ProHoster > Blag > Riarachán > Monatóireacht Slándála Néal

Monatóireacht Slándála Néal

Cuireann aistriú sonraí agus feidhmchláir chuig an scamall dúshlán nua do SOCanna corparáideacha, nach mbíonn réidh i gcónaí chun monatóireacht a dhéanamh ar bhonneagar daoine eile. De réir Netoskope, úsáideann an meánfhiontar (is cosúil sna SA) 1246 seirbhísí scamall éagsúla, atá 22% níos mó ná bliain ó shin. 1246 seirbhís scamall !!! Baineann 175 acu le seirbhísí AD, baineann 170 acu le margaíocht, baineann 110 le réimse na cumarsáide agus baineann 76 le cúrsaí airgeadais agus CRM. Úsáideann Cisco 700 seirbhís néalríomhaireachta “amháin”. Mar sin tá mé beagán mearbhall faoi na huimhreacha seo. Ach in aon chás, níl an fhadhb leo, ach leis an bhfíric go bhfuil an scamall ag tosú ag úsáid go gníomhach go leor ag méadú ar líon na gcuideachtaí ar mhaith leo na cumais chéanna a bheith acu chun monatóireacht a dhéanamh ar bhonneagar scamall agus atá ina líonra féin. Agus tá an treocht seo ag fás - de réir de réir Chumann Cuntas Mheiriceá Faoi 2023, tá 1200 ionad sonraí le bheith dúnta sna Stáit Aontaithe (6250 dúnta cheana féin). Ach ní hamháin go bhfuil an t-aistriú go dtí an scamall “bogfaimid ár bhfreastalaithe chuig soláthraí seachtrach.” Ailtireacht nua TF, bogearraí nua, próisis nua, srianta nua... Tugann sé seo go léir athruithe suntasacha ar obair ní hamháin TF, ach freisin slándáil faisnéise. Agus má d'fhoghlaim soláthraithe ar bhealach éigin déileáil le slándáil an scamall féin a chinntiú (ar an drochuair tá go leor moltaí ann), ansin le monatóireacht ar shlándáil faisnéise scamall, go háirithe ar ardáin SaaS, tá deacrachtaí suntasacha ann, a labhróimid faoi.

Monatóireacht Slándála Néal

Ligean le rá go bhfuil do chuideachta tar éis cuid dá bonneagar a aistriú go dtí an scamall... Stop. Ní ar an mbealach seo. Má tá an bonneagar aistrithe, agus nach bhfuil tú ach anois ag smaoineamh ar conas a dhéanfaidh tú monatóireacht air, ansin tá tú caillte cheana féin. Murach Amazon, Google, nó Microsoft é (agus ansin le háirithintí), is dócha nach mbeidh mórán cumas agat monatóireacht a dhéanamh ar do shonraí agus feidhmchláir. Is maith an rud é má thugtar deis duit oibriú le logaí. Uaireanta beidh sonraí imeachtaí slándála ar fáil, ach ní bheidh rochtain agat orthu. Mar shampla, Office 365. Má tá an ceadúnas E1 is saoire agat, níl imeachtaí slándála ar fáil duit ar chor ar bith. Má tá ceadúnas E3 agat, stóráiltear do shonraí ar feadh 90 lá amháin, agus ach amháin má tá ceadúnas E5 agat, tá fad na logaí ar fáil ar feadh bliana (áfach, tá a nuances féin aige seo freisin a bhaineann leis an ngá atá le déanamh ar leithligh. roinnt feidhmeanna a iarraidh le haghaidh oibriú le logaí ó thacaíocht Microsoft). Dála an scéil, tá an ceadúnas E3 i bhfad níos laige i dtéarmaí feidhmeanna monatóireachta ná Malartú corparáideach. Chun an leibhéal céanna a bhaint amach, tá ceadúnas E5 nó ceadúnas Ardchomhlíonta breise ag teastáil uait, a d'fhéadfadh go mbeadh airgead breise ag teastáil uait nár cuireadh san áireamh i do mhúnla airgeadais chun bogadh go bonneagar scamall. Agus níl anseo ach sampla amháin de ghannmheas ar shaincheisteanna a bhaineann le monatóireacht ar shlándáil faisnéise scamall. San Airteagal seo, gan ligean ort a bheith iomlán, ba mhaith liom aird a tharraingt ar roinnt nuances ba chóir a chur san áireamh agus soláthraí scamall á roghnú ó thaobh slándála de. Agus ag deireadh an ailt, tabharfar seicliosta ar fiú a chomhlánú sula measfar go bhfuil an cheist maidir le monatóireacht a dhéanamh ar shlándáil faisnéise scamall réitithe.

Tá roinnt fadhbanna tipiciúla ann as a dtagann teagmhais i dtimpeallachtaí néil, nach mbíonn am ag seirbhísí slándála faisnéise freagairt dóibh nó nach bhfeiceann siad iad ar chor ar bith:

  • Níl logaí slándála ann. Is staid measartha coitianta é seo, go háirithe i measc imreoirí nua sa mhargadh réitigh scamall. Ach níor cheart duit éirí as dóibh láithreach. Tá imreoirí beaga, go háirithe cinn intíre, níos íogaire do riachtanais an chustaiméara agus is féidir leo roinnt feidhmeanna riachtanacha a chur i bhfeidhm go tapa tríd an treochlár formheasta dá gcuid táirgí a athrú. Sea, ní analóg de GuardDuty ó Amazon nó an modúl “Proactive Protection” ó Bitrix a bheidh anseo, ach rud éigin ar a laghad.
  • Níl a fhios ag slándáil faisnéise cá bhfuil na logaí stóráilte nó níl aon rochtain orthu. Anseo tá sé riachtanach dul i mbun caibidlíochta leis an soláthraí seirbhíse scamall - b'fhéidir go gcuirfidh sé faisnéis den sórt sin ar fáil má mheasann sé go bhfuil an cliant tábhachtach dó. Ach go ginearálta, níl sé an-mhaith nuair a chuirtear rochtain ar logaí ar fáil “trí chinneadh speisialta.”
  • Tarlaíonn sé freisin go bhfuil logaí ag an soláthraí scamall, ach soláthraíonn siad monatóireacht teoranta agus taifeadadh imeachtaí, nach leor chun gach teagmhas a bhrath. Mar shampla, ní fhéadfaidh tú ach logaí athruithe a fháil ar shuíomh Gréasáin nó logaí iarrachtaí fíordheimhnithe úsáideoirí, ach ní ar imeachtaí eile, mar thrácht líonra, a chuirfidh sraith iomlán imeachtaí i bhfolach uait arb iad is sainairíonna iad iarrachtaí do bhonneagar scamall a hack.
  • Tá logs ann, ach tá sé deacair rochtain orthu a uathoibriú, rud a fhágann go ndéanfaí monatóireacht orthu ní go leanúnach, ach de réir sceidil. Agus murar féidir leat logaí a íoslódáil go huathoibríoch, d’fhéadfadh go mbeadh leisce ar thaobh na seirbhíse slándála faisnéise corparáidí fiú má dhéantar logaí a íoslódáil, mar shampla, i bhformáid Excel (mar atá le roinnt soláthraithe réitigh néalríomhaireachta intíre).
  • Uimh monatóireacht loga. B’fhéidir gurb é seo an chúis is doiléir le tarlúintí slándála faisnéise i dtimpeallachtaí néal. Dealraíonn sé go bhfuil logs ann, agus is féidir rochtain orthu a uathoibriú, ach ní dhéanann aon duine é seo. Cén fáth?

Coincheap slándála scamall roinnte

Is é an t-aistriú go dtí an scamall i gcónaí cuardach a dhéanamh ar chothromaíocht idir an fonn smacht a choinneáil ar an mbonneagar agus é a aistriú chuig lámha níos gairmiúla soláthraí scamall a dhéanann speisialtóireacht é a chothabháil. Agus i réimse na slándála scamall, ní mór an t-iarmhéid seo a lorg freisin. Thairis sin, ag brath ar an tsamhail seachadta seirbhíse scamall a úsáidtear (IaaS, PaaS, SaaS), beidh an t-iarmhéid seo difriúil an t-am ar fad. In aon chás, ní mór dúinn cuimhneamh go leanann gach soláthraí scamall inniu an tsamhail chomhroinnte freagrachta agus slándála faisnéise mar a thugtar air. Tá an scamall freagrach as roinnt rudaí, agus i gcás daoine eile tá an cliant freagrach, ag cur a chuid sonraí, a iarratais, a mheaisíní fíorúla agus acmhainní eile sa scamall. Bheadh ​​sé meargánta a bheith ag súil, trí dhul go dtí an scamall, go n-aistreoimid an fhreagracht ar fad chuig an soláthraí. Ach níl sé ciallmhar freisin an t-urrús go léir a thógáil leat féin agus tú ag bogadh go dtí an scamall. Tá cothromaíocht ag teastáil, a bheidh ag brath ar go leor fachtóirí: - straitéis bainistithe riosca, múnla bagairtí, meicníochtaí slándála atá ar fáil don néalsoláthraí, reachtaíocht, etc.

