क्या एक धमकी विश्लेषक वास्तव में खुफिया की सोचता है

जब मैं एक खतरा विश्लेषक था, तो बहुत पहले ही मेरे लिए वास्तव में लिखित रूप में डाल दिया गया था, मुझे जांच की ऊब पर खोज का रोमांच याद है। हम सभी जानते हैं कि मेम:

और इन वर्षों में, जांच का नेतृत्व थोड़ा अधिक महत्वपूर्ण हो गया। यह कुछ तरीकों में से एक में शुरू होगा, लेकिन सबसे आम एक चेतावनी के माध्यम से शुरू हुआ, जो कि सहसंबंधी सहसंबंधी नियमों के अनुसार फायरिंग है। इस स्थिति में, हम पहले से ही जानते थे कि हम क्या देख रहे थे … आरईएमएक्स मैच पर हमें सचेत करने के लिए सिएम को कॉन्फ़िगर किया गया था, वाई के बाद एक्स और उसके बाद अन्य सामान्य लॉजिस्टिक्स को अक्सर “उन्नत एनालिटिक्स” के रूप में गलत नाम दिया गया था। जैसे-जैसे हम अधिक परिपक्व होते गए, हम थर्ड पार्टी स्रोतों से थ्रेट इंटेलिजेंस फीड को निगलना चाहेंगे। शिकार के बारे में उत्सुक और उत्साही, हम जानबूझकर झूठे अलार्म के प्रलय के माध्यम से खोज करेंगे (हां, आईपीएस ने लोटस नोट्स के खिलाफ परिधि पर हमला किया था, लेकिन हम 5 साल से एमएस एक्सचेंज का उपयोग कर रहे थे) और झूठी सूचनाओं (नहीं, वह है) नहीं ड्यूक … बस कोई है जो अपने विज्ञापन क्रेडेंशियल्स को याद नहीं कर सकता है)।

और यह विचार कि ये खुफिया स्रोत एसओसी में एक पूरी तरह से नया मैकेनिक पैदा कर सकते हैं, जिसे हम प्यार से अब थ्रेट हंटिंग के रूप में संदर्भित करते हैं, अविश्वसनीय रूप से सशक्त था। इसने हमें सिएम और अन्य सुरक्षा नियंत्रण प्रौद्योगिकियों द्वारा पहले से ही विश्लेषण (और सबसे अधिक संभावना चूक) से आगे बढ़ने की अनुमति दी। सच है, हमें यह मानना ​​पड़ा कि खतरा पहले से ही मौजूद था और इस घटना ने पहले ही संगठन में एक पैर जमाने की कोशिश की थी, लेकिन इसने हमें संकेतक के लिए उद्यम पैमाने पर खोज शुरू करने की अनुमति दी कि शायद हम समझौता कर चुके थे। मेरा मतलब है, याद रखें कि किसी समस्या को जानने की आवश्यकता है, इससे पहले कि हम इसे प्रबंधित कर सकें। लेकिन फिर से, बुरा खतरा डेटा (मुझे एक बार बड़े अभियान में आईओसी के रूप में विंडोज डीएलएल की एक सूची मिली) और अत्यधिक महत्वहीन धमकी डेटा (पॉलीमोर्फिक मैलवेयर से जुड़े एक अन्य प्रदाता सूचीबद्ध हैश) ने हमें एक खरगोश छेद के नीचे ले जाया जिससे हम सभी बहुत खुश थे से बाहर आना।

तो, क्या “थ्रेट इंटेलिजेंस” के विपणन के तहत निर्देशित किए गए सभी खतरे के डेटा ने वास्तव में हमें खतरों को उजागर करने में मदद की अन्यथा रात में चोर की तरह छाया में काम करना? या क्या यह हमारी गतिविधियों पर ध्यान केंद्रित कर रहा था जो कि बड़े पैमाने पर निर्बाध था, जबकि वास्तविक खतरे सुइयों के ढेर में सिर्फ एक और सुई थे?

