پرو هوسٽر > بلاگ > انتظاميه > سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

(سرجي جي بريسٽر جي مهرباني عنوان خيال لاءِ sebres)

ساٿيو، هن آرٽيڪل جو مقصد ڊيپيپشن ٽيڪنالاجيز جي بنياد تي IDS حلن جي نئين طبقي جي هڪ سال جي ڊگهي ٽيسٽ آپريشن جي تجربي کي حصيداري ڪرڻ آهي.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

مواد جي پيشڪش جي منطقي هم آهنگي کي برقرار رکڻ لاء، مان سمجهان ٿو ته احاطي سان شروع ڪرڻ ضروري آهي. تنهن ڪري، مسئلو:

  1. ٽارگيٽيڊ حملا سڀ کان وڌيڪ خطرناڪ قسم جا حملا آهن، ان حقيقت جي باوجود ته خطرن جي مجموعي تعداد ۾ انهن جو حصو ننڍو آهي.
  2. پردي جي حفاظت لاءِ ڪو به گارنٽي ٿيل اثرائتو وسيلو (يا اهڙي قسم جو هڪ سيٽ) اڃا ايجاد نه ڪيو ويو آهي.
  3. ضابطي جي طور تي، ٽارگيٽ حملن ڪيترن ئي مرحلن ۾ جاء وٺندو آهي. پريميٽر تي غالب ٿيڻ صرف شروعاتي مرحلن مان هڪ آهي، جيڪو (توهان مون تي پٿر اڇلائي سگهو ٿا) "قرباني" کي گهڻو نقصان نه پهچائيندو آهي، جيستائين، يقينا، اهو هڪ DEoS (خدمت جي تباهي) حملو آهي (انڪريپٽر، وغيره. .) حقيقي "درد" بعد ۾ شروع ٿئي ٿو، جڏهن قبضو ڪيل اثاثن کي "گہرائي" حملي کي وڌائڻ ۽ ترقي ڪرڻ لاء استعمال ٿيڻ شروع ڪيو، ۽ اسان اهو نوٽيس نه ڪيو.
  4. جيئن ته اسان حقيقي نقصانن جو شڪار ٿيڻ شروع ڪندا آهيون جڏهن حملو ڪندڙ آخرڪار حملي جي هدفن تائين پهچي ويندا آهن (ايپليڪيشن سرورز، ڊي بي ايم ايس، ڊيٽا گودام، ريپوزٽريز، نازڪ انفراسٽرڪچر عناصر)، اهو منطقي آهي ته معلومات سيڪيورٽي سروس جي ڪمن مان هڪ آهي حملن کان اڳ ۾ مداخلت ڪرڻ. هي افسوسناڪ واقعو. پر ڪنهن به شيءِ ۾ مداخلت ڪرڻ لاءِ، توهان کي پهريان ان بابت معلوم ڪرڻ گهرجي. ۽ جلدي، بهتر.
  5. ان جي مطابق، ڪامياب خطري جي انتظام لاءِ (يعني ٽارگيٽ حملن مان نقصان کي گهٽائڻ)، اهو ضروري آهي ته اوزار هجن جيڪي گهٽ ۾ گهٽ TTD مهيا ڪن (ڏسڻ جو وقت - مداخلت جي وقت کان وٺي حملي جي وقت تائين). صنعت ۽ علائقي تي مدار رکندي، هي عرصو آمريڪا ۾ اوسط 99 ڏينهن، EMEA علائقي ۾ 106 ڏينهن، APAC علائقي ۾ 172 ڏينهن (M-Trends 2017، A View From the Front Lines, Mandiant).
  6. مارڪيٽ ڇا پيش ڪري ٿو؟
    • "Sandboxes". هڪ ٻيو حفاظتي ڪنٽرول، جيڪو مثالي کان پري آهي. سينڊ باڪس يا وائيٽ لسٽنگ جي حلن کي ڳولڻ ۽ ان کي پاس ڪرڻ لاءِ ڪيترائي موثر طريقا آهن. ”اونداهي طرف“ جا ماڻهو اڃا به هتي هڪ قدم اڳتي آهن.
    • UEBA (سسٽم لاءِ پروفائلنگ رويي ۽ انحراف جي نشاندهي ڪرڻ) - نظريي ۾، تمام مؤثر ٿي سگھي ٿو. پر، منهنجي خيال ۾، اهو ڪنهن دور جي مستقبل ۾ آهي. عملي طور تي، اهو اڃا تائين تمام مهانگو، ناقابل اعتبار آهي ۽ هڪ تمام پختو ۽ مستحڪم IT ۽ انفارميشن سيڪيورٽي انفراسٽرڪچر جي ضرورت آهي، جنهن ۾ اڳ ۾ ئي اهي سڀئي اوزار آهن جيڪي رويي جي تجزيي لاءِ ڊيٽا ٺاهي سگهندا.
    • SIEM تحقيق لاءِ هڪ سٺو اوزار آهي، پر اهو بروقت ڪا نئين ۽ اصلي شيءِ ڏسڻ ۽ ڏيکارڻ جي قابل ناهي، ڇاڪاڻ ته باهمي تعلق جا ضابطا ساڳيا دستخط آهن.

