چگونه کانتینرها (Container) آینده امنیت سایبری را تغییر می‌دهند؟

/در /توسط

استفاده از کانتینرها به جهت توسعه سریع، امکان جابه‌جایی و پایداری سرویس در نرم‌افزارهای مدرن به طور روز افزون در حال افزایش است. با توجه به پیش بینی Gartner، تا سال ۲۰۲۵، ۸۵درصد از شرکت‌ها از Containerها در سرورهای اجرایی خود بهره‌ خواهند برد که این رقم در سال ۲۰۲۰ حدود ۳۰درصد است.

Containerها به صورت عمومی از زیرساخت محیط‌های سیستم‌عامل لینوکس استفاده کرده که با استفاده از این پلتفرم متن‌باز (open source)، منابع سیستم را در کنار قابلیت هایی مانند پایداری سیستم، هزینه پایین و کمک به امنیت و محافظت سایبری از طریق شخصی سازی برای محیط‌های ابری، امکان فوق العاده‌ای را به سازمان‌ها و شرکت‌ها ارائه می‌کند.

 

اما کانــتِــیــنِــرها (Container)ها چه چیزی هستند و چرا مهم هستند؟

بر اساس توضیحات مربوط در سایت Docker، کانینتر یک پکیج استاندارد از یک نرم افزار  که به همراه کد‌های نرم‌افزار، تنظیمات و کتابخانه‌های موجود، نیازمندی‌هایی که برای اجرای یک نرم‌افزار نیاز است، را یکجا در خود قرار داده‌است. این ترکیب نرم‌افزاری (Software Bundle) به توسعه‌دهندگان نرم‌افزار و افراد در حوزه IT امکانی را ارائه می‌کند تا پیاده سازی (deploy) کردن نرم‌افزارها را به راحتی  در محیط‌های مختلف، انجام دهند. همچنین این روند کار سرعت بسیار بالا، قابلیت جابجایی بالا و مقیاس پذیری (Scaability) سریعی را در پیاده‌سازی امنیت، را امکان‌پذیر می‌کند. با استفاده از این ساختار و چارچوب، سیاست‌ها و ابزارهای امنیتی با کارایی بالاتری در خصوص محافظت از یکپارچگی سیستم، اجرا و به طور کلی زنجیره تامین نرم افزار در یک کسب و کار، به اجرا گذاشته خواهند شد.

Containerها یک یا چند پروسه (process) هستند که به صورت مجزا از سایر اکوسیستم سیستم عامل در حال اجرا هستند. در شکل زیر مقایسه ماشین‌های مجازی (Virtual Machines) و کانتینرها نمایش داده شده‌است. کانتینرها از یک هسته سیستم عامل مشترک (در این مثال لینوکس) استفاده کرده و پروسه‌های یک نرم‌افزار را نسبت به یکدگیر ایزوله می‌کنند. تکنولوژی‌هایی مانند داکر (Docker) و Kubernates، امکان ایجاد و استفاده از این کانتینر‌ها را فراهم کرده اند به گونه‌ای که مانند یک ماشین مجازی با مصرف منابع بسیار پایین، راه‌اندازی سرویس‌های مختلفی را روی یک پلتفرم سخت افزاری و هسته سیستم عامل یکسان، امکان پذیر ساخت‌اند.

 

container vs virtual machine

 

این مدل، موارد استفاده مختلفی شامل،‌ دستگاه‌ها و سیستم‌عامل هدف مختلفی را پشتیبانی کرده و شرکت‌های بزرگ و کوچک را برای استفاده از آن ترغیب می‌کند. برخلاف ماشین‌های مجازی، نرم‌افزارهایی که از چندین کانتینر استفاده می‌کنند به راحتی در همه مدل‌های ابری شامل ابرخصوصی، هیبریدی و عمومی قابلیت پیاده سازی آسان و پایداری را در اختیار دارند.

