95% таҳдидҳои амнияти иттилоотӣ маълуманд ва шумо метавонед худро аз онҳо бо истифода аз воситаҳои анъанавӣ, аз қабили антивирусҳо, деворҳо, IDS, WAF муҳофизат кунед. 5% боқимондаи таҳдидҳо номаълум ва хатарноктаринанд. Онҳо 70% хавфи ширкатро ташкил медиҳанд, зеро ошкор кардани онҳо хеле душвор аст, камтар аз онҳо муҳофизат мекунад. Мисолхо эпидемияи ransomware WannaCry, NotPetya/ExPetr, криптоминерҳо, "силоҳи киберӣ" Stuxnet (ки ба иншооти ҳастаии Эрон зарба мезанад) ва бисёре аз ҳамлаҳо (касеи дигар дар ёд дорад Kido/Conficker?) ҳастанд, ки аз онҳо бо чораҳои бехатарии классикӣ чандон хуб муҳофизат карда намешаванд. Мо мехоҳем дар бораи чӣ гуна мубориза бо ин 5% таҳдидҳо бо истифода аз технологияи Threat Hunting сӯҳбат кунем.
Эволютсияи пайвастаи ҳамлаҳои киберӣ ошкор ва чораҳои муқовимати доимиро талаб мекунад, ки дар ниҳоят моро водор мекунад, ки дар бораи мусобиқаи беохири силоҳ байни ҳамлагарон ва ҳимоятгарон фикр кунем. Системаҳои бехатарии классикӣ дигар наметавонанд сатҳи қобили қабули амниятро таъмин кунанд, ки дар он сатҳи хавф бе тағир додани онҳо барои инфрасохтори мушаххас ба нишондиҳандаҳои асосии ширкат (иқтисодӣ, сиёсӣ, обрӯ) таъсир намерасонад, аммо дар маҷмӯъ онҳо баъзе хавфҳо. Аллакай дар раванди татбиқ ва конфигуратсия, системаҳои муосири амниятӣ худро дар нақши пешқадам қарор медиҳанд ва бояд ба чолишҳои замони нав ҷавоб диҳанд.
Технологияи Threat Hunting метавонад яке аз ҷавобҳо ба мушкилоти замони мо барои мутахассиси амнияти иттилоотӣ бошад. Истилоҳи шикори таҳдид (минбаъд TH) чанд сол пеш пайдо шуда буд. Худи технология хеле ҷолиб аст, аммо то ҳол ягон стандарт ва қоидаҳои аз ҷониби умум қабулшуда надорад. Масъала инчунин бо гуногунрангии манбаъҳои иттилоотӣ ва шумораи ками манбаъҳои иттилоотии русзабон дар ин мавзӯъ печида аст. Дар робита ба ин, мо дар LANIT-Integration тасмим гирифтем, ки баррасии ин технологияро нависем.
Аҳамият диҳед
Технологияи TH ба равандҳои мониторинги инфрасохтор такя мекунад.. Огоҳӣ (монанд ба хидматҳои MSSP) як усули анъанавии ҷустуҷӯи имзоҳо ва аломатҳои ҳамлаҳои қаблан таҳияшуда ва посух додан ба онҳо мебошад. Ин сенария бомуваффақият тавассути воситаҳои анъанавии муҳофизати имзоҳо иҷро карда мешавад. Шикор (хидмати навъи MDR) як усули мониторингест, ки ба саволи "Имзоҳо ва қоидаҳо аз куҷо пайдо мешаванд?" Ин раванди эҷоди қоидаҳои коррелятсия тавассути таҳлили нишондиҳандаҳои пинҳон ё қаблан номаълум ва аломатҳои ҳамла мебошад. Шикори таҳдид ба ин намуди мониторинг ишора мекунад.
Танҳо бо якҷоя кардани ҳарду намуди мониторинг мо муҳофизатеро ба даст меорем, ки ба идеал наздик аст, аммо ҳамеша сатҳи муайяни хатари боқимонда вуҷуд дорад.
