ආරක්ෂක මෙවලමක් ලෙස සිදුරු - 2, හෝ "සජීවී ඇමක් මත" APT අල්ලා ගන්නේ කෙසේද

(මාතෘකා අදහස සඳහා සර්ජි ජී. බ්‍රෙස්ටර්ට ස්තූතියි sebres)

සගයන්, මෙම ලිපියේ අරමුණ රැවටීමේ තාක්ෂණය මත පදනම් වූ නව IDS විසඳුම් පන්තියක වසරක පරීක්ෂණ මෙහෙයුමක අත්දැකීම් බෙදාහදා ගැනීමයි.

ද්රව්යයේ ඉදිරිපත් කිරීමෙහි තාර්කික අනුකූලතාව පවත්වා ගැනීම සඳහා, පරිශ්රය සමඟ ආරම්භ කිරීම අවශ්ය බව මම සලකමි. ඉතින්, ගැටලුව:

1. ඉලක්කගත ප්‍රහාර වඩාත් භයානක ආකාරයේ ප්‍රහාරයක් වන අතර, මුළු තර්ජන සංඛ්‍යාවේ ඔවුන්ගේ කොටස කුඩා වුවද.
2. පරිමිතිය (හෝ එවැනි උපක්‍රම සමූහයක්) ආරක්ෂා කිරීම සඳහා සහතික කළ ඵලදායී ක්‍රමයක් තවමත් සොයාගෙන නොමැත.
3. රීතියක් ලෙස, ඉලක්කගත ප්රහාර අදියර කිහිපයකින් සිදු වේ. පරිමිතිය ජය ගැනීම ආරම්භක අදියරවලින් එකක් පමණි, එය (ඔබට මට ගල් ගැසිය හැකිය) "ගොදුරට" විශාල හානියක් සිදු නොවේ, ඇත්ත වශයෙන්ම, එය DEoS (සේවාව විනාශ කිරීම) ප්‍රහාරයක් (එන්ක්‍රිප්ටර්, ආදිය) නොවේ නම්. .) සැබෑ "වේදනාව" පසුව ආරම්භ වේ, අල්ලා ගත් වත්කම් "ගැඹුර" ප්‍රහාරයක් හැරවීම සහ වර්ධනය කිරීම සඳහා භාවිතා කිරීමට පටන් ගත් විට, අපි මෙය දුටුවේ නැත.
4. ප්‍රහාරකයන් අවසානයේ ප්‍රහාරයේ ඉලක්ක වෙත (යෙදුම් සේවාදායකයන්, DBMS, දත්ත ගබඩා, ගබඩාවන්, තීරණාත්මක යටිතල පහසුකම් අංග) ළඟා වූ විට අපට සැබෑ පාඩු විඳීමට පටන් ගන්නා බැවින්, තොරතුරු ආරක්ෂණ සේවාවේ එක් කාර්යයක් වන්නේ ප්‍රහාරවලට පෙර බාධා කිරීම තර්කානුකූල ය. මෙම කණගාටුදායක සිදුවීම. නමුත් යමක් බාධා කිරීමට නම්, ඔබ මුලින්ම ඒ ගැන සොයා බැලිය යුතුය. සහ ඉක්මනින්, වඩා හොඳය.
5. ඒ අනුව, සාර්ථක අවදානම් කළමනාකරණය සඳහා (එනම්, ඉලක්කගත ප්‍රහාරවලින් සිදුවන හානිය අවම කිරීම), අවම TTD (හඳුනා ගැනීමට කාලය - ආක්‍රමණය වූ මොහොතේ සිට ප්‍රහාරය අනාවරණය වන මොහොත දක්වා) ලබා දෙන මෙවලම් තිබීම ඉතා වැදගත් වේ. කර්මාන්තය සහ කලාපය මත පදනම්ව, මෙම කාල සීමාව එක්සත් ජනපදයේ දින 99ක්, EMEA කලාපයේ දින 106ක්, APAC කලාපයේ දින 172ක් (M-Trends 2017, A view From the Front lines, Mandiant).
6. වෙළඳපල ඉදිරිපත් කරන්නේ කුමක්ද?
   • "වැලි පෙට්ටි". තවත් වැළැක්වීමේ පාලනයක්, එය පරමාදර්ශී නොවේ. වැලි පෙට්ටි හඳුනා ගැනීම සහ මඟ හැරීම හෝ සුදු ලැයිස්තුගත කිරීමේ විසඳුම් සඳහා බොහෝ ඵලදායී තාක්ෂණික ක්රම තිබේ. "අඳුරු පැත්තේ" අය තවමත් මෙහි එක් පියවරක් ඉදිරියෙන් සිටිති.
   • UEBA (චර්යාව පැතිකඩ කිරීම සහ අපගමනය හඳුනා ගැනීම සඳහා පද්ධති) - න්‍යායාත්මකව, ඉතා ඵලදායී විය හැක. නමුත්, මගේ මතය අනුව, මෙය ඈත අනාගතයේ දී ය. ප්රායෝගිකව, මෙය තවමත් ඉතා මිල අධික, විශ්වාස කළ නොහැකි අතර ඉතා පරිණත සහ ස්ථාවර තොරතුරු තාක්ෂණ සහ තොරතුරු ආරක්ෂණ යටිතල පහසුකම් අවශ්ය වන අතර, හැසිරීම් විශ්ලේෂණය සඳහා දත්ත උත්පාදනය කරන සියලු මෙවලම් දැනටමත් ඇත.
   • SIEM යනු විමර්ශන සඳහා හොඳ මෙවලමක් වන නමුත්, සහසම්බන්ධතා රීති අත්සන් හා සමාන වන බැවින්, අලුත් සහ මුල් යමක් නියමිත වේලාවට දැකීමට සහ පෙන්වීමට එයට හැකියාවක් නැත.

