Tarmoq trafigini tahlil qilish tizimlari (NTA).
Tarmoq trafigini tahlil qilish (NTA) echimlari tarmoq hujumlarini aniqlash, tarmoq trafigini ushlab turish va tahlil qilish uchun mo'ljallangan. Bu sinflar tizimi hujumning dastlabki bosqichida tajovuzkorlarning mavjudligini aniqlashga, tahdidlarni tezda lokalizatsiya qilishga, shuningdek, axborot xavfsizligi qoidalariga rioya etilishini ta'minlashga yordam beradi.
Standart tarmoq analizatorlaridan (IDS / IPS) farqli o'laroq, NTA tizimlari nafaqat perimetrda, balki IT infratuzilmasida ham trafikni tahlil qiladi. Ushbu echimlar sinfi dalillar bazasini yaratish va uni huquqni muhofaza qilish organlariga va Rossiya Federatsiyasining axborot resurslariga kompyuter hujumlarining oqibatlarini aniqlash, oldini olish va bartaraf etish davlat tizimiga o'tkazish uchun tarmoq trafigi sessiyalarini saqlash qobiliyatiga ega. GosSOPKA). Bundan tashqari, zamonaviy imzolarning paydo bo'lishi bilan NTA sinfidagi echimlar arxivda saqlanadigan tarmoq trafigini tahlil qila olishi kerak (retrospektiv tahlil).
NTA sinf echimlari murakkab maqsadli hujumlar aniqlangan holatlarda SIEM sinf echimlari uchun tarmoq hodisalarining qo'shimcha manbai bo'lishi mumkin.
Amalda, bunday echimlar, masalan, ruxsatsiz xostdan domen boshqaruvchisiga ulanishning shubhali urinishini aniqlashga, so'ngra xostning tarmoq faoliyati haqidagi tarixiy ma'lumotlarni tahlil qilishga va shunga o'xshash boshqa urinishlar bo'lganligini tekshirishga imkon beradi. Agar ular sodir bo'lgan bo'lsa, unda bu maqsadli hujum yoki hech bo'lmaganda xakerlik urinishlari haqida bo'ladi.
Oxirgi nuqta hujumini aniqlash (EDR).
Endpoint Detection and Response (EDR) echimlari so'nggi qurilmalarga kompyuter hujumlarini aniqlash imkonini beradi va axborot xavfsizligi bo'yicha mutaxassislarning javoblari uchun zarur ko'rsatkichlarni beradi.
Ushbu turdagi echimlar odatda oxirgi qurilmaga o'rnatilgan maxsus agentdan foydalanadi. Uning funktsiyalari foydalanuvchilar va dasturiy ta'minotning faoliyati to'g'risidagi ma'lumotlarni to'plash, murosaga kelish belgilarini aniqlash (murosa ko'rsatkichlari, IOC), buzilgan qurilmalarni aniqlash va lokalizatsiya qilishda yordam berish va boshqalarni o'z ichiga oladi.
Amalga oshirilishiga qarab, EDR yechimi turli xil aniqlash texnologiyalarini o'z ichiga olishi mumkin. Masalan, ma'lumotlarni yig'ish va tahlil qilish agentidan tashqari, u xatti -harakatlarni tahlil qilish, murosaga keltirish ko'rsatkichlarini tahlil qilish, shuningdek, tahdid ma'lumotlarini boyitish uchun SIEM tizimlari va Threat Intelligence tizimlari bilan avtomatik ta'sir o'tkazish vositasi bo'lishi mumkin. axborot xavfsizligi bo'yicha mutaxassislarga yuqori sifatli tergov o'tkazish uchun nima bo'lganligi to'g'risida to'liq tasavvurni taqdim eting.
EDR echimlari tashkilotlarga an'anaviy so'nggi nuqta himoyasini chetlab o'tishga mo'ljallangan murakkab tahdidlarni aniqlash imkonini beradi.
Agar tajovuzkor, masalan, fishing yuborish yoki dasturiy xatcho'plar yordamida, maqsadli tizimga kirishga harakat qilsa, xavfsizlik xizmati zarur ma'lumotlarni olish uchun operatsion ma'lumotlarni ta'minlaydigan shunday aniqlash va nazorat qilish vositalariga ega bo'lishi kerak. hujumni imkon qadar tezroq oldini olish choralari. Ishga tushirish xakerlik imtiyozlarini oshirishi, portlarni ochishi va serverdan ma'lumotlarni tashqi manbalarga yuborishi yoki qattiq disklarni shifrlashi mumkin. Agar EDR agenti so'nggi nuqtalarga (serverlar va ish stantsiyalariga) o'rnatilgan bo'lsa, buning natijasida tizimdagi o'zgarishlar real vaqtda tahlil qilinsa, zararli dastur portni ochishi va ma'lumotlarni uzatishni boshlashi bilan, EDR buni yozib oladi va voqealarni uzatadi. SIEM tizimi va xavfsizlik operatori tahdidni blokirovka qilish uchun zarur choralarni ko'radi - portlarni yopish, hujum qilingan segmentni izolyatsiya qilish va hk.
Do'stlaringiz bilan baham: |