حماية زيرو تراست بوت على الحافة

الكشف المبكر والاستباقي للتهديدات هو الأساس المستقر لإدارة المخاطر. سيكون لدى معظم CISO مجموعة استباقية قوية من الممارسات التي تشمل المراجعة اليدوية المستمرة لنشاط الشبكة وسجلات السلوك المشبوه، والاستجابة للتنبيهات الأمنية المحتملة، وفهم إشارات خروقات البيانات المحتملة. يمكن تقسيم طرق الكشف المبكر النموذجية إلى ثلاث مراحل على النحو التالي:

المرحلة 1 - حركة مرور الشبكة غير العادية

في هذه المرحلة، نبحث عن عناوين IP أو نطاقات ASN غير العادية التي لم نشهدها من قبل، والارتفاعات الكبيرة في حركة المرور التي لا يمكن تفسيرها، وأنماط الاستخدام الشاذة التي لم نشهدها من قبل، والانفجارات في استخدام النطاق الترددي، والتغييرات في سلوك حركة المرور التي لا يمكننا تفسيرها.

المرحلة 2 - سلوك النظام الشاذ

تبحث المرحلة الثانية عن تدهور الأداء أو الخدمة، وتعطل النظام، وانفجارات وحدة المعالجة المركزية أو عرض النطاق الترددي، والتغييرات في النمط العادي لموارد النظام.

المرحلة 3 - تسجيل البيانات غير الطبيعية

في المرحلة 3، نبحث عن التغييرات في محاولات تسجيل الدخول الفاشلة إلى نسبة النجاح، وعمليات تسجيل الدخول غير النمطية من مواقع عناوين IP الجديدة، أو المناطق الزمنية، واستخدام حسابات المشرف والحسابات المميزة الأخرى.

لماذا يفشل هذا الأسلوب إذا كنت تفعل ذلك يدويًا باستخدام السجلات.

تكمن المشكلة في أنك إذا كنت تنظر إلى السجلات وتحاول فك رموز الأنماط في أوراق الشاي الخاصة بتشوهات الشبكة والسلوك الشاذ، فمن المحتمل أن يكون قد فات الأوان. سيتعطل خادم الويب، وربما تم اختراق البيانات. من الصعب أيضًا اكتشاف بعض هذه الهجمات من خلال البحث في السجلات، حتى مع أفضل أدوات SIEM والتحليلات. استخدمت العديد من هجمات ATO الروبوتات لإخفاء وإخفاء خروقات البيانات.

ما نحتاجه هو نقل هذه الممارسات بدلاً من ذلك إلى حافة الشبكة، حيث يمكننا اعتماد سياسة عدم التسامح مطلقًا، والمساعدة في منع هذه الهجمات بشكل استباقي قبل أن تصل إلى بنيتنا التحتية.

كيف يعمل الزائرون الذين تم التحقق منهم؟

أجهزة كشف حافة الشبكة

تعمل أجهزة الكشف الخاصة بنا على جميع جوانب حركة مرور الشبكة في السحابة قبل أن تصل إلى موقع الويب الخاص بك. نحن نفحص المئات من أجهزة الكشف عن التهديدات، من المصادر السلوكية والرقمية ووكيل المستخدم والمتصفح وبيانات بصمات الأصابع لتوفير منصة شاملة للكشف عن عمليات الاستيلاء المحتملة على الحسابات والأنشطة الضارة. تعمل أجهزة الكشف الخاصة بنا في الخلفية لتصنيف التهديدات إلى مجموعات من المخاطر العالية وصولاً إلى التهديدات المعروفة والتي تم التحقق منها. تقوم منصتنا بإنشاء قواعد تلقائية لكل نوع من أنواع الزيارات يتم تحديثها ديناميكيًا بمرور الوقت وفقًا للمخاطر. يتم عرض إجمالي مساحة سطح خطر التهديد في وحدة التحكم، كما هو موضح أدناه.

عندما تقلب أيقونة المخطط في الجزء العلوي الأيمن، يتغير العرض إلى التتبع السلوكي الفعلي لمجموعات المستخدمين، حتى تتمكن من رؤية البيانات الشاذة بوضوح، دون الحاجة إلى البحث في السجلات وقراءة أوراق الشاي.

بمجرد تحديد حركة المرور الضارة المحتملة والمسارات التي تريد حقًا حمايتها، يقترح VerifiedVisitors قواعد يمكنك وضعها بعد ذلك للتخفيف من التهديدات. تتغير هذه القواعد الديناميكية وفقًا لنوع التهديد - مما يعني أنه إذا تغيرت نطاقات IP أو وكلاء المستخدم أو بصمات الأصابع أو السمات الأخرى للهجوم، فلن يحدث أي فرق. تتكيف القاعدة مع ظروف التهديد الجديدة. على سبيل المثال، إذا تم تعيين عدم التسامح مطلقًا على مسارات تسجيل الدخول والمشرف وعربة التسوق وما إلى ذلك، فسيتم حظر جميع أنشطة الروبوتات الضارة على حافة الشبكة.

إن إيقاف الهجمات الآلية له فائدة كبيرة أخرى. إنه يزيل الزيادات والتشوهات، تاركًا حركة مرور حقيقية تم التحقق منها. من الأسهل بكثير اكتشاف البيانات الشاذة باستخدام مجموعة البيانات النظيفة الجديدة التي تم التحقق منها.

صورة بواسطة دانييل لويد بلانك-فيرنانديز في أونسبلاش

‍