تهديد بالصيد ، أو كيفية الدفاع عن تهديدات 5٪

95٪ من تهديدات أمن المعلومات معروفة ، ويمكنك حماية نفسك منها بالوسائل التقليدية مثل برامج مكافحة الفيروسات وجدران الحماية و IDS و WAF. 5 ٪ المتبقية من التهديدات غير معروفة والأخطر. إنهم يمثلون 70٪ من المخاطر التي تتعرض لها الشركة نظرًا لحقيقة أنه من الصعب للغاية اكتشافهم ، بل وأكثر من ذلك لحماية أنفسهم منهم. أمثلة على "البجعات السوداء" هي وبائيات WannaCry و NotPetya / ExPetr الفدية ، و cryptominers ، والأسلحة السيبرانية Stuxnet (التي ضربت المنشآت النووية الإيرانية) ، والعديد من الهجمات الأخرى (التي تتذكر Kido / Conficker؟) وسائل الحماية. نريد التحدث عن كيفية مواجهة 5٪ من التهديدات باستخدام تقنية تهديد الصيد.


يتطلب التطوير المستمر للهجمات السيبرانية الكشف والصدم المستمر ، الأمر الذي يقودنا في النهاية إلى فكرة سباق تسلح لا نهاية له بين المهاجمين والمدافعين. لم تعد أنظمة الحماية التقليدية قادرة على توفير مستوى مقبول من الأمان لا يؤثر فيه مستوى المخاطرة على المؤشرات الرئيسية للشركة (الاقتصادية ، السياسية ، السمعة) دون وضع اللمسات الأخيرة عليها لبنية تحتية محددة ، لكنها عمومًا تغطي بعض المخاطر. بالفعل في عملية التنفيذ والتكوين ، أصبحت أنظمة الحماية الحديثة هي اللحاق بالركب ويجب أن تستجيب لتحديات العصر الحديث.

مصدر

واحدة من الإجابات على تحديات عصرنا بالنسبة لأخصائي أمن المعلومات قد تكون تقنية تهديد الصيد. ظهر مصطلح تهديد الصيد (المشار إليه فيما يلي باسم TH) قبل عدة سنوات. التكنولوجيا بحد ذاتها مثيرة للاهتمام للغاية ، ولكن ليس لديها أي معايير وقواعد مقبولة بشكل عام. كما أن عدم تجانس مصادر المعلومات والعدد الصغير من مصادر المعلومات باللغة الروسية حول هذا الموضوع يعقد الأمور أيضًا. في هذا الصدد ، قررنا في LANIT-Integration أن نكتب بعض المراجعة لهذه التكنولوجيا.

موضوعية

تعتمد تقنية TH على عمليات مراقبة البنية التحتية. هناك نوعان من السيناريوهات الرئيسية للمراقبة الداخلية - الإنذار والصيد . التنبيه (حسب نوع خدمة MSSP) هو أسلوب تقليدي ، يبحث عن التواقيع وعلامات الهجمات التي تم تطويرها مسبقًا والرد عليها. ميزات أمان التوقيع التقليدية إكمال هذا السيناريو بنجاح. الصيد (خدمة من نوع MDR) هي طريقة مراقبة تجيب على السؤال "من أين تأتي التواقيع والقواعد؟" هذه هي عملية إنشاء قواعد الارتباط من خلال تحليل مؤشرات وعلامات الخفية أو غير المعروفة سابقًا للهجوم. لهذا النوع من المراقبة ينتمي تهديد الصيد.


فقط من خلال الجمع بين كلا النوعين من المراقبة ، نحصل على حماية قريبة من المثالية ، ولكن يبقى دائمًا مستوى ما من المخاطر المتبقية.

الحماية باستخدام نوعين من المراقبة

وهذا هو السبب في أن TH (والمطاردة بأكملها!) ستكون ذات صلة متزايدة:

التهديدات والعلاجات والمخاطر. مصدر

95 ٪ من جميع التهديدات مفهومة جيدا بالفعل . وتشمل هذه الأنواع مثل البريد المزعج ، DDoS ، والفيروسات ، والجذور الخفية وغيرها من البرامج الضارة الكلاسيكية. يمكنك حماية نفسك من هذه التهديدات بنفس الدفاعات الكلاسيكية.

