ProHoster > Blog > Rianachd > Sgrùdadh Tèarainteachd Cloud

Sgrùdadh Tèarainteachd Cloud

Tha gluasad dàta agus tagraidhean chun sgòth na dhùbhlan ùr dha SOCn corporra, nach eil an-còmhnaidh deiseil airson sùil a chumail air bun-structar dhaoine eile. A rèir Netoskope, tha an iomairt cuibheasach (a rèir coltais anns na SA) a 'cleachdadh 1246 diofar sheirbheisean sgòthan, a tha 22% nas motha na bliadhna air ais. 1246 seirbheis sgòthan !!! Tha 175 dhiubh co-cheangailte ri seirbheisean HR, tha 170 co-cheangailte ri margaidheachd, tha 110 ann an raon conaltraidh agus 76 ann an ionmhas agus CRM. Bidh Cisco a’ cleachdadh 700 seirbheis sgòthan taobh a-muigh “a-mhàin”. Mar sin tha mi rud beag troimh-chèile leis na h-àireamhan sin. Ach co-dhiù, chan ann leothasan a tha an duilgheadas, ach leis an fhìrinn gu bheil an sgòth a’ tòiseachadh air a chleachdadh gu gnìomhach le àireamh a tha a’ sìor fhàs de chompanaidhean a bhiodh airson na h-aon chomasan a bhith aca airson sùil a chumail air bun-structar sgòthan agus a tha san lìonra aca fhèin. Agus tha an gluasad seo a 'fàs - a rèir a rèir Seòmar Cunntasan Ameireagaidh Ro 2023, tha 1200 ionad dàta gu bhith dùinte anns na Stàitean Aonaichte (tha 6250 air dùnadh mar-thà). Ach chan e dìreach an gluasad chun sgòth a th’ ann “gluaiseamaid ar frithealaichean gu solaraiche bhon taobh a-muigh.” Ailtireachd IT ùr, bathar-bog ùr, pròiseasan ùra, cuingeachaidhean ùra... Bheir seo uile atharrachadh mòr air obair chan e a-mhàin IT, ach cuideachd tèarainteachd fiosrachaidh. Agus ma tha solaraichean air ionnsachadh dòigh air choireigin dèiligeadh ri bhith a’ dèanamh cinnteach à tèarainteachd na sgòthan fhèin (gu fortanach tha tòrr mholaidhean ann), an uairsin le sgrùdadh tèarainteachd fiosrachaidh sgòthan, gu sònraichte air àrd-ùrlaran SaaS, tha duilgheadasan mòra ann, air am bi sinn a’ bruidhinn.

Sgrùdadh Tèarainteachd Cloud

Canaidh sinn gu bheil do chompanaidh air pàirt den bhun-structar aca a ghluasad chun sgòth... Stad. Chan ann mar seo. Ma chaidh am bun-structar a ghluasad, agus nach eil thu ach a-nis a ’smaoineachadh air mar a nì thu sùil air, tha thu air chall mu thràth. Mura h-e Amazon, Google, no Microsoft a th’ ann (agus an uairsin le glèidheadh), is dòcha nach bi mòran comais agad sùil a chumail air an dàta agus na tagraidhean agad. Tha e math ma gheibh thu an cothrom obrachadh le logaichean. Aig amannan bidh dàta tachartas tèarainteachd ri fhaighinn, ach cha bhith cothrom agad air. Mar eisimpleir, Office 365. Ma tha an cead E1 as saoire agad, chan eil tachartasan tèarainteachd rim faighinn dhut idir. Ma tha cead E3 agad, tha an dàta agad air a stòradh airson dìreach 90 latha, agus dìreach ma tha cead E5 agad, tha fad nan logaichean ri fhaighinn airson bliadhna (ge-tà, tha na nuances aige fhèin aig seo cuideachd co-cheangailte ris an fheum air leth. iarr grunn ghnìomhan airson obrachadh le logaichean bho thaic Microsoft). Co-dhiù, tha an cead E3 mòran nas laige a thaobh gnìomhan sgrùdaidh na Exchange corporra. Gus an aon ìre a choileanadh, feumaidh tu cead E5 no cead Gèillidh Adhartach a bharrachd, a dh’ fhaodadh gum feum thu airgead a bharrachd nach deach a thoirt a-steach don mhodal ionmhais agad airson gluasad gu bun-structar sgòthan. Agus is e seo dìreach aon eisimpleir de bhith a’ dèanamh dì-meas air cùisean co-cheangailte ri sgrùdadh tèarainteachd fiosrachaidh sgòthan. San artaigil seo, gun a bhith a ’leigeil orm a bhith coileanta, tha mi airson aire a tharraing gu cuid de nuances a bu chòir aire a thoirt nuair a thaghas tu solaraiche sgòthan bho shealladh tèarainteachd. Agus aig deireadh an artaigil, thèid liosta sgrùdaidh a thoirt seachad a dh ’fhiach a lìonadh mus smaoinich thu gu bheil a’ chùis mu bhith a ’cumail sùil air tèarainteachd fiosrachaidh sgòthan air a rèiteach.

Tha grunn dhuilgheadasan àbhaisteach ann a tha ag adhbhrachadh tachartasan ann an àrainneachdan sgòthan, nach eil ùine aig seirbheisean tèarainteachd fiosrachaidh freagairt no nach fhaic iad idir:

  • Chan eil clàran tèarainteachd ann. Is e suidheachadh gu math cumanta a tha seo, gu sònraichte am measg chluicheadairean ùra ann am margaidh fuasglaidhean sgòthan. Ach cha bu chòir dhut a leigeil seachad orra sa bhad. Tha cluicheadairean beaga, gu sònraichte feadhainn dachaigheil, nas mothachail air riatanasan teachdaiche agus is urrainn dhaibh cuid de na gnìomhan riatanach a chuir an gnìomh gu sgiobalta le bhith ag atharrachadh a’ mhapa-rathaid ceadaichte airson am bathar. Seadh, chan e analogue de GuardDuty bho Amazon a bhios ann no am modal “Proactive Protection” bho Bitrix, ach co-dhiù rudeigin.
  • Chan eil fios aig tèarainteachd fiosrachaidh càite a bheil na logaichean air an stòradh no nach eil cothrom orra. An seo feumar còmhraidhean a dhèanamh leis an t-solaraiche seirbheis sgòthan - is dòcha gun toir e seachad fiosrachadh mar sin ma tha e den bheachd gu bheil an neach-dèiligidh cudromach dha. Ach san fharsaingeachd, chan eil e fìor mhath nuair a tha cothrom air logaichean air a thoirt seachad "le co-dhùnadh sònraichte."
  • Bidh e cuideachd a ’tachairt gu bheil logaichean aig an t-solaraiche sgòthan, ach tha iad a’ toirt seachad sgrùdadh cuibhrichte agus clàradh tachartais, nach eil gu leòr airson a h-uile tachartas a lorg. Mar eisimpleir, is dòcha nach fhaigh thu ach logaichean atharraichean air làrach-lìn no logaichean de dh’ oidhirpean dearbhaidh luchd-cleachdaidh, ach chan ann air tachartasan eile, leithid trafaic lìonraidh, a chuireas am falach ort sreath iomlan de thachartasan a tha a’ comharrachadh oidhirpean gus do bhun-structar sgòthan a hackadh.
  • Tha logaichean ann, ach tha e doirbh faighinn a-steach dhaibh gu fèin-ghluasadach, a tha a 'toirt orra a bhith air an sgrùdadh chan ann gu leantainneach, ach air clàr-ama. Agus mura h-urrainn dhut logaichean a luchdachadh sìos gu fèin-ghluasadach, faodaidh luchdachadh sìos logaichean, mar eisimpleir, ann an cruth Excel (mar le grunn sholaraichean fuasgladh sgòthan dachaigheil), eadhon leisg air a’ phàirt den t-seirbheis tèarainteachd fiosrachaidh corporra a bhith a’ tinker leotha.
  • Gun sgrùdadh log. Is dòcha gur e seo an adhbhar as neo-shoilleir airson tachartasan tèarainteachd fiosrachaidh ann an àrainneachdan sgòthan. Tha e coltach gu bheil logaichean ann, agus tha e comasach ruigsinneachd orra gu fèin-ghluasadach, ach chan eil duine a 'dèanamh seo. Carson?

Bun-bheachd tèarainteachd sgòthan co-roinnte

Tha an gluasad chun sgòth an-còmhnaidh a’ lorg cothromachadh eadar am miann smachd a chumail air a’ bhun-structar agus a ghluasad gu làmhan nas proifeiseanta solaraiche sgòthan a tha gu sònraichte a’ cumail suas. Agus ann an raon tèarainteachd sgòthan, feumar an cothromachadh seo a shireadh cuideachd. A bharrachd air an sin, a rèir a’ mhodail lìbhrigidh seirbheis sgòthan a thathar a’ cleachdadh (IaaS, PaaS, SaaS), bidh an cothromachadh seo eadar-dhealaichte fad na h-ùine. Co-dhiù, feumaidh sinn cuimhneachadh gu bheil a h-uile solaraiche sgòthan an-diugh a’ leantainn a’ mhodail ris an canar uallach co-roinnte agus tèarainteachd fiosrachaidh co-roinnte. Tha uallach air an sgòth airson cuid de rudan, agus airson cuid eile tha uallach air an neach-dèiligidh, a’ cur an dàta aige, na tagraidhean aige, na h-innealan brìgheil aige agus goireasan eile san sgòth. Bhiodh e neo-chùramach a bhith an dùil, le bhith a’ dol don sgòth, gun gluais sinn a h-uile uallach chun t-solaraiche. Ach tha e mì-chinnteach cuideachd an tèarainteachd gu lèir a thogail thu fhèin nuair a ghluaiseas tu chun sgòth. Tha feum air cothromachadh, a bhios an urra ri mòran fhactaran: - ro-innleachd stiùireadh cunnairt, modail bagairt, dòighean tèarainteachd a tha rim faighinn leis an t-solaraiche sgòthan, reachdas, msaa.

