دھمکی کا شکار، یا اپنے آپ کو 5% خطرات سے کیسے بچائیں۔

معلومات کے تحفظ کے 95% خطرات کو معلوم ہے، اور آپ روایتی ذرائع جیسے کہ اینٹی وائرس، فائر والز، IDS، WAF کا استعمال کرتے ہوئے اپنے آپ کو ان سے بچا سکتے ہیں۔ باقی 5% خطرات نامعلوم اور سب سے خطرناک ہیں۔ وہ کمپنی کے لیے 70% خطرہ ہیں اس حقیقت کی وجہ سے کہ ان کا پتہ لگانا بہت مشکل ہے، ان کے خلاف تحفظ بہت کم ہے۔ مثالیں "کالے ہنس" کیا WannaCry ransomware کی وبا، NotPetya/ExPetr، cryptominers، "سائبر ہتھیار" Stuxnet (جو ایران کی جوہری تنصیبات کو نشانہ بناتا ہے) اور بہت سے (کسی اور کو Kido/Conficker یاد ہے؟) دوسرے حملے ہیں جن کے خلاف کلاسیکی حفاظتی اقدامات سے بہت اچھی طرح سے دفاع نہیں کیا جاتا ہے۔ ہم Threat Hunting ٹیکنالوجی کا استعمال کرتے ہوئے ان 5% خطرات کا مقابلہ کرنے کے بارے میں بات کرنا چاہتے ہیں۔

سائبر حملوں کے مسلسل ارتقاء کے لیے مسلسل پتہ لگانے اور جوابی اقدامات کی ضرورت ہوتی ہے، جو بالآخر ہمیں حملہ آوروں اور محافظوں کے درمیان نہ ختم ہونے والی ہتھیاروں کی دوڑ کے بارے میں سوچنے پر مجبور کرتی ہے۔ کلاسک سیکیورٹی سسٹم اب قابل قبول سطح کی سیکیورٹی فراہم کرنے کے قابل نہیں ہیں، جس پر خطرے کی سطح کمپنی کے کلیدی اشاریوں (معاشی، سیاسی، ساکھ) کو کسی مخصوص انفراسٹرکچر کے لیے تبدیل کیے بغیر متاثر نہیں کرتی ہے، لیکن عام طور پر وہ کچھ کا احاطہ کرتے ہیں۔ خطرات پہلے سے ہی نفاذ اور ترتیب کے عمل میں، جدید حفاظتی نظام خود کو پکڑنے کے کردار میں پاتے ہیں اور انہیں نئے وقت کے چیلنجوں کا جواب دینا چاہیے۔

ماخذ

خطرے کا شکار کرنے والی ٹیکنالوجی معلومات کی حفاظت کے ماہر کے لیے ہمارے وقت کے چیلنجوں کا ایک جواب ہو سکتی ہے۔ تھریٹ ہنٹنگ کی اصطلاح (جسے بعد میں TH کہا جاتا ہے) کئی سال پہلے ظاہر ہوا۔ ٹیکنالوجی بذات خود کافی دلچسپ ہے، لیکن اس میں ابھی تک کوئی عام طور پر قبول شدہ معیار اور اصول نہیں ہیں۔ اس موضوع پر معلومات کے ذرائع اور روسی زبان میں معلومات کے ذرائع کی کم تعداد کی وجہ سے بھی معاملہ پیچیدہ ہے۔ اس سلسلے میں، ہم نے LANIT-Integration میں اس ٹیکنالوجی کا جائزہ لکھنے کا فیصلہ کیا۔

متعلقہ

TH ٹیکنالوجی بنیادی ڈھانچے کی نگرانی کے عمل پر انحصار کرتی ہے۔ اندرونی نگرانی کے لیے دو اہم منظرنامے ہیں - الرٹ اور شکار. الرٹ کرنا (MSSP سروسز کی طرح) پہلے سے تیار شدہ دستخطوں اور حملوں کی علامات کو تلاش کرنے اور ان کا جواب دینے کا ایک روایتی طریقہ ہے۔ یہ منظر نامہ کامیابی کے ساتھ روایتی دستخط پر مبنی حفاظتی ٹولز کے ذریعے انجام پاتا ہے۔ شکار (MDR قسم کی خدمت) ایک نگرانی کا طریقہ ہے جو اس سوال کا جواب دیتا ہے کہ "دستخط اور قواعد کہاں سے آتے ہیں؟" یہ پوشیدہ یا پہلے سے نامعلوم اشارے اور حملے کی علامات کا تجزیہ کرکے ارتباط کے اصول بنانے کا عمل ہے۔ تھریٹ ہنٹنگ سے مراد اس قسم کی نگرانی ہے۔

صرف دونوں قسم کی نگرانی کو یکجا کرنے سے ہی ہمیں وہ تحفظ ملتا ہے جو مثالی کے قریب ہے، لیکن بقایا خطرے کی ایک خاص سطح ہمیشہ ہوتی ہے۔

