Оборудование тормозит, пропускной способности сети не хватает для работы легитимных приложений, ночью сама собой включается техника - все это может быть свидетельством наличия вредоносного ПО в инфраструктуре, от криптомайнера до опасного вируса. Какие шаги предпринять и как быстро и эффективно разобраться в проблемах?
Не так давно компания Cisco выпустила гид Hunting for Hidden Threats с описанием подхода к поиску вредоносной активности в вашей инфраструктуре. Какие шаги выделены основными:
- поиск аномалий в поведении устройств, в журнале событий, сетевом трафике и т.д.
- анализ аномалий и журналов событий и поиск конкретных источников аномалий, выделение вредоносных действий,
- получение индикаторов компрометации (ioc) и проверка остальной инфраструктуры на присутствие этих активностей.
Для автоматизации указанных действий компания Cisco выпустила бесплатную утилиту Cisco Threat Response. Она доступна всем владельцам одного из решений Cisco: AMP for Endpoints, Threat Grid, Umbrella, Email Security и NGFW/NGIPS. Пример работы с утилитой описал Алексей Лукацкий в статье: http://bit.ly/2lJ7AUh
Исследователи Cisco рекомендует отслеживать новости отрасли информационной безопасности в части эпидемий вредоносного ПО и уязвимостей. А эксперты группы компаний Angara готовы помочь вам в этом новостными публикациями.