လုံခြုံရေးကိရိယာတစ်ခုအနေဖြင့် အပေါက် - 2 သို့မဟုတ် APT "တိုက်ရိုက်ငါးဖမ်းနည်း"

(ခေါင်းစဉ် စိတ်ကူးအတွက် Sergey G. Brester ကို ကျေးဇူးတင်ပါသည်။ sebres)

လုပ်ဖော်ကိုင်ဖက်များ၊ ဤဆောင်းပါး၏ ရည်ရွယ်ချက်မှာ Deception နည်းပညာများကို အခြေခံ၍ IDS ဖြေရှင်းချက် အတန်းသစ်၏ တစ်နှစ်တာ စမ်းသပ်လည်ပတ်မှု အတွေ့အကြုံကို မျှဝေရန် ဖြစ်ပါသည်။

ပစ္စည်းတင်ပြခြင်း၏ ယုတ္တိ ညီညွတ်မှုကို ထိန်းသိမ်းရန်အတွက် ဥပစာဖြင့် စတင်ရန် လိုအပ်သည်ဟု ကျွန်ုပ်ယူဆပါသည်။ ဒီတော့ ပြဿနာ၊

1. ပစ်မှတ်ထားသော တိုက်ခိုက်မှုများသည် အန္တရာယ်အရှိဆုံး တိုက်ခိုက်မှုအမျိုးအစားဖြစ်ပြီး ခြိမ်းခြောက်မှုစုစုပေါင်းတွင် ၎င်းတို့၏ပါဝင်မှုသည် နည်းပါးသော်လည်း၊
2. ပတ်၀န်းကျင်ကို ကာကွယ်ရန် အာမခံချက်ရှိသော ထိရောက်သောနည်းလမ်းများ (သို့မဟုတ် ထိုသို့သောနည်းလမ်းများ) ကို မတီထွင်ရသေးပါ။
3. စည်းကမ်းအရ၊ ပစ်မှတ်ထားတိုက်ခိုက်မှုများသည် အဆင့်များစွာတွင် ဖြစ်ပွားသည်။ ပတ်၀န်းကျင်ကိုကျော်ဖြတ်ခြင်းသည် (မင်းငါ့ကိုခဲနှင့်ပေါက်နိုင်သည်)၊ ၎င်းသည် DEoS (ဝန်ဆောင်မှုဖျက်ဆီးခြင်း) တိုက်ခိုက်မှု (ကုဒ်ဝှက်ကိရိယာများစသည်ဖြင့်) မဟုတ်ပါက၊ "သားကောင်" ကို များစွာထိခိုက်စေမည်မဟုတ်ပါ။ ။) စစ်မှန်သော "နာကျင်မှု" သည် နောက်ပိုင်းတွင်၊ ဖမ်းမိထားသောပစ္စည်းများကို လှည့်ပတ်ခြင်းနှင့် "အနက်" တိုက်ခိုက်မှုကို လုပ်ဆောင်ရန်အတွက် စတင်အသုံးပြုသောအခါတွင်၊ ၎င်းကို ကျွန်ုပ်တို့ သတိမထားမိခဲ့ပါ။
4. တိုက်ခိုက်သူများသည် နောက်ဆုံးတွင် တိုက်ခိုက်မှု၏ပစ်မှတ်များ (အပလီကေးရှင်းဆာဗာများ၊ DBMS၊ ဒေတာသိုလှောင်ရုံများ၊ သိုလှောင်ခန်းများ၊ အရေးကြီးသောအခြေခံအဆောက်အအုံအစိတ်အပိုင်းများ) ကို တိုက်ခိုက်သူများသည် တိုက်ခိုက်မှုများမစတင်မီ သတင်းအချက်အလက်လုံခြုံရေးဝန်ဆောင်မှု၏ လုပ်ငန်းတာဝန်များထဲမှ တစ်ခုဖြစ်သည့် ကျိုးကြောင်းဆီလျော်မှုရှိပါသည်။ ဒီဝမ်းနည်းစရာအဖြစ်အပျက်။ ဒါပေမယ့် တစ်ခုခုကို နှောက်ယှက်ဖို့အတွက်တော့ ဒီအကြောင်းကို အရင်ရှာရပါမယ်။ အနှေးနှင့်အမြန်၊ ပိုကောင်းသည်။
5. ထို့ကြောင့်၊ အောင်မြင်သော အန္တရာယ်စီမံခန့်ခွဲမှုအတွက် (ပစ်မှတ်ထားသောတိုက်ခိုက်မှုများမှ ပျက်စီးဆုံးရှုံးမှုများကို လျှော့ချခြင်း) အတွက် အနည်းဆုံး TTD (ထောက်လှမ်းရန်အချိန် - ကျူးကျော်ဝင်ရောက်သည့်အချိန်မှ တိုက်ခိုက်တွေ့ရှိသည့်အချိန်အထိ) ကိရိယာများထားရှိရန် အရေးကြီးပါသည်။ စက်မှုလုပ်ငန်းနှင့် ဒေသပေါ်မူတည်၍ ဤကာလသည် US တွင် ပျမ်းမျှ 99 ရက်၊ EMEA ဒေသတွင် 106 ရက်၊ APAC ဒေသတွင် 172 ရက် (M-Trends 2017၊ A View From the Front Lines၊ Mandiant)။
6. စျေးကွက်က ဘာကမ်းလှမ်းသလဲ။
   • "သဲပုံးများ" နောက်ထပ်ကြိုတင်ကာကွယ်ထိန်းချုပ်မှု စံပြနှင့်ဝေးသည်။ sandbox များ သို့မဟုတ် whitelisting solutions များကို ရှာဖွေခြင်းနှင့် ကျော်ဖြတ်ခြင်းအတွက် ထိရောက်သော နည်းလမ်းများစွာ ရှိပါသည်။ "အမှောင်ဘက်ခြမ်း" မှ ယောက်ျားများသည် ဤနေရာတွင် ခြေတစ်လှမ်း လှမ်းနေဆဲဖြစ်သည်။
   • UEBA (အပြုအမူနှင့် သွေဖည်မှုများကို ဖော်ထုတ်ခြင်းအတွက် စနစ်များ) - သီအိုရီအရ အလွန်ထိရောက်မှု ရှိနိုင်ပါသည်။ ဒါပေမယ့် ငါ့အမြင်အရတော့ ဒါက ဝေးကွာတဲ့ အနာဂတ်မှာ တစ်ချိန်ချိန်မှာ ဖြစ်နိုင်ပါတယ်။ လက်တွေ့တွင်၊ ၎င်းသည် အလွန်စျေးကြီးသေးသည်၊ စိတ်ချရသောဖြစ်ပြီး အလွန်ရင့်ကျက်ပြီး တည်ငြိမ်သော IT နှင့် သတင်းအချက်အလက်လုံခြုံရေးအခြေခံအဆောက်အအုံ လိုအပ်သည်၊ ၎င်းသည် အပြုအမူဆိုင်ရာခွဲခြမ်းစိတ်ဖြာမှုအတွက် ဒေတာထုတ်ပေးမည့်ကိရိယာအားလုံးရှိပြီးသားဖြစ်သည်။
   • SIEM သည် စုံစမ်းစစ်ဆေးမှုများအတွက် ကောင်းမွန်သောကိရိယာတစ်ခုဖြစ်သော်လည်း ဆက်စပ်စည်းမျဥ်းများသည် လက်မှတ်များနှင့် အတူတူပင်ဖြစ်သောကြောင့် အသစ်နှင့်မူရင်းကို အချိန်နှင့်တစ်ပြေးညီ မြင်တွေ့ပြသနိုင်မည်မဟုတ်ပေ။

