نوشته‌ها

آسیب پذیری‌

تلاش بیهوده سازمان‌ها در رویارویی با آسیب پذیری‌ها

تلاش بیهوده سازمان‌ها در رویارویی با آسیب پذیری‌ ها

به گفته محققان، شرکت‌ها برای تامین امنیت خود در سال 2022 و برای مقابله با تهدیداتی که در سال گذشته ظهور یافتند باید رویکردهای «ابتکاری و پیشگیرانه‌تری» اتخاذ نمایند.

بر اساس گزارش سالانه موسسه باگ کراود با موضوع امنیت،  سازمان‌ها با گذر از سال 2021 که برای آسیب پذیری‌ ها و حملات سایبری سال بسیار خوبی بود، به این باور رسیدند که با وجود صرف میلیاردها دلار هزینه برای فناوری امنیت سایبری، در واقع در برابر تهدیدات و آسیب پذیری‌ های امنیتی فقط آب در هاون کوبیده‌اند.

طبق گزارش اولویت اول 2022؛ این تصور پس از آن به وجود آمد که در سال 2021 سازمان‌ها متوجه شدند با پیچیدگی‌های محیط‌ های ترکیبی دست و پنجه نرم می‌کنند که شامل همراه شدن دورکاری کارکنان شرکتی به دلیل همه‌گیری کرونا با انفجار باج‌ افزار و نیز ظهور زنجیره تامین به عنوان سطح اصلی حملات می‌شد.

این گزارش پیش‌بینی می‌کند که حس مشترک ناکامی در میان متخصصان امنیتی  و همچنین وجود شکاف همیشگی کمبود نیروهای ماهر در زمینه امنیت سایبری –  2.7 میلیون نفر کمبود نیروی شاغل در بخش امنیت سایبری که هنوز جبران نشده است-  “علاقه‌مندی به اتخاذ رویکردهای نوآورانه‌تر و فعال‌تر برای امنیت در سال 2022 را افزایش می‌دهد.” به گفته محققان، این امر مستلزم رجوع به جامعه تحقیقاتی جهانی و برنامه‌های آن در مورد باگ بانتی‌ها و کشف آسیب‌پذیری‌ها برای کمک به شناسایی و مبارزه با تهدیدات است.موسسه باگ کراود یک رویکرد جمع‌سپاری را برای مدیریت تست نفوذپذیری، باگ بانتی، کشف آسیب‌پذیری و مدیریت سطح حمله ارائه می‌کند. گزارش 2022 – که داده‌های مربوط به فعالیت شرکت در طول سال را گردآوری می‌کند – برخی از ترندهای برتر در خصوص آسیب‌ پذیری‌ هایی که سازمان‌ها در سال 2021 گزارش کرده‌اند و همچنین انواع حملاتی که رخداد آنها عموما بیشتر بوده است را به طور شفاف نشان می‌دهد.

نکات مرتبط با آسیب پذیری

بر اساس این گزارش یکی از رایج‌ترین آسیب‌پذیری‌های شناسایی شده در سال گذشته، تزریق کدهای اسکریپت به وبگاه (XXS) بود که طی آن مهاجم کد را به یک وب سایت قانونی تزریق می کند و هر زمان که قربانی وب سایت را باز کند به اجرا درمی‌آید. مهاجمان اغلب از XSS در حملات سرقت اطلاعات اعتباری افراد استفاده می‌کنند و شاید به همین دلیل باشد که سوء استفاده از اطلاعات محرمانه در رده اول حملات سال گذشته قرار داشت.. طبق این گزارش، این نوع تهدید از شماره 9 در لیست 10 نوع آسیب پذیری برتر شناسایی شده در سال 2021 به رتبه 3 ارتقاء یافت. در واقع، سرقت اطلاعات اعتباری یک روش کلیدی است که طی آن عوامل تهدید به شبکه‌های شرکتی نفوذ کرده و از طریق باج‌افزار یا حملات دیگر به سرقت داده‌ها می‌پردازند.در میان صنایعی که در سال 2021 از آسیب‌پذیری‌ها ضربه های بیشتری خوردند می‌توان به بخش‌های خدمات مالی اشاره کرد.  براساس پلتفورم باگ کراود، این  شرکت‌ها در 12 ماه گذشته  برای ارسال‌های اطلاعاتی «اولویت 1» یا P1 ، افزایش قابل توجه 185 درصدی را  که شامل آسیب‌پذیری‌ها عمده میشود را تجربه کردند. البته ارسال اطلاعات باگ های معتبر نیز در این بخش 82 درصد افزایش داشته است و همچنین هزینه پرداختی برای شناسایی نقص‌ها در سال گذشته با 106 درصد افزایش روبرو بوده است. بنا بر این گزارش، بخش دولتی نیز شاهد افزایش قابل توجهی در ارسال و اعلام آسیب پذیری‌ معتبر در سال 2021 بود. ارسال اطلاعات باگ در این فضا به میزان خیره کننده 1000 درصد افزایش یافت چرا که بخش دولتی”ذینفع اصلی در تعامل مداوم با مردم” است. بر اساس این گزارش، «بخش اعظم این ارسال‌ها در سه‌ماهه سوم، زمانی که خریداران دولتی در پاسخ به دستورالعمل‌های جدید آژانس غیرنظامی فدرال، که برای مثال کشف و نشان دادن آسیب پذیری‌ را به یک الزام کلیدی تبدیل می‌کنند، روی داد زیر آنها تپ‌ها را برای امنیت جمع‌سپاری باز کردند.

