95% các mối đe dọa bảo mật thông tin đã được biết đến và bạn có thể tự bảo vệ mình khỏi chúng bằng các phương tiện truyền thống như phần mềm chống vi-rút, tường lửa, IDS, WAF. 5% mối đe dọa còn lại chưa được biết đến và nguy hiểm nhất. Chúng tạo ra 70% rủi ro cho một công ty do rất khó phát hiện chúng và chưa nói đến việc bảo vệ chống lại chúng. Ví dụ là đại dịch ransomware WannaCry, NotPetya/ExPetr, thợ đào tiền mã hóa, “vũ khí mạng” Stuxnet (tấn công các cơ sở hạt nhân của Iran) và nhiều cuộc tấn công khác (có ai còn nhớ Kido/Conficker không?) khác vốn không được phòng vệ tốt bằng các biện pháp bảo mật cổ điển. Chúng tôi muốn nói về cách chống lại 5% mối đe dọa này bằng công nghệ Săn bắt mối đe dọa.
Sự phát triển liên tục của các cuộc tấn công mạng đòi hỏi phải có các biện pháp phát hiện và đối phó liên tục, điều này cuối cùng khiến chúng ta nghĩ đến một cuộc chạy đua vũ trang bất tận giữa những kẻ tấn công và những người phòng thủ. Các hệ thống bảo mật cổ điển không còn có thể cung cấp mức độ bảo mật có thể chấp nhận được, tại đó mức độ rủi ro không ảnh hưởng đến các chỉ số chính của công ty (kinh tế, chính trị, danh tiếng) mà không sửa đổi chúng cho phù hợp với cơ sở hạ tầng cụ thể, nhưng nhìn chung chúng bao gồm một số những rủi ro. Ngay trong quá trình triển khai và cấu hình, các hệ thống an ninh hiện đại nhận thấy vai trò của mình là bắt kịp và phải ứng phó với những thách thức của thời đại mới.
Công nghệ Săn tìm mối đe dọa có thể là một trong những câu trả lời cho những thách thức của thời đại chúng ta đối với một chuyên gia bảo mật thông tin. Thuật ngữ Threat Hunting (sau đây gọi tắt là TH) đã xuất hiện cách đây vài năm. Bản thân công nghệ này khá thú vị nhưng chưa có bất kỳ tiêu chuẩn và quy tắc nào được chấp nhận rộng rãi. Vấn đề còn phức tạp bởi sự không đồng nhất của các nguồn thông tin và số lượng nhỏ các nguồn thông tin bằng tiếng Nga về chủ đề này. Về vấn đề này, chúng tôi tại LANIT-Integration đã quyết định viết bài đánh giá về công nghệ này.
Mức độ liên quan
Công nghệ TH dựa vào các quy trình giám sát cơ sở hạ tầng.. Cảnh báo (tương tự như dịch vụ MSSP) là một phương pháp truyền thống để tìm kiếm các dấu hiệu và dấu hiệu tấn công đã được phát triển trước đó và phản hồi chúng. Kịch bản này được thực hiện thành công bằng các công cụ bảo vệ dựa trên chữ ký truyền thống. Săn bắn (dịch vụ loại MDR) là phương pháp giám sát nhằm trả lời câu hỏi “Chữ ký và quy tắc đến từ đâu?” Đó là quá trình tạo ra các quy tắc tương quan bằng cách phân tích các chỉ số và dấu hiệu bị ẩn hoặc chưa biết trước đó của một cuộc tấn công. Săn bắt mối đe dọa đề cập đến loại giám sát này.
Chỉ bằng cách kết hợp cả hai loại giám sát, chúng ta mới có được mức bảo vệ gần như lý tưởng nhưng luôn có một mức rủi ro tồn dư nhất định.
Bảo vệ bằng hai loại giám sát
Và đây là lý do tại sao TH (và toàn bộ hoạt động săn bắn!) sẽ ngày càng trở nên phù hợp:
Đe dọa, biện pháp khắc phục, rủi ro.
. Chúng bao gồm các loại như thư rác, DDoS, vi rút, rootkit và phần mềm độc hại cổ điển khác. Bạn có thể tự bảo vệ mình khỏi những mối đe dọa này bằng cách sử dụng các biện pháp bảo mật cổ điển tương tự.
