హోల్‌గా సేఫ్టీ టూల్ – 2, లేదా “లైవ్ బైట్‌తో” APTని ఎలా పట్టుకోవాలి

(శీర్షిక ఆలోచనకు సెర్గీ జి. బ్రెస్టర్‌కి ధన్యవాదాలు సెబ్రేస్)

సహోద్యోగులారా, డిసెప్షన్ టెక్నాలజీల ఆధారంగా ఒక కొత్త తరగతి IDS సొల్యూషన్‌ల యొక్క ఏడాది పొడవునా టెస్ట్ ఆపరేషన్ అనుభవాన్ని పంచుకోవడం ఈ కథనం యొక్క ఉద్దేశ్యం.

పదార్థం యొక్క ప్రదర్శన యొక్క తార్కిక పొందికను నిర్వహించడానికి, ప్రాంగణంలో ప్రారంభించాల్సిన అవసరం ఉందని నేను భావిస్తున్నాను. కాబట్టి, సమస్య:

1. మొత్తం బెదిరింపుల సంఖ్యలో వారి వాటా తక్కువగా ఉన్నప్పటికీ, లక్ష్య దాడులు అత్యంత ప్రమాదకరమైన దాడి.
2. చుట్టుకొలతను (లేదా అటువంటి మార్గాల సమితి) రక్షించడానికి హామీ ఇవ్వబడిన ప్రభావవంతమైన మార్గాలు ఇంకా కనుగొనబడలేదు.
3. నియమం ప్రకారం, లక్ష్య దాడులు అనేక దశల్లో జరుగుతాయి. చుట్టుకొలతను అధిగమించడం అనేది ప్రారంభ దశల్లో ఒకటి మాత్రమే, ఇది (మీరు నాపై రాళ్లు విసరవచ్చు) “బాధితుడికి” పెద్దగా నష్టం కలిగించదు, అయితే, ఇది DEoS (సేవ విధ్వంసం) దాడి (ఎన్‌క్రిప్టర్లు మొదలైనవి). .) నిజమైన "నొప్పి" తరువాత ప్రారంభమవుతుంది, స్వాధీనం చేసుకున్న ఆస్తులు "లోతు" దాడిని పివోటింగ్ చేయడానికి మరియు అభివృద్ధి చేయడానికి ఉపయోగించడం ప్రారంభించినప్పుడు మరియు మేము దీనిని గమనించలేదు.
4. దాడి చేసేవారు చివరకు దాడి లక్ష్యాలను (అప్లికేషన్ సర్వర్లు, DBMS, డేటా గిడ్డంగులు, రిపోజిటరీలు, క్లిష్టమైన మౌలిక సదుపాయాల అంశాలు) చేరుకున్నప్పుడు మేము నిజమైన నష్టాలను చవిచూడడం ప్రారంభించినందున, సమాచార భద్రతా సేవ యొక్క పనిలో ఒకటి ముందుగా దాడులకు అంతరాయం కలిగించడం తార్కికం. ఈ విచారకరమైన సంఘటన. కానీ ఏదైనా అంతరాయం కలిగించడానికి, మీరు మొదట దాని గురించి తెలుసుకోవాలి. మరియు ఎంత త్వరగా ఉంటే అంత మంచిది.
5. తదనుగుణంగా, విజయవంతమైన రిస్క్ మేనేజ్‌మెంట్ కోసం (అనగా, లక్షిత దాడుల నుండి నష్టాన్ని తగ్గించడం), కనీస TTDని అందించే సాధనాలను కలిగి ఉండటం చాలా కీలకం (గుర్తించే సమయం - చొరబడిన క్షణం నుండి దాడిని గుర్తించే సమయం వరకు). పరిశ్రమ మరియు ప్రాంతంపై ఆధారపడి, ఈ వ్యవధి USలో సగటున 99 రోజులు, EMEA ప్రాంతంలో 106 రోజులు, APAC ప్రాంతంలో 172 రోజులు (M-Trends 2017, A view From the Front lines, Mandiant).
6. మార్కెట్ ఏమి అందిస్తుంది?
   • "శాండ్‌బాక్స్‌లు". మరొక నివారణ నియంత్రణ, ఇది ఆదర్శానికి దూరంగా ఉంది. శాండ్‌బాక్స్‌లను గుర్తించడం మరియు దాటవేయడం లేదా పరిష్కారాలను వైట్‌లిస్ట్ చేయడం కోసం అనేక ప్రభావవంతమైన పద్ధతులు ఉన్నాయి. "డార్క్ సైడ్" నుండి వచ్చిన కుర్రాళ్ళు ఇప్పటికీ ఇక్కడ ఒక అడుగు ముందున్నారు.
   • UEBA (ప్రొఫైలింగ్ ప్రవర్తన మరియు విచలనాలను గుర్తించే వ్యవస్థలు) - సిద్ధాంతపరంగా, చాలా ప్రభావవంతంగా ఉంటుంది. కానీ, నా అభిప్రాయం ప్రకారం, ఇది సుదూర భవిష్యత్తులో. ఆచరణలో, ఇది ఇప్పటికీ చాలా ఖరీదైనది, నమ్మదగనిది మరియు చాలా పరిణతి చెందిన మరియు స్థిరమైన IT మరియు సమాచార భద్రతా మౌలిక సదుపాయాలు అవసరం, ఇది ప్రవర్తనా విశ్లేషణ కోసం డేటాను రూపొందించే అన్ని సాధనాలను ఇప్పటికే కలిగి ఉంది.
   • పరిశోధనల కోసం SIEM ఒక మంచి సాధనం, కానీ ఇది కొత్త మరియు అసలైన వాటిని సకాలంలో చూడలేకపోతుంది, ఎందుకంటే సహసంబంధ నియమాలు సంతకాలు వలె ఉంటాయి.

