Axborot xavfsizligi tahdidlarining 95% ma'lum va siz o'zingizni antiviruslar, xavfsizlik devorlari, IDS, WAF kabi an'anaviy vositalar yordamida himoya qilishingiz mumkin. Qolgan 5% tahdidlar noma'lum va eng xavflidir. Ular kompaniya uchun xavfning 70% ni tashkil qiladi, chunki ularni aniqlash juda qiyin, ulardan kamroq himoya qiladi. Misollar WannaCry ransomware epidemiyasi, NotPetya/ExPetr, kriptominerlar, “kiber qurol” Stuxnet (Eronning yadroviy inshootlariga zarba bergan) va boshqa ko‘plab (Kido/Confickerni boshqa kim eslaydi?) klassik xavfsizlik choralari bilan unchalik yaxshi himoyalanmagan boshqa hujumlar. Biz Threat Hunting texnologiyasidan foydalangan holda ushbu 5% tahdidlarga qanday qarshi turish haqida gaplashmoqchimiz.
Kiberhujumlarning uzluksiz rivojlanishi doimiy aniqlash va qarshi choralarni talab qiladi, bu esa oxir-oqibat bizni hujumchilar va himoyachilar o'rtasidagi cheksiz qurollanish poygasi haqida o'ylashga olib keladi. Klassik xavfsizlik tizimlari endi xavfsizlikning maqbul darajasini ta'minlay olmaydi, bunda xavf darajasi kompaniyaning asosiy ko'rsatkichlariga (iqtisodiy, siyosiy, obro'siga) ta'sir qilmaydi, ularni ma'lum bir infratuzilma uchun o'zgartirmasdan, lekin umuman olganda, ular ba'zilarini qamrab oladi. xavflar. Amalga oshirish va sozlash jarayonida allaqachon zamonaviy xavfsizlik tizimlari o'zlarini quvib o'tish rolida topadi va yangi davr muammolariga javob berishi kerak.
Threat Hunting texnologiyasi axborot xavfsizligi bo'yicha mutaxassis uchun zamonamizning muammolariga javoblardan biri bo'lishi mumkin. Threat Hunting (keyingi o'rinlarda TH deb yuritiladi) atamasi bir necha yil oldin paydo bo'lgan. Texnologiyaning o'zi juda qiziq, ammo hali umumiy qabul qilingan standartlar va qoidalar yo'q. Axborot manbalarining xilma-xilligi va ushbu mavzu bo'yicha rus tilidagi ma'lumot manbalarining kamligi bilan ham masala murakkablashadi. Shu munosabat bilan biz LANIT-Integration kompaniyasida ushbu texnologiya haqida sharh yozishga qaror qildik.
Muvofiqlik
TH texnologiyasi infratuzilma monitoringi jarayonlariga tayanadi.. Ogohlantirish (MSSP xizmatlariga o'xshash) - ilgari ishlab chiqilgan imzolar va hujumlar belgilarini qidirish va ularga javob berishning an'anaviy usuli. Ushbu stsenariy imzoga asoslangan an'anaviy himoya vositalari tomonidan muvaffaqiyatli bajariladi. Ovchilik (MDR tipidagi xizmat) - “Imzolar va qoidalar qayerdan keladi?” degan savolga javob beradigan monitoring usuli. Bu yashirin yoki ilgari noma'lum bo'lgan ko'rsatkichlar va hujum belgilarini tahlil qilish orqali korrelyatsiya qoidalarini yaratish jarayonidir. Tahdid ovlash ushbu turdagi monitoringga tegishli.
Faqat ikkala turdagi monitoringni birlashtirib, biz idealga yaqin bo'lgan himoyaga erishamiz, lekin har doim ma'lum darajadagi qoldiq xavf mavjud.
Ikki turdagi monitoring yordamida himoya qilish
Va shuning uchun TH (va to'liq ov!) tobora dolzarb bo'lib qoladi:
Tahdidlar, choralar, xavflar.
. Bularga spam, DDoS, viruslar, rootkitlar va boshqa klassik zararli dasturlar kiradi. Xuddi shu klassik xavfsizlik choralari yordamida o'zingizni ushbu tahdidlardan himoya qilishingiz mumkin.
