וואָלקן זיכערהייט מאָניטאָרינג

מאָווינג דאַטן און אַפּלאַקיישאַנז צו די וואָלקן גיט אַ נייַע אַרויסרופן פֿאַר פֿירמע סאָקס, וואָס זענען נישט שטענדיק גרייט צו מאָניטאָר די ינפראַסטראַקטשער פון אנדערע מענטשן. לויט נעטאָסקאָפּע, די דורכשניטלעך פאַרנעמונג (משמעות אין די יו. עס.) ניצט 1246 פאַרשידענע וואָלקן באַדינונגס, וואָס איז 22% מער ווי אַ יאָר צוריק. 1246 וואָלקן באַדינונגס !!! 175 פון זיי פאַרבינדן צו HR באַדינונגס, 170 זענען שייַכות צו פֿאַרקויף, 110 זענען אין די פעלד פון קאָמוניקאַציע און 76 זענען אין פינאַנצן און קרם. סיסקאָ ניצט "בלויז" 700 פונדרויסנדיק וואָלקן באַדינונגס. אַזוי איך בין אַ ביסל צעמישט דורך די נומערן. אָבער, אין קיין פאַל, די פּראָבלעם איז נישט מיט זיי, אָבער מיט דעם פאַקט אַז די וואָלקן הייבט צו זיין געוויינט גאַנץ אַקטיוולי דורך אַ ינקריסינג נומער פון קאָמפּאַניעס וואָס וואָלט ווי צו האָבן די זעלבע קייפּאַבילאַטיז פֿאַר מאָניטאָרינג וואָלקן ינפראַסטראַקטשער ווי אין זייער אייגענע נעץ. און דעם גאַנג איז גראָוינג - לויט צו לויט די אמעריקאנער טשאַמבער פון אַקאַונץ אין 2023, 1200 דאַטן סענטערס וועט זיין פארמאכט אין די פאַרייניקטע שטאַטן (6250 האָבן שוין פארמאכט). אָבער די יבערגאַנג צו די וואָלקן איז ניט נאָר "לאָמיר מאַך אונדזער סערווערס צו אַ פונדרויסנדיק שפּייַזער." ניו עס אַרקאַטעקטשער, נייַ ווייכווארג, נייַ פּראַסעסאַז, נייַ ריסטריקשאַנז ... אַלע דעם ברענגט באַטייַטיק ענדערונגען צו די אַרבעט פון ניט בלויז עס, אָבער אויך אינפֿאָרמאַציע זיכערהייט. און אויב פּראַוויידערז האָבן געלערנט צו עפעס קאָפּע מיט ינשורינג די זיכערהייט פון די וואָלקן זיך (צומ גליק עס זענען אַ פּלאַץ פון רעקאַמאַנדיישאַנז), דעמאָלט מיט וואָלקן אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג, ספּעציעל אויף סאַאַס פּלאַטפאָרמס, עס זענען באַטייטיק שוועריקייטן וואָס מיר וועלן רעדן וועגן.

זאל ס זאָגן דיין פירמע האט אריבערגעפארן טייל פון זייַן ינפראַסטראַקטשער צו די וואָלקן ... האַלטן. נישט אַזוי. אויב די ינפראַסטראַקטשער איז טראַנספערד, און איר נאָר טראַכטן וועגן ווי איר וועט מאָניטאָר עס, איר האָט שוין פאַרפאַלן. אויב עס איז אַמאַזאָן, Google אָדער מייקראָסאָפֿט (און דעמאָלט מיט רעזערוויישאַנז), איר מיסטאָמע וועט נישט האָבן פיל פיייקייט צו מאָניטאָר דיין דאַטן און אַפּלאַקיישאַנז. עס איז גוט אויב איר באַקומען די געלעגנהייט צו אַרבעטן מיט לאָגס. מאל זיכערהייט געשעעניש דאַטן וועט זיין בארעכטיגט, אָבער איר וועט נישט האָבן אַקסעס צו עס. פֿאַר בייַשפּיל, אָפפיסע 365. אויב איר האָבן די טשיפּאַסט E1 דערלויבעניש, זיכערהייט געשעענישן זענען נישט בנימצא צו איר. אויב איר האָט אַן E3 דערלויבעניש, דיין דאַטן זענען סטאָרד פֿאַר בלויז 90 טעג, און בלויז אויב איר האָבן אַן E5 דערלויבעניש, די געדויער פון די לאָגס איז בארעכטיגט פֿאַר אַ יאָר (אָבער, דאָס אויך האט זיין אייגענע נואַנסיז שייך צו די נויט צו סעפּעראַטלי. בעטן אַ נומער פון פאַנגקשאַנז פֿאַר ארבעטן מיט לאָגס פֿון מיקראָסאָפט שטיצן). דורך דעם וועג, די E3 דערלויבעניש איז פיל שוואַך אין טערמינען פון מאָניטאָרינג פאַנגקשאַנז ווי פֿירמע עקסטשאַנגע. צו דערגרייכן די זעלבע מדרגה, איר דאַרפֿן אַן E5 דערלויבעניש אָדער אַן נאָך אַוואַנסירטע קאָמפּליאַנסע דערלויבעניש, וואָס קען דאַרפן נאָך געלט וואָס איז נישט פאָוקיסט אין דיין פינאַנציעל מאָדעל פֿאַר אַריבערפירן צו וואָלקן ינפראַסטראַקטשער. און דאָס איז בלויז איין ביישפּיל פון אַנדערעסטאַמיישאַן פון ישוז שייַכות צו מאָניטאָרינג פון וואָלקן אינפֿאָרמאַציע זיכערהייט. אין דעם אַרטיקל, אָן פּריטענדינג צו זיין גאַנץ, איך ווילן צו ופמערקזאַמקייט צו עטלעכע נואַנסיז וואָס זאָל זיין גענומען אין חשבון ווען טשוזינג אַ וואָלקן שפּייַזער פֿון אַ זיכערהייט פונט פון מיינונג. און אין די סוף פון דעם אַרטיקל, אַ טשעקליסט וועט זיין געגעבן וואָס איז ווערט קאַמפּליטינג איידער באַטראַכטן אַז די אַרויסגעבן פון מאָניטאָרינג וואָלקן אינפֿאָרמאַציע זיכערהייט איז סאַלווד.

עס זענען עטלעכע טיפּיש פּראָבלעמס וואָס פירן צו ינסאַדאַנץ אין וואָלקן ינווייראַנמאַנץ, צו וואָס אינפֿאָרמאַציע זיכערהייט באַדינונגס טאָן ניט האָבן צייט צו ריספּאַנד אָדער טאָן ניט זען זיי:

• זיכערהייט לאָגס טאָן ניט עקסיסטירן. דאָס איז אַ גאַנץ פּראָסט סיטואַציע, ספּעציעל צווישן אָנהייבער פּלייַערס אין די מאַרק פֿאַר וואָלקן סאַלושאַנז. אָבער איר זאָל נישט געבן אַרויף אויף זיי מיד. קליין פּלייַערס, ספּעציעל דינער, זענען מער שפּירעוודיק צו קונה באדערפענישן און קענען געשווינד ינסטרומענט עטלעכע פארלאנגט פאַנגקשאַנז דורך טשאַנגינג די באוויליקט ראָאַדמאַפּ פֿאַר זייער פּראָדוקטן. יאָ, דאָס וועט נישט זיין אַן אַנאַלאָג פון GuardDuty פֿון Amazon אָדער די "פּראָאַקטיווע פּראַטעקשאַן" מאָדולע פֿון Bitrix, אָבער לפּחות עפּעס.
• אינפֿאָרמאַציע זיכערהייט טוט נישט וויסן ווו די לאָגס זענען סטאָרד אָדער עס איז קיין אַקסעס צו זיי. דאָ עס איז נייטיק צו אַרייַן נאַגאָושייישאַנז מיט די וואָלקן דינסט שפּייַזער - טאָמער ער וועט צושטעלן אַזאַ אינפֿאָרמאַציע אויב ער האלט דעם קליענט ווי וויכטיק פֿאַר אים. אָבער אין אַלגעמיין, עס איז נישט זייער גוט ווען אַקסעס צו לאָגס איז צוגעשטעלט "דורך ספּעציעל באַשלוס."
• עס אויך כאַפּאַנז אַז די וואָלקן שפּייַזער האט לאָגס, אָבער זיי צושטעלן לימיטעד מאָניטאָרינג און געשעעניש רעקאָרדינג, וואָס זענען נישט גענוג צו דעטעקט אַלע ינסאַדאַנץ. פֿאַר בייַשפּיל, איר קען בלויז באַקומען לאָגס פון ענדערונגען אויף אַ וועבזייטל אָדער לאָגס פון באַניצער אָטענטאַקיישאַן פרווון, אָבער נישט אנדערע געשעענישן, אַזאַ ווי נעץ פאַרקער, וואָס וועט באַהאַלטן פון איר אַ גאַנץ שיכטע פון ​​​​געשעענישן וואָס קעראַקטערייז פרווון צו כאַק דיין וואָלקן ינפראַסטראַקטשער.
• עס זענען לאָגס, אָבער אַקסעס צו זיי איז שווער צו אָטאַמייט, וואָס פאָרסעס זיי צו זיין מאָניטאָרעד ניט קעסיידער, אָבער אויף אַ פּלאַן. און אויב איר קענען נישט אראפקאפיע לאָגס אויטאָמאַטיש, דאַונלאָודינג לאָגס, למשל, אין עקססעל פֿאָרמאַט (ווי מיט אַ נומער פון דינער וואָלקן לייזונג פּראַוויידערז), קען אפילו פירן צו אַ ומכיישעק פון די פֿירמע אינפֿאָרמאַציע זיכערהייט סערוויס צו טינקער מיט זיי.
• קיין קלאָץ מאָניטאָרינג. דאָס איז טאָמער די מערסט ומקלאָר סיבה פֿאַר די פּאַסירונג פון אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ אין וואָלקן ינווייראַנמאַנץ. עס מיינט אַז עס זענען לאָגס, און עס איז מעגלעך צו אָטאַמייט אַקסעס צו זיי, אָבער קיין איינער טוט דאָס. פארוואס?

שערד וואָלקן זיכערהייט באַגריף

דער יבערגאַנג צו די וואָלקן איז שטענדיק אַ זוכן פֿאַר אַ וואָג צווישן די פאַרלאַנג צו האַלטן קאָנטראָל איבער די ינפראַסטראַקטשער און טראַנספערינג עס צו די מער פאַכמאַן הענט פון אַ וואָלקן שפּייַזער וואָס ספּעשאַלייזיז אין מיינטיינינג עס. און אין די פעלד פון וואָלקן זיכערהייַט, דעם וואָג מוזן אויך זיין געזוכט. דערצו, דיפּענדינג אויף די וואָלקן דינסט עקספּרעס מאָדעל (IaaS, PaaS, SaaS), די וואָג וועט זיין אַנדערש אַלע די צייט. אין קיין פאַל, מיר מוזן געדענקען אַז אַלע וואָלקן פּראַוויידערז הייַנט נאָכגיין די אַזוי גערופענע שערד פֿאַראַנטוואָרטלעכקייט און שערד אינפֿאָרמאַציע זיכערהייט מאָדעל. דער וואָלקן איז פאַראַנטוואָרטלעך פֿאַר עטלעכע טינגז, און פֿאַר אנדערע דער קליענט איז פאַראַנטוואָרטלעך, פּלייסינג זיין דאַטן, זיין אַפּלאַקיישאַנז, זיין ווירטואַל מאשינען און אנדערע רעסורסן אין די וואָלקן. עס וואָלט זיין ניט באַטראַכט צו דערוואַרטן אַז דורך גיין צו די וואָלקן, מיר וועלן יבעררוק אַלע פֿאַראַנטוואָרטלעכקייט צו די שפּייַזער. אָבער עס איז אויך אַנווייז צו בויען אַלע די זיכערהייט זיך ווען איר מאַך צו די וואָלקן. א וואָג איז פארלאנגט, וואָס וועט אָפענגען אויף פילע סיבות: - ריזיקירן פאַרוואַלטונג סטראַטעגיע, סאַקאָנע מאָדעל, זיכערהייט מעקאַניזאַמז בנימצא צו די וואָלקן שפּייַזער, געסעצ - געבונג, עטק.

