Karibu kwenye mfululizo mpya wa makala, wakati huu kuhusu mada ya uchunguzi wa matukio, yaani uchanganuzi wa programu hasidi kwa kutumia uchunguzi wa Check Point. Tulichapisha hapo awali kuhusu kufanya kazi katika Tukio Mahiri, lakini wakati huu tutaangalia ripoti za uchunguzi wa kitaalamu kuhusu matukio maalum katika bidhaa tofauti za Check Point:
Kwa nini uchunguzi wa kuzuia matukio ni muhimu? Inaweza kuonekana kuwa umeshika virusi, tayari ni nzuri, kwa nini ushughulikie? Kama inavyoonyesha mazoezi, inashauriwa sio tu kuzuia shambulio, lakini pia kuelewa jinsi inavyofanya kazi: mahali pa kuingilia ilikuwa nini, ni hatari gani ilitumiwa, ni michakato gani inayohusika, ikiwa Usajili na mfumo wa faili huathiriwa, ni familia gani. ya virusi, ni uharibifu gani unaowezekana, nk. Data hii na nyingine muhimu zinaweza kupatikana kutoka kwa ripoti za kina za uchunguzi wa Check Point (maandishi na picha). Ni vigumu sana kupata ripoti kama hiyo kwa mikono. Data hii inaweza kisha kusaidia kuchukua hatua zinazofaa na kuzuia mashambulizi kama haya kufanikiwa katika siku zijazo. Leo tutaangalia ripoti ya uchunguzi wa uchunguzi wa Mtandao wa Check Point SandBlast.
Mtandao wa SandBlast
Matumizi ya sanduku za mchanga ili kuimarisha ulinzi wa mzunguko wa mtandao kwa muda mrefu imekuwa kawaida na ni sehemu ya lazima kama IPS. Katika Check Point, blade ya Kuiga Tishio, ambayo ni sehemu ya teknolojia ya SandBlast (pia kuna Uchimbaji wa Tishio), inawajibika kwa utendakazi wa kisanduku cha mchanga. Tayari tumechapisha hapo awali pia kwa toleo la Gaia 77.30 (Ninapendekeza sana kuitazama ikiwa huelewi kile tunachozungumzia sasa). Kutoka kwa mtazamo wa usanifu, hakuna kitu kilichobadilika tangu wakati huo. Ikiwa unayo Lango la Kuangalia kwenye eneo la mtandao wako, basi unaweza kutumia chaguzi mbili za kuunganishwa na sanduku la mchanga:
- SandBlast Local Appliance β kifaa cha ziada cha SandBlast kimesakinishwa kwenye mtandao wako, ambacho faili hutumwa kwa ajili ya uchambuzi.
- Wingu la SandBlast - faili hutumwa kwa uchambuzi kwenye wingu la Check Point.
Sanduku la mchanga linaweza kuzingatiwa kama safu ya mwisho ya ulinzi kwenye eneo la mtandao. Inaunganisha tu baada ya uchambuzi kwa njia za classical - antivirus, IPS. Na ikiwa zana kama hizo za saini za jadi hazitoi uchanganuzi wowote, basi sanduku la mchanga linaweza "kusema" kwa undani kwa nini faili ilizuiwa na ni nini haswa inafanya. Ripoti hii ya kitaalamu inaweza kupatikana kutoka kwa sanduku la mchanga la ndani na la wingu.
Angalia Ripoti ya Forensics ya Point
Wacha tuseme wewe, kama mtaalamu wa usalama wa habari, ulikuja kufanya kazi na kufungua dashibodi katika SmartConsole. Mara moja unaona matukio ya saa 24 zilizopita na umakini wako unavutiwa na matukio ya Kuiga Tishio - mashambulizi hatari zaidi ambayo hayakuzuiwa na uchanganuzi wa sahihi.
Unaweza "kuchimba" katika matukio haya na kuona kumbukumbu zote za blade ya Kuiga Tishio.
Baada ya hayo, unaweza kuchuja kumbukumbu kwa kiwango cha uhakiki wa tishio (Ukali), na vile vile kwa Kiwango cha Kujiamini (kutegemewa kwa majibu):
Baada ya kupanua tukio ambalo tunavutiwa nalo, tunaweza kufahamiana na maelezo ya jumla (src, dst, ukali, mtumaji, n.k.):
Na hapo unaweza kuona sehemu Utabiri na inapatikana Muhtasari ripoti. Kuibofya kutafungua uchanganuzi wa kina wa programu hasidi katika mfumo wa ukurasa unaoingiliana wa HTML:
(Hii ni sehemu ya ukurasa. )
Kutoka kwa ripoti hiyo hiyo, tunaweza kupakua programu hasidi asili (katika kumbukumbu iliyolindwa na nenosiri), au wasiliana mara moja na timu ya majibu ya Check Point.
Chini kidogo unaweza kuona uhuishaji mzuri unaoonyesha katika maneno asilimia ambayo tayari inajulikana msimbo hasidi mfano wetu unao sawa (ikiwa ni pamoja na msimbo wenyewe na macros). Takwimu hizi hutolewa kwa kutumia mashine ya kujifunza katika Wingu la Tishio la Check Point.
Kisha unaweza kuona ni shughuli gani hasa kwenye kisanduku cha mchanga zilituruhusu kuhitimisha kuwa faili hii ni hasidi. Katika kesi hii, tunaona matumizi ya mbinu za bypass na jaribio la kupakua ransomware:
Inaweza kuzingatiwa kuwa katika kesi hii, uigaji ulifanyika katika mifumo miwili (Win 7, Win XP) na matoleo tofauti ya programu (Ofisi, Adobe). Hapo chini kuna video (onyesho la slaidi) na mchakato wa kufungua faili hii kwenye sanduku la mchanga:
Video ya mfano:
Mwishoni kabisa tunaweza kuona kwa undani jinsi shambulio hilo lilivyokua. Ama katika umbo la jedwali au kielelezo:
Huko tunaweza kupakua maelezo haya katika umbizo la RAW na faili ya pcap kwa uchanganuzi wa kina wa trafiki inayozalishwa katika Wireshark:
Hitimisho
Kutumia habari hii, unaweza kuimarisha kwa kiasi kikubwa ulinzi wa mtandao wako. Zuia wapangishi wa usambazaji wa virusi, funga athari zinazotumiwa, zuia maoni yanayoweza kutokea kutoka kwa C&C na mengine mengi. Uchambuzi huu haupaswi kupuuzwa.
Katika makala zifuatazo, tutaangalia vile vile ripoti za Wakala wa SandBlast, SnadBlast Mobile, pamoja na CloudGiard SaaS. Kwa hivyo subiri (, , , )!
Chanzo: mapenzi.com