Şəbəkə təhlükəsizliyində istifadə olunan cihazlar və praktiki tətbiqi

Müəllif : Rəvan Pəncəliyev

Network Security

Şəbəkə təhlükəsizliyi şəbəkə resurslarının və məlumatlarının məxfiliyini, bütövlüyünü və əlçatanlığını təmin etmək məqsədi ilə kompüter şəbəkələrini və onlarla əlaqəli infrastrukturu icazəsiz girişdən, sui-istifadədən, pozulmalardan və ya icazəsiz dəyişikliklərdən qorumaq təcrübəsinə aiddir. Şəbəkə təhlükəsizliyinin təmin olunması üçün bir çox tool və cihazlardan istifadə olunur. Bu məqaləmizdə şəbəkə təhlükəsizliyində ən çox istifadə olunan cihazlara və onların bəzi vacib xüsusiyyətlərinə baxacağıq.

Firewall

İlk olaraq başlayaq Firewall’dan. Firewall şəbəkə trafikinə nəzarət edən və onu keçməzdən və ya bloklamadan öncə əvvəlcədən müəyyən edilmiş təhlükəsizlik qaydaları ilə müqayisə edən proqram və ya aparatdır.

Firewall'ların növlərinə keçməzdən əvvəl qeyd edək ki, müxtəlif növ firewall'lar müxtəlif IP paket sahələrini (IP Header/Packet fields) yoxlamaq qabiliyyətinə malikdir. Lakin, ən əsas firewall ən azı aşağıdakı sahələri yoxlaya bilməlidir:

• Protocol

• Source Address

• Destination Address

1. Firewall'ları sinifləndirməyin bir çox yolu var. Birinci yol onların müstəqil cihazlar olub-olmamasıdır.

Hardware Firewall (Cihaz Firewall): Adından da göründüyü kimi, Hardware Firewall şəbəkə trafikinin keçməli olduğu ayrıca bir aparat parçasıdır. Fərdi kompüterlərdə işləyən Software Firewall'lardan fərqli olaraq, Hardware Firewall'lar şəbəkə infrastrukturu daxilində fəaliyyət göstərən müstəqil qurğulardır. Nümunələrə Cisco ASA , WatchGuard Firebox və Netgate pfSense Plus cihazı daxildir.

Software Firewall (Proqram təminatı Firewall): Bu, Əməliyyat Sistemi ilə birlikdə gələn proqram parçasıdır və ya onu əlavə xidmət kimi quraşdırmaq mümkündür. Məsələn , MS Windows-da digər ƏS xidmətləri və istifadəçi proqramları ilə birlikdə işləyən daxili(built-in) Firewall - Windows Defender Firewall var.

Hardware Firewall’ların üstünlükləri

Software Firewall’ların üstünlükləri

  • Tək cihaz şəbəkəsinə nəzarət: Vahid hardware firewall serverə qoşulmuş hər bir kompüter üçün qorunma təmin edir, proqram təminatını hər bir kompüterdə quraşdırmaq üçün lazım olan vaxtı və resursları azaldır.

  • Quraşdırma və xərc : Software Firewall’ı quraşdırmaq daha ucuzdur, bəziləri hətta pulsuz sınaq və versiyalarla gəlir və Quraşdırma əlavə avadanlıq və ya proqram təminatına ehtiyac olmadan sadədir.

  • Şəbəkədəki bütün kompüterlər üçün eyni vaxtda yeniləmələr və mühafizə təkmilləşdirmələri: Qoruma parametrlərinizi bir dəfə yenilədikdə şəbəkədəki bütün cihazlar eyni vaxtda faydalanır. Bu, İT komandalarını hər bir kompüteri əl ilə yeniləməkdən , artıq vaxt və əziyyətdən xilas edir.

  • Əməliyyat Sistemləri ilə İnteqrasiya: Software Firewall tez-tez Windows OS üçün Windows Firewall və ya Linux əsaslı sistemlər üçün iptables kimi əməliyyat sistemlərinə inteqrasiya olunur. Bu inteqrasiya problemsiz işləməyi və ana cihazın şəbəkə yığını ilə uyğunluğu təmin edir.

  • Daimi qorunma: Siz onları söndürmədikcə , hardware firewall’ları işlək vəziyyətdə qalır.

  • Çeviklik və Fərdiləşdirmə: Software Firewall’lar, Hardware Firewall’ları ilə müqayisədə daha çox çeviklik və fərdiləşdirmə seçimləri təklif edir.

  • Daha yaxşı təhlükəsizlik: Hardware Firewallları özünəməxsus, ayrıca əməliyyat sisteminə malik olduğu üçün, kompüterdə təhlükə yarandıqda Software Firewall’ların məruz qala biləcəyi bəzi hücumlara daha az meyllidirlər.

  • Host-Level Mühafizə: Software Firewall host səviyyəsində işləyir və birbaşa masaüstü kompüterlər, noutbuklar və ya serverlər kimi fərdi cihazlarda qorunma təmin edir. Bu, həmişə şəbəkə səviyyəsində təhlükəsizlik tədbirləri ilə qorunmayan uzaq işçilər və ya cihazlar üçün xüsusilə faydalıdır.

