(శీర్షిక ఆలోచనకు సెర్గీ జి. బ్రెస్టర్కి ధన్యవాదాలు
సహోద్యోగులారా, డిసెప్షన్ టెక్నాలజీల ఆధారంగా ఒక కొత్త తరగతి IDS సొల్యూషన్ల యొక్క ఏడాది పొడవునా టెస్ట్ ఆపరేషన్ అనుభవాన్ని పంచుకోవడం ఈ కథనం యొక్క ఉద్దేశ్యం.
పదార్థం యొక్క ప్రదర్శన యొక్క తార్కిక పొందికను నిర్వహించడానికి, ప్రాంగణంలో ప్రారంభించాల్సిన అవసరం ఉందని నేను భావిస్తున్నాను. కాబట్టి, సమస్య:
- మొత్తం బెదిరింపుల సంఖ్యలో వారి వాటా తక్కువగా ఉన్నప్పటికీ, లక్ష్య దాడులు అత్యంత ప్రమాదకరమైన దాడి.
- చుట్టుకొలతను (లేదా అటువంటి మార్గాల సమితి) రక్షించడానికి హామీ ఇవ్వబడిన ప్రభావవంతమైన మార్గాలు ఇంకా కనుగొనబడలేదు.
- నియమం ప్రకారం, లక్ష్య దాడులు అనేక దశల్లో జరుగుతాయి. చుట్టుకొలతను అధిగమించడం అనేది ప్రారంభ దశల్లో ఒకటి మాత్రమే, ఇది (మీరు నాపై రాళ్లు విసరవచ్చు) “బాధితుడికి” పెద్దగా నష్టం కలిగించదు, అయితే, ఇది DEoS (సేవ విధ్వంసం) దాడి (ఎన్క్రిప్టర్లు మొదలైనవి). .) నిజమైన "నొప్పి" తరువాత ప్రారంభమవుతుంది, స్వాధీనం చేసుకున్న ఆస్తులు "లోతు" దాడిని పివోటింగ్ చేయడానికి మరియు అభివృద్ధి చేయడానికి ఉపయోగించడం ప్రారంభించినప్పుడు మరియు మేము దీనిని గమనించలేదు.
- దాడి చేసేవారు చివరకు దాడి లక్ష్యాలను (అప్లికేషన్ సర్వర్లు, DBMS, డేటా గిడ్డంగులు, రిపోజిటరీలు, క్లిష్టమైన మౌలిక సదుపాయాల అంశాలు) చేరుకున్నప్పుడు మేము నిజమైన నష్టాలను చవిచూడడం ప్రారంభించినందున, సమాచార భద్రతా సేవ యొక్క పనిలో ఒకటి ముందుగా దాడులకు అంతరాయం కలిగించడం తార్కికం. ఈ విచారకరమైన సంఘటన. కానీ ఏదైనా అంతరాయం కలిగించడానికి, మీరు మొదట దాని గురించి తెలుసుకోవాలి. మరియు ఎంత త్వరగా ఉంటే అంత మంచిది.
- తదనుగుణంగా, విజయవంతమైన రిస్క్ మేనేజ్మెంట్ కోసం (అనగా, లక్షిత దాడుల నుండి నష్టాన్ని తగ్గించడం), కనీస TTDని అందించే సాధనాలను కలిగి ఉండటం చాలా కీలకం (గుర్తించే సమయం - చొరబడిన క్షణం నుండి దాడిని గుర్తించే సమయం వరకు). పరిశ్రమ మరియు ప్రాంతంపై ఆధారపడి, ఈ వ్యవధి USలో సగటున 99 రోజులు, EMEA ప్రాంతంలో 106 రోజులు, APAC ప్రాంతంలో 172 రోజులు (M-Trends 2017, A view From the Front lines, Mandiant).
- మార్కెట్ ఏమి అందిస్తుంది?
- "శాండ్బాక్స్లు". మరొక నివారణ నియంత్రణ, ఇది ఆదర్శానికి దూరంగా ఉంది. శాండ్బాక్స్లను గుర్తించడం మరియు దాటవేయడం లేదా పరిష్కారాలను వైట్లిస్ట్ చేయడం కోసం అనేక ప్రభావవంతమైన పద్ధతులు ఉన్నాయి. "డార్క్ సైడ్" నుండి వచ్చిన కుర్రాళ్ళు ఇప్పటికీ ఇక్కడ ఒక అడుగు ముందున్నారు.
