ಸುರಕ್ಷತಾ ಸಾಧನವಾಗಿ ಹೋಲ್ - 2, ಅಥವಾ APT ಅನ್ನು "ಲೈವ್ ಬೆಟ್‌ನಲ್ಲಿ" ಹಿಡಿಯುವುದು ಹೇಗೆ

(ಶೀರ್ಷಿಕೆ ಕಲ್ಪನೆಗಾಗಿ ಸೆರ್ಗೆ ಜಿ. ಬ್ರೆಸ್ಟರ್‌ಗೆ ಧನ್ಯವಾದಗಳು ಸೆಬ್ರೆಸ್)

ಸಹೋದ್ಯೋಗಿಗಳೇ, ಡಿಸೆಪ್ಶನ್ ತಂತ್ರಜ್ಞಾನಗಳ ಆಧಾರದ ಮೇಲೆ ಹೊಸ ವರ್ಗದ IDS ಪರಿಹಾರಗಳ ಒಂದು ವರ್ಷದ ಅವಧಿಯ ಪರೀಕ್ಷಾ ಕಾರ್ಯಾಚರಣೆಯ ಅನುಭವವನ್ನು ಹಂಚಿಕೊಳ್ಳುವುದು ಈ ಲೇಖನದ ಉದ್ದೇಶವಾಗಿದೆ.

ವಸ್ತುವಿನ ಪ್ರಸ್ತುತಿಯ ತಾರ್ಕಿಕ ಸುಸಂಬದ್ಧತೆಯನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳಲು, ಆವರಣದಿಂದ ಪ್ರಾರಂಭಿಸುವುದು ಅಗತ್ಯವೆಂದು ನಾನು ಪರಿಗಣಿಸುತ್ತೇನೆ. ಆದ್ದರಿಂದ, ಸಮಸ್ಯೆ:

1. ಒಟ್ಟು ಬೆದರಿಕೆಗಳ ಸಂಖ್ಯೆಯಲ್ಲಿ ಅವರ ಪಾಲು ಚಿಕ್ಕದಾಗಿದೆ ಎಂಬ ವಾಸ್ತವದ ಹೊರತಾಗಿಯೂ, ಉದ್ದೇಶಿತ ದಾಳಿಗಳು ಅತ್ಯಂತ ಅಪಾಯಕಾರಿ ದಾಳಿಯಾಗಿದೆ.
2. ಪರಿಧಿಯನ್ನು (ಅಥವಾ ಅಂತಹ ವಿಧಾನಗಳ ಒಂದು ಸೆಟ್) ರಕ್ಷಿಸುವ ಯಾವುದೇ ಖಾತರಿಯ ಪರಿಣಾಮಕಾರಿ ವಿಧಾನಗಳನ್ನು ಇನ್ನೂ ಕಂಡುಹಿಡಿಯಲಾಗಿಲ್ಲ.
3. ನಿಯಮದಂತೆ, ಉದ್ದೇಶಿತ ದಾಳಿಗಳು ಹಲವಾರು ಹಂತಗಳಲ್ಲಿ ನಡೆಯುತ್ತವೆ. ಪರಿಧಿಯನ್ನು ಮೀರುವುದು ಆರಂಭಿಕ ಹಂತಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ, ಇದು (ನೀವು ನನ್ನ ಮೇಲೆ ಕಲ್ಲುಗಳನ್ನು ಎಸೆಯಬಹುದು) "ಬಲಿಪಶು" ಗೆ ಹೆಚ್ಚಿನ ಹಾನಿಯನ್ನುಂಟುಮಾಡುವುದಿಲ್ಲ, ಹೊರತು, ಇದು DEoS (ಸೇವೆಯ ನಾಶ) ದಾಳಿ (ಎನ್‌ಕ್ರಿಪ್ಟರ್‌ಗಳು, ಇತ್ಯಾದಿ. .) ನಿಜವಾದ "ನೋವು" ನಂತರ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ, ವಶಪಡಿಸಿಕೊಂಡ ಸ್ವತ್ತುಗಳನ್ನು ಪಿವೋಟಿಂಗ್ ಮಾಡಲು ಮತ್ತು "ಆಳ" ದಾಳಿಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಬಳಸಲಾರಂಭಿಸಿದಾಗ ಮತ್ತು ನಾವು ಇದನ್ನು ಗಮನಿಸಲಿಲ್ಲ.
4. ದಾಳಿಕೋರರು ಅಂತಿಮವಾಗಿ ದಾಳಿಯ ಗುರಿಗಳನ್ನು (ಅಪ್ಲಿಕೇಶನ್ ಸರ್ವರ್‌ಗಳು, ಡಿಬಿಎಂಎಸ್, ಡೇಟಾ ಗೋದಾಮುಗಳು, ರೆಪೊಸಿಟರಿಗಳು, ನಿರ್ಣಾಯಕ ಮೂಲಸೌಕರ್ಯ ಅಂಶಗಳು) ತಲುಪಿದಾಗ ನಾವು ನಿಜವಾದ ನಷ್ಟವನ್ನು ಅನುಭವಿಸಲು ಪ್ರಾರಂಭಿಸುವುದರಿಂದ, ಮಾಹಿತಿ ಭದ್ರತಾ ಸೇವೆಯ ಕಾರ್ಯಗಳಲ್ಲಿ ಒಂದಕ್ಕಿಂತ ಮೊದಲು ದಾಳಿಯನ್ನು ಅಡ್ಡಿಪಡಿಸುವುದು ತಾರ್ಕಿಕವಾಗಿದೆ. ಈ ದುಃಖದ ಘಟನೆ. ಆದರೆ ಏನನ್ನಾದರೂ ಅಡ್ಡಿಪಡಿಸಲು, ನೀವು ಮೊದಲು ಅದರ ಬಗ್ಗೆ ಕಂಡುಹಿಡಿಯಬೇಕು. ಮತ್ತು ಬೇಗ, ಉತ್ತಮ.
5. ಅಂತೆಯೇ, ಯಶಸ್ವಿ ಅಪಾಯ ನಿರ್ವಹಣೆಗಾಗಿ (ಅಂದರೆ, ಉದ್ದೇಶಿತ ದಾಳಿಯಿಂದ ಹಾನಿಯನ್ನು ಕಡಿಮೆ ಮಾಡುವುದು), ಕನಿಷ್ಠ ಟಿಟಿಡಿಯನ್ನು ಒದಗಿಸುವ ಸಾಧನಗಳನ್ನು ಹೊಂದಿರುವುದು ನಿರ್ಣಾಯಕವಾಗಿದೆ (ಪತ್ತೆಹಚ್ಚಲು ಸಮಯ - ಆಕ್ರಮಣದ ಕ್ಷಣದಿಂದ ದಾಳಿ ಪತ್ತೆಯಾದ ಕ್ಷಣದವರೆಗೆ). ಉದ್ಯಮ ಮತ್ತು ಪ್ರದೇಶವನ್ನು ಅವಲಂಬಿಸಿ, ಈ ಅವಧಿಯು US ನಲ್ಲಿ ಸರಾಸರಿ 99 ದಿನಗಳು, EMEA ಪ್ರದೇಶದಲ್ಲಿ 106 ದಿನಗಳು, APAC ಪ್ರದೇಶದಲ್ಲಿ 172 ದಿನಗಳು (M-ಟ್ರೆಂಡ್ಸ್ 2017, ಮುಂಭಾಗದ ಸಾಲುಗಳಿಂದ ಒಂದು ನೋಟ, ಮ್ಯಾಂಡಿಯಾಂಟ್).
6. ಮಾರುಕಟ್ಟೆ ಏನು ನೀಡುತ್ತದೆ?
   • "ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ಗಳು". ಮತ್ತೊಂದು ತಡೆಗಟ್ಟುವ ನಿಯಂತ್ರಣ, ಇದು ಆದರ್ಶದಿಂದ ದೂರವಿದೆ. ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು ಬೈಪಾಸ್ ಮಾಡಲು ಅಥವಾ ಶ್ವೇತಪಟ್ಟಿ ಪರಿಹಾರಗಳಿಗೆ ಹಲವು ಪರಿಣಾಮಕಾರಿ ತಂತ್ರಗಳಿವೆ. "ಡಾರ್ಕ್ ಸೈಡ್" ನ ವ್ಯಕ್ತಿಗಳು ಇಲ್ಲಿ ಇನ್ನೂ ಒಂದು ಹೆಜ್ಜೆ ಮುಂದಿದ್ದಾರೆ.
   • UEBA (ಪ್ರೊಫೈಲಿಂಗ್ ನಡವಳಿಕೆ ಮತ್ತು ವಿಚಲನಗಳನ್ನು ಗುರುತಿಸುವ ವ್ಯವಸ್ಥೆಗಳು) - ಸಿದ್ಧಾಂತದಲ್ಲಿ, ಬಹಳ ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ. ಆದರೆ, ನನ್ನ ಅಭಿಪ್ರಾಯದಲ್ಲಿ, ಇದು ದೂರದ ಭವಿಷ್ಯದಲ್ಲಿ. ಪ್ರಾಯೋಗಿಕವಾಗಿ, ಇದು ಇನ್ನೂ ತುಂಬಾ ದುಬಾರಿಯಾಗಿದೆ, ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲ ಮತ್ತು ಬಹಳ ಪ್ರಬುದ್ಧ ಮತ್ತು ಸ್ಥಿರವಾದ IT ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ಮೂಲಸೌಕರ್ಯ ಅಗತ್ಯವಿರುತ್ತದೆ, ಇದು ವರ್ತನೆಯ ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಡೇಟಾವನ್ನು ರಚಿಸುವ ಎಲ್ಲಾ ಸಾಧನಗಳನ್ನು ಈಗಾಗಲೇ ಹೊಂದಿದೆ.
   • SIEM ತನಿಖೆಗಳಿಗೆ ಉತ್ತಮ ಸಾಧನವಾಗಿದೆ, ಆದರೆ ಹೊಸ ಮತ್ತು ಮೂಲವನ್ನು ಸಮಯೋಚಿತವಾಗಿ ನೋಡಲು ಮತ್ತು ತೋರಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ಪರಸ್ಪರ ಸಂಬಂಧದ ನಿಯಮಗಳು ಸಹಿಗಳಂತೆಯೇ ಇರುತ್ತವೆ.