Муҳофизат бо истифода аз ду намуди мониторинг
Ва ин аст, ки чаро TH (ва шикор дар маҷмӯъ!) торафт бештар муҳимтар мешавад:
Таҳдидҳо, табобатҳо, хатарҳо.
. Ба инҳо намудҳо, аз қабили спам, DDoS, вирусҳо, руткитҳо ва дигар нармафзори зараровари классикӣ дохил мешаванд. Шумо метавонед худро аз ин таҳдидҳо бо истифода аз ҳамон чораҳои амниятии классикӣ муҳофизат кунед.
Дар рафти ичрои хар як лоиха, ва 20 фоизи боқимондаи кор 80 фоизи вақтро мегирад. Ба ҳамин монанд, дар тамоми манзараи таҳдидҳо, 5% таҳдидҳои нав 70% хатари ширкатро ташкил медиҳанд. Дар ширкате, ки дар он равандҳои идоракунии амнияти иттилоотӣ ташкил карда шудаанд, мо метавонем 30% хатари татбиқи таҳдидҳои маълумро бо ин ё он роҳ бо роҳи канорагирӣ (рад кардани шабакаҳои бесим), қабул (анҷоми чораҳои зарурии амниятӣ) ё ивазкунӣ идора кунем. (масалан, ба дӯши як интегратор) ин хатар. Худро аз, ҳамлаҳои APT, фишинг,, ҷосусии киберӣ ва амалиёти миллӣ, инчунин шумораи зиёди ҳамлаҳои дигар аллакай хеле мушкилтар аст. Оқибатҳои ин 5% таҳдидҳо хеле ҷиддӣ хоҳанд буд () нисбат ба оқибатҳои спам ё вирусҳо, ки нармафзори антивирус аз онҳо сарфа мекунад.
Қариб ҳама бояд бо 5% таҳдидҳо мубориза баранд. Ба наздикӣ мо маҷбур шудем, ки як ҳалли кушодаасосро насб кунем, ки замимаеро аз анбори PEAR (PHP Extension and Application Repository) истифода мебарад. Кӯшиши насби ин барнома тавассути насби нок ноком шуд, зеро дастнорас буд (ҳоло дар он ноустувор мавҷуд аст), ман бояд онро аз GitHub насб кунам. Ва ба наздикӣ маълум шуд, ки PEAR қурбонӣ шудааст.
Шумо ҳоло ҳам метавонед дар хотир доред, эпидемияи ransomware NePetya тавассути модули навсозӣ барои барномаи ҳисоботи андоз. Таҳдидҳо рӯз аз рӯз мураккабтар мешаванд ва саволи мантиқӣ ба миён меояд - «Чӣ тавр мо метавонем ба ин 5% таҳдидҳо муқобилат кунем?»
Таърифи шикори таҳдид
Ҳамин тавр, шикори таҳдид раванди ҷустуҷӯ ва кашфи таҳдидҳои пешқадам ва такрорӣ мебошад, ки бо асбобҳои анъанавии амниятӣ ошкор карда намешаванд. Таҳдидҳои пешрафта, масалан, ҳамлаҳо ба монанди APT, ҳамлаҳо ба осебпазирии 0-рӯза, Зиндагӣ дар замин ва ғайра.
Мо инчунин метавонем такрор кунем, ки TH раванди санҷиши гипотезаҳо мебошад. Ин як раванди асосан дастӣ бо унсурҳои автоматикунонӣ мебошад, ки дар он таҳлилгар бо такя ба дониш ва малакаи худ ҳаҷми зиёди иттилоотро дар ҷустуҷӯи аломатҳои созиш, ки ба фарзияи ибтидоӣ дар бораи мавҷудияти таҳдид мувофиқат мекунад, аз назар мегузаронад. Хусусияти фарқкунандаи он гуногун будани манбаъҳои иттилоотӣ мебошад.