دو قسم کی نگرانی کا استعمال کرتے ہوئے تحفظ

اور یہی وجہ ہے کہ TH (اور مکمل طور پر شکار!) تیزی سے متعلقہ ہو جائے گا:

دھمکیاں، علاج، خطرات۔ ماخذ

تمام خطرات میں سے 95 فیصد پہلے ہی اچھی طرح سے پڑھ چکے ہیں۔. ان میں اسپام، DDoS، وائرس، روٹ کٹس اور دیگر کلاسک مالویئر جیسی اقسام شامل ہیں۔ آپ انہی کلاسک حفاظتی اقدامات کا استعمال کرتے ہوئے اپنے آپ کو ان خطرات سے بچا سکتے ہیں۔

کسی بھی منصوبے کے نفاذ کے دوران 20% کام مکمل ہونے میں 80% وقت لگتا ہے۔، اور باقی 20% کام میں 80% وقت لگتا ہے۔ اسی طرح، پورے خطرے کے منظر نامے میں، 5% نئے خطرات کسی کمپنی کے لیے 70% خطرے کا باعث ہوں گے۔ ایک ایسی کمپنی میں جہاں معلومات کے تحفظ کے انتظام کے عمل کو منظم کیا جاتا ہے، ہم کسی نہ کسی طریقے سے معلوم خطرات کے نفاذ کے خطرے کے 30% کا انتظام کر سکتے ہیں (اصولی طور پر وائرلیس نیٹ ورکس سے انکار)، قبول کر کے (ضروری حفاظتی اقدامات کو نافذ کر کے) یا شفٹ کر کے۔ (مثال کے طور پر، انٹیگریٹر کے کندھوں پر) یہ خطرہ۔ سے اپنے آپ کو بچائیں۔ صفر دن کی کمزوریاں, APT حملے، فشنگ، سپلائی چین حملےسائبر جاسوسی اور قومی کارروائیوں کے ساتھ ساتھ بڑی تعداد میں دوسرے حملے پہلے ہی بہت مشکل ہیں۔ ان 5% خطرات کے نتائج بہت زیادہ سنگین ہوں گے (بوہٹراپ گروپ کے بینک نقصانات کی اوسط رقم 143 ملین ہے۔) سپیم یا وائرس کے نتائج سے، جن سے اینٹی وائرس سافٹ ویئر بچاتا ہے۔

تقریباً ہر ایک کو 5% خطرات سے نمٹنا پڑتا ہے۔ ہمیں حال ہی میں ایک اوپن سورس حل انسٹال کرنا پڑا جو PEAR (PHP ایکسٹینشن اینڈ ایپلیکیشن ریپوزٹری) ریپوزٹری سے ایک ایپلیکیشن استعمال کرتا ہے۔ اس ایپلیکیشن کو پیئر انسٹال کے ذریعے انسٹال کرنے کی کوشش ناکام ہو گئی کیونکہ ویب سائٹ دستیاب نہیں تھا (اب اس پر ایک اسٹب ہے)، مجھے اسے GitHub سے انسٹال کرنا پڑا۔ اور حال ہی میں پتہ چلا کہ PEAR ایک شکار بن گیا۔ سپلائی چین حملے.

آپ اب بھی یاد کر سکتے ہیں CCleaner کا استعمال کرتے ہوئے حملہٹیکس رپورٹنگ پروگرام کے اپ ڈیٹ ماڈیول کے ذریعے NePetya ransomware کی وبا MEDoc. خطرات زیادہ سے زیادہ پیچیدہ ہوتے جا رہے ہیں، اور منطقی سوال پیدا ہوتا ہے - "ہم ان 5% خطرات کا مقابلہ کیسے کر سکتے ہیں؟"

خطرے کے شکار کی تعریف

لہٰذا، Threat Hunting ایک فعال اور تکراری تلاش اور جدید خطرات کی نشاندہی کا عمل ہے جس کا پتہ روایتی حفاظتی آلات سے نہیں لگایا جا سکتا۔ اعلی درجے کے خطرات میں شامل ہیں، مثال کے طور پر، APT جیسے حملے، 0 دن کی کمزوریوں پر حملے، زمین سے باہر رہنا، وغیرہ۔

ہم یہ بھی کہہ سکتے ہیں کہ TH مفروضوں کو جانچنے کا عمل ہے۔ یہ بنیادی طور پر آٹومیشن کے عناصر کے ساتھ ایک دستی عمل ہے، جس میں تجزیہ کار، اپنے علم اور مہارت پر بھروسہ کرتے ہوئے، سمجھوتہ کی علامات کی تلاش میں معلومات کی بڑی مقدار کو چھانتا ہے جو کسی خاص خطرے کی موجودگی کے بارے میں ابتدائی طور پر طے شدہ مفروضے سے مطابقت رکھتا ہے۔ اس کی مخصوص خصوصیت معلومات کے مختلف ذرائع ہیں۔