ترندهای امنیتی 2021

در این گزارش آمده است در میان ترندهای امنیتی سطح بالا که در سال گذشته بسیار مورد توجه قرار گرفتند، باج‌افزار به ترند اصلی سال 2021 تبدیل شد و پا را از رخنه در اطلاعات شخصی فراتر نهاد بطوریکه واکنش گسترده‌ای از سوی دولت نسبت به حملات مخرب آن مانند حمله‌ای که در ماه می گذشته به خط لوله شرکت کولونیال انجام شد را در پی داشت. سرویس امنیت فدرال روسیه (FSB)  هفته گذشته گزارش داد که با حمله به 25 مکان،  دارایی‌هایی به ارزش بیش از 5.6 میلیون دلار از تبهکاران مجری باج افزار ریویل (REvil) ضبط کرده و به نحو موثری این گروه را از پای درآورده است.  دولت بایدن نیز سال گذشته مواضع سختی را علیه گردانندگان باج‌ افزارها اتخاذ کرد و استراتژی‌های دفاع سایبری دولت برای مبارزه با حملات را گسترده تر کرد. هرچند سال گذشته گروههای باج افزاری بزرگی کار خود را تعطیل کردند، اما گروه‌های دیگری به جای آن‌ها قد علم کردند  که باگ کراود در گزارش خود به تکامل حملات باج‌افزاری که هم اکنون در حال وقوع است اشاره می کند. محققان در این گزارش نوشتند: «اکنون شاهد گروه‌های تبهکاری گرداننده باج‌ افزار ها هستیم که اصول کاری استارت‌آپ را در عملیات خود به کار می‌بندند. آنها کار خود را با یک گروه کلی و در قالب حمله به هدف های پراکنده، حملات حدسی و درخواست پول به صورت رمزارز انجام می‌دهند. این گروه‌ها پس از یک یا دو حمله موفقیت آمیز از طریق آسیب پذیری‌ ، باج های دریافت شده را به عنوان سرمایه اولیه در نظر گرفته و از آن برای توسعه عملیات خود و سرمایه گذاری در نرم افزار، استعدادیابی و سوء‌استفاده  بهتر استفاده می کنند. محققان خاطرنشان کردند که اکنون نخبه‌ترین گروه‌های باج‌ افزاری فرآیندهایی را به اجرا می‌گذارند که شامل تجسس یا تحقیق عمقی برای شناسایی اهداف، توسعه دادن ارتباطات و روابط رسانه‌ای برای وحشت آفرینی و افزایش احتمال پرداخت باج هستند. آنها گفتند که این فرآیندها همچنین شامل ردیابی آسیب پذیری‌ حیاتی برای یافتن شکاف‌هایی است هنوز توسط سازمان‌ها شناسایی نشده اند که این خود نیاز به اتخاذ رویکرد امنیتی پیشگیرانه توسط سازمان‌ها را تشدید می‌کند. طبق این گزارش، زنجیره تامین نیز به عنوان یک “سطح حمله اصلی” در سال 2021 ظاهر شد که بر نحوه مواجهه سازمان ها با آسیب پذیری‌ و مقوله امنیت در سال 2022 تأثیرگذار خواهد بود. به گفته محققان هرچند که این ترند باعث ایجاد «صنعت پر رونق اسکنرها و ابزارهای خودکار شناسایی» شده است، اما سازمان‌ها باید همانند تهدیدآفرینان فکر کنند و از کمک هکرهای اخلاق مدار و سایر راه‌حل‌های امنیتی زاییده خرد جمعی برای محافظت از زنجیره تأمین در سال جاری استفاده کنند. آنها در این گزارش نوشتند: “تنها رویکردی که این نقاط ضعف را به نقاط قوت تبدیل می‌کند؛ بکارگیری ابزارها، تکنیک‌ها و طرز فکر مشابه با مهاجمان در کشف موفقیت‌آمیز آسیب‌پذیری‌هاست”.”

