95% ti awọn irokeke aabo alaye ni a mọ, ati pe o le daabobo ararẹ lọwọ wọn nipa lilo awọn ọna ibile gẹgẹbi awọn antiviruses, firewalls, IDS, WAF. 5% ti o ku ti awọn irokeke jẹ aimọ ati ewu julọ. Wọn jẹ 70% ti eewu fun ile-iṣẹ nitori otitọ pe o ṣoro pupọ lati rii wọn, pupọ kere si aabo lodi si wọn. Awọn apẹẹrẹ ni WannaCry ransomware ajakale, NotPetya / ExPetr, cryptominers, awọn "cyber Multani" Stuxnet (eyi ti o lu Iran ká iparun ohun elo) ati ọpọlọpọ awọn (ẹnikẹni miran ranti Kido / Conficker?) Awọn ikọlu miiran ti ko ni aabo daradara si pẹlu awọn igbese aabo kilasika. A fẹ lati sọrọ nipa bi a ṣe le koju 5% awọn irokeke wọnyi nipa lilo imọ-ẹrọ Irokeke Sode.
Itankalẹ lemọlemọfún ti awọn ikọlu cyber nilo wiwa igbagbogbo ati awọn ọna atako, eyiti o jẹ ki a ronu ti ere-ije ohun ija ailopin laarin awọn ikọlu ati awọn olugbeja. Awọn eto aabo Ayebaye ko ni anfani lati pese ipele aabo itẹwọgba, ninu eyiti ipele ewu ko ni ipa awọn itọkasi bọtini ile-iṣẹ (aje, iṣelu, orukọ rere) laisi iyipada wọn fun awọn amayederun kan pato, ṣugbọn ni gbogbogbo wọn bo diẹ ninu awọn ti awọn ewu. Tẹlẹ ninu ilana imuse ati iṣeto, awọn eto aabo ode oni wa ara wọn ni ipa ti mimu ati pe o gbọdọ dahun si awọn italaya ti akoko tuntun.
Imọ-ẹrọ Sode Irokeke le jẹ ọkan ninu awọn idahun si awọn italaya ti akoko wa fun alamọja aabo alaye. Oro ti Irokeke Sode (eyi ti a tọka si bi TH) han opolopo odun seyin. Imọ-ẹrọ funrararẹ jẹ ohun ti o dun, ṣugbọn ko sibẹsibẹ ni eyikeyi awọn iṣedede ti a gba ni gbogbogbo ati awọn ofin. Ọrọ naa tun jẹ idiju nipasẹ iyatọ ti awọn orisun alaye ati nọmba kekere ti awọn orisun alaye ti ede Russian lori koko yii. Ni iyi yii, awa ni LANIT-Integration pinnu lati kọ atunyẹwo ti imọ-ẹrọ yii.
Ipadii
Imọ-ẹrọ TH da lori awọn ilana ibojuwo amayederun.. Titaniji (bii awọn iṣẹ MSSP) jẹ ọna aṣa ti wiwa fun awọn ibuwọlu ti o ti dagbasoke tẹlẹ ati awọn ami ikọlu ati idahun si wọn. Oju iṣẹlẹ yii jẹ ṣiṣe ni aṣeyọri nipasẹ awọn irinṣẹ aabo ti o da lori ibuwọlu. Sode (iṣẹ iru MDR) jẹ ọna ibojuwo ti o dahun ibeere naa “Nibo ni awọn ibuwọlu ati awọn ofin ti wa?” O jẹ ilana ti ṣiṣẹda awọn ofin ibamu nipa ṣiṣe itupalẹ awọn afihan ti o farapamọ tabi aimọ tẹlẹ ati awọn ami ikọlu. Irokeke Sode ntokasi si yi iru monitoring.
Nikan nipa apapọ awọn iru ibojuwo mejeeji ni a gba aabo ti o sunmọ bojumu, ṣugbọn nigbagbogbo ipele kan ti eewu iyokù wa.
Idaabobo lilo meji orisi ti monitoring
Ati pe eyi ni idi ti TH (ati sode ni gbogbo rẹ!) yoo di ibaramu siwaju sii:
Irokeke, awọn atunṣe, awọn ewu.