Har qanday loyihani amalga oshirish jarayonida, va qolgan 20% ish vaqtining 80% ni oladi. Xuddi shunday, butun tahdidlar landshaftida yangi tahdidlarning 5 foizi kompaniya uchun xavfning 70 foizini tashkil qiladi. Axborot xavfsizligini boshqarish jarayonlari tashkil etilgan kompaniyada biz ma'lum tahdidlarni u yoki bu tarzda oldini olish (simsiz tarmoqlardan voz kechish), qabul qilish (kerakli xavfsizlik choralarini qo'llash) yoki o'zgartirish orqali amalga oshirish xavfining 30 foizini boshqarishimiz mumkin. (masalan, integratorning yelkasiga) bu xavf. O'zingizni himoya qiling, APT hujumlari, fishing,, kiber josuslik va milliy operatsiyalar, shuningdek, boshqa ko'plab hujumlar allaqachon ancha qiyin. Ushbu 5% tahdidlarning oqibatlari ancha jiddiyroq bo'ladi () antivirus dasturlari saqlaydigan spam yoki viruslarning oqibatlaridan ko'ra.
Deyarli har bir kishi tahdidlarning 5% bilan kurashishi kerak. Biz yaqinda PEAR (PHP Extension and Application Repository) omboridan ilova ishlatadigan ochiq manbali yechimni oʻrnatishga majbur boʻldik. Ushbu ilovani pear install orqali o'rnatishga urinish muvaffaqiyatsiz tugadi, chunki mavjud emas edi (endi unda stub bor), men uni GitHub'dan o'rnatishim kerak edi. Va yaqinda PEAR qurbon bo'lganligi ma'lum bo'ldi.
Siz hali ham eslay olasiz, soliq hisoboti dasturini yangilash moduli orqali NePetya ransomware epidemiyasi. Tahdidlar tobora murakkablashib bormoqda va mantiqiy savol tug'iladi - "Biz bu 5% tahdidlarga qanday qarshi tura olamiz?"
Tahdid ovining ta'rifi
Demak, Threat Hunting - bu an'anaviy xavfsizlik vositalari tomonidan aniqlanmaydigan ilg'or tahdidlarni proaktiv va iterativ qidirish va aniqlash jarayoni. Murakkab tahdidlarga, masalan, APT kabi hujumlar, 0 kunlik zaifliklarga hujumlar, Living off the Land va boshqalar kiradi.
Shuningdek, biz TH gipotezalarni tekshirish jarayoni ekanligini qayta ta'kidlashimiz mumkin. Bu avtomatlashtirish elementlariga ega bo'lgan asosan qo'lda amalga oshiriladigan jarayon bo'lib, unda tahlilchi o'z bilim va ko'nikmalariga tayanib, ma'lum bir tahdid mavjudligi haqidagi dastlab aniqlangan gipotezaga mos keladigan murosa belgilarini qidirishda katta hajmdagi ma'lumotlarni ko'rib chiqadi. Uning o'ziga xos xususiyati axborot manbalarining xilma-xilligidir.
Shuni ta'kidlash kerakki, Threat Hunting qandaydir dasturiy ta'minot yoki apparat mahsuloti emas. Bu ba'zi yechimlarda ko'rish mumkin bo'lgan ogohlantirishlar emas. Bu IOC (Identifiers of Compromise) qidiruv jarayoni emas. Va bu axborot xavfsizligi bo'yicha tahlilchilar ishtirokisiz sodir bo'ladigan passiv faoliyat turi emas. Tahdid ovlash birinchi navbatda jarayondir.
Tahdid ovining tarkibiy qismlari
Threat Huntingning uchta asosiy komponenti: ma'lumotlar, texnologiya, odamlar.
Ma'lumotlar (nima?), shu jumladan Big Data. Har qanday trafik oqimlari, oldingi APTlar haqidagi ma'lumotlar, tahlillar, foydalanuvchi faoliyati to'g'risidagi ma'lumotlar, tarmoq ma'lumotlari, xodimlardan olingan ma'lumotlar, darknet ma'lumotlari va boshqalar.
Texnologiyalar (qanday qilib?) ushbu ma'lumotlarni qayta ishlash - bu ma'lumotlarni qayta ishlashning barcha mumkin bo'lgan usullari, shu jumladan Machine Learning.