7. ಪರಿಣಾಮವಾಗಿ, ಒಂದು ಉಪಕರಣದ ಅವಶ್ಯಕತೆಯಿದೆ:
   • ಈಗಾಗಲೇ ರಾಜಿ ಮಾಡಿಕೊಂಡ ಪರಿಧಿಯ ಪರಿಸ್ಥಿತಿಗಳಲ್ಲಿ ಯಶಸ್ವಿಯಾಗಿ ಕೆಲಸ ಮಾಡಿದೆ,
   • ಬಳಸಿದ ಉಪಕರಣಗಳು ಮತ್ತು ದುರ್ಬಲತೆಗಳನ್ನು ಲೆಕ್ಕಿಸದೆ ನೈಜ ಸಮಯದಲ್ಲಿ ಯಶಸ್ವಿ ದಾಳಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ,
   • ಸಹಿಗಳು/ನಿಯಮಗಳು/ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು/ನೀತಿಗಳು/ಪ್ರೊಫೈಲ್‌ಗಳು ಮತ್ತು ಇತರ ಸ್ಥಿರ ವಿಷಯಗಳ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿಲ್ಲ,
   • ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಹೆಚ್ಚಿನ ಪ್ರಮಾಣದ ಡೇಟಾ ಮತ್ತು ಅವುಗಳ ಮೂಲಗಳ ಅಗತ್ಯವಿರಲಿಲ್ಲ,
   • "ವಿಶ್ವದ ಅತ್ಯುತ್ತಮ, ಪೇಟೆಂಟ್ ಪಡೆದ ಮತ್ತು ಆದ್ದರಿಂದ ಮುಚ್ಚಿದ ಗಣಿತಶಾಸ್ತ್ರ" ದ ಕೆಲಸದ ಪರಿಣಾಮವಾಗಿ ಆಕ್ರಮಣಗಳನ್ನು ಕೆಲವು ರೀತಿಯ ಅಪಾಯ-ಸ್ಕೋರಿಂಗ್ ಎಂದು ವ್ಯಾಖ್ಯಾನಿಸಲು ಅನುಮತಿಸುವುದಿಲ್ಲ, ಇದು ಹೆಚ್ಚುವರಿ ತನಿಖೆಯ ಅಗತ್ಯವಿರುತ್ತದೆ, ಆದರೆ ಪ್ರಾಯೋಗಿಕವಾಗಿ ಬೈನರಿ ಘಟನೆಯಾಗಿ - "ಹೌದು, ನಮ್ಮ ಮೇಲೆ ದಾಳಿ ನಡೆಯುತ್ತಿದೆ" ಅಥವಾ "ಇಲ್ಲ, ಎಲ್ಲವೂ ಸರಿಯಾಗಿದೆ",
   • ಬಳಸಿದ ಭೌತಿಕ ಮತ್ತು ತಾರ್ಕಿಕ ನೆಟ್‌ವರ್ಕ್ ಟೋಪೋಲಜಿಯನ್ನು ಲೆಕ್ಕಿಸದೆಯೇ, ಸಾರ್ವತ್ರಿಕ, ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಸ್ಕೇಲೆಬಲ್ ಮತ್ತು ಯಾವುದೇ ವೈವಿಧ್ಯಮಯ ಪರಿಸರದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕಾರ್ಯಸಾಧ್ಯವಾಗಿತ್ತು.

