Tahdid ovi nima va u nima uchun kerak?
Tahdidni qidirish jarayonida tahlilchi himoya tizimlari sensorlar ishga tushguncha kutmaydi, balki maqsadli
ravishda komprometatsiya izlarini qidiradi. Buning uchun u tajovuzkorlarning tarmoqqa qanday kirganligi haqidagi
gipotezalarni ishlab chiqadi va tekshiradi. Bunday tekshiruvlar muntazam va davriy bo'lishi kerak.
Jarayon to'g'ri bajarilishida quyidagi prinsiplar hisobga olishi lozim:
·
Tizim allaqachon buzilgan deb taxmin qilish kerak. Asosiy maqsad - kirish izlarini topish.
·
Qidiruv ketma-ket amalga oshirilishi kerak, ya'ni faraz tekshirilgandan so'ng, tahlilchi yangisini
qo'yadi va qidirishni davom ettiradi.
·
Qidiruv tizimning aynan qanday buzilganligi haqidagi farazni talab qiladi.
Tahdid razvedkasi - bu xavfsizlikka potentsial tahdidlar haqida ma'lumot to'plash, tahlil qilish va harakat qilish
jarayoni. Bu tashkilotlarga potentsial tahdidlarni aniqlashga va ularni yumshatish uchun faol choralar ko'rishga
yordam beradi.
Xavflarni tahlil qilish - bu potentsial xavfsizlik xavflarining ehtimoli va ta'sirini baholash jarayoni. Bu tashkilotlarga
xavfsizlik bo'yicha sa'y-harakatlarini birinchi o'ringa qo'yishga va resurslarni samarali taqsimlashga yordam beradi.
Xavfsizlik operatsiyalari (SecOps) - real vaqt rejimida tashkilotning xavfsizlik holatini boshqarish jarayoni. Bu
xavfsizlik hodisalarini aniqlash, ularga javob berish va kamaytirish uchun odamlar, jarayonlar va texnologiyalarni
muvofiqlashtirishni o'z ichiga oladi.
Saralash ma'lumotlarni ma'lum bir tartibda joylashtirishni anglatadi. Xavfsizlik kontekstida saralash xavfsizlik
ma'lumotlari yoki ma'lumotlarini tahlil qilish yoki tushunishni osonlashtirish uchun maxsus usulda tartibga solishni
nazarda tutishi mumkin.
17. Zaiflikni boshqarish. Firibgarlikning oldini olish.
Xavfsizlik bilan bog'liq qo'shimcha shartlar:
Voqealarga javob berish: Xavfsizlik hodisalarini aniqlash, tahlil qilish va ularni o'z ichiga olish, keyin esa normal
operatsiyalarni imkon qadar tezroq tiklash jarayoni.
Identity and Access Management (IAM): Raqamli identifikatorlarni boshqaradigan va himoya qiladigan jarayonlar va
texnologiyalar. IAM foydalanuvchi autentifikatsiyasi, avtorizatsiya va kirishni boshqarishni o'z ichiga oladi.
Endpoint Security: noutbuklar, smartfonlar va serverlar kabi so'nggi nuqta qurilmalarini kiber tahdidlardan himoya
qilish.
Taqsimlangan xizmat ko'rsatishni rad etish (DDoS) hujumi: bir nechta tizimlar maqsadli tizimning tarmoqli kengligi
yoki resurslarini to'ldirib, foydalanuvchilar uchun mavjud bo'lmagan kiberhujum turi.
Fishing: tajovuzkor shaxslarni aldash uchun elektron pochta, matnli xabarlar yoki boshqa vositalardan foydalangan
holda maxfiy ma'lumotlarni ochish yoki zararli dasturlarni o'rnatish uchun foydalanadigan ijtimoiy muhandislik
hujumi turi.
Advance Persistent Threat (APT): Ko'pincha maxfiy ma'lumotlarni o'g'irlash yoki operatsiyalarni buzish maqsadi
bilan yuqori maqsadli va doimiy bo'lgan kiberhujum turi.
Nolinchi kunlik ekspluatatsiya: avval noma'lum bo'lgan xavfsizlik zaifligini tuzatishdan oldin foydalanadigan hujum
turi.
