95% ng mga banta sa seguridad ng impormasyon ay kilala, at maaari mong protektahan ang iyong sarili mula sa mga ito gamit ang mga tradisyonal na paraan tulad ng mga antivirus, firewall, IDS, WAF. Ang natitirang 5% ng mga banta ay hindi alam at ang pinaka-mapanganib. Binubuo nila ang 70% ng panganib para sa isang kumpanya dahil sa ang katunayan na ito ay napakahirap na tuklasin ang mga ito, mas mababa ang proteksyon laban sa kanila. Mga halimbawa ay ang WannaCry ransomware epidemic, NotPetya/ExPetr, cryptominers, ang "cyber weapon" na Stuxnet (na tumama sa mga pasilidad ng nuklear ng Iran) at marami (may nakakaalala pa bang Kido/Conficker?) iba pang mga pag-atake na hindi masyadong napagtatanggol laban sa mga klasikal na hakbang sa seguridad. Gusto naming pag-usapan kung paano haharapin ang 5% ng mga banta na ito gamit ang teknolohiyang Threat Hunting.
Ang patuloy na ebolusyon ng mga pag-atake sa cyber ay nangangailangan ng patuloy na pagtuklas at pag-iwas, na sa huli ay humahantong sa atin na isipin ang isang walang katapusang pakikipaglaban sa armas sa pagitan ng mga umaatake at tagapagtanggol. Ang mga klasikong sistema ng seguridad ay hindi na makakapagbigay ng isang katanggap-tanggap na antas ng seguridad, kung saan ang antas ng panganib ay hindi nakakaapekto sa mga pangunahing tagapagpahiwatig ng kumpanya (pang-ekonomiya, pampulitika, reputasyon) nang hindi binabago ang mga ito para sa isang partikular na imprastraktura, ngunit sa pangkalahatan ay sinasaklaw nila ang ilan sa ang mga panganib. Nasa proseso na ng pagpapatupad at pagsasaayos, nakikita ng mga modernong sistema ng seguridad ang kanilang mga sarili sa papel ng paghabol at dapat tumugon sa mga hamon ng bagong panahon.
Ang teknolohiya ng Threat Hunting ay maaaring isa sa mga sagot sa mga hamon ng ating panahon para sa isang espesyalista sa seguridad ng impormasyon. Ang terminong Threat Hunting (simula dito ay tinutukoy bilang TH) ay lumitaw ilang taon na ang nakararaan. Ang teknolohiya mismo ay medyo kawili-wili, ngunit wala pang karaniwang tinatanggap na mga pamantayan at panuntunan. Ang bagay ay kumplikado din sa pagkakaiba-iba ng mga mapagkukunan ng impormasyon at ang maliit na bilang ng mga mapagkukunan ng impormasyon sa wikang Ruso sa paksang ito. Kaugnay nito, kami sa LANIT-Integration ay nagpasya na magsulat ng pagsusuri sa teknolohiyang ito.
Kaugnayan
Ang teknolohiya ng TH ay umaasa sa mga proseso ng pagsubaybay sa imprastraktura.. Ang pag-alerto (katulad ng mga serbisyo ng MSSP) ay isang tradisyunal na paraan ng paghahanap para sa mga dati nang nabuong lagda at mga senyales ng pag-atake at pagtugon sa mga ito. Ang sitwasyong ito ay matagumpay na naisagawa ng tradisyonal na mga tool sa proteksyon na nakabatay sa lagda. Ang pangangaso (MDR type service) ay isang paraan ng pagsubaybay na sumasagot sa tanong na "Saan nanggagaling ang mga lagda at panuntunan?" Ito ay ang proseso ng paglikha ng mga alituntunin ng ugnayan sa pamamagitan ng pagsusuri sa mga nakatago o dati nang hindi kilalang mga tagapagpahiwatig at mga palatandaan ng isang pag-atake. Ang Threat Hunting ay tumutukoy sa ganitong uri ng pagsubaybay.
Sa pamamagitan lamang ng pagsasama-sama ng parehong uri ng pagsubaybay nakakakuha tayo ng proteksyon na malapit sa perpekto, ngunit palaging may tiyak na antas ng natitirang panganib.
Proteksyon gamit ang dalawang uri ng pagsubaybay
At narito kung bakit ang TH (at ang pangangaso sa kabuuan nito!) ay magiging mas may kaugnayan:
Mga banta, remedyo, panganib.