פֿאַר בייַשפּיל, די קלאַסאַפאַקיישאַן פון דאַטן כאָוסטיד אין די וואָלקן איז שטענדיק די פֿאַראַנטוואָרטלעכקייט פון דער קונה. א וואָלקן שפּייַזער אָדער אַ פונדרויסנדיק סערוויס פּראַוויידערז קענען בלויז העלפֿן אים מיט מכשירים וואָס וועט העלפֿן צו צייכן דאַטן אין די וואָלקן, ידענטיפיצירן ווייאַליישאַנז, ויסמעקן דאַטן וואָס ווייאַלייץ די געזעץ, אָדער מאַסקע עס מיט איין אָדער אנדערן אופֿן. אויף די אנדערע האַנט, גשמיות זיכערהייט איז שטענדיק די פֿאַראַנטוואָרטלעכקייט פון די וואָלקן שפּייַזער, וואָס עס קען נישט טיילן מיט קלייאַנץ. אָבער אַלץ וואָס איז צווישן דאַטן און גשמיות ינפראַסטראַקטשער איז פּונקט די טעמע פון ​​דיסקוסיע אין דעם אַרטיקל. צום ביישפּיל, די אַוויילאַבילאַטי פון די וואָלקן איז די פֿאַראַנטוואָרטלעכקייט פון דער שפּייַזער, און די פֿאַראַנטוואָרטלעכקייט פון דעם קליענט איז די פֿאַראַנטוואָרטלעכקייט פון דעם קליענט צו באַשטעטיקן פיירוואַל כּללים אָדער געבן ענקריפּשאַן. אין דעם אַרטיקל מיר וועלן פּרובירן צו קוקן אין וואָס מעקאַניזאַמז פון מאָניטאָרינג פון אינפֿאָרמאַציע זיכערהייט זענען צוגעשטעלט הייַנט דורך פאַרשידן פאָלקס וואָלקן פּראַוויידערז אין רוסלאַנד, וואָס זענען די פֿעיִקייטן פון זייער נוצן, און ווען עס איז ווערט צו קוקן פֿאַר פונדרויסנדיק אָוווערליי סאַלושאַנז (למשל, Cisco E- mail Security) וואָס יקספּאַנד די קייפּאַבילאַטיז פון דיין וואָלקן אין טערמינען פון סייבערסעקוריטי. אין עטלעכע קאַסעס, ספּעציעל אויב איר נאָכפאָלגן אַ מאַלטי-וואָלקן סטראַטעגיע, איר וועט האָבן קיין ברירה אָבער צו נוצן פונדרויסנדיק אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג סאַלושאַנז אין עטלעכע וואָלקן ינווייראַנמאַנץ אין אַמאָל (למשל, Cisco CloudLock אָדער Cisco Stealthwatch Cloud). נו, אין עטלעכע קאַסעס איר וועט פאַרשטיין אַז די וואָלקן שפּייַזער איר האָט אויסדערוויילט (אָדער ימפּאָוזד אויף איר) טוט נישט פאָרשלאָגן קיין אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג קייפּאַבילאַטיז. דאָס איז פּריקרע, אָבער אויך נישט אַ ביסל, ווייַל עס אַלאַוז איר צו אַדאַקוואַטלי אַססעסס די מדרגה פון ריזיקירן פֿאַרבונדן מיט ארבעטן מיט דעם וואָלקן.

וואָלקן זיכערהייט מאָניטאָרינג ליפעסיקלע

צו מאָניטאָר די זיכערהייט פון די וואלקנס איר נוצן, איר האָבן בלויז דריי אָפּציעס:

• פאַרלאָזנ זיך די מכשירים צוגעשטעלט דורך דיין וואָלקן שפּייַזער,
• ניצן סאַלושאַנז פון דריט פּאַרטיעס וואָס וועט מאָניטאָר די IaaS, PaaS אָדער SaaS פּלאַטפאָרמס איר נוצן,
• בויען דיין אייגענע וואָלקן מאָניטאָרינג ינפראַסטראַקטשער (בלויז פֿאַר IaaS / PaaS פּלאַטפאָרמס).

זאל ס זען וואָס פֿעיִקייטן יעדער פון די אָפּציעס האט. אָבער ערשטער, מיר דאַרפֿן צו פֿאַרשטיין די אַלגעמיינע פריימווערק וואָס וועט זיין געוויינט ווען מאָניטאָרינג וואָלקן פּלאַטפאָרמס. איך וואָלט הויכפּונקט 6 הויפּט קאַמפּאָונאַנץ פון די אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג פּראָצעס אין די וואָלקן:

• צוגרייטונג פון ינפראַסטראַקטשער. דיטערמאַנינג די נייטיק אַפּלאַקיישאַנז און ינפראַסטראַקטשער פֿאַר קאַלעקטינג געשעענישן וויכטיק פֿאַר אינפֿאָרמאַציע זיכערהייט אין סטאָרידזש.
• זאַמלונג. אין דעם בינע, זיכערהייט געשעענישן זענען געזאמלט פֿון פאַרשידן קוואלן פֿאַר סאַבסאַקוואַנט טראַנסמיסיע פֿאַר פּראַסעסינג, סטאָרידזש און אַנאַליסיס.
• באַהאַנדלונג. אין דעם בינע, די דאַטן זענען פארוואנדלען און ענריטשט צו פאַסילאַטייט סאַבסאַקוואַנט אַנאַליסיס.
• סטאָרידזש. דער קאָמפּאָנענט איז פאַראַנטוואָרטלעך פֿאַר קורץ-טערמין און לאַנג-טערמין סטאָרידזש פון געזאמלט פּראַסעסט און רוי דאַטן.
• אַנאַליסיס. אין דעם בינע, איר האָבן די פיייקייט צו דעטעקט ינסאַדאַנץ און ריספּאַנד צו זיי אויטאָמאַטיש אָדער מאַניואַלי.
• רעפּאָרטינג. דער בינע העלפּס צו פאָרמולירן שליסל ינדיקאַטאָרס פֿאַר סטייקכאָולדערז (פאַרוואַלטונג, אַדאַטערז, וואָלקן שפּייַזער, קלייאַנץ, אאז"ו ו) וואָס העלפֿן אונדז מאַכן זיכער דיסיזשאַנז, למשל, טשאַנגינג אַ שפּייַזער אָדער פֿאַרשטאַרקונג אינפֿאָרמאַציע זיכערהייט.

פארשטאנד פון די קאַמפּאָונאַנץ וועט לאָזן איר געשווינד באַשליסן אין דער צוקונפֿט וואָס איר קענען נעמען פון דיין שפּייַזער, און וואָס איר וועט האָבן צו טאָן זיך אָדער מיט די ינוואַלוומאַנט פון פונדרויסנדיק קאַנסאַלטאַנץ.

געבויט-אין וואָלקן באַדינונגס

איך שוין געשריבן אויבן אַז פילע וואָלקן באַדינונגס הייַנט טאָן ניט צושטעלן קיין אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג קייפּאַבילאַטיז. אין אַלגעמיין, זיי טאָן ניט באַצאָלן פיל ופמערקזאַמקייַט צו די טעמע פון ​​אינפֿאָרמאַציע זיכערהייט. פֿאַר בייַשפּיל, איינער פון די פאָלקס רוסיש באַדינונגס פֿאַר שיקן ריפּאָרץ צו רעגירונג יידזשאַנסיז דורך די אינטערנעט (איך וועל נישט ספּאַסיפיקלי דערמאָנען זייַן נאָמען). די גאנצע אָפּטיילונג וועגן די זיכערהייט פון דעם דינסט ריוואַלווז אַרום די נוצן פון סערטאַפייד CIPF. די אינפֿאָרמאַציע זיכערהייט אָפּטיילונג פון אן אנדער דינער וואָלקן דינסט פֿאַר עלעקטראָניש דאָקומענט פאַרוואַלטונג איז ניט אַנדערש. עס רעדט וועגן ציבור שליסל סערטיפיקאַץ, סערטאַפייד קריפּטאָגראַפי, ילימאַנייטינג וועב וואַלנעראַביליטיז, שוץ קעגן DDoS אנפאלן, ניצן פירעוואַללס, באַקאַפּס און אפילו רעגולער אינפֿאָרמאַציע זיכערהייט אַדאַץ. אָבער עס איז נישט אַ וואָרט וועגן מאָניטאָרינג, אדער וועגן די מעגלעכקייט צו באַקומען אַקסעס צו אינפֿאָרמאַציע זיכערהייט געשעענישן וואָס קען זיין פון אינטערעס צו די קלייאַנץ פון דעם דינסט שפּייַזער.

אין אַלגעמיין, דורך די וועג די וואָלקן שפּייַזער באשרייבט אינפֿאָרמאַציע זיכערהייט ישוז אויף זיין וועבזייטל און אין זיין דאַקיומענטיישאַן, איר קענען פֿאַרשטיין ווי עמעס עס נעמט דעם אַרויסגעבן. פֿאַר בייַשפּיל, אויב איר לייענען די מאַניואַלז פֿאַר די "מייַן אָפפיסע" פּראָדוקטן, עס איז נישט אַ וואָרט וועגן זיכערהייט, אָבער אין די דאַקיומענטיישאַן פֿאַר די באַזונדער פּראָדוקט "מייַן אָפפיסע. KS3", דיזיינד צו באַשיצן קעגן אַנאָטערייזד אַקסעס, עס איז אַ געוויינטלעך ליסטינג פון פונקטן פון די 17 סדר פון די FSTEC, וואָס "My Office.KS3" ימפּלאַמאַנץ, אָבער עס איז נישט דיסקרייבד ווי עס ימפּלאַמאַנץ עס און, רובֿ ימפּאָרטאַנטלי, ווי צו טאָן דאָס. ויסשטימען די מעקאַניזאַמז מיט פֿירמע אינפֿאָרמאַציע זיכערהייט. טאָמער אַזאַ דאַקיומענטיישאַן יגזיסץ, אָבער איך האט נישט געפֿינען עס אין די ציבור פעלד, אויף די "מייַן אָפפיסע" וועבזייטל. כאָטש אפֿשר איך נאָר טאָן ניט האָבן צוטריט צו דעם סוד אינפֿאָרמאַציע? ..

פֿאַר Bitrix, די סיטואַציע איז פיל בעסער. די דאַקיומענטיישאַן באשרייבט די פֿאָרמאַטירונגען פון די געשעעניש לאָגס און, ינטערעסטינגלי, די ינטרוזשאַן קלאָץ, וואָס כּולל געשעענישן שייַכות צו פּאָטענציעל טרעץ צו די וואָלקן פּלאַטפאָרמע. פֿון דאָרט איר קענען ציען די IP, באַניצער אָדער גאַסט נאָמען, געשעעניש מקור, צייט, באַניצער אַגענט, געשעעניש טיפּ, עטק. אמת, איר קענען אַרבעטן מיט די געשעענישן אָדער פֿון די קאָנטראָל טאַפליע פון ​​​​די וואָלקן זיך, אָדער צופֿעליקער דאַטן אין MS Excel פֿאָרמאַט. עס איז איצט שווער צו אָטאַמייט אַרבעט מיט Bitrix לאָגס און איר וועט האָבן צו טאָן עטלעכע פון ​​​​די אַרבעט מאַניואַלי (ופּלאָאַדינג די באַריכט און לאָודינג עס אין דיין SIEM). אבער אויב מיר געדענקען אַז ביז לעפיערעך לעצטנס אַזאַ געלעגנהייט האט נישט עקסיסטירן, דאָס איז גרויס פּראָגרעס. אין דער זעלביקער צייט, איך וואָלט ווי צו טאָן אַז פילע פרעמד וואָלקן פּראַוויידערז פאָרשלאָגן ענלעך פאַנגקשאַנאַליטי "פֿאַר ביגינערז" - אָדער קוק די לאָגס מיט דיין אויגן דורך די קאָנטראָל טאַפליע, אָדער צופֿעליקער די דאַטן צו זיך (אָבער, רובֿ ופּלאָאַד דאַטן אין . csv פֿאָרמאַט, נישט עקססעל).