Бояд қайд кард, ки Threat Hunting як навъ маҳсулоти нармафзор ё сахтафзор нест. Инҳо огоҳиҳое нестанд, ки дар баъзе ҳалли онҳо дидан мумкин аст. Ин раванди ҷустуҷӯи IOC (Identifiers of Compromise) нест. Ва ин як навъ фаъолияти ғайрифаъол нест, ки бидуни иштироки таҳлилгарони амнияти иттилоотӣ сурат мегирад. Шикори таҳдид пеш аз ҳама раванд аст.
Унсурҳои шикори таҳдид
Се ҷузъи асосии шикори таҳдид: маълумот, технология, одамон.
Маълумот (чӣ?), аз ҷумла Big Data. Ҳама намуди ҷараёнҳои трафик, маълумот дар бораи APT-ҳои қаблӣ, таҳлил, маълумот дар бораи фаъолияти корбар, маълумоти шабака, маълумот аз кормандон, маълумот дар бораи darknet ва ғайра.
Технологияҳо (чӣ тавр?) коркарди ин маълумот - ҳама роҳҳои имконпазири коркарди ин маълумот, аз ҷумла Machine Learning.
Одамон (ки?) - онҳое, ки дар таҳлили ҳамлаҳои гуногун таҷрибаи ғанӣ доранд, интуисия ва қобилияти ошкор кардани ҳамларо инкишоф медиҳанд. Одатан, инҳо таҳлилгарони амнияти иттилоотӣ мебошанд, ки бояд қобилияти тавлиди фарзияҳо ва дарёфти тасдиқи онҳоро дошта бошанд. Онхо звенои асосии процесс мебошанд.
Модели ПАРИЖ
Адам Бейтман Модели ПАРИЖ барои раванди идеалии TH. Ин ном ба як ёдгории машҳури Фаронса ишора мекунад. Ин моделро дар ду самт дидан мумкин аст - аз боло ва аз поён.
Вақте ки мо тавассути модел аз поён то боло кор мекунем, мо ба далелҳои зиёди фаъолияти бадқасдона дучор хоҳем шуд. Ҳар як далел дорои ченакест, ки эътимод номида мешавад - хусусияте, ки вазни ин далелҳоро инъикос мекунад. «Оҳан», далели бевоситаи фаъолияти зараровар вуҷуд дорад, ки мувофиқи он мо метавонем фавран ба болои пирамида расем ва дар бораи сирояти дақиқ огоҳӣ эҷод кунем. Ва далелҳои ғайримустақим вуҷуд доранд, ки ҷамъи онҳо низ метавонад моро ба қуллаи пирамида расонад. Мисли ҳамеша, далелҳои ғайримустақим нисбат ба далелҳои мустақим вуҷуд доранд, ки ин маънои онро дорад, ки онҳо бояд ҷудо карда шаванд ва таҳлил карда шаванд, таҳқиқоти иловагӣ гузаронида шаванд ва автоматикунонии ин ба мақсад мувофиқ аст.
Модели ПАРИЖ.
Қисми болоии модел (1 ва 2) ба технологияҳои автоматикунонӣ ва таҳлилҳои гуногун асос ёфтааст ва қисми поёнӣ (3 ва 4) ба одамони дорои тахассуси муайяне, ки равандро идора мекунанд, асос ёфтааст. Шумо метавонед модели аз боло ба поён ҳаракаткунандаро баррасӣ кунед, ки дар қисми болоии ранги кабуд мо огоҳиҳоро аз асбобҳои анъанавии амниятӣ (антивирус, EDR, девор, имзоҳо) бо дараҷаи баланди эътимод ва эътимод дорем ва дар зер нишондиҳандаҳо мавҷуданд ( IOC, URL, MD5 ва дигарон), ки дараҷаи эътимоднокии камтар доранд ва омӯзиши иловагиро талаб мекунанд. Дараҷаи пасттарин ва ғафстарин (4) тавлиди фарзияҳо, эҷоди сенарияҳои нави кори воситаҳои суннатии муҳофизат мебошад. Ин сатҳ на танҳо бо сарчашмаҳои зикршудаи гипотеза маҳдуд аст. Ҳар қадаре ки сатҳ паст бошад, ба тахассуси таҳлилгар ҳамон қадар талабот зиёд мешавад.