. Kabilang dito ang mga uri gaya ng spam, DDoS, mga virus, rootkit at iba pang klasikong malware. Maaari mong protektahan ang iyong sarili mula sa mga banta na ito gamit ang parehong mga klasikong hakbang sa seguridad.
Sa panahon ng pagpapatupad ng anumang proyekto, at ang natitirang 20% ββββng trabaho ay tumatagal ng 80% ng oras. Gayundin, sa buong tanawin ng pagbabanta, 5% ng mga bagong banta ang magiging dahilan ng 70% ng panganib sa isang kumpanya. Sa isang kumpanya kung saan nakaayos ang mga proseso ng pamamahala sa seguridad ng impormasyon, maaari naming pamahalaan ang 30% ng panganib ng pagpapatupad ng mga kilalang banta sa isang paraan o iba pa sa pamamagitan ng pag-iwas (sa prinsipyo ng pagtanggi sa mga wireless network), pagtanggap (pagpapatupad ng mga kinakailangang hakbang sa seguridad) o paglipat (halimbawa, sa mga balikat ng isang integrator) ang panganib na ito. Protektahan ang iyong sarili mula sa, pag-atake ng APT, phishing,, cyber espionage at pambansang operasyon, pati na rin ang maraming iba pang mga pag-atake ay mas mahirap. Ang mga kahihinatnan ng 5% ng mga banta na ito ay magiging mas seryoso () kaysa sa mga kahihinatnan ng spam o mga virus, kung saan nagse-save ang antivirus software.
Halos lahat ay kailangang harapin ang 5% ng mga banta. Kinailangan naming mag-install kamakailan ng isang open-source na solusyon na gumagamit ng isang application mula sa PEAR (PHP Extension and Application Repository) repository. Nabigo ang pagtatangkang i-install ang application na ito sa pamamagitan ng pear install dahil ay hindi magagamit (ngayon ay may stub dito), kailangan kong i-install ito mula sa GitHub. At kamakailan lang ay naging biktima si PEAR.
Maaalala mo pa, isang epidemya ng NePetya ransomware sa pamamagitan ng isang update module para sa isang programa sa pag-uulat ng buwis. Ang mga banta ay nagiging mas sopistikado, at ang lohikal na tanong ay lumitaw - "Paano natin masusugpo ang 5% ng mga banta na ito?"
Kahulugan ng Pagbabanta sa Pangangaso
Kaya, ang Threat Hunting ay ang proseso ng maagap at umuulit na paghahanap at pagtuklas ng mga advanced na banta na hindi matukoy ng mga tradisyunal na tool sa seguridad. Kabilang sa mga advanced na banta, halimbawa, ang mga pag-atake gaya ng APT, mga pag-atake sa 0-araw na mga kahinaan, Living off the Land, at iba pa.
Maaari din nating muling sabihin na ang TH ay ang proseso ng pagsubok ng mga hypotheses. Ito ay isang nakararami na manu-manong proseso na may mga elemento ng automation, kung saan ang analyst, na umaasa sa kanyang kaalaman at kasanayan, ay nagsasala sa malalaking dami ng impormasyon sa paghahanap ng mga palatandaan ng kompromiso na tumutugma sa paunang natukoy na hypothesis tungkol sa pagkakaroon ng isang tiyak na banta. Ang natatanging tampok nito ay ang iba't ibang mga mapagkukunan ng impormasyon.
Dapat tandaan na ang Threat Hunting ay hindi isang uri ng software o hardware na produkto. Ang mga ito ay hindi mga alerto na makikita sa ilang solusyon. Ito ay hindi isang proseso ng paghahanap ng IOC (Identifiers of Compromise). At hindi ito isang uri ng passive na aktibidad na nangyayari nang walang pakikilahok ng mga analyst ng seguridad ng impormasyon. Ang Threat Hunting ay una at pangunahin sa isang proseso.
Mga Bahagi ng Threat Hunting
Tatlong pangunahing bahagi ng Threat Hunting: data, teknolohiya, tao.
Data (ano?), kabilang ang Big Data. Lahat ng uri ng daloy ng trapiko, impormasyon tungkol sa mga nakaraang APT, analytics, data sa aktibidad ng user, network data, impormasyon mula sa mga empleyado, impormasyon sa darknet at marami pang iba.
