1. Axborot xavfsizligiga bo‘ladigan tahdidlar. Tahdid turlari
Download 262.28 Kb.
|
Threat intelligence-fayllar.org
|
Tahdid ovi nima va u nima uchun kerak?
Tahdidni qidirish jarayonida tahlilchi himoya tizimlari sensorlar ishga tushguncha kutmaydi, balki maqsadli ravishda komprometatsiya izlarini qidiradi. Buning uchun u tajovuzkorlarning tarmoqqa qanday kirganligi haqidagi gipotezalarni ishlab chiqadi va tekshiradi. Bunday tekshiruvlar muntazam va davriy bo'lishi kerak. Jarayon to'g'ri bajarilishida quyidagi prinsiplar hisobga olishi lozim: · Tizim allaqachon buzilgan deb taxmin qilish kerak. Asosiy maqsad - kirish izlarini topish. · Qidiruv ketma-ket amalga oshirilishi kerak, ya'ni faraz tekshirilgandan so'ng, tahlilchi yangisini qo'yadi va qidirishni davom ettiradi. · Qidiruv tizimning aynan qanday buzilganligi haqidagi farazni talab qiladi. Tahdid razvedkasi - bu xavfsizlikka potentsial tahdidlar haqida ma'lumot to'plash, tahlil qilish va harakat qilish jarayoni. Bu tashkilotlarga potentsial tahdidlarni aniqlashga va ularni yumshatish uchun faol choralar ko'rishga yordam beradi. Xavflarni tahlil qilish - bu potentsial xavfsizlik xavflarining ehtimoli va ta'sirini baholash jarayoni. Bu tashkilotlarga xavfsizlik bo'yicha sa'y-harakatlarini birinchi o'ringa qo'yishga va resurslarni samarali taqsimlashga yordam beradi. Xavfsizlik operatsiyalari (SecOps) - real vaqt rejimida tashkilotning xavfsizlik holatini boshqarish jarayoni. Bu xavfsizlik hodisalarini aniqlash, ularga javob berish va kamaytirish uchun odamlar, jarayonlar va texnologiyalarni muvofiqlashtirishni o'z ichiga oladi. Saralash ma'lumotlarni ma'lum bir tartibda joylashtirishni anglatadi. Xavfsizlik kontekstida saralash xavfsizlik ma'lumotlari yoki ma'lumotlarini tahlil qilish yoki tushunishni osonlashtirish uchun maxsus usulda tartibga solishni nazarda tutishi mumkin. 17. Zaiflikni boshqarish. Firibgarlikning oldini olish. Xavfsizlik bilan bog'liq qo'shimcha shartlar: Voqealarga javob berish: Xavfsizlik hodisalarini aniqlash, tahlil qilish va ularni o'z ichiga olish, keyin esa normal operatsiyalarni imkon qadar tezroq tiklash jarayoni. Identity and Access Management (IAM): Raqamli identifikatorlarni boshqaradigan va himoya qiladigan jarayonlar va texnologiyalar. IAM foydalanuvchi autentifikatsiyasi, avtorizatsiya va kirishni boshqarishni o'z ichiga oladi. Endpoint Security: noutbuklar, smartfonlar va serverlar kabi so'nggi nuqta qurilmalarini kiber tahdidlardan himoya qilish. Taqsimlangan xizmat ko'rsatishni rad etish (DDoS) hujumi: bir nechta tizimlar maqsadli tizimning tarmoqli kengligi yoki resurslarini to'ldirib, foydalanuvchilar uchun mavjud bo'lmagan kiberhujum turi. Fishing: tajovuzkor shaxslarni aldash uchun elektron pochta, matnli xabarlar yoki boshqa vositalardan foydalangan holda maxfiy ma'lumotlarni ochish yoki zararli dasturlarni o'rnatish uchun foydalanadigan ijtimoiy muhandislik hujumi turi. Advance Persistent Threat (APT): Ko'pincha maxfiy ma'lumotlarni o'g'irlash yoki operatsiyalarni buzish maqsadi bilan yuqori maqsadli va doimiy bo'lgan kiberhujum turi. Nolinchi kunlik ekspluatatsiya: avval noma'lum bo'lgan xavfsizlik zaifligini tuzatishdan oldin foydalanadigan hujum turi. 18. Xavfsizlik pozitsiyasini mustahkamlash. Zaifliklarni baholash va tahlil etish. Xavfsizlik mavqeini mustahkamlash deganda xavf va zaifliklarni kamaytirish choralarini ko'rish orqali tashkilotning umumiy xavfsizlik holatini yaxshilash tushuniladi. Bu xavfsizlik nazoratini amalga oshirish, muntazam xavfsizlikni baholash va xodimlarni xavfsizlik bo'yicha ilg'or tajribalar bo'yicha o'qitishni o'z ichiga olishi mumkin. Zaiflikni baholash va tahlil qilish - bu tashkilot tizimlari, ilovalari va tarmoqlaridagi zaifliklarni aniqlash, tasniflash va ustuvorliklarini belgilash jarayoni. Maqsad har bir zaiflik bilan bog'liq xavfni aniqlash va uni kamaytirish yoki yo'q qilish rejasini ishlab chiqishdir. Bu tashkilotlarga potentsial xavfsizlik tahdidlarini faol ravishda bartaraf etishga va ularning umumiy xavfsizlik holatini yaxshilashga yordam beradi. Xavfsizlik sohasida tez-tez ishlatiladigan qo'shimcha atamalar: Shifrlash: maxfiy ma'lumotlarni ruxsatsiz kirishdan himoya qilish uchun ochiq matnni shifrlangan matnga aylantirish jarayoni. Faervol: Oldindan belgilangan xavfsizlik qoidalari asosida kiruvchi va chiquvchi tarmoq trafigini kuzatuvchi va nazorat qiluvchi tarmoq xavfsizlik tizimi. Intrusion Detection System (IDS): Tarmoq yoki tizim faoliyatini zararli yoki ruxsatsiz harakatlar mavjudligini kuzatuvchi va xavfsizlik ma'murlarini ogohlantiruvchi tizim. Penetratsion test: Xavfsizlik zaifliklarini aniqlash uchun kompyuter tizimiga, tarmoqqa yoki veb-ilovaga taqlid qilingan hujum. Kirish nazorati: kompyuter tizimidagi resurslarga kim yoki nima ruxsat berilishini tartibga solish jarayoni. Zararli dastur: kompyuter tizimiga zarar etkazish yoki undan foydalanish uchun mo'ljallangan dastur. Masalan, viruslar, troyanlar va to'lov dasturlari. Ijtimoiy muhandislik: maxfiy ma'lumotlarni oshkor qilish yoki tashkilotga zarar etkazishi mumkin bo'lgan harakatlarni amalga oshirish uchun shaxslarni aldash uchun psixologik manipulyatsiyadan foydalanish. Ma'lumotlar yo'qolishining oldini olish (DLP): nozik ma'lumotlarning yo'qolishi, o'g'irlanishi yoki boshqa yo'l bilan buzilishining oldini olish uchun foydalaniladigan vositalar va jarayonlar to'plami. 19. Konfidensial ma’lumotlarni sirqib chiqishi va unga tahdidlar. Bu yerda yana bir nechta tegishli xavfsizlik shartlari: Ma'lumotlarning buzilishi: maxfiy yoki maxfiy ma'lumotlarga ruxsatsiz kirish yoki ularni oshkor qilish. Ransomware: Jabrlanuvchining fayllarini shifrlaydigan va shifrni ochish kaliti evaziga to'lovni talab qiluvchi zararli dastur turi. Kengaytirilgan shifrlash standarti (AES): nozik ma'lumotlarni himoya qilish uchun ishlatiladigan keng tarqalgan nosimmetrik shifrlash algoritmi. Ochiq kalitlar infratuzilmasi (PKI): Raqamli sertifikatlar va ochiq kalit shifrlashni boshqarish uchun foydalaniladigan rollar, siyosatlar va protseduralar to'plami. Ikki faktorli autentifikatsiya (2FA): foydalanuvchidan parol va barmoq izi kabi ikkita alohida autentifikatsiya faktorini taqdim etishni talab qilish orqali foydalanuvchining daʼvo qilingan identifikatorini tasdiqlash usuli. Foydalanuvchilarni xabardor qilish bo'yicha trening: xavfsizlik hodisalari xavfini kamaytirish uchun xodimlarni xavfsizlik siyosati, ilg'or amaliyotlar va potentsial tahdidlar haqida o'qitish jarayoni. Threat Intelligence Platform (TIP): potentsial xavfsizlik tahdidlari haqida ma'lumot to'plash, tahlil qilish va harakat qilish uchun foydalaniladigan dasturiy ta'minot turi. 20. Tahdid va hujumlarni aniqlashdagi zamonaviy yondashuvlar. Tahdidlar va hujumlarni aniqlashning zamonaviy yondashuvlari quyidagilarni o'z ichiga oladi: Sun'iy intellekt (AI) va Machine Learning (ML): Ushbu texnologiyalar tahdidlarni aniqlashni avtomatlashtirish va masshtablash, shuningdek, yangi tahdidlarni tezda aniqlash va ularga javob berish imkoniyatini beradi. Tarmoq trafigini tahlil qilish: zararli dastur infektsiyalari va DDoS hujumlari kabi potentsial xavfsizlik hodisalarini aniqlash va ularga javob berish uchun tarmoq trafigini tekshirish. Foydalanuvchi va shaxs xatti-harakatlarini tahlil qilish (UEBA): Xavfsizlik tahdidini ko'rsatishi mumkin bo'lgan anomal harakatlarni aniqlash uchun foydalanuvchi va tashkilot xatti-harakatlarini tahlil qilish. Endpoint Detection and Response (EDR): Xavfsizlik hodisalarini aniqlash va ularga javob berish uchun noutbuklar va serverlar kabi so‘nggi nuqta qurilmalarini real vaqtda monitoring qilish. Bulutli xavfsizlik monitoringi: Xavfsizlik hodisalarini aniqlash va ularga javob berish uchun bulutli infratuzilmaning doimiy monitoringi. Xavfsizlik ma'lumotlari va hodisalarni boshqarish (SIEM): Xavfsizlik hodisalarini aniqlash va ularga javob berish uchun bir nechta manbalardan xavfsizlik bilan bog'liq ma'lumotlarni to'playdigan va tahlil qiladigan markazlashtirilgan platforma. Tahdid ovlash: Tashkilot muhitida potentsial xavfsizlik tahdidlarini faol izlash. Ushbu yondashuvlar xavfsizlikka yanada kengroq va faol yondashuvni ta'minlash, shuningdek, tahdidni aniqlash va javob choralarini amalga oshirish o'rtasidagi vaqtni qisqartirish uchun mo'ljallangan. Kompyuter hujumlarini aniqlash uchun zamonaviy yechimlar: Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiquvchilari o'z mahsulotlariga kiritadigan asosiy vositalar: · Monitoring · Aniqlash ·
Yechimlar murakkablashib, turli xil vositalarni birlashtiradi. Ba'zi tashkilotlarda faqat asosiy himoya vositalaridan foydalaniladi, bu ko'p hollarda murakkab maqsadli hujumlarni o'z vaqtida aniqlash va sodir bo'lgan voqealarni to'liq tahlil qilish uchun yetarli emas. Yangi avlod xavfsizlik devorlari(NGFW) Amaliyot printsipi asosan paketli filtrlash va tarmoq ulanishlarini boshqarishdan iborat bo'lgan an'anaviy xavfsizlik devorlari yangi avlod yechimlari bilan almashtirildi. Yechimlar sinfi uzoq vaqt oldin paydo bo'lgan, ammo uni zamonaviy aniqlash texnologiyalari to'plamida ham ko'rib chiqishga arziydi. Yangi avlod xavfsizlik devorlari klassik xavfsizlik devori va yanada ilg'or texnologiyalarning funktsiyalarini birlashtiradi. NGFW Ilovasi ichida: · Application Layer Firewall (WAF) funksiyalari; · Tahdidlarni aniqlash va blokirovka qilish uchun tarmoq trafigini tahlil qilish (IPS); · turli darajadagi protokollar bilan shifrlangan trafikni to'liq matnli tahlil qilish (tekshirish); · trafikni cheklash va ustuvorlik qilish qobiliyati - Xizmat sifati (QoS); · ajratilgan muhitda fayllarning xatti-harakatlarini tahlil qilish; · joriy tahdidlar to'g'risidagi ma'lumotlar bilan muntazam boyitish (obro' ro'yxatlari, murosa ko'rsatkichlari va boshqalar). Xavfsizlik hodisalarini kuzatish tizimlari (SIEM) Xavfsizlik ma'lumotlari va hodisalarni boshqarish (SIEM) yechimlari turli axborot tizimlari va ilovalaridagi hodisalarni kuzatish uchun mo'ljallangan. Ushbu sinfning axborot xavfsizligi yechimlari quyidagi vazifalarni bajarishga imkon beradi: · katta hajmdagi xavfsizlik hodisalarini to'plash va tahlil qilish; · AT infratuzilmasini himoya qilish vositalarining joriy holatini monitoring qilish; · real vaqtda kompyuter hodisalarini aniqlash; · AT infratuzilmasida sodir bo'layotgan voqealar haqida to'liq tasavvurga ega bo'lish; · AT va axborot xavfsizligi tizimlarining ishlashidagi nosozliklarni aniqlash va ularga javob berish; · hujum zanjirlarini bashorat qilish uchun tarmoq xaritasini yaratish; · real vaqt rejimida xavflarni tahlil qilish va baholash uchun ma'lumotlarni olish; · qonun hujjatlarining ayrim talablari va normativ hujjatlarini bajarish Tarmoq trafigini tahlil qilish (NTA) tizimlari Tarmoq trafigini tahlil qilish (NTA) tizimlari tarmoq hujumlarini aniqlash, tarmoq trafigini ushlab turish va tahlil qilish uchun moʻljallangan. Ushbu toifadagi tizimlar hujumning dastlabki bosqichida buzg'unchilar mavjudligini aniqlashga, tahdidlarni tezda lokalizatsiya qilishga, shuningdek, axborot xavfsizligi qoidalariga rioya qilishni ta'minlashga yordam beradi. Standart tarmoq analizatorlaridan (IDS / IPS) farqli o'laroq, NTA tizimlari nafaqat perimetrda, balki IT infratuzilmasida ham trafikni tahlil qiladi. Bundan tashqari, dolzarb imzolarning paydo bo'lishi bilan NTA sinfi yechimlari arxivda saqlanadigan tarmoq trafigini tahlil qilish imkoniyatiga ega bo'lishi kerak (retrospektiv tahlil).NTA sinfi yechimlari murakkab maqsadli hujumlar aniqlangan vaziyatlarda SIEM sinfi yechimlari uchun tarmoq hodisalarining qo'shimcha manbai bo'lishi mumkin. Yakuniy nuqta hujumini aniqlash (EDR) Endpoint Detection and Response (EDR) tizimlari so‘nggi qurilmalarga kompyuter hujumlarini aniqlash imkonini beradi va axborot xavfsizligi bo‘yicha mutaxassislar javobi uchun zarur ko‘rsatkichlarni taqdim etadi.Ushbu toifadagi yechimlar odatda oxirgi qurilmaga o'rnatilgan maxsus agentdan foydalanadi. Uning vazifalariga foydalanuvchilar faoliyati va dasturiy ta'minot haqida ma'lumot to'plash, murosa belgilarini aniqlash (Indicators of compromise, IoC), buzilgan qurilmalarni aniqlash va mahalliylashtirishda yordam berish va boshqalar kiradi. Barcha to'plangan ma'lumotlar kompyuter hodisalarini tekshirishda yordam beradi. 21. Tahdid razvedkasi platformalari. Tahdid razvedka platformasi (Threat Intelligence Platform, TIP) — axborot xavfsizligi tahdidlarini aniqlash, blokirovkalash va bartaraf qilish uchun tashkilotlar tomonidan qo'llaniladigan dasturiy yechim. Ushbu platforma bir nechta tahdidlarni to'plash kanallarini birlashtiradi, oldingi voqealar bilan taqqoslaydi va xavfsizlik guruhi uchun ogohlantirishlar ishlab chiqaradi. TIP mavjud xavfsizlik ma'lumotlarini va hodisalarni boshqarish (SIEM) yechimlari bilan birlashadi va ular orasida zudlik bilan tartibga soluvchi ustuvorliklarni belgilash orqali ogohlantirish qiymatlarini belgilaydi. Zamonaviy kiberxavfsizlik landshafti bir nechta keng tarqalgan muammolar bilan tavsiflanadi: katta hajmdagi ma'lumotlar, tahlilchilarning etishmasligi va zararli hujumlarning ortib borayotgan murakkabligi. Mavjud xavfsizlik infratuzilmalari ushbu ma'lumotlarni boshqarish uchun ko'plab vositalarni taklif qiladi, lekin uni to'liq birlashtirmaydi. Bu ishlab chiquvchilarning tizimlarni boshqarish uchun juda katta sa'y-harakatlariga va allaqachon cheklangan resurslar va vaqtning muqarrar isrof qilinishiga olib keladi. Ushbu muammolarni hal qilish uchun ko'plab kompaniyalar Threat Intelligence Platform (TIP) ga o'tmoqda. Tahdid razvedka platformalari SaaS modelida yoki kibertahdid razvedkasi va tahdid manbalari, kampaniyalar, hodisalar, imzolar, byulletenlar va TTPlar kabi tegishli ob'ektlarni boshqarishni soddalashtirish uchun mahalliy yechim sifatida joylashtirilishi mumkin. Ushbu platforma to'rtta asosiy funktsiyani bajarish qobiliyati bilan ajralib turadi: 1. bir nechta manbalardan tahliliy ma'lumotlarni yig'ish; 2. filtrlash, normallashtirish, ma'lumotlarni boyitish va ma'lumotlar xavfini baholash; 3. mavjud xavfsizlik tizimlari bilan integratsiya; 4. tahdid tahlilini tahlil qilish va ma'lumotlar almashinuvi. Platforma Mavjud vositalar va mahsulotlar bilan integratsiyalashgan to'liq mahsulot, bu axborot xavfsizligi tahdidlarini tahlil qilish boshqaruv tizimi bo'lib, an'anaviy ravishda tahlilchilar tomonidan bajariladigan ishlarning ko'p qismini avtomatlashtiradi va soddalashtiradi. Statistik ma'lumotlarga ko'ra, kiberjinoyat tahdidlari soni doimiy ravishda o'sib bormoqda. Masalan, The Herjavec Group 2019-yilgi Kiberjinoyatlar bo‘yicha yillik rasmiy hisobotida 2020-yil oxiri va 2021-yil boshida har 11 soniyada tashkilot to‘lov dasturi tomonidan hujumga uchrashini bashorat qilmoqda. Kiber razvedka platformasi (Threat Intelligence) real vaqt rejimida turli manbalardan (tijorat va bepul, yopiq va ochiq, ommaviy va xususiy) yuzaga kelishi mumkin bo'lgan tahdidlar to'g'risida yuqoridagi ma'lumotlarni to'plash, ularni tasniflash va u bilan turli operatsiyalarni amalga oshirish, shu jumladan xavfsizlik vositalari va SIEM-tizimlari, veb-saytga yuklash imkoniyatiga ega. Xodisa sodir bo'lgan taqdirda, platforma sodir bo'layotgan voqealarning to'liq kontekstini taqdim etadi, bu sizga hodisaga javob berish vaqtini qisqartirish va hujum manbasini blokirovka qilish imkonini beradi. Ushbu hisob-kitoblar umuman zararli dasturlar haqida hukm chiqarish uchun ishlatilishi mumkin. Ko'rib chiqilishi kerak bo'lgan tahdidlar shunchalik ko'payib bormoqdaki, ularning aksariyati e'tiborga olinmaydi. 22. Kompyuter tahdidlarini aniqlash tizimlari. Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiquvchilari o'z mahsulotlariga kiritadigan asosiy vositalar: Download 262.28 Kb. Do'stlaringiz bilan baham: 
|