7. ရလဒ်အနေဖြင့်၊ အသုံးပြုမည့်ကိရိယာတစ်ခုလိုအပ်သည်-
   • နှိုက်နှိုက်ချွတ်ချွတ်ဖြစ်နေတဲ့ ပတ်၀န်းကျင်ရဲ့ အခြေအနေတွေမှာ အောင်မြင်စွာ လုပ်ဆောင်ခဲ့တယ်၊
   • အသုံးပြုသည့် ကိရိယာများနှင့် အားနည်းချက်များ မခွဲခြားဘဲ အချိန်နှင့်တပြေးညီ အနီး၌ အောင်မြင်သော တိုက်ခိုက်မှုများကို တွေ့ရှိနိုင်သည်၊
   • လက်မှတ်များ/ စည်းကမ်းများ/ scripts/policies/profiles နှင့် အခြားတည်ငြိမ်သောအရာများပေါ်တွင်မူတည်ခြင်းမရှိပါ။
   • ခွဲခြမ်းစိတ်ဖြာရန်အတွက် ဒေတာအမြောက်အမြားနှင့် ၎င်းတို့၏ရင်းမြစ်များကို မလိုအပ်ဘဲ၊
   • ထပ်လောင်းစုံစမ်းစစ်ဆေးမှု လိုအပ်သော်လည်း လက်တွေ့အားဖြင့် ဒွိဖြစ်ရပ်တစ်ခုအနေဖြင့် "ကမ္ဘာ့အကောင်းဆုံး၊ မူပိုင်ခွင့်နှင့် ပိတ်ထားသော သင်္ချာပညာ" ၏ ရလဒ်အဖြစ် တိုက်ခိုက်မှုများကို စွန့်စားရမှတ်များအဖြစ် သတ်မှတ်ခြင်းမပြုနိုင်ဘဲ - "ဟုတ်ကဲ့၊ ငါတို့တိုက်ခိုက်ခံနေရတယ်" သို့မဟုတ် "မဟုတ်ဘူး၊ အားလုံးအဆင်ပြေတယ်"၊
   • အသုံးပြုထားသော ရုပ်ပိုင်းဆိုင်ရာနှင့် ယုတ္တိနည်းကျကွန်ရက် topology မခွဲခြားဘဲ ကွဲပြားသောပတ်ဝန်းကျင်တွင် အကောင်အထည်ဖော်ရန် ထိရောက်စွာ အတိုင်းအတာနှင့် အကောင်အထည်ဖော်ရန် ဖြစ်နိုင်ချေရှိသော universal ဖြစ်ခဲ့သည်။

