منطقه Goldilocks: کاغذ سفید محافظت از بار کار ابر

ساخت وبلاگ

مستندات تعیین شده برای این محصول در تلاش است تا از زبان بدون تعصب استفاده کند. برای اهداف این مجموعه مستندات ، بدون تعصب به عنوان زبانی تعریف می شود که دلالت بر تبعیض بر اساس سن ، ناتوانی ، جنسیت ، هویت نژادی ، هویت قومی ، گرایش جنسی ، وضعیت اقتصادی اقتصادی و تقاطع ندارد. استثنائات ممکن است در مستندات به دلیل زبانی که در رابط های کاربر نرم افزار محصول ، زبانی که بر اساس مستندات RFP استفاده می شود ، یا زبانی که توسط یک محصول شخص ثالث ارجاع شده استفاده می شود ، در مستندات موجود باشد. در مورد نحوه استفاده سیسکو از زبان فراگیر اطلاعات بیشتری کسب کنید.

زبانهای موجود

گزینه های بارگیری

فهرست مطالب

من مطمئن هستم که بسیاری از شما اصطلاحاتی مانند تقسیم بندی ، ریزگرداندن ، نانوذرات ، پیکوزاسیون و غیره را شنیده اید. به نظر من ، شما نباید یک محصول را فقط برای بررسی یک جعبه از لیست خود خریداری کنید. شما می خواهید یک هدف تجاری را برآورده کنید. بگویید ، به خاطر این بحث ، هدف نهایی این است که از نظر مادی وضعیت امنیتی بار کار خود را از حملات بهبود بخشید.

ابتدا قدم به عقب کنید و به آنچه متخصصان دفاع از امنیت سایبری می گویند چه کاری باید انجام دهید. این افراد از بازیگران کشور ملت سایبرینالیست هستند و درباره امنیت یک یا دو مورد می دانند. بعداً در مورد متخصصان بیشتر.

قبل از شنیدن آنچه کارشناسان می گویند ، چند مشاهدات کوچک:

● مشاهده 1: نکته کلیدی که باید در نظر داشته باشید این واقعیت است که بیشتر حملات موفق ناشی از بهره برداری از آسیب پذیری ها در پشته برنامه و نرم افزار است و نه از حمله در لایه شبکه (TCP/IP). راه دیگر برای بیان این مسئله این است که ، حتی اگر یک شرکت یک سیاست ریزگرداندن شبکه لیست کامل را ایجاد و پیاده سازی کرده باشد ، هنوز هم در برابر بسیاری از حملات آسیب پذیر است.

بیشتر حملات یا ریشه در این دارند که مهاجم دارای اعتبارنامه است و از درب ورودی وارد می شود یا در آسیب پذیری برنامه (مثلاً تزریق SQL یا به دست آوردن پوسته وب در سرور فرانت اند) یا ترکیبی از هر دو ریشه دارند. اگر برنامه آسیب پذیر باشد، حمله یا مهاجم ممکن است از آسیب پذیری سوء استفاده کند و سپس به سادگی از طریق قوانین ریزبخشی مجاز بین اجزای برنامه حرکت کند (هیچ مقدار رمزگذاری یا احراز هویت کمکی نمی کند). از این گذشته، روند اجرای برنامه ممکن است به خطر بیفتد و قانون ریزبخشی این موضوع را نمی داند. این فرآیند ممکن است به دلیل هر تعداد آسیب‌پذیری مانند حمله تزریقی (بازتابی) Dynamic-Link Library (DLL)، سوء استفاده از کد پوسته و غیره به خطر بیفتد.

آیا تقسیم بندی شبکه یک ایده بی فایده است؟قطعا نه. تقسیم بندی شبکه یک ابزار ضروری است، اما باید نقاط قوت و محدودیت های آن را درک کنید و از آن به طور موثر استفاده کنید. تقسیم بندی یک رویکرد تقسیم بندی است. اگر رخنه ای رخ دهد، سعی می کند حمله را مهار کند و زندگی مهاجم را کمی دشوارتر کند. با این حال، اگر اتصالات (درها) بین محفظه ها وجود داشته باشد، این همان چیزی است که حمله/حمله می تواند از آن سوء استفاده کند.

● مشاهده 2: اجرای خط مشی تقسیم بندی شبکه بخش ساده تری از داستان ریزبخشی است. ایجاد یک خط مشی ریزبخش بندی شبکه همیشه به روز و صحیح در یک محیط بسیار چابک و در مقیاس ابری یک چالش بزرگ است.

اکنون ملزومات عملیاتی اضافی مانند ادغام یک خط مشی امنیتی تجاری موجود با خط مشی برنامه تولید خودکار، ارائه دسترسی مناسب از طریق کنترل دسترسی مبتنی بر نقش، ادغام دانش قبیله ای از گروه های مختلف برنامه، حفظ نسخه و بازگشت، ردیابی تجزیه و تحلیل استفاده در مورد خط مشی ها، شناسایی را اضافه کنید. انحرافات انطباق با خط مشی هر بسته، مدل‌سازی تهدید (زیرا نمی‌خواهید ریزبخش‌بندی شما به عنوان بلوک ساختمانی برای باج‌افزار استفاده شود، زیرا فروشنده تجزیه و تحلیل تهدید و محافظت ضعیفی از یک راه‌حل انجام داده است) و غیره.

امیدواریم خواهید دید که اجرای آن ضروری است، اما در واقع تنها بخش کوچکی از یک استراتژی حفاظت از حجم کاری گسترده تر است.

● مشاهده 3: آیا بین بارهای کاری رایانه های دانشگاه و مرکز داده (عمومی یا خصوصی) تفاوت هایی وجود دارد؟پاسخ کاملاً است. در نظر گرفتن این واقعیت هنگام طراحی استراتژی امنیتی بسیار مهم است.

