Роберт Лав стоит у истоков создания операционной системы Linux. Он внес существенный вклад в создание ядра Linux и настольной среды GNOME. . .
Эта книга представляет собой руководство по системному программированию для Linux, справочник по системным вызовам Linux, а также подробный рассказ о том, как писать более быстрый и умный код.
Роберт Лав четко разграничивает стандартные функции POSIX и специальные службы, которые предлагаются лишь в Linux. Читать
Веб-сервер Apache является один из наиболее популярных способов обработке веб-контента в Интернете. На его долю приходится более половины всех активных веб-сайтов в интернете и является чрезвычайно мощным и гибким.
Apache разбивает его функциональные возможности и компоненты в отдельные единицы, которые можно настроить независимо друг от друга. Базовый блок, который описывает отдельный сайт или домен называется виртуальный хост.
При использовании виртуальных хостов, вы можете использовать один сервер для размещения нескольких доменов или сайтов из одного интерфейса или IP с помощью механизма согласования. Настроить запрос на домен, чтобы направить посетителя к конкретному каталогу, содержащего информацию об сайте. Другими словами, вы можете разместить более одного веб-сайта на одном сервере. Эта схема может быть расширена без каких-либо ограничений программного обеспечения до тех пор, пока ваш сервер может справиться с нагрузкой.
На этом уроке мы создадим два виртуальных хоста Apache на сервере Debian 8, с разным содержанием для посетителей на основе домена, которые они посещают.
Для завершения этого урока вам понадобятся:
В этом руководстве мы создадим виртуальные хосты для example.ru и test.ru, но вы можете заменить на свои собственные домены или значения, следуя далее.
Если вы не имеете в наличии домены, вы можете использовать example.ru и test.ru и следовать Шагу 5 из этого учебника, чтобы настроить файл локальные хосты, чтобы сопоставить эти домены IP — адресу вашего сервера. Это позволит вам проверить вашу конфигурацию с локального компьютера.
Первый шаг, который мы собираемся принять, это сделать структуру каталогов, которая будет содержать данные сайта, которые мы будет выкладывать для посетителей.
Наш корневой документ, каталог верхнего уровня, который указывает на Apache, будут установлены в отдельных каталогах в каталоге /var/www. Мы создадим каталог для каждого из виртуальных хостов, которые мы настроим.
В каждом из этих каталогов, мы создадим папку public_html, которая будет содержать веб — страницы. Это дает нам немного больше гибкости в том, как мы применяем более сложные веб — приложения в будущем; папка public_html будет держать веб — контент и родительская папка, может содержать сценарии или код приложения для поддержки веб — контента.
Создание каталогов с помощью следующих команд:
sudo mkdir -p /var/www/example.ru/public_html sudo mkdir -p /var/www/test.ru/public_html
Так как мы создали каталоги с sudo, они принадлежат нашим суперпользователю. Если мы хотим, чтобы наш обычный пользователь имел возможность изменять файлы в наших веб — каталогах, мы изменим права собственности, примерно так:
sudo chown -R $USER:$USER /var/www/example.ru/public_html sudo chown -R $USER:$USER /var/www/test.ru/public_html
Переменная $USER использует значение пользователя, при помощи которого вы вошли в систему при нажатии кнопки ENTER. Делая это, наш обычный пользователь в настоящее время владеет подкаталогом public_html, где мы будем хранящие наше содержание.
Мы также должны изменить наши разрешения, чтобы гарантировать, что доступ на чтение разрешен к общему веб — каталогу и все файлы и папки, которые она содержит. Выполните эту команду, чтобы изменить права доступа к папке /var/www и ее подпапок:
sudo chmod -R 755 /var/www
Теперь Ваш веб-сервер должен иметь разрешения, необходимые для предоставления контента, а пользователь должен иметь возможность создавать контент в нужные папки. Давайте создадим файл HTML для каждого сайта.
Мы создали нашу структуру каталогов. Давайте создадим некоторое содержание.
Давайте создадим простую страницу index.html для каждого сайта. Это поможет нам гарантировать, что наши виртуальные хосты настроены должным образом.
Давайте начнем с страницы для example.ru. Отредактируем новый файл index.html с помощью следующей команды:
nano /var/www/example.ru/public_html/index.html
В этом файле, создадим простой HTML — документ, который указывает на главную страницу, когда посетитель попадает на example.ru:
<html>
<head>
<title>Добро пожаловать Example.ru!</title>
</head>
<body>
<h1>успех! Виртуальный хост example.ru работает!</h1>
</body>
</html>
Сохраните и закройте файл, когда вы закончите.