अधिकांश परिपक्व संगठनों में, थ्रेट इंटेलीजेंस SecOps रणनीति का एक महत्वपूर्ण घटक है। निश्चित रूप से यह है; यह होना चाहिए। हर कोण से हमले की कोशिश करने वाले इस तरह के प्रचुर मात्रा में खतरों से कैसे बचाव कर सकते हैं? हमारे पास ऑन्कोलॉजिकल विचार हैं। कौन से खतरे वाले अभिनेता मेरे उद्योग को ऊर्ध्वाधर या भूगोल को लक्षित कर रहे हैं? क्या मैंने किसी संबद्ध अभियान संकेतक की खोज की है? और, सबसे महत्वपूर्ण बात, क्या मेरे मौजूदा नियंत्रण मेरी रक्षा करेंगे? जिसमें से कोई भी थ्रेट इंटेलिजेंस क्षमता के बिना संबोधित नहीं किया जा सकता है।

मुझे याद है कि एक ग्राहक के साथ काम करना जो सिर्फ अपने सुरक्षा संचालन संसाधनों का विस्तार करने के लिए शुरुआत कर रहा था, और वे थ्रेट इंटेलिजेंस क्षमताओं में लाने के लिए उत्सुक और उत्साहित थे। बोर्ड CISO पर अपनी प्रतिक्रिया संगठन के लिए जवाबदेही का दायरा बढ़ाने के लिए दबाव डाल रहा था, और मीडिया किसी भी व्यवसाय से बेमेल बनाने के लिए शुरुआत कर रहा था, जिसे धमकी अभिनेताओं द्वारा समझौता किया गया था। प्रेशर चालू था और खुफिया फायरहोज़ की तरह अंदर बहने लगा। इसके शुरू होने के लगभग एक महीने बाद, हमने दोपहर के भोजन के बारे में बात की, जब वह वृद्धि के लिए कम से कम 3 बार बाधित हुआ। “क्या चल रहा है,” मैंने पूछा उन्होंने मुझे बताया कि उन्हें निष्कर्षों के बारे में अब दिन और रात कहा जा रहा है, जिसके लिए उनकी टीम में संपूर्ण संदर्भ और समझ का अभाव था। निश्चित रूप से, उनके पास अधिक खतरे वाले डेटा थे, लेकिन अगर आपने उनसे पूछा, तो उस विशेषता में “खुफिया” शामिल नहीं था।

शोर खुफिया से माना जाता है कि आप शोर से संकेतों को फ़िल्टर करने में मदद करेंगे। कुछ बिंदु पर, संदर्भ और समझ के बिना, यह संभवतः अधिक शोर है।

ज्ञान पदानुक्रम पर विचार करें: डेटा, सूचना, ज्ञान और ज्ञान।

इंटेलिजेंस को डिक्शनरी डॉट कॉम द्वारा “किसी घटना, परिस्थिति आदि के ज्ञान के रूप में परिभाषित किया गया है, प्राप्त या प्रदान किया गया; समाचार; जानकारी।” अगर हम थ्रेट इंटेलिजेंस को उन हिस्सों, या परमाणु तत्वों की सूची के साथ अपने सुरक्षा संचालन को खिलाने वाले डेटा के एक रूप के रूप में सोचते हैं, जो स्वयं और संदर्भ के रास्ते में कम सेवा करते हैं, तो एसओसी नियमित रूप से प्रतिक्रियाशील होने के लिए मजबूर होगा। लाखों संकेतक रोज़ फ़ाइल हैश, नाम, URL, IP पते, डोमेन, और अधिक के रूप में धकेले जाने के साथ, यह शायद ही डेटा डेटा है।

जब ऑन्कोलॉजी का उपयोग करके संदर्भ के रूप में डेटा को सहसंबद्ध किया जाता है, जैसे कि विशिष्ट प्रकार के मैलवेयर द्वारा समूहीकरण, तो हम रिश्तों को जानकारी के रूप में वर्गीकृत करने के लिए पर्याप्त रूप से प्राप्त करते हैं। जब हम जानते हैं कि कुछ मैलवेयर और मैलवेयर परिवार संकेतक के समूहों का प्रदर्शन करेंगे, तो हम बेहतर तरीके से अपने नियंत्रण, डिटेक्शन मैकेनिज्म और यहां तक ​​कि प्रतिक्रिया के प्रयासों और प्लेबुक को भी तैयार कर सकते हैं। लेकिन, फिर भी, हमारे पास यह समझने के लिए पर्याप्त संदर्भ का अभाव है कि, सामान्य तौर पर, यह मैलवेयर या मैलवेयर गतिविधियों का परिवार मेरे संगठन पर लागू होगा या नहीं। हमें अभी और संदर्भ की आवश्यकता है।