လိမ်လည်လှည့်ဖြားခြင်းဟု ခေါ်သော ဖြေရှင်းနည်းများသည် ထိုကဲ့သို့သောကိရိယာ၏အခန်းကဏ္ဍအတွက် ပြိုင်ဆိုင်နေကြသည်။ ဆိုလိုသည်မှာ၊ ပျားရည်အိုးများ၏ ကောင်းသော အယူအဆဟောင်းကို အခြေခံ၍ ဖြေရှင်းနည်းများ ဖြစ်သော်လည်း အကောင်အထည်ဖော်မှု အဆင့်နှင့် လုံးဝကွဲပြားပါသည်။ ဒီအကြောင်းအရာက အခုမှ တက်လာမှာ သေချာတယ်။

ရလဒ်တွေအရ၊ Gartner Security & Risc စီမံခန့်ခွဲမှုထိပ်သီးအစည်းအဝေး 2017 လှည့်ဖြားမှုဖြေရှင်းနည်းများကို အသုံးပြုရန် အကြံပြုထားသည့် TOP 3 နည်းဗျူဟာများနှင့် ကိရိယာများတွင် ပါဝင်သည်။

အစီရင်ခံစာအရ သိရသည်။ ဆိုက်ဘာလုံခြုံရေးနှစ်ပတ်လည် 2017 ကို Tag ပါ။ လိမ်လည်လှည့်ဖြားခြင်းသည် IDS Intrusion Detection Systems) ဖြေရှင်းချက်များ ဖွံ့ဖြိုးတိုးတက်ရေး၏ အဓိက ဦးတည်ချက်တစ်ခုဖြစ်သည်။

အပိုင်းတစ်ပိုင်းလုံး ပြီးသွားပါပြီ။ Cisco ၏ အိုင်တီလုံခြုံရေးအစီရင်ခံစာSCADA အတွက် ရည်စူးထားသော၊ သည် ကျွန်ုပ်တို့၏ စမ်းသပ်ဧရိယာတွင် တစ်နှစ်ကြာ လုပ်ဆောင်ခဲ့သည့် ဖြေရှင်းချက်ဖြစ်သည့် TrapX Security (Israel)၊ ဤစျေးကွက်ရှိ ခေါင်းဆောင်တစ်ဦးထံမှ အချက်အလက်များအပေါ် အခြေခံထားသည်။

TrapX Deception Grid သည် သင့်အား လိုင်စင်ဝန်နှင့် ဟာ့ဒ်ဝဲရင်းမြစ်များအတွက် လိုအပ်ချက်များကို တိုးမြှင့်ခြင်းမရှိဘဲ များပြားစွာဖြန့်ဝေနေသော IDS ဗဟိုတွင် ကုန်ကျစရိတ်နှင့် လည်ပတ်နိုင်စေပါသည်။ အမှန်မှာ၊ TrapX သည် သင့်အား လက်ရှိ IT အခြေခံအဆောက်အအုံ၏ အစိတ်အပိုင်းများမှ ဖန်တီးနိုင်စေမည့် လုပ်ငန်းခွင်ကျယ်ကျယ်ပြန့်ပြန့်တိုက်ခိုက်မှုများကို ထောက်လှမ်းနိုင်သည့် ကြီးမားသောယန္တရားတစ်ခုဖြစ်သည့် ဖြန့်ဝေထားသောကွန်ရက် “နှိုးစက်” အမျိုးအစားဖြစ်သည်။

ဖြေရှင်းချက်ဖွဲ့စည်းပုံ

ကျွန်ုပ်တို့၏ဓာတ်ခွဲခန်းတွင် ကျွန်ုပ်တို့သည် အိုင်တီလုံခြုံရေးနယ်ပယ်ရှိ ထုတ်ကုန်အသစ်အမျိုးမျိုးကို အဆက်မပြတ်လေ့လာစမ်းသပ်ပါသည်။ လက်ရှိတွင် TrapX Deception Grid အစိတ်အပိုင်းများအပါအဝင် မတူညီသော virtual ဆာဗာ 50 ခန့်ကို ဤနေရာတွင် အသုံးပြုထားသည်။