- UEBA (ప్రొఫైలింగ్ ప్రవర్తన మరియు విచలనాలను గుర్తించే వ్యవస్థలు) - సిద్ధాంతపరంగా, చాలా ప్రభావవంతంగా ఉంటుంది. కానీ, నా అభిప్రాయం ప్రకారం, ఇది సుదూర భవిష్యత్తులో. ఆచరణలో, ఇది ఇప్పటికీ చాలా ఖరీదైనది, నమ్మదగనిది మరియు చాలా పరిణతి చెందిన మరియు స్థిరమైన IT మరియు సమాచార భద్రతా మౌలిక సదుపాయాలు అవసరం, ఇది ప్రవర్తనా విశ్లేషణ కోసం డేటాను రూపొందించే అన్ని సాధనాలను ఇప్పటికే కలిగి ఉంది.
- పరిశోధనల కోసం SIEM ఒక మంచి సాధనం, కానీ ఇది కొత్త మరియు అసలైన వాటిని సకాలంలో చూడలేకపోతుంది, ఎందుకంటే సహసంబంధ నియమాలు సంతకాలు వలె ఉంటాయి.
- ఫలితంగా, ఒక సాధనం అవసరం:
- ఇప్పటికే రాజీపడిన చుట్టుకొలత పరిస్థితుల్లో విజయవంతంగా పనిచేశారు,
- ఉపయోగించిన సాధనాలు మరియు దుర్బలత్వాలతో సంబంధం లేకుండా, సమీప నిజ సమయంలో విజయవంతమైన దాడులను గుర్తించింది,
- సంతకాలు/నియమాలు/స్క్రిప్ట్లు/విధానాలు/ప్రొఫైళ్లు మరియు ఇతర స్థిరమైన విషయాలపై ఆధారపడలేదు,
- విశ్లేషణ కోసం పెద్ద మొత్తంలో డేటా మరియు వాటి మూలాలు అవసరం లేదు,
- "ప్రపంచంలో అత్యుత్తమమైన, పేటెంట్ పొందిన మరియు క్లోజ్డ్ మ్యాథమెటిక్స్" యొక్క పని ఫలితంగా దాడులను ఒక రకమైన రిస్క్-స్కోరింగ్గా నిర్వచించకుండా అనుమతిస్తుంది, దీనికి అదనపు పరిశోధన అవసరం, కానీ ఆచరణాత్మకంగా బైనరీ ఈవెంట్గా - “అవును, మాపై దాడి జరుగుతోంది" లేదా "లేదు, అంతా బాగానే ఉంది",
- ఉపయోగించిన భౌతిక మరియు తార్కిక నెట్వర్క్ టోపోలాజీతో సంబంధం లేకుండా, సార్వత్రికమైనది, సమర్ధవంతంగా కొలవదగినది మరియు ఏదైనా భిన్నమైన వాతావరణంలో అమలు చేయడం సాధ్యపడుతుంది.
మోసపూరిత పరిష్కారాలు అని పిలవబడేవి ఇప్పుడు అలాంటి సాధనం పాత్ర కోసం పోటీ పడుతున్నాయి. అంటే, హనీపాట్ల యొక్క మంచి పాత భావనపై ఆధారపడిన పరిష్కారాలు, కానీ పూర్తిగా భిన్నమైన అమలు స్థాయితో ఉంటాయి. ఈ అంశం ఇప్పుడు ఖచ్చితంగా పెరుగుతోంది.
ఫలితాల ప్రకారం
నివేదిక ప్రకారం
తరువాతి మొత్తం విభాగం
ట్రాప్ఎక్స్ డిసెప్షన్ గ్రిడ్ లైసెన్సింగ్ లోడ్ మరియు హార్డ్వేర్ వనరుల అవసరాలను పెంచకుండా, భారీగా పంపిణీ చేయబడిన IDSని సెంట్రల్గా ఖర్చు చేయడానికి మరియు ఆపరేట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. వాస్తవానికి, ట్రాప్ఎక్స్ అనేది కన్స్ట్రక్టర్, ఇది ఇప్పటికే ఉన్న IT ఇన్ఫ్రాస్ట్రక్చర్ మూలకాల నుండి ఎంటర్ప్రైజ్-వైడ్ స్కేల్పై దాడులను గుర్తించడానికి ఒక పెద్ద మెకానిజంను సృష్టించడానికి మిమ్మల్ని అనుమతిస్తుంది, ఇది పంపిణీ చేయబడిన నెట్వర్క్ “అలారం”.
