Несмотря на множество доступных решений для обеспечения безопасности, все больше организаций становятся жертвами программ-вымогателей и других угроз. Эти продолжающиеся угрозы - это не просто неудобство, от которого страдают предприятия и конечные пользователи, они наносят ущерб экономике, ставят под угрозу жизни, разрушают предприятия и ставят под угрозу национальную безопасность. Но если этого было недостаточно – Северная Корея, похоже, использует доходы от кибератак для финансирования своей программы создания ядерного оружия.
Предприятия малого и среднего бизнеса все чаще попадают в сети продолжающихся вредоносных атак - часто из-за недостаточного финансирования ИТ-отделов. Проблему усугубляют сложные решения для обеспечения безопасности предприятия, которые часто недоступны для многих компаний, особенно когда для создания надежной защиты, по-видимому, требуется несколько продуктов. Массовые продукты, которые стимулируют пользователей собирать меньше данных в целях экономии средств, работают в обратном направлении, сводя на нет ожидаемые преимущества.
Но что, если бы вы могли обнаруживать множество вредоносных атак комплексно с помощью набора инструментов, являющихся частью единого решения:
Мощность журнала
Журналы содержат огромное количество данных, которые являются основой для любых усилий по мониторингу, особенно на платформе Windows, которая предоставляет хорошо структурированную систему ведения журнала (которую можно дополнить бесплатной утилитой Sysmon!).:
Однако логи, отправляемые в SIEM, не хуже логов, создаваемых операционной системой. Проводите аудит и собирайте слишком много, и вы загрязняете свою базу данных журналов, но если вы проводите аудит слишком мало, вы упустите ключевые показатели. EventSentry решает эту проблему, регулярно проверяя настройки аудита на конечных точках, а также используя гибкий набор правил, который может блокировать ненужные события в источнике.
Больше видимости
Видимость является ключом к обнаружению любой вредоносной активности и защите от нее - вы не можете защититься от того, чего не видите. Тем не менее, многие организации имеют ограниченное представление о своей сети, что упрощает внедрение вредоносных программ и APT.
Хотя журналы являются неотъемлемым компонентом любой системы мониторинга и защиты, полагаясь только на них, неизбежно создаются слепые зоны, через которые может проскользнуть вредоносное программное обеспечение. Например, большинство SIEM не знают об установленном программном обеспечении, запланированных задачах, службах и драйверах - и все же именно там проскальзывает множество вредоносных программ. И прохождение через это происходит.
EventSentry устраняет эти недостатки с помощью надежной платформы мониторинга на основе агентов, где все важные показатели конечной точки отслеживаются в деталях - независимо от местоположения конечной точки. EventSentry также активно повышает безопасность любой отслеживаемой сети с помощью своих сценариев проверки. Active Directory, состояние системы и мониторинг сети обеспечивают дополнительный оперативный охват.
Фактически, комплексный набор функций EventSentry побудил многих пользователей значительно сократить количество используемых ими инструментов мониторинга. В результате мы получили более интегрированный и компактный пакет мониторинга с более высокой рентабельностью инвестиций.
Кто одерживает верх?
Когда дело доходит до традиционного боя, общее правило заключается в том, что атакующему требуется соотношение сил 3: 1 по сравнению с силами обороняющегося. Итак, если в армии, которую вы атакуете, 1000 солдат, то вам понадобится около 3000, чтобы победить их.
Однако это правило не всегда применимо к другим видам боевых действий, например, к военным действиям на море. Еще в 2005 году шведская подводная лодка стоимостью 30 миллионов долларов смогла бы потопить военный корабль США "Рейган" во время учений - авианосец класса "Нимиц", строительство которого обошлось почти в 5 миллиардов долларов и который защищается примерно полудюжиной эсминцев и крейсеров.
В этом конкретном примере злоумышленнику, по-видимому, потребовалось менее 1% ресурсов defender для достижения своей цели. Такое неравномерное соотношение, к сожалению, применимо и к кибервойнам.