  7. نتيجي طور، ھڪڙو اوزار جي ضرورت آھي جيڪو ھوندو:
    • ڪاميابيءَ سان اڳ ۾ ئي سمجھوتي ٿيل حد جي حالتن ۾ ڪم ڪيو،
    • ويجھي حقيقي وقت ۾ ڪامياب حملن جو پتو لڳايو، بغير استعمال ٿيل اوزار ۽ خطرن جي،
    • دستخط / ضابطن / اسڪرپٽ / پاليسين / پروفائلز ۽ ٻين جامد شين تي انحصار نه ڪيو،
    • ڊيٽا جي وڏي مقدار جي ضرورت نه هئي ۽ تجزيو لاء انهن جا ذريعا،
    • حملن کي بيان ڪرڻ جي اجازت ڏيندو ته ڪنهن قسم جي خطري جي اسڪورنگ جي نتيجي ۾ "دنيا ۾ بهترين، پيٽرن ۽ انهي ڪري بند ٿيل رياضي" جي ڪم جي نتيجي ۾، جيڪو اضافي تحقيق جي ضرورت آهي، پر عملي طور تي هڪ بائنري واقعي جي طور تي - "ها، اسان تي حملو ڪيو پيو وڃي“ يا ”نه، سڀ ڪجهه ٺيڪ آهي“،
    • استعمال ٿيل فزيڪل ۽ منطقي نيٽ ورڪ ٽوپولاجيءَ جي پرواهه ڪرڻ کان سواءِ، عالمگير، موثر انداز ۾ اسپيبلبل ۽ ڪنهن به متضاد ماحول ۾ لاڳو ڪرڻ لاءِ ممڪن هو.

نام نهاد ٺڳيءَ جا حل هاڻي اهڙي اوزار جي ڪردار لاءِ ڪوشش ڪري رهيا آهن. اهو آهي، حل جي بنياد تي سٺي پراڻي تصور honeypots، پر عملدرآمد جي مڪمل طور تي مختلف سطح سان. هي موضوع يقينن هاڻي عروج تي آهي.

نتيجن موجب گارٽنر سيڪيورٽي اينڊ ريسڪ مينيجمينٽ سمٽ 2017 ٺڳيءَ جا حل TOP 3 حڪمت عملين ۽ اوزارن ۾ شامل آھن جن کي استعمال ڪرڻ جي صلاح ڏني وئي آھي.

رپورٽ موجب TAG سائبر سيڪيورٽي سالياني 2017 ٺڳي IDS Intrusion Detection Systems) حلن جي ترقي جي مکيه هدايتن مان هڪ آهي.

