Ретроспектива карьеры в области кибербезопасности: мой личный опыт

Dec 03 2022

Когда я чему-то учусь, я прохожу определенный познавательный процесс; это процессы, которые привели меня к написанию этого блога. Это мой метод.

Когда я чему-то учусь, я прохожу определенный познавательный процесс; это процессы, которые привели меня к написанию этого блога.

Это мой метод.
Вы понимаете концепцию?
Как следует применять эту концепцию?
Применять принцип последовательно?
Что мы можем вынести из этой встречи?

Схватывание концепции.

Azure Sentinel (SIEM) и подключил его к действующей виртуальной машине, которая служила приманкой. Наблюдение за атаками в реальном времени (RDP Brute Force) со всего мира. Используйте пользовательский сценарий PowerShell, чтобы получить данные о геолокации злоумышленника и нанести их на карту Azure Sentinel!

Как следует применять эту концепцию?

Создание приманки и наблюдение за дальнейшими действиями злоумышленника возможно с помощью Azure Sentinel (SIEM), входа в RDP на виртуальной машине, а также начала выполнения API и сценария Powershell на виртуальной машине и наблюдения за атакой методом грубой силы злоумышленника.

Когда злоумышленники пытались получить доступ к приманке, они использовали User и Admin в качестве имен пользователей в различных формах. Сбор информации, такой как страна, город, штат, провинция, IP-адрес, долгота и широта, для точного определения злоумышленников.

Это помогает нам решить, что делать дальше с собранными данными.

Применять принцип последовательно?

Чтобы последовательно применять принцип, я хотел испытать кибератаки, чтобы, когда я начал работать аналитиком SOC, я знал, почему и как использовать Microsoft Sentinel (SIEM), это помогает мне понять, как выглядит атака и как исправить проблему. .

Я использовал Цикл анализа киберугроз;

Я расскажу об этом более подробно в другом блоге, но в этом я воспользуюсь первым шагом.

Шаг 1: Требовать

Что движет злоумышленниками и кто они?

Злоумышленники из разных стран нацелились на приманку из-за легкости доступа к ней из-за отсутствия безопасности, особенно из-за того, что брандмауэр был отключен. Большой тройкой были Эфиопия, Китай и Тайвань.

Чтобы использовать иллюстрацию, если грабитель находится в вашем районе и ваш дом уязвим — то есть нет сигнализации, окна открыты, а двери незаперты — есть возможность для вора.

Какова поверхность атаки?

Атака представляла собой атаку грубой силы через RDP-порт 3389.

Какие конкретные действия следует предпринять, чтобы усилить их защиту от будущих атак?

При настройке машин, будь то в виртуальной или физической среде, брандмауэр включается. При наблюдении количество атак с использованием слов «имя пользователя» или «администратор» при попытке войти в приманку было астрономическим. для усиления защиты, когда речь идет о атаках грубой силы, путем создания имен пользователей и паролей в соответствии с приемлемыми процедурами кибербезопасности.

Что мы можем вынести из этой встречи?

Самым важным выводом было изучение Microsoft Azure — SIEM, как это упражнение начиналось как синяя команда, отслеживающая, что делает злоумышленник, как быстро она может превратиться в красную команду, собирая данные и преследуя злоумышленника, и я считаю, что это почему Кибербезопасность очаровала меня тем, что она может быть настолько гибкой в том, как вы имеете дело с злоумышленником и собираете информацию, чтобы определить основанное на результатах решение о том, что делать дальше.

Резюме

В этой статье блога мы будем использовать данные геолокации, чтобы найти злоумышленников, собрав такую информацию, как город, штат, провинция, IP-адрес, долгота и широта.

Эфиопия, Китай и Тайвань были тремя наиболее распространенными странами, координировавшими атаки методом грубой силы с использованием RDP-порта 3389.

Количество атак, пытающихся получить доступ к приманке с использованием слов «имя пользователя» или «администратор», было поразительным.

Пользователи должны усилить свою кибербезопасность, создав имена пользователей и пароли в соответствии с приемлемыми процедурами кибербезопасности.

Кибербезопасность 101 совет

❑ Всегда используйте защитный пароль длиной не менее 16 символов, состоящий из строчных и прописных букв, цифр и специальных символов.

❑ Используйте хранилище паролей для хранения и отслеживания всех ваших паролей.

❑Используйте многофакторную аутентификацию для всех ваших учетных записей, для которых требуется вход в систему.

❑ Защитите свою личность, подписавшись на услугу защиты идентификации, чтобы контролировать ваш кредит для любых счетов, которые, возможно, не были открыты вами.

❑ Никогда не записывайте свои пароли.

❑ Если вам звонят и просят оплатить счет за электричество, газ, ипотечный кредит в обмен на подарочную карту… повесьте трубку, так как это классическая афера.

❑ Если вам позвонили в службу технической поддержки для вашего рабочего стола/ноутбука… повесьте трубку, так как это еще одна классическая афера.

❑ Если вы получили случайное текстовое сообщение о том, что вы выиграли деньги, и/или они предоставляют ссылку… либо заблокируйте номер, либо поместите его в папку со спамом на мобильном устройстве.

❑ Если вы получаете электронное письмо с запросом какой-либо личной информации, всегда проверяйте «отправителя», который напрямую принадлежит законной компании и/или организации.

Я хотел бы лично поблагодарить Джоша Макадора за это фантастическое прохождение, которое вы можете посмотреть в видео выше.

Дэвид Мис заслуживает особого признания за предоставление рекомендаций Cyber Security 101.