Ваша сеть подобна тому авианосцу - защищена со всех сторон. Но злоумышленнику достаточно воспользоваться одной лазейкой, чтобы сделать всю защиту бесполезной.
Несколько уровней защиты
Времена, когда вы просто настраивали брандмауэр, устанавливали решения для кондиционирования воздуха, а затем, к сожалению, сами себя подставляли, давно прошли. Ни один инструмент не может надежно обнаружить все угрозы, что делает необходимым многоуровневый подход.
EventSentry помогает защитить любую отслеживаемую сеть посредством предотвращения, обнаружения и постоянного обнаружения:
1. Предотвращение
Обнаружение атак является ключевым фактором, но еще лучше их предотвратить в первую очередь. EventSentry помогает ликвидировать лазейки, чтобы многие атаки изначально не были успешными.
2. Обнаружение
Но как бы ни была важна профилактика, она не может блокировать каждую атаку. Следовательно, обнаружение атак и реагирование на них - следующая лучшая тактика для минимизации ущерба.
3. Изучение
Наконец, непрерывное обнаружение и детальное изучение вашей сети может помочь обнаружить необычное поведение - даже в том наихудшем сценарии, когда вредоносное ПО уже зарекомендовало себя.
Анатомия вредоносных атак
1. Доставка
Большинство атак вредоносного ПО следуют схожим схемам, начиная с доставки вредоносного ПО. Обычно это происходит с помощью фишинговых электронных писем, социальной инженерии или вредоносной рекламы. Обучение пользователей имеет решающее значение для минимизации риска на данном этапе, поскольку сами по себе технические решения не могут обеспечить полную защиту.
2. Эксплуатация
Следующим критическим этапом вредоносной атаки является эксплуатация, когда вредоносное ПО, доставленное ранее, пытается внедриться на целевой хост. EventSentry обеспечивает защиту на этом этапе, помогая как уменьшить поверхность атаки, так и обнаруживать любую необычную активность - таким образом, сводя риск к минимуму.
Например, EventSentry может гарантировать, что все хосты под управлением Windows имеют последний уровень исправлений, а также предоставить доступ к истории всех установленных исправлений Windows. EventSentry также предоставляет полную инвентаризацию всего установленного программного обеспечения и расширений браузера, а также проверку версий часто устанавливаемого программного обеспечения. Чтобы еще больше снизить уровень атак, EventSentry идентифицирует все приложения, которые прослушивают входящие сетевые подключения на ваших конечных точках.
Поскольку USB-накопители также часто используются, EventSentry может оповещать о вновь подключенных устройствах хранения данных, а также отслеживать доступ к этим устройствам. Доступ по протоколу RDP, который также часто используется на данном этапе, может быть защищен EventSentry различными способами, включая улучшенное отслеживание и обнаружение аномалий. Например, невиданный ранее IP-адрес, подключающийся к серверу RDP, помечен для проверки.
3. Постоянство
Если вредоносному ПО удается избежать обнаружения и защиты и оно активно на хосте жертвы, то оно обычно пытается создать персистентность. Это гарантирует, что вредоносное ПО останется активным даже при перезагрузке компьютера жертвы. Поскольку создание персистентности действительно включает в себя изменение энергонезависимых данных (например, создание запланированной задачи), это, естественно, увеличивает риск обнаружения. Большинство вредоносных программ принимают на себя этот риск (в то же время делая все возможное, чтобы избежать обнаружения), поскольку преимущество сохранения перевешивает риск и предоставляет субъекту угрозы долгосрочный доступ.
Обнаружение вредоносного ПО на этом этапе имеет решающее значение, поскольку невыполнение этого требования позволяет вредоносному ПО продолжать работать в течение длительного периода времени. Только благодаря своим возможностям мониторинга инвентаризации EventSentry может обнаруживать множество методов, с помощью которых вредоносное ПО создает устойчивость. К ним относятся запланированные задачи, службы, драйверы и расширения браузера. Даже более продвинутые методы, такие как внедрение DLL, загрузка DLL на стороне и использование преимуществ функций отладки в Windows, могут быть обнаружены EventSentry с помощью сценариев проверки и Sysmon.