7. ఫలితంగా, ఒక సాధనం అవసరం:
   • ఇప్పటికే రాజీపడిన చుట్టుకొలత పరిస్థితుల్లో విజయవంతంగా పనిచేశారు,
   • ఉపయోగించిన సాధనాలు మరియు దుర్బలత్వాలతో సంబంధం లేకుండా, సమీప నిజ సమయంలో విజయవంతమైన దాడులను గుర్తించింది,
   • సంతకాలు/నియమాలు/స్క్రిప్ట్‌లు/విధానాలు/ప్రొఫైళ్లు మరియు ఇతర స్థిరమైన విషయాలపై ఆధారపడలేదు,
   • విశ్లేషణ కోసం పెద్ద మొత్తంలో డేటా మరియు వాటి మూలాలు అవసరం లేదు,
   • "ప్రపంచంలో అత్యుత్తమమైన, పేటెంట్ పొందిన మరియు క్లోజ్డ్ మ్యాథమెటిక్స్" యొక్క పని ఫలితంగా దాడులను ఒక రకమైన రిస్క్-స్కోరింగ్‌గా నిర్వచించకుండా అనుమతిస్తుంది, దీనికి అదనపు పరిశోధన అవసరం, కానీ ఆచరణాత్మకంగా బైనరీ ఈవెంట్‌గా - “అవును, మాపై దాడి జరుగుతోంది" లేదా "లేదు, అంతా బాగానే ఉంది",
   • ఉపయోగించిన భౌతిక మరియు తార్కిక నెట్‌వర్క్ టోపోలాజీతో సంబంధం లేకుండా, సార్వత్రికమైనది, సమర్ధవంతంగా కొలవదగినది మరియు ఏదైనా భిన్నమైన వాతావరణంలో అమలు చేయడం సాధ్యపడుతుంది.

మోసపూరిత పరిష్కారాలు అని పిలవబడేవి ఇప్పుడు అలాంటి సాధనం పాత్ర కోసం పోటీ పడుతున్నాయి. అంటే, హనీపాట్‌ల యొక్క మంచి పాత భావనపై ఆధారపడిన పరిష్కారాలు, కానీ పూర్తిగా భిన్నమైన అమలు స్థాయితో ఉంటాయి. ఈ అంశం ఇప్పుడు ఖచ్చితంగా పెరుగుతోంది.