أثناء تنفيذ أي مشروع ، يستغرق 80٪ من العمل 20٪ من الوقت ، بينما يستغرق 20٪ المتبقية من العمل 80٪ من الوقت. وبالمثل ، من بين مشهد التهديد بأكمله ، سيشكل 5٪ من نوع التهديد الجديد 70٪ من الخطر على الشركة. في شركة يتم فيها تنظيم عمليات إدارة أمن المعلومات ، يمكننا إدارة 30٪ من مخاطر التهديدات المعروفة بطريقة أو بأخرى عن طريق تجنب (التخلي عن الشبكات اللاسلكية من حيث المبدأ) ، وقبول (إدخال التدابير الأمنية اللازمة) أو التحول (على سبيل المثال ، على أكتاف أحد المُوَجِّهي) خطر. حماية نفسك من نقاط الضعف في اليوم صفر ، هجمات APT ، والتصيد الاحتيالي ، والهجمات من خلال سلسلة التوريد ، وبرامج التجسس الإلكترونية والعمليات الوطنية ، وكذلك من عدد كبير من الهجمات الأخرى ، أصعب بكثير بالفعل. ستكون عواقب تهديدات الـ 5٪ هذه أكثر خطورة ( متوسط ​​مبلغ خسائر البنك من مجموعة buhtrap هو 143 مليون ) من عواقب الرسائل غير المرغوب فيها أو الفيروسات التي ينقذ منها برنامج مكافحة الفيروسات.

كل شخص تقريبا لديه للتعامل مع 5 ٪ من التهديدات. في الآونة الأخيرة ، كان علينا تثبيت حل واحد مفتوح المصدر يستخدم تطبيقًا من مستودع PEAR (PHP Extension and Application Repository). أخفقت محاولة لتثبيت هذا التطبيق من خلال تثبيت الكمثرى ، لأن الموقع لم يكن متاحًا (يوجد الآن كعب عليه) ، واضطررت إلى تثبيته من GitHub. وفي الآونة الأخيرة ، أصبح من الواضح أن PEAR كان ضحية لهجوم من خلال سلسلة التوريد .



يمكنك أيضًا أن تتذكر الهجوم باستخدام CCleaner ، وهو وباء من رانسومواري NePetya من خلال وحدة التحديث لبرنامج الإبلاغ الضريبي MEDoc . أصبحت التهديدات أكثر تعقيدًا ، ويثور السؤال المنطقي - "كيف لا تزال تصمد أمام 5٪ من التهديدات؟"

تهديد الصيد تعريف

لذلك ، Threat Hunting هي عملية بحث وتفاعلية واستباقية عن التهديدات المتقدمة التي لا يمكن اكتشافها بواسطة وسائل الحماية التقليدية. تشمل التهديدات المتقدمة ، على سبيل المثال ، الهجمات مثل APT ، والهجمات على نقاط الضعف في اليوم ، و Live off the Land ، وما إلى ذلك.

يمكن أيضًا إعادة صياغة أن TH عملية اختبار فرضية. هذه في الأساس عملية يدوية تشتمل على عناصر التشغيل الآلي ، حيث يقوم المحلل ، بالاعتماد على معرفته ومؤهلاته ، بالتحقق من خلال كميات كبيرة من المعلومات بحثًا عن علامات حل وسط تتوافق مع الفرضية المحددة في البداية لوجود تهديد معين. سمة مميزة منه هو مجموعة متنوعة من مصادر المعلومات.

تجدر الإشارة إلى أن تهديد الصيد ليس نوعًا من البرامج أو منتجات الأجهزة. هذه ليست تنبيهات يمكن رؤيتها في أي حل. هذه ليست عملية للعثور على IOC (معرفات التسوية). وهذا ليس نوعًا من النشاط السلبي الذي يحدث دون مشاركة محللي أمن المعلومات. التهديد الصيد هو ، أولا وقبل كل شيء ، عملية.

