Datu un lietojumprogrammu pÄrvietoÅ”ana uz mÄkoni rada jaunu izaicinÄjumu korporatÄ«vajiem SOC, kas ne vienmÄr ir gatavi uzraudzÄ«t citu cilvÄku infrastruktÅ«ru. SaskaÅÄ ar Netoskope datiem vidÄjais uzÅÄmums (acÄ«mredzot ASV) izmanto 1246 dažÄdus mÄkoÅpakalpojumus, kas ir par 22% vairÄk nekÄ pirms gada. 1246 mÄkoÅpakalpojumi!!! 175 no tiem attiecas uz personÄla pakalpojumiem, 170 ir saistÄ«ti ar mÄrketingu, 110 ir komunikÄciju jomÄ un 76 ir finanÅ”u un CRM. Cisco izmanto ātikaiā 700 ÄrÄjos mÄkoÅpakalpojumus. TÄpÄc mani Å”ie skaitļi nedaudz mulsina. Bet jebkurÄ gadÄ«jumÄ problÄma nav ar viÅiem, bet gan tajÄ, ka mÄkoni diezgan aktÄ«vi sÄk izmantot arvien vairÄk uzÅÄmumu, kas vÄlÄtos iegÅ«t tÄdas paÅ”as iespÄjas mÄkoÅa infrastruktÅ«ras uzraudzÄ«bai kÄ savÄ tÄ«klÄ. Un Ŕī tendence pieaug - saskaÅÄ ar
PieÅemsim, ka jÅ«su uzÅÄmums daļu savas infrastruktÅ«ras ir pÄrcÄlis uz mÄkoni... Beidziet. Ne Å”ÄdÄ veidÄ. Ja infrastruktÅ«ra ir nodota, un jÅ«s tikai tagad domÄjat par to, kÄ jÅ«s to uzraudzÄ«sit, tad jÅ«s jau esat zaudÄjis. Ja vien tas nav Amazon, Google vai Microsoft (un pÄc tam ar atrunÄm), jums, iespÄjams, nebÅ«s daudz iespÄju pÄrraudzÄ«t savus datus un lietojumprogrammas. Ir labi, ja jums tiek dota iespÄja strÄdÄt ar baļķiem. DažkÄrt droŔības notikumu dati bÅ«s pieejami, taÄu jÅ«s tiem nevarÄsit piekļūt. PiemÄram, Office 365. Ja jums ir lÄtÄkÄ E1 licence, tad droŔības pasÄkumi jums vispÄr nav pieejami. Ja jums ir E3 licence, jÅ«su dati tiek glabÄti tikai 90 dienas, un tikai tad, ja jums ir E5 licence, žurnÄlu ilgums ir pieejams uz gadu (tomÄr arÄ« tam ir savas nianses, kas saistÄ«tas ar nepiecieÅ”amÄ«bu atseviŔķi pieprasÄ«t vairÄkas funkcijas darbam ar žurnÄliem no Microsoft atbalsta). Starp citu, E3 licence uzraudzÄ«bas funkciju ziÅÄ ir daudz vÄjÄka nekÄ korporatÄ«vÄ Exchange. Lai sasniegtu tÄdu paÅ”u lÄ«meni, jums ir nepiecieÅ”ama E5 licence vai papildu Advanced Compliance licence, kas var prasÄ«t papildu naudu, kas netika iekļauta jÅ«su finanÅ”u modelÄ« pÄrejai uz mÄkoÅa infrastruktÅ«ru. Un Å”is ir tikai viens piemÄrs, kÄ nepietiekami novÄrtÄtas problÄmas saistÄ«bÄ ar mÄkoÅdatoÅ”anas informÄcijas droŔības uzraudzÄ«bu. Å ajÄ rakstÄ, nepretendÄjot uz pilnÄ«gumu, vÄlos pievÄrst uzmanÄ«bu dažÄm niansÄm, kas bÅ«tu jÄÅem vÄrÄ, izvÄloties mÄkoÅpakalpojumu sniedzÄju no droŔības viedokļa. Un raksta beigÄs tiks sniegts kontrolsaraksts, kuru ir vÄrts aizpildÄ«t, pirms uzskatÄ«t, ka mÄkoÅa informÄcijas droŔības uzraudzÄ«bas jautÄjums ir atrisinÄts.
PastÄv vairÄkas tipiskas problÄmas, kas izraisa incidentus mÄkoÅvidÄs, uz kurÄm informÄcijas droŔības dienestiem nav laika reaÄ£Ät vai tÄs vispÄr neredz:
- DroŔības žurnÄli nepastÄv. TÄ ir diezgan izplatÄ«ta situÄcija, Ä«paÅ”i mÄkoÅrisinÄjumu tirgus iesÄcÄju vidÅ«. Bet jums nevajadzÄtu nekavÄjoties atteikties no tiem. Mazie spÄlÄtÄji, Ä«paÅ”i vietÄjie, ir jutÄ«gÄki pret klientu prasÄ«bÄm un var Ätri ieviest dažas nepiecieÅ”amÄs funkcijas, mainot apstiprinÄto ceļvedi saviem produktiem. JÄ, tas nebÅ«s analogs GuardDuty no Amazon vai āProactive Protectionā moduļa no Bitrix, bet vismaz kaut kas.
- InformÄcijas droŔība nezina, kur žurnÄli tiek glabÄti vai tiem nav piekļuves. Å eit nepiecieÅ”ams uzsÄkt sarunas ar mÄkoÅpakalpojumu sniedzÄju ā iespÄjams, viÅÅ” sniegs Å”Ädu informÄciju, ja uzskatÄ«s, ka klients ir sev nozÄ«mÄ«gs. Bet kopumÄ tas nav Ä«paÅ”i labi, ja piekļuve žurnÄliem tiek nodroÅ”inÄta āar Ä«paÅ”u lÄmumuā.
- GadÄs arÄ«, ka mÄkoÅpakalpojumu sniedzÄjam ir žurnÄli, taÄu tie nodroÅ”ina ierobežotu uzraudzÄ«bu un notikumu reÄ£istrÄÅ”anu, kas nav pietiekami, lai atklÄtu visus incidentus. PiemÄram, jÅ«s varat saÅemt tikai vietnes izmaiÅu žurnÄlus vai lietotÄju autentifikÄcijas mÄÄ£inÄjumu žurnÄlus, bet ne citus notikumus, piemÄram, tÄ«kla trafiku, kas paslÄps no jums veselu notikumu slÄni, kas raksturo jÅ«su mÄkoÅa infrastruktÅ«ras uzlauzÅ”anas mÄÄ£inÄjumus.
- Ir žurnÄli, taÄu piekļuvi tiem ir grÅ«ti automatizÄt, kas liek tos uzraudzÄ«t nevis nepÄrtraukti, bet gan pÄc grafika. Un, ja žurnÄlus nevar lejupielÄdÄt automÄtiski, tad žurnÄlu lejupielÄde, piemÄram, Excel formÄtÄ (kÄ ar vairÄkiem vietÄjiem mÄkoÅrisinÄjumu nodroÅ”inÄtÄjiem), var pat izraisÄ«t korporatÄ«vÄs informÄcijas droŔības dienesta nevÄlÄÅ”anos ar tiem Ä·erties.
- Nav žurnÄlu uzraudzÄ«bas. Tas, iespÄjams, ir visneskaidrÄkais iemesls informÄcijas droŔības incidentu raÅ”anÄs mÄkoÅu vidÄs. Å Ä·iet, ka ir žurnÄli, un ir iespÄjams automatizÄt piekļuvi tiem, taÄu neviens to nedara. KÄpÄc?
KopÄ«ga mÄkoÅa droŔības koncepcija
PÄreja uz mÄkoni vienmÄr ir lÄ«dzsvara meklÄÅ”ana starp vÄlmi saglabÄt kontroli pÄr infrastruktÅ«ru un tÄs nodoÅ”anu profesionÄlÄkÄm mÄkoÅpakalpojumu sniedzÄja rokÄm, kas specializÄjas tÄs uzturÄÅ”anÄ. Un arÄ« mÄkoÅdroŔības jomÄ Å”is lÄ«dzsvars ir jÄmeklÄ. TurklÄt atkarÄ«bÄ no izmantotÄ mÄkoÅpakalpojuma piegÄdes modeļa (IaaS, PaaS, SaaS) Å”is atlikums visu laiku bÅ«s atŔķirÄ«gs. JebkurÄ gadÄ«jumÄ jÄatceras, ka visi mÄkoÅpakalpojumu sniedzÄji mÅ«sdienÄs ievÄro tÄ saukto dalÄ«tÄs atbildÄ«bas un kopÄ«gÄs informÄcijas droŔības modeli. Par dažÄm lietÄm atbild mÄkonis, par citÄm atbildÄ«gs ir klients, mÄkonÄ« ievietojot savus datus, savas lietojumprogrammas, savas virtuÄlÄs maŔīnas un citus resursus. BÅ«tu neapdomÄ«gi gaidÄ«t, ka, dodoties uz mÄkoni, mÄs visu atbildÄ«bu novelsim uz pakalpojumu sniedzÄju. TaÄu nav arÄ« prÄtÄ«gi paÅ”am izveidot visu droŔību, pÄrejot uz mÄkoni. NepiecieÅ”ams lÄ«dzsvars, kas bÅ«s atkarÄ«gs no daudziem faktoriem: - riska pÄrvaldÄ«bas stratÄÄ£ijas, draudu modeļa, mÄkoÅpakalpojuma sniedzÄjam pieejamiem droŔības mehÄnismiem, likumdoÅ”anas u.c.
