బెదిరింపు వేట, లేదా 5% బెదిరింపుల నుండి మిమ్మల్ని మీరు ఎలా రక్షించుకోవాలి

95% సమాచార భద్రతా బెదిరింపులు తెలిసినవి మరియు యాంటీవైరస్‌లు, ఫైర్‌వాల్‌లు, IDS, WAF వంటి సాంప్రదాయ మార్గాలను ఉపయోగించి మీరు వాటి నుండి మిమ్మల్ని మీరు రక్షించుకోవచ్చు. మిగిలిన 5% బెదిరింపులు తెలియనివి మరియు అత్యంత ప్రమాదకరమైనవి. వాటిని గుర్తించడం చాలా కష్టం, వాటి నుండి రక్షించడం చాలా తక్కువ అనే వాస్తవం కారణంగా వారు కంపెనీకి 70% ప్రమాదాన్ని కలిగి ఉన్నారు. ఉదాహరణలు "నల్ల హంసలు" WannaCry ransomware మహమ్మారి, NotPetya/ExPetr, క్రిప్టోమినర్లు, "సైబర్ వెపన్" స్టక్స్‌నెట్ (ఇరాన్ అణు సౌకర్యాలను తాకింది) మరియు అనేక (మరెవరైనా కిడో/కాన్ఫికర్‌ను గుర్తుంచుకుంటారా?) శాస్త్రీయ భద్రతా చర్యలతో బాగా రక్షించబడని ఇతర దాడులు. మేము థ్రెట్ హంటింగ్ టెక్నాలజీని ఉపయోగించి ఈ 5% బెదిరింపులను ఎలా ఎదుర్కోవాలి అనే దాని గురించి మాట్లాడాలనుకుంటున్నాము.

సైబర్ దాడుల యొక్క నిరంతర పరిణామానికి స్థిరమైన గుర్తింపు మరియు ప్రతిఘటనలు అవసరం, ఇది చివరికి దాడి చేసేవారు మరియు రక్షకుల మధ్య అంతులేని ఆయుధ పోటీ గురించి ఆలోచించేలా చేస్తుంది. క్లాసిక్ సెక్యూరిటీ సిస్టమ్‌లు ఇకపై ఆమోదయోగ్యమైన స్థాయి భద్రతను అందించలేవు, దీనిలో రిస్క్ స్థాయి నిర్దిష్ట అవస్థాపన కోసం వాటిని సవరించకుండా కంపెనీ కీలక సూచికలను (ఆర్థిక, రాజకీయ, కీర్తి) ప్రభావితం చేయదు, కానీ సాధారణంగా అవి కొన్నింటిని కవర్ చేస్తాయి. ప్రమాదాలు. ఇప్పటికే అమలు మరియు కాన్ఫిగరేషన్ ప్రక్రియలో, ఆధునిక భద్రతా వ్యవస్థలు తమను తాము పట్టుకోవడంలో పాత్ర పోషిస్తాయి మరియు కొత్త సమయం యొక్క సవాళ్లకు ప్రతిస్పందించాలి.

మూలం

థ్రెట్ హంటింగ్ టెక్నాలజీ అనేది ఇన్ఫర్మేషన్ సెక్యూరిటీ స్పెషలిస్ట్ కోసం మన కాలంలోని సవాళ్లకు సమాధానాలలో ఒకటి. థ్రెట్ హంటింగ్ (ఇకపై TH గా సూచిస్తారు) అనే పదం చాలా సంవత్సరాల క్రితం కనిపించింది. సాంకేతికత చాలా ఆసక్తికరంగా ఉంది, కానీ ఇంకా సాధారణంగా ఆమోదించబడిన ప్రమాణాలు మరియు నియమాలు లేవు. సమాచార వనరుల యొక్క వైవిధ్యత మరియు ఈ అంశంపై తక్కువ సంఖ్యలో రష్యన్ భాషా మూలాల సమాచారం కారణంగా కూడా ఈ విషయం సంక్లిష్టంగా ఉంటుంది. ఈ విషయంలో, LANIT-ఇంటిగ్రేషన్ వద్ద మేము ఈ సాంకేతికత యొక్క సమీక్షను వ్రాయాలని నిర్ణయించుకున్నాము.

topicality

TH సాంకేతికత మౌలిక సదుపాయాల పర్యవేక్షణ ప్రక్రియలపై ఆధారపడి ఉంటుంది. అంతర్గత పర్యవేక్షణ కోసం రెండు ప్రధాన దృశ్యాలు ఉన్నాయి - హెచ్చరిక మరియు వేట. హెచ్చరిక (MSSP సేవల మాదిరిగానే) అనేది గతంలో అభివృద్ధి చేసిన సంతకాలు మరియు దాడుల సంకేతాల కోసం శోధించడం మరియు వాటికి ప్రతిస్పందించే సాంప్రదాయ పద్ధతి. ఈ దృశ్యం సాంప్రదాయ సంతకం-ఆధారిత రక్షణ సాధనాల ద్వారా విజయవంతంగా నిర్వహించబడుతుంది. వేట (MDR రకం సేవ) అనేది "సంతకాలు మరియు నియమాలు ఎక్కడ నుండి వస్తాయి?" అనే ప్రశ్నకు సమాధానమిచ్చే పర్యవేక్షణ పద్ధతి. దాచిన లేదా గతంలో తెలియని సూచికలు మరియు దాడి సంకేతాలను విశ్లేషించడం ద్వారా సహసంబంధ నియమాలను రూపొందించే ప్రక్రియ ఇది. థ్రెట్ హంటింగ్ అనేది ఈ రకమైన పర్యవేక్షణను సూచిస్తుంది.

రెండు రకాల పర్యవేక్షణలను కలపడం ద్వారా మాత్రమే మనకు ఆదర్శానికి దగ్గరగా ఉండే రక్షణ లభిస్తుంది, కానీ ఎల్లప్పుడూ ఒక నిర్దిష్ట స్థాయి అవశేష ప్రమాదం ఉంటుంది.