تهديد مكونات الصيد

ثلاثة مكونات رئيسية للتهديد الصيد: البيانات والتكنولوجيا ، والناس.

البيانات (ماذا؟) ، بما في ذلك البيانات الكبيرة. جميع أنواع تدفقات حركة المرور ، معلومات عن APTs التي تم إجراؤها سابقًا ، والتحليلات ، وبيانات نشاط المستخدم ، وبيانات الشبكة ، والمعلومات من الموظفين ، ومعلومات عن شبكة darknet والمزيد.

التقنيات (كيف؟) لمعالجة هذه البيانات ، كل الطرق الممكنة لمعالجة هذه البيانات ، بما في ذلك التعلم الآلي.

الأشخاص (من؟) هم أولئك الذين لديهم خبرة واسعة في تحليل مجموعة متنوعة من الهجمات ، والحدس المتطور والقدرة على اكتشاف أي هجوم. عادة ما يكون هؤلاء هم محللي أمن المعلومات الذين يجب أن يكون لديهم القدرة على إنشاء فرضيات والبحث عن أدلة لهم. هم الرابط الرئيسي في هذه العملية.

نموذج باريس

يصف آدم باتمان نموذج باريس لعملية TH المثالية. الاسم لأنه يلمح إلى المعالم الشهيرة في فرنسا. يمكن اعتبار هذا النموذج في اتجاهين - أعلاه وتحت.

في عملية البحث عن التهديدات ، والانتقال إلى النموذج ، سنتعامل مع الكثير من الأدلة على وجود نشاط ضار. كل دليل لديه قدر من الثقة - سمة تعكس ثقل هذا الدليل. هناك "حديد" ، دليل مباشر على نشاط ضار ، يمكننا من خلاله الوصول مباشرة إلى قمة الهرم وإنشاء إشعار فعلي بالعدوى المعروفة. وهناك أدلة غير مباشرة ، يمكن أن يقودنا مجموعها أيضًا إلى قمة الهرم. كما هو الحال دائمًا ، هناك أدلة غير مباشرة أكثر بكثير من الأدلة المباشرة ، مما يعني أن هناك حاجة إلى فرزها وتحليلها ، ويجب إجراء بحث إضافي ، وينصح بإجراء ذلك تلقائيًا.

نموذج باريس. مصدر

يعتمد الجزء العلوي من النموذج (1 و 2) على تقنيات التشغيل الآلي والتحليلات المتنوعة ، ويستند الجزء السفلي (3 و 4) إلى أشخاص لديهم مؤهلات معينة يتحكمون في العملية. يمكنك النظر في النموذج ، بالانتقال من أعلى إلى أسفل ، حيث في الجزء العلوي من اللون الأزرق لدينا إشعارات من وسائل الحماية التقليدية (مكافحة الفيروسات ، EDR ، جدار الحماية ، التوقيعات) بدرجة عالية من الثقة والثقة ، وفيما يلي مؤشرات (IOC ، URL ، MD5 وغيرها) ، التي لديها ثقة أقل وتتطلب المزيد من الدراسة. والمستوى الأدنى والأثخن (4) هو توليد الفرضيات ، وإنشاء سيناريوهات جديدة لعمل العلاجات التقليدية. لا يقتصر هذا المستوى على المصادر المحددة للفرضيات. كلما انخفض المستوى ، يتم وضع المزيد من المتطلبات على مؤهلات المحلل.

من المهم جدًا ألا يقوم المحللون باختبار مجموعة محدودة فقط من الفرضيات المحددة مسبقًا ، ولكنهم يعملون دائمًا على إنشاء فرضيات وخيارات جديدة لاختبارها.

