शिकार की धमकी, या 5% खतरों के खिलाफ कैसे बचाव करें

95% सूचना सुरक्षा खतरों को जाना जाता है, और आप पारंपरिक तरीकों जैसे एंटीवायरस, फायरवॉल, आईडीएस, डब्ल्यूएएफ द्वारा खुद को उनसे बचा सकते हैं। शेष 5% खतरे अज्ञात और सबसे खतरनाक हैं। वे इस तथ्य के कारण कंपनी के लिए 70% जोखिम का प्रतिनिधित्व करते हैं कि उन्हें पता लगाना बहुत मुश्किल है और इससे भी ज्यादा खुद को उनसे बचाने के लिए। "ब्लैक स्वान" के उदाहरण हैं वानक्री, नोटपेट्या / एक्सप्रेट रैंसमवेयर महामारी, क्रिप्टोमिनर्स, स्टक्सनेट साइबर हथियार (जो ईरान की परमाणु सुविधाओं को मारते हैं) और कई (जो किदो / कन्फिकर को याद करते हैं?) अन्य हमले जो क्लासिक के खिलाफ बचाव में बहुत अच्छे नहीं हैं। सुरक्षा के साधन। हम थ्रेट हंटिंग तकनीक का उपयोग करके इन 5% खतरों का मुकाबला करने के तरीके के बारे में बात करना चाहते हैं।


साइबर हमलों के निरंतर विकास के लिए निरंतर पहचान और प्रतिकार की आवश्यकता होती है, जो अंततः हमें हमलावरों और रक्षकों के बीच एक अंतहीन हथियारों की दौड़ के विचार की ओर ले जाता है। क्लासिक सुरक्षा प्रणालियां अब एक स्वीकार्य स्तर की सुरक्षा प्रदान करने में सक्षम नहीं हैं, जिस पर जोखिम का स्तर किसी विशिष्ट बुनियादी ढांचे के लिए उन्हें अंतिम रूप दिए बिना कंपनी (आर्थिक, राजनीतिक, प्रतिष्ठा) के प्रमुख संकेतकों को प्रभावित नहीं करता है, लेकिन सामान्य तौर पर वे कुछ जोखिमों को कवर करते हैं। पहले से ही कार्यान्वयन और कॉन्फ़िगरेशन की प्रक्रिया में, आधुनिक सुरक्षा प्रणालियां पकड़ में आती हैं और उन्हें आधुनिक समय की चुनौतियों का जवाब देना चाहिए।

स्रोत

सूचना सुरक्षा विशेषज्ञ के लिए हमारे समय की चुनौतियों के जवाबों में से एक थ्रेट हंटिंग तकनीक हो सकती है। थ्रेट हंटिंग (इसके बाद TH के रूप में संदर्भित) शब्द कई साल पहले दिखाई दिया। यह तकनीक अपने आप में काफी दिलचस्प है, लेकिन अभी तक इसके कोई मानक और नियम नहीं हैं। सूचना स्रोतों की विषमता और इस विषय पर जानकारी के रूसी-भाषा स्रोतों की छोटी संख्या भी इस मामले को जटिल बनाती है। इस संबंध में, हमने LANIT- इंटीग्रेशन में इस तकनीक की कुछ समीक्षा लिखने का फैसला किया।

असली

TH प्रौद्योगिकी अवसंरचना निगरानी प्रक्रियाओं पर निर्भर करती है। आंतरिक निगरानी के दो मुख्य परिदृश्य हैं - चेतावनी और शिकार । चेतावनी (एमएसएसपी सेवा के प्रकार से) एक पारंपरिक तरीका है, जो पहले विकसित और उन पर प्रतिक्रिया करने वाले हमलों के हस्ताक्षर और संकेतों की खोज करते हैं। पारंपरिक हस्ताक्षर सुरक्षा सुविधाएँ इस परिदृश्य को सफलतापूर्वक पूरा करती हैं। शिकार (एमडीआर प्रकार की एक सेवा) एक निगरानी पद्धति है जो इस सवाल का जवाब देती है कि "हस्ताक्षर और नियम कहां से आते हैं?" यह छिपे या पहले के अज्ञात संकेतकों और किसी हमले के संकेतों का विश्लेषण करके सहसंबंध नियम बनाने की प्रक्रिया है। यह इस प्रकार की निगरानी के लिए है कि खतरा शिकार का है।