7. ප්රතිඵලයක් වශයෙන්, මෙවලමක් අවශ්ය වේ:
   • දැනටමත් සම්මුති වී ඇති පරිමිතියක තත්වයන් තුළ සාර්ථකව වැඩ කර ඇත,
   • භාවිතා කරන මෙවලම් සහ දුර්වලතා නොසලකා, ආසන්න තථ්‍ය කාලය තුළ සාර්ථක ප්‍රහාර අනාවරණය කර ගැනීම,
   • අත්සන් / රීති / ස්ක්‍රිප්ට් / ප්‍රතිපත්ති / පැතිකඩ සහ වෙනත් ස්ථිතික දේවල් මත රඳා නොපවතී,
   • විශ්ලේෂණය සඳහා විශාල දත්ත ප්‍රමාණයක් සහ ඒවායේ මූලාශ්‍ර අවශ්‍ය නොවීය,
   • "ලෝකයේ හොඳම, පේටන්ට් බලපත්‍රලාභී සහ එබැවින් සංවෘත ගණිතයේ" කාර්යයේ ප්‍රතිඵලයක් ලෙස ප්‍රහාරයන් යම් ආකාරයක අවදානම් ලකුණු කිරීමක් ලෙස අර්ථ දැක්වීමට ඉඩ නොදෙනු ඇත, ඒ සඳහා අමතර විමර්ශනයක් අවශ්‍ය වේ, නමුත් ප්‍රායෝගිකව ද්විමය සිදුවීමක් ලෙස - “ඔව්, අපට පහර දෙනවා" හෝ "නැහැ, සියල්ල හරි",
   • භාවිතා කරන භෞතික හා තාර්කික ජාල ස්ථල විද්‍යාව නොසලකා ඕනෑම විෂම පරිසරයක ක්‍රියාත්මක කිරීමට විශ්වීය, කාර්යක්ෂමව පරිමාණය කළ හැකි සහ ශක්‍ය විය.