אָן קאַנסידערינג די ניט-לאָגס אָפּציע, וואָלקן פּראַוויידערז יוזשאַוואַלי פאָרשלאָגן דריי אָפּציעס פֿאַר מאָניטאָרינג זיכערהייט געשעענישן - דאַשבאָרדז, דאַטן ופּלאָאַד און אַפּי אַקסעס. דער ערשטער סימז צו סאָלווע פילע פראבלעמען פֿאַר איר, אָבער דאָס איז נישט לעגאַמרע אמת - אויב איר האָבן עטלעכע מאַגאַזינז, איר מוזן באַשטימען צווישן די סקרינז וואָס ווייַזן זיי, און פאַרלירן די קוילעלדיק בילד. אין אַדישאַן, דער וואָלקן שפּייַזער איז אַנלייקלי צו צושטעלן איר די פיייקייט צו קאָראַלייט זיכערהייט געשעענישן און בכלל פונאַנדערקלייַבן זיי פֿון אַ זיכערהייט פונט פון מיינונג (יוזשאַוואַלי איר האַנדלען מיט רוי דאַטן, וואָס איר דאַרפֿן צו פֿאַרשטיין זיך). עס זענען אויסנעמען און מיר וועלן רעדן וועגן זיי ווייַטער. צום סוף, עס איז ווערט צו פרעגן וואָס געשעענישן זענען רעקאָרדעד דורך דיין וואָלקן שפּייַזער, אין וואָס פֿאָרמאַט, און ווי טאָן זיי שטימען צו דיין מאָניטאָרינג פּראָצעס פון אינפֿאָרמאַציע זיכערהייט? פֿאַר בייַשפּיל, לעגיטימאַציע און אָטענטאַקיישאַן פון ניצערס און געסט. דער זעלביקער ביטריקס אַלאַוז איר, באזירט אויף די געשעענישן, צו רעקאָרדירן די דאַטע און צייט פון דער געשעעניש, די נאָמען פון די באַניצער אָדער גאַסט (אויב איר האָבן די "וועב אַנאַליטיקס" מאָדולע), די אַקסעסט און אנדערע עלעמענטן טיפּיש פֿאַר אַ וועבזייטל. . אָבער פֿירמע אינפֿאָרמאַציע זיכערהייט באַדינונגס קען דאַרפֿן אינפֿאָרמאַציע וועגן צי דער באַניצער אַקסעסט די וואָלקן פֿון אַ טראַסטיד מיטל (למשל, אין אַ פֿירמע נעץ די אַרבעט איז ימפּלאַמענאַד דורך Cisco ISE). וואָס וועגן אַזאַ אַ פּשוט אַרבעט ווי די געאָ-IP פונקציע, וואָס וועט העלפֿן באַשטימען צי אַ וואָלקן סערוויס באַניצער חשבון איז סטאָלען? און אפילו אויב דער וואָלקן שפּייַזער גיט עס צו איר, דאָס איז נישט גענוג. דער זעלביקער Cisco CloudLock אַנאַליזירט ניט בלויז געאָלאָקאַטיאָן, אָבער ניצט מאַשין לערנען פֿאַר דעם און אַנאַליזעס היסטארישע דאַטן פֿאַר יעדער באַניצער און מאָניטאָרס פאַרשידן אַנאַמאַליז אין לעגיטימאַציע און אָטענטאַקיישאַן פרווון. בלויז MS Azure האט ענלעך פאַנגקשאַנאַליטי (אויב איר האָבן די צונעמען אַבאָנעמענט).

עס איז אן אנדער שוועריקייט - זינט פֿאַר פילע וואָלקן פּראַוויידערז מאָניטאָרינג פון אינפֿאָרמאַציע זיכערהייט איז אַ נייַע טעמע מיט וואָס זיי נאָר אָנהייבן צו האַנדלען מיט, זיי קעסיידער טשאַנגינג עפּעס אין זייער סאַלושאַנז. הייַנט זיי האָבן איין ווערסיע פון ​​די אַפּי, מאָרגן אנדערן, איבער מאָרגן אַ דריט. איר אויך דאַרפֿן צו זיין צוגעגרייט פֿאַר דעם. דער זעלביקער איז אמת מיט פאַנגקשאַנאַליטי, וואָס קען טוישן, וואָס מוזן זיין גענומען אין חשבון אין דיין אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג סיסטעם. פֿאַר בייַשפּיל, אַמאַזאָן טכילעס האט באַזונדער וואָלקן געשעעניש מאָניטאָרינג באַדינונגס - AWS CloudTrail און AWS CloudWatch. דערנאָך איז ארויס אַ באַזונדער סערוויס פֿאַר מאָניטאָרינג אינפֿאָרמאַציע זיכערהייט געשעענישן - AWS GuardDuty. נאָך עטלעכע מאָל, אַמאַזאָן לאָנטשט אַ נייַע פאַרוואַלטונג סיסטעם, Amazon Security Hub, וואָס כולל אַנאַליסיס פון דאַטן באקומען פון GuardDuty, Amazon Inspector, Amazon Macie און עטלעכע אנדערע. אן אנדער ביישפּיל איז די Azure לאָג ינטאַגריישאַן געצייַג מיט SIEM - AzLog. עס איז אַקטיוולי געוויינט דורך פילע SIEM ווענדאָרס, ביז אין 2018 מייקראָסאָפֿט מודיע די ופהער פון זייַן אַנטוויקלונג און שטיצן, וואָס קאַנפראַנטיד פילע קלייאַנץ וואָס געוויינט דעם געצייַג מיט אַ פּראָבלעם (מיר וועלן רעדן וועגן ווי עס איז סאַלווד שפּעטער).

דעריבער, קערפאַלי מאָניטאָר אַלע די מאָניטאָרינג פֿעיִקייטן וואָס דיין וואָלקן שפּייַזער אָפפערס איר. אָדער פאַרלאָזנ זיך פונדרויסנדיק לייזונג פּראַוויידערז וואָס וועלן שפּילן ווי ינערמידיעריז צווישן דיין סאָק און די וואָלקן איר ווילן צו מאָניטאָר. יאָ, עס וועט זיין מער טייַער (כאָטש ניט שטענדיק), אָבער איר וועט יבעררוק אַלע די פֿאַראַנטוואָרטלעכקייט אויף עמעצער אַנדערש ס פּלייצעס. אָדער ניט אַלע פון ​​עס? כאָוסטיד אין די וואָלקן. און מיר וועלן אָנהייבן מיט וואָס אַמאַזאָן אָפפערס אין דעם טייל.

בייַשפּיל: אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג אין IaaS באזירט אויף AWS

יא יא, איך פארשטיי אז עמעזאן איז נישט דער בעסטער ביישפיל צוליב דעם וואס דאס איז אן אמעריקאנער סערוויס און עס קען אפגעשטעלט ווערן אלס א טייל פונעם קאמף קעגן עקסטרעמיזם און די פארשפרייטונג פון אינפארמאציע פארבאטן אין רוסלאנד. אָבער אין דעם ויסגאַבע איך וואָלט נאָר ווי צו ווייַזן ווי פאַרשידענע וואָלקן פּלאַטפאָרמס אַנדערש זייַן אין זייער אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג קייפּאַבילאַטיז און וואָס איר זאָל באַצאָלן ופמערקזאַמקייט צו ווען טראַנספערינג דיין שליסל פּראַסעסאַז צו די וואלקנס פֿון אַ זיכערהייט פונט פון מיינונג. נו, אויב עטלעכע פון ​​די רוסישע דעוועלאָפּערס פון וואָלקן סאַלושאַנז לערנען עפּעס נוציק פֿאַר זיך, דאָס וועט זיין גרויס.

דער ערשטער זאַך צו זאָגן איז אַז אַמאַזאָן איז נישט אַן ימפּענאַטראַבאַל פעסטונג. פֿאַרשידענע אינצידענטן קומען קעסיידער מיט זײַנע קלייאַנץ. צום ביישפּיל, די נעמען, אַדרעסעס, געבורטס דאַטעס און טעלעפאָן נומערן פון 198 מיליאָן וואָטערס זענען סטאָלען פון Deep Root Analytics. ישראל פירמע Nice Systems סטאָול 14 מיליאָן רעקאָרדס פון וועריזאָן אבאנענטן. אָבער, די געבויט-אין קייפּאַבילאַטיז פון AWS לאָזן איר צו דעטעקט אַ ברייט קייט פון ינסאַדאַנץ. למשל:

• פּראַל אויף ינפראַסטראַקטשער (DDoS)
• נאָדע קאָמפּראָמיס (באַפעל ינדזשעקשאַן)
• חשבון קאָמפּראָמיס און אַנאָטערייזד אַקסעס
• פאַלש קאַנפיגיעריישאַן און וואַלנעראַביליטיז
• ינסאַקיער ינטערפייסיז און אַפּיס.

די דיסקרעפּאַנסי איז רעכט צו דעם פאַקט אַז, ווי מיר געפֿונען אויבן, דער קונה זיך איז פאַראַנטוואָרטלעך פֿאַר די זיכערהייט פון קונה דאַטן. און אויב ער האט נישט אַרן צו ווענדן פּראַטעקטיוו מעקאַניזאַמז און האט נישט ווענדן מאָניטאָרינג מכשירים, ער וועט נאָר לערנען וועגן דעם אינצידענט פון די מידיאַ אָדער פון זיין קלייאַנץ.

צו ידענטיפיצירן ינסאַדאַנץ, איר קענען נוצן אַ ברייט קייט פון פאַרשידענע מאָניטאָרינג באַדינונגס דעוועלאָפּעד דורך אַמאַזאָן (כאָטש די זענען אָפט קאַמפּלאַמענטיד דורך פונדרויסנדיק מכשירים אַזאַ ווי אָסקערי). אַזוי, אין AWS, אַלע באַניצער אַקשאַנז זענען מאָניטאָרעד, ראַגאַרדלאַס פון ווי זיי זענען דורכגעקאָכט - דורך די פאַרוואַלטונג קאַנסאָול, באַפֿעלן שורה, SDK אָדער אנדערע AWS באַדינונגס. אַלע רעקאָרדס פון די אַקטיוויטעט פון יעדער AWS חשבון (אַרייַנגערעכנט נאמען, קאַמף, דינסט, טעטיקייט פּאַראַמעטערס און רעזולטאַט) און אַפּי באַניץ זענען בארעכטיגט דורך AWS CloudTrail. איר קענט זען די געשעענישן (אַזאַ ווי AWS IAM קאַנסאָול לאָגינס) פֿון די CloudTrail קאַנסאָול, אַנאַלייז זיי מיט Amazon Athena, אָדער "אַוטסאָורס" זיי צו פונדרויסנדיק סאַלושאַנז אַזאַ ווי Splunk, AlienVault, עטק. די AWS CloudTrail לאָגס זיך זענען געשטעלט אין דיין AWS S3 עמער.

צוויי אנדערע AWS באַדינונגס צושטעלן אַ נומער פון אנדערע וויכטיק מאָניטאָרינג קייפּאַבילאַטיז. ערשטער, Amazon CloudWatch איז אַ מאָניטאָרינג דינסט פֿאַר AWS רעסורסן און אַפּלאַקיישאַנז וואָס, צווישן אנדערע, אַלאַוז איר צו ידענטיפיצירן פאַרשידן אַנאַמאַליז אין דיין וואָלקן. אַלע געבויט-אין AWS באַדינונגס, אַזאַ ווי Amazon Elastic Compute Cloud (סערווערס), Amazon Relational Database Service (דאַטאַבייסיז), Amazon Elastic MapReduce (דאַטאַ אַנאַליסיס), און 30 אנדערע Amazon באַדינונגס, נוצן Amazon CloudWatch צו קראָם זייער לאָגס. דעוועלאָפּערס קענען נוצן די אָפֿן אַפּי פֿון Amazon CloudWatch צו לייגן קלאָץ מאָניטאָרינג פאַנגקשאַנאַליטי צו מנהג אַפּלאַקיישאַנז און באַדינונגס, אַלאַוינג זיי צו יקספּאַנד די פאַרנעם פון געשעעניש אַנאַליסיס אין אַ זיכערהייט קאָנטעקסט.