PiemÄram, par mÄkonÄ« mitinÄto datu klasifikÄciju vienmÄr ir atbildÄ«gs klients. MÄkoÅpakalpojumu sniedzÄjs vai Ärpakalpojumu sniedzÄjs viÅam var palÄ«dzÄt tikai ar rÄ«kiem, kas palÄ«dzÄs atzÄ«mÄt datus mÄkonÄ«, identificÄt pÄrkÄpumus, dzÄst datus, kas pÄrkÄpj likumu, vai maskÄt tos ar vienu vai otru metodi. No otras puses, par fizisko droŔību vienmÄr atbild mÄkoÅpakalpojumu sniedzÄjs, ko tas nevar koplietot ar klientiem. Bet viss, kas atrodas starp datiem un fizisko infrastruktÅ«ru, ir tieÅ”i Ŕī raksta diskusijas priekÅ”mets. PiemÄram, par mÄkoÅa pieejamÄ«bu ir atbildÄ«gs pakalpojumu sniedzÄjs, un par ugunsmÅ«ra noteikumu iestatÄ«Å”anu vai Å”ifrÄÅ”anas iespÄjoÅ”anu ir atbildÄ«gs klients. Å ajÄ rakstÄ mÄÄ£inÄsim aplÅ«kot, kÄdus informÄcijas droŔības uzraudzÄ«bas mehÄnismus mÅ«sdienÄs nodroÅ”ina dažÄdi KrievijÄ populÄri mÄkoÅpakalpojumu sniedzÄji, kÄdas ir to izmantoÅ”anas iespÄjas un kad ir vÄrts pievÄrsties ÄrÄjiem pÄrklÄjuma risinÄjumiem (piemÄram, Cisco E- pasta droŔība), kas paplaÅ”ina jÅ«su mÄkoÅa iespÄjas kiberdroŔības ziÅÄ. Dažos gadÄ«jumos, Ä«paÅ”i, ja ievÄrojat vairÄku mÄkoÅu stratÄÄ£iju, jums neatliks nekas cits, kÄ izmantot ÄrÄjos informÄcijas droŔības uzraudzÄ«bas risinÄjumus vairÄkÄs mÄkoÅvidÄs vienlaikus (piemÄram, Cisco CloudLock vai Cisco Stealthwatch Cloud). Dažos gadÄ«jumos jÅ«s sapratÄ«sit, ka jÅ«su izvÄlÄtais (vai jums uzspiestais) mÄkoÅa pakalpojumu sniedzÄjs vispÄr nepiedÄvÄ nekÄdas informÄcijas droŔības uzraudzÄ«bas iespÄjas. Tas ir nepatÄ«kami, bet arÄ« ne maz, jo ļauj adekvÄti novÄrtÄt riska lÄ«meni, kas saistÄ«ts ar darbu ar Å”o mÄkoni.
MÄkoÅu droŔības uzraudzÄ«bas dzÄ«ves cikls
Lai pÄrraudzÄ«tu izmantoto mÄkoÅu droŔību, jums ir tikai trÄ«s iespÄjas:
- paļauties uz mÄkoÅa pakalpojumu sniedzÄja nodroÅ”inÄtajiem rÄ«kiem,
- izmantot treÅ”o puÅ”u risinÄjumus, kas uzraudzÄ«s jÅ«su izmantotÄs IaaS, PaaS vai SaaS platformas,
- izveidojiet savu mÄkoÅu uzraudzÄ«bas infrastruktÅ«ru (tikai IaaS/PaaS platformÄm).
ApskatÄ«sim, kÄdas funkcijas ir katrai no Ŕīm opcijÄm. Bet vispirms mums ir jÄsaprot vispÄrÄjÄ sistÄma, kas tiks izmantota, pÄrraugot mÄkoÅa platformas. Es izceltu 6 galvenÄs informÄcijas droŔības uzraudzÄ«bas procesa sastÄvdaļas mÄkonÄ«:
- InfrastruktÅ«ras sagatavoÅ”ana. NepiecieÅ”amo lietojumprogrammu un infrastruktÅ«ras noteikÅ”ana informÄcijas droŔībai svarÄ«gu notikumu apkopoÅ”anai krÄtuvÄ.
- Kolekcija. Å ajÄ posmÄ droŔības notikumi tiek apkopoti no dažÄdiem avotiem turpmÄkai pÄrsÅ«tÄ«Å”anai apstrÄdei, glabÄÅ”anai un analÄ«zei.
- ÄrstÄÅ”ana. Å ajÄ posmÄ dati tiek pÄrveidoti un bagÄtinÄti, lai atvieglotu turpmÄko analÄ«zi.
- UzglabÄÅ”ana. Å is komponents ir atbildÄ«gs par savÄkto apstrÄdÄto un neapstrÄdÄto datu Ä«stermiÅa un ilgtermiÅa uzglabÄÅ”anu.
- AnalÄ«ze. Å ajÄ posmÄ jums ir iespÄja atklÄt incidentus un reaÄ£Ät uz tiem automÄtiski vai manuÄli.
- ZiÅoÅ”ana. Å is posms palÄ«dz noformulÄt galvenos rÄdÄ«tÄjus ieinteresÄtajÄm pusÄm (vadÄ«bai, auditoriem, mÄkoÅpakalpojumu sniedzÄjam, klientiem u.c.), kas palÄ«dz mums pieÅemt noteiktus lÄmumus, piemÄram, mainÄ«t pakalpojumu sniedzÄju vai stiprinÄt informÄcijas droŔību.
Izpratne par Å”iem komponentiem ļaus jums Ätri izlemt, ko jÅ«s varat Åemt no sava pakalpojumu sniedzÄja un kas jums bÅ«s jÄdara paÅ”am vai piesaistot ÄrÄjos konsultantus.
IebÅ«vÄti mÄkoÅpakalpojumi
IepriekÅ” jau rakstÄ«ju, ka daudzi mÄkoÅpakalpojumi mÅ«sdienÄs nenodroÅ”ina nekÄdas informÄcijas droŔības uzraudzÄ«bas iespÄjas. KopumÄ viÅi nepievÄrÅ” lielu uzmanÄ«bu informÄcijas droŔības tÄmai. PiemÄram, viens no populÄrajiem Krievijas pakalpojumiem ziÅojumu nosÅ«tÄ«Å”anai valsts aÄ£entÅ«rÄm, izmantojot internetu (tÄ nosaukumu es Ä«paÅ”i neminÄÅ”u). Visa sadaļa par Ŕī pakalpojuma droŔību ir saistÄ«ta ar sertificÄta CIPF izmantoÅ”anu. Ne ar ko neatŔķiras cita vietÄjÄ mÄkoÅpakalpojuma informÄcijas droŔības sadaļa elektroniskai dokumentu pÄrvaldÄ«bai. TajÄ ir runÄts par publiskÄs atslÄgas sertifikÄtiem, sertificÄtu kriptogrÄfiju, tÄ«mekļa ievainojamÄ«bu novÄrÅ”anu, aizsardzÄ«bu pret DDoS uzbrukumiem, ugunsmÅ«ru izmantoÅ”anu, dublÄjumu un pat regulÄru informÄcijas droŔības auditu. TaÄu nav ne vÄrda par uzraudzÄ«bu, ne par iespÄjÄm piekļūt informÄcijas droŔības notikumiem, kas varÄtu interesÄt Ŕī pakalpojuma sniedzÄja klientus.
KopumÄ, ja mÄkoÅa pakalpojumu sniedzÄjs savÄ vietnÄ un dokumentÄcijÄ apraksta informÄcijas droŔības problÄmas, jÅ«s varat saprast, cik nopietni tas uztver Å”o problÄmu. PiemÄram, ja izlasiet āMans birojsā produktu rokasgrÄmatas, par droŔību vispÄr nav ne vÄrda, bet atseviÅ”Ä·Ä produkta āMans birojsā dokumentÄcijÄ. KS3ā, kas paredzÄts aizsardzÄ«bai pret nesankcionÄtu piekļuvi, ir ierasts FSTEC 17. kÄrtas punktu saraksts, ko āMy Office.KS3ā ievieÅ”, taÄu nav aprakstÄ«ts, kÄ tas tiek Ä«stenots un, pats galvenais, kÄ integrÄt Å”os mehÄnismus ar korporatÄ«vo informÄcijas droŔību. VarbÅ«t Å”Äda dokumentÄcija pastÄv, taÄu es to neatradu publiskajÄ domÄnÄ, vietnÄ āMans birojsā. Lai gan varbÅ«t man vienkÄrÅ”i nav piekļuves Å”ai slepenajai informÄcijai?
Bitriksam situÄcija ir daudz labÄka. DokumentÄcijÄ ir aprakstÄ«ti notikumu žurnÄlu formÄti un, kas ir interesanti, ielauÅ”anÄs žurnÄls, kurÄ ir notikumi, kas saistÄ«ti ar iespÄjamiem mÄkoÅa platformas apdraudÄjumiem. No turienes varat izvilkt IP, lietotÄja vai viesa vÄrdu, notikuma avotu, laiku, lietotÄja aÄ£entu, notikuma veidu utt. Tiesa, ar Å”iem notikumiem var strÄdÄt vai nu no paÅ”a mÄkoÅa vadÄ«bas paneļa, vai arÄ« augÅ”upielÄdÄt datus MS Excel formÄtÄ. Tagad ir grÅ«ti automatizÄt darbu ar Bitrix žurnÄliem, un daļa darba bÅ«s jÄveic manuÄli (augÅ”upielÄdÄt atskaiti un ielÄdÄjot to savÄ SIEM). Bet, ja atceramies, ka vÄl salÄ«dzinoÅ”i nesen Å”Ädas iespÄjas nebija, tad tas ir liels progress. TajÄ paÅ”Ä laikÄ vÄlos atzÄ«mÄt, ka daudzi Ärvalstu mÄkoÅdatoÅ”anas pakalpojumu sniedzÄji piedÄvÄ lÄ«dzÄ«gu funkcionalitÄti āiesÄcÄjiemā - vai nu apskatiet žurnÄlus ar acÄ«m, izmantojot vadÄ«bas paneli, vai augÅ”upielÄdÄjiet datus sev (tomÄr lielÄkÄ daļa datu augÅ”upielÄdÄ . csv formÄtÄ, nevis Excel).
