یافتن تهدیدات محتمل از طریق بررسی ترافیک HTTP
تحلیلگران امنیت و به خصوص شکارچیان تهدیدات سایبری، می توانند با بررسی بسته های مربوط به پروتکل های شبکه نشانه های احتمالی تهدید را بیابند. به بیان دیگر، یکی از منابع داده ای بسیار ارزشمند در فرآیند شکار تهدیدات، ترافیک شبکه است. در این پست قصد داریم تا نقاط قابل جستجو و تهدیدات محتمل قابل تشخیص در ترافیک HTTP را به صورت فهرست تشریح کنیم.
فیلدهایی از ترافیک http که باید درحین فرآیند شکار تهدیدات بررسی شوند عبارتند از:
• HTTP host header
• HTTP referrer header
• HTTP user-agent header
• HTTP request methods
• HTTP response status code
• HTTP number of requests
نشانه گرهایی که می توان از فیلدهای مذکور به دست آورد عبارتند از:
• Hosts not ending with .com | .net | .org & host length > 30 char
• Malicious referring domains
• Uncommon or non-existing User-Agents
• Methods other than GET/POST
• Abnormal increase in NON 2xx/3xx codes
• Clients sending increasing number of HTTP requests
و در نهایت، تهدیدات محتملی که از ترافیک HTTP قابل تشخیص است عبارتند از:
• Unauthorized communication channel
• DGA, suspicious domains (i.e. http:://bit .ly/2jKNAhi or HTTP traffic to an IP address instead of FQDN)
• Watering hole and JS exploit kits
• Uploads (PUT method), tunneling (CONNECT method) and injection
• Directory brute-forcing (404 errors), authorization bypass (401 errors), DOS (5xx errors)
• Beacons, tunneling, and data exfiltration

📝منابع مفید جهت مطالعه بر روی SIEM ها
http://hypersec.ir

1⃣IBM QRadar
DOCUMENTATION
https://ibm.biz/qradarknowledge

CONFERENCE
https://ibm.biz/qradaropenmic

LEARNING FREE VIDEOS
https://ibm.ent.box.com/s/ich0yyiw54y0ek6s9a66xvtjku8e42rc
(Download the Security Intelligence Toturial, Demos & Use Cases PDF)

LEARNING OFFICIAL PAID COURSES
https://www.securitylearningacademy.com/

APP MARKET PLACE
https://exchange.xforce.ibmcloud.com/

APP DEVELOPMENT
https://developer.ibm.com/qradar/

SUPPORT
https://ibm.biz/qradarsupport
https://ibm.biz/qradarlogs Getting logs Instructions

REQUEST FOR ENHANCEMENTS
https://ibm.biz/RFEQRadar

FREE or TRIAL DOWNLOAD
https://ibm.biz/qradarce

USER FORUM
https://ibm.biz/qradarforums

Public User Chat Groups (not endorsed by vendor)
https://news.1rj.ru/str/QRadarChat (Telegram)
https://news.1rj.ru/str/QRadarFEED (IBM Qradar RSS Feed group)
=============================================
2⃣ELK (Elasticsearch, Logstash, Kibana)
DOCUMENTATION
https://www.elastic.co/guide/index.html

CONFERENCE
https://www.elastic.co/elasticon

LEARNING FREE VIDEOS
https://www.youtube.com/results?search_query=elasticsearch+playlist
* There are alot of free introduction videos, but most full online training courses are paid.

