استخراج اطلاعات از طریق ترافیک DNS✍
حتما در خصوص افشای اطلاعات بزرگی که در ماه اخیر برای شرکت Equifax (شرکت بررسی اعتبارات شهروندان) رخ داد مواردی شنیده اید. اتفاقی که هنوز پیامدهای آن به طور کامل مشخص نیست، اما استعفای مدیرعامل این کمپانی بزرگ را به دنبال داشته است. آنچه از بین حواشی و اتفاقات مبهم این رخداد واضح است، اطلاعاتی است که از این کمپانی افشا شده است. افشای اطلاعات یا به بیان دقیق تر استخراج اطلاعات از راه های مختلفی قابل انجام است که یکی از خطرناکترین آنها، استخراج اطلاعات در قالب ترافیک DNS است؛ این مساله از آن جهت خطرناک است که تقریبا اکثر فایروال ها و سیستم های تشخیص تهدید، اجازه عبور چنین ترافیکی را می دهند و در صورتی که مهاجم بتواند اطلاعات مورد نظر خود را در این ترافیک تعبیه کند تقریبا با مانع اساسی روبرو نخواهد شد. مطالعه ای که اخیرا بر روی رخدادهای افشای اطلاعات انجام شده است، نشان می دهد ۲۵ درصد کسب و کار های هدف بررسی در آمریکا، افشای اطلاعات از طریق DNS را تجربه کرده اند.
هکرها معمولا داده های خود را در درخواست های بازگشتی (Recursive Qery) سرویس DNS تعبیه می کنند. درخواست های بازگشتی، درخواستهایی است که بین کلاینت و سرور DNS ردوبدل می شود (نه پیام هایی که بین سرورهایDNS مبادله می شود). مهاجمان داده ها یا کدهای خود را به بخش های بسیار کوچکی تقسیم می کنند و هریک از این بخش ها را در یکی از فیلدهای بسته DNS ( به عنوان نمونه فیلد TXT ) جاسازی می کنند. اما این یکی از روش های استخراج داده از طریق DNS است.
روش معروف دیگری برای این کار وجود دارد که به روش DNS Tunneling معروف است. DNS Tunneling به معنای ارسال بسته های مختلف (مثلا FTP، HTTP و …) با پوشش بسته های DNS است؛ به عبارت دقیق تر روی داده های مورد نظر سرآیند DNS می خورد که این مساله می تواند منجر به فریفتن تجهیزات امنیتی موجود در شبکه شود. انجام فرآیند DNS Tunneling نیاز به دو برنامه یکی در سمت سرور و دیگری در سمت کلاینت دارد. معمولا این روش از روش قبلی کمی کندتر است اما با استفاده از آن حجم داده بیشتری را می توان انتقال داد.
شناسایی ترافیک مشکوک DNS
متخصصان شبکه و امنیت سازمان ها برای شناسایی بسته های مخرب DNS، در اولین گام باید پیلود بسته ها را تحلیل کنند.به بیان دقیق تر، با تحلیل هریک از درخواست ها و پاسخ های متناظر با آن، می توان فعالیت های مخرب احتمالی از طریق DNS را شناسایی کرد. با مروری بر داده های تراکنش و جستجو برای الگوهای مشخص می توان به نشانه های DNS Tunneling رسید.
ناهمگونی در تعداد درخواست ها و پاسخ ها، ناهمگونی در حجم بسته های DNS و قالب غیرعادی بسته های DNS همگی از نشانه های DNS Tunneling است. همچنین با فرآیند تحلیل ترافیک و تحلیل های آماری نظیر تعداد نام میزبان ها بر دامنه ها، مکان فیزیکی درخواست ها و … می توان دریافت که آیا نشت داده ای از این طریق رخ داده است یا خیر. کسب و کارهایی که به امنیت دارایی های اطلاعاتی خود اهمیت زیادی می دهند می توانند از سیستم هایی موسوم به DNS Filteration استفاده کنند که می تواند ترافیک DNS را به صورت آنلاین و بلادرنگ بررسی کند و میزان ریسک آن را اعلام کند.
اما در صورتی که با هر روشی افشای اطلاعات از طریق DNS رخ داد می توان دو اقدام زیر را تحت عنوان پاسخگویی به رخداد انجام داد:
حصول اطمینان از انجام صحیح فرآیندهای مانیتورینگ مداوم شبکه و تحلیل بسته های DNS
غیرفعال کردن موقتی سرویس DNS به گونه ای که میزبان های داخل سازمان نتوانند هیچ دامنه خارجی را اصلاحا Resolve کنند.
http://www.hypersec.ir/?p=173🌎
@hypersec
t.me/hypersec
حتما در خصوص افشای اطلاعات بزرگی که در ماه اخیر برای شرکت Equifax (شرکت بررسی اعتبارات شهروندان) رخ داد مواردی شنیده اید. اتفاقی که هنوز پیامدهای آن به طور کامل مشخص نیست، اما استعفای مدیرعامل این کمپانی بزرگ را به دنبال داشته است. آنچه از بین حواشی و اتفاقات مبهم این رخداد واضح است، اطلاعاتی است که از این کمپانی افشا شده است. افشای اطلاعات یا به بیان دقیق تر استخراج اطلاعات از راه های مختلفی قابل انجام است که یکی از خطرناکترین آنها، استخراج اطلاعات در قالب ترافیک DNS است؛ این مساله از آن جهت خطرناک است که تقریبا اکثر فایروال ها و سیستم های تشخیص تهدید، اجازه عبور چنین ترافیکی را می دهند و در صورتی که مهاجم بتواند اطلاعات مورد نظر خود را در این ترافیک تعبیه کند تقریبا با مانع اساسی روبرو نخواهد شد. مطالعه ای که اخیرا بر روی رخدادهای افشای اطلاعات انجام شده است، نشان می دهد ۲۵ درصد کسب و کار های هدف بررسی در آمریکا، افشای اطلاعات از طریق DNS را تجربه کرده اند.
هکرها معمولا داده های خود را در درخواست های بازگشتی (Recursive Qery) سرویس DNS تعبیه می کنند. درخواست های بازگشتی، درخواستهایی است که بین کلاینت و سرور DNS ردوبدل می شود (نه پیام هایی که بین سرورهایDNS مبادله می شود). مهاجمان داده ها یا کدهای خود را به بخش های بسیار کوچکی تقسیم می کنند و هریک از این بخش ها را در یکی از فیلدهای بسته DNS ( به عنوان نمونه فیلد TXT ) جاسازی می کنند. اما این یکی از روش های استخراج داده از طریق DNS است.
روش معروف دیگری برای این کار وجود دارد که به روش DNS Tunneling معروف است. DNS Tunneling به معنای ارسال بسته های مختلف (مثلا FTP، HTTP و …) با پوشش بسته های DNS است؛ به عبارت دقیق تر روی داده های مورد نظر سرآیند DNS می خورد که این مساله می تواند منجر به فریفتن تجهیزات امنیتی موجود در شبکه شود. انجام فرآیند DNS Tunneling نیاز به دو برنامه یکی در سمت سرور و دیگری در سمت کلاینت دارد. معمولا این روش از روش قبلی کمی کندتر است اما با استفاده از آن حجم داده بیشتری را می توان انتقال داد.