ال استخدام نموذج النضج

في عالم مثالي ، تعتبر TH عملية مستمرة. ولكن نظرًا لعدم وجود عالم مثالي ، سنقوم بتحليل نموذج النضج والأساليب في سياق الأشخاص والعمليات والتقنيات المستخدمة. النظر في نموذج مثالي TH كروية. هناك 5 مستويات لاستخدام هذه التكنولوجيا. فكر في مثال تطور فريق واحد من المحللين.

مستويات النضج	الناس	العمليات	التكنولوجيا
المستوى 0	محللون SOC	24/7	الصكوك التقليدية:
تقليدي	تنبيه مجموعة	المراقبة السلبية	معرفات ، AV ، Sandboxing ،
بدون TH	العمل مع التنبيهات		أدوات تحليل التوقيع ، وبيانات الاستخبارات التهديد.
المستوى 1	محللون SOC	لمرة واحدة TH	EDR
تجريبي	المعرفة الأساسية للطب الشرعي	بحث IOC	تغطية جزئية للبيانات من أجهزة الشبكة
تجارب مع TH	معرفة جيدة بالشبكات والتطبيق		تطبيق جزئي
المستوى 2	الاحتلال المؤقت	سباقات السرعة	EDR
دوري	متوسط ​​معرفة الطب الشرعي	أسبوع في الشهر	التطبيق الكامل
مؤقت TH	معرفة ممتازة بالشبكات والتطبيق	ال منتظم	أتمتة كاملة لاستخدام البيانات EDR
			الاستخدام الجزئي لميزات EDR المتقدمة
المستوى 3	فريق TH مخصص	24/7	القدرة الجزئية على اختبار الفرضيات
وقائي	معرفة ممتازة للطب الشرعي والبرامج الضارة	استباقية TH	الاستخدام الكامل لميزات EDR المتقدمة
حالات خاصة	معرفة ممتازة للمهاجم	حالات خاصة	تغطية كاملة للبيانات من أجهزة الشبكة
			التكوين مخصص
المستوى 4	فريق TH مخصص	24/7	القدرة الكاملة على اختبار فرضيات TH
الراقية	معرفة ممتازة للطب الشرعي والبرامج الضارة	استباقية TH	المستوى 3 ، بالإضافة إلى:
باستخدام TH	معرفة ممتازة للمهاجم	اختبار ، أتمتة ، والتحقق من فرضيات TH	التكامل الدقيق لمصادر البيانات ؛
	القدرة على البحث		التنمية المخصصة واستخدام API مخصص.

مستويات نضج TH من قبل الناس ، والعمليات ، والتكنولوجيا

المستوى 0: تقليدي ، دون استخدام TH. يعمل المحللون التقليديون مع مجموعة قياسية من التنبيهات في وضع المراقبة السلبية باستخدام الأدوات والتقنيات القياسية: IDS و AV و sandboxes وأدوات تحليل التوقيع.

المستوى 1: التجريبية باستخدام TH. يمكن لنفس المحللين الذين لديهم معرفة أساسية بالطب الشرعي ومعرفة جيدة بالشبكات والتطبيق أن يطبقوا "تهديد الصيد" لمرة واحدة من خلال البحث عن مؤشرات للحل الوسط. تضاف EDRs مع تغطية جزئية للبيانات من أجهزة الشبكة إلى الأدوات. يتم تطبيق الأدوات جزئيا.

المستوى 2: متقطع ، مؤقت TH. يتحمل نفس المحللين الذين قاموا بالفعل بضخ معرفتهم بالأدلة الجنائية والشبكات وجزء التطبيق ، الالتزام بالانخراط بانتظام في (العدو) Threat Hunting ، على سبيل المثال ، أسبوعًا في الشهر. تُستكمل الأدوات بدراسة كاملة للبيانات من أجهزة الشبكة ، وأتمتة تحليل البيانات من EDR والاستخدام الجزئي لميزات EDR المتقدمة.