එවැනි මෙවලමක භූමිකාව සඳහා ඊනියා වංචා විසඳුම් දැන් තරඟ කරයි. එනම්, හනිපොට් පිළිබඳ පැරණි හොඳ සංකල්පය මත පදනම් වූ විසඳුම්, නමුත් සම්පූර්ණයෙන්ම වෙනස් මට්ටමේ ක්‍රියාත්මක කිරීමකි. මෙම මාතෘකාව දැන් නිසැකවම වර්ධනය වෙමින් පවතී.

ප්රතිඵල අනුව ගාට්නර් ආරක්ෂාව සහ අවදානම් කළමනාකරණ සමුළුව 2017 භාවිතා කිරීමට නිර්දේශිත TOP 3 උපාය මාර්ග සහ මෙවලම් තුළ රැවටීමේ විසඳුම් ඇතුළත් වේ.

වාර්තාවට අනුව TAG සයිබර් ආරක්ෂණ වාර්ෂික 2017 IDS ආක්‍රමණය හඳුනාගැනීමේ පද්ධති) විසඳුම් සංවර්ධනය කිරීමේ ප්‍රධාන දිශාවන්ගෙන් එකකි රැවටීම.

අවසාන කොටසේ සම්පූර්ණ කොටසකි සිස්කෝ රාජ්‍ය තොරතුරු තාක්ෂණ ආරක්ෂණ වාර්තාව, SCADA සඳහා කැප වූ, මෙම වෙළඳපොලේ ප්‍රමුඛයෙකු වන TrapX Security (ඊශ්‍රායලය) ගේ දත්ත මත පදනම් වේ, එහි විසඳුම වසරක් තිස්සේ අපගේ පරීක්ෂණ ප්‍රදේශයේ ක්‍රියාත්මක වේ.

TrapX Deception Grid ඔබට බලපත්‍ර භාරය සහ දෘඪාංග සම්පත් සඳහා අවශ්‍යතා වැඩි නොකර විශාල වශයෙන් බෙදා හරින ලද IDS මධ්‍යගතව වියදම් කිරීමට සහ ක්‍රියාත්මක කිරීමට ඉඩ සලසයි. ඇත්ත වශයෙන්ම, TrapX යනු ව්‍යවසාය-පුළුල් පරිමාණයේ ප්‍රහාර හඳුනා ගැනීම සඳහා පවතින තොරතුරු තාක්ෂණ යටිතල ව්‍යුහයේ එක් විශාල යාන්ත්‍රණයක් නිර්මාණය කිරීමට ඔබට ඉඩ සලසන ඉදිකිරීම්කරුවෙකි, එය බෙදා හරින ලද ජාල “එලාම්” වර්ගයකි.

විසඳුම් ව්යුහය

අපගේ රසායනාගාරයේදී අපි තොරතුරු තාක්ෂණ ආරක්ෂණ ක්ෂේත්‍රයේ විවිධ නව නිෂ්පාදන නිරන්තරයෙන් අධ්‍යයනය කර පරීක්ෂා කරන්නෙමු. දැනට, TrapX Deception Grid සංරචක ඇතුළුව විවිධ අතථ්‍ය සේවාදායක 50ක් පමණ මෙහි යොදවා ඇත.

ඉතින්, ඉහළ සිට පහළට:

1. TSOC (TrapX Security Operation Console) යනු පද්ධතියේ මොළයයි. මෙය මධ්‍යම කළමනාකරණ කොන්සෝලය වන අතර එමඟින් වින්‍යාස කිරීම, විසඳුම යෙදවීම සහ සියලුම දෛනික මෙහෙයුම් සිදු කෙරේ. මෙය වෙබ් සේවාවක් බැවින්, එය ඕනෑම තැනක යෙදවිය හැක - පරිමිතියෙහි, වලාකුළෙහි හෝ MSSP සපයන්නා වෙත.
2. TrapX Appliance (TSA) යනු අපට අධීක්‍ෂණයෙන් ආවරණය කිරීමට අවශ්‍ය උපජාල, trunk port භාවිතයෙන් සම්බන්ධ කරන අතථ්‍ය සේවාදායකයකි. එසේම, අපගේ සියලුම ජාල සංවේදක මෙහි “සජීවී” වේ.

