Xavfli ov qilish jarayoni yoki "tahdidlarni qidirish" tahdidni aniqlash va yo'q qilish uchun murosalar izlari yoki zararli dastur belgilarini faol qidirishga asoslangan. Ya'ni, tahdidlarni qidirish aniqlash yoki himoya vositasi ishga tushirilgandan keyin emas, balki tahlilchi ishi jarayonida sodir bo'ladi. Tahlilchi asosan gipotezalarni sinab ko'rmoqda, ularning natijalari xakerlik belgilarini ko'rsatishi mumkin. Asosiy maqsad - hujumchilar undan foydalana olmaguncha, tahdidni topish. Muvaffaqiyatli "tahdidlarni qidirish" ni o'tkazish uchun tahlilchilar real vaqtda telemetriyani qabul qilishlari juda muhim, bunda ularga SIEM / EDR / NDR tizimlari yordam beradi.
Tahdidni ovlash jarayonining asosiy komponentlari:
1. Ma'lumot yig'ish:
o oxirgi qurilmalardan olingan ma'lumotlar (qurilmada ishlaydigan jarayonlar; disklarda saqlangan fayllar);
o tarmoq ma'lumotlari (tarmoq ulanishlari, DNS -serverlar, routerlar, kommutatorlar va boshqalar);
2. Tahlil - statistikani yig'ishdan tortib, mashinani o'rganishga asoslangan xatti -harakatlarni tahlil qilishgacha (User and Entent Behavioral Analytics, UEBA).
3. Olingan ma'lumotlarni o'rganish.
4. Hujumni zararsizlantirish va bunday hujumlarga javob berish ssenarisini ishlab chiqish.
Gipotezalarni ishlab chiqish javob markazi mutaxassislarining tajribasi, shuningdek, yuqorida ko'rsatilgan turli manbalardan olingan ma'lumotlar tufayli amalga oshiriladi.
Tahdidlarni qidirishning muhim elementi - bu tergovlar va oldingi gipotezalarni sinab ko'rish natijalari to'g'risidagi ma'lumotlarni to'playdigan javob markazining shaxsiy ma'lumot bazasi.
Xulq -atvorni tahlil qilish vositalari (Sandboxlar)
Xulq -atvorni tahlil qilish vositasi ("sandbox") - bu bajariladigan fayllarni xavfsiz bajarish uchun ajratilgan muhit. Tarmoqqa kirish, shuningdek kirish qurilmalaridan ma'lumotlarni o'qish odatda qisman taqlid qilinadi yoki cheklangan.
Qum qutilari fayllarni zararli dasturlarga tahlil qilish yoki, masalan, shubhali kodni ishlatish uchun ishlatiladi. Qum qutisi tasviri skaner qilingan ob'ekt ishga tushirilishi kerak bo'lgan muhitni taqlid qiladi, bu esa mutaxassislarga potentsial tahdidlarni o'z vaqtida aniqlash imkonini beruvchi xulq -atvor tahlilini o'tkazishga yordam beradi.
Xulq -atvorli fayllarni tahlil qilish texnologiyasi bozorda anchadan buyon mavjud. Hozirgi vaqtda qo'llaniladigan usullarni takomillashtirish murakkabroq tahlil qilish uchun aniqlash va himoya qilishning boshqa sinflari bilan integratsiyalashuvi, shuningdek moslashuvchan moslashuvchan muhitning paydo bo'lishi orqali amalga oshiriladi.
Amalda, bu sinf juda keng tarqalgan. "Qum qutisi" ning asosiy ilovasi - bu "jangovar" IT -infratuzilmani iloji boricha taqlid qiladigan muhitda shubhali fayllarni xulq -atvori tahlili.
Xakerlar uchun aldovlar ("Honeypot")
Honeypot echimlar sinfi xakerlik urinishlarini aniqlash va hujumlarni bashorat qilish va ularga qarshi choralar ko'rish usullarini o'rganishga mo'ljallangan. Maxsus ochiq portlar, zaifliklar va boshqa aniq nuqsonlari bo'lgan sanoat tizimlaridan ajratilgan muhit "aldov" sifatida ishlatiladi. Maqsad veb -server, virtual mashina, tarmoq qurilmasi va boshqa tizimlar va xizmatlar bo'lishi mumkin. Bu odatda tashkilotda ishlaydigan tizimlar. Hujumkorlarni aniqlash uchun mo'ljallangan muhitda kiberjinoyatchilarda qiziqish uyg'otish uchun turli xil manbalarni muhim fayllar, pochta xabarlari, hisob ma'lumotlari sifatida yashirish mumkin.
Bundan tashqari, fishingga qarshi kurashish uchun veb-sayt kodiga o'rnatilgan "pot" deb nomlangan havolalar ishlatiladi, bu esa veb-saytlarni klonlash holatlarini aniqlashga imkon beradi, bu esa mumkin bo'lgan hujum haqida himoyachilarni ogohlantiradi.
Texnologiya rivojlanishda davom etmoqda va turli xil asboblar nafaqat ishlatilgan usullarni, balki ularning tizimlariga ulanganidan keyin, masalan, terminal oynasida yozib olish orqali, tajovuzkorlarning harakatlarini ham ochib beradi. Bu sizga tajovuzkorlarning o'zi haqida ko'proq ma'lumot olish va ular qanday boshqa tizimlarga ulanishini kuzatish imkonini beradi.
Ilg'or hujumchilarni qo'lga olish uchun butun tarmoqlarni virtualizatsiya qila oladigan yangi avlod chuqurchalar joylashtirilmoqda.