Отслеживая запланированные задачи, службы, драйверы, программное обеспечение, расширения браузера и разделы реестра, EventSentry затрудняет скрытие вредоносного ПО. Большинство этих изменений обнаруживаются в режиме реального времени, так что ИТ-персонал может немедленно отреагировать и провести расследование. Авторы вредоносных программ, конечно же, осознают риск обнаружения и сделают все возможное, чтобы не выделяться: добавленные службы и запланированные задачи будут иметь общие названия, благодаря которым они будут выглядеть безвредными.
Сценарии проверки заслуживают объяснения здесь, поскольку они обычно не являются частью SIEM-решений и / или решений для мониторинга журналов. Основная цель сценариев проверки EventSentry - повысить безопасность всех конечных точек - рабочих станций, серверов и контроллеров домена, - чтобы атаки изначально не увенчались успехом! Они делают это, выполняя более 150 проверок, которые "подтверждают" соответствие отслеживаемых конечных точек рекомендуемым настройкам и политикам.
Но есть ли у нас уже сканер уязвимостей? Сканеры уязвимостей являются важным и ценный инструментом для выявления потенциальных уязвимостей. Однако сканеры уязвимостей имеют ограниченное представление о системах Windows, поскольку они сканируют систему извне, в то время как сценарии проверки защищают конечные точки изнутри.
Вам не нужно устанавливать EventSentry для тестирования сценариев проверки - просто зайдите на system32.eventsentry.com сайт и загрузите бесплатный инструмент проверки соответствия требованиям. Вы также можете проверить настройки аудита онлайн с помощью нашего средства проверки соответствия политике аудита.
Однако, в дополнение к этим упреждающим проверкам, сценарии проверки могут также обнаруживать потенциально подозрительные настройки, которые могут указывать на заражение вредоносным ПО, в рамках текущего процесса обнаружения. Вы можете просмотреть список всех проверок здесь.
Сценарии проверки, конечно, не являются одноразовой проверкой - EventSentry постоянно выполняет эти проверки, чтобы гарантировать, что ваша среда остается безопасной. Доступ к результатам этих проверок можно получить различными способами, включая информационные панели, отчеты или запросы вручную. Выполнение всех применимых сценариев проверки значительно повысит базовую безопасность любой сети, предотвращая многие распространенные атаки.
4. Распространение
После заражения и сохранения следующим логическим шагом в распространении вредоносного ПО в вашей сети является распространение. Это делается для различных целей:
Распространение увеличивает риск обнаружения, но преимущества перевешивают риск - точно так же, как и в случае с сохраняемостью. Если вредоносному ПО удавалось оставаться незамеченным до сих пор, то попытки распространения на самом деле являются отличной возможностью окончательно обнаружить вредоносное программное обеспечение. Как гласит старая поговорка - лучше поздно, чем никогда!
Как и в случае с каждым этапом заражения вредоносным ПО, существует множество различных методов распространения, которые может использовать вредоносное ПО - с разной вероятностью обнаружения. Доступ к удаленным системам в конечном итоге требует получения доступа к учетным данным для удаленных систем - если они еще не предоставлены текущему сеансу.
Базовые методы, такие как атаки методом перебора и использование инструментов администрирования, могут быть легче обнаружены. Однако более продвинутые методы, например передача хэша / тикета, требуют больше усилий со стороны защищающегося. Но независимо от того, как инициируется распространение, обнаружение аномалий / шаблонов часто позволяет обнаружить необычный доступ к сети.
EventSentry включает в себя ряд функций, которые позволяют обнаруживать распространение вредоносных программ:
5. Выполнение
Если вредоносное ПО по-прежнему не обнаружено и не пресечено на данном этапе, то оно перейдет к заключительной стадии - исполнению. Это когда резина соприкасается с дорогой - когда перчатки снимаются. Что на самом деле происходит на этапе выполнения, конечно, зависит от вредоносного ПО, но обычно это одно из следующих действий:
Обычно первый вариант - единственный, при котором вредоносное ПО не пытается остаться незамеченным. Как только работа будет выполнена, вы узнаете, и битва часто проиграна. В противном случае вредоносное ПО по-прежнему будет оставаться необнаруженным, предоставляя защитникам последнюю возможность обнаружить вторжение.