Sgrùdadh Tèarainteachd Cloud

Mar eisimpleir, tha seòrsachadh dàta a tha air a chumail san sgòth an-còmhnaidh an urra ris an neach-ceannach. Chan urrainn do sholaraiche sgòthan no solaraiche seirbheis taobh a-muigh a chuideachadh ach le innealan a chuidicheas le bhith a’ comharrachadh dàta san sgòth, ag aithneachadh brisidhean, a’ cuir às do dhàta a bhriseas an lagh, no ga fhalach le bhith a’ cleachdadh aon dòigh no dòigh eile. Air an làimh eile, tha tèarainteachd corporra an-còmhnaidh an urra ris an t-solaraiche sgòthan, nach urrainn dha a roinn le teachdaichean. Ach tha a h-uile dad a tha eadar dàta agus bun-structar fiosaigeach gu cinnteach na chuspair deasbaid san artaigil seo. Mar eisimpleir, tha e an urra ris an t-solaraiche an sgòth a bhith ri fhaighinn, agus tha e an urra ris an neach-dèiligidh a bhith a’ stèidheachadh riaghailtean balla-teine ​​​​no a’ comasachadh crioptachadh. San artaigil seo feuchaidh sinn ri coimhead air dè na dòighean sgrùdaidh tèarainteachd fiosrachaidh a tha air an toirt seachad an-diugh le diofar sholaraichean sgòthan mòr-chòrdte san Ruis, dè na feartan cleachdaidh a th ’aca, agus cuin as fhiach coimhead a dh’ ionnsaigh fuasglaidhean ath-chòmhdach taobh a-muigh (mar eisimpleir, Cisco E- post Tèarainteachd) a leudaicheas comasan an sgòth agad a thaobh cybersecurity. Ann an cuid de chùisean, gu sònraichte ma tha thu a’ leantainn ro-innleachd ioma-sgòthan, cha bhith roghainn agad ach fuasglaidhean sgrùdaidh tèarainteachd fiosrachaidh taobh a-muigh a chleachdadh ann an grunn àrainneachdan sgòthan aig an aon àm (mar eisimpleir, Cisco CloudLock no Cisco Stealthwatch Cloud). Uill, ann an cuid de chùisean tuigidh tu nach eil an solaraiche sgòthan a thagh thu (no a chuir thu an sàs) a’ tabhann comasan sgrùdaidh tèarainteachd fiosrachaidh idir. Tha seo mì-thlachdmhor, ach chan eil e glè bheag, oir leigidh e leat measadh iomchaidh a dhèanamh air an ìre de chunnart a tha co-cheangailte ri bhith ag obair leis an sgòth seo.

Cuairt-beatha Sgrùdadh Tèarainteachd Cloud

Gus sùil a chumail air tèarainteachd nan sgòthan a chleachdas tu, chan eil agad ach trì roghainnean:

  • cuir earbsa anns na h-innealan a bheir an solaraiche sgòthan agad seachad,
  • cleachd fuasglaidhean bho threas phàrtaidhean a nì sùil air na h-àrd-ùrlaran IaaS, PaaS no SaaS a chleachdas tu,
  • tog do bhun-structar sgrùdaidh sgòthan fhèin (airson àrd-ùrlaran IaaS / PaaS a-mhàin).

Feuch sinn a-mach dè na feartan a tha aig gach aon de na roghainnean sin. Ach an toiseach, feumaidh sinn am frèam coitcheann a thuigsinn a thèid a chleachdadh nuair a bhios sinn a’ cumail sùil air àrd-ùrlaran sgòthan. Bheirinn cuideam air 6 prìomh phàirtean den phròiseas sgrùdaidh tèarainteachd fiosrachaidh san sgòth:

  • Ag ullachadh bun-structair. Co-dhùnadh na h-iarrtasan agus bun-structar riatanach airson tachartasan a chruinneachadh a tha cudromach airson tèarainteachd fiosrachaidh a-steach don stòradh.
  • Cruinneachadh. Aig an ìre seo, tha tachartasan tèarainteachd air an cruinneachadh bho dhiofar thùsan airson an sgaoileadh às deidh sin airson giullachd, stòradh agus mion-sgrùdadh.
  • Làimhseachadh. Aig an ìre seo, tha an dàta air atharrachadh agus air a bheairteachadh gus mion-sgrùdadh às deidh sin a dhèanamh comasach.
  • Stòradh. Tha uallach air a’ phàirt seo airson stòradh geàrr-ùine agus fad-ùine de dhàta pròiseasaichte agus amh.
  • Mion-sgrùdadh. Aig an ìre seo, tha comas agad tachartasan a lorg agus freagairt a thoirt dhaibh gu fèin-ghluasadach no le làimh.
  • Ag aithris. Bidh an ìre seo a’ cuideachadh le bhith a’ cruthachadh prìomh chomharran airson luchd-ùidh (luchd-stiùiridh, luchd-sgrùdaidh, solaraiche sgòthan, teachdaichean, msaa) a chuidicheas sinn gus co-dhùnaidhean sònraichte a dhèanamh, mar eisimpleir, ag atharrachadh solaraiche no a’ neartachadh tèarainteachd fiosrachaidh.

Le bhith a’ tuigsinn nan co-phàirtean sin leigidh sin dhut co-dhùnadh gu sgiobalta san àm ri teachd dè as urrainn dhut a thoirt bhon t-solaraiche agad, agus dè a dh’ fheumas tu a dhèanamh leat fhèin no le com-pàirt bho chomhairlichean bhon taobh a-muigh.

Seirbheisean sgòthan togte

Sgrìobh mi mu thràth gu h-àrd nach eil mòran de sheirbheisean sgòthan an-diugh a’ toirt seachad comasan sgrùdaidh tèarainteachd fiosrachaidh. San fharsaingeachd, chan eil iad a 'toirt mòran aire don chuspair tèarainteachd fiosrachaidh. Mar eisimpleir, is e aon de na seirbheisean mòr-chòrdte Ruiseanach airson aithisgean a chuir gu buidhnean riaghaltais tron ​​​​eadar-lìn (cha toir mi iomradh sònraichte air an ainm). Tha an earrann gu lèir mu thèarainteachd na seirbheis seo ag atharrachadh timcheall air cleachdadh CIPF le teisteanas. Chan eil an roinn tèarainteachd fiosrachaidh de sheirbheis sgòthan dachaigheil eile airson riaghladh sgrìobhainnean dealanach eadar-dhealaichte. Tha e a’ bruidhinn air prìomh theisteanasan poblach, crioptachadh dearbhte, cuir às do chugallachd lìn, dìon an aghaidh ionnsaighean DDoS, cleachdadh ballachan teine, cùl-taic, agus eadhon sgrùdaidhean tèarainteachd fiosrachaidh cunbhalach. Ach chan eil facal ann mu sgrùdadh, no mun chomas faighinn gu tachartasan tèarainteachd fiosrachaidh a dh’ fhaodadh a bhith inntinneach do luchd-dèiligidh an t-solaraiche seirbheis seo.

San fharsaingeachd, leis an dòigh anns a bheil an solaraiche sgòthan a’ toirt cunntas air cùisean tèarainteachd fiosrachaidh air an làrach-lìn aige agus anns na sgrìobhainnean aige, tuigidh tu cho dona sa bheir e a’ chùis seo. Mar eisimpleir, ma leugh thu na leabhraichean-làimhe airson toraidhean “My Office”, chan eil facal ann mu thèarainteachd idir, ach anns na sgrìobhainnean airson an toradh air leth “My Office. KS3”, air a dhealbhadh gus dìon an aghaidh ruigsinneachd gun chead, tha liosta àbhaisteach de phuingean ann an òrdugh 17th den FSTEC, a bhios “My Office.KS3” a ’buileachadh, ach chan eilear ag innse mar a bhios e ga chur an gnìomh agus, nas cudromaiche, mar a chuireas e an gnìomh e. fhilleadh a-steach na dòighean sin le tèarainteachd fiosrachaidh corporra. Is dòcha gu bheil sgrìobhainnean mar sin ann, ach cha do lorg mi e san raon phoblach, air làrach-lìn “My Office”. Ged is dòcha nach eil cothrom agam air an fhiosrachadh dìomhair seo?..

Sgrùdadh Tèarainteachd Cloud

Airson Bitrix, tha an suidheachadh tòrr nas fheàrr. Tha na sgrìobhainnean a’ toirt cunntas air cruthan nan logaichean tachartais agus, gu h-inntinneach, an loga sàrachaidh, anns a bheil tachartasan co-cheangailte ri bagairtean a dh’ fhaodadh a bhith ann don àrd-ùrlar sgòthan. Às an sin faodaidh tu an IP, ainm neach-cleachdaidh no aoigh, stòr tachartais, ùine, Àidseant Cleachdaiche, seòrsa tachartais, msaa a tharraing a-mach. Fìor, faodaidh tu obrachadh leis na tachartasan sin an dàrna cuid bho phannal smachd an sgòth fhèin, no luchdaich suas dàta ann an cruth MS Excel. Tha e a-nis duilich obair le logaichean Bitrix a dhèanamh fèin-ghluasadach agus feumaidh tu cuid den obair a dhèanamh le làimh (luchdachadh suas an aithisg agus a luchdachadh a-steach don SIEM agad). Ach ma chuimhnicheas sinn nach robh an leithid de chothrom ann gu o chionn ghoirid, is e adhartas mòr a tha seo. Aig an aon àm, bu mhath leam a thoirt fa-near gu bheil mòran de sholaraichean sgòthan cèin a’ tabhann comas-gnìomh co-chosmhail “do luchd-tòiseachaidh” - an dàrna cuid thoir sùil air na logaichean le do shùilean tron ​​​​phannal smachd, no luchdaich suas an dàta thugad fhèin (ge-tà, luchdaichidh a’ mhòr-chuid dàta suas ann an . csv, chan e Excel).

