צוות התמיכה בקומסקיור קיבל פניה משירות ה-SOC אשר הינו חלק מחבילת ה-MDR.
בפניה צוין כי צוות ה-SOC שולח התראות רבות שמגיעות ממנגנון ה-IDS (הגנה נגד מתקפות רשת) לגבי שרת נתונים (SQL) של הלקוח.
הלקוח מהצד שלו התייחס להתראות אלו כתקינות ולא זיהה כי הוא נתון לניסיונות תקיפה.
מה גילינו?
בשיחה עם הלקוח, הבנו שהשרת הוגדר עם פורטים פתוחים (80 ו-443) לצרכים עסקיים. הלקוח סבר שה-Firewall הארגוני שלו מספיק, ולכן החליט לכבות את מנגנון ה-Firewall של ESET.
עם זאת, בזכות ההתראות שקיבלנו מצוות ה-SOC, הצגנו ללקוח כיצד מנגנון ה-IDS של ESET (מנגנון נפרד מה-Firewall) הצליח לזהות ולחסום עשרות ניסיונות חדירה, כולל שימוש בפרצות שלא רלוונטיות לסביבת השרת שלו, כמו CVEs של Apache.
בנוסף זוהו ניסיונות Brute Force חוזרים מכ-10 כתובות IP שונות – רבות מהן ברשימות BlackList עולמיות. מה עשינו יחד עם הלקוח?
• הסברנו את החשיבות של שמירה על ה- Firewall של ESET כקו הגנה משלים ואפקטיבי (במקרה זה, ה-Firewall הארגוני לא
עצר את התקשורת הזדונית).
• הדגמנו כיצד המנגנונים של ESET לא רק מזהים איומים אלא גם מונעים מהם לשבש את העבודה.
• הצענו להפיק דוח מפורט שמציג את כתובות ה-IP דרכן ניסו לתקוף, כך שיוכל להוסיף אותן גם ל-Firewall הארגוני.
• הצענו לבנות פרופיל לתעבורה רגילה על השרת, במטרה לזהות ולסנן רק דפוסים חריגים, וכך להפחית התראות שווא.
התוצאה:
באמצעות הניתוח, הסיוע וההסברים של צוות התמיכה על מנגנוני ההגנה של ESET, הלקוח שינה את גישתו, השאיר את מנגנון ה-Firewall שלנו פעיל והפיק דוחות שסייעו בשיפור חומת האש הארגונית שלו.
ביחד הצלחנו להבטיח את ההגנה שלו ולספק לו שקט נפשי בעבודה היומיומית.
במדריך הבא נסביר כיצד להעלות את רמת ההגנה ברשת וכיצד לאתר ניסיונות חדירה זדוניים לארגון.
בדוח אותו תוכלו להפיק לפי המדריך, יופיעו כתובות זדוניות אותן מומלץ לחסום בחומת האש הארגונית.