ஒரு பாதுகாப்பு கருவியாக துளை - 2, அல்லது "நேரடி தூண்டில்" APT ஐ எவ்வாறு பிடிப்பது

(தலைப்பு யோசனைக்கு செர்ஜி ஜி. ப்ரெஸ்டருக்கு நன்றி sebres)

சக ஊழியர்களே, டிசெப்ஷன் தொழில்நுட்பங்களின் அடிப்படையில் ஒரு புதிய வகை IDS தீர்வுகளின் ஒரு வருட கால சோதனை செயல்பாட்டின் அனுபவத்தைப் பகிர்வதே இந்தக் கட்டுரையின் நோக்கமாகும்.

பொருளின் விளக்கக்காட்சியின் தர்க்கரீதியான ஒத்திசைவை பராமரிக்க, வளாகத்துடன் தொடங்குவது அவசியம் என்று நான் கருதுகிறேன். எனவே, பிரச்சனை:

1. அச்சுறுத்தல்களின் மொத்த எண்ணிக்கையில் அவற்றின் பங்கு சிறியதாக இருந்தாலும், இலக்கு தாக்குதல்கள் மிகவும் ஆபத்தான தாக்குதல் வகையாகும்.
2. சுற்றளவைப் பாதுகாப்பதற்கான உத்தரவாதமான பயனுள்ள வழிமுறைகள் (அல்லது அத்தகைய வழிமுறைகளின் தொகுப்பு) இதுவரை கண்டுபிடிக்கப்படவில்லை.
3. ஒரு விதியாக, இலக்கு தாக்குதல்கள் பல கட்டங்களில் நடைபெறுகின்றன. சுற்றளவைக் கடப்பது ஆரம்ப கட்டங்களில் ஒன்றாகும், இது (நீங்கள் என் மீது கற்களை எறியலாம்) "பாதிக்கப்பட்டவருக்கு" அதிக சேதத்தை ஏற்படுத்தாது, நிச்சயமாக, இது ஒரு DEoS (சேவையின் அழிவு) தாக்குதல் (மறைகுறியாக்கிகள் போன்றவை). .). உண்மையான "வலி" பின்னர் தொடங்குகிறது, கைப்பற்றப்பட்ட சொத்துக்கள் ஒரு "ஆழம்" தாக்குதலை முன்னெடுப்பதற்கும் உருவாக்குவதற்கும் பயன்படுத்தத் தொடங்கும் போது, ​​இதை நாங்கள் கவனிக்கவில்லை.
4. தாக்குதல் நடத்துபவர்கள் இறுதியாக தாக்குதலின் இலக்குகளை (பயன்பாட்டு சேவையகங்கள், DBMS, தரவுக் கிடங்குகள், களஞ்சியங்கள், முக்கியமான உள்கட்டமைப்பு கூறுகள்) அடையும் போது நாம் உண்மையான இழப்புகளைச் சந்திக்கத் தொடங்குவதால், தகவல் பாதுகாப்புச் சேவையின் பணிகளில் ஒன்று தாக்குதல்களுக்கு முன் குறுக்கிடுவது தர்க்கரீதியானது. இந்த சோக நிகழ்வு. ஆனால் எதையாவது குறுக்கிட, நீங்கள் முதலில் அதைப் பற்றி கண்டுபிடிக்க வேண்டும். மற்றும் விரைவில், சிறந்தது.
5. அதன்படி, வெற்றிகரமான இடர் மேலாண்மைக்கு (அதாவது, இலக்கு வைக்கப்பட்ட தாக்குதல்களால் ஏற்படும் சேதத்தைக் குறைத்தல்), குறைந்தபட்ச TTDயை (கண்டறியும் நேரம் - ஊடுருவும் தருணத்திலிருந்து தாக்குதல் கண்டறியப்படும் நேரம் வரை) வழங்கும் கருவிகளை வைத்திருப்பது மிகவும் முக்கியமானது. தொழில் மற்றும் பிராந்தியத்தைப் பொறுத்து, இந்த காலம் அமெரிக்காவில் சராசரியாக 99 நாட்கள், EMEA பகுதியில் 106 நாட்கள், APAC பிராந்தியத்தில் 172 நாட்கள் (M-Trends 2017, A view From the Front Lines, Mandiant).
6. சந்தை என்ன வழங்குகிறது?
   • "சாண்ட்பாக்ஸ்கள்". மற்றொரு தடுப்பு கட்டுப்பாடு, இது இலட்சியத்திலிருந்து வெகு தொலைவில் உள்ளது. சாண்ட்பாக்ஸ்கள் அல்லது ஏற்புப்பட்டியல் தீர்வுகளைக் கண்டறிவதற்கும் புறக்கணிப்பதற்கும் பல பயனுள்ள நுட்பங்கள் உள்ளன. "இருண்ட பக்கத்திலிருந்து" வந்தவர்கள் இன்னும் ஒரு படி மேலே இருக்கிறார்கள்.
   • UEBA (நடத்தை விவரக்குறிப்பு மற்றும் விலகல்களை அடையாளம் காணும் அமைப்புகள்) - கோட்பாட்டில், மிகவும் பயனுள்ளதாக இருக்கும். ஆனால், என் கருத்துப்படி, இது தொலைதூர எதிர்காலத்தில். நடைமுறையில், இது இன்னும் விலை உயர்ந்தது, நம்பமுடியாதது மற்றும் மிகவும் முதிர்ந்த மற்றும் நிலையான தகவல் தொழில்நுட்பம் மற்றும் தகவல் பாதுகாப்பு உள்கட்டமைப்பு தேவைப்படுகிறது, இது நடத்தை பகுப்பாய்வுக்கான தரவை உருவாக்கும் அனைத்து கருவிகளையும் ஏற்கனவே கொண்டுள்ளது.
   • SIEM என்பது விசாரணைகளுக்கு ஒரு நல்ல கருவியாகும், ஆனால் அது புதிய மற்றும் அசல் ஒன்றை சரியான நேரத்தில் பார்க்கவும் காட்டவும் முடியாது, ஏனெனில் தொடர்பு விதிகள் கையொப்பங்களைப் போலவே இருக்கும்.

