Откриване на атака, преди да ви струва скъпо

Мониторингът на ИТ инфраструктурата ви за събития, свързани с киберсигурността, ви помага да видите какво се случва в мрежата ви и да откриете атака, преди да се превърне в инцидент, който може да струва много на бизнеса ви.

Atlant Security’s
Мониторинг на киберсигурността
Услугите помагат на малките предприятия да виждат всяка подозрителна дейност, която се случва в тяхната мрежа. Те могат да отговорят на най-важния въпрос в областта на мониторинга на сигурността: “какво се случва с нашите цифрови активи през последните 24 часа?”

Изтеглете нашия информационен лист за мониторинг на киберсигурността

PDF, 322 KB

Какво представлява мониторингът на киберсигурността?

Мониторингът на киберсигурността се състои от набор от процеси, които позволяват на предприятията да наблюдават своята мрежова инфраструктура или цифрови активи, да откриват аномалии и да реагират бързо на заплахи.

Как мониторингът на киберсигурността може да помогне на вашия бизнес?

  • Тя ви помага да защитавате данните на клиентите и да откривате навреме атаки за киберсигурност.
  • Мониторингът на киберсигурността ви помага да идентифицирате и отстранявате уязвимостите в сигурността, преди те да бъдат използвани от нападателите.
  • Намаляване на техническите престои по време на ежедневните дейности.
  • Контрол на щетите: Ако някога бъдете нападнати, можете да се възстановите бързо, без да претърпите големи загуби.
  • Съобразявайте се с променящите се правила и разпоредби.

Защо да изберете нашата услуга за мониторинг на киберсигурността?

Нашият екип за мониторинг на киберсигурността е част от най-добрите консултантски отдели за киберсигурност на тази планета.

Преди да основе Atlant Security, нашият основател Александър е бил част от консултантския екип по сигурността на Microsoft. Цената за работа на клиентите с консултантския екип на Microsoft е висока – затова решихме да променим това. Имате възможност да работите с най-добрите на много достъпна цена.

Постигаме това, като използваме експертния опит на един звезден експерт за обслужване на няколко клиенти, вместо да го използваме като служител на пълен работен ден само в една компания.

Като използваме принципа на икономиите от мащаба, ние предоставяме на клиентите си най-доброто в областта на мониторинга на киберсигурността, без да жертваме нищо.

work with us

Услугите за мониторинг на киберсигурността на Atlant Security включват:

Мониторинг на влизането и удостоверяването

Имало ли е влизания от странни места? Опити за влизане в системата, показващи продължаваща атака? Има ли някой достъп до нещо, което не би трябвало да има?

Текущо наблюдение на атаките

Услугата ни за мониторинг на киберсигурността включва проверка на контрола за смекчаване на последиците от 17 вида кибератаки: компрометиране на акаунти, неоторизиран достъп, софтуер за откуп, проникване в мрежата, заразяване със злонамерен софтуер, саботаж, нарушаване на политиката за сигурност и др.

Мониторинг на операционната система

Най-важният въпрос за мониторинг на сигурността, на който трябва да отговаряте всеки ден: случило ли се е нещо подозрително на някой компютър в мрежата ви през последните 24 часа?

Мониторинг на сигурността в облака

Microsoft 365 има над 280 настройки за сигурност. Уеб услугите на Amazon и Azure разполагат със стотици опции за конфигуриране на сигурността. Наблюдавате ли техните промени с течение на времето? Нашата услуга за наблюдение на киберсигурността се грижи за това вместо вас.

Мониторинг на сървъра

Помагаме на нашите клиенти да изграждат видимост на ИТ инфраструктурата си, като внедряват мониторинг на сървъри и мрежови устройства, мониторинг на настолни компютри, мониторинг на сигурността на мрежи и уеб услуги, мониторинг на резервни копия и много други.

Мониторинг на уязвимостите

Колко уязвими машини/приложения може да има една компания в своята мрежа?
Нашите услуги за мониторинг на киберсигурността помагат на клиентите ни да създадат и управляват програма за управление на уязвимостите, която постепенно ще намали уязвимостите в мрежата им.

Мониторинг на имейли и комуникации

Получаването на достъп до корпоративен акаунт може да даде на хакера достъп и до всички вътрешни системи. Защитаваме нашите клиенти, като им помагаме да наблюдават и откриват пробив веднага след като се случи и преди да бъдат нанесени сериозни щети.