Trong quá trình thực hiện bất kỳ dự án nào, và 20% công việc còn lại chiếm 80% thời gian. Tương tự như vậy, trong toàn bộ bối cảnh mối đe dọa, 5% mối đe dọa mới sẽ gây ra 70% rủi ro cho công ty. Trong một công ty nơi tổ chức các quy trình quản lý bảo mật thông tin, chúng tôi có thể quản lý 30% rủi ro khi thực hiện các mối đe dọa đã biết bằng cách này hay cách khác bằng cách tránh (từ chối mạng không dây về nguyên tắc), chấp nhận (thực hiện các biện pháp bảo mật cần thiết) hoặc chuyển đổi (ví dụ, đặt lên vai một nhà tích hợp) rủi ro này. Bảo vệ bạn khỏi, Tấn công APT, lừa đảo,, gián điệp mạng và các hoạt động quốc gia, cũng như một số lượng lớn các cuộc tấn công khác vốn đã khó khăn hơn nhiều. Hậu quả của 5% mối đe dọa này sẽ nghiêm trọng hơn nhiều () hơn là hậu quả của spam hay virus mà phần mềm diệt virus lưu lại.
Hầu hết mọi người đều phải đối mặt với 5% các mối đe dọa. Gần đây chúng tôi đã phải cài đặt một giải pháp nguồn mở sử dụng một ứng dụng từ kho lưu trữ PEAR (Kho lưu trữ ứng dụng và tiện ích mở rộng PHP). Nỗ lực cài đặt ứng dụng này thông qua cài đặt lê không thành công vì không có sẵn (bây giờ vẫn còn sơ khai), tôi phải cài đặt nó từ GitHub. Và mới đây hóa ra PEAR lại trở thành nạn nhân.
Bạn vẫn có thể nhớ, một đợt bùng phát của ransomware NePetya thông qua mô-đun cập nhật cho chương trình báo cáo thuế. Các mối đe dọa ngày càng trở nên phức tạp hơn và câu hỏi hợp lý được đặt ra - “Làm cách nào chúng ta có thể chống lại 5% mối đe dọa này?”
Định nghĩa về săn lùng mối đe dọa
Vì vậy, Săn bắt mối đe dọa là quá trình tìm kiếm và phát hiện chủ động, lặp đi lặp lại các mối đe dọa nâng cao mà các công cụ bảo mật truyền thống không thể phát hiện được. Ví dụ: các mối đe dọa nâng cao bao gồm các cuộc tấn công như APT, tấn công vào các lỗ hổng 0 ngày, Living off the Land, v.v.
Chúng ta cũng có thể diễn đạt lại rằng TH là quá trình kiểm tra các giả thuyết. Đây là một quy trình chủ yếu thủ công với các yếu tố tự động hóa, trong đó nhà phân tích, dựa vào kiến thức và kỹ năng của mình, sàng lọc khối lượng lớn thông tin để tìm kiếm các dấu hiệu thỏa hiệp tương ứng với giả thuyết được xác định ban đầu về sự hiện diện của một mối đe dọa nhất định. Đặc điểm nổi bật của nó là sự đa dạng của các nguồn thông tin.
Cần lưu ý rằng Threat Hunting không phải là một loại sản phẩm phần mềm hoặc phần cứng nào đó. Đây không phải là những cảnh báo có thể được nhìn thấy trong một số giải pháp. Đây không phải là quá trình tìm kiếm IOC (Số nhận dạng thỏa hiệp). Và đây không phải là một loại hoạt động thụ động diễn ra mà không có sự tham gia của các nhà phân tích bảo mật thông tin. Săn bắt mối đe dọa trước hết là một quá trình.
Các thành phần của việc săn lùng mối đe dọa
Ba thành phần chính của Săn lùng mối đe dọa: dữ liệu, công nghệ, con người.
Dữ liệu (cái gì?), bao gồm cả Dữ liệu lớn. Tất cả các loại luồng lưu lượng truy cập, thông tin về các APT trước đó, phân tích, dữ liệu về hoạt động của người dùng, dữ liệu mạng, thông tin từ nhân viên, thông tin trên darknet và nhiều hơn thế nữa.
