OʼZBEKISTON RESPUBLIKАSI АXBOROT TEXNOLOGIYALАRI VА KOMMUNIKАTSIYALАRINI RIVOJLАNTIRISH VАZIRLIGI MUXАMMАD АL-XORАZMIY NOMIDАGI TOSHKENT АXBOROT TEXNOLOGIYALАRI UNIVERSITETI “Аxborot xavfsizligi” kafedrasi “Threat intelligence texnologiyalari” fanidan amaliy mashgʼulotlarini bajarish bo’yicha USLUBIY KO’RSATMA 1-Amaliy ish. Tahdidlarni aniqlash tizimlarini o’rganish va tahlil qilish. Ishdan maqsad: Tahdidlarni aniqlash tizimlarini o’rganish va tahlil qilish bo'yicha ko'nikmalarga ega bo'lish, yangi tahdidlarni aniqlash tehnologiyalari sinflarini mukammal tahlil qilish. Qisqacha nazariy ma’lumotlar. Hozirgi vaqtda turli xil dasturiy ta'minot ishlab chiqaruvchilari tomonidan kompyuter hujumlarini aniqlash texnologiyalari faol ishlab chiqilmoqda. Dasturiy ta'minot ishlab chiqaruvchilari o'z mahsulotlariga kiritadigan asosiy vositalar - bu axborot tizimlarida yuz berayotgan o'zgarishlarni kuzatish, aniqlash va tahlil qilish. Yechimlar murakkablashmoqda va turli vositalarni birlashtirmoqda. Ba'zi tashkilotlarda faqat asosiy himoya vositalari qo'llaniladi, bu ko'p hollarda murakkab nishonga olingan hujumlarni o'z vaqtida aniqlash va sodir bo'lgan voqealarni to'liq tahlil qilish uchun yetarli emas. Yaqinda paydo bo'lgan aniqlash texnologiyalari sinflarini ko'rib chiqamiz: Yangi avlod xavfsizlik devorlari (NGFW). An'anaviy xavfsizlik devorlari, ularning ishlash printsipi asosan paketli filtrlash va tarmoq ulanishlarini boshqarish edi, ularning o'rnini yangi avlod echimlari egalladi. Yechimlar sinfi ancha oldin paydo bo'lgan, lekin uni zamonaviy aniqlash texnologiyalari to'plamida ham ko'rib chiqish kerak. Yangi avlod xavfsizlik devorlari klassik xavfsizlik devori va NGFW-ning turli kombinatsiyalarida ishlatilishi mumkin bo'lgan ilg'or texnologiyalarning funktsiyalarini birlashtiradi: • Application Layer Firewall (WAF) funktsiyalari; • tahdidlarni aniqlash va ularni blokirovka qilish uchun trafikni tahlil qilish (IPS); • har xil darajadagi protokollar bilan shifrlangan trafikni to'liq matnli tahlil qilish (tekshirish); • trafikni cheklash va birinchi o'ringa qo'yish qobiliyati - Xizmat ko'rsatish sifati (QoS); 2 • izolyatsiya qilingan muhitda fayllarning xulq -atvori tahlili ("sandbox"); • joriy tahdidlar to'g'risidagi ma'lumotlar bilan muntazam ravishda boyitish (obro'si ro'yxati, murosa ko'rsatkichlari va boshqalar). Bundan tashqari, ishlab chiqaruvchi va konfiguratsiyaga qarab, NGFW DNS hujumlaridan himoya qilish, josuslarga qarshi dasturlardan himoya qilish (ruxsatsiz ma'lumot yig'ish yoki sozlamalarni o'zgartirish uchun josuslik dasturi), botlarga ulanishni boshqarish va boshqa qo'shimcha funktsiyalarni o'z ichiga olishi mumkin. Xulosa qilib aytadigan bo'lsak, NGFW-bu trafikni nazorat qilish, o'rnatilgan kirishni aniqlash tizimi va trafikdan foydalanuvchini identifikatsiya qilish tizimi bo'lgan qurilma. Amalda, masalan, fishing yuborishlarini aniqlash va himoya qilish doirasida, NGFW elektron pochta qutilariga kiruvchi veb -havolalarni tekshiradi va agar ular zararli manbalarga olib kelsa, ularni bloklaydi. Bundan tashqari, keyingi avlod xavfsizlik devorlari elektron pochta va xabar qo'shimchalarini tahlil qilishi va zararli kod bo'lsa, ularni blokirovka qilishi mumkin. NGFW qurilmalari yordamida hujumlarni aniqlash uchun ko'plab ssenariylar mavjud. Xavfsizlik hodisalarini kuzatish tizimlari (SIEM). Xavfsizlik ma'lumotlari va hodisalarni boshqarish (SIEM) echimlari turli xil axborot tizimlari va ilovalaridagi hodisalarni kuzatishga mo'ljallangan. Ushbu sinfning axborot xavfsizligi echimlari sizga quyidagi vazifalarni bajarishga imkon beradi: • katta miqdordagi xavfsizlik tadbirlarini yig'ish va tahlil qilish; • IT infratuzilmani himoya qilish vositalarining hozirgi holatini monitoring qilish; • real vaqtda kompyuterda sodir bo'lgan hodisalarni aniqlash; • IT infratuzilmasida nima bo'layotgani haqida to'liq tasavvurga ega bo'lish; • IT va axborot xavfsizligi tizimlarining ishlashidagi nosozliklarni aniqlash va ularga javob berish; • hujum zanjirlarini bashorat qilish uchun tarmoq xaritasini tuzish; • real vaqtda tahlil qilish va xavflarni baholash uchun ma'lumotlarni olish; 3 Ko'pincha, tajovuzkorlar infratuzilmaga kirib, o'z o'rnini egallaydi va shu bilan birga, uzoq vaqt sezilmay qoladi. Bunday kirishlarning