واضح رہے کہ تھریٹ ہنٹنگ کسی قسم کا سافٹ ویئر یا ہارڈویئر پروڈکٹ نہیں ہے۔ یہ انتباہات نہیں ہیں جو کسی حل میں دیکھا جا سکتا ہے. یہ IOC (Identifiers of Compromise) تلاش کا عمل نہیں ہے۔ اور یہ کسی قسم کی غیر فعال سرگرمی نہیں ہے جو معلومات کے تحفظ کے تجزیہ کاروں کی شرکت کے بغیر ہوتی ہے۔ خطرے کا شکار سب سے پہلے اور سب سے اہم عمل ہے۔

خطرے کے شکار کے اجزاء

تھریٹ ہنٹنگ کے تین اہم اجزاء: ڈیٹا، ٹیکنالوجی، لوگ۔

ڈیٹا (کیا؟)بگ ڈیٹا سمیت۔ ہر قسم کے ٹریفک کے بہاؤ، پچھلی APTs کے بارے میں معلومات، تجزیات، صارف کی سرگرمیوں کا ڈیٹا، نیٹ ورک ڈیٹا، ملازمین کی معلومات، ڈارک نیٹ پر معلومات اور بہت کچھ۔

ٹیکنالوجیز (کیسے؟) اس ڈیٹا پر کارروائی کرنا - اس ڈیٹا کو پروسیس کرنے کے تمام ممکنہ طریقے، بشمول مشین لرننگ۔

لوگ جو؟) - وہ لوگ جو مختلف حملوں کا تجزیہ کرنے کا وسیع تجربہ رکھتے ہیں، ان کے اندر بصیرت پیدا ہوتی ہے اور حملے کا پتہ لگانے کی صلاحیت ہوتی ہے۔ عام طور پر یہ انفارمیشن سیکیورٹی تجزیہ کار ہوتے ہیں جن کے پاس فرضی تصورات پیدا کرنے اور ان کے لیے تصدیق تلاش کرنے کی صلاحیت ہونی چاہیے۔ وہ اس عمل کی اہم کڑی ہیں۔

ماڈل پیرس

ایڈم بیٹ مین بیان کرتا ہے مثالی TH عمل کے لیے پیرس ماڈل۔ یہ نام فرانس کے ایک مشہور نشان کی طرف اشارہ کرتا ہے۔ اس ماڈل کو دو سمتوں میں دیکھا جا سکتا ہے - اوپر سے اور نیچے سے۔

جیسا کہ ہم ماڈل کے ذریعے نیچے سے اوپر تک کام کرتے ہیں، ہمیں بدنیتی پر مبنی سرگرمی کے بہت سے ثبوتوں کا سامنا کرنا پڑے گا۔ ثبوت کے ہر ٹکڑے کا ایک پیمانہ ہوتا ہے جسے اعتماد کہتے ہیں - ایک خصوصیت جو اس ثبوت کے وزن کو ظاہر کرتی ہے۔ "آئرن" ہے، بدنیتی پر مبنی سرگرمی کا براہ راست ثبوت، جس کے مطابق ہم فوری طور پر اہرام کی چوٹی تک پہنچ سکتے ہیں اور ایک درست طور پر معلوم انفیکشن کے بارے میں ایک حقیقی الرٹ بنا سکتے ہیں۔ اور بالواسطہ ثبوت موجود ہیں، جن کا مجموعہ ہمیں اہرام کی چوٹی تک لے جا سکتا ہے۔ ہمیشہ کی طرح، براہ راست شواہد سے کہیں زیادہ بالواسطہ ثبوت موجود ہیں، جس کا مطلب ہے کہ انہیں ترتیب دینے اور تجزیہ کرنے کی ضرورت ہے، اضافی تحقیق کی جانی چاہیے، اور اسے خودکار کرنے کا مشورہ دیا جاتا ہے۔

ماڈل پیرس۔ ماخذ

ماڈل کا اوپری حصہ (1 اور 2) آٹومیشن ٹیکنالوجیز اور مختلف تجزیات پر مبنی ہے، اور نچلا حصہ (3 اور 4) مخصوص اہلیت کے حامل افراد پر مبنی ہے جو اس عمل کو منظم کرتے ہیں۔ آپ اوپر سے نیچے کی طرف بڑھتے ہوئے ماڈل پر غور کر سکتے ہیں، جہاں نیلے رنگ کے اوپری حصے میں ہمارے پاس روایتی حفاظتی ٹولز (اینٹی وائرس، ای ڈی آر، فائر وال، دستخط) سے اعلیٰ درجے کے اعتماد اور بھروسے کے ساتھ الرٹس ہیں، اور نیچے اشارے ہیں ( آئی او سی، یو آر ایل، ایم ڈی 5 اور دیگر)، جن میں یقین کی کم ڈگری ہوتی ہے اور اضافی مطالعہ کی ضرورت ہوتی ہے۔ اور سب سے کم اور موٹی سطح (4) مفروضوں کی نسل ہے، تحفظ کے روایتی ذرائع کے آپریشن کے لیے نئے منظرناموں کی تخلیق۔ یہ سطح صرف مفروضوں کے مخصوص ذرائع تک محدود نہیں ہے۔ جتنی نچلی سطح، تجزیہ کار کی اہلیت پر اتنی ہی زیادہ تقاضے رکھی جاتی ہیں۔