Công nghệ (làm thế nào?) xử lý dữ liệu này - tất cả các cách có thể xử lý dữ liệu này, bao gồm cả Machine Learning.
Mọi người (ai?) – những người có nhiều kinh nghiệm trong việc phân tích các cuộc tấn công khác nhau, phát triển trực giác và khả năng phát hiện một cuộc tấn công. Thông thường, đây là những nhà phân tích bảo mật thông tin, những người phải có khả năng đưa ra các giả thuyết và tìm ra sự xác nhận cho chúng. Họ là mắt xích chính trong quá trình này.
Người mẫu PARIS
Adam Bateman Mô hình PARIS cho quá trình TH lý tưởng. Cái tên ám chỉ đến một địa danh nổi tiếng ở Pháp. Mô hình này có thể được xem theo hai hướng - từ trên và từ dưới.
Khi thực hiện mô hình từ dưới lên, chúng ta sẽ gặp rất nhiều bằng chứng về hoạt động độc hại. Mỗi bằng chứng đều có một thước đo gọi là độ tin cậy - đặc điểm phản ánh sức nặng của bằng chứng này. Có “sắt”, bằng chứng trực tiếp về hoạt động độc hại, theo đó chúng ta có thể ngay lập tức đạt đến đỉnh kim tự tháp và tạo ra cảnh báo thực tế về một bệnh lây nhiễm đã biết chính xác. Và có bằng chứng gián tiếp, tổng số của chúng cũng có thể đưa chúng ta lên đỉnh kim tự tháp. Như mọi khi, có nhiều bằng chứng gián tiếp hơn bằng chứng trực tiếp, có nghĩa là chúng cần được sắp xếp và phân tích, phải tiến hành nghiên cứu bổ sung và nên tự động hóa việc này.
Người mẫu PARIS.
Phần trên của mô hình (1 và 2) dựa trên các công nghệ tự động hóa và các phân tích khác nhau, còn phần dưới (3 và 4) dựa trên những người có trình độ nhất định quản lý quy trình. Bạn có thể xem xét mô hình di chuyển từ trên xuống dưới, trong đó ở phần trên của màu xanh lam, chúng tôi có các cảnh báo từ các công cụ bảo mật truyền thống (chống vi-rút, EDR, tường lửa, chữ ký) với mức độ tin cậy và tin cậy cao và bên dưới là các chỉ báo ( IOC, URL, MD5 và các loại khác), có mức độ chắc chắn thấp hơn và cần nghiên cứu bổ sung. Và cấp độ thấp nhất và dày đặc nhất (4) là việc đưa ra các giả thuyết, tạo ra các kịch bản mới cho hoạt động của các phương tiện bảo vệ truyền thống. Mức độ này không chỉ giới hạn ở các nguồn giả thuyết được chỉ định. Cấp độ càng thấp thì càng có nhiều yêu cầu về trình độ chuyên môn của nhà phân tích.
Điều rất quan trọng là các nhà phân tích không chỉ đơn giản kiểm tra một tập hợp hữu hạn các giả thuyết đã xác định trước mà còn phải liên tục làm việc để tạo ra các giả thuyết và phương án mới để kiểm tra chúng.
Mô hình trưởng thành sử dụng TH
Trong một thế giới lý tưởng, TH là một quá trình diễn ra liên tục. Nhưng vì không có thế giới lý tưởng nên hãy phân tích và phương pháp về mặt con người, quy trình và công nghệ được sử dụng. Chúng ta hãy xem xét mô hình của một TH lý tưởng hình cầu. Có 5 cấp độ sử dụng công nghệ này. Hãy xem xét chúng bằng ví dụ về sự phát triển của một nhóm các nhà phân tích.
Mức độ trưởng thành
Nhân dân
Процессы
Công nghệ
Cấp độ 0
Nhà phân tích SOC
24/7
Nhạc cụ truyền thống:
Truyền thống
Bộ cảnh báo
Giám sát thụ động
IDS, AV, Hộp cát,
không có TH
Làm việc với cảnh báo
Công cụ phân tích chữ ký, dữ liệu Thông tin về mối đe dọa.