 

امنیت کانــتِــیــنِــر چیست؟

محاظت از اکوسیستم کانتینرها شامل تمامی مراحل یک نرم‌افزار که از این زیرساخت استفاده می‌کند نیز می‌شود و امنیت کانتینرها به صورت مداوم و یکپارچه در حوزه امنیت گردش کار ابری (Cloud Workflow) بسیار پراهمیت است. به طور کلی امنیت مداوم زیرساخت کانتینرها برای یک سازمان به صورت زیر است:

  • ایمن سازی (روند تولید، تست، استفاده) Pipeline کانتینر و خود نرم افزار
  • ایمن سازی پیاده سازی کانتینرها و زیرساخت مورد‌ نیاز آن

دستیابی به سیاست‌های امنیتی و همچنین استفاده از چک لیست‌ها، اجازه مقیاس پذیری کانتینرها را از سازمان می‌گیرد. در واقع چالش‌های امنیتی مختلفی در زمان پیاده سازی امنیت کانتینرها وجود دارد. تیم امنیت اطلاعات باید نیاز استفاده از کانتینرها و زیرساخت محیط خود را متعادل کند. ابزارهای ایجاد نرم‌افزار و کتابخانه‌ها و ابزارهای اجرایی مورد نیاز آن ها باید از هم متمایز شوند. همچنین برای کسب اطلاعات بیشتر در خصوص امنیت کانتینرها از این سند در سایت رسمی بیت‌دیفندر می‌توانید استفاده نمایید.

 

راه‌کارهای امنیتی فعلی برای کانــتِــیــنِــرها

اخیرا شرکت بیت‌دیفندر، راهکاری با عنوان GravityZone Security for Containers را ارائه کرده که امنیت زیرساخت ابری (Cloud Workload Security) را بدون نیاز به نیازمندی به کرنل لینوکس (linux kernel) و همچنین containerها را با استفاده از تکنولوژی‌های بیت‌دیفندر محافظت می‌کند.

 

Container workflow - process including partner software

 

این نسخه جدید قابلیت‌هایی نظیر جلوگیری از تهدیدات، eXtended Endpoint Detection & Response (XEDR) و ضد Exploit برای سیستم عامل لینوکس را با افزایش دید و کنترل وسیع‌تر ادمین‌های امنیت و شبکه، از طریق پلتفرم یکپارچه GravityZone در محیط‌های ابری عمومی، خصوصی و هیبریدی ارائه می‌کند.

عدم وابستگی به کرنل لینوکس، به کسب و کارها این امکان را می‌دهد تا به آخرین نسخه توزیع‌های لینوکس، بدون تاخیری که به صورت عمومی در شرکت‌های تولید‌کننده راهکار امنیتی رخ می‌دهد، مهاجرت کرده و نگرانی برای امنیت خود نداشته باشند. برای مطالعه در خصوص محصول Bitdefener GravityZone Security for Containers اینجا کلیک کرده و در صورت نیاز به اطلاعات بیشتر با ما در تماس باشید.

آنتی ویروس بیت دیفندر سازمانی

چگونه بیت دیفندر شما را در مقابل باج افزارها محافظت می کند (بخش دوم)

/در , /توسط

در بخش اول این بلاگ به برخی از قابلیت های بیت دیفندر در خصوص لایه های مختلف بیت دیفندر در مواجهه با باج افزارها اشاره شد.

 

حملات باج افزارها، به عنوان یکی از جدی ترین تهدیداتی که در دنیای دیجیتال با آن ها سر و کار داریم بدل شده اند که همچنان هم بیشتر و هم پیچیده تر نیز شده اند.

هدف مجرمان سایبری بسیار ساده است: یافتن اهداف برای گرفتن دسترسی، دانلود و نصب بدافزار و رمزگذاری اطلاعات آن ها و جلوگیری از استفاده آن از سیستم هایشان! قربانیان باج افزار، معمولا باید به این مرحله از دست رفتن اطلاعات یا پرداخت باج فکر کنند.

 

آیا می توانید برای داده های خود قیمت تعیین کنید؟

بیشتر اطلاعات شخصی بر دو نوع خاطرات ارزشمند یا داده های مالی تقسیم می شوند. هرچند با توجه به اینکه امروز با توجه به شیوع ویروس کرونا، آشپزخانه و پذیرایی هم به اتاق کار ما بدل شده اند و دستگاه های ما حامل اطلاعات حساس کاری نیز شده اند.