یہ بہت اہم ہے کہ تجزیہ کار صرف پہلے سے متعین مفروضوں کے ایک محدود سیٹ کی جانچ نہیں کرتے ہیں، بلکہ ان کی جانچ کے لیے نئے مفروضے اور اختیارات پیدا کرنے کے لیے مسلسل کام کرتے ہیں۔

TH استعمال میچورٹی ماڈل

ایک مثالی دنیا میں، TH ایک جاری عمل ہے۔ لیکن، چونکہ کوئی مثالی دنیا نہیں ہے، آئیے تجزیہ کرتے ہیں۔ پختگی ماڈل اور لوگوں کے لحاظ سے طریقے، عمل اور ٹیکنالوجی استعمال کی جاتی ہیں۔ آئیے ایک مثالی کروی TH کے ماڈل پر غور کریں۔ اس ٹیکنالوجی کو استعمال کرنے کے 5 درجے ہیں۔ آئیے تجزیہ کاروں کی ایک ٹیم کے ارتقاء کی مثال کا استعمال کرتے ہوئے انہیں دیکھتے ہیں۔

پختگی کی سطحیں۔
لوگ
پروسیسنگ
ٹیکنالوجی

0 سطح
SOC تجزیہ کار
24/7
روایتی آلات:

روایتی
انتباہات کا سیٹ
غیر فعال نگرانی
آئی ڈی ایس، اے وی، سینڈ باکسنگ،

TH کے بغیر
انتباہات کے ساتھ کام کرنا

دستخطی تجزیہ کے ٹولز، تھریٹ انٹیلی جنس ڈیٹا۔

1 سطح
SOC تجزیہ کار
ایک بار TH
ای ڈی آر

تجرباتی
فرانزک کا بنیادی علم
آئی او سی کی تلاش
نیٹ ورک آلات سے ڈیٹا کی جزوی کوریج

TH کے ساتھ تجربات
نیٹ ورکس اور ایپلی کیشنز کا اچھا علم

جزوی درخواست

2 سطح
عارضی قبضہ
سپرنٹ
ای ڈی آر

متواتر
فرانزک کا اوسط علم
ہفتہ سے مہینہ
مکمل درخواست

عارضی ٹی ایچ
نیٹ ورکس اور ایپلی کیشنز کا بہترین علم
باقاعدہ TH
EDR ڈیٹا کے استعمال کا مکمل آٹومیشن

اعلی درجے کی EDR صلاحیتوں کا جزوی استعمال

3 سطح
سرشار TH کمانڈ
24/7
مفروضے TH کو جانچنے کی جزوی صلاحیت

روک تھام کرنے والا
فرانزک اور مالویئر کا بہترین علم
روک تھام TH
اعلی درجے کی EDR صلاحیتوں کا مکمل استعمال

خصوصی مقدمات TH
حملہ کرنے والے پہلو کا بہترین علم
خصوصی مقدمات TH
نیٹ ورک ڈیوائسز سے ڈیٹا کی مکمل کوریج

آپ کی ضروریات کے مطابق ترتیب

4 سطح
سرشار TH کمانڈ
24/7
TH مفروضوں کو جانچنے کی مکمل صلاحیت

معروف
فرانزک اور مالویئر کا بہترین علم
روک تھام TH
سطح 3، پلس:

TH کا استعمال کرتے ہوئے
حملہ کرنے والے پہلو کا بہترین علم
مفروضوں کی جانچ، آٹومیشن اور تصدیق TH
ڈیٹا ذرائع کا سخت انضمام؛

تحقیق کی صلاحیت

ضروریات کے مطابق ترقی اور API کا غیر معیاری استعمال۔

لوگوں، عملوں اور ٹیکنالوجیز کے لحاظ سے TH پختگی کی سطح

سطح 0: روایتی، TH استعمال کیے بغیر۔ باقاعدہ تجزیہ کار معیاری ٹولز اور ٹیکنالوجیز کا استعمال کرتے ہوئے غیر فعال نگرانی کے موڈ میں الرٹس کے معیاری سیٹ کے ساتھ کام کرتے ہیں: IDS، AV، سینڈ باکس، دستخطی تجزیہ کے اوزار۔

سطح 1: تجرباتی، TH کا استعمال کرتے ہوئے. وہی تجزیہ کار جن کے پاس فرانزک کی بنیادی معلومات اور نیٹ ورکس اور ایپلیکیشنز کی اچھی معلومات ہیں وہ سمجھوتہ کے اشارے تلاش کر کے یک وقتی خطرے کا شکار کر سکتے ہیں۔ EDRs کو نیٹ ورک ڈیوائسز سے ڈیٹا کی جزوی کوریج کے ساتھ ٹولز میں شامل کیا جاتا ہے۔ اوزار جزوی طور پر استعمال ہوتے ہیں۔