צווייטנס, די VPC Flow Logs דינסט אַלאַוז איר צו פונאַנדערקלייַבן די נעץ פאַרקער געשיקט אָדער באקומען דורך דיין AWS סערווערס (ויסווייניק אָדער אינעווייניק), ווי געזונט ווי צווישן מיקראָ באַדינונגס. ווען קיין פון דיין AWS VPC רעסורסן ינטעראַקט מיט די נעץ, VPC Flow Logs רעקאָרדירט ​​דעטאַילס וועגן די נעץ פאַרקער, אַרייַנגערעכנט די מקור און דעסטיניישאַן נעץ צובינד, ווי געזונט ווי די IP אַדרעסעס, פּאָרץ, פּראָטאָקאָל, נומער פון ביטעס און נומער פון פּאַקיץ איר. געזען. יענע יקספּיריאַנסט מיט היגע נעץ זיכערהייט וועט דערקענען דעם ווי אַנאַלאָג צו פֿעדעם נעטפלאָוו, וואָס קענען זיין באשאפן דורך סוויטשיז, ראָוטערס און פאַרנעמונג-מיינונג פירעוואַללס. די לאָגס זענען וויכטיק פֿאַר מאָניטאָרינג פון אינפֿאָרמאַציע זיכערהייט, ווייַל ניט ענלעך געשעענישן וועגן די אַקשאַנז פון יוזערז און אַפּלאַקיישאַנז, זיי אויך לאָזן איר נישט פאַרפירן נעץ ינטעראַקשאַנז אין די AWS ווירטואַל פּריוואַט וואָלקן סוויווע.

אין קיצער, די דריי AWS באַדינונגס - AWS CloudTrail, Amazon CloudWatch און VPC Flow Logs - צוזאַמען צושטעלן גאַנץ שטאַרק ינסייט אין דיין חשבון באַניץ, באַניצער נאַטור, ינפראַסטראַקטשער פאַרוואַלטונג, אַפּלאַקיישאַן און דינסט טעטיקייט און נעץ טעטיקייט. פֿאַר בייַשפּיל, זיי קענען זיין געניצט צו דעטעקט די פאלגענדע אַנאַמאַליז:

• פרווון צו יבערקוקן דעם פּלאַץ, זוכן פֿאַר באַקדאָרז, זוכן פֿאַר וואַלנעראַביליטיז דורך בערסץ פון "404 ערראָרס".
• ינדזשעקשאַן אנפאלן (למשל, סקל ינדזשעקשאַן) דורך בערסץ פון "500 ערראָרס".
• באַוווסט באַפאַלן מכשירים זענען sqlmap, nikto, w3af, nmap, עטק. דורך אַנאַליסיס פון די באַניצער אַגענט פעלד.

אַמאַזאָן וועב באַדינונגס האט אויך דעוועלאָפּעד אנדערע באַדינונגס פֿאַר סייבערסעקוריטי צוועקן וואָס לאָזן איר צו סאָלווע פילע אנדערע פּראָבלעמס. למשל, AWS האט אַ געבויט-אין סערוויס פֿאַר אַדאַטינג פּאַלאַסיז און קאַנפיגיעריישאַנז - AWS Config. דער דינסט גיט קעסיידערדיק אַדאַטינג פון דיין AWS רעסורסן און זייער קאַנפיגיעריישאַנז. לאָמיר נעמען אַ פּשוט בייַשפּיל: לאָמיר זאָגן איר ווילן צו מאַכן זיכער אַז באַניצער פּאַסווערדז זענען פאַרקריפּלט אויף אַלע דיין סערווערס און אַז אַקסעס איז מעגלעך בלויז באזירט אויף סערטיפיקאַץ. AWS Config מאכט עס גרינג צו קאָנטראָלירן דעם פֿאַר אַלע דיין סערווערס. עס זענען אנדערע פּאַלאַסיז וואָס קענען זיין געווענדט צו דיין וואָלקן סערווערס: "קיין סערווער קענען נוצן פּאָרט 22", "בלויז אַדמיניסטראַטאָרס קענען טוישן פיירוואַל כּללים" אָדער "בלויז באַניצער יוואַשקאָ קענען שאַפֿן נייַע באַניצער אַקאַונץ, און ער קענען טאָן דאָס בלויז אויף דינסטאג. " אין די זומער פון 2016, די AWS Config דינסט איז יקספּאַנדיד צו אָטאַמייט די דיטעקשאַן פון ווייאַליישאַנז פון דעוועלאָפּעד פּאַלאַסיז. AWS קאָנפיג רולעס זענען בייסיקלי קעסיידערדיק קאַנפיגיעריישאַן ריקוועס פֿאַר די אַמאַזאָן באַדינונגס איר נוצן, וואָס דזשענערייט געשעענישן אויב די קאָראַספּאַנדינג פּאַלאַסיז זענען ווייאַלייטיד. פֿאַר בייַשפּיל, אַנשטאָט פון פּיריאַדיקלי לויפן AWS Config פֿראגן צו באַשטעטיקן אַז אַלע דיסקס אויף אַ ווירטועל סערווער זענען ינקריפּטיד, AWS Config רולעס קענען זיין געוויינט צו קאַנטיניואַסלי קאָנטראָלירן סערווער דיסקס צו ענשור אַז די צושטאַנד איז באגעגנט. און, רובֿ ימפּאָרטאַנטלי, אין דעם קאָנטעקסט פון דעם ויסגאַבע, קיין ווייאַליישאַנז דזשענערייט געשעענישן וואָס קענען זיין אַנאַלייזד דורך דיין אינפֿאָרמאַציע זיכערהייט סערוויס.

AWS אויך האט זיין עקוויוואַלענט צו טראדיציאנעלן פֿירמע אינפֿאָרמאַציע זיכערהייט סאַלושאַנז, וואָס אויך דזשענערייט זיכערהייט געשעענישן וואָס איר קענען און זאָל אַנאַלייז:

• ינטרוזשאַן דעטעקשאַן - AWS GuardDuty
• אינפֿאָרמאַציע רינען קאָנטראָל - AWS Macie
• EDR (כאָטש עס רעדט וועגן ענדפּאָינץ אין די וואָלקן אַ ביסל מאָדנע) - AWS קלאָודוואַטטש + עפענען מקור אָסקווערי אָדער GRR סאַלושאַנז
• נעטפלאָוו אַנאַליסיס - AWS Cloudwatch + AWS VPC Flow
• דנס אַנאַליסיס - AWS Cloudwatch + AWS Route53
• AD - AWS Directory סערוויס
• אַקאַונט מאַנאַגעמענט - AWS IAM
• SSO - AWS SSO
• זיכערהייט אַנאַליסיס - AWS Inspector
• קאַנפיגיעריישאַן פאַרוואַלטונג - AWS Config
• WAF - AWS WAF.

איך וועל נישט באַשרייַבן אין דעטאַל אַלע אַמאַזאָן באַדינונגס וואָס קען זיין נוציק אין דעם קאָנטעקסט פון אינפֿאָרמאַציע זיכערהייט. די הויפּט זאַך איז צו פֿאַרשטיין אַז אַלע פון ​​זיי קענען דזשענערייט געשעענישן וואָס מיר קענען און זאָל אַנאַלייז אין דעם קאָנטעקסט פון אינפֿאָרמאַציע זיכערהייט, ניצן פֿאַר דעם צוועק ביידע די געבויט-אין קייפּאַבילאַטיז פון אַמאַזאָן זיך און פונדרויסנדיק סאַלושאַנז, למשל, SIEM, וואָס קענען נעמען זיכערהייט געשעענישן צו דיין מאָניטאָרינג צענטער און פונאַנדערקלייַבן זיי דאָרט צוזאַמען מיט געשעענישן פון אנדערע וואָלקן באַדינונגס אָדער פֿון ינערלעך ינפראַסטראַקטשער, פּערימעטער אָדער רירעוודיק דעוויסעס.

אין קיין פאַל, עס אַלע סטאַרץ מיט די דאַטן קוואלן וואָס צושטעלן אינפֿאָרמאַציע זיכערהייט געשעענישן. די מקורים אַרייַננעמען, אָבער זענען נישט לימיטעד צו:

• CloudTrail - אַפּי באַניץ און באַניצער אַקשאַנז
• טראַסטיד אַדווייזער - זיכערהייט טשעק קעגן בעסטער פּראַקטיסיז
• קאָנפיג - ינוואַנטאָרי און קאַנפיגיעריישאַן פון אַקאַונץ און סערוויס סעטטינגס
• VPC פלאָו לאָגס - קאַנעקשאַנז צו ווירטואַל ינטערפייסיז
• IAM - לעגיטימאַציע און אָטענטאַקיישאַן דינסט
• עלב אַקסעס לאָגס - מאַסע באַלאַנסער
• ינספּעקטאָר - אַפּלאַקיישאַן וואַלנעראַביליטיז
• S3 - טעקע סטאָרידזש
• CloudWatch - אַפּפּליקאַטיאָן אַקטיוויטעט
• SNS איז אַ אָנזאָג דינסט.

אַמאַזאָן, בשעת ער אָפפערס אַזאַ אַ קייט פון געשעעניש קוואלן און מכשירים פֿאַר זייער דור, איז זייער לימיטעד אין זיין פיייקייט צו אַנאַלייז די געזאמלט דאַטן אין דעם קאָנטעקסט פון אינפֿאָרמאַציע זיכערהייט. איר וועט האָבן צו ינדיפּענדאַנטלי לערנען די בנימצא לאָגס, איר זוכט פֿאַר באַטייַטיק ינדיקאַטאָרס פון קאָמפּראָמיס אין זיי. AWS Security Hub, וואָס אַמאַזאָן לעצטנס לאָנטשט, יימז צו סאָלווע דעם פּראָבלעם דורך ווערן אַ וואָלקן SIEM פֿאַר AWS. אָבער ביז איצט עס איז בלויז אין די אָנהייב פון זיין רייזע און איז לימיטעד ביידע דורך די נומער פון קוואלן מיט וואָס עס אַרבעט און דורך אנדערע ריסטריקשאַנז געגרינדעט דורך די אַרקאַטעקטשער און סאַבסקריפּשאַנז פון אַמאַזאָן זיך.

בייַשפּיל: אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג אין IaaS באזירט אויף Azure

איך טאָן נישט וועלן צו באַקומען אין אַ לאַנג דעבאַטע וועגן וואָס פון די דריי וואָלקן פּראַוויידערז (אַמאַזאָן, מייקראָסאָפֿט אָדער Google) איז בעסער (ספּעציעל זינט יעדער פון זיי נאָך האט זייַן אייגן ספּעציפיש ספּעסיפיקס און איז פּאַסיק פֿאַר סאַלווינג זייַן אייגענע פראבלעמען); לאָמיר פאָקוס אויף די מאָניטאָרינג קייפּאַבילאַטיז פון אינפֿאָרמאַציע זיכערהייט וואָס די פּלייַערס צושטעלן. עס מוזן זיין אַדמיטאַד אַז אַמאַזאָן AWS איז געווען איינער פון די ערשטער אין דעם אָפּשניט און דעריבער האט אַוואַנסירטע אין טערמינען פון זייַן אינפֿאָרמאַציע זיכערהייט פאַנגקשאַנז (כאָטש פילע אַרייַנלאָזן אַז זיי זענען שווער צו נוצן). אָבער דאָס טוט נישט מיינען אַז מיר וועלן איגנאָרירן די אַפּערטונאַטיז וואָס מייקראָסאָפֿט און Google צושטעלן אונדז.