. Iwọnyi pẹlu awọn iru bii àwúrúju, DDoS, awọn virus, rootkits ati malware miiran ti Ayebaye. O le daabobo ararẹ lọwọ awọn irokeke wọnyi ni lilo awọn iwọn aabo Ayebaye kanna.
Nigba imuse ti eyikeyi ise agbese, ati awọn ti o ku 20% ti awọn iṣẹ gba 80% ti awọn akoko. Bakanna, kọja gbogbo ala-ilẹ irokeke, 5% ti awọn irokeke tuntun yoo ṣe akọọlẹ fun 70% ti ewu si ile-iṣẹ kan. Ni ile-iṣẹ nibiti a ti ṣeto awọn ilana iṣakoso aabo alaye, a le ṣakoso 30% ti eewu ti imuse ti awọn irokeke ti a mọ ni ọna kan tabi omiiran nipa yago fun (kiko ti awọn nẹtiwọọki alailowaya ni ipilẹ), gbigba (imuse awọn igbese aabo pataki) tabi yiyi pada. (fun apẹẹrẹ, lori awọn ejika ti olutọpa) ewu yii. Dabobo ara rẹ lati, APT ikọlu, ararẹ,, Cyber espionage ati ti orile-ede mosi, bi daradara bi kan ti o tobi nọmba ti miiran ku ni o wa tẹlẹ Elo siwaju sii soro. Awọn abajade ti 5% ti awọn irokeke yoo jẹ pataki diẹ sii () ju awọn abajade ti àwúrúju tabi awọn ọlọjẹ, lati eyiti software antivirus ṣe fipamọ.
Fere gbogbo eniyan ni lati koju 5% ti awọn irokeke. Laipẹ a ni lati fi sori ẹrọ ojutu orisun-ìmọ ti o nlo ohun elo kan lati ibi ipamọ PEAR (Ifaagun PHP ati Ibi ipamọ Ohun elo). Igbiyanju lati fi sori ẹrọ ohun elo yii nipasẹ fifi sori eso pia kuna nitori ko si (bayi o wa stub lori rẹ), Mo ni lati fi sii lati GitHub. Ati pe laipẹ o wa jade pe PEAR di olufaragba.
O tun le ranti, ajakale-arun ti NePetya ransomware nipasẹ module imudojuiwọn fun eto ijabọ owo-ori. Irokeke ti n ni ilọsiwaju siwaju ati siwaju sii, ati pe ibeere ọgbọn naa waye - “Bawo ni a ṣe le koju 5% awọn irokeke wọnyi?”
Definition ti Irokeke Sode
Nitorinaa, Irokeke Sode jẹ ilana ti ṣiṣiṣẹ ati wiwa arosọ ati wiwa awọn irokeke ilọsiwaju ti a ko le rii nipasẹ awọn irinṣẹ aabo ibile. Irokeke to ti ni ilọsiwaju pẹlu, fun apẹẹrẹ, awọn ikọlu bii APT, ikọlu lori awọn ailagbara ọjọ-0, Gbigbe kuro ni Ilẹ, ati bẹbẹ lọ.
A tun le tun sọ pe TH jẹ ilana ti idanwo awọn idawọle. Eyi jẹ ilana afọwọṣe ti o bori pupọ pẹlu awọn eroja ti adaṣe, ninu eyiti oluyanju, ti o da lori imọ rẹ ati awọn ọgbọn rẹ, ṣaja nipasẹ awọn iwọn nla ti alaye ni wiwa awọn ami adehun ti o ni ibamu si idawọle akọkọ ti a pinnu nipa wiwa irokeke kan. Ẹya iyasọtọ rẹ ni ọpọlọpọ awọn orisun alaye.
O yẹ ki o ṣe akiyesi pe Irokeke Sode kii ṣe iru sọfitiwia tabi ọja ohun elo. Iwọnyi kii ṣe awọn itaniji ti o le rii ni diẹ ninu awọn ojutu. Eyi kii ṣe ilana wiwa IOC (Awọn oludamo ti Compromise). Ati pe eyi kii ṣe diẹ ninu iru iṣẹ ṣiṣe palolo ti o waye laisi ikopa ti awọn atunnkanka aabo alaye. Irokeke Sode jẹ akọkọ ati ṣaaju ilana kan.