పరిష్కార నిర్మాణం
మా ప్రయోగశాలలో మేము IT భద్రతా రంగంలో వివిధ కొత్త ఉత్పత్తులను నిరంతరం అధ్యయనం చేస్తాము మరియు పరీక్షిస్తాము. ప్రస్తుతం, ట్రాప్ఎక్స్ డిసెప్షన్ గ్రిడ్ కాంపోనెంట్లతో సహా దాదాపు 50 విభిన్న వర్చువల్ సర్వర్లు ఇక్కడ అమలు చేయబడ్డాయి.
కాబట్టి, పై నుండి క్రిందికి:
- TSOC (TrapX సెక్యూరిటీ ఆపరేషన్ కన్సోల్) అనేది సిస్టమ్ యొక్క మెదడు. ఇది సెంట్రల్ మేనేజ్మెంట్ కన్సోల్, దీని ద్వారా కాన్ఫిగరేషన్, పరిష్కారం యొక్క విస్తరణ మరియు అన్ని రోజువారీ కార్యకలాపాలు నిర్వహించబడతాయి. ఇది వెబ్ సేవ అయినందున, ఇది ఎక్కడైనా - చుట్టుకొలతలో, క్లౌడ్లో లేదా MSSP ప్రొవైడర్ వద్ద అమలు చేయబడుతుంది.
- ట్రాప్ఎక్స్ ఉపకరణం (TSA) అనేది వర్చువల్ సర్వర్, దీనిలో మేము ట్రంక్ పోర్ట్ని ఉపయోగించి, మానిటరింగ్తో కవర్ చేయాలనుకుంటున్న సబ్నెట్లను ఉపయోగిస్తాము. అలాగే, మా అన్ని నెట్వర్క్ సెన్సార్లు వాస్తవానికి ఇక్కడ “ప్రత్యక్షంగా” ఉంటాయి.
మా ల్యాబ్లో ఒక TSA అమలు చేయబడింది (mwsapp1), కానీ వాస్తవానికి చాలా ఉండవచ్చు. విభాగాల మధ్య L2 కనెక్టివిటీ లేని పెద్ద నెట్వర్క్లలో ఇది అవసరం కావచ్చు (ఒక సాధారణ ఉదాహరణ "హోల్డింగ్ మరియు అనుబంధ సంస్థలు" లేదా "బ్యాంక్ ప్రధాన కార్యాలయం మరియు శాఖలు") లేదా నెట్వర్క్లో వివిక్త విభాగాలు ఉంటే, ఉదాహరణకు, స్వయంచాలక ప్రక్రియ నియంత్రణ వ్యవస్థలు. అటువంటి ప్రతి శాఖ/విభాగంలో, మీరు మీ స్వంత TSAని అమలు చేయవచ్చు మరియు దానిని ఒకే TSOCకి కనెక్ట్ చేయవచ్చు, ఇక్కడ మొత్తం సమాచారం కేంద్రీయంగా ప్రాసెస్ చేయబడుతుంది. నెట్వర్క్ను సమూలంగా పునర్నిర్మించాల్సిన అవసరం లేకుండా లేదా ఇప్పటికే ఉన్న విభజనకు అంతరాయం కలిగించకుండా పంపిణీ చేయబడిన పర్యవేక్షణ వ్యవస్థలను రూపొందించడానికి ఈ నిర్మాణం మిమ్మల్ని అనుమతిస్తుంది.