NeÅemot vÄrÄ opciju bez reÄ£istrÄÅ”anÄs, mÄkoÅpakalpojumu sniedzÄji parasti piedÄvÄ trÄ«s droŔības notikumu uzraudzÄ«bas iespÄjas ā informÄcijas paneļus, datu augÅ”upielÄdi un API piekļuvi. Å Ä·iet, ka pirmais jums atrisina daudzas problÄmas, taÄu tÄ nav gluži taisnÄ«ba ā ja jums ir vairÄki žurnÄli, jums ir jÄpÄrslÄdzas starp ekrÄniem, kuros tie tiek parÄdÄ«ti, zaudÄjot kopÄjo attÄlu. TurklÄt mÄkoÅa pakalpojumu sniedzÄjs, visticamÄk, nesniegs jums iespÄju korelÄt droŔības notikumus un vispÄrÄ«gi analizÄt tos no droŔības viedokļa (parasti jums ir darÄ«Å”ana ar neapstrÄdÄtiem datiem, kas jums ir jÄsaprot). Ir izÅÄmumi, un mÄs par tiem runÄsim tÄlÄk. Visbeidzot, ir vÄrts pajautÄt, kÄdus notikumus reÄ£istrÄ jÅ«su mÄkoÅpakalpojumu sniedzÄjs, kÄdÄ formÄtÄ un kÄ tie atbilst jÅ«su informÄcijas droŔības uzraudzÄ«bas procesam? PiemÄram, lietotÄju un viesu identifikÄcija un autentifikÄcija. Tas pats Bitrix ļauj, pamatojoties uz Å”iem notikumiem, ierakstÄ«t notikuma datumu un laiku, lietotÄja vai viesa vÄrdu (ja jums ir āWeb Analyticsā modulis), objektu, kuram piekļūts, un citus vietnei raksturÄ«gus elementus. . TaÄu korporatÄ«vajiem informÄcijas droŔības dienestiem var bÅ«t nepiecieÅ”ama informÄcija par to, vai lietotÄjs ir piekļuvis mÄkonim no uzticamas ierÄ«ces (piemÄram, korporatÄ«vajÄ tÄ«klÄ Å”o uzdevumu Ä«steno Cisco ISE). KÄ ir ar tik vienkÄrÅ”u uzdevumu kÄ geo-IP funkcija, kas palÄ«dzÄs noteikt, vai mÄkoÅpakalpojuma lietotÄja konts nav nozagts? Un pat ja mÄkoÅa pakalpojumu sniedzÄjs jums to nodroÅ”ina, ar to nepietiek. Tas pats Cisco CloudLock ne tikai analizÄ Ä£eogrÄfisko atraÅ”anÄs vietu, bet arÄ« izmanto maŔīnmÄcÄ«Å”anos un analizÄ katra lietotÄja vÄsturiskos datus un uzrauga dažÄdas anomÄlijas identifikÄcijas un autentifikÄcijas mÄÄ£inÄjumos. Tikai MS Azure ir lÄ«dzÄ«ga funkcionalitÄte (ja jums ir atbilstoÅ”s abonements).
Ir vÄl viena grÅ«tÄ«ba ā tÄ kÄ daudziem mÄkoÅpakalpojumu sniedzÄjiem informÄcijas droŔības monitorings ir jauna tÄma, ar kuru viÅi tikai sÄk nodarboties, viÅi savos risinÄjumos nemitÄ«gi kaut ko maina. Å odien viÅiem ir viena API versija, rÄ«t cita, parÄ«t treÅ”Ä. Tam arÄ« jÄbÅ«t gatavam. TÄpat ir ar funkcionalitÄti, kas var mainÄ«ties, kas jÄÅem vÄrÄ savÄ informÄcijas droŔības uzraudzÄ«bas sistÄmÄ. PiemÄram, Amazon sÄkotnÄji bija atseviŔķi mÄkoÅa notikumu uzraudzÄ«bas pakalpojumi ā AWS CloudTrail un AWS CloudWatch. Tad parÄdÄ«jÄs atseviŔķs pakalpojums informÄcijas droŔības notikumu uzraudzÄ«bai - AWS GuardDuty. PÄc kÄda laika Amazon uzsÄka jaunu pÄrvaldÄ«bas sistÄmu Amazon Security Hub, kas ietver datu analÄ«zi, kas saÅemti no GuardDuty, Amazon Inspector, Amazon Macie un vairÄkiem citiem. VÄl viens piemÄrs ir Azure žurnÄla integrÄcijas rÄ«ks ar SIEM ā AzLog. To aktÄ«vi izmantoja daudzi SIEM pÄrdevÄji, lÄ«dz 2018. gadÄ Microsoft paziÅoja par tÄ izstrÄdes un atbalsta pÄrtraukÅ”anu, kas daudziem klientiem, kuri izmantoja Å”o rÄ«ku, saskÄrÄs ar problÄmu (par to, kÄ tÄ tika atrisinÄta, mÄs runÄsim vÄlÄk).
TÄpÄc rÅ«pÄ«gi pÄrraugiet visas pÄrraudzÄ«bas funkcijas, ko jums piedÄvÄ jÅ«su mÄkoÅpakalpojumu sniedzÄjs. Vai paļaujieties uz ÄrÄjiem risinÄjumu nodroÅ”inÄtÄjiem, kas darbosies kÄ starpnieki starp jÅ«su SOC un mÄkoni, kuru vÄlaties pÄrraudzÄ«t. JÄ, tas bÅ«s dÄrgÄk (lai gan ne vienmÄr), taÄu jÅ«s visu atbildÄ«bu uzvelsit uz kÄda cita pleciem. Vai arÄ« ne visu?.. AtcerÄsimies dalÄ«tÄs droŔības jÄdzienu un sapratÄ«sim, ka neko nevaram pÄrbÄ«dÄ«t ā bÅ«s patstÄvÄ«gi jÄsaprot, kÄ dažÄdi mÄkoÅpakalpojumu sniedzÄji nodroÅ”ina JÅ«su datu, aplikÄciju, virtuÄlo maŔīnu un citu resursu informÄcijas droŔības uzraudzÄ«bu mitinÄts mÄkonÄ«. Un mÄs sÄksim ar to, ko Amazon piedÄvÄ Å”ajÄ daļÄ.
PiemÄrs: InformÄcijas droŔības uzraudzÄ«ba IaaS, pamatojoties uz AWS
JÄ, jÄ, es saprotu, ka Amazon nav labÄkais piemÄrs, jo tas ir amerikÄÅu pakalpojums un to var bloÄ·Ät kÄ daļu no cÄ«Åas pret ekstrÄmismu un KrievijÄ aizliegtÄs informÄcijas izplatÄ«Å”anu. Bet Å”ajÄ publikÄcijÄ es tikai vÄlos parÄdÄ«t, kÄ dažÄdas mÄkoÅu platformas atŔķiras ar savÄm informÄcijas droŔības uzraudzÄ«bas iespÄjÄm un kam jÄpievÄrÅ” uzmanÄ«ba, pÄrceļot savus galvenos procesus uz mÄkoÅiem no droŔības viedokļa. Nu, ja daži no Krievijas mÄkoÅrisinÄjumu izstrÄdÄtÄjiem iemÄcÄ«sies kaut ko noderÄ«gu sev, tad tas bÅ«s lieliski.
Vispirms jÄsaka, ka Amazon nav necaurejams cietoksnis. Ar viÅa klientiem regulÄri notiek dažÄdi incidenti. PiemÄram, no Deep Root Analytics tika nozagti 198 miljonu vÄlÄtÄju vÄrdi, adreses, dzimÅ”anas datumi un tÄlruÅu numuri. IzraÄlas uzÅÄmums Nice Systems nozaga 14 miljonus Verizon abonentu ierakstu. TomÄr AWS iebÅ«vÄtÄs iespÄjas ļauj atklÄt dažÄdus incidentus. PiemÄram:
- ietekme uz infrastruktūru (DDoS)
- mezgla kompromiss (komandu injekcija)
- konta kompromitÄÅ”ana un nesankcionÄta piekļuve
- nepareiza konfigurÄcija un ievainojamÄ«bas
- nedroŔas saskarnes un API.
Å Ä« neatbilstÄ«ba ir saistÄ«ta ar to, ka, kÄ noskaidrojÄm iepriekÅ”, klients pats ir atbildÄ«gs par klienta datu droŔību. Un, ja viÅÅ” neuztraucÄs ieslÄgt aizsargmehÄnismus un neieslÄdza uzraudzÄ«bas rÄ«kus, tad par notikuÅ”o viÅÅ” uzzinÄs tikai no medijiem vai no saviem klientiem.
Lai identificÄtu incidentus, varat izmantot plaÅ”u Amazon izstrÄdÄto uzraudzÄ«bas pakalpojumu klÄstu (lai gan tos bieži papildina ÄrÄji rÄ«ki, piemÄram, osquery). TÄtad AWS tiek uzraudzÄ«tas visas lietotÄja darbÄ«bas neatkarÄ«gi no tÄ, kÄ tÄs tiek veiktas - izmantojot pÄrvaldÄ«bas konsoli, komandrindu, SDK vai citus AWS pakalpojumus. Visi ieraksti par katra AWS konta darbÄ«bu (tostarp lietotÄjvÄrdu, darbÄ«bu, pakalpojumu, darbÄ«bas parametriem un rezultÄtu) un API lietojumu ir pieejami, izmantojot AWS CloudTrail. Varat skatÄ«t Å”os notikumus (piemÄram, AWS IAM konsoles pieteikÅ”anos) no CloudTrail konsoles, analizÄt tos, izmantojot Amazon Athena, vai izmantot tos ÄrÄjiem risinÄjumiem, piemÄram, Splunk, AlienVault utt. PaÅ”i AWS CloudTrail žurnÄli tiek ievietoti jÅ«su AWS S3 spainÄ«.
Divi citi AWS pakalpojumi nodroÅ”ina vairÄkas citas svarÄ«gas uzraudzÄ«bas iespÄjas. PirmkÄrt, Amazon CloudWatch ir AWS resursu un lietojumprogrammu uzraudzÄ«bas pakalpojums, kas cita starpÄ Ä¼auj identificÄt dažÄdas anomÄlijas jÅ«su mÄkonÄ«. Visi iebÅ«vÄtie AWS pakalpojumi, piemÄram, Amazon Elastic Compute Cloud (serveri), Amazon Relational Database Service (datu bÄzes), Amazon Elastic MapReduce (datu analÄ«ze) un 30 citi Amazon pakalpojumi, savu žurnÄlu glabÄÅ”anai izmanto Amazon CloudWatch. IzstrÄdÄtÄji var izmantot Amazon CloudWatch atvÄrto API, lai pielÄgotÄm lietojumprogrammÄm un pakalpojumiem pievienotu žurnÄlu uzraudzÄ«bas funkcionalitÄti, ļaujot tiem paplaÅ”inÄt notikumu analÄ«zes jomu droŔības kontekstÄ.
