Bedrohungsjagd oder wie man sich gegen 5% Bedrohungen verteidigt

95% der Bedrohungen der Informationssicherheit sind bekannt, und Sie können sich mit herkömmlichen Mitteln wie Virenschutzprogrammen, Firewalls, IDS und WAF vor ihnen schützen. Die restlichen 5% der Bedrohungen sind unbekannt und die gefährlichsten. Sie stellen 70% des Risikos für das Unternehmen dar, da es sehr schwierig ist, sie zu erkennen und sich vor allem vor ihnen zu schützen. Beispiele für „schwarze Schwäne“ sind die WannaCry-, NotPetya / ExPetr-Ransomware-Epidemien, Kryptominierer, die Stuxnet-Cyberwaffen (die die iranischen Nuklearanlagen getroffen haben) und viele (wer erinnert sich noch an Kido / Conficker?) Andere Angriffe, die nicht sehr gut gegen Klassiker verteidigen können Mittel zum Schutz. Wir möchten darüber sprechen, wie diese 5% der Bedrohungen mithilfe der Threat Hunting-Technologie bekämpft werden können.


Die kontinuierliche Entwicklung von Cyber-Angriffen erfordert ständige Erkennung und Gegenmaßnahmen, was uns letztendlich zu der Idee eines endlosen Wettrüstens zwischen Angreifern und Verteidigern führt. Klassische Schutzsysteme sind nicht mehr in der Lage, ein akzeptables Sicherheitsniveau bereitzustellen, bei dem das Risiko die Schlüsselindikatoren des Unternehmens (wirtschaftlich, politisch, Reputation) nicht beeinflusst, ohne sie für eine bestimmte Infrastruktur abzuschließen, sondern decken im Allgemeinen einige der Risiken ab. Bereits im Prozess der Implementierung und Konfiguration werden moderne Schutzsysteme aufgeholt und müssen auf die Herausforderungen der Neuzeit reagieren.

Quelle

Eine der Antworten auf die Herausforderungen unserer Zeit für einen Spezialisten für Informationssicherheit könnte die Threat Hunting-Technologie sein. Der Begriff Bedrohungsjagd (im Folgenden als TH bezeichnet) tauchte vor einigen Jahren auf. Die Technologie selbst ist sehr interessant, hat aber noch keine allgemein anerkannten Standards und Regeln. Die Heterogenität der Informationsquellen und die geringe Anzahl russischsprachiger Informationsquellen zu diesem Thema erschweren die Angelegenheit ebenfalls. In diesem Zusammenhang haben wir von LANIT-Integration beschlossen, eine Bewertung dieser Technologie abzugeben.

Relevanz

Die TH-Technologie basiert auf Infrastrukturüberwachungsprozessen. Es gibt zwei Hauptszenarien für die interne Überwachung: Alarmierung und Jagd . Alerting (nach Art des MSSP-Dienstes) ist eine traditionelle Methode, bei der nach Signaturen und Anzeichen von Angriffen gesucht wird, die zuvor entwickelt wurden, und auf diese reagiert wird. Herkömmliche Sicherheitsfunktionen für Signaturen schließen dieses Szenario erfolgreich ab. Die Jagd (ein Dienst vom Typ MDR) ist eine Überwachungsmethode, die die Frage „Woher kommen die Signaturen und Regeln?“ Beantwortet. Dies ist der Prozess der Erstellung von Korrelationsregeln durch Analyse versteckter oder bisher unbekannter Indikatoren und Anzeichen eines Angriffs. Zu dieser Art der Überwachung gehört die Bedrohungsjagd.


Nur durch die Kombination beider Arten der Überwachung erhalten wir einen nahezu idealen Schutz, aber es bleibt immer ein gewisses Restrisiko bestehen.

