக்கத்துடன், இது ஒரு ஒற்றை அமைப்பில் TH கருதுகோள்களை சோதிக்கும் செயல்முறையை விளக்குகிறது. முக்கிய நிலைகளை சுருக்கமான விளக்கத்துடன் குறிப்பிடுகிறேன்.

மூல

நிலை 1: TI பண்ணை

இந்த கட்டத்தில் முன்னிலைப்படுத்த வேண்டியது அவசியம் பொருள்கள் (அனைத்து அச்சுறுத்தல் தரவுகளுடன் அவற்றை பகுப்பாய்வு செய்வதன் மூலம்) மற்றும் அவற்றின் குணாதிசயங்களுக்கு லேபிள்களை ஒதுக்குதல். அவை கோப்பு, URL, MD5, செயல்முறை, பயன்பாடு, நிகழ்வு. அச்சுறுத்தல் நுண்ணறிவு அமைப்புகள் மூலம் அவற்றை அனுப்பும்போது, ​​குறிச்சொற்களை இணைக்க வேண்டியது அவசியம். அதாவது, இந்த தளம் CNC இல் இதுபோன்ற ஒரு வருடத்தில் கவனிக்கப்பட்டது, இந்த MD5 அத்தகைய தீம்பொருளுடன் தொடர்புடையது, இந்த MD5 தீம்பொருளை விநியோகித்த தளத்திலிருந்து பதிவிறக்கம் செய்யப்பட்டது.

நிலை 2: வழக்குகள்

இரண்டாவது கட்டத்தில், இந்த பொருள்களுக்கு இடையிலான தொடர்புகளைப் பார்க்கிறோம் மற்றும் இந்த அனைத்து பொருட்களுக்கும் இடையிலான உறவுகளை அடையாளம் காண்கிறோம். மோசமான ஒன்றைச் செய்யும் அமைப்புகளை நாங்கள் பெறுகிறோம்.

நிலை 3: ஆய்வாளர்

மூன்றாவது கட்டத்தில், பகுப்பாய்வில் விரிவான அனுபவமுள்ள அனுபவமிக்க ஆய்வாளருக்கு வழக்கு மாற்றப்பட்டு, அவர் ஒரு தீர்ப்பை வழங்குகிறார். இந்த குறியீடு என்ன, எங்கே, எப்படி, ஏன் மற்றும் ஏன் செய்கிறது என்பதை அவர் பைட்டுகளாக அலசுகிறார். இந்த உடல் மால்வேர், இந்த கணினி பாதிக்கப்பட்டுள்ளது. பொருள்களுக்கு இடையே உள்ள இணைப்புகளை வெளிப்படுத்துகிறது, சாண்ட்பாக்ஸ் மூலம் இயங்கும் முடிவுகளை சரிபார்க்கிறது.

ஆய்வாளரின் பணியின் முடிவுகள் மேலும் அனுப்பப்படுகின்றன. டிஜிட்டல் தடயவியல் படங்களை ஆய்வு செய்கிறது, மால்வேர் பகுப்பாய்வு கண்டறியப்பட்ட "உடல்களை" ஆராய்கிறது, மேலும் சம்பவ மறுமொழி குழு தளத்திற்குச் சென்று ஏற்கனவே உள்ள ஏதாவது ஒன்றை விசாரிக்கலாம். வேலையின் விளைவாக உறுதிப்படுத்தப்பட்ட கருதுகோள், அடையாளம் காணப்பட்ட தாக்குதல் மற்றும் அதை எதிர்ப்பதற்கான வழிகள் இருக்கும்.

மூல
 

முடிவுகளை

அச்சுறுத்தல் வேட்டை என்பது மிகவும் இளம் தொழில்நுட்பமாகும், இது தனிப்பயனாக்கப்பட்ட, புதிய மற்றும் தரமற்ற அச்சுறுத்தல்களை திறம்பட எதிர்கொள்ள முடியும், இது போன்ற அச்சுறுத்தல்களின் எண்ணிக்கை மற்றும் பெருநிறுவன உள்கட்டமைப்பின் அதிகரித்து வரும் சிக்கலான தன்மையைக் கருத்தில் கொண்டு பெரும் வாய்ப்புகள் உள்ளன. இதற்கு மூன்று கூறுகள் தேவை - தரவு, கருவிகள் மற்றும் ஆய்வாளர்கள். அச்சுறுத்தல் வேட்டையின் நன்மைகள் அச்சுறுத்தல்களை செயல்படுத்துவதைத் தடுப்பது மட்டும் அல்ல. தேடல் செயல்பாட்டின் போது, ​​பாதுகாப்பு ஆய்வாளரின் கண்கள் மூலம் நமது உள்கட்டமைப்பு மற்றும் அதன் பலவீனமான புள்ளிகளில் மூழ்கி, இந்த புள்ளிகளை மேலும் வலுப்படுத்த முடியும் என்பதை மறந்துவிடாதீர்கள்.