ఫలితాల ప్రకారం గార్ట్‌నర్ సెక్యూరిటీ & రిస్క్ మేనేజ్‌మెంట్ సమ్మిట్ 2017 ఉపయోగించాలని సిఫార్సు చేయబడిన TOP 3 వ్యూహాలు మరియు సాధనాల్లో మోసపూరిత పరిష్కారాలు చేర్చబడ్డాయి.

నివేదిక ప్రకారం TAG సైబర్‌ సెక్యూరిటీ వార్షిక 2017 IDS ఇంట్రూషన్ డిటెక్షన్ సిస్టమ్స్) పరిష్కారాల అభివృద్ధి యొక్క ప్రధాన దిశలలో మోసం ఒకటి.

తరువాతి మొత్తం విభాగం సిస్కో స్టేట్ ఆఫ్ IT సెక్యూరిటీ రిపోర్ట్, SCADAకి అంకితం చేయబడింది, ఈ మార్కెట్‌లోని నాయకులలో ఒకరైన ట్రాప్‌ఎక్స్ సెక్యూరిటీ (ఇజ్రాయెల్) నుండి వచ్చిన డేటా ఆధారంగా రూపొందించబడింది, దీని పరిష్కారం మా పరీక్ష ప్రాంతంలో ఒక సంవత్సరం పాటు పని చేస్తోంది.

ట్రాప్‌ఎక్స్ డిసెప్షన్ గ్రిడ్ లైసెన్సింగ్ లోడ్ మరియు హార్డ్‌వేర్ వనరుల అవసరాలను పెంచకుండా, భారీగా పంపిణీ చేయబడిన IDSని సెంట్రల్‌గా ఖర్చు చేయడానికి మరియు ఆపరేట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. వాస్తవానికి, ట్రాప్‌ఎక్స్ అనేది కన్స్ట్రక్టర్, ఇది ఇప్పటికే ఉన్న IT ఇన్‌ఫ్రాస్ట్రక్చర్ మూలకాల నుండి ఎంటర్‌ప్రైజ్-వైడ్ స్కేల్‌పై దాడులను గుర్తించడానికి ఒక పెద్ద మెకానిజంను సృష్టించడానికి మిమ్మల్ని అనుమతిస్తుంది, ఇది పంపిణీ చేయబడిన నెట్‌వర్క్ “అలారం”.

పరిష్కార నిర్మాణం

మా ప్రయోగశాలలో మేము IT భద్రతా రంగంలో వివిధ కొత్త ఉత్పత్తులను నిరంతరం అధ్యయనం చేస్తాము మరియు పరీక్షిస్తాము. ప్రస్తుతం, ట్రాప్‌ఎక్స్ డిసెప్షన్ గ్రిడ్ కాంపోనెంట్‌లతో సహా దాదాపు 50 విభిన్న వర్చువల్ సర్వర్లు ఇక్కడ అమలు చేయబడ్డాయి.

కాబట్టి, పై నుండి క్రిందికి:

1. TSOC (TrapX సెక్యూరిటీ ఆపరేషన్ కన్సోల్) అనేది సిస్టమ్ యొక్క మెదడు. ఇది సెంట్రల్ మేనేజ్‌మెంట్ కన్సోల్, దీని ద్వారా కాన్ఫిగరేషన్, పరిష్కారం యొక్క విస్తరణ మరియు అన్ని రోజువారీ కార్యకలాపాలు నిర్వహించబడతాయి. ఇది వెబ్ సేవ అయినందున, ఇది ఎక్కడైనా - చుట్టుకొలతలో, క్లౌడ్‌లో లేదా MSSP ప్రొవైడర్ వద్ద అమలు చేయబడుతుంది.
2. ట్రాప్‌ఎక్స్ ఉపకరణం (TSA) అనేది వర్చువల్ సర్వర్, దీనిలో మేము ట్రంక్ పోర్ట్‌ని ఉపయోగించి, మానిటరింగ్‌తో కవర్ చేయాలనుకుంటున్న సబ్‌నెట్‌లను ఉపయోగిస్తాము. అలాగే, మా అన్ని నెట్‌వర్క్ సెన్సార్‌లు వాస్తవానికి ఇక్కడ “ప్రత్యక్షంగా” ఉంటాయి.