المستوى 3: وقائية ، وحالات متكررة من TH. نظم محللوننا أنفسهم في فريق متخصص ، وبدأت لديهم معرفة ممتازة بالأدلة الجنائية والبرامج الضارة ، وكذلك معرفة أساليب وتكتيكات الجانب المهاجم. العملية جارية بالفعل 24/7. الفريق قادر على اختبار فرضيات TH جزئيًا ، مع الاستفادة الكاملة من إمكانيات EDR المتقدمة مع تغطية كاملة للبيانات من أجهزة الشبكة. أيضا ، يمكن للمحللين تكوين الأدوات لتناسب احتياجاتهم.

المستوى 4: الراقية ، وذلك باستخدام TH. اكتسب نفس الفريق القدرة على البحث ، والقدرة على توليد وأتمتة عملية اختبار الفرضيات. الآن ، تمت إضافة تكامل محكم لمصادر البيانات ، وتطوير البرامج لتلبية الاحتياجات والاستخدام غير القياسي لواجهات برمجة التطبيقات إلى الأدوات.

تقنيات الصيد التهديد

تقنيات الصيد الأساسية للتهديد

تتضمن تقنيات TH وفقًا لنضج التكنولوجيا المستخدمة: البحث الأساسي والتحليل الإحصائي وتقنيات التصور والتجمعات البسيطة والتعلم الآلي والأساليب النظرية الافتراضية.

أبسط طريقة هي البحث الأساسي ، والذي يستخدم لتضييق نطاق البحث باستخدام استفسارات محددة. يستخدم التحليل الإحصائي ، على سبيل المثال ، لبناء نشاط مستخدم أو شبكة نموذجي في شكل نموذج إحصائي. تُستخدم تقنيات التصور لتصور وتبسيط تحليل البيانات في شكل رسوم بيانية ومخططات ، مما يجعل من الأسهل بكثير التقاط الأنماط في العينة. يتم استخدام تقنية التجميع البسيطة للحقول الرئيسية لتحسين البحث والتحليل. كلما ارتفع مستوى النضج في المنظمة من خلال عملية TH ، كلما كان استخدام خوارزميات التعلم الآلي أكثر أهمية. كما أنها تستخدم على نطاق واسع ، بما في ذلك في تصفية الرسائل غير المرغوب فيها ، واكتشاف حركة المرور الضارة وكشف الأنشطة الاحتيالية. وهناك نوع أكثر تطوراً من خوارزميات التعلم الآلي هي الأساليب البايزية التي تسمح بالتصنيف ، وخفض حجم العينة ، والنمذجة المواضيعية.

نموذج الماس واستراتيجية TH

أظهر سيرجيو كالتاجيرون وأندرو بنديغاست وكريستوفر بيتز في عملهم " النموذج الماسي لتحليل التسلل " المكونات الرئيسية لأي نشاط ضار والاتصال الأساسي بينهما.

نموذج الماس للنشاط الضار

وفقًا لهذا النموذج ، هناك 4 استراتيجيات لصيد التهديد تعتمد على المكونات الرئيسية ذات الصلة.

1. استراتيجية موجهة للضحية. نحن نفترض أن الضحية لديها معارضين ، وأنها سوف توفر "الفرص" عبر البريد الإلكتروني. نحن نبحث عن بيانات العدو في البريد. البحث عن الروابط والمرفقات ، إلخ. نحن نبحث عن تأكيد لهذه الفرضية لفترة معينة (شهر ، أسبوعان) ، إذا لم يتم العثور عليها ، فإن الفرضية لم تلعب.

2. استراتيجية المنحى البنية التحتية. هناك عدة طرق لاستخدام هذه الاستراتيجية. اعتمادًا على الوصول والرؤية ، يكون البعض أسهل من الآخرين. على سبيل المثال ، نراقب خوادم أسماء النطاقات المعروفة باستضافة المجالات الضارة. أو نجري عملية تتبع جميع تسجيلات أسماء النطاقات الجديدة لنمط معروف يستخدمه الخصم.