7. இதன் விளைவாக, ஒரு கருவி தேவை:
   • ஏற்கனவே சமரசம் செய்யப்பட்ட சுற்றளவு நிலைமைகளில் வெற்றிகரமாக வேலை செய்யப்பட்டது,
   • பயன்படுத்தப்பட்ட கருவிகள் மற்றும் பாதிப்புகளைப் பொருட்படுத்தாமல், நிகழ்நேரத்தில் வெற்றிகரமான தாக்குதல்களைக் கண்டறிந்தது,
   • கையொப்பங்கள் / விதிகள் / ஸ்கிரிப்டுகள் / கொள்கைகள் / சுயவிவரங்கள் மற்றும் பிற நிலையான விஷயங்களைச் சார்ந்து இல்லை,
   • பகுப்பாய்விற்கு பெரிய அளவிலான தரவு மற்றும் அவற்றின் ஆதாரங்கள் தேவையில்லை,
   • "உலகின் சிறந்த, காப்புரிமை பெற்ற மற்றும் மூடப்பட்ட கணிதத்தின்" வேலையின் விளைவாக தாக்குதல்களை ஒருவித ஆபத்து-மதிப்பீடு என வரையறுக்க முடியாது, இதற்கு கூடுதல் விசாரணை தேவைப்படுகிறது, ஆனால் நடைமுறையில் ஒரு பைனரி நிகழ்வாக - "ஆம், நாங்கள் தாக்கப்படுகிறோம்" அல்லது "இல்லை, எல்லாம் சரியாக உள்ளது",
   • பயன்படுத்தப்படும் இயற்பியல் மற்றும் தருக்க நெட்வொர்க் டோபாலஜியைப் பொருட்படுத்தாமல், உலகளாவிய, திறமையாக அளவிடக்கூடியது மற்றும் எந்தவொரு பன்முக சூழலிலும் செயல்படுத்தக்கூடியதாக இருந்தது.