   మా ల్యాబ్‌లో ఒక TSA అమలు చేయబడింది (mwsapp1), కానీ వాస్తవానికి చాలా ఉండవచ్చు. విభాగాల మధ్య L2 కనెక్టివిటీ లేని పెద్ద నెట్‌వర్క్‌లలో ఇది అవసరం కావచ్చు (ఒక సాధారణ ఉదాహరణ "హోల్డింగ్ మరియు అనుబంధ సంస్థలు" లేదా "బ్యాంక్ ప్రధాన కార్యాలయం మరియు శాఖలు") లేదా నెట్‌వర్క్‌లో వివిక్త విభాగాలు ఉంటే, ఉదాహరణకు, స్వయంచాలక ప్రక్రియ నియంత్రణ వ్యవస్థలు. అటువంటి ప్రతి శాఖ/విభాగంలో, మీరు మీ స్వంత TSAని అమలు చేయవచ్చు మరియు దానిని ఒకే TSOCకి కనెక్ట్ చేయవచ్చు, ఇక్కడ మొత్తం సమాచారం కేంద్రీయంగా ప్రాసెస్ చేయబడుతుంది. నెట్‌వర్క్‌ను సమూలంగా పునర్నిర్మించాల్సిన అవసరం లేకుండా లేదా ఇప్పటికే ఉన్న విభజనకు అంతరాయం కలిగించకుండా పంపిణీ చేయబడిన పర్యవేక్షణ వ్యవస్థలను రూపొందించడానికి ఈ నిర్మాణం మిమ్మల్ని అనుమతిస్తుంది.

   అలాగే, మేము TAP/SPAN ద్వారా TSAకి అవుట్‌గోయింగ్ ట్రాఫిక్ కాపీని సమర్పించవచ్చు. మేము తెలిసిన బోట్‌నెట్‌లు, కమాండ్ మరియు కంట్రోల్ సర్వర్లు లేదా TOR సెషన్‌లతో కనెక్షన్‌లను గుర్తిస్తే, మేము కన్సోల్‌లో ఫలితాన్ని కూడా స్వీకరిస్తాము. నెట్‌వర్క్ ఇంటెలిజెన్స్ సెన్సార్ (NIS) దీనికి బాధ్యత వహిస్తుంది. మన వాతావరణంలో, ఈ ఫంక్షనాలిటీ ఫైర్‌వాల్‌పై అమలు చేయబడుతుంది, కాబట్టి మేము దీన్ని ఇక్కడ ఉపయోగించలేదు.

3. అప్లికేషన్ ట్రాప్స్ (పూర్తి OS) - విండోస్ సర్వర్‌ల ఆధారంగా సాంప్రదాయ హనీపాట్‌లు. మీకు వాటిలో చాలా అవసరం లేదు, ఎందుకంటే ఈ సర్వర్‌ల యొక్క ముఖ్య ఉద్దేశ్యం తదుపరి లేయర్ సెన్సార్‌లకు IT సేవలను అందించడం లేదా Windows వాతావరణంలో అమలు చేయబడే వ్యాపార అనువర్తనాలపై దాడులను గుర్తించడం. మా ప్రయోగశాలలో (FOS01) అటువంటి సర్వర్‌ని ఇన్‌స్టాల్ చేసాము

   

4. ఎమ్యులేటెడ్ ట్రాప్‌లు పరిష్కారం యొక్క ప్రధాన భాగం, ఇది ఒక సింగిల్ వర్చువల్ మెషీన్‌ను ఉపయోగించి, దాడి చేసేవారి కోసం చాలా దట్టమైన “మైన్‌ఫీల్డ్”ని సృష్టించడానికి మరియు మా సెన్సార్‌లతో ఎంటర్‌ప్రైజ్ నెట్‌వర్క్, దాని అన్ని vlanలను నింపడానికి అనుమతిస్తుంది. దాడి చేసే వ్యక్తి అటువంటి సెన్సార్ లేదా ఫాంటమ్ హోస్ట్‌ను నిజమైన Windows PC లేదా సర్వర్, Linux సర్వర్ లేదా మేము అతనికి చూపించాలని నిర్ణయించుకున్న ఇతర పరికరంగా చూస్తాడు.