3. فرصة استراتيجية المنحى. بالإضافة إلى الإستراتيجية الموجهة للضحية التي يستخدمها معظم دعاة الشبكة ، هناك إستراتيجية موجهة نحو الفرص. إنها الثانية الأكثر شعبية وتركز على اكتشاف الفرص من الخصم ، وهي "البرمجيات الخبيثة" وقدرة الخصم على استخدام الأدوات الشرعية مثل psexec ، و powershell ، و certutil وغيرها.

4. استراتيجية موجهة نحو المعارضة. يركز النهج الموجه للعدو على العدو. يتضمن ذلك استخدام المعلومات المفتوحة من المصادر العامة (OSINT) ، وجمع البيانات حول العدو ، وتقنياته وأساليبه (TTP) ، وتحليل الحوادث السابقة ، وبيانات الاستخبارات الخاصة بالتهديدات ، إلخ.

مصادر المعلومات والافتراضات في TH

بعض مصادر المعلومات للتهديد الصيد

يمكن أن يكون هناك العديد من مصادر المعلومات. يجب أن يكون المحلل المثالي قادرًا على استخراج المعلومات من كل شيء موجود. المصادر النموذجية في أي بنية أساسية تقريبًا ستكون بيانات من ميزات الأمان: DLP و SIEM و IDS / IPS و WAF / FW و EDR. أيضًا ، ستكون المؤشرات النموذجية للمعلومات هي جميع أنواع مؤشرات التسوية وخدمات تهديد المعلومات و CERT و OSINT. بالإضافة إلى ذلك ، يمكنك استخدام المعلومات من darknet (على سبيل المثال ، فجأة هناك أمر لاختراق صندوق البريد لرئيس المنظمة ، أو ظهر المرشح لمنصب مهندس شبكة في نشاطه) ، المعلومات الواردة من الموارد البشرية (تعليقات حول المرشح من وظيفته السابقة) ، معلومات من خدمة الأمن ( على سبيل المثال نتائج التحقق من الطرف المقابل).

ولكن قبل استخدام جميع المصادر المتاحة ، يجب أن يكون لديك فرضية واحدة على الأقل.

مصدر

من أجل اختبار الفرضيات ، يجب أولاً طرحها. ومن أجل طرح العديد من الفرضيات النوعية ، من الضروري تطبيق نهج منتظم. تم توضيح عملية إنشاء الفرضيات بمزيد من التفصيل في المقالة ؛ ومن المريح جدًا اعتبار هذا المخطط أساسًا لعملية الفرضية.

سيكون المصدر الرئيسي للفرضيات هو مصفوفة ATT و CK (التكتيكات العدوانية ، التقنيات والمعارف العامة). إنها في الحقيقة قاعدة معرفة ونموذج لتقييم سلوك المهاجمين الذين يقومون بأنشطتهم في الخطوات الأخيرة للهجوم ، والتي يتم وصفها عادة باستخدام مفهوم Kill Chain. وهذا هو ، في المراحل بعد اختراق الدخيل للشبكة الداخلية للمؤسسة أو إلى جهاز محمول. في البداية ، تضمنت قاعدة المعارف وصفًا لـ 121 تكتيكات وتقنيات مستخدمة في الهجوم ، تم وصف كل منها بالتفصيل في تنسيق Wiki. مجموعة متنوعة من تحليلات تهديدات الاستخبارات مناسبة تمامًا كمصدر لتوليد فرضيات. وتجدر الإشارة بوجه خاص إلى نتائج تحليل البنية التحتية واختبارات الاختراق - هذه هي البيانات الأكثر قيمة التي يمكن أن تقدمها لنا فرضيات الحديد لأنها تعتمد على بنية تحتية محددة مع أوجه قصورها المحددة.

عملية اختبار الفرضيات

قدم سيرجي سولداتوف رسمًا تخطيطيًا جيدًا مع وصف تفصيلي للعملية ؛ وهو يوضح عملية اختبار فرضيات TH في نظام واحد. سأشير إلى المراحل الرئيسية مع وصف موجز.