Schutz durch zwei Arten der Überwachung

Und hier ist, warum TH (und die ganze Jagd!) Immer relevanter wird:

Bedrohungen, Abhilfemaßnahmen, Risiken. Quelle

95% aller Bedrohungen sind bereits gut verstanden . Dazu gehören Arten wie Spam, DDoS, Viren, Rootkits und andere klassische Malware. Sie können sich mit denselben klassischen Abwehrmechanismen vor diesen Bedrohungen schützen.

Während der Ausführung eines Projekts benötigen 80% der Arbeit 20% der Zeit und die restlichen 20% der Arbeit 80% der Zeit. In ähnlicher Weise machen 5% der neuen Bedrohungslandschaft in der gesamten Bedrohungslandschaft 70% des Risikos für das Unternehmen aus. In einem Unternehmen, in dem Informationssicherheits-Managementprozesse organisiert sind, können wir 30% des Risikos bekannter Bedrohungen auf die eine oder andere Weise steuern, indem wir dies vermeiden (im Prinzip drahtlose Netzwerke aufgeben), akzeptieren (die erforderlichen Sicherheitsmaßnahmen einführen) oder dies (z. B. auf die Schultern eines Integrators) verlagern Risiko. Es ist bereits viel schwieriger, sich vor Zero-Day-Schwachstellen , APT-Angriffen, Phishing, Angriffen über die Lieferkette , Cyber-Spyware und nationalen Operationen sowie vor einer Vielzahl anderer Angriffe zu schützen. Die Folgen dieser 5% igen Bedrohungen sind weitaus schwerwiegender (der durchschnittliche Verlust der Bank aus der Buhrap-Gruppe beträgt 143 Millionen ) als die Folgen von Spam oder Viren, vor denen Antivirensoftware gerettet wird.

Fast jeder muss mit 5% der Bedrohungen umgehen. Vor kurzem mussten wir eine Open-Source-Lösung installieren, die eine Anwendung aus dem PEAR-Repository (PHP Extension and Application Repository) verwendet. Ein Versuch, diese Anwendung über Pear Install zu installieren, schlug fehl, da die Site nicht verfügbar war (jetzt befindet sich ein Stub darauf). Ich musste sie von GitHub installieren. Und erst kürzlich wurde klar, dass PEAR Opfer eines Angriffs über die Lieferkette wurde .



Sie können den Angriff auch mit CCleaner , einer Epidemie der NePetya-Ransomware, über das Aktualisierungsmodul des Programms zur Steuerberichterstattung MEDoc abrufen . Bedrohungen werden immer komplexer und es stellt sich die logische Frage: "Wie halten Sie diesen 5% der Bedrohungen noch stand?"

Definition der Bedrohungsjagd

Die Bedrohungsjagd ist also ein Prozess der proaktiven und iterativen Suche und Erkennung fortgeschrittener Bedrohungen, die mit herkömmlichen Schutzmaßnahmen nicht erkannt werden können. Zu den erweiterten Bedrohungen gehören beispielsweise Angriffe wie APT, Angriffe auf 0-Tage-Schwachstellen, Leben außerhalb des Landes usw.

Es kann auch umformuliert werden, dass TH ein Hypothesentestprozess ist. Dies ist hauptsächlich ein manueller Prozess mit Automatisierungselementen, bei dem der Analyst unter Berufung auf sein Wissen und seine Qualifikationen große Informationsmengen auf der Suche nach Anzeichen von Kompromissen durchsucht, die der ursprünglich definierten Hypothese über das Vorhandensein einer bestimmten Bedrohung entsprechen. Eine Besonderheit ist die Vielfalt der Informationsquellen.

Es sollte beachtet werden, dass Threat Hunting kein Software- oder Hardwareprodukt ist. Dies sind keine Warnungen, die in einer Lösung angezeigt werden können. Dies ist kein Prozess zum Auffinden von IOC (Kompromisskennungen). Und dies ist keine passive Aktivität, die ohne die Teilnahme von Analysten für Informationssicherheit auskommt. Die Bedrohungsjagd ist in erster Linie ein Prozess.