Теперь скопируйте этот файл на сайт test.ru:
cp /var/www/example.ru/public_html/index.html /var/www/test.ru/public_html/index.html
Затем откройте файл в редакторе:
nano /var/www/test.ru/public_html/index.html
Изменить файл так, чтобы он ссылался на test.ru вместо example.ru:
<html>
<head>
<title>Добро пожаловать на Test.ru!</title>
</head>
<body> <h1>Успех! Виртуальный хост test.ru работает!</h1>
</body>
</html>
Сохраните и закройте этот файл. Теперь у вас есть страницы, необходимые для проверки конфигурации виртуального хоста. Далее, давайте настроим виртуальные хосты.
Файл виртуальных хостов указывает на фактическую конфигурацию наших виртуальных хостов и диктует, как веб-серверу Apache будет реагировать на различные запросы домена.
Apache поставляется с файлом виртуальных хостов по умолчанию под названием 000-default.conf, которое можно использовать в качестве отправной точки. Скопируйте этот файл для первого домена:
sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/example.ru.conf
Примечание : Конфигурация Apache по умолчанию в Debian 8 требует, чтобы каждый файл виртуальных хостов заканчивался расширением .conf.
Откройте новый файл в редакторе:
sudo nano /etc/apache2/sites-available/example.ru.conf
Файл будет выглядеть как на следующем примере, с некоторыми дополнительными комментариями:
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
Этот виртуальный хост обрабатывает любые запросы, сделанные на порт 80, порт HTTP по умолчанию. Давайте сделаем несколько изменений в этой конфигурации, и добавим несколько новых директив.
Во- первых, изменим директиву ServerAdmin по электронной почте о том, что администратор сайта может получать сообщения через электронной почты.
ServerAdmin admin@example.ru
Далее, нам необходимо добавить две новые директивы. Первая из них , называется ServerName, устанавливает базовый домен для данного виртуального хоста. Вторая называется ServerAlias, определяет дальнейшие имена, которые должны соответствовать, как если бы они были базовым именем. Это полезно для сопоставления дополнительных узлов, которые вы определили, так как example.ru и www.example.ru оба работают, при условии, если оба этих хоста указывают на IP — адрес этого сервера.
Добавьте эти две директивы в файл конфигурации, сразу после строки ServerAdmin:
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName example.ru
ServerAlias www.example.ru
DocumentRoot /var/www/html
...
Далее, измените местоположение корневого каталога документов для этого домена, изменив директиву DocumentRoot, чтобы указать на каталог, созданный для этого хоста:
DocumentRoot /var/www/example.ru/public_html
После того, как вы сделали эти изменения, ваш файл должен выглядеть следующим образом:
<VirtualHost *:80>
ServerAdmin admin@example.ru
ServerName example.ru
ServerAlias www.example.ru
DocumentRoot /var/www/example.ru/public_html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
Сохраните и закройте файл.
Затем создайте второй файл конфигурации, создав копию этого файла:
sudo cp /etc/apache2/sites-available/example.ru.conf /etc/apache2/sites-available/test.ru.conf
Откройте новый файл в редакторе:
sudo nano /etc/apache2/sites-available/test.ru.conf
Затем измените соответствующие настройки для ссылки на свой второй домен. Когда вы закончите, ваш файл будет выглядеть следующим образом:
<VirtualHost *:80>
ServerAdmin admin@test.ru
ServerName test.ru
ServerAlias www.test.ru
DocumentRoot /var/www/test.ru/public_html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
Сохраните и закройте файл.
Теперь, когда мы создали файлы виртуальных хостов, мы можем включить их.
Вы создали папки и файлы конфигурации виртуальных хостов, но Apache не будет использовать их , пока вы не включите их. Вы можете использовать инструмент a2ensite для того, чтобы каждый из ваших сайтов заработал.