ஏமாற்று தீர்வுகள் என்று அழைக்கப்படுபவை இப்போது அத்தகைய கருவியின் பாத்திரத்திற்காக போட்டியிடுகின்றன. அதாவது, ஹனிபாட்களின் நல்ல பழைய கருத்தை அடிப்படையாகக் கொண்ட தீர்வுகள், ஆனால் முற்றிலும் மாறுபட்ட அளவிலான செயலாக்கத்துடன். இந்த தலைப்பு நிச்சயமாக இப்போது அதிகரித்து வருகிறது.

முடிவுகளின் படி கார்ட்னர் பாதுகாப்பு மற்றும் ரிஸ்க் மேலாண்மை உச்சிமாநாடு 2017 பயன்படுத்த பரிந்துரைக்கப்படும் TOP 3 உத்திகள் மற்றும் கருவிகளில் ஏமாற்று தீர்வுகள் சேர்க்கப்பட்டுள்ளன.

அறிக்கையின்படி TAG சைபர் செக்யூரிட்டி ஆண்டு 2017 ஐடிஎஸ் ஊடுருவல் கண்டறிதல் அமைப்புகள்) தீர்வுகளின் வளர்ச்சியின் முக்கிய திசைகளில் ஒன்று ஏமாற்றுதல்.

பிந்தைய ஒரு முழு பகுதி சிஸ்கோ மாநில தகவல் தொழில்நுட்ப பாதுகாப்பு அறிக்கை, SCADA க்கு அர்ப்பணிக்கப்பட்டது, இந்த சந்தையில் உள்ள தலைவர்களில் ஒருவரான ட்ராப்எக்ஸ் செக்யூரிட்டி (இஸ்ரேல்) தரவை அடிப்படையாகக் கொண்டது, இதன் தீர்வு ஒரு வருடமாக எங்கள் சோதனைப் பகுதியில் செயல்படுகிறது.

ட்ராப்எக்ஸ் டிசெப்ஷன் கிரிட், வன்பொருள் ஆதாரங்களுக்கான உரிமச் சுமை மற்றும் தேவைகளை அதிகரிக்காமல், பெருமளவில் விநியோகிக்கப்பட்ட ஐடிஎஸ்களை மையமாகச் செலவழித்து இயக்க அனுமதிக்கிறது. உண்மையில், ட்ராப்எக்ஸ் என்பது ஒரு கட்டமைப்பாளர் ஆகும், இது தற்போதுள்ள ஐடி உள்கட்டமைப்பின் கூறுகளிலிருந்து ஒரு நிறுவன அளவிலான தாக்குதல்களைக் கண்டறிவதற்கான ஒரு பெரிய பொறிமுறையை உருவாக்க உங்களை அனுமதிக்கிறது, இது ஒரு வகையான விநியோகிக்கப்பட்ட நெட்வொர்க் “அலாரம்”.

தீர்வு அமைப்பு

எங்கள் ஆய்வகத்தில் ஐடி பாதுகாப்புத் துறையில் பல்வேறு புதிய தயாரிப்புகளை நாங்கள் தொடர்ந்து ஆய்வு செய்து சோதனை செய்கிறோம். தற்போது, ​​ட்ராப்எக்ஸ் டிசெப்ஷன் கிரிட் கூறுகள் உட்பட சுமார் 50 வெவ்வேறு மெய்நிகர் சேவையகங்கள் இங்கு பயன்படுத்தப்படுகின்றன.