Monatóireacht Slándála Néal

Mar shampla, tá an custaiméir i gcónaí freagrach as aicmiú sonraí a óstáiltear sa scamall. Ní féidir le soláthraí néil nó soláthraí seirbhíse seachtrach ach cuidiú leis le huirlisí a chuideoidh le sonraí a mharcáil sa néal, sáruithe a aithint, sonraí a sháraíonn an dlí a scriosadh, nó é a cheilt trí mhodh amháin nó modh eile. Ar an láimh eile, bíonn an néalsoláthraí freagrach i gcónaí as slándáil fhisiciúil, rud nach féidir leis a roinnt le cliaint. Ach tá gach rud atá idir sonraí agus bonneagar fisiceach go beacht ina ábhar plé san Airteagal seo. Mar shampla, is é an soláthraí atá freagrach as infhaighteacht an scamall, agus is é an cliant atá freagrach as rialacha balla dóiteáin a bhunú nó criptiú a chumasú. San Airteagal seo déanfaimid iarracht féachaint cad iad na meicníochtaí monatóireachta slándála faisnéise a sholáthraíonn soláthraithe scamall tóir éagsúla sa Rúis inniu, cad iad na gnéithe a bhaineann lena n-úsáid, agus cathain is fiú féachaint i dtreo réitigh forleagan seachtracha (mar shampla, Cisco E- mail Security) a leathnaíonn cumais do néal i dtéarmaí cibearshlándála. I gcásanna áirithe, go háirithe má tá straitéis il-scamall á leanúint agat, ní bheidh aon rogha agat ach réitigh monatóireachta slándála faisnéise seachtracha a úsáid i roinnt timpeallachtaí scamall ag an am céanna (mar shampla, Cisco CloudLock nó Cisco Stealthwatch Cloud). Bhuel, i gcásanna áirithe tuigfidh tú nach dtugann an soláthraí scamall a roghnaigh tú (nó a chuir tú i bhfeidhm ort) aon chumais monatóireachta slándála faisnéise ar chor ar bith. Tá sé seo míthaitneamhach, ach níl sé beagán freisin, ós rud é go gceadaíonn sé duit measúnú leordhóthanach a dhéanamh ar an leibhéal riosca a bhaineann le bheith ag obair leis an scamall seo.

Saolré Monatóireachta Slándála Néal

Chun monatóireacht a dhéanamh ar shlándáil na scamaill a úsáideann tú, níl ach trí rogha agat:

  • ag brath ar na huirlisí a sholáthraíonn do sholáthraí néil,
  • bain úsáid as réitigh ó thríú páirtithe a dhéanfaidh monatóireacht ar na hardáin IaaS, PaaS nó SaaS a úsáideann tú,
  • do bhonneagar monatóireachta scamall féin a thógáil (d'ardáin IaaS/PaaS amháin).

Feicfimid cad iad na gnéithe atá ag gach ceann de na roghanna seo. Ach ar dtús, ní mór dúinn an creat ginearálta a úsáidfear nuair a dhéantar monatóireacht ar ardáin scamall a thuiscint. Thabharfainn suntas do 6 phríomhchuid den phróiseas monatóireachta ar shlándáil faisnéise sa néal:

  • Bonneagar a ullmhú. Na feidhmchláir agus an bonneagar riachtanach a chinneadh chun teagmhais a bhailiú atá tábhachtach do shlándáil faisnéise sa stóráil.
  • Bailiúchán. Ag an gcéim seo, déantar imeachtaí slándála a chomhiomlánú ó fhoinsí éagsúla lena dtarchur ina dhiaidh sin le haghaidh próiseála, stórála agus anailíse.
  • Cóireáil. Ag an gcéim seo, déantar na sonraí a chlaochlú agus a shaibhriú chun anailís a éascú ina dhiaidh sin.
  • Stóráil. Tá an chomhpháirt seo freagrach as stóráil ghearrthéarmach agus fhadtéarmach sonraí próiseáilte agus amha.
  • Anailís. Ag an gcéim seo, tá an cumas agat teagmhais a bhrath agus freagairt dóibh go huathoibríoch nó de láimh.
  • Tuairisciú. Cuidíonn an chéim seo le príomhtháscairí a fhoirmiú do pháirtithe leasmhara (bainistíocht, iniúchóirí, néalsoláthraí, cliaint, etc.) a chuidíonn linn cinntí áirithe a dhéanamh, mar shampla, soláthraí a athrú nó slándáil faisnéise a neartú.

Trí na comhpháirteanna seo a thuiscint, beidh tú in ann cinneadh a dhéanamh go tapa sa todhchaí ar cad is féidir leat a ghlacadh ó do sholáthraí agus cad a bheidh le déanamh agat féin nó le comhairleoirí seachtracha.

Seirbhísí scamall ionsuite

Scríobh mé thuas cheana féin nach soláthraíonn go leor seirbhísí scamall inniu aon chumais monatóireachta slándála faisnéise. Go ginearálta, ní thugann siad mórán airde ar ábhar na slándála faisnéise. Mar shampla, ceann de na seirbhísí tóir na Rúise chun tuarascálacha a sheoladh chuig gníomhaireachtaí rialtais tríd an Idirlíon (ní luafaidh mé go sonrach a ainm). Baineann an chuid iomlán faoi shlándáil na seirbhíse seo le húsáid CIPF deimhnithe. Níl aon difríocht idir an rannóg slándála faisnéise de sheirbhís néil intíre eile do bhainistiú doiciméad leictreonach. Labhraíonn sé faoi dheimhnithe eochair phoiblí, cripteagrafaíocht dheimhnithe, deireadh a chur le leochaileachtaí gréasáin, cosaint i gcoinne ionsaithe DDoS, úsáid a bhaint as ballaí dóiteáin, cúltacaí, agus fiú iniúchtaí slándála faisnéise rialta. Ach níl aon fhocal faoi mhonatóireacht, ná faoin bhféidearthacht rochtain a fháil ar imeachtaí slándála faisnéise a d'fhéadfadh a bheith ina ábhar spéise do chliaint an tsoláthraí seirbhíse seo.

Go ginearálta, dála an scéil a dhéanann an soláthraí scamall cur síos ar shaincheisteanna slándála faisnéise ar a shuíomh Gréasáin agus ina dhoiciméadú, is féidir leat a thuiscint cé chomh dáiríre is a thógann sé an tsaincheist seo. Mar shampla, má léann tú na lámhleabhair do tháirgí “M’Oifig”, níl aon fhocal faoi shlándáil ar bith, ach sna doiciméid don táirge ar leith “M’Oifig. KS3”, deartha chun cosaint a thabhairt ar rochtain neamhúdaraithe, tá gnáthliosta de phointí den 17ú hordú den FSTEC, a chuireann “M’Oifig.KS3” i bhfeidhm, ach ní dhéantar cur síos ar conas a chuireann sé i bhfeidhm é agus, níos tábhachtaí fós, conas na meicníochtaí seo a chomhtháthú le slándáil faisnéise corparáidí. B’fhéidir go bhfuil a leithéid de dhoiciméid ann, ach ní bhfuair mé é san fhearann ​​poiblí, ar shuíomh Gréasáin “M’Oifig”. Cé go mb’fhéidir nach bhfuil rochtain agam ar an eolas rúnda seo?..

Monatóireacht Slándála Néal

Do Bitrix, tá an scéal i bhfad níos fearr. Déanann an doiciméadú cur síos ar fhormáidí na logaí imeachtaí agus, go suimiúil, an logáil isteach, ina bhfuil imeachtaí a bhaineann le bagairtí féideartha ar an ardán scamall. Ón áit sin is féidir leat an IP, ainm úsáideora nó aoi, foinse an imeachta, am, Gníomhaire Úsáideora, cineál imeachta, etc. Fíor, is féidir leat oibriú leis na himeachtaí seo ó phainéal rialaithe an néil féin, nó sonraí a uaslódáil i bhformáid MS Excel. Tá sé deacair anois obair a uathoibriú le logaí Bitrix agus beidh ort cuid den obair a dhéanamh de láimh (an tuarascáil a uaslódáil agus é a luchtú isteach i do SIEM). Ach má chuimhnímid nach raibh deis den sórt sin ann go dtí le déanaí, is mór an dul chun cinn é seo. Ag an am céanna, ba mhaith liom a thabhairt faoi deara go dtugann go leor soláthraithe scamall coigríche feidhmiúlacht chomhchosúil “do thosaitheoirí” - breathnaigh ar na logaí le do shúile tríd an bpainéal rialaithe, nó uaslódáil na sonraí chugat féin (áfach, uaslódálann an chuid is mó sonraí i . csv, ní Excel).

