A rendszerfeltörések és a kifinomult támadások száma manapság egyre növekszik, ezzel ösztönözve a biztonsági információk és események kezelésének (SIEM) folyamatos fejlesztését.

Ezen fejlett támadások elleni további küzdelem érdekében a biztonsági információs platformokat és megoldásokat a gyártók, köztük a ManageEngine is, megerősítették.

A támadáscsökkentő technikák fejlesztése számos új paramétert eredményezett, amelyek korán észlelik a lehetséges fenyegetéseket és támadási mintákat.

Indikátorok és alkalmazásuk

Két olyan indikátor is van, amelyek segítenek a támadások azonnali észlelésében és azonosításában még a károkozás előtt. Ezek a következők:

• A kompromittáltság indikátorai (indicators of compromise, IoCs)
Az IoC olyan forenzikát jelent - például a rendszer naplóbejegyzéseiben vagy fájlokban található adatokat -, amelyek a rendszerben vagy a hálózatban egyértelműen kártékony tevékenységet azonosítanak.

• A támadás indikátorait (indicators of attack, IoAs)
Az IoA viszont olyan gyanús, potenciálisan veszélyes eseményeket takar, melyeket korai észlelést követően a biztonsági eszközök értékelnek.

A biztonsági támadások típusai és felismerésük

A biztonsági támadások nagyjából két típusba sorolhatók:

• Az üzleti tevékenységet megzavaró támadások
Ezek végpontvédelmi rendszerek megkerülésére és az erőforrások irreleváns forgalommal való elárasztására koncentrálnak, az informatikai rendszerek folyamatos működésének akadályozása a céljuk. Ilyenek például a DDoS-támadások, amelyek egy e-kereskedés vagy egy bank webes szolgáltatásának ellehetetlenítésére irányulnak.

• Bizalmas információk megszerzésére irányuló támadások
Itt az adatok ellopására, a bizalmas információk megszerzésére összpontosít a kritikus erőforrásokhoz történő illetéktelen hozzáférés révén.

Típusától függetlenül minden támadás nyomot hagy, amelyet indikátorként ismerünk. Ezeknek az indikátoroknak az értelmezése segíti a biztonsági szakembereket a védekezésben.

A kompromittáltsági szakaszban a támadás már kiderült, lehetővé téve annak észlelését.
Az ilyen típusú támadások azonnal felismerhetők a megfelelő IoC riasztási profilok konfigurálásával:

• Jogosulatlan hozzáférési kísérletek a kritikus adatbázisokhoz
• Az adatbázisban végrehajtott jogosulatlan másolási műveletek
• A támadó megpróbál fájlokat feltölteni vagy áthelyezni egy illetéktelen felhőalapú webhelyre

A támadás felfedezésének sikere az egyes IoC-k érvényesítésétől függ, és attól, hogy a biztonsági rendszer milyen összefüggéseket talál az egyes események között. A rendszergazdáknak vizsgálniuk kell a sajátos támadási mintákat, és meg kell határozniuk azok jellemzőit. Ezt követően proaktív módon képesek elhárítani minden hasonló támadást.

A támadások azonban általában nem ennyire árulkodóak. Ezt szem előtt tartva a rendszergazdáknak csapdákat kell felállítaniuk olyan korrelációs szabályok meghatározásával, amelyek a támadásmintában minden lehetséges műveletet lefednek.

Az indikátorok felderítése és bővítése a Log360-nal

A Log360 beépített, valós idejű esemény-felismerési és reagálási rendszerrel rendelkezik, amely észleli az IoC-ket, valamint egy korrelációs motorral segíti a támadási indikátorok (IoA) bővítését.

A megoldás további IP-fenyegetési adatbázist is tartalmaz, amely több mint 600 millió rosszindulatú IP-címet foglal magába.

Amikor ezen IP-címek bármelyikéből érkező forgalom eléri a hálózat erőforrásait, a biztonsági rendszergazdák azonnal értesítést kapnak, így a Log360-nal akár konfigurálhatnak is egy egyéni szkriptet, amely blokkolja ezt az IP-címet.

Valós idejű esemény-válasz rendszer

A Log360 több mint 700 előre elkészített riasztási profillal rendelkezik, amelyek a különböző IoC-k alapos tanulmányozásán alapulnak.
A rendszergazdák engedélyezhetik a hálózati környezetük szempontjából releváns riasztási profilokat a támadások azonnali észleléséhez.

Minden IoC eseményről a rendszergazdák valós idejű értesítéseket kapnak e-mailben vagy SMS-ben, valamint részletes jelentést kapnak az eseményről, felgyorsítva a támadáselhárítási folyamatot.

Ezenkívül a hamis pozitív eredmények számának csökkentése érdekében a Log360 magában foglalja az esemény gyakorisága vagy időtartama alapján a riasztási profilok létrehozását bizonyos eszközök számára.

Log360 jelentések

A Log360 részletes jelentéseket is szolgáltat a kritikus adatbázisokhoz való jogosulatlan hozzáférési kísérletekről a következők szerint:

• Sikertelen bejelentkezések
Ki próbálkozott a bejelentkezéssel, melyik IP-címről, mikor, és az távoli gazdagépről származott-e.

• Sikertelen bejelentkezések részletei
Az összes bejelentkezési hiba, beleértve a bejelentkezés sikertelenségének okát (például rossz jelszó vagy helytelen felhasználónév miatt). A kritikus információk engedély nélküli másolata.

• Adatmanipuláció (DML) naplózása
Nyomon követi, hogy ki hajtott végre speciális lekérdezést az adatbázisban, honnan és mikor.

• Másolási kísérletek
Meghatározza, hogy ki próbálta átmásolni az adatokat, valamint hová és melyik gépről.