ထို့ကြောင့်၊ အပေါ်မှအောက်သို့၊

1. TSOC (TrapX Security Operation Console) သည် စနစ်၏ ဦးနှောက်ဖြစ်သည်။ ၎င်းသည် ဖွဲ့စည်းမှုပုံစံ၊ ဖြေရှင်းချက် ဖြန့်ကျက်ခြင်းနှင့် နေ့စဥ်လုပ်ဆောင်မှုများအားလုံးကို လုပ်ဆောင်ပေးသည့် ဗဟိုစီမံခန့်ခွဲမှု ကွန်ဆိုးလ်ဖြစ်သည်။ ၎င်းသည် ဝဘ်ဝန်ဆောင်မှုတစ်ခုဖြစ်သောကြောင့်၊ ၎င်းကို ပတ်၀န်းကျင်၊ cloud တွင် သို့မဟုတ် MSSP ဝန်ဆောင်မှုပေးသူတွင် မည်သည့်နေရာတွင်မဆို ဖြန့်ကျက်အသုံးပြုနိုင်သည်။
2. TrapX Appliance (TSA) သည် trunk port ကို အသုံးပြု၍ စောင့်ကြည့်ခြင်းနှင့်အတူ အကျုံးဝင်လိုသော subnets များကို အသုံးပြု၍ ကျွန်ုပ်တို့ ချိတ်ဆက်သည့် virtual server တစ်ခုဖြစ်သည်။ ထို့အပြင်၊ ကျွန်ုပ်တို့၏ကွန်ရက်အာရုံခံကိရိယာများအားလုံးသည် ဤနေရာတွင် အမှန်တကယ် “ရှင်သန်သည်” ဖြစ်သည်။

   ကျွန်ုပ်တို့၏ဓာတ်ခွဲခန်းတွင် TSA တစ်ခုချထားသည် (mwsapp1) ရှိသော်လည်း လက်တွေ့တွင် များစွာရှိနိုင်သည်။ အပိုင်းများကြား L2 ချိတ်ဆက်မှု မရှိသော ကြီးမားသော ကွန်ရက်များတွင် ၎င်းသည် လိုအပ်နိုင်သည် (ပုံမှန်ဥပမာမှာ "ကိုင်ဆောင်ခြင်းနှင့် လုပ်ငန်းခွဲများ" သို့မဟုတ် "ဘဏ်ရုံးချုပ်နှင့် ဘဏ်ခွဲများ") သို့မဟုတ် ကွန်ရက်တွင် သီးခြားခွဲထုတ်ထားသော အပိုင်းများ ဥပမာ၊ အလိုအလျောက် လုပ်ငန်းစဉ် ထိန်းချုပ်မှုစနစ်များ ရှိလျှင်၊ ထိုကဲ့သို့သော ဌာနခွဲ/အပိုင်းတစ်ခုစီတွင်၊ သင်သည် သင်၏ကိုယ်ပိုင် TSA ကို အသုံးပြုပြီး အချက်အလက်အားလုံးကို ဗဟိုမှလုပ်ဆောင်မည့် TSOC တစ်ခုတည်းသို့ ချိတ်ဆက်နိုင်သည်။ ဤဗိသုကာသည် သင့်အား ကွန်ရက်ကို ပြင်းထန်စွာ ပြန်လည်ဖွဲ့စည်းရန် သို့မဟုတ် ရှိပြီးသား ခွဲခြမ်းခြင်းကို အနှောင့်အယှက်မပေးဘဲ ဖြန့်ဝေစောင့်ကြည့်ရေးစနစ်များကို တည်ဆောက်နိုင်စေပါသည်။

   ထို့အပြင်၊ ကျွန်ုပ်တို့သည် TAP/SPAN မှတစ်ဆင့် TSA သို့ အထွက်လမ်းကြောင်းမိတ္တူကို တင်ပြနိုင်သည်။ လူသိများသော botnets၊ အမိန့်ပေးမှုနှင့် ထိန်းချုပ်မှုဆာဗာများ သို့မဟုတ် TOR စက်ရှင်များနှင့် ချိတ်ဆက်မှုများကို ကျွန်ုပ်တို့ တွေ့ရှိပါက၊ ကျွန်ုပ်တို့သည် ကွန်ဆိုးလ်တွင် ရလဒ်ကို ရရှိမည်ဖြစ်သည်။ Network Intelligence Sensor (NIS) သည် ၎င်းအတွက် တာဝန်ရှိပါသည်။ ကျွန်ုပ်တို့၏ပတ်ဝန်းကျင်တွင်၊ ဤလုပ်ဆောင်ချက်ကို firewall တွင်အသုံးပြုထားသောကြောင့် ဤနေရာတွင် ကျွန်ုပ်တို့အသုံးမပြုခဲ့ပါ။

3. Application Traps (Full OS) - Windows ဆာဗာများကို အခြေခံထားသော ရိုးရာပျားရည်အိုးများ။ ဤဆာဗာများ၏ အဓိကရည်ရွယ်ချက်မှာ အာရုံခံကိရိယာများ၏နောက်ထပ်အလွှာသို့ အိုင်တီဝန်ဆောင်မှုများပေးဆောင်ရန် သို့မဟုတ် Windows ပတ်၀န်းကျင်တွင် အသုံးပြုနိုင်သည့် လုပ်ငန်းသုံးအက်ပ်လီကေးရှင်းများအပေါ် တိုက်ခိုက်မှုများကို သိရှိနိုင်သောကြောင့် ၎င်းတို့အများအပြားကို သင်မလိုအပ်ပါ။ ကျွန်ုပ်တို့၏ဓာတ်ခွဲခန်း (FOS01) တွင် တပ်ဆင်ထားသော ထိုဆာဗာတစ်ခုရှိသည်။

   