مراکز داده با استفاده از لیست مجاز ، یک چالش نسبتاً ساده تر است. در لپ تاپ من ، نرم افزاری که من اجرا می کنم با آنچه افراد دیگر در نقش های مشابه استفاده می کنند متفاوت است و کدی که من اجرا می کنم با گذشت زمان متفاوت است. گاهی اوقات من با استفاده از VI یا یک محیط توسعه یکپارچه (IDE) کد می کنم. در موارد دیگر ، من ایمیل ، پیام را با استفاده از یک برنامه پیام رسانی انجام می دهم ، وب را با استفاده از مرورگرهای مختلف مرور می کنم ، دارای شخصیت های مختلف مرورگر ، دستگاه های مجازی جدا شده برای امتحان کردن یک تکنیک بهره برداری یا ایده تست نفوذ و غیره هستم.

بنابراین ، برنامه هایی که من اجرا می کنم به مرور زمان در همان دستگاه متفاوت هستند یا با همکارانم که ممکن است یک برنامه موسیقی متفاوت را اجرا کنند یا از یک IDE متفاوت برای کد استفاده می کنند ، متفاوت است. این وضعیت تکامل یافته است زیرا کاربران مانند من و شما از دستگاه های انتهایی دانشگاه استفاده می کنید ، انسانی هستند و ما آزادی خود را برای نصب بسته های نرم افزاری که دوست داریم و دستگاه هایی که با آنها راحت هستیم دوست داریم. به همین دلیل است که جنبش خود را به خود اختصاص می دهد.

اکنون این کار را با بارهای کاری که در مرکز داده اجرا می شود ، در تضاد کنید. بیشتر بارهای کاری برای یک عملکرد خاص همگن است. به سرورهای جلوی وب برای یک برنامه خاص فکر کنید: آنها همان مجموعه نرم افزار را دنبال می کنند. بدون مدلی که بتواند خودکار باشد ، شما نمی توانید یک مرکز داده بزرگ بسازید زیرا هزینه عملکرد انسان برای اجرای مرکز داده بسیار زیاد خواهد بود.

امکان استفاده از برنامه ها و الگوهای ارتباطی آنها در بار کاری مرکز داده آسانتر است. برای دستگاه های دانشگاه ، اغلب روش آسانتر استفاده از لیست مسدود شده از آنچه انجام نمی شود یا اجرا نمی شود ، با سیاست های لیست بسیار خوب و نه درشت و نه درشت. مشاهدات ما این است که مرکز داده برای لیست و اتوماسیون مجاز به طور کلی یک مشکل بسیار قابل ردیابی است (با همگن بودن و سیستم های اتوماسیون که به آن وصل می شوند).

● مشاهده 4: هر راه حلی که ما در نظر می گیریم باید برای روندهای فناوری امروز و آنهایی که در افق هستند کار کند. به عنوان مثال ، اصلی (در صورت داشتن آنها) ، فلزات لخت ، ماشین های مجازی و ظروف باید به صورت بومی پشتیبانی شوند. مراکز داده عمومی و خصوصی باید پشتیبانی شوند. راه حل باید با ارکستراتورهای خارجی ، توازن بار و نقاط اجرای خارجی (در دفاع در عمق ارزش وجود داشته باشد) ادغام شود و ابرداده/زمینه را از سیستم های پایگاه داده مدیریت پیکربندی (CMDB) بکشید. این ادغام کاملاً ضروری است زیرا دانش و زمینه کاربرد در بین همه این سیستم ها توزیع می شود.

بازگشت به کارشناسان CyberDefense-State-State. مدیر سیگنال های استرالیا (ASD) با مجموعه ای عالی از مقالات سفید (https://www.asd. gov.au/infosec/mitigationstrategies. htm) بیرون آمد که در آن ASD به حملات دیدم و چگونه می توان گفت یا چگونه می توان کاهش داد یا اینکه چگونه کاهش یابد یا چگونه می توان گفت و چگونه می تواناز آنها جلوگیری کنید. من یک طرفدار بزرگ این تحلیل هستم. این بسیار جامع است و از همه مهمتر ، داده ها محور است. تیم سایبریانالیست از حملات خود در مجموعه گسترده ای از بار کار شروع کرد و آن حملات را به آنچه مانع از آنها می شد ، نقشه برداری کردند. این مطالعه فروشنده خنثی است و هیچ کس دنده ای نمی فروشد. من توصیه های مشابهی را از گروه Tao NSA مشاهده کرده ام (https://www.wired.com/2016/01/nsa-hacker-chief-explains-how-to-to-keep-him-out-t-o-your-system/)بشر

پیش بینی های اولیه از تجزیه و تحلیل ASD عبارتند از:

● تهدید واقعی است ، اما کارهایی وجود دارد که هر سازمان می تواند برای کاهش چشمگیر خطر ابتلا به سایبرینتروژن انجام دهد.

● در سال 2009 ، بر اساس تجزیه و تحلیل ما از این مزاحمت ها ، ASD استراتژی هایی را برای کاهش سایبری های هدفمند تولید کرد. حداقل 85 درصد از نفوذی که ASD در سال 2011 به آنها پاسخ داد ، مخالفان را با استفاده از تکنیک های ناخوشایند که با اجرای چهار استراتژی برتر کاهش به عنوان یک بسته کاهش می یابد ، درگیر شد.

● چهار کاهش برتر شامل لیست مجاز برنامه ها ، برنامه های کاربردی و سیستم عامل ها ، با استفاده از آخرین نسخه ها و به حداقل رساندن امتیازات اداری است.

چرا همه فقط چهار مرحله را دنبال نمی کنند ، اگر این ساده باشد؟

برنامه های لیست مجاز - تماس و تعامل سیستم مجاز به آنها - و الگوهای ارتباطی کاربردی یک مشکل غیرمستقیم است (به مشاهدات زودتر ، به ویژه 2 و 4 مراجعه کنید). در این مقاله ، ما مشکل را بررسی خواهیم کرد و سپس به راه حل ها می پردازیم. امید هست.

زندگی در سیاره زمین تکامل یافته است زیرا عوامل مختلفی وجود دارد که باید با هم جمع شوند. ناسا (https://science. nasa. gov/science-news/science-at-nasa/2003/02oct_goldilocks) اصطلاح منطقه Goldilocks را تهیه کرد ، که باید برای پشتیبانی از زندگی حضور داشته باشد.

در امنیت رایانه برای محافظت از بار کار ، برای تولید یک راه حل امنیتی مؤثر برای بار کاری ابر ، باید چندین چیز جمع شوند.

یک راه حل خوب برای محافظت از بار کار ابر باید دارای تمام خصوصیات زیر باشد.

مشخصه 1: استقلال از نحوه فوری بار کار

راه حل باید بتواند ظروف را در یک انتهای طیف و به سمت اصلی در طرف دیگر قرار دهد. باید یک چارچوب اجرای سیاست مشترک و محافظت از بار کار وجود داشته باشد. مثال: یک پردازنده داده قابل برنامه ریزی (PDP) اصلی و یک ظرف دارای فرایندهایی هستند. همان مفاهیم برای هر دو اعمال می شود. راه حل باید از اصلی ، بارهای کار فلزی لخت ، ماشین های مجازی ، ظروف و غیره را پوشش دهد. و باید در مجموعه ای از سیستم عامل ها کار کند.

این باعث می شود زندگی شما به عنوان یک کاربر نهایی بسیار ساده باشد. شما فقط باید در مورد نحوه اعمال یک خط مشی برای منزوی کردن بارهای کاری با یک بسته نرم افزاری آسیب پذیر بسیار قابل بهره برداری از بارهای کار پرخطر نگران باشید. لازم نیست نگران این باشید که محل کار در آن محل سکونت (در ابر یا یک مرکز داده در محل) باشد ، چه سیستم عامل در حال اجرا است ، چه یک ظرف یا یک ماشین مجازی باشد و غیره. راه حل باید برای رسیدگی به عملکرد به عنوان یک سرویس قابل گسترش باشد: چیزی که در افق است ، اما هنوز در جریان اصلی نیست.

مشخصه 2: استقلال محل کار بار از ابرهای عمومی یا خصوصی تا مراکز داده

راه حل باید بتواند بارهای کاری را که هم در مراکز داده در محل و هم در هر ابر عمومی اجرا می شود ، اداره کند. مانند ویژگی 1 ، این ویژگی مشتری را قادر می سازد به سادگی سیاست ها و اقدامات را تحت فشار قرار دهد بدون اینکه نگران محل زندگی در محل کار باشد.

مشخصه 3: فدراسیون و مقیاس

هر سیستم محدودیت مقیاس دارد. یک راه حل بسیار مطلوب ، که حتی می تواند به عنوان یک الزام اجباری در مقیاس استدلال شود ، فدراسیون با سایر سیستم ها است. فدراسیون به مشتری این امکان را می دهد که چندین منطقه حفاظت از بار کاری را به دلایل در دسترس بودن و استحکام داشته باشد و هنوز هم می خواهد مناطق اطلاعاتی را با یکدیگر به اشتراک بگذارند.

مشخصه 4: تشویق و ادغام با اکوسیستم

راه حل باید بتواند با سایر سیستم های خارجی صحبت کند ، از جمله:

event رویداد امنیتی و مدیریت حادثه (SEIM) یا سیستم های همبستگی سطح بالا در رابط شمال غربی

● محصولات اجرایی از سایر فروشندگان در رابط جنوبی

● امکان صحبت افقی با کنترل کننده های امنیتی شبکه دانشگاه برای غنی سازی دانش خود و به اشتراک گذاشتن بینش خود با آنها

● امکان صحبت برای محاسبه سیستم های ارکستراسیون مانند AWS ، Azure ، GCP ، VMware vSphere ، سرور API Kubeetes و غیره

● امکان صحبت با سیستم های CMDB برای دریافت ابرداده موجودی

● امکان صحبت با کنترل کننده های تحویل برنامه

● امکان صحبت در فیدهای تهدید و فیدهای بدون تهدید (به عنوان مثال ، داده های GEO)

مشخصه 5: چندین نقطه اجرای را تشویق کنید

امنیت همیشه با لایه های دفاع بهترین است. داشتن فقط یک نقطه اجرای خطرناک است. هرچه امتیازات بیشتر باشد ، هدف حمله سخت تر است.

مشخصه 6: دید در چندین هواپیما و مرزهای دامنه

راه حل باید دید داشته باشد و اجرای آن در چندین هواپیمای مختلف باشد. راه حل باید بتواند هواپیمای شبکه ، هواپیمای ذخیره سازی ، هواپیمای محاسبه و هواپیمای کاربر را تماشا کند. باید بتواند موارد موجود در بار کار (ماشین مجازی/ظرف/فلز لخت) را مشاهده کند و همچنین بتواند در خارج از زمان کار را ببیند تا چیزها را در این مرزها در ارتباط باشد و معنا پیدا کند.

در اینجا نمونه ای از چگونگی تماشای چندین دامنه در هنگام وجود ریشه هسته و تنها وجود دید در داخل دستگاه مجازی است. احتمال وجود دارد که RootKit به خوبی نوشته شود ، امضاهای خود را مانند کانال فرمان و کنترل (C& C) از نماینده در حال تماشای بار کار پنهان می کند. با این حال ، اگر زیرساخت جریان ها را ببیند و آنها را به بار کار نسبت دهد ، تجزیه و تحلیل دیفرانسیل به وضوح باعث سوء ظن می شود.

حال بیایید به بلوک های ساختمان یک راه حل محافظت از بار کار ابر بپردازیم.

بلوک ساختمانی 1: دید

شما می خواهید راه حلی که جادویی داده های تعامل با دانه بالا را بین بارهای کاری و در داخل بار کار ضبط می کند. این فروشگاه داده اساس بنیادی همه لایه های بالای آن را تشکیل می دهد. همانطور که می گویند ، "اگر نمی توانید آن را اندازه گیری کنید ، نمی توانید آن را بهبود بخشید."نسخه دیگری که برای امنیت اعمال می شود این است: "اگر نمی توانید آن را ببینید ، نمی توانید آن را تضمین کنید."

چه سیستمی باید به طور ایده آل جمع کند؟

فعالیت شبکه بسته بندی شده توسط بسته بندی

● ابرداده فرآیند (خط فرمان ، هش فرایند ، کتابخانه های بارگذاری شده ، پویا یا استاتیک ، چنگال ، خروج ، فرآیند I/O ، توصیف کننده پرونده (FD) و غیره)

● ذخیره سازی یا فعالیت سیستم فایل: پرونده های قابل دسترسی ، هش از محتوای پرونده و غیره

● فعالیت کاربر: چه کسی وارد سیستم شده است ، چگونه ورود به سیستم انجام شد (از راه دور ، محلی ، TTY ، کنسول و غیره) ، زمان ورود ، زمان ورود به سیستم و غیره

علاوه بر جمع آوری ، سیستم باید بتواند داده ها را جمع و بالا کند.

چرا این موضوع اینقدر مهم است؟

برای تولید سیاست های با کیفیت بالا در یک محیط Brownfield ، باید به داده های با وضوح بالا دسترسی پیدا کنید. همچنین ، این داده ها به آزمایش تغییرات خط مشی در داده های گذشته قبل از فشار آوردن به اجرای آن کمک می کند و می تواند برای جستجوی شاخص های سازش (IOC) در محیط در داده های گذشته استفاده شود. این داده ها همچنین به تجزیه و تحلیل پزشکی قانونی یک حادثه کمک می کند.

بلوک ساختمانی 2: تشخیص آسیب پذیری

تمام نرم افزارهای نصب شده که در فضای کاربر یا هسته در بار کار اجرا می شود ، باید برای آسیب پذیری ها اسکن شود. تجزیه و تحلیل آسیب پذیری می تواند با استفاده از تجزیه و تحلیل استاتیک رمزگذار یا با مقایسه کد در برابر مجموعه ای از آسیب پذیری ها انجام شود. تجزیه و تحلیل آسیب پذیری همچنین به شناسایی خدمات و بسته های شبکه استفاده نشده و به کاربر کمک می کند تا آنها را حذف کند.

یک رویکرد استفاده از یک خارج در اسکنر آسیب پذیری است: یکی که بار کار را با استفاده از یک ابزار اسکن خارجی بررسی می کند. رویکرد دیگر ، که به عنوان رویکرد Inside Out نیز شناخته می شود ، از یک عامل در حال اجرا بر روی بار کار استفاده می کند که تجزیه و تحلیل داخلی از بار کار را انجام می دهد. از بین دو رویکرد ، Inside Out قابل اطمینان تر است و در مقایسه با یک اسکنر خارجی محدود به کشف بسته های مبتنی بر اثر انگشت شبکه ، نتایج برتر را تولید می کند. اپراتورهای ابر اغلب قبل از شروع بار کار ، خدمات تجزیه و تحلیل تصویر را ارائه می دهند ، با فرض اینکه هیچ چیز در زمان اجرا نصب نشده است.

بلوک ساخت 3: چرخه عمر کامل سیاست تقسیم بار کار

تقسیم بار کار یک ساختمان ساختمان بسیار مهم از راه حل محافظت است. این امر با جداسازی حجم کار از بخشی از جهان که در آن نیازی به برقراری ارتباط نیست ، محافظت می کند. سهم دیگر تقسیم بار کار حاوی هرگونه نقض سیستم به شعاع انفجار کوچک است. تقسیم بار کار اغلب از فایروال در بار کار استفاده می کند (به عنوان مثال ، iptables/ipsets ، فایروال ویندوز پیشرفته یا پلت فرم فیلتر ویندوز). در صورت مهاجرت در جای دیگر ، سیاستهای وارد شده در داخل بار کار با بار کار حرکت می کنند.

مانع اصلی تقسیم بار کار ، تعریف و کشف خط مشی لیست مجاز در مقیاس است. انجام این کار یک کار غیرممکن بدون موتور تحلیلی است. چالش دیگر در زمینه تقسیم بار کار ، ایجاد سیاستی است که از بارهای الاستیک ، قابلیت آزمایش این سیاست بدون اجرای آن ، ارائه گزارش های انطباق در زمان واقعی ، ردیابی نسخه و بازگشت خط مشی پشتیبانی می کند.

سیاست تقسیم بندی گاهی اوقات رمزگذاری ترافیک یا محافظت از احراز هویت بین بارهای کاری را در بر می گیرد و از این طریق از ارتباط بین بارهای کاری در یک بخش مشترک محافظت می کند.

بلوک ساختمانی 4: رفتار برنامه اجازه لیست

رفتار برنامه اجازه می دهد لیست عملکرد برنامه در حال اجرا بر روی بار کار را مشاهده کند و به صورت اختیاری یک مدل پایه رفتار را برای فرآیند ایجاد می کند. این عملکرد ارتباطات شبکه ، فعالیت تماس با سیستم از هر فرآیند و رابطه بین فرآیندها را مشاهده می کند و پیشخوان ها و پرونده های CPU را که توسط این فرآیند باز می شود ، بررسی می کند ، کاربر مرتبط با فرآیند ، تجزیه و تحلیل حافظه ، ریخت حافظه نهان حافظه و بیشتر از هر برنامه.

برای انجام لیست برنامه های کاربردی مجاز ، عامل باید در حجم کار حضور داشته باشد یا باید بتواند به فضای نام بار کار نگاه کند.

رفتار بد مشهور اغلب با عامل یا راه حل از قبل بارگذاری می شود و در صورت برداشتن رفتار ، اقدامات کاهش می یابد. همچنین ، اگر برنامه از مدل رفتار شناخته شده خود با برخی تحمل های اضافی منحرف شود ، اقدام به کاهش انجام می شود.

فعال کردن رفتار کاربردی اجازه لیست با تعداد بسیار کمی از مثبت کاذب یا منفی کاذب یک مشکل بسیار سخت برای اجرای در سیستم های تولید در مقیاس است.

تجزیه و تحلیل فرایند هش در سراسر ناوگان بارهای کاری که به دنبال هش های بد شناخته شده است ، اغلب توسط برخی از آنها به عنوان رفتار برنامه مجاز در نظر گرفته می شود. برای اینکه این امر مؤثر باشد ، هش فرایند باید ذخیره فیزیکی و هش فرایند در حافظه را بررسی کند.

اقدامات کاهش در مورد تشخیص رفتار بد اغلب شامل استفاده از قابلیت های کنترل برنامه کاربردی سیستم عامل داخلی مانند خط مشی محدودیت نرم افزار و Applocker در ویندوز یا Selinux (Centos/Red Hat/Oracle Linux) یا Apparmor با Ubuntu Linux است.

بلوک ساختمان 5: لیست مجاز برنامه

لیست مجاز برنامه شامل فقط مجموعه ای از فرآیندهای شناخته شده است. هر چیز دیگری ممنوع است. استفاده از لیست مجاز برای کنترل آنچه در حال اجرا بر روی سرور است ، یک استراتژی قدرتمند محافظت از امنیت را ارائه می دهد. تمام بدافزار که خود را به عنوان پرونده ای که باید اجرا شود ، به طور پیش فرض مسدود می شود. فلسفه در اینجا این است که اگر یک سرور SQL وجود داشته باشد ، قفل کردن برنامه SQL Server بسیار ساده تر از این است که هزاران کار را که نباید انجام دهد به سرور بگویید.

تفاوت بین بلوک های ساختمانی 4 و 5 در این است که 4 یک مدل رفتاری را ایجاد می کند و 5 اجازه می دهد مجموعه ای شناخته شده از اجرایی و کتابخانه ها بارگیری شوند. مدل فقط لیست مجاز ، رفتار بد را از یک برنامه ذکر شده مجاز مسدود نمی کند زیرا دید در رفتار بار کار ندارد.

بلوک ساختمان 6: یکپارچگی پرونده و نظارت بر حافظه

نظارت بر یکپارچگی فایل ، حرمت سیستم فایل ، بوت لودرها ، پوشه های راه اندازی ، رجیستری در ویندوز ، درایور و غیره را ردیابی می کند. فرایند بوتوپ سپس به یک بوت ایمن تبدیل می شود. بخشی از راه حل باید شامل اسکن حافظه برای بدافزارهای مقیم حافظه یا بدافزار در مورد خطوط حافظه پنهان یا تنظیم تنظیمات خواندن ، نوشتن و اجرای جداول صفحه باشد. حالت دوم یک شکل خاص از نظارت بر حافظه است ، که در آن سیستم کنترل حافظه به جای محتویات حافظه مشاهده می شود.

بلوک ساختمانی 7: فریب و طعمه ها

فریب و طعمه ها سعی می کنند میزها را روی مهاجم بچرخانند. قابلیت حفاظت از امنیت آسیب پذیری های جعلی ، سیستم ها ، سهام ، کوکی ها و غیره را که اغلب به آن نشانه های عسل گفته می شود ، ایجاد می کند. اگر یک مهاجم سعی کند از این منابع جعلی سوءاستفاده کند ، این یک نشانگر قوی است که یک حمله در حال انجام است. یک کاربر مشروع نباید به این منابع دسترسی پیدا کند یا سعی کند.

تکنیک دیگر ترافیک تونل ارسال شده توسط مهاجم به درگاه های شبکه بدون مرز دستگاه مورد حمله به دستگاه تسویه حساب دیگر با همان سیستم عامل است. این به همه درگاه ها متصل می شود. دستگاه دکوراسیون برجسته به مهاجم اجازه می دهد تا خود را بازی و کاوش کند ، در حالی که به طور مداوم اقدامات مهاجم را وارد می کند. سیستم مانیتورینگ در حال تماشای Decoy از سیاهههای مربوط به سیستم Decoy است. نکته اصلی در این مدل ، فریب دادن مهاجم از توجه به اینکه حمله به یک سیستم واقعی نیست بلکه حمله به یک سیستم طعنه است. یک طعمه پیشرفته ، هنگامی که با یک هوش مصنوعی روبرو می شود ، منجر به مهاجمین می شود که سیستم مدافع هوش مصنوعی از هنر و تکنیک های تجارت حمله را آموزش می دهد. سیستم دفاعی هم اکنون می تواند از این تکنیک ها برای جستجوی الگوهای موجود در ناوگان بار واقعی کار استفاده کند.

اکنون که ما ویژگی ها و بلوک های ساختمانی اساسی یک راه حل را پشت سر گذاشته ایم ، بیایید ببینیم پلت فرم بار کاری امن Cisco ® که قبلاً از آن استفاده می کند و نحوه انجام آن چیست.

برای ردیابی آسیب‌پذیری‌ها در سیستم‌عامل یا نرم‌افزار فضای کاربر در حجم کاری، پلتفرم Cisco Secure Workload ابتدا یک موجودی پایه را در مرکز داده ایجاد می‌کند، چه عمومی و چه خصوصی. پلتفرم Secure Workload هر قطعه از موجودی بار کاری را با مجموعه دلخواه از تگ‌ها یا برچسب‌های تعریف شده توسط کاربر که از سیستم‌های ارکستراسیون کشف می‌کند (به عنوان مثال AWS، VMware، Kubeetes) برچسب‌گذاری می‌کند. و به چندین میلیون بار کاری که ردیابی می کند، می رسد. اطلاعات در زمان واقعی به روز نگه داشته می شود. هر گونه تغییر در محیط (ارکستر) یا در حجم کار برداشت می شود. سپس این اطلاعات برای جستجوی سریع و پردازش بیشتر، مثلاً برای اجرای خط مشی تقسیم بندی، تنظیم یا نمایه می شود.

علاوه بر زمینه حجم کاری، پلتفرم Cisco Secure Workload موجودی کامل نرم افزار (بسته های نرم افزاری نصب شده) را از همه بارهای کاری نظارت شده در مرکز داده، اعم از عمومی یا خصوصی، جمع آوری می کند. درست مانند زمینه حجم کار، Cisco Secure Workload موجودی بسته نرم افزاری را در هر بار کار تنظیم می کند. هر تغییری که در فهرست موجودی نرم افزار ایجاد شود، پلتفرم را برای ارزیابی مجدد خط مشی و بررسی آسیب پذیری ها تحریک می کند.

پلتفرم Cisco Secure Workload همچنین آسیب‌پذیری‌های گزارش‌شده در 19 سال گذشته را جمع‌آوری می‌کند. از آسیب‌پذیری‌ها و مواجهه‌های رایج (CVE) مانند مواردی که از NIST (https://nvd. nist. gov/) یا MITRE در دسترس هستند، استفاده می‌کند. اگر توسط مشتری فعال شود، پلتفرم همچنین پایگاه داده های CVE را در خوشه با به روز رسانی های دوره ای به روز نگه می دارد. پلتفرم Cisco Secure Workload همچنین هر بسته نرم افزاری را با پایگاه داده کامل CVE به دنبال بسته های آسیب پذیر با در نظر گرفتن نسخه بسته نرم افزاری، امتیازات تاثیر و غیره بررسی می کند.

شکل 1 یک پرس و جو در میان بارهای کاری را نشان می دهد که متعلق به یک مستاجر خاص در مجموعه ماشین هایی است که نسخه آسیب پذیر wget نصب شده است.

Inventory search to quickly identify all servers running the wget application and has a known CVE

جستجوی موجودی برای شناسایی سریع همه سرورهایی که برنامه wget را اجرا می کنند و یک CVE شناخته شده دارد

شکل 2 نشان می دهد که پلت فرم Cisco Secure Workload به کاربر امکان می دهد تا اطلاعاتی را در مورد هر آسیب پذیری نرم افزار جمع آوری کند و به آن امتیاز آسیب پذیری یا رتبه بندی بدهد. همچنین همانطور که در شکل 3 نشان داده شده است، CVE را برای جزئیات بیشتر به سایت NIST پیوند می دهد.

Software package inventory on a server and details on the known CVEs

موجودی بسته نرم افزاری روی سرور و جزئیات مربوط به CVE های شناخته شده

Vulnerability details from NIST website

جزئیات آسیب پذیری از وب سایت NIST

پلت فرم بار کاری سیسکو همچنین کاربران یا ماشین آلات را قادر می سازد تا بر اساس وجود یک بسته ، نمرات آسیب پذیری یا آسیب پذیری و غیره ، به روزرسانی های خط مشی (بیش از رابط کاربری باز Restapi باز) را هدایت کنند.

این هر دو نسخه از نمرات آسیب پذیری را ردیابی می کند. کاربران همچنین می توانند آسیب پذیری ها را تصدیق و نادیده بگیرند ، با فرض اینکه به دلیل برخی دیگر از عوامل کاهش دهنده ، توسط کاربر غیرقابل توصیف تلقی می شوند (به عنوان مثال ، ممکن است یک سیستم در حال اتصال هوا یک مانع کافی در نظر گرفته شود).

این سیستم باعث می شود مشتری های امن سیسکو بتوانند:

● هر بسته بندی را در زمان واقعی در زیرساخت های خود جستجو کنید بدون اینکه روی بار CPU در بارهای کاری آنها تأثیر بگذارد.

stanks سیاست های پیشرفته را در بارهای کاری خود مستقر کنید ، که می تواند یک آسیب پذیری را ردیابی کند و به طور خودکار یک سیاست با تأخیر در زمان را ایجاد کند و بار کار را برای اصلاح منزوی کند.

informance امنیت اطلاعات را قادر به سیاست گذاری مانند جداسازی کلیه بارهای کار در وب با نمره آسیب پذیری CVE بیشتر از 9. 0 کنید پس از دادن یک اعلامیه پنج روزه به صاحب کار.

یک عکس گویای هزاران کلمه است. شکل 4 سیستمی را با نسخه آسیب پذیر Zookeeper نصب شده نشان می دهد.

Information about software packages and vulnerability details

اطلاعات مربوط به بسته های نرم افزاری و جزئیات آسیب پذیری

بار کاری ایمن سیسکو یک سیستم ابرداده انعطاف پذیر است و بنابراین می تواند سیاست هایی را بر اساس ابرداده موجودی اجرا کند. در صورت تغییر ابرداده ، خط مشی مرتبط با هر موجودی را مجدداً ارزیابی می کند.(شکل 5 را ببینید)

Policy definition using metadata

تعریف سیاست با استفاده از ابرداده

شکل 6 سیاست اجباری نمونه را نشان می دهد.

Policy enforcement using metadata

اجرای سیاست با استفاده از ابرداده

سیسکو Secure Secure Bload Agents تمام فعالیت های موجود در بار کار را ردیابی می کند ، از جمله فرآیند ، کاربر سرور ، تعامل با تغییر حافظه یا صفحه جدول و رفتار حافظه نهان و بسیاری از سیستم های دیگر در مورد بار کار تماس می گیرند. همچنین اقدامات انجام شده در سیستم پرونده را ردیابی می کند. تمام این اطلاعات با حداقل بار (کمتر از 3 درصد CPU برای کلیه کارکردهای نظارت بر آن) در بارهای کاری جمع آوری می شود. سیسکو Secure Secure Software Software Agent یک SLA سخت را بر روی خود اعمال می کند. پلت فرم بار کار امن سیسکو کلیه فعالیت های بار کاری را در یک پایگاه داده سری زمانی انجام می دهد و جریان فعالیت را به بار کار در دریاچه داده خود مرتبط می کند.

کاربر می تواند از پلت فرم بار کاری سیسکو از سیسکو بخواهد که از زمان شروع بار کار ، کل اصل و نسب فرآیند را در هر بار کاری در ناوگان ماشین ها نشان دهد. در حقیقت ، این درخت کامل فرآیند را ردیابی می کند. کاربر می تواند به جلو یا عقب قدم بگذارد و دنباله را بازی کند. ریشه های شکل 7 ، اصل و نسب را برای موضوعات هسته و برای فرآیندهای فضایی کاربر نشان می دهد.

Process lineage on a server host

پردازش نسب را بر روی میزبان سرور

پلت فرم بار کار سیسکو را برای هش برای کسانی که در حال اجرا هستند ، ردیابی می کند. این هش Sha256 را از هر فرآیندی که مشاهده می کند محاسبه می کند. هش فرایند در جسد آن ذخیره می شود. سپس هش ها را با پایگاه داده های هش منبع باز مانند ویروس بررسی می کند.

تجزیه و تحلیل هش فرایند توسط بسیاری از پزشکان امنیتی برای شناسایی نرم افزار خوب از Bad با بررسی متقابل هش در برابر پایگاه داده ها استفاده می شود. با خودکار سازی این فرآیند ، سیستم عامل بار کار Cisco Secure کار را برای کاربر ساده می کند که این کار را در مقیاس داده برای مقیاس اعمال کند.

در شکل 8 می توانید فرایند را بر روی بار کار مشاهده کنید. هش فرایند Anvil با دنبال کردن پیوند هش فرایند که منجر به ویروس ها می شود ، بررسی می شود. فیلمبرداری صفحه نمایش از کل ویروس در شکل 9 حکم سایر شرکای ویروسوتال ها را در مورد هش فرایند Anvil نشان می دهد.

Process hash information from servers

اطلاعات هش را از سرورها پردازش کنید

Verdict provided for the process hash by VirusTotal

حکم ارائه شده برای هش فرایند توسط ویروسوتال

در آینده ، پلت فرم بار کار Secure به صورت برنامه ای با ویروس ها ادغام می شود: داده ها را بکشید و داده ها را به آن فشار دهید. این حکم خود را در مورد هش فرایند مبادله خواهد کرد و به طور برنامه ای حکم سایر شرکت های امنیتی را مصرف می کند. این اطلاعات سپس می تواند در سیاستهای اجرای امن کار استفاده شود. علاوه بر این ، فرایندی را که می بیند در برابر مجموعه داده های کتابخانه ملی نرم افزار RDS از باینری ها و برنامه های شناخته شده ، بررسی می کند.

سکوهای امنیت سیسکو ، سکوی بار کاری را به بررسی رفتار فرآیندهای مختلف و برنامه های کاربردی در بار کار می پردازد و آنها را در برابر توالی های رفتار بد شناخته شده اندازه گیری می کند. همچنین عوامل این فرآیند که جمع می کند. با مطالعه مجموعه های مختلف بدخلقی ، تیم مهندسی بار کار امن آن را دوباره به بلوک های اصلی ساختمانی خود بازگرداند. بنابراین ، این سکوی تعاریف واضح و واضح از این بلوک های ساختمانی و ساعت ها را برای آنها درک می کند.

الگوهای متنوعی مشکوک که سکوهای بار کاری سیسکو در نسخه فعلی به نظر می رسد عبارتند از:

compreation اجرای کد پوسته: به دنبال الگوهای استفاده شده توسط کد پوسته است.

iss افزایش امتیاز: ساعت برای تغییر امتیاز از امتیاز پایین تر به امتیاز بالاتر در درخت نسب فرآیند.

ator حملات کانال جانبی: Cisco Secure Bload Platform Watches برای حملات حافظه نهان و پشت سر هم جدول جدول. با استفاده از این موارد ، می تواند Meltdown ، Spectter و سایر حملات حافظه نهان را تشخیص دهد.

reation ایجاد سوکت خام: ایجاد یک سوکت خام توسط یک فرآیند غیر استاندارد (به عنوان مثال پینگ).

● ورود به سیستم کاربر رفتار مشکوک: سیستم عامل بار کار Cisco Secure Secure Works ناکامهای ورود به سیستم و روش های ورود به سیستم کاربر را تماشا می کند.

act دسترسی به فایل جالب: سیستم عامل بار کار امن سیسکو می تواند مسلح باشد تا به پرونده های حساس نگاه کند.

act دسترسی به پرونده از یک کاربر دیگر: سیستم عامل بار کار سیسکو امنیت را می آموزد که رفتار عادی به کدام پرونده توسط کاربر قابل دسترسی است.

command دستور غیب: سکوک بار کار امن سیسکو رفتار و مجموعه دستورات و همچنین اصل و نسب هر دستور را با گذشت زمان می آموزد. هر دستور یا فرمان جدید با یک اصل و نسب متفاوت باعث علاقه پلتفرم Secure Bload S می شود.(شکل 10 را ببینید)

Process related events that can the tracked and setup alerts

رویدادهای مرتبط با فرآیند که می توانند هشدارهای ردیابی و تنظیم شده باشند

در مثالهای زیر ، پلت فرم بار کاری سیسکو Secure Secure هیچ امضای بدافزار نداشت. این امر به سادگی به دنبال بلوک های ساختاری رفتار بد ، آنها را با سابقه و پایه فرایند بررسی کرد و فقط در صورت اطمینان اطمینان داشت که این حادثه ارزش ذکر و هشدار را دارد: رفتار برنامه اجازه داده می شود. سکوی بار کار سیسکو نسبت به درخت فرآیند کامل ، از وقایع بیشتر برای وقایع برخوردار است.

بیایید مثال بزنیم و سکوهای بار کار امن سیسکو را برای اجرای اجرای کد پوسته مشاهده کنیم. شکل 11 نشان می دهد که چگونه سیستم عامل بار کار سیسکو اجرای کد پوسته را تشخیص می دهد ، باعث هشدار می شود و تمام اقدامات انجام شده توسط فرآیند مخرب را ردیابی می کند.

Detecting shell-code execution and providing forensics

کشف اجرای کد پوسته و تهیه پزشکی قانونی

سپس کاربر می تواند در روند مخرب قرار بگیرد و بیشتر آن را مطالعه کند. سکوهای کارآزمایی امن سیسکو همه 25 شغل فرزندان را که توسط اسکریپت مخرب Bash Shell ساخته شده اند ، ردیابی می کند.(شکل 12 را ببینید)

View of all the process forked by malicious shell script

مشاهده تمام فرآیندی که توسط اسکریپت پوسته مخرب صورت گرفته است

شکل 13 یک درخت فرآیند بزرگ را نشان می دهد که در مرحله اول ، که کد پوسته است ، در حال بارگیری یا نصب مرحله دوم بدافزار است. در این فرآیند ، 176 فرآیند کودک توسط بدافزار ایجاد و اجرا می شود.

Tree view of all processes spawned by a malware

نمای درخت از کلیه فرآیندهای ایجاد شده توسط یک بدافزار

موتور قاعده سفارشی

پلت فرم بار کاری امن سیسکو همچنین کاربران را قادر می سازد مجموعه ای از قوانین خود را بر اساس بلوک های ساختمانی ساخته شده برای یافتن بدافزار سفارشی تعریف کنند. کاربران می توانند همانطور که در شکل 14 و شکل 15 نشان داده شده است ، عملکرد و شدت مورد نظر مورد نظر خود را تعریف کنند.

Forensics alert definition window

پنجره تعریف هشدار پزشکی قانونی

Forensics alert definition window

پنجره تعریف هشدار پزشکی قانونی

هنگامی که Meltdown و Spectter (https://googleprojectzero. blogspot.com/2018/01/reading-privileged-memory-with-side.html) اعلام شدند ، تیم ما سوء استفاده ها را در آزمایشگاه امتحان کرد و بررسی کرد که چه کاری پلتفرم کار ایمن انجام داده استبا آنها. این ناهنجاری ها را در صفحه هسته جدول رفتار گسل مشاهده کرد و همچنین حملات زمان بندی حافظه نهان را بدون هیچ گونه پسوند مشاهده کرد. ما از آن زمان رشته های "Meltdown" و "Spectter" را به گزارش ها اضافه کرده ایم. به غیر از این ، موتور ساخته شده توسط تیم مهندسی آزمایش ایستاده است.

سکوی بار کار سیسکو ، هر دو حمله را به سوء استفاده از مفهوم (POC) و آسیب پذیری ها تشخیص داد. این امر به این دلیل امکان پذیر بود که دارای یک حمله حمله کانال جانبی و موتور عملیات جدول صفحه است. این در گسل های جدول صفحه هسته (که برای تشخیص ذوب شده استفاده می شود) و الگوهای حمله زمان بندی حافظه نهان (که برای تشخیص Spectter و سایر حملات کانال جانبی استفاده می شود) جمع می شود.

با حملات Specter ، مهاجم برای به دست آوردن داده ها باید به کانال سمت حافظه پنهان دسترسی پیدا کند. این رفتار همانند حمله Meltdown است. انواع حملات کانال سمت حافظه نهان وجود دارد ، از جمله Flush Plus Reload ، Prime Plus Probe و سایر انواع. رفتار اصلی این حملات ، مقدار زیادی از حافظه پنهان سطح آخر است که در طول حمله ایجاد شده است.

با ذوب شدن ، اگر یک مهاجم به محل حافظه دسترسی پیدا کند ، که برای مهاجم غیرقابل دسترسی است ، یک خطای صفحه ایجاد می شود. در مورد کاربر حمله به فضای حافظه هسته ، یک خطای صفحه هسته ایجاد می شود. برای ریختن محتوای هسته ، مهاجم برای کاهش نویز در کانال حافظه نهان ، باید مقدار زیادی از گسل های صفحه هسته را تحریک کند. این همان کاری است که Meltdown انجام می دهد. مهاجم می تواند مخفی تر شود و فقط تعداد کمی از گسل های صفحه هسته را به صورت دوره ای تحریک کند ، اما پس از آن حافظه نهان مهاجم آلوده می شود زیرا مهاجم هیچ کنترلی بر اجرای سایر فرآیندهای دیگر ندارد. در دنیای واقعی ، هسته به ندرت دارای گسل های صفحه است زیرا هسته صفحات خود را بارگیری می کند. بنابراین ، تعداد کمی از گسل ها در یک دوره کوتاه (به عنوان مثال ، یک ثانیه) به یک سیگنال جالب برای سکو تبدیل می شود.

شکل 16 تا 19 عکس های جالب توجه از ذوب شدن و تشخیص Specter در عمل است.

View of a Meltdown event

نمای یک رویداد ذوب

Meltdown event details

جزئیات رویداد Meltdown

View of a Spectre event

مشاهده یک رویداد Specter

Spectre event details

جزئیات رویداد Specter

اکنون دانش عمیق در مورد قابلیت های جدید محافظت از بار کاری ابر اضافه شده به پلت فرم بار کاری ایمن سیسکو دارید. ویژگی های حفاظت از بار کار Cloud دارای راه حل های مناسب برای یک منطقه Goldilocks است. منطقه Goldilocks لبه زیرساخت ها را در بر می گیرد و به عمق بار کار می رود.

تحليلات الفوركس...
ما را در سایت تحليلات الفوركس دنبال می کنید

برچسب : نویسنده : یکتا ناصر بازدید : 75 تاريخ : چهارشنبه 2 فروردين 1402 ساعت: 18:36