• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Soft Инструмент с открытым исходным кодом GeoLogonalyzer для обнаружения несанкционированного входа в систему

GeoLogonalyzer.jpg


GeoLogonalyzer работает от FireEye, чтобы идентифицировать несанкционированный вход в систему на основе GeoFeasibility, он идентифицирует аномалии, основанные на скорости требуемого перемещения, изменения расстояния, имени хоста, изменений ASN, изменений VPN-клиента и т.д.
Организации должны быть связаны с целевой системой из нескольких мест, злоумышленники могут использовать украденные у сотрудников учетные данные, чтобы получить доступ к системе, и главная проблема состоит в том, что очень сложно обнаружить несанкционированный вход в систему.
GeoFeasibility работает на основе того места, где пользователь инициировал вход в систему, например, пользователь, подключающийся к VPN из Нью-Йорка в 13:00, но может снова подключиться к VPN из Австралии через пять минут.

Согласно данным
Ссылка скрыта от гостей
GeoLogonalyzer оценивает местоположение каждого входа, происходящего с помощью использования данных, таких как бесплатная база данных GeoIP от MaxMind. С помощью меток времени аналитики могут определить возможность перемещения пользователя между местоположениями.

Например, первый пользователь, «Меган», вошел в систему из Нью-Йорка, Нью-Йорк, 24.11. 2017 в 10:00:00 UTC, а затем вошел в систему из Лос-Анджелеса, штат Калифорния, через 10 часов 24.11.2017 в 20:00:00 UTC, что составляет примерно 2,450 миль в течение 10 часов. Разница во времени между входами в систему Meghan составляет 10 часов, что даёт нам информацию о скорости перемещения злоумышленника, а именно 245 миль в час, что разумно через коммерческие рейсы авиакомпании.

Если вход во вторую учетную запись пользователя, «Гарри», был произведен из Далласа, штат Техас, в 25.11.2017 в 17:00:00 по UTC, а затем из Сиднея, Австралия, через два часа в 25.11.2017 в 19:00: 00 UTC, что примерно составляет 8 500 миль в течение двух часов. Изменение локации входа в систему Гарри может быть нормализовано до 4250 миль в час, что, вероятно, не поддается современным технологиям используемых для путешествий».

Приведем пример журналов GeoLogonalyzer

Fig1.png



Аналитики могут использовать GeoLogonalyzer для регистрации запроса на вход из стран или регионов, где нет бизнеса или нет сотрудников, или данных, пользователей, имен пользователей и неподтвержденных VPN.

GeoLogonalyzer полагается на данные с открытым исходным кодом, чтобы определить поставщика облачного хостинга. Использование VPN или других служб туннелирования может служить причиной ложных срабатываний. GeoLogonalyzer можно скачать с GitHub.

Источник:
Ссылка скрыта от гостей
 
  • Нравится
Реакции: Parm Alex, kloh, Sunnych и ещё 4
Нажмите, чтобы раскрыть...
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