OtrkÄrt, pakalpojums VPC Flow Logs ļauj analizÄt tÄ«kla trafiku, ko nosÅ«ta vai saÅem jÅ«su AWS serveri (ÄrÄji vai iekÅ”Äji), kÄ arÄ« starp mikropakalpojumiem. Kad kÄds no jÅ«su AWS VPC resursiem mijiedarbojas ar tÄ«klu, VPC plÅ«smas žurnÄli reÄ£istrÄ informÄciju par tÄ«kla trafiku, tostarp avota un mÄrÄ·a tÄ«kla saskarni, kÄ arÄ« IP adreses, portus, protokolu, baitu skaitu un pakeÅ”u skaitu. ieraudzÄ«ja. Tie, kuriem ir pieredze vietÄjÄ tÄ«kla droŔībÄ, to atpazÄ«s kÄ lÄ«dzÄ«gu pavedieniem
RezumÄjot, Å”ie trÄ«s AWS pakalpojumi ā AWS CloudTrail, Amazon CloudWatch un VPC Flow Logs ā kopÄ sniedz diezgan spÄcÄ«gu ieskatu jÅ«su konta lietojumÄ, lietotÄju uzvedÄ«bÄ, infrastruktÅ«ras pÄrvaldÄ«bÄ, lietojumprogrammu un pakalpojumu darbÄ«bÄ un tÄ«kla darbÄ«bÄ. PiemÄram, tos var izmantot, lai noteiktu Å”Ädas anomÄlijas:
- MÄÄ£inÄjumi skenÄt vietni, meklÄt aizmugures durvis, meklÄt ievainojamÄ«bas, izmantojot ā404 kļūduā sÄriju.
- Injekcijas uzbrukumi (piemÄram, SQL injekcija), izmantojot ā500 kļūduā sÄriju.
- ZinÄmi uzbrukuma rÄ«ki ir sqlmap, nikto, w3af, nmap utt. izmantojot lietotÄja aÄ£enta lauka analÄ«zi.
Amazon Web Services ir izstrÄdÄjis arÄ« citus pakalpojumus kiberdroŔības nolÅ«kos, kas ļauj atrisinÄt daudzas citas problÄmas. PiemÄram, AWS ir iebÅ«vÄts pakalpojums politiku un konfigurÄciju auditÄÅ”anai - AWS Config. Å is pakalpojums nodroÅ”ina nepÄrtrauktu jÅ«su AWS resursu un to konfigurÄciju auditÄÅ”anu. Å emsim vienkÄrÅ”u piemÄru: pieÅemsim, ka vÄlaties pÄrliecinÄties, ka lietotÄju paroles ir atspÄjotas visos jÅ«su serveros un ka piekļuve ir iespÄjama tikai, pamatojoties uz sertifikÄtiem. AWS Config ļauj to viegli pÄrbaudÄ«t visiem jÅ«su serveriem. Ir arÄ« citas politikas, kuras var piemÄrot jÅ«su mÄkoÅa serveriem: āNeviens serveris nevar izmantot portu 22ā, āTikai administratori var mainÄ«t ugunsmÅ«ra noteikumusā vai āTikai lietotÄjs IvaÅ”ko var izveidot jaunus lietotÄju kontus, un viÅÅ” to var darÄ«t. Tas ir tikai otrdienÄs. " 2016. gada vasarÄ AWS Config pakalpojums tika paplaÅ”inÄts, lai automatizÄtu izstrÄdÄto politiku pÄrkÄpumu atklÄÅ”anu. AWS konfigurÄcijas noteikumi bÅ«tÄ«bÄ ir nepÄrtraukti konfigurÄcijas pieprasÄ«jumi jÅ«su izmantotajiem Amazon pakalpojumiem, kas Ä£enerÄ notikumus, ja tiek pÄrkÄptas atbilstoÅ”Äs politikas. PiemÄram, tÄ vietÄ, lai periodiski palaistu AWS konfigurÄcijas vaicÄjumus, lai pÄrbaudÄ«tu, vai visi diski virtuÄlajÄ serverÄ« ir Å”ifrÄti, AWS konfigurÄcijas kÄrtulas var izmantot, lai nepÄrtraukti pÄrbaudÄ«tu servera diskus, lai nodroÅ”inÄtu Ŕī nosacÄ«juma izpildi. Un, pats galvenais, Ŕīs publikÄcijas kontekstÄ jebkuri pÄrkÄpumi rada notikumus, kurus jÅ«su informÄcijas droŔības dienests var analizÄt.
AWS ir arÄ« lÄ«dzvÄrtÄ«gs tradicionÄlajiem korporatÄ«vÄs informÄcijas droŔības risinÄjumiem, kas arÄ« Ä£enerÄ droŔības notikumus, kurus varat un vajadzÄtu analizÄt:
- IelauÅ”anÄs noteikÅ”ana ā AWS GuardDuty
- InformÄcijas noplÅ«des kontrole ā AWS Macie
- EDR (lai gan tas nedaudz dÄ«vaini runÄ par galapunktiem mÄkonÄ«) - AWS Cloudwatch + atvÄrtÄ koda osquery vai GRR risinÄjumi
- Netflow analÄ«ze ā AWS Cloudwatch + AWS VPC Flow
- DNS analÄ«ze ā AWS Cloudwatch + AWS Route53
- AD ā AWS direktoriju pakalpojums
- Konta pÄrvaldÄ«ba ā AWS IAM
- SSO ā AWS SSO
- droŔības analīze - AWS inspektors
- konfigurÄcijas pÄrvaldÄ«ba ā AWS Config
- WAF - AWS WAF.
Es sÄ«kÄk neaprakstÄ«Å”u visus Amazon pakalpojumus, kas var bÅ«t noderÄ«gi informÄcijas droŔības kontekstÄ. Galvenais ir saprast, ka tie visi var Ä£enerÄt notikumus, kurus varam un vajadzÄtu analizÄt informÄcijas droŔības kontekstÄ, Å”im nolÅ«kam izmantojot gan paÅ”a Amazon iebÅ«vÄtÄs iespÄjas, gan ÄrÄjos risinÄjumus, piemÄram, SIEM, kas var nogÄdÄjiet droŔības notikumus savÄ uzraudzÄ«bas centrÄ un analizÄjiet tos kopÄ ar notikumiem no citiem mÄkoÅpakalpojumiem vai no iekÅ”ÄjÄs infrastruktÅ«ras, perimetra vai mobilajÄm ierÄ«cÄm.
JebkurÄ gadÄ«jumÄ viss sÄkas ar datu avotiem, kas sniedz jums informÄcijas droŔības notikumus. Å ie avoti ietver, bet ne tikai:
- CloudTrail ā API lietoÅ”ana un lietotÄja darbÄ«bas
- Trusted Advisor ā droŔības pÄrbaude pret labÄko praksi
- Config - kontu un pakalpojumu iestatÄ«jumu inventarizÄcija un konfigurÄÅ”ana
- VPC plÅ«smas žurnÄli - savienojumi ar virtuÄlajÄm saskarnÄm
- IAM - identifikÄcijas un autentifikÄcijas pakalpojums
- ELB piekļuves žurnÄli ā slodzes balansÄtÄjs
- Inspektors - lietojumprogrammu ievainojamības
- S3 - failu glabÄÅ”ana
- CloudWatch ā lietojumprogrammu darbÄ«ba
- SNS ir paziÅojumu pakalpojums.
Lai gan Amazon piedÄvÄ Å”Ädu notikumu avotu un rÄ«ku klÄstu to Ä£enerÄÅ”anai, tÄ spÄja analizÄt savÄktos datus informÄcijas droŔības kontekstÄ ir ļoti ierobežota. Jums bÅ«s patstÄvÄ«gi jÄizpÄta pieejamie žurnÄli, meklÄjot tajos atbilstoÅ”us kompromisa rÄdÄ«tÄjus. AWS droŔības centrmezgls, kuru Amazon nesen uzsÄka, cenÅ”as atrisinÄt Å”o problÄmu, kļūstot par AWS mÄkoÅa SIEM. Bet pagaidÄm tas ir tikai sava ceļojuma sÄkumÄ, un to ierobežo gan avotu skaits, ar kuriem tas darbojas, gan citi ierobežojumi, ko nosaka paÅ”a Amazon arhitektÅ«ra un abonementi.
PiemÄrs: informÄcijas droŔības uzraudzÄ«ba IaaS, pamatojoties uz Azure
Negribu ieslÄ«gt garÄs debatÄs par to, kurÅ” no trim mÄkoÅu nodroÅ”inÄtÄjiem (Amazon, Microsoft vai Google) ir labÄks (jo Ä«paÅ”i tÄpÄc, ka katram no tiem joprojÄm ir sava specifiskÄ specifika un tas ir piemÄrots savu problÄmu risinÄÅ”anai); KoncentrÄsimies uz informÄcijas droŔības uzraudzÄ«bas iespÄjÄm, ko nodroÅ”ina Å”ie spÄlÄtÄji. JÄatzÄ«st, ka Amazon AWS bija viens no pirmajiem Å”ajÄ segmentÄ un lÄ«dz ar to savu informÄcijas droŔības funkciju ziÅÄ (lai gan daudzi atzÄ«st, ka tÄs ir grÅ«ti lietojamas) ir pavirzÄ«jies tÄlÄk. Bet tas nenozÄ«mÄ, ka mÄs ignorÄsim Microsoft un Google sniegtÄs iespÄjas.
Microsoft produkti vienmÄr ir izcÄluÅ”ies ar savu āatvÄrtÄ«buā, un Azure situÄcija ir lÄ«dzÄ«ga. PiemÄram, ja AWS un GCP vienmÄr balstÄs uz jÄdzienu ākas nav atļauts, tas ir aizliegtsā, tad Azure ir tieÅ”i pretÄja pieeja. PiemÄram, veidojot virtuÄlo tÄ«klu mÄkonÄ« un virtuÄlo maŔīnu tajÄ, visi porti un protokoli ir atvÄrti un atļauti pÄc noklusÄjuma. TÄpÄc jums bÅ«s jÄpieliek nedaudz vairÄk pūļu piekļuves kontroles sistÄmas sÄkotnÄjai iestatÄ«Å”anai mÄkonÄ« no Microsoft. Un tas arÄ« uzliek jums stingrÄkas prasÄ«bas attiecÄ«bÄ uz darbÄ«bu uzraudzÄ«bu Azure mÄkonÄ«.