سطح 2: متواتر، عارضی TH. وہی تجزیہ کار جنہوں نے پہلے ہی فرانزک، نیٹ ورکس اور ایپلیکیشن کے حصے میں اپنے علم کو اپ گریڈ کیا ہے، ان کے لیے ضروری ہے کہ وہ باقاعدگی سے تھریٹ ہنٹنگ (اسپرنٹ) میں مشغول رہیں، کہتے ہیں کہ مہینے میں ایک ہفتہ۔ ٹولز نیٹ ورک ڈیوائسز سے ڈیٹا کی مکمل ایکسپلوریشن، EDR سے ڈیٹا تجزیہ کی آٹومیشن، اور جدید EDR صلاحیتوں کا جزوی استعمال شامل کرتے ہیں۔

سطح 3: روک تھام، TH کے اکثر معاملات. ہمارے تجزیہ کاروں نے اپنے آپ کو ایک سرشار ٹیم کے طور پر منظم کیا اور انہیں فرانزک اور مالویئر کے بارے میں بہترین معلومات کے ساتھ ساتھ حملہ کرنے والے فریق کے طریقوں اور حکمت عملیوں کا علم ہونا شروع ہو گیا۔ یہ عمل 24/7 پہلے ہی جاری ہے۔ ٹیم نیٹ ورک ڈیوائسز سے ڈیٹا کی مکمل کوریج کے ساتھ EDR کی جدید صلاحیتوں کا مکمل فائدہ اٹھاتے ہوئے جزوی طور پر TH مفروضوں کی جانچ کرنے کے قابل ہے۔ تجزیہ کار اپنی ضروریات کے مطابق ٹولز کو ترتیب دینے کے قابل بھی ہیں۔

سطح 4: اعلی کے آخر میں، TH استعمال کریں. اسی ٹیم نے تحقیق کرنے کی صلاحیت، TH مفروضوں کو جانچنے کے عمل کو پیدا کرنے اور خودکار کرنے کی صلاحیت حاصل کی۔ اب ٹولز کو ڈیٹا کے ذرائع کے قریبی انضمام، ضروریات کو پورا کرنے کے لیے سافٹ ویئر ڈیولپمنٹ، اور APIs کے غیر معیاری استعمال کے ذریعے پورا کیا گیا ہے۔

خطرے کے شکار کی تکنیک

خطرے کے شکار کی بنیادی تکنیک

К تکنیکی ماہرین TH، استعمال شدہ ٹیکنالوجی کی پختگی کے لحاظ سے، یہ ہیں: بنیادی تلاش، شماریاتی تجزیہ، تصور کی تکنیک، سادہ جمع، مشین لرننگ، اور Bayesian طریقے۔

سب سے آسان طریقہ، ایک بنیادی تلاش، مخصوص سوالات کا استعمال کرتے ہوئے تحقیق کے علاقے کو کم کرنے کے لیے استعمال کیا جاتا ہے۔ شماریاتی تجزیہ استعمال کیا جاتا ہے، مثال کے طور پر، عام صارف یا نیٹ ورک کی سرگرمی کو شماریاتی ماڈل کی شکل میں بنانے کے لیے۔ گراف اور چارٹ کی شکل میں اعداد و شمار کے تجزیہ کو بصری طور پر ظاہر کرنے اور آسان بنانے کے لیے ویژولائزیشن کی تکنیکوں کا استعمال کیا جاتا ہے، جس سے نمونے میں پیٹرن کو پہچاننا بہت آسان ہو جاتا ہے۔ کلیدی شعبوں کے ذریعہ سادہ مجموعوں کی تکنیک کو تلاش اور تجزیہ کو بہتر بنانے کے لیے استعمال کیا جاتا ہے۔ کسی تنظیم کا TH عمل جتنا زیادہ پختہ ہوتا ہے، مشین لرننگ الگورتھم کا استعمال اتنا ہی زیادہ متعلقہ ہوتا جاتا ہے۔ وہ سپیم کو فلٹر کرنے، بدنیتی پر مبنی ٹریفک کا پتہ لگانے اور دھوکہ دہی کی سرگرمیوں کا پتہ لگانے میں بھی بڑے پیمانے پر استعمال ہوتے ہیں۔ مشین لرننگ الگورتھم کی ایک زیادہ جدید قسم Bayesian طریقے ہیں، جو درجہ بندی، نمونے کے سائز میں کمی، اور موضوع کی ماڈلنگ کی اجازت دیتے ہیں۔

ڈائمنڈ ماڈل اور TH حکمت عملی

سرجیو کالٹاگیرون، اینڈریو پینڈگاسٹ اور کرسٹوفر بیٹز اپنے کام میں "دخل اندازی کے تجزیہ کا ڈائمنڈ ماڈل» کسی بھی بدنیتی پر مبنی سرگرمی کے اہم کلیدی اجزاء اور ان کے درمیان بنیادی تعلق کو دکھایا۔