LEARNING OFFICIAL PAID COURSES
https://www.elastic.co/training

APP MARKET PLACE
https://www.elastic.co/solutions
* ELK does not have a app store, but different "solutions"

APP DEVELOPMENT
ELK does not have a app store, but different products and solutions.
SUPPORT
https://www.elastic.co/support/welcome

REQUEST FOR ENHANCEMENTS
https://github.com/elastic/elasticsearch/issues
https://github.com/elastic/kibana/issues
https://github.com/elastic/logstash/issues

FREE or TRIAL DOWNLOAD
https://www.elastic.co/start

USER FORUM
https://discuss.elastic.co/

=========================================
3⃣Splunk

DOCUMENTATION
http://docs.splunk.com/Documentation

CONFERENCE
http://conf.splunk.com/

LEARNING FREE VIDEOS
https://www.splunk.com/en_us/training/free-courses/splunk-fundamentals-1.html
* Certification is also free of charge

LEARNING OFFICIAL PAID COURSES
https://www.splunk.com/en_us/training.html

APP MARKET PLACE
https://splunkbase.splunk.com/

APP DEVELOPMENT
http://dev.splunk.com/

SUPPORT
https://www.splunk.com/en_us/support-and-services.html

REQUEST FOR ENHANCEMENTS
http://www.splunk.com/index.php/submit_issue

FREE or TRIAL DOWNLOAD
https://www.splunk.com/en_us/download.html

USER FORUM
https://www.splunk.com/en_us/community.html

📝 جهت بررسی یک رخداد یا بررسی event های مشکوک، معمولاْ چه نوع لاگ هایی را باید بررسی کرد؟

✔️ لاگ های سیستم عامل کاربر قربانی یا لاگ سیستم عامل سرور
✔️ لاگ اپلیکیشن ها (سرویس دهنده وب مانند آپاچی یا IIS، لاگ دیتابیس و ..)
✔️ لاگ تجهیزات و نرم افزارهای امنیتی (لاگ آنتی ویروس، لاگ سیستم های تشخیص نفوذ، لاگ فایروال و …)
✔️ لاگ ترافیک خروجی سرور پراکسی

📝 اما این لاگ ها در چه مسیری ذخیره شده اند؟

در سیستم عامل لینوکس لاگ های سیستم عامل و لاگ اپلیکیشن ها در مسیر /var/log ذخیره شده است. به عنوان نمونه در صورتی که بخواهید لاگ آپاچی را مشاهده کنید باید به مسیر زیر رجوع کرد
/var/log/apache2/access.log
در سیستم عامل ویندوز نیز این لاگ ها از طریق برنامه Event Viewer قابل مشاهده و دسترسی هستند
سایر دستگاه های موجود در شبکه (دستگاه های سخت افزاری) نیز لاگ های خود را از طریق پروتکل Syslog به یک سرور یا ذخیره ساز مرکزی ارسال می کنند

📝 با چه نرم افزارهایی می تواند لاگ های جمع آوری شده را تحلیل کرد؟

پس از جمع آوری لاگ های مورد نظر جهت بررسی یک رخداد یا Event های مشکوک، می توان با نرم افزارهایی نظیر موارد زیر لاگ ها را تحلیل و بررسی کرد
✔️ پلتفرم نرم افزاری ElK Stack
✔️ سیستم تحلیل داده Splunk
✔️ نرم افزار ساده LogParser
و …

📝 وقتی صحبت از شکار تهدیدات به میان می آید، تحلیلگر امنیتی دقیقا باید دنبال چه موارد محتملی باشد؟

پس از جمع آوری داده های مورد نیاز در یک فرآیند شکار تهدیدات، تحلیلگر در داده های جمع آوری شده می تواند موارد محتمل زیر را جستجو کند:

✔️ Hunt for Network Beaconing
توضیح: Network Beaconing به معنای وقوع الگویی خاص در ترافیک شبکه، در بازه های زمانی معین است. مشاهده این الگو می تواند نشانه ای از ارتباط یک بدافزار با سرور کنترل و فرمان باشد.
✔️ Hunt for Unusual DNS requests
✔️ Hunt for Unusual Network Shares
✔️ Hunt for Network Reconnaissance
✔️ Hunt for mismatch windows services (parent/child processes)
توضیح: در این مورد تحلیلگر باید به دنبال سرویس هایی باشد که سرویس والد آنها یا وجود ندارد یا سرویسی ناشناخته است
✔️ Hunt for Privilege Escalation
✔️ Hunt for UAC Bypass
✔️ Hunt for Credential Dumping
✔️ Hunt for Covert Channels
✔️ Hunt for CnC traffics
✔️ Hunt for Suspicious Tunnels
توضیح: در این مورد تحلیل گر باید به دنبال داده هایی غیرمرتبط در پیلود بسته ها باشد. به عنوان نمونه در پیلود بسته های ICMP الگویی ناهنجار مشاهده کند