شناسایی ترافیک مشکوک DNS
متخصصان شبکه و امنیت سازمان ها برای شناسایی بسته های مخرب DNS، در اولین گام باید پیلود بسته ها را تحلیل کنند.به بیان دقیق تر، با تحلیل هریک از درخواست ها و پاسخ های متناظر با آن، می توان فعالیت های مخرب احتمالی از طریق DNS را شناسایی کرد. با مروری بر داده های تراکنش و جستجو برای الگوهای مشخص می توان به نشانه های DNS Tunneling رسید.
ناهمگونی در تعداد درخواست ها و پاسخ ها، ناهمگونی در حجم بسته های DNS و قالب غیرعادی بسته های DNS همگی از نشانه های DNS Tunneling است. همچنین با فرآیند تحلیل ترافیک و تحلیل های آماری نظیر تعداد نام میزبان ها بر دامنه ها، مکان فیزیکی درخواست ها و … می توان دریافت که آیا نشت داده ای از این طریق رخ داده است یا خیر. کسب و کارهایی که به امنیت دارایی های اطلاعاتی خود اهمیت زیادی می دهند می توانند از سیستم هایی موسوم به DNS Filteration استفاده کنند که می تواند ترافیک DNS را به صورت آنلاین و بلادرنگ بررسی کند و میزان ریسک آن را اعلام کند.
اما در صورتی که با هر روشی افشای اطلاعات از طریق DNS رخ داد می توان دو اقدام زیر را تحت عنوان پاسخگویی به رخداد انجام داد:
حصول اطمینان از انجام صحیح فرآیندهای مانیتورینگ مداوم شبکه و تحلیل بسته های DNS
غیرفعال کردن موقتی سرویس DNS به گونه ای که میزبان های داخل سازمان نتوانند هیچ دامنه خارجی را اصلاحا Resolve کنند.
http://www.hypersec.ir/?p=173🌎
@hypersec
t.me/hypersec
👍1
5 Must-Have Features of an Effective Threat Intelligence Solution
Hi everyone
In this post, we will review the most important features of an effective threat intelligence solution. An effective TI solution identifies, collates, analyzes, and interprets threat-related data from a myriad of sources. In turn, it provides companies with access to high-quality data that they can incorporate as a cornerstone of their security program.
The evolution of a company’s security footprint depends in part on its understanding of the threats it must defend against. Threat intelligence helps bridge the gap between the effectiveness of a company’s defenses today and in the future.
Notwithstanding the benefits, in practical terms, what features should companies look for when assessing threat intelligence solutions? In this white paper, we help simplify the buying process by providing your organization with five must-have features of an effective threat intelligence solution.
Feature 1: Your threat intelligence solution should require minimal company resources to adopt and maintain.
Feature 2: Your threat intelligence solution must seamlessly integrate with your existing security infrastructure.
Feature 3: Your threat intelligence solution must automate the majority of the processes associated with the receipt, analysis, and application of threat intelligence.
Feature 4: Your threat intelligence solution must incorporate “best of breed” threat intelligence source data and supply mechanisms to validate that data’s accuracy.
Feature 5: Your threat intelligence solution must facilitate the detection of lateral spread as well as suspicious activity at the perimeter.
The features detailed above provide companies with critical criteria that can help ensure that they adopt a solution that meets their varied security-related needs, without stretching the resources of an organization’s already limited security department to the breaking point.
Hi everyone
In this post, we will review the most important features of an effective threat intelligence solution. An effective TI solution identifies, collates, analyzes, and interprets threat-related data from a myriad of sources. In turn, it provides companies with access to high-quality data that they can incorporate as a cornerstone of their security program.
The evolution of a company’s security footprint depends in part on its understanding of the threats it must defend against. Threat intelligence helps bridge the gap between the effectiveness of a company’s defenses today and in the future.
Notwithstanding the benefits, in practical terms, what features should companies look for when assessing threat intelligence solutions? In this white paper, we help simplify the buying process by providing your organization with five must-have features of an effective threat intelligence solution.
Feature 1: Your threat intelligence solution should require minimal company resources to adopt and maintain.
Feature 2: Your threat intelligence solution must seamlessly integrate with your existing security infrastructure.
Feature 3: Your threat intelligence solution must automate the majority of the processes associated with the receipt, analysis, and application of threat intelligence.
Feature 4: Your threat intelligence solution must incorporate “best of breed” threat intelligence source data and supply mechanisms to validate that data’s accuracy.
Feature 5: Your threat intelligence solution must facilitate the detection of lateral spread as well as suspicious activity at the perimeter.
The features detailed above provide companies with critical criteria that can help ensure that they adopt a solution that meets their varied security-related needs, without stretching the resources of an organization’s already limited security department to the breaking point.
Threat Hunting: Possible Indicators in Endpoint Logs
Hi hunters.
Today, I'm going to focus on one of the most valuable data sources, Endpoint logs. Endpoint Logs may consist of many data sources including, but not limited to, Anti Virus Logs, Windows Logs, HIDS Logs.
But what should hunters look for in Endpoint Logs? In a sense, what threats can we find in Endpoint logs?
You, as a threat hunter, may look for the following indicators in the logs:
Suspicious New Process Creation
Suspicious Registry Modifications
Suspicious Access an Object
Identify potential 0-day exploits
Attacks on Windows Applications
Suspicious Schedule Task Usage
Suspicious Services Usage
Suspicious Account Usage
Suspicious Network Share
Suspicious Group Policy Change
Supicious Windows Firewall Changes
Remote File Copy
SSH Hijacking
These indicators are only as a sample of many other possible ones.
Hi hunters.
Today, I'm going to focus on one of the most valuable data sources, Endpoint logs. Endpoint Logs may consist of many data sources including, but not limited to, Anti Virus Logs, Windows Logs, HIDS Logs.
But what should hunters look for in Endpoint Logs? In a sense, what threats can we find in Endpoint logs?
You, as a threat hunter, may look for the following indicators in the logs:
Suspicious New Process Creation
Suspicious Registry Modifications
Suspicious Access an Object
Identify potential 0-day exploits
Attacks on Windows Applications
Suspicious Schedule Task Usage
Suspicious Services Usage
Suspicious Account Usage
Suspicious Network Share
Suspicious Group Policy Change
Supicious Windows Firewall Changes
Remote File Copy
SSH Hijacking
These indicators are only as a sample of many other possible ones.
۵ عنصر اصلی در برنامه هوشمندی امنیت که برای شکار تهدید لازم دارید✍
هوشمندی اطلاعات تهدید یا هوش تهدیدات سایبری واژه است که این روزها زیاد بر سر زبان ها افتاده است. اغلب افراد همیشه علاقه دارند به دنبال کشف چیزهای عجیب غریب و جدید بروند قبل از اینکه نسبت به خودشون رو به شناخت و درک مناسبی برسند. احتمالا این جمله را قبلا شنیده اید که گفته میشه knowledge is power یا به تعبیر فارسی: دانستن توانستن است!. اما به اعتقاد من این دانستن ا درباره چیزهای جدید و فناوری های عجیب و غریب جدید گافی نیست. ما برای توانمند یا قدرتمند شدن، قبل از هر چیز نیازمند شناخت خودمون هستیم. پس فرمول توانستن از منظر من اینجوری شناخت خود + شناخت حوزه هدف=توانستن. حالا بریم سراغ حوزه امنیت و بحث داغ خودمون.