Odamlar (kim?) - turli hujumlarni tahlil qilishda katta tajribaga ega bo'lganlar, rivojlangan sezgi va hujumni aniqlash qobiliyati. Odatda bular gipotezalarni ishlab chiqish va ular uchun tasdiqlashni topish qobiliyatiga ega bo'lishi kerak bo'lgan axborot xavfsizligi bo'yicha tahlilchilar. Ular jarayonning asosiy bo'g'inidir.
Model PARIS
Adam Beytman Ideal TH jarayoni uchun PARIS modeli. Bu nom Frantsiyadagi mashhur diqqatga sazovor joyni nazarda tutadi. Ushbu modelni ikki yo'nalishda ko'rish mumkin - yuqoridan va pastdan.
Biz modelni pastdan yuqoriga qarab ishlayotganimizda, biz zararli faoliyatning ko'plab dalillariga duch kelamiz. Har bir dalilda ishonch deb ataladigan o'lchov bor - bu dalilning og'irligini aks ettiruvchi xususiyat. "Temir", zararli faoliyatning to'g'ridan-to'g'ri dalili mavjud bo'lib, unga ko'ra biz darhol piramidaning tepasiga etib, aniq ma'lum bo'lgan infektsiya haqida haqiqiy ogohlantirishni yaratishimiz mumkin. Va bilvosita dalillar mavjud, ularning yig'indisi ham bizni piramidaning tepasiga olib kelishi mumkin. Har doimgidek, to'g'ridan-to'g'ri dalillarga qaraganda ko'proq bilvosita dalillar mavjud, ya'ni ularni saralash va tahlil qilish kerak, qo'shimcha tadqiqotlar o'tkazish kerak va buni avtomatlashtirish maqsadga muvofiqdir.
Model PARIS.
Modelning yuqori qismi (1 va 2) avtomatlashtirish texnologiyalari va turli xil tahlillarga asoslangan, pastki qismi esa (3 va 4) jarayonni boshqaradigan ma'lum malakaga ega bo'lgan odamlarga asoslangan. Siz modelni yuqoridan pastga qarab harakatlanishini ko'rib chiqishingiz mumkin, bu erda ko'k rangning yuqori qismida yuqori darajadagi ishonch va ishonchga ega bo'lgan an'anaviy xavfsizlik vositalaridan (antivirus, EDR, xavfsizlik devori, imzolar) ogohlantirishlar mavjud va quyida ko'rsatkichlar ( IOC, URL, MD5 va boshqalar), ular aniqlik darajasi pastroq va qo'shimcha o'rganishni talab qiladi. Va eng past va eng qalin daraja (4) - bu farazlarni yaratish, an'anaviy himoya vositalarining ishlashi uchun yangi stsenariylarni yaratish. Bu daraja faqat gipotezalarning belgilangan manbalari bilan chegaralanib qolmaydi. Daraja qanchalik past bo'lsa, tahlilchining malakasiga shunchalik ko'p talablar qo'yiladi.
Tahlilchilar oldindan belgilangan gipotezalarning cheklangan to'plamini shunchaki sinab ko'rishlari emas, balki doimiy ravishda yangi farazlar va ularni sinab ko'rish variantlarini yaratish ustida ishlashlari juda muhimdir.
TH foydalanish etuklik modeli
Ideal dunyoda TH doimiy jarayondir. Ammo, ideal dunyo yo'qligi sababli, tahlil qilaylik va qo'llaniladigan odamlar, jarayonlar va texnologiyalar nuqtai nazaridan usullar. Keling, ideal sharsimon TH modelini ko'rib chiqaylik. Ushbu texnologiyadan foydalanishning 5 darajasi mavjud. Keling, ularni bitta tahlilchilar guruhining evolyutsiyasi misolida ko'rib chiqaylik.
Yetuklik darajalari
odamlar
Jarayonlar
texnologiya
0 daraja
SOC tahlilchilari
24/7
An'anaviy asboblar:
An'anaviy
Ogohlantirishlar to'plami
Passiv monitoring
IDS, AV, Sandboxing,
TH holda
Ogohlantirishlar bilan ishlash
Imzolarni tahlil qilish vositalari, Tahdid razvedkasi ma'lumotlari.