Sputnik — An Open Source Intelligence Browser Extension
https://medium.com/bugbountywriteup/sputnik-an-open-source-intelligence-browser-extension-da2f2c22c8ec

رویداد 80 جامعه آزاد رایانش ابری ایران

> سه شنبه 2 بهمن، ساعت 16:30 الی 19:30
> چهار راه کالج، کوچه سعیدی، پلاک5، پژوهشکده ICT جهاد دانشگاهی

http://occc.ir

#Openstack #OpenInfrastructure #Security
@occc_news

معرفی یکی از اپ های فوق العاده اسپلانک جهت شکار تهدیدات سایبری
اپی به نام Threat Hunting که توی انباره اپ های اسپلانک به آدرس splunkbase.splunk.com وجود دارد و قابل دانلود و استفاده است. این اپ فوق العاده حاوی چندین داشبورد و حدود ۱۲۰ گزارش آماده است که عملیات شناسایی و شکار نشانه های تهدید سایبری را بسیار ساده و آسان کرده است. یکی از ویژگی های منحصر به فرد این اپ این است که برای هر یک از تاکتیک ها و تکنیک های مندرج در فریم ورک محبوب MITRE به نام MITRE ATT@CK یک گزارش جداگانه تعریف شده است. به عبارت دیگه این اپ به فریم ورک ATT@CK نگاشت شده که این کار رو برای شکارچیان تهدید بسیار ساده کرده است.
پیشنهاد می کنم اگر علاقه مند به حوزه تشخیص تهدیدات سایبری هستید حتما این اپ رو دانلود و استفاده کنید.
از لینک زیر می توانید برای دانلود و آشنایی بیشتر با این اپ فوق العاده استفاده کنید.
https://github.com/olafhartong/ThreatHunting

چالش سازمان ها در تشخیص تهدیدات پیشرفته - معرفی تیم قرمز و آبی

یکی از چالش های فعلی سازمان های متوسط و بزرگ، تشخیص و مواجهه با تهدیدات پیشرفته و چند مرحله ای است، تهدیداتی که بر خلاف تهدیدات سنتی، مهاجمین در آن می کوشند تا از چند نقطه و چند روش مختلف به شبکه قربانی نفوذ کنند. این گونه تهدیدات که معمولا پشتوانه سازمانی (خصوصی یا دولتی) دارند، مدت های زیادی در شبکه به صورت ناشناس فعالیت می کنند. اما چگونه می توان چنین تهدیداتی را در سازمان تشخیص داد؟ آیا با رویکرد و نگرش سنتی این امر شدنی است؟
پاسخ روشن است. تیم های امنیتی که متولی امنیت سازمان ها هستند نیاز به تغییر نگرش دارند، تغییر از نگرش سنتی به نگرشی نوین و پیش کنشانه. بر اساس این نگرش، پیش از آنکه حمله و نفوذی به شبکه صورت گیرد بهتر است ذهن مهاجم یا مهاجمین را خواند. به عبارت دیگر باید تمامی راه هایی که مهاجمین ممکن است به شبکه نفوذ کنند را شبیه سازی کرد. برای انجام این کار نیاز به تیم های مجزا در قالب تیم قرمز و تیم آبی داریم.

در ادامه مروری خواهیم داشت بر این مفاهیم نوین در حوزه امنیت سایبری.