هوش اطلاعاتی سایبری و شکار تهدید
سان تزو نویسنده کتاب هنر جنگ یه جمله معروف داره:« اگر خودتان رو بشناسید و دشمنتان را بشناسید، از هیچ جنگی نمی هراسید. اگر خودتان را بشناسید و از دشمن شناختی نداشته باشید به ازای هر پیروزی که به دست میاورید، شکستی سنگین متحمل می شوید و اگر خودتان و دشمنتان را نمی شناسید در هر نبردی شکست می خورید».
در هوش اطلاعاتی سایبری، اطلاعات بدست آمده از منابع مختلف جمع آوری پردازش شده و اقدامات متناسب برای مقابله تا تهدیدات سایبری صورت می گیرد. هوش اطلاعات سایبری هسته اصلی دفاع و پاسخگویی مناسب در فضای سایبر می باشد. از طرفی، شکار تهدید جز حیاتی و پیش کنشانه در یک برنامه هوش اطلاعاتی سایبری به شمار می آید. شکار تهدید بیشتر از شناخت قلمرو تهدید، متکی به شناخت قلمرو سازمان است. بنابراین برای داشتن برنامه شکار تهدید مناسب نیاز به جمع آوری اطلاعات پیرامون دارایی ها، شبکه ها و داده سازمان است. جمع آوری اطلاعات بسته به اندازه و مقیاس سازمان متفاوت خواهد بود. در ادامه عناصر اصلی و حوزه های مختلف جمع آوری اطلاعات برای یک سازمان مقیاس متوسط تا بزرگ را مورد بررسی قرار می دهیم.
مدیریت دارایی – Asset Management: این حوزه اولین حوزه مورد توجه برای جمع آوری اطلاعات است. موسسه sans مدیریت دارایی را به عنوان اولین مورد در ۲۰ کنترل مهم امنیتی خود قرار داده است. مدیریت دارایی سازمان معمولا در حوزه مسئولیت بخش عملیات فناوری اطلاعات(IT Ops) سازمان قرار دارد. اما در واقع حوزه ای که باید جزئی فراتر از عملیات فناوری اطلاعات در نظر گرفته شده و بخشی از فرهنگ سازمان باشد. مسئول بخش هوشمندی اطلاعات/شکار تهدید سازمان باید ارتباط خوبی با بخش عملیات فناوری داشته باشد و افراد را از طریق ارائه خلاصه تهدیدات نسبت به ارزش و اهمیت خروجی بخش عملیات در کمک به مقابله با تهدیدات سازمان آگاه سازد. اهمیت این مورد به قدری است که می توان گفت تطابق و بهره برداری از مدل های شکار تهدید بدون پوشش این عنصر مهم امکان پذیر نیست.
سطح حمله – Attack Surface: یکی از وظایف سخت و پرزحمت شناسایی و ترسیم کامل سطوح حمله سازمان است. متناسب با اندازه سازمان شما باید یک برنامه مدون سالانه(حداقل یک بار در سال) برای شناسایی و ترسیم سطوح حمله داشته باشید. سپس باید نسبت به پایش سطوح حمله اقدام کنید. در اینجا دو روش رایج برای پایش و نظارت سطوح حمله را بیان می کنیم
برداری های حمله: بردارهای حمله در امنیت سایبری همان شیوه ها و نقاطی هستند که با درون سازمان شما ارتباط برقرار می شود:
ایمیل
وب
موبایل
مهندسی اجتماعی
زنجیره تامین/شخص ثالث
حوزه ها/دامنه ها: شیوه دیگر نظارت سطوح حمله، دسته بندی در قالب دامنه های سایبری سازمان است. می توان به سطوح حمله را از منظر حوزه های زیر مورد توجه قرار داد:
شبکه(Network)
نقطه پایانی(endpoint)
ابرپردازش(cloud)
توسعه محصول/برنامه کاربردی(DevOps/App)
موبایل(Mobile)
اینترنت اشیاء(IoT)
رویداد نگاری – Logging : پس از شناخت اینکه چه دارایی در چه مکانی از سازمان قرار دارد، و نگاشت سطوح حمله برای دارایی های اولویت دار، شما نیازمند رویداد نگاری هستید تا بدانید در ماشین ها و سامانه های شما چه اتفاقی در حال رخ دادن است. در سازمان های بزرگ برای رویدادنگاری مناسب به یک سیاست اجرایی برای اعمال رویداد نگاری بر روی سطوح تهدید و تجمیع آن ها در یک نقطه متمرکز نیاز است. سند موسسه SANS در این باره به شما کمک می کند.
مدیریت هویت و دسترسی(Identity & Access Management): مدیریت دسترسی و هویت کاربران که به سامانه ها و تجهیزات ورود/خروجی می کنند از جمله مواردی است که سازمان ها برای آن خط مشی مشخصی تعیین نمی کنند. این اطلاعات یکی از منابع مهم برای جمع آوری شواهد پیرامون تهدیدات و رخدادهای سایبری سازمان شما هستند.
ایجاد خط مبنا از سیستم – Baselining : خط مبنا عبارتی در حوزه مدیریت پیکربندی است. در خط مبنا سازی سیستم، از وضعیت و مشخصه هاس سیستم در یک نقطه زمانی مشخص اطلاعات جمع آوری
هوشمندی اطلاعات تهدید یا هوش تهدیدات سایبری واژه است که این روزها زیاد بر سر زبان ها افتاده است. اغلب افراد همیشه علاقه دارند به دنبال کشف چیزهای عجیب غریب و جدید بروند قبل از اینکه نسبت به خودشون رو به شناخت و درک مناسبی برسند. احتمالا این جمله را قبلا شنیده اید که گفته میشه knowledge is power یا به تعبیر فارسی: دانستن توانستن است!. اما به اعتقاد من این دانستن ا درباره چیزهای جدید و فناوری های عجیب و غریب جدید گافی نیست. ما برای توانمند یا قدرتمند شدن، قبل از هر چیز نیازمند شناخت خودمون هستیم. پس فرمول توانستن از منظر من اینجوری شناخت خود + شناخت حوزه هدف=توانستن. حالا بریم سراغ حوزه امنیت و بحث داغ خودمون.
هوش اطلاعاتی سایبری و شکار تهدید
سان تزو نویسنده کتاب هنر جنگ یه جمله معروف داره:« اگر خودتان رو بشناسید و دشمنتان را بشناسید، از هیچ جنگی نمی هراسید. اگر خودتان را بشناسید و از دشمن شناختی نداشته باشید به ازای هر پیروزی که به دست میاورید، شکستی سنگین متحمل می شوید و اگر خودتان و دشمنتان را نمی شناسید در هر نبردی شکست می خورید».