Хеле муҳим аст, ки таҳлилгарон на танҳо маҷмӯи ниҳоии гипотезаҳои пешакӣ муайяншударо санҷида, балки пайваста барои тавлиди фарзияҳои нав ва вариантҳои санҷиши онҳо кор мекунанд.
Модели камолоти истифодаи TH
Дар ҷаҳони идеалӣ TH раванди давомдор аст. Аммо, азбаски ҷаҳони идеалӣ вуҷуд надорад, биёед таҳлил кунем ва усулҳо аз нуқтаи назари одамон, равандҳо ва технологияҳои истифодашуда. Биёед модели TH сферикии идеалиро дида бароем. 5 сатҳи истифодаи ин технология вуҷуд дорад. Биёед онҳоро бо мисоли эволютсияи як гурӯҳи таҳлилгарон дида бароем.
Сатҳи камолот
мардум
Тарафҳо
технология
Сатҳи 0
Таҳлилгарони SOC
24/7
Асбобҳои анъанавӣ:
Анъанавӣ
Маҷмӯи огоҳиҳо
Мониторинги ғайрифаъол
IDS, AV, Sandboxing,
Бе TH
Кор бо огоҳиҳо
Воситаҳои таҳлили имзоҳо, маълумотҳои таҳдидҳо.
Сатҳи 1
Таҳлилгарони SOC
Як маротиба TH
ЭДР
Таҷрибавӣ
Маълумоти ибтидоии экспертизаи криминалистӣ
Ҷустуҷӯи IOC
Қисман фарогирии маълумот аз дастгоҳҳои шабакавӣ
Таҷрибаҳо бо TH
Дониши хуби шабакаҳо ва барномаҳо
Ариза қисман
Сатҳи 2
Шуғли муваққатӣ
Спринтҳо
ЭДР
Давраӣ
Дониши миёнаи криминалистӣ
Ҳафта ба моҳ
Аризаи пурра
TH муваққатӣ
Дониши аълои шабакаҳо ва барномаҳо
TH муқаррарӣ
Автоматикунонии пурраи истифодаи маълумоти EDR
Қисман истифода бурдани қобилиятҳои пешрафтаи EDR
Сатҳи 3
Фармони TH бахшидашуда
24/7
Қобилияти қисман санҷиши гипотезаҳои TH
Пешгирикунанда
Дониши олии криминалистӣ ва нармафзори зараровар
Пешгирии TH
Истифодаи пурраи имкониятҳои пешрафтаи EDR
Ҳолатҳои махсус TH
Дониши аълои тарафи ҳамлакунанда
Ҳолатҳои махсус TH
Фарогирии пурраи маълумот аз дастгоҳҳои шабакавӣ
Конфигуратсия барои мувофиқ кардани ниёзҳои шумо
Сатҳи 4
Фармони TH бахшидашуда
24/7
Қобилияти пурраи санҷиши гипотезаҳои TH
Пешбаранда
Дониши олии криминалистӣ ва нармафзори зараровар
Пешгирии TH
Сатҳи 3, плюс:
Истифодаи TH
Дониши аълои тарафи ҳамлакунанда
Санҷиш, автоматизатсия ва тафтиши гипотезаҳо TH
ҳамгироии қатъии манбаъҳои маълумот;
Қобилияти тадқиқотӣ
таҳияи мувофиқи ниёзҳо ва истифодаи ғайристандартии API.
Сатҳи камолоти TH аз рӯи одамон, равандҳо ва технологияҳо
Сатҳи 0: анъанавӣ, бе истифодаи TH. Таҳлилгарони муқаррарӣ бо маҷмӯи стандартии огоҳиҳо дар ҳолати мониторинги ғайрифаъол бо истифода аз асбобҳо ва технологияҳои стандартӣ кор мекунанд: IDS, AV, қуттии қум, абзорҳои таҳлили имзо.