రెండు రకాల పర్యవేక్షణను ఉపయోగించి రక్షణ

మరియు TH (మరియు పూర్తిగా వేటాడటం!) ఎందుకు చాలా సందర్భోచితంగా మారుతుందో ఇక్కడ ఉంది:

బెదిరింపులు, నివారణలు, ప్రమాదాలు. మూలం

అన్ని బెదిరింపులలో 95% ఇప్పటికే బాగా అధ్యయనం చేయబడ్డాయి. వీటిలో స్పామ్, DDoS, వైరస్‌లు, రూట్‌కిట్‌లు మరియు ఇతర క్లాసిక్ మాల్వేర్ వంటి రకాలు ఉన్నాయి. మీరు అదే క్లాసిక్ భద్రతా చర్యలను ఉపయోగించి ఈ బెదిరింపుల నుండి మిమ్మల్ని మీరు రక్షించుకోవచ్చు.

ఏదైనా ప్రాజెక్ట్ అమలు సమయంలో 20% పని పూర్తి కావడానికి 80% సమయం పడుతుంది, మరియు మిగిలిన 20% పనికి 80% సమయం పడుతుంది. అదేవిధంగా, మొత్తం ముప్పు ల్యాండ్‌స్కేప్‌లో, 5% కొత్త బెదిరింపులు కంపెనీకి 70% రిస్క్‌ని కలిగి ఉంటాయి. ఇన్ఫర్మేషన్ సెక్యూరిటీ మేనేజ్‌మెంట్ ప్రాసెస్‌లు నిర్వహించబడే కంపెనీలో, తెలిసిన బెదిరింపుల అమలులో 30% ప్రమాదాన్ని నివారించడం (సూత్రప్రాయంగా వైర్‌లెస్ నెట్‌వర్క్‌లను తిరస్కరించడం), అంగీకరించడం (అవసరమైన భద్రతా చర్యలను అమలు చేయడం) లేదా బదిలీ చేయడం ద్వారా మేము నిర్వహించవచ్చు. (ఉదాహరణకు, ఇంటిగ్రేటర్ యొక్క భుజాలపై) ఈ ప్రమాదం. నుండి మిమ్మల్ని మీరు రక్షించుకోండి జీరో-డే దుర్బలత్వం, APT దాడులు, ఫిషింగ్, సరఫరా గొలుసు దాడులు, సైబర్ గూఢచర్యం మరియు జాతీయ కార్యకలాపాలు, అలాగే పెద్ద సంఖ్యలో ఇతర దాడులు ఇప్పటికే చాలా కష్టం. ఈ 5% బెదిరింపుల యొక్క పరిణామాలు చాలా తీవ్రంగా ఉంటాయి (buhtrap సమూహం నుండి బ్యాంకు నష్టాల సగటు మొత్తం 143 మిలియన్లు) యాంటీవైరస్ సాఫ్ట్‌వేర్ సేవ్ చేసే స్పామ్ లేదా వైరస్‌ల పరిణామాల కంటే.

దాదాపు ప్రతి ఒక్కరూ 5% బెదిరింపులను ఎదుర్కోవలసి ఉంటుంది. మేము ఇటీవల PEAR (PHP ఎక్స్‌టెన్షన్ మరియు అప్లికేషన్ రిపోజిటరీ) రిపోజిటరీ నుండి అప్లికేషన్‌ను ఉపయోగించే ఓపెన్ సోర్స్ సొల్యూషన్‌ను ఇన్‌స్టాల్ చేయాల్సి వచ్చింది. పియర్ ఇన్‌స్టాల్ ద్వారా ఈ అప్లికేషన్‌ను ఇన్‌స్టాల్ చేసే ప్రయత్నం విఫలమైంది ఎందుకంటే వెబ్సైట్ అందుబాటులో లేదు (ఇప్పుడు దానిపై స్టబ్ ఉంది), నేను దానిని GitHub నుండి ఇన్‌స్టాల్ చేయాల్సి వచ్చింది. మరియు ఇటీవలే PEAR బాధితురాలిగా మారిందని తేలింది సరఫరా గొలుసు దాడులు.

మీరు ఇప్పటికీ గుర్తుంచుకోగలరు CCleaner ఉపయోగించి దాడి, పన్ను రిపోర్టింగ్ ప్రోగ్రామ్ కోసం నవీకరణ మాడ్యూల్ ద్వారా NePetya ransomware యొక్క అంటువ్యాధి MEDoc. బెదిరింపులు మరింత అధునాతనంగా మారుతున్నాయి మరియు తార్కిక ప్రశ్న తలెత్తుతుంది - “ఈ 5% బెదిరింపులను మనం ఎలా ఎదుర్కోగలం?”

థ్రెట్ హంటింగ్ యొక్క నిర్వచనం

కాబట్టి, థ్రెట్ హంటింగ్ అనేది చురుకైన మరియు పునరావృత శోధన మరియు సాంప్రదాయ భద్రతా సాధనాల ద్వారా గుర్తించలేని అధునాతన బెదిరింపులను గుర్తించే ప్రక్రియ. అధునాతన బెదిరింపులు, ఉదాహరణకు, APT వంటి దాడులు, 0-రోజుల దుర్బలత్వాలపై దాడులు, లివింగ్ ఆఫ్ ది ల్యాండ్ మరియు మొదలైనవి.

మేము TH అనేది పరికల్పనలను పరీక్షించే ప్రక్రియ అని కూడా తిరిగి వ్రాయవచ్చు. ఇది ఆటోమేషన్ అంశాలతో ప్రధానంగా మాన్యువల్ ప్రక్రియ, దీనిలో విశ్లేషకుడు, తన జ్ఞానం మరియు నైపుణ్యాలపై ఆధారపడి, ఒక నిర్దిష్ట ముప్పు ఉనికి గురించి ప్రారంభంలో నిర్ణయించిన పరికల్పనకు అనుగుణంగా రాజీ సంకేతాలను వెతకడానికి పెద్ద మొత్తంలో సమాచారాన్ని వెతుకుతాడు. వివిధ రకాల సమాచార వనరులు దీని ప్రత్యేకత.