అలాగే, మేము TAP/SPAN ద్వారా TSAకి అవుట్గోయింగ్ ట్రాఫిక్ కాపీని సమర్పించవచ్చు. మేము తెలిసిన బోట్నెట్లు, కమాండ్ మరియు కంట్రోల్ సర్వర్లు లేదా TOR సెషన్లతో కనెక్షన్లను గుర్తిస్తే, మేము కన్సోల్లో ఫలితాన్ని కూడా స్వీకరిస్తాము. నెట్వర్క్ ఇంటెలిజెన్స్ సెన్సార్ (NIS) దీనికి బాధ్యత వహిస్తుంది. మన వాతావరణంలో, ఈ ఫంక్షనాలిటీ ఫైర్వాల్పై అమలు చేయబడుతుంది, కాబట్టి మేము దీన్ని ఇక్కడ ఉపయోగించలేదు.
- అప్లికేషన్ ట్రాప్స్ (పూర్తి OS) - విండోస్ సర్వర్ల ఆధారంగా సాంప్రదాయ హనీపాట్లు. మీకు వాటిలో చాలా అవసరం లేదు, ఎందుకంటే ఈ సర్వర్ల యొక్క ముఖ్య ఉద్దేశ్యం తదుపరి లేయర్ సెన్సార్లకు IT సేవలను అందించడం లేదా Windows వాతావరణంలో అమలు చేయబడే వ్యాపార అనువర్తనాలపై దాడులను గుర్తించడం. మా ప్రయోగశాలలో (FOS01) అటువంటి సర్వర్ని ఇన్స్టాల్ చేసాము
- ఎమ్యులేటెడ్ ట్రాప్లు పరిష్కారం యొక్క ప్రధాన భాగం, ఇది ఒక సింగిల్ వర్చువల్ మెషీన్ను ఉపయోగించి, దాడి చేసేవారి కోసం చాలా దట్టమైన “మైన్ఫీల్డ్”ని సృష్టించడానికి మరియు మా సెన్సార్లతో ఎంటర్ప్రైజ్ నెట్వర్క్, దాని అన్ని vlanలను నింపడానికి అనుమతిస్తుంది. దాడి చేసే వ్యక్తి అటువంటి సెన్సార్ లేదా ఫాంటమ్ హోస్ట్ను నిజమైన Windows PC లేదా సర్వర్, Linux సర్వర్ లేదా మేము అతనికి చూపించాలని నిర్ణయించుకున్న ఇతర పరికరంగా చూస్తాడు.
వ్యాపారం యొక్క మంచి కోసం మరియు ఉత్సుకత కోసం, మేము “ప్రతి జీవికి ఒక జత” - Windows PCలు మరియు వివిధ వెర్షన్ల సర్వర్లు, Linux సర్వర్లు, Windows ఎంబెడెడ్తో కూడిన ATM, SWIFT వెబ్ యాక్సెస్, నెట్వర్క్ ప్రింటర్, సిస్కో. స్విచ్, ఒక యాక్సిస్ IP కెమెరా, ఒక MacBook, PLC -డివైస్ మరియు స్మార్ట్ లైట్ బల్బ్ కూడా. మొత్తం 13 హోస్ట్లు ఉన్నారు. సాధారణంగా, నిజమైన హోస్ట్ల సంఖ్యలో కనీసం 10% మొత్తంలో ఇటువంటి సెన్సార్లను అమలు చేయాలని విక్రేత సిఫార్సు చేస్తున్నారు. ఎగువ బార్ అందుబాటులో ఉన్న చిరునామా స్థలం.చాలా ముఖ్యమైన విషయం ఏమిటంటే, అటువంటి ప్రతి హోస్ట్ వనరులు మరియు లైసెన్స్లు అవసరమయ్యే పూర్తి స్థాయి వర్చువల్ మెషీన్ కాదు. ఇది ఒక డికోయ్, ఎమ్యులేషన్, TSAలో ఒక ప్రక్రియ, ఇది పారామితుల సమితి మరియు IP చిరునామాను కలిగి ఉంటుంది. అందువల్ల, ఒక TSA సహాయంతో, మేము అలాంటి వందలాది ఫాంటమ్ హోస్ట్లతో నెట్వర్క్ను సంతృప్తపరచవచ్చు, ఇది అలారం సిస్టమ్లో సెన్సార్లుగా పని చేస్తుంది. ఏదైనా పెద్ద పంపిణీ సంస్థలో హనీపాట్ కాన్సెప్ట్ను ఖర్చుతో కూడుకున్న రీతిలో స్కేల్ చేయడం ఈ సాంకేతికత ద్వారా సాధ్యమవుతుంది.