केवल दोनों प्रकार की निगरानी के संयोजन से, हमें सुरक्षा मिलती है जो आदर्श के करीब है, लेकिन हमेशा अवशिष्ट जोखिम का कुछ स्तर रहता है।

दो प्रकार की निगरानी का उपयोग कर संरक्षण

और यहाँ क्यों TH (और पूरे शिकार!) तेजी से प्रासंगिक हो जाएगा:

धमकी, उपाय, जोखिम। स्रोत

सभी खतरों का 95% पहले से ही अच्छी तरह से समझा जाता है । इनमें स्पैम, डीडीओएस, वायरस, रूटकिट और अन्य क्लासिक मैलवेयर जैसी प्रजातियां शामिल हैं। आप एक ही क्लासिक बचाव के साथ इन खतरों से अपनी रक्षा कर सकते हैं।

किसी भी परियोजना के निष्पादन के दौरान, 80% कार्य में 20% समय लगता है , और शेष 20% कार्य में 80% समय लगता है। इसी तरह, पूरे खतरे के परिदृश्य के बीच, नए प्रकार के खतरे का 5% कंपनी के लिए जोखिम का 70% का गठन करेगा। ऐसी कंपनी में जहां सूचना सुरक्षा प्रबंधन प्रक्रियाएं आयोजित की जाती हैं, हम ज्ञात खतरों के खतरे का 30% एक तरह से या किसी अन्य तरीके से प्रबंधित कर सकते हैं (सिद्धांत में वायरलेस नेटवर्क को छोड़ना), आवश्यक सुरक्षा उपायों को स्वीकार करना (शुरू करना) या स्थानांतरण (उदाहरण के लिए, एक इंटीग्रेटर के कंधे पर) यह जोखिम। शून्य-दिन की भेद्यताओं , एपीटी हमलों, फ़िशिंग, आपूर्ति श्रृंखला के माध्यम से हमलों , साइबर स्पाइवेयर और राष्ट्रीय कार्यों के साथ-साथ बड़ी संख्या में अन्य हमलों से खुद को सुरक्षित करना पहले से ही बहुत अधिक कठिन है। इन 5% खतरों के परिणाम बहुत अधिक गंभीर होंगे (स्पैम समूह या वायरस से एंटीवायरस सॉफ़्टवेयर के बचाव के परिणामों की तुलना में बैंक के घाटे की औसत राशि buhtrap समूह से 143 मिलियन है )।

लगभग सभी को 5% खतरों से निपटना पड़ता है। हाल ही में, हमें एक ओपन-सोर्स समाधान स्थापित करना पड़ा जो PEAR (PHP Extension and Application Repository) रिपॉजिटरी के एक एप्लिकेशन का उपयोग करता है। नाशपाती इंस्टॉल के माध्यम से इस एप्लिकेशन को स्थापित करने का प्रयास विफल रहा, क्योंकि साइट अनुपलब्ध थी (अब इस पर स्टब है), मुझे इसे GitHub से इंस्टॉल करना था। और अभी हाल ही में यह स्पष्ट हो गया कि PEAR आपूर्ति श्रृंखला के माध्यम से हमले का शिकार था।



आप टैक्स रिपोर्टिंग मेडोक के कार्यक्रम के अपडेट मॉड्यूल के माध्यम से, NePetya रैंसमवेयर की महामारी CCleaner का उपयोग करके हमले को भी याद कर सकते हैं। धमकियां अधिक परिष्कृत हो रही हैं, और तार्किक सवाल उठता है - "आप अभी भी इन 5% खतरों का सामना कैसे करते हैं?"

खतरा शिकार परिभाषा

इसलिए, थ्रेट हंटिंग, सक्रिय और पुनरावृत्त खोज और उन्नत खतरों का पता लगाने की एक प्रक्रिया है, जो सुरक्षा के पारंपरिक साधनों द्वारा पता नहीं लगाया जा सकता है। उन्नत खतरों में शामिल हैं, उदाहरण के लिए, एपीटी जैसे हमले, 0-दिन की कमजोरियों पर हमले, जमीन से दूर रहना और इसी तरह।