Komponenten für die Bedrohungsjagd

Drei Hauptkomponenten der Bedrohungsjagd: Daten, Technologie, Menschen.

Daten (was?) , Einschließlich Big Data. Alle Arten von Verkehrsströmen, Informationen zu zuvor durchgeführten APTs, Analysen, Benutzeraktivitätsdaten, Netzwerkdaten, Informationen von Mitarbeitern, Informationen im Darknet und vieles mehr.

Technologien (wie?) Für die Verarbeitung dieser Daten stehen alle Möglichkeiten zur Verarbeitung dieser Daten zur Verfügung, einschließlich maschinelles Lernen.

Menschen (wer?) Sind diejenigen, die über umfangreiche Erfahrung in der Analyse einer Vielzahl von Angriffen, eine entwickelte Intuition und die Fähigkeit verfügen, einen Angriff zu erkennen. In der Regel handelt es sich dabei um Analysten für Informationssicherheit, die in der Lage sein müssen, Hypothesen zu erstellen und Beweise dafür zu finden. Sie sind das Hauptglied im Prozess.

Modell PARIS

Adam Bateman beschreibt das PARIS-Modell für den idealen TH-Prozess. Der Name, wie er auf das berühmte Wahrzeichen Frankreichs anspielt. Dieses Modell kann in zwei Richtungen betrachtet werden - oben und unten.

Bei der Suche nach Bedrohungen und der Weiterentwicklung des Modells werden wir uns mit zahlreichen Hinweisen auf böswillige Aktivitäten befassen. Jeder Beweis hat ein Maß an Vertrauen - ein Merkmal, das das Gewicht dieses Beweises widerspiegelt. Es gibt „Eisen“, direkte Hinweise auf böswillige Aktivitäten, mit denen wir sofort die Spitze der Pyramide erreichen und eine tatsächliche Benachrichtigung über eine bekannte Infektion erstellen können. Und es gibt indirekte Beweise, deren Summe uns auch an die Spitze der Pyramide führen kann. Wie immer gibt es viel mehr indirekte Beweise als direkte Beweise, was bedeutet, dass sie sortiert und analysiert werden müssen, zusätzliche Untersuchungen durchgeführt werden sollten und es wünschenswert ist, sie zu automatisieren.

Modell PARIS. Quelle

Der obere Teil des Modells (1 und 2) basiert auf Automatisierungstechnologien und verschiedenen Analysen, und der untere Teil (3 und 4) basiert auf Personen mit bestimmten Qualifikationen, die den Prozess steuern. Sie können das Modell von oben nach unten betrachten, wobei im oberen Teil von Blau Benachrichtigungen von herkömmlichen Schutzmaßnahmen (Antivirus, EDR, Firewall, Signaturen) mit einem hohen Maß an Vertrauen und Vertrauen angezeigt werden. Im Folgenden sind Indikatoren (IOC, URL, MD5 und andere) aufgeführt. die weniger Vertrauen haben und weitere Studien erfordern. Und die niedrigste und dickste Ebene (4) ist die Erstellung von Hypothesen, die Erstellung neuer Szenarien für die Arbeit traditioneller Heilmittel. Diese Stufe ist nicht auf die angegebenen Hypothesenquellen beschränkt. Je niedriger das Niveau, desto mehr Anforderungen werden an die Qualifikationen des Analysten gestellt.

Es ist sehr wichtig, dass Analysten nicht nur einen endlichen Satz vordefinierter Hypothesen testen, sondern ständig daran arbeiten, neue Hypothesen und Optionen für deren Test zu generieren.

TH verwenden Reifegradmodell

In einer idealen Welt ist TH ein fortlaufender Prozess. Da es jedoch keine ideale Welt gibt, werden wir das Reifegradmodell und die Methoden im Kontext der verwendeten Personen, Prozesse und Technologien analysieren. Betrachten Sie ein Modell des idealen sphärischen TH. Es gibt 5 Stufen der Verwendung dieser Technologie. Betrachten Sie sie am Beispiel der Entwicklung eines einzelnen Analystenteams.