 

چگونه از نحوه محافظت از داده ها و فایل های خود اطمینان حاصل کنیم؟

تکنولوژی ضدباج افزار بیت دیفندر، با جلوگیری از آلودگی به بدافزارها، تهدیدات مرتبط با باج افزارها که باعث رمزگذاری فایل ها می شوند را، دفع می کند. قابلیت Advanced Threat Defence – ATD به صورت مداوم تمامی برنامه های درحال اجرای سیستم را به جهت رفتارهایی مبنی بر رمزگذاری فایل ها را مانیتور می کند. ماژول ATD برای هدف گیری پروسس های مخرب و رفتار آن ها طراحی شده است. مثلا در صورتی که یک نرم افزار فایل hosts را تغییر دهد، خود را در دیگر پروسس ها تزریق کند، یا تلاش برای غیرفعال یا حذف آنتی ویروس کند. در این شرایط، ATD این پروسس را به عنوان یک پروسس مخرب که به سیستم آسیب می رساند، شناسایی کرده و متوقف می کند.

 

این تکنولوژی، با استفاده از روش های پیشرفته هوش مصنوعی باج افزارهای شناخته شده و حتی جدید را به صورت بلادرنگ شناسایی کرده و رفتارهای مخرب آن ها مانند رمزگذاری را پیش از شروع متوقف می کند. علاوه بر آن ATD از اطلاعات شبکه محافظت جهانی بیت دیفندر GPN به جهت توقف باج افزارهای جدید نیز بهره برده و شما را در خصوص رفتارهای مخرب به محض شناسایی مطلع خواهد ساخت.

 

Bitdefender Ransomware Remediationعلاوه بر موارد مذکور، قابلیت امنیتی ضدباج افزار بیت دیفندر، اطمینان پیدا می کند تا در صورتی که اسناد و فایل های حساس، توسط بدافزاری که توانسته همه قابلیت های امنیتی را دور بزند، حفظ شوند. این امر توسط قابلیت Ransomware Remediation انجام شده که امکان بازیابی فایل ها و داده های رمزشده را فراهم می کند. اگر یک نرم افزار مخرب فایل ها را رمزگذاری کند، یک نسخه پشتیبان از فایل های هدف، به صورت خودکار ایجاد خواهد شد و امکان بازیابی آن ها نیز با چند کلیک فراهم می شود.

 

برای محافظت از سیستم های خود، با استفاده از یک راهکار چندلایه شما می توانید از راهکارهای بیت دیفندر بهره برده و ریسک آلودگی به این باج افزارها را تا حد بسیار بالایی کاهش دهید.

آنتی ویروس بیت دیفندر سازمانی

چگونه بیت دیفندر شما را در مقابل باج افزارها محافظت می کند (بخش اول)

/در , /توسط

با نگاه به گزارشات تهدیدات سال 2020، متوجه می شویم که باج افزارها، به عنوان یک عنصر قابل مشاهده در زمان شیوع ویروس کرونا کاربران خانگی و سازمانی را به مخاطره انداخته اند.

کار از خانه یا دورکاری، واژه ای که این روزها به دلیل شیوع ویروس کرونا بیشتر به گوشمان می خورد و در همه جهان، همه این روش از کار را به عنوان روش جدید برگزیده اند که البته همین امر باعث شده تا مجرمان سایبری به دستگاه ها و شبکه های خانگی نفوذ کرده و باعث حملات زیادی باج افزاها شوند. گاها ممکن است که سطح پایین تر امنیت در شبکه های خانگی به این مجرمان گاها در سرقت یا دستکاری اطلاعات نیز کمک کرده است.

این ریسک حتی ممکن است که بیشتر هم بشود، چرا که کارمندان برای سهولت استفاده ممکن است به جای استفاده از دستگاه های شرکتی از دستگاه های شخصی برای انجام امور استفاده کنند.