Teknolohiya (paano?) pagpoproseso ng data na ito - lahat ng posibleng paraan ng pagproseso ng data na ito, kabilang ang Machine Learning.
Mga tao (sino?) β ang mga may malawak na karanasan sa pagsusuri ng iba't ibang mga pag-atake, nabuo ang intuwisyon at ang kakayahang makakita ng pag-atake. Kadalasan ito ay mga analyst ng seguridad ng impormasyon na dapat magkaroon ng kakayahang bumuo ng mga hypotheses at makahanap ng kumpirmasyon para sa kanila. Sila ang pangunahing link sa proseso.
Modelong PARIS
Adam Bateman PARIS na modelo para sa perpektong proseso ng TH. Ang pangalan ay tumutukoy sa isang sikat na landmark sa France. Ang modelong ito ay maaaring matingnan sa dalawang direksyon - mula sa itaas at mula sa ibaba.
Habang ginagawa namin ang aming paraan sa pamamagitan ng modelo mula sa ibaba pataas, makakatagpo kami ng maraming ebidensya ng malisyosong aktibidad. Ang bawat piraso ng ebidensya ay may sukat na tinatawag na kumpiyansa - isang katangian na sumasalamin sa bigat ng ebidensyang ito. Mayroong "bakal", direktang katibayan ng malisyosong aktibidad, ayon sa kung saan maaari naming agad na maabot ang tuktok ng pyramid at lumikha ng isang aktwal na alerto tungkol sa isang tiyak na kilalang impeksiyon. At mayroong hindi direktang katibayan, ang kabuuan nito ay maaari ring humantong sa atin sa tuktok ng pyramid. Gaya ng nakasanayan, marami pang hindi direktang ebidensya kaysa direktang ebidensya, na nangangahulugang kailangan nilang pagbukud-bukurin at pag-aralan, kailangang magsagawa ng karagdagang pananaliksik, at ipinapayong i-automate ito.
Modelong PARIS.
Ang itaas na bahagi ng modelo (1 at 2) ay batay sa mga teknolohiya ng automation at iba't ibang analytics, at ang ibabang bahagi (3 at 4) ay batay sa mga taong may ilang partikular na kwalipikasyon na namamahala sa proseso. Maaari mong isaalang-alang ang paglipat ng modelo mula sa itaas hanggang sa ibaba, kung saan sa itaas na bahagi ng asul na kulay mayroon kaming mga alerto mula sa tradisyonal na mga tool sa seguridad (antivirus, EDR, firewall, mga lagda) na may mataas na antas ng kumpiyansa at tiwala, at sa ibaba ay mga tagapagpahiwatig ( IOC, URL, MD5 at iba pa), na may mas mababang antas ng katiyakan at nangangailangan ng karagdagang pag-aaral. At ang pinakamababa at pinakamakapal na antas (4) ay ang pagbuo ng mga hypotheses, ang paglikha ng mga bagong senaryo para sa pagpapatakbo ng tradisyonal na paraan ng proteksyon. Ang antas na ito ay hindi limitado lamang sa mga tinukoy na pinagmumulan ng mga hypotheses. Kung mas mababa ang antas, mas maraming mga kinakailangan ang inilalagay sa mga kwalipikasyon ng analyst.
Napakahalaga na ang mga analyst ay hindi lamang sumubok ng isang tiyak na hanay ng mga paunang natukoy na hypotheses, ngunit patuloy na gumagawa ng mga bagong hypotheses at mga opsyon para sa pagsubok sa kanila.
TH Usage Maturity Model
Sa isang perpektong mundo, ang TH ay isang patuloy na proseso. Ngunit, dahil walang perpektong mundo, suriin natin at mga pamamaraan sa mga tuntunin ng mga tao, proseso at teknolohiyang ginamit. Isaalang-alang natin ang isang modelo ng isang perpektong spherical TH. Mayroong 5 antas ng paggamit ng teknolohiyang ito. Tingnan natin ang mga ito gamit ang halimbawa ng ebolusyon ng isang solong pangkat ng mga analyst.
Mga antas ng kapanahunan
Mga tao
Ang mga proseso
Teknolohiya
0 antas
Mga Analista ng SOC
24/7
Mga tradisyunal na instrumento:
Tradisyonal
Set ng mga alerto
Passive monitoring
IDS, AV, Sandboxing,
Kung wala ang TH
Paggawa gamit ang mga alerto
Mga tool sa pagsusuri ng lagda, data ng Threat Intelligence.
