DevOps offers plenty of efficiencies, but it’s no guarantee of business success. Here are three common challenges that require more than just a solid DevOps strategy

Welcome to the Four Js Website - - Genero programming: Genero is a development and deployment infrastructure designed to boost developer productivity.

решение класса NTA может достаточно легко выявить такого рода утечки по превышению некоего порогового значения объема скачиваемой с базы данных информации. Дальше я покажу как это все настраивается и обнаруживается с помощью решения Cisco Stealthwatch Enterprise.

После того, как мы имеем информацию обо всех серверах баз данных, мы начинаем расследование с целью выяснить, не осуществляется ли у нас утечка больших объемов данных с нужной группы узлов. Мы видим, что в нашем случае БД наиболее активно общаются с DHCP-серверами и контроллерами доменов.

Злоумышленники часто устанавливают контроль над каким-либо из узлов сети и используют его в качестве плацдарма для развития своей атаки. На уровне сетевого трафика это выглядит как аномалия — учащается сканирование сети с этого узла, осуществляется захват данных с файловых шар или взаимодействие с какими-либо серверами. Поэтому наша следующая задача понять, с кем конкретно чаще всего общаются наши базы данных.

В группе DHCP-серверов оказывается, что это узел с адресом 10.201.0.15, на взаимодействие с которым приходится около 50% всего трафика от серверов баз данных. Следующий логичный вопрос, который мы себе задаем в рамках расследования: “А что это за узел такой 10.201.0.15? С кем он взаимодействует? Как часто? По каким протоколам?”

Выясняется, что интересующий нас узел общается с различными сегментами и узлами нашей сети (что немудрено, раз это DHCP-сервер), но при этом вопрос вызывает излишне активное взаимодействие с терминальным сервером с адресом 10.201.0.23. Нормально ли это? Налицо явно какая-то аномалия. Не может DHCP-сервер столь активно общаться с терминальным сервером — 5610 потоков и 23,5 ГБ данных. И взаимодействие это осуществляется через NFS.

Делаем следующий шаг и пытаемся понять, с кем взаимодействует наш терминальный сервер? Оказывается, что у него достаточно активное общение идет с внешним миром — с узлами в США, Великобритании, Канаде, Дании, ОАЭ, Катаре, Швейцарии и т.п.

Подозрение вызвал факт P2P-взаимодействия с Пуэрто-Рико, на которое пришлось 90% всего трафика. Причем наш терминальный сервер передал более 17 ГБ данных в Пуэрто-Рико по 53-му порту, который у нас связан с протоколом DNS. Вы можете себе представить, чтобы у вас такой объем данных передавался по DNS? А я напомню, что согласно исследованиям Cisco, 92% вредоносных программ используют именно DNS для скрытия своей активности (загрузки обновлений, получения команд, слива данных). И если на МСЭ DNS-протокол не просто открыт, но и не инспектируется, то мы имеем огромную дыру в нашем периметре.
...
А нас сейчас интересует, что мы будем делать с выявленными нарушениями политики безопасности? Можно регулярно проводить анализ согласно приведенной выше схемы, а можно настроить политику NTA таким образом, чтобы он сразу сигнализировал при обнаружении схожих нарушений. Делается это либо через соответствующее общее меню, либо для каждого выявленного в процессе расследования соединения.

Вот как будет выглядеть правило обнаружения взаимодействия, источником которого являются сервера баз данных, а пунктом назначения любые внешние узлы, а также любые внутренние, исключая Web-сервера.

В случае обнаружения такого события система анализа сетевого трафика сразу генерит соответствий сигнал тревоги и, в зависимости от настроек, отправляет его в SIEM, с помощью средств коммуникаций администратору, или может даже автоматически блокировать выявленное нарушение (Cisco Stealthwatch это делает за счет взаимодействия с Cisco ISE).

Abstract—The increasingly sophisticated Advanced Persistent
Threat (APT) attacks have become a serious challenge for enterprise IT security. Attack causality analysis, which tracks multi-hop
causal relationships between files and processes to diagnose attack
provenances and consequences, is the first step towards understanding APT attacks and taking appropriate responses. Since
attack causality analysis is a time-critical mission, it is essential
to design causality tracking systems that extract useful attack
information in a timely manner. However, prior work is limited
in serving this need. Existing approaches have largely focused on
pruning causal dependencies totally irrelevant to the attack, but
fail to differentiate and prioritize abnormal events from numerous
relevant, yet benign and complicated system operations, resulting
in long investigation time and slow responses.
To address this problem, we propose PRIOTRACKER, a backward and forward causality tracker that automatically prioritizes
the investigation of abnormal causal dependencies in the tracking
process. Specifically, to assess the priority of a system event, we
consider its rareness and topological features in the causality
graph. To distinguish unusual operations from normal system
events, we quantify the rareness of each event by developing
a reference model which records common routine activities in
corporate computer systems. We implement PRIOTRACKER, in
20K lines of Java code, and a reference model builder in 10K lines
of Java code. We evaluate our tool by deploying both systems in
a real enterprise IT environment, where we collect 1TB of 2.5
billion OS events from 150 machines in one week. Experimental
results show that PRIOTRACKER can capture attack traces that
are missed by existing trackers and reduce the analysis time by
up to two orders of magnitude.

Normal humans can now buy one of these almost directly...

Examples of OPEX include employee salaries, rent, utilities, property taxes, and cost of goods sold (COGS).