यह भी कहा जा सकता है कि टीएच एक परिकल्पना परीक्षण प्रक्रिया है। यह मुख्य रूप से स्वचालन तत्वों के साथ एक मैनुअल प्रक्रिया है, जिसमें विश्लेषक, अपने ज्ञान और योग्यता पर भरोसा करते हैं, समझौता के संकेतों की तलाश में बड़ी मात्रा में जानकारी के माध्यम से झारना है जो शुरू में एक निश्चित खतरे की उपस्थिति की परिकल्पना के अनुरूप है। इसकी एक विशिष्ट विशेषता सूचना के स्रोतों की विविधता है।

यह ध्यान दिया जाना चाहिए कि थ्रेट हंटिंग किसी तरह का सॉफ्टवेयर या हार्डवेयर उत्पाद नहीं है। ये अलर्ट नहीं हैं जिन्हें किसी भी समाधान में देखा जा सकता है। यह आईओसी (समझौता पहचानकर्ताओं) को खोजने के लिए एक प्रक्रिया नहीं है। और यह किसी प्रकार की निष्क्रिय गतिविधि नहीं है जो सूचना सुरक्षा विश्लेषकों की भागीदारी के बिना जाती है। थ्रेट हंटिंग, सबसे पहले और सबसे महत्वपूर्ण, एक प्रक्रिया है।

शिकार के घटक

थ्रेट हंटिंग के तीन मुख्य घटक: डेटा, तकनीक, लोग।

डेटा (क्या?) , बिग डेटा सहित। सभी प्रकार के ट्रैफ़िक प्रवाह, पूर्व में किए गए APT पर जानकारी, एनालिटिक्स, उपयोगकर्ता गतिविधि पर डेटा, नेटवर्क डेटा, कर्मचारियों से जानकारी, इंटरनेट पर जानकारी और बहुत कुछ।

टेक्नोलॉजीज (कैसे?) इस डेटा को संसाधित करने के लिए मशीन लर्निंग सहित इस डेटा के प्रसंस्करण के सभी संभावित तरीके हैं।

लोग (जो?) वे हैं जिन्हें विभिन्न प्रकार के हमलों का विश्लेषण करने, अंतर्ज्ञान विकसित करने और एक हमले का पता लगाने की क्षमता का व्यापक अनुभव है। आमतौर पर ये सूचना सुरक्षा विश्लेषक होते हैं जिनके पास परिकल्पना उत्पन्न करने और उनके लिए सबूत खोजने की क्षमता होनी चाहिए। वे प्रक्रिया में मुख्य कड़ी हैं।

मॉडल PARIS

एडम बेटमैन आदर्श TH प्रक्रिया के लिए PARIS मॉडल का वर्णन करता है। नाम के रूप में यह फ्रांस के प्रसिद्ध मील के पत्थर के लिए दृष्टिकोण है। इस मॉडल को दो दिशाओं में माना जा सकता है - ऊपर और नीचे।

खतरों के लिए शिकार की प्रक्रिया में, मॉडल को नीचे ले जाते हुए, हम दुर्भावनापूर्ण गतिविधि के बहुत सारे सबूतों से निपटेंगे। प्रत्येक प्रमाण में आत्मविश्वास का माप होता है - एक विशेषता जो इस साक्ष्य के वजन को दर्शाती है। दुर्भावनापूर्ण गतिविधि का प्रत्यक्ष प्रमाण "लोहा" है, जिसके द्वारा हम तुरंत पिरामिड के शीर्ष पर पहुंच सकते हैं और एक ज्ञात संक्रमण की वास्तविक अधिसूचना बना सकते हैं। और अप्रत्यक्ष साक्ष्य हैं, जिसका योग हमें पिरामिड के शीर्ष पर भी ले जा सकता है। हमेशा की तरह, प्रत्यक्ष सबूतों की तुलना में बहुत अधिक अप्रत्यक्ष सबूत हैं, जिसका अर्थ है कि उन्हें क्रमबद्ध और विश्लेषण करने की आवश्यकता है, अतिरिक्त शोध किया जाना चाहिए, और इसे स्वचालित करने की सलाह दी जाती है।