   අපගේ විද්‍යාගාරයේ TSA එකක් යොදවා ඇත (mwsapp1), නමුත් ඇත්ත වශයෙන්ම බොහෝ ඒවා තිබිය හැක. කොටස් අතර L2 සම්බන්ධතාවයක් නොමැති විශාල ජාල වල මෙය අවශ්‍ය විය හැකිය (සාමාන්‍ය උදාහරණයක් වන්නේ "රැඳවුම් සහ අනුබද්ධ" හෝ "බැංකු ප්‍රධාන කාර්යාලය සහ ශාඛා") හෝ ජාලයට හුදකලා කොටස් තිබේ නම්, උදාහරණයක් ලෙස, ස්වයංක්‍රීය ක්‍රියාවලි පාලන පද්ධති. එවැනි එක් එක් ශාඛාව/කොටස තුළ, ඔබට ඔබේම TSA යෙදිය හැකි අතර එය තනි TSOC එකකට සම්බන්ධ කළ හැකිය, එහිදී සියලු තොරතුරු මධ්‍යගතව සකසනු ලැබේ. ජාලය රැඩිකල් ලෙස ප්‍රතිව්‍යුහගත කිරීම හෝ පවතින ඛණ්ඩනය කඩාකප්පල් කිරීමකින් තොරව බෙදා හරින ලද අධීක්ෂණ පද්ධති ගොඩනැගීමට මෙම ගෘහ නිර්මාණ ශිල්පය ඔබට ඉඩ සලසයි.

   එසේම, අපට TAP/SPAN හරහා TSA වෙත පිටතට යන ගමනාගමනයේ පිටපතක් ඉදිරිපත් කළ හැක. අපි දන්නා botnets, Command and Control servers හෝ TOR සැසි සමඟ සම්බන්ධතා හඳුනා ගන්නේ නම්, අපට කොන්සෝලය තුළ ප්‍රතිඵලය ද ලැබෙනු ඇත. Network Intelligence Sensor (NIS) මෙයට වගකිව යුතුය. අපගේ පරිසරය තුළ, මෙම ක්‍රියාකාරිත්වය ෆයර්වෝලයේ ක්‍රියාත්මක වේ, එබැවින් අපි එය මෙහි භාවිතා නොකළෙමු.

3. යෙදුම් උගුල් (සම්පූර්ණ මෙහෙයුම් පද්ධතිය) - වින්ඩෝස් සර්වර් මත පදනම් වූ සාම්ප්‍රදායික හනිපොට්. ඔබට ඒවායින් බොහොමයක් අවශ්‍ය නොවේ, මන්ද මෙම සේවාදායකයන්ගේ ප්‍රධාන අරමුණ වන්නේ ඊළඟ සංවේදක ස්ථරයට තොරතුරු තාක්ෂණ සේවා සැපයීම හෝ Windows පරිසරයක යෙදවිය හැකි ව්‍යාපාරික යෙදුම්වලට එල්ල වන ප්‍රහාර හඳුනාගැනීමයි. අපගේ රසායනාගාරයේ (FOS01) එවැනි එක් සේවාදායකයක් ස්ථාපනය කර ඇත.