maqsadi ma'murlar va axborot xavfsizligi bo'yicha mutaxassislarga ko'rinmas ma'lumotlarni uzatish yoki ichki infratuzilma tugunlariga hujumlarni tayyorlash va uyushtirishdir. Hodisalarni yanada aniqroq aniqlash va maqsadli tizimga bunday kirishga qarshi kurashish uchun SIEM yechimlari tahdidlar (tasmalar, murosaga keltirish ko'rsatkichlari, ekspertlar korrelyatsiyasi qoidalari va boshqalar) haqidagi eng yangi ma'lumotlardan foydalangan holda voqealarni retrospektiv tahlil qilishga imkon berishi muhimdir. SIEM sinfi yechimlarining ishlash prinsipi har xil turdagi jurnallarni (hodisalarni) dasturiy ta'minot darajasida ham, apparat komponentlari darajasida ham yig'ishdir. Bundan tashqari, barcha voqealar qo'shimcha tahlil qilish uchun yagona formatga tushiriladi. Xuddi shu infratuzilma elementi bilan bog'liq bo'lgan hodisalar (korrelyatsiya) kiberhujumni ko'rsatishi mumkin. SIEM sizga IT infratuzilmasida nima bo'layotganini to'liq tasvirini ko'rish va qo'shimcha ravishda, ma'lum tugunlarning tarmoqqa kirish imkoniyatlarini tahlil qilish imkonini beradi. SIEMdan foydalanishning odatiy hollari: • Axborot tizimlari elementlarini yuqtirish holatlarini kuzatish, chiquvchi xavfsizlik devori jurnallaridan, veb -proksi -jurnallaridan, ichki ulanish jurnallaridan va boshqalardan foydalanadigan zararli dasturlarni (zararli dasturlarni) aniqlash; • ichki tizimlardagi tizim o'zgarishlarini va boshqa ma'muriy harakatlarni va ularning ruxsat etilgan siyosatga muvofiqligini kuzatish; • autentifikatsiya monitoringi, shuningdek, foydalanuvchi hisoblarining buzilishi; • AX siyosatiga muvofiqligini nazorat qilish. Tarmoq trafigini tahlil qilish tizimlari (NTA). Tarmoq trafigini tahlil qilish (NTA) tizimlari tarmoq hujumlarini aniqlash, tarmoq trafigini ushlab turish va tahlil qilish uchun mo'ljallangan. Bu sinflar tizimi hujumning dastlabki bosqichida tajovuzkorlarning mavjudligini aniqlashga, 4 tahdidlarni tezda lokalizatsiya qilishga, shuningdek, axborot xavfsizligi qoidalariga rioya etilishini ta'minlashga yordam beradi. Standart tarmoq analizatorlaridan (IDS / IPS) farqli o'laroq, NTA tizimlari nafaqat perimetrda, balki IT infratuzilmasida ham trafikni tahlil qiladi. Bundan tashqari, zamonaviy imzolarning paydo bo'lishi bilan NTA sinfidagi yechimlar arxivda saqlanadigan tarmoq trafigini tahlil qila olishi kerak (retrospektiv tahlil). NTA sinf yechimlari murakkab maqsadli hujumlar aniqlangan holatlarda SIEM sinf yechimlari uchun tarmoq hodisalarining qo'shimcha manbai bo'lishi mumkin. Amalda, bunday yechimlar, masalan, ruxsatsiz xostdan domen boshqaruvchisiga ulanishning shubhali urinishini aniqlashga, so'ngra xostning tarmoq faoliyati haqidagi tarixiy ma'lumotlarni tahlil qilishga va shunga o'xshash boshqa urinishlar bo'lganligini tekshirishga imkon beradi. Agar ular sodir bo'lgan bo'lsa, unda bu maqsadli hujum yoki hech bo'lmaganda xakerlik urinishlari haqida bo'ladi. Oxirgi nuqta hujumini aniqlash (EDR). Endpoint Detection and Response (EDR) tizimi kompyuter qurilmalariga so'nggi hujumlarini aniqlash imkonini va axborot xavfsizligi bo'yicha mutaxassislarning javoblari uchun zarur ko'rsatkichlarni beradi. Ushbu turdagi yechimlar odatda oxirgi qurilmaga o'rnatilgan maxsus agentdan foydalanadi. Uning funksiyalari foydalanuvchilar va dasturiy ta'minotning faoliyati to'g'risidagi ma'lumotlarni to'plash, murosaga kelish belgilarini aniqlash (murosa ko'rsatkichlari, IOC), buzilgan qurilmalarni aniqlash va lokalizatsiya qilishda yordam berish va boshqalarni o'z ichiga oladi. Amalga oshirilishiga qarab, EDR yechimi turli xil aniqlash texnologiyalarini o'z ichiga olishi mumkin. Masalan, ma'lumotlarni yig'ish va tahlil qilish agentidan tashqari, u xatti-harakatlarni tahlil qilish, murosaga keltirish ko'rsatkichlarini tahlil qilish, shuningdek, tahdid ma'lumotlarini boyitish uchun SIEM tizimlari va Threat Intelligence tizimlari bilan avtomatik ta'sir o'tkazish vositasi bo'lishi mumkin. 