Сатҳи 1: таҷрибавӣ, бо истифода аз TH. Ҳамон таҳлилгароне, ки дониши ибтидоии криминалистӣ ва дониши хуби шабакаҳо ва барномаҳоро доранд, метавонанд тавассути ҷустуҷӯи нишондиҳандаҳои созиш як маротиба шикори таҳдидро анҷом диҳанд. EDRҳо ба асбобҳо бо қисман фарогирии маълумот аз дастгоҳҳои шабакавӣ илова карда мешаванд. Воситахо кисман истифода мешаванд.
Сатҳи 2: давравӣ, муваққатӣ TH. Аз ҳамон таҳлилгароне, ки аллакай дониши худро дар соҳаи криминалистӣ, шабакаҳо ва қисми барнома такмил додаанд, талаб карда мешавад, ки мунтазам бо шикори таҳдид (спринт) машғул шаванд, мегӯянд, ҳафтае дар як моҳ. Воситаҳо таҳқиқи пурраи маълумотро аз дастгоҳҳои шабакавӣ, автоматикунонии таҳлили додаҳо аз EDR ва қисман истифодаи қобилиятҳои пешрафтаи EDR илова мекунанд.
Сатҳи 3: ҳолатҳои пешгирикунанда, зуд-зуд TH. Таҳлилгарони мо худро ба як гурӯҳи бахшидашуда ташкил карданд ва дониши хуби криминалистӣ ва нармафзори зараровар, инчунин дониши усулҳо ва тактикаи ҷониби ҳамларо оғоз карданд. Раванд аллакай 24/7 гузаронида мешавад. Даста қодир аст, ки гипотезаҳои TH-ро қисман санҷида, дар баробари пурра истифода бурдани қобилиятҳои пешрафтаи EDR бо фарогирии пурраи маълумот аз дастгоҳҳои шабакавӣ. Таҳлилгарон инчунин метавонанд асбобҳоро мувофиқи ниёзҳои худ танзим кунанд.
Сатҳи 4: баланд-охири, истифода TH. Ҳамин даста қобилияти тадқиқот, қобилияти тавлид ва автоматикунонии раванди санҷиши гипотезаҳои TH-ро ба даст овард. Ҳоло ин воситаҳо бо ҳамгироии зичи манбаъҳои додаҳо, таҳияи нармафзор барои қонеъ кардани ниёзҳо ва истифодаи ғайристандартии APIҳо пурра карда шуданд.
Усулҳои шикори таҳдид
Усулҳои асосии шикори таҳдид
К TH аз рӯи камолоти технологияҳои истифодашуда инҳоянд: ҷустуҷӯи асосӣ, таҳлили оморӣ, усулҳои визуализатсия, агрегатҳои оддӣ, омӯзиши мошинсозӣ ва усулҳои Bayesian.
Усули соддатарин, ҷустуҷӯи асосӣ, барои танг кардани майдони тадқиқот бо истифода аз дархостҳои мушаххас истифода мешавад. Таҳлили оморӣ, масалан, барои сохтани фаъолияти маъмулии корбар ё шабака дар шакли модели оморӣ истифода мешавад. Усулҳои визуалӣ барои ба таври визуалӣ намоиш додан ва содда кардани таҳлили маълумот дар шакли графикҳо ва диаграммаҳо истифода мешаванд, ки фаҳмидани намунаҳоро дар намуна хеле осон мекунанд. Барои оптимизатсияи ҷустуҷӯ ва таҳлил техникаи ҷамъкунии оддии соҳаҳои асосӣ истифода мешавад. Чӣ қадаре ки раванди TH-и созмон баркамолтар шавад, истифодаи алгоритмҳои омӯзиши мошинҳо ҳамон қадар мувофиқтар мешавад. Онҳо инчунин дар филтр кардани спам, ошкор кардани трафики зараровар ва ошкор кардани фаъолиятҳои қаллобӣ васеъ истифода мешаванд. Навъи пешрафтаи алгоритми омӯзиши мошинсозӣ усулҳои Байесӣ мебошад, ки барои тасниф, кам кардани андозаи намуна ва моделсозии мавзӯъ имкон медиҳанд.