  • Təhdidlərin daxili driverlərə çatmasının qarşısının alınması: Kompüterin hər tərəfini potensial zərərli və bahalı hücumlardan qoruyur. Kompüterin daxili driverləri ilə daxil olan zərərli kodlar arasındakı fiziki maneə təhdidləri kompüterə nüfuz etməzdən əvvəl dayandırır.

  • Portativlik: Proqram təminatının təhlükəsizlik divarları asanlıqla bir cihazdan digərinə köçürülə bilər ki, bu da onları cihazların tez-tez dəyişdiyi və ya dəyişdirildiyi vəziyyətlər üçün uyğun edir. Bu daşınma, hətta aparat konfiqurasiyası dəyişdikdə belə təhlükəsizlik parametrlərinin qorunub saxlanılmasını təmin edir.

2. İkinci təsnifat miqyasına görə :

• Personal firewall (Şəxsi təhlükəsizlik divarı): Personal firewall tək bir sistemi və ya kiçik bir şəbəkəni, məsələn, ev şəbəkəsindəki az sayda cihaz və sistemləri qorumaq üçün nəzərdə tutulmuşdur.

• Commercial firewall: Kommersiya firewall orta və böyük şəbəkələri qoruyur. Nəticə etibarilə, daha yüksək şəbəkə bant genişliyini dəstəkləməklə yanaşı, daha yüksək etibarlılıq və emal gücü gözlənilir. Əksər hallarda, universitet və ya şirkətdən İnternetə daxil olarkən belə bir firewalldan keçilir.

3. Firewall imkanlarına əsaslanaraq, aşağıdakı firewall növlərini sadalamaq olar:

• Packet-Filtering Firewall: Paket filtrləmə, Firewall’ın ən əsas növüdür. Bu tip firewall protokolu, mənbə və təyinat IP ünvanlarını (source and destination IP addresses), TCP və UDP dataqramlarında mənbə və təyinat portlarını (source and destination ports) yoxlayır. Bu, stateless(vəziyyətsiz) yoxlama təhlükəsizlik divarıdır.

• Circuit Level Gateway: Packet-Filtering Firewall xüsusiyyətlərinə əlavə olaraq, bu firewall qaydalarına qarşı TCP üçtərəfli əl sıxışmasını (TCP three-way handshake) yoxlamaq kimi əlavə imkanlar təmin edə bilər.

• Stateful Inspection Firewall (Vəziyyətli Təftiş Firewall): Əvvəlki növlərlə müqayisədə, bu tip firewall müəyyən edilmiş TCP sessiyalarını izlədiyi üçün əlavə qoruma qatı verir. Nəticədə o, müəyyən edilmiş TCP sessiyasından kənar istənilən TCP paketini aşkarlaya və bloklaya bilər.

• Proxy Firewall: Proxy firewall həmçinin Application Firewall (AF) və Web Application Firewall (WAF) adlanır. O, orijinal müştəri kimi görünmək və onun adından request göndərmək üçün nəzərdə tutulmuşdur. Bu proses Proxy firewall-a paket başlıqları ilə məhdudlaşmaq əvəzinə paket payload’unun məzmununu yoxlamağa imkan verir. Ümumiyyətlə, bu veb proqramlar üçün istifadə olunur və bütün protokollar üçün işləmir.

• Next-Generation Firewall (NGFW): NGFW ən yüksək Firewall mühafizəsini təklif edir. O, OSI Layer 2-dən OSI Layer 7-ə qədər bütün şəbəkə səviyyələrinə praktiki olaraq nəzarət edə bilər. O, tətbiq məlumatlılığına və nəzarətinə malikdir. Nümunələrə Juniper SRX seriyası və Cisco Firepower daxildir.

• Cloud Firewall və ya Firewall as a Service (FWaaS): FWaaS bulud mühitində hardware firewallını əvəz edir. Onun xüsusiyyətləri xidmət təminatçısından asılı olaraq NGFW ilə müqayisə edilə bilər; lakin, bulud arxitekturasının miqyaslılığından faydalanır. Bir misal şəbəkə səviyyəli təhlükəsizlik divarı olan Cloudflare Magic Firewall-dur. Başqa bir misal Juniper vSRX-dir; NGFW ilə eyni xüsusiyyətlərə malikdir, lakin buludda yerləşdirilir. Veb proqramların qorunması üçün AWS WAF və DDoS qorunması üçün AWS Shield-i də qeyd etmək olar.

IDS/IPS

IDS (Intrusion Detection System)IPS (Intrusion Prevention System) potensial müdaxilələri və ya zərərli fəaliyyətləri aşkar etmək və onlara cavab vermək üçün nəzərdə tutulmuş şəbəkə təhlükəsizliyi texnologiyalarıdır. Bəzi bənzərlikləri olsa da, IDS və IPS arasında əhəmiyyətli fərqlər var. (Müdaxilənin aşkarlanması sistemi və Müdaxilənin qarşısının alınması sistemi kimi tərcümə olunurlar)

1 . IDS mümkün zərərli fəaliyyətləri, anormal hadisələri və siyasət pozuntularını aşkar etmək üçün passiv monitorinq həllidir. O, hər bir şübhəli hadisə üçün təhlükəsizlik işçilərini xəbərdar edən xəbərdarlıqların yaradılmasına cavabdehdir.