Monatóireacht Slándála Néal

Gan smaoineamh ar an rogha gan logs, is gnách go dtugann soláthraithe scamall trí rogha duit chun monatóireacht a dhéanamh ar imeachtaí slándála - dashboards, uaslódáil sonraí agus rochtain API. Is cosúil go réitíonn an chéad cheann go leor fadhbanna duit, ach níl sé seo fíor go hiomlán - má tá roinnt irisí agat, caithfidh tú aistriú idir na scáileáin a thaispeánann iad, rud a chailleann an pictiúr iomlán. Ina theannta sin, ní dócha go gcuirfidh an soláthraí scamall an cumas ar fáil duit imeachtaí slándála a chomhghaolú agus anailís a dhéanamh orthu go ginearálta ó thaobh na slándála de (de ghnáth bíonn tú ag déileáil le sonraí amh, rud nach mór duit féin a thuiscint). Tá eisceachtaí ann agus labhróimid níos mó fúthu. Ar deireadh, is fiú fiafraí de cad iad na himeachtaí a thaifeadann do sholáthraí néil, cén fhormáid agus cén chaoi a gcomhfhreagraíonn siad do phróiseas monatóireachta slándála faisnéise? Mar shampla, aithint agus fíordheimhniú úsáideoirí agus aíonna. Ligeann an Bitrix céanna duit, bunaithe ar na himeachtaí seo, dáta agus am an imeachta a thaifeadadh, ainm an úsáideora nó an aoi (má tá an modúl “Web Analytics”) agat, an réad a bhfuil rochtain air agus gnéithe eile is gnách do shuíomh Gréasáin. . Ach d'fhéadfadh go mbeadh faisnéis ag teastáil ó sheirbhísí slándála faisnéise corparáideacha maidir le cibé an bhfuair an t-úsáideoir rochtain ar an scamall ó fheiste iontaofa (mar shampla, i líonra corparáideach cuireann Cisco ISE an tasc seo i bhfeidhm). Cad mar gheall ar a leithéid de thasc simplí mar fheidhm geo-IP, a chabhróidh a chinneadh an bhfuil cuntas úsáideora seirbhíse scamall goidte? Agus fiú má sholáthraíonn an soláthraí scamall duit é, ní leor é seo. Ní hamháin go ndéanann an Cisco CloudLock céanna anailís ar geolocation, ach úsáideann sé foghlaim meaisín chuige seo agus déanann sé anailís ar shonraí stairiúla do gach úsáideoir agus déanann sé monatóireacht ar aimhrialtachtaí éagsúla in iarrachtaí aitheantais agus fíordheimhnithe. Níl feidhmiúlacht chomhchosúil ag MS Azure amháin (má tá an síntiús cuí agat).

Monatóireacht Slándála Néal

Tá deacracht eile ann - ós rud é go bhfuil monatóireacht ar shlándáil faisnéise ina ábhar nua do go leor soláthraithe scamall a bhfuil siad díreach ag tosú ag déileáil leis, tá siad ag athrú rud éigin i gcónaí ina gcuid réitigh. Tá leagan amháin den API acu inniu, ceann eile amárach, lá i ndiaidh lae amárach an tríú cuid. Ní mór duit a bheith ullamh dó seo freisin. Tá an rud céanna fíor maidir le feidhmiúlacht, a d'fhéadfadh athrú, nach mór a chur san áireamh i do chóras monatóireachta slándála faisnéise. Mar shampla, bhí seirbhísí monatóireachta imeachtaí scamall ar leith ag Amazon ar dtús - AWS CloudTrail agus AWS CloudWatch. Ansin tháinig seirbhís ar leith chun monatóireacht a dhéanamh ar imeachtaí slándála faisnéise - AWS GuardDuty. Tar éis roinnt ama, sheol Amazon córas bainistíochta nua, Amazon Security Hub, a chuimsíonn anailís ar shonraí a fuarthas ó GuardDuty, Cigire Amazon, Amazon Macie agus go leor eile. Sampla eile is ea uirlis comhtháthú log Azure le SIEM - AzLog. D’úsáid go leor díoltóirí SIEM é go gníomhach, go dtí in 2018 d’fhógair Microsoft scor dá fhorbairt agus dá thacaíocht, rud a chuir fadhb ar go leor cliant a d’úsáid an uirlis seo (beidh muid ag caint faoi conas a réitíodh é níos déanaí).

Mar sin, déan monatóireacht chúramach ar na gnéithe monatóireachta go léir a thairgeann do sholáthraí scamall duit. Nó bí ag brath ar sholáthraithe réitigh seachtracha a ghníomhóidh mar idirghabhálaithe idir do SOC agus an scamall ar mhaith leat monatóireacht a dhéanamh air. Sea, beidh sé níos costasaí (cé nach i gcónaí), ach aistreoidh tú an fhreagracht go léir ar ghualainn duine eile. Nó nach bhfuil sé ar fad?.. Cuimhnímis ar choincheap na slándála comhroinnte agus tuigfimid nach féidir linn aon rud a athrú - beidh orainn a thuiscint go neamhspleách conas a sholáthraíonn soláthraithe néil éagsúla monatóireacht ar shlándáil faisnéise do shonraí, feidhmchláir, meaisíní fíorúla agus acmhainní eile óstáil sa scamall. Agus cuirfimid tús leis an méid a thairgeann Amazon sa chuid seo.

Sampla: Monatóireacht ar shlándáil faisnéise in IaaS bunaithe ar AWS

Sea, tá, tuigim nach é Amazon an sampla is fearr mar gheall ar an bhfíric gur seirbhís Mheiriceánach é seo agus is féidir bac a chur air mar chuid den chomhrac in aghaidh antoisceachais agus scaipeadh faisnéise toirmiscthe sa Rúis. Ach san fhoilseachán seo ba mhaith liom a thaispeáint cé chomh difriúil atá ardáin scamall éagsúla ina gcumas monatóireachta slándála faisnéise agus cad ba cheart duit aird a thabhairt air agus do phríomhphróisis á n-aistriú chuig na scamaill ó thaobh slándála de. Bhuel, má fhoghlaimíonn cuid de na forbróirí Rúise réitigh scamall rud éigin úsáideach dóibh féin, ansin beidh sé sin iontach.

Monatóireacht Slándála Néal

Is é an chéad rud atá le rá nach bhfuil Amazon ina dhúnfort do-thruaillithe. Tarlaíonn eachtraí éagsúla dá chliaint go rialta. Mar shampla, goideadh ainmneacha, seoltaí, dátaí breithe, agus uimhreacha teileafóin 198 milliún vótálaí ó Deep Root Analytics. Ghoid cuideachta Iosrael Nice Systems 14 milliún taifead de shíntiúsóirí Verizon. Mar sin féin, ligeann cumais ionsuite AWS duit raon leathan teagmhais a bhrath. Mar shampla:

  • tionchar ar bhonneagar (DDoS)
  • comhréiteach nód (instealladh ordú)
  • comhréiteach cuntais agus rochtain neamhúdaraithe
  • cumraíocht mícheart agus leochaileachtaí
  • comhéadain neamhchinnte agus APIs.

Is é is cúis leis an neamhréireacht seo ná, mar a fuaireamar amach thuas, go bhfuil an custaiméir féin freagrach as slándáil sonraí custaiméirí. Agus mura ndearna sé bac ar mheicníochtaí cosanta a chur ar siúl agus nár chuir sé uirlisí monatóireachta ar siúl, ansin ní fhoghlaimeoidh sé ach faoin eachtra ó na meáin chumarsáide nó óna chliaint.

Chun teagmhais a aithint, is féidir leat úsáid a bhaint as raon leathan de sheirbhísí monatóireachta éagsúla arna bhforbairt ag Amazon (cé gur minic a chomhlánaítear iad seo le huirlisí seachtracha cosúil le osquery). Mar sin, in AWS, déantar monatóireacht ar gach gníomh úsáideora, beag beann ar an gcaoi a ndéantar iad - tríd an gconsól bainistíochta, an líne ordaithe, SDK nó seirbhísí AWS eile. Tá gach taifead de ghníomhaíocht gach cuntais AWS (lena n-áirítear ainm úsáideora, gníomh, seirbhís, paraiméadair gníomhaíochta, agus toradh) agus úsáid API ar fáil trí AWS CloudTrail. Is féidir leat na himeachtaí seo a fheiceáil (cosúil le logáil isteach consól AWS IAM) ón gconsól CloudTrail, anailís a dhéanamh orthu ag baint úsáide as Amazon Athena, nó iad a “fhoinsiú allamuigh” chuig réitigh sheachtracha mar Splunk, AlienVault, etc. Cuirtear logaí AWS CloudTrail iad féin i do bhuicéad AWS S3.

Monatóireacht Slándála Néal

Soláthraíonn dhá sheirbhís AWS eile roinnt cumas monatóireachta tábhachtacha eile. Ar dtús, is seirbhís monatóireachta é Amazon CloudWatch le haghaidh acmhainní agus feidhmchláir AWS a ligeann duit, i measc rudaí eile, aimhrialtachtaí éagsúla a aithint i do scamall. Úsáideann gach seirbhís AWS ionsuite, mar shampla Amazon Elastic Compute Cloud (freastalaithe), Seirbhís Bunachar Sonraí Coibhneasta Amazon (bunachair shonraí), Amazon Elastic MapReduce (anailís sonraí), agus 30 seirbhís Amazon eile, Amazon CloudWatch chun a gcuid logaí a stóráil. Is féidir le forbróirí an API oscailte a úsáid ó Amazon CloudWatch chun feidhmiúlacht monatóireachta logála a chur le feidhmchláir agus seirbhísí saincheaptha, rud a ligeann dóibh raon feidhme anailíse imeachtaí a leathnú laistigh de chomhthéacs slándála.