Cấp độ 1
Nhà phân tích SOC
TH một lần
BDU
Thực nghiệm
Kiến thức cơ bản về pháp y
tìm kiếm IOC
Bảo hiểm một phần dữ liệu từ các thiết bị mạng
Thí nghiệm với TH
Có kiến thức tốt về mạng và ứng dụng
Ứng dụng một phần
Cấp độ 2
Chiếm đóng tạm thời
Nước rút
BDU
Định kỳ
Kiến thức trung bình về pháp y
Tuần này sang tháng khác
Ứng dụng đầy đủ
TH tạm thời
Kiến thức tốt về mạng và ứng dụng
TH thông thường
Tự động hóa hoàn toàn việc sử dụng dữ liệu EDR
Sử dụng một phần các khả năng EDR nâng cao
Cấp độ 3
Lệnh TH chuyên dụng
24/7
Khả năng kiểm tra một phần giả thuyết TH
phòng ngừa
Kiến thức tuyệt vời về pháp y và phần mềm độc hại
TH phòng ngừa
Sử dụng đầy đủ các khả năng EDR tiên tiến
Trường hợp đặc biệt TH
Kiến thức tuyệt vời về phía tấn công
Trường hợp đặc biệt TH
Bảo hiểm đầy đủ dữ liệu từ các thiết bị mạng
Cấu hình phù hợp với nhu cầu của bạn
Cấp độ 4
Lệnh TH chuyên dụng
24/7
Có đầy đủ khả năng kiểm tra giả thuyết TH
Dẫn đầu
Kiến thức tuyệt vời về pháp y và phần mềm độc hại
TH phòng ngừa
Cấp 3, cộng thêm:
Sử dụng TH
Kiến thức tuyệt vời về phía tấn công
Kiểm tra, tự động hóa và xác minh các giả thuyết TH
tích hợp chặt chẽ các nguồn dữ liệu;
Khả năng nghiên cứu
phát triển theo nhu cầu và sử dụng API không chuẩn.
Mức độ trưởng thành của TH theo con người, quy trình và công nghệ
Cấp độ 0: truyền thống, không sử dụng TH. Các nhà phân tích thông thường làm việc với một bộ cảnh báo tiêu chuẩn ở chế độ giám sát thụ động bằng cách sử dụng các công cụ và công nghệ tiêu chuẩn: IDS, AV, hộp cát, công cụ phân tích chữ ký.
Cấp độ 1: thực nghiệm, sử dụng TH. Các nhà phân tích tương tự có kiến thức cơ bản về điều tra cũng như kiến thức tốt về mạng và ứng dụng có thể thực hiện Săn lùng mối đe dọa một lần bằng cách tìm kiếm các dấu hiệu xâm phạm. EDR được thêm vào các công cụ bao phủ một phần dữ liệu từ các thiết bị mạng. Các công cụ được sử dụng một phần.
Cấp độ 2: TH định kỳ, tạm thời. Các nhà phân tích tương tự đã nâng cấp kiến thức của họ về pháp y, mạng và phần ứng dụng được yêu cầu thường xuyên tham gia Săn lùng mối đe dọa (chạy nước rút), chẳng hạn, một tuần một tháng. Các công cụ này bổ sung khả năng khám phá toàn bộ dữ liệu từ các thiết bị mạng, tự động hóa phân tích dữ liệu từ EDR và sử dụng một phần các khả năng EDR nâng cao.
Cấp độ 3: trường hợp phòng ngừa, thường xuyên của TH. Các nhà phân tích của chúng tôi đã tự tổ chức thành một nhóm chuyên dụng và bắt đầu có kiến thức tuyệt vời về pháp y và phần mềm độc hại, cũng như kiến thức về các phương pháp và chiến thuật của bên tấn công. Quá trình này đã được thực hiện 24/7. Nhóm có thể kiểm tra một phần các giả thuyết TH trong khi tận dụng tối đa các khả năng nâng cao của EDR với phạm vi bao phủ toàn bộ dữ liệu từ các thiết bị mạng. Các nhà phân tích cũng có thể cấu hình các công cụ phù hợp với nhu cầu của họ.
Cấp độ 4: cao cấp thì dùng TH. Nhóm tương tự đã có được khả năng nghiên cứu, khả năng tạo và tự động hóa quá trình thử nghiệm các giả thuyết TH. Giờ đây, các công cụ này đã được bổ sung bằng cách tích hợp chặt chẽ các nguồn dữ liệu, phát triển phần mềm để đáp ứng nhu cầu và sử dụng API không chuẩn.