در هوش اطلاعاتی سایبری، اطلاعات بدست آمده از منابع مختلف جمع آوری پردازش شده و اقدامات متناسب برای مقابله تا تهدیدات سایبری صورت می گیرد. هوش اطلاعات سایبری هسته اصلی دفاع و پاسخگویی مناسب در فضای سایبر می باشد. از طرفی، شکار تهدید جز حیاتی و پیش کنشانه در یک برنامه هوش اطلاعاتی سایبری به شمار می آید. شکار تهدید بیشتر از شناخت قلمرو تهدید، متکی به شناخت قلمرو سازمان است. بنابراین برای داشتن برنامه شکار تهدید مناسب نیاز به جمع آوری اطلاعات پیرامون دارایی ها، شبکه ها و داده سازمان است. جمع آوری اطلاعات بسته به اندازه و مقیاس سازمان متفاوت خواهد بود. در ادامه عناصر اصلی و حوزه های مختلف جمع آوری اطلاعات برای یک سازمان مقیاس متوسط تا بزرگ را مورد بررسی قرار می دهیم.
مدیریت دارایی – Asset Management: این حوزه اولین حوزه مورد توجه برای جمع آوری اطلاعات است. موسسه sans مدیریت دارایی را به عنوان اولین مورد در ۲۰ کنترل مهم امنیتی خود قرار داده است. مدیریت دارایی سازمان معمولا در حوزه مسئولیت بخش عملیات فناوری اطلاعات(IT Ops) سازمان قرار دارد. اما در واقع حوزه ای که باید جزئی فراتر از عملیات فناوری اطلاعات در نظر گرفته شده و بخشی از فرهنگ سازمان باشد. مسئول بخش هوشمندی اطلاعات/شکار تهدید سازمان باید ارتباط خوبی با بخش عملیات فناوری داشته باشد و افراد را از طریق ارائه خلاصه تهدیدات نسبت به ارزش و اهمیت خروجی بخش عملیات در کمک به مقابله با تهدیدات سازمان آگاه سازد. اهمیت این مورد به قدری است که می توان گفت تطابق و بهره برداری از مدل های شکار تهدید بدون پوشش این عنصر مهم امکان پذیر نیست.
سطح حمله – Attack Surface: یکی از وظایف سخت و پرزحمت شناسایی و ترسیم کامل سطوح حمله سازمان است. متناسب با اندازه سازمان شما باید یک برنامه مدون سالانه(حداقل یک بار در سال) برای شناسایی و ترسیم سطوح حمله داشته باشید. سپس باید نسبت به پایش سطوح حمله اقدام کنید. در اینجا دو روش رایج برای پایش و نظارت سطوح حمله را بیان می کنیم
برداری های حمله: بردارهای حمله در امنیت سایبری همان شیوه ها و نقاطی هستند که با درون سازمان شما ارتباط برقرار می شود:
ایمیل
وب
موبایل
مهندسی اجتماعی
زنجیره تامین/شخص ثالث
حوزه ها/دامنه ها: شیوه دیگر نظارت سطوح حمله، دسته بندی در قالب دامنه های سایبری سازمان است. می توان به سطوح حمله را از منظر حوزه های زیر مورد توجه قرار داد:
شبکه(Network)
نقطه پایانی(endpoint)
ابرپردازش(cloud)
توسعه محصول/برنامه کاربردی(DevOps/App)
موبایل(Mobile)
اینترنت اشیاء(IoT)
رویداد نگاری – Logging : پس از شناخت اینکه چه دارایی در چه مکانی از سازمان قرار دارد، و نگاشت سطوح حمله برای دارایی های اولویت دار، شما نیازمند رویداد نگاری هستید تا بدانید در ماشین ها و سامانه های شما چه اتفاقی در حال رخ دادن است. در سازمان های بزرگ برای رویدادنگاری مناسب به یک سیاست اجرایی برای اعمال رویداد نگاری بر روی سطوح تهدید و تجمیع آن ها در یک نقطه متمرکز نیاز است. سند موسسه SANS در این باره به شما کمک می کند.
مدیریت هویت و دسترسی(Identity & Access Management): مدیریت دسترسی و هویت کاربران که به سامانه ها و تجهیزات ورود/خروجی می کنند از جمله مواردی است که سازمان ها برای آن خط مشی مشخصی تعیین نمی کنند. این اطلاعات یکی از منابع مهم برای جمع آوری شواهد پیرامون تهدیدات و رخدادهای سایبری سازمان شما هستند.
ایجاد خط مبنا از سیستم – Baselining : خط مبنا عبارتی در حوزه مدیریت پیکربندی است. در خط مبنا سازی سیستم، از وضعیت و مشخصه هاس سیستم در یک نقطه زمانی مشخص اطلاعات جمع آوری
می شود و به عنوان مبنایی برای تغییرات در نظر گرفته می شود. با تغییر یا دستکاری در سیستم، سیستم از حالت خط مبنا خارج و به وضعیت دیگر می رود. این عنصر یکی از موارد مهم در عملیات تیم شکار تهدید و شناسایی رفتار کاربران سیستم است و در صورتی موفق خواهد بود که مراحل قبلی به خوبی پیاده سازی شده باشد.
حتما تا کنون متوجه شده اید که مسیر هوشمندی اطلاعات تهدید نه تنها مسیر آسانی نیست، بلکه طولانی و حتی خسته کننده است. بعد از انجام همه این مراحل و جمع آوری اطلاعات متنوع تازه آماده آغاز به کار شکار تهدیدات در حوزه های مورد نیاز می شوید.
http://www.hypersec.ir/?p=532🌎
@hypersec
t.me/hypersec
حتما تا کنون متوجه شده اید که مسیر هوشمندی اطلاعات تهدید نه تنها مسیر آسانی نیست، بلکه طولانی و حتی خسته کننده است. بعد از انجام همه این مراحل و جمع آوری اطلاعات متنوع تازه آماده آغاز به کار شکار تهدیدات در حوزه های مورد نیاز می شوید.
http://www.hypersec.ir/?p=532🌎
@hypersec
t.me/hypersec
۵ عنصر اصلی در برنامه هوشمندی امنیت که برای شکار تهدید لازم دارید✍
هوشمندی اطلاعات تهدید یا هوش تهدیدات سایبری واژه است که این روزها زیاد بر سر زبان ها افتاده است. اغلب افراد همیشه علاقه دارند به دنبال کشف چیزهای عجیب غریب و جدید بروند قبل از اینکه نسبت به خودشون رو به شناخت و درک مناسبی برسند. احتمالا این جمله را قبلا شنیده اید که گفته میشه knowledge is power یا به تعبیر فارسی: دانستن توانستن است!. اما به اعتقاد من این دانستن ا درباره چیزهای جدید و فناوری های عجیب و غریب جدید گافی نیست. ما برای توانمند یا قدرتمند شدن، قبل از هر چیز نیازمند شناخت خودمون هستیم. پس فرمول توانستن از منظر من اینجوری شناخت خود + شناخت حوزه هدف=توانستن. حالا بریم سراغ حوزه امنیت و بحث داغ خودمون.
هوش اطلاعاتی سایبری و شکار تهدید
سان تزو نویسنده کتاب هنر جنگ یه جمله معروف داره:« اگر خودتان رو بشناسید و دشمنتان را بشناسید، از هیچ جنگی نمی هراسید. اگر خودتان را بشناسید و از دشمن شناختی نداشته باشید به ازای هر پیروزی که به دست میاورید، شکستی سنگین متحمل می شوید و اگر خودتان و دشمنتان را نمی شناسید در هر نبردی شکست می خورید».