Активируйте первый сайт:
sudo a2ensite example.ru.conf
Вы увидите следующий вывод, если не было никаких ошибок синтаксиса или опечатки в вашем файле:
Enabling site example.ru. To activate the new configuration, you need to run: service apache2 reload
Для того, чтобы ваши изменения вступили в силу, вы должны перезагрузить Apache. Но прежде чем сделать, включите другой сайт:
sudo a2ensite test.ru.conf
Вы увидите подобное сообщение, указывающее, что сайт был включен:
Enabling site test.ru. To activate the new configuration, you need to run: service apache2 reload
Затем отключите узел по умолчанию, определенный в 000-default.conf с помощью команды a2dissite:
sudo a2dissite 000-default.conf
Теперь перезапустите Apache:
sudo systemctl restart apache2
Сайты теперь настроены. Давайте проверим их. Если вы используете реальные домены, настроенные, указывающие на IP-адрес вашего сервера, вы можете пропустить следующий шаг. Но если ваши домены еще не настроены, или если вы просто сделали тестирование, читайте дальше, чтобы узнать, как проверить нашу установку с помощью локального компьютера.
Если вы не использовали фактические доменные имена, которыми вы владеете, чтобы проверить эту процедуру, используя некоторые примеры доменов вместо реальных, вы можете по крайней мере проверить функциональность этого процесса, временно изменив файл hosts на локальном компьютере.
Это позволит перехватывать любые запросы для доменов, настроить и направить их на свой VPS сервер, так же, как это делает система DNS, если бы вы использовали зарегистрированные доменов. Это будет работать только с вашего компьютера, хотя, и это полезно только для целей тестирования.
Убедитесь, что вы выполнили следующие действия на локальном компьютере, а не сервере VPS. Вам также необходимо знать пароль администратора локального компьютера или быть членом группы администраторов.
Если вы на компьютере Mac или Linux, редактировать локальный файл с правами администратора, набрав:
sudo nano /etc/hosts
Если вы на Windows, откройте командную строку с правами администратора и введите:
notepad %windir%system32driversetchosts
После того, как у вы откроете файл, добавьте строку, которая отображает публичный IP-адрес вашего сервера для каждого доменного имени, как показано в следующем примере:
127.0.0.1 localhost ... 111.111.111.111 example.ru 111.111.111.111 test.ru
Это позволит направлять любые запросы на example.ru и test.ru на вашем компьютере и отправить их на сервер в 111.111.111.111.
Сохраните и закройте файл. Теперь вы можете проверить вашу установку. Когда вы уверены, что все работает, удалите две строки из файла.
Теперь, когда у вас настроены ваши виртуальные хосты, вы можете протестировать установку легко, перейдя в домены, настроенные в веб — браузере. Посетите первый сайт по адресу http://example.ru и вы увидите страницу, которая выглядит следующим образом :
Успех! Виртуальный хост example.ru работает!
Точно так же, если вы посетите ваш второй хост по адресу http://test.ru, вы увидите файл, который вы создали для своего второго сайта:
Успех! Виртуальный хост test.ru работает!
Если оба из этих сайта работают, вы успешно настроили два виртуальных хостов на одном сервере.
Теперь у вас есть один сервер с двумя отдельными доменными именами. Вы можете расширить этот процесс, выполнив следующие действия, чтобы добавить дополнительные виртуальные хосты.
Там нет ограничения программного обеспечения по количеству доменных имен, которые Apache может обрабатывать, так что не стесняйтесь, сделайте столько, сколько ваш сервер способен обрабатывать.
Чтобы использовать Apache для обслуживания защищенного контента, следуйте учебнику, как установить сертификат SSL и SPDY на Ubuntu с помощью «Let’s Encrypt». Чтобы использовать Apache в передней части вашего веб — приложения, прочитайте гид как использовать Apache в качестве обратного прокси сервера с mod_proxy на Debian 8.
Если у вас есть сервер или компьютер, напрямую подключены к интернету, то они подвержены определенному риску. Сейчас любой интернет сервер или VPS является потенциальной мишенью для хакерских атак. Правильно настроенный фаервол может предотвратить многие из атак. Но вам по-прежнему нужно оставить открытыми некоторые службы, чтобы иметь возможность администрировать сервер, например, SSH.
Этот протокол часто является мишенью перебора. Но к счастью есть решение. Инструмент Fail2ban позволяет блокировать доступ с IP адресов при большом количестве неверных логинов. Программа fail2ban может использоваться не только для SSH, она может защитить различные формы веб-аутентификации, FTP, и предотвратить DoS атаки на сервер. В этой статье мы рассмотрим как выполняется установка и настройка Fail2ban CentOS 7 поскольку эта операционная система часто используется для серверов.
Читать
Операционная система Linux развивается уже больше двадцати пяти лет и за это время она набрала большую популярность среди системных администраторов и программистов. Из-за своей архитектуры Linux чаще всего применяется на серверах и других подобных платформах для размещения проектов. Как и любая другая операционная система, Linux нуждается в обслуживании, настройке и решении проблем.
В этой статье мы рассмотрим администрирование Linux для начинающих, что нужно знать начинающему администратору, у которого только появился свой сервер, например, VPS в интернете, что с ним делать, на что обратить внимание и как избежать проблем.
Администрирование Linux — это очень обширная область и, естественно, что мы не сможем полностью охватить ее в этой статье. Но попытаемся охватить основные задачи, которые возникают перед администратором будь то сервера или домашнего компьютера. Вот основные задачи, которые мы рассмотрим:
Мы не будем рассматривать очень подробно каждую из тем, возможно, некоторые основы администрирования Linux были более детально рассмотрены в предыдущих записях, тогда на них будет ссылка. С первоначальной настройкой сервера обычно проблем не возникает. Можно использовать одну из известных панелей управления, например, панель управления VestaSP, которая позволяет все установить и настроить автоматически, но вам нужно следить за показателями системы и перенести на сервер файлы.
Чаще всего веб-мастера и администраторы используют для удаленного доступа и загрузки файлов на сервер протокол SSH и FTP. По SSH вы не только передавать файлы, но и выполнять на сервере различные команды Linux. Протокол FTP позволяет лишь загружать файлы на сервер, перемещать и переименовывать их. Если кратко, то, например, чтобы перенести файлы сайта с одного сервера на другой, сначала мы создаем архив с помощью tar:
tar cvzf backup.tar.gz /папка/с/файлами
Обратите внимание, что опцию p передавать не нужно, чтобы права на файлы не сохранились, затем, вам нужно будет установить права вручную. Когда архив готов, используем копирование scp для передачи его на сервер:
scp backup.tar.gz user@ip_сервера:/var/www/public_html/
Затем авторизуемся на сервере и распаковываем архив:
ssh user@ip_сервера
$ cd /var/www/public_html/
$ tar xvzf backup.tar.gz
После этого останется сменить владельца для распакованных данных на имя пользователя веб-сервера:
chown -R www-data /var/ww/public_html/project/
Большинство действий по администрированию сервера вам придется выполнять так что лучше понять как пользоваться ssh.
Этот момент администрирования Linux серверов подходит больше для компьютеров, к которым у вас есть физический доступ, но может в некоторых случаях полезным и на сервере. Самый простой способ проверить есть ли доступ к сети на компьютере, это выполнить команду ping:
ping ya.ru
Если команда правильно отрабатывает, и вы видите передачу пакетов на удаленный узел, значит все хорошо. Если же нет, хотелось бы понять причину. Проверьте, указан ли ip адрес и маска сети для этого подключения:
ifconfig
Убедитесь, что правильно задан шлюз доступа к сети:
ip route
Обычно, это может подсказать вам, что конфигурация сети выполнена неверно, например, компьютер не получает нужные данные по протоколу DHCP или заданы неправильные статические настройки. Также проблема может быть в DNS. Возможно, сеть есть, но сервер не может получить ip адрес на основе доменного имени, для проверки вы можете выполнить ping какого-либо внешнего ip:
ping 8.8.8.8
Если же сеть не работает, и она настроена правильно, то можно еще попытаться узнать на каком узле обрывается соединение. Для этого используется команда traceroute:
traceroute 8.8.8.8
Все эти данные помогут понять в чем была ошибка и как ее решить.
Часто может случится, что сервер начинает работать очень медленно, веб-службы начинают очень долго отвечать на запросы и даже соединение по SSH работает медленно. Скорее всего, причиной этому может стать перегрузка ресурсов процессора или памяти. Если вся память будет занята, система будет сбрасывать данные на диск, в раздел подкачки, что тоже сильно замедляет работу сервера. Чтобы посмотреть сколько памяти осталось доступно используйте команду free:
free -h
Естественно, что если свободно только 40-50 Мб, то этого системе очень мало и все будет работать очень медленно. Следующим шагом будет выяснить какой процесс потребляет больше всего памяти, для этого можно использовать команду htop:
htop
В утилите вы можете сортировать процессы по загрузке процессора, колонка %CPU% или по потреблению памяти %MEM%. Так вы можете очень просто понять в чем проблема и кто перегружает систему. Например, веб-сервер Apache потребляет слишком много памяти, поэтому, возможно, будет эффективнее использовать Nginx.
Также в некоторых случаях нас может интересовать загрузка диска Linux и какие именно процессы перегружают жесткий диск. Для этого применяется утилита iotop. Просто выполните утилиту без параметров:
iotop
В системное администрирование linux также входит управление сервисами. Сейчас в большинстве дистрибутивов, в качестве системы инициализации используется systemd. Соответственно, управление службами linux выполняется с помощью нее. Чтобы посмотреть запущена ли служба, например, веб-сервер nginx, выполните:
sudo systemctl status httpd
В многочисленном выводе утилиты вы должны увидеть сообщение Active (running), это означает, что все хорошо и служба работает так как нужно. Возможно, также вам придется перезапустить службу:
sudo systemctl restart httpd
Или запустить ее, если она не была запущена до этого:
sudo systemctl start httpd
Если служба не запустилась, то вы можете посмотреть информацию об этом с помощью команды status или же выполнить:
journalctl -xe
Если какой-либо сервис или системный компонент не работает, то первое что нужно сделать — это смотреть логи. Если не помогает — включить режим отладки и смотреть логи. В 90% вы найдете ответ почему ничего не работает в логах программы. Логи всех служб и системные логи находятся в папке /var/log/. Некоторые службы создают отдельные папки для своих файлов, например, /var/log/nginx или /var/log/apache.
Если в обычном логе вы не нашли решение, то можно переключить программу в режим отладки или включить отображение максимально подробной информации. Обычно это дается в конфигурационном файле программы. Приводить конкретные примеры нет смысла, поскольку у каждого сервиса все по-другому. Но рассмотрим несколько команд, которые вы можете использовать:
tail -f /путь/к/лог/файлу
С помощью этой команды вы можете в реальном времени просматривать изменения в конце лог файла. Если опцию -f не указывать, то команда tail покажет десять последних строк из лога:
tail /путь/к/лог/файлу
Также для просмотра лог файла вы можете использовать любой текстовый редактор или утилиту cat.
Установка программного обеспечения, одна из распространенных задач администрирования. В Linux большинство программ можно установить из официальных или сторонних репозиториев. Некоторые программы нужно собирать из исходников. Для установки софта из репозиториев используется пакетный менеджер. Существуют два основных пакетных менеджера, которые применяются на серверах, это yum, который используется в CentOS и apt, который применяется в Ubuntu. Работают пакетные менеджеры похожим образом и все их мы рассматривали в отдельных статьях, смотрите установка программ CentOS и установка программ Ubuntu. Например, чтобы установить пакет в Ubuntu используйте такую команду:
sudo apt install имя_пакета
А в CentOS/RedHat:
sudo yum install имя_пакета
Для удаления программы используется команда remove вместо install. Но что еще более важно для серверов обновление программ. Никогда не отключайте автоматическое обновление, и старайтесь следить, чтобы система была в самом актуальном состоянии. Нужно обновлять все программные продукты, поскольку в них постоянно обнаруживаются новые уязвимости и следует получить вовремя исправления для них.
В этой статье мы рассмотрели в общих чертах администрирование Linux для начинающих, это очень обширная тема, поэтому сложно охватить ее в одной статье. Мы рассмотрели диагностику сети, установку пакетов, просмотр логов и другие основные действия. Если у вас остались вопросы, спрашивайте в комментариях!
Обычно для настройки сервера использую Битрикс Окружение, которое автоматически задаёт все необходимые параметры. К сожалению, окружение не работает на Ceontos 7. Поэтому приходится делать настройку в «ручном режиме». И одной из проблем становится выставление значения pcre.recursion_limit. Читать
Для эксперта по кибербезопасности определения киберугрозы в Оксфордском словаре немного не хватает: «возможность злонамеренной попытки повредить или разрушить компьютерную сеть или систему».
Это определение является неполным без включения попытки доступа к файлам и проникновения или кражи данных.
В этом определении угроза объясняется как возможность.
Однако в сообществе кибербезопасности угроза более тесно связана с злоумышленником или противником, пытающимся получить доступ к системе.
Или угроза может быть обнаружена в результате нанесенного ущерба, т.е каким образом произвелась атака и какие использовались тактики, методы и процедуры.
Типы кибер-угроз
В 2012 году Роджер А. Граймс предоставил этот список, опубликованный в Infoworld, из пяти наиболее распространенных кибер-угроз:
Социнженерийные трояны
Уязвимости нулевого дня (например, Java, Adobe Reader, Flash)
Фишинг
Сетевые черви
Усовершенствованные постоянные угрозы
Но с момента публикации этого списка было широко распространено внедрение нескольких различных типов технологий: облачные вычисления, большие объемы данных и использование мобильных устройств.
В сентябре 2016 года Боб Гурли поделился видеороликом, содержащим комментарии от свидетельства корпорации Rand в Комитете по внутренней безопасности, подкомитете по кибербезопасности, технологиям защиты инфраструктуры и безопасности в отношении новых киберугроз и их последствий.
В видеоролике выделяются две технологические тенденции, которые движут кибер-угрозой в 2016 году:
Интернет вещей – отдельные устройства, подключающиеся к Интернету или другим сетям
Быстрый рост данных – хранятся на устройствах, настольных компьютерах и в других местах
Сегодня список кибер-угроз может выглядеть примерно следующим образом:
Фишинг
трояны
ботнеты
Вымогатели
Распределенный отказ в обслуживании (DDoS)
Атаки вайпер
Кража интеллектуальной собственности
Кража денег
Манипуляция данными
Уничтожение данных
Spyware / Malware
Человек по середине (MITM)
Шутливое программное обеспечение
Непропатченное программное обеспечение
Непропатченнное программное обеспечение, казалось бы, самая простая уязвимость, все же может привести к самым большим утечкам.
Технологии и методы организаторов угроз постоянно развиваются.
Но источники кибер-угроз остаются прежними. Всегда есть человеческий элемент; кто-то, кто попадается на умный трюк.
Но сделайте еще один шаг в этом вопросе, и вы найдете кого-то с мотивом.
Это реальный источник кибер-угрозы.
Например, в июне 2016 года SecureWorks выявила тактические подробности нападений российской группы Threat Group-4127 на электронные письма с избирательной кампанией Хиллари Клинтон.
Затем, в сентябре, Билл Герц из The Washington Times сообщил о другой кибератаке на электронные письма Хиллари Клинтон, предположительно «враждебными иностранными игроками», вероятно, из Китая или России.
В настоящее время существует политика США в отношении иностранных кибер-угроз, известных как «сдерживание путем отказа».
В этом случае отказ означает предотвращение доступа иностранных противников к данным в США.
Но не все кибер-угрозы поступают из-за рубежа.
Недавно Пьерлуиджи Паганини @securityaffairs сообщил, что полиция арестовала двух людей из Северной Каролины, которые, как утверждается, являются членами пресловутой хакерской группы под названием «Crackas With Attitude», которая просочилась в личную информацию о 31 000 американских агентов и их семьях.
Наиболее распространенные источники кибер-угроз
Национальные государства или национальные правительства
Террористы
Промышленные шпионы
Организованные преступные группы
Хактивисты и хакеры
Деловые конкуренты
Недовольные инсайдеры
Усиление современных угроз, таких как национальные государства, организованные киберпреступники и кибе-шпионаж, представляет собой самую большую угрозу информационной безопасности для предприятий на сегодняшний день.
Многие организации пытаются выявить эти угрозы из-за их тайного характера, изощренности ресурсов и их преднамеренного «низкого и медленного» подхода и усилий.
Для предприятий эти более сложные, организованные и постоянные исполнители угроз видят только цифровые следы, которые они оставляют.
По этим причинам предприятия нуждаются в осведомленности за пределами своих сетевых границ о передовых угрозах, специально предназначенных для подобного рода организаций и инфраструктуры.
Исследователи киберугроз могут начать с изучения фонового профиля активов за пределами границ сети и осознания оффлайновых угроз, таких как те, о которых здесь сообщил Люк Роденхеффер из Global Risk Insights.
Затем они должны отслеживать критически важные IP-адреса, доменные имена и диапазоны IP-адресов (например, блоки CIDR).
Это может предоставить расширенное предупреждение угрозы ИБ, пока противники находятся на этапах планирования.
Благодаря этой улучшенной готовности, вы можете получить более полное представление о текущих эксплойтах, идентификации киберугроз и действующих за ними участников.