مروری بر مفاهیم RedTeam، BlueTeam

تعریف تیم قرمز: تیم قرمز در واقع نیروهایی هستند که توسط سازمان به کار گرفته می شوند تا برنامه ها و تمهیدات امنیتی یک سازمان را مورد ارزیابی قرار دهند. وظیفه اصلی تیم قرمز شبیه سازی رفتار مهاجمان و تکنیک های مورد استفاده آنان است. یکی از تفاوت های اصلی وظایف تیم قرمز با تیم تست نفوذ، دامنه فعالیت و هدف حمله است. فعالیت های تیم قرمز بازه گسترده تری را نسبت به فعالیت های تست نفوذ شامل می شود. از جمله این فعالیت ها، می توان به انجام حملات مهندسی اجتماعی، حملات معمول شبکه و وب،‌ فیشینگ و … اشاره کرد.
تعریف تیم آبی: در طرف دیگر میدان و درست در نقطه مقابل تیم قرمز، تیم آبی قرار دارد. تیم آبی موظف است همزمان یا قبل از فعالیت تیم قرمز، تمهیداتی اتخاذ کند و از حملات تیم قرمز جلوگیری نماید. درست مانند تیم قرمز،‌ حیطه وظایف تیم آبی نیز گسترده است. این دامنه مواردی نظیر آگاهی رسانی، امن سازی شبکه، تحلیل داده و … را شامل می شود.
تلفیق تیم قرمز و آبی به ترفیع هرچه بیشتر بلوغ امنیتی سازمان کمک می کند. جهت مقابله با تهدیدات پیشرفته، باید نگرش تغییر یابد و رفتار مهاجمان احتمالی پیش بینی شود.

📝📝📝
ابزارهای کاربردی مورد استفاده توسط Red Team ها

تیم قرمز (RedTeam) جهت انجام فعالیت های خود پس از نفوذ به شبکه قربانی نیاز به استفاده از ابزارهایی جهت خودکار سازی و تسهیل برخی از فرآیند های موجود دارد.

به عنوان نمونه، فرض کنید تیم قرمز قصد دارد پس از نفوذ به شبکه ای متشکل از ماشین های ویندوزی، فعالیت های خود را تعمیم و گسترش دهد. بهترین گزینه برای این مثال، استفاده از PowerShell است. در این پست قصد داریم برخی از ابزارهای کاربردی و دم دستی مبتنی بر PowerShell و یا زبان C که مناسب تیم های قرمز است را معرفی کنیم.

1⃣ PowerSploit
مجموعه ای از اسکریپت ها و ماژول های پاور شل است که می تواند در انجام اقدامات زیر در طی فعالیت های RedTeaming و حتی تست نفوذ مورد استفاده قرار گیرد

CodeExecution
ScriptModification
Persistence
AntivirusBypass
Exfiltration
Mayhem
Privesc
Recon


2⃣ PowerView

یک اسکریپت پاورشل است که مجموعه از اقدامات معمول در فاز شناسایی محیط شبکه و ماشین قربانی را به طور خود کار اجرا می کند. برخی از این اقدامات عبارتند از:

Users: Get-NetUser
Groups: Get-NetGroup
Sessions: Get-NetSession
GPO locations: Find-GPOLocation
Active Directory objects: Set-ADObject
Forests: Get-NetForest


3⃣ Nishang

مجموعه ای از اسکریپت ها و پیلودهای مبتنی بر پاور شل است که برخی از فعالیت های معمول در تمامی فازهای فعالیت تیم قرمز و همچنین تست نفوذ را به صورت خودکار انجام می دهد. برخی از این فعالیت ها عبارتند از:

Get-WLAN-Keys
Get-PassHashes
Get-Information
Invoke-Mimikatz
Invoke-CredentialsPhish


4⃣ Mimikatz

ابزار Mimikatz که با زبان سی نوشته شده است، عموما برای استخراج رمز عبور از حافظه استفاده می شود. پسوردهایی که با استفاده از این ابزار مشهور قابل استخراج است پسوردهای ClearText، پسوردهای Hash شده، پین کد و … است.