در هوش اطلاعاتی سایبری، اطلاعات بدست آمده از منابع مختلف جمع آوری پردازش شده و اقدامات متناسب برای مقابله تا تهدیدات سایبری صورت می گیرد. هوش اطلاعات سایبری هسته اصلی دفاع و پاسخگویی مناسب در فضای سایبر می باشد. از طرفی، شکار تهدید جز حیاتی و پیش کنشانه در یک برنامه هوش اطلاعاتی سایبری به شمار می آید. شکار تهدید بیشتر از شناخت قلمرو تهدید، متکی به شناخت قلمرو سازمان است. بنابراین برای داشتن برنامه شکار تهدید مناسب نیاز به جمع آوری اطلاعات پیرامون دارایی ها، شبکه ها و داده سازمان است. جمع آوری اطلاعات بسته به اندازه و مقیاس سازمان متفاوت خواهد بود. در ادامه عناصر اصلی و حوزه های مختلف جمع آوری اطلاعات برای یک سازمان مقیاس متوسط تا بزرگ را مورد بررسی قرار می دهیم.
مدیریت دارایی – Asset Management: این حوزه اولین حوزه مورد توجه برای جمع آوری اطلاعات است. موسسه sans مدیریت دارایی را به عنوان اولین مورد در ۲۰ کنترل مهم امنیتی خود قرار داده است. مدیریت دارایی سازمان معمولا در حوزه مسئولیت بخش عملیات فناوری اطلاعات(IT Ops) سازمان قرار دارد. اما در واقع حوزه ای که باید جزئی فراتر از عملیات فناوری اطلاعات در نظر گرفته شده و بخشی از فرهنگ سازمان باشد. مسئول بخش هوشمندی اطلاعات/شکار تهدید سازمان باید ارتباط خوبی با بخش عملیات فناوری داشته باشد و افراد را از طریق ارائه خلاصه تهدیدات نسبت به ارزش و اهمیت خروجی بخش عملیات در کمک به مقابله با تهدیدات سازمان آگاه سازد. اهمیت این مورد به قدری است که می توان گفت تطابق و بهره برداری از مدل های شکار تهدید بدون پوشش این عنصر مهم امکان پذیر نیست.
سطح حمله – Attack Surface: یکی از وظایف سخت و پرزحمت شناسایی و ترسیم کامل سطوح حمله سازمان است. متناسب با اندازه سازمان شما باید یک برنامه مدون سالانه(حداقل یک بار در سال) برای شناسایی و ترسیم سطوح حمله داشته باشید. سپس باید نسبت به پایش سطوح حمله اقدام کنید. در اینجا دو روش رایج برای پایش و نظارت سطوح حمله را بیان می کنیم
برداری های حمله: بردارهای حمله در امنیت سایبری همان شیوه ها و نقاطی هستند که با درون سازمان شما ارتباط برقرار می شود:
ایمیل
وب
موبایل
مهندسی اجتماعی
زنجیره تامین/شخص ثالث
حوزه ها/دامنه ها: شیوه دیگر نظارت سطوح حمله، دسته بندی در قالب دامنه های سایبری سازمان است. می توان به سطوح حمله را از منظر حوزه های زیر مورد توجه قرار داد:
شبکه(Network)
نقطه پایانی(endpoint)
ابرپردازش(cloud)
توسعه محصول/برنامه کاربردی(DevOps/App)
موبایل(Mobile)
اینترنت اشیاء(IoT)
رویداد نگاری – Logging : پس از شناخت اینکه چه دارایی در چه مکانی از سازمان قرار دارد، و نگاشت سطوح حمله برای دارایی های اولویت دار، شما نیازمند رویداد نگاری هستید تا بدانید در ماشین ها و سامانه های شما چه اتفاقی در حال رخ دادن است. در سازمان های بزرگ برای رویدادنگاری مناسب به یک سیاست اجرایی برای اعمال رویداد نگاری بر روی سطوح تهدید و تجمیع آن ها در یک نقطه متمرکز نیاز است. سند موسسه SANS در این باره به شما کمک می کند.
مدیریت هویت و دسترسی(Identity & Access Management): مدیریت دسترسی و هویت کاربران که به سامانه ها و تجهیزات ورود/خروجی می کنند از جمله مواردی است که سازمان ها برای آن خط مشی مشخصی تعیین نمی کنند. این اطلاعات یکی از منابع مهم برای جمع آوری شواهد پیرامون تهدیدات و رخدادهای سایبری سازمان شما هستند.
ایجاد خط مبنا از سیستم – Baselining : خط مبنا عبارتی در حوزه مدیریت پیکربندی است. در خط مبنا سازی سیستم، از وضعیت و مشخصه هاس سیستم در یک نقطه زمانی مشخص اطلاعات جمع آوری
هوشمندی اطلاعات تهدید یا هوش تهدیدات سایبری واژه است که این روزها زیاد بر سر زبان ها افتاده است. اغلب افراد همیشه علاقه دارند به دنبال کشف چیزهای عجیب غریب و جدید بروند قبل از اینکه نسبت به خودشون رو به شناخت و درک مناسبی برسند. احتمالا این جمله را قبلا شنیده اید که گفته میشه knowledge is power یا به تعبیر فارسی: دانستن توانستن است!. اما به اعتقاد من این دانستن ا درباره چیزهای جدید و فناوری های عجیب و غریب جدید گافی نیست. ما برای توانمند یا قدرتمند شدن، قبل از هر چیز نیازمند شناخت خودمون هستیم. پس فرمول توانستن از منظر من اینجوری شناخت خود + شناخت حوزه هدف=توانستن. حالا بریم سراغ حوزه امنیت و بحث داغ خودمون.
هوش اطلاعاتی سایبری و شکار تهدید
سان تزو نویسنده کتاب هنر جنگ یه جمله معروف داره:« اگر خودتان رو بشناسید و دشمنتان را بشناسید، از هیچ جنگی نمی هراسید. اگر خودتان را بشناسید و از دشمن شناختی نداشته باشید به ازای هر پیروزی که به دست میاورید، شکستی سنگین متحمل می شوید و اگر خودتان و دشمنتان را نمی شناسید در هر نبردی شکست می خورید».
در هوش اطلاعاتی سایبری، اطلاعات بدست آمده از منابع مختلف جمع آوری پردازش شده و اقدامات متناسب برای مقابله تا تهدیدات سایبری صورت می گیرد. هوش اطلاعات سایبری هسته اصلی دفاع و پاسخگویی مناسب در فضای سایبر می باشد. از طرفی، شکار تهدید جز حیاتی و پیش کنشانه در یک برنامه هوش اطلاعاتی سایبری به شمار می آید. شکار تهدید بیشتر از شناخت قلمرو تهدید، متکی به شناخت قلمرو سازمان است. بنابراین برای داشتن برنامه شکار تهدید مناسب نیاز به جمع آوری اطلاعات پیرامون دارایی ها، شبکه ها و داده سازمان است. جمع آوری اطلاعات بسته به اندازه و مقیاس سازمان متفاوت خواهد بود. در ادامه عناصر اصلی و حوزه های مختلف جمع آوری اطلاعات برای یک سازمان مقیاس متوسط تا بزرگ را مورد بررسی قرار می دهیم.