థ్రెట్ హంటింగ్ అనేది ఒక రకమైన సాఫ్ట్‌వేర్ లేదా హార్డ్‌వేర్ ఉత్పత్తి కాదని గమనించాలి. ఇవి ఏదో ఒక పరిష్కారంలో కనిపించే హెచ్చరికలు కావు. ఇది IOC (ఐడెంటిఫైయర్స్ ఆఫ్ కాంప్రమైజ్) శోధన ప్రక్రియ కాదు. మరియు ఇది సమాచార భద్రతా విశ్లేషకుల భాగస్వామ్యం లేకుండా సంభవించే ఒక రకమైన నిష్క్రియాత్మక కార్యాచరణ కాదు. బెదిరింపు వేట మొదటి మరియు అన్నిటికంటే ఒక ప్రక్రియ.

బెదిరింపు వేట యొక్క భాగాలు

థ్రెట్ హంటింగ్ యొక్క మూడు ప్రధాన భాగాలు: డేటా, టెక్నాలజీ, వ్యక్తులు.

డేటా (ఏమిటి?), బిగ్ డేటాతో సహా. అన్ని రకాల ట్రాఫిక్ ప్రవాహాలు, మునుపటి APTల గురించిన సమాచారం, విశ్లేషణలు, వినియోగదారు కార్యాచరణపై డేటా, నెట్‌వర్క్ డేటా, ఉద్యోగుల నుండి సమాచారం, డార్క్‌నెట్‌లోని సమాచారం మరియు మరిన్ని.

సాంకేతికతలు (ఎలా?) ఈ డేటాను ప్రాసెస్ చేయడం - మెషిన్ లెర్నింగ్‌తో సహా ఈ డేటాను ప్రాసెస్ చేయడానికి సాధ్యమయ్యే అన్ని మార్గాలు.

వ్యక్తులు (ఎవరు?) - వివిధ దాడులను విశ్లేషించడంలో విస్తృతమైన అనుభవం ఉన్నవారు, అభివృద్ధి చెందిన అంతర్ దృష్టి మరియు దాడిని గుర్తించే సామర్థ్యాన్ని కలిగి ఉంటారు. సాధారణంగా ఇవి సమాచార భద్రతా విశ్లేషకులు, వీరు పరికల్పనలను రూపొందించే సామర్థ్యాన్ని కలిగి ఉండాలి మరియు వాటికి నిర్ధారణను కనుగొనాలి. వారు ప్రక్రియలో ప్రధాన లింక్.

మోడల్ PARIS

ఆడమ్ బాటెమాన్ వివరిస్తుంది ఆదర్శవంతమైన TH ప్రక్రియ కోసం PARIS మోడల్. పేరు ఫ్రాన్స్‌లోని ప్రసిద్ధ మైలురాయిని సూచిస్తుంది. ఈ మోడల్‌ను రెండు దిశలలో చూడవచ్చు - పై నుండి మరియు దిగువ నుండి.

మేము దిగువ నుండి మోడల్ ద్వారా మా మార్గంలో పని చేస్తున్నప్పుడు, హానికరమైన కార్యాచరణకు సంబంధించిన చాలా సాక్ష్యాలను మనం ఎదుర్కొంటాము. ప్రతి సాక్ష్యం విశ్వాసం అని పిలువబడే కొలతను కలిగి ఉంటుంది - ఈ సాక్ష్యం యొక్క బరువును ప్రతిబింబించే లక్షణం. "ఇనుము", హానికరమైన కార్యకలాపాలకు ప్రత్యక్ష సాక్ష్యం ఉంది, దీని ప్రకారం మేము వెంటనే పిరమిడ్ యొక్క పైభాగానికి చేరుకోవచ్చు మరియు ఖచ్చితంగా తెలిసిన ఇన్ఫెక్షన్ గురించి అసలు హెచ్చరికను సృష్టించవచ్చు. మరియు పరోక్ష సాక్ష్యం ఉంది, దీని మొత్తం కూడా పిరమిడ్ యొక్క పైభాగానికి దారి తీస్తుంది. ఎప్పటిలాగే, ప్రత్యక్ష సాక్ష్యం కంటే చాలా ఎక్కువ పరోక్ష సాక్ష్యం ఉంది, అంటే వాటిని క్రమబద్ధీకరించడం మరియు విశ్లేషించడం అవసరం, అదనపు పరిశోధన తప్పనిసరిగా నిర్వహించబడాలి మరియు దీన్ని స్వయంచాలకంగా చేయడం మంచిది.

మోడల్ PARIS. మూలం

మోడల్ ఎగువ భాగం (1 మరియు 2) ఆటోమేషన్ టెక్నాలజీలు మరియు వివిధ విశ్లేషణలపై ఆధారపడి ఉంటుంది మరియు దిగువ భాగం (3 మరియు 4) ప్రక్రియను నిర్వహించే నిర్దిష్ట అర్హతలు కలిగిన వ్యక్తులపై ఆధారపడి ఉంటుంది. మీరు మోడల్ పై నుండి క్రిందికి కదులుతున్నట్లు పరిగణించవచ్చు, ఇక్కడ నీలం రంగు యొక్క ఎగువ భాగంలో అధిక విశ్వాసం మరియు నమ్మకంతో సంప్రదాయ భద్రతా సాధనాల (యాంటీవైరస్, EDR, ఫైర్‌వాల్, సంతకాలు) నుండి హెచ్చరికలు ఉన్నాయి మరియు దిగువ సూచికలు ఉన్నాయి ( IOC, URL, MD5 మరియు ఇతరులు), ఇవి తక్కువ స్థాయి నిశ్చయతను కలిగి ఉంటాయి మరియు అదనపు అధ్యయనం అవసరం. మరియు అత్యల్ప మరియు మందమైన స్థాయి (4) అనేది పరికల్పనల తరం, సంప్రదాయ రక్షణ మార్గాల ఆపరేషన్ కోసం కొత్త దృశ్యాలను సృష్టించడం. ఈ స్థాయి కేవలం పరికల్పనల యొక్క పేర్కొన్న మూలాలకు మాత్రమే పరిమితం కాదు. తక్కువ స్థాయి, విశ్లేషకుల అర్హతలపై ఎక్కువ అవసరాలు ఉంచబడతాయి.