Sgrùdadh Tèarainteachd Cloud

Gun a bhith a’ beachdachadh air an roghainn gun logaichean, mar as trice bidh solaraichean sgòthan a’ tabhann trì roghainnean dhut airson sùil a chumail air tachartasan tèarainteachd - clàran-dannsa, luchdachadh suas dàta agus ruigsinneachd API. Tha e coltach gu bheil a ’chiad fhear a’ fuasgladh mòran dhuilgheadasan dhut, ach chan eil seo gu tur fìor - ma tha grunn irisean agad, feumaidh tu gluasad eadar na scrionaichean gan taisbeanadh, a ’call an dealbh iomlan. A bharrachd air an sin, chan eil e coltach gun toir an solaraiche sgòthan comas dhut tachartasan tèarainteachd a cho-cheangal agus an sgrùdadh san fharsaingeachd bho shealladh tèarainteachd (mar as trice bidh thu a’ dèiligeadh ri dàta amh, a dh’ fheumas tu thu fhèin a thuigsinn). Tha eisgeachdan ann agus bruidhnidh sinn mun deidhinn nas fhaide. Mu dheireadh, is fhiach faighneachd dè na tachartasan a tha air an clàradh leis an t-solaraiche sgòthan agad, dè an cruth, agus ciamar a tha iad a rèir do phròiseas sgrùdaidh tèarainteachd fiosrachaidh? Mar eisimpleir, comharrachadh agus dearbhadh luchd-cleachdaidh agus aoighean. Leigidh an aon Bitrix leat, stèidhichte air na tachartasan sin, ceann-latha agus àm an tachartais a chlàradh, ainm an neach-cleachdaidh no an aoigh (ma tha am modal “Web Analytics”) agad, an rud a chaidh a ruigsinn agus eileamaidean eile a tha àbhaisteach airson làrach-lìn . Ach is dòcha gu feum seirbheisean tèarainteachd fiosrachaidh corporra fiosrachadh a thaobh an d’ fhuair an neach-cleachdaidh cothrom air an sgòth bho inneal earbsach (mar eisimpleir, ann an lìonra corporra tha an gnìomh seo air a bhuileachadh le Cisco ISE). Dè mu dheidhinn gnìomh cho sìmplidh ris a’ ghnìomh geo-IP, a chuidicheas le bhith a’ dearbhadh a bheil cunntas cleachdaiche seirbheis neòil air a ghoid? Agus eadhon ged a bheir an solaraiche sgòthan dhut e, chan eil seo gu leòr. Bidh an aon Cisco CloudLock chan ann a-mhàin a’ sgrùdadh geolocation, ach a’ cleachdadh ionnsachadh inneal airson seo agus a’ sgrùdadh dàta eachdraidheil airson gach neach-cleachdaidh agus a’ cumail sùil air diofar neo-riaghailteachdan ann an oidhirpean aithneachaidh agus dearbhaidh. Chan eil ach an aon seòrsa gnìomh aig MS Azure (ma tha an fho-sgrìobhadh iomchaidh agad).

Sgrùdadh Tèarainteachd Cloud

Tha duilgheadas eile ann - oir dha mòran sholaraichean sgòthan tha sgrùdadh tèarainteachd fiosrachaidh na chuspair ùr ris a bheil iad dìreach a’ tòiseachadh a ’dèiligeadh, tha iad an-còmhnaidh ag atharrachadh rudeigin anns na fuasglaidhean aca. An-diugh tha aon dreach aca den API, a-màireach fear eile, an latha às deidh amàireach an treas cuid. Feumaidh tu cuideachd a bhith deiseil airson seo. Tha an aon rud fìor mu ghnìomhachd, a dh’ fhaodadh atharrachadh, a dh’ fheumar a thoirt fa-near san t-siostam sgrùdaidh tèarainteachd fiosrachaidh agad. Mar eisimpleir, bha seirbheisean sgrùdaidh tachartas sgòthan fa-leth aig Amazon an toiseach - AWS CloudTrail agus AWS CloudWatch. An uairsin nochd seirbheis air leth airson sùil a chumail air tachartasan tèarainteachd fiosrachaidh - AWS GuardDuty. Às deidh beagan ùine, chuir Amazon siostam riaghlaidh ùr air bhog, Amazon Security Hub, a tha a ’toirt a-steach mion-sgrùdadh air dàta a fhuaireadh bho GuardDuty, Neach-sgrùdaidh Amazon, Amazon Macie agus grunnan eile. Is e eisimpleir eile an inneal airson logaichean Azure a thoirt a-steach le SIEM - AzLog. Chaidh a chleachdadh gu gnìomhach le mòran de luchd-reic SIEM, gus an do dh’ ainmich Microsoft ann an 2018 gun deach an leasachadh agus an taic aige a stad, a chuir duilgheadas an aghaidh mòran de luchd-dèiligidh a chleachd an inneal seo (bruidhnidh sinn mu mar a chaidh a rèiteach nas fhaide air adhart).

Mar sin, cùm sùil gu faiceallach air na feartan sgrùdaidh a tha an solaraiche sgòthan agad a’ tabhann dhut. No cuir earbsa ann an solaraichean fuasglaidh bhon taobh a-muigh a bhios mar eadar-mheadhanairean eadar an SOC agad agus an sgòth a tha thu airson sùil a chumail air. Bidh, bidh e nas daoire (ged nach eil an-còmhnaidh), ach gluaisidh tu an uallach gu lèir gu guailnean cuideigin eile. No nach eil a h-uile càil dheth?.. Cuimhnichidh sinn bun-bheachd tèarainteachd co-roinnte agus tuigidh sinn nach urrainn dhuinn dad a ghluasad - feumaidh sinn tuigsinn gu neo-eisimeileach mar a bhios diofar sholaraichean sgòthan a’ cumail sùil air tèarainteachd fiosrachaidh an dàta agad, tagraidhean, innealan brìgheil agus goireasan eile air aoigheachd anns an neul. Agus tòisichidh sinn leis na tha Amazon a’ tabhann sa phàirt seo.

Eisimpleir: Sgrùdadh tèarainteachd fiosrachaidh ann an IaaS stèidhichte air AWS

Tha, tha, tha mi a 'tuigsinn nach e Amazon an eisimpleir as fheàrr air sgàth' s gur e seirbheis Ameireaganach a tha seo agus faodar a bhacadh mar phàirt den t-sabaid an aghaidh ceannairc agus sgaoileadh fiosrachaidh toirmisgte san Ruis. Ach anns an fhoillseachadh seo bu mhath leam sealltainn mar a tha diofar àrd-ùrlaran sgòthan eadar-dhealaichte nan comasan sgrùdaidh tèarainteachd fiosrachaidh agus dè bu chòir dhut aire a thoirt dha nuair a ghluaiseas tu na prìomh phròiseasan agad gu na sgòthan bho shealladh tèarainteachd. Uill, ma dh'ionnsaich cuid de luchd-leasachaidh fuasglaidhean sgòthan Ruiseanach rudeigin feumail dhaibh fhèin, bidh sin math.

Sgrùdadh Tèarainteachd Cloud

Is e a’ chiad rud a chanas sinn nach e daingneach do-ruigsinneach a th’ ann an Amazon. Bidh diofar thachartasan a’ tachairt gu cunbhalach don luchd-dèiligidh aige. Mar eisimpleir, chaidh ainmean, seòlaidhean, cinn-latha breith, agus àireamhan fòn 198 millean neach-bhòtaidh a ghoid bho Deep Root Analytics. Ghoid companaidh Israel Nice Systems 14 millean clàr de luchd-aontachaidh Verizon. Ach, tha comasan togte AWS a’ toirt cothrom dhut raon farsaing de thachartasan a lorg. Mar eisimpleir:

  • buaidh air bun-structair (DDoS)
  • co-rèiteachadh nód (stealladh òrdugh)
  • co-rèiteachadh cunntais agus ruigsinneachd gun chead
  • rèiteachadh ceàrr agus so-leòntachd
  • eadar-aghaidh mì-chinnteach agus APIan.

Tha an eadar-dhealachadh seo mar thoradh air, mar a fhuair sinn a-mach gu h-àrd, gu bheil uallach air an neach-ceannach fhèin airson tèarainteachd dàta teachdaiche. Agus mura do chuir e dragh air innealan dìon a thionndadh agus nach do thionndaidh e air innealan sgrùdaidh, chan ionnsaich e ach mun tachartas bho na meadhanan no bhon luchd-dèiligidh aige.

Gus tachartasan a chomharrachadh, faodaidh tu raon farsaing de sheirbheisean sgrùdaidh eadar-dhealaichte a chaidh an leasachadh le Amazon a chleachdadh (ged a bhios iad sin gu tric air an cur ris le innealan bhon taobh a-muigh leithid osquery). Mar sin, ann an AWS, thathas a’ cumail sùil air a h-uile gnìomh neach-cleachdaidh, ge bith ciamar a thèid an coileanadh - tron ​​​​chonsól riaghlaidh, loidhne-àithne, SDK no seirbheisean AWS eile. Gheibhear a h-uile clàr de ghnìomhachd gach cunntas AWS (a ’toirt a-steach ainm neach-cleachdaidh, gnìomh, seirbheis, paramadairean gnìomhachd, agus toradh) agus cleachdadh API tro AWS CloudTrail. Faodaidh tu na tachartasan sin fhaicinn (leithid logins tòcan AWS IAM) bhon consol CloudTrail, an sgrùdadh le bhith a’ cleachdadh Amazon Athena, no “cuir a-mach” iad gu fuasglaidhean taobh a-muigh leithid Splunk, AlienVault, msaa. Tha na logaichean AWS CloudTrail iad fhèin air an cur anns a’ bhucaid AWS S3 agad.

Sgrùdadh Tèarainteachd Cloud

Tha dà sheirbheis AWS eile a’ toirt seachad grunn chomasan sgrùdaidh cudromach eile. An toiseach, tha Amazon CloudWatch na sheirbheis sgrùdaidh airson goireasan agus tagraidhean AWS a leigeas leat, am measg rudan eile, grunn neo-riaghailteachdan a chomharrachadh san sgòth agad. Bidh a h-uile seirbheis AWS a tha air a thogail a-steach, leithid Amazon Elastic Compute Cloud (frithealaichean), Seirbheis Stòr-dàta Dàimheach Amazon (stòr-dàta), Amazon Elastic MapReduce (mion-sgrùdadh dàta), agus 30 seirbheis Amazon eile, a’ cleachdadh Amazon CloudWatch gus na logaichean aca a stòradh. Faodaidh luchd-leasachaidh an API fosgailte a chleachdadh bho Amazon CloudWatch gus comas sgrùdaidh log a chuir ri tagraidhean agus seirbheisean àbhaisteach, a’ toirt cothrom dhaibh farsaingeachd mion-sgrùdadh tachartais a leudachadh taobh a-staigh co-theacsa tèarainteachd.