IDS sistemlərinin iki əsas növü vardır :

• Network Intrusion Detection System (NIDS) - NIDS sensorlarının köməyi ilə şübhəli davranış və real təhlükələr üçün şəbəkə trafikini izləyir və təhlil edir. Şəbəkədə hərəkət edən bütün paketlərin məzmununu və başlıq məlumatlarını diqqətlə yoxlayır. İmza (signature) müəyyən edilərsə, xəbərdarlıq yaradılır.

• Host-based Intrusion Detection System (HIDS) - HIDS bir son nöqtə cihazından (endpoint device) trafik axınına nəzarət edir. HIDS sensorları masaüstü kompüter və ya server olmasından asılı olmayaraq istənilən cihazda quraşdırıla bilər. Məqsəd müəyyən bir cihazda trafiki araşdırmaqdır. İmza müəyyən edilərsə, xəbərdarlıq yaradılır.

IDS həlləri potensial müdaxilələri necə müəyyən etmələri ilə də fərqlənir:

  • Signature Detection (İmza aşkarlanması): İmza əsaslı IDS həlləri onları müəyyən etmək üçün məlum təhlükələrin barmaq izlərindən istifadə edir. Zərərli proqram və ya digər zərərli məzmun müəyyən edildikdən sonra imza yaradılır və daxil olan məzmunu yoxlamaq üçün IDS həlli tərəfindən istifadə edilən siyahıya əlavə edilir. Bununla belə, imza əsaslı IDS məlum təhdidləri aşkar etməklə məhdudlaşır və zero-day (sıfır gün) zəifliklərinə qarşı kordur.

  • Anomaly Detection (Anomaliyaların aşkarlanması): Anomaliya əsaslı IDS həlləri qorunan sistemin “normal” davranış modelini qurur. Bütün gələcək davranışlar bu modellə müqayisə edilir və hər hansı anomaliyalar potensial təhlükələr kimi etiketlənir və xəbərdarlıqlar yaradır. Bu yanaşma yeni və ya sıfır gün təhlükələrini aşkarlaya bilsə də, “normal” davranışın dəqiq modelinin qurulmasının çətinliyi o deməkdir ki, bu sistemlər yalan pozitivlər (yanlış xəbərdarlıqlar) ilə yalan neqativlər (buraxılmış aşkarlamalar) arasında tarazlıq yaratmalıdır.

  • Hybrid Detection (Hibrid aşkarlama): Hibrid IDS həm imza əsaslı, həm də anomaliya əsaslı aşkarlamadan istifadə edir. Bu, hər iki sistemin ayrı-ayrılıqda istifadəsi ilə müqayisədə daha az səhv dərəcəsi ilə daha çox potensial hücumları aşkar etməyə imkan verir.

2. IPS mümkün zərərli fəaliyyətlərin, anormal hadisələrin və siyasət pozuntularının qarşısını almaq üçün aktiv qoruyucu həlldir. O, aşkarlama həyata keçirilən kimi (IDS tərəfindən) şübhəli hadisənin dayandırılmasına/qarşısının alınmasına cavabdehdir.

IPS sistemlərinin dörd əsas növü var:

• Network Intrusion Prevention System (NIPS): Bu tip IPS bütün şəbəkə trafikinə nəzarət etmək və təhdidləri aktiv şəkildə skan etmək üçün yalnız strateji nöqtələrdə quraşdırılır.

• Host Intrusion Prevention System (HIPS): NIPS-dən fərqli olaraq, HIPS son nöqtədə (məsələn, PC) quraşdırılır və yalnız həmin maşından gələn və gedən trafikə baxır. O, NIPS ilə birlikdə ən yaxşı şəkildə işləyir, çünki o NIPS-i keçmiş təhdidlərə qarşı son müdafiə xətti kimi xidmət edir.

• Network Behavior Analysis (NBA): Bu, DDoS (Paylanılmış Xidmətdən imtina) hücumları kimi qeyri-adi trafik axınlarını aşkar etmək üçün şəbəkə trafikini təhlil edir.

• Wireless Intrusion Prevention System (WIPS): Bu tip IPS sadəcə olaraq icazəsiz giriş üçün Wi-Fi şəbəkəsini skan edir və icazəsiz cihazları şəbəkədən kənarlaşdırır.