Awọn irinše ti Irokeke Sode
Awọn paati akọkọ mẹta ti Irokeke Sode: data, ọna ẹrọ, eniyan.
Data (kini?), pẹlu Big Data. Gbogbo iru awọn ṣiṣan ijabọ, alaye nipa awọn APT ti tẹlẹ, awọn atupale, data lori iṣẹ olumulo, data nẹtiwọọki, alaye lati ọdọ awọn oṣiṣẹ, alaye lori darknet ati pupọ diẹ sii.
Awọn imọ-ẹrọ (bawo?) ṣiṣe data yii - gbogbo awọn ọna ti o ṣeeṣe fun sisẹ data yii, pẹlu Ẹkọ Ẹrọ.
Awọn eniyan (tani?) - awọn ti o ni iriri nla ni itupalẹ ọpọlọpọ awọn ikọlu, imọ-jinlẹ idagbasoke ati agbara lati rii ikọlu kan. Ni deede iwọnyi jẹ awọn atunnkanka aabo alaye ti o gbọdọ ni agbara lati ṣe agbekalẹ awọn idawọle ati rii ijẹrisi fun wọn. Wọn jẹ ọna asopọ akọkọ ninu ilana naa.
Awoṣe PARIS
Adam Bateman PARIS awoṣe fun awọn bojumu TH ilana. O dabi pe orukọ naa tọka si ami-ilẹ olokiki kan ni Ilu Faranse. Awoṣe yii le wo ni awọn itọnisọna meji - lati oke ati lati isalẹ.
Bi a ṣe n ṣiṣẹ ọna wa nipasẹ awoṣe lati isalẹ soke, a yoo pade ọpọlọpọ awọn ẹri ti iṣẹ-ṣiṣe irira. Ẹri kọọkan ni iwọn ti a pe ni igbẹkẹle - abuda kan ti o ṣe afihan iwuwo ti ẹri yii. “irin” wa, ẹri taara ti iṣẹ irira, ni ibamu si eyiti a le de ọdọ oke jibiti naa lẹsẹkẹsẹ ki o ṣẹda itaniji gangan nipa ikolu ti a mọ ni pato. Ati pe ẹri aiṣe-taara wa, apapọ eyiti o tun le mu wa lọ si oke ti jibiti naa. Gẹgẹbi nigbagbogbo, ẹri aiṣe-taara pupọ wa ju ẹri taara lọ, eyiti o tumọ si pe wọn nilo lati ṣe lẹsẹsẹ ati itupalẹ, awọn iwadii afikun gbọdọ wa ni ṣiṣe, ati pe o ni imọran lati ṣe adaṣe adaṣe yii.
Awoṣe PARIS.
Apa oke ti awoṣe (1 ati 2) da lori awọn imọ-ẹrọ adaṣe ati ọpọlọpọ awọn atupale, ati apakan isalẹ (3 ati 4) da lori awọn eniyan ti o ni awọn afijẹẹri kan ti o ṣakoso ilana naa. O le ronu awoṣe ti nlọ lati oke de isalẹ, nibiti o wa ni apa oke ti awọ buluu ti a ni awọn itaniji lati awọn irinṣẹ aabo ibile (agboogun, EDR, ogiriina, awọn ibuwọlu) pẹlu iwọn giga ti igbẹkẹle ati igbẹkẹle, ati ni isalẹ wa awọn olufihan ( IOC, URL, MD5 ati awọn miiran), eyiti o ni iwọn kekere ti idaniloju ati nilo ikẹkọ afikun. Ati ipele ti o kere julọ ati ti o nipọn julọ (4) jẹ iran ti awọn idawọle, ẹda awọn oju iṣẹlẹ tuntun fun iṣẹ ti awọn ọna aabo ti aṣa. Ipele yii ko ni opin nikan si awọn orisun asọye ti awọn idawọle. Ni isalẹ ipele, awọn ibeere diẹ sii ni a gbe sori awọn afijẹẹri oluyanju.
