უკან დაბრუნება

Microsoft-ის კიბერთავდაცვითი ოპერაციების ცენტრი - საუკეთესო პრაქტიკის გაზიარება

1 მაისი 2018
Microsoft-ის კიბერთავდაცვითი ოპერაციების ცენტრი - საუკეთესო პრაქტიკის გაზიარება


წლიდან წლამდე კიბერ უსაფრთხოების სფეროში არსებული პრობლემები სულ უფრო მწვავე ხდება -  მხოლოდ 2016 წელს მსოფლიოს მასშტაბით კიბერ დამნაშავეებმა მომხმარებელთა პირად მონაცემებთან დაკავშირებული სამ მილიარდზე მეტი ჩანაწერის მოპარვა მოახერხეს. კიბერ უსაფრთხოების სფეროში ამჟამად არსებული გამოწვევების შეფასებისას ცხადი ხდება, რომ საქმე გვაქვს ჩვეული ტიპის, თუმცა გაზრდილი დონისა და ხარისხის ჰაკერულ თავდასხმებთან. თანამედროვე კრიმინალები საკუთარი დანაშაულებრივი საქმიანობის სტრატეგიას კიბერ სივრცის ლანდშაფტის ცვლილებებს არგებენ - მაგალითად, მას შემდეგ, რაც ოპერაციული სისტემების დაცვის ხარისხი გაუმჯობესდა, ჰაკერებმა სამიზნედ სხვა, ნაკლებად დაცული სისტემები და აპლიკაციები აირჩიეს.

ინტერნეტისა და ე.წ. IoT-ის (Internet of Things - ინტერნეტთან დაკავშირებული სისტემების, ინფრასტრუქტურისა და მოწყობილობების ერთობლიობა) მოცულობის ზრდასთან ერთად იქმნება მოწყობილობების სულ უფრო მეტად დაკავშირებული ქსელი, თუმცა, სამწუხაროდ, მრავალი მათგანი საკმაოდ დაუცველია ე.წ. DDoS (Distributed Denial-of-Service) შეტევების წინაშე. შესაბამისად, ინფორმაციულ ქსელში ჩართული ასეთი მოწყობილობების ჰაკერული თავდასხმის შედეგად დაზიანების პრეცედენტები საკმაოდ ხშირია. უკანასკნელ პერიოდში თავდამსხმელებმა სმარტ-ტელევიზორები და მაცივრებიც კი გამოიყენეს მავნე სპამის შემცველი მილიონობით იმეილის გასაგზავნად. გარდა ამისა, DDoS შეტევების განსახორციელებლად მათ მიერ გამოყენებულ იქნა პრინტერები და CCTV-კამერებიც.

საბედნიეროდ, Microsoft-მა შეიმუშავა უნიკალური ხედვა და მიდგომა კიბერ საფრთხეების ცვალებად სახეებთან გასამკლავებლად - არსებობს კომპანიის მიერ შექმნილი უმაღლესი დონის ინფორმაციული სისტემა, რომელიც მოიცავს 200 ღრუბლოვანი (Cloud) სერვისის, 100-ზე მეტი საინფორმაციო ცენტრის, მილიონობით მოწყობილობისა და მილიარდზე მეტი მომხმარებლის ინფორმაციის ღრუბლოვან ანაბეჭდს. ამასთან კი, კომპანია სერიოზულ ინვესტიციებს დებს სპეციალისტთა მიერ უსაფრთხოების სისტემის განვითარებაში, რაც მოიცავს სისტემის ფუნქციების დაცვას, დიაგნოსტიკასა და ხარვეზებზე რეაგირებას. ჰაკერული თავდასხმების შედეგად მოყენებული ზიანის მინიმიზაციის მიზნით Microsoft-მა განავითარა ავტომატური პლატფორმა, რომელიც Microsoft Azure-ის ნაწილია და DDoS შეტევებზე სწრაფ და ეფექტიან რეაგირებას უზრუნველყოფს. კომპანიის პროგრამული უზრუნველყოფით გაძლიერებული ქსელი სერვისსა თუ კორპორაციულ გარემოზე უშუალო თავდასხმის პირობებშიც კი შეძლებს განახლებასა და მუშაობას გადატვირთვის გარეშე, DDoS შეტევებისგან თავდაცვის პლატფორმა კი ინფორმაციის მუდმივი ანალიზის რეჟიმში მუშაობს და ფლობს თავდასხმაზე მისი გამოვლენიდან 90 წამში რეაგირების შესაძლებლობას.