దాడి చేసేవారి దృక్కోణం నుండి, ఈ హోస్ట్లు ఆకర్షణీయంగా ఉంటాయి ఎందుకంటే అవి దుర్బలత్వాలను కలిగి ఉంటాయి మరియు సాపేక్షంగా సులభమైన లక్ష్యాలుగా కనిపిస్తాయి. దాడి చేసేవారు ఈ హోస్ట్లలోని సేవలను చూస్తారు మరియు వారితో పరస్పర చర్య చేయవచ్చు మరియు ప్రామాణిక సాధనాలు మరియు ప్రోటోకాల్లను (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, మొదలైనవి) ఉపయోగించి దాడి చేయవచ్చు. కానీ దాడిని అభివృద్ధి చేయడానికి లేదా మీ స్వంత కోడ్ని అమలు చేయడానికి ఈ హోస్ట్లను ఉపయోగించడం అసాధ్యం.
- ఈ రెండు సాంకేతికతల కలయిక (FullOS మరియు ఎమ్యులేటెడ్ ట్రాప్లు) దాడి చేసే వ్యక్తి మన సిగ్నలింగ్ నెట్వర్క్లోని కొంత మూలకాన్ని త్వరగా లేదా తరువాత ఎదుర్కొనే అధిక గణాంక సంభావ్యతను సాధించడానికి అనుమతిస్తుంది. అయితే ఈ సంభావ్యత 100%కి దగ్గరగా ఉందని ఎలా నిర్ధారించుకోవాలి?
డిసెప్షన్ టోకెన్లు అని పిలవబడేవి యుద్ధంలోకి ప్రవేశిస్తాయి. వారికి ధన్యవాదాలు, మేము మా పంపిణీ చేసిన IDSలో ఇప్పటికే ఉన్న అన్ని PCలు మరియు ఎంటర్ప్రైజ్ సర్వర్లను చేర్చవచ్చు. టోకెన్లు వినియోగదారుల నిజమైన PCలలో ఉంచబడతాయి. టోకెన్లు వనరులను వినియోగించే ఏజెంట్లు కావు మరియు వైరుధ్యాలకు కారణమవుతాయని అర్థం చేసుకోవడం ముఖ్యం. టోకెన్లు నిష్క్రియ సమాచార అంశాలు, దాడి చేసే పక్షానికి ఒక రకమైన “బ్రెడ్క్రంబ్స్” దానిని ట్రాప్లోకి తీసుకువెళతాయి. ఉదాహరణకు, మ్యాప్ చేయబడిన నెట్వర్క్ డ్రైవ్లు, బ్రౌజర్లోని నకిలీ వెబ్ అడ్మిన్లకు బుక్మార్క్లు మరియు వాటి కోసం సేవ్ చేసిన పాస్వర్డ్లు, సేవ్ చేసిన ssh/rdp/winscp సెషన్లు, హోస్ట్ ఫైల్లలో వ్యాఖ్యలతో మా ట్రాప్లు, మెమరీలో సేవ్ చేయబడిన పాస్వర్డ్లు, ఉనికిలో లేని వినియోగదారుల ఆధారాలు, కార్యాలయం ఫైల్లు, తెరవడం సిస్టమ్ను ట్రిగ్గర్ చేస్తుంది మరియు మరెన్నో. అందువలన, మేము దాడి చేసేవారిని వక్రీకరించిన వాతావరణంలో ఉంచుతాము, దాడి వెక్టర్స్తో సంతృప్తమవుతుంది, అది వాస్తవానికి మనకు ముప్పు కలిగించదు, కానీ దానికి విరుద్ధంగా ఉంటుంది. మరియు సమాచారం ఎక్కడ నిజం మరియు ఎక్కడ తప్పు అని నిర్ధారించడానికి అతనికి మార్గం లేదు. అందువల్ల, మేము దాడిని త్వరగా గుర్తించడాన్ని మాత్రమే కాకుండా, దాని పురోగతిని గణనీయంగా నెమ్మదిస్తాము.
నెట్వర్క్ ట్రాప్ను సృష్టించడం మరియు టోకెన్లను సెటప్ చేయడం యొక్క ఉదాహరణ. స్నేహపూర్వక ఇంటర్ఫేస్ మరియు కాన్ఫిగర్లు, స్క్రిప్ట్లు మొదలైన వాటి యొక్క మాన్యువల్ ఎడిటింగ్ లేదు.