Sgrùdadh Tèarainteachd Cloud

San dàrna h-àite, leigidh seirbheis VPC Flow Logs dhut sgrùdadh a dhèanamh air an trafaic lìonraidh a chuir no a fhuair na frithealaichean AWS agad (taobh a-muigh no a-staigh), a bharrachd air eadar microservices. Nuair a bhios gin de na goireasan AWS VPC agad ag eadar-obrachadh leis an lìonra, bidh VPC Flow Logs a’ clàradh mion-fhiosrachadh mu thrafaig an lìonraidh, a’ toirt a-steach eadar-aghaidh lìonra stòr is ceann-uidhe, a bharrachd air na seòlaidhean IP, puirt, protocol, àireamh bytes, agus an àireamh de phasganan a tha thu. chunnaic. Aithnichidh an fheadhainn aig a bheil eòlas air tèarainteachd lìonra ionadail gu bheil seo coltach ri snàithleanan NetFlow, a dh’ fhaodar a chruthachadh le suidsichean, routers agus ballachan teine ​​​​ìre iomairt. Tha na logaichean sin cudromach airson adhbharan sgrùdaidh tèarainteachd fiosrachaidh oir, eu-coltach ri tachartasan mu ghnìomhan luchd-cleachdaidh agus thagraidhean, leigidh iad leat cuideachd gun a bhith ag ionndrainn eadar-obrachadh lìonra ann an àrainneachd sgòthan prìobhaideach brìgheil AWS.

Sgrùdadh Tèarainteachd Cloud

Ann an geàrr-chunntas, tha na trì seirbheisean AWS seo - AWS CloudTrail, Amazon CloudWatch, agus VPC Flow Logs - còmhla a’ toirt sealladh meadhanach cumhachdach air cleachdadh do chunntas, giùlan luchd-cleachdaidh, riaghladh bun-structair, gnìomhachd tagraidh is seirbheis, agus gnìomhachd lìonra. Mar eisimpleir, faodar an cleachdadh gus na neo-riaghailteachdan a leanas a lorg:

  • Oidhirpean gus an làrach a sganadh, lorg dorsan cùil, lorg so-leòntachd tro spreadhaidhean de “mearachdan 404”.
  • Ionnsaighean stealladh (mar eisimpleir, in-stealladh SQL) tro spreadhaidhean de “mearachdan 500”.
  • Is e innealan ionnsaigh aithnichte sqlmap, nikto, w3af, nmap, msaa. tro mhion-sgrùdadh air an raon Cleachdaiche Cleachdaiche.

Tha Amazon Web Services cuideachd air seirbheisean eile a leasachadh airson adhbharan cybersecurity a leigeas leat iomadh duilgheadas eile fhuasgladh. Mar eisimpleir, tha seirbheis stèidhichte aig AWS airson poileasaidhean agus rèiteachadh a sgrùdadh - AWS Config. Bidh an t-seirbheis seo a’ toirt seachad sgrùdadh leantainneach air na goireasan AWS agad agus an rèiteachadh. Gabhamaid eisimpleir shìmplidh: Canaidh sinn gu bheil thu airson dèanamh cinnteach gu bheil faclan-faire luchd-cleachdaidh ciorramach air na frithealaichean agad gu lèir agus nach eil ruigsinneachd comasach ach stèidhichte air teisteanasan. Tha AWS Config ga dhèanamh furasta seo a dhearbhadh airson na frithealaichean agad gu lèir. Tha poileasaidhean eile ann a dh’ fhaodar a chur an sàs air na frithealaichean neòil agad: “Chan urrainn do fhrithealaiche sam bith port 22 a chleachdadh”, “Chan fhaod ach luchd-rianachd riaghailtean balla-teine ​​​​atharrachadh” no “Is e dìreach cleachdaiche Ivashko as urrainn cunntasan cleachdaiche ùra a chruthachadh, agus chan urrainn dha a dhèanamh ach Dimàirt. " As t-samhradh 2016, chaidh seirbheis AWS Config a leudachadh gus lorgadh brisidhean air poileasaidhean leasaichte gu fèin-ghluasadach. Tha Riaghailtean AWS Config gu ìre mhòr nan iarrtasan rèiteachaidh leantainneach airson na seirbheisean Amazon a bhios tu a’ cleachdadh, a ghineas tachartasan ma thèid na poileasaidhean co-fhreagarrach a bhriseadh. Mar eisimpleir, an àite a bhith a’ ruith cheistean AWS Config bho àm gu àm gus dearbhadh gu bheil a h-uile diosc air frithealaiche brìgheil air a chrioptachadh, faodar AWS Config Rules a chleachdadh gus sùil a chumail gu leantainneach air diosgan an fhrithealaiche gus dèanamh cinnteach gu bheilear a’ coinneachadh ris a’ chumha seo. Agus, nas cudromaiche, ann an co-theacsa an fhoillseachaidh seo, bidh brisidhean sam bith a’ gineadh tachartasan a dh’ fhaodas an t-seirbheis tèarainteachd fiosrachaidh agad a sgrùdadh.

Sgrùdadh Tèarainteachd Cloud

Tha AWS cuideachd co-ionann ri fuasglaidhean tèarainteachd fiosrachaidh corporra traidiseanta, a bhios cuideachd a’ gineadh tachartasan tèarainteachd as urrainn dhut agus a bu chòir dhut a sgrùdadh:

  • Dearbhadh Sàrachaidh - AWS GuardDuty
  • Smachd aodion fiosrachaidh - AWS Macie
  • EDR (ged a tha e a’ bruidhinn air puingean crìochnachaidh san sgòth rud beag neònach) - AWS Cloudwatch + osquery stòr fosgailte no fuasglaidhean GRR
  • Mion-sgrùdadh Netflow - AWS Cloudwatch + AWS VPC Flow
  • Mion-sgrùdadh DNS - AWS Cloudwatch + AWS Route53
  • AD - Seirbheis Leabhar-seòlaidh AWS
  • Stiùireadh Cunntais - AWS IAM
  • SSO - AWS SSO
  • mion-sgrùdadh tèarainteachd - Neach-sgrùdaidh AWS
  • riaghladh rèiteachaidh - AWS Config
  • WAF - AWS WAF.

Cha toir mi cunntas mionaideach air a h-uile seirbheis Amazon a dh’ fhaodadh a bhith feumail ann an co-theacsa tèarainteachd fiosrachaidh. Is e am prìomh rud a bhith a’ tuigsinn gun urrainn dhaibh uile tachartasan a ghineadh as urrainn agus a bu chòir dhuinn a sgrùdadh ann an co-theacsa tèarainteachd fiosrachaidh, a’ cleachdadh an dà chuid comasan togte Amazon fhèin agus fuasglaidhean bhon taobh a-muigh, mar eisimpleir, SIEM, a dh’ fhaodas thoir tachartasan tèarainteachd don ionad sgrùdaidh agad agus dèan sgrùdadh orra an sin còmhla ri tachartasan bho sheirbheisean sgòthan eile no bho bhun-structar a-staigh, iomaill no innealan gluasadach.

Sgrùdadh Tèarainteachd Cloud

Ann an suidheachadh sam bith, bidh e uile a 'tòiseachadh leis na stòran dàta a bheir dhut tachartasan tèarainteachd fiosrachaidh. Tha na stòran sin a’ toirt a-steach, ach chan eil iad cuingealaichte gu:

  • CloudTrail - Cleachdadh API agus Gnìomhan Cleachdaiche
  • Comhairliche earbsach - sgrùdadh tèarainteachd an aghaidh nan cleachdaidhean as fheàrr
  • Config - clàr-seilbhe agus rèiteachadh chunntasan agus suidheachaidhean seirbheis
  • Logaichean sruthadh VPC - ceanglaichean gu eadar-aghaidh brìgheil
  • IAM - seirbheis aithneachaidh agus dearbhaidh
  • Logaichean Ruigsinneachd ELB - Load Balancer
  • Neach-sgrùdaidh - so-leòntachd tagraidh
  • S3 - stòradh fhaidhlichean
  • CloudWatch - Gnìomh Iarrtais
  • Is e seirbheis fios a th’ ann an SNS.

Tha Amazon, fhad ‘s a tha e a’ tabhann raon de stòran tachartais agus innealan airson an ginealach aca, glè chuingealaichte na chomas mion-sgrùdadh a dhèanamh air an dàta cruinnichte ann an co-theacsa tèarainteachd fiosrachaidh. Feumaidh tu sgrùdadh neo-eisimeileach a dhèanamh air na logaichean a tha rim faighinn, a’ coimhead airson comharran iomchaidh de cho-rèiteachadh annta. Tha AWS Security Hub, a chuir Amazon air bhog o chionn ghoirid, ag amas air an duilgheadas seo fhuasgladh le bhith na sgòth SIEM airson AWS. Ach gu ruige seo chan eil e ach aig toiseach a turais agus tha e cuingealaichte an dà chuid leis an àireamh de stòran leis a bheil e ag obair agus le cuingealachaidhean eile a chaidh a stèidheachadh le ailtireachd agus fo-sgrìobhaidhean Amazon fhèin.

Eisimpleir: Sgrùdadh tèarainteachd fiosrachaidh ann an IaaS stèidhichte air Azure

Chan eil mi airson a dhol a-steach do dheasbad fada mu cò de na trì solaraichean sgòthan (Amazon, Microsoft no Google) a tha nas fheàrr (gu sònraichte leis gu bheil na mion-fhiosrachadh sònraichte fhèin aig gach fear dhiubh fhathast agus gu bheil e freagarrach airson na duilgheadasan aca fhèin fhuasgladh); Nach cuir sinn fòcas air na comasan sgrùdaidh tèarainteachd fiosrachaidh a bheir na cluicheadairean sin seachad. Feumar aideachadh gur e Amazon AWS aon den chiad fheadhainn san roinn seo agus mar sin tha e air an fheadhainn as fhaide air adhart a thaobh gnìomhan tèarainteachd fiosrachaidh (ged a tha mòran ag aideachadh gu bheil iad duilich an cleachdadh). Ach chan eil seo a’ ciallachadh gun leig sinn seachad na cothroman a tha Microsoft agus Google a’ toirt dhuinn.