IPS mənbə və təyinat arasında şəbəkə trafiki axınında daxili yerləşdirilir və adətən təhlükəsizlik duvarının arxasında oturur. Təhdidləri müəyyən etmək üçün müdaxilənin qarşısının alınması sistemlərinin istifadə etdiyi bir neçə üsul var:

  • Signature-based: Bu üsul fəaliyyəti tanınmış təhdidlərin imzalarına uyğunlaşdırır. İstismar aşkar edildikdə, onun imzası qeyd olunur və davamlı olaraq böyüyən imza lüğətində saxlanılır. Bu metodun bir çatışmazlığı ondan ibarətdir ki, o, yalnız əvvəllər müəyyən edilmiş hücumları dayandıra bilər və yenilərini tanıya bilməyəcək.

  • Anomaly-based takes samples of network traffic at random and compares them to a pre-calculated baseline performance level. When the traffic activity is outside the parameters of baseline performance, the IPS takes action.

  • Policy-based: Bu üsul imza əsaslı və ya anomaliya əsaslı monitorinqdən bir qədər az yayılmışdır. O, müəssisə tərəfindən müəyyən edilmiş təhlükəsizlik siyasətlərindən istifadə edir və həmin siyasətləri pozan fəaliyyəti bloklayır. Bunun üçün administratordan təhlükəsizlik siyasətlərini qurmaq və konfiqurasiya etmək tələb olunur.

DMZ təşkilat şəbəkəsinin təhlükəsizliyini artırmaq üçün istifadə edilən şəbəkə arxitekturası konsepsiyası olan Demilitarized Zone deməkdir. DMZ daxili şəbəkə (etibarlı şəbəkə) və xarici şəbəkə (etibarsız şəbəkə), adətən internet arasında bufer zonası kimi çıxış edən ayrılmış şəbəkə seqmentidir. DMZ-nin məqsədi ictimaiyyət üçün əlçatan olan və ya hücumlara daha həssas olan müəyyən sistemləri və ya xidmətləri təcrid etməklə əlavə qorunma qatını təmin etməkdir.

IDS vs IPS vs Firewall

• Funksiya: Firewall-un əsas rolu əvvəlcədən müəyyən edilmiş təhlükəsizlik qaydaları əsasında trafikə nəzarət etmək və idarə etməkdir. Digər tərəfdən, IDS real vaxt rejimində potensial təhlükələri aşkar etmək və xəbərdar etmək üçün nəzərdə tutulmuşdur və IPS də həmin təhlükələrin qarşısını almaq üçün tədbirlər görür.

• Monitorinq: Hər biri şəbəkələrə, trafikə və cihazlar və serverlər arasında fəaliyyətə nəzarət edir.

• Cavab: IPS və IDS arasındakı ən mühüm fərqdir. IDS aşkarlama mərhələsində dayanacaq və təhlükəsizlik işçilərini xəbərdar edəcək. IPS, parametrlərdən və siyasətdən asılı olaraq, təhlükəni sınamaq və saxlamaq və ya icazəsiz istifadəçilərin şəbəkəyə daha da daxil olmasının qarşısını almaq üçün tədbirlər görəcək.

• Qoruma: Yuxarıda sadalanan fərqlərə görə, IPS daha çox qoruma təklif edir, çünki o, avtomatik olaraq fəaliyyət göstərir və təcavüzkarın təşkilata zərər verməyinin qarşısını alır.

• Performans Təsiri: Firewall şəbəkə performansına minimal təsir göstərir, IDS və IPS sistemləri isə mürəkkəbliyindən asılı olaraq əhəmiyyətli dərəcədə təsir göstərə bilər.

  • Nümunə və praktika üçün SNORT istifadə edək.

SNORT dünyada ən qabaqcıl , açıq mənbəli, qayda-əsaslı (rule-based) Şəbəkə Müdaxiləsinin Aşkarlanması və Qarşısının Alınması Sistemidir (NIDS/NIPS).

SNORT-un 3 əsas rejimi (mode) var:

  • Sniffer Mode

  • Packet Logger Mode

  • NIDS and NIPS Mode

Nümunə üçün NIDS/NIPS rejiminə baxaq :

IDS/IPS rejimi istifadəçi tərəfindən müəyyən edilmiş qaydalara uyğun olaraq trafiki idarə etməyə kömək edir.

Bu rejimin aşağıdakı kimi bəzi parametrləri var :

-c Konfiqurasiya faylının müəyyən edilməsi.
-T Konfiqurasiya faylının sınaqdan keçirilməsi.
-N Log qeyd etməni deaktiv etmək.
-D Arxa fon rejimi.
-A Xəbərdarlıq rejimləri;
full: Xəbərdarlıq haqqında bütün mümkün məlumatları təmin edən tam xəbərdarlıq rejimi.
fast: Sürətli rejim portları ,xəbərdarlıq mesajı, timestamp, mənbə və təyinat IP-ni göstərir.
console: Konsol ekranında sürətli stil xəbərdarlıqları təmin edir.
cmg: CMG üslubu, hex və mətn formatında payload’la əsas başlıq detalları.
none: Xəbərdarlığın söndürülməsi.
sudo snort -c /etc/snort/snort.conf -A full -l

Bu əmri hissələrə bölərək izah etsək :

  • sudo - əmri super user (root) olaraq çalışdırmağa imkan verir.