Monatóireacht Slándála Néal

Ar an dara dul síos, ceadaíonn seirbhís Logchomhaid Sreabhadh VPC duit anailís a dhéanamh ar an trácht líonra a sheol nó a fhaigheann do fhreastalaithe AWS (go seachtrach nó go hinmheánach), chomh maith le idir microservices. Nuair a idirghníomhaíonn aon cheann de do chuid acmhainní AWS VPC leis an líonra, taifeadann Logchomhaid Shreabhadh VPC sonraí faoin trácht líonra, lena n-áirítear an comhéadan líonra foinse agus ceann scríbe, chomh maith leis na seoltaí IP, na calafoirt, an prótacal, líon na mbeart, agus líon na bpacáistí tú. chonaic. Aithneoidh siad siúd a bhfuil taithí acu ar shlándáil líonra áitiúil go bhfuil sé seo cosúil le snáitheanna NetFlow, ar féidir iad a chruthú le lasca, ródairí agus ballaí dóiteáin de ghrád fiontair. Tá na logaí seo tábhachtach chun críocha monatóireachta slándála faisnéise mar, murab ionann agus imeachtaí faoi ghníomhartha úsáideoirí agus feidhmchlár, ligeann siad duit freisin gan idirghníomhaíochtaí líonra a chailleann i dtimpeallacht scamall príobháideach fíorúil AWS.

Monatóireacht Slándála Néal

Go hachomair, tugann na trí sheirbhís AWS seo - AWS CloudTrail, Amazon CloudWatch, agus VPC Flow Logs - le chéile léargas measartha cumhachtach ar úsáid do chuntais, iompar úsáideora, bainistíocht bonneagair, gníomhaíocht feidhmchláir agus seirbhíse, agus gníomhaíocht líonra. Mar shampla, is féidir iad a úsáid chun na haimhrialtachtaí seo a leanas a bhrath:

  • Iarrachtaí an suíomh a scanadh, cúldoirse a chuardach, leochaileachtaí a chuardach trí “404 earráid” a phléascadh.
  • Ionsaithe insteallta (mar shampla, instealladh SQL) trí phléasctha de “500 earráid”.
  • Is iad na huirlisí ionsaí aitheanta ná sqlmap, nikto, w3af, nmap, etc. trí anailís a dhéanamh ar an réimse Gníomhaire Úsáideora.

Tá seirbhísí eile forbartha ag Amazon Web Services freisin chun críocha cibearshlándála a ligeann duit go leor fadhbanna eile a réiteach. Mar shampla, tá seirbhís ionsuite ag AWS chun polasaithe agus cumraíochtaí a iniúchadh - AWS Config. Soláthraíonn an tseirbhís seo iniúchadh leanúnach ar d’acmhainní AWS agus a gcuid cumraíochtaí. Glacaimis sampla simplí: Ligean le rá gur mhaith leat a chinntiú go bhfuil pasfhocail úsáideora díchumasaithe ar do fhreastalaithe go léir agus nach féidir rochtain a fháil ach amháin bunaithe ar theastais. Déanann Cumraíocht AWS sé éasca é seo a sheiceáil le haghaidh do fhreastalaithe go léir. Tá beartais eile is féidir a chur i bhfeidhm ar do néalfhreastalaithe: “Ní féidir le haon fhreastalaí port 22 a úsáid”, “Ní féidir ach le riarthóirí rialacha balla dóiteáin a athrú” nó “Ní féidir ach le húsáideoir Ivashko cuntais úsáideora nua a chruthú, agus is féidir leis a dhéanamh ar an Máirt amháin. " I samhradh na bliana 2016, leathnaíodh seirbhís Cumraíochta AWS chun uathoibriú a dhéanamh ar bhrath sáruithe ar bheartais fhorbartha. Go bunúsach is iarratais chumraíochta leanúnacha iad Rialacha Cumraíochta AWS do na seirbhísí Amazon a úsáideann tú, a ghineann imeachtaí má sháraítear na beartais chomhfhreagracha. Mar shampla, in ionad fiosrúcháin AWS Cumraíochta a reáchtáil go tréimhsiúil chun a fhíorú go bhfuil gach diosca ar fhreastalaí fíorúil criptithe, is féidir Rialacha Cumraíochta AWS a úsáid chun dioscaí freastalaí a sheiceáil go leanúnach chun a chinntiú go gcomhlíontar an coinníoll seo. Agus, níos tábhachtaí fós, i gcomhthéacs an fhoilseacháin seo, cruthaíonn aon sáruithe imeachtaí ar féidir le do sheirbhís slándála faisnéise anailís a dhéanamh orthu.

Monatóireacht Slándála Néal

Tá a chomhionann ag AWS agus réitigh slándála faisnéise corparáideacha traidisiúnta, a ghineann imeachtaí slándála ar féidir leat agus ar cheart duit anailís a dhéanamh orthu:

  • Brath Cur isteach - AWS GuardDuty
  • Rialú Sceitheadh ​​Faisnéise - AWS Macie
  • EDR (cé go labhraíonn sé faoi chríochphointí sa scamall beagán aisteach) - AWS Cloudwatch + osquery foinse oscailte nó réitigh GRR
  • Anailís Netflow - AWS Cloudwatch + AWS VPC Sreabhadh
  • Anailís DNS - AWS Cloudwatch + AWS Route53
  • AD - Seirbhís Eolaire AWS
  • Bainistíocht Cuntas - AWS IAM
  • SSO - AWS SSO
  • anailís slándála - Cigire AWS
  • bainistíocht cumraíochta - AWS Cumraíocht
  • WAF - AWS WAF.

Ní dhéanfaidh mé cur síos go mion ar gach seirbhís Amazon a d'fhéadfadh a bheith úsáideach i gcomhthéacs slándála faisnéise. Is é an rud is mó a thuiscint gur féidir leo go léir imeachtaí a ghiniúint ar féidir linn agus ar cheart dúinn anailís a dhéanamh orthu i gcomhthéacs na slándála faisnéise, ag baint úsáide as chun na críche seo cumais ionsuite Amazon féin agus réitigh sheachtracha, mar shampla, SIEM, ar féidir leo. tóg imeachtaí slándála chuig d’ionad monatóireachta agus déan anailís orthu ansin mar aon le himeachtaí ó néalsheirbhísí eile nó ó bhonneagar inmheánach, imlíne nó gléasanna soghluaiste.

Monatóireacht Slándála Néal

In aon chás, tosaíonn sé ar fad leis na foinsí sonraí a sholáthraíonn imeachtaí slándála faisnéise duit. Áirítear ar na foinsí seo, ach níl siad teoranta dóibh:

  • CloudTrail - Úsáid API agus Gníomhartha Úsáideora
  • Comhairleoir Iontaofa - seiceáil slándála i gcoinne na gcleachtas is fearr
  • Cumraíocht - fardal agus cumraíocht na gcuntas agus na socruithe seirbhíse
  • Logchomhaid Shreabhadh VPC - naisc le comhéadain fhíorúla
  • IAM - seirbhís aitheantais agus fíordheimhnithe
  • Logchomhaid Rochtana BOL - Cothromóir Ualach
  • Cigire - leochaileachtaí iarratais
  • S3 - stóráil comhad
  • CloudWatch - Gníomhaíocht Feidhmchláir
  • Is seirbhís fógra é SNS.

Cé go bhfuil Amazon ag tairiscint raon foinsí agus uirlisí imeachtaí dá leithéid dá nginiúint, tá sé an-teoranta ina chumas anailís a dhéanamh ar na sonraí a bhailítear i gcomhthéacs slándála faisnéise. Beidh ort staidéar neamhspleách a dhéanamh ar na logaí atá ar fáil, ag lorg táscairí comhréitigh ábhartha iontu. Tá sé mar aidhm ag AWS Security Hub, a sheol Amazon le déanaí, an fhadhb seo a réiteach trí bheith ina scamall SIEM do AWS. Ach go dtí seo níl sé ach ag tús a thurais agus tá sé teoranta ag líon na bhfoinsí lena n-oibríonn sé agus ag srianta eile arna mbunú ag ailtireacht agus síntiúis Amazon féin.

Sampla: Monatóireacht ar shlándáil faisnéise in IaaS bunaithe ar Azure

Níl mé ag iarraidh dul isteach i ndíospóireacht fhada faoi cé acu de na trí sholáthraí scamall (Amazon, Microsoft nó Google) is fearr (go háirithe ós rud é go bhfuil a shaintréithe féin ag gach ceann acu go fóill agus go bhfuil sé oiriúnach chun a chuid fadhbanna féin a réiteach); Dírímid ar na cumais monatóireachta slándála faisnéise a sholáthraíonn na himreoirí seo. Ní mór a admháil go raibh Amazon AWS ar cheann de na chéad cheann sa deighleog seo agus mar sin tá an ceann is faide chun cinn maidir lena fheidhmeanna slándála faisnéise (cé go n-admhaíonn go leor go bhfuil siad deacair a úsáid). Ach ní chiallaíonn sé seo go ndéanfaimid neamhaird de na deiseanna a sholáthraíonn Microsoft agus Google dúinn.