ವಂಚನೆಯ ಪರಿಹಾರಗಳು ಎಂದು ಕರೆಯಲ್ಪಡುವವು ಈಗ ಅಂತಹ ಸಾಧನದ ಪಾತ್ರಕ್ಕಾಗಿ ಸ್ಪರ್ಧಿಸುತ್ತಿವೆ. ಅಂದರೆ, ಹನಿಪಾಟ್‌ಗಳ ಉತ್ತಮ ಹಳೆಯ ಪರಿಕಲ್ಪನೆಯನ್ನು ಆಧರಿಸಿದ ಪರಿಹಾರಗಳು, ಆದರೆ ಸಂಪೂರ್ಣವಾಗಿ ವಿಭಿನ್ನ ಮಟ್ಟದ ಅನುಷ್ಠಾನದೊಂದಿಗೆ. ಈ ವಿಷಯವು ಈಗ ಖಂಡಿತವಾಗಿಯೂ ಹೆಚ್ಚುತ್ತಿದೆ.

ಫಲಿತಾಂಶಗಳ ಪ್ರಕಾರ ಗಾರ್ಟ್ನರ್ ಸೆಕ್ಯುರಿಟಿ & ರಿಸ್ಕ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಶೃಂಗಸಭೆ 2017 ವಂಚನೆಯ ಪರಿಹಾರಗಳನ್ನು TOP 3 ತಂತ್ರಗಳು ಮತ್ತು ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡಲಾದ ಪರಿಕರಗಳಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ.

ವರದಿಯ ಪ್ರಕಾರ TAG ಸೈಬರ್‌ ಸೆಕ್ಯುರಿಟಿ ವಾರ್ಷಿಕ 2017 IDS ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ವ್ಯವಸ್ಥೆಗಳು) ಪರಿಹಾರಗಳ ಅಭಿವೃದ್ಧಿಯ ಮುಖ್ಯ ನಿರ್ದೇಶನಗಳಲ್ಲಿ ವಂಚನೆಯು ಒಂದು.

ನಂತರದ ಸಂಪೂರ್ಣ ವಿಭಾಗ ಸಿಸ್ಕೋ ಸ್ಟೇಟ್ ಆಫ್ ಐಟಿ ಭದ್ರತಾ ವರದಿ, SCADA ಗೆ ಸಮರ್ಪಿಸಲಾಗಿದೆ, ಈ ಮಾರುಕಟ್ಟೆಯ ನಾಯಕರಲ್ಲಿ ಒಬ್ಬರಾದ TrapX ಸೆಕ್ಯುರಿಟಿ (ಇಸ್ರೇಲ್) ನಿಂದ ಡೇಟಾವನ್ನು ಆಧರಿಸಿದೆ, ಇದರ ಪರಿಹಾರವು ನಮ್ಮ ಪರೀಕ್ಷಾ ಪ್ರದೇಶದಲ್ಲಿ ಒಂದು ವರ್ಷದಿಂದ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆ.

ಟ್ರಾಪ್‌ಎಕ್ಸ್ ಡಿಸೆಪ್ಶನ್ ಗ್ರಿಡ್ ನಿಮಗೆ ಹಾರ್ಡ್‌ವೇರ್ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ಪರವಾನಗಿ ಲೋಡ್ ಮತ್ತು ಅಗತ್ಯತೆಗಳನ್ನು ಹೆಚ್ಚಿಸದೆಯೇ, ಬೃಹತ್ ಪ್ರಮಾಣದಲ್ಲಿ ವಿತರಿಸಲಾದ IDS ಅನ್ನು ಕೇಂದ್ರೀಯವಾಗಿ ವೆಚ್ಚ ಮಾಡಲು ಮತ್ತು ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ವಾಸ್ತವವಾಗಿ, ಟ್ರಾಪ್‌ಎಕ್ಸ್ ಒಂದು ಕನ್‌ಸ್ಟ್ರಕ್ಟರ್ ಆಗಿದ್ದು, ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಐಟಿ ಮೂಲಸೌಕರ್ಯದ ಅಂಶಗಳಿಂದ ಎಂಟರ್‌ಪ್ರೈಸ್-ವೈಡ್ ಸ್ಕೇಲ್‌ನಲ್ಲಿ ದಾಳಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಒಂದು ದೊಡ್ಡ ಕಾರ್ಯವಿಧಾನವನ್ನು ರಚಿಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ, ಇದು ಒಂದು ರೀತಿಯ ವಿತರಣೆ ನೆಟ್‌ವರ್ಕ್ “ಅಲಾರ್ಮ್”.

ಪರಿಹಾರ ರಚನೆ

ನಮ್ಮ ಪ್ರಯೋಗಾಲಯದಲ್ಲಿ ನಾವು ಐಟಿ ಭದ್ರತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ವಿವಿಧ ಹೊಸ ಉತ್ಪನ್ನಗಳನ್ನು ನಿರಂತರವಾಗಿ ಅಧ್ಯಯನ ಮಾಡುತ್ತೇವೆ ಮತ್ತು ಪರೀಕ್ಷಿಸುತ್ತೇವೆ. ಪ್ರಸ್ತುತ, ಟ್ರಾಪ್‌ಎಕ್ಸ್ ಡಿಸೆಪ್ಶನ್ ಗ್ರಿಡ್ ಘಟಕಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಸುಮಾರು 50 ವಿಭಿನ್ನ ವರ್ಚುವಲ್ ಸರ್ವರ್‌ಗಳನ್ನು ಇಲ್ಲಿ ನಿಯೋಜಿಸಲಾಗಿದೆ.