O ṣe pataki pupọ pe awọn atunnkanka ma ṣe ṣe idanwo eto ipari ti awọn idawọle ti a ti pinnu tẹlẹ, ṣugbọn ṣiṣẹ nigbagbogbo lati ṣe agbekalẹ awọn idawọle ati awọn aṣayan fun idanwo wọn.
Awoṣe Igbagbo Lilo TH
Ninu aye pipe, TH jẹ ilana ti nlọ lọwọ. Ṣugbọn, niwon ko si aye pipe, jẹ ki a ṣe itupalẹ ati awọn ọna ni awọn ofin ti eniyan, awọn ilana ati awọn imọ-ẹrọ ti a lo. Jẹ ki a ro awoṣe kan ti ohun iyipo TH bojumu. Awọn ipele 5 wa ti lilo imọ-ẹrọ yii. Jẹ ki a wo wọn nipa lilo apẹẹrẹ ti itankalẹ ti ẹgbẹ kan ti awọn atunnkanka.
Awọn ipele ti idagbasoke
Eniyan
Awọn ilana
ti imo
Ipele 0
Awọn atunnkanka SOC
24/7
Awọn irinṣẹ ibilẹ:
Ibile
Ṣeto titaniji
Palolo monitoring
ID, AV, Sandboxing,
Laisi TH
Ṣiṣẹ pẹlu awọn itaniji
Awọn irinṣẹ itupalẹ Ibuwọlu, Irokeke data oye.
Ipele 1
Awọn atunnkanka SOC
Ọkan-akoko TH
BDU
Idanwo
Imọ ipilẹ ti awọn forensics
IOC àwárí
Abala agbegbe ti data lati awọn ẹrọ nẹtiwọki
Awọn idanwo pẹlu TH
Imọ ti o dara ti awọn nẹtiwọọki ati awọn ohun elo
Ohun elo apa kan
Ipele 2
Iṣẹ iṣe igba diẹ
Sprints
BDU
Igbakọọkan
Apapọ imo ti forensics
Ose si oṣu
Ohun elo ni kikun
TH igba die
O tayọ imo ti awọn nẹtiwọki ati awọn ohun elo
TH deede
Adaṣiṣẹ ni kikun ti lilo data EDR
Lilo apakan ti awọn agbara EDR ilọsiwaju
Ipele 3
Ifiṣootọ TH pipaṣẹ
24/7
Agbara apakan lati ṣe idanwo awọn idawọle TH
Idena
Imọ ti o tayọ ti awọn oniwadi ati malware
Idena TH
Lilo kikun ti awọn agbara EDR ilọsiwaju
Awọn ọran pataki TH
O tayọ imo ti awọn bàa ẹgbẹ
Awọn ọran pataki TH
Ni kikun agbegbe ti data lati awọn ẹrọ nẹtiwọki
Iṣeto ni lati ba aini rẹ
Ipele 4
Ifiṣootọ TH pipaṣẹ
24/7
Agbara ni kikun lati ṣe idanwo awọn idawọle TH
Asiwaju
Imọ ti o tayọ ti awọn oniwadi ati malware
Idena TH
Ipele 3, pẹlu:
Lilo TH
O tayọ imo ti awọn bàa ẹgbẹ
Idanwo, adaṣe ati iṣeduro ti awọn idawọle TH
isọpọ ti awọn orisun data;
Agbara iwadi
idagbasoke ni ibamu si awọn iwulo ati lilo ti kii ṣe deede ti API.
Awọn ipele idagbasoke TH nipasẹ eniyan, awọn ilana ati imọ-ẹrọ
Ipele 0: ibile, laisi lilo TH. Awọn atunnkanka deede n ṣiṣẹ pẹlu eto titaniji boṣewa ni ipo ibojuwo palolo nipa lilo awọn irinṣẹ boṣewa ati imọ-ẹrọ: IDS, AV, apoti iyanrin, awọn irinṣẹ itupalẹ ibuwọlu.