18. Xavfsizlik pozitsiyasini mustahkamlash. Zaifliklarni baholash va tahlil etish.
Xavfsizlik mavqeini mustahkamlash deganda xavf va zaifliklarni kamaytirish choralarini ko'rish orqali tashkilotning
umumiy xavfsizlik holatini yaxshilash tushuniladi. Bu xavfsizlik nazoratini amalga oshirish, muntazam xavfsizlikni
baholash va xodimlarni xavfsizlik bo'yicha ilg'or tajribalar bo'yicha o'qitishni o'z ichiga olishi mumkin.
Zaiflikni baholash va tahlil qilish - bu tashkilot tizimlari, ilovalari va tarmoqlaridagi zaifliklarni aniqlash, tasniflash
va ustuvorliklarini belgilash jarayoni. Maqsad har bir zaiflik bilan bog'liq xavfni aniqlash va uni kamaytirish yoki
yo'q qilish rejasini ishlab chiqishdir. Bu tashkilotlarga potentsial xavfsizlik tahdidlarini faol ravishda bartaraf etishga
va ularning umumiy xavfsizlik holatini yaxshilashga yordam beradi.
Xavfsizlik sohasida tez-tez ishlatiladigan qo'shimcha atamalar:
Shifrlash: maxfiy ma'lumotlarni ruxsatsiz kirishdan himoya qilish uchun ochiq matnni shifrlangan matnga aylantirish
jarayoni.
Faervol: Oldindan belgilangan xavfsizlik qoidalari asosida kiruvchi va chiquvchi tarmoq trafigini kuzatuvchi va
nazorat qiluvchi tarmoq xavfsizlik tizimi.
Intrusion Detection System (IDS): Tarmoq yoki tizim faoliyatini zararli yoki ruxsatsiz harakatlar mavjudligini
kuzatuvchi va xavfsizlik ma'murlarini ogohlantiruvchi tizim.
Penetratsion test: Xavfsizlik zaifliklarini aniqlash uchun kompyuter tizimiga, tarmoqqa yoki veb-ilovaga taqlid
qilingan hujum.
Kirish nazorati: kompyuter tizimidagi resurslarga kim yoki nima ruxsat berilishini tartibga solish jarayoni.
Zararli dastur: kompyuter tizimiga zarar etkazish yoki undan foydalanish uchun mo'ljallangan dastur. Masalan,
viruslar, troyanlar va to'lov dasturlari.
Ijtimoiy muhandislik: maxfiy ma'lumotlarni oshkor qilish yoki tashkilotga zarar etkazishi mumkin bo'lgan
harakatlarni amalga oshirish uchun shaxslarni aldash uchun psixologik manipulyatsiyadan foydalanish.
Ma'lumotlar yo'qolishining oldini olish (DLP): nozik ma'lumotlarning yo'qolishi, o'g'irlanishi yoki boshqa yo'l bilan
buzilishining oldini olish uchun foydalaniladigan vositalar va jarayonlar to'plami.
19. Konfidensial ma’lumotlarni sirqib chiqishi va unga tahdidlar.
Bu yerda yana bir nechta tegishli xavfsizlik shartlari:
Ma'lumotlarning buzilishi: maxfiy yoki maxfiy ma'lumotlarga ruxsatsiz kirish yoki ularni oshkor qilish.
Ransomware: Jabrlanuvchining fayllarini shifrlaydigan va shifrni ochish kaliti evaziga to'lovni talab qiluvchi zararli
dastur turi.
Kengaytirilgan shifrlash standarti (AES): nozik ma'lumotlarni himoya qilish uchun ishlatiladigan keng tarqalgan
nosimmetrik shifrlash algoritmi.
Ochiq kalitlar infratuzilmasi (PKI): Raqamli sertifikatlar va ochiq kalit shifrlashni boshqarish uchun foydalaniladigan
rollar, siyosatlar va protseduralar to'plami.
Ikki faktorli autentifikatsiya (2FA): foydalanuvchidan parol va barmoq izi kabi ikkita alohida autentifikatsiya
faktorini taqdim etishni talab qilish orqali foydalanuvchining daʼvo qilingan identifikatorini tasdiqlash usuli.