1 antas
Mga Analista ng SOC
Isang beses na TH
Si EDR
Pang-eksperimento
Pangunahing kaalaman sa forensics
IOC search
Bahagyang saklaw ng data mula sa mga device sa network
Mga eksperimento sa TH
Magandang kaalaman sa mga network at application
Bahagyang aplikasyon
2 antas
Pansamantalang trabaho
Mga Sprint
Si EDR
Pana-panahon
Average na kaalaman sa forensics
Linggo sa buwan
Buong aplikasyon
Pansamantalang TH
Napakahusay na kaalaman sa mga network at application
Regular na TH
Buong automation ng paggamit ng data ng EDR
Bahagyang paggamit ng mga advanced na kakayahan ng EDR
3 antas
Nakatuon sa utos ng TH
24/7
Bahagyang kakayahang subukan ang mga hypotheses TH
Preventive
Napakahusay na kaalaman sa forensics at malware
Preventive TH
Ganap na paggamit ng mga advanced na kakayahan ng EDR
Mga espesyal na kaso TH
Napakahusay na kaalaman sa panig ng umaatake
Mga espesyal na kaso TH
Buong saklaw ng data mula sa mga device sa network
Configuration upang umangkop sa iyong mga pangangailangan
4 antas
Nakatuon sa utos ng TH
24/7
Buong kakayahan na subukan ang TH hypotheses
Nangunguna
Napakahusay na kaalaman sa forensics at malware
Preventive TH
Level 3, plus:
Gamit ang TH
Napakahusay na kaalaman sa panig ng umaatake
Pagsubok, automation at pagpapatunay ng mga hypotheses TH
mahigpit na pagsasama ng mga mapagkukunan ng data;
Kakayahan sa pananaliksik
pag-unlad ayon sa mga pangangailangan at hindi karaniwang paggamit ng API.
Mga antas ng maturity ng TH ayon sa mga tao, proseso at teknolohiya
Antas 0: tradisyonal, nang hindi gumagamit ng TH. Gumagana ang mga regular na analyst sa isang karaniwang hanay ng mga alerto sa passive monitoring mode gamit ang mga standard na tool at teknolohiya: IDS, AV, sandbox, signature analysis tool.
Antas 1: eksperimental, gamit ang TH. Ang parehong mga analyst na may pangunahing kaalaman sa forensics at mahusay na kaalaman sa mga network at application ay maaaring magsagawa ng isang beses na Threat Hunting sa pamamagitan ng paghahanap ng mga indicator ng kompromiso. Ang mga EDR ay idinaragdag sa mga tool na may bahagyang saklaw ng data mula sa mga network device. Ang mga tool ay bahagyang ginagamit.
Antas 2: panaka-nakang, pansamantalang TH. Ang parehong mga analyst na nag-upgrade na ng kanilang kaalaman sa forensics, network at bahagi ng aplikasyon ay kinakailangang regular na makisali sa Threat Hunting (sprint), halimbawa, isang linggo sa isang buwan. Ang mga tool ay nagdaragdag ng buong pag-explore ng data mula sa mga network device, automation ng data analysis mula sa EDR, at bahagyang paggamit ng mga advanced na kakayahan ng EDR.
Antas 3: pang-iwas, madalas na mga kaso ng TH. Inayos ng aming mga analyst ang kanilang mga sarili sa isang dedikadong koponan at nagsimulang magkaroon ng mahusay na kaalaman sa forensics at malware, pati na rin ang kaalaman sa mga pamamaraan at taktika ng umaatakeng panig. Ang proseso ay isinasagawa na 24/7. Nagagawa ng team na bahagyang subukan ang mga hypotheses ng TH habang ganap na ginagamit ang mga advanced na kakayahan ng EDR na may buong saklaw ng data mula sa mga network device. Nagagawa rin ng mga analyst na i-configure ang mga tool upang umangkop sa kanilang mga pangangailangan.
Antas 4: high-end, gamitin ang TH. Ang parehong koponan ay nakakuha ng kakayahang magsaliksik, ang kakayahang bumuo at i-automate ang proseso ng pagsubok ng mga hypotheses ng TH. Ngayon ang mga tool ay dinagdagan ng malapit na pagsasama ng mga pinagmumulan ng data, pagbuo ng software upang matugunan ang mga pangangailangan, at hindi karaniwang paggamit ng mga API.