5 EDR tizimlari tashkilotlarga an'anaviy so'nggi nuqta himoyasini chetlab o'tishga mo'ljallangan murakkab tahdidlarni aniqlash imkonini beradi. Agar tajovuzkor, masalan, fishing yuborish yoki dasturiy xatcho'plar yordamida, maqsadli tizimga kirishga harakat qilsa, xavfsizlik xizmati zarur ma'lumotlarni olish uchun operatsion ma'lumotlarni ta'minlaydigan shunday aniqlash va nazorat qilish vositalariga ega bo'lishi kerak. Agar EDR agenti so'nggi nuqtalarga (serverlar va ish stantsiyalariga) o'rnatilgan bo'lsa, buning natijasida tizimdagi o'zgarishlar real vaqtda tahlil qilinsa, zararli dastur portni ochishi va ma'lumotlarni uzatishni boshlashi bilan, EDR buni yozib oladi va voqealarni uzatadi. SIEM tizimi va xavfsizlik operatori tahdidni blokirovka qilish uchun zarur choralarni ko'radi - portlarni yopish, hujum qilingan segmentni izolyatsiya qilish va hk. Yangi avlod tarmoq trafigi tahlili (NDR). NDR (Network Detection & Response) tizimlari sinfi yaqinda Gartner tadqiqot markazi tomonidan tuzilgan. NDR tizimlari quyidagi texnologiyalarni o'z ichiga oladi: • tarmoq trafigini tahlil qilish; • tahdidlarni tezkor aniqlash, tergov qilish va ularga javob berish uchun mashinada o'rganish. Aslida, NDR NTA texnologiyalarini o'z ichiga oladi, shuningdek, tahdidlarni qidirish va aniqlsh uchun bazaviy metadata qo'shiladi, shuningdek, har xil IT va axborot xavfsizligi vositalari (xavfsizlik devorlari, tarmoqqa kirishni boshqarish va boshqalar) bilan integratsiyalash orqali tahdidlarga avtomatik tarzda javob beradi. NDR yechimlari real vaqtda tahdidlarni aniqlash orqali tarmoqning to'liq ko'rinishini ta'minlaydi, EDR va SIEM mahsulotlari bilan integratsiya esa hodisalarni aniqlash uchun ma'lumotlarning qo'shimcha aniqroq korrelyatsiyasini ta'minlaydi. Tahdid razvedkasi (Threat Intelligence). Threat Intelligence yechimlari IT infratuzilmasidagi zaifliklar va tahdidlar bo'yicha ilg'or tahlillarni amalga oshirish imkonini beradi. Tahlil tahdid yoki tahdid razvedkasi kanallari (TIF) haqidagi ma'lumotlarga asoslanib amalga oshiriladi. 6 Ushbu ma'lumotni olish uchun ma'lumotlar o'rtasidagi munosabatlarni batafsil tahlil qilish kerak. Jarayon katta mehnat xarajatlarini talab qiladi, chunki ko'p hollarda u qo'lda bajariladi. Bunday holatlarda TI-platformalari (Threat Intelligence Platform) mutaxassisni qutqarish uchun qo’l keladi. Threat Intelligence Platform - tahdid ma'lumotlarini boyitish, aniqlash, tarqatish va o'zaro bog'lash uchun maxsus platforma. Ushbu yechimlar sinfi sizga kanallarni avtomatik ravishda bog'lash, ularni kontekstli ma'lumotlar bilan to'ldirish imkonini beradi. TI platformalarining afzalligi - bu sizga mavjud bo'lgan tahdidlar to'g'risidagi har qanday ma'lumot manbalarini ulash va markazlashtirilgan qayta ishlash qobiliyati, shuningdek, uni boshqa kiberxavfsizlik vositalari bilan, masalan, SIEM tizimlari, hodisalarga javob berish platformalari yoki himoya vositalari bilan birlashtirishdir. Amalda bunday yechimlar tahlilchilarga ma'lum ko'rsatkichlar yordamida tarmoqlar va tizimlarda murosa izlarini topishga yordam beradi. Masalan, NTA yechimi noqonuniy trafikni aniqladi (aytaylik, SYN-flood - bu tarmoqdan foydalanishni rad etish hujumlarining turlaridan biri, bu juda qisqa vaqt ichida ko'p sonli TCP ulanish so'rovlarini yuborishdan iborat), keyin SIEMga ma'lum bir IPmanzildan SYN-flood aniqlangani haqida xabar beradi. SIEM tizimi ma'lumotlarni tahlil qilib, "IP-manzil" kirish parametri va "SYN-flood" buyrug’i bilan voqea sodir etadi. Keyin SIEM bu ma'lumotni boyitish uchun TI platformasiga yuboradi. Platforma o'z ma'lumotlar bazasini shunga o'xshash DNS yozuvlari uchun tekshirishni boshlaydi. Agar murosa indikatorlari to'plamida yana o'nlab IP -manzillar topilgan bo'lsa, bu manzillar tekshiriladi va tahlilchiga qaytariladi. Tahlilchi axborotni IT infratuzilma ma'murlariga uzatadi va ular, o'z navbatida, yo'riqnoma yoki xavfsizlik devoridagi sozlamalarga o'zgartirish kiritadilar va shu bilan potensial noqonuniy ulanishlarni oldindan to'sib qo'yadilar. 7 Nazorat savollari: 1. Yangi avlod xavfsizlik devorlari qaysi funksiyalarni birlashtiradi? 2. Xavfsizlik hodisalarini kuzatish tizimlari qanday vazifalarni bajaradi? 3. Tarmoq trafigini tahlil qilish (NTA) tizimlari nima uchun mo’ljallangan? 4. Endpoint Detection and Response (EDR) tizimi qanday agentdan foydalanadi? 5. Yangi avlod tarmoq trafigi tahlili (NDR) qanday texnologiyalarni o'z ichiga oladi? 6. Threat Intelligence Platform afzalliklari nimadan iborat? 