مدیریت دارایی – Asset Management: این حوزه اولین حوزه مورد توجه برای جمع آوری اطلاعات است. موسسه sans مدیریت دارایی را به عنوان اولین مورد در ۲۰ کنترل مهم امنیتی خود قرار داده است. مدیریت دارایی سازمان معمولا در حوزه مسئولیت بخش عملیات فناوری اطلاعات(IT Ops) سازمان قرار دارد. اما در واقع حوزه ای که باید جزئی فراتر از عملیات فناوری اطلاعات در نظر گرفته شده و بخشی از فرهنگ سازمان باشد. مسئول بخش هوشمندی اطلاعات/شکار تهدید سازمان باید ارتباط خوبی با بخش عملیات فناوری داشته باشد و افراد را از طریق ارائه خلاصه تهدیدات نسبت به ارزش و اهمیت خروجی بخش عملیات در کمک به مقابله با تهدیدات سازمان آگاه سازد. اهمیت این مورد به قدری است که می توان گفت تطابق و بهره برداری از مدل های شکار تهدید بدون پوشش این عنصر مهم امکان پذیر نیست.
سطح حمله – Attack Surface: یکی از وظایف سخت و پرزحمت شناسایی و ترسیم کامل سطوح حمله سازمان است. متناسب با اندازه سازمان شما باید یک برنامه مدون سالانه(حداقل یک بار در سال) برای شناسایی و ترسیم سطوح حمله داشته باشید. سپس باید نسبت به پایش سطوح حمله اقدام کنید. در اینجا دو روش رایج برای پایش و نظارت سطوح حمله را بیان می کنیم
برداری های حمله: بردارهای حمله در امنیت سایبری همان شیوه ها و نقاطی هستند که با درون سازمان شما ارتباط برقرار می شود:
ایمیل
وب
موبایل
مهندسی اجتماعی
زنجیره تامین/شخص ثالث
حوزه ها/دامنه ها: شیوه دیگر نظارت سطوح حمله، دسته بندی در قالب دامنه های سایبری سازمان است. می توان به سطوح حمله را از منظر حوزه های زیر مورد توجه قرار داد:
شبکه(Network)
نقطه پایانی(endpoint)
ابرپردازش(cloud)
توسعه محصول/برنامه کاربردی(DevOps/App)
موبایل(Mobile)
اینترنت اشیاء(IoT)
رویداد نگاری – Logging : پس از شناخت اینکه چه دارایی در چه مکانی از سازمان قرار دارد، و نگاشت سطوح حمله برای دارایی های اولویت دار، شما نیازمند رویداد نگاری هستید تا بدانید در ماشین ها و سامانه های شما چه اتفاقی در حال رخ دادن است. در سازمان های بزرگ برای رویدادنگاری مناسب به یک سیاست اجرایی برای اعمال رویداد نگاری بر روی سطوح تهدید و تجمیع آن ها در یک نقطه متمرکز نیاز است. سند موسسه SANS در این باره به شما کمک می کند.
مدیریت هویت و دسترسی(Identity & Access Management): مدیریت دسترسی و هویت کاربران که به سامانه ها و تجهیزات ورود/خروجی می کنند از جمله مواردی است که سازمان ها برای آن خط مشی مشخصی تعیین نمی کنند. این اطلاعات یکی از منابع مهم برای جمع آوری شواهد پیرامون تهدیدات و رخدادهای سایبری سازمان شما هستند.
ایجاد خط مبنا از سیستم – Baselining : خط مبنا عبارتی در حوزه مدیریت پیکربندی است. در خط مبنا سازی سیستم، از وضعیت و مشخصه هاس سیستم در یک نقطه زمانی مشخص اطلاعات جمع آوری
می شود و به عنوان مبنایی برای تغییرات در نظر گرفته می شود. با تغییر یا دستکاری در سیستم، سیستم از حالت خط مبنا خارج و به وضعیت دیگر می رود. این عنصر یکی از موارد مهم در عملیات تیم شکار تهدید و شناسایی رفتار کاربران سیستم است و در صورتی موفق خواهد بود که مراحل قبلی به خوبی پیاده سازی شده باشد.
حتما تا کنون متوجه شده اید که مسیر هوشمندی اطلاعات تهدید نه تنها مسیر آسانی نیست، بلکه طولانی و حتی خسته کننده است. بعد از انجام همه این مراحل و جمع آوری اطلاعات متنوع تازه آماده آغاز به کار شکار تهدیدات در حوزه های مورد نیاز می شوید.
http://www.hypersec.ir/?p=532🌎
@hypersec
t.me/hypersec
حتما تا کنون متوجه شده اید که مسیر هوشمندی اطلاعات تهدید نه تنها مسیر آسانی نیست، بلکه طولانی و حتی خسته کننده است. بعد از انجام همه این مراحل و جمع آوری اطلاعات متنوع تازه آماده آغاز به کار شکار تهدیدات در حوزه های مورد نیاز می شوید.
http://www.hypersec.ir/?p=532🌎
@hypersec
t.me/hypersec
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
مقدمه ای بر بستر تحلیل داده اسپلانک✍
اسپلانک یک پلتفرم[۱] نرمافزاری بسیار قدرتمند برای جستجو، تحلیل و بصری سازی[۲] در دادهها و مانیتورینگ آنها است. منظور از داده، دادههای تولید شده توسط تجهیزات شبکه، میزبانها، برنامههای کاربردی و … است که کسب و کار و زیرساخت IT سازمان را تشکیل می دهند.
این دادهها می توانند لاگ، ترافیک شبکه، هشدارهای آنتی ویروس و تجهیزات و مواردی از این دست باشند.
محصول اسپلانک توسط شرکتی چندملیتی با همین نام (اسپلانک) واقع در سانفرانسیسکوی آمریکا تولید و توسعه داده شده است.Splunk Enterprise و Splunk Enterprise Security دو محصول شناخته شده و فوق العاده قدرتمند شرکت اسپلانک است.
– محصول Splunk Enterprise
کاربران می توانند این محصول را به صورت رایگان دانلود و نصب کنند. پس از نصب این محصول، یک رابط کاربری وب (مطابق شکل ۱) روی پورت ۸۰۰۰ (پیش فرض و قابل تغییر) در اختیار کاربر قرار میگیرد.
این محصول علاوه بر لایسنس رایگان، لایسنسهای تجاری مختلفی (بسته به قابلیت و حجم داده ورودی) دارد. لایسنس رایگانSplunk Enterprise محدودیت های زیر را دارد.
تک کاربره
قابلیت افزودن دادهها تا سقف ۵۰۰ مگابایت در هر روز
کاربرانی که تمایل دارند از ویژگیهای بیشتر اسپلانک استفاده کنند میتوانند لایسنس تجاری محصول را خریداری کنند. لایسنس این محصول بسته به مقدار دادهای که وارد اسپلانک میشود از ۲۲۵ دلار شروع میشود.
لازم به ذکر است بسیاری از تحلیلها و جستجوهای مورد نیاز کاربران و سازمانها از طریق لایسنس رایگان محصول قابل انجام است.