Bhí táirgí Microsoft idirdhealú i gcónaí ag a “hoscailteacht” agus in Azure tá an scéal cosúil. Mar shampla, má théann AWS agus GCP ar aghaidh i gcónaí ón gcoincheap “coisctear an rud nach bhfuil ceadaithe,” ansin tá a mhalairt de chur chuige ag Azure. Mar shampla, nuair a chruthaíonn líonra fíorúil sa scamall agus meaisín fíorúil ann, tá gach calafort agus prótacal oscailte agus ceadaithe de réir réamhshocraithe. Mar sin, beidh ort beagán níos mó iarracht a dhéanamh ar shocrú tosaigh an chórais rialaithe rochtana sa scamall ó Microsoft. Agus cuireann sé seo ceanglais níos déine ort freisin maidir le gníomhaíocht monatóireachta i scamall Azure.

Monatóireacht Slándála Néal

Tá baint ag AWS leis an bhfíric, nuair a dhéanann tú monatóireacht ar do chuid acmhainní fíorúla, má tá siad lonnaithe i réigiúin éagsúla, go mbíonn deacrachtaí agat gach imeacht agus a n-anailís aontaithe a chomhcheangal, chun deireadh a chur leis na rudaí is gá duit dul i muinín cleasanna éagsúla, mar shampla. Cruthaigh do chód féin do AWS Lambda a iompróidh imeachtaí idir réigiúin. Níl an fhadhb seo ag Azure - rianaíonn a mheicníocht Loga Gníomhaíochta gach gníomhaíocht ar fud na heagraíochta ar fad gan srianta. Baineann an rud céanna le AWS Security Hub, a d'fhorbair Amazon le déanaí chun go leor feidhmeanna slándála a chomhdhlúthú laistigh d'ionad slándála amháin, ach amháin laistigh dá réigiún, rud nach bhfuil, áfach, ábhartha don Rúis. Tá a Lárionad Slándála féin ag Azure, nach bhfuil faoi cheangal ag srianta réigiúnacha, a sholáthraíonn rochtain ar ghnéithe slándála uile an ardáin scamall. Ina theannta sin, d’fhoirne áitiúla éagsúla is féidir leis a sraith féin de chumais chosanta a sholáthar, lena n-áirítear imeachtaí slándála arna mbainistiú acu. Tá Mol Slándála AWS fós ar an mbealach le bheith cosúil le Azure Security Center. Ach is fiú cuileog a chur leis an ointment - is féidir leat a lán de na rudaí a cuireadh síos roimhe seo in AWS a bhrú amach as Azure, ach ní dhéantar é seo ach amháin le haghaidh Azure AD, Azure Monitor agus Azure Security Center. Ní dhéantar gach meicníocht slándála Azure eile, lena n-áirítear anailís ar imeachtaí slándála, a bhainistiú ar an mbealach is áisiúla fós. Réitítear an fhadhb go páirteach ag an API, a théann trasna gach seirbhís Microsoft Azure, ach beidh gá le iarracht bhreise uait chun do scamall a chomhtháthú le do SOC agus láithreacht speisialtóirí cáilithe (go deimhin, mar atá le haon SIEM eile a oibríonn le scamall. APIs). Tacaíonn roinnt SIEManna, a phléifear níos déanaí, le Azure cheana féin agus is féidir leo an tasc chun monatóireacht a dhéanamh air a uathoibriú, ach tá a chuid deacrachtaí féin aige freisin - ní féidir le gach ceann acu na logaí go léir atá ag Azure a bhailiú.

Monatóireacht Slándála Néal

Soláthraítear bailiú agus monatóireacht imeachtaí in Azure ag baint úsáide as an tseirbhís Monatóireacht Azure, arb é an príomh-uirlis chun sonraí a bhailiú, a stóráil agus a anailísiú i scamall Microsoft agus a chuid acmhainní - stórtha Git, coimeádáin, meaisíní fíorúla, feidhmchláir, etc. Tá na sonraí go léir a bhailíonn Monatóireacht Azure roinnte ina dhá chatagóir - méadracht, a bhailítear i bhfíor-am agus cur síos ar phríomhtháscairí feidhmíochta scamall Azure, agus logaí, ina bhfuil sonraí eagraithe i dtaifid arb iad is sainairíonna iad gnéithe áirithe de ghníomhaíocht acmhainní agus seirbhísí Azure. Ina theannta sin, ag baint úsáide as an Data Collector API, is féidir leis an tseirbhís Monatóireacht Azure sonraí a bhailiú ó aon fhoinse REST chun a cásanna monatóireachta féin a thógáil.

Monatóireacht Slándála Néal

Seo roinnt foinsí teagmhais slándála a thairgeann Azure duit agus ar féidir leat rochtain a fháil orthu tríd an Azure Portal, CLI, PowerShell, nó REST API (agus cuid acu tríd an Azure Monitor / Insight API amháin):

  • Logchomhaid Ghníomhaíochta - freagraíonn an loga seo na ceisteanna clasaiceacha “cé,” “cad,” agus “cén uair” maidir le haon oibríocht scríofa (PUT, POST, DELETE) ar acmhainní néal. Níl imeachtaí a bhaineann le rochtain léite (GET) san áireamh sa loga seo, cosúil le roinnt eile.
  • Logchomhaid Diagnóiseacha - ina bhfuil sonraí ar oibríochtaí a bhfuil acmhainn ar leith san áireamh i do shíntiús.
  • Tuairisciú Azure AD - tá gníomhaíocht úsáideora agus gníomhaíocht chórais araon a bhaineann le bainistíocht grúpa agus úsáideoirí.
  • Logáil Imeachtaí Windows agus Linux Syslog - tá imeachtaí ó mheaisíní fíorúla a óstáiltear sa scamall.
  • Méadracht - tá teiliméadracht ann maidir le feidhmíocht agus stádas sláinte do sheirbhísí agus acmhainní néal. Tomhaistear gach nóiméad agus stóráiltear é. laistigh de 30 lá.
  • Logchomhaid Shreabhadh Grúpa Slándála Líonra - ina bhfuil sonraí ar imeachtaí slándála líonra a bhailítear ag baint úsáide as an tseirbhís Network Watcher agus monatóireacht acmhainní ag leibhéal an líonra.
  • Logchomhaid Stórála - ina bhfuil imeachtaí a bhaineann le rochtain ar áiseanna stórála.

Monatóireacht Slándála Néal

Le haghaidh monatóireachta, is féidir leat SIEManna seachtracha nó an Monatóir Azure ionsuite agus a chuid síntí a úsáid. Labhróimid faoi chórais bainistíochta imeachtaí slándála faisnéise níos déanaí, ach faoi láthair feicfimid cad a thairgeann Azure féin dúinn le haghaidh anailíse sonraí i gcomhthéacs slándála. Is é an príomhscáileán le haghaidh gach rud a bhaineann le slándáil i Monatóireacht Azure ná an Painéal Slándála agus Iniúchta Log Analytics (tacaíonn an leagan saor in aisce le méid teoranta stórála imeachtaí ar feadh seachtaine amháin). Tá an painéal seo roinnte i 5 phríomhréimse a thugann léargas ar staitisticí achoimre ar cad atá ag tarlú sa timpeallacht néal atá in úsáid agat:

  • Fearainn Slándála - príomhtháscairí cainníochtúla a bhaineann le slándáil faisnéise - líon na n-eachtraí, líon na n-nóid chontúirte, nóid gan phasáil, teagmhais slándála líonra, etc.
  • Saincheisteanna Suntacha - léiríonn sé líon agus tábhacht na saincheisteanna gníomhacha slándála faisnéise
  • Braith - taispeánann sé patrúin na n-ionsaithe a úsáidtear i do choinne
  • Faisnéise Bagairt - taispeánann sé faisnéis gheografach ar nóid sheachtracha atá ag ionsaí ort
  • Ceisteanna coitianta slándála - ceisteanna tipiciúla a chabhróidh leat monatóireacht níos fearr a dhéanamh ar do shlándáil faisnéise.

Monatóireacht Slándála Néal

I measc na síntí Monatóireachta Azure tá Azure Key Vault (cosaint ar eochracha cripteagrafacha sa scamall), Measúnú Malware (anailís ar chosaint i gcoinne cód mailíseach ar mheaisíní fíorúla), Azure Application Gateway Analytics (anailís ar, i measc rudaí eile, logaí balla dóiteáin scamall), etc. . Ligeann na huirlisí seo, atá saibhrithe le rialacha áirithe maidir le himeachtaí a phróiseáil, duit gnéithe éagsúla de ghníomhaíocht na seirbhísí néal a shamhlú, lena n-áirítear slándáil, agus diallais áirithe ón oibríocht a aithint. Ach, mar a tharlaíonn go minic, éilíonn aon fheidhmiúlacht bhreise síntiús íoctha comhfhreagrach, a éilíonn infheistíochtaí airgeadais comhfhreagracha uait, ar gá duit a phleanáil roimh ré.