  • snort – SNORT-u işə salmaq üçün.

  • -c /etc/snort/snort.conf - Bu parametr Linux sistemlərində adətən "/etc/snort/snort.conf" ünvanında yerləşən Snort konfiqurasiya faylının yerini təyin edir. Snort-a konfiqurasiya parametrlərini həmin fayldan yükləməyi bildirir.

  • -A full - Bu seçim xəbərdarlıq rejimini "full" olaraq təyin edir, yəni Snort bütün müəyyən edilmiş müdaxilələr və ya şübhəli fəaliyyətlər üçün ətraflı xəbərdarlıqlar yaradacaq.

  • -l . - Bu parametr log kataloqunu cari kataloqa təyin edir ("." ilə işarələnir). O, Snort-a log fayllarını cari iş qovluğunda saxlamağı tapşırır.

sudo ./traffic-generator.sh

Bu əmr ./traffic-generator.sh scriptini işə salır və açılan pəncərədə bu nümunə üçün 4) seçdik.

Daha sonra çalışdığımız qovluqda əvvəldə “-l .” əmrindən istifadə etdiyimizə görə log faylı yarandı. Bu faylı açdıqda hər bir xəbərdarlıq haqqında ətraflı məlumat olduğunu görürük.

EDR və XDR

EDR (Endpoint Detection and Response)

EDR , masaüstü kompüterlər, noutbuklar, serverlər və mobil qurğular kimi son nöqtələr (endpoints) üçün ən müasir müdafiəni təmin etmək üçün nəzərdə tutulmuşdur. Bu həllər çox qatlı, tam inteqrasiya olunmuş son nöqtə qorunmasını təmin edir. Real vaxt rejimində davamlı monitorinq təhdidləri aşkar etmək üçün məlumat analitikası ilə birləşdirilir və avtomatlaşdırılmış, qaydalara əsaslanan cavab aşkar edilmiş təhdidlərin sürətlə azaldılmasına imkan verir.

XDR (Extended Detection and Response)

Son nöqtə kibercinayətkarlar üçün əsas hədəfdir və qorunmalı olsa da, hər bir son nöqtə təşkilatın İT infrastrukturunun yalnız bir komponentidir. Müəssisə şəbəkəsi çoxlu sayda müxtəlif növ sistemlərdən ibarətdir. XDR müəssisə şəbəkəsinin təhlükəsizliyinin idarə edilməsini sadələşdirmək üçün nəzərdə tutulmuşdur. XDR həlləri son nöqtələr, bulud infrastrukturu, mobil cihazlar və s. daxil olmaqla, təşkilatın bütün infrastrukturunda çoxsaylı təhlükəsizlik mənbələrindən məlumatları birləşdirir.

EDR vs XDR

Oxşar cəhətləri

Fərqli cəhətləri

  • Təhlükənin aşkarlanması: EDR və XDR hər ikisi təhdidləri baş verməmişdən əvvəl müəyyən etmək üçün dərin məlumat toplamaq və məlumat analitikası və təhdid kəşfiyyatını tətbiq etməklə təhlükəsizlik insidentlərinin qarşısını almağa çalışır.

  • Əhatə dairəsi: EDR son nöqtəni qorumağa, müəyyən bir cihaz üçün dərin görünürlük və təhlükənin qarşısının alınmasına yönəlib. XDR isə son nöqtələr, bulud hesablamaları, e-poçt və digər həllər arasında təhlükəsizliyi birləşdirərək daha geniş bir görünüş alır.

  • Hadisəyə Cavab: Həm XDR, həm də EDR həlləri insidentlərə cavab vermək üçün imkanlar təklif edir. Onlar təhlükəsizlik qruplarına təhlükəsizlik insidentlərinin effektiv şəkildə araşdırılmasında və saxlanılmasında kömək etmək üçün xəbərdarlıqlar, ətraflı məhkəmə məlumatları və kontekstual məlumat təqdim edirlər.

  • İnteqrasiya və qarşılıqlı fəaliyyət: XDR həlləri bir çox mənbədən məlumatları birləşdirmək və əlaqələndirmək üçün EDR, SIEM və digər təhlükəsizlik həlləri kimi müxtəlif təhlükəsizlik alətləri ilə inteqrasiya olur. EDR həlləri adətən son nöqtə təhlükəsizliyinə yönəlmiş müstəqil həllərdir.

SIEM

SIEM (Security Information and Event Management), Təhlükəsizlik Məlumatı və Hadisə İdarəetmə sistemi təhlükəsizlik məlumatının idarə edilməsi (SIM) və təhlükəsizlik hadisələrinin idarə edilməsi (SEM) funksiyalarını bir təhlükəsizlik idarəetmə sistemində birləşdirən, şəbəkə üzrə müxtəlif son nöqtələrdən/şəbəkə cihazlarından məlumatları toplayan, onları mərkəzləşdirilmiş yerdə saxlayan bir vasitədir.

• SIEM necə işləyir?

