خدمات FDR شامل شناسایی بدافزارها و مقابله و پاکسازی آنهاست. شرکت گراف با تکیه بر نیروی انسانی متخصص و ابزارهای متنوع مانند سیستم تحلیل فایل، MAV و SandBox و هوش تهدید (TI)، فرایندهای شکار تهدید و فارنزیک را به مشتریان ارائه میکند.
نیروهای متخصص با سابقه تشخیص حملات پیچیده سایبری علیه زیرساختهای سازمانهای ایرانی
ابزار شکار تهدید و فارنزیکس شرکت گراف که براساس تشخیص حملات APT طراحی شده است
وجود ابزارهای تحلیل فایل شامل Static و Sandbox
وجود تیم مهندسی معکوس برای تحلیل بدافزارها و ایجنتهای شناسایی شده در حملات
وجود Threat Intelligence داخلی
وجود تیم قرمز و انتقال دانش به تیم شکار تهدیدات و فارنزیکس به جهت شناسایی بهتر تکنیک مهاجمان
شکارچیان تهدیدات و کارشناسان فارنزیکس همواره فرض را بر این میگذارند که مهاجم از پیش به ساختار شبکه سازمان نفوذ کرده است. به همین دلیل شروع به جستوجو و بررسی رفتارهای غیرمعمولی میکنند که میتواند نشاندهنده وجود فعالیتهای مخرب باشد. در شکار تهدیدات و فارنزیکس، این بررسیها معمولا به یکی از روشهای زیر انجام میشود:
در این روش از یک کتابخانه شکار تهدید و فارنزیکس استفاده میشود. این کتابخانه به صورت کلی همسو با متدولوژی MITRE ATT@CK است و از Global Detection Playbook ها برای شناسایی گروه تهدیدات پیشرفته و حملات بدافزار استفاده میکند. در این روش، کارشناس شکار تهدید و فارنزیکس میتواند مهاجم را پیش از آنکه آسیب یا فعالیت مخربی انجام دهد، شناسایی کند.
این روش، شامل استفاده از تاکتیکهای هوش تهدید برای فهرستبندی IOC (Indicators of Compromise) و IOA های شناخته شده مرتبط با تهدیدات جدید است. کارشناس شکار تهدیدات از این اطلاعات برای کشف حملات پنهان یا فعالیتهای مخرب مداوم استفاده میکند.
رویکرد سوم، ترکیبی از تجزیه و تحلیل پیشرفته دادهها و یادگیری ماشین برای غربال مقدار زیادی از اطلاعات است. از این کار برای کشف بینظمیهایی استفاده میشود که ممکن است نشان دهنده فعالیتهای مخرب بالقوه باشند. این ناهنجاریها به لیدهای شکاری تبدیل میشوند که تحلیلگران از آنها برای شناسایی تهدیدهای پنهان استفاده میکنند.
با انجام خدمات FDR، اطلاعات رویدادهای سیستمها جمعآوری و ذخیره میشود و کارشناسان نقاط انتهایی و منابع شبکه را رصد میکنند. به این ترتیب با کمک شکار تهدیدات و فارنزیکس میتوان ارجاعات متقابلی میان دادههای داخلی سازمان با آخرین اطلاعات هوش تهدید در مورد ترندهای خارجی و مقابله موثر با اقدامات مخرب ایجاد کرد.
هر سازمانی باید مناسبترین مدل را برای تیم شکار تهدید خود انتخاب کند. مدل بر اساس اندازه و بودجه سازمان و همچنین در دسترس بودن تحلیلگرانی که مهارتهای مختلفی را ارائه میکنند، تعیین میشود.
شکار تهدیدات و فارنزیک به تعامل و مداخله انسانی بستگی دارد، بنابراین موفقیت در آن به تیمی که عملیات شکار را انجام میدهد وابسته است. همچنین بودجه و زمانی که در اختیار این تیم قرار میگیرد، اهمیت زیادی دارد.