4. အတုယူထားသော ထောင်ချောက်များသည် တိုက်ခိုက်သူများအတွက် အလွန်သိပ်သည်းသော “မိုင်းကွင်း” ကို ဖန်တီးရန်နှင့် ကျွန်ုပ်တို့၏အာရုံခံကိရိယာများနှင့်အတူ လုပ်ငန်းကွန်ရက်များ၊ ၎င်း၏ vlans အားလုံးကို ကျွန်ုပ်တို့၏အာရုံခံကိရိယာများဖြင့် တစ်ခုတည်းသော virtual machine ကို အသုံးပြု၍ ကျွန်ုပ်တို့အား အတုယူထားသော ထောင်ချောက်များသည် ဖြေရှင်းချက်၏ အဓိကအစိတ်အပိုင်းဖြစ်သည်။ တိုက်ခိုက်သူသည် ထိုကဲ့သို့သော အာရုံခံကိရိယာ သို့မဟုတ် phantom host ကို တကယ့် Windows PC သို့မဟုတ် ဆာဗာ၊ Linux ဆာဗာ သို့မဟုတ် ကျွန်ုပ်တို့က သူ့ကိုပြသရန် ဆုံးဖြတ်ထားသော အခြားစက်ပစ္စည်းတစ်ခုအဖြစ် မြင်သည်။

   
   
   လုပ်ငန်း၏ကောင်းကျိုးနှင့် စပ်စုလိုစိတ်အတွက် ကျွန်ုပ်တို့သည် ဗားရှင်းအမျိုးမျိုးရှိ Windows PC များနှင့် ဆာဗာများ၊ Windows ထည့်သွင်းထားသည့် ATM၊ SWIFT Web Access၊ ကွန်ရက်ပရင်တာ၊ Cisco ခလုတ်၊ Axis IP ကင်မရာ၊ MacBook၊ PLC - စက်ပစ္စည်းနှင့် စမတ်မီးသီးပင်။ စုစုပေါင်း အိမ်ရှင် ၁၃ ယောက်ရှိတယ်။ ယေဘုယျအားဖြင့်၊ ရောင်းချသူသည် စစ်မှန်သော host အရေအတွက်၏ အနည်းဆုံး 13% ပမာဏတွင် ထိုအာရုံခံကိရိယာများကို ဖြန့်ကျက်ရန် အကြံပြုထားသည်။ အပေါ်ဆုံးဘားသည် ရနိုင်သောလိပ်စာနေရာဖြစ်သည်။

   အလွန်အရေးကြီးသောအချက်မှာ အဆိုပါ host တစ်ခုစီသည် အရင်းအမြစ်များနှင့် လိုင်စင်များ လိုအပ်သည့် ပြည့်စုံသော virtual machine မဟုတ်ပါ။ ၎င်းသည် ကန့်သတ်ချက်များနှင့် IP လိပ်စာတစ်ခုပါရှိသော TSA ရှိ လုပ်ငန်းစဉ်တစ်ခုဖြစ်သည်။ ထို့ကြောင့်၊ TSA တစ်ခုတည်း၏အကူအညီဖြင့်၊ ကျွန်ုပ်တို့သည် နှိုးစက်စနစ်ရှိ အာရုံခံစနစ်တွင် အာရုံခံကိရိယာများအဖြစ် လုပ်ဆောင်မည့် ထိုကဲ့သို့သော phantom host ရာပေါင်းများစွာဖြင့် ကွန်ရက်ကို ပြည့်ဝစေသည်။ ဤနည်းပညာသည် ကြီးမားသောဖြန့်ဝေသည့်လုပ်ငန်းတိုင်းတွင် Honeypot အယူအဆကို ကုန်ကျစရိတ်ထိရောက်စွာ အတိုင်းအတာဖြင့် ချိန်ညှိနိုင်စေသည့် ဤနည်းပညာဖြစ်သည်။

   တိုက်ခိုက်သူ၏အမြင်အရ၊ ဤအိမ်ရှင်များသည် အားနည်းချက်များပါဝင်ပြီး အတော်လေးလွယ်ကူသောပစ်မှတ်များဖြစ်ပုံရသောကြောင့် ဆွဲဆောင်မှုရှိပါသည်။ တိုက်ခိုက်သူသည် အဆိုပါ host များပေါ်တွင် ဝန်ဆောင်မှုများကို မြင်နိုင်ပြီး ၎င်းတို့နှင့် အပြန်အလှန် တုံ့ပြန်နိုင်ပြီး စံကိရိယာများနှင့် ပရိုတိုကောများ (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus စသည်ဖြင့်) ဖြင့် တိုက်ခိုက်နိုင်သည်။ သို့သော် တိုက်ခိုက်မှုတစ်ခု ဖန်တီးရန် သို့မဟုတ် သင်၏ကိုယ်ပိုင်ကုဒ်ကို လုပ်ဆောင်ရန် ဤအိမ်ရှင်များကို အသုံးပြုရန် မဖြစ်နိုင်ပါ။

5. ဤနည်းပညာနှစ်ခု (FullOS နှင့် အတုယူထားသော ထောင်ချောက်များ) ပေါင်းစပ်မှုသည် တိုက်ခိုက်သူသည် ကျွန်ုပ်တို့၏ အချက်ပြကွန်ရက်၏ အချက်ပြကွန်ရက်၏ အစိတ်အပိုင်းအချို့ကို မကြာမီ သို့မဟုတ် နောက်ပိုင်းတွင် ကြုံတွေ့ရနိုင်သည့် ကိန်းဂဏန်းဆိုင်ရာ ဖြစ်နိုင်ခြေမြင့်မားမှုကို ရရှိစေပါသည်။ သို့သော် ဤဖြစ်နိုင်ခြေသည် 100% နီးပါးဖြစ်ကြောင်း မည်သို့သေချာနိုင်မည်နည်း။

   Deception လို့ ခေါ်တဲ့ တိုကင်တွေဟာ တိုက်ပွဲထဲကို ဝင်ကြပါတယ်။ ၎င်းတို့ကြောင့် ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ဖြန့်ဝေထားသော IDS တွင် လုပ်ငန်း၏ရှိပြီးသား PC များနှင့် ဆာဗာများအားလုံးကို ထည့်သွင်းနိုင်ပါသည်။ တိုကင်များကို သုံးစွဲသူများ၏ တကယ့် PCs များတွင် ထားရှိထားပါသည်။ တိုကင်များသည် အရင်းအမြစ်များကို စားသုံးပြီး ပဋိပက္ခများကို ဖြစ်စေနိုင်သော အေးဂျင့်မဟုတ်ကြောင်း နားလည်ရန် အရေးကြီးပါသည်။ တိုကင်များသည် ထောင်ချောက်ထဲသို့ ပို့ဆောင်ပေးသည့် တိုက်ခိုက်ရေးဘက်အတွက် “မုန့်ညက်များ” အမျိုးအစားဖြစ်သည်။ ဥပမာအားဖြင့်၊ မြေပုံဆွဲထားသော ကွန်ရက်ဒရိုက်များ၊ ဘရောက်ဆာရှိ ဝဘ်အက်ဒ်မင်အတုများအတွက် စာညှပ်များနှင့် ၎င်းတို့အတွက် သိမ်းဆည်းထားသော စကားဝှက်များ၊ သိမ်းဆည်းထားသော ssh/rdp/winscp စက်ရှင်များ၊ ကျွန်ုပ်တို့၏ ထောင်ချောက်များ၊ hosts ဖိုင်များတွင် မှတ်ချက်များ၊ မှတ်ဉာဏ်ထဲတွင် သိမ်းဆည်းထားသော စကားဝှက်များ၊ မရှိသော အသုံးပြုသူများ၏ အထောက်အထားများ၊ ရုံး ဖိုင်များ၊ စနစ်အား အစပျိုးစေမည့် အဖွင့်များနှင့် အခြားအရာများ။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့အား အမှန်တကယ် ခြိမ်းခြောက်မှုမဟုတ်သော်လည်း ဆန့်ကျင်ဘက်ဖြစ်သော တိုက်ခိုက်ရေးကွက်များဖြင့် ပြည့်နှက်နေသော တိုက်ခိုက်သူအား ပုံပျက်နေသော ပတ်ဝန်းကျင်တွင် နေရာချထားပါသည်။ ပြီးတော့ အချက်အလက်တွေက ဘယ်မှာမှန်တယ်၊ ဘယ်မှာမှားတယ်ဆိုတာ ဆုံးဖြတ်ဖို့ သူ့မှာ နည်းလမ်းမရှိပါဘူး။ ထို့ကြောင့် ကျွန်ုပ်တို့သည် တိုက်ခိုက်မှုတစ်ခုအား လျင်မြန်စွာသိရှိနိုင်စေရုံသာမက ၎င်း၏တိုးတက်မှုကိုလည်း သိသိသာသာ နှေးကွေးစေပါသည်။

ကွန်ရက်ထောင်ချောက် ဖန်တီးခြင်းနှင့် တိုကင်များ သတ်မှတ်ခြင်းဆိုင်ရာ ဥပမာ။ အဆင်ပြေသော interface နှင့် configs၊ scripts စသည်တို့ကို ကိုယ်တိုင်တည်းဖြတ်ခြင်းမရှိပါ။

ကျွန်ုပ်တို့၏ပတ်ဝန်းကျင်တွင်၊ ကျွန်ုပ်တို့သည် FOS01 လည်ပတ်နေသော Windows Server 2012R2 နှင့် Windows 7 အသုံးပြုသည့် စမ်းသပ် PC တစ်ခုတွင် ထိုသို့သောတိုကင်နံပါတ်များကို ပြင်ဆင်သတ်မှတ်ပြီး ထားရှိထားပါသည်။ RDP သည် ဤစက်များတွင် အလုပ်လုပ်နေပြီး ကျွန်ုပ်တို့၏အာရုံခံကိရိယာများစွာရှိသည့် DMZ တွင် ၎င်းတို့ကို အခါအားလျော်စွာ “ဆွဲထား” ပါသည်။ (emulated traps) ကိုလည်း ပြသထားသည်။ ဒါကြောင့် သဘာဝကျကျနဲ့ အဆက်မပြတ် ဖြစ်ပျက်နေတဲ့ အဖြစ်အပျက်တွေကို ကျွန်တော်တို့ ရရှိပါတယ်။

ဒါကြောင့် ဒီနှစ်အတွက် အမြန်စာရင်းဇယားအချို့ကို ဖော်ပြလိုက်ပါတယ်။

56 - မှတ်တမ်းတင်ထားသောဖြစ်ရပ်များ၊
2 - တိုက်ခိုက်မှုရင်းမြစ် hosts ကိုတွေ့ရှိခဲ့သည်။

အပြန်အလှန်အားဖြင့် နှိပ်နိုင်သော တိုက်ခိုက်မှုမြေပုံ

တစ်ချိန်တည်းမှာပင်၊ ဖြေရှင်းချက်သည် နားလည်ရန် အချိန်ကြာမြင့်သည့် mega-log သို့မဟုတ် event feed တစ်မျိုးမျိုးကို မထုတ်ပေးပါ။ ယင်းအစား၊ ဖြေရှင်းချက်ကိုယ်တိုင်က ဖြစ်ရပ်များကို အမျိုးအစားအလိုက် ခွဲခြားပြီး အန္တရာယ်အရှိဆုံးအရာများကို သတင်းအချက်အလက်လုံခြုံရေးအဖွဲ့အား အဓိကအာရုံစိုက်ရန် ခွင့်ပြုသည် - တိုက်ခိုက်သူသည် ထိန်းချုပ်မှုအစည်းအဝေးများ (အပြန်အလှန်တုံ့ပြန်မှု) မြှင့်တင်ရန် ကြိုးစားသောအခါ သို့မဟုတ် ကျွန်ုပ်တို့၏အသွားအလာတွင် binary payloads (ပိုးကူးစက်မှု) ပေါ်လာသည့်အခါ။

အဖြစ်အပျက်များနှင့်ပတ်သက်သော အချက်အလက်အားလုံးကို ကျွန်ုပ်၏အမြင်အရ သတင်းအချက်အလက်လုံခြုံရေးနယ်ပယ်တွင် အခြေခံအသိပညာရှိသော သုံးစွဲသူတစ်ဦးအတွက်ပင် နားလည်ရလွယ်ကူသည့်ပုံစံဖြင့် တင်ပြနိုင်သည် ။

မှတ်တမ်းတင်ထားသော အဖြစ်အပျက်အများစုသည် ကျွန်ုပ်တို့၏အိမ်ရှင်များ သို့မဟုတ် တစ်ခုတည်းသောချိတ်ဆက်မှုများကို စကင်န်ဖတ်ရန် ကြိုးပမ်းမှုဖြစ်သည်။

သို့မဟုတ် RDP အတွက် စကားဝှက်များကို အတင်းအကြပ် ရိုက်နှက်ရန် ကြိုးပမ်းမှုများ

သို့သော် အထူးသဖြင့် တိုက်ခိုက်သူများသည် RDP အတွက် စကားဝှက်ကို ခန့်မှန်းရန် “စီမံခန့်ခွဲ” ပြီး ဒေသတွင်း ကွန်ရက်သို့ ဝင်ရောက်ခွင့်ရသည့်အခါတွင် ပို၍ စိတ်ဝင်စားစရာကောင်းသည့် ကိစ္စများလည်း ရှိခဲ့သည်။

တိုက်ခိုက်သူသည် psexec ကို အသုံးပြု၍ ကုဒ်ကို လုပ်ဆောင်ရန် ကြိုးပမ်းသည်။

တိုက်ခိုက်သူသည် Linux ဆာဗာပုံစံဖြင့် ထောင်ချောက်ထဲသို့ ပို့ဆောင်ပေးသည့် သိမ်းဆည်းထားသော session တစ်ခုကို တွေ့ရှိခဲ့သည်။ ချိတ်ဆက်ပြီးပြီးချင်းတွင်၊ ကြိုတင်ပြင်ဆင်ထားသည့် command အစုံဖြင့်၊ ၎င်းသည် မှတ်တမ်းဖိုင်များနှင့် သက်ဆိုင်သည့် စနစ်ပြောင်းလဲမှုအားလုံးကို ဖျက်ဆီးရန် ကြိုးပမ်းခဲ့သည်။

တိုက်ခိုက်သူသည် SWIFT Web Access ကိုတုပသည့် Honeypot တွင် SQL ထိုးနှံရန် ကြိုးပမ်းသည်။

ထိုကဲ့သို့သော "သဘာဝ" တိုက်ခိုက်မှုများအပြင်၊ ကျွန်ုပ်တို့ကိုယ်တိုင် စမ်းသပ်မှုများစွာကိုလည်း ပြုလုပ်ခဲ့ပါသည်။ အထင်ရှားဆုံးတစ်ခုမှာ ကွန်ရက်တစ်ခုပေါ်ရှိ network worm တစ်ခု၏ detection time ကို စမ်းသပ်ခြင်းဖြစ်သည်။ ဒါကိုလုပ်ဖို့ GuardiCore လို့ခေါ်တဲ့ ကိရိယာကို အသုံးပြုခဲ့ပါတယ်။ ရောဂါကူးစက်မျောက်. ၎င်းသည် Windows နှင့် Linux တို့ကို ခိုးယူနိုင်သည့် ကွန်ရက်ပိုးဖြစ်သော်လည်း မည်သည့် “အခကြေးငွေမျှ” မလိုအပ်ပါ။
ကျွန်ုပ်တို့သည် ဒေသန္တရအမိန့်ပေးစင်တာတစ်ခုကို ဖြန့်ကျက်ထားပြီး စက်များအနက်မှ worm ၏ပထမဆုံးနမူနာကိုဖွင့်ပြီး တစ်မိနစ်နှင့်တစ်နာရီခွဲအတွင်း TrapX ကွန်ဆိုးလ်တွင် ပထမဆုံးသတိပေးချက်ရရှိခဲ့သည်။ TTD 90 စက္ကန့်နှင့် 106 ရက်ပျမ်းမျှ ...

အခြားသော ဖြေရှင်းနည်းများ နှင့် ပေါင်းစပ်နိုင်မှု ကြောင့် ကျွန်ုပ်တို့သည် ခြိမ်းခြောက်မှုများကို လျင်မြန်စွာ ရှာဖွေတွေ့ရှိရုံမှ ၎င်းတို့အား အလိုအလျောက်တုံ့ပြန်ခြင်းဆီသို့ ရွေ့ပြောင်းနိုင်ပါသည်။

ဥပမာအားဖြင့်၊ NAC (Network Access Control) စနစ်များနှင့် ပေါင်းစည်းခြင်း သို့မဟုတ် CarbonBlack ဖြင့် ပေါင်းစပ်ခြင်းသည် သင့်အား ကွန်ရက်မှ အပေးအယူရှိသော PC များကို အလိုအလျောက် ချိတ်ဆက်နိုင်စေမည်ဖြစ်သည်။

သဲပုံးများဖြင့် ပေါင်းစပ်ခြင်းသည် တိုက်ခိုက်မှုတစ်ခုတွင် ပါဝင်သည့်ဖိုင်များကို ခွဲခြမ်းစိတ်ဖြာရန်အတွက် အလိုအလျောက် တင်ပြနိုင်စေပါသည်။

McAfee ပေါင်းစပ်မှု

ဖြေရှင်းချက်တွင်၎င်း၏ကိုယ်ပိုင် built-in ဖြစ်ရပ်ဆက်စပ်မှုစနစ်လည်းရှိသည်။

သို့သော်၎င်း၏စွမ်းဆောင်ရည်များကိုကျွန်ုပ်တို့မကျေနပ်သောကြောင့်၎င်းကို HP ArcSight နှင့်ပေါင်းစပ်ထားသည်။

Built-in လက်မှတ်ရောင်းချသည့်စနစ်သည် ကမ္ဘာတစ်ဝှမ်းလုံးမှ ရှာဖွေတွေ့ရှိထားသော ခြိမ်းခြောက်မှုများကို ရင်ဆိုင်ရန် ကူညီပေးသည်။

အစိုးရအေဂျင်စီများ၏ လိုအပ်ချက်များနှင့် ကြီးမားသောကော်ပိုရိတ်အပိုင်းများအတွက် ဖြေရှင်းချက်ကို "အစမှ" တီထွင်ထားသောကြောင့်၊ ၎င်းသည် အခန်းကဏ္ဍအခြေပြုဝင်ရောက်ခွင့်ပုံစံ၊ AD နှင့် ပေါင်းစည်းမှု၊ ဖွံ့ဖြိုးပြီးသော အစီရင်ခံစာများနှင့် အစပျိုးမှုစနစ် (ဖြစ်ရပ်သတိပေးချက်များ) ကို သဘာဝအတိုင်း အကောင်အထည်ဖော်ဆောင်ရွက်ပါသည်။ ကြီးမားသော အဆောက်အဦများ သို့မဟုတ် MSSP ပံ့ပိုးပေးသူများ။

အစားကိုယ်ရေးရာဇဝင်၏

အကယ်၍ ပုံသဏ္ဍာန်အရ ကျွန်ုပ်တို့၏နောက်ကျောကို ဖုံးအုပ်ထားသည့် ထိုကဲ့သို့သော စောင့်ကြည့်ရေးစနစ်ရှိလျှင်၊ ပတ်၀န်းကျင်၏ အပေးအယူဖြင့် အရာအားလုံးသည် စတင်နေပြီဖြစ်သည်။ အရေးကြီးဆုံးအချက်မှာ သတင်းအချက်အလတ်လုံခြုံရေးဖြစ်ရပ်များကို ရင်ဆိုင်ဖြေရှင်းရန် အမှန်တကယ်အခွင့်အရေးရှိခြင်းဖြစ်ပြီး ၎င်းတို့၏အကျိုးဆက်များကို ကိုင်တွယ်ဖြေရှင်းခြင်းမပြုဘဲ၊

source: www.habr.com