AWS Ä«patnÄ«ba ir saistÄ«ta ar to, ka, uzraugot savus virtuÄlos resursus, ja tie atrodas dažÄdos reÄ£ionos, jums ir grÅ«tÄ«bas apvienot visus notikumus un to vienoto analÄ«zi, kuru novÄrÅ”anai ir jÄizmanto dažÄdi triki, piemÄram, Izveidojiet savu AWS Lambda kodu, kas pÄrraidÄ«s notikumus starp reÄ£ioniem. Azure nav Ŕīs problÄmas ā tÄ darbÄ«bu žurnÄla mehÄnisms bez ierobežojumiem izseko visas darbÄ«bas visÄ organizÄcijÄ. Tas pats attiecas uz AWS Security Hub, ko Amazon nesen izstrÄdÄja, lai apvienotu daudzas droŔības funkcijas vienÄ droŔības centrÄ, bet tikai tÄ reÄ£ionÄ, kas gan Krievijai nav aktuÄls. Azure ir savs droŔības centrs, kuram nav saistoÅ”i reÄ£ionÄlie ierobežojumi, nodroÅ”inot piekļuvi visiem mÄkoÅa platformas droŔības lÄ«dzekļiem. TurklÄt dažÄdÄm vietÄjÄm komandÄm tas var nodroÅ”inÄt savu aizsardzÄ«bas iespÄju kopumu, tostarp to pÄrvaldÄ«tos droŔības pasÄkumus. AWS droŔības centrs joprojÄm ir ceļÄ, lai kļūtu lÄ«dzÄ«gs Azure droŔības centram. Bet ir vÄrts pievienot muÅ”u ā jÅ«s varat izspiest no Azure daudz no tÄ, kas iepriekÅ” tika aprakstÄ«ts AWS, taÄu to visÄrtÄk var izdarÄ«t tikai Azure AD, Azure Monitor un Azure Security Center. Visi pÄrÄjie Azure droŔības mehÄnismi, tostarp droŔības notikumu analÄ«ze, vÄl netiek pÄrvaldÄ«ti ÄrtÄkajÄ veidÄ. ProblÄmu daļÄji atrisina API, kas caurstrÄvo visus Microsoft Azure pakalpojumus, taÄu tas prasÄ«s papildu pÅ«les no jums, lai integrÄtu mÄkoni ar jÅ«su SOC un kvalificÄtu speciÄlistu klÄtbÅ«tni (patiesÄ«bÄ, tÄpat kÄ ar jebkuru citu SIEM, kas darbojas ar mÄkoni API). Daži SIEM, kas tiks apspriesti vÄlÄk, jau atbalsta Azure un var automatizÄt tÄ uzraudzÄ«bas uzdevumu, taÄu tam ir arÄ« savas grÅ«tÄ«bas - ne visi no tiem var apkopot visus Azure esoÅ”os žurnÄlus.
Notikumu apkopoÅ”ana un uzraudzÄ«ba Azure tiek nodroÅ”inÄta, izmantojot pakalpojumu Azure Monitor, kas ir galvenais rÄ«ks datu vÄkÅ”anai, glabÄÅ”anai un analÄ«zei Microsoft mÄkonÄ« un tÄ resursos - Git krÄtuvÄs, konteineros, virtuÄlajÄs maŔīnÄs, lietojumprogrammÄs utt. Visi Azure Monitor apkopotie dati ir sadalÄ«ti divÄs kategorijÄs - metrikÄ, kas tiek apkopota reÄllaikÄ un apraksta galvenos Azure mÄkoÅa veiktspÄjas rÄdÄ«tÄjus, un žurnÄlos, kas satur datus, kas sakÄrtoti ierakstos, kas raksturo noteiktus Azure resursu un pakalpojumu darbÄ«bas aspektus. TurklÄt, izmantojot Data Collector API, Azure Monitor pakalpojums var apkopot datus no jebkura REST avota, lai izveidotu savus uzraudzÄ«bas scenÄrijus.
Å eit ir daži droŔības notikumu avoti, kurus Azure piedÄvÄ un kuriem varat piekļūt, izmantojot Azure Portal, CLI, PowerShell vai REST API (un dažiem tikai caur Azure Monitor/Insight API).
- DarbÄ«bu žurnÄli ā Å”is žurnÄls atbild uz klasiskajiem jautÄjumiem ākasā, ākasā un ākadā saistÄ«bÄ ar jebkuru rakstÄ«Å”anas darbÄ«bu (PUT, POST, DELETE) mÄkoÅa resursos. Notikumi, kas saistÄ«ti ar lasÄ«Å”anas piekļuvi (GET), nav iekļauti Å”ajÄ Å¾urnÄlÄ, tÄpat kÄ daudzos citos.
- Diagnostikas žurnÄli ā satur datus par darbÄ«bÄm ar noteiktu resursu, kas iekļauts jÅ«su abonementÄ.
- Azure AD pÄrskati ā ietver gan lietotÄju aktivitÄtes, gan sistÄmas darbÄ«bas, kas saistÄ«tas ar grupu un lietotÄju pÄrvaldÄ«bu.
- Windows notikumu žurnÄls un Linux Syslog ā satur notikumus no virtuÄlajÄm maŔīnÄm, kas mitinÄtas mÄkonÄ«.
- Metrika ā ietver telemetriju par jÅ«su mÄkoÅpakalpojumu un resursu veiktspÄju un veselÄ«bas stÄvokli. MÄrÄ«ts katru minÅ«ti un uzglabÄts. 30 dienu laikÄ.
- TÄ«kla droŔības grupas plÅ«smas žurnÄli ā satur datus par tÄ«kla droŔības notikumiem, kas savÄkti, izmantojot Network Watcher pakalpojumu un resursu uzraudzÄ«bu tÄ«kla lÄ«menÄ«.
- UzglabÄÅ”anas žurnÄli - satur notikumus, kas saistÄ«ti ar piekļuvi uzglabÄÅ”anas iekÄrtÄm.
UzraudzÄ«bai varat izmantot ÄrÄjos SIEM vai iebÅ«vÄto Azure Monitor un tÄ paplaÅ”inÄjumus. Par informÄcijas droŔības notikumu pÄrvaldÄ«bas sistÄmÄm runÄsim vÄlÄk, bet pagaidÄm apskatÄ«sim, ko pati Azure mums piedÄvÄ datu analÄ«zei droŔības kontekstÄ. Galvenais ekrÄns visam, kas saistÄ«ts ar droŔību pakalpojumÄ Azure Monitor, ir Log Analytics droŔības un audita informÄcijas panelis (bezmaksas versija atbalsta ierobežotu notikumu krÄtuves apjomu tikai vienu nedÄļu). Å is informÄcijas panelis ir sadalÄ«ts 5 galvenajÄs jomÄs, kas vizualizÄ statistikas kopsavilkumu par to, kas notiek jÅ«su izmantotajÄ mÄkoÅa vidÄ.
- DroŔības domÄni - galvenie kvantitatÄ«vie rÄdÄ«tÄji, kas saistÄ«ti ar informÄcijas droŔību - incidentu skaits, kompromitÄto mezglu skaits, neizlabotie mezgli, tÄ«kla droŔības notikumi utt.
- NozÄ«mÄ«gas problÄmas ā parÄda aktÄ«vo informÄcijas droŔības problÄmu skaitu un nozÄ«mi
- Detections ā parÄda pret jums izmantoto uzbrukumu modeļus
- Threat Intelligence ā parÄda Ä£eogrÄfisko informÄciju par ÄrÄjiem mezgliem, kas jums uzbrÅ«k
- IzplatÄ«ti droŔības vaicÄjumi ā tipiski vaicÄjumi, kas palÄ«dzÄs labÄk pÄrraudzÄ«t informÄcijas droŔību.
Azure Monitor paplaÅ”inÄjumos ietilpst Azure Key Vault (kriptogrÄfisko atslÄgu aizsardzÄ«ba mÄkonÄ«), ļaunprÄtÄ«gas programmatÅ«ras novÄrtÄjums (virtuÄlajÄs maŔīnÄs esoÅ”Äs aizsardzÄ«bas pret ļaunprÄtÄ«gu kodu analÄ«ze), Azure Application Gateway Analytics (cita starpÄ mÄkoÅa ugunsmÅ«ra žurnÄlu analÄ«ze) utt. . Å ie rÄ«ki, kas bagÄtinÄti ar noteiktiem notikumu apstrÄdes noteikumiem, ļauj vizualizÄt dažÄdus mÄkoÅpakalpojumu darbÄ«bas aspektus, tostarp droŔību, un noteikt noteiktas novirzes no darbÄ«bas. TaÄu, kÄ jau tas bieži notiek, jebkurai papildu funkcionalitÄtei ir nepiecieÅ”ams atbilstoÅ”s maksas abonements, kas prasÄ«s no jums atbilstoÅ”us finanÅ”u ieguldÄ«jumus, kas jums iepriekÅ” jÄplÄno.
Azure ir vairÄkas iebÅ«vÄtas draudu uzraudzÄ«bas iespÄjas, kas ir integrÄtas Azure AD, Azure Monitor un Azure droŔības centrÄ. Tostarp, piemÄram, virtuÄlo maŔīnu mijiedarbÄ«bas noteikÅ”ana ar zinÄmiem ļaunprÄtÄ«giem IP (sakarÄ ar integrÄciju ar Microsoft Threat Intelligence pakalpojumiem), ļaunprÄtÄ«gas programmatÅ«ras noteikÅ”ana mÄkoÅa infrastruktÅ«rÄ, saÅemot trauksmes signÄlus no mÄkonÄ« mitinÄtÄm virtuÄlajÄm maŔīnÄm, parole. uzminÄÅ”anas uzbrukumi ā virtuÄlajÄm maŔīnÄm, ievainojamÄ«bas lietotÄju identifikÄcijas sistÄmas konfigurÄcijÄ, pieteikÅ”anÄs sistÄmÄ no anonimizatoriem vai inficÄtiem mezgliem, konta noplÅ«de, pieteikÅ”anÄs sistÄmÄ no neparastÄm vietÄm utt. Azure Å”odien ir viens no nedaudzajiem mÄkoÅa pakalpojumu sniedzÄjiem, kas piedÄvÄ iebÅ«vÄtas draudu izlÅ«koÅ”anas iespÄjas, lai bagÄtinÄtu apkopotos informÄcijas droŔības notikumus.