Tha toraidhean Microsoft an-còmhnaidh air a bhith air an comharrachadh leis an “fosgalachd” aca agus ann an Azure tha an suidheachadh coltach ris. Mar eisimpleir, ma bhios AWS agus GCP an-còmhnaidh a’ dol air adhart bhon bhun-bheachd “tha an rud nach eil ceadaichte toirmisgte,” tha an dearbh dhòigh-obrach mu choinneamh aig Azure. Mar eisimpleir, nuair a chruthaicheas tu lìonra brìgheil san sgòth agus inneal brìgheil ann, tha a h-uile port agus protocol fosgailte agus ceadaichte gu bunaiteach. Mar sin, feumaidh tu beagan a bharrachd oidhirp a chosg air a’ chiad stèidheachadh den t-siostam smachd ruigsinneachd san sgòth bho Microsoft. Agus tha seo cuideachd a’ cur riatanasan nas cruaidhe ort a thaobh sùil a chumail air gnìomhachd ann an sgòth Azure.

Sgrùdadh Tèarainteachd Cloud

Tha sònraichteachd aig AWS co-cheangailte ris an fhìrinn nuair a bhios tu a’ cumail sùil air na goireasan brìgheil agad, ma tha iad suidhichte ann an diofar roinnean, gu bheil duilgheadasan agad a bhith a’ cothlamadh a h-uile tachartas agus am mion-sgrùdadh aonaichte, gus cuir às do na dh’ fheumas tu a dhol gu diofar chleasan, leithid Cruthaich do chòd fhèin airson AWS Lambda a ghiùlaineas tachartasan eadar roinnean. Chan eil an duilgheadas seo aig Azure - tha an inneal Log Gnìomhachd aige a’ cumail sùil air gnìomhachd air feadh na buidhne gu lèir gun chuingealachaidhean. Tha an aon rud a 'buntainn ri AWS Security Hub, a chaidh a leasachadh o chionn ghoirid le Amazon gus iomadh gnìomh tèarainteachd a dhaingneachadh taobh a-staigh aon ionad tèarainteachd, ach a-mhàin taobh a-staigh na sgìre aige, nach eil, ge-tà, buntainneach don Ruis. Tha an Ionad Tèarainteachd fhèin aig Azure, nach eil air a cheangal le cuingealachaidhean roinneil, a’ toirt cothrom air feartan tèarainteachd an àrd-ùrlar sgòthan. A bharrachd air an sin, airson diofar sgiobaidhean ionadail faodaidh e an seata fhèin de chomasan dìon a thoirt seachad, a’ toirt a-steach tachartasan tèarainteachd air an riaghladh leotha. Tha AWS Security Hub fhathast air an t-slighe gu bhith coltach ri Ionad Tèarainteachd Azure. Ach is fhiach cuileag a chuir ris an ointment - faodaidh tu tòrr de na chaidh a mhìneachadh roimhe seo ann an AWS a bhrùthadh a-mach à Azure, ach tha e nas freagarraiche seo a dhèanamh dìreach airson Azure AD, Azure Monitor agus Azure Security Center. Chan eil a h-uile inneal tèarainteachd Azure eile, a’ toirt a-steach mion-sgrùdadh tachartas tèarainteachd, fhathast air a riaghladh anns an dòigh as freagarraiche. Tha an duilgheadas air fhuasgladh gu ìre leis an API, a tha a’ dol a-steach do sheirbheisean Microsoft Azure gu lèir, ach feumaidh seo oidhirp a bharrachd bhuat gus do sgòth fhilleadh a-steach don SOC agad agus làthaireachd eòlaichean teisteanasach (gu dearbh, mar le SIEM sam bith eile a bhios ag obair le sgòth APIan). Bidh cuid de SIEMn, a thèid a dheasbad nas fhaide air adhart, mu thràth a’ toirt taic do Azure agus is urrainn dhaibh an obair sgrùdaidh a dhèanamh fèin-ghluasadach, ach tha na duilgheadasan aige fhèin cuideachd - chan urrainn dhaibh uile na logaichean uile a tha aig Azure a chruinneachadh.

Sgrùdadh Tèarainteachd Cloud

Tha cruinneachadh agus sgrùdadh thachartasan ann an Azure air a thoirt seachad a’ cleachdadh seirbheis Azure Monitor, a tha na phrìomh inneal airson dàta a chruinneachadh, a stòradh agus a mhion-sgrùdadh ann an sgòth Microsoft agus na goireasan aige - stòran Git, soithichean, innealan brìgheil, tagraidhean, msaa. Tha a h-uile dàta a chaidh a chruinneachadh le Azure Monitor air a roinn ann an dà roinn - meatrach, air a chruinneachadh ann an àm fìor agus a’ toirt cunntas air prìomh chomharran coileanaidh sgòth Azure, agus logaichean, anns a bheil dàta air a chuir air dòigh ann an clàran a tha a’ comharrachadh cuid de thaobhan de ghnìomhachd goireasan agus seirbheisean Azure. A bharrachd air an sin, a’ cleachdadh an Data Collector API, faodaidh seirbheis Azure Monitor dàta a chruinneachadh bho stòr REST sam bith gus na suidheachaidhean sgrùdaidh aca fhèin a thogail.

Sgrùdadh Tèarainteachd Cloud

Seo cuid de stòran tachartas tèarainteachd a tha Azure a’ tabhann dhut agus a gheibh thu tro Azure Portal, CLI, PowerShell, no REST API (agus cuid a-mhàin tron ​​​​Azure Monitor / Insight API):

  • Logaichean gnìomhachd - tha an loga seo a’ freagairt nan ceistean clasaigeach mu “cò,” “dè,” agus “cuin” a thaobh gnìomhachd sgrìobhaidh sam bith (PUT, POST, DELETE) air goireasan sgòthan. Chan eil tachartasan co-cheangailte ri ruigsinneachd leughaidh (GET) air an toirt a-steach don loga seo, mar grunnan eile.
  • Logaichean Diagnostic - tha dàta ann mu ghnìomhachd le goireas sònraichte air a ghabhail a-steach san fho-sgrìobhadh agad.
  • Aithris Azure AD - anns a bheil an dà chuid gnìomhachd luchd-cleachdaidh agus gnìomhachd siostaim co-cheangailte ri riaghladh buidhne agus luchd-cleachdaidh.
  • Log Tachartas Windows agus Linux Syslog - tha tachartasan ann bho innealan brìgheil air an cumail san sgòth.
  • Metrics - anns a bheil telemetry mu choileanadh agus inbhe slàinte do sheirbheisean sgòthan agus goireasan. Air a thomhas gach mionaid agus air a stòradh. taobh a-staigh 30 latha.
  • Logaichean Sruth Buidheann Tèarainteachd Lìonra - tha dàta ann mu thachartasan tèarainteachd lìonra a chaidh a chruinneachadh a’ cleachdadh seirbheis Network Watcher agus sgrùdadh ghoireasan aig ìre lìonra.
  • Logaichean stòraidh - tha tachartasan ann co-cheangailte ri ruigsinneachd air goireasan stòraidh.

Sgrùdadh Tèarainteachd Cloud

Airson sgrùdadh, faodaidh tu SIEMan taobh a-muigh no an Azure Monitor togte agus na leudachain aige a chleachdadh. Bruidhnidh sinn mu shiostaman riaghlaidh tachartas tèarainteachd fiosrachaidh nas fhaide air adhart, ach airson a-nis chì sinn na tha Azure fhèin a’ tabhann dhuinn airson mion-sgrùdadh dàta ann an co-theacsa tèarainteachd. Is e am prìomh sgrion airson a h-uile càil co-cheangailte ri tèarainteachd ann an Azure Monitor an deas-bhòrd Tèarainteachd is Sgrùdaidh Log Analytics (tha an dreach an-asgaidh a’ toirt taic do chuid bheag de stòradh tachartais airson dìreach seachdain). Tha an deas-bhòrd seo air a roinn ann an 5 prìomh raointean a bheir sealladh air staitistig geàrr-chunntas air na tha a’ tachairt san àrainneachd sgòthan a tha thu a’ cleachdadh:

  • Fearann ​​​​tèarainteachd - prìomh chomharran cainneachdail co-cheangailte ri tèarainteachd fiosrachaidh - an àireamh de thachartasan, an àireamh de nodan ann an cunnart, nodan gun atharrachadh, tachartasan tèarainteachd lìonra, msaa.
  • Cùisean Sònraichte - a’ taisbeanadh àireamh agus cho cudromach sa tha cùisean tèarainteachd fiosrachaidh gnìomhach
  • Lorgaidhean - a’ taisbeanadh phàtranan ionnsaighean a chaidh a chleachdadh nad aghaidh
  • Cunnart Intelligence - a’ taisbeanadh fiosrachadh cruinn-eòlasach air nodan bhon taobh a-muigh a tha a’ toirt ionnsaigh ort
  • Ceistean tèarainteachd coitcheann - ceistean àbhaisteach a chuidicheas tu gus sùil nas fheàrr a chumail air do thèarainteachd fiosrachaidh.

Sgrùdadh Tèarainteachd Cloud

Tha leudachadh Azure Monitor a’ toirt a-steach Azure Key Vault (dìon iuchraichean criptografach san sgòth), Measadh Malware (mion-sgrùdadh air dìon an aghaidh còd droch-rùnach air innealan brìgheil), Azure Application Gateway Analytics (mion-sgrùdadh air, am measg rudan eile, logaichean balla-teine ​​​​sgòth), msaa. . Leigidh na h-innealan sin, le beairteas de riaghailtean sònraichte airson a bhith a’ giullachd thachartasan, dhut diofar thaobhan de ghnìomhachd seirbheisean sgòthan fhaicinn, a ’toirt a-steach tèarainteachd, agus dealachadh sònraichte bho ghnìomhachd a chomharrachadh. Ach, mar a thachras gu tric, feumaidh gnìomhachd a bharrachd sam bith ballrachd pàighte co-fhreagarrach, a dh’ fheumas tasgaidhean ionmhais co-fhreagarrach bhuat, a dh’ fheumas tu a phlanadh ro-làimh.