پوئين حصي جو پورو حصو سسڪو اسٽيٽ آف آئي ٽي سيڪيورٽي رپورٽSCADA لاء وقف، هن مارڪيٽ جي اڳواڻن مان هڪ جي ڊيٽا تي ٻڌل آهي، TrapX سيڪيورٽي (اسرائيل)، جنهن جو حل هڪ سال تائين اسان جي امتحان واري علائقي ۾ ڪم ڪري رهيو آهي.

TrapX Deception Grid توهان کي اجازت ڏئي ٿو خرچ ڪرڻ ۽ ڪم ڪرڻ جي وڏي پئماني تي ورهايل IDS مرڪزي طور تي، بغير لائسنس جي لوڊ ۽ هارڊويئر وسيلن جي گهرج کي وڌائڻ جي. حقيقت ۾، TrapX هڪ تعمير ڪندڙ آهي جيڪو توهان کي اجازت ڏئي ٿو ته موجوده آئي ٽي انفراسٽرڪچر جي عناصر مان هڪ وڏي ميکانيزم تي حملن کي ڳولڻ لاء هڪ انٽرنيشنل-وائڊ پيماني تي، هڪ قسم جي ورهايل نيٽورڪ "الارم."

حل جي جوڙجڪ

اسان جي ليبارٽري ۾ اسان مسلسل مطالعو ۽ جانچ ڪندا آهيون مختلف نون پروڊڪٽس کي آئي ٽي سيڪيورٽي جي شعبي ۾. في الحال، اٽڪل 50 مختلف ورچوئل سرور هتي مقرر ڪيا ويا آهن، بشمول TrapX Deception Grid اجزاء.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

تنهن ڪري، مٿي کان هيٺ تائين:

  1. TSOC (TrapX سيڪيورٽي آپريشن ڪنسول) سسٽم جو دماغ آهي. هي مرڪزي مينيجمينٽ ڪنسول آهي جنهن جي ذريعي ترتيب ڏيڻ، حل جي ترتيب ڏيڻ ۽ سڀني ڏينهن جي آپريشن کي انجام ڏنو ويندو آهي. جيئن ته هي هڪ ويب سروس آهي، ان کي ڪٿي به نصب ڪري سگهجي ٿو - پريميٽر تي، ڪلائوڊ ۾ يا MSSP فراهم ڪندڙ تي.
  2. TrapX Appliance (TSA) ھڪڙو ورچوئل سرور آھي جنھن ۾ اسان ڳنڍيون ٿا، ٽرڪن پورٽ کي استعمال ڪندي، اھي سبنيٽس جن کي اسين مانيٽرنگ سان ڍڪڻ چاھيون ٿا. پڻ، اسان جا سڀ نيٽ ورڪ سينسر اصل ۾ هتي "رهن ٿا".

    اسان جي ليب ۾ ھڪڙو TSA لڳايو ويو آھي (mwsapp1)، پر حقيقت ۾ ڪيترائي ٿي سگھن ٿا. اهو ضروري ٿي سگھي ٿو وڏن نيٽ ورڪن ۾ جتي حصن جي وچ ۾ L2 ڪنيڪشن نه آهي (هڪ عام مثال آهي ”هولڊنگ ۽ ماتحت ادارن“ يا ”بئنڪ هيڊ آفيس ۽ شاخون“) يا جيڪڏهن نيٽ ورڪ ۾ الڳ الڳ حصا آهن، مثال طور، خودڪار پروسيس ڪنٽرول سسٽم. هر اهڙي شاخ/ ڀاڱي ۾، توهان پنهنجي TSA کي ترتيب ڏئي سگهو ٿا ۽ ان کي هڪ واحد TSOC سان ڳنڍي سگهو ٿا، جتي سموري معلومات مرڪزي طور تي پروسيس ڪئي ويندي. هي فن تعمير توهان کي اجازت ڏئي ٿو ورهايل مانيٽرنگ سسٽم ٺاهڻ جي بغير نيٽ ورڪ کي بنيادي طور تي بحال ڪرڻ يا موجوده ڀاڱي کي ٽوڙڻ جي.