8 2-Amaliy ish. Internetdagi antivirus xizmatidan foydalanib, fayllarni viruslardan onlayn tekshirish. Ishni bajarish maqsadi: Internetdagi antivirus xizmatidan foydalanib, fayllarni viruslardan onlayn tekshirish va antivirus dasturlarini qo’llash bo'yicha ko'nikmalarga ega bo'lish. Qisqacha nazariy ma’lumotlar. Kompyuter virusi - bu maxsus yozilgan kichik dastur bo'lib, u o'zini boshqa dasturlarga "atributlashi" (ya'ni "yuqtirish"), shuningdek, kompyuterda har xil kiruvchi harakatlarni bajarishi mumkin. Virusni o'z ichiga olgan dastur "zararlangan" deb nomlanadi. Bunday dastur ishlay boshlagach, virus birinchi navbatda nazoratni oladi. Virus boshqa dasturlarni topadi va "yuqtiradi", shuningdek ba'zi zararli amallarni bajaradi (masalan, fayllarni yoki FAT jadvalini buzadi, RAMni yopadi va hokazo). Virusni niqoblash uchun boshqa dasturlarni yuqtirish va zarar etkazish harakatlari har doim ham bajarilmasligi mumkin, lekin ma'lum sharoitlarda. Virus kerakli harakatlarni bajargandan so'ng, u boshqaruvni o'zi joylashgan dasturga o'tkazadi va u odatdagidek ishlaydi. Shunday qilib, tashqi tomondan, zararlangan dasturning ishi zararlanmagan dastur bilan bir xil ko'rinadi. Kompyuter virusi buzilishi mumkin, ya'ni. Kompyuter diskidagi fayllarni noto'g'ri o'zgartirish. Ammo virus ba'zi turdagi fayllarga "zarar etkazishi" mumkin. Bu shuni anglatadiki, virus bu fayllarga "kirishi" mumkin, ya'ni. Ularni shunday o'zgartiringki, ular ba'zi hollarda ishlay boshlaydigan virusni o'z ichiga oladi. Kompyuter viruslaridan himoya qilish usullari Virus nima bo'lishidan qat'i nazar, foydalanuvchi kompyuter viruslaridan himoyalanishning asosiy usullarini bilishi kerak. Viruslardan himoya qilish uchun siz quyidagilardan foydalanishingiz mumkin: • disklarni shikastlanishidan, dasturlarning noto'g'ri ishlashidan yoki foydalanuvchining noto'g'ri xatti-harakatlaridan sug'urta sifatida foydalanish mumkin bo'lgan axborotni himoya qilishning umumiy vositalari; 9 • virusga chalinish ehtimolini kamaytirish bo'yicha profilaktik choralar; • viruslardan himoya qilish uchun maxsus dasturlar. Umumiy axborot xavfsizligi vositalari nafaqat viruslardan himoyalanish uchun foydalidir. Ushbu vositalarning ikkita asosiy turi mavjud: • ma'lumotlardan nusxa ko'chirish - fayllar nusxalarini va disklarning tizimli maydonlarini yaratish; • kirishni cheklash axborotdan ruxsatsiz foydalanishni oldini oladi, xususan, dasturlar va ma'lumotlarning viruslar ta'siridan, dasturlarning noto'g'ri ishlashidan va foydalanuvchilarning noto'g'ri harakatlaridan himoya qiladi. Bundan tashqari, viruslardan himoyalanish uchun maxsus dasturlardan foydalanish zarur. Bu dasturlarni bir necha turga bo'lish mumkin: detektorlar, faglar, tekshiruvchilar, filtrlar va vaksinalar (immunizatorlar). Bu foydalanuvchiga kompyuterga antivirus dasturini o'rnatmasdan, maxfiy viruslar uchun fayllar va saytlar sahifalarini tekin tekshirishga imkon beradigan saytlar. Bunday onlayn antiviruslar mutlaqo bepul va siz ushbu onlayn xizmatlar yordamida istalgan sonli fayllarni tekshirishingiz mumkin. Onlayn antivirus dasturlarining afzalliklari va kamchiliklari Afzalliklari: • zararli dasturiy ta'minotni tekshirishning eng ishonchli tekshiruvi - bu fayl turli xil antiviruslarning imzo bazalari yordamida viruslar tekshirilgan saytga yuklanganligi tufayli amalga oshiriladi. Kompyuterga o'rnatilgan antivirusdan ko'ra virus yoki boshqa zararli dasturni aniqlash ehtimoli ko'proq; • onlayn antivirus kompyuterga o'rnatishni talab qilmaydi; • xizmatlar fayllarni masofadan tekshirishga imkon beradi; • saytda viruslar borligini tekshirish; • internetdagi deyarli barcha antiviruslar bepul. Kamchilik: • internetga ulanishni talab qiladi; • onlayn xizmatlar web-saytlariga kirishni blokirovka qilishi mumkin. 10 Ishni bajarish tartibi: 1. Virustotal.com saytida viruslarni onlayn tekshirish. 2. ESET Online Scanner rasmiy veb-saytida viruslarni onlayn tekshirish. 