Модели алмос ва стратегияҳои TH
Серхио Калтагирон, Эндрю Пендегаст ва Кристофер Бетз дар кори худ "» ҷузъҳои асосии ҳама гуна амалиёти зараровар ва робитаи асосии байни онҳоро нишон дод.
Модели алмос барои фаъолияти зараровар
Тибқи ин модел, 4 стратегияи шикори таҳдид мавҷуд аст, ки ба ҷузъҳои асосии мувофиқ асос ёфтаанд.
1. Стратегияи ба ҷабрдида нигаронидашуда. Мо тахмин мезанем, ки ҷабрдида рақибон дорад ва онҳо тавассути почтаи электронӣ "имкониятҳо" медиҳанд. Мо дар почта маълумоти душманро меҷӯем. Ҷустуҷӯи истинодҳо, замимаҳо ва ғайра. Мо дар ҷустуҷӯи тасдиқи ин гипотеза дар муддати муайян (як моҳ, ду ҳафта) ҳастем, агар мо онро наёбем, пас гипотеза кор намекунад.
2. Стратегияи ба инфрасохтор нигаронидашуда. Якчанд усулҳои истифодаи ин стратегия вуҷуд доранд. Вобаста аз дастрасӣ ва намоён, баъзеҳо нисбат ба дигарон осонтаранд. Масалан, мо серверҳои номи доменҳоро назорат мекунем, ки доменҳои зарароварро доранд. Ё мо раванди мониторинги ҳама сабти номи доменҳои навро барои намунаи маълуме, ки рақиб истифода мебарад, мегузарем.
3. Стратегияи ба қобилият асосёфта. Илова ба стратегияи ба ҷабрдида нигаронидашуда, ки аксари муҳофизони шабака истифода мебаранд, стратегияи ба имконият нигаронидашуда мавҷуд аст. Он дуввумин маъмултарин аст ва ба ошкор кардани қобилиятҳои рақиб, яъне "зараровар" ва қобилияти рақиб барои истифодаи абзорҳои қонунӣ ба монанди psexec, powershell, certutil ва ғайра тамаркуз мекунад.
4. Стратегияи ба душман нигаронидашуда. Муносибати рақиб марказонидашуда ба худи рақиб тамаркуз мекунад. Ин истифодаи иттилооти кушод аз манбаъҳои дастрас (OSINT), ҷамъоварии маълумот дар бораи душман, усулҳо ва усулҳои ӯ (TTP), таҳлили ҳодисаҳои қаблӣ, маълумотҳои таҳдидҳо ва ғайраро дар бар мегирад.
Сарчашмаҳои иттилоот ва фарзияҳо дар TH
Баъзе манбаъҳои иттилоот барои шикори таҳдид
Манбаъҳои зиёди иттилоот метавонанд вуҷуд дошта бошанд. Таҳлилгари идеалӣ бояд қодир бошад, ки аз ҳама чизе, ки дар атроф аст, маълумот гирад. Сарчашмаҳои маъмулӣ дар ҳама гуна инфрасохтор маълумот аз абзорҳои амниятӣ хоҳанд буд: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Инчунин, сарчашмаҳои маъмулии иттилоот нишондиҳандаҳои гуногуни созиш, хадамоти иктишофии таҳдидҳо, маълумоти CERT ва OSINT хоҳанд буд. Илова бар ин, шумо метавонед маълумотро аз торник истифода баред (масалан, ногаҳон фармони шикастани паёмдони роҳбари созмон пайдо мешавад ё номзад ба вазифаи муҳандиси шабака барои фаъолияташ фош шудааст), маълумоте, ки аз HR (баррасии номзад аз ҷои кори қаблӣ), маълумот аз хадамоти амният (масалан, натиҷаҳои санҷиши контрагент).