   
   
   వ్యాపారం యొక్క మంచి కోసం మరియు ఉత్సుకత కోసం, మేము “ప్రతి జీవికి ఒక జత” - Windows PCలు మరియు వివిధ వెర్షన్‌ల సర్వర్‌లు, Linux సర్వర్లు, Windows ఎంబెడెడ్‌తో కూడిన ATM, SWIFT వెబ్ యాక్సెస్, నెట్‌వర్క్ ప్రింటర్, సిస్కో. స్విచ్, ఒక యాక్సిస్ IP కెమెరా, ఒక MacBook, PLC -డివైస్ మరియు స్మార్ట్ లైట్ బల్బ్ కూడా. మొత్తం 13 హోస్ట్‌లు ఉన్నారు. సాధారణంగా, నిజమైన హోస్ట్‌ల సంఖ్యలో కనీసం 10% మొత్తంలో ఇటువంటి సెన్సార్‌లను అమలు చేయాలని విక్రేత సిఫార్సు చేస్తున్నారు. ఎగువ బార్ అందుబాటులో ఉన్న చిరునామా స్థలం.

   చాలా ముఖ్యమైన విషయం ఏమిటంటే, అటువంటి ప్రతి హోస్ట్ వనరులు మరియు లైసెన్స్‌లు అవసరమయ్యే పూర్తి స్థాయి వర్చువల్ మెషీన్ కాదు. ఇది ఒక డికోయ్, ఎమ్యులేషన్, TSAలో ఒక ప్రక్రియ, ఇది పారామితుల సమితి మరియు IP చిరునామాను కలిగి ఉంటుంది. అందువల్ల, ఒక TSA సహాయంతో, మేము అలాంటి వందలాది ఫాంటమ్ హోస్ట్‌లతో నెట్‌వర్క్‌ను సంతృప్తపరచవచ్చు, ఇది అలారం సిస్టమ్‌లో సెన్సార్‌లుగా పని చేస్తుంది. ఏదైనా పెద్ద పంపిణీ సంస్థలో హనీపాట్ కాన్సెప్ట్‌ను ఖర్చుతో కూడుకున్న రీతిలో స్కేల్ చేయడం ఈ సాంకేతికత ద్వారా సాధ్యమవుతుంది.

   దాడి చేసేవారి దృక్కోణం నుండి, ఈ హోస్ట్‌లు ఆకర్షణీయంగా ఉంటాయి ఎందుకంటే అవి దుర్బలత్వాలను కలిగి ఉంటాయి మరియు సాపేక్షంగా సులభమైన లక్ష్యాలుగా కనిపిస్తాయి. దాడి చేసేవారు ఈ హోస్ట్‌లలోని సేవలను చూస్తారు మరియు వారితో పరస్పర చర్య చేయవచ్చు మరియు ప్రామాణిక సాధనాలు మరియు ప్రోటోకాల్‌లను (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, మొదలైనవి) ఉపయోగించి దాడి చేయవచ్చు. కానీ దాడిని అభివృద్ధి చేయడానికి లేదా మీ స్వంత కోడ్‌ని అమలు చేయడానికి ఈ హోస్ట్‌లను ఉపయోగించడం అసాధ్యం.

5. ఈ రెండు సాంకేతికతల కలయిక (FullOS మరియు ఎమ్యులేటెడ్ ట్రాప్‌లు) దాడి చేసే వ్యక్తి మన సిగ్నలింగ్ నెట్‌వర్క్‌లోని కొంత మూలకాన్ని త్వరగా లేదా తరువాత ఎదుర్కొనే అధిక గణాంక సంభావ్యతను సాధించడానికి అనుమతిస్తుంది. అయితే ఈ సంభావ్యత 100%కి దగ్గరగా ఉందని ఎలా నిర్ధారించుకోవాలి?