Real-time Protection

حملات گسترده ای در سال گذشته میلادی در حوزه های مختلف مانند آموزش، مالی و … در صدر اخبار قرار گرفت، نشان دهنده این مهم است که مجرمان سایبری پشت باج افزارها، هرگز بین قربانیان خود تبعیض قائل نمی شوند. باید در نظر گرفت که آلودگی ممکن است در چندین ثانیه رخ دهد. کلیک بر روی یک لینک آلوده، سند و حتی با بازدید و دانلود ناخواسته از یک سایت مخرب به دلیل عدم وصله بودن مرورگر وب، همگی ممکن است در کسری از ثانیه شما را به دام این باج افزارها بیاندازد.

راهکار ضد باج افزار بیت دیفندر شما را درمقابل تهدیدات و حملات باج افزارها محافظت کرده و با دفع آن ها اطلاعات حساس شما را در مقابل سرقت یا تخریب محافظت می کند.

Bitdefender Shield به صورت بلادرنگ و دائمی، برای جلوگیری و توقف بدافزارها، شامل باج افزارها، طراحی شده است که با اسکن فایلها، ایمیل ها، امکان آلودگی به چنین تهدیداتی را کاهش می دهد. لایه های مختلف دفاعی در مقابل باج افزارها مانند Online Threat Prevention که ترافیک وب مانند HTTP و HTTPS را اسکن می کنند، با جلوگیری از ورود به وبسایت های مخرب، شما را از تهدیداتی از قبیل فیشینگ، کلاهبرداری، بدافزارها و حتی باج افزارها مصون می کند. این قابلیت بر روی مرورگرهای محبوب مانند Google Chrome, Safari و Mozilla Firefox به کاربر در زمانی که یک وبسایت مخرب را باز می کند، هشدار می دهد.

 

web attack prevention

 

لایه دیگر محافظتی Network Threat Prevention است که مسئولیت توقف حملات پیش از نفوذ به حفره های امنیتی سیستم شما را بر عهده دارد. این لایه با شناسایی و متوقف کردن حملاتی مانند Brute-Force، اسکنرهای پورت، از نشر اطلاعات حساس سازمان شما که توسط Botnetها اقدام به اسکن اطلاعات، می کنند، خنثی می کند. این Botnetها به صورت مداوم در حال اسکن شبکه ها برای پورت ها باز و درصورت شناسایی سرویس های شبکه حاوی حفره امنیتی، شروع به توزیع باج افزار و تروجان می کنند. که قابلیت Network Threat Prevention سیستم شما را در مقابل چنین تهدیداتی محافظت می کند.

 

network threat preventionاز آنجایی که کاربری خانگی و شرکتی روزانه به سمت دیجیتال تر شدن پیش می رود، الان صحبت بر رسر “اگر” یا “کی” دستگاه ها یا شبکه ها تحت تاثیر حملاتی سایبری قرار می گیرند، نیست. یک تهدید واقعی و منسجم یک باج افزار می تواند بیشتر سیستم عامل ها را تحت تاثیر قرار داده و آلوده کند.

برای محافظت از سیستم های خود، با استفاده از یک راهکار چندلایه شما می توانید از راهکارهای بیت دیفندر بهره برده و ریسک آلودگی به این باج افزارها را تا حد بسیار بالایی کاهش دهید.

فاز دوم دفاعی SOC – شناخت شناسه های تهدیدات سایبری

/در , , /توسط

شناسه ­های تهدید

 در فاز اول ساختار SOC، سطح اولیه شناخت از حمله‌ها و گام‌های ضروری برای شکستن زنجیره حمله را بررسی کردیم. در این مقاله در مورد فازهای SOC و سطح پیشرفته محافظت از سازمان در برابر شناسه های تهدید مختلف صحبت خواهیم کرد. در گذشته وقتی صحبت از ویروس میشد، منظورمان یک فایل با  ‘exe’ و تعدادی پاپ آپ بود. بسیاری از ویروس های ساخته شده توسط بچه اسکریپتی ها بود و که باعث هیچ ضرری به هیچ کامپیوتری نمی شدند.

اما بدافزار امروزی توسط بچه اسکریپتی ها ساخته نشده، بلکه آنها توسط شرکت هایی برای کسب درآمد توسعه یافته‌اند و پشت هر بد افزار ساخته شده، هدف­ها و انگیزه هایی وجود دارد.