1. Virustotal.com saytida viruslarni onlayn tekshirish. Virustotal - Internetdagi fayllarni tekshirish bo'yicha eng mashhur va kuchli xizmatlardan biri. Zararli kod uchun onlayn fayl tekshiruvi siz yuklagan 40 xil antivirus dasturlarini bir martalik tekshirishni o'z ichiga oladi. Yashirin viruslar va boshqa zararli dasturlarning fayl kodini tahlil qilish uchun onlayn antivirus uchun faylni web-saytga yuklash kifoya. Siz yuklagan fayl hajmi 32 Mb dan oshmasligi kerak Virustotal virusga qarshi ma'lumotlar bazalarini doimiy ravishda avtomatik ravishda yangilab turishi tufayli, xizmatlar fayllarda yashirilgan eng yangi viruslarni aniqlay oladi. Tekshiruv natijasi barcha antiviruslar tomonidan faylni to'liq tahlil qilish va umumlashtirilgan natijani chiqarish bo'ladi. Virustotal orqali fayllarda virus bor yoki yo’qligini tekshirish uchun biz birinchi navbatda brauzerimiz orqali Virustotal.com saytiga kirib olamiz (2.1-rasm): 2.1-rasm. Google Chrome brauzerining ishchi oynasi 11 Fayl turi Fayl tanlash 2.2-rasm. Virustotal.com saytining ishchi oynasi. Yuqoridagi rasmda ko’rsatilgan joydan o’zimizga kerakli bo’limni tanlaymiz, ya’ni tekshirilayotgan ma’lumotimizning turini belgilaymiz va pastdagi choose file orqali kerakli faylimizni tanlab olamiz (2.2.-rasm). Faylni tanlashni bosganimizda quyidagi oyna ochiladi (2.3.-rasm): 2.3.-rasm. Faylni tanlash 12 Tekshirilayotgan fayl tanlanadi va saytga yuklanadi (2.4.-rasm): 2.4.-rasm. Faylni saytga yuklash Fayl yuklanganidan so’ng Virustotal sayti faylni viruslarga qarshi tekshirishni boshlaydi va tekshirib bo’lganidan so’ng natijasini bizga namoyish etadi (2.5.-rasm). 2.5.-rasm. Virustotal saytining faylni tekshirish jarayoni 13 2.6.-rasm. Virustotal.com saytining faylni tekshirish jarayoni natijasi Biz kiritgan faylimizda Virustotal.com sayti hech qanday virus topmadi, demak, bizning faylimizda hech qanday virus mavjud emas (2.6. -rasm). 2. ESET Online Scanner rasmiy veb-saytida viruslarni onlayn tekshirish. Biz amaliy ishimiz davomida viruslarni onlayn antivirus dasturi yordamida tekshiramiz. Buning uchun ESET Online Scanner rasmiy veb-saytiga o'ting https://www.esetnod32.ru/home/products/online-scanner/ va "Ishga tugmasini bosing (2.7.- rasm). 2.7.- rasm. Eset antivirusi orqali onlayn tekshirish ishchi oynasi. 14 tushirish" Sizdan elektron pochtangizni kiritishingiz so'raladi va ishga tushirish uchun faylni yuklab olish talab etiladi (2.8.- rasm). 2.8.- rasm. Elektron pochta so’rovi. Quyidagi ekranda yuklangan faylni ishga tushirish talab etiladi (2.9.- rasm). 2.9.- rasm. Ishni boshlash jarayoni. Shartnomani qabul qiling va onlayn skaner fayllarni yuklab olishini kuting (2.10.- rasm). 2.10.- rasm. Foydalanish shartlari. 15 Yuklab olingandan va ishga tushirgandan so'ng, ishni boshlash tugmachasini bosing (2.11.- rasm) va skanerlash turini tanlang (To'liq ko'rish, Tez ko'rish yoki Maxsus ko'rish). 2.11.- rasm. Skanerlash turini tanlash. Potentsial kiruvchi dasturlarni (viruslardan tashqari) karantinga olish kerakmi yoki yo'qligini aniqlang (12-rasm). Shuni yodda tutingki, agar bunga yo'l qo'ysangiz, litsenziyasiz va boshqa shubhali dasturlar kompyuteringizda ishlashni to'xtatishi mumkin. Skanerlashni boshlash tugmasini bosing (13-rasm). 2.12.- rasm. Potentsial kiruvchi dasturlarga ruxsatni belgilash. 16 2.13.- rasm. Viruslarni tekshirish jarayoni. Onlayn skaner antivirus bazasini bir muncha vaqtda yuklab oladi (internet ulanish tezligiga qarab), so'ngra kompyuteringizni viruslar va boshqa tahdidlarga tekshiradi. 2.14.- rasm. Natija jarayoni. Ko’rib turganimizdek, biz kiritgan fayllarimizda ESET Online Scanner rasmiy web-sayti hech qanday virus topmadi, demak, bizning fayllarimizda hech qanday virus mavjud emas (2.14.- rasm). 17 Nazorat savollari: 1. Kompyuter viruslaridan himoya qilishning qanday usullari mavjud? 2. Fayllarni onlayn tekshirishning afzalliklari nimalardan iborat? 3. Virustotal.com saytida viruslarni tekshirish ketma-ketligi qay tartibda bajariladi? 4. Eset Online Scanner rasmiy web-saytida viruslarni tekshirish ketmaketligi qay tartibda bajariladi? 18 3-Amaliy ish. Elektron pochtaga kiruvchi kutilmagan xatlardan himoya Ishdan maqsad: "The Bat!" elektron pochta dasturi misolida elektron pochtaga kiruvchi kutilmagan xatlardan himoya qilishning o'ziga xos xususiyatlarini o'rganish. Qisqacha nazariy ma’lumotlar. "The Bat!" - bu tijoriy dastur bo’lib, ikkita versiyada mavjud - Professional va Home, ular qo'llab-quvvatlanadigan funksiyalar sonidan farq qiladi. Mahsulotning professional nashri ko'p tilli interfeys bilan jihozlangan, axborotni shifrlashdan foydalanish imkoniyatini o'z ichiga oladi, shuningdek, dasturning ko'chma himoyalangan versiyasi - The Bat! Voyagerdan foydalanish imkonini beradi. Mobil versiyasi har qanday ko'chma xotira qurilmasidan ishlaydi (flesh-disk, USB-disk va boshqalar) va ko'pincha ofisdan tashqarida ishlaydigan va korporativ aloqa manbalariga xavfsiz masofadan kirishni talab qiladigan kompaniyalarning ishchilariga katta yordam berishi mumkin. Ishni bajarish tartibi: 1. Dasturni o'rnatish 2. Dasturning qo'shimcha funksiyalarini o'rganish 1. Bat dasturini o'rnatish Dasturni o'rnatish uchun The Bat dastur paketi ishga tushiring, o'rnatishni davom ettirish uchun «Next» tugmasini bosing (3.1.