విశ్లేషకులు ముందుగా నిర్ణయించిన పరికల్పనల యొక్క పరిమిత సెట్‌ను పరీక్షించడం చాలా ముఖ్యం, కానీ వాటిని పరీక్షించడానికి కొత్త పరికల్పనలు మరియు ఎంపికలను రూపొందించడానికి నిరంతరం పని చేస్తారు.

TH వినియోగ మెచ్యూరిటీ మోడల్

ఆదర్శవంతమైన ప్రపంచంలో, TH అనేది కొనసాగుతున్న ప్రక్రియ. కానీ, ఆదర్శవంతమైన ప్రపంచం లేనందున, విశ్లేషిద్దాం మెచ్యూరిటీ మోడల్ మరియు ఉపయోగించే వ్యక్తులు, ప్రక్రియలు మరియు సాంకేతికతల పరంగా పద్ధతులు. ఆదర్శవంతమైన గోళాకార TH యొక్క నమూనాను పరిశీలిద్దాం. ఈ సాంకేతికతను ఉపయోగించడంలో 5 స్థాయిలు ఉన్నాయి. ఒకే విశ్లేషకుల బృందం యొక్క పరిణామం యొక్క ఉదాహరణను ఉపయోగించి వాటిని చూద్దాం.

పరిపక్వత స్థాయిలు
ప్రజలు
ప్రక్రియలు
టెక్నాలజీ

0 స్థాయి
SOC విశ్లేషకులు
24/7
సాంప్రదాయ వాయిద్యాలు:

సంప్రదాయ
హెచ్చరికల సమితి
నిష్క్రియ పర్యవేక్షణ
IDS, AV, శాండ్‌బాక్సింగ్,

TH లేకుండా
హెచ్చరికలతో పని చేస్తోంది

సంతకం విశ్లేషణ సాధనాలు, థ్రెట్ ఇంటెలిజెన్స్ డేటా.

1 స్థాయి
SOC విశ్లేషకులు
వన్-టైమ్ TH
BDU

ప్రయోగాత్మకమైనది
ఫోరెన్సిక్స్ యొక్క ప్రాథమిక జ్ఞానం
IOC శోధన
నెట్‌వర్క్ పరికరాల నుండి డేటా యొక్క పాక్షిక కవరేజ్

THతో ప్రయోగాలు
నెట్‌వర్క్‌లు మరియు అప్లికేషన్‌లపై మంచి పరిజ్ఞానం

పాక్షిక అప్లికేషన్

2 స్థాయి
తాత్కాలిక వృత్తి
స్ప్రింట్లు
BDU

ఆవర్తన
ఫోరెన్సిక్స్ యొక్క సగటు జ్ఞానం
వారానికి నెల
పూర్తి అప్లికేషన్

తాత్కాలిక TH
నెట్‌వర్క్‌లు మరియు అప్లికేషన్‌ల గురించి అద్భుతమైన జ్ఞానం
రెగ్యులర్ TH
EDR డేటా వినియోగం యొక్క పూర్తి ఆటోమేషన్

అధునాతన EDR సామర్థ్యాల పాక్షిక వినియోగం

3 స్థాయి
అంకితమైన TH ఆదేశం
24/7
పరికల్పనలను పరీక్షించడానికి పాక్షిక సామర్థ్యం TH

నివారణ
ఫోరెన్సిక్స్ మరియు మాల్వేర్ యొక్క అద్భుతమైన జ్ఞానం
ప్రివెంటివ్ TH
అధునాతన EDR సామర్థ్యాల పూర్తి వినియోగం

ప్రత్యేక కేసులు TH
దాడి వైపు అద్భుతమైన జ్ఞానం
ప్రత్యేక కేసులు TH
నెట్‌వర్క్ పరికరాల నుండి డేటా యొక్క పూర్తి కవరేజ్

మీ అవసరాలకు అనుగుణంగా కాన్ఫిగరేషన్

4 స్థాయి
అంకితమైన TH ఆదేశం
24/7
TH పరికల్పనలను పరీక్షించే పూర్తి సామర్థ్యం

అగ్రగామి
ఫోరెన్సిక్స్ మరియు మాల్వేర్ యొక్క అద్భుతమైన జ్ఞానం
ప్రివెంటివ్ TH
స్థాయి 3, ప్లస్:

TH ఉపయోగించి
దాడి వైపు అద్భుతమైన జ్ఞానం
పరికల్పనల పరీక్ష, ఆటోమేషన్ మరియు ధృవీకరణ TH
డేటా మూలాల గట్టి ఏకీకరణ;

పరిశోధన సామర్థ్యం

అవసరాలకు అనుగుణంగా అభివృద్ధి మరియు API యొక్క ప్రామాణికం కాని ఉపయోగం.

వ్యక్తులు, ప్రక్రియలు మరియు సాంకేతికతల ద్వారా TH మెచ్యూరిటీ స్థాయిలు

స్థాయి 0: సాంప్రదాయ, TH ఉపయోగించకుండా. సాధారణ విశ్లేషకులు ప్రామాణిక సాధనాలు మరియు సాంకేతికతలను ఉపయోగించి నిష్క్రియ పర్యవేక్షణ మోడ్‌లో ప్రామాణిక హెచ్చరికల సెట్‌తో పని చేస్తారు: IDS, AV, శాండ్‌బాక్స్, సంతకం విశ్లేషణ సాధనాలు.