מייקראָסאָפֿט פּראָדוקטן האָבן שטענדיק געווען אונטערשיידן דורך זייער "אָופּאַנאַס" און אין Azure די סיטואַציע איז ענלעך. פֿאַר בייַשפּיל, אויב AWS און GCP שטענדיק פאָרזעצן פֿון דער באַגריף פון "וואָס איז נישט ערלויבט איז פּראָוכיבאַטאַד," Azure האט די פּונקט פאַרקערט צוגאַנג. פֿאַר בייַשפּיל, ווען קריייטינג אַ ווירטואַל נעץ אין די וואָלקן און אַ ווירטואַל מאַשין אין עס, אַלע פּאָרץ און פּראָטאָקאָלס זענען אָפן און ערלויבט דורך פעליקייַט. דעריבער, איר וועט האָבן צו פאַרברענגען אַ ביסל מער מי אויף דער ערשט סעטאַפּ פון די אַקסעס קאָנטראָל סיסטעם אין די וואָלקן פֿון מייקראָסאָפֿט. און דאָס אויך ימפּאָוזאַז מער סטרינדזשאַנט רעקווירעמענץ פֿאַר איר אין טערמינען פון מאָניטאָרינג טעטיקייט אין די Azure וואָלקן.

AWS האט אַ פּיקיוליעראַטי פֿאַרבונדן מיט די פאַקט אַז ווען איר מאָניטאָר דיין ווירטואַל רעסורסן, אויב זיי זענען ליגן אין פאַרשידענע מקומות, איר האָבן שוועריקייטן אין קאַמביינינג אַלע געשעענישן און זייער יונאַפייד אַנאַליסיס, צו עלימינירן וואָס איר דאַרפֿן צו נוצן פאַרשידן טריקס, אַזאַ ווי שאַפֿן דיין אייגענע קאָד פֿאַר AWS Lambda וואָס וועט אַריבערפירן געשעענישן צווישן מקומות. Azure האט נישט דעם פּראָבלעם - זיין אַקטיוויטי לאָג מעקאַניזאַם טראַקס אַלע אַקטיוויטעטן איבער די גאנצע אָרגאַניזאַציע אָן ריסטריקשאַנז. דער זעלביקער אַפּלייז צו AWS סעקוריטי הוב, וואָס איז לעצטנס דעוועלאָפּעד דורך אַמאַזאָן צו קאָנסאָלידירן פילע זיכערהייט פאַנגקשאַנז אין אַ איין זיכערהייט צענטער, אָבער בלויז אין זיין געגנט, וואָס, אָבער, איז נישט באַטייַטיק פֿאַר רוסלאַנד. Azure האט זיין אייגענע זיכערהייט צענטער, וואָס איז נישט געבונדן דורך רעגיאָנאַל ריסטריקשאַנז, און גיט אַקסעס צו אַלע די זיכערהייט פֿעיִקייטן פון די וואָלקן פּלאַטפאָרמע. דערצו, פֿאַר פאַרשידענע היגע טימז עס קענען צושטעלן זיין אייגענע גאַנג פון פּראַטעקטיוו קייפּאַבילאַטיז, אַרייַנגערעכנט זיכערהייט געשעענישן געראטן דורך זיי. AWS Security Hub איז נאָך אויף זיין וועג צו ווערן ענלעך צו Azure Security Center. אבער עס איז ווערט צו לייגן אַ פליען אין די זאלבאלל - איר קענען קוועטשן אויס פון Azure אַ פּלאַץ פון וואָס איז געווען פריער דיסקרייבד אין AWS, אָבער דאָס איז מערסט קאַנוויניאַנטלי געטאן בלויז פֿאַר Azure AD, Azure Monitor און Azure Security Center. אַלע אנדערע Azure זיכערהייט מעקאַניזאַמז, אַרייַנגערעכנט זיכערהייט געשעעניש אַנאַליסיס, זענען נישט נאָך געראטן אויף די מערסט באַקוועם וועג. דער פּראָבלעם איז טייל סאַלווד דורך די API, וואָס פּערמיייץ אַלע Microsoft Azure באַדינונגס, אָבער דאָס וועט דאַרפן נאָך מי פון איר צו ויסשטימען דיין וואָלקן מיט דיין SOC און די בייַזייַן פון קוואַלאַפייד ספּעשאַלאַסץ (אין פאַקט, ווי מיט קיין אנדערע SIEM וואָס אַרבעט מיט וואָלקן אַפּיס). עטלעכע SIEMs, וואָס וועט זיין דיסקאַסט שפּעטער, שוין שטיצן Azure און קענען אָטאַמייט די אַרבעט פון מאָניטאָרינג עס, אָבער עס אויך האט זיין אייגענע שוועריקייטן - ניט אַלע פון ​​זיי קענען קלייַבן אַלע די לאָגס וואָס Azure האט.

געשעעניש זאַמלונג און מאָניטאָרינג אין Azure איז צוגעשטעלט מיט די Azure מאָניטאָר סערוויס, וואָס איז די הויפּט געצייַג פֿאַר קאַלעקטינג, סטאָרינג און אַנאַלייזינג דאַטן אין די מיקראָסאָפט וואָלקן און זייַן רעסורסן - Git ריפּאַזאַטאָריז, קאַנטיינערז, ווירטואַל מאשינען, אַפּלאַקיישאַנז, עטק. אַלע דאַטן געזאמלט דורך Azure מאָניטאָר זענען צעטיילט אין צוויי קאַטעגאָריעס - מעטריקס, געזאמלט אין פאַקטיש צייט און דיסקרייבינג שליסל פאָרשטעלונג ינדיקאַטאָרס פון די Azure וואָלקן, און לאָגס מיט דאַטן אָרגאַניזירט אין רעקאָרדס וואָס קעראַקטערייזאַז זיכער אַספּעקץ פון די טעטיקייט פון Azure רעסורסן און באַדינונגס. אין אַדישאַן, ניצן די דאַטאַ קאַלעקטער אַפּי, די Azure מאָניטאָר סערוויס קענען קלייַבן דאַטן פֿון קיין REST מקור צו בויען זיין אייגענע מאָניטאָרינג סינעריאָוז.

דאָ זענען אַ ביסל זיכערהייט געשעעניש קוואלן אַז Azure אָפפערס איר און אַז איר קענען אַקסעס דורך די Azure Portal, CLI, PowerShell אָדער REST API (און עטלעכע בלויז דורך די Azure Monitor / Insight API):

• אַקטיוויטעט לאָגס - דעם קלאָץ ענטפֿערס די קלאַסיש פֿראגן פון "ווער," "וואָס," און "ווען" וועגן קיין שרייַבן אָפּעראַציע (PUT, POST, DELETE) אויף וואָלקן רעסורסן. געשעענישן שייַכות צו לייענען אַקסעס (GET) זענען נישט אַרייַנגערעכנט אין דעם קלאָץ, ווי אַ נומער פון אנדערע.
• דיאַגנאָסטיק לאָגס - כּולל דאַטן וועגן אַפּעריישאַנז מיט אַ באַזונדער מיטל אַרייַנגערעכנט אין דיין אַבאָנעמענט.
• Azure AD ריפּאָרטינג - כּולל ביידע באַניצער טעטיקייט און סיסטעם טעטיקייט שייַכות צו גרופּע און באַניצער פאַרוואַלטונג.
• Windows Event Log און Linux Syslog - כּולל געשעענישן פון ווירטואַל מאשינען כאָוסטיד אין די וואָלקן.
• מעטריקס - כּולל טעלעמעטרי וועגן די פאָרשטעלונג און געזונט סטאַטוס פון דיין וואָלקן באַדינונגס און רעסורסן. געמאסטן יעדער מינוט און סטאָרד. ין 30 טעג.
• נעטוואָרק סעקוריטי גרופע פלאָו לאָגס - כּולל דאַטן וועגן נעץ זיכערהייט געשעענישן געזאמלט מיט די נעטוואָרק וואַטשער דינסט און מיטל מאָניטאָרינג אויף די נעץ מדרגה.
• סטאָרידזש לאָגס - כּולל געשעענישן שייַכות צו אַקסעס צו סטאָרידזש פאַסילאַטיז.

פֿאַר מאָניטאָרינג, איר קענען נוצן פונדרויסנדיק SIEMs אָדער די געבויט-אין Azure מאָניטאָר און די יקסטענשאַנז. מיר וועלן רעדן וועגן אינפֿאָרמאַציע זיכערהייט געשעעניש פאַרוואַלטונג סיסטעמען שפּעטער, אָבער איצט לאָזן אונדז זען וואָס Azure זיך אָפפערס אונדז פֿאַר דאַטן אַנאַליסיס אין דעם קאָנטעקסט פון זיכערהייט. דער הויפּט פאַרשטעלן פֿאַר אַלץ זיכערהייט-פֿאַרבונדענע אין Azure מאָניטאָר איז די לאָג אַנאַליטיקס זיכערהייַט און קאָנטראָלירן דאַשבאָרד (די פריי ווערסיע שטיצט אַ לימיטעד סומע פון ​​געשעעניש סטאָרידזש פֿאַר בלויז איין וואָך). די דאַשבאָרד איז צעטיילט אין 5 הויפּט געביטן וואָס וויזשוואַלייז קיצער סטאַטיסטיק פון וואָס איז געשעעניש אין די וואָלקן סוויווע איר נוצן:

• זיכערהייט דאָומיינז - שליסל קוואַנטיטאַטיווע ינדיקאַטאָרס שייַכות צו אינפֿאָרמאַציע זיכערהייט - די נומער פון ינסאַדאַנץ, די נומער פון קאַמפּראַמייזד נאָודז, אַנפּאַטשט נאָודז, נעץ זיכערהייט געשעענישן, עטק.
• נאָוטאַבאַל ישוז - דיספּלייז די נומער און וויכטיקייט פון אַקטיוו אינפֿאָרמאַציע זיכערהייט ישוז
• דעטעקשאַנז - דיספּלייז פּאַטערנז פון אנפאלן געניצט קעגן איר
• Threat Intelligence - דיספּלייז דזשיאַגראַפיק אינפֿאָרמאַציע אויף פונדרויסנדיק נאָודז וואָס אַטאַקינג איר
• פּראָסט זיכערהייט פֿראגן - טיפּיש פֿראגן וואָס העלפֿן איר בעסער מאָניטאָר דיין אינפֿאָרמאַציע זיכערהייט.

Azure מאָניטאָר יקסטענשאַנז אַרייַננעמען Azure Key Vault (שוץ פון קריפּטאָגראַפיק שליסלען אין די וואָלקן), מאַלוואַרע אַססעססמענט (אַנאַליסיס פון שוץ קעגן בייזע קאָד אויף ווירטואַל מאשינען), Azure Application Gateway Analytics (אַנאַליז פון, צווישן אנדערע, וואָלקן פיירוואַל לאָגס), עטק. . די מכשירים, ענריטשט מיט זיכער כּללים פֿאַר פּראַסעסינג געשעענישן, לאָזן איר צו וויזשוואַלייז פאַרשידן אַספּעקץ פון די טעטיקייט פון וואָלקן באַדינונגס, אַרייַנגערעכנט זיכערהייט, און ידענטיפיצירן זיכער דיווייישאַנז פון אָפּעראַציע. אָבער, ווי אָפט כאַפּאַנז, קיין נאָך פאַנגקשאַנאַליטי ריקווייערז אַ קאָראַספּאַנדינג באַצאָלט אַבאָנעמענט, וואָס וועט דאַרפן קאָראַספּאַנדינג פינאַנציעל ינוועסטמאַנץ פון איר, וואָס איר דאַרפֿן צו פּלאַן אין שטייַגן.