   

4. අනුකරණය කරන ලද උගුල් යනු විසඳුමේ ප්‍රධාන අංගය වන අතර එමඟින් එක් තනි අතථ්‍ය යන්ත්‍රයක් භාවිතා කරමින් ප්‍රහාරකයින් සඳහා ඉතා ඝන “මිණිබිම්” නිර්මාණය කිරීමට සහ ව්‍යවසාය ජාලය, එහි සියලුම vlans, අපගේ සංවේදක සමඟ සංතෘප්ත කිරීමට අපට ඉඩ සලසයි. ප්‍රහාරකයා එවැනි සංවේදකයක් හෝ ෆැන්ටම් සත්කාරකයක්, සැබෑ Windows PC හෝ සේවාදායකයක්, Linux සේවාදායකයක් හෝ අපි ඔහුට පෙන්වීමට තීරණය කරන වෙනත් උපාංගයක් ලෙස දකී.

   
   
   ව්‍යාපාරයේ යහපත සඳහා සහ කුතුහලය සඳහා, අපි “එක් එක් ජීවියෙකුගේ යුගලයක්” යෙදවූවෙමු - වින්ඩෝස් පරිගණක සහ විවිධ අනුවාදවල සේවාදායකයන්, ලිනක්ස් සේවාදායකයන්, වින්ඩෝස් එබ්බවූ ස්වයංක්‍රීය ටෙලර් යන්ත්‍රයක්, SWIFT වෙබ් ප්‍රවේශය, ජාල මුද්‍රණ යන්ත්‍රයක්, සිස්කෝ ස්විචය, Axis IP කැමරාවක්, MacBook, PLC - උපාංගයක් සහ ස්මාර්ට් විදුලි බුබුලක් පවා. මුළු සත්කාරකයින් 13 ක් ඇත. සාමාන්‍යයෙන්, වෙළෙන්දා නියම ධාරක සංඛ්‍යාවෙන් අවම වශයෙන් 10% ක ප්‍රමාණයක එවැනි සංවේදක යෙදවීමට නිර්දේශ කරයි. ඉහළ තීරුව යනු පවතින ලිපින අවකාශයයි.

   ඉතා වැදගත් කරුණක් නම්, එවැනි එක් එක් සත්කාරක සමාගම සම්පත් සහ බලපත්‍ර අවශ්‍ය වන සම්පූර්ණ අථත්‍ය යන්ත්‍රයක් නොවන බවයි. මෙය පරාමිති සමූහයක් සහ IP ලිපිනයක් ඇති TSA මත රැවටීම, අනුකරණය, එක් ක්‍රියාවලියකි. එබැවින්, එක් TSA ආධාරයෙන්, අපට එවැනි ෆැන්ටම් ධාරක සිය ගණනක් සමඟ ජාලය සංතෘප්ත කළ හැකිය, එය අනතුරු ඇඟවීමේ පද්ධතියේ සංවේදක ලෙස ක්‍රියා කරනු ඇත. ඕනෑම විශාල බෙදා හරින ලද ව්‍යවසායයක් හරහා හනිපොට් සංකල්පය පිරිවැය-ඵලදායී ලෙස පරිමාණය කිරීමට හැකිවන්නේ මෙම තාක්ෂණයයි.

   ප්‍රහාරකයෙකුගේ දෘෂ්ටිකෝණයෙන්, මෙම ධාරක ආකර්ශනීය වන්නේ ඒවායේ දුර්වලතා අඩංගු වන අතර සාපේක්ෂව පහසු ඉලක්ක ලෙස පෙනෙන බැවිනි. ප්‍රහාරකයාට මෙම ධාරකවල සේවාවන් දකින අතර ඒවා සමඟ අන්තර් ක්‍රියා කළ හැකි අතර සම්මත මෙවලම් සහ ප්‍රොටෝකෝල (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, ආදිය) භාවිතයෙන් ඒවාට පහර දිය හැක. නමුත් ප්‍රහාරයක් වර්ධනය කිරීමට හෝ ඔබේම කේතය ක්‍රියාත්මක කිරීමට මෙම සත්කාරක භාවිතා කළ නොහැක.