Reifegrad	Leute	Die Prozesse	Technologie
Stufe 0	SOC-Analysten	24/7	Traditionelle Instrumente:
Traditionell	Alarmsatz	Passive Überwachung	IDS, AV, Sandboxing,
Ohne TH	Arbeiten Sie mit Warnungen		Signaturanalyse-Tools, Threat Intelligence-Daten.
Stufe 1	SOC-Analysten	Einmalige TH	EDR
Experimentell	Grundkenntnisse der Forensik	IOC-Suche	Teilweise Abdeckung von Daten von Netzwerkgeräten
Experimente mit TH	Gute Kenntnisse über Netzwerke und Anwendungen		Teilanwendung
Stufe 2	Befristete Besetzung	Sprints	EDR
Periodisch	Das durchschnittliche Wissen der Forensik	Woche pro Monat	Vollständige Bewerbung
Temporäre TH	Hervorragende Kenntnisse über Netzwerke und Anwendungen	Regelmäßige th	Vollständige Automatisierung der EDR-Datennutzung
			Teilweise Verwendung erweiterter EDR-Funktionen
Stufe 3	Engagiertes TH-Team	24/7	Teilweise Fähigkeit, Hypothesen TH zu testen
Proaktiv	Hervorragende Kenntnisse in Forensik und Malware	Proaktive TH	Volle Nutzung der erweiterten EDR-Funktionen
Sonderfälle TH	Hervorragende Kenntnisse des Angreifers	Sonderfälle TH	Vollständige Abdeckung von Daten von Netzwerkgeräten
			Benutzerdefinierte Konfiguration
Stufe 4	Engagiertes TH-Team	24/7	Volle Fähigkeit, TH-Hypothesen zu testen
Führen	Hervorragende Kenntnisse in Forensik und Malware	Proaktive TH	Level 3 plus:
Mit TH	Hervorragende Kenntnisse des Angreifers	Testen, Automatisieren und Überprüfen von TH-Hypothesen	enge Integration von Datenquellen;
	Forschungsfähigkeit		Benutzerdefinierte Entwicklung und benutzerdefinierte API-Verwendung.

TH-Reifegrad nach Personen, Prozessen und Technologie

Stufe 0: traditionell, ohne TH. Herkömmliche Analysten arbeiten mit einem Standardsatz von Warnungen im passiven Überwachungsmodus unter Verwendung von Standardtools und -technologien: IDS, AV, Sandboxen, Signaturanalysetools.

Stufe 1: experimentell mit TH. Dieselben Analysten mit Grundkenntnissen in Forensik und guten Kenntnissen in Netzwerken und der Anwendung können die einmalige Bedrohungssuche implementieren, indem sie nach Kompromissindikatoren suchen. EDRs mit teilweiser Abdeckung von Daten von Netzwerkgeräten werden zu den Tools hinzugefügt. Werkzeuge werden teilweise angewendet.

Stufe 2: intermittierende, vorübergehende TH. Dieselben Analysten, die bereits ihr Wissen über Forensik, Netzwerke und den Anwendungsteil erweitert haben, sind verpflichtet, regelmäßig eine Woche im Monat (Sprint-) Bedrohungsjagd zu betreiben. Die Tools werden durch eine vollständige Untersuchung der Daten von Netzwerkgeräten, die Automatisierung der Datenanalyse aus EDR und die teilweise Verwendung erweiterter EDR-Funktionen ergänzt.

Stufe 3: präventive, häufige Fälle von TH. Unsere Analysten organisierten sich in einem engagierten Team und verfügten über ausgezeichnete Kenntnisse in Forensik und Malware sowie über Kenntnisse der Methoden und Taktiken der angreifenden Seite. Der Prozess läuft bereits rund um die Uhr. Das Team ist in der Lage, die TH-Hypothesen teilweise zu testen und dabei die erweiterten EDR-Funktionen mit vollständiger Abdeckung der Daten von Netzwerkgeräten voll auszunutzen. Außerdem können Analysten Tools so konfigurieren, dass sie ihren Anforderungen entsprechen.

