|
SOC (Security Operations Center) tahliliy imkoniyatlari
|
bet | 56/77 | Sana | 18.12.2023 | Hajmi | 18,03 Mb. | | #122434 |
Bog'liq Muallif famililiya ism sharif taxdid razvedkasi texnologiyalari12.5 SOC (Security Operations Center) tahliliy imkoniyatlari.
Xavfsizlikni ta’minlash uchun u ko‘plab turli manbalardan ma’lumotlarni to‘plash, shuningdek, olingan materiallarni tahlil qilish va taqqoslash bilan bog‘liq. Doimiy o‘zgaruvchan tahdidlarga samarali javob berish uchun bunday markazlarning arxitekturasi moslashuvchan bo‘lishi kerak. Bu shuni anglatadiki, SOC (Xavfsizlik operatsiyalari markazi) xodimlari quyidagi imkoniyatlarga ega:
Prognozlash
Aniqlash
Oldini olish
Reaksiya.
Tahdidlarni tahlil qilish uchun asosiy SOC elementlari.
Bilimlarni boshqarish
SOCl mutahassislari tobora murakkablashib borayotgan hujumlarning oldini olish va ularga samarali javob berish uchun raqamli sud ekspertizasi, zararli dasturlarni tahlil qilish va hodisalarga javob berish bo‘yicha malakali bo‘lishi kerak);
Yig‘ilgan materiallar asosida tahdid tahlili
Ichki tahdidlar to‘g‘risidagi ma’lumotlar, ommaviy axborot manbalaridan olingan tahlillar, sanoatdagi CERT bo‘limlari va butun dunyo bo‘ylab xavfsizlik provayderlarining ma’lumotlari), bu xavfsizlik muammolarini o‘z vaqtida aniqlash uchun zarurdir;
Tahdidlarni faol qidirish
An’anaviy himoya vositalari (xavfsizlik devorlari, hujumlarni aniqlash va oldini olish tizimlari, SIEM va boshqalar) bilan aniqlab bo‘lmaydigan zararli harakatlar haqida oldindan bilib olishga imkon beradi;
To‘gri tuzilgan jarayon
To‘g‘ri qurilgan hodisaga javob berish jarayoni, bu zararni cheklash va oqibatlarini bartaraf etish xarajatlarini kamaytirish imkonini beradi.
SOC tashkilotini tashkil qilishda tahliliy yondashuv
12.6 Kaspersky Threat Intelligence (KTI).
Xavfsizlik markazlarini tahdidlar bo‘yicha eng dolzarb ma’lumotlar bilan ta’minlash uchun Kasperskiy laboratoriyasi kompaniya 20 yildan ortiq vaqt davomida to‘plagan barcha bilimlarga kirish imkonini beruvchi Kaspersky Threat Intelligence (KTI) portalini ishlab chiqdi.
K TI-da joylashgan tahdidlar bo‘yicha razvedka hodisalarga javob berish bo‘yicha mutaxassislarga hodisalarga javob berishning ustuvor yo‘nalishlarini belgilash, voqeaning barcha tafsilotlarini oshkor qilish va u bilan keyingi ishlash uchun boshlang‘ich nuqta sifatida birinchi aniqlashdan foydalanish, voqea oqibatlarini aniqlash va boshqa manfaatdor bo‘linmalarga qimmatli ma’lumotlarni taqdim etish imkonini beradi. , kiberjinoyatchilarning harakatlarini va ular ishlatadigan vositalarni o‘rganish va eng samarali qarshi choralarni ishlab chiqish uchun ularning maqsadlarini aniqlash.
Kaspersky Threat Intelligence-ning asosiy xususiyatlari.
Tezlashtirish, tergov va hodisalarga javob berish sifatini oshirish
Yagona portalning yordami bilan SOC mutaxassisi nafaqat tahdidlarning dolzarb ma’lumotlarini, balki maqsadli hujumlarning manbalari bo‘yicha global tadqiqotlar natijalarini ham qo‘lga kiritadi, bu esa ichki tizimlarning noma’lum tahdidlarga oid signallarini birinchi o‘ringa qo‘yish imkonini beradi, bu esa intsidentlarga javob berish vaqtini kamaytiradi va kompromet-TIA kompaniyaning tizimlari.
Tahdid ko‘rsatkichlarini chuqur qidirish.
Tahdid ko‘rsatkichlarini (IP va URL - lar, domenlar va fayllarni nazorat qilish) chuqur qidirish, ustuvor hujumlarni tartibga solish, xodimlar va resurslarni maqbul ravishda taqsimlash va birinchi navbatda eng xavfli muammolarni bartaraf etish imkonini beradi.
Maqsadli hujumlardan himoya qilish
Tegishli ma’lumotlar oqimlari ma’lum bir tashkilot uchun muayyan tahdidlarga qarshi turish uchun xavfsizlik strategiyasini moslashtirish orqali himoya choralarini yaxshilash imkonini beradi.
Tahdidli ma’lumotlar oqimi.
Ma’lumotlar oqimlari mavjud tizimlar va tarmoqni himoya qilish vositalariga qo‘shimcha bo‘lib, xavfsizlik devorlari, hujumlarni aniqlash va oldini olish tizimlari, SIEM tizimlari, anti-APT texnologiyalari, sandboxlar, UTM qurilmalari samaradorligini oshiradi. Oqimlardagi ma’lumotlarni bir nechta tematik guruhlarga bo‘lish mumkin.
IP va URL manzillar.
Zararli va fishing saytlarining tarmoq identifikatorlari, shuningdek, botnet C&C serverlari (jumladan, mobil qurilmalar uchun) mavjud.
Zararli obyektlar xeshlari
Tegishli ma’lumotlar eng xavfli va keng tarqalgan zararli dasturlarni, shu jumladan mobil operatsion tizimlar uchun infektsiyalarni qamrab oladi.
Oq ro‘yxatga olish.
Ular uchinchi tomon yechimlari va xizmatlari tomonidan foydalanish mumkin bo‘lgan ishonchli fayllar xeshlarini o‘z ichiga oladi.
Muayyan kompaniyalar uchun tahdidlar bo‘yicha tahliliy hisobotlar.
Kasperskiy laboratoriyasi mutaxassislari faol tahlil usullaridan foydalanmasdan hamda kompaniya resurslarining yaxlitligi va mavjudligiga ta'sir qilmasdan, muayyan tashkilotga tegishli joriy tahdid holatining rasmini yaratadilar, xavfsizlikning zaif tomonlarini aniqlaydilar va hujumlar belgilarini aniqlaydilar.
Ushbu turdagi hisobotlar quyidagi ma’lumotlarni o‘z ichiga oladi:
to‘plangan ma’lumotlarga asoslangan ma’lum bir kompaniya uchun tahdid vektorlari ro‘yxati;
ma’lum bir kompaniyaga qaratilgan zararli dasturlar va kiberhujumlarni tahlil qilish;
uchinchi shaxslarga hujumlar (muayyan kompaniyaning mijozlari, hamkorlari va abonentlariga qaratilgan tahdidlar belgilarini aniqlash);
axborotning sizib chiqishi uchun zaruriy shartlar;
hujumlarga hozirgi sezuvchanlik darajasi. Agar kompaniyaning murosasizligi belgilari aniqlansa, Kasperskiy laboratoriyasi samarali javob berish uchun tavsiyalar beradi.
Mamlakatga oid tahdidlar bo‘yicha razvedka hisobotlari.
Mamlakat uchun maxsus tahdid hisobotlaridan foydalanish sizga hujumlar jabhasi va ma’lum bir davlat hududida zararli dasturlarning tarqalishining joriy tendentsiyalari haqida yaxlit tasavvurga ega bo‘lish imkonini beradi
Ushbu turdagi hisobotlarga quyidagilar kiradi:
Tahdid vektorlari ro‘yxati
Tashqaridan foydalanish mumkin bo‘lgan mamlakat veb-resurslarining xavfsizlik holatini aniqlash va tahlil qilish yo‘li bilan tuzilgan;
Zararli dasturlar va kiberhujumlarni tahlil qilish
Kasperskiy laboratori-yasining noyob manbalaridan olingan ichki monitoring ma’lumotlari asosida ma’lum bir mamlakatga qaratilgan zararli dasturlar va kiberhujumlarni tahlil qilish;
Oldindan shartlarni aniqlash
Muayyan mamlakatda ma’lumotlarning sizib chiqishi uchun zaruriy shartlarni aniqlash.
APT tahdidlari bo‘yicha tahliliy hisobotlar.
Kasperskiy laboratoriyasining Advanced Persistent Threat (APT) hisobotlari korporativ xavfsizlikka tahliliy qo‘shimcha bo‘lib, mijoz-kompaniyalarga murakkab maqsadli hujumlar haqida ustuvor ma’lumotlarni olish imkonini beradi. Xizmatning afzalliklari quyidagi xususiyatlarni o‘z ichiga oladi:
Texnik tavsiflar va tahliliy ma’lumotlarga kirish
APT tahdidlari jamoatchilikka e’lon qilinishidan oldin tekshiriladi (tarqatish ma’lumotlari, infektsiya ko‘rsatkichlari, qo‘mondonlik markazi infratuzilmasi);
APT tahdidlari haqida batafsil texnik ma’lumotlar
Shu jumladan OpenIOC formatida mavjud bo‘lgan Murosa ko‘rsatkichlarining kengaytirilgan ro‘yxati (IoC), shuningdek, Kasperskiy laboratoriyasining Yara qoidalariga kirish;
Retrospektiv tahlil
Obuna davrida avval chiqarilgan barcha yopiq hisobotlarga kirish imkoniyati taqdim etiladi.SOC mutahassislari uchun hisobotlarning eng foydali qismi buzg‘unchi yoki zararli dastur infektsiyasi belgilari uchun infratuzilmani skanerlashda yordam berish uchun maxsus vositalar bilan birgalikda foydalaniladigan kelishuv ko‘rsatkichlari hisoblana-di.
Barcha hujjatlar APT tahdidlari bo‘yicha tahliliy hisobotlar uchun maxsus portal orqali yetkaziladi. Threat Intelligence Portalidan malumot(https://opentip.kaspersky.com/requests):
|
| |