मॉडल PARIS। स्रोत

मॉडल का ऊपरी हिस्सा (1 और 2) स्वचालन प्रौद्योगिकियों और विविध विश्लेषणों पर आधारित है, और निचला भाग (3 और 4) कुछ योग्यता वाले लोगों पर आधारित है जो प्रक्रिया को नियंत्रित करते हैं। आप मॉडल पर विचार कर सकते हैं, ऊपर से नीचे की ओर, जहां नीले रंग के ऊपरी भाग में हमारे पास उच्च स्तर के विश्वास और विश्वास के साथ सुरक्षा के साधन (एंटीवायरस, ईडीआर, फ़ायरवॉल, हस्ताक्षर) हैं और नीचे संकेतक (आईओसी, यूआरएल, एमडी 5 और अन्य) हैं। जिनके पास आत्मविश्वास कम है और उन्हें आगे के अध्ययन की आवश्यकता है। और सबसे निचला और सबसे मोटा स्तर (4) परिकल्पना की पीढ़ी है, पारंपरिक उपचार के काम के नए परिदृश्यों का निर्माण। यह स्तर उपकल्पनाओं के संकेतित स्रोतों तक सीमित नहीं है। निम्न स्तर, अधिक आवश्यकताओं को विश्लेषक की योग्यता पर रखा गया है।

यह बहुत महत्वपूर्ण है कि विश्लेषक केवल पूर्वनिर्धारित परिकल्पना के एक सीमित सेट का परीक्षण नहीं करते हैं, लेकिन लगातार नए परिकल्पना और उनके परीक्षण के लिए विकल्प उत्पन्न करने के लिए काम करते हैं।

वें परिपक्वता मॉडल का उपयोग करें

एक आदर्श दुनिया में, TH एक सतत प्रक्रिया है। लेकिन, चूंकि कोई आदर्श दुनिया नहीं है, इसलिए हम उपयोग किए गए लोगों, प्रक्रियाओं और प्रौद्योगिकियों के संदर्भ में परिपक्वता मॉडल और विधियों का विश्लेषण करेंगे। आदर्श गोलाकार TH के मॉडल पर विचार करें। इस तकनीक का उपयोग करने के 5 स्तर हैं। विश्लेषकों की एकल टीम के विकास के उदाहरण पर विचार करें।

परिपक्वता का स्तर	लोग	प्रक्रियाओं	प्रौद्योगिकी के
स्तर ०	एसओसी विश्लेषकों	24/7	पारंपरिक उपकरण:
परंपरागत	चेतावनी सेट	निष्क्रिय निगरानी	आईडीएस, एवी, सैंडबॉक्सिंग,
टीएच के बिना	अलर्ट के साथ काम करें		हस्ताक्षर विश्लेषण उपकरण, खतरा खुफिया डेटा।
स्तर 1	एसओसी विश्लेषकों	एक बार का टीएच	EDR
प्रयोगात्मक	फोरेंसिक का बुनियादी ज्ञान	आईओसी खोज	नेटवर्क उपकरणों से डेटा का आंशिक कवरेज
टीएच के साथ प्रयोग	नेटवर्क और एप्लिकेशन का अच्छा ज्ञान		आंशिक आवेदन
स्तर 2	अस्थायी पेशा	स्प्रिंट	EDR
सामयिक	फोरेंसिक का औसत ज्ञान	प्रति माह का सप्ताह	पूर्ण आवेदन
अस्थायी टीएच	नेटवर्क और एप्लिकेशन का उत्कृष्ट ज्ञान	नियमित वें	EDR डेटा उपयोग का पूर्ण स्वचालन
			उन्नत EDR सुविधाओं का आंशिक उपयोग
स्तर 3	समर्पित टीएच टीम	24/7	परिकल्पना TH का परीक्षण करने की आंशिक क्षमता
निवारक	फोरेंसिक और मैलवेयर का उत्कृष्ट ज्ञान	प्रोएक्टिव टीएच	उन्नत ईडीआर सुविधाओं का पूर्ण उपयोग
विशेष मामले TH	हमलावर का उत्कृष्ट ज्ञान	विशेष मामले TH	नेटवर्क उपकरणों से डेटा का पूर्ण कवरेज
			कस्टम कॉन्फ़िगरेशन
स्तर 4	समर्पित टीएच टीम	24/7	टीएच परिकल्पना का परीक्षण करने की पूरी क्षमता
उच्च अंत	फोरेंसिक और मैलवेयर का उत्कृष्ट ज्ञान	प्रोएक्टिव टीएच	स्तर 3, प्लस:
TH का उपयोग करना	हमलावर का उत्कृष्ट ज्ञान	परीक्षण, स्वचालित, और वें परिकल्पना का सत्यापन	डेटा स्रोतों का तंग एकीकरण;
	अनुसंधान की क्षमता		कस्टम विकास और कस्टम एपीआई का उपयोग।