    انهي سان گڏ، اسان TAP/SPAN ذريعي TSA ڏانهن نڪرڻ واري ٽرئفڪ جي ڪاپي جمع ڪري سگهون ٿا. جيڪڏهن اسان سڃاتل botnets، ڪمانڊ ۽ ڪنٽرول سرورز، يا TOR سيشن سان ڪنيڪشن ڳوليندا آهيون، اسان پڻ نتيجو حاصل ڪنداسين ڪنسول ۾. نيٽورڪ انٽيليجنس سينسر (NIS) هن لاء ذميوار آهي. اسان جي ماحول ۾، هي فنڪشنلٽي فائر وال تي لاڳو ٿئي ٿي، تنهنڪري اسان ان کي هتي استعمال نه ڪيو.

  3. ايپليڪيشن ٽريپس (مڪمل او ايس) - ونڊوز سرورز تي ٻڌل روايتي هون پوٽس. توھان کي انھن مان گھڻن جي ضرورت نه آھي، ڇو ته انھن سرورن جو بنيادي مقصد آھي IT خدمتون مهيا ڪرڻ سينسرز جي ايندڙ پرت تي يا ڪاروباري ايپليڪيشنن تي حملن جو پتو لڳائڻ آھي جيڪي ونڊوز ماحول ۾ ڊيپلائي ٿي سگھن ٿيون. اسان وٽ ھڪڙو سرور آھي اسان جي ليبارٽري ۾ نصب ٿيل آھي (FOS01)

    سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

  4. ايميل ٿيل ٽريپس حل جو بنيادي حصو آهن، جيڪو اسان کي اجازت ڏئي ٿو، هڪ واحد ورچوئل مشين کي استعمال ڪندي، حملي ڪندڙن لاءِ هڪ تمام گھڻا ”مائن فيلڊ“ ٺاهڻ ۽ انٽرپرائز نيٽ ورڪ کي، ان جي سڀني ويلن کي، اسان جي سينسر سان. حملو ڪندڙ اهڙي سينسر، يا پريتم ميزبان کي، هڪ حقيقي ونڊوز پي سي يا سرور، لينڪس سرور يا ٻي ڊوائيس وانگر ڏسي ٿو، جيڪو اسان هن کي ڏيکارڻ جو فيصلو ڪريون ٿا.

    سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

    ڪاروبار جي ڀلائي لاءِ ۽ تجسس جي خاطر، اسان ”هر مخلوق جو هڪ جوڙو“ مقرر ڪيو - ونڊوز پي سيز ۽ مختلف ورزن جا سرور، لينڪس سرور، ونڊوز ايمبيڊڊ سان هڪ ATM، SWIFT Web Access، هڪ نيٽ ورڪ پرنٽر، هڪ Cisco. سوئچ، هڪ Axis IP ڪئميرا، هڪ MacBook، PLC-device ۽ حتي هڪ سمارٽ لائٽ بلب. مجموعي طور تي 13 ميزبان آهن. عام طور تي، وينڊر سفارش ڪري ٿو ته گهٽ ۾ گهٽ 10٪ حقيقي ميزبانن جي تعداد ۾ اهڙن سينسر کي ترتيب ڏيو. مٿين بار موجود ايڊريس اسپيس آهي.

    هڪ تمام اهم نقطو اهو آهي ته هر هڪ اهڙي ميزبان هڪ مڪمل مجازي مشين نه آهي جنهن کي وسيلن ۽ لائسنس جي ضرورت آهي. هي هڪ ٺهڪندڙ، ايموليشن، TSA تي هڪ عمل آهي، جنهن ۾ پيٽرولر جو هڪ سيٽ ۽ هڪ IP پتو آهي. تنهن ڪري، هڪ به TSA جي مدد سان، اسان نيٽ ورڪ کي سوين اهڙن پريتم ميزبانن سان گڏ ڪري سگهون ٿا، جيڪي الارم سسٽم ۾ سينسر طور ڪم ڪندا. اها اها ٽيڪنالوجي آهي جيڪا ڪنهن به وڏي ورهايل اداري ۾ هني پاٽ جي تصور کي قيمتي انداز سان ماپڻ ممڪن بڻائي ٿي.