📝 معرفی برخی از تاکتیک ها و تکنیک های پرکاربرد مهاجمین در حملات پیشرفته و چندگامی (بخش اول)

1⃣تاکتیک اول: Internal Reconnaissance
- تکنیک Host Enumeration
به مشخص کردن جزئیاتی درباره یک میزبان شامل درک زمینه کاری آن میزبان (یا کاربر) و پیکربندی سیستم میزبان است، اطلاق می شود. تعیین زمینه کاری میزبان به شکارچی تهدید یا به مهاجم این امکان را می دهد تا مشخص کند چه کاربری در حال حاضر به سیستم لاگین کرده و چه دسترسی دارد. مشخص کردن پیکربندی میزبان هم شامل اطلاعاتی راجع به خود میزبان از قبیل نام سیستم میزبان و آدرس IP و ... است.
- تکنیک Network Enumeration
به یافتن سایر میزبان هایی که از میزبان جاری به صورت از راه دور قابل دسترس است Network Enumeration گفته می شود. مهاجم پس از قربانی کردن یک میزبان، نیاز به مشخص کردن ادامه راه، یعنی مشخص کردن نحوه حرکت در شبکه و سایر میزبان های قابل نفوذ در شبکه دارد.
تکنیک Network Enumeration به مهاجم این امکان را می دهد تا دسترسی های میزبان جاری به سایر دارایی ها و سیستم ها در شبکه و همچنین اتصالات و ارتباطات فعال آن ها با یکدیگر را مشاهده کند. نکته حائز اهمیت این است که اقداماتی که در رده Network Enumeration جای می گیرند صرفا اقداماتی است که سایر دارایی های شبکه را شناسایی می کند و هنوز هیچگونه نفوذ از سیستم جاری (سیستم قربانی) به سایر سیستم ها در شبکه انجام نگرفته است.

2⃣تاکتیک دوم Persistence
- تکنیک اجرای اقدامات زمان بندی شده
این فرآیند شامل صف بندی برنامه ها و یا اسکریپت هایی است که می تواند در نقاط یا زمان های دیگر (به صورت متناوب) عملیاتی شود. این اقدامات می توانند به صورت از راه دور زمان بندی شوند البته با فرض اینکه مهاجم برای اجرای آن اسکریپت یا برنامه مجوزRPC یا فراخوانی از راه دور را دارد. این فرآیند (اجرای زمان بندی شده اقدامات مورد نظر) به مهاجمان این امکان را می دهد تا برنامه های مورد نظر خود در هنگام بالاآمدن سیستم به اجرا در آورند.

- تکنیک DLL Injection
با استفاده از این تکنیک، مهاجمان کد مخرب مورد نظر خود را با سوء استفاده از یک پردازه دیگر اجرا می کنند؛ سوءاستفاده از پردازه دیگر با هدف بارگذاری و اجرای کدمخرب مورد نظر مهاجم است. در این تکنیک مهاجمان به واسطه فعالیت مخرب مورد نظر خود به عنوان بخشی از فرآیندهای عادی و روتین، آن را مخفی می کنند. این تکنیک به مهاجمان اجازه دسترسی به مجوزها و حافظه پردازه سیستم را می دهد.

- تکنیک Registry Modification
مقادیر اضافه برای کلیدهای رجیستری RUNONCE و RUN امکان اجرای بدافزارهای باینری در زمان بوت شدن سیستم و یا لاگین را می دهد. این تکنیک رایج ترین تکنیک مشاهده شده در یک دهه اخیر برای ماندگاری در سیستم میزبان است.

📝 معرفی برخی از تاکتیک ها و تکنیک های پرکاربرد مهاجمین در حملات پیشرفته و چندگامی (بخش دوم)

3⃣تاکتیک سوم Command and Control

- تکنیک استفاده از پورت ها و پروتکل های معمولی و رایج
مهاجمان با استفاده از پورت ها و پروتکل های رایج می توانند داده ها و فرامین مورد نظر خود را در قالب بسته های عادی شبکه به بدافزارهای تحت هدایت خود برسانند. در اکثر موارد، مهاجمان داده های خود را در قالب HTTPS، DNS Tunnelung و سایر موارد و پروتکل های پرکاربرد رد و بدل می کنند.