वें लोगों, प्रक्रियाओं, और प्रौद्योगिकी द्वारा परिपक्वता स्तर

स्तर 0: पारंपरिक, TH का उपयोग किए बिना। पारंपरिक टूल मानक तकनीकों और तकनीकों का उपयोग करते हुए निष्क्रिय निगरानी मोड में अलर्ट के मानक सेट के साथ काम करते हैं: आईडीएस, एवी, सैंडबॉक्स, हस्ताक्षर विश्लेषण उपकरण।

स्तर 1: टीएच का उपयोग करके प्रयोगात्मक। फोरेंसिक के बुनियादी ज्ञान और नेटवर्क के अच्छे ज्ञान और आवेदन के साथ एक ही विश्लेषक समझौता के संकेतकों की खोज करके एक बार थ्रेट हंटिंग को लागू कर सकते हैं। नेटवर्क उपकरणों से डेटा के आंशिक कवरेज वाले EDR को उपकरणों में जोड़ा जाता है। उपकरण आंशिक रूप से लागू होते हैं।

स्तर 2: आंतरायिक, अस्थायी TH। एक ही विश्लेषकों ने पहले से ही फोरेंसिक, नेटवर्क और आवेदन भाग के अपने ज्ञान को पंप कर लिया है, जो नियमित रूप से (स्प्रिंट) थ्रेट हंटिंग में संलग्न होने के दायित्व के साथ आरोप लगाया जाता है, कहते हैं, एक सप्ताह एक महीने। उपकरण नेटवर्क उपकरणों से डेटा के पूर्ण अध्ययन, EDR से डेटा विश्लेषण के स्वचालन और उन्नत EDR सुविधाओं के आंशिक उपयोग के साथ पूरक हैं।

स्तर 3: निवारक, TH के लगातार मामले। हमारे विश्लेषकों ने एक समर्पित टीम में संगठित किया, जिसमें फोरेंसिक और मैलवेयर के साथ-साथ हमलावर पक्ष के तरीकों और रणनीति का भी उत्कृष्ट ज्ञान था। प्रक्रिया पहले से ही 24/7 चल रही है। टीम टीएच परिकल्पनाओं का आंशिक रूप से परीक्षण करने में सक्षम है, जो नेटवर्क उपकरणों से डेटा के पूर्ण कवरेज के साथ उन्नत ईडीआर क्षमताओं का पूर्ण उपयोग कर रही है। इसके अलावा, विश्लेषक अपनी आवश्यकताओं को पूरा करने के लिए उपकरणों को कॉन्फ़िगर करने में सक्षम हैं।

स्तर 4: उच्च अंत, TH का उपयोग करके। उसी टीम ने हाइपोथेसिस टीएच के परीक्षण की प्रक्रिया को अनुसंधान करने, उत्पन्न करने और स्वचालित करने की क्षमता हासिल कर ली। अब, उपकरण के तंग एकीकरण, जरूरतों के लिए सॉफ्टवेयर विकास और एपीआई के गैर-मानक उपयोग को उपकरण में जोड़ा गया है।

खतरा शिकार तकनीक

बुनियादी खतरा शिकार तकनीक

उपयोग की जाने वाली तकनीक की परिपक्वता के क्रम में TH तकनीकों में शामिल हैं: बुनियादी खोज, सांख्यिकीय विश्लेषण, विज़ुअलाइज़ेशन तकनीक, सरल एकत्रीकरण, मशीन सीखना और बायेसियन तरीके।