Mga Pamamaraan sa Pagbabanta sa Pangangaso
Pangunahing Pamamaraan sa Pangangaso ng Banta
Π Ang TH, sa pagkakasunud-sunod ng maturity ng teknolohiyang ginamit, ay: pangunahing paghahanap, pagsusuri sa istatistika, mga diskarte sa visualization, simpleng pagsasama-sama, machine learning, at mga pamamaraan ng Bayesian.
Ang pinakasimpleng paraan, isang pangunahing paghahanap, ay ginagamit upang paliitin ang lugar ng pananaliksik gamit ang mga partikular na query. Ginagamit ang pagtatasa ng istatistika, halimbawa, upang bumuo ng karaniwang aktibidad ng user o network sa anyo ng isang modelong istatistika. Ang mga diskarte sa visualization ay ginagamit upang biswal na ipakita at pasimplehin ang pagsusuri ng data sa anyo ng mga graph at chart, na ginagawang mas madaling makilala ang mga pattern sa sample. Ang pamamaraan ng mga simpleng pagsasama-sama ng mga pangunahing field ay ginagamit upang i-optimize ang paghahanap at pagsusuri. Kapag mas mature ang proseso ng TH ng isang organisasyon, nagiging mas nauugnay ang paggamit ng mga algorithm ng machine learning. Malawak din silang ginagamit sa pag-filter ng spam, pag-detect ng malisyosong trapiko at pag-detect ng mga mapanlinlang na aktibidad. Ang isang mas advanced na uri ng machine learning algorithm ay ang mga pamamaraan ng Bayesian, na nagbibigay-daan para sa pag-uuri, pagbabawas ng laki ng sample, at pagmomodelo ng paksa.
Diamond Model at TH Strategies
Sergio Caltagiron, Andrew Pendegast at Christopher Betz sa kanilang trabaho "Β» ay nagpakita ng mga pangunahing bahagi ng anumang nakakahamak na aktibidad at ang pangunahing koneksyon sa pagitan ng mga ito.
Diamond model para sa malisyosong aktibidad
Ayon sa modelong ito, mayroong 4 na diskarte sa Threat Hunting, na batay sa kaukulang mga pangunahing bahagi.
1. Diskarte na nakatuon sa biktima. Ipinapalagay namin na ang biktima ay may mga kalaban at maghahatid sila ng "mga pagkakataon" sa pamamagitan ng email. Naghahanap kami ng data ng kaaway sa koreo. Maghanap ng mga link, attachment, atbp. Naghahanap kami ng kumpirmasyon ng hypothesis na ito para sa isang tiyak na tagal ng panahon (isang buwan, dalawang linggo); kung hindi namin ito mahanap, kung gayon ang hypothesis ay hindi gumana.
2. Istratehiya na nakatuon sa imprastraktura. Mayroong ilang mga pamamaraan para sa paggamit ng diskarteng ito. Depende sa access at visibility, ang ilan ay mas madali kaysa sa iba. Halimbawa, sinusubaybayan namin ang mga domain name server na kilala na nagho-host ng mga nakakahamak na domain. O dumaan tayo sa proseso ng pagsubaybay sa lahat ng bagong pagpaparehistro ng domain name para sa isang kilalang pattern na ginagamit ng isang kalaban.
3. Istratehiya na batay sa kakayahan. Bilang karagdagan sa diskarte na nakatuon sa biktima na ginagamit ng karamihan sa mga tagapagtanggol ng network, mayroong isang diskarte na nakatuon sa pagkakataon. Ito ang pangalawa sa pinakasikat at nakatutok sa pagtukoy ng mga kakayahan mula sa kalaban, katulad ng "malware" at ang kakayahan ng kalaban na gumamit ng mga lehitimong tool tulad ng psexec, powershell, certutil at iba pa.
4. Diskarte na nakatuon sa kaaway. Ang adversary-centric approach ay nakatuon sa mismong kalaban. Kabilang dito ang paggamit ng bukas na impormasyon mula sa mga mapagkukunang magagamit sa publiko (OSINT), koleksyon ng data tungkol sa kaaway, kanyang mga diskarte at pamamaraan (TTP), pagsusuri ng mga nakaraang insidente, data ng Threat Intelligence, atbp.