    حملي آور جي نقطي نظر کان، اهي لشڪر پرڪشش هوندا آهن ڇاڪاڻ ته انهن ۾ ڪمزوريون هونديون آهن ۽ اهي نسبتاً آسان هدف هوندا آهن. حملو ڪندڙ انهن ميزبانن تي خدمتون ڏسي ٿو ۽ انهن سان رابطو ڪري سگهي ٿو ۽ معياري اوزار ۽ پروٽوڪول استعمال ڪندي انهن تي حملو ڪري سگهي ٿو (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus، وغيره). پر اهو ناممڪن آهي ته انهن لشڪر کي استعمال ڪرڻ لاءِ حملو ڪرڻ يا پنهنجو ڪوڊ هلائڻ لاءِ.

  5. انهن ٻن ٽيڪنالاجين جو ميلاپ (FullOS ۽ emulated traps) اسان کي هڪ اعليٰ شمارياتي امڪان حاصل ڪرڻ جي اجازت ڏئي ٿو ته هڪ حملو ڪندڙ جلد يا بعد ۾ اسان جي سگنلنگ نيٽ ورڪ جي ڪجهه عنصر سان منهن ڏيندو. پر اسان ڪيئن پڪ ڪري سگهون ٿا ته اهو امڪان 100٪ جي ويجهو آهي؟

    نام نهاد فريب ٽوڪن جنگ ۾ داخل ٿيو. انهن جي مهرباني، اسان اسان جي ورهايل IDS ۾ سڀ موجود پي سي ۽ انٽرپرائز جا سرور شامل ڪري سگهون ٿا. ٽوڪن استعمال ڪندڙن جي حقيقي پي سي تي رکيل آهن. اهو سمجهڻ ضروري آهي ته ٽوڪن ايجنٽ نه آهن جيڪي وسيلن کي استعمال ڪن ٿا ۽ تڪرار پيدا ڪري سگهن ٿيون. ٽوڪن غير فعال معلوماتي عنصر آهن، حملي واري پاسي لاءِ هڪ قسم جو ”بريڊ ڪرمبس“ جيڪو ان کي ڦاسيءَ ۾ آڻي ٿو. مثال طور، ميپ ٿيل نيٽ ورڪ ڊرائيوز، برائوزر ۾ جعلي ويب ايڊمنس لاءِ بک مارڪ ۽ انهن لاءِ محفوظ ڪيل پاسورڊ، محفوظ ڪيل ssh/rdp/winscp سيشن، اسان جا ٽريپز سان گڏ تبصرا ميزبان فائلن ۾، ميموري ۾ محفوظ ڪيل پاسورڊ، غير موجود استعمال ڪندڙن جون سندون، آفيس فائلون، کولڻ جيڪي سسٽم کي ٽاريندو، ۽ گهڻو ڪجهه. اهڙيءَ طرح، اسان حملي آور کي هڪ مسخ ٿيل ماحول ۾ رکون ٿا، حملي جي ویکٹرن سان ڀريل آهي، جيڪي اصل ۾ اسان لاءِ خطرو نه آهن، بلڪه ان جي برعڪس. ۽ هن وٽ اهو طئي ڪرڻ جو ڪو طريقو ناهي ته معلومات ڪٿي سچي آهي ۽ ڪٿي غلط آهي. اهڙيءَ طرح، اسان نه رڳو حملي جي تڪڙي سڃاڻپ کي يقيني بڻائي سگهون ٿا، پر ان جي پيش رفت کي به خاص طور تي سست ڪريون ٿا.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”
ھڪڙو مثال ھڪڙو نيٽ ورڪ ٽريپ ٺاھڻ ۽ ٽوڪن قائم ڪرڻ جو. دوستانه انٽرفيس ۽ ترتيب، اسڪرپٽس وغيره جي دستيابي ايڊيٽنگ ناهي.

