https://app.diagrams.

net/#

Данные киберразведки также должны давать понимание о поведении злоумышленника.

Например, атакующий может использовать закодированные DNS-запросы для сообщения с
управляющим сервером (C2).

Большинство мероприятий по информационной безопасности являются реактивными. Они

сосредоточены на реализации мер, которые обнаруживают действия злоумышленника, а
затем на реагировании, когда индикаторы угрозы определены на
сеть предприятия. Это центральный элемент безопасности.
Тем не менее, это также принципиально оборонительный подход, который
оставляет место для искушенных противников, чтобы «остаться» незамеченными
в сети в течение нескольких недель, месяцев или даже лет: достаточно времени для
находить и похищать ценные данные или нарушать деловые операции.
Напротив, охота за угрозами - это активный подход к обеспечению безопасности.
системы вашей организации. Это процесс активного поиска
на наличие признаков злонамеренной активности в корпоративных сетях, без
предварительного знания этих признаков. Это позволяет раскрыть
угрозы в вашей сети без подписей или известных индикаторов компрометации (IOCs).
В этом руководстве мы наметим эффективные подходы к поиску
2 | Руководство по финальной охоте на угрозы
типы злонамеренных действий, которые не вызывают оповещения или используют
вид вредоносного ПО, которое вы можете поймать с помощью сигнатур. Мы также говорим
вам
с чего начать их искать.
Основная цель
Основной целью поиска угрозы является сокращение времени обнаружения и реагирования
на инцидент. Раннее обнаружение злоумышленников при вторжении в сеть организации
также снижают уровень ресурсов, необходимых для восстановления инфраструктуры,
существенно снижая стоимость.
Проактивный поиск угроз опирается прежде всего на методологию. Используется
следующий научный метод: определение проблемы или цели, выдвигая гипотезу для ее
решения, далее собираются данные, которые впоследствии анализируются, после чего
происходит опровержение или подтверждение гипотезы и оценка результатов.
Проактивный поиск угроз также зависит от знания того, что и где необходимо искать.
Члены охотничьей команды должны использовать свои
знания и опыт, а также методологию и другие ресурсы.
Технологические решения для охоты позволяют охотникам
собирать, идентифицировать, сопоставлять, обогащать, измерять и анализировать
тысячи фрагментов данных, необходимых для эффективного и действенного проведения
охотится.

Модель алмаза представляет новую концепцию анализа вторжений, основанную на

многолетнем опыте. Модель устанавливает основной элемент любого вторжения -
активность (события). Состоит из четырех основных функций (секторов): противник,
инфраструктура, возможности, и жертва. Таким образом, внешне модель напоминает
алмаз, что и дает ей это имя.
В рамках модели определяются дополнительные функции для поддержки конструкций более
высокого уровня, таких как
связывание событий в потоки действий и дальнейшее объединение событий и потоков в
группы деятельности.
Эти элементы, событие, поток и группа вносят вклад в основополагающую и комплексную
модель вторжения, построенную вокруг аналитических процессов. Модель охватывает
основные понятия анализа вторжений и действий злоумышленников, позволяя создавать
некую гибкость для масштабируемости и реализации новых идей и концепций.
Модель впервые устанавливает формальный метод применения научных принципов анализа
вторжений - в частности, измерения, тестируемости и повторяемости, предоставляя
комплексный метода документации, синтеза, и корреляции.
Этот научный подход и простота приводит к улучшению аналитической эффективности,
эффективности и точности процесса. В конечном счете, модель предоставляет
возможность для интеграции данных киберразведки в режиме реального времени для
защиты сети, автоматизации и корреляции между событиями, классификацию событий в
организации и выявления деятельности и прогнозирования атакующего, что в целом
позволяет снизить риски для кампании.

Преимущества данной модели:

Позволяет использовать контекстные и содержательные индикаторы, снабжающие процесс
поиска угроз обменом данными киберраздведки и расширение диапазона применимости
этих показателей.
• Улучшает защиту информации и анализ киберугроз с помощью графиков атак.
• Улучшает аналитическую эффективность и результативность за счет упрощения
идентификации возможностей атакующего и простой концепции для генерации новых
аналитических вопросов.
• Повышает аналитическую точность, позволяя генерировать гипотезы, документировать,
и тестировать их, тем самым повышая регламентированность процесса.
• Улучшает алгоритм разработки действий и планирования стратегии.
• Поддерживает характеристику событий в режиме реального времени, отображая
аналитический процесс как понятную классификацию для исследования и обнаружения
вторжений.
• Устанавливает основы вредоносной активности, киберугроз, протоколов обмена
данными киберразведки и управления знаниями