Ipele 1: esiperimenta, lilo TH. Awọn atunnkanka kanna pẹlu imọ ipilẹ ti awọn oniwadi ati imọ ti o dara ti awọn nẹtiwọọki ati awọn ohun elo le ṣe Irokeke Irokeke ni akoko kan nipasẹ wiwa awọn afihan ti adehun. Awọn EDR ti wa ni afikun si awọn irinṣẹ pẹlu agbegbe apakan ti data lati awọn ẹrọ nẹtiwọọki. Awọn irinṣẹ ni a lo ni apakan.
Ipele 2: igbakọọkan, ibùgbé TH. Awọn atunnkanka kanna ti o ti ṣe igbesoke imọ wọn tẹlẹ ni awọn oniwadi, awọn nẹtiwọọki ati apakan ohun elo ni a nilo lati ṣe alabapin nigbagbogbo ni Irokeke Sode (sprint), sọ, ọsẹ kan ni oṣu kan. Awọn irinṣẹ ṣe afikun iwadii kikun ti data lati awọn ẹrọ nẹtiwọọki, adaṣe ti itupalẹ data lati EDR, ati lilo apakan ti awọn agbara EDR ilọsiwaju.
Ipele 3: gbèndéke, loorekoore igba ti TH. Awọn atunnkanka wa ṣeto ara wọn si ẹgbẹ iyasọtọ ati bẹrẹ lati ni oye ti o dara julọ ti awọn oniwadi ati malware, ati imọ ti awọn ọna ati awọn ilana ti ẹgbẹ ikọlu. Awọn ilana ti wa ni tẹlẹ ti gbe jade 24/7. Ẹgbẹ naa ni anfani lati ṣe idanwo awọn idawọle TH ni kikun lakoko ti o ni kikun awọn agbara ilọsiwaju ti EDR pẹlu agbegbe kikun ti data lati awọn ẹrọ nẹtiwọọki. Awọn atunnkanka tun ni anfani lati tunto awọn irinṣẹ lati baamu awọn iwulo wọn.
Ipele 4: ga-opin, lo TH. Ẹgbẹ kanna ni agbara lati ṣe iwadii, agbara lati ṣe ipilẹṣẹ ati adaṣe ilana ti idanwo awọn idawọle TH. Bayi awọn irinṣẹ ti ni afikun nipasẹ isọpọ isunmọ ti awọn orisun data, idagbasoke sọfitiwia lati pade awọn iwulo, ati lilo ti kii ṣe deede ti awọn API.
Irokeke Sode imuposi
Ipilẹ Irokeke Sode imuposi
К TH, ni aṣẹ ti idagbasoke ti imọ-ẹrọ ti a lo, jẹ: wiwa ipilẹ, itupalẹ iṣiro, awọn ilana iworan, awọn akopọ ti o rọrun, ẹkọ ẹrọ, ati awọn ọna Bayesian.
Ọna ti o rọrun julọ, wiwa ipilẹ, ni a lo lati dín agbegbe ti iwadii dín nipa lilo awọn ibeere kan pato. Ayẹwo iṣiro jẹ lilo, fun apẹẹrẹ, lati ṣe agbero olumulo aṣoju tabi iṣẹ nẹtiwọọki ni irisi awoṣe iṣiro. Awọn ilana iworan ni a lo lati ṣe afihan oju ati ki o rọrun itupalẹ data ni irisi awọn aworan ati awọn shatti, eyiti o jẹ ki o rọrun pupọ lati ṣe akiyesi awọn ilana ni apẹẹrẹ. Ilana ti awọn akojọpọ ti o rọrun nipasẹ awọn aaye bọtini ni a lo lati mu wiwa ati itupalẹ pọ si. Bi ilana TH ti ajo kan ti dagba sii, diẹ sii ni ibamu si lilo awọn algoridimu ikẹkọ ẹrọ di. Wọn tun jẹ lilo pupọ ni sisẹ àwúrúju, ṣawari awọn ijabọ irira ati wiwa awọn iṣẹ arekereke. Iru to ti ni ilọsiwaju diẹ sii ti ikẹkọ ẹrọ algorithm jẹ awọn ọna Bayesian, eyiti o gba laaye fun isọdi, idinku iwọn ayẹwo, ati awoṣe akọle.
