| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:mrezna_forenzika:threat_hunting [2020/01/08 18:07]
abozic [Chapter ...] |
racfor_wiki:mrezna_forenzika:threat_hunting [2024/12/05 12:24] (trenutno)
|
| ====== Threat hunting ====== | ====== Threat hunting ====== |
| |
| ===== Abstract ===== | ===== Sažetak ===== |
| | |
| | //Threat hunting// je strategija obrane sustava od prijetnji. Kako bi bilo moguće precizno obaviti analizu mreže ili sustava i pronaći prijetnju, potrebno je poznavati ponašanje i motivaciju mogućih napadača, vrste napada koje bi mogli koristiti, znati prepoznati što bi u napadnutom sustavu bila vrijedna informacija, odnosno gdje bi se napad mogao dogoditi te tehnike kojima se može uočiti prijetnja. Ne postoje konkretni alati koji će odraditi precizno cijeli //threat hunting// umjesto stručnjaka, već alati samo predstavljaju sredstvo koje će usmjeriti stručnjaka otkud da krene s analizom i što točno traži. S obzirom da postaje popularan, tema //threat hunting//-a i shvaćanje metodologije ove strategije je relevantna. |
| | |
| | Ključne riječi: threat hunting; threat hunter; sigurnost; forenzika; napadi; phishing |
| |
| How do you write an abstract? Identify your purpose. You're writing about a correlation between lack of lunches in schools and poor grades. … Explain the problem at hand. Abstracts state the “problem” behind your work. … Explain your methods. … ([[https://www.aje.com/arc/make-great-first-impression-6-tips-writing-strong-abstract/|Source]]) Save your work regularly!!! Describe your results (informative abstract only). … Abstract should be no longer that 400 words. | |
| |
| Keywords: **abstract**; **bastract**; astract; retract; tractor | |
| ===== Uvod ===== | ===== Uvod ===== |
| |
| ==== Vrste napadača ==== | ==== Vrste napadača ==== |
| |
| 1. Zlonamjerni insajder | 1. Zlonamjerni //insider// |
| |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Napadi ovakvih napadača su ciljani i zlonamjerne prirode. Napadač je obično problematičan, nezadovoljan ili pohlepan te je razlog njegovog napada obično financijske prirode.</font> | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Napadi ovakvih napadača su ciljani i zlonamjerne prirode. Napadač je obično problematičan, nezadovoljan ili pohlepan te je razlog njegovog napada obično financijske prirode.</font> |
| |
| 2. Slučajni insajder | 2. Slučajni //insider// |
| |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Ovakvi napadači nisu napadači u punom smislu riječi jer njihov napad nije namjeran. Napadi obično nastanu jer napadač pogriješi te nešto slučajno napravi (npr. zaposlenik tvrtke koji slučajno obriše neke bitne podatke) ili je i sam žrtva krađe identiteta ili lažnog predstavljanja.</font> | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Ovakvi napadači nisu napadači u punom smislu riječi jer njihov napad nije namjeran. Napadi obično nastanu jer napadač pogriješi te nešto slučajno napravi (npr. zaposlenik tvrtke koji slučajno obriše neke bitne podatke) ili je i sam žrtva krađe identiteta ili lažnog predstavljanja.</font> |
| |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Ovi napadači motivirani su ideološkim, političkim ili vjerskim razlozima. Cilj njihovog napada je zastrašivanje vlade i javnosti.</font> | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Ovi napadači motivirani su ideološkim, političkim ili vjerskim razlozima. Cilj njihovog napada je zastrašivanje vlade i javnosti.</font> |
| | |
| |
| ==== Faze cyber napada ==== | ==== Faze cyber napada ==== |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>1. //Malware//</font> | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>1. //Malware//</font> |
| |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Zlonamjerni kod koji ometa rad računala, prikuplja osjetljive podatke ili dobiva neovlašteni pristup. Često korišteni //malware//-i su virus, trojanski konj, //ransomware//, crv, bot, //rootkit//, //spyware //i //keylogger //te se svi oni razlikuju u karakteristikama infekcije i širenja<sup>4</sup></font>. | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Zlonamjerni kod koji ometa rad računala, prikuplja osjetljive podatke ili dobiva neovlašteni pristup. Često korišteni //malware//-i su virus, trojanski konj, //ransomware//, crv, //bot//, //rootkit//, //spyware //i //keylogger //te se svi oni razlikuju u karakteristikama infekcije i širenja<sup>4</sup></font>. |
| |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>2.</font>//Phishing// | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>2.</font>//Phishing// |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>4. //Domain shadowing//</font> | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>4. //Domain shadowing//</font> |
| |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Napadač pokušava pribaviti korisničke podatke registrara domene kako bi dodao nove zapise u DNS zapise organizacije. Na taj način napadač preusmjerava posjetitelje //web //lokacije organizacije na zlonamjerne, ali pouzdane IP adrese<sup>4</sup> .</font> | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Napadač pokušava pribaviti korisničke podatke registara domene kako bi dodao nove zapise u DNS zapise organizacije. Na taj način napadač preusmjerava posjetitelje //web //lokacije organizacije na zlonamjerne, ali pouzdane IP adrese<sup>4</sup> .</font> |
| |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>5. //Denial-of-Service//</font> | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>5. //Denial-of-Service//</font> |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Napad u kojem se mrežni resurs učini nedostupnim za uporabu. Obično troši više računalnih resursa nego što uređaj može podnijeti ili ometa onemogućavanjem komunikacijskih usluga<sup>4</sup> .</font> | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Napad u kojem se mrežni resurs učini nedostupnim za uporabu. Obično troši više računalnih resursa nego što uređaj može podnijeti ili ometa onemogućavanjem komunikacijskih usluga<sup>4</sup> .</font> |
| |
| 6. //Drive-By-Downloads// | 6. //Drive-By Download// |
| |
| <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Zlonamjerni //software //koji je nenamjerno preuzet s legitimne //web //stranice koja je ugrožena. Koristi ranjivosti u korisnikovom operativnom sustavu ili nekom drugom programu<sup>4</sup> .</font> | <font 11ptfont-family:Arial;color:#000000;background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;/Arial;;inherit;;#000000background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre;white-space:pre-wrap;>Zlonamjerni //software //koji je nenamjerno preuzet s legitimne //web //stranice koja je ugrožena. Koristi ranjivosti u korisnikovom operativnom sustavu ili nekom drugom programu<sup>4</sup> .</font> |
| | |
| |
| ===== Faze threat hunting-a ===== | ===== Faze threat hunting-a ===== |
| ===== Zaključak ===== | ===== Zaključak ===== |
| |
| zaključak. | //Threat hunting// je strategija obrane sustava ili mreže s vrlo kompleksnim postupkom otkrivanja prijetnji. Ovakva strategija može izuzetno doprinijeti sigurnosti sustava. Ona ubrzava vrijeme reakcije na prijetnju i poboljšava njenu točnost, znatno smanjuje vrijeme koje prođe od zaraze do detekcije prijetnje, smanjuje broj probijanja sigurnosnih slojeva, smanjuje izloženost vanjskim prijetnjama, smanjuje resurse potrebne da se ukloni prijetnja te smanjuje učestalost i broj zaraza //malware//-ima<sup>4</sup> . Svakako treba uzeti u obzir da ovakva strategija nije savršena jer se uvijek može dogoditi da stručnjaku promakne neki pokazatelj prijetnje ili da jednostavno nije još upoznat s nekim novim metodama napada zbog čega možda neće uspjeti reagirati na vrijeme, no s obzirom na planove mnogih organizacija da uvedu //threat hunting// programe, da se zaključiti da postoji više prednosti nego nedostataka. Osim što prepoznaje napade i uklanja ih, //threat hunting// uočavanjem prijetnji koje su maliciozne (a automatski alati ih nisu uočili) i prijetnji koje su benigne (a automatski alati su ih uočili) pomaže u učenju umjetne inteligencije korištene u automatskim alatima da bolje prepoznaje prijetnje i time usavršava alate za buduću uporabu. |
| |
| ===== Sources ===== | ===== Sources ===== |