Foydalanuvchilarni xabardor qilish bo'yicha trening: xavfsizlik hodisalari xavfini kamaytirish uchun xodimlarni
xavfsizlik siyosati, ilg'or amaliyotlar va potentsial tahdidlar haqida o'qitish jarayoni.
Threat Intelligence Platform (TIP): potentsial xavfsizlik tahdidlari haqida ma'lumot to'plash, tahlil qilish va harakat
qilish uchun foydalaniladigan dasturiy ta'minot turi.
20. Tahdid va hujumlarni aniqlashdagi zamonaviy yondashuvlar.
Tahdidlar va hujumlarni aniqlashning zamonaviy yondashuvlari quyidagilarni o'z ichiga oladi:
Sun'iy intellekt (AI) va Machine Learning (ML): Ushbu texnologiyalar tahdidlarni aniqlashni avtomatlashtirish va
masshtablash, shuningdek, yangi tahdidlarni tezda aniqlash va ularga javob berish imkoniyatini beradi.
Tarmoq trafigini tahlil qilish: zararli dastur infektsiyalari va DDoS hujumlari kabi potentsial xavfsizlik hodisalarini
aniqlash va ularga javob berish uchun tarmoq trafigini tekshirish.
Foydalanuvchi va shaxs xatti-harakatlarini tahlil qilish (UEBA): Xavfsizlik tahdidini ko'rsatishi mumkin bo'lgan
anomal harakatlarni aniqlash uchun foydalanuvchi va tashkilot xatti-harakatlarini tahlil qilish.
Endpoint Detection and Response (EDR): Xavfsizlik hodisalarini aniqlash va ularga javob berish uchun noutbuklar
va serverlar kabi so‘nggi nuqta qurilmalarini real vaqtda monitoring qilish.
Bulutli xavfsizlik monitoringi: Xavfsizlik hodisalarini aniqlash va ularga javob berish uchun bulutli infratuzilmaning
doimiy monitoringi.
Xavfsizlik ma'lumotlari va hodisalarni boshqarish (SIEM): Xavfsizlik hodisalarini aniqlash va ularga javob berish
uchun bir nechta manbalardan xavfsizlik bilan bog'liq ma'lumotlarni to'playdigan va tahlil qiladigan
markazlashtirilgan platforma.
Tahdid ovlash: Tashkilot muhitida potentsial xavfsizlik tahdidlarini faol izlash.
Ushbu yondashuvlar xavfsizlikka yanada kengroq va faol yondashuvni ta'minlash, shuningdek, tahdidni aniqlash va
javob choralarini amalga oshirish o'rtasidagi vaqtni qisqartirish uchun mo'ljallangan.
Kompyuter hujumlarini aniqlash uchun zamonaviy yechimlar:
Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash
texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiquvchilari o'z mahsulotlariga kiritadigan asosiy
vositalar:
·
Monitoring
· Aniqlash
·
Axborot tizimlarida sodir bo'layotgan o'zgarishlarni tahlil qilish
Yechimlar murakkablashib, turli xil vositalarni birlashtiradi. Ba'zi tashkilotlarda faqat asosiy himoya vositalaridan
foydalaniladi, bu ko'p hollarda murakkab maqsadli hujumlarni o'z vaqtida aniqlash va sodir bo'lgan voqealarni
to'liq tahlil qilish uchun yetarli emas.
Yangi avlod xavfsizlik devorlari(NGFW)
Amaliyot printsipi asosan paketli filtrlash va tarmoq ulanishlarini boshqarishdan iborat bo'lgan an'anaviy xavfsizlik
devorlari yangi avlod yechimlari bilan almashtirildi.
Yechimlar sinfi uzoq vaqt oldin paydo bo'lgan, ammo uni zamonaviy aniqlash texnologiyalari to'plamida ham
ko'rib chiqishga arziydi. Yangi avlod xavfsizlik devorlari klassik xavfsizlik devori va yanada ilg'or
texnologiyalarning funktsiyalarini birlashtiradi.