بازنشانی رمز عبور

سال 2022 را با استراتژی امنیت رمز عبور که برای رویارویی با تهدیدات امروزی ساخته شده است قدرتمندانه به پیش ببرید. میزگرد امنیتی وب سایت Treatpost که برای متخصصان رشته امنیت اطلاعات ترتیب داده شده بود، بر مدیریت اطلاعات اعتباری سازمان، اصول اولیه ساخت رمز عبور جدید و کاهش رخنه‌های پس از طی روند اعتبارسنجی، متمرکز است. به دارن جیمز با نرم افزار Specops  و راجر گریمز، تبلیغ کننده راهکارهای  دفاعی در KnowBe4 و بکی براکن میزبان Threatpost بپیوندید. ثبت و انتشار جلسه رایگان امروز توسط نرم افزار Specops پشتیبانی شده است

باج گیر

باج افزار RaaS چیست و چرا خطرناک است؟

پوشیده نیست که باج افزار (ransomware ) سریعا به خطرناک­ترین تهدید برای سازمان­ها تبدیل می­شود. تعداد حملات باج افزار به صورت چشمگیری در حال افزایش است، که عمدتا ناشی از پاندمی کرونا است. به­ صورت جهانی، حملات باج افزار در سال 2020 به بیش از 60% افزایش یافت که 158% آن در آمریکای شمالی بود و ادارۀ فدرال تحقیقات (FBI) 20 % بیشتر شکایات از باج افزار دریافت کرد. در نیمۀ اول سال 2020، حملات باج افزار در مقایسه با دورۀ زمانی مشابه در سال گذشته به 151% افزایش یافت.

یکی از دلایلی که حملۀ باج افزار فراوان شده است، افزایش RaaS یا باج افزار به­عنوان سرویس است. این مساله به چگونگی انجام حملات و استقرار باج افزار در شبکه ها است که شانس موفقیت را افزایش می دهد.  ما این توسعه باج‌افزار جدید را بررسی می‌کنیم و نکاتی را در مورد اینکه چگونه می‌توانید بهتر از خود دفاع کنید به شما ارائه می‌کنیم.

باج افزار به چه صورت عمل می­کند؟

باج‌افزار تا حد زیادی از طریق Exploit-kit ها ساخته میشود. ابزاری که می‌توان از طریق انجمن‌های هکری و Dark Web خریداری کرد. باج افزار Hermes مثال خوبی است. اکسپلویت کیت ها، حاوی بدافزار، روتکیت‌ها و باج‌افزار هستند که معمولاً به منظور استفاده از یکی از آسیب‌پذیری های موجود ساخته می‌شوند که به بدافزار اجازه می‌دهد تا شبکه را آلوده کند. این امر به خریدار این امکان را می دهد که تلاش کند تا سازمان را با یک بدافزار آلوده کند در صورتی که سازمان آسیب‌پذیری های مربوطه را اصلاح نکرده باشد٬ اما هکرها می‌توانند از انواع دیگر حملات مانند فیشینگ برای نفوذ استفاده کنند.

بسته به اکسپلویت کیتی که یک هکر میتواند خریداری کند، هکر می­تواند حملۀ مخربی را ترتیب دهد که این حمله ممکن است شامل باج افزار کدگذاری شده در یک فایل مخرب باشد که پاداش های تمام افرادی که فایل را دانلود کرده اند را گرداوری می­کند. در هر حال، این نوع از باج افزار بطور گسترده­ای بدلیل نبود کارایی دچار رکود شده است.

مدل قدیمی نفوذ مربوط به ارسال ایمیل‌های فیشینگ است  با این امید که فردی یک پیوست مخرب را دانلود کند، که اغلب کار نمی‌کند. ضد فیشینگ، AV، شناسایی بدافزار، فیلترهای هرزنامه می توانند این نوع حملات باج افزار را در مراحل مختلف زنجیره حمله متوقف کنند.

حتی در مقابل با باج افزار کالا (commodity ransomware) مانند هرمس، داشتن فایل پشتیبان  (Backup File) برای مواجهه با حملات باج افزار کافی است.

از آن جایی که باج افزار در دسترس تمامی خریداران قرار دارد، محققان امنیت توانستند کلیدهای کشف رمز (Decryption keys) را توسعه دهند و هدف­ها را از باج افزار دور کنند، بدون آن که آنها را وادار به پرداخت باج به حمله کنندگان کنند و در عوض، توسعه­دهندگان باج افزار را وادار می­کنند که فایل های مخرب خود را بطور پیوسته به روز رسانی کنند (بدلیل اینکه آنتی ویروس ها آنها را شناسایی کرده اند، پس باید تغییراتی در آنها داده شود تا دوباره هکر ها بتوانند از آنها استفاده ببرند).

و نتیجه میگیریم حملات باج افزار چندان کارامد و موثر نبودند و هکرها باید روش دیگری را پیدا کنند.