По общему признанию, обнаружение на данном этапе затруднено, но даже здесь EventSentry предлагает функции, которые могут обнаружить этих нежелательных посетителей. Мониторинг производительности может обнаружить необычную активность процессора, например, если в сети жертвы были установлены криптомайнеры. EventSentry также может обнаруживать процессы, прослушивающие входящие сетевые подключения, в то время как NetFlow может выявлять необычный сетевой трафик.
Заключение
Защита сложных сетевых инфраструктур, особенно Windows, от продвинутых угроз требует сложной защиты, которая выходит за рамки сбора журналов, антивирусных программ и обычного соблюдения нормативных требований.
EventSentry обеспечивает обзор сетей с нескольких точек обзора, что может помочь обнаружить различные угрозы на разных этапах атаки. Обширный набор валидационных проверок повышает базовую безопасность, отчеты о соответствии с информационными панелями упрощают различные требования к соответствию - и все это при отличной рентабельности инвестиций, доступной как для малого, так и для крупного бизнеса.
Предприятия малого и среднего бизнеса все чаще попадают в сети продолжающихся вредоносных атак - часто из-за недостаточного финансирования ИТ-отделов. Проблему усугубляют сложные решения для обеспечения безопасности предприятия, которые часто недоступны для многих компаний, особенно когда для создания надежной защиты, по-видимому, требуется несколько продуктов. Массовые продукты, которые стимулируют пользователей собирать меньше данных в целях экономии средств, работают в обратном направлении, сводя на нет ожидаемые преимущества.
Но что, если бы вы могли обнаруживать множество вредоносных атак комплексно с помощью набора инструментов, являющихся частью единого решения:
- Настраиваемый мониторинг и консолидация журналов с помощью сложного механизма мониторинга в режиме реального времени
- Комплексные проверки важных параметров безопасности и аудита в Windows, организованные службой соответствия требованиям, обеспечивают прочную основу для защиты.
- Полный перечень программного обеспечения, исправлений и расширений для браузера
- Обнаружение состояния и изменений всех запланированных задач, служб / драйверов и процессов
- Обнаружение необычного поведения, такого как процессы и входы в систему
- Интеграция с Sysmon
- Детальный мониторинг каждого отдельного объекта Active Directory
- Мониторинг сети, сетевого потока и производительности
Мощность журнала
Журналы содержат огромное количество данных, которые являются основой для любых усилий по мониторингу, особенно на платформе Windows, которая предоставляет хорошо структурированную систему ведения журнала (которую можно дополнить бесплатной утилитой Sysmon!).:
Однако логи, отправляемые в SIEM, не хуже логов, создаваемых операционной системой. Проводите аудит и собирайте слишком много, и вы загрязняете свою базу данных журналов, но если вы проводите аудит слишком мало, вы упустите ключевые показатели. EventSentry решает эту проблему, регулярно проверяя настройки аудита на конечных точках, а также используя гибкий набор правил, который может блокировать ненужные события в источнике.
Больше видимости
Видимость является ключом к обнаружению любой вредоносной активности и защите от нее - вы не можете защититься от того, чего не видите. Тем не менее, многие организации имеют ограниченное представление о своей сети, что упрощает внедрение вредоносных программ и APT.
Хотя журналы являются неотъемлемым компонентом любой системы мониторинга и защиты, полагаясь только на них, неизбежно создаются слепые зоны, через которые может проскользнуть вредоносное программное обеспечение. Например, большинство SIEM не знают об установленном программном обеспечении, запланированных задачах, службах и драйверах - и все же именно там проскальзывает множество вредоносных программ. И прохождение через это происходит.