ಆದ್ದರಿಂದ, ಮೇಲಿನಿಂದ ಕೆಳಕ್ಕೆ:

1. TSOC (TrapX ಸೆಕ್ಯುರಿಟಿ ಆಪರೇಷನ್ ಕನ್ಸೋಲ್) ವ್ಯವಸ್ಥೆಯ ಮೆದುಳು. ಇದು ಕೇಂದ್ರ ನಿರ್ವಹಣಾ ಕನ್ಸೋಲ್ ಆಗಿದ್ದು, ಅದರ ಮೂಲಕ ಸಂರಚನೆ, ಪರಿಹಾರದ ನಿಯೋಜನೆ ಮತ್ತು ಎಲ್ಲಾ ದಿನನಿತ್ಯದ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ. ಇದು ವೆಬ್ ಸೇವೆಯಾಗಿರುವುದರಿಂದ, ಅದನ್ನು ಎಲ್ಲಿ ಬೇಕಾದರೂ ನಿಯೋಜಿಸಬಹುದು - ಪರಿಧಿಯಲ್ಲಿ, ಕ್ಲೌಡ್‌ನಲ್ಲಿ ಅಥವಾ MSSP ಪೂರೈಕೆದಾರರಲ್ಲಿ.
2. ಟ್ರಾಪ್‌ಎಕ್ಸ್ ಅಪ್ಲೈಯನ್ಸ್ (ಟಿಎಸ್‌ಎ) ವರ್ಚುವಲ್ ಸರ್ವರ್ ಆಗಿದ್ದು, ಟ್ರಂಕ್ ಪೋರ್ಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಾವು ಮೇಲ್ವಿಚಾರಣೆಯೊಂದಿಗೆ ಕವರ್ ಮಾಡಲು ಬಯಸುವ ಸಬ್‌ನೆಟ್‌ಗಳನ್ನು ಸಂಪರ್ಕಿಸುತ್ತೇವೆ. ಅಲ್ಲದೆ, ನಮ್ಮ ಎಲ್ಲಾ ನೆಟ್‌ವರ್ಕ್ ಸಂವೇದಕಗಳು ಇಲ್ಲಿ "ಲೈವ್" ಆಗಿರುತ್ತವೆ.

   ನಮ್ಮ ಲ್ಯಾಬ್ ಒಂದು TSA ಅನ್ನು ನಿಯೋಜಿಸಿದೆ (mwsapp1), ಆದರೆ ವಾಸ್ತವದಲ್ಲಿ ಹಲವು ಇರಬಹುದು. ವಿಭಾಗಗಳ ನಡುವೆ L2 ಸಂಪರ್ಕವಿಲ್ಲದ ದೊಡ್ಡ ನೆಟ್‌ವರ್ಕ್‌ಗಳಲ್ಲಿ ಇದು ಅಗತ್ಯವಾಗಬಹುದು (ಒಂದು ವಿಶಿಷ್ಟ ಉದಾಹರಣೆಯೆಂದರೆ "ಹೋಲ್ಡಿಂಗ್ ಮತ್ತು ಅಂಗಸಂಸ್ಥೆಗಳು" ಅಥವಾ "ಬ್ಯಾಂಕ್ ಮುಖ್ಯ ಕಚೇರಿ ಮತ್ತು ಶಾಖೆಗಳು") ಅಥವಾ ನೆಟ್ವರ್ಕ್ ಪ್ರತ್ಯೇಕವಾದ ವಿಭಾಗಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, ಉದಾಹರಣೆಗೆ, ಸ್ವಯಂಚಾಲಿತ ಪ್ರಕ್ರಿಯೆ ನಿಯಂತ್ರಣ ವ್ಯವಸ್ಥೆಗಳು. ಅಂತಹ ಪ್ರತಿಯೊಂದು ಶಾಖೆ/ವಿಭಾಗದಲ್ಲಿ, ನೀವು ನಿಮ್ಮ ಸ್ವಂತ TSA ಅನ್ನು ನಿಯೋಜಿಸಬಹುದು ಮತ್ತು ಅದನ್ನು ಒಂದೇ TSOC ಗೆ ಸಂಪರ್ಕಿಸಬಹುದು, ಅಲ್ಲಿ ಎಲ್ಲಾ ಮಾಹಿತಿಯನ್ನು ಕೇಂದ್ರೀಯವಾಗಿ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲಾಗುತ್ತದೆ. ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಆಮೂಲಾಗ್ರವಾಗಿ ಪುನರ್‌ರಚಿಸುವ ಅಥವಾ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ವಿಭಾಗವನ್ನು ಅಡ್ಡಿಪಡಿಸುವ ಅಗತ್ಯವಿಲ್ಲದೇ ವಿತರಿಸಿದ ಮೇಲ್ವಿಚಾರಣಾ ವ್ಯವಸ್ಥೆಗಳನ್ನು ನಿರ್ಮಿಸಲು ಈ ಆರ್ಕಿಟೆಕ್ಚರ್ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

   ಅಲ್ಲದೆ, TAP/SPAN ಮೂಲಕ TSA ಗೆ ಹೊರಹೋಗುವ ದಟ್ಟಣೆಯ ನಕಲನ್ನು ನಾವು ಸಲ್ಲಿಸಬಹುದು. ನಾವು ತಿಳಿದಿರುವ ಬೋಟ್ನೆಟ್‌ಗಳು, ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್‌ಗಳು ಅಥವಾ TOR ಸೆಷನ್‌ಗಳೊಂದಿಗೆ ಸಂಪರ್ಕಗಳನ್ನು ಪತ್ತೆ ಮಾಡಿದರೆ, ನಾವು ಕನ್ಸೋಲ್‌ನಲ್ಲಿ ಫಲಿತಾಂಶವನ್ನು ಸಹ ಸ್ವೀಕರಿಸುತ್ತೇವೆ. ನೆಟ್‌ವರ್ಕ್ ಇಂಟೆಲಿಜೆನ್ಸ್ ಸೆನ್ಸರ್ (ಎನ್‌ಐಎಸ್) ಇದಕ್ಕೆ ಕಾರಣವಾಗಿದೆ. ನಮ್ಮ ಪರಿಸರದಲ್ಲಿ, ಈ ಕಾರ್ಯವನ್ನು ಫೈರ್‌ವಾಲ್‌ನಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ, ಆದ್ದರಿಂದ ನಾವು ಅದನ್ನು ಇಲ್ಲಿ ಬಳಸಲಿಲ್ಲ.