எனவே, மேலிருந்து கீழாக:

1. TSOC (TrapX Security Operation Console) என்பது அமைப்பின் மூளை. இது மைய மேலாண்மை கன்சோல் ஆகும், இதன் மூலம் உள்ளமைவு, தீர்வின் வரிசைப்படுத்தல் மற்றும் அனைத்து தினசரி செயல்பாடுகளும் மேற்கொள்ளப்படுகின்றன. இது ஒரு இணையச் சேவை என்பதால், இது எங்கும் பயன்படுத்தப்படலாம் - சுற்றளவு, கிளவுட் அல்லது MSSP வழங்குநர்.
2. ட்ராப்எக்ஸ் அப்ளையன்ஸ் (டிஎஸ்ஏ) என்பது ஒரு மெய்நிகர் சேவையகமாகும், இதில் நாம் கண்காணிப்புடன் மறைக்க விரும்பும் சப்நெட்களை டிரங்க் போர்ட்டைப் பயன்படுத்தி இணைக்கிறோம். மேலும், எங்களின் அனைத்து நெட்வொர்க் சென்சார்களும் உண்மையில் இங்கே "நேரடி".

   எங்கள் ஆய்வகத்தில் ஒரு TSA பயன்படுத்தப்பட்டுள்ளது (mwsapp1), ஆனால் உண்மையில் பல இருக்கலாம். பிரிவுகளுக்கு இடையே L2 இணைப்பு இல்லாத பெரிய நெட்வொர்க்குகளில் இது அவசியமாக இருக்கலாம் (ஒரு பொதுவான உதாரணம் "ஹோல்டிங் மற்றும் துணை நிறுவனங்கள்" அல்லது "வங்கி தலைமை அலுவலகம் மற்றும் கிளைகள்") அல்லது நெட்வொர்க்கில் தனிமைப்படுத்தப்பட்ட பிரிவுகள் இருந்தால், எடுத்துக்காட்டாக, தானியங்கு செயல்முறை கட்டுப்பாட்டு அமைப்புகள். அத்தகைய ஒவ்வொரு கிளை/பிரிவிலும், நீங்கள் உங்கள் சொந்த TSA-ஐ வரிசைப்படுத்தலாம் மற்றும் ஒரு TSOC உடன் இணைக்கலாம், அங்கு அனைத்து தகவல்களும் மையமாக செயலாக்கப்படும். நெட்வொர்க்கை தீவிரமாக மறுகட்டமைக்கவோ அல்லது ஏற்கனவே உள்ள பிரிவை சீர்குலைக்கவோ தேவையில்லாமல் விநியோகிக்கப்பட்ட கண்காணிப்பு அமைப்புகளை உருவாக்க இந்த கட்டமைப்பு உங்களை அனுமதிக்கிறது.

   மேலும், TAP/SPAN வழியாக TSAக்கு வெளிச்செல்லும் போக்குவரத்தின் நகலை சமர்ப்பிக்கலாம். அறியப்பட்ட போட்நெட்டுகள், கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகங்கள் அல்லது TOR அமர்வுகளுடன் இணைப்புகளைக் கண்டறிந்தால், முடிவையும் கன்சோலில் பெறுவோம். Network Intelligence Sensor (NIS) இதற்கு பொறுப்பாகும். எங்கள் சூழலில், இந்த செயல்பாடு ஃபயர்வாலில் செயல்படுத்தப்படுகிறது, எனவே நாங்கள் அதை இங்கே பயன்படுத்தவில்லை.

3. பயன்பாட்டு பொறிகள் (முழு ஓஎஸ்) - விண்டோஸ் சர்வர்களை அடிப்படையாகக் கொண்ட பாரம்பரிய ஹனிபாட்கள். இந்த சேவையகங்களின் முக்கிய நோக்கம் சென்சார்களின் அடுத்த அடுக்குக்கு IT சேவைகளை வழங்குவதோ அல்லது Windows சூழலில் பயன்படுத்தப்படும் வணிக பயன்பாடுகள் மீதான தாக்குதல்களைக் கண்டறிவதோ என்பதால், அவற்றில் பல உங்களுக்குத் தேவையில்லை. எங்கள் ஆய்வகத்தில் (FOS01) இதுபோன்ற ஒரு சேவையகத்தை நிறுவியுள்ளோம்.