- تکنیک استفاده از پورت ها و پروتکل های غیرمعمول
با به کارگیری این روش، مهاجمان می توانند مکانیزم مانیتورینگ پورت ها و بسته های رایج را دور بزنند و داده های مورد نظر خود را از طریق پورت های غیرمعمولی که مانیتور نمی شوند ارسال کنند. این روش به مهاجم این امکان را می دهد تا عملیات خود را مخفیانه پیش برده و از سیستم های تشخیص موجود در شبکه و اپراتورهای انسانی در امان باشد.

4⃣تاکتیک چهارم Lateral Movement
- تکنیک Pass the Hash
در این تکنیک، مهاجمان رشته های هش رمز عبور را ثبت و ضبط کرده و از آنها برای احراز هویت خود (به جای قربانی) استفاده می کنند. به بیان دیگر، بر اساس این روش مهاجمان دیگر نیازی به یافتن رشته بدون رمز کاربر قربانی ندارند و می توانند اقدامات خود را روی سیستم جاری و سیستم راه دور پیش ببرند.

- تکنیک Remote Desktop Protocol
پروتکل RDP به کاربر امکان دسترسی به دسکتاپ یک کامپیوتر از طریق یک سیستم راه دور را می دهد. در صورتی که امکان RDP روی یک سیستم فعال باشد و مهاجم نام کاربری و رمز عبور آن سیستم را از قبل بداند، می تواند از این طریق به سیستم قربانی نفوذ کند.

- تکنیک Shared Webroot
در صورتی که قربانی یک شبکه یا وب سایت قابل دسترسی از اینترنت (یا حتی قابل دسترسی از داخل سازمان) داشته باشد مهاجم ممکن است بتواند محتوای مخرب مورد نظر خود را در آن شبکه یا به طور خاص تر وب سایت بارگذاری کند و سپس آن را با استفاده از یک مرورگر وب به اجرا در آورد. از آنجایی که محتوای مذکور تحت مجوز سرویس دهنده وب اجرا می شود ممکن است به مهاجم امکان دسترسی Local یا مدیریتی را بدهد.

- تکنیک رهگیری مسیر
این تکنیک مستلزم قرار دادن یک فایل اجرایی در یک مسیر خاص است به گونه ای که اشتباها توسط یک برنامه عادی اجرا شود. نمونه هایی از این تکنیک شامل سوءاستفاده از مسیرهای بسته نشده و متغیرهای محیطی است. مهاجمان با استفاده از این تکنیک می توانند سطح دسترسی خود را ارتقا دهند.

5⃣تاکتیک پنجم Exfiltration

- تکنیک DNS Tunneling
مهاجمان با استفاده از تکنیک هایی نظیر DNS Tunneling می توانند داده های خود را در قالب درخواست های DNS ردوبدل کنند. مهاجمان از این روش برای دور زدن کنترل های امنیتی رایج نظیر فایروال و ... و همچنین سرقت و استخراج اطلاعات از شبکه قربانی استفاده می کنند.

- تکنیک SFTP/SCP Exfiltration
در این تکنیک مهاجمان، از SSL برای مخفی سازی جزئیات داده های مورد نظر خود بهره می برند. برای جلوگیری از این تکنیک، متخصصان امنیت نیاز به استفاده از یک پراکسی دارند تا بتوانند این نوع ترافیک و فعالیت ها را رهگیری و بررسی کنند.

📝 ده استراتژی موسسه MITRE برای مراکز عملیات امنیت به بیان ساده
بسیاری از مدیران و متصدیان مراکز عملیات امنیت، با چالش هایی نظیر موارد زیر مواجه شده اند:
- چه داده هایی را باید جمع آوری کرد؟
- چه تعداد تحلیل گر در مرکز عملیات امنیت مورد نیاز است؟
- جایگاه و چارت سازمانی مرکز عملیات امنیت چگونه است؟
برای پاسخگویی به این سوالات و مواردی مشابه، این موسسه در کتابی با عنوانTen Strategies of a World-Class Cybersecurity Operations Center ده استراتژی برای ایجاد یک مرکز عملیات امنیت استاندارد مطرح کرده است که در این پست به صورت خلاصه و به بیانی ساده فهرست شده است:

1⃣ استراتژی اول - تمامی عملیات های دفاع سایبری نظیر نظارت بر رخداد،‌ هماهنگی،‌پاسخگویی به رخداد و … باید به صورت واحد در مرکز عملیات امنیت انجام شود. حتی از نظر استقرار فیزیکی نیز این تیم ها باید در یکجا (مرکز عملیات امنیت) مستقر باشند.
2⃣ استراتژی دوم - ایجاد موازنه بین اندازه مرکز عملیات امنیت و چابکی آن با تهیه یک مدل سازمانی مناسب که در آن وظایف تیم های دفاعی در لایه های مختلف SOC تقسیم شده اند
3⃣ استراتژی سوم- اختیارات و مجوزهای مورد نیاز باید در اختیار تیم های SOC قرار گیرد تا این مراکز بتوانند تغییراتی مثمر ثمر ایجاد کنند. برخی از مراکز عملیات امنیت که اختیارات لازم را ندارند بیشتر زمان خود را به جای ایجاد اثرات مثبت،‌ صرف درخواست کمک و مجوز برای انجام عملیات های خود دارند.
4⃣ استراتژی چهارم - در صورت غلبه کمیت بر کیفیت عملیات امنیت، SOC ها ممکن است جایگاه و اختیارات خود را از دست بدهند. به جای ایجاد بخش های متعدد در مراکز عملیات امنیت (بخش فارنزیک،‌ ارزیابی تهدید، مشاوره امنیت و …) بهتر است روی بخش های کوچکتر ولی با کیفیت بهتر تمرکز کرد.
5⃣ استراتژی پنجم- از آنجایی که افراد مهمترین عنصر در امنیت سایبری به شمار می آیند بهتر است به جای استخدام تعداد زیادی از افراد، تعداد کمتر ولی با تخصص بالاتر جذب کرد.
6⃣ استراتژی ششم- مراکز عملیات امنیت در هنگام خرید فناوری های مورد نیاز خود باید ارتباط آن فناوری با حوزه کاری مربوطه، طول عمر و پایداری و بازخورد عملیاتی را به همراه سایر فاکتورها در نظر داشته باشند تا بتوانند حداکثر بهره وری و کارآیی را از فناوری های خریداری شده داشته باشند.
7⃣ استراتژی هفتم- میزان داده و نوع داده ای که باید جمع آوری شود بسیار حائز اهمیت است. داده ها نباید آنقدر کم باشند که نتوان تهدیدات را شناسایی کرد و نه آنقدر زیاد که در آن غرق شد. مراکز عملیات امنیت باید داده های مناسب را از منابع مناسب و با حجم مناسب جمع آوری کنند.
8⃣ استراتژی هشتم- فعالیت های تیم SOC و فناوری های آن باید از حملات سایبری روی سایر دارایی ها در امان باشند به گونه ای که اگر در بخش های تحت نظارت این مراکز تهدیدی به وقوع پیوست روی عملیات امنیت تاثیری نداشته باشد.
9⃣ استراتژی نهم- تیم های مرکز عملیات امنیت باید در راستای دفاع پیش کنشانه (Proactive) گام بردارند و ضمن استفاده از اطلاعات تهدید (Threat Intelligence) از منابع مختلف، این اطلاعات را با سایر بخش ها نیز به اشتراک بگذارند.
🔟 استراتژی دهم- از آنجایی که مراکز عملیات امنیت روزانه تهدیدها و رخدادهای مختلفی را مشاهده می کنند باید رویه ای مشخص برای درک این تهدیدات و پاسخگویی به آنها و همچنین کنترل نگرانی ها و هیجانات ناشی از رخدادهای بزرگ داشته باشند.

لینک دانلود کتاب:‌https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf

سطوح بلوغ فعالیت شکار تهدیدات سایبری