Awoṣe Diamond ati TH ogbon
Sergio Caltagiron, Andrew Pendegast ati Christopher Betz ninu iṣẹ wọn "»fihan awọn paati bọtini akọkọ ti eyikeyi iṣẹ irira ati asopọ ipilẹ laarin wọn.
Diamond awoṣe fun irira aṣayan iṣẹ-ṣiṣe
Gẹgẹbi awoṣe yii, awọn ilana Irokeke 4 wa, eyiti o da lori awọn paati bọtini ti o baamu.
1. Njiya-Oorun nwon.Mirza. A ro pe olufaragba naa ni awọn alatako ati pe wọn yoo fi “awọn aye” ranṣẹ nipasẹ imeeli. A n wa data ọta ninu meeli. Wa awọn ọna asopọ, awọn asomọ, ati bẹbẹ lọ. A n wa ifẹsẹmulẹ ti arosọ yii fun akoko kan (osu kan, ọsẹ meji) ti a ko ba rii, lẹhinna idawọle naa ko ṣiṣẹ.
2. Amayederun-Oorun nwon.Mirza. Awọn ọna pupọ lo wa fun lilo ilana yii. Da lori wiwọle ati hihan, diẹ ninu awọn rọrun ju awọn miiran lọ. Fun apẹẹrẹ, a ṣe atẹle awọn olupin orukọ-ašẹ ti a mọ lati gbalejo awọn ibugbe irira. Tabi a lọ nipasẹ awọn ilana ti mimojuto gbogbo awọn titun ìkápá orukọ ìforúkọsílẹ fun a mọ Àpẹẹrẹ lo nipa ohun ọtá.
3. Agbara-ìṣó nwon.Mirza. Ni afikun si ilana ifọkansi olufaragba ti a lo nipasẹ ọpọlọpọ awọn olugbeja nẹtiwọọki, ilana idojukọ anfani wa. O jẹ ẹlẹẹkeji julọ olokiki ati idojukọ lori wiwa awọn agbara lati ọdọ ọta, eyun “malware” ati agbara ọta lati lo awọn irinṣẹ to tọ gẹgẹbi psexec, powershell, certutil ati awọn omiiran.
4. Ọtá-Oorun nwon.Mirza. Ọ̀nà ọ̀tọ̀ọ̀tọ̀ gbájú mọ́ ọ̀tá fúnra rẹ̀. Eyi pẹlu lilo alaye ṣiṣi lati awọn orisun ti o wa ni gbangba (OSINT), ikojọpọ data nipa ọta, awọn ilana ati awọn ọna rẹ (TTP), itupalẹ awọn iṣẹlẹ iṣaaju, data oye Irokeke, ati bẹbẹ lọ.
Awọn orisun alaye ati awọn idawọle ni TH
Diẹ ninu awọn orisun ti alaye fun Irokeke Sode
Ọpọlọpọ awọn orisun ti alaye le wa. Oluyanju pipe yẹ ki o ni anfani lati jade alaye lati ohun gbogbo ti o wa ni ayika. Awọn orisun aṣoju ni fere eyikeyi amayederun yoo jẹ data lati awọn irinṣẹ aabo: DLP, SIEM, IDS/IPS, WAF/FW, EDR. Paapaa, awọn orisun aṣoju ti alaye yoo jẹ awọn afihan oriṣiriṣi ti adehun, Awọn iṣẹ Irokeke, CERT ati data OSINT. Ni afikun, o le lo alaye lati inu darknet (fun apẹẹrẹ, lojiji aṣẹ wa lati gige apoti ifiweranṣẹ ti olori agbari, tabi oludije fun ipo ẹlẹrọ nẹtiwọọki kan ti ṣafihan fun iṣẹ rẹ), alaye ti o gba lati ọdọ HR (awọn atunyẹwo ti oludije lati ibi iṣẹ iṣaaju), alaye lati iṣẹ aabo (fun apẹẹrẹ, awọn abajade ti ijẹrisi ti ẹlẹgbẹ).
Ṣugbọn ṣaaju lilo gbogbo awọn orisun to wa, o jẹ dandan lati ni o kere ju idawọle kan.
Lati le ṣe idanwo awọn idawọle, wọn gbọdọ kọkọ fi siwaju. Ati pe lati le fi ọpọlọpọ awọn idawọle ti o ga julọ siwaju, o jẹ dandan lati lo ọna eto kan. Ilana ti ipilẹṣẹ awọn idawọle jẹ apejuwe ni awọn alaye diẹ sii ni, o rọrun pupọ lati mu ero yii gẹgẹbi ipilẹ fun ilana ti fifi awọn idawọle siwaju.
Orisun akọkọ ti awọn idawọle yoo jẹ ATT & CK matrix (Awọn ilana Adversarial, Awọn ilana ati Imọye ti o wọpọ). O jẹ, ni pataki, ipilẹ imọ ati awoṣe fun iṣiro ihuwasi ti awọn ikọlu ti o ṣe awọn iṣẹ wọn ni awọn igbesẹ ti o kẹhin ti ikọlu, nigbagbogbo ṣe apejuwe nipa lilo ero ti Kill Chain. Iyẹn ni, ni awọn ipele lẹhin ikọlu kan ti wọ inu nẹtiwọọki inu ti ile-iṣẹ kan tabi sori ẹrọ alagbeka kan. Ipilẹ imọ ni akọkọ pẹlu awọn apejuwe ti awọn ilana 121 ati awọn ilana ti a lo ninu ikọlu, ọkọọkan eyiti a ṣe apejuwe ni kikun ni ọna kika Wiki. Awọn atupale Irokeke lọpọlọpọ ni o baamu daradara bi orisun kan fun ipilẹṣẹ awọn idawọle. Ti akiyesi pataki ni awọn abajade ti itupalẹ amayederun ati awọn idanwo ilaluja - eyi ni data ti o niyelori julọ ti o le fun wa ni awọn idawọle ironclad nitori otitọ pe wọn da lori awọn amayederun kan pato pẹlu awọn aito pato rẹ.
Ilana idanwo ilewq
Sergei Soldatov mu pẹlu apejuwe alaye ti ilana naa, o ṣe apejuwe ilana ti idanwo awọn idawọle TH ni eto kan. Emi yoo tọka si awọn ipele akọkọ pẹlu apejuwe kukuru kan.
Ipele 1: TI oko
Ni ipele yii o jẹ dandan lati ṣe afihan awọn nkan (nipa gbeyewo wọn papọ pẹlu gbogbo data irokeke) ati fifi awọn aami si wọn fun awọn abuda wọn. Iwọnyi jẹ faili, URL, MD5, ilana, ohun elo, iṣẹlẹ. Nigbati o ba n kọja wọn nipasẹ awọn ọna ṣiṣe Irokeke, o jẹ dandan lati so awọn afi. Iyẹn ni pe, aaye yii ni a ṣe akiyesi ni CNC ni iru ati iru ọdun kan, MD5 yii ni nkan ṣe pẹlu iru ati iru malware, MD5 yii jẹ igbasilẹ lati aaye kan ti o pin malware.
Ipele 2: Awọn ọran
Ni ipele keji, a wo ibaraenisepo laarin awọn nkan wọnyi ati ṣe idanimọ awọn ibatan laarin gbogbo awọn nkan wọnyi. A gba awọn ọna ṣiṣe ti o samisi ti o ṣe nkan buburu.
Ipele 3: Oluyanju
Ni ipele kẹta, ọran naa ni a gbe lọ si oluyanju ti o ni iriri ti o ni iriri nla ni itupalẹ, ati pe o ṣe idajọ. O ṣe itupalẹ awọn baiti kini, ibo, bawo, idi ati idi ti koodu yii ṣe. Ara yii jẹ malware, kọnputa yii ti ni akoran. Ṣe afihan awọn asopọ laarin awọn nkan, ṣayẹwo awọn abajade ti nṣiṣẹ nipasẹ apoti iyanrin.