सबसे सरल विधि एक मूल खोज है, जिसका उपयोग विशिष्ट प्रश्नों का उपयोग करके अनुसंधान के दायरे को कम करने के लिए किया जाता है। सांख्यिकीय विश्लेषण का उपयोग किया जाता है, उदाहरण के लिए, सांख्यिकीय मॉडल के रूप में एक विशिष्ट उपयोगकर्ता या नेटवर्क गतिविधि बनाने के लिए। विज़ुअलाइज़ेशन तकनीकों का उपयोग ग्राफ़ और चार्ट के रूप में डेटा विश्लेषण की कल्पना और सरल बनाने के लिए किया जाता है, जो नमूने में पैटर्न को पकड़ने में बहुत आसान बनाता है। कुंजी फ़ील्ड के लिए सरल एकत्रीकरण तकनीक का उपयोग खोज और विश्लेषण को अनुकूलित करने के लिए किया जाता है। किसी संगठन में परिपक्वता का स्तर TH प्रक्रिया द्वारा प्राप्त किया जाता है, अधिक प्रासंगिक मशीन लर्निंग एल्गोरिदम का उपयोग है। इनका व्यापक रूप से उपयोग किया जाता है, जिसमें स्पैम को फ़िल्टर करना, दुर्भावनापूर्ण ट्रैफ़िक का पता लगाना और धोखाधड़ी गतिविधियों का पता लगाना शामिल है। मशीन लर्निंग एल्गोरिदम का एक और उन्नत प्रकार बायेसियन तरीका है जो वर्गीकरण, नमूना आकार में कमी और विषयगत मॉडलिंग की अनुमति देता है।

डायमंड मॉडल और टीएच रणनीति

सर्जियो कैल्टागिरोन, एंड्रयू पेंडेगैस्ट और क्रिस्टोफर बेत्ज़ ने अपने काम "इंट्रूज़न एनालिसिस के डायमंड मॉडल " में किसी भी दुर्भावनापूर्ण गतिविधि के मुख्य प्रमुख घटकों और उनके बीच बुनियादी संबंध को दिखाया।

दुर्भावनापूर्ण गतिविधि के लिए डायमंड मॉडल

इस मॉडल के अनुसार, 4 थ्रेट हंटिंग रणनीतियाँ हैं जो प्रासंगिक प्रमुख घटकों पर निर्भर करती हैं।

1. एक शिकार उन्मुख रणनीति। हम मानते हैं कि पीड़ित के पास प्रतिद्वंद्वी हैं, और वे ईमेल के माध्यम से "अवसर" वितरित करेंगे। हम मेल में दुश्मन डेटा की तलाश कर रहे हैं। लिंक, अटैचमेंट आदि की खोज करें। हम एक निश्चित अवधि (महीने, दो सप्ताह) के लिए इस परिकल्पना की पुष्टि के लिए देख रहे हैं, अगर नहीं मिला, तो परिकल्पना नहीं खेली।

2. इन्फ्रास्ट्रक्चर-उन्मुख रणनीति। इस रणनीति का उपयोग करने के कई तरीके हैं। पहुंच और दृश्यता के आधार पर, कुछ दूसरों की तुलना में आसान हैं। उदाहरण के लिए, हम दुर्भावनापूर्ण डोमेन की मेजबानी के लिए ज्ञात डोमेन नाम सर्वर की निगरानी करते हैं। या हम विरोधी द्वारा उपयोग किए जाने वाले एक ज्ञात पैटर्न के लिए सभी नए डोमेन नाम पंजीकरण को ट्रैक करने की एक प्रक्रिया का संचालन कर रहे हैं।

3. अवसर उन्मुख रणनीति। अधिकांश नेटवर्क अधिवक्ताओं द्वारा उपयोग की जाने वाली शिकार-उन्मुख रणनीति के अलावा, एक अवसर-उन्मुख रणनीति है। यह दूसरा सबसे लोकप्रिय है और "मालवेयर" और विरोधी से क्षमता का पता लगाने पर ध्यान केंद्रित करता है, और इस तरह के वैध उपकरण का उपयोग करने की क्षमता है जैसे कि पीसेक, पावरशेल, सर्टिफिकेट और अन्य।

4. विरोधी-उन्मुख रणनीति। दुश्मन उन्मुख दृष्टिकोण दुश्मन पर केंद्रित है। इसमें सार्वजनिक स्रोतों (OSINT) से खुली जानकारी का उपयोग, दुश्मन के बारे में डेटा एकत्र करना, उसकी तकनीक और तरीके (TTP), पिछली घटनाओं का विश्लेषण, ख़तरा खुफिया डेटा इत्यादि शामिल हैं।