Sgrùdadh Tèarainteachd Cloud

Tha grunn chomasan sgrùdaidh bagairt aig Azure a tha air an amalachadh a-steach do Azure AD, Azure Monitor, agus Ionad Tèarainteachd Azure. Nam measg, mar eisimpleir, lorg eadar-obrachadh innealan brìgheil le IPan droch-rùnach aithnichte (mar thoradh air amalachadh le seirbheisean Threat Intelligence bho Microsoft), lorg malware ann am bun-structar sgòthan le bhith a’ faighinn rabhaidhean bho innealan brìgheil air an cumail san sgòth, facal-faire a’ tomhas ionnsaighean ”air innealan brìgheil, so-leòntachd ann an rèiteachadh an t-siostam aithneachaidh neach-cleachdaidh, logadh a-steach don t-siostam bho gun urra no nodan gabhaltach, aoidion cunntais, logadh a-steach don t-siostam bho àiteachan neo-àbhaisteach, msaa. Is e Azure an-diugh aon den bheagan sholaraichean sgòthan a tha a’ tabhann comasan in-ghabhail Threat Intelligence dhut gus tachartasan tèarainteachd fiosrachaidh cruinnichte a shaidhbhreachadh.

Sgrùdadh Tèarainteachd Cloud

Mar a chaidh ainmeachadh gu h-àrd, chan eil an comas-gnìomh tèarainteachd agus, mar thoradh air an sin, na tachartasan tèarainteachd a chruthaicheas e rim faighinn leis a h-uile neach-cleachdaidh co-ionann, ach feumaidh iad ballrachd sònraichte a tha a’ toirt a-steach an gnìomh a dh’ fheumas tu, a ghineas na tachartasan iomchaidh airson sgrùdadh tèarainteachd fiosrachaidh. Mar eisimpleir, chan eil cuid de na gnìomhan a chaidh a mhìneachadh sa pharagraf roimhe seo airson sùil a chumail air neo-riaghailteachdan ann an cunntasan rim faighinn ach ann an cead prìomh P2 airson seirbheis Azure AD. Às aonais, feumaidh tu, mar ann an cùis AWS, mion-sgrùdadh a dhèanamh air na tachartasan tèarainteachd cruinnichte “le làimh”. Agus, cuideachd, a rèir an seòrsa cead Azure AD, cha bhith a h-uile tachartas ri fhaighinn airson mion-sgrùdadh.

Air portal Azure, faodaidh tu an dà chuid ceistean sgrùdaidh a riaghladh airson logaichean anns a bheil ùidh agad agus clàran-dash a stèidheachadh gus prìomh chomharran tèarainteachd fiosrachaidh fhaicinn. A bharrachd air an sin, faodaidh tu leudachadh Azure Monitor a thaghadh, a leigeas leat gnìomhachd logaichean Azure Monitor a leudachadh agus mion-sgrùdadh nas doimhne fhaighinn air tachartasan bho shealladh tèarainteachd.

Sgrùdadh Tèarainteachd Cloud

Ma tha feum agad chan ann a-mhàin air comas a bhith ag obair le logaichean, ach cuideachd ionad tèarainteachd coileanta airson an àrd-ùrlar sgòthan Azure agad, a ’toirt a-steach riaghladh poileasaidh tèarainteachd fiosrachaidh, faodaidh tu bruidhinn mun fheum air obrachadh le Ionad Tèarainteachd Azure, agus tha a’ mhòr-chuid de na gnìomhan feumail aca. rim faighinn airson beagan airgid, mar eisimpleir, lorg bagairtean, sgrùdadh taobh a-muigh Azure, measadh gèillidh, msaa. (anns an dreach an-asgaidh, chan eil cothrom agad ach air measadh tèarainteachd agus molaidhean airson cuir às do dhuilgheadasan comharraichte). Bidh e a’ daingneachadh a h-uile cùis tèarainteachd ann an aon àite. Gu dearbh, is urrainn dhuinn bruidhinn mu ìre nas àirde de thèarainteachd fiosrachaidh na tha Azure Monitor a ’toirt dhut, oir anns a’ chùis seo tha an dàta a chaidh a chruinneachadh air feadh an fhactaraidh sgòthan agad air a bheairteachadh le bhith a ’cleachdadh mòran stòran, leithid Azure, Office 365, Microsoft CRM air-loidhne, Microsoft Dynamics AX , outlook .com, MSN.com, Aonad Eucoirean Didseatach Microsoft (DCU) agus Ionad Freagairt Tèarainteachd Microsoft (MSRC), air a bheil grunn algoirmean ionnsachaidh inneal agus anailis giùlain air an toirt thairis, a bu chòir aig a’ cheann thall leasachadh a dhèanamh air èifeachdas lorg agus dèiligeadh ri bagairtean .

Tha an SIEM aige fhèin aig Azure cuideachd - nochd e aig toiseach 2019. Is e seo Azure Sentinel, a tha an urra ri dàta bho Azure Monitor agus as urrainn aonachadh leis cuideachd. fuasglaidhean tèarainteachd taobh a-muigh (mar eisimpleir, NGFW no WAF), agus tha an liosta dhiubh a 'sìor fhàs. A bharrachd air an sin, tro aonachadh an Microsoft Graph Security API, tha comas agad na biadhan Threat Intelligence agad fhèin a cheangal ri Sentinel, a chuireas ri comasan airson mion-sgrùdadh a dhèanamh air tachartasan anns an sgòth Azure agad. Faodar argamaid a dhèanamh gur e Azure Sentinel a ’chiad SIEM“ dùthchasach ”a nochd bho sholaraichean sgòthan (an aon Splunk no ELK, a dh’ fhaodar a chumail san sgòth, mar eisimpleir, AWS, nach eil fhathast air an leasachadh le solaraichean seirbheis sgòthan traidiseanta). Dh ’fhaodadh Azure Sentinel agus Ionad Tèarainteachd a bhith air an ainmeachadh mar SOC airson sgòth Azure agus dh’ fhaodadh iad a bhith cuibhrichte riutha (le cuid de chùisean glèidhte) mura robh bun-structar sam bith agad tuilleadh agus gun do ghluais thu na goireasan coimpiutaireachd agad chun sgòth agus b ’e sgòth Microsoft Azure a bhiodh ann.

Sgrùdadh Tèarainteachd Cloud

Ach leis gu bheil na comasan togte aig Azure (eadhon ged a tha ballrachd agad gu Sentinel) gu tric nach eil gu leòr airson a bhith a’ cumail sùil air tèarainteachd fiosrachaidh agus ag aonachadh a’ phròiseis seo le tobraichean tèarainteachd eile (an dà chuid sgòthan agus a-staigh), tha a feum air an dàta cruinnichte às-mhalairt gu siostaman taobh a-muigh, a dh’ fhaodadh SIEM a bhith ann. Tha seo air a dhèanamh an dà chuid a’ cleachdadh an API agus a’ cleachdadh leudachaidhean sònraichte, a tha rim faighinn gu h-oifigeil an-dràsta airson na SIEMn a leanas - Splunk (Azure Monitor Add-On airson Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight agus ELK. Gu ruige o chionn ghoirid, bha barrachd SIEMan mar sin ann, ach bho 1 Ògmhios, 2019, sguir Microsoft a bhith a’ toirt taic don Azure Log Integration Tool (AzLog), a bha aig toiseach Azure a bhith ann agus às aonais gnàthachadh àbhaisteach a bhith ag obair le logaichean (Azure). Cha robh monitor eadhon ann fhathast) ga dhèanamh furasta SIEM taobh a-muigh a thoirt a-steach le sgòth Microsoft. A-nis tha an suidheachadh air atharrachadh agus tha Microsoft a’ moladh an àrd-ùrlar Azure Event Hub mar am prìomh inneal amalachaidh airson SIEMn eile. Tha mòran air an leithid de amalachadh a chuir an gnìomh mar-thà, ach bi faiceallach - is dòcha nach glac iad a h-uile clàr Azure, ach dìreach cuid (seall anns na sgrìobhainnean airson an SIEM agad).

A’ crìochnachadh turas goirid gu Azure, bu mhath leam moladh coitcheann a thoirt seachad mun t-seirbheis sgòthan seo - mus can thu dad mu na gnìomhan sgrùdaidh tèarainteachd fiosrachaidh ann an Azure, bu chòir dhut an rèiteachadh gu faiceallach agus deuchainn a dhèanamh gu bheil iad ag obair mar a tha sgrìobhte anns na sgrìobhainnean agus mar a dh’ innis na comhairlichean dhut Microsoft (agus is dòcha gu bheil beachdan eadar-dhealaichte aca air comasachd gnìomhan Azure). Ma tha na goireasan ionmhais agad, faodaidh tu tòrr fiosrachaidh feumail a chuir a-mach bho Azure a thaobh sgrùdadh tèarainteachd fiosrachaidh. Ma tha na goireasan agad cuibhrichte, an uairsin, mar a tha ann an cùis AWS, feumaidh tu a bhith an urra ri do neart fhèin agus an dàta amh a bheir Azure Monitor dhut. Agus cuimhnich gu bheil mòran de ghnìomhan sgrùdaidh a’ cosg airgead agus tha e nas fheàrr eòlas fhaighinn air poileasaidh prìsean ro-làimh. Mar eisimpleir, an-asgaidh faodaidh tu 31 latha de dhàta a stòradh suas gu 5 GB aig a’ char as àirde gach neach-ceannach - ma thèid thu thairis air na luachan sin feumaidh tu airgead a bharrachd a chuir a-mach (timcheall air $2+ airson gach GB a bharrachd a stòradh bhon neach-ceannach agus $0,1 airson stòradh 1 GB gach mìos a bharrachd). Dh’ fhaodadh gum bi feum air airgead a bharrachd a bhith ag obair le telemetry tagraidh agus meatrach, a bharrachd air a bhith ag obair le rabhaidhean agus fiosan (tha crìoch sònraichte ri fhaighinn an-asgaidh, is dòcha nach bi gu leòr airson na feumalachdan agad).

