As organizações estão mudando sua infraestrutura de TI do local para a nuvem para obter vantagens em custo, produtividade e tempo de atividade. Embora as ofertas de nuvem sejam geralmente altamente seguras, a possibilidade de um ciberataques no Azure não deve ser negligenciada. Afinal, à medida que o número de organizações migrando para a nuvem aumenta, isso traz seu próprio conjunto de desafios de segurança.
A popularidade dos servidores Linux cresceu recentemente, chamando a atenção dos hackers. À medida que as técnicas de detecção avançam, os invasores adotam métodos novos para não serem detectados e cumprir seus motivos nefastos.
Identificando o ataque
Detectar e interromper ataques são vitais para garantir a segurança dos dados. Para detectar ataques cibernéticos com eficiência, é importante ficar atento às atividades que acontecem em sua rede.
Por exemplo, após um ataque de força bruta inicial bem-sucedido do Secure Socket Shell (SSH), o invasor entrega uma carga útil adicional ao host baixando scripts. Quando concluído, o invasor continua a se mover lateralmente, acessando dados confidenciais.
O invasor então lista vários URLs para executar scripts e encontra um IP ativo para hospedar. Esse processo permite que os invasores façam alterações no diretório e desativem a rede. A maioria dessas explorações é realizada na pasta /temp no diretório.
Um indicador comum para esses tipos de ataques é a mudança repentina na quantidade de tráfego. O monitoramento do tráfego de rede, portanto, ajuda a identificar possíveis ataques e a manter os hackers afastados.
Combate aos ataques
Existem métodos comuns que os invasores seguem para obter acesso à rede. No entanto, os ataques direcionados são feitos sob medida com base nas informações confidenciais do sistema de segurança sobre a organização que o invasor possui.
Uma das melhores maneiras de combater um ataque é empregar uma solução para monitorar sua infraestrutura de nuvem, execução de scripts, uso anormal de CPU, logons suspeitos etc. Essa ferramenta abrangente também deve detectar atividades, como download de arquivos suspeitos, e fornecer informações e alertas em tempo real, além de relatórios abrangentes que auxiliam na conformidade regulatória.
Aqui estão alguns recursos básicos que sua solução deve incluir:
-
Identificação de vetores e indicadores de ataque comuns
-
Detecção de alterações de configuração e permissão
- Correlacionamento eventos de segurança
Como o Log360 pode ajudar?
O ManageEngine Log360, uma ferramenta abrangente de monitoramento de SIEM e nuvem, identifica e mitiga ameaças com rapidez e eficiência. Com alertas em tempo real e relatórios prontos para uso, esta solução ajuda a proteger sua plataforma de nuvem contra agentes de ameaças.
A solução monitora as atividades da rede e fornece informações detalhadas aos administradores de TI com base nas ações necessárias para mitigar o impacto de um ataque.
O Log360 fornece relatórios sobre atividades do usuário, alterações de permissão, bancos de dados, DNS e muito mais em seu ambiente do Azure.
Por exemplo, quando um usuário faz várias tentativas de login malsucedidas seguidas de um login bem-sucedido, o Log360 alerta o administrador de TI. O administrador de TI, por sua vez, pode gerar um relatório de logins com falha recente que ajuda a identificar usuários mal-intencionados.
A solução fornece vários relatórios sobre o tráfego de rede, como Relatórios de Fluxo Negado, Relatórios de Fluxo Permitido, Todos os Eventos de Tráfego NSG, etc. Ela também monitora as alterações de permissão de IP que podem ser um sinal de falsificação de IP, na qual o invasor tenta representar um endereço IP legítimo usando mensagens ARP (Address Resolution Protocol) falsificadas.
O Log360 também é capaz de monitorar máquinas virtuais (VMs) criadas no Azure. Ademais, a solução fornece relatórios abrangentes sobre eventos como criação, exclusão, modificação, etc. de VMs.
Experimente uma avaliação gratuita de 30 dias do Log360 para testar esses recursos por conta própria ou agende uma demonstração gratuita com um de nossos especialistas em produtos.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Raghav Iyer S.