Azure האט אַ נומער פון געבויט-אין סאַקאָנע מאָניטאָרינג קייפּאַבילאַטיז וואָס זענען ינאַגרייטיד אין Azure AD, Azure Monitor און Azure Security Center. צווישן זיי, פֿאַר בייַשפּיל, דיטעקשאַן פון ינטעראַקשאַן פון ווירטואַל מאשינען מיט באַוווסט בייזע יפּס (רעכט צו דעם בייַזייַן פון ינטאַגריישאַן מיט Threat Intelligence באַדינונגס פון מייקראָסאָפֿט), דיטעקשאַן פון מאַלוואַרע אין די וואָלקן ינפראַסטראַקטשער דורך ריסיווינג אַלאַרמס פון ווירטואַל מאשינען כאָוסטיד אין די וואָלקן, פּאַראָל געסינג אנפאלן " אויף ווירטואַל מאשינען, וואַלנעראַביליטיז אין די קאַנפיגיעריישאַן פון די באַניצער לעגיטימאַציע סיסטעם, לאָגינג אין די סיסטעם פֿון אַנאָנימיזערס אָדער ינפעקטאַד נאָודז, חשבון ליקס, לאָגינג אין די סיסטעם פֿון ומגעוויינטלעך לאָוקיישאַנז, עטק. Azure הייַנט איז איינער פון די ווייניק וואָלקן פּראַוויידערז וואָס אָפפערס איר געבויט-אין טרעט ינטעלליגענסע קייפּאַבילאַטיז צו באַרייַכערן געזאמלט אינפֿאָרמאַציע זיכערהייט געשעענישן.

ווי דערמאנט אויבן, די זיכערהייט פאַנגקשאַנאַליטי און, ווי אַ רעזולטאַט, די זיכערהייט געשעענישן דזשענערייטאַד דורך עס זענען נישט בארעכטיגט פֿאַר אַלע יוזערז גלייַך, אָבער דאַרפן אַ זיכער אַבאָנעמענט וואָס כולל די פאַנגקשאַנאַליטי איר דאַרפֿן, וואָס דזשענערייץ די צונעמען געשעענישן פֿאַר מאָניטאָרינג פון אינפֿאָרמאַציע זיכערהייט. פֿאַר בייַשפּיל, עטלעכע פון ​​די פאַנגקשאַנז דיסקרייבד אין די פריערדיקע פּאַראַגראַף פֿאַר מאָניטאָרינג אַנאַמאַליז אין אַקאַונץ זענען בלויז בנימצא אין די P2 פּרעמיע דערלויבעניש פֿאַר די Azure AD דינסט. אָן עס, איר, ווי אין דעם פאַל פון AWS, וועט האָבן צו אַנאַלייז די געזאמלט זיכערהייט געשעענישן "מאַניואַלי". און, דיפּענדינג אויף דעם טיפּ פון Azure AD דערלויבעניש, ניט אַלע געשעענישן וועט זיין בארעכטיגט פֿאַר אַנאַליסיס.

אויף די Azure טויער, איר קענען פירן ביידע זוכן פֿראגן פֿאַר לאָגס פון אינטערעס צו איר און שטעלן אַרויף דאַשבאָרדז צו וויזשוואַלייז שליסל אינפֿאָרמאַציע זיכערהייט ינדיקאַטאָרס. אין אַדישאַן, איר קענען אויסקלייַבן Azure מאָניטאָר יקסטענשאַנז, וואָס אַלאַוז איר צו יקספּאַנד די פאַנגקשאַנאַליטי פון Azure מאָניטאָר לאָגס און באַקומען אַ דיפּער אַנאַליסיס פון געשעענישן פֿון אַ זיכערהייט פונט פון מיינונג.

אויב איר דאַרפֿן ניט בלויז די פיייקייט צו אַרבעטן מיט לאָגס, אָבער אַ פולשטענדיק זיכערהייט צענטער פֿאַר דיין Azure וואָלקן פּלאַטפאָרמע, אַרייַנגערעכנט אינפֿאָרמאַציע זיכערהייט פּאָליטיק פאַרוואַלטונג, איר קענען רעדן וועגן די נויטיק צו אַרבעטן מיט Azure Security Center, רובֿ פון די נוציק פאַנגקשאַנז. זענען בארעכטיגט פֿאַר עטלעכע געלט, למשל, סאַקאָנע דיטעקשאַן, מאָניטאָרינג אַרויס פון Azure, העסקעם אַסעסמאַנט, עטק. (אין דער פריי ווערסיע, איר נאָר האָבן אַקסעס צו אַ זיכערהייט אַסעסמאַנט און רעקאַמאַנדיישאַנז פֿאַר ילימאַנייטינג יידענאַפייד פּראָבלעמס). עס קאַנסאַלאַדייץ אַלע זיכערהייט ישוז אין איין אָרט. אין פאַקט, מיר קענען רעדן וועגן אַ העכער מדרגה פון אינפֿאָרמאַציע זיכערהייט ווי Azure מאָניטאָר גיט איר, ווייַל אין דעם פאַל די דאַטן געזאמלט איבער דיין וואָלקן פאַבריק זענען ענריטשט מיט פילע קוואלן, אַזאַ ווי Azure, Office 365, Microsoft CRM אָנליין, Microsoft Dynamics AX. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) און Microsoft Security Response Center (MSRC), אויף וואָס פאַרשידן סאַפיסטאַקייטיד מאַשין לערנען און נאַטוראַל אַנאַליטיקס אַלגערידאַמז זענען סופּעראַמפּאָוזד, וואָס לעסאָף זאָל פֿאַרבעסערן די עפעקטיווקייַט פון דיטעקטינג און ריספּאַנדינג צו טרעץ. .

Azure האט אויך זיין אייגענע SIEM - עס איז ארויס אין די אָנהייב פון 2019. דאָס איז Azure Sentinel, וואָס רילייז אויף דאַטן פֿון Azure מאָניטאָר און קענען אויך ויסשטימען מיט. פונדרויסנדיק זיכערהייט סאַלושאַנז (למשל, NGFW אָדער WAF), די רשימה פון וואָס איז קעסיידער גראָוינג. אין אַדישאַן, דורך די ינאַגריישאַן פון די Microsoft Graph Security API, איר האָבן די פיייקייט צו פאַרבינדן דיין אייגענע טרעט ינטעלליגענסע פידז צו סענטינעל, וואָס ענריטשיז די קייפּאַבילאַטיז פֿאַר אַנאַלייזינג ינסאַדאַנץ אין דיין Azure וואָלקן. עס קען זיין אַרגיוד אַז Azure Sentinel איז דער ערשטער "געבוירן" SIEM וואָס איז ארויס פון וואָלקן פּראַוויידערז (דער זעלביקער ספּלונק אָדער ELK, וואָס קענען זיין כאָוסטיד אין די וואָלקן, למשל, AWS, זענען נאָך נישט דעוועלאָפּעד דורך טראדיציאנעלן וואָלקן סערוויס פּראַוויידערז). Azure Sentinel און Security Center קען זיין גערופֿן SOC פֿאַר די Azure וואָלקן און קען זיין לימיטעד צו זיי (מיט זיכער רעזערוויישאַנז) אויב איר האָט ניט מער קיין ינפראַסטראַקטשער און איר טראַנספערד אַלע דיין קאַמפּיוטינג רעסורסן צו די וואָלקן און דאָס וואָלט זיין Microsoft Cloud Azure.

אָבער זינט די געבויט-אין קייפּאַבילאַטיז פון Azure (אפילו אויב איר האָבן אַ אַבאָנעמענט צו סענטינעל) זענען אָפט נישט גענוג פֿאַר די צוועקן פון מאָניטאָרינג אינפֿאָרמאַציע זיכערהייט און ינטאַגרייטינג דעם פּראָצעס מיט אנדערע קוואלן פון זיכערהייט געשעענישן (ביי וואָלקן און ינערלעך), עס איז אַ דאַרפֿן צו אַרויספירן די געזאמלט דאַטן צו פונדרויסנדיק סיסטעמען, וואָס קען אַרייַננעמען SIEM. דאָס איז דורכגעקאָכט ביידע מיט די אַפּי און מיט ספּעציעל יקסטענשאַנז, וואָס זענען דערווייַל אַפישאַלי בנימצא בלויז פֿאַר די פאלגענדע SIEMs - Splunk (Azure Monitor Add-On for Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight און ELK. ביז לעצטנס, עס זענען געווען מער אַזאַ SIEMs, אָבער פֿון 1 יוני 2019, מייקראָסאָפֿט פארשטאפט שטיצן די Azure Log Integration Tool (AzLog), וואָס אין די פאַרטאָג פון דער עקזיסטענץ פון Azure און אין דער אַוועק פון נאָרמאַל סטאַנדערדיזיישאַן פון ארבעטן מיט לאָגס (Azure) מאָניטאָר האט נישט אפילו עקסיסטירן נאָך) געמאכט עס גרינג צו ויסשטימען פונדרויסנדיק SIEM מיט די מיקראָסאָפט וואָלקן. איצט די סיטואַציע איז פארענדערט און מייקראָסאָפֿט רעקאַמענדז די Azure Event Hub פּלאַטפאָרמע ווי די הויפּט ינטאַגריישאַן געצייַג פֿאַר אנדערע SIEMs. פילע האָבן שוין ימפּלאַמענאַד אַזאַ ינאַגריישאַן, אָבער זיין אָפּגעהיט - זיי קען נישט כאַפּן אַלע Azure לאָגס, אָבער בלויז עטלעכע (קוק אין די דאַקיומענטיישאַן פֿאַר דיין SIEM).

פארענדיקט אַ קורץ שפּאַציר אין Azure, איך וואָלט ווי צו געבן אַ גענעראַל רעקאָמענדאַציע וועגן דעם וואָלקן דינסט - איידער איר זאָגן עפּעס וועגן די מאָניטאָרינג פאַנגקשאַנז פון אינפֿאָרמאַציע זיכערהייט אין Azure, איר זאָל קאַנפיגיער זיי זייער קערפאַלי און פּרובירן אַז זיי אַרבעט ווי געשריבן אין די דאַקיומענטיישאַן און ווי די קאַנסאַלטאַנץ דערציילט איר Microsoft (און זיי קען האָבן פאַרשידענע מיינונגען אויף די פאַנגקשאַנאַליטי פון Azure פאַנגקשאַנז). אויב איר האָבן די פינאַנציעל רעסורסן, איר קענען קוועטשן אַ פּלאַץ פון נוציק אינפֿאָרמאַציע פֿון Azure אין טערמינען פון מאָניטאָרינג פון אינפֿאָרמאַציע זיכערהייט. אויב דיין רעסורסן זענען לימיטעד, איר, ווי אין דעם פאַל פון AWS, איר וועט האָבן צו פאַרלאָזנ בלויז אויף דיין אייגענע שטאַרקייט און די רוי דאַטן וואָס Azure מאָניטאָר גיט איר. און געדענקען אַז פילע מאָניטאָרינג פאַנגקשאַנז קאָסטן געלט און עס איז בעסער צו באַקענען זיך מיט די פּרייסינג פּאָליטיק אין שטייַגן. פֿאַר בייַשפּיל, פֿאַר פריי איר קענען קראָם 31 טעג פון דאַטן אַרויף צו אַ מאַקסימום פון 5 גיגאבייט פּער קונה - יקסיד די וואַלועס וועט דאַרפן איר צו גאָפּל אויס נאָך געלט (בעערעך $ 2 + פֿאַר סטאָרינג יעדער נאָך גיגאבייט פון דער קונה און $ 0,1 פֿאַר סטאָרינג 1 גיגאבייט יעדער נאָך חודש). ארבעטן מיט אַפּלאַקיישאַן טעלעמעטרי און מעטריקס קען אויך דאַרפן נאָך געלט, ווי געזונט ווי ארבעטן מיט אַלערץ און נאָוטאַפאַקיישאַנז (אַ זיכער שיעור איז בארעכטיגט פֿאַר פריי, וואָס קען נישט זיין גענוג פֿאַר דיין באדערפענישן).

