Обнаружение уязвимостей нулевого дня - TS Solution

Атаками нулевого дня называются атаки, возникающие из-за уязвимостей программного обеспечения. Такие атаки обычно начинаются с фишинга или тартегированного письма, содержащего вредоносные программы. Когда человек открывает это письмо, вредоносное ПО начинает контролировать все процессы, старается завладеть критически важной информацией и заблокировать ее.

Решение в борьбе с атаками нулевого дня

Признаками атаки нулевого дня (она же -0 day уязвимость, уязвимость нулевого дня, вирус нулевого дня и т.п.) являются как минимум попытки связи с центрами команд и контроля бот-сетей, скрытое сканирование и подозрительная активность с данными. Чтобы решить эту проблему, Splunk Security Risk Analysis Framework оценивает изменения уровня риска и проверяет возможные события, которые ведут к  возникновению этого риска. Existing Incident Review и Security Domains используются в ходе детального исследования с тем, чтобы обнаружить атаку, и Splunk App for Stream помогает установить факт несанкционированного доступа к данным.

Источники данных для обнаружения уязвимостей нулевого дня

Источники данных, используемые для обнаружения 0-day уязвимостей включают в себя: каналы threat intelligence, данные DNS, логи веб-поиска и прокси-серверов, Active Directory (AD) и другие журналы аутентификации, аудита и системные логи ПО и устройств.

Конфигурация Splunk

Запустите Start Enterprise (актуальной версии) и добавьте Splunk Enterprise Security (ES, актуальной версии). Установите Splunk App for Stream, и затем установите и конфигурируйте дополнения к Stream, используя wire данные. Конфигурируйте источники данных (endpoints, веб-прокси, DNS, прокси, каталоги и серверы баз данных) и введите данные в Splunk Enterprise.

Идентификация атак нулевого дня

Es Risk Analysis это точка отсчета для того, кто хочет научиться идентифицировать угрозы нулевого дня.

атака нулевого дня

 

 

 

 

 

 

 

 

 

 

 

Обзор модификаторов риска

 

атака нулевого дня

 

 

 

 

 

 

 

 

 

Панели Recent Risk Modifiers, Risk Modifiers Over Time и Risk Score by Object отображают изменения в модификаторах риска с целевых хостов в течение определенного периода времени. Обозревая Most Active Sources, повторяющиеся «заражения» вредоносными программами, старые заражения и действия по обнаружению угроз определяется общий уровень риска. Исследование кейсов, направленных на изучение хостов с высоким уровнем риска, позволяет выявить основные риски Вашей среды. Панель Incident Review отслеживает значительные события, связанные с высоко рисковыми хостами, что помогает подтвердить, что они были заражены вредоносным ПО или в ходе восстановления системы. На данной панели аналитик может обновить историю действий с помощью Investigator Journal или начать новое исследование. Любое нестандартное сообщение между АРМ и внешним ресурсом указывает на связь  с командным центром (C&C).

Обнаружение попыток вредоносной аутентификации

атака нулевого дня

 

 

 

 

 

 

 

 

 

 

 

Для своевременного предотвращения атак нулевого дня, аналитик может быстро выяснить, контролирует ли злоумышленник дополнительные точки входа в систему, путем определения пользователей, которые во время атаки заходили в систему в изначальной точке атаки. Панель Access Center контролирует попытки проверки подлинности сетевых устройств, рабочих станций и приложений, а также обнаруживает вредоносные попытки аутентификации.

Идентификация вредоносной активности в аккаунте

угроза нулевого дня

 

 

 

 

 

 

 

 

 

 

Поиск и перекрестные ссылки на каталоги аутентификации Active Directory, которые относятся к одной рабочей станции со времени «заражения» до настоящего времени, определяют общее количество пользователей, вошедших в свои аккаунты на этом хосте, а также количество клиентов, воспользовавшихся своими аккаунтами на других хостах сразу после «заражения». Изучая список подозрительных точек и аудит-логи базы данных, можно выявить подозрительный пользовательский аккаунт и связанные с ним действия. Специалист сможет определить, хранит ли злоумышленник скачанные результаты запроса в базе данных на диске компьютера в виде набора защищенных паролем бинарных файлов и замаскированы ли эти файлы именами файлов, которые соответствуют общим шаблонам.

Обнаружение данных

угроза нулевого дня

 

 

 

 

 

 

 

 

 

Панель The Web Search использует журналы веб-прокси, для определения любой исходящей веб активности, которая соответствует определенному паттерну, используемому злоумышленниками, чтобы скрыть попытку несанкционированного доступа к данным.

Возможности Splunk Enterprise Security в борьбе с угрозами нулевого дня

ES обнаруживает атаки нулевого дня путем наблюдения за индикаторами опасности — заражение вредоносными программами и несанкционированного доступа к данным. Используя базу встроенного анализа рисков, доступа и аутентификации Splunk Enterprise Security, аналитик может легко обнаружить взломанные рабочие станции и серверы. Попытки несанкционированного доступа к данным могут быть найдены благодаря контекстуальному анализу инфицированных АРМ, скомпрометированной учетной записи и загрузок с веб-серверов.

Для получения дополнительных сведений, перейдите по ссылке