Level 4: High-End mit TH. Das gleiche Team erwarb die Fähigkeit zu recherchieren, den Prozess des Testens von Hypothesen TH zu generieren und zu automatisieren. Jetzt wurden die Tools um eine enge Integration von Datenquellen, Softwareentwicklung für Anforderungen und nicht standardmäßige Verwendung von APIs erweitert.

Bedrohungsjagdtechniken

Grundlegende Techniken zur Bedrohungsjagd

Die TH- Techniken in der Reihenfolge der Reife der verwendeten Technologie umfassen: Grundsuche, statistische Analyse, Visualisierungstechniken, einfache Aggregationen, maschinelles Lernen und Bayes'sche Methoden.

Die einfachste Methode ist eine einfache Suche, mit der der Forschungsumfang anhand spezifischer Abfragen eingegrenzt wird. Die statistische Analyse wird beispielsweise verwendet, um eine typische Benutzer- oder Netzwerkaktivität in Form eines statistischen Modells aufzubauen. Visualisierungstechniken werden verwendet, um die Datenanalyse in Form von Grafiken und Diagrammen zu visualisieren und zu vereinfachen, wodurch das Erfassen von Mustern in der Stichprobe erheblich vereinfacht wird. Die einfache Aggregationstechnik für Schlüsselfelder wird verwendet, um die Suche und Analyse zu optimieren. Je höher der Reifegrad in einer Organisation durch den TH-Prozess erreicht wird, desto relevanter ist die Verwendung von Algorithmen für maschinelles Lernen. Sie werden auch häufig verwendet, unter anderem zum Filtern von Spam, zum Erkennen von böswilligem Datenverkehr und zum Erkennen betrügerischer Aktivitäten. Eine fortgeschrittenere Art von Algorithmen für maschinelles Lernen sind Bayes'sche Methoden, die eine Klassifizierung, Reduzierung der Stichprobengröße und thematische Modellierung ermöglichen.

Diamantmodell und TH-Strategie

Sergio Caltagiron, Andrew Pendegast und Christopher Betz zeigten in ihrer Arbeit „ The Diamond Model of Intrusion Analysis “ die Hauptkomponenten jeder böswilligen Aktivität und die grundlegende Verbindung zwischen ihnen.

Diamantmodell für böswillige Aktivitäten

In Übereinstimmung mit diesem Modell gibt es 4 Bedrohungsjagdstrategien, die auf relevanten Schlüsselkomponenten beruhen.

1. Eine opferorientierte Strategie. Wir gehen davon aus, dass das Opfer Gegner hat und diese per E-Mail „Chancen“ bieten. Wir suchen nach feindlichen Daten in der Post. Suchen Sie nach Links, Anhängen usw. Wir suchen nach einer Bestätigung dieser Hypothese für einen bestimmten Zeitraum (Monat, zwei Wochen). Wenn sie nicht gefunden wird, spielt die Hypothese nicht.

2. Infrastrukturorientierte Strategie. Es gibt verschiedene Möglichkeiten, diese Strategie anzuwenden. Je nach Zugriff und Sichtbarkeit sind einige einfacher als andere. Beispielsweise überwachen wir Domain Name Server, die dafür bekannt sind, bösartige Domains zu hosten. Oder wir führen einen Prozess durch, bei dem alle neuen Domainnamenregistrierungen für ein bekanntes Muster verfolgt werden, das vom Gegner verwendet wird.

3. Chancenorientierte Strategie. Zusätzlich zu der opferorientierten Strategie, die von den meisten Netzwerkanwälten verwendet wird, gibt es eine chancenorientierte Strategie. Es ist das zweitbeliebteste und konzentriert sich auf das Erkennen von Funktionen des Gegners, nämlich „Malware“, und die Fähigkeit des Gegners, legitime Tools wie psexec, Powershell, Certutil und andere zu verwenden.