Kỹ thuật săn lùng mối đe dọa
Kỹ thuật săn mối đe dọa cơ bản
К TH, theo thứ tự phát triển của công nghệ được sử dụng, là: tìm kiếm cơ bản, phân tích thống kê, kỹ thuật trực quan hóa, tổng hợp đơn giản, học máy và phương pháp Bayesian.
Phương pháp đơn giản nhất, tìm kiếm cơ bản, được sử dụng để thu hẹp phạm vi nghiên cứu bằng các truy vấn cụ thể. Ví dụ, phân tích thống kê được sử dụng để xây dựng hoạt động mạng hoặc người dùng điển hình dưới dạng mô hình thống kê. Kỹ thuật trực quan hóa được sử dụng để hiển thị trực quan và đơn giản hóa việc phân tích dữ liệu dưới dạng đồ thị và biểu đồ, giúp phân biệt các mẫu trong mẫu dễ dàng hơn nhiều. Kỹ thuật tổng hợp đơn giản theo các trường chính được sử dụng để tối ưu hóa tìm kiếm và phân tích. Quy trình TH của tổ chức càng hoàn thiện thì việc sử dụng thuật toán học máy càng trở nên phù hợp hơn. Chúng cũng được sử dụng rộng rãi trong việc lọc thư rác, phát hiện lưu lượng độc hại và phát hiện các hoạt động lừa đảo. Một loại thuật toán học máy tiên tiến hơn là phương pháp Bayesian, cho phép phân loại, giảm kích thước mẫu và mô hình hóa chủ đề.
Mô hình kim cương và chiến lược TH
Sergio Caltagiron, Andrew Pendegast và Christopher Betz trong công việc của họ "» hiển thị các thành phần chính của bất kỳ hoạt động độc hại nào và mối liên hệ cơ bản giữa chúng.
Mô hình kim cương cho hoạt động độc hại
Theo mô hình này, có 4 chiến lược Săn bắt mối đe dọa dựa trên các thành phần chính tương ứng.
1. Chiến lược hướng tới nạn nhân. Chúng tôi cho rằng nạn nhân có đối thủ và họ sẽ đưa ra “cơ hội” qua email. Chúng tôi đang tìm kiếm dữ liệu của kẻ thù trong thư. Tìm kiếm liên kết, tệp đính kèm, v.v. Chúng tôi đang tìm kiếm sự xác nhận cho giả thuyết này trong một khoảng thời gian nhất định (một tháng, hai tuần), nếu chúng tôi không tìm thấy nó thì giả thuyết đó đã không có tác dụng.
2. Chiến lược định hướng cơ sở hạ tầng. Có một số phương pháp để sử dụng chiến lược này. Tùy thuộc vào khả năng truy cập và khả năng hiển thị, một số dễ dàng hơn những cái khác. Ví dụ: chúng tôi giám sát các máy chủ tên miền được biết là lưu trữ các miền độc hại. Hoặc chúng tôi thực hiện quá trình giám sát tất cả các đăng ký tên miền mới theo một mẫu đã biết được sử dụng bởi đối thủ.
3. Chiến lược định hướng năng lực. Ngoài chiến lược tập trung vào nạn nhân được hầu hết những người bảo vệ mạng sử dụng, còn có chiến lược tập trung vào cơ hội. Nó phổ biến thứ hai và tập trung vào việc phát hiện các khả năng từ đối thủ, cụ thể là “phần mềm độc hại” và khả năng đối thủ sử dụng các công cụ hợp pháp như psexec, powershell, certutil và các công cụ khác.
4. Chiến lược hướng vào địch. Cách tiếp cận lấy đối thủ làm trung tâm tập trung vào chính đối thủ. Điều này bao gồm việc sử dụng thông tin mở từ các nguồn công khai (OSINT), thu thập dữ liệu về kẻ thù, các kỹ thuật và phương pháp của hắn (TTP), phân tích các sự cố trước đó, dữ liệu Thông tin về mối đe dọa, v.v.