– محصول Splunk Enterprise Security
این محصول، در حقیقت یک راهکار SIEM است که توسط این شرکت عرضه شده است. محصول مذکور رایگان نیست و برای استفاده از قابلیتهای قدرتمند آن باید لایسنس آن را خریداری کرد. برخی از مهمترین قابلیتهای این محصول عبارتند از:
همبستهسازی[۵] قدرتمند وقایع
نظارت بلادرنگ
قابلیت تولید هشدار در ازای شرایط تعریف شده و رخدادها
اولویتبندی و پاسخگویی به رخدادها
قابلیت استفاده از Threat Intelligence به صورت کاملا عملیاتی
[۱] Platform
[۲] Visualize
[۳] Alert
[۴] Monitoring
[۵] Correlation
http://www.hypersec.ir/?p=423🌎
@hypersec
t.me/hypersec
اسپلانک یک پلتفرم[۱] نرمافزاری بسیار قدرتمند برای جستجو، تحلیل و بصری سازی[۲] در دادهها و مانیتورینگ آنها است. منظور از داده، دادههای تولید شده توسط تجهیزات شبکه، میزبانها، برنامههای کاربردی و … است که کسب و کار و زیرساخت IT سازمان را تشکیل می دهند.
این دادهها می توانند لاگ، ترافیک شبکه، هشدارهای آنتی ویروس و تجهیزات و مواردی از این دست باشند.
محصول اسپلانک توسط شرکتی چندملیتی با همین نام (اسپلانک) واقع در سانفرانسیسکوی آمریکا تولید و توسعه داده شده است.Splunk Enterprise و Splunk Enterprise Security دو محصول شناخته شده و فوق العاده قدرتمند شرکت اسپلانک است.
– محصول Splunk Enterprise
کاربران می توانند این محصول را به صورت رایگان دانلود و نصب کنند. پس از نصب این محصول، یک رابط کاربری وب (مطابق شکل ۱) روی پورت ۸۰۰۰ (پیش فرض و قابل تغییر) در اختیار کاربر قرار میگیرد.
این محصول علاوه بر لایسنس رایگان، لایسنسهای تجاری مختلفی (بسته به قابلیت و حجم داده ورودی) دارد. لایسنس رایگانSplunk Enterprise محدودیت های زیر را دارد.
تک کاربره
قابلیت افزودن دادهها تا سقف ۵۰۰ مگابایت در هر روز
کاربرانی که تمایل دارند از ویژگیهای بیشتر اسپلانک استفاده کنند میتوانند لایسنس تجاری محصول را خریداری کنند. لایسنس این محصول بسته به مقدار دادهای که وارد اسپلانک میشود از ۲۲۵ دلار شروع میشود.
لازم به ذکر است بسیاری از تحلیلها و جستجوهای مورد نیاز کاربران و سازمانها از طریق لایسنس رایگان محصول قابل انجام است.
– محصول Splunk Enterprise Security
این محصول، در حقیقت یک راهکار SIEM است که توسط این شرکت عرضه شده است. محصول مذکور رایگان نیست و برای استفاده از قابلیتهای قدرتمند آن باید لایسنس آن را خریداری کرد. برخی از مهمترین قابلیتهای این محصول عبارتند از:
همبستهسازی[۵] قدرتمند وقایع
نظارت بلادرنگ
قابلیت تولید هشدار در ازای شرایط تعریف شده و رخدادها
اولویتبندی و پاسخگویی به رخدادها
قابلیت استفاده از Threat Intelligence به صورت کاملا عملیاتی
[۱] Platform
[۲] Visualize
[۳] Alert
[۴] Monitoring
[۵] Correlation
http://www.hypersec.ir/?p=423🌎
@hypersec
t.me/hypersec
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
چگونگی ایجاد یک برنامه و بستر Threat Intelligence کارآمد 👇👇
How To Build an Effective Intelligence Program
In this post, I want to explain the common definition of Threat Intelligence and 5 steps we should take as implementing an Intelligence program.
Threat Intelligence:
The collection, classification, and exploitation of knowledge about adversaries, usually with the intent of turning that Intelligence into actionable steps to find, limit, stop, and/or remove the attackers from the victim’s environment.
An effective threat intelligence program is one that is built to specifically address the organization needs. Below are five guidelines security teams should consider as they implement their program.
1: Consider the organization’s threat profile and like adversaries.
Tune selected intel sources to match your expected threat actors. It can’t hurt to evaluate a wide range of intel sources, but these should be carefully evaluated in the light of the organization’s needs before activating. For example, a financial organization would not have much use for intelligence about threat groups that primarily steal medical records.
2: Check the integration with the infrastructure within the environment.
This may include a technical integration to the SIEM, or simply ensuring the team can search available evidence for the specific types intelligence indicators (IP address, hostname, traffic signatures, etc.) Related to this point, consider the longevity for an item of threat intelligence and whether the organization’s data retention policies match the expected use case.
3: Continuously evaluate effectiveness.
Is a particular intel indicator creating an excessive number of false positive events? That may require re-evaluating the indicator or potentially the entire intelligence source. The indicator may require fine tuning or modification to best suit its intended purpose.
4: Remove when no longer useful to the operations process.
In the case of an indicator that is no longer useful, it should be removed. There is rarely value to alerting on tactical intelligence from several years ago. This is closely related to the re-evaluating point above, but many organizations fail to implement cleanup processes. Doing so minimizes the chance of false positives, but also ensures real-time detection platforms are seeking out only the most valuable events.
5: Generate internal intelligence as a result of investigation processes.
Solely consuming threat intelligence is not enough to create a viable threat intel program. Operations teams behind the most effective programs include an input from the DFIR processes through which locally-generated threat intel is consumed. As the DFIR teams learn more about an attacker or campaign, context is added and those indicators become intelligence. By establishing a feedback loop to security operations, the threat intel can yield quick and specific detections.
How To Build an Effective Intelligence Program
In this post, I want to explain the common definition of Threat Intelligence and 5 steps we should take as implementing an Intelligence program.
Threat Intelligence:
The collection, classification, and exploitation of knowledge about adversaries, usually with the intent of turning that Intelligence into actionable steps to find, limit, stop, and/or remove the attackers from the victim’s environment.
An effective threat intelligence program is one that is built to specifically address the organization needs. Below are five guidelines security teams should consider as they implement their program.
1: Consider the organization’s threat profile and like adversaries.
Tune selected intel sources to match your expected threat actors. It can’t hurt to evaluate a wide range of intel sources, but these should be carefully evaluated in the light of the organization’s needs before activating. For example, a financial organization would not have much use for intelligence about threat groups that primarily steal medical records.
2: Check the integration with the infrastructure within the environment.
This may include a technical integration to the SIEM, or simply ensuring the team can search available evidence for the specific types intelligence indicators (IP address, hostname, traffic signatures, etc.) Related to this point, consider the longevity for an item of threat intelligence and whether the organization’s data retention policies match the expected use case.
3: Continuously evaluate effectiveness.
Is a particular intel indicator creating an excessive number of false positive events? That may require re-evaluating the indicator or potentially the entire intelligence source. The indicator may require fine tuning or modification to best suit its intended purpose.
4: Remove when no longer useful to the operations process.