NGFW Ilovasi ichida:
· Application Layer Firewall (WAF) funksiyalari;
· Tahdidlarni aniqlash va blokirovka qilish uchun tarmoq trafigini tahlil qilish (IPS);
·
turli darajadagi protokollar bilan shifrlangan trafikni to'liq matnli tahlil qilish (tekshirish);
·
trafikni cheklash va ustuvorlik qilish qobiliyati - Xizmat sifati (QoS);
· ajratilgan muhitda fayllarning xatti-harakatlarini tahlil qilish;
·
joriy tahdidlar to'g'risidagi ma'lumotlar bilan muntazam boyitish (obro' ro'yxatlari, murosa ko'rsatkichlari va
boshqalar).
Xavfsizlik hodisalarini kuzatish tizimlari (SIEM)
Xavfsizlik ma'lumotlari va hodisalarni boshqarish (SIEM) yechimlari turli axborot tizimlari va ilovalaridagi
hodisalarni kuzatish uchun mo'ljallangan. Ushbu sinfning axborot xavfsizligi yechimlari quyidagi vazifalarni
bajarishga imkon beradi:
· katta hajmdagi xavfsizlik hodisalarini to'plash va tahlil qilish;
· AT infratuzilmasini himoya qilish vositalarining joriy holatini monitoring qilish;
· real vaqtda kompyuter hodisalarini aniqlash;
·
AT infratuzilmasida sodir bo'layotgan voqealar haqida to'liq tasavvurga ega bo'lish;
·
AT va axborot xavfsizligi tizimlarining ishlashidagi nosozliklarni aniqlash va ularga javob berish;
·
hujum zanjirlarini bashorat qilish uchun tarmoq xaritasini yaratish;
· real vaqt rejimida xavflarni tahlil qilish va baholash uchun ma'lumotlarni olish;
·
qonun hujjatlarining ayrim talablari va normativ hujjatlarini bajarish
Tarmoq trafigini tahlil qilish (NTA) tizimlari
Tarmoq trafigini tahlil qilish (NTA) tizimlari tarmoq hujumlarini aniqlash, tarmoq trafigini ushlab turish va tahlil
qilish uchun moʻljallangan. Ushbu toifadagi tizimlar hujumning dastlabki bosqichida buzg'unchilar mavjudligini
aniqlashga, tahdidlarni tezda lokalizatsiya qilishga, shuningdek, axborot xavfsizligi qoidalariga rioya qilishni
ta'minlashga yordam beradi.
Standart tarmoq analizatorlaridan (IDS / IPS) farqli o'laroq, NTA tizimlari nafaqat perimetrda, balki IT
infratuzilmasida ham trafikni tahlil qiladi. Bundan tashqari, dolzarb imzolarning paydo bo'lishi bilan NTA sinfi
yechimlari arxivda saqlanadigan tarmoq trafigini tahlil qilish imkoniyatiga ega bo'lishi kerak (retrospektiv
tahlil).NTA sinfi yechimlari murakkab maqsadli hujumlar aniqlangan vaziyatlarda SIEM sinfi yechimlari uchun
tarmoq hodisalarining qo'shimcha manbai bo'lishi mumkin.
Yakuniy nuqta hujumini aniqlash (EDR)
Endpoint Detection and Response (EDR) tizimlari so‘nggi qurilmalarga kompyuter hujumlarini aniqlash imkonini
beradi va axborot xavfsizligi bo‘yicha mutaxassislar javobi uchun zarur ko‘rsatkichlarni taqdim etadi.Ushbu
toifadagi yechimlar odatda oxirgi qurilmaga o'rnatilgan maxsus agentdan foydalanadi.
Uning vazifalariga foydalanuvchilar faoliyati va dasturiy ta'minot haqida ma'lumot to'plash, murosa belgilarini
aniqlash (Indicators of compromise, IoC), buzilgan qurilmalarni aniqlash va mahalliylashtirishda yordam berish va
boshqalar kiradi. Barcha to'plangan ma'lumotlar kompyuter hodisalarini tekshirishda yordam beradi.