స్థాయి 1: ప్రయోగాత్మకంగా, TH ఉపయోగించి. ఫోరెన్సిక్స్ యొక్క ప్రాథమిక జ్ఞానం మరియు నెట్‌వర్క్‌లు మరియు అప్లికేషన్‌లపై మంచి పరిజ్ఞానం ఉన్న అదే విశ్లేషకులు రాజీ సూచికల కోసం శోధించడం ద్వారా వన్-టైమ్ థ్రెట్ హంటింగ్ చేయవచ్చు. నెట్‌వర్క్ పరికరాల నుండి డేటా యొక్క పాక్షిక కవరేజీతో సాధనాలకు EDRలు జోడించబడతాయి. ఉపకరణాలు పాక్షికంగా ఉపయోగించబడతాయి.

స్థాయి 2: ఆవర్తన, తాత్కాలిక TH. ఫోరెన్సిక్స్, నెట్‌వర్క్‌లు మరియు అప్లికేషన్ పార్ట్‌లో ఇప్పటికే తమ పరిజ్ఞానాన్ని అప్‌గ్రేడ్ చేసిన అదే విశ్లేషకులు, నెలకు ఒక వారం క్రమం తప్పకుండా థ్రెట్ హంటింగ్ (స్ప్రింట్)లో పాల్గొనవలసి ఉంటుంది. సాధనాలు నెట్‌వర్క్ పరికరాల నుండి డేటా యొక్క పూర్తి అన్వేషణ, EDR నుండి డేటా విశ్లేషణ యొక్క ఆటోమేషన్ మరియు అధునాతన EDR సామర్థ్యాలను పాక్షికంగా ఉపయోగించడాన్ని జోడిస్తాయి.

స్థాయి 3: నివారణ, TH యొక్క తరచుగా కేసులు. మా విశ్లేషకులు తమను తాము ఒక ప్రత్యేక బృందంగా ఏర్పాటు చేసుకున్నారు మరియు ఫోరెన్సిక్స్ మరియు మాల్వేర్‌ల గురించి అద్భుతమైన జ్ఞానంతో పాటు దాడి చేసే వైపు పద్ధతులు మరియు వ్యూహాల గురించి తెలుసుకోవడం ప్రారంభించారు. ప్రక్రియ ఇప్పటికే 24/7 నిర్వహించబడుతుంది. నెట్‌వర్క్ పరికరాల నుండి డేటా యొక్క పూర్తి కవరేజ్‌తో EDR యొక్క అధునాతన సామర్థ్యాలను పూర్తిగా ఉపయోగించుకుంటూ బృందం TH పరికల్పనలను పాక్షికంగా పరీక్షించగలదు. విశ్లేషకులు కూడా తమ అవసరాలకు అనుగుణంగా సాధనాలను కాన్ఫిగర్ చేయగలరు.

స్థాయి 4: అధిక-ముగింపు, TH ఉపయోగించండి. అదే బృందం పరిశోధించే సామర్థ్యాన్ని, TH పరికల్పనలను పరీక్షించే ప్రక్రియను ఉత్పత్తి చేసే మరియు ఆటోమేట్ చేయగల సామర్థ్యాన్ని పొందింది. ఇప్పుడు టూల్స్ డేటా మూలాల దగ్గరి ఏకీకరణ, అవసరాలను తీర్చడానికి సాఫ్ట్‌వేర్ డెవలప్‌మెంట్ మరియు APIల ప్రామాణికం కాని ఉపయోగం ద్వారా భర్తీ చేయబడ్డాయి.

థ్రెట్ హంటింగ్ టెక్నిక్స్

బేసిక్ థ్రెట్ హంటింగ్ టెక్నిక్స్

К సాంకేతిక నిపుణులు TH, ఉపయోగించిన సాంకేతిక పరిపక్వత క్రమంలో, ఇవి: ప్రాథమిక శోధన, గణాంక విశ్లేషణ, విజువలైజేషన్ పద్ధతులు, సాధారణ అగ్రిగేషన్‌లు, మెషిన్ లెర్నింగ్ మరియు బయేసియన్ పద్ధతులు.

సరళమైన పద్ధతి, ప్రాథమిక శోధన, నిర్దిష్ట ప్రశ్నలను ఉపయోగించి పరిశోధన యొక్క ప్రాంతాన్ని తగ్గించడానికి ఉపయోగించబడుతుంది. ఉదాహరణకు, స్టాటిస్టికల్ మోడల్ రూపంలో సాధారణ వినియోగదారు లేదా నెట్‌వర్క్ కార్యాచరణను రూపొందించడానికి గణాంక విశ్లేషణ ఉపయోగించబడుతుంది. గ్రాఫ్‌లు మరియు చార్ట్‌ల రూపంలో డేటా యొక్క విశ్లేషణను దృశ్యమానంగా ప్రదర్శించడానికి మరియు సరళీకృతం చేయడానికి విజువలైజేషన్ పద్ధతులు ఉపయోగించబడతాయి, ఇది నమూనాలోని నమూనాలను గుర్తించడం చాలా సులభం చేస్తుంది. శోధన మరియు విశ్లేషణను ఆప్టిమైజ్ చేయడానికి కీ ఫీల్డ్‌ల ద్వారా సాధారణ అగ్రిగేషన్‌ల సాంకేతికత ఉపయోగించబడుతుంది. సంస్థ యొక్క TH ప్రక్రియ ఎంత పరిణతి చెందితే, మెషిన్ లెర్నింగ్ అల్గారిథమ్‌ల ఉపయోగం అంత సందర్భోచితంగా మారుతుంది. స్పామ్‌ను ఫిల్టర్ చేయడంలో, హానికరమైన ట్రాఫిక్‌ను గుర్తించడంలో మరియు మోసపూరిత కార్యకలాపాలను గుర్తించడంలో కూడా ఇవి విస్తృతంగా ఉపయోగించబడుతున్నాయి. మెషీన్ లెర్నింగ్ అల్గోరిథం యొక్క మరింత అధునాతన రకం బయేసియన్ పద్ధతులు, ఇది వర్గీకరణ, నమూనా పరిమాణం తగ్గింపు మరియు టాపిక్ మోడలింగ్‌ను అనుమతిస్తుంది.