   డిసెప్షన్ టోకెన్లు అని పిలవబడేవి యుద్ధంలోకి ప్రవేశిస్తాయి. వారికి ధన్యవాదాలు, మేము మా పంపిణీ చేసిన IDSలో ఇప్పటికే ఉన్న అన్ని PCలు మరియు ఎంటర్‌ప్రైజ్ సర్వర్‌లను చేర్చవచ్చు. టోకెన్లు వినియోగదారుల నిజమైన PCలలో ఉంచబడతాయి. టోకెన్లు వనరులను వినియోగించే ఏజెంట్లు కావు మరియు వైరుధ్యాలకు కారణమవుతాయని అర్థం చేసుకోవడం ముఖ్యం. టోకెన్‌లు నిష్క్రియ సమాచార అంశాలు, దాడి చేసే పక్షానికి ఒక రకమైన “బ్రెడ్‌క్రంబ్స్” దానిని ట్రాప్‌లోకి తీసుకువెళతాయి. ఉదాహరణకు, మ్యాప్ చేయబడిన నెట్‌వర్క్ డ్రైవ్‌లు, బ్రౌజర్‌లోని నకిలీ వెబ్ అడ్మిన్‌లకు బుక్‌మార్క్‌లు మరియు వాటి కోసం సేవ్ చేసిన పాస్‌వర్డ్‌లు, సేవ్ చేసిన ssh/rdp/winscp సెషన్‌లు, హోస్ట్ ఫైల్‌లలో వ్యాఖ్యలతో మా ట్రాప్‌లు, మెమరీలో సేవ్ చేయబడిన పాస్‌వర్డ్‌లు, ఉనికిలో లేని వినియోగదారుల ఆధారాలు, కార్యాలయం ఫైల్‌లు, తెరవడం సిస్టమ్‌ను ట్రిగ్గర్ చేస్తుంది మరియు మరెన్నో. అందువలన, మేము దాడి చేసేవారిని వక్రీకరించిన వాతావరణంలో ఉంచుతాము, దాడి వెక్టర్స్‌తో సంతృప్తమవుతుంది, అది వాస్తవానికి మనకు ముప్పు కలిగించదు, కానీ దానికి విరుద్ధంగా ఉంటుంది. మరియు సమాచారం ఎక్కడ నిజం మరియు ఎక్కడ తప్పు అని నిర్ధారించడానికి అతనికి మార్గం లేదు. అందువల్ల, మేము దాడిని త్వరగా గుర్తించడాన్ని మాత్రమే కాకుండా, దాని పురోగతిని గణనీయంగా నెమ్మదిస్తాము.

నెట్‌వర్క్ ట్రాప్‌ను సృష్టించడం మరియు టోకెన్‌లను సెటప్ చేయడం యొక్క ఉదాహరణ. స్నేహపూర్వక ఇంటర్‌ఫేస్ మరియు కాన్ఫిగర్‌లు, స్క్రిప్ట్‌లు మొదలైన వాటి యొక్క మాన్యువల్ ఎడిటింగ్ లేదు.

మా వాతావరణంలో, FOS01లో Windows Server 2012R2 నడుస్తున్న FOS7లో మరియు Windows XNUMXలో నడుస్తున్న టెస్ట్ PCలో మేము కాన్ఫిగర్ చేసాము మరియు ఉంచాము. RDP ఈ మెషీన్‌లలో రన్ అవుతోంది మరియు మేము వాటిని క్రమానుగతంగా DMZలో "హాంగ్" చేస్తాము, ఇక్కడ మా అనేక సెన్సార్లు ఉన్నాయి. (ఎమ్యులేటెడ్ ట్రాప్స్) కూడా ప్రదర్శించబడతాయి. కాబట్టి మనం సహజంగానే మాట్లాడటానికి సంఘటనల యొక్క స్థిరమైన ప్రవాహాన్ని పొందుతాము.