5. මෙම තාක්ෂණයන් දෙකෙහි (FullOS සහ emulated traps) එකතුව, ප්‍රහාරකයෙකු ඉක්මනින් හෝ පසුව අපගේ සංඥා ජාලයේ යම් අංගයකට මුහුණ දීමට හැකි ඉහළ සංඛ්‍යානමය සම්භාවිතාවක් ලබා ගැනීමට අපට ඉඩ සලසයි. නමුත් මෙම සම්භාවිතාව 100% කට ආසන්න බව සහතික කර ගන්නේ කෙසේද?

   ඊනියා රැවටීමේ සංකේත සටනට ඇතුල් වේ. ඔවුන්ට ස්තූතියි, අපගේ බෙදා හරින ලද IDS හි ව්‍යවසායයේ පවතින සියලුම පරිගණක සහ සේවාදායකයන් ඇතුළත් කළ හැකිය. ටෝකන භාවිතා කරන්නන්ගේ සැබෑ පරිගණක මත තබා ඇත. ටෝකන යනු සම්පත් පරිභෝජනය කරන සහ ගැටුම් ඇති කළ හැකි නියෝජිතයන් නොවන බව තේරුම් ගැනීම වැදගත්ය. ටෝකන යනු නිෂ්ක්‍රීය තොරතුරු මූලද්‍රව්‍ය වන අතර එය උගුලකට ගෙන යන ප්‍රහාරක පැත්ත සඳහා "පාන් කුඩු" වර්ගයකි. උදාහරණයක් ලෙස, සිතියම්ගත ජාල ධාවක, බ්‍රවුසරයේ ව්‍යාජ වෙබ් පරිපාලකයින්ට පිටු සලකුණු සහ ඔවුන් සඳහා සුරකින ලද මුරපද, සුරකින ලද ssh/rdp/winscp සැසි, ධාරක ගොනු වල අදහස් සහිත අපගේ උගුල්, මතකයේ සුරකින ලද මුරපද, නොපවතින පරිශීලකයින්ගේ අක්තපත්‍ර, කාර්යාලය ගොනු, විවෘත කිරීම පද්ධතිය අවුලුවාලීම සහ තවත් බොහෝ දේ. මේ අනුව, අපි ප්‍රහාරකයා අපට සැබවින්ම තර්ජනයක් නොවන නමුත් ප්‍රතිවිරුද්ධ ප්‍රහාරක දෛශික වලින් සංතෘප්ත වූ විකෘති පරිසරයක තබමු. තවද එම තොරතුරු සත්‍ය කොතැනද අසත්‍ය දැයි තීරණය කිරීමට ඔහුට ක්‍රමයක් නැත. මේ අනුව, අපි ප්‍රහාරයක් ඉක්මනින් හඳුනා ගැනීම සහතික කරනවා පමණක් නොව, එහි ප්‍රගතිය සැලකිය යුතු ලෙස මන්දගාමී කරන්නෙමු.

ජාල උගුලක් නිර්මාණය කිරීම සහ ටෝකන සැකසීම පිළිබඳ උදාහරණයක්. මිත්‍රශීලී අතුරු මුහුණත සහ වින්‍යාස, ස්ක්‍රිප්ට් ආදිය අතින් සංස්කරණය කිරීමක් නොමැත.

අපගේ පරිසරය තුළ, අපි FOS01 Windows Server 2012R2 ධාවනය වන FOS7 සහ Windows XNUMX ධාවනය වන පරීක්ෂණ පරිගණකය මත එවැනි ටෝකන ගණනාවක් වින්‍යාස කර තැබුවෙමු. RDP මෙම යන්ත්‍රවල ක්‍රියාත්මක වන අතර අපි ඒවා වරින් වර අපගේ සංවේදක ගණනාවක් ඇති DMZ හි "එල්ලෙමු". (අනුකරණය කරන ලද උගුල්) ද ප්රදර්ශනය කෙරේ. ඒ නිසා අපට නිතැතින්ම සිද්ධි ප්‍රවාහයක් ලැබෙනවා, ස්වාභාවිකවම කතා කරන්න.