1 daraja
SOC tahlilchilari
Bir martalik TH
BDU
Eksperimental
Sud ekspertizasining asosiy bilimlari
XOQ qidiruvi
Tarmoq qurilmalaridan ma'lumotlarni qisman qoplash
TH bilan tajribalar
Tarmoqlar va ilovalarni yaxshi bilish
Qisman ariza
2 daraja
Vaqtinchalik kasb
Sprintlar
BDU
Davriy
Sud ekspertizasi bo'yicha o'rtacha bilim
Haftadan oyga
To'liq ariza
Vaqtinchalik TH
Tarmoqlar va ilovalarni mukammal bilish
Oddiy TH
EDR ma'lumotlaridan foydalanishni to'liq avtomatlashtirish
Ilg'or EDR imkoniyatlaridan qisman foydalanish
3 daraja
Maxsus TH buyrug'i
24/7
TH gipotezalarini qisman sinab ko'rish qobiliyati
Profilaktik
Sud ekspertizasi va zararli dasturlarni mukammal bilish
Profilaktik TH
Ilg'or EDR imkoniyatlaridan to'liq foydalanish
Maxsus holatlar TH
Hujum qiluvchi tomonni mukammal bilish
Maxsus holatlar TH
Tarmoq qurilmalaridan ma'lumotlarni to'liq qamrab olish
Sizning ehtiyojlaringizga mos keladigan konfiguratsiya
4 daraja
Maxsus TH buyrug'i
24/7
TH gipotezalarini sinab ko'rishning to'liq qobiliyati
Etakchi
Sud ekspertizasi va zararli dasturlarni mukammal bilish
Profilaktik TH
3-daraja, ortiqcha:
TH dan foydalanish
Hujum qiluvchi tomonni mukammal bilish
TH gipotezalarini sinash, avtomatlashtirish va tekshirish
ma'lumotlar manbalarining qattiq integratsiyasi;
Tadqiqot qobiliyati
ehtiyojlariga muvofiq ishlab chiqish va API dan nostandart foydalanish.
Odamlar, jarayonlar va texnologiyalar bo'yicha TH etuklik darajalari
0-daraja: an'anaviy, TH dan foydalanmasdan. Doimiy tahlilchilar standart vositalar va texnologiyalardan foydalangan holda passiv monitoring rejimida standart ogohlantirishlar to'plami bilan ishlaydi: IDS, AV, sandbox, imzo tahlili vositalari.
1-daraja: eksperimental, TH yordamida. Sud ekspertizasi bo'yicha asosiy bilimga ega bo'lgan, tarmoqlar va ilovalarni yaxshi biladigan analitiklar murosa ko'rsatkichlarini qidirish orqali bir martalik tahdidlarni o'rganishlari mumkin. EDRlar tarmoq qurilmalari ma'lumotlarini qisman qamrab oladigan vositalarga qo'shiladi. Asboblar qisman ishlatiladi.
2-daraja: davriy, vaqtinchalik TH. Sud-tibbiyot, tarmoqlar va dastur bo'limida o'z bilimlarini oshirgan analitiklar, aytaylik, har oyda bir hafta muntazam ravishda tahdid ovlash (sprint) bilan shug'ullanishlari kerak. Asboblar tarmoq qurilmalaridagi ma'lumotlarni to'liq o'rganishni, EDR ma'lumotlarini tahlil qilishni avtomatlashtirishni va ilg'or EDR imkoniyatlaridan qisman foydalanishni qo'shadi.
3-daraja: THning profilaktik, tez-tez uchraydigan holatlari. Bizning tahlilchilarimiz o'zlarini bag'ishlangan jamoaga aylantirdilar va kriminalistika va zararli dasturlarni mukammal bilishni, shuningdek, hujum qiluvchi tomonning usullari va taktikasini bilishni boshladilar. Jarayon allaqachon 24/7 amalga oshiriladi. Jamoa TH gipotezalarini qisman sinab ko'rishi va EDR ning ilg'or imkoniyatlarini tarmoq qurilmalaridan ma'lumotlarni to'liq qamrab olishi bilan to'liq foydalanishga qodir. Tahlilchilar, shuningdek, o'z ehtiyojlariga mos keladigan vositalarni sozlashlari mumkin.
4-daraja: yuqori darajali, TH dan foydalaning. Xuddi shu jamoa tadqiqot qilish qobiliyatini, TH gipotezalarini sinab ko'rish jarayonini yaratish va avtomatlashtirish qobiliyatiga ega bo'ldi. Endi asboblar ma'lumotlar manbalarining yaqin integratsiyasi, ehtiyojlarni qondirish uchun dasturiy ta'minotni ishlab chiqish va API'lardan nostandart foydalanish bilan to'ldirildi.
Tahdid ovlash texnikasi
Tahdidlarni ovlashning asosiy usullari
К TH, qo'llaniladigan texnologiyalarning etukligiga qarab: asosiy qidiruv, statistik tahlil, vizualizatsiya usullari, oddiy yig'ishlar, mashinani o'rganish va Bayes usullari.
Eng oddiy usul, asosiy qidiruv, maxsus so'rovlar yordamida tadqiqot sohasini toraytirish uchun ishlatiladi. Statistik tahlil, masalan, statistik model shaklida odatiy foydalanuvchi yoki tarmoq faoliyatini qurish uchun ishlatiladi. Vizualizatsiya usullari grafik va diagrammalar ko'rinishidagi ma'lumotlarni vizual tarzda ko'rsatish va tahlil qilishni soddalashtirish uchun ishlatiladi, bu esa namunadagi naqshlarni aniqlashni ancha osonlashtiradi. Qidiruv va tahlilni optimallashtirish uchun asosiy maydonlar bo'yicha oddiy yig'ish texnikasi qo'llaniladi. Tashkilotning TH jarayoni qanchalik etuk bo'lsa, mashinani o'rganish algoritmlaridan foydalanish shunchalik dolzarb bo'ladi. Ular shuningdek, spamni filtrlash, zararli trafikni aniqlash va firibgarlik faoliyatini aniqlashda keng qo'llaniladi. Mashinani o'rganish algoritmining yanada ilg'or turi Bayes usullari bo'lib, ular tasniflash, namuna hajmini kamaytirish va mavzuni modellashtirish imkonini beradi.
Olmos modeli va TH strategiyalari
Serxio Kaltagiron, Endryu Pendegast va Kristofer Bets o'z ishlarida "» har qanday zararli faoliyatning asosiy asosiy komponentlarini va ular orasidagi asosiy aloqani ko'rsatdi.
Zararli faoliyat uchun olmos modeli
Ushbu modelga ko'ra, tegishli asosiy komponentlarga asoslangan 4 ta tahdidli ov strategiyasi mavjud.
1. Qurbonlarga yo'naltirilgan strategiya. Biz qurbonning raqiblari borligini va ular elektron pochta orqali "imkoniyatlarni" etkazib berishini taxmin qilamiz. Biz pochta orqali dushman ma'lumotlarini qidirmoqdamiz. Havolalar, qo'shimchalar va boshqalarni qidiring. Biz ushbu gipotezani ma'lum vaqt davomida (bir oy, ikki hafta) tasdiqlashni qidiramiz; agar topmasak, gipoteza ishlamadi.
2. Infratuzilmaga yo'naltirilgan strategiya. Ushbu strategiyadan foydalanishning bir necha usullari mavjud. Kirish va ko'rinishga qarab, ba'zilari boshqalarga qaraganda osonroq. Misol uchun, biz zararli domenlarni joylashtirish uchun ma'lum bo'lgan domen nomlari serverlarini kuzatamiz. Yoki biz raqib tomonidan ishlatiladigan ma'lum naqsh uchun barcha yangi domen nomlarini ro'yxatdan o'tkazishni kuzatish jarayonidan o'tamiz.
3. Imkoniyatlarga asoslangan strategiya. Aksariyat tarmoq himoyachilari tomonidan qo'llaniladigan qurbonga yo'naltirilgan strategiyadan tashqari, imkoniyatlarga yo'naltirilgan strategiya mavjud. Bu ikkinchi eng mashhur bo'lib, raqibning imkoniyatlarini, ya'ni "zararli dastur" va raqibning psexec, powershell, certutil va boshqalar kabi qonuniy vositalardan foydalanish qobiliyatini aniqlashga qaratilgan.
4. Dushmanga qaratilgan strategiya. Raqibga asoslangan yondashuv raqibning o'ziga qaratiladi. Bunga ochiq manbalardan (OSINT) foydalanish, dushman haqida ma'lumot to'plash, uning texnikasi va usullari (TTP), oldingi voqealarni tahlil qilish, Tahdid razvedkasi ma'lumotlari va boshqalar kiradi.