எங்கள் கருத்துப்படி, உங்கள் நிறுவனத்தில் TH செயல்முறையைத் தொடங்க எடுக்க வேண்டிய முதல் படிகள்.

1. இறுதிப் புள்ளிகள் மற்றும் நெட்வொர்க் உள்கட்டமைப்பைப் பாதுகாப்பதில் கவனம் செலுத்துங்கள். உங்கள் நெட்வொர்க்கில் உள்ள அனைத்து செயல்முறைகளின் தெரிவுநிலை (நெட்ஃப்ளோ) மற்றும் கட்டுப்பாட்டை (ஃபயர்வால், ஐடிஎஸ், ஐபிஎஸ், டிஎல்பி) கவனித்துக் கொள்ளுங்கள். எட்ஜ் ரூட்டரிலிருந்து கடைசி ஹோஸ்ட் வரை உங்கள் நெட்வொர்க்கை அறிந்து கொள்ளுங்கள்.
2. ஆராயுங்கள் MITER ATT&CK.
3. குறைந்த பட்சம் முக்கிய வெளிப்புற ஆதாரங்களின் வழக்கமான pentests நடத்தவும், அதன் முடிவுகளை பகுப்பாய்வு செய்யவும், தாக்குதலுக்கான முக்கிய இலக்குகளை அடையாளம் காணவும் மற்றும் அவற்றின் பாதிப்புகளை மூடவும்.
4. ஒரு திறந்த மூல அச்சுறுத்தல் நுண்ணறிவு அமைப்பை (உதாரணமாக, MISP, Yeti) செயல்படுத்தவும் மற்றும் அதனுடன் இணைந்து பதிவுகளை பகுப்பாய்வு செய்யவும்.
5. ஒரு சம்பவ மறுமொழி தளத்தை (IRP) செயல்படுத்தவும்: R-Vision IRP, The Hive, சந்தேகத்திற்கிடமான கோப்புகளை பகுப்பாய்வு செய்வதற்கான சாண்ட்பாக்ஸ் (FortiSandbox, Cuckoo).
6. வழக்கமான செயல்முறைகளை தானியங்குபடுத்துங்கள். பதிவுகளின் பகுப்பாய்வு, சம்பவங்களைப் பதிவு செய்தல், ஊழியர்களுக்குத் தகவல் அளித்தல் ஆகியவை ஆட்டோமேஷனுக்கான மிகப்பெரிய களமாகும்.
7. சம்பவங்களில் ஒத்துழைக்க பொறியாளர்கள், டெவலப்பர்கள் மற்றும் தொழில்நுட்ப ஆதரவுடன் திறம்பட தொடர்பு கொள்ள கற்றுக்கொள்ளுங்கள்.
8. முழு செயல்முறையையும் ஆவணப்படுத்தவும், முக்கிய புள்ளிகள், அடையப்பட்ட முடிவுகள் பின்னர் அவர்களிடம் திரும்ப அல்லது சக ஊழியர்களுடன் இந்தத் தரவைப் பகிர;
9. சமூகமாக இருங்கள்: உங்கள் பணியாளர்களுடன் என்ன நடக்கிறது, நீங்கள் யாரை பணியமர்த்துகிறீர்கள் மற்றும் நிறுவனத்தின் தகவல் ஆதாரங்களுக்கு நீங்கள் அணுகலை வழங்குபவர்கள் குறித்து எச்சரிக்கையாக இருங்கள்.
10. புதிய அச்சுறுத்தல்கள் மற்றும் பாதுகாப்பு முறைகள் ஆகியவற்றில் உள்ள போக்குகளைத் தெரிந்துகொள்ளவும், தொழில்நுட்ப கல்வியறிவின் அளவை அதிகரிக்கவும் (IT சேவைகள் மற்றும் துணை அமைப்புகளின் செயல்பாடு உட்பட), மாநாடுகளில் கலந்துகொள்ளவும் மற்றும் சக ஊழியர்களுடன் தொடர்பு கொள்ளவும்.

கருத்துகளில் TH செயல்முறையின் அமைப்பைப் பற்றி விவாதிக்கத் தயார்.

அல்லது எங்களுடன் வேலைக்கு வாருங்கள்!

• முன்னணி தகவல் பாதுகாப்பு ஆலோசகர்
• தகவல் பாதுகாப்பிற்கான சிஸ்டம் ஆர்கிடெக்ட்
• முன்னணி நெட்வொர்க் பாதுகாப்பு பொறியாளர்
• முன்னணி தகவல் பாதுகாப்பு பொறியாளர் (SIEM)
• தகவல் பாதுகாப்பு கட்டிடக் கலைஞர் (பயன்பாடு)

படிப்பதற்கான ஆதாரங்கள் மற்றும் பொருட்கள்

• அச்சுறுத்துபவர்.குரு
• தாக்குதல்.mitre.org
• டிஜிட்டல் தடயவியல்.sans.org
• resources.infosecinstitute.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• பதில்-to-all.blogspot.com
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

ஆதாரம்: www.habr.com