4. Gegnerorientierte Strategie. Der feindorientierte Ansatz konzentriert sich auf den Feind. Dies umfasst die Verwendung offener Informationen aus öffentlichen Quellen (OSINT), das Sammeln von Daten über den Feind, seine Techniken und Methoden (TTP), die Analyse vergangener Vorfälle, Bedrohungsdaten usw.

Informationsquellen und Hypothesen in TH

Einige Informationsquellen für die Bedrohungsjagd

Es kann viele Informationsquellen geben. Der ideale Analyst sollte in der Lage sein, Informationen aus allen Bereichen zu extrahieren. Typische Quellen in fast jeder Infrastruktur sind Daten aus Sicherheitsfunktionen: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Typische Indikatoren für Informationen sind außerdem alle Arten von Indikatoren für Kompromisse, Threat Intelligence-Dienste, CERT- und OSINT-Daten. Darüber hinaus können Sie Informationen aus dem Darknet verwenden (z. B. plötzlich wird der Befehl erteilt, das Postfach des Leiters der Organisation zu hacken, oder der Kandidat für die Position des Netzwerktechnikers ist in seiner Tätigkeit erschienen), Informationen aus der Personalabteilung (Feedback über den Kandidaten aus seinem vorherigen Job), Informationen aus dem Sicherheitsdienst ( B. Ergebnisse der Überprüfung der Gegenpartei).

Bevor Sie jedoch alle verfügbaren Quellen verwenden können, müssen Sie mindestens eine Hypothese haben.

Quelle

Um Hypothesen zu testen, müssen sie zuerst aufgestellt werden. Und um viele qualitative Hypothesen aufzustellen, ist es notwendig, einen systematischen Ansatz anzuwenden. Der Prozess der Hypothesengenerierung wird im Artikel ausführlicher beschrieben , und es ist sehr praktisch, dieses Schema als Grundlage für den Hypothesenprozess zu verwenden.

Die Hauptquelle für Hypothesen wird die ATT & CK-Matrix (Adversarial Tactics, Techniques and Common Knowledge) sein. Tatsächlich handelt es sich um eine Wissensbasis und ein Modell zur Bewertung des Verhaltens von Angreifern, die ihre Aktivitäten in den letzten Schritten eines Angriffs realisieren. Dies wird normalerweise anhand des Konzepts der Kill Chain beschrieben. Das heißt, in den Phasen, in denen der Eindringling das interne Netzwerk des Unternehmens oder ein mobiles Gerät durchdringt. Zu Beginn enthielt die Wissensdatenbank eine Beschreibung von 121 Taktiken und Techniken, die für den Angriff verwendet wurden. Jede dieser Taktiken wird im Wiki-Format ausführlich beschrieben. Eine Vielzahl von Threat Intelligence-Analysen eignet sich gut als Quelle für die Erstellung von Hypothesen. Besonders hervorzuheben sind die Ergebnisse von Infrastrukturanalysen und Penetrationstests - dies sind die wertvollsten Daten, die Eisenhypothesen uns liefern können, da sie auf einer bestimmten Infrastruktur mit ihren spezifischen Mängeln beruhen.

Hypothesentestprozess

Sergey Soldatov gab ein gutes Diagramm mit einer detaillierten Beschreibung des Prozesses und veranschaulicht den Prozess des Testens der TH-Hypothesen in einem einzigen System. Ich werde die Hauptphasen mit einer kurzen Beschreibung angeben.