THda axborot manbalari va farazlar
Threat Hunting uchun ba'zi ma'lumot manbalari
Ko'p ma'lumot manbalari bo'lishi mumkin. Ideal tahlilchi atrofdagi hamma narsadan ma'lumot olishi kerak. Deyarli har qanday infratuzilmada odatiy manbalar xavfsizlik vositalaridan olingan ma'lumotlar bo'ladi: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Shuningdek, odatiy ma'lumot manbalari turli xil kelishuv ko'rsatkichlari, tahdidlarni razvedka xizmatlari, CERT va OSINT ma'lumotlari bo'ladi. Bundan tashqari, siz darknet ma'lumotlaridan foydalanishingiz mumkin (masalan, to'satdan tashkilot rahbarining pochta qutisini buzish haqida buyruq paydo bo'ldi yoki tarmoq muhandisi lavozimiga nomzod uning faoliyati uchun fosh bo'ldi), HR (oldingi ish joyidan nomzodning sharhlari), xavfsizlik xizmatidan olingan ma'lumotlar (masalan, kontragentni tekshirish natijalari).
Ammo barcha mavjud manbalardan foydalanishdan oldin, kamida bitta farazga ega bo'lish kerak.
Gipotezalarni tekshirish uchun avvalo ular ilgari surilishi kerak. Va ko'plab yuqori sifatli farazlarni ilgari surish uchun tizimli yondashuvni qo'llash kerak. Gipotezalarni yaratish jarayoni batafsilroq tavsiflangan, bu sxemani farazlarni ilgari surish jarayoni uchun asos qilib olish juda qulay.
Gipotezalarning asosiy manbai bo'ladi ATT&CK matritsasi (Raqib taktikasi, texnikasi va umumiy bilim). Bu mohiyatan, odatda Kill Chain kontseptsiyasi yordamida tasvirlangan hujumning so'nggi bosqichlarida o'z faoliyatini amalga oshiruvchi tajovuzkorlarning xatti-harakatlarini baholash uchun bilim bazasi va modelidir. Ya'ni, tajovuzkor korxonaning ichki tarmog'iga yoki mobil qurilmaga kirgandan keyingi bosqichlarda. Bilimlar bazasi dastlab hujumda qoʻllaniladigan 121 ta taktika va texnikaning tavsiflarini oʻz ichiga olgan boʻlib, ularning har biri Wiki formatida batafsil tavsiflangan. Har xil Threat Intelligence tahlillari farazlarni yaratish uchun manba sifatida juda mos keladi. Infratuzilma tahlili va penetratsion testlar natijalari alohida e'tiborga loyiqdir - bu eng qimmatli ma'lumotlar bo'lib, ular o'ziga xos kamchiliklari bilan ma'lum bir infratuzilmaga asoslanganligi sababli bizga temir gipotezalarni berishi mumkin.
Gipotezani tekshirish jarayoni
Sergey Soldatov olib keldi jarayonning batafsil tavsifi bilan TH gipotezalarini yagona tizimda sinab ko'rish jarayonini ko'rsatadi. Men asosiy bosqichlarni qisqacha tavsif bilan ko'rsataman.
1-bosqich: TI fermasi
Ushbu bosqichda ta'kidlash kerak ob'ektlar (barcha tahdid ma'lumotlari bilan birga ularni tahlil qilish orqali) va ularning xususiyatlari uchun yorliqlarni belgilash. Bular fayl, URL, MD5, jarayon, yordamchi dastur, voqea. Ularni Threat Intelligence tizimlari orqali o'tkazishda teglarni biriktirish kerak. Ya'ni, bu sayt falon yilda CNCda e'tiborga olindi, bu MD5 falon zararli dastur bilan bog'liq edi, bu MD5 zararli dasturlarni tarqatadigan saytdan yuklab olingan.
2-bosqich: holatlar
Ikkinchi bosqichda biz ushbu ob'ektlar o'rtasidagi o'zaro ta'sirni ko'rib chiqamiz va bu barcha ob'ektlar orasidagi munosabatlarni aniqlaymiz. Biz yomon ish qiladigan tizimlarni olamiz.
