Rose debug info
---------------

Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

Threat Hunting

Относительно новое направление, похоже на активную пред-форензику.

Threat Hunter предполагает, что атака произошла и ищет неизвестные цифровые следы, обрабатывая данные, иногда вручную (чаще с помощью SIEM и других анализаторов, см. Обзор инструментов Threat Hunting для проактивного поиска и обнаружения угроз).

Не все можно обнаружить системами (только 95%), поэтому купите.... ищите:

Мышление хантера:
— Необходимо предполагать, что система уже взломана и главная цель — найти следы проникновения.
— Для поиска нужна гипотеза (см. Генерация гипотез для Threat Hunting) о том, как именно система была скомпрометирована.
— Поиск должен осуществляться итеративно, то есть после проверки очередной гипотезы, аналитик выдвигает новую и продолжает поиск.

Хорошая статья от PT: Что такое threat hunting, и как правильно охотиться на киберпреступников.

Видео и презентация от PT: Threat hunting: поиск угроз, когда системы ИБ молчат

Threat Hunting является частью Threat Intelligence (киберразведки, Cyber Threat Intelligence). Подробнее см. Автоматизация процессов киберразведки на основе решений класса Threat Intelligence Platform (TIP).

В основе Threat Hunting и Threat Intelligence систем лежат индикаторы компрометации (Indicators of Compromise, IoC): IP- и URL-адреса, связанные с вредоносной активностью, хеш-суммы вредоносных файлов и т. д. Последовательность индикаторов компрометации из одного источника принято называть «фидом» (Threat Intelligence Feeds).

Есть четыре основных жизненно важных признака для обнаружения значимых изменений в медицине: температура, частота дыхания, кровяное давление и пульс. Медицинские работники всех уровней умеют непрерывно собирать эту информацию в качестве постоянного средства предварительной диагностической оценки [линк].

Верхняя часть модели PARIS (1 и 2) основана на технологиях автоматизации и разнообразной аналитике, а нижняя часть (3 и 4) на людях с определенной квалификацией, которые управляют процессом:

Дополнительно:
PT ESC Threat Intelligence
— Хороший обзор про Threat Hunting тут.

Подписаться на блог
Поделиться
Отправить
Запинить
 59   2020   Infosec   Security
Дальше