Monatóireacht Slándála Néal

Tá roinnt cumais monatóireachta bagairt ionsuite ag Azure atá comhtháite i Azure AD, Azure Monitor, agus Azure Security Center. Ina measc, mar shampla, idirghníomhú meaisíní fíorúla a bhrath le IPanna mailíseach aitheanta (mar gheall ar chomhtháthú le seirbhísí Threat Intelligence ó Microsoft), malware a bhrath sa bhonneagar scamall trí aláraim a fháil ó mheaisíní fíorúla a óstáiltear sa scamall, pasfhocal. buille faoi thuairim ionsaithe ” ar mheaisíní fíorúla, leochaileachtaí i gcumraíocht an chórais aitheantais úsáideora, logáil isteach sa chóras ó anaithnideoirí nó nóid ionfhabhtaithe, sceitheadh ​​cuntais, logáil isteach sa chóras ó áiteanna neamhghnácha, etc. Tá Azure inniu ar cheann de na cúpla soláthraithe scamall a thairgeann tú cumais Intleacht Bhagairt ionsuite chun imeachtaí slándála faisnéise bailithe a shaibhriú.

Monatóireacht Slándála Néal

Mar a luadh thuas, níl an fheidhmiúlacht slándála agus, mar thoradh air sin, na himeachtaí slándála a ghineann sé ar fáil do gach úsáideoir go cothrom, ach éilíonn siad síntiús áirithe a chuimsíonn an fheidhmiúlacht atá uait, a ghineann na himeachtaí cuí chun monatóireacht a dhéanamh ar shlándáil faisnéise. Mar shampla, níl cuid de na feidhmeanna a bhfuil cur síos orthu sa mhír roimhe seo chun monatóireacht a dhéanamh ar aimhrialtachtaí sna cuntais ar fáil ach amháin sa cheadúnas préimhe P2 don tseirbhís Azure AD. Gan é, beidh ort, mar atá i gcás AWS, anailís a dhéanamh “de láimh” ar na himeachtaí slándála a bailíodh. Agus, freisin, ag brath ar an gcineál ceadúnais Azure AD, ní bheidh gach imeacht ar fáil le haghaidh anailíse.

Ar thairseach Azure, is féidir leat an dá fhiosrúchán cuardaigh a bhainistiú le haghaidh logaí a bhfuil suim agat iontu agus deais a bhunú chun príomhtháscairí slándála faisnéise a léirshamhlú. Ina theannta sin, is féidir leat síntí Monatóireacht a dhéanamh ar Azure a roghnú, a ligeann duit feidhmiúlacht logaí Monatóireacht a dhéanamh ar Azure a leathnú agus anailís níos doimhne a fháil ar imeachtaí ó thaobh na slándála de.

Monatóireacht Slándála Néal

Más gá duit ní hamháin an cumas a bheith ag obair le logs, ach ionad slándála cuimsitheach do do ardán scamall Azure, lena n-áirítear bainistíocht beartais slándála faisnéise, ansin is féidir leat labhairt ar an ngá a bheith ag obair le Azure Security Center, a bhfuil an chuid is mó de na feidhmeanna úsáideacha. ar fáil ar roinnt airgid, mar shampla, braite bagairtí, monatóireacht lasmuigh de Azure, measúnú comhlíonta, etc. (sa leagan saor in aisce, níl rochtain agat ach ar mheasúnú slándála agus ar mholtaí chun fadhbanna aitheanta a dhíchur). Comhdhlúthaíonn sé gach saincheist slándála in aon áit amháin. Go deimhin, is féidir linn labhairt faoi leibhéal níos airde slándála faisnéise ná mar a sholáthraíonn Azure Monitor duit, ós rud é sa chás seo go bhfuil na sonraí a bhailítear ar fud do mhonarcha scamall saibhrithe ag baint úsáide as go leor foinsí, mar shampla Azure, Office 365, Microsoft CRM ar líne, Microsoft Dynamics AX , outlook .com, MSN.com, Aonad Coireanna Digiteacha Microsoft (DCU) agus Lárionad Freagartha Slándála Microsoft (MSRC), ar a bhforshuitear halgartaim éagsúla sofaisticiúla foghlama meaisín agus anailíse iompraíochta, ar cheart dóibh feabhas a chur ar éifeachtacht bhrath agus freagairt bagairtí ar deireadh. .

Tá a SIEM féin ag Azure freisin - bhí sé le feiceáil ag tús 2019. Is é seo Azure Sentinel, atá ag brath ar shonraí ó Azure Monitor agus is féidir a chomhtháthú leis freisin. réitigh slándála seachtracha (mar shampla, NGFW nó WAF), a bhfuil an liosta acu ag fás i gcónaí. Ina theannta sin, trí chomhtháthú API Slándála Microsoft Graph, tá an cumas agat do chuid fothaí Threat Intelligence féin a nascadh le Sentinel, rud a shaibhríonn na cumais chun teagmhais a anailísiú i do scamall Azure. Is féidir a mhaíomh gurb é Azure Sentinel an chéad SIEM “dúchais” a tháinig chun solais ó sholáthraithe scamall (níl an Splunk nó an ELK céanna, is féidir a óstáil sa scamall, mar shampla, AWS, forbartha fós ag soláthraithe seirbhíse scamall traidisiúnta). D'fhéadfaí Azure Sentinel agus Ionad Slándála a dtugtar SOC don scamall Azure agus d'fhéadfaí é a theorannú dóibh (le áirithintí áirithe) mura raibh aon bhonneagar agat a thuilleadh agus d'aistrigh tú do chuid acmhainní ríomhaireachta go léir chuig an scamall agus bheadh ​​​​sé mar scamall Microsoft Azure.

Monatóireacht Slándála Néal

Ach ós rud é go minic nach leor na cumais ionsuite Azure (fiú má tá síntiús agat le Sentinel) chun críocha monatóireacht a dhéanamh ar shlándáil faisnéise agus an próiseas seo a chomhtháthú le foinsí eile imeachtaí slándála (scamall agus inmheánach), tá a an gá na sonraí a bhailítear a onnmhairiú chuig córais sheachtracha, ar féidir SIEM a áireamh leo. Déantar é seo ag baint úsáide as an API agus ag baint úsáide as síntí speisialta, atá ar fáil go hoifigiúil faoi láthair ach amháin le haghaidh na SIEMs seo a leanas - Splunk (Azure Monatóireacht a dhéanamh ar Add-On do Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight agus ELK. Go dtí le déanaí, bhí níos mó SIEManna den sórt sin ann, ach ó 1 Meitheamh, 2019, stop Microsoft ag tacú leis an Azure Log Integration Tool (AzLog), atá ag tús Azure a bheith ann agus in éagmais gnáthchaighdeán oibre le logs (Azure). Ní raibh an monatóir ann fiú go fóill) rinne sé éasca SIEM seachtrach a chomhtháthú le scamall Microsoft. Anois tá an scéal athraithe agus molann Microsoft ardán Azure Event Hub mar phríomhuirlis chomhtháthaithe do SIEManna eile. Tá comhtháthú den sórt sin curtha i bhfeidhm ag go leor acu cheana féin, ach bí cúramach - b'fhéidir nach nglacfaidh siad logaí Azure go léir, ach níl ach cuid acu (féach ar an doiciméadú le haghaidh do SIEM).

Ag tabhairt chun críche turas gairid isteach Azure, ba mhaith liom moladh ginearálta a thabhairt faoin tseirbhís scamall seo - sula ndéarfaidh tú rud ar bith faoi na feidhmeanna monatóireachta slándála faisnéise in Azure, ba cheart duit iad a chumrú go han-chúramach agus a thástáil go n-oibríonn siad mar atá scríofa sa doiciméadú agus mar a d'inis na comhairleoirí duit Microsoft (agus d'fhéadfadh go mbeadh tuairimí difriúla acu ar fheidhmiúlacht feidhmeanna Azure). Má tá na hacmhainní airgeadais agat, is féidir leat a lán faisnéise úsáideach a bhrú amach ó Azure i dtéarmaí monatóireachta slándála faisnéise. Má tá do chuid acmhainní teoranta, ansin, mar atá i gcás AWS, beidh ort a bheith ag brath ach amháin ar do neart féin agus na sonraí amh a sholáthraíonn Azure Monitor duit. Agus cuimhnigh go gcosnaíonn go leor feidhmeanna monatóireachta airgead agus tá sé níos fearr eolas a chur ar an mbeartas praghsála roimh ré. Mar shampla, saor in aisce is féidir leat 31 lá de shonraí a stóráil suas go dtí uasmhéid de 5 GB in aghaidh an chustaiméara - má sháraítear na luachanna seo beidh ort airgead breise a fhorchur (thart ar $2+ chun gach GB breise a stóráil ón gcustaiméir agus $0,1 i leith 1 GB a stóráil gach mí sa bhreis). D’fhéadfadh go mbeadh cistí breise de dhíth freisin le hoibriú le teiliméadracht feidhmchlár agus méadracht, chomh maith le bheith ag obair le foláirimh agus fógraí (tá teorainn áirithe ar fáil saor in aisce, agus b’fhéidir nach leor sin do do chuid riachtanas).