   

4. எமுலேட்டட் பொறிகள் தீர்வின் முக்கிய அங்கமாகும், இது ஒரு ஒற்றை மெய்நிகர் இயந்திரத்தைப் பயன்படுத்தி, தாக்குபவர்களுக்கு மிகவும் அடர்த்தியான “மின்நிலையத்தை” உருவாக்கவும், நிறுவன நெட்வொர்க்கை, அதன் அனைத்து விலான்களையும் எங்கள் சென்சார்களுடன் நிறைவு செய்யவும் அனுமதிக்கிறது. தாக்குபவர் அத்தகைய சென்சார் அல்லது பாண்டம் ஹோஸ்டை உண்மையான Windows PC அல்லது சர்வர், Linux சர்வர் அல்லது வேறு சாதனமாக பார்க்கிறார்.

   
   
   வணிகத்தின் நன்மைக்காகவும் ஆர்வத்திற்காகவும், "ஒவ்வொரு உயிரினத்திலும் ஒரு ஜோடி" - விண்டோஸ் பிசிக்கள் மற்றும் பல்வேறு பதிப்புகளின் சர்வர்கள், லினக்ஸ் சர்வர்கள், விண்டோஸ் உட்பொதிக்கப்பட்ட ஏடிஎம், ஸ்விஃப்ட் வெப் அக்சஸ், நெட்வொர்க் பிரிண்டர், சிஸ்கோ சுவிட்ச், ஒரு ஆக்சிஸ் ஐபி கேமரா, ஒரு மேக்புக், பிஎல்சி-சாதனம் மற்றும் ஒரு ஸ்மார்ட் லைட் பல்ப். மொத்தம் 13 ஹோஸ்ட்கள் உள்ளன. பொதுவாக, விற்பனையாளர் உண்மையான ஹோஸ்ட்களின் எண்ணிக்கையில் குறைந்தது 10% அளவில் இத்தகைய சென்சார்களைப் பயன்படுத்த பரிந்துரைக்கிறார். மேல் பட்டியில் கிடைக்கும் முகவரி இடம்.

   ஒரு மிக முக்கியமான விஷயம் என்னவென்றால், அத்தகைய ஒவ்வொரு ஹோஸ்டும் வளங்கள் மற்றும் உரிமங்கள் தேவைப்படும் முழு அளவிலான மெய்நிகர் இயந்திரம் அல்ல. இது ஒரு டிகோய், எமுலேஷன், TSA இல் ஒரு செயல்முறை ஆகும், இது அளவுருக்கள் மற்றும் ஒரு ஐபி முகவரியைக் கொண்டுள்ளது. எனவே, ஒரு TSA இன் உதவியுடன் கூட, இதுபோன்ற நூற்றுக்கணக்கான பாண்டம் ஹோஸ்ட்களுடன் பிணையத்தை நிறைவு செய்யலாம், இது அலாரம் அமைப்பில் சென்சார்களாக செயல்படும். எந்தவொரு பெரிய விநியோகிக்கப்பட்ட நிறுவனத்திலும் ஹனிபாட் கருத்தை செலவு குறைந்த அளவில் அளவிடுவது இந்தத் தொழில்நுட்பம்தான்.

   தாக்குபவர்களின் பார்வையில், இந்த ஹோஸ்ட்கள் கவர்ச்சிகரமானவை, ஏனெனில் அவை பாதிப்புகளைக் கொண்டிருக்கின்றன மற்றும் ஒப்பீட்டளவில் எளிதான இலக்குகளாகத் தோன்றுகின்றன. தாக்குபவர் இந்த ஹோஸ்ட்களில் உள்ள சேவைகளைப் பார்க்கிறார், மேலும் அவர்களுடன் தொடர்பு கொள்ளலாம் மற்றும் நிலையான கருவிகள் மற்றும் நெறிமுறைகளைப் பயன்படுத்தி அவற்றைத் தாக்கலாம் (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, முதலியன). ஆனால் தாக்குதலை உருவாக்க அல்லது உங்கள் சொந்த குறியீட்டை இயக்க இந்த ஹோஸ்ட்களைப் பயன்படுத்த முடியாது.