3. ಅಪ್ಲಿಕೇಶನ್ ಟ್ರ್ಯಾಪ್ಸ್ (ಪೂರ್ಣ ಓಎಸ್) - ವಿಂಡೋಸ್ ಸರ್ವರ್‌ಗಳನ್ನು ಆಧರಿಸಿದ ಸಾಂಪ್ರದಾಯಿಕ ಹನಿಪಾಟ್‌ಗಳು. ಅವುಗಳಲ್ಲಿ ಹೆಚ್ಚಿನವು ನಿಮಗೆ ಅಗತ್ಯವಿಲ್ಲ, ಏಕೆಂದರೆ ಈ ಸರ್ವರ್‌ಗಳ ಮುಖ್ಯ ಉದ್ದೇಶವು ಮುಂದಿನ ಸಂವೇದಕಗಳಿಗೆ IT ಸೇವೆಗಳನ್ನು ಒದಗಿಸುವುದು ಅಥವಾ Windows ಪರಿಸರದಲ್ಲಿ ನಿಯೋಜಿಸಬಹುದಾದ ವ್ಯಾಪಾರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಪತ್ತೆ ಮಾಡುವುದು. ನಮ್ಮ ಪ್ರಯೋಗಾಲಯದಲ್ಲಿ (FOS01) ಅಂತಹ ಒಂದು ಸರ್ವರ್ ಅನ್ನು ನಾವು ಸ್ಥಾಪಿಸಿದ್ದೇವೆ

   

4. ಎಮ್ಯುಲೇಟೆಡ್ ಬಲೆಗಳು ಪರಿಹಾರದ ಮುಖ್ಯ ಅಂಶವಾಗಿದೆ, ಇದು ಒಂದೇ ಒಂದು ವರ್ಚುವಲ್ ಯಂತ್ರವನ್ನು ಬಳಸಿಕೊಂಡು ದಾಳಿಕೋರರಿಗೆ ಅತ್ಯಂತ ದಟ್ಟವಾದ "ಮೈನ್‌ಫೀಲ್ಡ್" ಅನ್ನು ರಚಿಸಲು ಮತ್ತು ಎಂಟರ್‌ಪ್ರೈಸ್ ನೆಟ್‌ವರ್ಕ್, ಅದರ ಎಲ್ಲಾ ವ್ಲಾನ್‌ಗಳನ್ನು ನಮ್ಮ ಸಂವೇದಕಗಳೊಂದಿಗೆ ಸ್ಯಾಚುರೇಟ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ಆಕ್ರಮಣಕಾರರು ಅಂತಹ ಸಂವೇದಕ ಅಥವಾ ಫ್ಯಾಂಟಮ್ ಹೋಸ್ಟ್ ಅನ್ನು ನಿಜವಾದ Windows PC ಅಥವಾ ಸರ್ವರ್, Linux ಸರ್ವರ್ ಅಥವಾ ನಾವು ತೋರಿಸಲು ನಿರ್ಧರಿಸುವ ಇತರ ಸಾಧನವಾಗಿ ನೋಡುತ್ತಾರೆ.

   
   
   Для пользы дела и любопытства ради, мы развернули «каждой твари по паре» — Windows ПК и серверы различных версий, Linux-серверы, банкомат c Windows embedded, SWIFT Web Access, сетевой принтер, коммутатор Cisco, IP-камера Axis, макбук, PLC-устройство и даже умную лампочку. Всего — 13 хостов. Вообще, вендор рекомендует разворачивать такие сенсоры в количестве минимум 10% от количества реальных хостов. Верхняя планка — это доступное адресное пространство.

   ಬಹಳ ಮುಖ್ಯವಾದ ಅಂಶವೆಂದರೆ ಅಂತಹ ಪ್ರತಿಯೊಂದು ಹೋಸ್ಟ್ ಸಂಪನ್ಮೂಲಗಳು ಮತ್ತು ಪರವಾನಗಿಗಳ ಅಗತ್ಯವಿರುವ ಪೂರ್ಣ ಪ್ರಮಾಣದ ವರ್ಚುವಲ್ ಯಂತ್ರವಲ್ಲ. ಇದು ಡಿಕೋಯ್, ಎಮ್ಯುಲೇಶನ್, TSA ನಲ್ಲಿ ಒಂದು ಪ್ರಕ್ರಿಯೆ, ಇದು ನಿಯತಾಂಕಗಳ ಸೆಟ್ ಮತ್ತು IP ವಿಳಾಸವನ್ನು ಹೊಂದಿದೆ. ಆದ್ದರಿಂದ, ಒಂದು TSA ಸಹಾಯದಿಂದ, ನಾವು ನೂರಾರು ಅಂತಹ ಫ್ಯಾಂಟಮ್ ಹೋಸ್ಟ್ಗಳೊಂದಿಗೆ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಸ್ಯಾಚುರೇಟ್ ಮಾಡಬಹುದು, ಇದು ಎಚ್ಚರಿಕೆಯ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಸಂವೇದಕಗಳಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ. ಈ ತಂತ್ರಜ್ಞಾನವು ಯಾವುದೇ ದೊಡ್ಡ ವಿತರಣೆ ಉದ್ಯಮದಾದ್ಯಂತ ಹನಿಪಾಟ್ ಪರಿಕಲ್ಪನೆಯನ್ನು ವೆಚ್ಚ-ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಅಳೆಯಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ.

   ಆಕ್ರಮಣಕಾರರ ದೃಷ್ಟಿಕೋನದಿಂದ, ಈ ಅತಿಥೇಯಗಳು ಆಕರ್ಷಕವಾಗಿವೆ ಏಕೆಂದರೆ ಅವುಗಳು ದುರ್ಬಲತೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ ಮತ್ತು ತುಲನಾತ್ಮಕವಾಗಿ ಸುಲಭವಾದ ಗುರಿಗಳಾಗಿ ಕಂಡುಬರುತ್ತವೆ. ಆಕ್ರಮಣಕಾರರು ಈ ಹೋಸ್ಟ್‌ಗಳಲ್ಲಿ ಸೇವೆಗಳನ್ನು ನೋಡುತ್ತಾರೆ ಮತ್ತು ಅವರೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಬಹುದು ಮತ್ತು ಪ್ರಮಾಣಿತ ಪರಿಕರಗಳು ಮತ್ತು ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, ಇತ್ಯಾದಿ) ಬಳಸಿಕೊಂಡು ದಾಳಿ ಮಾಡಬಹುದು. ಆದರೆ ದಾಳಿಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಅಥವಾ ನಿಮ್ಮ ಸ್ವಂತ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಈ ಹೋಸ್ಟ್‌ಗಳನ್ನು ಬಳಸುವುದು ಅಸಾಧ್ಯ.

5. ಈ ಎರಡು ತಂತ್ರಜ್ಞಾನಗಳ ಸಂಯೋಜನೆಯು (FullOS ಮತ್ತು ಎಮ್ಯುಲೇಟೆಡ್ ಟ್ರ್ಯಾಪ್‌ಗಳು) ಆಕ್ರಮಣಕಾರರು ಬೇಗ ಅಥವಾ ನಂತರ ನಮ್ಮ ಸಿಗ್ನಲಿಂಗ್ ನೆಟ್‌ವರ್ಕ್‌ನ ಕೆಲವು ಅಂಶಗಳನ್ನು ಎದುರಿಸುವ ಹೆಚ್ಚಿನ ಅಂಕಿಅಂಶಗಳ ಸಂಭವನೀಯತೆಯನ್ನು ಸಾಧಿಸಲು ನಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಆದರೆ ಈ ಸಂಭವನೀಯತೆಯು 100% ಹತ್ತಿರದಲ್ಲಿದೆ ಎಂದು ನಾವು ಹೇಗೆ ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬಹುದು?