Sampla: Monatóireacht ar shlándáil faisnéise in IaaS bunaithe ar Google Cloud Platform

Is cosúil le Google Cloud Platform ógfhear i gcomparáid le AWS agus Azure, ach tá sé seo go páirteach go maith. Murab ionann agus AWS, a mhéadaigh a chumais, lena n-áirítear cinn slándála, de réir a chéile, a bhfuil fadhbanna le lárú; Déantar GCP, cosúil le Azure, a bhainistiú go lárnach i bhfad níos fearr, rud a laghdaíonn earráidí agus am cur chun feidhme ar fud an fhiontair. Ó thaobh na slándála de, tá GCP, rud aisteach go leor, idir AWS agus Azure. Tá clárú imeacht amháin aige freisin don eagraíocht ar fad, ach tá sé neamhiomlán. Tá roinnt feidhmeanna fós i mód béite, ach de réir a chéile ba cheart deireadh a chur leis an easnamh seo agus beidh GCP ina ardán níos aibí i dtéarmaí faireacháin slándála faisnéise.

Monatóireacht Slándála Néal

Is é an phríomhuirlis chun imeachtaí a logáil i GCP ná Stackdriver Logging (cosúil le Azure Monitor), a ligeann duit imeachtaí a bhailiú thar do bhonneagar scamall ar fad (chomh maith ó AWS). Ó thaobh na slándála de in GCP, tá ceithre loga ag gach eagraíocht, tionscadal nó fillteán:

  • Gníomhaíocht Riaracháin - ina bhfuil gach imeacht a bhaineann le rochtain riaracháin, mar shampla, meaisín fíorúil a chruthú, cearta rochtana a athrú, etc. Scríobhtar an logáil seo i gcónaí, beag beann ar do mhian, agus stórálann sé a chuid sonraí ar feadh 400 lá.
  • Rochtain Sonraí - ina bhfuil gach imeacht a bhaineann le hoibriú le sonraí ó úsáideoirí scamall (cruthú, modhnú, léamh, etc.). De réir réamhshocraithe, níl an logáil seo scríofa, toisc go n-ardaíonn a thoirt go han-tapa. Ar an ábhar seo, níl a seilfré ach 30 lá. Ina theannta sin, níl gach rud scríofa san iris seo. Mar shampla, ní scríobhtar chuici imeachtaí a bhaineann le hacmhainní atá inrochtana go poiblí ag gach úsáideoir nó atá inrochtana gan logáil isteach ar GCP.
  • Imeacht Córais - ina bhfuil imeachtaí córais nach mbaineann le húsáideoirí, nó gníomhartha riarthóra a athraíonn cumraíocht acmhainní néil. Scríobhtar agus stóráiltear é ar feadh 400 lá i gcónaí.
  • Is sampla uathúil é Access Transparency de loga a chuimsíonn gach gníomh de chuid fostaithe Google (ach nach bhfuil fós ann do gach seirbhís GCP) a fhaigheann rochtain ar do bhonneagar mar chuid dá ndualgais poist. Stóráiltear an logáil seo ar feadh 400 lá agus níl sé ar fáil do gach cliant GCP, ach amháin má chomhlíontar roinnt coinníollacha (tacaíocht ar leibhéal Óir nó Platanam, nó 4 ról de chineál áirithe a bheith i láthair mar chuid de thacaíocht chorparáideach). Tá feidhm chomhchosúil ar fáil freisin, mar shampla, in Office 365 - Lockbox.

Sampla logáil: Trédhearcacht Rochtana

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Is féidir rochtain a fháil ar na logaí seo ar go leor bealaí (ar an mbealach céanna agus a pléadh cheana Azure agus AWS) - tríd an gcomhéadan Log Viewer, tríd an API, tríd an Google Cloud SDK, nó tríd an leathanach Gníomhaíochta de do thionscadal ar a bhfuil tú suim acu in imeachtaí. Ar an mbealach céanna, is féidir iad a onnmhairiú chuig réitigh sheachtracha le haghaidh anailíse breise. Déantar an dara ceann trí logaí a onnmhairiú chuig BigQuery nó Cloud Pub/Fo-stóráil.

Chomh maith le Stackdriver Logging, cuireann an t-ardán GCP feidhmiúlacht Monatóireachta Stackdriver ar fáil freisin, a ligeann duit monatóireacht a dhéanamh ar phríomh-mhéadracht (feidhmíocht, MTBF, sláinte iomlán, etc.) seirbhísí agus feidhmchláir scamall. Is féidir le sonraí próiseáilte agus léirshamhlaithe é a dhéanamh níos fusa fadhbanna a aimsiú i do bhonneagar néal, lena n-áirítear i gcomhthéacs na slándála. Ach ba chóir a thabhairt faoi deara nach mbeidh an fheidhmiúlacht seo an-saibhir i gcomhthéacs na slándála faisnéise, ós rud é inniu nach bhfuil analóg den AWS GuardDuty céanna ag GCP agus nach féidir leis drochchinn a aithint i measc na n-imeachtaí cláraithe go léir (d'fhorbair Google Imeacht Bagairt Bagairt, ach tá sé fós á fhorbairt i béite agus tá sé ró-luath chun labhairt faoi a úsáidí). D’fhéadfaí Monatóireacht ar Thiománaí Cruacha a úsáid mar chóras chun aimhrialtachtaí a bhrath, a d’imscrúdófaí ansin chun na cúiseanna ar tharla siad a fháil. Ach mar gheall ar an easpa pearsanra atá cáilithe i réimse na slándála faisnéise GCP ar an margadh, tá cuma deacair ar an tasc seo faoi láthair.

Monatóireacht Slándála Néal

Is fiú freisin liosta a thabhairt de roinnt modúl slándála faisnéise is féidir a úsáid laistigh de do scamall GCP, agus atá cosúil leis an méid a thairgeann AWS:

  • Is analóg é Cloud Security Command Center de AWS Security Hub agus Azure Security Center.
  • Cloud DLP - Aimsiú agus eagarthóireacht uathoibríoch (m.sh. chumhdach) sonraí arna óstáil sa néal ag baint úsáide as níos mó ná 90 beartas aicmithe réamhshainithe.
  • Is scanóir é Cloud Scanner le haghaidh leochaileachtaí aitheanta (XSS, Flash Injection, leabharlanna gan phasáil, etc.) in App Engine, Compute Engine agus Google Kubernetes.
  • Cloud IAM - Rochtain ar gach acmhainn GCP a rialú.
  • Aitheantais Néal - Bainistigh cuntais úsáideora, gléas agus feidhmchlár GCP ó chonsól amháin.
  • Cloud HSM - cosaint eochracha cripteagrafacha.
  • Seirbhís Bainistíochta Cloud Key - bainistiú eochracha cripteagrafacha i GCP.
  • Rialú Seirbhíse VPC - Cruthaigh imlíne slán thart ar d'acmhainní GCP chun iad a chosaint ó sceitheadh.
  • Eochair Shlándála Tíotán - cosaint ar fhioscaireacht.

Monatóireacht Slándála Néal

Gineann go leor de na modúil seo teagmhais slándála ar féidir iad a sheoladh chuig stóras BigQuery le haghaidh anailíse nó le honnmhairiú chuig córais eile, lena n-áirítear SIEM. Mar a luadh thuas, is ardán atá ag forbairt go gníomhach é GCP agus tá roinnt modúl nua um shlándáil faisnéise á bhforbairt anois ag Google dá ardán. Ina measc tá Brath Bagairt Imeachta (ar fáil anois i béite), a scanann logaí Stackdriver sa tóir ar rianta de ghníomhaíocht neamhúdaraithe (cosúil le GuardDuty in AWS), nó Policy Intelligence (ar fáil in alpha), a ligfidh duit polasaithe cliste a fhorbairt le haghaidh rochtain ar acmhainní GCP.

Rinne mé forbhreathnú gairid ar na cumais monatóireachta ionsuite in ardáin scamall tóir. Ach an bhfuil speisialtóirí agat atá in ann oibriú le logaí soláthraí IaaS “amh” (níl gach duine réidh chun ardchumais AWS nó Azure nó Google a cheannach)? Ina theannta sin, tá go leor eolach ar an adage "muinín, ach a fhíorú," atá níos fíre ná riamh i réimse na slándála. Cé mhéad a bhfuil muinín agat as cumais ionsuite an tsoláthraí scamall a sheolann imeachtaí slándála faisnéise chugat? Cé mhéad a dhíríonn siad ar shlándáil faisnéise ar chor ar bith?

Uaireanta is fiú féachaint ar réitigh monatóireachta bonneagair scamall forleagan ar féidir leo slándáil scamall ionsuite a chomhlánú, agus uaireanta is iad réitigh den sórt sin an t-aon rogha chun léargas a fháil ar shlándáil do shonraí agus feidhmchláir a óstáiltear sa scamall. Ina theannta sin, tá siad níos áisiúla go simplí, ós rud é go ndéanann siad na tascanna go léir a bhaineann le hanailís a dhéanamh ar na logaí riachtanacha a ghineann seirbhísí scamall éagsúla ó sholáthraithe scamall éagsúla. Sampla de réiteach forleagan den sórt sin is ea Cisco Stealthwatch Cloud, atá dírithe ar thasc amháin - monatóireacht a dhéanamh ar aimhrialtachtaí slándála faisnéise i dtimpeallachtaí scamall, lena n-áirítear ní hamháin Amazon AWS, Microsoft Azure agus Google Cloud Platform, ach freisin scamaill phríobháideacha.