KÄ minÄts iepriekÅ”, droŔības funkcionalitÄte un lÄ«dz ar to arÄ« tÄs Ä£enerÄtie droŔības notikumi nav pieejami visiem lietotÄjiem vienÄdi, bet ir nepiecieÅ”ams noteikts abonements, kas ietver Jums nepiecieÅ”amo funkcionalitÄti, kas Ä£enerÄ atbilstoÅ”us notikumus informÄcijas droŔības uzraudzÄ«bai. PiemÄram, dažas no iepriekÅ”ÄjÄ punktÄ aprakstÄ«tajÄm funkcijÄm kontu anomÄliju pÄrraudzÄ«bai ir pieejamas tikai pakalpojuma Azure AD premium licencÄ. Bez tÄ jums, tÄpat kÄ AWS gadÄ«jumÄ, savÄktie droŔības notikumi bÅ«s jÄanalizÄ āmanuÄliā. TurklÄt atkarÄ«bÄ no Azure AD licences veida ne visi notikumi bÅ«s pieejami analÄ«zei.
PortÄlÄ Azure varat pÄrvaldÄ«t gan jÅ«s interesÄjoÅ”o žurnÄlu meklÄÅ”anas vaicÄjumus, gan iestatÄ«t informÄcijas paneļus, lai vizualizÄtu galvenos informÄcijas droŔības indikatorus. TurklÄt tur varat atlasÄ«t Azure Monitor paplaÅ”inÄjumus, kas ļauj paplaÅ”inÄt Azure Monitor žurnÄlu funkcionalitÄti un iegÅ«t dziļÄku notikumu analÄ«zi no droŔības viedokļa.
Ja jums ir nepiecieÅ”ama ne tikai iespÄja strÄdÄt ar žurnÄliem, bet arÄ« visaptveroÅ”s droŔības centrs jÅ«su Azure mÄkoÅa platformai, ieskaitot informÄcijas droŔības politikas pÄrvaldÄ«bu, varat runÄt par nepiecieÅ”amÄ«bu strÄdÄt ar Azure droŔības centru, kura lielÄkÄ daļa noderÄ«go funkciju ir pieejami par kÄdu naudu, piemÄram, draudu noteikÅ”ana, uzraudzÄ«ba Ärpus Azure, atbilstÄ«bas novÄrtÄÅ”ana utt. (bezmaksas versijÄ jums ir pieejams tikai droŔības novÄrtÄjums un ieteikumi identificÄto problÄmu novÄrÅ”anai). Tas apvieno visas droŔības problÄmas vienuviet. Faktiski mÄs varam runÄt par augstÄku informÄcijas droŔības lÄ«meni, nekÄ nodroÅ”ina Azure Monitor, jo Å”ajÄ gadÄ«jumÄ jÅ«su mÄkoÅrÅ«pnÄ«cÄ savÄktie dati tiek bagÄtinÄti, izmantojot daudzus avotus, piemÄram, Azure, Office 365, Microsoft CRM tieÅ”saistÄ, Microsoft Dynamics AX. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) un Microsoft Security Response Center (MSRC), uz kuriem ir uzlikti dažÄdi sarežģīti maŔīnmÄcÄ«Å”anÄs un uzvedÄ«bas analÄ«zes algoritmi, kam galu galÄ vajadzÄtu uzlabot draudu noteikÅ”anas un reaÄ£ÄÅ”anas efektivitÄti. .
Azure ir arÄ« savs SIEM ā tas parÄdÄ«jÄs 2019. gada sÄkumÄ. Tas ir Azure Sentinel, kas balstÄs uz datiem no Azure Monitor un var arÄ« integrÄties ar. ÄrÄjie droŔības risinÄjumi (piemÄram, NGFW vai WAF), kuru saraksts nepÄrtraukti pieaug. TurklÄt, integrÄjot Microsoft Graph Security API, jÅ«s varat savienot savas draudu izlÅ«koÅ”anas plÅ«smas ar Sentinel, kas bagÄtina iespÄjas analizÄt incidentus jÅ«su Azure mÄkonÄ«. Var apgalvot, ka Azure Sentinel ir pirmais āvietÄjaisā SIEM, kas parÄdÄ«jÄs no mÄkoÅpakalpojumu sniedzÄjiem (to paÅ”u Splunk vai ELK, ko var mitinÄt mÄkonÄ«, piemÄram, AWS, joprojÄm neizstrÄdÄ tradicionÄlie mÄkoÅpakalpojumu sniedzÄji). Azure Sentinel un droŔības centru varÄtu saukt par SOC Azure mÄkonim, un to varÄtu ierobežot (ar noteiktÄm atrunÄm), ja jums vairs nebÅ«tu infrastruktÅ«ras un jÅ«s pÄrsÅ«tÄt visus savus skaitļoÅ”anas resursus uz mÄkoni, un tas bÅ«tu Microsoft mÄkonis Azure.
TaÄu, tÄ kÄ Azure iebÅ«vÄtÄs iespÄjas (pat ja jums ir Sentinel abonements) bieži vien nepietiek, lai uzraudzÄ«tu informÄcijas droŔību un integrÄtu Å”o procesu ar citiem droŔības notikumu avotiem (gan mÄkonÄ«, gan iekÅ”Äjiem), ir nepiecieÅ”ams eksportÄt savÄktos datus uz ÄrÄjÄm sistÄmÄm, kas var ietvert SIEM. Tas tiek darÄ«ts gan izmantojot API, gan izmantojot Ä«paÅ”us paplaÅ”inÄjumus, kas Å”obrÄ«d oficiÄli pieejami tikai Å”Ädiem SIEM ā Splunk (Azure Monitor Add-On for Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight un ELK. VÄl nesen Å”Ädu SIEM bija vairÄk, taÄu no 1. gada 2019. jÅ«nija Microsoft pÄrtrauca atbalstÄ«t Azure žurnÄlu integrÄcijas rÄ«ku (AzLog), kas Azure pastÄvÄÅ”anas rÄ«tausmÄ un bez normÄlas standartizÄcijas darbam ar žurnÄliem (Azure). Monitors vÄl pat neeksistÄja) atviegloja ÄrÄjÄ SIEM integrÄÅ”anu ar Microsoft mÄkoni. Tagad situÄcija ir mainÄ«jusies, un Microsoft iesaka Azure Event Hub platformu kÄ galveno integrÄcijas rÄ«ku citiem SIEM. Daudzi jau ir ieviesuÅ”i Å”Ädu integrÄciju, taÄu esiet uzmanÄ«gi - tie var neuztvert visus Azure žurnÄlus, bet tikai dažus (skatiet sava SIEM dokumentÄcijÄ).
NoslÄdzot Ä«su ekskursiju uz Azure, vÄlos sniegt vispÄrÄ«gu ieteikumu par Å”o mÄkoÅpakalpojumu - pirms sakÄt kaut ko par informÄcijas droŔības uzraudzÄ«bas funkcijÄm Azure, tÄs ir ļoti rÅ«pÄ«gi jÄkonfigurÄ un jÄpÄrbauda, āāvai tÄs darbojas, kÄ rakstÄ«ts dokumentÄcijÄ un kÄ konsultanti jums teica Microsoft (un viÅiem var bÅ«t dažÄdi viedokļi par Azure funkciju funkcionalitÄti). Ja jums ir finanÅ”u resursi, varat no Azure iegÅ«t daudz noderÄ«gas informÄcijas informÄcijas droŔības uzraudzÄ«bas ziÅÄ. Ja jÅ«su resursi ir ierobežoti, tad, tÄpat kÄ AWS gadÄ«jumÄ, jums bÅ«s jÄpaļaujas tikai uz saviem spÄkiem un neapstrÄdÄtajiem datiem, ko Azure Monitor jums nodroÅ”ina. Un atcerieties, ka daudzas uzraudzÄ«bas funkcijas maksÄ naudu, un labÄk ir iepriekÅ” iepazÄ«ties ar cenu politiku. PiemÄram, bez maksas varat glabÄt 31 dienu datus, nepÄrsniedzot 5 GB uz vienu klientu ā Å”o vÄrtÄ«bu pÄrsniegÅ”anai jums bÅ«s jÄizmaksÄ papildu nauda (aptuveni USD 2+ par katra papildu GB uzglabÄÅ”anu no klienta un 0,1 $ par saglabÄjot 1 GB katru nÄkamo mÄnesi). Darbs ar lietojumprogrammu telemetriju un metriku var prasÄ«t arÄ« papildu lÄ«dzekļus, kÄ arÄ« darbam ar brÄ«dinÄjumiem un paziÅojumiem (bez maksas ir pieejams noteikts limits, kas var nepietikt jÅ«su vajadzÄ«bÄm).
PiemÄrs: informÄcijas droŔības uzraudzÄ«ba IaaS, pamatojoties uz Google Cloud Platform
Google Cloud Platform izskatÄs kÄ jauns, salÄ«dzinot ar AWS un Azure, taÄu tas ir daļÄji labs. AtŔķirÄ«bÄ no AWS, kas pakÄpeniski palielinÄja savas iespÄjas, tostarp droŔības, problÄmas ar centralizÄciju; GCP, tÄpat kÄ Azure, ir daudz labÄk pÄrvaldÄ«ts centralizÄti, kas samazina kļūdu skaitu un ievieÅ”anas laiku visÄ uzÅÄmumÄ. No droŔības viedokļa GCP, dÄ«vainÄ kÄrtÄ, ir starp AWS un Azure. ViÅam ir arÄ« viena pasÄkuma reÄ£istrÄcija visai organizÄcijai, taÄu tÄ ir nepilnÄ«ga. Dažas funkcijas joprojÄm ir beta režīmÄ, taÄu pakÄpeniski Å”is trÅ«kums ir jÄnovÄrÅ” un GCP kļūs par nobrieduÅ”Äku platformu informÄcijas droŔības uzraudzÄ«bas ziÅÄ.