   ವಂಚನೆ ಟೋಕನ್‌ಗಳು ಎಂದು ಕರೆಯಲ್ಪಡುವವು ಯುದ್ಧವನ್ನು ಪ್ರವೇಶಿಸುತ್ತವೆ. ಅವರಿಗೆ ಧನ್ಯವಾದಗಳು, ನಾವು ನಮ್ಮ ವಿತರಿಸಿದ IDS ನಲ್ಲಿ ಎಂಟರ್‌ಪ್ರೈಸ್‌ನ ಎಲ್ಲಾ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ PC ಗಳು ಮತ್ತು ಸರ್ವರ್‌ಗಳನ್ನು ಸೇರಿಸಿಕೊಳ್ಳಬಹುದು. ಬಳಕೆದಾರರ ನೈಜ PC ಗಳಲ್ಲಿ ಟೋಕನ್‌ಗಳನ್ನು ಇರಿಸಲಾಗುತ್ತದೆ. ಟೋಕನ್‌ಗಳು ಸಂಪನ್ಮೂಲಗಳನ್ನು ಸೇವಿಸುವ ಮತ್ತು ಘರ್ಷಣೆಯನ್ನು ಉಂಟುಮಾಡುವ ಏಜೆಂಟ್‌ಗಳಲ್ಲ ಎಂದು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಬಹಳ ಮುಖ್ಯ. ಟೋಕನ್‌ಗಳು ನಿಷ್ಕ್ರಿಯ ಮಾಹಿತಿ ಅಂಶಗಳಾಗಿವೆ, ಆಕ್ರಮಣಕಾರಿ ಭಾಗಕ್ಕೆ ಒಂದು ರೀತಿಯ "ಬ್ರೆಡ್‌ಕ್ರಂಬ್ಸ್" ಅದು ಬಲೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ಮ್ಯಾಪ್ ಮಾಡಿದ ನೆಟ್‌ವರ್ಕ್ ಡ್ರೈವ್‌ಗಳು, ಬ್ರೌಸರ್‌ನಲ್ಲಿ ನಕಲಿ ವೆಬ್ ನಿರ್ವಾಹಕರಿಗೆ ಬುಕ್‌ಮಾರ್ಕ್‌ಗಳು ಮತ್ತು ಅವರಿಗೆ ಉಳಿಸಿದ ಪಾಸ್‌ವರ್ಡ್‌ಗಳು, ಉಳಿಸಿದ ssh/rdp/winscp ಸೆಷನ್‌ಗಳು, ಹೋಸ್ಟ್ ಫೈಲ್‌ಗಳಲ್ಲಿನ ಕಾಮೆಂಟ್‌ಗಳೊಂದಿಗೆ ನಮ್ಮ ಟ್ರ್ಯಾಪ್‌ಗಳು, ಮೆಮೊರಿಯಲ್ಲಿ ಉಳಿಸಲಾದ ಪಾಸ್‌ವರ್ಡ್‌ಗಳು, ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ಬಳಕೆದಾರರ ರುಜುವಾತುಗಳು, ಕಚೇರಿ ಫೈಲ್‌ಗಳು, ತೆರೆಯುವಿಕೆಯು ಸಿಸ್ಟಮ್ ಅನ್ನು ಪ್ರಚೋದಿಸುತ್ತದೆ ಮತ್ತು ಇನ್ನಷ್ಟು. ಹೀಗಾಗಿ, ನಾವು ಆಕ್ರಮಣಕಾರರನ್ನು ವಿಕೃತ ಪರಿಸರದಲ್ಲಿ ಇರಿಸುತ್ತೇವೆ, ದಾಳಿಯ ವಾಹಕಗಳೊಂದಿಗೆ ಸ್ಯಾಚುರೇಟೆಡ್ ಆಗಿರುತ್ತದೆ, ಅದು ವಾಸ್ತವವಾಗಿ ನಮಗೆ ಬೆದರಿಕೆಯನ್ನು ಉಂಟುಮಾಡುವುದಿಲ್ಲ, ಆದರೆ ವಿರುದ್ಧವಾಗಿರುತ್ತದೆ. ಮತ್ತು ಮಾಹಿತಿಯು ಎಲ್ಲಿ ನಿಜ ಮತ್ತು ಅದು ಎಲ್ಲಿ ಸುಳ್ಳು ಎಂದು ನಿರ್ಧರಿಸಲು ಅವನಿಗೆ ಯಾವುದೇ ಮಾರ್ಗವಿಲ್ಲ. ಹೀಗಾಗಿ, ನಾವು ದಾಳಿಯ ತ್ವರಿತ ಪತ್ತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದಿಲ್ಲ, ಆದರೆ ಅದರ ಪ್ರಗತಿಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ನಿಧಾನಗೊಳಿಸುತ್ತೇವೆ.

ನೆಟ್ವರ್ಕ್ ಟ್ರ್ಯಾಪ್ ಅನ್ನು ರಚಿಸುವ ಮತ್ತು ಟೋಕನ್ಗಳನ್ನು ಹೊಂದಿಸುವ ಉದಾಹರಣೆ. ಸೌಹಾರ್ದ ಇಂಟರ್ಫೇಸ್ ಮತ್ತು ಸಂರಚನೆಗಳು, ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು ಇತ್ಯಾದಿಗಳ ಹಸ್ತಚಾಲಿತ ಸಂಪಾದನೆ ಇಲ್ಲ.