Sampla: Monatóireacht Slándála Faisnéise Ag baint úsáide as Stealthwatch Cloud

Soláthraíonn AWS ardán ríomhaireachta solúbtha, ach déanann an tsolúbthacht seo é do chuideachtaí botúin a dhéanamh as a dtagann saincheisteanna slándála. Agus ní chuireann an tsamhail um shlándáil faisnéise roinnte ach leis sin. Bogearraí a rith sa scamall le leochaileachtaí anaithnide (is féidir cinn aitheanta a chomhrac, mar shampla, ag Cigire AWS nó GCP Cloud Scanner), pasfhocail lag, cumraíochtaí míchearta, insiders, etc. Agus léirítear é seo go léir in iompar na n-acmhainní scamall, ar féidir le Cisco Stealthwatch Cloud monatóireacht a dhéanamh air, ar córas monatóireachta slándála faisnéise agus braite ionsaithe é. scamaill phoiblí agus phríobháideacha.

Monatóireacht Slándála Néal

Ceann de phríomhghnéithe Cisco Stealthwatch Cloud ná an cumas chun eintitis a shamhaltú. Leis, is féidir leat múnla bogearraí a chruthú (is é sin, ionsamhlú beagnach fíor-ama) de gach ceann de do chuid acmhainní scamall (is cuma cé acu AWS, Azure, GCP nó rud éigin eile atá i gceist). Féadfaidh siad seo freastalaithe agus úsáideoirí a áireamh, chomh maith le cineálacha acmhainní a bhaineann go sonrach le do thimpeallacht néal, amhail grúpaí slándála agus grúpaí uathscála. Úsáideann na samhlacha seo sruthanna sonraí struchtúrtha a sholáthraíonn seirbhísí néal mar ionchur. Mar shampla, le haghaidh AWS is iad seo Logchomhaid Shreabhadh VPC, AWS CloudTrail, AWS CloudWatch, AWS Config, Cigire AWS, AWS Lambda, agus AWS IAM. Faigheann samhaltú eintiteas amach go huathoibríoch ról agus iompar aon cheann de do chuid acmhainní (is féidir leat labhairt faoi phróifíliú a dhéanamh ar gach gníomhaíocht scamall). Áirítear ar na róil seo gléas soghluaiste Android nó Apple, freastalaí Citrix PVS, freastalaí RDP, geata ríomhphoist, cliant VoIP, freastalaí teirminéil, rialtóir fearainn, etc. Ansin déanann sé monatóireacht leanúnach ar a n-iompraíocht chun a fháil amach cén uair a tharlaíonn iompraíocht atá baolach nó bagrach don tsábháilteacht. Is féidir leat buille faoi thuairim pasfhocail, ionsaithe DDoS, sceitheadh ​​sonraí, cianrochtain mhídhleathach, gníomhaíocht cód mailíseach, scanadh leochaileachta agus bagairtí eile a aithint. Mar shampla, is é seo an chuma atá ar iarracht cianrochtana a bhrath ó thír aitíopúla do d’eagraíocht (An Chóiré Theas) chuig braisle Kubernetes trí SSH:

Monatóireacht Slándála Néal

Agus is é seo an chuma atá ar an sceitheadh ​​faisnéise a líomhnaítear ó bhunachar sonraí Postgress chuig tír nach bhfuil teagmháil againn léi roimhe seo:

Monatóireacht Slándála Néal

Ar deireadh, is é seo an chuma atá ar an iomarca iarrachtaí SSH ar theip orthu ón tSín agus ón Indinéis ó ghléas cianda seachtrach:

Monatóireacht Slándála Néal

Nó, cuir i gcás, de réir beartais, nach ceann scríbe cian-logála isteach é cás an fhreastalaí sa VPC. Glacaimid leis freisin gur tharla cianlogáil isteach ar an ríomhaire seo mar gheall ar athrú earráideach ar bheartas na rialacha balla dóiteáin. Braithfidh agus tuairisceoidh an ghné um Shamhaltú Aonán an ghníomhaíocht seo (“Rochtain Neamhghnách”) i mbeagnach fíor-ama agus díreoidh sí chuig glao sonrach AWS CloudTrail, Azure Monitor, nó GCP Stackdriver Loging API (lena n-áirítear ainm úsáideora, dáta agus am, i measc sonraí eile ) a spreag an t-athrú ar riail an ITU. Agus ansin is féidir an fhaisnéis seo a sheoladh chuig SIEM le haghaidh anailíse.

Monatóireacht Slándála Néal

Cuirtear cumais chomhchosúla i bhfeidhm d’aon timpeallacht néil a fhaigheann tacaíocht ó Cisco Stealthwatch Cloud:

Monatóireacht Slándála Néal

Is cineál uathoibrithe slándála é samhaltú aonán a fhéadfaidh fadhb nach raibh aithne uirthi roimhe seo le do dhaoine, próisis nó teicneolaíocht a nochtadh. Mar shampla, ligeann sé duit fadhbanna slándála a bhrath, i measc rudaí eile, mar:

  • An bhfuil cúldoor aimsithe ag duine sna bogearraí a úsáidimid?
  • An bhfuil aon bhogearraí nó feiste tríú páirtí inár néal?
  • An mbaineann an t-úsáideoir údaraithe mí-úsáid as pribhléidí?
  • An raibh earráid chumraíochta ann a cheadaigh cianrochtain nó úsáid neamhbheartaithe acmhainní eile?
  • An bhfuil sceitheadh ​​sonraí ónár bhfreastalaithe?
  • An raibh duine éigin ag iarraidh ceangal a dhéanamh linn ó shuíomh geografach aitíopúil?
  • An bhfuil ár scamall ionfhabhtaithe le cód mailíseach?

Monatóireacht Slándála Néal

Is féidir imeacht slándála faisnéise braite a sheoladh i bhfoirm ticéad comhfhreagrach chuig Slack, Cisco Spark, an córas bainistíochta teagmhas PagerDuty, agus freisin a sheoladh chuig SIEManna éagsúla, lena n-áirítear Splunk nó ELK. Mar achoimre, is féidir linn a rá má úsáideann do chuideachta straitéis il-scamall agus nach bhfuil sé teoranta d'aon soláthraí scamall amháin, na cumais monatóireachta slándála faisnéise a thuairiscítear thuas, ansin ag baint úsáide as Cisco Stealthwatch Cloud Is rogha maith a fháil sraith aontaithe monatóireachta. cumais do na príomh-imreoirí scamall - Amazon , Microsoft agus Google . Is é an rud is suimiúla ná má dhéanann tú comparáid idir na praghsanna Stealthwatch Cloud le ceadúnais chun cinn le haghaidh monatóireachta slándála faisnéise in AWS, Azure nó GCP, d'fhéadfadh sé tarlú go mbeidh réiteach Cisco fiú níos saoire ná cumais ionsuite Amazon, Microsoft. agus réitigh Google. Tá sé paradoxical, ach tá sé fíor. Agus dá mhéad scamaill agus a gcumas a úsáideann tú, is amhlaidh is soiléire an buntáiste a bheidh le réiteach comhdhlúite.

Monatóireacht Slándála Néal

Ina theannta sin, is féidir le Stealthwatch Cloud monatóireacht a dhéanamh ar scamaill phríobháideacha a imscartar i d’eagraíocht, mar shampla, bunaithe ar choimeádáin Kubernetes nó trí mhonatóireacht a dhéanamh ar shreafaí Netflow nó ar thrácht líonra a fhaightear trí scáthánú i dtrealamh líonra (fiú amháin a tháirgtear sa bhaile), sonraí AD nó freastalaithe DNS agus mar sin de. Saibhreofar na sonraí seo go léir le faisnéis Threat Intelligence arna bailiú ag Cisco Talos, an grúpa neamhrialtasach is mó ar domhan de thaighdeoirí bagairtí cibearshlándála.

Monatóireacht Slándála Néal

Ligeann sé seo duit córas monatóireachta aontaithe a chur i bhfeidhm do scamaill phoiblí agus hibrideacha a fhéadfaidh do chuideachta a úsáid. Is féidir an fhaisnéis a bhailítear a anailísiú ansin trí úsáid a bhaint as cumais ionsuite Stealthwatch Cloud nó a sheoladh chuig do SIEM (tacaítear le Splunk, ELK, SumoLogic agus go leor eile de réir réamhshocraithe).

Leis seo, cuirfimid an chéad chuid den alt i gcrích, ina ndearna mé athbhreithniú ar na huirlisí ionsuite agus seachtracha chun monatóireacht a dhéanamh ar shlándáil faisnéise ardáin IaaS/PaaS, a ligeann dúinn teagmhais a tharlaíonn sna timpeallachtaí néal a bhrath agus a fhreagairt go tapa. roghnaigh ár bhfiontar. Sa dara cuid, leanfaimid ar aghaidh leis an ábhar agus féachfaimid ar roghanna chun monatóireacht a dhéanamh ar ardáin SaaS ag baint úsáide as sampla Salesforce agus Dropbox, agus déanfaimid iarracht freisin achoimre agus gach rud a chur le chéile trí chóras monatóireachta slándála faisnéise aontaithe a chruthú do sholáthraithe scamall éagsúla.

Foinse: will.com

Add a comment