Zabraňte spouštění neschválených procesů v produkci s Azure Security Center
Dnešní útoky na vaše prostředí už nejsou tolik o hackování firewallů, ale spíše o infiltraci do infrastruktury, kde vstupním bodem bývá zdařilý útok na RDP/SSH či průnik přes phishing na klientovi. Aby se ale útočník dostal k něčemu zajímavému musí se propracovat k serverům. Na nich si obvykle potřebuje spustit nějaké nástroje. Scanování sítě, lámač hesel, odposlouchávadlo. Zajímavou možností je zjistit, jaké procesy a služby za normálních okolností běží na vašem produkčním serveru a zabránit spouštění čehokoli jiného s App Locker ve Windows. Ale jak to nastavit a spravovat? Tady vám pomůže Azure Security Center.
App Locker
Tato funkce je v toto chvíli dostupná pouze pro Windows, ale pracuje se na něčem podobném i pro Linux svět. V zásadě jde o whitelisting aplikací. Řeknete které aplikace (případně který vydavatel) mohou na serveru běžet (a kde, můžete například zabránit spuštění systémového procesu z nestandardního adresáře) a všechno ostatní bude buď generovat hlášení nebo bude rovnou zablokováno. Nicméně správa takového systému je komplikovaná a tady přichází na pomoc Azure Security Center.
Adaptive Application Control v Azure Security Center
Azure Security Center je hybridní řešení pro bezpečnost vašeho prostředí, kdy většina funkcí funguje jak pro zdroje běžící v Azure, tak pro operační systémy provozované kdekoli jinde, třeba v hostingu nebo on-premises. Adaptivní řízení aplikací je řešení, které po zapnutí bude sledovat co se na monitorovaném systému děje. Díky agentovi se sbírají události typu start process a machine learning je vyhodnocuje. ASC se minimálně 14 dní bude učit co je ve vašich VM běžné a následně vám předloží sadu doporučení co je vhodné dát do whitelistu.