Nguồn thông tin và giả thuyết trong TH
Một số nguồn thông tin cho Threat Hunting
Có thể có nhiều nguồn thông tin. Một nhà phân tích lý tưởng phải có khả năng trích xuất thông tin từ mọi thứ xung quanh. Các nguồn điển hình trong hầu hết mọi cơ sở hạ tầng sẽ là dữ liệu từ các công cụ bảo mật: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Ngoài ra, các nguồn thông tin điển hình sẽ là các chỉ báo khác nhau về sự xâm phạm, dịch vụ Thông tin về mối đe dọa, dữ liệu CERT và OSINT. Ngoài ra, bạn có thể sử dụng thông tin từ darknet (ví dụ: đột nhiên có lệnh hack hộp thư của người đứng đầu một tổ chức hoặc một ứng cử viên cho vị trí kỹ sư mạng đã bị lộ vì hoạt động của anh ta), thông tin nhận được từ Nhân sự (đánh giá của ứng viên từ nơi làm việc trước đây), thông tin từ dịch vụ bảo mật (ví dụ: kết quả xác minh của đối tác).
Nhưng trước khi sử dụng tất cả các nguồn sẵn có, cần phải có ít nhất một giả thuyết.
Để kiểm tra các giả thuyết, trước tiên chúng phải được đưa ra. Và để đưa ra được nhiều giả thuyết có chất lượng cao cần áp dụng phương pháp tiếp cận có tính hệ thống. Quá trình hình thành các giả thuyết được mô tả chi tiết hơn trong, sẽ rất thuận tiện khi lấy sơ đồ này làm cơ sở cho quá trình đưa ra các giả thuyết.
Nguồn giả thuyết chính sẽ là Ma trận ATT&CK (Chiến thuật đối kháng, kỹ thuật và kiến thức chung). Về bản chất, đây là cơ sở kiến thức và mô hình để đánh giá hành vi của những kẻ tấn công thực hiện các hoạt động của chúng trong các bước cuối cùng của cuộc tấn công, thường được mô tả bằng khái niệm Kill Chain. Tức là ở giai đoạn sau khi kẻ tấn công đã xâm nhập vào mạng nội bộ của doanh nghiệp hoặc vào thiết bị di động. Cơ sở kiến thức ban đầu bao gồm các mô tả về 121 chiến thuật và kỹ thuật được sử dụng trong tấn công, mỗi chiến thuật và kỹ thuật đó đều được mô tả chi tiết ở định dạng Wiki. Các phân tích Thông tin về mối đe dọa khác nhau rất phù hợp làm nguồn tạo ra các giả thuyết. Đặc biệt lưu ý là kết quả phân tích cơ sở hạ tầng và thử nghiệm thâm nhập - đây là dữ liệu có giá trị nhất có thể cung cấp cho chúng ta các giả thuyết chắc chắn do thực tế là chúng dựa trên một cơ sở hạ tầng cụ thể với những thiếu sót cụ thể.
Quy trình kiểm định giả thuyết
Sergei Soldatov mang theo với phần mô tả chi tiết về quy trình, nó minh họa quy trình kiểm tra các giả thuyết TH trong một hệ thống duy nhất. Tôi sẽ chỉ ra các giai đoạn chính bằng một mô tả ngắn gọn.
Giai đoạn 1: Trang trại TI
Ở giai đoạn này cần nhấn mạnh các đối tượng (bằng cách phân tích chúng cùng với tất cả dữ liệu về mối đe dọa) và gán nhãn cho các đặc điểm của chúng. Đó là tệp, URL, MD5, quy trình, tiện ích, sự kiện. Khi chuyển chúng qua hệ thống Threat Intelligence, cần phải đính kèm thẻ. Nghĩa là, trang web này đã được CNC chú ý vào một năm nọ, MD5 này có liên quan đến phần mềm độc hại đó, MD5 này được tải xuống từ một trang web phân phối phần mềm độc hại.
Giai đoạn 2: Các trường hợp
Ở giai đoạn thứ hai, chúng tôi xem xét sự tương tác giữa các đối tượng này và xác định mối quan hệ giữa tất cả các đối tượng này. Chúng tôi nhận được các hệ thống được đánh dấu làm điều gì đó xấu.