Откриване на инциденти

Симулацията на нарушения е неразделна част от всяка програма за информационна сигурност. Клиентите ни могат да разчитат на нас, за да ги подкрепим при започването, изпълнението и приключването на теста за проникване.

Мониторинг на отдалечен достъп

Сигурната работа от вкъщи е един от аспектите на отдалечения достъп, но ние се грижим и за партньорите от трети страни и за служителите, доставчиците и гостите, наети от външни изпълнители. Отдалеченият достъп до данни не се ограничава само до VPN.

Открийте над 17 атаки с нашите услуги за мониторинг на киберсигурността

Има 17 вида of cybersecurity attacks used by hackers regularly. Единственият начин да откриете, че един или няколко от тях се използват срещу вашия бизнес днес, е да въведете мониторинг на киберсигурността.

ИТ отделите обикновено са наясно с 3 или най-много 4 от тях – фишинг (кражба на идентификационни данни чрез фалшиви формуляри и страници за влизане), зловреден софтуер, отгатване на пароли (груба сила) и DDoS (разпределен отказ на услуга). Дори когато са наясно с тях, те често не знаят как да ги открият или да конфигурират правилните инструменти за регистриране и одит за откриване и намаляване на шума.

Повечето малки предприятия са обект на хакерски атаки, защото ИТ отделите им не са запознати с 14 от 17-те вида атаки, посочени по-горе! Нашите услуги за мониторинг на киберсигурността ви помагат да откривате всички 17 вида кибератаки и други нови, които се появяват.

cyber security monitoring services
security awareness monitoring and cyber threat monitoring

Мониторинг на киберсигурността в облака за малки предприятия

Microsoft 365 е най-широко използваната услуга в облака (преди наричана Office 365), но и най-подценяваната, особено когато става въпрос за нейната защита!

Виждате, че повечето настройки за сигурност, достъпни за клиентите при закупуване на лиценз, са изключени по подразбиранеи повечето възможни конфигурации на политики не са разрешени.

За да осигурят най-високо ниво на използваемост за най-значителния процент фирми, те оставят половината от настройките за сигурност деактивирани – но ако трябва да защитите изключително поверителни данни или сте обект на атака, настройките по подразбиране не са достатъчни.

С повече от 280 настройки за сигурност само в офертата за продуктивност на имейл и офис пакет в облака и стотици много подробни политики за конфигуриране, нашият екип от квалифицирани експерти по сигурността е най-добрият избор за вас.

Обучение на служителите за повишаване на осведомеността за киберсигурността

Всички знаем как хората преминават обучението за информираност за сигурността. Натискат следващия бутон, повтарят, – готово! И след няколко минути хората не си спомнят нищо – но компанията е отговаря на изискванията.

Интересува ли се хакерите дали спазвате изискванията? Силно съмнително.

Нашият екип непрекъснато тества и следи осведомеността на всички ваши служители със симулации на социално инженерство и хакерство, като регистрира постепенното подобрение и редовно докладва.

security awareness monitoring and cyber threat monitoring

Защитете бизнеса си с проактивно откриване на атаки

Не чакайте да станете жертва, преди да сте въвели стратегия за мониторинг на киберсигурността.

ЧЕСТО ЗАДАВАНИ ВЪПРОСИ

Нуждае ли се вашата компания от мониторинг на влизането и удостоверяването?

“Вече наблюдаваме системите си и сме активирали функцията за водене на дневници.”

Всеки ИТ отдел ни дава този отговор, когато го попитаме дали се нуждае от външна помощ за конфигурацията на мониторинга на сигурността.

Просто погледнете тази графика. Всяка от тези компании имаше ИТ екип и всяка от тях твърдо вярваше в способността на своя ИТ екип да открие атака, преди тя да се превърне в инцидент.

Има един проблем с това убеждение: то е погрешно. ИТ екипите имат минимален опит в областта на атаките и защитата на киберсигурността методологии. Тяхната задача е да изграждане на инфраструктура и да я поддържате в действие., както във всяка страна има строителна индустрия.

Смятаме, че това обикновено се случва, преди компанията да бъде хакната – нейният ИТ отдел поема отговорността за защитата. Това неминуемо води до пробив в сигурността, в 100% от случаите.

Имам ли нужда от управление на логовете?

Ако имате нужда да поработите върху тази тема, ви предлагам да прочетете книгата на Антон Чувакин – Logging and Log Management: Авторитетното ръководство за разбиране на концепциите, свързани с логването и управлението на логове. Тя ми помогна изключително много в няколко проекта и бих искал да споделя факта, че това е изключително полезна книга.

Освен това искаме да споделим няколко идеи, които могат да ви бъдат полезни и които не са включени в горната книга.

Преди дори да започнете да събирате логове, трябва да разберете средата си. Ето защо одитите и оценките са полезни. Но това не е всичко – трябва да знаете колко данни произвеждат устройствата ви във формат на дневник всяка секунда, минута, час, 24 часа – след това трябва да разберете как да оптимизирате какво се записва и какво не.

Лесно е да се изгубите в количеството информация за регистриране, генерирана от всяко от вашите устройства, особено ако ги добавите всички наведнъж към SIEM (дори ако добавите само сървъри/комутатори и защитни стени и пропуснете настолните компютри).

Според нашия опит най-шумните устройства са системите Windows – особено контролерите на домейни и пощенските сървъри. На второ място са прокси сървърите и защитните стени.

За да разберете как работи регистрирането в среда на Microsoft, ви предлагам да прочетете тези две връзки:

След като сте прочели горното и сте разбрали разликата между основната и разширената конфигурация на политиката за одит, преминете към следващата връзка:

В него подробно се обясняват промените, които трябва да направите, за да имате оптимизирана за откриване среда за регистриране. Също така се подчертава към кои EventIDs трябва да се насочите.

За да почистите дневниците си и да събирате само това, което е необходимо, трябва да знаете какво може да бъде изхвърлено. За да разберете какво се регистрира, добра идея е да експортирате дневниците от най-шумния си сървър за един ден в CSV файл, да го отворите в Excel и да филтрирате по EventID. Трябва да е лесно да се разграничи чрез процент кои събития се случват най-често и кои не.

В един от случаите виждах хиляди събития в секунда с думата “Filtering engine”. Оказа се, че регистрирането на пакети е включено и всеки мрежов пакет, преминаващ през вътрешната защитна стена на Windows, се регистрира! Можете да си представите броя на дневниците, генерирани от този сървър на час, и полезността на тези дневници.

За съжаление такова ниво на детайлност може да доведе до невъзможност за работа на SIEM и на хранилището ви – и трябва да внимавате много какво записвате и какво изхвърляте.

Ако искате да започнете добре конфигурирането на SIEM, можете да го настроите да регистрира събитията, както в книгата, която споменахме по-рано: “Spotting the Adversary with Windows Event Log Monitoring” на NSA – и да разширите обхвата до други системи/събития, след като сте сигурни, че сте се справили с този въпрос. Не включвайте SIEM и всичките си устройства към него по един безразборен начин – всичките ви пари, похарчени за съхранение и SIEM, ще отидат напразно, ако системата не е оптимизирана и настроена за ефективност.

Ще ви бъде от полза, ако се съсредоточите и върху следните събития:

  • 4688 Създаване на процес (след преминаване към Одит на процеси от командния ред и активиране на регистрирането)
  • 4663 Одит на файлове/регистри
  • 4075 Създадена услуга
  • 4070 Променена услуга
  • 4624 Успешно влизане на потребителя
  • 5140 Достъпен дял

(Списъкът е взет от http://www.slideshare.net/Hackerhurricane/ask-aalware-archaeologist)

Същият процес може и трябва да се повтори за всички системи/устройства. Включете дадено устройство към решението си SIEM, след като сте разбрали напълно формата на регистриране, който то използва, количеството/вида на събитията и начина, по който можете да настроите броя на подробностите в тези регистри.

Можете да намерите отличен набор от ръководства за конфигуриране на Windows Logging туксъщо така.

Инструменти

Тези връзки ще ви бъдат полезни по време на работата ви по оптимизиране на средата за регистриране.

http://sourceforge.net/projects/syslogserverwindows/

http://sourceforge.net/projects/nxlog-ce/

LogExpert – особено този!

Един от любимите ми инструменти за бърз анализ и филтриране на дневници е Mandiant Highlighter.