Аммо пеш аз истифодаи тамоми манбаъҳои мавҷуда, ақаллан як фарзия доштан лозим аст.
Барои санҷидани гипотезаҳо, онҳо бояд пеш аз ҳама пешниҳод карда шаванд. Ва барои ба миён гузоштани бисьёр фарзияхои баландсифат, муносибати систематикиро ба кор бурдан лозим аст. Раванди тавлиди гипотезаҳо дар муфассалтар тасвир шудааст, барои процесси ба миён гузоштани гипотезахо ин схемаро асос гирифтан хеле кулай аст.
Манбаи асосии гипотезаҳо хоҳад буд Матритсаи ATT&CK (Тактика, техника ва дониши умумӣ). Ин аслан як пойгоҳи дониш ва модели арзёбии рафтори ҳамлагарон, ки фаъолияти худро дар қадамҳои охирини ҳамла анҷом медиҳанд, одатан бо истифода аз мафҳуми Kill Chain тавсиф карда мешавад. Яъне, дар марҳилаҳои пас аз ворид шудани ҳамла ба шабакаи дохилии корхона ё ба дастгоҳи мобилӣ. Пойгоҳи дониш дар аввал тавсифи 121 тактика ва усулҳои дар ҳамла истифодашударо дар бар мегирифт, ки ҳар яки онҳо дар формати Wiki муфассал тавсиф шудаанд. Таҳлилҳои гуногуни таҳдидҳо ҳамчун манбаи тавлиди гипотезаҳо мувофиқанд. Натиҷаҳои таҳлили инфрасохтор ва санҷишҳои воридшавиро махсусан қайд кардан лозим аст - ин маълумоти пурарзишест, ки метавонад ба мо гипотезаҳои оҳанинро диҳад, зеро онҳо ба инфрасохтори мушаххас бо камбудиҳои мушаххас асос ёфтаанд.
Раванди санҷиши гипотеза
Сергей Солдатов овард бо тавсифи муфассали раванд, он раванди санҷиши гипотезаҳои TH-ро дар як системаи ягона нишон медиҳад. Ман марҳилаҳои асосиро бо тавсифи мухтасар нишон медиҳам.
Марҳилаи 1: Фермаи TI
Дар ин марҳила бояд таъкид кард объектҳо (тавассути таҳлили онҳо дар якҷоягӣ бо тамоми маълумоти таҳдид) ва таъин кардани тамғакоғазҳо барои хусусиятҳои онҳо. Инҳо файл, URL, MD5, раванд, утилита, ҳодиса мебошанд. Ҳангоми интиқоли онҳо аз системаҳои Threat Intelligence, бояд барчаспҳоро замима кард. Яъне, ин сайт дар CNC фалон сол мушоҳида шуд, ин MD5 бо фалон нармафзори зараровар алоқаманд буд, ин MD5 аз сайте, ки нармафзори зарароварро паҳн мекард, бор карда шудааст.
Марҳилаи 2: Ҳодисаҳо
Дар марҳилаи дуюм мо таъсири мутақобилаи ин объектҳоро дида мебароем ва муносибатҳои байни ҳамаи ин объектҳоро муайян мекунем. Мо системаҳои қайдшударо мегирем, ки кори бад мекунанд.
Марҳилаи 3: Таҳлилгар
Дар марњилаи сеюм парванда ба тањлилгари ботаљриба, ки таљрибаи калони тањлил дорад, месупорад ва ў њукм мебарорад. Вай то байтҳо таҳлил мекунад, ки ин код чӣ кор мекунад, дар куҷо, чӣ гуна, чаро ва чаро. Ин бадан нармафзори зараровар буд, ин компютер сироят ёфтааст. Пайвастҳои байни объектҳоро ошкор мекунад, натиҷаҳои гузаришро тавассути қуттии қум тафтиш мекунад.