TH में जानकारी और परिकल्पना के स्रोत

थ्रेट हंटिंग के लिए सूचना के कुछ स्रोत

सूचना के कई स्रोत हो सकते हैं। आदर्श विश्लेषक को अपने आसपास मौजूद हर चीज से जानकारी निकालने में सक्षम होना चाहिए। लगभग किसी भी बुनियादी ढांचे में विशिष्ट स्रोत सुरक्षा सुविधाओं से डेटा होंगे: डीएलपी, कोलम्बिया, आईडीएस / आईपीएस, डब्ल्यूएएफ / एफडब्ल्यूआर, ईडीआर। इसके अलावा, सूचना के विशिष्ट संकेतक सभी प्रकार के समझौता, थ्रेट इंटेलिजेंस सेवाओं, सीईआरटी और ओएसआईएनटी डेटा के संकेतक होंगे। इसके अतिरिक्त, आप डार्कनेट से जानकारी का उपयोग कर सकते हैं (उदाहरण के लिए, अचानक संगठन के प्रमुख के मेलबॉक्स को हैक करने का एक आदेश है, या नेटवर्क इंजीनियर की स्थिति के लिए उम्मीदवार उसकी गतिविधि पर दिखाई दिया है), एचआर से प्राप्त जानकारी (पिछली नौकरी से उम्मीदवार के बारे में प्रतिक्रिया), सुरक्षा सेवा से जानकारी ( उदा। प्रतिपक्ष सत्यापन परिणाम)।

लेकिन सभी उपलब्ध स्रोतों का उपयोग करने से पहले, आपके पास कम से कम एक परिकल्पना होनी चाहिए।

स्रोत

परिकल्पनाओं का परीक्षण करने के लिए, उन्हें पहले आगे रखा जाना चाहिए। और कई गुणात्मक परिकल्पनाओं को आगे बढ़ाने के लिए, एक व्यवस्थित दृष्टिकोण को लागू करना आवश्यक है। परिकल्पना पीढ़ी प्रक्रिया को लेख में अधिक विस्तार से वर्णित किया गया है; इस योजना को परिकल्पना प्रक्रिया के आधार के रूप में लेना बहुत सुविधाजनक है।

परिकल्पनाओं का मुख्य स्रोत ATT & CK (Adversarial Tactics, Techniques and Common Knowledge) मैट्रिक्स होगा । यह, वास्तव में, हमलावरों के व्यवहार का आकलन करने के लिए एक ज्ञान का आधार और मॉडल है, जो एक हमले के अंतिम चरणों में अपनी गतिविधियों का एहसास करते हैं, आमतौर पर किल चेन की अवधारणा का उपयोग करके वर्णित है। यही है, घुसपैठियों के बाद चरणों में उद्यम के आंतरिक नेटवर्क या एक मोबाइल डिवाइस में प्रवेश करता है। प्रारंभ में, ज्ञान के आधार में हमले में प्रयुक्त 121 रणनीति और तकनीकों का वर्णन शामिल था, जिनमें से प्रत्येक को विकी प्रारूप में विस्तार से वर्णित किया गया है। परिकल्पना पैदा करने के लिए विभिन्न प्रकार के थ्रेट इंटेलिजेंस एनालिटिक्स स्रोत के रूप में अच्छी तरह से अनुकूल हैं। विशेष रूप से नोट बुनियादी ढांचे के विश्लेषण और पैठ परीक्षणों के परिणाम हैं - ये सबसे मूल्यवान डेटा हैं जो लोहे की परिकल्पना हमें दे सकते हैं क्योंकि वे इसकी विशिष्ट कमियों के साथ एक विशिष्ट बुनियादी ढांचे पर भरोसा करते हैं।

परिकल्पना परीक्षण प्रक्रिया

सर्गेई सोलातोव ने प्रक्रिया के विस्तृत विवरण के साथ एक अच्छा आरेख दिया , यह एक प्रणाली में TH परिकल्पना के परीक्षण की प्रक्रिया को दिखाता है। मैं एक संक्षिप्त विवरण के साथ मुख्य चरणों का संकेत दूंगा।

स्रोत

स्टेज 1: TI फ़ार्म

इस स्तर पर, आपको उनकी विशेषताओं के लेबल असाइन करने के साथ ऑब्जेक्ट्स (सभी खतरे के डेटा के साथ उन्हें एक साथ विश्लेषण करके) का चयन करने की आवश्यकता है । यह एक फ़ाइल, URL, MD5, प्रक्रिया, उपयोगिता, घटना है। थ्रेट इंटेलिजेंस सिस्टम के माध्यम से उन्हें पास करने की जरूरत है। यही है, इस साइट को इस तरह के और इस तरह के एक साल में सीएनसी में देखा गया था, यह एमडी 5 इस तरह के और इस तरह के मैलवेयर से जुड़ा था, इस एमडी 5 को उस वेबसाइट से डाउनलोड किया गया था जिसने माल्वर्स वितरित किए थे।