خانواده‌ی بدافزارها در دسته بندی های : ویروس/ Worm/ PUP/ جاسوس افزار/ نرم افزارهای تبلیغاتی/ ویروس چند شکلی/ آنتی ویروس تقلبی/ ویروس محافظ صفحه، وجود دارند. اینها تأثیر زیادی ایجاد نخواهند کرد یا انگیزه‌ی تجاری، پشت‌شان وجود نخواهد داشت.

شناسه‌های تهدید

اما امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، بسیار گسترده تر هستند، امروزه بدافزارها قابلیتهای درون ساختی مانند دانلود قسمت های اضافی کدهای مخرب، نفوذ به اطلاعات، برقراری ارتباطات خارج از سرورها، پاک کردن اطلاعات، رمز گذاری فایل ها و بسیاری از موارد دیگر را دارند.

بدافزار امروزی با دستور، انگیزه، هدف مالی و… ساخته شده اند.

خانواده نرم‌افزارهای مدرن این موارد است: تروجان‌ها/ روت کیت/ بات/ بات نت/ بدافزار POS/ بدافزار ATM/ باج افزار/ بدافزار رمز گذاری/ ربات جاسوسی/ Wiper/ تروجان CnC/ اکسپلویت کیت/ مرورگر هایجک/ دزد هویت نامه/ RAT/ WMI Backdoors/ Skeleton Key / کی لاگر و…

 

 

شناسه های تهدید،توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

بنابراین فهم اولیه از تهدیدات مدرن، برای هر گروه SOC ضروری می شود. فهم شناسه‌های تهدید در نظارت SOC خیلی مهم‌تر است.

SOC باید بداند که دارد با چه چیزی معامله می کند، باید عملکرد را بفهمد، باید الگو را متمایز کند، باید انواع انتشارات مختلف توسط جامعه هکر ها را بشناسد و همچنین تیم SOC باید روش‌های مدیریت بدون هیچ گونه اختلال را بداند‌.

شناسه های تهدید، انواع مختلف بدافزار/ اسکریپت‌ها/ برنامه‌های آسیب پذیر که از آنها استفاده مخرب میشود/ ابزارهای ویندوز و شبکه است که توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

این قابلیت‌ها می توانند به این صورت طبقه بندی شوند:

۱) دسترسی اولیه – حمله کنندگان برای به دست آوردن جایگاه اولیه در یک شبکه سو استفاده می کنند.

۲) اجرا- اجرای کد کنترل شده توسط حمله کننده در یک سیستم محلی یا از راه دور.  این تاکتیک اغلب به همراه دسترسی اولیه به عنوان ابزاری برای اجرای کد، بعد از رسیدن به دسترسی و سپس حرکت فرعی برای توسعه‌ی دسترسی به سیستم های از راه دور  در یک شبکه استفاده می شود.

۳) ماندگاری – ماندگاری عبارت است از هرگونه دسترسی، اقدام یا تغییر پیکربندی در یک سیستم که به دشمن امکان حضور مداوم در آن سیستم را می دهد.

دشمنان اغلب نیاز به دسترسی به سیستم ها از طریق ایجاد وقفه هایی مانند راه اندازی مجدد سیستم ، از دست دادن اعتبارنامه یا سایر خرابی ها دارند که برای راه اندازی مجدد آنها نیاز به یک ابزار دسترسی از راه دور باشد.

۴) افزایش امتیازات – افزایش امتیازات نتیجه اقداماتی است که به یک دشمن اجازه می دهد تا سطح بالاتری از مجوزها را در یک سیستم یا شبکه بدست آورد.  ابزارها یا اقدامات مشخصی برای اجرای عملکردشان، به سطح بالاتری از امتیازات نیازمندند و احتمالاً در بسیاری از نقاط طی عملیات ضروری هستند.

مهاجمان می توانند به سیستمی که فاقد دسترسی و امتیاز ویژه ای است  وارد شوند و از ضعف سیستم برای دستیابی به مدیر محلی یا سیستم بهره ببرند.

