1. Axborot xavfsizligiga bo‘ladigan tahdidlar. Tahdid turlari
Yüklə 262,28 Kb.
|
|
NGFW Ilovasi ichida :
● Application Layer Firewall (WAF) funksiyalari; ● Tahdidlarni aniqlash va blokirovka qilish uchun tarmoq trafigini tahlil qilish (IPS); ● turli darajadagi protokollar bilan shifrlangan trafikni to'liq matnli tahlil qilish (tekshirish); ● trafikni cheklash va ustuvorlik qilish qobiliyati - Xizmat sifati (QoS); ● ajratilgan muhitda fayllarning xatti-harakatlarini tahlil qilish; ● joriy tahdidlar to'g'risidagi ma'lumotlar bilan muntazam boyitish (obro' ro'yxatlari, murosa ko'rsatkichlari va boshqalar). 75. Xavfsizlik hodisalarini kuzatish tizimlari (SIEM) Xavfsizlik ma'lumotlari va hodisalarni boshqarish (SIEM) yechimlari turli axborot tizimlari va ilovalaridagi hodisalarni kuzatish uchun mo'ljallangan. Ushbu sinfning axborot xavfsizligi yechimlari quyidagi vazifalarni bajarishga imkon beradi: ● katta hajmdagi xavfsizlik hodisalarini to'plash va tahlil qilish; ● AT infratuzilmasini himoya qilish vositalarining joriy holatini monitoring qilish; ● real vaqtda kompyuter hodisalarini aniqlash; ● AT infratuzilmasida sodir bo'layotgan voqealar haqida to'liq tasavvurga ega bo'lish; ● AT va axborot xavfsizligi tizimlarining ishlashidagi nosozliklarni aniqlash va ularga javob berish; ● hujum zanjirlarini bashorat qilish uchun tarmoq xaritasini yaratish; ● real vaqt rejimida xavflarni tahlil qilish va baholash uchun ma'lumotlarni olish; ● qonun hujjatlarining ayrim talablari va normativ hujjatlarini bajarish. SIEM tizimlari qanday ishlaydi SIEM klassi tizimlarining ishlash printsipi dasturiy ta'minot darajasida ham, apparat komponentlari darajasida ham har xil qurilmalardan barcha turdagi jurnallarni (hodisalar) yig'ishdir. Bundan tashqari, barcha hodisalar keyingi tahlil qilish uchun yagona formatga tushiriladi. Xuddi shu infratuzilma elementi bilan bog'liq hodisalar to'plami (korrelyatsiya) kiberhujumni ko'rsatishi mumkin. SIEM IT infratuzilmasida sodir bo'layotgan voqealarning to'liqroq rasmini ko'rish va qo'shimcha ravishda ma'lum tugunlarning tarmoqqa kirish imkoniyatini tahlil qilish imkonini beradi. Turli manbalardan olingan ma'lumotlarni sinchkovlik bilan tahlil qilish va o'zaro bog'lash orqali SIEM an'anaviy aniqlash vositalari alohida ishlaydigan har doim ham samarali bo'lmagan hodisalarni aniqlaydi. 76. Tarmoq trafigini tahlil qilish (NTA) tizimlari Tarmoq trafigini tahlil qilish (NTA) tizimlari tarmoq hujumlarini aniqlash, tarmoq trafigini ushlab turish va tahlil qilish uchun moʻljallangan. Ushbu toifadagi tizimlar hujumning dastlabki bosqichida buzg'unchilar mavjudligini aniqlashga, tahdidlarni tezda lokalizatsiya qilishga, shuningdek, axborot xavfsizligi qoidalariga rioya qilishni ta'minlashga yordam beradi. Standart tarmoq analizatorlaridan (IDS / IPS) farqli o'laroq, NTA tizimlari nafaqat perimetrda, balki IT infratuzilmasida ham trafikni tahlil qiladi. Bundan tashqari, dolzarb imzolarning paydo bo'lishi bilan NTA sinfi yechimlari arxivda saqlanadigan tarmoq trafigini tahlil qilish imkoniyatiga ega bo'lishi kerak (retrospektiv tahlil).NTA sinfi yechimlari murakkab maqsadli hujumlar aniqlangan vaziyatlarda SIEM sinfi yechimlari uchun tarmoq hodisalarining qo'shimcha manbai bo'lishi mumkin. 77. Yakuniy nuqta hujumini aniqlash (EDR) Endpoint Detection and Response (EDR) tizimlari so‘nggi qurilmalarga kompyuter hujumlarini aniqlash imkonini beradi va axborot xavfsizligi bo‘yicha mutaxassislar javobi uchun zarur ko‘rsatkichlarni taqdim etadi.Ushbu toifadagi yechimlar odatda oxirgi qurilmaga o'rnatilgan maxsus agentdan foydalanadi. Uning vazifalariga foydalanuvchilar faoliyati va dasturiy ta'minot haqida ma'lumot to'plash, murosa belgilarini aniqlash (Indicators of compromise, IoC), buzilgan qurilmalarni aniqlash va mahalliylashtirishda yordam berish va boshqalar kiradi. Barcha to'plangan ma'lumotlar kompyuter hodisalarini tekshirishda yordam beradi. 78. Kaspersky Threat Intelligence Kaspersky Threat Intelligence portali (keyingi o'rinlarda “Kaspersky TI” deb yuritiladi) hodisalarga tezkor javob berish va ularni samarali tekshirish uchun mo'ljallangan tahdidlar haqida xabar berish xizmatidir. Uning foydalanuvchilari fayllar, URL va IP manzillar, domenlar, nazorat summalari, tahdidlar nomlari, statistik ma'lumotlar va faoliyat haqida doimiy yangilanib turadigan ma'lumotlar bilan ta'minlanadi. Bu hodisaga javob beruvchilarga tezkor ustuvorliklarni belgilash, vaqt jadvallarini kuzatish, tajovuzkorlar tomonidan nishonga olingan infratuzilma maqsadlarini topish va qarshi choralarni aniqlash uchun kiberjinoyatchilik taktikasi va usullarini o‘rganish imkonini beradi. 79. R-Vision Threat Intelligence Platform R-Vision Threat Intelligence Platform (keyingi o‘rinlarda “R-Vision TIP” deb yuritiladi) kiberrazvedka ma’lumotlari bilan tahliliy ishlash uchun markazlashtirilgan platforma bo‘lib, u tahdid ma’lumotlarini to‘playdi, qayta ishlaydi, saqlaydi va tahlil qiladi, shuningdek, ushbu bilimlarni aniqlash, tahdidlarni bloklash, hodisalarga javob berish va tekshirish uchun foydalanadi. R-Vision TIP tijorat va bepul manbalar, shuningdek FinCERT maʼlumotlari bilan ishlashni qoʻllab-quvvatlaydi. Mahsulot avtomatik ravishda bog'langan manbalardan ma'lumotlarni to'playdi, ularni normallashtiradi va nusxalaydi va yagona taqdimot modeliga olib keladi. R-Vision Threat Intelligence Platformasining ishlash sxemasi 80. PT Cybersecurity Intelligence PT Cybersecurity Intelligence platformasi (keyingi o'rinlarda “PT CybSI”) bepul va tijorat ma’lumotlari, shuningdek, sotuvchining shaxsiy ma'lumotlari asosida axborot xavfsizligi tahdidlari haqidagi bilimlarni boshqarish uchun mo'ljallangan. PT CybSI tashqi manbalardan va ichki himoyalardan kelib chiqadigan murosa ko'rsatkichlarini avtomatik ravishda to'plash, shakllantirish va boyitish imkonini beradi. Ommaviy, maqsadli va sanoatga xos hujumlarni aniqlash uchun platforma qayta ishlangan ma'lumotlarni mavjud himoya va javob vositalariga mustaqil ravishda o'tkazishga qodir hisoblanadi. 81. Anomali Threat Intelligence Platform Anomali Threat Intelligence Platformasi tashkilotlarga barcha tahdid ma'lumotlarini to'plash, birlashtirish va tahlil qilish, ularni boshqarish va almashish uchun yagona, markazlashtirilgan muhitni yaratishga imkon beradi. Platforma ikkita asosiy komponentdan iborat - ThreatStream va Match. Anomali ThreatStream - axborot xavfsizligi bo'yicha tahlilchi uchun o'ziga xos nazorat nuqtasi va SOCda muhim vosita. ThreatStream Anomali APP Store orqali bepul manbalardan ham, yuqori darajadagi uchinchi tomon kanallaridan ham tahdid haqida ma'lumotni jamlaydi va keyin bu ma'lumotlarni qayta ishlaydi, uni boyitadi, kontekstni qo'shadi va u bilan murosa ko'rsatkichlarini bog'laydi. Yüklə 262,28 Kb. Dostları ilə paylaş:
|