డైమండ్ మోడల్ మరియు TH వ్యూహాలు

సెర్గియో కాల్టగిరోన్, ఆండ్రూ పెండెగాస్ట్ మరియు క్రిస్టోఫర్ బెట్జ్ వారి పనిలో "చొరబాటు విశ్లేషణ యొక్క డైమండ్ మోడల్» ఏదైనా హానికరమైన కార్యకలాపం యొక్క ప్రధాన కీలక భాగాలు మరియు వాటి మధ్య ప్రాథమిక కనెక్షన్‌ను చూపుతుంది.

హానికరమైన కార్యాచరణ కోసం డైమండ్ మోడల్

ఈ నమూనా ప్రకారం, 4 థ్రెట్ హంటింగ్ స్ట్రాటజీలు ఉన్నాయి, ఇవి సంబంధిత కీలక భాగాలపై ఆధారపడి ఉంటాయి.

1. బాధితుల ఆధారిత వ్యూహం. బాధితుడికి ప్రత్యర్థులు ఉన్నారని మరియు వారు ఇమెయిల్ ద్వారా "అవకాశాలను" అందజేస్తారని మేము ఊహిస్తాము. మేము మెయిల్‌లో శత్రువు డేటా కోసం చూస్తున్నాము. లింక్‌లు, జోడింపులు మొదలైన వాటి కోసం శోధించండి. మేము ఈ పరికల్పన యొక్క నిర్ధారణ కోసం నిర్దిష్ట సమయం (ఒక నెల, రెండు వారాలు) కోసం చూస్తున్నాము; మేము దానిని కనుగొనలేకపోతే, అప్పుడు పరికల్పన పని చేయలేదు.

2. మౌలిక సదుపాయాల ఆధారిత వ్యూహం. ఈ వ్యూహాన్ని ఉపయోగించడానికి అనేక పద్ధతులు ఉన్నాయి. యాక్సెస్ మరియు దృశ్యమానత ఆధారంగా, కొన్ని ఇతరులకన్నా సులభంగా ఉంటాయి. ఉదాహరణకు, హానికరమైన డొమైన్‌లను హోస్ట్ చేయడానికి తెలిసిన డొమైన్ నేమ్ సర్వర్‌లను మేము పర్యవేక్షిస్తాము. లేదా మేము విరోధి ఉపయోగించే తెలిసిన నమూనా కోసం అన్ని కొత్త డొమైన్ పేరు నమోదులను పర్యవేక్షించే ప్రక్రియ ద్వారా వెళ్తాము.

3. సామర్థ్యం-ఆధారిత వ్యూహం. చాలా మంది నెట్‌వర్క్ డిఫెండర్‌లు ఉపయోగించే బాధితుల-కేంద్రీకృత వ్యూహంతో పాటు, అవకాశం-కేంద్రీకృత వ్యూహం కూడా ఉంది. ఇది రెండవ అత్యంత జనాదరణ పొందినది మరియు ప్రత్యర్థి నుండి సామర్థ్యాలను గుర్తించడంపై దృష్టి పెడుతుంది, అవి “మాల్వేర్” మరియు psexec, powershell, certutil మరియు ఇతర వంటి చట్టబద్ధమైన సాధనాలను ఉపయోగించే విరోధి సామర్థ్యం.

4. శత్రువు-ఆధారిత వ్యూహం. విరోధి-కేంద్రీకృత విధానం ప్రత్యర్థిపైనే దృష్టి పెడుతుంది. ఇందులో పబ్లిక్‌గా అందుబాటులో ఉన్న మూలాల (OSINT), శత్రువు గురించిన డేటా సేకరణ, అతని పద్ధతులు మరియు పద్ధతులు (TTP), మునుపటి సంఘటనల విశ్లేషణ, థ్రెట్ ఇంటెలిజెన్స్ డేటా మొదలైన వాటి నుండి బహిరంగ సమాచారాన్ని ఉపయోగించడం.

TH లో సమాచారం మరియు పరికల్పనల మూలాలు

థ్రెట్ హంటింగ్ కోసం కొన్ని సమాచార వనరులు

అనేక సమాచార వనరులు ఉండవచ్చు. ఆదర్శ విశ్లేషకుడు చుట్టూ ఉన్న ప్రతిదాని నుండి సమాచారాన్ని సేకరించగలగాలి. దాదాపు ఏదైనా ఇన్‌ఫ్రాస్ట్రక్చర్‌లోని సాధారణ మూలాలు భద్రతా సాధనాల నుండి డేటాగా ఉంటాయి: DLP, SIEM, IDS/IPS, WAF/FW, EDR. అలాగే, సాధారణ సమాచార వనరులు రాజీ, థ్రెట్ ఇంటెలిజెన్స్ సేవలు, CERT మరియు OSINT డేటా యొక్క వివిధ సూచికలుగా ఉంటాయి. అదనంగా, మీరు డార్క్‌నెట్ నుండి సమాచారాన్ని ఉపయోగించవచ్చు (ఉదాహరణకు, అకస్మాత్తుగా ఒక సంస్థ యొక్క అధిపతి యొక్క మెయిల్‌బాక్స్‌ని హ్యాక్ చేయమని ఆర్డర్ ఉంది, లేదా నెట్‌వర్క్ ఇంజనీర్ స్థానం కోసం అభ్యర్థి అతని కార్యాచరణకు బహిర్గతమయ్యారు), నుండి అందుకున్న సమాచారం HR (మునుపటి పని స్థలం నుండి అభ్యర్థి యొక్క సమీక్షలు), భద్రతా సేవ నుండి సమాచారం (ఉదాహరణకు, కౌంటర్పార్టీ యొక్క ధృవీకరణ ఫలితాలు).

కానీ అందుబాటులో ఉన్న అన్ని మూలాధారాలను ఉపయోగించే ముందు, కనీసం ఒక పరికల్పనను కలిగి ఉండటం అవసరం.