SIEM alətləri şirkətin bütün infrastrukturunda host sistemləri tərəfindən yaradılmış hadisə və log məlumatlarını toplayır və həmin məlumatları mərkəzləşdirilmiş platformada bir araya gətirir. Host sistemlərinə proqramlar, təhlükəsizlik cihazları, antivirus filtrləri və firewalllar daxildir. SIEM alətləri məlumatları uğurlu və uğursuz girişlər, zərərli proqram fəaliyyəti və digər ehtimal olunan zərərli fəaliyyət kimi kateqoriyalara ayırır və çeşidləyir. SIEM proqramı potensial təhlükəsizlik problemlərini müəyyən etdikdə təhlükəsizlik xəbərdarlıqları yaradır. Əvvəlcədən müəyyən edilmiş qaydalar toplusundan istifadə edərək, təşkilatlar bu xəbərdarlıqları aşağı və ya yüksək prioritet kimi təyin edə bilərlər.

Məsələn, 25 dəqiqə ərzində 25 uğursuz giriş cəhdi yaradan istifadəçi hesabı şübhəli kimi qeyd oluna bilər, lakin yenə də daha aşağı prioritet olaraq təyin edilə bilər, çünki giriş cəhdləri, giriş məlumatlarını unutmuş istifadəçi tərəfindən edilmiş ola bilər.

Və ya, 5 dəqiqə ərzində 130 uğursuz giriş cəhdi yaradan istifadəçi hesabı yüksək prioritet hadisə kimi qeyd olunacaq, çünki bu, çox güman ki, davam edən brute-force hücumudur.

• SIEM niyə vacibdir?

SIEM, böyük miqdarda təhlükəsizlik məlumatlarını süzgəcdən keçirərək və proqram təminatının yaratdığı təhlükəsizlik xəbərdarlıqlarına üstünlük verməklə müəssisələrin təhlükəsizliyi idarə etməsini asanlaşdırır.

SIEM tərəfindən təmin edilən bəzi əsas xüsusiyyətlər bunlardır:

  • Real-time log toplanması və idarə edilməsi

  • Anormal fəaliyyətlərə qarşı xəbərdarlıq

  • Təhlükənin aşkarlanması və hadisəyə reaksiya

  • 24/7 Monitorinq və görünürlük

  • Erkən aşkarlama yolu ilə ən son təhlükələrdən qorunma

  • Keçmiş hadisələri araşdırmaq bacarığı

• Bazarda hər birinin özünəməxsus xüsusiyyətləri və imkanları olan bir sıra SIEM həlləri mövcuddur:

  1. Splunk

  2. IBM Qradar

  3. LogRhythm

  4. Exabeam

  5. SolarWinds Security Event Manager

  6. McAfee Enterprise Security Manager və s.

  • Nümunə və praktika üçün Splunk-a baxaq:

Splunk real vaxt rejimində şəbəkə və maşın qeydlərini (log) toplamaq, təhlil etmək və əlaqələndirmək imkanı verən bazarda aparıcı SIEM həllərindən biridir.

Splunk üç əsas komponentə malikdir, Forwarder, Indexer və Search Head

Splunk Forwarder:

Splunk forwarder müxtəlif mənbələrdən məlumat toplayan və onları emal və saxlanmaq üçün Splunk indeksləşdiricilərinə göndərən yüngül agentdir. Əsas məlumat mənbələrindən bəziləri :

  • Veb trafiki yaradan veb server;

  • Windows Event Logs , PowerShell və Sysmon məlumatlarını yaradan Windows maşını.

  • Host mərkəzli loglar yaradan Linux hostu.

  • DB əlaqə sorğuları, cavablar və səhvlər yaradan verilənlər bazası.

Splunk Indexer:

Splunk Indexer forwarder’dən ötürülən məlumatları qəbul edən, indeksləşdirən və saxlayan komponentdir. O, daxil olan məlumatlarda indeksləşdirmə əməliyyatlarını həyata keçirir, onların sürətli axtarışına imkan verir.

Search Head:

Axtarış başlığı Splunk-da məlumatların axtarışı, təhlili və vizuallaşdırılması üçün axtarışların həyata keçirilməsinə və istifadəçi interfeysinin təmin edilməsinə cavabdehdir.

İndi isə Splunk-a məlumat əlavə edərək onun işlənməsinə nəzər salaq.

Dediyimiz kimi , Splunk istənilən məlumatı qəbul edə bilər. Splunk sənədlərinə əsasən, məlumat Splunk-a əlavə edildikdə, məlumatlar işlənir və bir sıra fərdi hadisələrə çevrilir. Məlumat mənbələri hadisə qeydləri, veb sayt qeydləri, firewall qeydləri və s. ola bilər. Nümunə üçün VPN qeydlərindən istifadə edəcəyik.