Quelle

Stufe 1: TI-Farm

In dieser Stufe müssen Sie Objekte auswählen (indem Sie sie zusammen mit allen Bedrohungsdaten analysieren) und ihnen Beschriftungen ihrer Merkmale zuweisen. Dies ist eine Datei, URL, MD5, Prozess, Dienstprogramm, Ereignis. Das Weiterleiten durch Threat Intelligence-Systeme muss markiert werden. Das heißt, diese Website wurde in diesem und jenem Jahr bei CNC entdeckt. Diese MD5 wurde mit dieser und jener Malware in Verbindung gebracht. Diese MD5 wurde von der Website heruntergeladen, auf der die Malvars verteilt wurden.

Stufe 2: Fälle

In der zweiten Stufe untersuchen wir die Interaktion zwischen diesen Objekten und identifizieren die Beziehungen zwischen all diesen Objekten. Wir bekommen beschriftete Systeme, die etwas Schlechtes tun.

Stufe 3: Analyst

In der dritten Phase wird der Fall an einen erfahrenen Analysten weitergeleitet, der über umfangreiche Erfahrung in der Analyse verfügt, und er fällt ein Urteil. Es analysiert in Bytes, was, wo, wie, warum und warum dieser Code funktioniert. Dieser Körper war eine Malware, dieser Computer war infiziert. Zeigt Verbindungen zwischen Objekten an und überprüft die Ergebnisse eines Laufs durch die Sandbox.

Die Ergebnisse der Arbeit des Analytikers werden weitergegeben. Digital Forensics untersucht die Bilder, Malware Analysis untersucht die gefundenen „Körper“ und das Incident Response-Team kann auf die Website gehen und etwas untersuchen, das bereits vorhanden ist. Das Ergebnis der Arbeit wird eine bestätigte Hypothese, ein identifizierter Angriff und Möglichkeiten, dem entgegenzuwirken, sein.

Quelle

Zusammenfassung

Die Bedrohungsjagd ist eine relativ junge Technologie, die in der Lage ist, maßgeschneiderten, neuen und nicht standardmäßigen Bedrohungen wirksam zu widerstehen. Angesichts der wachsenden Anzahl solcher Bedrohungen und der Komplexität der Unternehmensinfrastruktur bestehen große Aussichten. Es benötigt drei Komponenten - Daten, Tools und Analysen. Die Vorteile der Bedrohungsjagd beschränken sich nicht nur auf die proaktive Implementierung von Bedrohungen. Vergessen Sie nicht, dass wir im Suchprozess mit den Augen eines Sicherheitsanalysten in unsere Infrastruktur und ihre Schwächen eintauchen und diese Stellen weiter stärken können.

Die ersten Schritte, die unserer Meinung nach unternommen werden müssen, um den TH-Prozess in Ihrer Organisation einzuleiten.

1. . (NetFlow) (firewall, IDS, IPS, DLP) . .
2. MITRE ATT&CK .
3. , , .
4. Threat Intelligence (, MISP, Yeti) .
5. (IRP): R-Vision IRP, The Hive, (FortiSandbox, Cuckoo).
6. Routineprozesse automatisieren. Protokollanalyse, Incident Management und Mitarbeiterinformation sind ein großes Feld für die Automatisierung.
7. Erfahren Sie, wie Sie effektiv mit Ingenieuren, Entwicklern und dem technischen Support für die Zusammenarbeit bei Vorfällen interagieren können.
8. Dokumentieren Sie den gesamten Prozess, die wichtigsten Punkte und die erzielten Ergebnisse, um später darauf zurückzukommen oder diese Daten mit Kollegen zu teilen.
9. Denken Sie an die soziale Seite: Achten Sie darauf, was mit Ihren Mitarbeitern passiert, die Sie einstellen und die Zugriff auf die Informationsressourcen des Unternehmens gewähren.
10. Bleiben Sie über Trends im Bereich neuer Bedrohungen und Schutzmethoden auf dem Laufenden, verbessern Sie Ihre technischen Kenntnisse (einschließlich der Arbeit von IT-Diensten und Subsystemen), nehmen Sie an Konferenzen teil und kommunizieren Sie mit Kollegen.

Bereit, die Organisation des TH-Prozesses in den Kommentaren zu diskutieren.