Giai đoạn 3: Nhà phân tích
Ở giai đoạn thứ ba, vụ việc được chuyển cho một nhà phân tích có kinh nghiệm, người có nhiều kinh nghiệm phân tích và anh ta sẽ đưa ra phán quyết. Anh ta phân tích cú pháp từng byte cái gì, ở đâu, như thế nào, tại sao và tại sao mã này làm được. Phần thân này là phần mềm độc hại, máy tính này đã bị nhiễm virus. Hiển thị kết nối giữa các đối tượng, kiểm tra kết quả chạy qua hộp cát.
Kết quả công việc của nhà phân tích được truyền đi xa hơn. Điều tra kỹ thuật số kiểm tra hình ảnh, Phân tích phần mềm độc hại kiểm tra “các thi thể” được tìm thấy và nhóm Ứng phó sự cố có thể truy cập trang web và điều tra nội dung nào đó đã có ở đó. Kết quả của công việc sẽ là một giả thuyết được xác nhận, một cuộc tấn công được xác định và các cách để chống lại nó.
Kết quả
Săn bắt mối đe dọa là một công nghệ khá trẻ, có thể chống lại các mối đe dọa tùy chỉnh, mới và phi tiêu chuẩn một cách hiệu quả, có triển vọng lớn do số lượng các mối đe dọa như vậy ngày càng tăng và mức độ phức tạp ngày càng tăng của cơ sở hạ tầng doanh nghiệp. Nó đòi hỏi ba thành phần - dữ liệu, công cụ và nhà phân tích. Lợi ích của Săn lùng mối đe dọa không chỉ giới hạn ở việc ngăn chặn việc thực hiện các mối đe dọa. Đừng quên rằng trong quá trình tìm kiếm, chúng tôi đi sâu vào cơ sở hạ tầng của mình và các điểm yếu của nó dưới con mắt của nhà phân tích bảo mật và có thể củng cố thêm những điểm này.
Theo chúng tôi, những bước đầu tiên cần được thực hiện để bắt đầu quá trình TH trong tổ chức của bạn.
- Chú ý bảo vệ điểm cuối và cơ sở hạ tầng mạng. Chăm sóc khả năng hiển thị (NetFlow) và kiểm soát (tường lửa, IDS, IPS, DLP) của tất cả các quy trình trên mạng của bạn. Biết mạng của bạn từ bộ định tuyến biên đến máy chủ cuối cùng.
- Khám phá.
- Tiến hành kiểm tra thường xuyên ít nhất các tài nguyên quan trọng bên ngoài, phân tích kết quả, xác định các mục tiêu chính để tấn công và đóng các lỗ hổng của chúng.
- Triển khai hệ thống Thông tin về mối đe dọa nguồn mở (ví dụ: MISP, Yeti) và phân tích nhật ký kết hợp với hệ thống đó.
- Triển khai nền tảng ứng phó sự cố (IRP): R-Vision IRP, The Hive, sandbox để phân tích các tệp đáng ngờ (FortiSandbox, Cuckoo).
- Tự động hóa các quy trình thường lệ. Phân tích nhật ký, ghi lại sự cố, thông báo cho nhân viên là một lĩnh vực rất lớn để tự động hóa.
- Học cách tương tác hiệu quả với các kỹ sư, nhà phát triển và bộ phận hỗ trợ kỹ thuật để cộng tác giải quyết các sự cố.
- Ghi lại toàn bộ quá trình, những điểm chính, kết quả đạt được để quay lại sau hoặc chia sẻ dữ liệu này với đồng nghiệp;
- Hãy hòa đồng: Hãy nhận biết những gì đang xảy ra với nhân viên của bạn, những người bạn thuê và những người bạn cấp quyền truy cập vào các nguồn thông tin của tổ chức.
- Theo kịp các xu hướng trong lĩnh vực các mối đe dọa và phương pháp bảo vệ mới, nâng cao trình độ hiểu biết về kỹ thuật của bạn (bao gồm cả việc vận hành các dịch vụ CNTT và hệ thống con), tham dự hội nghị và giao tiếp với đồng nghiệp.
Sẵn sàng thảo luận về việc tổ chức quá trình TH trong phần bình luận.
Hoặc đến làm việc với chúng tôi!
Nguồn và tài liệu để nghiên cứu
Nguồn: www.habr.com