එබැවින්, වසර සඳහා ඉක්මන් සංඛ්‍යාලේඛන කිහිපයක් මෙන්න:

56 - වාර්තාගත සිද්ධීන්,
2 - ප්‍රහාරක මූලාශ්‍ර ධාරක අනාවරණය කර ඇත.

අන්තර්ක්‍රියාකාරී, ක්ලික් කළ හැකි ප්‍රහාර සිතියම

ඒ අතරම, විසඳුම යම් ආකාරයක මෙගා-ලොග් හෝ සිදුවීම් සංග්‍රහයක් ජනනය නොකරයි, එය තේරුම් ගැනීමට බොහෝ කාලයක් ගත වේ. ඒ වෙනුවට, විසඳුම විසින්ම සිදුවීම් ඒවායේ වර්ග අනුව වර්ගීකරණය කරන අතර තොරතුරු ආරක්ෂණ කණ්ඩායමට මූලික වශයෙන් වඩාත් භයානක ඒවා වෙත අවධානය යොමු කිරීමට ඉඩ සලසයි - ප්‍රහාරකයා පාලන සැසි (අන්තර්ක්‍රියා) ඉහළ නැංවීමට උත්සාහ කරන විට හෝ අපගේ ගමනාගමනයේ ද්විමය ගෙවීම් (ආසාදනය) දිස්වන විට.

සිදුවීම් පිළිබඳ සියලුම තොරතුරු කියවිය හැකි අතර, මගේ මතය අනුව, තොරතුරු ආරක්ෂණ ක්ෂේත්‍රයේ මූලික දැනුමක් ඇති පරිශීලකයෙකුට පවා තේරුම් ගැනීමට පහසු ආකෘතියකින් ඉදිරිපත් කෙරේ.

වාර්තාගත සිදුවීම් බොහොමයක් අපගේ ධාරක හෝ තනි සම්බන්ධතා පරිලෝකනය කිරීමේ උත්සාහයන් වේ.

නැතහොත් RDP සඳහා මුරපද බලහත්කාරයෙන් භාවිතා කිරීමට උත්සාහ කරයි

නමුත් වඩාත් සිත්ගන්නාසුලු අවස්ථා ද තිබුණි, විශේෂයෙන් ප්‍රහාරකයින් RDP සඳහා මුරපදය අනුමාන කිරීමට සහ දේශීය ජාලයට ප්‍රවේශය ලබා ගැනීමට “කළමනාකරණය” කළ විට.

ප්‍රහාරකයෙක් psexec භාවිතයෙන් කේතය ක්‍රියාත්මක කිරීමට උත්සාහ කරයි.

ප්‍රහාරකයා විසින් සුරකින ලද සැසියක් සොයා ගත් අතර, එය ඔහුව Linux සේවාදායකයක ආකාරයෙන් උගුලකට ගෙන ගියේය. සම්බන්ධ වූ වහාම, එක් පෙර සූදානම් කළ විධාන කට්ටලයක් සමඟ, එය සියලුම ලොග් ගොනු සහ ඊට අනුරූප පද්ධති විචල්‍යයන් විනාශ කිරීමට උත්සාහ කළේය.

ප්‍රහාරකයෙක් SWIFT වෙබ් ප්‍රවේශය අනුකරණය කරන හනිපොට් එකක් මත SQL එන්නත් කිරීමට උත්සාහ කරයි.