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن ایجاد کند.

۵) دور زدن دفاع- دور زدن دفاع شامل تکنیک هایی است که یک دشمن ممکن است برای فرار شناسایی شدن یا جلوگیری از سایر دفاع ها استفاده کند.  بعضی اوقات این اقدامات شبیه یا متفاوت از تکنیک‌های سایر طبقه‌بندی‌هایی است که مزیت اضافی واژگونی دفاع یا کاهش اثر معین را دارا هستند.

۶) دسترسی هویتی- دسترسی هویتی تکنیک هایی را که منجر به دسترسی یا کنترل هویت نامه سیستم، دامنه یا سرویس که در یک محیط سازمانی استفاده می شود را نشان می­دهد.

مهاجمان احتمالاً قصد خواهند داشت که هویت نامه‌های مجاز کاربران یا حساب‌های مدیر (مدیر سیستم محلی یا کاربران دامنه با دسترسی مدیر)را برای استفاده در شبکه به دست آورند.

۷) کشف- کشف شامل تکنیک هایی است که به مهاجم اجازه می دهد تا اطلاعات سیستم و شبکه داخلی را به دست آورد.

وقتی مهاجمان به یک سیستم جدید دسترسی پیدا می کنند، باید خود را در جهت آن چه که اکنون روی آن کنترل دارند و همینطور سودی که عملکرد آن سیستم به مقصود فعلی یا اهداف کلی آنها در حین نفوذ می‌دهد، قرار دهند.

۸) حرکت جانبی- حرکت جانبی شامل تکنیک هایی است که یک مهاجم را قادر می سازد به سیستم های از راه دور در یک شبکه، دسترسی و کنترل داشته باشد و می تواند شامل اجرای ابزارها در سیستم های از راه دور هم بشود اما نه لزوماً.

تکنیک‌های حرکت جانبی این اجازه را به یک مهاجم می‌دهد که بدون نیاز به ابزارهای اضافی، مانند ابزار دسترسی از راه دور، اطلاعات را از سیستم گردآوری کند.

۹) جمع آوری داده‌ها- جمع آوری داده‌ها شامل تکنیک هایی است که برای تشخیص و جمع آوری اطلاعات، مانند فایل‌های حساس، از یک شبکه هدف، قبل از استخراج استفاده می شود. همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

۱۰) سرقت یا دسترسی به اطلاعات کامپیوتری- به تکنیک ها و ویژگی‌هایی گفته می شود که منجر به حذف فایل‌ها یا اطلاعات از یک شبکه هدف، توسط مهاجم می شود یا به این کار کمک می‌کند.

همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

 

۱۱) هدایت و کنترل – تاکتیک هدایت و کنترل نشان دهنده این است که چگونه مهاجمان با سیستم های تحت کنترل‌شان در یک شبکه ارتباط برقرار می‌کنند.

 

امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، عظیم و گسترده تر هستند.

 

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن، بسته به پیکربندی سیستم و ساختار شبکه، ایجاد کند.

با توجه به سطوح گسترده تنوع که برای مهاجم در سطح شبکه در دسترس است، فقط از رایج‌ترین فاکتورها برای توصیف تفاوت‌ها در هدایت و فرمان استفاده شد‌.

در زیر انواع مختلف خانواده‌ی بدافزار که به عنوان ناقلان حمله باعث نویز بیشتر در شناسه‌های تهدید می شوند را میتوانید مشاهده کنید. این لیست کامل نیست، فقط نمونه ای از انواع مختلف منتشر شده است.

 

نتیجه- شناسه‌های تهدید

چرا باید نگران بدافزارها و عملکردهای آن باشم؟

ما باید نگران باشیم! چون بدافزارهای مدرن روشهایی خاص برای انتشار، با ساختار دستوری پیچیده‌تر دارند که قدرت در اختیار گیری آن‌ها بیشتر است‌.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت تیم AV سازمان شما نیست (که با آن مقابله کند)، بلکه مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

اکثر آن‌ها تنها نخواهند بود، در بیشتر موارد آنها گروهی کار می کنند تا کارشان را عملی کنند.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.