In the case of an indicator that is no longer useful, it should be removed. There is rarely value to alerting on tactical intelligence from several years ago. This is closely related to the re-evaluating point above, but many organizations fail to implement cleanup processes. Doing so minimizes the chance of false positives, but also ensures real-time detection platforms are seeking out only the most valuable events.
5: Generate internal intelligence as a result of investigation processes.
Solely consuming threat intelligence is not enough to create a viable threat intel program. Operations teams behind the most effective programs include an input from the DFIR processes through which locally-generated threat intel is consumed. As the DFIR teams learn more about an attacker or campaign, context is added and those indicators become intelligence. By establishing a feedback loop to security operations, the threat intel can yield quick and specific detections.
Windows Registry Monitoring Using Splunk
I'm going to share one of the most interesting use cases for any SIEM, Registry Monitoring. It's simple but worth monitoring.
Use Case:
Registry Monitoring
Denoscription:
Registry Monitoring Usually whenever an executable install it made some changes to registry. So it is worth monitoring registry events/actions like set, delete etc.
Log Source:
Windows Registry Logs
Splunk Query:
index=main sourcetype=WinRegistry | stats values(data) by key_path,registry_type,host | rename host as "Machine Name" registry_type as Action values(data) as "New Value" key_path as "Path to Subkey"
As other use cases, you can develop the query or even use it in other SIEMs by doing a simple change. For instance, you can compare the results of the query with ones in next day/week and raise an alert if the given modification done.
I'm going to share one of the most interesting use cases for any SIEM, Registry Monitoring. It's simple but worth monitoring.
Use Case:
Registry Monitoring
Denoscription:
Registry Monitoring Usually whenever an executable install it made some changes to registry. So it is worth monitoring registry events/actions like set, delete etc.
Log Source:
Windows Registry Logs
Splunk Query:
index=main sourcetype=WinRegistry | stats values(data) by key_path,registry_type,host | rename host as "Machine Name" registry_type as Action values(data) as "New Value" key_path as "Path to Subkey"
As other use cases, you can develop the query or even use it in other SIEMs by doing a simple change. For instance, you can compare the results of the query with ones in next day/week and raise an alert if the given modification done.
What is the ATT&CK Matrix?
One of these innovative solutions is MITRE’s ATT&CK Matrix. The ATT&CK Matrix (Adversarial Tactics, Techniques, and Common Knowledge) is a carefully comprised knowledge base used to describe how adversaries penetrate networks and move laterally across them by escalating privileges, and often evade an organization’s defenses for extended periods of time.
The ATT&CK Matrix looks at these actions from the perspective of an adversary, the goals they may look to achieve, and the methods they may use to achieve them. These methods are broken down by techniques, tactics, and procedures (TTPs) observed during MITRE’s research as well as penetration testing and red team engagements. The information gathered during these engagements provides a model for network defenders to use to better categorize and understand post-exploitation activities.
The organization of the TTPs found within the ATT&CK Matrix may be familiar to most as they coincide with the later stages of the Lockheed Martin Cyber Kill Chain.
One of these innovative solutions is MITRE’s ATT&CK Matrix. The ATT&CK Matrix (Adversarial Tactics, Techniques, and Common Knowledge) is a carefully comprised knowledge base used to describe how adversaries penetrate networks and move laterally across them by escalating privileges, and often evade an organization’s defenses for extended periods of time.
The ATT&CK Matrix looks at these actions from the perspective of an adversary, the goals they may look to achieve, and the methods they may use to achieve them. These methods are broken down by techniques, tactics, and procedures (TTPs) observed during MITRE’s research as well as penetration testing and red team engagements. The information gathered during these engagements provides a model for network defenders to use to better categorize and understand post-exploitation activities.
The organization of the TTPs found within the ATT&CK Matrix may be familiar to most as they coincide with the later stages of the Lockheed Martin Cyber Kill Chain.
Why is the ATT&CK Matrix Important?
Cybersecurity is a “game of inches” and every inch covered has proved to be no small feat for network defenders. As adversaries evolve their tactics and techniques, the security community works tirelessly to evolve their detection and remediation methods to bring their organizations and the community one step closer to closing the gap faced when battling these elusive actors.
One of the detection and remediation methods that has gained a lot of momentum is Cyber Threat Intelligence (CTI). Since its conception, some of the mysticism surrounding its definition and applicable use has begun to reveal itself. However, as with any new school of thought, there is still a lot of knowledge to be gained and work to be done.
The traditional approach to CTI has proven to be a cumbersome process. The ways and means of collecting threat intelligence data is oftentimes delivered through thorough reporting efforts which can leave analysts scrambling to extract meaningful information, and in turn, they must also be able to apply this information in a manner that proves to be an effective means of defense.
Other unforeseen obstacles organizations face are the overwhelming number of indicators these reports produce. These indicators, more times than not, provide a little context and must be vetted before they can be consumed. This can be a daunting process which if not done correctly, can contaminate an organization’s intelligence data causing an even greater increase of false positives than are already being observed. To make matters worse, even if the above-mentioned obstacles are overcome, these indicators are constantly evolving creating stale data in their wake which must be continuously reviewed and re-prioritized.
Now that we have stated some of the obvious issues, what can be done about it? That is where the ATT&CK Matrix comes in. ATT&CK provides structure to this chaos by allowing analysts and network defenders to gather greater context around adversary groups, how they compare to other groups, and what TTPs they are using. This invaluable information will help organizations begin to gain value from their threat intelligence while remaining sane in the process.
Cybersecurity is a “game of inches” and every inch covered has proved to be no small feat for network defenders. As adversaries evolve their tactics and techniques, the security community works tirelessly to evolve their detection and remediation methods to bring their organizations and the community one step closer to closing the gap faced when battling these elusive actors.
One of the detection and remediation methods that has gained a lot of momentum is Cyber Threat Intelligence (CTI). Since its conception, some of the mysticism surrounding its definition and applicable use has begun to reveal itself. However, as with any new school of thought, there is still a lot of knowledge to be gained and work to be done.
The traditional approach to CTI has proven to be a cumbersome process. The ways and means of collecting threat intelligence data is oftentimes delivered through thorough reporting efforts which can leave analysts scrambling to extract meaningful information, and in turn, they must also be able to apply this information in a manner that proves to be an effective means of defense.
Other unforeseen obstacles organizations face are the overwhelming number of indicators these reports produce. These indicators, more times than not, provide a little context and must be vetted before they can be consumed. This can be a daunting process which if not done correctly, can contaminate an organization’s intelligence data causing an even greater increase of false positives than are already being observed. To make matters worse, even if the above-mentioned obstacles are overcome, these indicators are constantly evolving creating stale data in their wake which must be continuously reviewed and re-prioritized.
Now that we have stated some of the obvious issues, what can be done about it? That is where the ATT&CK Matrix comes in. ATT&CK provides structure to this chaos by allowing analysts and network defenders to gather greater context around adversary groups, how they compare to other groups, and what TTPs they are using. This invaluable information will help organizations begin to gain value from their threat intelligence while remaining sane in the process.
SOC or MSSP?!!
Below are the most important advantages of a SOC as comapred to an MSSP:
Below are the most important advantages of a SOC as comapred to an MSSP: