foto1
foto1
foto1
foto1
foto1

Saugumo testavimai

Botnetų stebėjimas

DDOS gynyba

WEB svetainių apsauga

Kibernetinio saugumo tyrimai

Įmonės grėsmių valdymas - vartotojų darbo vietos

 

   Remiantis CIS Critical Security Controls saugumo gidais buvo sukurtas aktualiausių grėsmių valdymo gynybinės sistemos modelis. Gynybinės sistemos modelis buvo kuriamas atsižvelgiant į tai, kad įmonės / įstaigos neturi saugumo specialistų, komerciniai saugumo įrankiai sudėtingi ir brangūs, o jų rezultatai dideli pagal apimtį ir nesuprantami paprastam IT darbuotojui. Sukurtas sprendimas / sistema aiškiai ir paprastai įstaigos IT specialistui pasako, kokias konkrečiai problemas reikia tvarkyti.

Sistema susideda iš:

  • darbo vietos kontrolės įrangos, nurodančios kritiškiausias darbo vietos saugumo spragas
  • reguliariai atnaujinamo infekuotų svetainių sąrašo, kuris yra blokuojamas ant įstaigos perimetro
  • SNORT IDS paruoštų ir Lietuvoje labiausiai paplitusių infekcijų parašų
  • Saugos incidentų tyrimo ( papildoma paslauga)
  • t.t.

 Sistemos principinė schema

  

 

 Darbo vietų patikrinimo posistemė

 

 

   Ši posistemė kasdien surenka informaciją apie darbo vietose įdiegtą programinę įrangą. Renkama yra ši informacija: 

  • operacinė sistema;
  • programinė įranga ir jos versijos;
  • programinės įrangos saugumo atnaujinimų būsena.

   Turint informaciją apie nesaugią programinę įrangą galima identifikuoti pažeidžiamas darbo vietas. Taip pat kiekvieną dieną yra renkama informacija apie darbo vietose esančių vartotojų turimas administratoriaus teises. Darbo vietos kasdien tikrinamos aktyviu režimu, kai informacija apie darbo vietas paimama iš Microsoft Active Directory. Yra galimybė darbo vietas tikrinti pasyviu režimu pagal įvykį, kai informacija apie darbo vietos aktyvumą tinkle paimama iš tinklo srauto, einančio į internetą. Šiai informacijai gauti naudojama interneto srauto kopiją („mirror port“). Sistemoje yra galimybė aprašyti darbo vietas, kuriose tiek programinė įranga, tiek administratoriaus teisės būtų tikrinamos, tačiau nebūtų įtraukiamos į ataskaitas. Iš surinktų duomenų reguliariai formuojamos šios ataskaitos:

  • Ataskaita apie darbo vietas su pažeidžiama programine įranga ir/ar perteklinėmis administratoriaus teisėmis; 
  • Ataskaita apie darbo vietas, kurios tinkle buvo aktyvios, tačiau jų tikrinimai buvo nesėkmingi.

   Šios ataskaitos pateikiamas HTML formatu, patalpintos WWW serveryje ir pasiekiamos per interneto naršyklę. Ataskaitos apie darbo vietų būseną sistemos vartotojams generuojamos kiekvieną dieną. 

  

 

Organizacijos perimetro apsaugos posistemė

 

   Identifikavus infekuotas svetaines, prieiga prie jų įmonės / organizacijos  darbuotojams gali būti blokuota ant perimetro. Darbuotojams bandant patekti į šias svetaines, organizacijos perimetro apsaugos sistema blokuos bandymus prisijungti prie šių svetainių. Lietuvoje vartotojai daugiausiai lankosi lietuviškose svetainėse. Pastebime, kad infekuotų lietuviškų svetainių skaičius sparčiai auga. Mes aktyviai stebime lietuviškų svetainių būklę bei operatyviai atnaujiname infekuotų svetainių sąrašą. Mūsų siūloma perimetro apsaugos posistemė efektyviai stabdo atakas prieš vartotojus, kurie jungiasi prie infekuotų lietuviškų svetainių. 

 

SNORT IDS

 

   Įsilaužimo aptikimo sistemos tikslas yra detektuoti ir stebėti atakas prieš vartotojus jiems lankantis interneto WWW svetainėse. Sistema yra atnaujinama pagal identifikuotas infekuotas Lietuvoje WWW svetaines, yra sukuriami ir atnaujinami įdiegtos įsilaužimų aptikimo sistemos parašai. Sistema incidentus registruoja duomenų bazėje. Incidentų peržiūra atliekama naudojant interneto naršyklę. Sistemoje galima matyti agreguotą informaciją už tam tikrą laikotarpį pagal incidentą.

   Kompiuterinių tinklo infrastruktūros stebėjimo sistema stebi ir identifikuoja infekuotas LT svetaines, kadangi mūsų šalies įstaigų ir įmonių darbuotojai dažniausiai lankosi lietuviškose interneto svetainėse.

   Sistema leidžia vykdyti atakų prieš vartotojus stebėseną, vartotojui bandant aplankyti užkrėstą svetainę naudojant „open source“  IDS SNORT su standartiniais (open source, komerciniais ir kt.) bei „proprietary“ parašais pagal iš analitinės sistemos gautą informaciją . Naudojant sukurtus IDS parašus pagal iš analitinės sistemos gautą informaciją,  IDS SNORT leidžia gerokai anksčiau  aptikti infekuotas svetaines bei atakas prieš vartotojus, kai to dar neaptinka didieji saugumo produktų gamintojai.  

 

  

Atsisiųsti šį straipsnį