Киберқауіпсіздікке дәстүрлі тәсілдер-антивирустар, брандмауэрлер, IDS — қазіргі заманғы қауіп-қатерлерге төтеп бере алмайды. Бүгінгі күні шабуылдарға жауап беріп қана қоймай, оларды белсенді түрде іздейтін, іздерін зерттейтін және жаудың уәжін түсінетін адам шынымен қорғалған. Дәл осы жерде Threat Hunting, digital Forensics және Cyber Threat Intelligence (CTI) басты рөл атқарады.

Threat Hunting-бұл дәстүрлі құралдармен анықталғанға дейін инфрақұрылымдағы жасырын қауіптерді белсенді түрде іздеу процесі. SANS институтының зерттеулері Threat Hunting тәжірибесі бар ұйымдар оқиғаларды 2-3 есе жылдам анықтайтынын және шабуылдаушының желіде болу уақытын (dwell time) қысқартатынын көрсетеді.

Threat Hunting нені қамтиды:

• Шабуылдаушылардың ttp негізінде гипотезалар құру (MITRE att&CK тактиктері мен техниктері);
• Мінез-құлықты талдау және журналдарды қолдану (SIEM, EDR, Sysmon) ;
• Пайдаланушы, хост және желі деңгейіндегі оқиғалардың корреляциясы;
• Аномалияларды анықтау үшін Yara/Sigma/Falco ережелерін әзірлеу.

 Мысал: PsExec, WMI, RDP арқылы lateral movement аң аулау немесе schtasks, registry run keys, startup folders арқылы persistence-техниктерді анықтау.

Сандық криминалистика (forensics) — шабуылдың барысын қалпына келтіру, дәлелдемелер жинау және зиянды талдау үшін жүйелерді, журналдарды, жадты және желілік трафикті зерттеу. Бұл тек тергеу үшін ғана емес, сонымен бірге заңды жауапкершілік пен алдын алу шараларын әзірлеу үшін де маңызды.

Forensics негізгі аспектілері:

• Windows/Linux артефактілерін талдау (prefetch, registry, shellbags, journal) ;
• Жад қоқыстарымен жұмыс (Volatility, Rekall) ;
• Жойылған деректерді, уақыт сызықтарын және әрекеттер тізбегін қалпына келтіру;
• Есептілікті құру және дәлелді базаны сақтау.

Сияқты оқиғаларда қолданылады: шифрлаушылар, ішкі қауіптер, деректердің бұзылуы, зиянды тіркемелер.

CTI-бұл өзекті қауіптер, олардың көздері, уәждемелері мен құралдары туралы ақпаратты жинау, талдау және жедел қолдану.

🔗 Gartner мәліметтері бойынша, CTI пайдаланатын ұйымдар маңызды осалдықтарды 35% жылдам жабады және оқиғаларға 50% тиімдірек жауап береді.

Threat Intelligence Формалары:

• Tactical-IOC, домендер, IP, шабуылға байланысты хэштер.
• Operational-ttp шабуылдаушылар, техниктер бойынша MITRE.
• Стратегиялық-шабуылдардың мақсаттары, топтарды ынталандыру, геосаяси контекст.

💡 Жақсы CTI тәжірибесі SIEM/SOAR интеграциясын, Feeds жазылымдарын, ішкі талдауларды және STIX/TAXII стандарттары арқылы алмасуды қамтиды.

1. Hunting & response функциясы бар SOC бөлімшесін жасаңыз.
2. Mitre ATT&CK талдау және аудит процестеріне біріктіріңіз.
3. Журналдар, EDR және желілік трафик бойынша тұрақты threat hunting жүргізу.
4. Forensics командасын оқыту: Volatility, Redline, KAPE-пен жұмыс істеу.
5. Threat Intelligence feeds (MISP, OTX, VirusTotal) SIEM-ге біріктіру.
6. Threat Detection Maturity Model (TDM) бойынша жетілуді бағалау.

Бүгінгі күні қорғаныс жеткіліксіз-сіз кімге шабуыл жасайтынын, қалай шабуыл жасайтынын және қатысудың іздері бар жерде түсінуіңіз керек. Threat Hunting, Forensics және Intelligence тек жауап беруге ғана емес, болжауға, шынымен маңызды жерде қорғанысты күшейтуге және алда әрекет етуге мүмкіндік береді.

Мақсатты шабуылдардың, APT топтарының және ішкі қауіптің өсуі жағдайында бұл тәжірибелер цифрлық қауіпсіздіктің негізі болып табылады.

#CyberSecurity #ThreatHunting #DigitalForensics #CTI #SOC #SIEM #MITRE #RedTeam #BlueTeam #Astanahub #infosec #киберқауіпсіздік # оқысоқиғалардыталдау # Ақпараттыққауіпсіздік