  1. İlk öncə Splunk-u açaq və Add Data bölməsinə keçək:

  1. Faylı yükləmək üçün Upload seçirik, Select File dedikdən sonra içində VPN qeydlərini saxlayan VPNlogs.json faylını yükləyirik və Next - ə basırıq :

  1. Daha sonra açılan 2ci pəncərədə Source Type-ın düzgün olub-olmadığını yoxlayırıq (Əgər səhvdisə faylımıza uyğun olanı seçirik) və Next -ə basırıq:

  1. Növbəti pəncərədə Host-u adlandırıb yeni index yarat (create a new index) seçimini seçirik :

  1. Açılan yeni pəncərədə index-i adlandırıb save edirik , Default index-i dəyişərək adlandırdığımız index-i seçirik, daha sonra review butonuna basırıq :

  1. Hər şeyin düzgün olduğundan əmin olduqdan sonra Next-ə basırıq və Start Searching seçimini seçirik :

  1. Açılmış paneldə Splunk-un qruplaşdırdığı sahələri, ümumi hadisələrin sayını (burada 2862 events) , sahələrə uyğun axtarış etmək üçün Search Bar və digər seçimləri görə bilərik.

  2. Yoxlama üçün 107.3.206.58 IP ünvanından müşahidə edilən hadisələrin sayını tapaq. Bunun üçün Search hissəsinə default yazılanlardan əlavə Source_ip=”107.3.206.58” dəyərini əlavə edirik:

SOAR

Security Orchestration, Automation, and Response (SOAR) müxtəlif hadisələrə avtomatlaşdırılmış cavabları daxil etməklə İT komandalarındakı gərginliyi azaltmağa çalışır. SOAR sistemi həmçinin təşkilatın ehtiyaclarına uyğun olaraq proqramlaşdırıla bilər.

SOAR -ın SIEM -dən fərqi odurki, SOAR məlumat toplayır və SIEM-ə bənzər mərkəzləşdirilmiş platformadan istifadə edərək təhlükəsizlik qruplarına xəbərdarlıq edir, lakin SIEM yalnız təhlükəsizlik analitiklərinə xəbərdarlıqlar göndərir. SOAR təhlükəsizliyi isə cavabları avtomatlaşdıraraq onu bir addım da irəli aparır. Nümunə davranışlarını öyrənmək üçün süni intellektdən (AI) istifadə edir ki, bu da ona oxşar təhlükələri onlar baş verməzdən əvvəl proqnozlaşdırmağa imkan verir. Bu, İT təhlükəsizlik işçiləri üçün təhlükələri aşkarlamağı və aradan qaldırmağı asanlaşdırır.

SOAR necə işləyir?

SOAR-ın fərdi komponentləri - orkestrləşdirmə, avtomatlaşdırma və cavab tədbirləri - təşkilatın təhlükəsizlik qruplarının yükünü yüngülləşdirmək üçün birlikdə işləyir.

Orchestration

SOAR sistemi kibertəhlükəsizlik və İT komandalarına ümumi şəbəkə mühitinə daha vahid şəkildə müraciət etdikləri üçün səyləri birləşdirməyə imkan verir. SOAR-ın istifadə etdiyi alətlər təhdidlər haqqında daxili məlumatları və xarici məlumatları birləşdirə bilər. Komandalar daha sonra hər bir təhlükəsizlik vəziyyətinin kökündə olan problemləri müəyyən etmək üçün bu məlumatdan istifadə edə bilərlər.

Automation

SOAR-ın avtomatlaşdırma xüsusiyyətləri onu digər təhlükəsizlik sistemlərindən fərqləndirir, çünki onlar vaxt aparan və yorucu ola biləcək əl ilə addımlara ehtiyacı aradan qaldırmağa kömək edir.

Response

Həm orkestrləşdirmə, həm də avtomatlaşdırma SOAR sisteminin cavab funksiyası üçün əsas yaradır. SOAR ilə təşkilat təhlükəsizlik təhdidinə necə reaksiya verəcəyini idarə edə, planlaşdıra və əlaqələndirə bilər. SOAR-ın avtomatlaşdırma xüsusiyyəti insan səhvi riskini aradan qaldırır. Bu, cavabları daha dəqiq edir və təhlükəsizlik problemlərinin aradan qaldırılması üçün lazım olan vaxtı azaldır.

VPN

VPN (Virtual Private Network) iki və ya daha çox cihaz və ya şəbəkə arasında şəxsi şəbəkə yaratmaq üçün internet kimi ictimai şəbəkə üzərində təhlükəsiz və şifrəli əlaqə yaradan texnologiyadır. Şifrələnmiş əlaqə həssas məlumatların təhlükəsiz ötürülməsini təmin edir. O, icazəsiz şəxslərin trafikə qulaq asmasının qarşısını alır və istifadəçiyə uzaqdan iş aparmağa imkan verir. VPN texnologiyası korporativ mühitlərdə geniş istifadə olunur.

VPN necə işləyir?