בייַשפּיל: אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג אין IaaS באזירט אויף Google קלאָוד פּלאַטפאָרם

Google קלאָוד פּלאַטפאָרם קוקט ווי אַ יאָונגסטער קאַמפּערד מיט AWS און Azure, אָבער דאָס איז טייל גוט. ניט ענלעך AWS, וואָס האט ביסלעכווייַז געוואקסן זייַן קייפּאַבילאַטיז, אַרייַנגערעכנט זיכערהייט אָנעס, און האָבן פּראָבלעמס מיט סענטראַליזיישאַן; GCP, ווי Azure, איז פיל בעסער געראטן סענטראַלי, וואָס ראַדוסאַז ערראָרס און ימפּלאַמענטיישאַן צייט אַריבער די פאַרנעמונג. פֿון אַ זיכערהייט פונט פון מיינונג, GCP איז, אַדלי גענוג, צווישן AWS און Azure. ער אויך האט אַ איין געשעעניש רעגיסטראַציע פֿאַר די גאנצע אָרגאַניזאַציע, אָבער עס איז דערענדיקט. עטלעכע פאַנגקשאַנז זענען נאָך אין ביתא מאָדע, אָבער ביסלעכווייַז דעם דיפישאַנסי זאָל זיין ילימאַנייטאַד און GCP וועט ווערן אַ מער דערוואַקסן פּלאַטפאָרמע אין טערמינען פון מאָניטאָרינג פון אינפֿאָרמאַציע זיכערהייט.

די הויפּט געצייַג פֿאַר לאָגינג events אין GCP איז Stackdriver Logging (ענלעך צו Azure Monitor), וואָס אַלאַוז איר צו זאַמלען געשעענישן אין דיין גאנצע וואָלקן ינפראַסטראַקטשער (ווי געזונט ווי פֿון AWS). פֿון אַ זיכערהייט פּערספּעקטיוו אין GCP, יעדער אָרגאַניזאַציע, פּרויעקט אָדער טעקע האט פיר לאָגס:

• אַדמיניסטראַטאָר אַקטיוויטעט - כּולל אַלע געשעענישן שייַכות צו אַדמיניסטראַטיווע אַקסעס, למשל, קריייטינג אַ ווירטואַל מאַשין, טשאַנגינג אַקסעס רעכט, עטק. דער קלאָץ איז שטענדיק געשריבן, ראַגאַרדלאַס פון דיין פאַרלאַנג, און סטאָרז זיין דאַטן פֿאַר 400 טעג.
• דאַטאַ אַקסעס - כּולל אַלע געשעענישן שייַכות צו ארבעטן מיט דאַטן דורך וואָלקן יוזערז (שאַפונג, מאָדיפיקאַטיאָן, לייענען, אאז"ו ו). דורך פעליקייַט, דעם קלאָץ איז נישט געשריבן, ווייַל זייַן באַנד סוועלז זייער געשווינד. פֿאַר דעם סיבה, זייַן פּאָליצע לעבן איז בלויז 30 טעג. אין דערצו, ניט אַלץ איז געשריבן אין דעם זשורנאַל. פֿאַר בייַשפּיל, געשעענישן שייַכות צו רעסורסן וואָס זענען עפנטלעך צוטריטלעך צו אַלע יוזערז אָדער וואָס זענען צוטריטלעך אָן לאָגינג אין GCP זענען נישט געשריבן צו עס.
• סיסטעם געשעעניש - כּולל סיסטעם געשעענישן וואָס זענען נישט שייַכות צו יוזערז, אָדער אַקשאַנז פון אַ אַדמיניסטראַטאָר וואָס ענדערונגען די קאַנפיגיעריישאַן פון וואָלקן רעסורסן. עס איז שטענדיק געשריבן און סטאָרד פֿאַר 400 טעג.
• אַקסעס טראַנספּאַרענסי איז אַ יינציק בייַשפּיל פון אַ קלאָץ וואָס קאַפּטשערז אַלע אַקשאַנז פון Google עמפּלוייז (אָבער נישט נאָך פֿאַר אַלע GCP באַדינונגס) וואָס אַקסעס דיין ינפראַסטראַקטשער ווי אַ טייל פון זייער אַרבעט דוטיז. דער קלאָץ איז סטאָרד פֿאַר 400 טעג און איז ניט בארעכטיגט פֿאַר יעדער GCP קליענט, אָבער בלויז אויב אַ נומער פון באדינגונגען זענען באגעגנט (אָדער גאָלד אָדער פּלאַטינום מדרגה שטיצן, אָדער די בייַזייַן פון 4 ראָלעס פון אַ זיכער טיפּ ווי אַ טייל פון פֿירמע שטיצן). א ענלעך פֿונקציע איז אויך בנימצא, למשל, אין אָפפיסע 365 - לאָקקבאָקס.

קלאָץ בייַשפּיל: אַקסעס טראַנספּאַרענסי

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

אַקסעס צו די לאָגס איז מעגלעך אין עטלעכע וועגן (אין דער זעלביקער וועג ווי פריער דיסקאַסט Azure און AWS) - דורך די לאָג וויוער צובינד, דורך די אַפּי, דורך די Google Cloud SDK אָדער דורך די אַקטיוויטעט בלאַט פון דיין פּרויעקט פֿאַר וואָס איר. זענען אינטערעסירט אין געשעענישן. אין דער זעלביקער וועג, זיי קענען זיין יקספּאָרטאַד צו פונדרויסנדיק סאַלושאַנז פֿאַר נאָך אַנאַליסיס. די יענער איז דורכגעקאָכט דורך עקספּאָרטינג לאָגס צו BigQuery אָדער Cloud Pub / Sub סטאָרידזש.

אין אַדישאַן צו Stackdriver Logging, די GCP פּלאַטפאָרמע אויך אָפפערס Stackdriver מאָניטאָרינג פאַנגקשאַנאַליטי, וואָס אַלאַוז איר צו מאָניטאָר שליסל מעטריקס (פאָרשטעלונג, MTBF, קוילעלדיק געזונט, אאז"ו ו) פון וואָלקן באַדינונגס און אַפּלאַקיישאַנז. פּראַסעסט און וויזשוואַלייזד דאַטן קענען מאַכן עס גרינגער צו געפֿינען פּראָבלעמס אין דיין וואָלקן ינפראַסטראַקטשער, אַרייַנגערעכנט אין דעם קאָנטעקסט פון זיכערהייט. אָבער עס זאָל זיין אנגעוויזן אַז די פאַנגקשאַנאַליטי וועט נישט זיין זייער רייַך אין דעם קאָנטעקסט פון אינפֿאָרמאַציע זיכערהייט, ווייַל הייַנט GCP האט נישט אַן אַנאַלאָג פון דער זעלביקער AWS GuardDuty און קען נישט ידענטיפיצירן שלעכט צווישן אַלע רעגיסטרירט געשעענישן (Google האט דעוועלאָפּעד Event Threat Detection, אָבער עס איז נאָך אונטער אַנטוויקלונג אין ביתא און עס איז צו פרי צו רעדן וועגן זייַן נוציקייט). סטאַקקדריווער מאָניטאָרינג קען זיין געוויינט ווי אַ סיסטעם פֿאַר דיטעקטינג אַנאַמאַליז, וואָס וואָלט זיין ינוועסטאַגייטאַד צו געפֿינען די סיבות פון זייער פּאַסירונג. אָבער ווייַל פון די פעלן פון פּערסאַנעל קוואַלאַפייד אין די פעלד פון GCP אינפֿאָרמאַציע זיכערהייט אין די מאַרק, די אַרבעט איצט קוקט שווער.

עס איז אויך ווערט צו געבן אַ רשימה פון עטלעכע אינפֿאָרמאַציע זיכערהייט מאַדזשולז וואָס קענען זיין געוויינט אין דיין GCP וואָלקן, און וואָס זענען ענלעך צו וואָס AWS אָפפערס:

• קלאָוד סעקוריטי קאַמאַנד צענטער איז אַן אַנאַלאָג פון AWS Security Hub און Azure Security Center.
• Cloud DLP - אָטאַמאַטיק ופדעקונג און עדיטינג (למשל מאַסקינג) פון דאַטן כאָוסטיד אין די וואָלקן מיט מער ווי 90 פּרעדעפינעד קלאַסאַפאַקיישאַן פּאַלאַסיז.
• קלאָוד סקאַננער איז אַ סקאַננער פֿאַר באַוווסט וואַלנעראַביליטיז (קססס, פלאַש ינדזשעקשאַן, אַנפּאַטשט לייברעריז, אאז"ו ו) אין אַפּ ענגינע, קאַמפּיוטע ענגינע און Google Kubernetes.
• Cloud IAM - קאָנטראָל אַקסעס צו אַלע GCP רעסורסן.
• קלאָוד אידענטיטעט - פירן GCP באַניצער, מיטל און אַפּלאַקיישאַן אַקאַונץ פֿון אַ איין קאַנסאָול.
• קלאָוד הסם - שוץ פון קריפּטאָגראַפיק שליסלען.
• קלאָוד שליסל מאַנאַגעמענט סערוויס - פאַרוואַלטונג פון קריפּטאָגראַפיק שליסלען אין GCP.
• VPC סערוויס קאָנטראָל - שאַפֿן אַ זיכער פּערימעטער אַרום דיין GCP רעסורסן צו באַשיצן זיי פון ליקס.
• Titan Security Key - שוץ קעגן פישינג.

פילע פון ​​די מאַדזשולז דזשענערייט זיכערהייט געשעענישן וואָס קענען זיין געשיקט צו BigQuery סטאָרידזש פֿאַר אַנאַליסיס אָדער אַרויספירן צו אנדערע סיסטעמען, אַרייַנגערעכנט SIEM. ווי דערמאנט אויבן, GCP איז אַן אַקטיוולי דעוועלאָפּינג פּלאַטפאָרמע און Google איז איצט דעוועלאָפּינג אַ נומער פון נייַע אינפֿאָרמאַציע זיכערהייט מאַדזשולז פֿאַר זיין פּלאַטפאָרמע. צווישן זיי זענען Event Threat Detection (איצט בנימצא אין ביתא), וואָס סקאַנז סטאַקקדריווער לאָגס אין זוכן פון טראַסעס פון אַנאָטערייזד טעטיקייט (אַנאַלאָג צו GuardDuty אין AWS), אָדער פּאָליטיק ינטעלליגענסע (בנימצא אין אַלף), וואָס וועט לאָזן איר צו אַנטוויקלען ינטעליגענט פּאַלאַסיז פֿאַר אַקסעס צו GCP רעסורסן.

איך געמאכט אַ קורץ איבערבליק פון די געבויט-אין מאָניטאָרינג קייפּאַבילאַטיז אין פאָלקס וואָלקן פּלאַטפאָרמס. אָבער טאָן איר האָבן ספּעשאַלאַסץ וואָס קענען אַרבעטן מיט "רוי" IaaS פּראַוויידער לאָגס (ניט אַלעמען איז גרייט צו קויפן די אַוואַנסירטע קייפּאַבילאַטיז פון AWS אָדער Azure אָדער Google)? אין אַדישאַן, פילע זענען באַקאַנט מיט די אַדאַגע "צוטרוי, אָבער באַשטעטיקן," וואָס איז אמת ווי אלץ אין די פעלד פון זיכערהייט. ווי פיל טאָן איר צוטרוי די געבויט-אין קייפּאַבילאַטיז פון די וואָלקן שפּייַזער וואָס שיקן איר אינפֿאָרמאַציע זיכערהייט געשעענישן? ווי פיל טאָן זיי פאָקוס אויף אינפֿאָרמאַציע זיכערהייט?

מאל עס איז ווערט צו קוקן אין אָוווערליי וואָלקן ינפראַסטראַקטשער מאָניטאָרינג סאַלושאַנז וואָס קענען דערגאַנג די געבויט-אין וואָלקן זיכערהייט, און מאל אַזאַ סאַלושאַנז זענען די בלויז אָפּציע צו באַקומען ינסייט אין די זיכערהייט פון דיין דאַטן און אַפּלאַקיישאַנז כאָוסטיד אין די וואָלקן. אין אַדישאַן, זיי זענען פשוט מער באַקוועם, ווייַל זיי נעמען אויף אַלע די טאַסקס פון אַנאַלייזינג די נייטיק לאָגס דזשענערייטאַד דורך פאַרשידענע וואָלקן באַדינונגס פון פאַרשידענע וואָלקן פּראַוויידערז. אַ ביישפּיל פון אַזאַ אַ אָוווערליי לייזונג איז Cisco Stealthwatch Cloud, וואָס איז פאָוקיסט אויף אַ איין אַרבעט - מאָניטאָרינג אינפֿאָרמאַציע זיכערהייט אַנאַמאַליז אין וואָלקן ינווייראַנמאַנץ, אַרייַנגערעכנט ניט בלויז Amazon AWS, Microsoft Azure און Google Cloud Platform, אָבער אויך פּריוואַט וואלקנס.

