|
Muallif famililiya ism sharif taxdid razvedkasi texnologiyalari
|
bet | 44/77 | Sana | 18.12.2023 | Hajmi | 18,03 Mb. | | #122434 |
Bog'liq Muallif famililiya ism sharif taxdid razvedkasi texnologiyalariAntivirus ishlab chiqish.
Antivirus vositalarini ishlab chiqish, tarmoq trafigidagi anomaliyalar va turli AT tizimlarining raqamli hodisalari asosida kompyuter hujumlarini aniqlashning boshqa usullari haqida ham aytish mumkin. Ma’lumotlarni qayta ishlash va ulardan foydalanishning yangi texnologiyalari, shuningdek, biznes jarayonlarini avtomatlashtirish vositalarini yaratish bilan yangi tahdidlar paydo bo‘ladi. Hujumchilarning texnikasi va taktikasini ishlab chiqish, yangi tahdidlar va zaifliklarning paydo bo‘lishi turli darajadagi axborot infratuzilmalarida qo‘llaniladigan kompyuter hujumlarini aniqlash texnologiyalarining rivojlanishining drayveri hisoblanadi: nazariydan amaliygacha. Ammo shu bilan birga, u texnologiyalar kompyuter hujumlari faktidan keyin paydo bo‘lishini aytadi.
9.2 Kompyuter hujumlarini aniqlash uchun zamonaviy yechimlar.
Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiquvchilari o‘z mahsulotlariga kiritadigan asosiy vositalar:
- Monitoring
- Aniqlash
- axborot tizimlarida sodir bo‘layotgan o‘zgarishlarni tahlil qilish.
Yechimlar murakkablashib, turli xil vositalarni birlashtiradi.
Ba'zi tashkilotlarda faqat asosiy himoya vositalaridan foydalaniladi, bu ko‘p hollarda murakkab maqsadli hujumlarni o‘z vaqtida aniqlash va sodir bo‘lgan voqealarni to‘liq tahlil qilish uchun yetarli emas.
9.3Yangi avlod xavfsizlik devorlari(NGFW)
Amaliyot printsipi asosan paketli filtrlash va tarmoq ulanishlarini boshqarishdan iborat bo‘lgan an'anaviy xavfsizlik devorlari yangi avlod yechimlari bilan almashtirildi.
Yechimlar sinfi uzoq vaqt oldin paydo bo‘lgan, ammo uni zamonaviy aniqlash texnologiyalari to‘plamida ham ko‘rib chiqishga arziydi. Yangi avlod xavfsizlik devorlari klassik xavfsizlik devori va yanada ilg‘or texnologiyalarning funktsiyalarini birlashtiradi.
NGFW Ilovasi ichida :
Application Layer Firewall (WAF) funksiyalari;
Tahdidlarni aniqlash va blokirovka qilish uchun tarmoq trafigini tahlil qilish (IPS);
turli darajadagi protokollar bilan shifrlangan trafikni to‘liq matnli tahlil qilish (tekshirish);
trafikni cheklash va ustuvorlik qilish qobiliyati - Xizmat sifati (QoS);
ajratilgan muhitda fayllarning xatti-harakatlarini tahlil qilish;
joriy tahdidlar to‘g‘risidagi ma’lumotlar bilan muntazam boyitish (obro‘ ro‘yxatlari, murosa ko‘rsatkichlari va boshqalar).
Xavfsizlik hodisalarini kuzatish tizimlari (SIEM).
Xavfsizlik ma’lumotlari va hodisalarni boshqarish (SIEM) yechimlari turli axborot tizimlari va ilovalaridagi hodisalarni kuzatish uchun mo‘ljallangan. Ushbu sinfning axborot xavfsizligi yechimlari quyidagi vazifalarni bajarishga imkon beradi:
katta hajmdagi xavfsizlik hodisalarini to‘plash va tahlil qilish;
AT infratuzilmasini himoya qilish vositalarining joriy holatini monitoring qilish;
real vaqtda kompyuter hodisalarini aniqlash;
AT infratuzilmasida sodir bo‘layotgan voqealar haqida to‘liq tasavvurga ega bo‘lish;
AT va axborot xavfsizligi tizimlarining ishlashidagi nosozliklarni aniqlash va ularga javob berish;
hujum zanjirlarini bashorat qilish uchun tarmoq xaritasini yaratish;
real vaqt rejimida xavflarni tahlil qilish va baholash uchun ma’lumotlarni olish;
qonun hujjatlarining ayrim talablari va normativ hujjatlarini bajarish
SIEM tizimlari qanday ishlaydi.
SIEM klassi tizimlarining ishlash printsipi dasturiy ta'minot darajasida ham, apparat komponentlari darajasida ham har xil qurilmalardan barcha turdagi jurnallarni (hodisalar) yig‘ishdir. Bundan tashqari, barcha hodisalar keyingi tahlil qilish uchun yagona formatga tushiriladi. Xuddi shu infratuzilma elementi bilan bog‘liq hodisalar to‘plami (korrelyatsiya) kiberhujumni ko‘rsatishi mumkin.
SIEM IT infratuzilmasida sodir bo‘layotgan voqealarning to‘liqroq rasmini ko‘rish va qo‘shimcha ravishda ma'lum tugunlarning tarmoqqa kirish imkoniyatini tahlil qilish imkonini beradi. Turli manbalardan olingan ma’lumotlarni sinchkovlik bilan tahlil qilish va o‘zaro bog‘lash orqali SIEM an'anaviy aniqlash vositalari alohida ishlaydigan har doim ham samarali bo‘lmagan hodisalarni aniqlaydi.
SIEM tizimlaridan foydalanish holatlari.