Galvenais rÄ«ks notikumu reÄ£istrÄÅ”anai GCP ir Stackdriver Logging (lÄ«dzÄ«gi kÄ Azure Monitor), kas ļauj apkopot notikumus visÄ mÄkoÅa infrastruktÅ«rÄ (kÄ arÄ« no AWS). No GCP droŔības viedokļa katrai organizÄcijai, projektam vai mapei ir Äetri žurnÄli:
- Administratora darbÄ«ba - satur visus notikumus, kas saistÄ«ti ar administratÄ«vo piekļuvi, piemÄram, virtuÄlÄs maŔīnas izveidoÅ”ana, piekļuves tiesÄ«bu maiÅa utt. Å is žurnÄls vienmÄr tiek rakstÄ«ts neatkarÄ«gi no jÅ«su vÄlmes un glabÄ tÄ datus 400 dienas.
- Datu piekļuve - satur visus notikumus, kas saistÄ«ti ar mÄkoÅa lietotÄju darbu ar datiem (izveide, modificÄÅ”ana, lasÄ«Å”ana utt.). PÄc noklusÄjuma Å”is žurnÄls netiek rakstÄ«ts, jo tÄ apjoms ļoti Ätri uzbriest. Å Ä« iemesla dÄļ tÄ glabÄÅ”anas laiks ir tikai 30 dienas. TurklÄt ne viss ir rakstÄ«ts Å”ajÄ Å¾urnÄlÄ. PiemÄram, notikumi, kas saistÄ«ti ar resursiem, kas ir publiski pieejami visiem lietotÄjiem vai ir pieejami, nepiesakoties GCP, tajÄ netiek ierakstÄ«ti.
- SistÄmas notikums ā satur sistÄmas notikumus, kas nav saistÄ«ti ar lietotÄjiem vai administratora darbÄ«bÄm, kas maina mÄkoÅa resursu konfigurÄciju. Tas vienmÄr tiek uzrakstÄ«ts un uzglabÄts 400 dienas.
- Access Transparency ir unikÄls žurnÄla piemÄrs, kas fiksÄ visas to Google darbinieku darbÄ«bas (bet vÄl ne visiem GSP pakalpojumiem), kuri piekļūst jÅ«su infrastruktÅ«rai savu darba pienÄkumu ietvaros. Å is žurnÄls tiek glabÄts 400 dienas un nav pieejams katram GSP klientam, bet tikai tad, ja ir izpildÄ«ti vairÄki nosacÄ«jumi (zelta vai platÄ«na lÄ«meÅa atbalsts vai 4 noteikta veida lomas kÄ daļa no korporatÄ«vÄ atbalsta). LÄ«dzÄ«ga funkcija ir pieejama arÄ«, piemÄram, Office 365 - Lockbox.
ŽurnÄla piemÄrs: Access Transparency
{
insertId: "abcdefg12345"
jsonPayload: {
@type: "type.googleapis.com/google.cloud.audit.TransparencyLog"
location: {
principalOfficeCountry: "US"
principalEmployingEntity: "Google LLC"
principalPhysicalLocationCountry: "CA"
}
product: [
0: "Cloud Storage"
]
reason: [
detail: "Case number: bar123"
type: "CUSTOMER_INITIATED_SUPPORT"
]
accesses: [
0: {
methodName: "GoogleInternal.Read"
resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
}
]
}
logName: "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
operation: {
id: "12345xyz"
}
receiveTimestamp: "2017-12-18T16:06:37.400577736Z"
resource: {
labels: {
project_id: "1234567890"
}
type: "project"
}
severity: "NOTICE"
timestamp: "2017-12-18T16:06:24.660001Z"
}
Piekļuve Å”iem žurnÄliem ir iespÄjama vairÄkos veidos (tÄdÄ paÅ”Ä veidÄ, kÄ iepriekÅ” tika apspriests Azure un AWS) ā izmantojot žurnÄlu skatÄ«tÄja saskarni, API, Google Cloud SDK vai jÅ«su projekta darbÄ«bu lapu. interesÄjas par pasÄkumiem. TÄdÄ paÅ”Ä veidÄ tos var eksportÄt uz ÄrÄjiem risinÄjumiem papildu analÄ«zei. PÄdÄjais tiek veikts, eksportÄjot žurnÄlus uz BigQuery vai Cloud Pub/Sub krÄtuvi.
Papildus Stackdriver Logging GCP platforma piedÄvÄ arÄ« Stackdriver Monitoring funkcionalitÄti, kas ļauj pÄrraudzÄ«t galvenos mÄkoÅpakalpojumu un lietojumprogrammu rÄdÄ«tÄjus (veiktspÄju, MTBF, vispÄrÄjo stÄvokli utt.). ApstrÄdÄti un vizualizÄti dati var atvieglot mÄkoÅu infrastruktÅ«ras problÄmu atraÅ”anu, tostarp droŔības kontekstÄ. TaÄu jÄatzÄ«mÄ, ka Ŕī funkcionalitÄte informÄcijas droŔības kontekstÄ nebÅ«s Ä«paÅ”i bagÄta, jo Å”odien GCP nav tÄs paÅ”as AWS GuardDuty analoga un nevar identificÄt sliktos starp visiem reÄ£istrÄtajiem notikumiem (Google ir izstrÄdÄjis Event Threat Detection, bet tas joprojÄm tiek izstrÄdÄts beta versijÄ, un ir pÄragri runÄt par tÄ lietderÄ«bu). Stackdriver Monitoring varÄtu izmantot kÄ sistÄmu anomÄliju noteikÅ”anai, kuras pÄc tam izmeklÄtu, lai noskaidrotu to raÅ”anÄs cÄloÅus. TaÄu, Åemot vÄrÄ GCP informÄcijas droŔības jomÄ kvalificÄta personÄla trÅ«kumu tirgÅ«, Å”is uzdevums paÅ”laik Ŕķiet sarežģīts.
Ir arÄ« vÄrts sniegt sarakstu ar dažiem informÄcijas droŔības moduļiem, kurus var izmantot jÅ«su GCP mÄkonÄ« un kas ir lÄ«dzÄ«gi AWS piedÄvÄtajiem:
- Cloud Security Command Center ir AWS droŔības centrmezgla un Azure droŔības centra analogs.
- MÄkoÅa DLP ā mÄkonÄ« mitinÄto datu automÄtiska atklÄÅ”ana un rediÄ£ÄÅ”ana (piem., maskÄÅ”ana), izmantojot vairÄk nekÄ 90 iepriekÅ” definÄtas klasifikÄcijas politikas.
- Cloud Scanner ir zinÄmu ievainojamÄ«bu (XSS, Flash Injection, nelÄpÄ«tu bibliotÄku u.c.) skeneris programmÄs App Engine, Compute Engine un Google Kubernetes.
- MÄkoÅa IAM ā kontrolÄjiet piekļuvi visiem GCP resursiem.
- MÄkoÅa identitÄte ā pÄrvaldiet GCP lietotÄju, ierÄ«Äu un lietojumprogrammu kontus no vienas konsoles.
- Cloud HSM - kriptogrÄfisko atslÄgu aizsardzÄ«ba.
- Cloud Key Management Service ā kriptogrÄfisko atslÄgu pÄrvaldÄ«ba GCP.
- VPC pakalpojumu kontrole ā izveidojiet droÅ”u perimetru ap saviem GCP resursiem, lai pasargÄtu tos no noplÅ«dÄm.
- Titan droŔības atslÄga ā aizsardzÄ«ba pret pikŔķerÄÅ”anu.
Daudzi no Å”iem moduļiem Ä£enerÄ droŔības notikumus, kurus var nosÅ«tÄ«t uz BigQuery krÄtuvi analÄ«zei vai eksportÄt uz citÄm sistÄmÄm, tostarp SIEM. KÄ minÄts iepriekÅ”, GCP ir aktÄ«vi attÄ«stÄs platforma, un Google tagad izstrÄdÄ vairÄkus jaunus informÄcijas droŔības moduļus savai platformai. Starp tiem ir notikumu draudu noteikÅ”ana (tagad pieejams beta versijÄ), kas skenÄ Stackdriver žurnÄlus, meklÄjot nesankcionÄtas darbÄ«bas pÄdas (analogs GuardDuty AWS), vai politikas izlÅ«koÅ”anas (pieejams alfa), kas ļaus jums izstrÄdÄt viedas politikas piekļuve GSP resursiem.
Es sniedzu Ä«su pÄrskatu par iebÅ«vÄtajÄm uzraudzÄ«bas iespÄjÄm populÄrajÄs mÄkoÅu platformÄs. Bet vai jums ir speciÄlisti, kas spÄj strÄdÄt ar āneapstrÄdÄtiemā IaaS nodroÅ”inÄtÄja žurnÄliem (ne visi ir gatavi iegÄdÄties AWS vai Azure vai Google uzlabotÄs iespÄjas)? TurklÄt daudzi ir pazÄ«stami ar sakÄmvÄrdu āuzticieties, bet pÄrbaudietā, kas droŔības jomÄ ir patiesÄks nekÄ jebkad agrÄk. Cik ļoti jÅ«s uzticaties mÄkoÅa pakalpojumu sniedzÄja iebÅ«vÄtajÄm iespÄjÄm, kas sÅ«ta jums informÄcijas droŔības notikumus? Cik viÅi vispÄr koncentrÄjas uz informÄcijas droŔību?
DažkÄrt ir vÄrts aplÅ«kot pÄrklÄjuma mÄkoÅa infrastruktÅ«ras uzraudzÄ«bas risinÄjumus, kas var papildinÄt iebÅ«vÄto mÄkoÅdroŔību, un dažreiz Å”Ädi risinÄjumi ir vienÄ«gÄ iespÄja gÅ«t ieskatu mÄkonÄ« mitinÄto datu un lietojumprogrammu droŔībÄ. TurklÄt tie ir vienkÄrÅ”i ÄrtÄki, jo tie uzÅemas visus uzdevumus, analizÄjot nepiecieÅ”amos žurnÄlus, ko Ä£enerÄjuÅ”i dažÄdi mÄkoÅpakalpojumi no dažÄdiem mÄkoÅa pakalpojumu sniedzÄjiem. Å Äda pÄrklÄjuma risinÄjuma piemÄrs ir Cisco Stealthwatch Cloud, kas ir orientÄts uz vienu uzdevumu ā informÄcijas droŔības anomÄliju uzraudzÄ«bu mÄkoÅu vidÄs, tostarp ne tikai Amazon AWS, Microsoft Azure un Google Cloud Platform, bet arÄ« privÄtos mÄkoÅos.