Натиҷаҳои кори таҳлилгар минбаъд интиқол дода мешаванд. Криминалистии рақамӣ тасвирҳоро тафтиш мекунад, Таҳлили нармафзори зараровар "ҷасадҳо" -и ёфтшударо меомӯзад ва гурӯҳи вокуниш ба ҳодиса метавонад ба сайт биравад ва чизеро, ки дар он ҷо мавҷуд аст, тафтиш кунад. Натиҷаи кор гипотезаи тасдиқшуда, ҳамлаи муайяншуда ва роҳҳои мубориза бо он хоҳад буд.
Натиҷаҳо
Threat Hunting як технологияи хеле ҷавон аст, ки метавонад ба таҳдидҳои фармоишӣ, нав ва ғайристандартӣ ба таври муассир муқобилат кунад, ки бо назардошти шумораи афзояндаи чунин таҳдидҳо ва мураккабии афзояндаи инфрасохтори корпоративӣ дурнамои бузург дорад. Он се ҷузъро талаб мекунад - маълумот, асбобҳо ва таҳлилгарон. Манфиатҳои шикори таҳдид танҳо бо пешгирии амалисозии таҳдидҳо маҳдуд нестанд. Фаромӯш накунед, ки дар ҷараёни ҷустуҷӯ мо бо чашми таҳлилгари амният ба зерсохтори худ ва нуқоти заъфи он ғарқ мешавем ва метавонем ин нуқтаҳоро боз ҳам тақвият бахшем.
Қадамҳои аввалине, ки ба андешаи мо, барои оғози раванди TH дар ташкилоти шумо бояд андешида шаванд.
- Дар бораи ҳифзи нуқтаҳои ниҳоӣ ва инфрасохтори шабака ғамхорӣ кунед. Дар бораи аёнӣ (NetFlow) ва назорат (файерволл, IDS, IPS, DLP) тамоми равандҳои шабакаи худ ғамхорӣ кунед. Шабакаи худро аз роутери канор то ҳости охирин бидонед.
- Омӯхтан.
- Ҳадди ақалл аз захираҳои асосии беруна мунтазам санҷиш гузаронед, натиҷаҳои онро таҳлил кунед, ҳадафҳои асосии ҳамларо муайян кунед ва осебпазирии онҳоро маҳкам кунед.
- Татбиқи системаи кушодаасос Threat Intelligence (масалан, MISP, Yeti) ва дар якҷоягӣ бо он гузоришҳоро таҳлил кунед.
- Татбиқи платформаи вокуниш ба ҳодисаҳо (IRP): R-Vision IRP, The Hive, қуттии рег барои таҳлили файлҳои шубҳанок (FortiSandbox, Cuckoo).
- Автоматикунонии равандҳои муқаррарӣ. Тахлили журналхо, ба кайд гирифтани ходисахо, ба кадрхо хабар додан сохаи азими автоматизация мебошад.
- Муносибати муассир бо муҳандисон, таҳиягарон ва дастгирии техникӣ барои ҳамкорӣ дар ҳодисаҳоро омӯзед.
- Тамоми раванд, нуктаҳои асосӣ, натиҷаҳои бадастомадаро ҳуҷҷатгузорӣ кунед, то баъдтар ба онҳо баргардед ё ин маълумотро бо ҳамкорон мубодила кунед;
- Иҷтимоӣ бошед: Аз он огоҳ бошед, ки бо кормандони худ чӣ рӯй дода истодааст, киро киро мекунед ва ба кӣ дастрасӣ ба захираҳои иттилоотии созмон медиҳед.
- Аз тамоюлҳо дар соҳаи таҳдидҳои нав ва усулҳои муҳофизат огоҳ шавед, сатҳи саводнокии техникии худро баланд бардоред (аз ҷумла дар кори хидматҳои ТИ ва зерсистемаҳо), дар конфронсҳо иштирок кунед ва бо ҳамкорон муошират кунед.
Омодагӣ ба муҳокимаи ташкили раванди TH дар шарҳҳо.
Ё биёед бо мо кор кунед!
Сарчашмаҳо ва маводҳо барои омӯзиш
Манбаъ: will.com