మా వాతావరణంలో, FOS01లో Windows Server 2012R2 నడుస్తున్న FOS7లో మరియు Windows XNUMXలో నడుస్తున్న టెస్ట్ PCలో మేము కాన్ఫిగర్ చేసాము మరియు ఉంచాము. RDP ఈ మెషీన్లలో రన్ అవుతోంది మరియు మేము వాటిని క్రమానుగతంగా DMZలో "హాంగ్" చేస్తాము, ఇక్కడ మా అనేక సెన్సార్లు ఉన్నాయి. (ఎమ్యులేటెడ్ ట్రాప్స్) కూడా ప్రదర్శించబడతాయి. కాబట్టి మనం సహజంగానే మాట్లాడటానికి సంఘటనల యొక్క స్థిరమైన ప్రవాహాన్ని పొందుతాము.
కాబట్టి, సంవత్సరానికి సంబంధించిన కొన్ని శీఘ్ర గణాంకాలు ఇక్కడ ఉన్నాయి:
56 – సంఘటనలు నమోదయ్యాయి,
2 – దాడి సోర్స్ హోస్ట్లు కనుగొనబడ్డాయి.
ఇంటరాక్టివ్, క్లిక్ చేయగల దాడి మ్యాప్
అదే సమయంలో, పరిష్కారం ఒక రకమైన మెగా-లాగ్ లేదా ఈవెంట్ ఫీడ్ను రూపొందించదు, ఇది అర్థం చేసుకోవడానికి చాలా సమయం పడుతుంది. బదులుగా, పరిష్కారం స్వయంగా ఈవెంట్లను వాటి రకాలను బట్టి వర్గీకరిస్తుంది మరియు దాడి చేసే వ్యక్తి నియంత్రణ సెషన్లను (ఇంటరాక్షన్) పెంచడానికి ప్రయత్నించినప్పుడు లేదా మన ట్రాఫిక్లో బైనరీ పేలోడ్లు (ఇన్ఫెక్షన్) కనిపించినప్పుడు - అత్యంత ప్రమాదకరమైన వాటిపై ప్రధానంగా దృష్టి పెట్టడానికి సమాచార భద్రతా బృందాన్ని అనుమతిస్తుంది.
ఈవెంట్ల గురించిన మొత్తం సమాచారం చదవదగినది మరియు అందించబడుతుంది, నా అభిప్రాయం ప్రకారం, సమాచార భద్రత రంగంలో ప్రాథమిక పరిజ్ఞానం ఉన్న వినియోగదారుకు కూడా సులభంగా అర్థం చేసుకోగలిగే రూపంలో అందించబడుతుంది.
రికార్డ్ చేయబడిన చాలా సంఘటనలు మా హోస్ట్లు లేదా సింగిల్ కనెక్షన్లను స్కాన్ చేయడానికి చేసిన ప్రయత్నాలు.
లేదా RDP కోసం బ్రూట్ ఫోర్స్ పాస్వర్డ్లను ప్రయత్నించడం
కానీ మరింత ఆసక్తికరమైన కేసులు కూడా ఉన్నాయి, ముఖ్యంగా దాడి చేసేవారు RDP కోసం పాస్వర్డ్ను ఊహించడం మరియు స్థానిక నెట్వర్క్కు ప్రాప్యతను పొందడం "నిర్వహించినప్పుడు".
దాడి చేసే వ్యక్తి psexecని ఉపయోగించి కోడ్ని అమలు చేయడానికి ప్రయత్నిస్తాడు.
దాడి చేసిన వ్యక్తి సేవ్ చేసిన సెషన్ను కనుగొన్నాడు, అది అతనిని Linux సర్వర్ రూపంలో ఉచ్చులోకి నెట్టింది. కనెక్ట్ అయిన వెంటనే, ముందుగా తయారుచేసిన ఒక కమాండ్ సెట్తో, ఇది అన్ని లాగ్ ఫైల్లను మరియు సంబంధిత సిస్టమ్ వేరియబుల్స్ను నాశనం చేయడానికి ప్రయత్నించింది.