కాబట్టి, సంవత్సరానికి సంబంధించిన కొన్ని శీఘ్ర గణాంకాలు ఇక్కడ ఉన్నాయి:

56 – సంఘటనలు నమోదయ్యాయి,
2 – దాడి సోర్స్ హోస్ట్‌లు కనుగొనబడ్డాయి.

ఇంటరాక్టివ్, క్లిక్ చేయగల దాడి మ్యాప్

అదే సమయంలో, పరిష్కారం ఒక రకమైన మెగా-లాగ్ లేదా ఈవెంట్ ఫీడ్‌ను రూపొందించదు, ఇది అర్థం చేసుకోవడానికి చాలా సమయం పడుతుంది. బదులుగా, పరిష్కారం స్వయంగా ఈవెంట్‌లను వాటి రకాలను బట్టి వర్గీకరిస్తుంది మరియు దాడి చేసే వ్యక్తి నియంత్రణ సెషన్‌లను (ఇంటరాక్షన్) పెంచడానికి ప్రయత్నించినప్పుడు లేదా మన ట్రాఫిక్‌లో బైనరీ పేలోడ్‌లు (ఇన్‌ఫెక్షన్) కనిపించినప్పుడు - అత్యంత ప్రమాదకరమైన వాటిపై ప్రధానంగా దృష్టి పెట్టడానికి సమాచార భద్రతా బృందాన్ని అనుమతిస్తుంది.

ఈవెంట్‌ల గురించిన మొత్తం సమాచారం చదవదగినది మరియు అందించబడుతుంది, నా అభిప్రాయం ప్రకారం, సమాచార భద్రత రంగంలో ప్రాథమిక పరిజ్ఞానం ఉన్న వినియోగదారుకు కూడా సులభంగా అర్థం చేసుకోగలిగే రూపంలో అందించబడుతుంది.

రికార్డ్ చేయబడిన చాలా సంఘటనలు మా హోస్ట్‌లు లేదా సింగిల్ కనెక్షన్‌లను స్కాన్ చేయడానికి చేసిన ప్రయత్నాలు.

లేదా RDP కోసం బ్రూట్ ఫోర్స్ పాస్‌వర్డ్‌లను ప్రయత్నించడం

కానీ మరింత ఆసక్తికరమైన కేసులు కూడా ఉన్నాయి, ముఖ్యంగా దాడి చేసేవారు RDP కోసం పాస్‌వర్డ్‌ను ఊహించడం మరియు స్థానిక నెట్‌వర్క్‌కు ప్రాప్యతను పొందడం "నిర్వహించినప్పుడు".

దాడి చేసే వ్యక్తి psexecని ఉపయోగించి కోడ్‌ని అమలు చేయడానికి ప్రయత్నిస్తాడు.

దాడి చేసిన వ్యక్తి సేవ్ చేసిన సెషన్‌ను కనుగొన్నాడు, అది అతనిని Linux సర్వర్ రూపంలో ఉచ్చులోకి నెట్టింది. కనెక్ట్ అయిన వెంటనే, ముందుగా తయారుచేసిన ఒక కమాండ్ సెట్‌తో, ఇది అన్ని లాగ్ ఫైల్‌లను మరియు సంబంధిత సిస్టమ్ వేరియబుల్స్‌ను నాశనం చేయడానికి ప్రయత్నించింది.

దాడి చేసే వ్యక్తి SWIFT వెబ్ యాక్సెస్‌ని అనుకరించే హనీపాట్‌పై SQL ఇంజెక్షన్‌ని అమలు చేయడానికి ప్రయత్నిస్తాడు.