مصدر

المرحلة 1: مزرعة TI

في هذه المرحلة ، من الضروري التمييز بين الكائنات (عن طريق تحليلها مع جميع البيانات المتعلقة بالتهديدات) مع تخصيص ملصقات لخصائصها إليها. هذا ملف ، URL ، MD5 ، عملية ، أداة مساعدة ، حدث. تمريرها من خلال أنظمة تهديدات الذكاء يحتاج إلى تمييز. وهذا هو ، تم رصد هذا الموقع في CNC في مثل هذه السنة ، وكان هذا MD5 مرتبطًا بمثل هذه البرامج الضارة ، وتم تنزيل هذا MD5 من موقع الويب الذي قام بتوزيع البرامج الضارة.

المرحلة 2: الحالات

في المرحلة الثانية ، ننظر إلى التفاعل بين هذه الكائنات وتحديد العلاقات بين كل هذه الكائنات. نحصل على أنظمة ذات علامات سيئة تؤدي شيئًا سيئًا.

المرحلة 3: محلل

في المرحلة الثالثة ، يتم نقل القضية إلى محلل متمرس لديه خبرة واسعة في التحليل ، وهو يصدر حكمًا. يوزع البايت على ماذا وأين وكيف وكيف ولماذا يفعل هذا الرمز. كان هذا الجسم ضارًا ، تم إصابة هذا الكمبيوتر. الكشف عن الاتصالات بين الكائنات ، والتحقق من نتائج المدى من خلال رمل.

يتم تمرير نتائج عمل المحلل. يفحص الطب الشرعي الرقمي الصور ، ويفحص تحليل البرامج الضارة "الهيئات" التي تم العثور عليها ، ويمكن لفريق الاستجابة للحوادث الذهاب إلى الموقع واستكشاف شيء موجود بالفعل هناك. ستكون نتيجة العمل فرضية مؤكدة وهجوم محدد وطرق مواجهته.

مصدر

النتائج

تهديد الصيد هي تقنية حديثة إلى حد ما قادرة على مقاومة التهديدات المخصصة والجديدة وغير القياسية بفعالية ، والتي لديها آفاق كبيرة بالنظر إلى العدد المتزايد من هذه التهديدات وتعقيد البنية التحتية للشركات. يحتاج إلى ثلاثة مكونات - البيانات والأدوات والتحليلات. لا تقتصر فوائد تهديد الصيد على تنفيذ التهديدات بشكل استباقي. لا تنسَ أننا في عملية البحث نغرق في بنيتنا التحتية ونقاط ضعفها من خلال أعين محلل أمني ويمكننا تعزيز هذه الأماكن.

في رأينا ، يجب اتخاذ الخطوات الأولى لبدء عملية TH في مؤسستك.

1. . (NetFlow) (firewall, IDS, IPS, DLP) . .
2. MITRE ATT&CK .
3. , , .
4. Threat Intelligence (, MISP, Yeti) .
5. (IRP): R-Vision IRP, The Hive, (FortiSandbox, Cuckoo).
6. أتمتة العمليات الروتينية. تحليل السجل ، وإدارة الحوادث ، وإبلاغ الموظفين هو مجال ضخم للأتمتة.
7. تعرف على كيفية التفاعل الفعال مع المهندسين والمطورين والدعم الفني للتعاون في الحوادث.
8. توثيق العملية برمتها والنقاط الرئيسية والنتائج المحققة والعودة إليها في وقت لاحق أو مشاركة هذه البيانات مع الزملاء ؛
9. تذكر الجانب الاجتماعي: كن على دراية بما يحدث مع موظفيك ، والذين تعينهم والذين يتيحون الوصول إلى موارد معلومات المنظمة.
10. مواكبة الاتجاهات في مجال التهديدات وطرق الحماية الجديدة ، وزيادة مستوى المعرفة التقنية (بما في ذلك خدمات تكنولوجيا المعلومات والأنظمة الفرعية) ، وحضور المؤتمرات والتواصل مع الزملاء.

على استعداد لمناقشة تنظيم عملية TH في التعليقات.