स्टेज 2: मामले

दूसरे चरण में, हम इन वस्तुओं के बीच की बातचीत को देखते हैं और इन सभी वस्तुओं के बीच संबंधों की पहचान करते हैं। हमें लेबल वाले सिस्टम मिलते हैं जो कुछ बुरा करते हैं।

स्टेज 3: विश्लेषक

तीसरे चरण में, मामले को एक अनुभवी विश्लेषक को स्थानांतरित किया जाता है, जिसके पास विश्लेषण में विशाल अनुभव है, और वह एक निर्णय करता है। यह बाइट्स के लिए क्या, कहाँ, कैसे, क्यों और क्यों इस कोड को करता है। यह शरीर एक मैलवेयर था, यह कंप्यूटर संक्रमित था। वस्तुओं के बीच कनेक्शन का खुलासा करता है, सैंडबॉक्स के माध्यम से एक रन के परिणामों की जांच करता है।

विश्लेषक के कार्य के परिणाम पारित किए जाते हैं। डिजिटल फोरेंसिक छवियों की जांच करता है, मैलवेयर विश्लेषण पाया "निकायों" की जांच करता है, और हादसा प्रतिक्रिया टीम साइट पर जा सकती है और वहां पहले से ही कुछ का पता लगा सकती है। कार्य का परिणाम एक निश्चित परिकल्पना, एक पहचाना गया हमला और इसे मुकाबला करने के तरीके होंगे।

स्रोत

परिणाम

थ्रेट हंटिंग एक काफी युवा तकनीक है जो अनुकूलित, नए और गैर-मानक खतरों का प्रभावी ढंग से विरोध करने में सक्षम है, जिससे इस तरह के खतरों की बढ़ती संख्या और कॉर्पोरेट बुनियादी ढांचे की जटिलता को देखते हुए काफी संभावनाएं हैं। इसके लिए तीन घटकों की आवश्यकता होती है - डेटा, टूल और एनालिटिक्स। थ्रेट हंटिंग के लाभ लगातार खतरों को लागू करने तक सीमित नहीं हैं। यह मत भूलो कि खोज प्रक्रिया में हम एक सुरक्षा विश्लेषक की आंखों के माध्यम से अपने बुनियादी ढांचे और इसकी कमजोरियों में उतरते हैं और इन स्थानों को और मजबूत कर सकते हैं।

हमारी राय में, आपके संगठन में TH प्रक्रिया शुरू करने के लिए पहले कदम उठाने की जरूरत है।

1. . (NetFlow) (firewall, IDS, IPS, DLP) . .
2. MITRE ATT&CK .
3. , , .
4. Threat Intelligence (, MISP, Yeti) .
5. (IRP): R-Vision IRP, The Hive, (FortiSandbox, Cuckoo).
6. स्वचालित प्रक्रियाओं को नियमित करें। लॉग विश्लेषण, घटना प्रबंधन, कर्मचारियों को सूचित करना स्वचालन के लिए एक बहुत बड़ा क्षेत्र है।
7. घटनाओं पर सहयोग करने के लिए इंजीनियरों, डेवलपर्स, तकनीकी सहायता के साथ प्रभावी ढंग से बातचीत करना सीखें।
8. संपूर्ण प्रक्रिया, मुख्य बिंदुओं, परिणाम प्राप्त करने, बाद में उन्हें वापस करने या सहकर्मियों के साथ इस डेटा को साझा करने के लिए दस्तावेज़ करें;
9. सामाजिक पक्ष को याद रखें: अपने कर्मचारियों के साथ क्या हो रहा है, जिनके बारे में आप जानकारी रखते हैं और संगठन के सूचना संसाधनों तक पहुँच प्रदान करते हैं।
10. नए खतरों और सुरक्षा के तरीकों के क्षेत्र में रुझानों के बीच में रहें, अपने तकनीकी साक्षरता के स्तर को बढ़ाएं (आईटी सेवाओं और उप-प्रणालियों के काम सहित), सम्मेलनों में भाग लें और सहकर्मियों के साथ संवाद करें।

टीएच प्रक्रिया के संगठन पर टिप्पणियों में चर्चा करने के लिए तैयार हैं।