21. Tahdid razvedkasi platformalari.
Tahdid razvedka platformasi (Threat Intelligence Platform, TIP) — axborot xavfsizligi tahdidlarini aniqlash,
blokirovkalash va bartaraf qilish uchun tashkilotlar tomonidan qo'llaniladigan dasturiy yechim. Ushbu platforma bir
nechta tahdidlarni to'plash kanallarini birlashtiradi, oldingi voqealar bilan taqqoslaydi va xavfsizlik guruhi uchun
ogohlantirishlar ishlab chiqaradi. TIP mavjud xavfsizlik ma'lumotlarini va hodisalarni boshqarish (SIEM) yechimlari
bilan birlashadi va ular orasida zudlik bilan tartibga soluvchi ustuvorliklarni belgilash orqali ogohlantirish
qiymatlarini belgilaydi.
Zamonaviy kiberxavfsizlik landshafti bir nechta keng tarqalgan muammolar bilan tavsiflanadi: katta hajmdagi
ma'lumotlar, tahlilchilarning etishmasligi va zararli hujumlarning ortib borayotgan murakkabligi. Mavjud xavfsizlik
infratuzilmalari ushbu ma'lumotlarni boshqarish uchun ko'plab vositalarni taklif qiladi, lekin uni to'liq
birlashtirmaydi. Bu ishlab chiquvchilarning tizimlarni boshqarish uchun juda katta sa'y-harakatlariga va allaqachon
cheklangan resurslar va vaqtning muqarrar isrof qilinishiga olib keladi.
Ushbu muammolarni hal qilish uchun ko'plab kompaniyalar Threat Intelligence Platform (TIP) ga o'tmoqda.
Tahdid razvedka platformalari SaaS modelida yoki kibertahdid razvedkasi va tahdid manbalari, kampaniyalar,
hodisalar, imzolar, byulletenlar va TTPlar kabi tegishli ob'ektlarni boshqarishni soddalashtirish uchun mahalliy
yechim sifatida joylashtirilishi mumkin. Ushbu platforma to'rtta asosiy funktsiyani bajarish qobiliyati bilan ajralib
turadi:
1. bir nechta manbalardan tahliliy ma'lumotlarni yig'ish;
2. filtrlash, normallashtirish, ma'lumotlarni boyitish va ma'lumotlar xavfini baholash;
3. mavjud xavfsizlik tizimlari bilan integratsiya;
4.
tahdid tahlilini tahlil qilish va ma'lumotlar almashinuvi.
Platforma
Mavjud vositalar va mahsulotlar bilan integratsiyalashgan to'liq mahsulot, bu axborot xavfsizligi tahdidlarini tahlil
qilish boshqaruv tizimi bo'lib, an'anaviy ravishda tahlilchilar tomonidan bajariladigan ishlarning ko'p qismini
avtomatlashtiradi va soddalashtiradi.
Statistik ma'lumotlarga ko'ra, kiberjinoyat tahdidlari soni doimiy ravishda o'sib bormoqda. Masalan, The
Herjavec Group 2019-yilgi Kiberjinoyatlar bo‘yicha yillik rasmiy hisobotida 2020-yil oxiri va 2021-yil boshida har
11 soniyada tashkilot to‘lov dasturi tomonidan hujumga uchrashini bashorat qilmoqda. Kiber razvedka platformasi
(Threat Intelligence) real vaqt rejimida turli manbalardan (tijorat va bepul, yopiq va ochiq, ommaviy va xususiy)
yuzaga kelishi mumkin bo'lgan tahdidlar to'g'risida yuqoridagi ma'lumotlarni to'plash, ularni tasniflash va u bilan turli
operatsiyalarni amalga oshirish, shu jumladan xavfsizlik vositalari va SIEM-tizimlari, veb-saytga yuklash
imkoniyatiga ega. Xodisa sodir bo'lgan taqdirda, platforma sodir bo'layotgan voqealarning to'liq kontekstini taqdim
etadi, bu sizga hodisaga javob berish vaqtini qisqartirish va hujum manbasini blokirovka qilish imkonini beradi.
Ushbu hisob-kitoblar umuman zararli dasturlar haqida hukm chiqarish uchun ishlatilishi mumkin. Ko'rib chiqilishi
kerak bo'lgan tahdidlar shunchalik ko'payib bormoqdaki, ularning aksariyati e'tiborga olinmaydi.
22. Kompyuter tahdidlarini aniqlash tizimlari.
Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash
texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiquvchilari o'z mahsulotlariga kiritadigan asosiy
vositalar:
Share with your friends: |