5. இந்த இரண்டு தொழில்நுட்பங்களின் (FullOS மற்றும் emulated traps) கலவையானது, தாக்குபவர் விரைவில் அல்லது பின்னர் நமது சிக்னலிங் நெட்வொர்க்கின் சில கூறுகளை சந்திப்பதற்கான உயர் புள்ளியியல் நிகழ்தகவை அடைய அனுமதிக்கிறது. ஆனால் இந்த நிகழ்தகவு 100%க்கு அருகில் இருப்பதை எப்படி உறுதி செய்வது?

   ஏமாற்று டோக்கன்கள் என்று அழைக்கப்படுபவை போரில் நுழைகின்றன. அவர்களுக்கு நன்றி, எங்கள் விநியோகிக்கப்பட்ட ஐடிஎஸ்ஸில் தற்போதுள்ள பிசிக்கள் மற்றும் நிறுவனத்தின் சர்வர்களைச் சேர்க்கலாம். பயனர்களின் உண்மையான கணினிகளில் டோக்கன்கள் வைக்கப்படுகின்றன. டோக்கன்கள் வளங்களை நுகரும் மற்றும் மோதல்களை ஏற்படுத்தும் முகவர்கள் அல்ல என்பதை புரிந்து கொள்ள வேண்டியது அவசியம். டோக்கன்கள் செயலற்ற தகவல் கூறுகள், தாக்கும் பக்கத்திற்கான ஒரு வகையான "ரொட்டிதூள்கள்" அதை ஒரு பொறிக்குள் கொண்டு செல்லும். எடுத்துக்காட்டாக, மேப் செய்யப்பட்ட நெட்வொர்க் டிரைவ்கள், பிரவுசரில் உள்ள போலி வெப் அட்மின்களுக்கான புக்மார்க்குகள் மற்றும் அவர்களுக்கான பாஸ்வேர்டுகளை சேமித்தல், சேமித்த ssh/rdp/winscp அமர்வுகள், ஹோஸ்ட் கோப்புகளில் உள்ள கருத்துகள் கொண்ட எங்கள் பொறிகள், நினைவகத்தில் சேமிக்கப்பட்ட கடவுச்சொற்கள், இல்லாத பயனர்களின் சான்றுகள், அலுவலகம் கோப்புகள், திறப்பது கணினியைத் தூண்டும், மேலும் பல. இவ்வாறு, தாக்குபவர்களை ஒரு சிதைந்த சூழலில் வைக்கிறோம், தாக்குதல் திசையன்களால் நிறைவுற்றது, அது உண்மையில் நமக்கு அச்சுறுத்தலை ஏற்படுத்தாது, மாறாக அதற்கு நேர்மாறானது. மேலும் அந்தத் தகவல் எங்கு உண்மை, எங்கே பொய் என்று தீர்மானிக்க அவருக்கு வழி இல்லை. எனவே, தாக்குதலை விரைவாகக் கண்டறிவதை உறுதிசெய்வது மட்டுமல்லாமல், அதன் முன்னேற்றத்தை கணிசமாகக் குறைக்கிறோம்.

நெட்வொர்க் பொறியை உருவாக்கி டோக்கன்களை அமைப்பதற்கான எடுத்துக்காட்டு. நட்பு இடைமுகம் மற்றும் கட்டமைப்புகள், ஸ்கிரிப்டுகள் போன்றவற்றின் கைமுறை எடிட்டிங் இல்லை.

எங்கள் சூழலில், FOS01 இல் Windows Server 2012R2 இயங்கும் FOS7 மற்றும் Windows XNUMX இல் இயங்கும் சோதனை PC ஆகியவற்றில் இதுபோன்ற பல டோக்கன்களை உள்ளமைத்து வைத்துள்ளோம். RDP இந்த கணினிகளில் இயங்குகிறது, மேலும் அவற்றை அவ்வப்போது DMZ இல் "தொங்குகிறோம்", அங்கு எங்கள் பல சென்சார்கள் உள்ளன. (முன்மாதிரி பொறிகள்) காட்டப்படும். எனவே இயற்கையாகவே பேசுவதற்கு சம்பவங்களின் தொடர்ச்சியான ஸ்ட்ரீமைப் பெறுகிறோம்.