Mga mapagkukunan ng impormasyon at hypotheses sa TH
Ilang mapagkukunan ng impormasyon para sa Threat Hunting
Maaaring maraming mapagkukunan ng impormasyon. Ang isang perpektong analyst ay dapat na makakuha ng impormasyon mula sa lahat ng bagay na nasa paligid. Ang mga karaniwang mapagkukunan sa halos anumang imprastraktura ay ang data mula sa mga tool sa seguridad: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Gayundin, ang karaniwang mga mapagkukunan ng impormasyon ay iba't ibang mga tagapagpahiwatig ng kompromiso, mga serbisyo ng Threat Intelligence, data ng CERT at OSINT. Bilang karagdagan, maaari kang gumamit ng impormasyon mula sa darknet (halimbawa, biglang may utos na i-hack ang mailbox ng pinuno ng isang organisasyon, o ang isang kandidato para sa posisyon ng isang network engineer ay nalantad para sa kanyang aktibidad), ang impormasyong natanggap mula sa HR (mga pagsusuri ng kandidato mula sa isang nakaraang lugar ng trabaho), impormasyon mula sa serbisyo ng seguridad (halimbawa, ang mga resulta ng pag-verify ng katapat).
Ngunit bago gamitin ang lahat ng magagamit na mapagkukunan, kinakailangan na magkaroon ng hindi bababa sa isang hypothesis.
Upang masubukan ang mga hypotheses, kailangan munang iharap ang mga ito. At upang maiharap ang maraming mataas na kalidad na mga hypotheses, kinakailangan na mag-aplay ng isang sistematikong diskarte. Ang proseso ng pagbuo ng mga hypotheses ay inilarawan nang mas detalyado sa, napaka maginhawang kunin ang iskema na ito bilang batayan para sa proseso ng paglalagay ng mga hypotheses.
Ang pangunahing pinagmumulan ng mga hypotheses ay ATT&CK matrix (Adversarial Tactics, Techniques at Common Knowledge). Ito ay, sa esensya, isang base ng kaalaman at modelo para sa pagtatasa ng gawi ng mga umaatake na nagsasagawa ng kanilang mga aktibidad sa mga huling hakbang ng isang pag-atake, na karaniwang inilalarawan gamit ang konsepto ng Kill Chain. Iyon ay, sa mga yugto pagkatapos na mapasok ng isang umaatake ang panloob na network ng isang negosyo o papunta sa isang mobile device. Ang base ng kaalaman ay orihinal na kasama ang mga paglalarawan ng 121 taktika at diskarte na ginamit sa pag-atake, na ang bawat isa ay inilarawan nang detalyado sa format na Wiki. Iba't ibang Threat Intelligence analytics ay angkop na angkop bilang isang mapagkukunan para sa pagbuo ng mga hypotheses. Ang partikular na tala ay ang mga resulta ng pagsusuri sa imprastraktura at mga pagsubok sa pagtagos - ito ang pinakamahalagang data na maaaring magbigay sa amin ng mga hindi matatag na hypotheses dahil sa ang katunayan na ang mga ito ay batay sa isang partikular na imprastraktura na may mga partikular na pagkukulang.
Proseso ng pagsubok sa hypothesis
Dinala ni Sergei Soldatov na may detalyadong paglalarawan ng proseso, inilalarawan nito ang proseso ng pagsubok ng TH hypotheses sa isang sistema. Ipapahiwatig ko ang mga pangunahing yugto na may maikling paglalarawan.
Stage 1: TI Farm
Sa yugtong ito kinakailangan na i-highlight mga bagay (sa pamamagitan ng pagsusuri sa mga ito kasama ang lahat ng data ng pagbabanta) at pagtatalaga sa kanila ng mga label para sa kanilang mga katangian. Ang mga ito ay file, URL, MD5, proseso, utility, kaganapan. Kapag ipinapasa ang mga ito sa mga sistema ng Threat Intelligence, kinakailangang mag-attach ng mga tag. Ibig sabihin, ang site na ito ay napansin sa CNC sa isang taon, ang MD5 na ito ay nauugnay sa ganito at ganoong malware, ang MD5 na ito ay na-download mula sa isang site na namamahagi ng malware.
Stage 2: Mga Kaso
Sa ikalawang yugto, tinitingnan natin ang pakikipag-ugnayan sa pagitan ng mga bagay na ito at tinutukoy ang mga ugnayan sa pagitan ng lahat ng mga bagay na ito. Nakakakuha kami ng mga markang system na gumagawa ng masama.