ನಮ್ಮ ಪರಿಸರದಲ್ಲಿ, ನಾವು ವಿಂಡೋಸ್ ಸರ್ವರ್ 01R2012 ಚಾಲನೆಯಲ್ಲಿರುವ FOS2 ಮತ್ತು ವಿಂಡೋಸ್ 7 ಚಾಲನೆಯಲ್ಲಿರುವ ಪರೀಕ್ಷಾ ಪಿಸಿಯಲ್ಲಿ ಅಂತಹ ಹಲವಾರು ಟೋಕನ್‌ಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ್ದೇವೆ ಮತ್ತು ಇರಿಸಿದ್ದೇವೆ. RDP ಈ ಯಂತ್ರಗಳಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿದೆ ಮತ್ತು ನಾವು ಅವುಗಳನ್ನು ನಿಯತಕಾಲಿಕವಾಗಿ DMZ ನಲ್ಲಿ "ಹ್ಯಾಂಗ್" ಮಾಡುತ್ತೇವೆ, ಅಲ್ಲಿ ನಮ್ಮ ಹಲವಾರು ಸಂವೇದಕಗಳು (ಎಮ್ಯುಲೇಟೆಡ್ ಬಲೆಗಳು) ಸಹ ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ. ಆದ್ದರಿಂದ ನಾವು ಸ್ವಾಭಾವಿಕವಾಗಿ ಮಾತನಾಡಲು, ಘಟನೆಗಳ ನಿರಂತರ ಸ್ಟ್ರೀಮ್ ಅನ್ನು ಪಡೆಯುತ್ತೇವೆ.

ಆದ್ದರಿಂದ, ವರ್ಷಕ್ಕೆ ಕೆಲವು ತ್ವರಿತ ಅಂಕಿಅಂಶಗಳು ಇಲ್ಲಿವೆ:

56 - ಘಟನೆಗಳನ್ನು ದಾಖಲಿಸಲಾಗಿದೆ,
2 - ದಾಳಿಯ ಮೂಲ ಹೋಸ್ಟ್‌ಗಳು ಪತ್ತೆಯಾಗಿವೆ.

ಸಂವಾದಾತ್ಮಕ, ಕ್ಲಿಕ್ ಮಾಡಬಹುದಾದ ದಾಳಿ ನಕ್ಷೆ

ಅದೇ ಸಮಯದಲ್ಲಿ, ಪರಿಹಾರವು ಕೆಲವು ರೀತಿಯ ಮೆಗಾ-ಲಾಗ್ ಅಥವಾ ಈವೆಂಟ್ ಫೀಡ್ ಅನ್ನು ರಚಿಸುವುದಿಲ್ಲ, ಇದು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಬಹಳ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಬದಲಾಗಿ, ಪರಿಹಾರವು ಈವೆಂಟ್‌ಗಳನ್ನು ಅವುಗಳ ಪ್ರಕಾರಗಳ ಮೂಲಕ ವರ್ಗೀಕರಿಸುತ್ತದೆ ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ತಂಡವು ಪ್ರಾಥಮಿಕವಾಗಿ ಅತ್ಯಂತ ಅಪಾಯಕಾರಿಯಾದವುಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ - ಆಕ್ರಮಣಕಾರರು ನಿಯಂತ್ರಣ ಅವಧಿಗಳನ್ನು (ಇಂಟರಾಕ್ಷನ್) ಹೆಚ್ಚಿಸಲು ಪ್ರಯತ್ನಿಸಿದಾಗ ಅಥವಾ ಬೈನರಿ ಪೇಲೋಡ್‌ಗಳು (ಸೋಂಕು) ನಮ್ಮ ಟ್ರಾಫಿಕ್‌ನಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡಾಗ.

ಈವೆಂಟ್‌ಗಳ ಕುರಿತು ಎಲ್ಲಾ ಮಾಹಿತಿಯನ್ನು ಓದಬಹುದಾಗಿದೆ ಮತ್ತು ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ, ನನ್ನ ಅಭಿಪ್ರಾಯದಲ್ಲಿ, ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ಮೂಲಭೂತ ಜ್ಞಾನವನ್ನು ಹೊಂದಿರುವ ಬಳಕೆದಾರರಿಗೆ ಸಹ ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಸುಲಭವಾದ ರೂಪದಲ್ಲಿ.

ದಾಖಲಾದ ಹೆಚ್ಚಿನ ಘಟನೆಗಳು ನಮ್ಮ ಹೋಸ್ಟ್‌ಗಳು ಅಥವಾ ಏಕ ಸಂಪರ್ಕಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಪ್ರಯತ್ನಗಳಾಗಿವೆ.

ಅಥವಾ RDP ಗಾಗಿ ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಪ್ರಯತ್ನಿಸುತ್ತದೆ

ಆದರೆ ಹೆಚ್ಚು ಆಸಕ್ತಿದಾಯಕ ಪ್ರಕರಣಗಳು ಸಹ ಇದ್ದವು, ವಿಶೇಷವಾಗಿ ಆಕ್ರಮಣಕಾರರು RDP ಗಾಗಿ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಊಹಿಸಲು ಮತ್ತು ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು "ನಿರ್ವಹಿಸಿದಾಗ".

ಆಕ್ರಮಣಕಾರರು psexec ಅನ್ನು ಬಳಸಿಕೊಂಡು ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ.

ಆಕ್ರಮಣಕಾರನು ಉಳಿಸಿದ ಸೆಶನ್ ಅನ್ನು ಕಂಡುಕೊಂಡನು, ಅದು ಅವನನ್ನು ಲಿನಕ್ಸ್ ಸರ್ವರ್ ರೂಪದಲ್ಲಿ ಬಲೆಗೆ ಕರೆದೊಯ್ಯಿತು. ಕನೆಕ್ಟ್ ಮಾಡಿದ ತಕ್ಷಣ, ಒಂದು ಪೂರ್ವ ಸಿದ್ಧಪಡಿಸಿದ ಕಮಾಂಡ್‌ಗಳೊಂದಿಗೆ, ಇದು ಎಲ್ಲಾ ಲಾಗ್ ಫೈಲ್‌ಗಳು ಮತ್ತು ಅನುಗುಣವಾದ ಸಿಸ್ಟಮ್ ವೇರಿಯೇಬಲ್‌ಗಳನ್ನು ನಾಶಮಾಡಲು ಪ್ರಯತ್ನಿಸಿತು.

ದಾಳಿಕೋರನು SWIFT ವೆಬ್ ಪ್ರವೇಶವನ್ನು ಅನುಕರಿಸುವ ಹನಿಪಾಟ್‌ನಲ್ಲಿ SQL ಇಂಜೆಕ್ಷನ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಾನೆ.