එවැනි "ස්වාභාවික" ප්රහාරයන්ට අමතරව, අපි අපේම පරීක්ෂණ ගණනාවක් ද සිදු කළෙමු. වඩාත්ම හෙළිදරව් කරන එකක් වන්නේ ජාලයක ජාල පණුවෙකු හඳුනාගැනීමේ කාලය පරීක්ෂා කිරීමයි. මේ සඳහා අපි GuardiCore නම් මෙවලමක් භාවිතා කළා ආසාදන වඳුරා. මෙය වින්ඩෝස් සහ ලිනක්ස් පැහැර ගත හැකි නමුත් කිසිදු "ගෙවීම්" නොමැතිව ජාල පණුවකි.
අපි ප්‍රාදේශීය විධාන මධ්‍යස්ථානයක් යොදවා, එක් යන්ත්‍රයකට පණුවාගේ පළමු අවස්ථාව දියත් කළ අතර, මිනිත්තු එකහමාරකට අඩු කාලයකදී TrapX කොන්සෝලයේ පළමු ඇඟවීම ලබා ගත්තෙමු. සාමාන්‍යයෙන් දින 90කට සාපේක්ෂව TTD තත්පර 106...

වෙනත් පන්ති විසඳුම් සමඟ ඒකාබද්ධ වීමේ හැකියාවට ස්තූතිවන්ත වන්නට, අපට තර්ජන ඉක්මනින් හඳුනා ගැනීමේ සිට ස්වයංක්‍රීයව ඒවාට ප්‍රතිචාර දැක්වීම දක්වා ගමන් කළ හැකිය.

උදාහරණයක් ලෙස, NAC (ජාල ප්‍රවේශ පාලන) පද්ධති සමඟ හෝ CarbonBlack සමඟ ඒකාබද්ධ කිරීම මඟින් ඔබට ජාලයෙන් සම්මුතියට පත් පරිගණක ස්වයංක්‍රීයව විසන්ධි කිරීමට ඉඩ සලසයි.

වැලි පෙට්ටි සමඟ ඒකාබද්ධ කිරීම ප්‍රහාරයකට සම්බන්ධ ගොනු ස්වයංක්‍රීයව විශ්ලේෂණය සඳහා ඉදිරිපත් කිරීමට ඉඩ සලසයි.

McAfee ඒකාබද්ධ කිරීම

විසඳුමට එයටම ආවේණික වූ සිදුවීම් සහසම්බන්ධතා පද්ධතියක් ද ඇත.

නමුත් අපි එහි හැකියාවන් ගැන සෑහීමකට පත් නොවූ නිසා අපි එය HP ArcSight සමඟ ඒකාබද්ධ කළෙමු.

ගොඩනඟන ලද ටිකට්පත් පද්ධතිය මුළු ලෝකයටම හඳුනාගත් තර්ජන සමඟ සාර්ථකව කටයුතු කිරීමට උපකාරී වේ.

රාජ්‍ය ආයතනවල සහ විශාල ආයතනික අංශයක අවශ්‍යතා සඳහා "ආරම්භයේ සිට" විසඳුම සකස් කර ඇති බැවින්, එය ස්වභාවිකවම භූමිකාව පදනම් කරගත් ප්‍රවේශ ආකෘතියක්, AD සමඟ ඒකාබද්ධ වීම, සංවර්ධිත වාර්තා සහ ප්‍රේරක පද්ධතියක් (සිදුවීම් ඇඟවීම්), වාද්‍ය වෘන්දය ක්‍රියාත්මක කරයි. විශාල රඳවා ගැනීමේ ව්‍යුහයන් හෝ MSSP සපයන්නන්.

නැවත ආරම්භ කිරීම වෙනුවට

එවැනි අධීක්ෂණ පද්ධතියක් තිබේ නම්, එය සංකේතාත්මකව කථා කිරීම, අපගේ පිටුපස ආවරණය කරයි නම්, පරිමිතිය සම්මුතිය සමඟ සෑම දෙයක්ම ආරම්භ වේ. වැදගත්ම දෙය නම්, තොරතුරු ආරක්ෂණ සිදුවීම් සමඟ කටයුතු කිරීමට සැබෑ අවස්ථාවක් ඇති අතර, ඒවායේ ප්රතිවිපාක සමඟ කටයුතු කිරීමට නොවේ.

මූලාශ්රය: www.habr.com