اسان جي ماحول ۾، اسان ونڊوز سرور 01R2012 تي هلندڙ FOS2 ۽ ونڊوز 7 تي هلندڙ ٽيسٽ پي سي تي اهڙا ڪيترائي ٽوڪن ترتيب ۽ رکيا آهن. RDP انهن مشينن تي هلندي آهي ۽ اسان وقتي طور تي انهن کي DMZ ۾ "Hang" ڪندا آهيون، جتي اسان جا ڪيترائي سينسر. (emulated traps) پڻ ڏيکاريل آھن. تنهنڪري اسان کي مسلسل واقعن جو سلسلو ملي ٿو، قدرتي طور تي ڳالهائڻ لاء.

تنهن ڪري، هتي سال لاء ڪجهه تڪڙو انگ اکر آهن:

56 - واقعا رڪارڊ ڪيا ويا،
2 - حملي جو ذريعو لشڪر لڌو ويو.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”
انٽرايڪٽو، ڪلڪ لائق حملي جو نقشو

ساڳئي وقت، حل ڪجهه قسم جي ميگا-لاگ يا ايونٽ فيڊ پيدا نٿو ڪري، جيڪو سمجهڻ ۾ گهڻو وقت وٺندو آهي. ان جي بدران، حل پاڻ واقعن کي انهن جي قسمن جي لحاظ کان درجه بندي ڪري ٿو ۽ معلومات سيڪيورٽي ٽيم کي بنيادي طور تي سڀ کان وڌيڪ خطرناڪ ماڻهن تي ڌيان ڏيڻ جي اجازت ڏئي ٿو - جڏهن حملو ڪندڙ ڪنٽرول سيشن (انٽراڪشن) کي وڌائڻ جي ڪوشش ڪري ٿو يا جڏهن بائنري پيل لوڊ (انفڪشن) اسان جي ٽرئفڪ ۾ ظاهر ٿيندا آهن.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

واقعن جي باري ۾ سڀ معلومات پڙهڻ جي قابل ۽ پيش ڪئي وئي آهي، منهنجي خيال ۾، سمجھڻ ۾ آسان فارم ۾ جيتوڻيڪ معلومات جي حفاظت جي ميدان ۾ بنيادي ڄاڻ رکندڙ صارف لاء.

اڪثر رڪارڊ ٿيل واقعا اسان جي ميزبان يا سنگل ڪنيڪشن کي اسڪين ڪرڻ جي ڪوشش آهن.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

يا آر ڊي پي لاءِ زبردستي پاسورڊ استعمال ڪرڻ جي ڪوشش

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

پر اتي به وڌيڪ دلچسپ ڪيس هئا، خاص طور تي جڏهن حملي آور "منظم" ڪيو ته آر ڊي پي لاءِ پاسورڊ جو اندازو لڳايو ۽ مقامي نيٽ ورڪ تائين رسائي حاصل ڪري.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

هڪ حملو ڪندڙ psexec استعمال ڪندي ڪوڊ کي عمل ڪرڻ جي ڪوشش ڪري ٿو.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

حملي آور کي هڪ محفوظ ٿيل سيشن مليو، جنهن کيس لينڪس سرور جي صورت ۾ ڦاسائي ڇڏيو. فوري طور تي ڳنڍڻ کان پوء، هڪ اڳ ۾ تيار ڪيل حڪمن جي سيٽ سان، سڀني لاگ فائلن ۽ لاڳاپيل سسٽم متغير کي تباهه ڪرڻ جي ڪوشش ڪئي.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

هڪ حملو ڪندڙ ڪوشش ڪري ٿو SQL انجيڪشن کي هني پوٽ تي جيڪو SWIFT ويب رسائي جي نقل ڪري ٿو.