EventSentry устраняет эти недостатки с помощью надежной платформы мониторинга на основе агентов, где все важные показатели конечной точки отслеживаются в деталях - независимо от местоположения конечной точки. EventSentry также активно повышает безопасность любой отслеживаемой сети с помощью своих сценариев проверки. Active Directory, состояние системы и мониторинг сети обеспечивают дополнительный оперативный охват.
Фактически, комплексный набор функций EventSentry побудил многих пользователей значительно сократить количество используемых ими инструментов мониторинга. В результате мы получили более интегрированный и компактный пакет мониторинга с более высокой рентабельностью инвестиций.
Кто одерживает верх?
Когда дело доходит до традиционного боя, общее правило заключается в том, что атакующему требуется соотношение сил 3: 1 по сравнению с силами обороняющегося. Итак, если в армии, которую вы атакуете, 1000 солдат, то вам понадобится около 3000, чтобы победить их.
Однако это правило не всегда применимо к другим видам боевых действий, например, к военным действиям на море. Еще в 2005 году шведская подводная лодка стоимостью 30 миллионов долларов смогла бы потопить военный корабль США "Рейган" во время учений - авианосец класса "Нимиц", строительство которого обошлось почти в 5 миллиардов долларов и который защищается примерно полудюжиной эсминцев и крейсеров.
В этом конкретном примере злоумышленнику, по-видимому, потребовалось менее 1% ресурсов defender для достижения своей цели. Такое неравномерное соотношение, к сожалению, применимо и к кибервойнам.
Ваша сеть подобна тому авианосцу - защищена со всех сторон. Но злоумышленнику достаточно воспользоваться одной лазейкой, чтобы сделать всю защиту бесполезной.
Несколько уровней защиты
Времена, когда вы просто настраивали брандмауэр, устанавливали решения для кондиционирования воздуха, а затем, к сожалению, сами себя подставляли, давно прошли. Ни один инструмент не может надежно обнаружить все угрозы, что делает необходимым многоуровневый подход.
EventSentry помогает защитить любую отслеживаемую сеть посредством предотвращения, обнаружения и постоянного обнаружения:
1. Предотвращение
Обнаружение атак является ключевым фактором, но еще лучше их предотвратить в первую очередь. EventSentry помогает ликвидировать лазейки, чтобы многие атаки изначально не были успешными.
2. Обнаружение
Но как бы ни была важна профилактика, она не может блокировать каждую атаку. Следовательно, обнаружение атак и реагирование на них - следующая лучшая тактика для минимизации ущерба.
3. Изучение
Наконец, непрерывное обнаружение и детальное изучение вашей сети может помочь обнаружить необычное поведение - даже в том наихудшем сценарии, когда вредоносное ПО уже зарекомендовало себя.
Анатомия вредоносных атак
1. Доставка
Большинство атак вредоносного ПО следуют схожим схемам, начиная с доставки вредоносного ПО. Обычно это происходит с помощью фишинговых электронных писем, социальной инженерии или вредоносной рекламы. Обучение пользователей имеет решающее значение для минимизации риска на данном этапе, поскольку сами по себе технические решения не могут обеспечить полную защиту.
2. Эксплуатация
Следующим критическим этапом вредоносной атаки является эксплуатация, когда вредоносное ПО, доставленное ранее, пытается внедриться на целевой хост. EventSentry обеспечивает защиту на этом этапе, помогая как уменьшить поверхность атаки, так и обнаруживать любую необычную активность - таким образом, сводя риск к минимуму.
Например, EventSentry может гарантировать, что все хосты под управлением Windows имеют последний уровень исправлений, а также предоставить доступ к истории всех установленных исправлений Windows. EventSentry также предоставляет полную инвентаризацию всего установленного программного обеспечения и расширений браузера, а также проверку версий часто устанавливаемого программного обеспечения. Чтобы еще больше снизить уровень атак, EventSentry идентифицирует все приложения, которые прослушивают входящие сетевые подключения на ваших конечных точках.