మూలం

పరికల్పనలను పరీక్షించడానికి, వాటిని ముందుగా ముందుకు తీసుకురావాలి. మరియు అనేక అధిక-నాణ్యత పరికల్పనలను ముందుకు తీసుకురావడానికి, క్రమబద్ధమైన విధానాన్ని వర్తింపజేయడం అవసరం. పరికల్పనలను రూపొందించే ప్రక్రియ మరింత వివరంగా వివరించబడింది వ్యాసం, పరికల్పనలను ముందుకు తెచ్చే ప్రక్రియకు ఈ పథకాన్ని ప్రాతిపదికగా తీసుకోవడం చాలా సౌకర్యవంతంగా ఉంటుంది.

పరికల్పనల యొక్క ప్రధాన మూలం ఉంటుంది ATT&CK మాతృక (విరోధి వ్యూహాలు, సాంకేతికతలు మరియు సాధారణ జ్ఞానం). ఇది సాధారణంగా కిల్ చైన్ అనే కాన్సెప్ట్‌ని ఉపయోగించి వర్ణించబడిన దాడి యొక్క చివరి దశలలో తమ కార్యకలాపాలను నిర్వహించే దాడి చేసేవారి ప్రవర్తనను అంచనా వేయడానికి సారాంశంలో ఒక నాలెడ్జ్ బేస్ మరియు మోడల్. అంటే, దాడి చేసే వ్యక్తి ఎంటర్‌ప్రైజ్ యొక్క అంతర్గత నెట్‌వర్క్‌లోకి లేదా మొబైల్ పరికరంలోకి ప్రవేశించిన తర్వాత దశల్లో. నాలెడ్జ్ బేస్ వాస్తవానికి దాడిలో ఉపయోగించే 121 వ్యూహాలు మరియు పద్ధతుల వివరణలను కలిగి ఉంది, వీటిలో ప్రతి ఒక్కటి వికీ ఆకృతిలో వివరంగా వివరించబడింది. వివిధ థ్రెట్ ఇంటెలిజెన్స్ విశ్లేషణలు పరికల్పనలను రూపొందించడానికి మూలంగా బాగా సరిపోతాయి. మౌలిక సదుపాయాల విశ్లేషణ మరియు చొచ్చుకుపోయే పరీక్షల ఫలితాలు ప్రత్యేకంగా గమనించదగినవి - ఇది ఒక నిర్దిష్ట అవస్థాపనపై దాని నిర్దిష్ట లోపాలతో ఆధారపడిన వాస్తవం కారణంగా మనకు ఇనుముతో కూడిన పరికల్పనలను అందించగల అత్యంత విలువైన డేటా.

పరికల్పన పరీక్ష ప్రక్రియ

సెర్గీ సోల్డాటోవ్ తీసుకువచ్చారు మంచి రేఖాచిత్రం ప్రక్రియ యొక్క వివరణాత్మక వర్ణనతో, ఇది ఒకే సిస్టమ్‌లో TH పరికల్పనలను పరీక్షించే ప్రక్రియను వివరిస్తుంది. నేను క్లుప్త వివరణతో ప్రధాన దశలను సూచిస్తాను.

మూలం

దశ 1: TI వ్యవసాయ క్షేత్రం

ఈ దశలో హైలైట్ చేయడం అవసరం వస్తువులు (అన్ని బెదిరింపు డేటాతో కలిపి వాటిని విశ్లేషించడం ద్వారా) మరియు వాటి లక్షణాల కోసం లేబుల్‌లను కేటాయించడం ద్వారా. అవి ఫైల్, URL, MD5, ప్రాసెస్, యుటిలిటీ, ఈవెంట్. థ్రెట్ ఇంటెలిజెన్స్ సిస్టమ్‌ల ద్వారా వాటిని పంపేటప్పుడు, ట్యాగ్‌లను జోడించడం అవసరం. అంటే, ఈ సైట్ అటువంటి మరియు అటువంటి సంవత్సరంలో CNCలో గుర్తించబడింది, ఈ MD5 అటువంటి మరియు అటువంటి మాల్వేర్‌తో అనుబంధించబడింది, ఈ MD5 మాల్వేర్‌ను పంపిణీ చేసే సైట్ నుండి డౌన్‌లోడ్ చేయబడింది.

దశ 2: కేసులు

రెండవ దశలో, మేము ఈ వస్తువుల మధ్య పరస్పర చర్యను పరిశీలిస్తాము మరియు ఈ అన్ని వస్తువుల మధ్య సంబంధాలను గుర్తిస్తాము. మేము చెడు చేసే వ్యవస్థలను గుర్తించాము.

దశ 3: విశ్లేషకుడు

మూడవ దశలో, కేసు విశ్లేషణలో విస్తృతమైన అనుభవం ఉన్న అనుభవజ్ఞుడైన విశ్లేషకుడికి బదిలీ చేయబడుతుంది మరియు అతను తీర్పు ఇస్తాడు. ఈ కోడ్ ఏమి చేస్తుంది, ఎక్కడ, ఎలా, ఎందుకు మరియు ఎందుకు చేస్తుందో అతను బైట్‌లకు అన్వయిస్తాడు. ఈ శరీరం మాల్వేర్, ఈ కంప్యూటర్ సోకింది. వస్తువుల మధ్య కనెక్షన్‌లను వెల్లడిస్తుంది, శాండ్‌బాక్స్ ద్వారా నడుస్తున్న ఫలితాలను తనిఖీ చేస్తుంది.

విశ్లేషకుడి పని ఫలితాలు మరింత ప్రసారం చేయబడతాయి. డిజిటల్ ఫోరెన్సిక్స్ చిత్రాలను పరిశీలిస్తుంది, మాల్వేర్ విశ్లేషణ కనుగొనబడిన "శరీరాలను" పరిశీలిస్తుంది మరియు సంఘటన ప్రతిస్పందన బృందం సైట్‌కి వెళ్లి ఇప్పటికే అక్కడ ఉన్నదాన్ని పరిశోధించవచ్చు. పని యొక్క ఫలితం ధృవీకరించబడిన పరికల్పన, గుర్తించబడిన దాడి మరియు దానిని ఎదుర్కోవడానికి మార్గాలు.