PiemÄrs: InformÄcijas droŔības uzraudzÄ«ba, izmantojot Stealthwatch Cloud
AWS nodroÅ”ina elastÄ«gu skaitļoÅ”anas platformu, taÄu Ŕī elastÄ«ba ļauj uzÅÄmumiem vieglÄk pieļaut kļūdas, kas rada droŔības problÄmas. Un koplietotais informÄcijas droŔības modelis to tikai veicina. ProgrammatÅ«ras darbinÄÅ”ana mÄkonÄ« ar nezinÄmÄm ievainojamÄ«bÄm (ar zinÄmÄm var cÄ«nÄ«ties, piemÄram, ar AWS Inspector vai GCP Cloud Scanner), vÄjÄm parolÄm, nepareizÄm konfigurÄcijÄm, iekÅ”ÄjÄm personÄm utt. Un tas viss atspoguļojas mÄkoÅresursu uzvedÄ«bÄ, ko var uzraudzÄ«t Cisco Stealthwatch Cloud, kas ir informÄcijas droŔības uzraudzÄ«bas un uzbrukumu noteikÅ”anas sistÄma. publiskie un privÄtie mÄkoÅi.
Viena no galvenajÄm Cisco Stealthwatch Cloud iezÄ«mÄm ir spÄja modelÄt entÄ«tijas. Izmantojot to, varat izveidot katra mÄkoÅa resursa programmatÅ«ras modeli (tas ir, gandrÄ«z reÄllaika simulÄciju) (nav svarÄ«gi, vai tas ir AWS, Azure, GCP vai kaut kas cits). Tie var ietvert serverus un lietotÄjus, kÄ arÄ« resursu veidus, kas raksturÄ«gi jÅ«su mÄkoÅvidei, piemÄram, droŔības grupas un automÄtiskÄs mÄrogoÅ”anas grupas. Å ajos modeļos kÄ ievade tiek izmantotas strukturÄtas datu plÅ«smas, ko nodroÅ”ina mÄkoÅpakalpojumi. PiemÄram, AWS gadÄ«jumÄ tie bÅ«tu VPC plÅ«smas žurnÄli, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda un AWS IAM. EntÄ«tiju modelÄÅ”ana automÄtiski atklÄj jebkura jÅ«su resursa lomu un uzvedÄ«bu (varat runÄt par visu mÄkoÅa darbÄ«bu profilÄÅ”anu). Å Ä«s lomas ietver Android vai Apple mobilo ierÄ«ci, Citrix PVS serveri, RDP serveri, pasta vÄrteju, VoIP klientu, terminÄļa serveri, domÄna kontrolleri utt. PÄc tam tÄ nepÄrtraukti uzrauga viÅu uzvedÄ«bu, lai noteiktu, kad notiek riskanta vai droŔībai bÄ«stama uzvedÄ«ba. Varat identificÄt paroles minÄÅ”anu, DDoS uzbrukumus, datu noplÅ«di, nelegÄlu attÄlo piekļuvi, ļaunprÄtÄ«gas koda darbÄ«bas, ievainojamÄ«bas skenÄÅ”anu un citus draudus. PiemÄram, Å”Ädi izskatÄs attÄlÄs piekļuves mÄÄ£inÄjuma noteikÅ”ana no jÅ«su organizÄcijai netipiskas valsts (Dienvidkoreja) Kubernetes klasterim, izmantojot SSH:
Un Å”Ädi izskatÄs iespÄjamÄ informÄcijas noplÅ«de no Postgress datu bÄzes uz valsti, ar kuru mÄs iepriekÅ” neesam saskÄruÅ”ies:
Visbeidzot, Å”Ädi izskatÄs pÄrÄk daudzi neveiksmÄ«gi SSH mÄÄ£inÄjumi no Ķīnas un IndonÄzijas no ÄrÄjas attÄlÄs ierÄ«ces:
Vai arÄ« pieÅemsim, ka servera gadÄ«jums VPC saskaÅÄ ar politiku nekad nav attÄlÄs pieteikÅ”anÄs galamÄrÄ·is. PieÅemsim, ka Å”im datoram tika veikta attÄlÄ pieteikÅ”anÄs kļūdainu ugunsmÅ«ra noteikumu politikas izmaiÅu dÄļ. EntÄ«tijas modelÄÅ”anas lÄ«dzeklis noteiks un ziÅos par Å”o darbÄ«bu (āNeparastÄ attÄlÄ piekļuveā) gandrÄ«z reÄllaikÄ un norÄdÄ«s uz konkrÄto AWS CloudTrail, Azure Monitor vai GCP Stackdriver Logging API zvanu (tostarp lietotÄjvÄrdu, datumu un laiku, kÄ arÄ« citu informÄciju ), kas mudinÄja mainÄ«t ITU noteikumu. Un tad Å”o informÄciju var nosÅ«tÄ«t SIEM analÄ«zei.
LÄ«dzÄ«gas iespÄjas ir ieviestas jebkurÄ mÄkoÅa vidÄ, ko atbalsta Cisco Stealthwatch Cloud:
VienÄ«bu modelÄÅ”ana ir unikÄls droŔības automatizÄcijas veids, kas var atklÄt iepriekÅ” nezinÄmu problÄmu saistÄ«bÄ ar jÅ«su cilvÄkiem, procesiem vai tehnoloÄ£ijÄm. PiemÄram, tas ļauj cita starpÄ atklÄt droŔības problÄmas, piemÄram:
- Vai kÄds mÅ«su izmantotajÄ programmatÅ«rÄ ir atklÄjis aizmugures durvis?
- Vai mÅ«su mÄkonÄ« ir kÄda treÅ”Äs puses programmatÅ«ra vai ierÄ«ce?
- Vai pilnvarotais lietotÄjs ļaunprÄtÄ«gi izmanto privilÄÄ£ijas?
- Vai radÄs konfigurÄcijas kļūda, kas atļÄva attÄlo piekļuvi vai citu neparedzÄtu resursu izmantoÅ”anu?
- Vai no mūsu serveriem ir datu noplūde?
- Vai kÄds mÄÄ£inÄja ar mums izveidot savienojumu no netipiskas Ä£eogrÄfiskas vietas?
- Vai mÅ«su mÄkonis ir inficÄts ar ļaunprÄtÄ«gu kodu?
AtklÄto informÄcijas droŔības notikumu var nosÅ«tÄ«t atbilstoÅ”as āābiļetes veidÄ uz Slack, Cisco Spark, PagerDuty incidentu pÄrvaldÄ«bas sistÄmu, kÄ arÄ« nosÅ«tÄ«t dažÄdiem SIEM, tostarp Splunk vai ELK. RezumÄjot, varam teikt, ka, ja jÅ«su uzÅÄmums izmanto vairÄku mÄkoÅu stratÄÄ£iju un neaprobežojas ar vienu mÄkoÅpakalpojumu sniedzÄju, iepriekÅ” aprakstÄ«tÄs informÄcijas droŔības uzraudzÄ«bas iespÄjas, tad Cisco Stealthwatch Cloud izmantoÅ”ana ir laba iespÄja iegÅ«t vienotu uzraudzÄ«bas kopu. iespÄjas vadoÅ”ajiem mÄkoÅu atskaÅotÄjiem - Amazon, Microsoft un Google. InteresantÄkais ir tas, ka, salÄ«dzinot Stealthwatch Cloud cenas ar uzlabotajÄm licencÄm informÄcijas droŔības uzraudzÄ«bai AWS, Azure vai GCP, var izrÄdÄ«ties, ka Cisco risinÄjums bÅ«s pat lÄtÄks par Amazon, Microsoft iebÅ«vÄtajÄm iespÄjÄm. un Google risinÄjumi. Tas ir paradoksÄli, bet tÄ ir patiesÄ«ba. Un jo vairÄk mÄkoÅu un to iespÄju izmantosit, jo acÄ«mredzamÄkas bÅ«s konsolidÄtÄ risinÄjuma priekÅ”rocÄ«bas.
TurklÄt Stealthwatch Cloud var pÄrraudzÄ«t jÅ«su organizÄcijÄ izvietotos privÄtos mÄkoÅus, piemÄram, pamatojoties uz Kubernetes konteineriem vai uzraugot Netflow plÅ«smas vai tÄ«kla trafiku, kas saÅemts, izmantojot spoguļoÅ”anu tÄ«kla iekÄrtÄs (pat vietÄjÄ ražojumÄ), AD datos vai DNS serveros un tÄ tÄlÄk. Visi Å”ie dati tiks papildinÄti ar Threat Intelligence informÄciju, ko savÄkusi Cisco Talos, pasaulÄ lielÄkÄ nevalstiskÄ kiberdroŔības draudu pÄtnieku grupa.
Tas ļauj ieviest vienotu uzraudzÄ«bas sistÄmu gan publiskajiem, gan hibrÄ«dmÄkoÅiem, ko var izmantot jÅ«su uzÅÄmums. PÄc tam apkopoto informÄciju var analizÄt, izmantojot Stealthwatch Cloud iebÅ«vÄtÄs iespÄjas, vai nosÅ«tÄ«t uz jÅ«su SIEM (Splunk, ELK, SumoLogic un vairÄkas citas tiek atbalstÄ«tas pÄc noklusÄjuma).
Ar to mÄs pabeigsim raksta pirmo daļu, kurÄ es apskatÄ«ju iebÅ«vÄtos un ÄrÄjos rÄ«kus IaaS/PaaS platformu informÄcijas droŔības uzraudzÄ«bai, kas ļauj Ätri atklÄt un reaÄ£Ät uz incidentiem, kas notiek mÄkoÅvidÄs. mÅ«su uzÅÄmums ir izvÄlÄjies. OtrajÄ daÄ¼Ä turpinÄsim tÄmu un apskatÄ«sim SaaS platformu monitoringa iespÄjas, izmantojot Salesforce un Dropbox piemÄru, kÄ arÄ« mÄÄ£inÄsim visu apkopot un salikt kopÄ, veidojot vienotu informÄcijas droŔības uzraudzÄ«bas sistÄmu dažÄdiem mÄkoÅpakalpojumu sniedzÄjiem.
Avots: www.habr.com