3-bosqich: tahlilchi
Uchinchi bosqichda ish tahlil qilishda katta tajribaga ega bo'lgan tajribali tahlilchiga topshiriladi va u hukm chiqaradi. U bu kodni nima, qaerda, qanday, nima uchun va nima uchun baytlarga tahlil qiladi. Bu tana zararli dastur edi, bu kompyuter zararlangan. Ob'ektlar orasidagi bog'lanishlarni ochib beradi, qum qutisi orqali ishlash natijalarini tekshiradi.
Tahlilchining ishi natijalari keyinroq uzatiladi. Raqamli kriminalistika rasmlarni tekshiradi, zararli dasturlarni tahlil qilish topilgan "tanalarni" tekshiradi va Voqealarga javob berish guruhi saytga borib, u erda biror narsani tekshirishi mumkin. Ishning natijasi tasdiqlangan gipoteza, aniqlangan hujum va unga qarshi kurashish usullari bo'ladi.
natijalar
Threat Hunting - bu moslashtirilgan, yangi va nostandart tahdidlarga samarali qarshi tura oladigan juda yosh texnologiya bo'lib, bunday tahdidlar soni ortib borayotgani va korporativ infratuzilmaning murakkabligi oshib borayotganini hisobga olgan holda katta istiqbolga ega. Bu uchta komponentni talab qiladi - ma'lumotlar, vositalar va tahlilchilar. Tahdid ovining afzalliklari tahdidlarni amalga oshirishning oldini olish bilan cheklanmaydi. Shuni unutmangki, qidiruv jarayonida biz infratuzilmamiz va uning zaif tomonlariga xavfsizlik tahlilchisi nazari bilan kirib boramiz va bu nuqtalarni yanada mustahkamlashimiz mumkin.
Bizning fikrimizcha, tashkilotingizda TH jarayonini boshlash uchun birinchi qadamlar qo'yilishi kerak.
- Oxirgi nuqtalar va tarmoq infratuzilmasini himoya qilish haqida g'amxo'rlik qiling. Tarmog'ingizdagi barcha jarayonlarning ko'rinishi (NetFlow) va nazorati (xavfsizlik devori, IDS, IPS, DLP) haqida g'amxo'rlik qiling. Tarmoqingizni chekka routerdan tortib to oxirgi xostgacha bilib oling.
- O'rganing.
- Hech bo'lmaganda asosiy tashqi resurslarning muntazam pentestlarini o'tkazing, uning natijalarini tahlil qiling, hujumning asosiy maqsadlarini aniqlang va ularning zaif tomonlarini yoping.
- Ochiq manbali Threat Intelligence tizimini (masalan, MISP, Yeti) joriy qiling va u bilan birgalikda jurnallarni tahlil qiling.
- Hodisalarga javob berish platformasini (IRP) amalga oshiring: R-Vision IRP, The Hive, shubhali fayllarni tahlil qilish uchun sinov maydoni (FortiSandbox, Cuckoo).
- Muntazam jarayonlarni avtomatlashtirish. Jurnallarni tahlil qilish, hodisalarni qayd etish, xodimlarni xabardor qilish avtomatlashtirish uchun katta maydondir.
- Voqealarda hamkorlik qilish uchun muhandislar, ishlab chiquvchilar va texnik yordam bilan samarali hamkorlik qilishni o'rganing.
- Butun jarayonni, asosiy fikrlarni, erishilgan natijalarni keyinchalik ularga qaytarish yoki ushbu ma'lumotlarni hamkasblar bilan baham ko'rish uchun hujjatlashtiring;
- Ijtimoiy bo'ling: xodimlaringiz bilan nima sodir bo'layotgani, kimlarni yollayotganingiz va tashkilotning axborot resurslariga kirish huquqini kimga berganligingizdan xabardor bo'ling.
- Yangi tahdidlar va himoya usullari sohasidagi tendentsiyalardan xabardor bo'ling, texnik savodxonlik darajasini oshiring (jumladan, IT xizmatlari va quyi tizimlar faoliyatida), konferentsiyalarda qatnashing va hamkasblar bilan muloqot qiling.
Izohlarda TH jarayonini tashkil qilishni muhokama qilishga tayyormiz.
Yoki biz bilan ishlang!
O'rganish uchun manbalar va materiallar
Manba: www.habr.com