Eisimpleir: Sgrùdadh tèarainteachd fiosrachaidh ann an IaaS stèidhichte air Google Cloud Platform

Tha Google Cloud Platform coltach ri òganach an taca ri AWS agus Azure, ach tha seo gu ìre mhath. Eu-coltach ri AWS, a mheudaich na comasan aige, a 'gabhail a-steach feadhainn tèarainteachd, mean air mhean, le duilgheadasan meadhanachadh; Tha GCP, mar Azure, air a riaghladh gu math nas fheàrr sa mheadhan, a lughdaicheas mearachdan agus ùine buileachaidh air feadh na h-iomairt. Bho thaobh tèarainteachd, tha GCP, gu h-annasach gu leòr, eadar AWS agus Azure. Tha aon chlàradh tachartas aige cuideachd airson na buidhne gu lèir, ach tha e neo-choileanta. Tha cuid de ghnìomhan fhathast ann am modh beta, ach mean air mhean bu chòir cuir às don easbhaidh seo agus bidh GCP gu bhith na àrd-ùrlar nas aibidh a thaobh sgrùdadh tèarainteachd fiosrachaidh.

Sgrùdadh Tèarainteachd Cloud

Is e am prìomh inneal airson tachartasan a chlàradh ann an GCP Stackdriver Logging (coltach ri Azure Monitor), a leigeas leat tachartasan a chruinneachadh thairis air a’ bhun-structar sgòthan agad gu lèir (a bharrachd air bho AWS). Bho shealladh tèarainteachd ann an GCP, tha ceithir logaichean aig gach buidheann, pròiseact no pasgan:

  • Gnìomh Rianachd - anns a bheil a h-uile tachartas co-cheangailte ri ruigsinneachd rianachd, mar eisimpleir, cruthachadh inneal brìgheil, atharrachadh chòraichean-slighe, msaa. Tha an loga seo an-còmhnaidh air a sgrìobhadh, ge bith dè do mhiann, agus a ’stòradh an dàta aige airson 400 latha.
  • Cothrom dàta - anns a bheil a h-uile tachartas co-cheangailte ri bhith ag obair le dàta le luchd-cleachdaidh sgòthan (cruthachadh, atharrachadh, leughadh, msaa). Gu gnàthach, chan eil an loga seo sgrìobhte, leis gu bheil an tomhas-lìonaidh aige ag èirigh gu math luath. Air an adhbhar seo, chan eil a bheatha sgeilp ach 30 latha. A bharrachd air an sin, chan eil a h-uile dad sgrìobhte san iris seo. Mar eisimpleir, chan eil tachartasan co-cheangailte ri goireasan a tha ruigsinneach don phoball don h-uile neach-cleachdaidh no a tha ruigsinneach gun logadh a-steach gu GCP air an sgrìobhadh thuige.
  • Tachartas an t-Siostaim - anns a bheil tachartasan siostam nach eil co-cheangailte ri luchd-cleachdaidh, no gnìomhan rianadair a dh’ atharraicheas rèiteachadh ghoireasan sgòthan. Tha e an-còmhnaidh air a sgrìobhadh agus air a stòradh airson 400 latha.
  • Tha Access Transparency na eisimpleir sònraichte de log a tha a’ glacadh a h-uile gnìomh aig luchd-obrach Google (ach nach eil fhathast airson a h-uile seirbheis GCP) a gheibh cothrom air a’ bhun-structair agad mar phàirt de na dleastanasan obrach aca. Tha an log seo air a stòradh airson 400 latha agus chan eil e ri fhaighinn leis a h-uile neach-dèiligidh GCP, ach dìreach ma thèid grunn chumhachan a choileanadh (an dàrna cuid taic ìre Òir no Platinum, no làthaireachd 4 dreuchdan de sheòrsa sònraichte mar phàirt de thaic corporra). Tha gnìomh coltach ris cuideachd ri fhaighinn, mar eisimpleir, ann an Office 365 - Lockbox.

Eisimpleir log: follaiseachd ruigsinneachd

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Tha e comasach faighinn a-steach do na logaichean sin ann an grunn dhòighean (mar a chaidh a dheasbad roimhe Azure agus AWS) - tron ​​​​eadar-aghaidh Log Viewer, tron ​​​​API, tro Google Cloud SDK, no tro dhuilleag gnìomhachd do phròiseact air a bheil thu. ùidh ann an tachartasan. San aon dòigh, faodar an às-mhalairt gu fuasglaidhean taobh a-muigh airson mion-sgrùdadh a bharrachd. Tha an tè mu dheireadh air a dhèanamh le bhith a’ cur a-mach logaichean gu BigQuery no Cloud Pub/Sub stòradh.

A bharrachd air Stackdriver Logging, tha an àrd-ùrlar GCP cuideachd a’ tabhann comas sgrùdaidh Stackdriver, a leigeas leat sùil a chumail air prìomh mheatrics (coileanadh, MTBF, slàinte iomlan, msaa) de sheirbheisean sgòthan agus thagraidhean. Faodaidh dàta giullachd agus lèirsinneach a dhèanamh nas fhasa duilgheadasan a lorg anns a’ bhun-structar sgòthan agad, a ’toirt a-steach ann an co-theacsa tèarainteachd. Ach bu chòir a thoirt fa-near nach bi an gnìomh seo glè bheairteach ann an co-theacsa tèarainteachd fiosrachaidh, oir an-diugh chan eil analogue aig GCP den aon AWS GuardDuty agus chan urrainn dha droch fheadhainn aithneachadh am measg a h-uile tachartas clàraichte (tha Google air Lorg Cunnart Tachartas a leasachadh, ach tha e fhathast ga leasachadh ann am beta agus tha e ro thràth airson bruidhinn mu cho feumail ‘s a tha e). Dh’ fhaodadh Sgrùdadh Stackdriver a bhith air a chleachdadh mar shiostam airson neo-riaghailteachdan a lorg, a bhiodh an uairsin air a sgrùdadh gus adhbharan an tachartais a lorg. Ach leis an gainnead luchd-obrach le teisteanas ann an raon tèarainteachd fiosrachaidh GCP sa mhargaidh, tha coltas duilich air a’ ghnìomh seo an-dràsta.

Sgrùdadh Tèarainteachd Cloud

Is fhiach cuideachd liosta a thoirt seachad de chuid de mhodalan tèarainteachd fiosrachaidh a ghabhas cleachdadh taobh a-staigh do sgòth GCP, agus a tha coltach ris na tha AWS a’ tabhann:

  • Tha Cloud Security Command Center na analog de AWS Security Hub agus Azure Security Center.
  • Cloud DLP - Lorg agus deasachadh fèin-ghluasadach (me masgadh) de dhàta air a chumail san sgòth a’ cleachdadh barrachd air 90 poileasaidh seòrsachaidh ro-mhìnichte.
  • Tha Cloud Scanner na sganair airson so-leòntachd aithnichte (XSS, Flash Injection, leabharlannan gun atharrachadh, msaa) ann an App Engine, Compute Engine agus Google Kubernetes.
  • Cloud IAM - Smachd air ruigsinneachd air a h-uile goireas GCP.
  • Dearbh-aithne Cloud - Stiùirich cunntasan cleachdaiche, inneal agus aplacaid GCP bho aon consol.
  • Cloud HSM - dìon iuchraichean criptografach.
  • Seirbheis Riaghlaidh Cloud Key - riaghladh iuchraichean criptografach ann an GCP.
  • Smachd Seirbheis VPC - Cruthaich iomall tèarainte timcheall air na goireasan GCP agad gus an dìon bho aoidion.
  • Iuchair tèarainteachd Titan - dìon an aghaidh phishing.

Sgrùdadh Tèarainteachd Cloud

Bidh mòran de na modalan sin a’ gineadh tachartasan tèarainteachd a dh’ fhaodar a chuir gu stòradh BigQuery airson mion-sgrùdadh no às-mhalairt gu siostaman eile, SIEM nam measg. Mar a chaidh ainmeachadh gu h-àrd, tha GCP na àrd-ùrlar a tha gu gnìomhach a’ leasachadh agus tha Google a-nis a’ leasachadh grunn mhodalan tèarainteachd fiosrachaidh ùra airson an àrd-ùrlar aige. Nam measg tha Lorg Cunnart Tachartas (a-nis ri fhaighinn ann am beta), a bhios a’ sganadh logaichean Stackdriver a’ lorg lorgan de ghnìomhachd gun chead (co-chosmhail ri GuardDuty ann an AWS), no Policy Intelligence (ri fhaighinn ann an alpha), a leigeas leat poileasaidhean tuigseach a leasachadh airson. cothrom air goireasan GCP.

Rinn mi tar-shealladh goirid air na comasan sgrùdaidh togte ann an àrd-ùrlaran sgòthan mòr-chòrdte. Ach a bheil eòlaichean agad a tha comasach air obrachadh le logaichean solaraiche IaaS “amh” (chan eil a h-uile duine deiseil gus comasan adhartach AWS no Azure no Google a cheannach)? A bharrachd air an sin, tha mòran eòlach air an adage “earbsa, ach dearbhaich,” a tha nas truime na bha e a-riamh ann an raon tèarainteachd. Dè an ìre anns a bheil earbsa agad ann an comasan togte an t-solaraiche sgòthan a chuireas tachartasan tèarainteachd fiosrachaidh thugad? Dè an ìre gu bheil iad a’ cuimseachadh air tèarainteachd fiosrachaidh idir?

Aig amannan is fhiach coimhead air fuasglaidhean sgrùdaidh bun-structair sgòthan ath-chòmhdach a chuireas ri tèarainteachd sgòthan togte, agus uaireannan is e fuasglaidhean mar sin an aon roghainn airson sealladh fhaighinn air tèarainteachd an dàta agad agus na tagraidhean a tha air an cumail san sgòth. A bharrachd air an sin, tha iad dìreach nas goireasaiche, leis gu bheil iad a’ gabhail os làimh a h-uile gnìomh ann a bhith a’ dèanamh anailis air na logaichean riatanach a chruthaich diofar sheirbheisean sgòthan bho dhiofar sholaraichean sgòthan. Is e eisimpleir de leithid de fhuasgladh ath-chòmhdach Cisco Stealthwatch Cloud, a tha ag amas air aon ghnìomh - a ’cumail sùil air neo-riaghailteachdan tèarainteachd fiosrachaidh ann an àrainneachdan sgòthan, a’ toirt a-steach chan e a-mhàin Amazon AWS, Microsoft Azure agus Google Cloud Platform, ach cuideachd sgòthan prìobhaideach.