ಅಂತಹ "ನೈಸರ್ಗಿಕ" ದಾಳಿಗಳ ಜೊತೆಗೆ, ನಾವು ನಮ್ಮದೇ ಆದ ಹಲವಾರು ಪರೀಕ್ಷೆಗಳನ್ನು ಸಹ ನಡೆಸಿದ್ದೇವೆ. ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ ನೆಟ್‌ವರ್ಕ್ ವರ್ಮ್‌ನ ಪತ್ತೆ ಸಮಯವನ್ನು ಪರೀಕ್ಷಿಸುವುದು ಅತ್ಯಂತ ಬಹಿರಂಗವಾಗಿದೆ. ಇದನ್ನು ಮಾಡಲು ನಾವು GuardiCore ಎಂಬ ಉಪಕರಣವನ್ನು ಬಳಸಿದ್ದೇವೆ ಸೋಂಕು ಮಂಕಿ. ಇದು ವಿಂಡೋಸ್ ಮತ್ತು ಲಿನಕ್ಸ್ ಅನ್ನು ಹೈಜಾಕ್ ಮಾಡಬಹುದಾದ ನೆಟ್ವರ್ಕ್ ವರ್ಮ್ ಆಗಿದೆ, ಆದರೆ ಯಾವುದೇ "ಪೇಲೋಡ್" ಇಲ್ಲದೆ.
ನಾವು ಸ್ಥಳೀಯ ಕಮಾಂಡ್ ಸೆಂಟರ್ ಅನ್ನು ನಿಯೋಜಿಸಿದ್ದೇವೆ, ಒಂದು ಯಂತ್ರದಲ್ಲಿ ವರ್ಮ್‌ನ ಮೊದಲ ನಿದರ್ಶನವನ್ನು ಪ್ರಾರಂಭಿಸಿದ್ದೇವೆ ಮತ್ತು ಒಂದೂವರೆ ನಿಮಿಷಕ್ಕಿಂತ ಕಡಿಮೆ ಅವಧಿಯಲ್ಲಿ TrapX ಕನ್ಸೋಲ್‌ನಲ್ಲಿ ಮೊದಲ ಎಚ್ಚರಿಕೆಯನ್ನು ಸ್ವೀಕರಿಸಿದ್ದೇವೆ. ಟಿಟಿಡಿ 90 ಸೆಕೆಂಡ್‌ಗಳ ವಿರುದ್ಧ ಸರಾಸರಿ 106 ದಿನಗಳು...

ಇತರ ವರ್ಗಗಳ ಪರಿಹಾರಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸುವ ಸಾಮರ್ಥ್ಯಕ್ಕೆ ಧನ್ಯವಾದಗಳು, ನಾವು ಬೆದರಿಕೆಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಪತ್ತೆಹಚ್ಚುವುದರಿಂದ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಪ್ರತಿಕ್ರಿಯಿಸುವವರೆಗೆ ಚಲಿಸಬಹುದು.

ಉದಾಹರಣೆಗೆ, NAC (ನೆಟ್‌ವರ್ಕ್ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ) ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ ಅಥವಾ ಕಾರ್ಬನ್‌ಬ್ಲಾಕ್‌ನೊಂದಿಗೆ ಏಕೀಕರಣವು ನೆಟ್‌ವರ್ಕ್‌ನಿಂದ ರಾಜಿ ಮಾಡಿಕೊಂಡ PC ಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸಂಪರ್ಕ ಕಡಿತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ಗಳೊಂದಿಗಿನ ಏಕೀಕರಣವು ದಾಳಿಯಲ್ಲಿ ಒಳಗೊಂಡಿರುವ ಫೈಲ್‌ಗಳನ್ನು ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸಲ್ಲಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

ಮ್ಯಾಕ್‌ಅಫೀ ಏಕೀಕರಣ

ಪರಿಹಾರವು ತನ್ನದೇ ಆದ ಅಂತರ್ನಿರ್ಮಿತ ಈವೆಂಟ್ ಪರಸ್ಪರ ಸಂಬಂಧ ವ್ಯವಸ್ಥೆಯನ್ನು ಹೊಂದಿದೆ.

ಆದರೆ ನಾವು ಅದರ ಸಾಮರ್ಥ್ಯಗಳಿಂದ ತೃಪ್ತರಾಗಲಿಲ್ಲ, ಆದ್ದರಿಂದ ನಾವು ಅದನ್ನು HP ಆರ್ಕ್‌ಸೈಟ್‌ನೊಂದಿಗೆ ಸಂಯೋಜಿಸಿದ್ದೇವೆ.

ಅಂತರ್ನಿರ್ಮಿತ ಟಿಕೆಟಿಂಗ್ ವ್ಯವಸ್ಥೆಯು ಪತ್ತೆಯಾದ ಬೆದರಿಕೆಗಳನ್ನು ನಿಭಾಯಿಸಲು ಇಡೀ ಜಗತ್ತಿಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ಸರ್ಕಾರಿ ಏಜೆನ್ಸಿಗಳು ಮತ್ತು ದೊಡ್ಡ ಕಾರ್ಪೊರೇಟ್ ವಿಭಾಗದ ಅಗತ್ಯಗಳಿಗಾಗಿ "ಆರಂಭದಿಂದಲೂ" ಪರಿಹಾರವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿರುವುದರಿಂದ, ಇದು ಸ್ವಾಭಾವಿಕವಾಗಿ ರೋಲ್-ಆಧಾರಿತ ಪ್ರವೇಶ ಮಾದರಿಯನ್ನು ಅಳವಡಿಸುತ್ತದೆ, AD ಯೊಂದಿಗೆ ಏಕೀಕರಣ, ವರದಿಗಳು ಮತ್ತು ಪ್ರಚೋದಕಗಳ ಅಭಿವೃದ್ಧಿ ವ್ಯವಸ್ಥೆ (ಈವೆಂಟ್ ಎಚ್ಚರಿಕೆಗಳು), ಆರ್ಕೆಸ್ಟ್ರೇಶನ್ ದೊಡ್ಡ ಹಿಡುವಳಿ ರಚನೆಗಳು ಅಥವಾ MSSP ಪೂರೈಕೆದಾರರು.

ಪುನರಾರಂಭದ ಬದಲಿಗೆ

ಅಂತಹ ಮೇಲ್ವಿಚಾರಣಾ ವ್ಯವಸ್ಥೆಯು ಇದ್ದರೆ, ಅದು ಸಾಂಕೇತಿಕವಾಗಿ ಹೇಳುವುದಾದರೆ, ನಮ್ಮ ಬೆನ್ನನ್ನು ಆವರಿಸುತ್ತದೆ, ನಂತರ ಪರಿಧಿಯ ರಾಜಿಯೊಂದಿಗೆ ಎಲ್ಲವೂ ಪ್ರಾರಂಭವಾಗುತ್ತಿದೆ. ಪ್ರಮುಖ ವಿಷಯವೆಂದರೆ ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಗಳನ್ನು ಎದುರಿಸಲು ನಿಜವಾದ ಅವಕಾಶವಿದೆ, ಮತ್ತು ಅವುಗಳ ಪರಿಣಾಮಗಳನ್ನು ಎದುರಿಸಲು ಅಲ್ಲ.

ಮೂಲ: www.habr.com