எனவே, ஆண்டிற்கான சில விரைவான புள்ளிவிவரங்கள் இங்கே:

56 - பதிவு செய்யப்பட்ட சம்பவங்கள்,
2 - தாக்குதல் மூல ஹோஸ்ட்கள் கண்டறியப்பட்டது.

ஊடாடும், கிளிக் செய்யக்கூடிய தாக்குதல் வரைபடம்

அதே நேரத்தில், தீர்வு சில வகையான மெகா-லாக் அல்லது நிகழ்வு ஊட்டத்தை உருவாக்காது, இது புரிந்து கொள்ள நீண்ட நேரம் எடுக்கும். அதற்கு பதிலாக, தீர்வு நிகழ்வுகளை அவற்றின் வகைகளின்படி வகைப்படுத்துகிறது மற்றும் தகவல் பாதுகாப்புக் குழுவை முதன்மையாக மிகவும் ஆபத்தானவற்றில் கவனம் செலுத்த அனுமதிக்கிறது - தாக்குபவர் கட்டுப்பாட்டு அமர்வுகளை (இன்டராக்ஷன்) உயர்த்த முயற்சிக்கும்போது அல்லது பைனரி பேலோடுகள் (தொற்று) எங்கள் போக்குவரத்தில் தோன்றும் போது.

நிகழ்வுகள் பற்றிய அனைத்து தகவல்களும் படிக்கக்கூடியவை மற்றும் வழங்கப்படுகின்றன, என் கருத்துப்படி, தகவல் பாதுகாப்பு துறையில் அடிப்படை அறிவைக் கொண்ட ஒரு பயனருக்கு கூட எளிதில் புரிந்துகொள்ளக்கூடிய படிவத்தில்.

பதிவுசெய்யப்பட்ட சம்பவங்களில் பெரும்பாலானவை எங்கள் ஹோஸ்ட்கள் அல்லது ஒற்றை இணைப்புகளை ஸ்கேன் செய்வதற்கான முயற்சிகளாகும்.

அல்லது RDP க்கான முரட்டுத்தனமான கடவுச்சொற்களை முயற்சிக்கும்

ஆனால் மிகவும் சுவாரஸ்யமான நிகழ்வுகளும் இருந்தன, குறிப்பாக தாக்குபவர்கள் RDP க்கான கடவுச்சொல்லை யூகிக்கவும் உள்ளூர் நெட்வொர்க்கிற்கான அணுகலைப் பெறவும் "நிர்வகித்தனர்".

தாக்குபவர் psexec ஐப் பயன்படுத்தி குறியீட்டை இயக்க முயற்சிக்கிறார்.

தாக்குபவர் ஒரு சேமித்த அமர்வைக் கண்டுபிடித்தார், இது அவரை லினக்ஸ் சேவையக வடிவில் ஒரு பொறிக்குள் இட்டுச் சென்றது. இணைக்கப்பட்ட உடனேயே, முன்பே தயாரிக்கப்பட்ட கட்டளைகளின் தொகுப்புடன், அனைத்து பதிவு கோப்புகளையும் தொடர்புடைய கணினி மாறிகளையும் அழிக்க முயற்சித்தது.

SWIFT இணைய அணுகலைப் பின்பற்றும் ஒரு ஹனிபாட் மீது SQL ஊசியைச் செயல்படுத்த தாக்குபவர் முயற்சிக்கிறார்.