VPN bağlantısı yaratmaq üçün cihazımızda quraşdırılmış VPN client lazımdır. VPN client-i işə salırıq və VPN serverinə qoşulmağa başlayırıq. Bağlantı işə salındıqdan sonra VPN client OpenVPN, IPSec və ya başqaları kimi şifrələmə protokollarından istifadə edərək cihaz və VPN serveri arasında ötürülən məlumatları şifrələyir. Şifrələmə məlumatların tranzit zamanı məxfi və təhlükəsiz qalmasını təmin edir. VPN client və server hər iki ucun qanuni və əlaqə yaratmaq üçün səlahiyyətli olmasını təmin etmək üçün autentifikasiya prosesi həyata keçirir. Autentifikasiyadan sonra VPN client və server virtual tunel yaradaraq təhlükəsiz əlaqə qurur. Bu tunel, məlumatları xarici tərəflər tərəfindən tutulmaqdan və ya müdaxilədən qoruyan xüsusi və şifrələnmiş yoldur. Cihaz və VPN serveri arasında ötürülən bütün məlumatlar bu təhlükəsiz tuneldən keçir. VPN bağlantısı qurulduqdan sonra bütün internet trafiki VPN serveri vasitəsilə yönləndirilir. VPN serverinə qoşulduqda cihaza VPN serveri tərəfindən verilən yeni IP ünvanı təyin edilir. Bu, faktiki IP ünvanını gizlədir və onu VPN serverinin IP ünvanı ilə əvəz edir. Bu, başqalarının onlayn fəaliyyətləri izləməsini və ya fiziki yerimizi müəyyən etməsini çətinləşdirir.

PROXY

Şəbəkəyə qoşulmuş hər bir kompüterin cihazı unikal şəkildə müəyyən edən IP (İnternet Protokolu) ünvanı var. Eynilə, proxy server şəbəkədə öz IP ünvanına malik kompüterdir. Ancaq bəzən biz məhdudlaşdırılan veb-saytlara və ya serverlərə daxil olmaq istəyirik və şəxsiyyətimizi (IP ünvanı) göstərmək istəmirik. Proxy server burada köməyimizə gəlir.

Proxy server

Proxy server müştəridən gələn sorğuları qəbul edən və həmin sorğuları təyinat serverinə yönləndirən internetdə kompüterdir. O, son istifadəçi ilə internet arasında bir keçid kimi işləyir. Müştəri sistemini və veb serveri qlobal şəbəkədən ayırır. Başqa sözlə, Proxy server bizə fərqli IP ünvanı olan istənilən vebsaytlara daxil olmaq imkanı verir. İstifadəçilər və hədəflənmiş veb saytlar və ya serverlər arasında vasitəçi rol oynayır. İstifadəçi sorğuları ilə bağlı məlumatları toplayır və təmin edir. Proksi serverlə bağlı ən vacib məqam onun trafiki şifrələməməsidir.

Proxy

VPN

Funksionallıq

Proxy server müştəri və hədəf server arasında vasitəçi kimi çıxış edir, müştəri adından sorğuları və cavabları yönləndirir. Proksilər keşləmə, məzmunun filtrasiyası və yük balansı kimi funksiyaları təmin edə bilər.

VPN müştəri cihazı ilə internet üzərindən şəxsi şəbəkə arasında təhlükəsiz və şifrəli əlaqə yaradır. VPN-lər məlumat ötürülməsi üçün virtual tunel təmin edir.

Məxfilik və Anonimlik

Proxy serverlər şəxsiyyəti vebsaytlardan gizlədə bilər, lakin onlar əlaqəni şifrələmir. İctimai proxy serverdən istifadə brauzer vasitəsilə veb serverə qoşulmaqdan daha az təhlükəsiz əlaqə ilə nəticələnir.

VPN-lər təhlükəsiz həll yoludur, çünki onlar məlumatı müştəriyə göndərməzdən əvvəl şifrələyir, prosesdə şəxsiyyəti internetdən və ISP(Internet Service Provider)-dən gizlədirlər.

İstifadə halları

Proksilər tez-tez məzmun məhdudiyyətlərini keçmək, geo-bloklanmış məzmuna daxil olmaq və ya keşləmə vasitəsilə şəbəkə performansını yaxşılaşdırmaq kimi xüsusi məqsədlər üçün istifadə olunur.

VPN-lər adətən özəl şəbəkələrə təhlükəsiz uzaqdan daxil olmaq, onlayn məxfiliyi qorumaq, geo məhdudlaşdırılmış məzmuna daxil olmaq və xüsusilə ictimai şəbəkələrdən istifadə edərkən internet rabitəsini təmin etmək üçün istifadə olunur.

Sürət

Proksi eyni anda bir çox insan tərəfindən istifadə edilə bilən tək bir serverdir. Bu, əlaqə sürətində gecikmələrə səbəb ola bilər. Pulsuz proxy bağlantısı daha da yavaşlaya bilər.

İstifadəçinin yerləşdiyi yerdən uzaqda olan VPN serverləri də daha yavaş əlaqə sürətinə səbəb ola bilər. Bununla belə, düzgün texnologiya və texniki xidmət protokolları olan bir VPN provayderindən istifadə etdikdə, hər hansı gecikmələr görünməz olacaq.

PreviousActive Directory HücumlarıNextŞəbəkə Təhlükəsizliyi Və Şəbəkə Təhlükəsizliyində İstifadə Olunan Cihazlar

Last updated