इसलिए, इस बिंदु पर हम एक पूरी कहानी बनाते हैं। यह जानकर अच्छा लगता है कि मैलवेयर मौजूद है और प्रमुख व्यवहार प्रदर्शित करता है, लेकिन यह और भी बेहतर है अगर हम जानते हैं कि कौन से खतरे वाले अभिनेता उस मैलवेयर का उपयोग करते हैं और किस तरह से करते हैं। ये खतरे वाले अभिनेता, अधिकांश व्यवसायों की तरह, संरचित परियोजनाओं में काम करते हैं। वे परियोजनाएँ, या अभियान, एक परिणाम खोजने की कोशिश करते हैं। वे उद्योग के माध्यम से विशिष्ट प्रकार के व्यवसायों को लक्षित कर रहे हैं। इस लेख के लेखन में, COVID-19 ने फार्मास्यूटिकल्स उद्योग में ऐसा नाटकीय वैक्यूम बनाया है कि पहला टीका बनाने की दौड़ है। इस तरह की दौड़ का “विजेता” अविश्वसनीय वित्तीय पुरस्कार प्राप्त करेगा। इसलिए, इसका मतलब यह है कि APT29 (जिसे कोज़ी बीयर के रूप में भी जाना जाता है), जिन्होंने यूएस 2016 के चुनाव से पहले DNC को कुख्यात किया था, वह फार्मास्युटिकल R & D फर्मों को लक्षित करेगा। अब, इस सब का ज्ञान एक व्यक्ति को यह छूट देता है कि अगर मैं एक फार्मास्युटिकल अनुसंधान एवं विकास कंपनी, विशेष रूप से एक COVID-19 वैक्सीन पर काम कर रहा हूं, तो मुझे यह देखना चाहिए कि APT29 आम तौर पर कैसे व्यवहार करता है और कुछ महत्वपूर्ण प्रश्न पूछता है: वे क्या प्रक्रियाएं करते हैं आम तौर पर अनुसरण करते हैं, जो रणनीति आम तौर पर देखी जाती है और किस क्रम / समय में, कौन सी तकनीकों को किन प्रक्रियाओं द्वारा निष्पादित किया जाता है, और इसी तरह। यदि मैं इन सभी सवालों का जवाब दे सकता हूं, तो मैं प्रतिक्रियाशील, सक्रिय और यहां तक ​​कि पूर्वव्यापी हो सकता हूं:

  • सुनिश्चित करें कि शोषण रोकथाम नियम .lnk बूंदों के लिए मौजूद हैं
  • McAfee क्रेडेंशियल चोरी संरक्षण LSASS स्टैक की रक्षा करने में सक्षम
  • PSExec गतिविधि के लिए मॉनिटर करें और अन्य APT29 संकेतकों को सहसंबंधित करें
  • रजिस्ट्री रन कुंजियों तक पहुंच के लिए मॉनिटर / ब्लॉक
  • और अन्य।

हालांकि, ऐसा लगता है कि संदर्भ और समझ के लिए इस दौड़ में कमी का एक साधन पूर्वानुमान है। निश्चित रूप से, हम उस ज्ञान के साथ भविष्यवाणी कर सकते हैं जो हमारे पास है या नहीं, हमें लक्षित किया जा सकता है; लेकिन क्या यह अनुमान लगाना अधिक कठिन नहीं है कि इस तरह के हमले के परिणाम क्या हो सकते हैं? संचालन के दौरान, आपने सूखे रन या टेबल-टॉप अभ्यास के बारे में सुना होगा। ये व्यवसायिक निरंतरता और आपदा रिकवरी जैसे कार्यों के लिए आवश्यक प्रभावी परिचालन गतिविधियाँ हैं। लेकिन क्या हो अगर आप उद्योग में दूसरों से प्राप्त किए गए ज्ञान को ग्रहण कर सकें, जो आज आपके वातावरण से जुड़े सुरक्षा पदचिह्न के साथ संकलित है, और हाथी को उस कमरे में संबोधित करते हैं, जो हर CISO “थ्रेट इंटेलिजेंस” की शुरुआत में लाता है …

क्या मेरी रक्षा होगी?

– हर CISO, कभी

संदर्भ और समझ का यह स्तर बुद्धि की ओर ले जाता है। तब तक इंतजार न करें जब तक कि खतरा आपके संगठन में नहीं आता। मेरे दादाजी हमेशा कहते थे, “एक स्मार्ट [knowledgeable] मनुष्य अपनी गलतियों से सीखता है, लेकिन एक बुद्धिमान व्यक्ति बाकी सब से सीखता है। ” मुझे लगता है कि SecOps और Threat Intelligence के साथ भी यह सच है। एक बार जब हम अपने उद्योग के लंबवत, खतरे वाले अभिनेताओं, अभियानों, और भू-और सामाजिक-राजनीतिक कारकों के बारे में जो कुछ भी जानते हैं, उसे सहसंबंधित करने में सक्षम होते हैं, तो हम अपने स्वयं के संगठन की खतरों का पता लगाने और उन्हें रोकने की क्षमता के साथ सही मायने में बुद्धिमान होंगे। धन्यवाद, पॉप!

यह खतरा विरोधी अनुसंधान से संबंधित है, ज्ञान जरूरी नहीं कि नया हो। ज्ञान पदानुक्रम 1980 के बाद से कंप्यूटर विज्ञान में एक मॉडल रहा है। नया क्या है, McAfee आपके हितधारक परिदृश्य का एक संपूर्ण परिचय प्रदान करने की क्षमता है। McAfee में 1 बिलियन से अधिक संग्रह बिंदुओं के साथ सबसे बड़ा थ्रेट इंटेलिजेंस डेटा झीलों में से एक है; डेटा लेक, घटना प्रतिक्रिया परामर्श और कार्रवाई की जानकारी और ज्ञान में भूमिगत जांच से चमकती डेटा के लिए जिम्मेदार एक विशाल उन्नत खतरा अनुसंधान क्षमता; और आपके समग्र साइबर सुरक्षा फुटिंग में अंतर्दृष्टि प्रदान करने वाले सबसे बड़े साइबरस्पेस प्योर-प्ले पोर्टफोलियो में से एक। इस अनूठी स्थिति ने MVISION इनसाइट्स के निर्माण का मार्ग प्रशस्त किया है। MVISION इनसाइट्स संदर्भ प्रदान करता है कि हमें अभियान और अभिनेताओं का ज्ञान संभवत: आपके ऊर्ध्वाधर को लक्षित करता है। फिर, जब आपका मौजूदा सुरक्षा नियंत्रण कॉन्फ़िगरेशन इस तरह के खतरे को रोकने के लिए तैयार नहीं है, तो यह आपको सचेत कर सकता है। इसके बाद यह आपके लिए उपयुक्त कॉन्फ़िगरेशन परिवर्तन की आवश्यकता है जो आपको इस तरह की सुरक्षा प्रदान करता है।

MVISION अंतर्दृष्टि एक संगठन को तुरंत सवाल का जवाब देने की अनुमति देता है, “क्या मैं संरक्षित हूं?” और, यदि आप संरक्षित नहीं हैं, तो यह आपके पर्यावरण के लिए उपयुक्त सेटिंग्स निर्धारित करता है, जो आपके लिए महत्वपूर्ण खतरे वाले वैक्टर से बचाव करेगा। अभियान की जानकारी और आपके सुरक्षा नियंत्रण कॉन्फ़िगरेशन के ज्ञान के साथ डेटा को एक साथ बांधने की यह कार्यप्रणाली MVISION इनसाइट्स को आपके सुरक्षा परिदृश्य की प्रभावशीलता पर एक उपन्यास परिप्रेक्ष्य प्रदान करने की अनुमति देती है।

जब मुझे लगता है कि मुझे उन सभी जांचों पर वापस जाना है जो मुझे खरगोश के छेद के नीचे ले गए थे, तो मुझे आश्चर्य होता है कि मेरे दिन क्या भरे होंगे मेरी इतनी क्षमता थी। निश्चित रूप से, खोज में “मज़ा” का एक तत्व है। मुझे शिकार पसंद था, लेकिन मुझे लगता है कि मैं जिस चीज की तलाश कर रहा था, उसे संदर्भ और समझ के साथ जल्दी से अपने आप को बांधे रखने की क्षमता थी और मैं क्यों खोज रहा था, उन क्षणों (घंटे या दिनों को पढ़ें) में तेजी आई होगी। मैं चर्चा करने और प्रदर्शित करने के लिए उत्साहित हूं कि ज्ञान को ज्ञान में बदलने के लिए McAfee MVISION अंतर्दृष्टि का उपयोग कैसे कर रहा है!

स्पिन के लिए MVISION इनसाइट्स लेने के लिए, McAfee’s MVISION इनसाइट्स पूर्वावलोकन देखें।