بدنیتی پر مبنی سرگرمی کے لیے ڈائمنڈ ماڈل

اس ماڈل کے مطابق، 4 تھریٹ ہنٹنگ حکمت عملی ہیں، جو متعلقہ کلیدی اجزاء پر مبنی ہیں۔

1. شکار پر مبنی حکمت عملی۔ ہم فرض کرتے ہیں کہ متاثرہ کے مخالفین ہیں اور وہ ای میل کے ذریعے "موقع" فراہم کریں گے۔ ہم میل میں دشمن کا ڈیٹا تلاش کر رہے ہیں۔ لنکس، منسلکات وغیرہ تلاش کریں۔ ہم ایک خاص مدت (ایک مہینہ، دو ہفتے) کے لیے اس مفروضے کی تصدیق کے لیے تلاش کر رہے ہیں؛ اگر ہمیں یہ نہیں ملتا، تو یہ مفروضہ کام نہیں کرتا۔

2. انفراسٹرکچر پر مبنی حکمت عملی۔ اس حکمت عملی کو استعمال کرنے کے کئی طریقے ہیں۔ رسائی اور مرئیت پر منحصر ہے، کچھ دوسروں کے مقابلے میں آسان ہیں۔ مثال کے طور پر، ہم ڈومین نیم سرورز کی نگرانی کرتے ہیں جو نقصان دہ ڈومینز کی میزبانی کے لیے جانا جاتا ہے۔ یا ہم کسی مخالف کی طرف سے استعمال کیے جانے والے معلوم پیٹرن کے لیے تمام نئے ڈومین نام کے اندراج کی نگرانی کے عمل سے گزرتے ہیں۔

3. صلاحیت پر مبنی حکمت عملی۔ زیادہ تر نیٹ ورک کے محافظوں کے ذریعہ استعمال کی جانے والی شکار پر مرکوز حکمت عملی کے علاوہ، موقع پر مرکوز حکمت عملی بھی موجود ہے۔ یہ دوسرا سب سے زیادہ مقبول ہے اور مخالف کی صلاحیتوں کا پتہ لگانے پر توجہ مرکوز کرتا ہے، یعنی "مالویئر" اور مخالف کی جائز ٹولز جیسے psexec، powershell، certutil اور دیگر استعمال کرنے کی صلاحیت۔

4. دشمن پر مبنی حکمت عملی۔ مخالف پر مرکوز نقطہ نظر خود مخالف پر مرکوز ہے۔ اس میں عوامی طور پر دستیاب ذرائع (OSINT) سے کھلی معلومات کا استعمال، دشمن کے بارے میں ڈیٹا اکٹھا کرنا، اس کی تکنیک اور طریقے (TTP)، سابقہ ​​واقعات کا تجزیہ، خطرہ انٹیلی جنس ڈیٹا وغیرہ شامل ہیں۔

TH میں معلومات اور مفروضوں کے ذرائع

تھریٹ ہنٹنگ کے لیے معلومات کے کچھ ذرائع

معلومات کے بہت سے ذرائع ہو سکتے ہیں۔ ایک مثالی تجزیہ کار کو ہر اس چیز سے معلومات حاصل کرنے کے قابل ہونا چاہئے جو آس پاس ہے۔ تقریباً کسی بھی انفراسٹرکچر میں عام ذرائع سیکیورٹی ٹولز سے ڈیٹا ہوں گے: DLP، SIEM، IDS/IPS، WAF/FW، EDR۔ نیز، معلومات کے عام ذرائع سمجھوتے کے مختلف اشارے، تھریٹ انٹیلی جنس سروسز، CERT اور OSINT ڈیٹا ہوں گے۔ مزید برآں، آپ ڈارک نیٹ سے معلومات استعمال کرسکتے ہیں (مثال کے طور پر، اچانک کسی تنظیم کے سربراہ کا میل باکس ہیک کرنے کا حکم آیا، یا کسی نیٹ ورک انجینئر کے عہدے کے امیدوار کو اس کی سرگرمی کی وجہ سے بے نقاب کیا گیا ہے)، سے موصول ہونے والی معلومات HR (کام کی سابقہ ​​جگہ سے امیدوار کے جائزے)، سیکورٹی سروس سے معلومات (مثال کے طور پر، ہم منصب کی تصدیق کے نتائج)۔

لیکن تمام دستیاب ذرائع کو استعمال کرنے سے پہلے کم از کم ایک مفروضہ ہونا ضروری ہے۔

ماخذ

مفروضوں کو جانچنے کے لیے، انہیں پہلے پیش کیا جانا چاہیے۔ اور بہت سے اعلیٰ معیار کے مفروضوں کو آگے بڑھانے کے لیے، ایک منظم طریقہ کار کو لاگو کرنا ضروری ہے۔ مفروضے پیدا کرنے کے عمل کو مزید تفصیل سے بیان کیا گیا ہے۔ آرٹیکلاس اسکیم کو فرضی تصورات پیش کرنے کے عمل کی بنیاد کے طور پر لینا بہت آسان ہے۔