Awọn abajade ti iṣẹ oluyanju naa ni a gbejade siwaju. Digital Forensics ṣe ayẹwo awọn aworan, Malware Analysis ṣe ayẹwo awọn “awọn ara” ti a rii, ati Ẹgbẹ Idahun Iṣẹlẹ le lọ si aaye naa ki o ṣe iwadii nkan ti o wa tẹlẹ. Abajade iṣẹ naa yoo jẹ idawọle ti a fọwọsi, ikọlu ti a mọ ati awọn ọna lati koju rẹ.
Awọn esi
Sode Irokeke jẹ imọ-ẹrọ ọdọ ti o tọ ti o le doko ni imunadoko adani, titun ati awọn irokeke ti kii ṣe boṣewa, eyiti o ni awọn ifojusọna nla ti o fun nọmba ti ndagba ti iru awọn irokeke bẹ ati idiju ti o pọ si ti awọn amayederun ile-iṣẹ. O nilo awọn paati mẹta - data, awọn irinṣẹ ati awọn atunnkanka. Awọn anfani ti Irokeke Sode ko ni opin si idilọwọ imuse ti awọn irokeke. Maṣe gbagbe pe lakoko ilana wiwa a wa sinu awọn amayederun wa ati awọn aaye ailagbara rẹ nipasẹ awọn oju ti oluyanju aabo ati pe o le mu awọn aaye wọnyi lagbara siwaju sii.
Awọn igbesẹ akọkọ ti, ninu ero wa, nilo lati mu lati bẹrẹ ilana TH ninu agbari rẹ.
- Ṣe abojuto aabo awọn aaye ipari ati awọn amayederun nẹtiwọki. Ṣe abojuto hihan (NetFlow) ati iṣakoso (ogiriina, ID, IPS, DLP) ti gbogbo awọn ilana lori nẹtiwọọki rẹ. Mọ nẹtiwọọki rẹ lati olulana eti si agbalejo to kẹhin.
- Ye.
- Ṣe awọn pentests deede ti o kere ju awọn orisun ita bọtini, ṣe itupalẹ awọn abajade rẹ, ṣe idanimọ awọn ibi-afẹde akọkọ fun ikọlu ati pa awọn ailagbara wọn.
- Ṣe imuse orisun ṣiṣi eto Irokeke Irokeke (fun apẹẹrẹ, MISP, Yeti) ati ṣe itupalẹ awọn akọọlẹ ni apapo pẹlu rẹ.
- Ṣe imuse iru ẹrọ idahun iṣẹlẹ kan (IRP): R-Vision IRP, Ile Agbon, apoti iyanrin fun itupalẹ awọn faili ifura (FortiSandbox, Cuckoo).
- Awọn ilana adaṣe adaṣe adaṣe. Onínọmbà ti awọn akọọlẹ, gbigbasilẹ awọn iṣẹlẹ, awọn oṣiṣẹ ifitonileti jẹ aaye nla fun adaṣe.
- Kọ ẹkọ lati ṣe ibaṣepọ pẹlu imunadoko pẹlu awọn onimọ-ẹrọ, awọn olupilẹṣẹ, ati atilẹyin imọ-ẹrọ lati ṣe ifowosowopo lori awọn iṣẹlẹ.
- Ṣe iwe gbogbo ilana, awọn aaye pataki, awọn abajade aṣeyọri lati le pada si ọdọ wọn nigbamii tabi pin data yii pẹlu awọn ẹlẹgbẹ;
- Jẹ awujọ: Mọ ohun ti n ṣẹlẹ pẹlu awọn oṣiṣẹ rẹ, ẹniti o bẹwẹ, ati tani o fun ni iraye si awọn orisun alaye ti ajo naa.
- Ṣe akiyesi awọn aṣa ni aaye ti awọn irokeke tuntun ati awọn ọna aabo, mu ipele imọ-ẹrọ imọ-ẹrọ pọ si (pẹlu ninu iṣẹ ti awọn iṣẹ IT ati awọn ọna ṣiṣe), lọ si awọn apejọ ati ibasọrọ pẹlu awọn ẹlẹgbẹ.
Ṣetan lati jiroro lori iṣeto ti ilana TH ninu awọn asọye.
Tabi wa ṣiṣẹ pẹlu wa!
Awọn orisun ati awọn ohun elo lati ṣe iwadi
orisun: www.habr.com