అటువంటి "సహజ" దాడులతో పాటు, మేము మా స్వంత పరీక్షలను కూడా నిర్వహించాము. నెట్‌వర్క్‌లో నెట్‌వర్క్ వార్మ్‌ను గుర్తించే సమయాన్ని పరీక్షించడం అత్యంత బహిర్గతం చేసే వాటిలో ఒకటి. దీన్ని చేయడానికి మేము GuardiCore నుండి అనే సాధనాన్ని ఉపయోగించాము ఇన్ఫెక్షన్ కోతి. ఇది విండోస్ మరియు లైనక్స్‌లను హైజాక్ చేయగల నెట్‌వర్క్ వార్మ్, కానీ ఎటువంటి “పేలోడ్” లేకుండా.
మేము లోకల్ కమాండ్ సెంటర్‌ను ఏర్పాటు చేసాము, మెషిన్‌లలో ఒకదానిలో మొదటి వార్మ్‌ను ప్రారంభించాము మరియు ట్రాప్‌ఎక్స్ కన్సోల్‌లో మొదటి హెచ్చరికను ఒకటిన్నర నిమిషంలోపు అందుకున్నాము. టీటీడీ 90 సెకన్లు వర్సెస్ 106 రోజులు సగటున...

పరిష్కారాల యొక్క ఇతర తరగతులతో ఏకీకృతం చేయగల సామర్థ్యానికి ధన్యవాదాలు, మేము బెదిరింపులను త్వరగా గుర్తించడం నుండి వాటికి స్వయంచాలకంగా ప్రతిస్పందించడానికి మారవచ్చు.

ఉదాహరణకు, NAC (నెట్‌వర్క్ యాక్సెస్ కంట్రోల్) సిస్టమ్‌లతో లేదా కార్బన్‌బ్లాక్‌తో ఏకీకరణ చేయడం వలన నెట్‌వర్క్ నుండి రాజీపడిన PCలను స్వయంచాలకంగా డిస్‌కనెక్ట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.

శాండ్‌బాక్స్‌లతో అనుసంధానం దాడిలో పాల్గొన్న ఫైల్‌లను స్వయంచాలకంగా విశ్లేషణ కోసం సమర్పించడానికి అనుమతిస్తుంది.

మెకాఫీ ఇంటిగ్రేషన్

పరిష్కారం దాని స్వంత అంతర్నిర్మిత ఈవెంట్ కోరిలేషన్ సిస్టమ్‌ను కూడా కలిగి ఉంది.

కానీ మేము దాని సామర్థ్యాలతో సంతృప్తి చెందలేదు, కాబట్టి మేము దానిని HP ఆర్క్‌సైట్‌తో అనుసంధానించాము.

అంతర్నిర్మిత టికెటింగ్ సిస్టమ్ మొత్తం ప్రపంచం గుర్తించిన బెదిరింపులను ఎదుర్కోవటానికి సహాయపడుతుంది.

ప్రభుత్వ ఏజెన్సీలు మరియు పెద్ద కార్పొరేట్ సెగ్మెంట్ అవసరాల కోసం "ప్రారంభం నుండి" పరిష్కారం అభివృద్ధి చేయబడినందున, ఇది సహజంగా రోల్-బేస్డ్ యాక్సెస్ మోడల్‌ను అమలు చేస్తుంది, ADతో ఏకీకరణ, అభివృద్ధి చెందిన నివేదికలు మరియు ట్రిగ్గర్‌ల వ్యవస్థ (ఈవెంట్ హెచ్చరికలు), ఆర్కెస్ట్రేషన్ పెద్ద హోల్డింగ్ నిర్మాణాలు లేదా MSSP ప్రొవైడర్లు.

బదులుగా పునఃప్రారంభం యొక్క

అలంకారికంగా చెప్పాలంటే, మన వెనుకభాగాన్ని కప్పి ఉంచే అటువంటి పర్యవేక్షణ వ్యవస్థ ఉంటే, చుట్టుకొలత యొక్క రాజీతో ప్రతిదీ ఇప్పుడే ప్రారంభమవుతుంది. అత్యంత ముఖ్యమైన విషయం ఏమిటంటే, సమాచార భద్రతా సంఘటనలను ఎదుర్కోవటానికి నిజమైన అవకాశం ఉంది మరియు వాటి పర్యవసానాలను ఎదుర్కోవటానికి కాదు.

మూలం: www.habr.com