మూలం
 

ఫలితాలు

థ్రెట్ హంటింగ్ అనేది చాలా యువ సాంకేతికత, ఇది అనుకూలీకరించిన, కొత్త మరియు ప్రామాణికం కాని బెదిరింపులను సమర్థవంతంగా ఎదుర్కోగలదు, అటువంటి బెదిరింపుల సంఖ్య మరియు కార్పొరేట్ అవస్థాపన యొక్క పెరుగుతున్న సంక్లిష్టత కారణంగా ఇది గొప్ప అవకాశాలను కలిగి ఉంది. దీనికి మూడు భాగాలు అవసరం - డేటా, సాధనాలు మరియు విశ్లేషకులు. థ్రెట్ హంటింగ్ యొక్క ప్రయోజనాలు బెదిరింపుల అమలును నిరోధించడానికి మాత్రమే పరిమితం కాలేదు. శోధన ప్రక్రియలో మేము భద్రతా విశ్లేషకుల దృష్టిలో మా మౌలిక సదుపాయాలు మరియు దాని బలహీనమైన అంశాలలో మునిగిపోతాము మరియు ఈ అంశాలను మరింత బలోపేతం చేయగలమని మర్చిపోవద్దు.

మా అభిప్రాయం ప్రకారం, మీ సంస్థలో TH ప్రక్రియను ప్రారంభించడానికి మొదటి దశలు తీసుకోవాలి.

1. ఎండ్ పాయింట్స్ మరియు నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను రక్షించడంలో జాగ్రత్త వహించండి. మీ నెట్‌వర్క్‌లోని అన్ని ప్రక్రియల దృశ్యమానత (నెట్‌ఫ్లో) మరియు నియంత్రణ (ఫైర్‌వాల్, IDS, IPS, DLP) గురించి జాగ్రత్త వహించండి. ఎడ్జ్ రూటర్ నుండి చివరి హోస్ట్ వరకు మీ నెట్‌వర్క్‌ను తెలుసుకోండి.
2. అన్వేషించండి MITER ATT&CK.
3. కనీసం కీలకమైన బాహ్య వనరులను క్రమం తప్పకుండా నిర్వహించండి, దాని ఫలితాలను విశ్లేషించండి, దాడికి ప్రధాన లక్ష్యాలను గుర్తించండి మరియు వారి దుర్బలత్వాలను మూసివేయండి.
4. ఓపెన్ సోర్స్ థ్రెట్ ఇంటెలిజెన్స్ సిస్టమ్ (ఉదాహరణకు, MISP, Yeti)ని అమలు చేయండి మరియు దానితో కలిపి లాగ్‌లను విశ్లేషించండి.
5. ఇన్సిడెంట్ రెస్పాన్స్ ప్లాట్‌ఫారమ్ (IRP)ని అమలు చేయండి: R-విజన్ IRP, ది హైవ్, అనుమానాస్పద ఫైల్‌లను విశ్లేషించడానికి శాండ్‌బాక్స్ (FortiSandbox, Cuckoo).
6. సాధారణ ప్రక్రియలను ఆటోమేట్ చేయండి. లాగ్‌ల విశ్లేషణ, సంఘటనల రికార్డింగ్, సిబ్బందికి సమాచారం ఇవ్వడం ఆటోమేషన్‌కు భారీ క్షేత్రం.
7. ఇంజనీర్లు, డెవలపర్‌లు మరియు సంఘటనలపై సహకరించడానికి సాంకేతిక మద్దతుతో సమర్థవంతంగా పరస్పర చర్య చేయడం నేర్చుకోండి.
8. పూర్తి ప్రక్రియను డాక్యుమెంట్ చేయండి, కీలక అంశాలు, సాధించిన ఫలితాలను తర్వాత వాటిని తిరిగి పొందడం లేదా సహోద్యోగులతో ఈ డేటాను భాగస్వామ్యం చేయడం;
9. సామాజికంగా ఉండండి: మీ ఉద్యోగులతో ఏమి జరుగుతుందో, మీరు ఎవరిని నియమించుకుంటారు మరియు సంస్థ యొక్క సమాచార వనరులకు మీరు ఎవరికి యాక్సెస్ ఇస్తారు అనే విషయాల గురించి తెలుసుకోండి.
10. కొత్త బెదిరింపులు మరియు రక్షణ పద్ధతుల రంగంలో ట్రెండ్‌లను ఎప్పటికప్పుడు తెలుసుకుంటూ ఉండండి, మీ సాంకేతిక అక్షరాస్యత స్థాయిని (IT సేవలు మరియు సబ్‌సిస్టమ్‌ల నిర్వహణతో సహా) పెంచుకోండి, సమావేశాలకు హాజరుకాండి మరియు సహోద్యోగులతో కమ్యూనికేట్ చేయండి.

వ్యాఖ్యలలో TH ప్రక్రియ యొక్క సంస్థ గురించి చర్చించడానికి సిద్ధంగా ఉంది.

లేదా మాతో కలిసి పని చేయండి!

• లీడ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ కన్సల్టెంట్
• సమాచార భద్రత కోసం సిస్టమ్ ఆర్కిటెక్ట్
• లీడ్ నెట్‌వర్క్ సెక్యూరిటీ ఇంజనీర్
• లీడ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ ఇంజనీర్ (SIEM)
• ఇన్ఫర్మేషన్ సెక్యూరిటీ ఆర్కిటెక్ట్ (అప్లికేషన్)

అధ్యయనం చేయడానికి మూలాలు మరియు పదార్థాలు

• బెదిరించేవాడు.గురువు
• దాడి.mitre.org
• digital-forensics.sans.org
• resource.infosecinstitu.com
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• ప్రత్యుత్తరం-to-all.blogspot.com
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

మూలం: www.habr.com