Контроль защищенности
Направление контроль защищенности нацелено на выявление внутренних злоумышленников и их вредоносных действий с серверами и системами.
Большая часть проникновений во внутреннюю инфраструктуру обычно происходит при помощи использования подбора пароля. Первая часть направления нацелена на выявление учетных записей со слабыми и легко подбираемыми паролям, на основе анализа хешированных паролей с базой данных хешированных паролей, которые когда-либо были опубликованы в сети интернет.
Когда злоумышленник попадает на сервер внутри периметра, чаще всего он пытается выполнить поэтапно
3 действия:
Закрепление – злоумышленник закачивает и устанавливает вредоносы и специальный нелегитимный «хакерский» софт. Следовательно, в систему начинают добавляться файлы и конфигурации
Распространение – злоумышленник пытается распространить свои вредоносные действия на остальные сервера внутри периметра для того, чтобы увеличить потенциальный ущерб либо найти нужный ему сервер. В процессе распространения злоумышленник «пробивает» для себя лазейки в сети и протоколах, открывает новые соединения и порты. Следовательно текущие файлы конфигураций изменяются
Скрытие следов – злоумышленник не хочет быть замечен внутренними СЗИ и системами мониторинга установленных в ИТ-инфраструктуре, поэтому зачищает временные файлы и папки, созданные на 1 шаге и файлы логов. Следовательно, удаляются системные файлы логов
Вторая часть направления Контроль защищенности нацелена на непрерывный мониторинг контроля целостности файлов и сигнализации о добавлении, изменении и удалении файлов и директорий на серверах.