اهڙن ”قدرتي“ حملن کان علاوه، اسان پڻ پنهنجا ڪيترائي تجربا ڪيا. سڀ کان وڌيڪ ظاهر ڪندڙ هڪ نيٽ ورڪ تي نيٽ ورڪ ڪيم جي ڳولا واري وقت جي جانچ ڪري رهيو آهي. هن کي ڪرڻ لاء اسان هڪ اوزار استعمال ڪيو GuardiCore سڏيو ويندو آهي انفيڪشن بندر. هي هڪ نيٽ ورڪ ورم آهي جيڪو ونڊوز ۽ لينڪس کي اغوا ڪري سگهي ٿو، پر بغير ڪنهن ”پيلوڊ“ جي.
اسان هڪ مقامي ڪمانڊ سينٽر کي مقرر ڪيو، هڪ مشين تي ورم جو پهريون مثال شروع ڪيو، ۽ هڪ منٽ ۽ اڌ کان گهٽ ۾ TrapX ڪنسول ۾ پهريون الرٽ حاصل ڪيو. TTD 90 سيڪنڊن جي مقابلي ۾ 106 ڏينهن سراسري طور تي ...

حلن جي ٻين طبقن سان ضم ڪرڻ جي صلاحيت جي مهرباني، اسان انهن کي خودڪار طور تي جواب ڏيڻ جي خطرن کي جلدي ڳولڻ کان منتقل ڪري سگهون ٿا.

مثال طور، NAC (Network Access Control) سسٽم سان گڏ يا ڪاربن بليڪ سان انضمام توهان کي اجازت ڏيندو ته سمجھوتي ٿيل پي سيز پاڻمرادو نيٽ ورڪ کان ڌار ڪري سگھن.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

سينڊ باڪس سان انضمام جي اجازت ڏئي ٿي حملي ۾ ملوث فائلن کي خودڪار طور تي تجزيو لاءِ پيش ڪيو وڃي.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

McAfee انضمام

حل پڻ ان جي پنهنجي تعمير ٿيل واقعي جي رابطي جو نظام آهي.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

پر اسان ان جي صلاحيتن کان مطمئن نه هئاسين، تنهنڪري اسان ان کي HP ArcSight سان ضم ڪيو.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

تعمير ٿيل ٽڪيٽنگ سسٽم سڄي دنيا کي معلوم ٿيل خطرن کي منهن ڏيڻ ۾ مدد ڪري ٿو.

سوراخ هڪ حفاظتي اوزار جي طور تي - 2، يا APT کي ڪيئن پڪڙيو “لائيو بيٽ سان”

جيئن ته حل "شروع کان" حڪومتي ادارن ۽ هڪ وڏي ڪارپوريٽ حصي جي ضرورتن لاء تيار ڪيو ويو آهي، اهو قدرتي طور تي هڪ ڪردار تي ٻڌل رسائي ماڊل لاڳو ڪري ٿو، AD سان انضمام، رپورٽن ۽ ٽريگرز جو هڪ ترقي يافته نظام (واقعي جي خبرداري)، آرڪيسٽريشن لاء. وڏي هولڊنگ ڍانچي يا MSSP فراهم ڪندڙ.

بجاء ٻيهر شروع

جيڪڏهن اتي هڪ اهڙي نگراني نظام آهي، جيڪو، علامتي طور تي ڳالهائڻ، اسان جي پٺي کي ڍڪيندو آهي، پوء پردير جي سمجھوت سان، هر شيء صرف شروعات آهي. سڀ کان اهم شيء اها آهي ته معلومات سيڪيورٽي واقعن سان معاملو ڪرڻ جو هڪ حقيقي موقعو آهي، ۽ انهن جي نتيجن سان معاملو ڪرڻ نه.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو