Контроль защищенности
Направление «Контроль защищенности» нацелено на выявление внутренних злоумышленников и их вредоносных действий с серверами и системами.
Большая часть проникновений во внутреннюю инфраструктуру обычно происходит при помощи использования подбора пароля. Первая часть направления нацелена на выявление учетных записей со слабыми и легко подбираемыми паролям, на основе анализа хешированных паролей с базой данных хешированных паролей, которые когда-либо были опубликованы в сети интернет.
Когда злоумышленник попадает на сервер внутри периметра, чаще всего он пытается выполнить поэтапно 3 действия:
- Закрепление – злоумышленник закачивает, устанавливает вредоносы и специальный нелегитимный «хакерский» софт. В итоге, в систему начинают добавляться файлы и конфигурации.
- Распространение – злоумышленник пытается распространить свои вредоносные действия на остальные серверы внутри периметра для того, чтобы увеличить потенциальный ущерб, либо найти нужный ему сервер. В процессе распространения злоумышленник «пробивает» для себя лазейки в сети и протоколах, открывает новые соединения и порты. В итоге, текущие файлы конфигураций изменяются.
- Скрытие следов – злоумышленник не хочет быть замечен внутренними СЗИ и системами мониторинга установленных в ИТ-инфраструктуре, поэтому зачищает временные файлы и папки, созданные на 1 шаге. В итоге, удаляются системные файлы логов.
Вторая часть направления «Контроль защищенности» нацелена на непрерывный мониторинг контроля целостности файлов и сигнализации о добавлении, изменении, удалении файлов и директорий на серверах.