Eisimpleir: Sgrùdadh Tèarainteachd Fiosrachaidh a 'cleachdadh Stealthwatch Cloud

Tha AWS a’ toirt seachad àrd-ùrlar coimpiutaireachd sùbailte, ach tha an sùbailteachd seo ga dhèanamh nas fhasa do chompanaidhean mearachdan a dhèanamh a dh’ adhbhraicheas cùisean tèarainteachd. Agus chan eil am modail tèarainteachd fiosrachaidh co-roinnte a’ cur ach ri seo. A’ ruith bathar-bog san sgòth le so-leòntachd neo-aithnichte (faodar cuir an-aghaidh feadhainn aithnichte, mar eisimpleir, le AWS Inspector no GCP Cloud Scanner), faclan-faire lag, rèiteachaidhean ceàrr, insiders, msaa. Agus tha seo uile ri fhaicinn ann an giùlan ghoireasan sgòthan, a dh’ fhaodas Cisco Stealthwatch Cloud a sgrùdadh, a tha na shiostam sgrùdaidh tèarainteachd fiosrachaidh agus lorg ionnsaigh. sgòthan poblach is prìobhaideach.

Sgrùdadh Tèarainteachd Cloud

Is e aon de na prìomh fheartan aig Cisco Stealthwatch Cloud an comas aonadan a mhodail. Leis, faodaidh tu modal bathar-bog a chruthachadh (is e sin, atharrais faisg air fìor-ùine) de gach goireas sgòthan agad (chan eil e gu diofar an e AWS, Azure, GCP no rudeigin eile a th’ ann). Faodaidh iad sin a bhith a’ toirt a-steach frithealaichean agus luchd-cleachdaidh, a bharrachd air seòrsachan ghoireasan a tha sònraichte don àrainneachd sgòthan agad, leithid buidhnean tèarainteachd agus buidhnean fèin-sgèile. Bidh na modailean sin a’ cleachdadh sruthan dàta structaraichte air an toirt seachad le seirbheisean sgòthan mar chur-a-steach. Mar eisimpleir, airson AWS bhiodh iad sin VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda, agus AWS IAM. Bidh modaladh eintiteas a ’faighinn a-mach gu fèin-ghluasadach àite agus giùlan gin de na goireasan agad (faodaidh tu bruidhinn mu bhith a’ dèanamh ìomhaigh air gnìomhachd sgòthan). Tha na dreuchdan sin a’ toirt a-steach inneal gluasadach Android no Apple, frithealaiche Citrix PVS, frithealaiche RDP, geata puist, teachdaiche VoIP, frithealaiche crìochnachaidh, rianadair fearainn, msaa. Bidh e an uairsin a’ cumail sùil leantainneach air an giùlan gus faighinn a-mach cuin a thachras giùlan cunnartach no cunnartach. Is urrainn dhut tomhas facal-faire aithneachadh, ionnsaighean DDoS, aoidion dàta, ruigsinneachd iomallach mì-laghail, gnìomhachd còd droch-rùnach, sganadh so-leòntachd agus bagairtean eile. Mar eisimpleir, is e seo a tha a’ lorg oidhirp ruigsinneachd iomallach bho dhùthaich a tha neo-àbhaisteach don bhuidheann agad (Corea a Deas) gu cruinneachadh Kubernetes tro SSH:

Sgrùdadh Tèarainteachd Cloud

Agus is e seo a tha coltach ris an aodion fiosrachaidh bho stòr-dàta Postgress gu dùthaich leis nach do choinnich sinn ri eadar-obrachadh roimhe seo:

Sgrùdadh Tèarainteachd Cloud

Mu dheireadh, is e seo cò ris a tha cus oidhirpean SSH air fàiligeadh à Sìona agus Indonesia bho inneal iomallach taobh a-muigh coltach:

Sgrùdadh Tèarainteachd Cloud

No, is dòcha nach bi eisimpleir an fhrithealaiche anns an VPC, a rèir poileasaidh, gu bhith na cheann-uidhe logadh a-steach iomallach. Gabhamaid a-rithist gun d’ fhuair a’ choimpiutair seo eòlas air logadh a-steach iomallach mar thoradh air atharrachadh mearachdach ann am poileasaidh riaghailtean balla-teine. Lorgaidh am feart Modeling Entity agus bheir e cunntas air a’ ghnìomhachd seo (“Ruigsinneachd Iomallach Neo-àbhaisteach”) faisg air fìor-ùine agus comharraichidh e gu sònraichte gairm AWS CloudTrail, Azure Monitor, no GCP Stackdriver Loging API (a’ toirt a-steach ainm-cleachdaidh, ceann-latha agus àm, am measg mion-fhiosrachadh eile ) a bhrosnaich atharrachadh air riaghailt ITU. Agus an uairsin faodar am fiosrachadh seo a chuir gu SIEM airson mion-sgrùdadh.

Sgrùdadh Tèarainteachd Cloud

Tha comasan coltach ris air an cur an gnìomh airson àrainneachd sgòthan sam bith le taic bho Cisco Stealthwatch Cloud:

Sgrùdadh Tèarainteachd Cloud

Tha modaladh eintiteas na sheòrsa sònraichte de fèin-ghluasad tèarainteachd a dh’ aithnicheas duilgheadas nach robh fios againn roimhe le do dhaoine, pròiseasan no teicneòlas. Mar eisimpleir, leigidh e leat duilgheadasan tèarainteachd a lorg, am measg rudan eile, leithid:

  • A bheil cuideigin air cùl-raon a lorg anns a’ bhathar-bog a bhios sinn a’ cleachdadh?
  • A bheil bathar-bog no inneal treas-phàrtaidh sam bith san sgòth againn?
  • A bheil an neach-cleachdaidh ùghdarraichte a’ dèanamh ana-cleachdadh air sochairean?
  • An robh mearachd rèiteachaidh ann a leig le ruigsinneachd iomallach no cleachdadh ghoireasan eile gun dùil?
  • A bheil aodion dàta bho na frithealaichean againn?
  • An robh cuideigin a’ feuchainn ri ceangal rinn bho àite cruinn-eòlasach neo-àbhaisteach?
  • A bheil an sgòth againn air a ghlacadh le còd droch-rùnach?

Sgrùdadh Tèarainteachd Cloud

Faodar tachartas tèarainteachd fiosrachaidh a chaidh a lorg a chuir ann an cruth tiogaid co-fhreagarrach gu Slack, Cisco Spark, siostam riaghlaidh tachartas PagerDuty, agus cuideachd a chuir gu diofar SIEMn, Splunk no ELK nam measg. Gus geàrr-chunntas a dhèanamh, is urrainn dhuinn a ràdh ma chleachdas a ’chompanaidh agad ro-innleachd ioma-sgòthan agus nach eil e cuingealaichte ri aon sholaraiche sgòthan, na comasan sgrùdaidh tèarainteachd fiosrachaidh a tha air am mìneachadh gu h-àrd, an uairsin a’ cleachdadh Cisco Stealthwatch Cloud na roghainn math airson seata sgrùdaidh aonaichte fhaighinn. comasan airson na prìomh chluicheadairean sgòthan - Amazon, Microsoft agus Google. Is e an rud as inntinniche ma nì thu coimeas eadar prìsean Stealthwatch Cloud le ceadan adhartach airson sgrùdadh tèarainteachd fiosrachaidh ann an AWS, Azure no GCP, is dòcha gum bi fuasgladh Cisco eadhon nas saoire na comasan togte Amazon, Microsoft. agus fuasglaidhean Google. Tha e paradoxical, ach tha e fìor. Agus mar as motha de sgòthan agus na comasan a chleachdas tu, is ann as fhollaisiche a bhios buannachd fuasgladh daingnichte.

Sgrùdadh Tèarainteachd Cloud

A bharrachd air an sin, faodaidh Stealthwatch Cloud sùil a chumail air sgòthan prìobhaideach a tha air an cleachdadh sa bhuidheann agad, mar eisimpleir, stèidhichte air soithichean Kubernetes no le bhith a’ cumail sùil air sruthan Netflow no trafaic lìonraidh a gheibhear tro sgàthan ann an uidheamachd lìonra (eadhon cinneasachadh dachaigheil), dàta AD no frithealaichean DNS agus mar sin air adhart. Bidh an dàta seo gu lèir air a bheairteachadh le fiosrachadh Threat Intelligence a chruinnich Cisco Talos, a’ bhuidheann neo-riaghaltais as motha san t-saoghal de luchd-rannsachaidh bagairt cybersecurity.

Sgrùdadh Tèarainteachd Cloud

Leigidh seo leat siostam sgrùdaidh aonaichte a chuir an gnìomh airson sgòthan poblach agus tar-chinealach a dh’ fhaodadh do chompanaidh a chleachdadh. Faodar an fhiosrachadh a chaidh a chruinneachadh an uairsin a sgrùdadh le bhith a’ cleachdadh comasan togte Stealthwatch Cloud no a chuir chun SIEM agad (tha Splunk, ELK, SumoLogic agus grunn eile a’ faighinn taic gu bunaiteach).

Le seo, cuiridh sinn crìoch air a’ chiad phàirt den artaigil, anns an do rinn mi ath-sgrùdadh air na h-innealan a-staigh agus a-muigh airson sùil a chumail air tèarainteachd fiosrachaidh àrd-ùrlaran IaaS/PaaS, a leigeas leinn tachartasan a tha a’ tachairt anns na h-àrainneachdan sgòthan a lorg agus a fhreagairt gu sgiobalta. tha an iomairt againn air roghnachadh. Anns an dàrna pàirt, leanaidh sinn air adhart leis a’ chuspair agus bheir sinn sùil air roghainnean airson sùil a chumail air àrd-ùrlaran SaaS a’ cleachdadh an eisimpleir de Salesforce agus Dropbox, agus feuchaidh sinn cuideachd ri geàrr-chunntas agus a h-uile càil a chuir ri chèile le bhith a’ cruthachadh siostam sgrùdaidh tèarainteachd fiosrachaidh aonaichte airson diofar sholaraichean sgòthan.

Source: www.habr.com

Cuir beachd ann