בייַשפּיל: אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג ניצן סטעלטוואַטטש קלאָוד

AWS גיט אַ פלעקסאַבאַל קאַמפּיוטינג פּלאַטפאָרמע, אָבער די בייגיקייט מאכט עס גרינגער פֿאַר קאָמפּאַניעס צו מאַכן מיסטייקס וואָס פירן צו זיכערהייט ישוז. און די שערד אינפֿאָרמאַציע זיכערהייט מאָדעל קאַנטריביוץ בלויז צו דעם. פליסנדיק ווייכווארג אין די וואָלקן מיט אומבאַקאַנט וואַלנעראַביליטיז (באַוווסט אָנעס קענען זיין קאַמבייטיד, למשל, דורך AWS Inspector אָדער GCP Cloud Scanner), שוואַך פּאַסווערדז, פאַלש קאַנפיגיעריישאַנז, ינסידערז, עטק. און אַלע דעם איז שפיגלט אין די נאַטור פון וואָלקן רעסורסן, וואָס קענען זיין מאָניטאָרעד דורך Cisco Stealthwatch Cloud, וואָס איז אַן אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג און באַפאַלן דיטעקשאַן סיסטעם. ציבור און פּריוואַט וואלקנס.

איינער פון די שליסל פֿעיִקייטן פון Cisco Stealthwatch Cloud איז די פיייקייט צו מאָדעל ענטיטיז. מיט עס, איר קענען מאַכן אַ ווייכווארג מאָדעל (דאָס איז, אַ כּמעט פאַקטיש-צייט סימיאַליישאַן) פון יעדער פון דיין וואָלקן רעסורסן (עס טוט נישט ענין צי עס איז AWS, Azure, GCP אָדער עפּעס אַנדערש). די קענען אַרייַננעמען סערווערס און יוזערז, ווי געזונט ווי מיטל טייפּס ספּעציפיש צו דיין וואָלקן סוויווע, אַזאַ ווי זיכערהייט גרופּעס און אַוטאָ-וואָג גרופּעס. די מאָדעלס נוצן סטראַקטשערד דאַטן סטרימז צוגעשטעלט דורך וואָלקן באַדינונגס ווי אַרייַנשרייַב. פֿאַר AWS דאָס וואָלט זיין VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda און AWS IAM. ענטיטי מאָדעלינג אויטאָמאַטיש דיסקאַווערז די ראָלע און נאַטור פון קיין פון דיין רעסורסן (איר קענען רעדן וועגן פּראָפילינג אַלע וואָלקן טעטיקייט). די ראָלעס אַרייַננעמען אַנדרויד אָדער עפּל רירעוודיק מיטל, Citrix PVS סערווער, RDP סערווער, פּאָסט גייטוויי, וואָיפּ קליענט, וואָקזאַל סערווער, פעלד קאָנטראָללער, עטק. עס קאַנטיניואַסלי מאָניטאָרס זייער נאַטור צו באַשליסן ווען ריזיקאַליש אָדער זיכערקייַט-טרעטאַנינג נאַטור אַקערז. איר קענען ידענטיפיצירן פּאַראָל געסינג, DDoS אנפאלן, דאַטן ליקס, ומלעגאַל ווייַט אַקסעס, בייזע קאָד אַקטיוויטעטן, וואַלנעראַביליטי סקאַנינג און אנדערע טרעץ. פֿאַר בייַשפּיל, דאָס איז וואָס דיטעקטינג אַ ווייַט אַקסעס פּרווון פון אַ לאַנד ייטיפּיקאַל פֿאַר דיין אָרגאַניזאַציע (דרום קארעע) צו אַ Kubernetes קנויל דורך SSH קוקט ווי:

און דאָס איז ווי די אַלעדזשד רינען פון אינפֿאָרמאַציע פון ​​די פּאָסטגרעס דאַטאַבייס צו אַ לאַנד מיט וואָס מיר האָבן נישט ביז אַהער געפּלאָנטערט ינטעראַקשאַן קוקט ווי:

צום סוף, דאָס איז ווי צו פילע ניט אַנדערש SSH פרווון פֿון טשיינאַ און ינדאָנעסיאַ פֿון אַ פונדרויסנדיק ווייַט מיטל קוקן ווי:

אָדער, רעכן אַז די סערווער בייַשפּיל אין די VPC איז, לויט פּאָליטיק, קיינמאָל צו זיין אַ ווייַט לאָגין דעסטיניישאַן. לאָמיר ווייַטער יבערנעמען אַז דער קאָמפּיוטער האט יקספּיריאַנסט אַ ווייַט לאָגאָן רעכט צו אַ טעות ענדערונג אין די פירעוואַלל כּללים פּאָליטיק. די ענטיטי מאָדעלינג שטריך וועט דעטעקט און באַריכט דעם טעטיקייט ("אומגעוויינטלעך רימאָוט אַקסעס") אין כּמעט פאַקטיש צייט און פונט צו די ספּעציפיש AWS CloudTrail, Azure מאָניטאָר אָדער GCP Stackdriver Logging API רופן (אַרייַנגערעכנט נאמען, דאַטע און צייט, צווישן אנדערע דעטאַילס וואָס פּראַמפּטיד די ענדערונג צו די ITU הערשן. און די אינפֿאָרמאַציע קענען זיין געשיקט צו SIEM פֿאַר אַנאַליסיס.

ענלעכע קייפּאַבילאַטיז זענען ימפּלאַמענאַד פֿאַר קיין וואָלקן סוויווע געשטיצט דורך Cisco Stealthwatch Cloud:

ענטיטי מאָדעלינג איז אַ יינציק פאָרעם פון זיכערהייט אָטאַמיישאַן וואָס קענען ופדעקן אַ פריער אומבאַקאַנט פּראָבלעם מיט דיין מענטשן, פּראַסעסאַז אָדער טעכנאָלאָגיע. פֿאַר בייַשפּיל, עס אַלאַוז איר צו דעטעקט, צווישן אנדערע זאכן, זיכערהייט פּראָבלעמס אַזאַ ווי:

• האט עמעצער דיסקאַווערד אַ באַקדאָר אין די ווייכווארג וואָס מיר נוצן?
• איז עס קיין דריט-פּאַרטיי ווייכווארג אָדער מיטל אין אונדזער וואָלקן?
• איז דער אָטערייזד באַניצער אַביוזינג פּריווילאַדזשאַז?
• איז געווען אַ קאַנפיגיעריישאַן טעות וואָס ערלויבט ווייַט אַקסעס אָדער אנדערע אַנינטענדיד נוצן פון רעסורסן?
• איז עס אַ דאַטן רינען פון אונדזער סערווערס?
• איז עמעצער טריינג צו פאַרבינדן צו אונדז פֿון אַן ייטיפּיקאַל דזשיאַגראַפיק אָרט?
• איז אונדזער וואָלקן ינפעקטאַד מיט בייזע קאָד?

א דיטעקטאַד אינפֿאָרמאַציע זיכערהייט געשעעניש קענען זיין געשיקט אין די פאָרעם פון אַ קאָראַספּאַנדינג בילעט צו Slack, Cisco Spark, די PagerDuty אינצידענט פאַרוואַלטונג סיסטעם, און אויך געשיקט צו פאַרשידן SIEMs, אַרייַנגערעכנט Splunk אָדער ELK. צו סאַמערייז, מיר קענען זאָגן אַז אויב דיין פירמע ניצט אַ מאַלטי-וואָלקן סטראַטעגיע און איז נישט לימיטעד צו קיין איין וואָלקן שפּייַזער, די אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג קייפּאַבילאַטיז דיסקרייבד אויבן, ניצן Cisco Stealthwatch Cloud איז אַ גוט אָפּציע צו באַקומען אַ יונאַפייד גאַנג פון מאָניטאָרינג. קייפּאַבילאַטיז פֿאַר די לידינג וואָלקן פּלייַערס - אַמאַזאָן, מייקראָסאָפֿט און Google. די מערסט טשיקאַווע זאַך איז אַז אויב איר פאַרגלייַכן די פּרייסאַז פֿאַר סטעלטוואַטטש קלאָוד מיט אַוואַנסירטע לייסאַנסיז פֿאַר מאָניטאָרינג פון אינפֿאָרמאַציע זיכערהייט אין AWS, Azure אָדער GCP, עס קען זיין אַז די סיסקאָ לייזונג וועט זיין אפילו טשיפּער ווי די געבויט-אין קייפּאַבילאַטיז פון Amazon, Microsoft. און Google סאַלושאַנז. עס איז פּאַראַדאָקסיקאַל, אָבער עס איז אמת. און די מער וואלקנס און זייער קייפּאַבילאַטיז איר נוצן, די מער קלאָר ווי דער טאָג די מייַלע פון ​​אַ קאַנסאַלאַדייטאַד לייזונג וועט זיין.

אין אַדישאַן, Stealthwatch Cloud קענען מאָניטאָר פּריוואַט וואלקנס דיפּלויד אין דיין אָרגאַניזאַציע, למשל, באזירט אויף Kubernetes קאַנטיינערז אָדער דורך מאָניטאָרינג נעטפלאָוו פלאָוז אָדער נעץ פאַרקער באקומען דורך מירערינג אין נעץ ויסריכט (אפילו דאַמעסטיקלי געשאפן), AD דאַטן אָדער דנס סערווערס און אַזוי אויף. אַלע די דאַטן וועט זיין ענריטשט מיט Threat Intelligence אינפֿאָרמאַציע געזאמלט דורך Cisco Talos, די וועלט 'ס גרעסטער ניט-רעגירונגס גרופּע פון ​​סייבערסעקוריטי סאַקאָנע ריסערטשערז.

דאָס אַלאַוז איר צו ינסטרומענט אַ יונאַפייד מאָניטאָרינג סיסטעם פֿאַר ביידע ציבור און כייבריד וואלקנס וואָס דיין פירמע קען נוצן. די געזאמלט אינפֿאָרמאַציע קענען זיין אַנאַלייזד מיט די געבויט-אין קייפּאַבילאַטיז פון Stealthwatch קלאָוד אָדער געשיקט צו דיין SIEM (ספּונק, ELK, SumoLogic און עטלעכע אנדערע זענען געשטיצט דורך פעליקייַט).

מיט דעם, מיר וועלן פאַרענדיקן דעם ערשטער טייל פון דעם אַרטיקל, אין וואָס איך ריוויוד די געבויט-אין און פונדרויסנדיק מכשירים פֿאַר מאָניטאָרינג אינפֿאָרמאַציע זיכערהייט פון IaaS / PaaS פּלאַטפאָרמס, וואָס לאָזן אונדז צו געשווינד דעטעקט און ריספּאַנד צו ינסאַדאַנץ וואָס פאַלן אין די וואָלקן ינווייראַנמאַנץ. אונדזער אונטערנעמונג האָט אויסדערוויילט. אין דער צווייטער טייל, מיר וועלן פאָרזעצן די טעמע און קוקן אין אָפּציעס פֿאַר מאָניטאָרינג סאַאַס פּלאַטפאָרמס ניצן די ביישפּיל פון Salesforce און Dropbox, און מיר וועלן אויך פּרובירן צו סאַמערייז און שטעלן אַלץ צוזאַמען דורך קריייטינג אַ יונאַפייד אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג סיסטעם פֿאַר פאַרשידענע וואָלקן פּראַוויידערז.

מקור: www.habr.com