Axborot tizimlarining elementlarini holatlarini kuzatish, xavfsizlik devori jurnallari, veb-proksi jurnallari, ichki ulanish jurnallari va boshqa fayllardan foydalanadigan zararli dasturlarni (zararli fayl) aniqlash.
Ichki tizimlardagi tizim o‘zgarishlarini va boshqa ma’muriy harakatlarni va ularning ruxsat etilgan siyosatlarga muvofiqligini kuzatish.
Autentifikatsiya monitoringi, shuningdek, foydalanuvchi hisoblarini buzish.
Axborot xavfsizligi siyosatiga rioya etilishini nazorat qilish.
Tarmoq trafigini tahlil qilish (NTA) tizimlari .
Tarmoq trafigini tahlil qilish (NTA) tizimlari tarmoq hujumlarini aniqlash, tarmoq trafigini ushlab turish va tahlil qilish uchun moʻljallangan. Ushbu toifadagi tizimlar hujumning dastlabki bosqichida buzg‘unchilar mavjudligini aniqlashga, tahdidlarni tezda lokalizatsiya qilishga, shuningdek, axborot xavfsizligi qoidalariga rioya qilishni ta'minlashga yordam beradi.
Standart tarmoq analizatorlaridan (IDS / IPS) farqli o‘laroq, NTA tizimlari nafaqat perimetrda, balki IT infratuzilmasida ham trafikni tahlil qiladi. Bundan tashqari, dolzarb imzolarning paydo bo‘lishi bilan NTA sinfi yechimlari arxivda saqlanadigan tarmoq trafigini tahlil qilish imkoniyatiga ega bo‘lishi kerak (retrospektiv tahlil).NTA sinfi yechimlari murakkab maqsadli hujumlar aniqlangan vaziyatlarda SIEM sinfi yechimlari uchun tarmoq hodisalarining qo‘shimcha manbai bo‘lishi mumkin.
Yakuniy nuqta hujumini aniqlash (EDR).
Endpoint Detection and Response (EDR) tizimlari so‘nggi qurilmalarga kompyuter hujumlarini aniqlash imkonini beradi va axborot xavfsizligi bo‘yicha mutaxassislar javobi uchun zarur ko‘rsatkichlarni taqdim etadi.Ushbu toifadagi yechimlar odatda oxirgi qurilmaga o‘rnatilgan maxsus agentdan foydalanadi.
Uning vazifalariga foydalanuvchilar faoliyati va dasturiy ta'minot haqida ma’lumot to‘plash, murosa belgilarini aniqlash (Indicators of compromise, IoC), buzilgan qurilmalarni aniqlash va mahalliylashtirishda yordam berish va boshqalar kiradi. Barcha to‘plangan ma’lumotlar kompyuter hodisalarini tekshirishda yordam beradi.
Statistik ma’lumotlarga ko‘ra, kiberjinoyat tahdidlari soni doimiy ravishda o‘sib bormoqda. Masalan, The Herjavec Group 2019-yilgi Kiberjinoyatlar bo‘yicha yillik rasmiy hisobotida 2020-yil oxiri va 2021-yil boshida har 11 soniyada tashkilot to‘lov dasturi tomonidan hujumga uchrashini bashorat qilmoqda.
Ushbu hisob-kitoblar umuman zararli dasturlar haqida hukm chiqarish uchun ishlatilishi mumkin. Ko‘rib chiqilishi kerak bo‘lgan tahdidlar shunchalik ko‘payib bormoqdaki, ularning aksariyati e'tiborga olinmaydi.
Kiber razvedka platformasi (Threat Intelligence) real vaqt rejimida turli manbalardan (tijorat va bepul, yopiq va ochiq, ommaviy va xususiy) yuzaga kelishi mumkin bo‘lgan tahdidlar to‘g‘risida yuqoridagi ma’lumotlarni to‘plash, ularni tasniflash va u bilan turli operatsiyalarni amalga oshirish, shu jumladan xavfsizlik vositalari va SIEM-tizimlari, veb-saytga yuklash imkoniyatiga ega.
Xodisa sodir bo‘lgan taqdirda, platforma sodir bo‘layotgan voqealarning to‘liq kontekstini taqdim etadi, bu sizga hodisaga javob berish vaqtini qisqartirish va hujum manbasini blokirovka qilish imkonini beradi.
Ma’lumotlarni yig‘ishning murakkabligiga qarab murosa ko‘rsatkichlari piramidasi:
Kaspersky Threat Intelligence.
Kaspersky Threat Intelligence portali (keyingi o‘rinlarda “Kaspersky TI” deb yuritiladi) hodisalarga tezkor javob berish va ularni samarali tekshirish uchun mo‘ljallangan tahdidlar haqida xabar berish xizmatidir. Uning foydalanuvchilari fayllar, URL va IP manzillar, domenlar, nazorat summalari, tahdidlar nomlari, statistik ma’lumotlar va faoliyat haqida doimiy yangilanib turadigan ma’lumotlar bilan ta'minlanadi. Bu hodisaga javob beruvchilarga tezkor ustuvorliklarni belgilash, vaqt jadvallarini kuzatish, tajovuzkorlar tomonidan nishonga olingan infratuzilma maqsadlarini topish va qarshi choralarni aniqlash uchun kiberjinoyatchilik taktikasi va usullarini o‘rganish imkonini beradi.
Kaspersky Threat Intelligence Portali dan malumot.
Network Attack Blocker komponenti tomonidan aniqlangan tahdidlar statistikasi. Odatda, bu tahdidlar parolni buzish, port skanerlari, turli zaifliklar uchun ekspluatatsiyalar va boshqa hujumlarni o'z ichiga oladi.
|
| |