இத்தகைய "இயற்கை" தாக்குதல்களுக்கு கூடுதலாக, நாங்கள் எங்கள் சொந்த சோதனைகள் பலவற்றையும் நடத்தினோம். நெட்வொர்க்கில் நெட்வொர்க் புழுவைக் கண்டறியும் நேரத்தைச் சோதிப்பது மிகவும் வெளிப்படுத்தும் ஒன்றாகும். இதைச் செய்ய, GuardiCore என்ற கருவியைப் பயன்படுத்தினோம் தொற்று குரங்கு. இது விண்டோஸ் மற்றும் லினக்ஸைக் கடத்தக்கூடிய பிணையப் புழு, ஆனால் எந்த "பேலோட்" இல்லாமல்.
நாங்கள் ஒரு உள்ளூர் கட்டளை மையத்தைப் பயன்படுத்தினோம், ஒரு இயந்திரத்தில் புழுவின் முதல் நிகழ்வைத் தொடங்கினோம், மேலும் ஒன்றரை நிமிடங்களுக்குள் TrapX கன்சோலில் முதல் எச்சரிக்கையைப் பெற்றோம். TTD 90 வினாடிகள் மற்றும் சராசரியாக 106 நாட்கள்...

மற்ற வகை தீர்வுகளுடன் ஒருங்கிணைக்கும் திறனுக்கு நன்றி, அச்சுறுத்தல்களை விரைவாகக் கண்டறிவதில் இருந்து தானாகவே அவற்றுக்கு பதிலளிப்பதற்கு நாம் செல்லலாம்.

எடுத்துக்காட்டாக, NAC (நெட்வொர்க் அணுகல் கட்டுப்பாடு) அமைப்புகளுடன் அல்லது CarbonBlack உடன் ஒருங்கிணைப்பது, சமரசம் செய்யப்பட்ட PCகளை நெட்வொர்க்கிலிருந்து தானாகவே துண்டிக்க உங்களை அனுமதிக்கும்.

சாண்ட்பாக்ஸுடனான ஒருங்கிணைப்பு தாக்குதலில் ஈடுபட்ட கோப்புகளை பகுப்பாய்வுக்காக தானாகவே சமர்ப்பிக்க அனுமதிக்கிறது.

McAfee ஒருங்கிணைப்பு

தீர்வு அதன் சொந்த உள்ளமைக்கப்பட்ட நிகழ்வு தொடர்பு அமைப்பையும் கொண்டுள்ளது.

ஆனால் அதன் திறன்களில் நாங்கள் திருப்தி அடையவில்லை, எனவே நாங்கள் அதை HP ArcSight உடன் ஒருங்கிணைத்தோம்.

உள்ளமைக்கப்பட்ட டிக்கெட் அமைப்பு உலகம் முழுவதும் கண்டறியப்பட்ட அச்சுறுத்தல்களைச் சமாளிக்க உதவுகிறது.

அரசாங்க நிறுவனங்கள் மற்றும் ஒரு பெரிய கார்ப்பரேட் பிரிவின் தேவைகளுக்காக "ஆரம்பத்தில் இருந்தே" தீர்வு உருவாக்கப்பட்டதால், இது இயற்கையாகவே பங்கு அடிப்படையிலான அணுகல் மாதிரி, AD உடன் ஒருங்கிணைத்தல், அறிக்கைகள் மற்றும் தூண்டுதல்கள் (நிகழ்வு விழிப்பூட்டல்கள்), ஆர்கெஸ்ட்ரேஷன் ஆகியவற்றின் வளர்ந்த அமைப்பு ஆகியவற்றை செயல்படுத்துகிறது. பெரிய ஹோல்டிங் கட்டமைப்புகள் அல்லது MSSP வழங்குநர்கள்.

ஒரு விண்ணப்பத்திற்கு பதிலாக

அத்தகைய கண்காணிப்பு அமைப்பு இருந்தால், அடையாளப்பூர்வமாகப் பேசினால், நம் முதுகை மறைக்கிறது, பின்னர் சுற்றளவு சமரசத்துடன் எல்லாம் தொடங்குகிறது. மிக முக்கியமான விஷயம் என்னவென்றால், தகவல் பாதுகாப்பு சம்பவங்களைச் சமாளிக்க ஒரு உண்மையான வாய்ப்பு உள்ளது, அவற்றின் விளைவுகளைச் சமாளிக்க அல்ல.

ஆதாரம்: www.habr.com