2015 წლის ნოემბერში Microsoft-მა გახსნა კიბერთავდაცვითი ოპერაციების ცენტრი (CDOC), სადაც გაერთიანდნენ კომპანიის წამყვანი სპეციალისტები კიბერ უსაფრთხოების დარგში კიბერ კრიმინალთა წინააღმდეგ 24-საათიან რეჟიმში საბრძოლველად.

ცენტრის გახსნიდან ერთი წლის შემდეგ უკვე შემუშავებულია დახვეწილი მეთოდოლოგია კიბერ საფრთხეების გამოვლენის, იდენტიფიცირებისა და აღკვეთისათვის. ამასთან, ცენტრმა საკუთარი გამოცდილება გაუზიარა საწარმოებისა და კომპანიების ათასობით წარმომადგენელს. დღეს, Microsoft უკვე გვთავაზობს ხსენებული ცენტრის სტრატეგიის შემცირებულ ვარიანტს, რომელიც სწორედ კიბერ საფრთხეებისგან რეალურ დროში თავდაცვას, მათ გამოვლენასა და მათზე რეაგირებას ეხება.

აღსანიშნავია, რომ კომპანია თავის უპირველეს ვალდებულებად სწორედ იმ კომპიუტერული გარემოს დაცვას მიიჩნევს, რომლითაც უამრავი მომხმარებელი და თანამშრომელი სარგებლობს, შესაბამისად, კომპანიის ღრუბლოვანი ინფრასტრუქტურის, სერვისების, პროდუქტების, მოწყობილობებისა და შიდაკორპორატიული რესურსების უსაფრთხოება და მოქნილობა უმნიშვნელოვანეს ამოცანას წარმოადგენს. საბოლოო ჯამში, Microsoft-ის თავდაცვითი ტაქტიკა შემდეგ ნაწილებს მოიცავს:

  • ინტენსიური მონიტორინგი და კონტროლი კომპანიის გლობალურ საინფორმაციო ცენტრების ფიზიკურ გარემოზე, რაც მოიცავს სივრცის კამერებით მეთვალყურეობას, პერსონალის შემოწმებას, ფიზიკური წვდომისთვის მრავალფაქტორულ ავტორიზაციას და ა.შ.
  • სპეციალური პროგრამული უზრუნველყოფით გაძლიერებული ქსელების საშუალებით ღრუბლოვანი ინფრასტრუქტურის დაცვა სისტემაში შეჭრისა და DDoS შეტევებისგან.
  • მულტიფაქტორული იდენტიფიკაციის სისტემის ჩართვა ინფრასტრუქტურაში წვდომის მართვის კონტროლისათვის;
  • არამუდმივი ადმინისტრაციული წვდომა „პრივილეგიები“ - საინჟინრო თანამშრომელთა შტატისათვის ინფრასტრუქტურაზე JIT (Just-in-time)  და JEA (Just-Enough-Administrator) წვდომის დაწესება, რაც თანამშრომელთათვის ქმნის წვდომის უნიკალურო კოდების კომპლექტს, რომელთა მოქმედებაც ავტომატურად წყდება წინასწარ დაგეგმილი ხანგრძლივობის ამოწურვის შემდეგ.
  • საფუძვლიანი კიბერ ჰიგიენა მკაცრად კონტროლდება მუდმივად განახლებადი, ანტივირუსული პროგრამის, მაქსიმალურად ზუსტი პატჩინგისა და კონფიგურაციების მართვის გამოყენებით;
  • Microsoft-ის ვირუსებისგან თავდაცვის ცენტრის მკვლევართა გუნდი ახდენს ვირუსების იდენტიფიცირებას, რეკონსტრუირებასა და ამგვარი ვირუსული სიგნატურების მთელ ინფრასტრუქტურასა და სისტემაში გავრცელებას საფუძვლიანი თავდაცვის შესახებ ინფორმაციის გავრცელების მიზნით. ეს სიგნატურები ხელმისაწვდომია მილიონობით მომხმარებლისათვის, რომლებიც კომპანიის მიერ შეთავაზებულ ანტივირუსულ პროგრამებს იყენებენ.
  • Microsoft-ის უსაფრთხოების განვითარების „სასიცოცხლო ციკლი“ გამოიყენება ერთი მხრივ, ყველა აპლიკაციის, ონლაინ-სერვისისა და პროდუქტის უსაფრთხოების გასამყარებლად, მეორე მხრივ კი, მათი ეფექტიანობის მუდმივად გამოსაცდელად შეღწევადობის ტესტებისა და ხარვეზების სკანირების საშუალებით.
  • საფრთხეების მოდელირება და შეტევათა ზედაპირის ანალიზი იძლევა იმაში დარწმუნების საშუალებას, რომ როგორც პოტენციური საფრთხეები, ასევე სერვისების დაუცველი ასპექტები ჯეროვნად ფასდება, საბოლოოდ კი შეტევათა ზედაპირი მინიმიზირდება სერვისების შეზღუდვისა და არასაჭირო ფუნქციების გათიშვის საშუალებით.
  • ინფორმაციის დახარისხება მისი მნიშვნელობის მიხედვით - მაღალი, საშუალო და დაბალი გავლენის მქონედ - და შესაბამისი ზომების მიღება ამ ინფორმაციის დასაცავად, კოდირების გამოყენებითა და „ნაკლებად პრივილეგირებული წვდომის“ პრინციპის გაძლიერებით მთლიანი სისტემის დამატებით დაცვას უზრუნველყოფს.
  • ცნობიერების ამაღლების მიზნით ჩატარებული ტრენინგები ხელს უწყობს მომხმარებლებსა და უსაფრთხოების სპეციალისტებს შორის სანდო ურთიერთობების დამყარებას, რის შედეგადაც იქმნება იმგვარი კიბერ სივრცე, რომელშიც მომხმარებლები ყოველგვარი შიშისა თუ ორჭოფობის გარეშე ატყობინებენ სპეციალისტებს ინციდენტებისა და ანომალიების შესახებ.

ყოველივე ზემოთქმული ცხადყოფს, რომ კონტროლის საკმაოდ კომპლექსური და დახვეწილი მექანიზმი თავდაცვის სიღრმისეულ სტრატეგიასთან ერთად იძლევა რომელიმე არეში „ჩავარდნის“ შემთხვევაში სხვა არეებში კონტროლის კომპენსაციით მომხმარებელთა პირადი მონაცემების, ღრუბლოვანი სერვისებისა და ინფრასტრუქტურის დაცვის საშუალებას.

გარდა ამისა, Microsoft მოქმედებს ე.წ. „თავდასხმის დაშვების“ პრინციპის მიხედვით, რაც გულისხმობს იმას, რომ მიუხედავად უსაფრთხოების სისტემის გამართულად მოქმედებისა, კომპანიის კიბერ უსაფრთხოების სტრუქტურის წარმომადგენელები მაინც უშვებენ შესაძლებლობას, რომ დამნაშავეებმა სცადონ ან მოახერხონ სისტემაში შეღწევა. ამ შემთხვევაში საკვანძო მნიშვნელობა ექნება თავდასხმის მყისიერ იდენტიფიკაციასა და დროულ აღკვეთას. Microsoft-ის საფრთხის იდენტიფიკაციის/გამოვლენის ტაქტიკა შემდეგ ნაწილებს მოიცავს:

  • ქსელისა და ფიზიკური გარემოს მუდმივი მონიტორინგი პოტენციური კიბერუსაფრთხოებითი მოვლენებისათვის.
  • პიროვნებისა და ქცევის ანალიზის მეთოდების განვითარება ნებისმიერი სახის ნორმიდან გადახრილი აქტივობის დასაფიქსირებლად.
  • ტექნიკურ მოწყობილობათა/მანქანების შესწავლის პროგრამები მუდმივად გამოიყენება გადაცდენების აღმოჩენისა და აღკვეთისათვის.
  • სიღრმისეული ანალიზის მეთოდები და საშუალებები უზრუნველყოფს ანომალიური აქტივობის იდენტიფიცირებასა და ინოვაციური ურთიერთქმედების შესაძლებლობების შესწავლას.
  • პროგრამებზე დაფუძნებული ავტომატური პროცესები, რომლებიც განუწყვეტლივ შემოწმებასა და განვითარებას განიცდის ეფექტიანობის ზრდის მიზნით.
  • მონაცემთა მკვლევრები და უსაფრთხოების სპეციალისტები მხარდამხარ განუწყვეტლივ იკვლევენ იმ მოვლენებს, რომლებიც უჩვეულო ნიშნებით ხასიათდება და სიღრმისეულ შესწავლას მოითხოვს, რის შემდეგაც ამ მოვლენებზე პოტენციური რეაგირების მექანიზმებსაც შეიმუშავებენ.

   სისტემაში უჩვეულო აქტივობის ან გადაცდენის გამოვლენისთანავე საქმეში ერთვება Microsoft-ის რეაგირების გუნდი. რეაგირების ტაქტიკა შემდეგ ნაწილებს მოიცავს:

  • ავტომატური რეაგირების სისტემები, რომლებიც რისკზე დაფუძნებულ ალგორითმებს იყენებენ იმ მოვლენების მოსანიშნად, რომლებიც ადამიანთა ჩარევას საჭიროებს.
  • საკითხის/პრობლემის არსის ექსპერტიზა უსაფრთხოების სხვადასხვა არეში სპეციალისტთა მიერ, კრიზისების მართვისა და შემოღწევის ანალიზის ჩათვლით, გარდა ამისა კი პლატფორმების, სერვისებისა და აპლიკაციების თავისებურებების შესახებ არსებული მონაცემები, რომელიც საინფორმაციო ცენტრებში ინახება, ინციდენტებზე რეაგირების საკმაოდ მრავალფეროვან შესაძლებლობებს ქმნის.
  • ფართო ძებნის წარმოება როგორც ღრუბლოვან, ასევე ჰიბრიდულ მონაცემებსა და სისტემებში ინციდენტის არეალის დაფიქსირების საშუალებას იძლევა.
  • ღრმა ანალიზი მნიშვნელოვანი საფრთხეების არსებობისას სპეციალისტთა მიერ ხორციელდება და პრობლემის სწრაფ ლოკალიზებასა და აღმოფხვრას ისახავს მიზნად.
  • Microsoft-ის უსაფრთხოების პროგრამული საშუალებები, ავტომატიზაცია და  უმაღლესი დონის ღრუბლოვანი ინფრასტრუქტურა უსაფრთხოების ექსპერტებს კიბერ თავდასხმების აღმოჩენის, გამოძიების, გაანალიზების, რეაგირებისა და თავდასხმის შემდეგ სისტემის სრულფასოვანი აღდგენის ამოცანებს საგრძნობლად უმარტივებს და ამ ამოცანების შედარებით მცირე დროში გადაჭრის საშუალებას აძლევს.

საბოლოო ჯამში, ამ მოკლე სტრატეგიულ დოკუმენტში მოიძებნება უამრავი სასარგებლო ინფორმაცია და რჩევა. Microsoft მომხმარებლებს დოკუმენტის სრული მოცულობის გადმოწერის უფლებასაც აძლევს, რათა მათ უკეთ დაინახონ, თუ როგორ მუშაობს კომპანიის კიბერ უსაფრთხოების გუნდი სისტემის თავდაცვის, პრობლემების გამოვლენისა და მათი გადაჭრის ამოცანების შესრულებისას. ამასთან, Microsoft-ის მიერვე რეკომენდებულია Microsoft Secure-ის ვებ-გვერდის მონახულებაც, სადაც ადამიანებს შეუძლიათ კიდევ უფრო მეტი ინფორმაცია მიიღონ კომპანიის მიერ საკუთარი პროდუქტებისა და სერვისების უსაფრთხოების უზრუნველყოფის პროცესებთან დაკავშირებით. 

წყარო : blogs.microsoft.com

მსგავსი აქტივობები