مفروضوں کا بنیادی ذریعہ ہوگا۔ اے ٹی ٹی اینڈ سی کے میٹرکس (مخالف حکمت عملی، تکنیک اور کامن نالج)۔ یہ، جوہر میں، حملہ آوروں کے رویے کا اندازہ لگانے کے لیے ایک علمی بنیاد اور ماڈل ہے جو حملے کے آخری مراحل میں اپنی سرگرمیاں انجام دیتے ہیں، جسے عام طور پر Kill Chain کے تصور کا استعمال کرتے ہوئے بیان کیا جاتا ہے۔ یعنی، حملہ آور کے انٹرپرائز کے اندرونی نیٹ ورک یا موبائل ڈیوائس پر گھسنے کے بعد کے مراحل پر۔ علم کی بنیاد میں اصل میں حملے میں استعمال ہونے والی 121 حکمت عملیوں اور تکنیکوں کی تفصیل شامل تھی، جن میں سے ہر ایک کو وکی فارمیٹ میں تفصیل سے بیان کیا گیا ہے۔ مختلف تھریٹ انٹیلی جنس تجزیات مفروضے پیدا کرنے کے لیے ایک ذریعہ کے طور پر موزوں ہیں۔ خاص طور پر بنیادی ڈھانچے کے تجزیہ اور دخول کے ٹیسٹ کے نتائج ہیں - یہ سب سے قیمتی ڈیٹا ہے جو ہمیں اس حقیقت کی وجہ سے فولادی مفروضے دے سکتا ہے کہ وہ اس کی مخصوص کوتاہیوں کے ساتھ ایک مخصوص انفراسٹرکچر پر مبنی ہیں۔

مفروضے کی جانچ کا عمل

سرگئی Soldatov لایا اچھا خاکہ عمل کی تفصیلی وضاحت کے ساتھ، یہ ایک ہی نظام میں TH مفروضوں کی جانچ کے عمل کی وضاحت کرتا ہے۔ میں مختصر تفصیل کے ساتھ اہم مراحل کی نشاندہی کروں گا۔

ماخذ

مرحلہ 1: TI فارم

اس مرحلے پر اسے اجاگر کرنا ضروری ہے۔ اشیاء (خطرے کے تمام اعداد و شمار کے ساتھ ان کا تجزیہ کرکے) اور انہیں ان کی خصوصیات کے لیے لیبل تفویض کرنا۔ یہ فائل، URL، MD5، عمل، افادیت، ایونٹ ہیں۔ انہیں تھریٹ انٹیلی جنس سسٹم سے گزرتے وقت، ٹیگز منسلک کرنا ضروری ہے۔ یعنی یہ سائٹ فلاں فلاں سال میں CNC میں نوٹ کی گئی تھی، یہ MD5 فلاں فلاں مال ویئر سے منسلک تھا، یہ MD5 ایسی سائٹ سے ڈاؤن لوڈ کیا گیا تھا جو میلویئر تقسیم کرتی تھی۔

مرحلہ 2: مقدمات

دوسرے مرحلے پر، ہم ان اشیاء کے درمیان تعامل کو دیکھتے ہیں اور ان تمام اشیاء کے درمیان تعلق کی نشاندہی کرتے ہیں۔ ہمیں نشان زدہ نظام ملتے ہیں جو کچھ برا کرتے ہیں۔

مرحلہ 3: تجزیہ کار

تیسرے مرحلے پر کیس ایک تجربہ کار تجزیہ کار کو منتقل کر دیا جاتا ہے جسے تجزیہ کرنے کا وسیع تجربہ ہوتا ہے اور وہ فیصلہ سناتا ہے۔ وہ بائٹس پر تجزیہ کرتا ہے کہ یہ کوڈ کیا، کہاں، کیسے، کیوں اور کیوں کرتا ہے۔ یہ جسم میلویئر تھا، یہ کمپیوٹر متاثر تھا۔ اشیاء کے درمیان رابطوں کو ظاہر کرتا ہے، سینڈ باکس کے ذریعے چلنے کے نتائج کو چیک کرتا ہے۔

تجزیہ کار کے کام کے نتائج کو مزید منتقل کیا جاتا ہے۔ ڈیجیٹل فرانزکس تصاویر کی جانچ کرتا ہے، مالویئر تجزیہ پایا جانے والی "لاشوں" کی جانچ کرتا ہے، اور واقعہ رسپانس ٹیم سائٹ پر جا سکتی ہے اور وہاں پہلے سے موجود کسی چیز کی چھان بین کر سکتی ہے۔ کام کا نتیجہ ایک تصدیق شدہ مفروضہ، ایک شناخت شدہ حملہ اور اس کا مقابلہ کرنے کے طریقے ہوں گے۔

ماخذ
 

کے نتائج

تھریٹ ہنٹنگ ایک کافی نوجوان ٹیکنالوجی ہے جو اپنی مرضی کے مطابق، نئے اور غیر معیاری خطرات کا مؤثر طریقے سے مقابلہ کر سکتی ہے، جس میں ایسے خطرات کی بڑھتی ہوئی تعداد اور کارپوریٹ انفراسٹرکچر کی بڑھتی ہوئی پیچیدگی کے پیش نظر بہت زیادہ امکانات ہیں۔ اس کے لیے تین اجزاء کی ضرورت ہوتی ہے - ڈیٹا، ٹولز اور تجزیہ کار۔ تھریٹ ہنٹنگ کے فوائد صرف دھمکیوں کے نفاذ کو روکنے تک محدود نہیں ہیں۔ یہ نہ بھولیں کہ تلاشی کے عمل کے دوران ہم سیکیورٹی تجزیہ کار کی نظروں سے اپنے بنیادی ڈھانچے اور اس کے کمزور نکات کا جائزہ لیتے ہیں اور ان نکات کو مزید مضبوط بنا سکتے ہیں۔

ہماری رائے میں، آپ کی تنظیم میں TH کے عمل کو شروع کرنے کے لیے پہلے اقدامات کرنے کی ضرورت ہے۔

1. اینڈ پوائنٹس اور نیٹ ورک کے بنیادی ڈھانچے کی حفاظت کا خیال رکھیں۔ اپنے نیٹ ورک پر تمام پروسیسز کی مرئیت (نیٹ فلو) اور کنٹرول (فائر وال، آئی ڈی ایس، آئی پی ایس، ڈی ایل پی) کا خیال رکھیں۔ اپنے نیٹ ورک کو ایج روٹر سے لے کر آخری میزبان تک جانیں۔
2. دریافت کریں۔ میٹر اے ٹی ٹی اینڈ سی کے.
3. کم از کم کلیدی بیرونی وسائل کے باقاعدگی سے پینٹسٹس کا انعقاد کریں، اس کے نتائج کا تجزیہ کریں، حملے کے اہم اہداف کی نشاندہی کریں اور ان کی کمزوریوں کو بند کریں۔
4. اوپن سورس تھریٹ انٹیلی جنس سسٹم کو نافذ کریں (مثال کے طور پر، MISP، Yeti) اور اس کے ساتھ مل کر لاگز کا تجزیہ کریں۔
5. ایک واقعہ رسپانس پلیٹ فارم (IRP) نافذ کریں: مشکوک فائلوں کا تجزیہ کرنے کے لیے R-Vision IRP، The Hive، سینڈ باکس (FortiSandbox, Cuckoo)۔
6. معمول کے عمل کو خودکار بنائیں۔ نوشتہ جات کا تجزیہ، واقعات کی ریکارڈنگ، عملے کو مطلع کرنا آٹومیشن کے لیے ایک بہت بڑا شعبہ ہے۔
7. واقعات پر تعاون کرنے کے لیے انجینئرز، ڈویلپرز اور تکنیکی مدد کے ساتھ مؤثر طریقے سے بات چیت کرنا سیکھیں۔
8. پورے عمل، اہم نکات، حاصل شدہ نتائج کو دستاویز کریں تاکہ بعد میں ان پر واپس آ سکیں یا اس ڈیٹا کو ساتھیوں کے ساتھ شیئر کریں۔
9. سماجی بنیں: آپ کے ملازمین کے ساتھ کیا ہو رہا ہے، آپ کس کو ملازمت دیتے ہیں، اور آپ کس کو تنظیم کے معلوماتی وسائل تک رسائی دیتے ہیں اس سے آگاہ رہیں۔
10. نئے خطرات اور تحفظ کے طریقوں کے میدان میں رجحانات سے باخبر رہیں، اپنی تکنیکی خواندگی کی سطح میں اضافہ کریں (بشمول آئی ٹی خدمات اور ذیلی نظاموں کے آپریشن میں)، کانفرنسوں میں شرکت کریں اور ساتھیوں کے ساتھ بات چیت کریں۔

تبصرے میں TH عمل کی تنظیم پر بات کرنے کے لیے تیار ہیں۔

یا ہمارے ساتھ کام کریں!

• لیڈ انفارمیشن سیکیورٹی کنسلٹنٹ
• انفارمیشن سیکیورٹی کے لیے سسٹم آرکیٹیکٹ
• لیڈ نیٹ ورک سیکیورٹی انجینئر
• لیڈ انفارمیشن سیکیورٹی انجینئر (SIEM)
• انفارمیشن سیکیورٹی آرکیٹیکٹ (درخواست)

مطالعہ کے لیے ذرائع اور مواد

• دھمکی ہنٹر. گرو
• attack.mitre.org
• digital-forensics.sans.org
• وسائل ڈاٹ کام
• www.redcanary.com
• www.cybereason.com
• www.anti-malware.ru
• www.anti-malware.ru
• all.blogspot.com کو جواب دیں۔
• lukatsky.blogspot.com
• whitepapers.theregister.co.uk

ماخذ: www.habr.com