దాడి చేసే వ్యక్తి SWIFT వెబ్ యాక్సెస్ని అనుకరించే హనీపాట్పై SQL ఇంజెక్షన్ని అమలు చేయడానికి ప్రయత్నిస్తాడు.
అటువంటి "సహజ" దాడులతో పాటు, మేము మా స్వంత పరీక్షలను కూడా నిర్వహించాము. నెట్వర్క్లో నెట్వర్క్ వార్మ్ను గుర్తించే సమయాన్ని పరీక్షించడం అత్యంత బహిర్గతం చేసే వాటిలో ఒకటి. దీన్ని చేయడానికి మేము GuardiCore నుండి అనే సాధనాన్ని ఉపయోగించాము
మేము లోకల్ కమాండ్ సెంటర్ను ఏర్పాటు చేసాము, మెషిన్లలో ఒకదానిలో మొదటి వార్మ్ను ప్రారంభించాము మరియు ట్రాప్ఎక్స్ కన్సోల్లో మొదటి హెచ్చరికను ఒకటిన్నర నిమిషంలోపు అందుకున్నాము. టీటీడీ 90 సెకన్లు వర్సెస్ 106 రోజులు సగటున...
పరిష్కారాల యొక్క ఇతర తరగతులతో ఏకీకృతం చేయగల సామర్థ్యానికి ధన్యవాదాలు, మేము బెదిరింపులను త్వరగా గుర్తించడం నుండి వాటికి స్వయంచాలకంగా ప్రతిస్పందించడానికి మారవచ్చు.
ఉదాహరణకు, NAC (నెట్వర్క్ యాక్సెస్ కంట్రోల్) సిస్టమ్లతో లేదా కార్బన్బ్లాక్తో ఏకీకరణ చేయడం వలన నెట్వర్క్ నుండి రాజీపడిన PCలను స్వయంచాలకంగా డిస్కనెక్ట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
శాండ్బాక్స్లతో అనుసంధానం దాడిలో పాల్గొన్న ఫైల్లను స్వయంచాలకంగా విశ్లేషణ కోసం సమర్పించడానికి అనుమతిస్తుంది.
మెకాఫీ ఇంటిగ్రేషన్
పరిష్కారం దాని స్వంత అంతర్నిర్మిత ఈవెంట్ కోరిలేషన్ సిస్టమ్ను కూడా కలిగి ఉంది.
కానీ మేము దాని సామర్థ్యాలతో సంతృప్తి చెందలేదు, కాబట్టి మేము దానిని HP ఆర్క్సైట్తో అనుసంధానించాము.
అంతర్నిర్మిత టికెటింగ్ సిస్టమ్ మొత్తం ప్రపంచం గుర్తించిన బెదిరింపులను ఎదుర్కోవటానికి సహాయపడుతుంది.
ప్రభుత్వ ఏజెన్సీలు మరియు పెద్ద కార్పొరేట్ సెగ్మెంట్ అవసరాల కోసం "ప్రారంభం నుండి" పరిష్కారం అభివృద్ధి చేయబడినందున, ఇది సహజంగా రోల్-బేస్డ్ యాక్సెస్ మోడల్ను అమలు చేస్తుంది, ADతో ఏకీకరణ, అభివృద్ధి చెందిన నివేదికలు మరియు ట్రిగ్గర్ల వ్యవస్థ (ఈవెంట్ హెచ్చరికలు), ఆర్కెస్ట్రేషన్ పెద్ద హోల్డింగ్ నిర్మాణాలు లేదా MSSP ప్రొవైడర్లు.
బదులుగా పునఃప్రారంభం యొక్క
అలంకారికంగా చెప్పాలంటే, మన వెనుకభాగాన్ని కప్పి ఉంచే అటువంటి పర్యవేక్షణ వ్యవస్థ ఉంటే, చుట్టుకొలత యొక్క రాజీతో ప్రతిదీ ఇప్పుడే ప్రారంభమవుతుంది. అత్యంత ముఖ్యమైన విషయం ఏమిటంటే, సమాచార భద్రతా సంఘటనలను ఎదుర్కోవటానికి నిజమైన అవకాశం ఉంది మరియు వాటి పర్యవసానాలను ఎదుర్కోవటానికి కాదు.
మూలం: www.habr.com