Поскольку USB-накопители также часто используются, EventSentry может оповещать о вновь подключенных устройствах хранения данных, а также отслеживать доступ к этим устройствам. Доступ по протоколу RDP, который также часто используется на данном этапе, может быть защищен EventSentry различными способами, включая улучшенное отслеживание и обнаружение аномалий. Например, невиданный ранее IP-адрес, подключающийся к серверу RDP, помечен для проверки.
3. Постоянство
Если вредоносному ПО удается избежать обнаружения и защиты и оно активно на хосте жертвы, то оно обычно пытается создать персистентность. Это гарантирует, что вредоносное ПО останется активным даже при перезагрузке компьютера жертвы. Поскольку создание персистентности действительно включает в себя изменение энергонезависимых данных (например, создание запланированной задачи), это, естественно, увеличивает риск обнаружения. Большинство вредоносных программ принимают на себя этот риск (в то же время делая все возможное, чтобы избежать обнаружения), поскольку преимущество сохранения перевешивает риск и предоставляет субъекту угрозы долгосрочный доступ.
Обнаружение вредоносного ПО на этом этапе имеет решающее значение, поскольку невыполнение этого требования позволяет вредоносному ПО продолжать работать в течение длительного периода времени. Только благодаря своим возможностям мониторинга инвентаризации EventSentry может обнаруживать множество методов, с помощью которых вредоносное ПО создает устойчивость. К ним относятся запланированные задачи, службы, драйверы и расширения браузера. Даже более продвинутые методы, такие как внедрение DLL, загрузка DLL на стороне и использование преимуществ функций отладки в Windows, могут быть обнаружены EventSentry с помощью сценариев проверки и Sysmon.
Отслеживая запланированные задачи, службы, драйверы, программное обеспечение, расширения браузера и разделы реестра, EventSentry затрудняет скрытие вредоносного ПО. Большинство этих изменений обнаруживаются в режиме реального времени, так что ИТ-персонал может немедленно отреагировать и провести расследование. Авторы вредоносных программ, конечно же, осознают риск обнаружения и сделают все возможное, чтобы не выделяться: добавленные службы и запланированные задачи будут иметь общие названия, благодаря которым они будут выглядеть безвредными.
Сценарии проверки заслуживают объяснения здесь, поскольку они обычно не являются частью SIEM-решений и / или решений для мониторинга журналов. Основная цель сценариев проверки EventSentry - повысить безопасность всех конечных точек - рабочих станций, серверов и контроллеров домена, - чтобы атаки изначально не увенчались успехом! Они делают это, выполняя более 150 проверок, которые "подтверждают" соответствие отслеживаемых конечных точек рекомендуемым настройкам и политикам.
- Установлено ли на целевую ОС последнее обновление?
- Разрешены ли небезопасные версии TLS и / или NTLM?
- Активен ли брандмауэр Windows?
- Активирована ли блокировка учетной записи?
Но есть ли у нас уже сканер уязвимостей? Сканеры уязвимостей являются важным и ценный инструментом для выявления потенциальных уязвимостей. Однако сканеры уязвимостей имеют ограниченное представление о системах Windows, поскольку они сканируют систему извне, в то время как сценарии проверки защищают конечные точки изнутри.
Вам не нужно устанавливать EventSentry для тестирования сценариев проверки - просто зайдите на system32.eventsentry.com сайт и загрузите бесплатный инструмент проверки соответствия требованиям. Вы также можете проверить настройки аудита онлайн с помощью нашего средства проверки соответствия политике аудита.
Однако, в дополнение к этим упреждающим проверкам, сценарии проверки могут также обнаруживать потенциально подозрительные настройки, которые могут указывать на заражение вредоносным ПО, в рамках текущего процесса обнаружения. Вы можете просмотреть список всех проверок здесь.
Сценарии проверки, конечно, не являются одноразовой проверкой - EventSentry постоянно выполняет эти проверки, чтобы гарантировать, что ваша среда остается безопасной. Доступ к результатам этих проверок можно получить различными способами, включая информационные панели, отчеты или запросы вручную. Выполнение всех применимых сценариев проверки значительно повысит базовую безопасность любой сети, предотвращая многие распространенные атаки.
