#devsecops
Мы с вами ознакомились с тем, что такое безопасность на основе тестирования и начали погружаться в мониторинг и реагирование на атаки, в частности разобрались с журналированием и выявлением нарушений. Давайте продолжим и разберемся с обнаружением вторжений и реагированием на инциденты.
Этап обнаружения вторжений является одним из самых важных, т. к. именно в ходе проникновения включается данный этап и потенциальный злоумышленник больше всего взаимодействует с инфраструктурой жертвы. То есть мы говорим именно о мониторинге и анализе сетевого трафика / событий системы, которые, как правило, реализуются посредством следующих инструментов:
- системы обнаружения вторжений (intrusion detection system, IDS) для выявления нелегитимной активности со стороны злоумышленника;
- контроля за соединениями с помощью NetFlow — формата, который используется маршрутизаторами и сетевыми устройствами для журналирования сетевых соединений (это эффективный способ контролировать активность сетевого уровня в среде IaaS, когда невозможно предоставить низкоуровневый доступ);
- контроля систем для отслеживания того, что происходит в инфраструктуре.
О реагировании на инциденты мы говорим в случае, когда проникновение уже произошло. «Спасибо, Кэп!» — скажете вы. Но это пожалуй самый сложный процесс и к нему обычно не готовятся. Для начала просто перечислим фазы реагирования на инциденты безопасности, а далее разберемся с ними подробнее:
✔️Подготовка — необходимо убедиться, что у вас имеется допустимый минимум процессов для реагирования на инциденты.
✔️Идентификация — определиться, является ли аномалия инцидентом нарушения безопасности.
✔️Изоляция — предотвратить дальнейшее проникновение.
✔️Искоренение — избавить организацию от угрозы.
✔️Восстановление — вернуть инфраструктуру в нормальное состояние.
✔️Извлечение уроков — повторно рассмотреть инцидент и сделать выводы.
Мы с вами ознакомились с тем, что такое безопасность на основе тестирования и начали погружаться в мониторинг и реагирование на атаки, в частности разобрались с журналированием и выявлением нарушений. Давайте продолжим и разберемся с обнаружением вторжений и реагированием на инциденты.
Этап обнаружения вторжений является одним из самых важных, т. к. именно в ходе проникновения включается данный этап и потенциальный злоумышленник больше всего взаимодействует с инфраструктурой жертвы. То есть мы говорим именно о мониторинге и анализе сетевого трафика / событий системы, которые, как правило, реализуются посредством следующих инструментов:
- системы обнаружения вторжений (intrusion detection system, IDS) для выявления нелегитимной активности со стороны злоумышленника;
- контроля за соединениями с помощью NetFlow — формата, который используется маршрутизаторами и сетевыми устройствами для журналирования сетевых соединений (это эффективный способ контролировать активность сетевого уровня в среде IaaS, когда невозможно предоставить низкоуровневый доступ);
- контроля систем для отслеживания того, что происходит в инфраструктуре.
О реагировании на инциденты мы говорим в случае, когда проникновение уже произошло. «Спасибо, Кэп!» — скажете вы. Но это пожалуй самый сложный процесс и к нему обычно не готовятся. Для начала просто перечислим фазы реагирования на инциденты безопасности, а далее разберемся с ними подробнее:
✔️Подготовка — необходимо убедиться, что у вас имеется допустимый минимум процессов для реагирования на инциденты.
✔️Идентификация — определиться, является ли аномалия инцидентом нарушения безопасности.
✔️Изоляция — предотвратить дальнейшее проникновение.
✔️Искоренение — избавить организацию от угрозы.
✔️Восстановление — вернуть инфраструктуру в нормальное состояние.
✔️Извлечение уроков — повторно рассмотреть инцидент и сделать выводы.