Stage 3: Analyst
Sa ikatlong yugto, ang kaso ay inililipat sa isang may karanasan na analyst na may malawak na karanasan sa pagsusuri, at siya ay gumagawa ng hatol. Binabawasan niya ang mga byte kung ano, saan, paano, bakit at bakit ginagawa ng code na ito. Ang katawan na ito ay malware, ang computer na ito ay nahawaan. Nagpapakita ng mga koneksyon sa pagitan ng mga bagay, sinusuri ang mga resulta ng pagtakbo sa sandbox.
Ang mga resulta ng trabaho ng analyst ay ipinadala pa. Sinusuri ng Digital Forensics ang mga larawan, sinusuri ng Malware Analysis ang "mga katawan" na natagpuan, at ang pangkat ng Incident Response ay maaaring pumunta sa site at mag-imbestiga ng isang bagay na naroroon na. Ang resulta ng gawain ay isang nakumpirma na hypothesis, isang natukoy na pag-atake at mga paraan upang malabanan ito.
Mga resulta ng
Ang Threat Hunting ay isang medyo bata pang teknolohiya na epektibong makakalaban sa customized, bago at hindi karaniwang mga banta, na may magagandang prospect dahil sa dumaraming bilang ng mga naturang banta at sa dumaraming kumplikado ng corporate infrastructure. Nangangailangan ito ng tatlong bahagi - data, tool at analyst. Ang mga benepisyo ng Threat Hunting ay hindi limitado sa pagpigil sa pagpapatupad ng mga pagbabanta. Huwag kalimutan na sa panahon ng proseso ng paghahanap, sumisid kami sa aming imprastraktura at sa mga mahihinang punto nito sa pamamagitan ng mga mata ng isang security analyst at maaari pang palakasin ang mga puntong ito.
Ang mga unang hakbang na, sa aming opinyon, ay kailangang gawin upang simulan ang proseso ng TH sa iyong organisasyon.
- Alagaan ang pagprotekta sa mga endpoint at imprastraktura ng network. Alagaan ang visibility (NetFlow) at kontrol (firewall, IDS, IPS, DLP) ng lahat ng proseso sa iyong network. Alamin ang iyong network mula sa gilid ng router hanggang sa pinakahuling host.
- Galugarin.
- Magsagawa ng mga regular na pagsubok ng hindi bababa sa mga pangunahing panlabas na mapagkukunan, suriin ang mga resulta nito, tukuyin ang mga pangunahing target para sa pag-atake at isara ang kanilang mga kahinaan.
- Magpatupad ng open source na Threat Intelligence system (halimbawa, MISP, Yeti) at suriin ang mga log kasabay nito.
- Magpatupad ng incident response platform (IRP): R-Vision IRP, The Hive, sandbox para sa pagsusuri ng mga kahina-hinalang file (FortiSandbox, Cuckoo).
- I-automate ang mga nakagawiang proseso. Ang pagsusuri ng mga log, pagtatala ng mga insidente, pagpapaalam sa mga kawani ay isang malaking larangan para sa automation.
- Matuto nang epektibong makipag-ugnayan sa mga inhinyero, developer, at teknikal na suporta upang makipagtulungan sa mga insidente.
- Idokumento ang buong proseso, mga pangunahing punto, mga nakamit na resulta upang makabalik sa kanila sa ibang pagkakataon o ibahagi ang data na ito sa mga kasamahan;
- Maging sosyal: Magkaroon ng kamalayan sa kung ano ang nangyayari sa iyong mga empleyado, kung sino ang iyong kinukuha, at kung sino ang iyong binibigyan ng access sa mga mapagkukunan ng impormasyon ng organisasyon.
- Manatiling nakasubaybay sa mga uso sa larangan ng mga bagong banta at pamamaraan ng proteksyon, pataasin ang iyong antas ng teknikal na literacy (kabilang ang pagpapatakbo ng mga serbisyo at subsystem ng IT), dumalo sa mga kumperensya at makipag-usap sa mga kasamahan.
Handa nang talakayin ang organisasyon ng proseso ng TH sa mga komento.
O sumama ka sa amin!
Mga mapagkukunan at materyales upang pag-aralan
Pinagmulan: www.habr.com