- rasm). 3.1.- rasm. O'rnatish jarayoni 19 Biz foydalanuvchi shartnomasini qabul qilamiz va keyingi bosqichga o'tamiz (3.2.- rasm). 3.2.- rasm. Foydalanuvchi shartnomasi Keyin o'rnatish ustasi sizni o'rnatish komponentlarini tanlashingizni so'raydi. Bu yerda siz hech narsani o'zgartirmasligingiz kerak va "Next" tugmasini bosing. Agar sizga ma'lum bir komponentni o'rnatish kerak bo'lsa, belgini olib tashlashingiz kerak (3.3.- rasm). 3.3.- rasm. O'rnatish yo'lini tanlash 20 Ushbu bosqichlarni bajargandan so'ng, o'rnatish ustasi ma'lumot to'plashni yakunlaydi va o'rnatish jarayoniga tayyorlanadi, davom etish uchun «Next» tugmasini bosing. Dasturni o'rnatish jarayoni boshlanadi, bu «Completed The Bat! Setup Wizard» dialog oynasining paydo bo'lishi bilan yakunlanadi va Bat dasturini muvaffaqiyatli o'rnatilganligi haqida xabar paydo bo’ladi. O'rnatishni yakunlash uchun "Finish" tugmasini bosing (3.4.- rasm). 3.4.- rasm. O'rnatishni tugatish. Autentifikatsiya qilingan foydalanuvchidan boshqa hech kim kompyuterda pochta xabarlarini o'qiy olmaydi, yangi pochta qutisini yaratishda ma'lumotlarni himoya qilish parametrlarini sozlashingiz kerak, ya'ni parolni o'rnatishingiz kerak. Pochta o'rnatilganda, oldindan ro'yxatdan o'tgan pochta qutisidagi ma'lumotlarni kiriting va «Далее» tugmasini bosing (3.5.- rasm). «Исходящая почта» oynasida mavjud bo'lgan pochta qutisidan ma'lumotlarni kiritishingiz kerak, agar bilmasangiz, keyin hamma narsani standart holat bo'yicha qoldiring va davom etish uchun «Далее» tugmasini bosing (3.6.- rasm). Oxirgi bosqichda siz pochta qutisi nomini va elektron pochta manzilini kiritishingiz va «Готово» tugmasini bosishingiz kerak (3.7.-rasm). 21 3.5.- rasm. Kiruvchi pochtani sozlash 3.6.- rasm. «Исходящей почты» ni sozlash 22 3.7.- rasm. Sozlashni tugatish «Готово» tugmasini bosgandan so'ng, o'rnatish paytida ko'rsatilgan ulangan pochta qutisi bilan dasturning asosiy oynasi ochiladi (3.8.- rasm). 3.8.- rasm Dasturning asosiy oynasi Barcha ma'lumotlar va sozlamalarni tahrirlash uchun siz pochta manzilini tanlashingiz kerak, keyin «Ящик» menyusini, so'ngra «Свойства почтового ящика» bandini tanlang (23-rasm). 23 3.9.- rasm Pochta qutisi xususiyatlari 2. Dasturning qo'shimcha funksiyalarini o'rganish The Bat! dasturi pochta serverlari bilan aloqa o'rnatish uchun autentifikatsiya qilishning turli xil xavfsiz aloqa usullari bilan IMAP4, POP3 va SMTP protokollaridan foydalanadi. Ilova turli xil versiyalardagi SSL va TLS kriptografik protokollarini qo'llab-quvvatlaydi, bu esa mijozga tarmoq trafigini shifrlashdan foydalanadigan barcha pochta xizmatlari bilan o'zaro aloqada bo'lish imkonini beradi. The Bat dasturida ishonchli himoya qilish uchun pochta mijozining Professional nashrida mavjud bo'lgan va ruxsatsiz foydalanuvchilarning pochta serveridagi foydalanuvchi qayd yozuviga kirishini istisno qiladigan USB token qurilmasi bilan CRAM-MD5 autentifikatsiyasini qo'llab-quvvatlashni amalga oshiradi (3.10.- rasm). 24 3.10.- rasm. Pochta serverlari bilan ishlashda autentifikatsiya va shifrlash protokollarini qo'llab-quvvatlash The Bat! dasturida nafaqat xavfsiz aloqa kanallaridan foydalanish, balki S/MIME, PGP va OpenPGP bilan shifrlangan elektron pochta xabarlarini yuborish va qabul qilish, shuningdek ularni elektron pochta orqali imzolash mumkin. Dastlabki holatda, elektron pochta xabarlarining maxfiyligi va pochta serverida xabarlarning xavfsiz saqlanishi (agar u buzib tashlansa yoki xabarlar ushlab qolinsa, tajovuzkorlar xabarlarni o'qiy olmaydilar), ikkinchisida esa jo'natuvchini identifikatsiyalashdan tashqari, qabul qiluvchining yo'lida xatni o'zgartirishga bo'lgan har qanday urinish osongina aniqlanishi mumkin. Tegishli elementlar to'plami «Криптография и безопасность» menyusidagi elektron pochtalarni tahrirlash oynasida joylashgan. U bilan foydalanuvchi yordamida va avtomatik ravishda ham ishlashni amalga oshirish mumkin. Ushbu masala bo'yicha qo'shimcha ma'lumotlar pochta mijoziga biriktirilgan hujjatlarda taqdim etiladi (3.11.- rasm). 25 3.11.- rasm. Pochta jo'natishda kriptografiyadan foydalanish. Bundan tashqari, The bat! dasturida pochta qutisini parol bilan himoya qilish mumkin, bu juda ko'p foydalanuvchilar muhitida, ayniqsa, bir necha kishi elektron pochta mijozidan foydalanganida samaralidir. Buni «Ящик → Установить пароль» menyusida amalga oshirishingiz mumkin. Ushbu funksiyadan foydalanish pochtani vizual ko'rishdan himoya qiladi, lekin agar kerak bo'lsa, har qanday matn muharriri tomonidan o'qilishi mumkin bo'lgan pochta bazasini himoya qilmaydi. Dastur bunday holatlarni istisno qilish uchun mahalliy pochta bazasi fayllarini, manzil kitoblarini va konfiguratsiya fayllarini real vaqtda shifrlashni ta'minlaydi. Shifrlash mexanizmini yoqish dasturni o'rnatish bosqichi o'rnatilgandan so'ng amalga oshiriladi. Ma'lumotlarni parol yoki USB tokenlari Aladdin eToken va Rainbow iKey1000 orqali himoya qilish mumkin (3.12.- rasm). Shaxsiy ma'lumotlar bazalarini shifrlash orqali himoya qilishning salbiy tomoni shundaki, kutilmaganda kompyuter ishlamay qolganda yoki elektron pochta orqali yozishmalarga kirish kaliti yo'qolganda ularni tiklash murakkabligidadir, bu har qanday shaxsning biznes faoliyatining muhim tarkibiy qismi hisoblanadi. 26 Xabarlar va ulardagi ma'lumotlarni yo'qotmaslik uchun, The Bat! ma'lumotlarni zaxira qilish va tiklash vositalari taqdim etiladi. 3.12.- rasm. Pochta bazasi va manzillar kitoblari uchun shifrlashdan foydalanish. Dasturning barcha sozlamalari va elektron pochta qutilari, manzillar kitoblari va pochta papkalari alohida faylda saqlanishi mumkin, so'ngra dastlabki ma'lumotlarning o'zgarishi yoki ma'lumotlar yo'qolganda zaxira nusxasidan tiklanishi mumkin. Arxiv sharh bilan ta'minlanishi va parol bilan himoyalangan bo'lishi mumkin (bu holda zaxira tarkibi shifrlangan bo'ladi). Bundan tashqari, The Bat! har bir pochta qutisi yoki jild uchun alohida zaxira nusxalarini yaratishga, shuningdek rejalashtiruvchi yordamida zaxira jarayonini avtomatlashtirishga imkon beradi (3.13.- rasm). Pochta mijozida amalga oshirilgan virus hujumlari va zararli dasturlardan himoya qilish alohida e'tiborga loyiqdir. E-pochta bilan ishlash uchun boshqa ko'plab vositalardan farqli o'laroq, Bat! hech qachon biriktirilgan fayllarni avtomatik 27 ravishda ochmaydi, skriptlarni bajarmaydi va foydalanuvchi ruxsatisiz o'chirilgan serverlardan rasmlarni yuklamaydi. 3.13.- rasm. Zaxiralash va tiklash xizmati Dasturga kiritilgan URL menejeri HTML-xatlarni ko'rib chiqishda yuklab olingan tasvirlarni tahlil qiladi va hostning xavf-xatarlari va foydalanuvchi tomonidan o'rnatilgan qoidalarga asoslanib, grafik kontentni bloklaydi yoki yuklab olishga ruxsat beradi. Ushbu tanlash usuli tasvirlarga kiritilgan zararli kodlarga qarshi kurashishda yordam beradi va uchinchi tomon foydalanuvchi harakatlarini kuzatib borishiga yo'l qo'ymaydi. Muhim xususiyati - The Bat! biriktirilgan fayllar turini yashirmaydi. Agar biriktirilgan faylda ikki tomonlama kengaytma bo'lsa, masalan, photo.jpg.exe, pochta mijozi bunga foydalanuvchining e'tiborini qaratadi va qo'shimcha 28 ogohlantirishni ko'rsatadi. Rasmlarni yuklashni boshqarish vositasi foydalanuvchiga tanlab yuklash, bloklash va o'z qoidalarini yaratish imkoniyatini beradi (28-rasm). 3.14.- rasm. Yuklab olishni boshqarish vositasi. Foydalanuvchini zararli biriktirilgan fayllarni tasodifiy ochishdan himoya qilishdan tashqari, The Bat! zararli dasturiy ta'minot va kiruvchi yozishmalardan himoya qilish uchun kengaytma modullarini (plaginlarni) ishlatish imkoniyatini taqdim etadi. Qo'shimcha komponentlardan foydalanib, siz viruslar va spamlarni aniqlash uchun kiruvchi pochta xabarlarini skanerlashni o'rnatishingiz, harflarga biriktirilgan fayllarni tanlab skanerlashni o'rnatishingiz, zararli va keraksiz xabarlarni avtomatik ravishda o'chirishingiz mumkin. Siz yuqorida aytib o'tilgan qo'shimcha modullarni e'tiborsiz qoldirmasligingiz kerak, chunki so'nggi paytlarda kiruvchi tarkibni ommaviy pochta orqali jo'natish bilan shug'ullanadigan spammerlar faoliyati tobora jinoiy xarakterga ega bo'lib bormoqda. Hatto tajribali internet foydalanuvchilari ham firibgarlarning hiylasiga tushib qolmaslik uchun juda ehtiyot bo'lishlari kerak. Buzg’unchi va pochta orqali tarqatiladigan zararli dasturlardan tizimli va ishonchli mudofaa yaratish uchun, The Bat! ko'plab boshqa xavfsizlik yechimlarini taqdim etadi. Dastur Windows operatsion tizimidagi bo'shliqlardan foydalanishga qaratilgan viruslardan himoya qiluvchi o'zining HTML-ko'rish vositasi va o'zining rasm ko'rish vositasidan foydalanishni taklif qiladi (3.15.- rasm). 29 Bunga qo'shimcha ravishda, dasturda bir nechta turdagi zaifliklarni ekspluatatsiya qilishni sezilarli darajada murakkablashtiradigan Adres space layout randomization (ASLR) va Data Execution Prevention (DEP) texnologiyalari qo'llaniladi. 3.15.- rasm. HTML ko'rish modulini sozlash The Bat! dasturining yana bir xavfsizlik tomoni - Microsoft Outlook, Outlook Express va boshqa pochta mijozlaridan mustaqil ravishda ishlaydigan oflayn manzillar kitobi (3.16.- rasm), ko'pincha aloqa ma'lumotlarini o'g'irlash uchun kiberjinoyatchilar tomonidan hujumga uchraydi. Dastur tomonidan ishlatiladigan ma'lumotlarni saqlash formati vCard (VCF) va LDIF bilan mos keladi, bu sizning ismingiz va elektron pochta manzilingizdan tashqari, biron bir kishi haqida ma'lumotni manzillar kitobida saqlashga imkon beradi. Bular: manzil egasining jinsi, tug'ilgan sanasi, uy manzili, ish joyi, ushbu shaxsga yozilgan xatlar shablonlari va boshqa ko'p narsalar, shu jumladan uning fotosurati va xavfsiz yozishmalarda foydalanilgan sertifikatlardir. Kontaktlarni tuzish va shablonlar yordamida ommaviy pochta orqali jo'natishni qo'llabquvvatlaydigan guruhlarga ajratish mumkin. Guruhlarni qo'llab-quvvatlash biznes 30 muhitida kompaniyaning boshqa bo'limlari va bo'limlari bilan tezkor o'zaro aloqalarni tashkil qilish uchun keng qo'llanilishi mumkin. 3.16.- rasm. The Bat! manzillar kitobi Oddiy va korporativ foydalanuvchilar orasida ham talab qilinishi mumkin bo'lgan "The Bat!" ning boshqa xususiyatlari qatorida yuqorida ko'rsatilgan xatlarni filtrlash va saralash vositalari ham mavjud. Ularning yordami bilan siz nafaqat tegishli papkalarga kiruvchi, chiquvchi, o'qilgan va qayta ishlangan xatlarni avtomatik ravishda tarqatibgina qolmay, balki qarindoshlar, do'stlar, tanishlar, biznes sheriklar va boshqa shaxslarning manzil kitobida mavjud bo'lgan elektron pochta xabarlarini ajratishni o'z ichiga olgan eng oddiy usul orqali spam bilan kurashishingiz mumkin. Elektron pochtani tartiblashtiruvchi xabarni avtomatlashtirishga va quyidagilarga imkon beradi: avtomatik javobni sozlash, tashqi ilovani ishga tushirish, manzil kitobiga manzillarni qo'shish, xabarlarni eksport qilish yoki arxivlash, biriktirilgan fayllarni chiqarish va boshqa narsalarni rejalashtiruvchi va chop etish uchun elektron pochta xabarlarini yuborish. The Bat! dasturida yozishmalarni avtomatik qayta ishlash uchun o'rnatilgan saralash vositasidan foydalaniladi (3.17.- rasm). 31 The Bat! Dasturini kuchli tomoni - xabarni o'chirishga yoki yuklab olishni kutmasdan pochta serverida qoldirishga imkon beruvchi «Выборочное скачивание» qoidalari to'plamining mavjudligi hisoblanadi. 3.17.- rasm. Xatlarni saralash. Kalit so'zlar, signal satrlari va filtrlash tizimining boshqa sozlamalari yordamida siz xatlarni (qoida mezonlariga javob beradigan) to'g'ridan-to'g'ri serverda boshqarishingiz mumkin. Bu trafikni tejash uchun yoki katta qo'shimchalar bilan xatlarni yuklab olishni qiyinlashtiradigan past tezlikli tarmoq ulanishidan foydalanilganda juda foydali bo'lishi mumkin. Nazorat savollari: 1. Spam atamasini aniqlang. Siz biladigan spam turlarini va u bilan qanday kurashishni aytib bering. 2. Elektron pochta mijozi nima? Eng mashhur elektron pochta mijozlarini ro'yxatini keltiring. 3. The Bat! pochta mijozining boshqa pochta mijozlaridan afzalliklarini aytib bering. 4. The Bat! pochta mijozi uchun eng mashhur plaginlarni ro'yxatlang va tavsiflang. 5. Fayllarni internetga uzatishda qanday protokollardan foydalaniladi? 32
0
advertisement
Download
advertisement
Add this document to collection(s)
You can add this document to your study collection(s)
Sign in Available only to authorized usersAdd this document to saved
You can add this document to your saved list
Sign in Available only to authorized users