Это позволяет вам принимать активные меры для защиты от этих угроз с соответствующими последствиями.
SecureWorks Counter Threat Unit (CTU)™ состоит из группы профессионалов, имеющих опыт работы в частных охранных, военных и разведывательных сообществах, и с 2005 года публикует анализ угроз.
CTU выпускают обзор угроз для тысяч сетей клиентов для выявления возникающих угроз а также многие другие ресурсы, включая:
Атака телеметрии от клиентов
Примеры вредоносных программ
Исследования
Публичные и частные источники информации
Мониторинг сайтов
Соцмедиа
Каналы связи, используемые участниками угроз
Сообщества по безопасности
Правительственные агентства
Данные из этих источников поступают в систему управления разведывательной информацией об угрозах, которая отбирает такие индикаторы угрозы, как например:
Сигнатуры
Доменные имена
Имена хостов
IP-адреса
Имена файлов
Данные реестра
Уязвимости
Каталогизированные вредоносные программы
Индикаторы угроз затем обогащаются контекстными метаданными, чтобы определить, как они относятся к субъектам угрозы и методам атаки.
Затем система помогает исследователям определить отношения, которые невозможно будет найти вручную.
Их исследование показывает, кто атакует, как и почему.
Эта информация затем приводит к действительным представлениям, таким как:
Что означает угроза?
Как вы сопротивляетесь?
Какие действия вы должны предпринять?
Обмен знаниями в области разведки происходит среди ведущих организаций по киберугрозам как в государственном, так и в частном секторах.
SecureWorks считает, что они являются наиболее информированными и активными организациями и находятся в постоянном общении с ними.
Ниже представлен неполный список этих организаций:
Форум групп реагирования на инциденты и безопасности (FIRST)
Национальный кибер-криминалистический и учебный альянс (NCFTA)
Программа Microsoft Active Protections (MAPP)
Центр обмена и анализа информации финансовых служб (FS-ISAC)
Национальный центр обмена и анализа информации о здравоохранении (NH-ISAC)
Каталог кибербезопасности (или индикатор уровня угрозы) можно найти в различных общедоступных источниках.
Некоторые из этих каталогов, таких как CyberSecurityIndex.org, обновляются ежемесячно.
Другие, такие как уровень угрозы NH-ISAC или уровень оповещения MS-ISAC, обновляются чаще, основываясь на общей информации об угрозах.
Большинство этих индексов соответствуют тому же формату, что и исходный код безопасности Cyber Security. Он ежедневно оценивается CTU и обновляется соответствующим образом на основе текущей активности угроз.
Причина, указывающая на текущее состояние индекса, как правило, включает надежную и действенную информацию о программном обеспечении, сетях, инфраструктурах или ключевых активах для угроз.
Когда идет серьезная дискуссия о том, какая угроза соответствует уровню индекса кибербезопасности, CTU будет использовать критерии в определениях индекса кибербезопасности при принятии решений. CTU принимает очень серьезный и разумный подход при определении индекса кибербезопасности.
Каталог безопасности SecureWorks Cyber Security был ранее опубликован общедоступно, но теперь доступен только клиентам через специальный портал.
Рекомендации по угрозам сообщают о новых уязвимостях, которые могут привести к появлению новых инцидентов. Они публикуются как можно скорее, чтобы помочь кому-либо лучше защитить свои устройства или системы.
Сегодняшние методы наиболее успешной практики для кибербезопасности – гибридный подход.
Ключевое – не отставание от быстрых продвижений в изощренности киберугроз, которые развиваются вне того, что в данный момент может выполнить и обеспечить служба безопасности.
Серьезное обучение конечных пользователей – практика соблюдения требований к обработке данных, распознавание попыток фишинга и процедур для противодействия попыткам социнженерии
Обновление программного обеспечения
Брандмауэр и антивирус *
IDS / IPS * – системы обнаружения вторжений и системы предотвращения вторжений
Мониторинг событий безопасности *
План реагирования на инциденты *
Требование к партнерам по обеспечению безопасности:
Проникновение и сканирование уязвимостей
Расширенный мониторинг угроз конечных целей атаки
Всегда актуальная информация об угрозе
Наличие сотрудников службы реагирования на инциденты информационной безопасности
* Если ресурсы недоступны внутри компании, любые из этих работ можно перенаправить к поставщику решений безопасности.