4. Распространение
После заражения и сохранения следующим логическим шагом в распространении вредоносного ПО в вашей сети является распространение. Это делается для различных целей:
- Повышенная устойчивость (чем больше зараженных хостов, тем сложнее их удалить)
- Обнаружение дополнительных ресурсов (например, эксфильтрация данных, программы-вымогатели)
- Использование большего количества помощников для ботнета, майнинга и т.д.
Распространение увеличивает риск обнаружения, но преимущества перевешивают риск - точно так же, как и в случае с сохраняемостью. Если вредоносному ПО удавалось оставаться незамеченным до сих пор, то попытки распространения на самом деле являются отличной возможностью окончательно обнаружить вредоносное программное обеспечение. Как гласит старая поговорка - лучше поздно, чем никогда!
Как и в случае с каждым этапом заражения вредоносным ПО, существует множество различных методов распространения, которые может использовать вредоносное ПО - с разной вероятностью обнаружения. Доступ к удаленным системам в конечном итоге требует получения доступа к учетным данным для удаленных систем - если они еще не предоставлены текущему сеансу.
Базовые методы, такие как атаки методом перебора и использование инструментов администрирования, могут быть легче обнаружены. Однако более продвинутые методы, например передача хэша / тикета, требуют больше усилий со стороны защищающегося. Но независимо от того, как инициируется распространение, обнаружение аномалий / шаблонов часто позволяет обнаружить необычный доступ к сети.
EventSentry включает в себя ряд функций, которые позволяют обнаруживать распространение вредоносных программ:
- Инвентаризация программного обеспечения помогает убедиться в актуальности критически важного программного обеспечения
- Обнаружение аномалий может указывать на необычный доступ, например, вход с ранее неизвестных IP-адресов
- Мониторинг служб позволяет обнаруживать вредоносные службы и драйверы
- Мониторинг системного журнала и SNMP позволяет обнаруживать неудачные попытки входа в сетевые устройства
- Сценарии проверки и инвентаризация исправлений сводят к минимуму уязвимости
- Интеграция с Sysmon позволяет обнаруживать продвинутые атаки с передачей хэша / тикета
5. Выполнение
Если вредоносное ПО по-прежнему не обнаружено и не пресечено на данном этапе, то оно перейдет к заключительной стадии - исполнению. Это когда резина соприкасается с дорогой - когда перчатки снимаются. Что на самом деле происходит на этапе выполнения, конечно, зависит от вредоносного ПО, но обычно это одно из следующих действий:
- Шифрование и выдача (с целью получения выкупа)
- Кража данных / IP
- Настройка ботов
- Остается неактивным
Обычно первый вариант - единственный, при котором вредоносное ПО не пытается остаться незамеченным. Как только работа будет выполнена, вы узнаете, и битва часто проиграна. В противном случае вредоносное ПО по-прежнему будет оставаться необнаруженным, предоставляя защитникам последнюю возможность обнаружить вторжение.
По общему признанию, обнаружение на данном этапе затруднено, но даже здесь EventSentry предлагает функции, которые могут обнаружить этих нежелательных посетителей. Мониторинг производительности может обнаружить необычную активность процессора, например, если в сети жертвы были установлены криптомайнеры. EventSentry также может обнаруживать процессы, прослушивающие входящие сетевые подключения, в то время как NetFlow может выявлять необычный сетевой трафик.
Заключение
Защита сложных сетевых инфраструктур, особенно Windows, от продвинутых угроз требует сложной защиты, которая выходит за рамки сбора журналов, антивирусных программ и обычного соблюдения нормативных требований.
EventSentry обеспечивает обзор сетей с нескольких точек обзора, что может помочь обнаружить различные угрозы на разных этапах атаки. Обширный набор валидационных проверок повышает базовую безопасность, отчеты о соответствии с информационными панелями упрощают различные требования к соответствию - и все это при отличной рентабельности инвестиций, доступной как для малого, так и для крупного бизнеса.