توصیف باج افزار به عنوان سرویس

خطرناک ترین گروه های باج گیر تصمیم گرفتند موثرترین باج افزار خود را خصوصی کنند و یک قدم فراتر بروند. به جای اینکه آن را بفروشند و به عاملین بد اجازه دهند آزادانه از آنها استفاده کنند، تصمیم گرفتند باج افزار را به صورت یک وب سرویس لایسنس دار در بیاورند، و به صورت درصدی هزینه ها را با خریداران این سرویس های مخرب تقسیم کنند.

این بدان معناست که یک عامل بد خدمات گروه‌های هکر را به طور کامل برون‌سپاری می‌کند– این موضوع تغییری اساسی در نحوه انجام حملات باج‌افزار به شمار میرود.

گروه‌های هکر به‌جای استفاده از این ابزار در حملات فیشینگ و هرزنامه‌ها، یا به سازمان‌های هدف نفوذ می‌کنند یا باج‌افزار را در اهدافی که عوامل مخرب قبلاً راه خود را پیدا کرده‌اند، مستقر می‌کنند.

این مساله دو مزیت برای حمله کننده های باج افزار به همراه دارد:

سازمان­هایی که قبلا به خطر افتاده ­اند:  این حملات حملاتی با سبک سنتی نیستند بلکه حملات هدفمند تری هستند که یک سازمان به خطر افتاده را آلوده می‌کنند و شانس موفقیت را افزایش می‌دهند. و از آنجا که عوامل مخرب در حال حاضر در محیط یک شرکت هستند، احتمال بیشتری وجود دارد که باج افزارها بخش بزرگتری از شبکه سازمان را تحت‌تاثیر قرار دهد.

هیچ کلید رمزگشایی در دسترس وجود ندارد: امنیت سایبری به اطلاعات بستگی دارد. این واقعیت که باج گیر  در چنین مقیاس وسیعی مورد استفاده قرار می‌گرفت، امکان توسعه کلیدهای رمزگشایی را برای محققان امنیتی فراهم کرد. با این حال، باج‌افزار خیلی در دسترس نیست و تنها در برابر سازمان‌ها به‌طور کم استفاده می‌شود که این مسئله ساخت کلیدهای رمزگشایی را دشوارتر می‌کند.

باج افزار Ryuk مثال خوبی برای این موضوع است. این باج افزار که فقط توسط گروه هکر WIZARD SPIDER مجوز داده شده است، اشتراکات زیادی با هرمس دارد، اما تنها شرکت های بزرگ را با این باج گیر هدف قرار می دهد. و از آنجایی که به طور گسترده برای خرید در دسترس نیست، ویژگی های مخصوص به قربانی را برای هر حمله ایجاد می کند که ایجاد یک کلید رمزگشایی برای آن را بسیار دشوارتر می کند.

 

RaaS احتمالا به هنجار جدید تبدیل می­شود

متاسفانه، این توسعۀ جدید احتمالا حفظ می­شود. روش جدید، مزایای بیشتری برای متهاجمان دارد. هکر مخرب به دنبال آن است تا سازمانی را آلوده کند که احتمال موفقیت در آن بالاتر است و گروه باج افزار بدون انجام دادن کار بیشتر قادر به انجام حمله و سرقت اطلاعات است.

در نتیجه، قبلاً دیده‌ایم که گروه‌های باج‌افزار مدل کارتلی را اتخاذ کرده و با گروه‌های باج‌افزاری کوچک‌تر کار می‌کنند و شبکه‌ای سازمان‌یافته از مجرمان باج‌افزار را ایجاد می‌کنند. موفقیت مشاهده شده این مدل به این دلیل است که احتمالاً این مدل باقی می ماند و در آینده نزدیک افزایش می یابد.

این مساله بخشی از این دلیل است که حملات باج افزار بسیار افزایش یافته است و ما شاهد پرداخت های بزرگتر و بزرگتر هستیم. متوسط پرداخت باج افزار به طور چشمگیری افزایش یافت و به بیش از 300 هزار دلار در سال 2020 رسید که نشان دهنده افزایش 171 درصدی است.

سازمان­ها همچنان می­توانند از خودشان در برابر RaaS محافظت کنند.

با وجود این تحولات جدید، این بدان معنا نیست که سازمان ها در برابر این سبک از حملات درمانده هستند. خوشبختانه، سازمان ها می توانند از ابزارها، فرآیندها و راه حل های موجود برای محافظت از خود در برابر باج افزار استفاده کنند.

در اینجا چند زمینه وجود دارد که باید آنها را در اولویت قرار دهید.

دفاع سنتی در مقابل باج افزار را متوقف نکنید

فیلترهای هرزنامه، AV، و ابزارهای تشخیص و حذف ضد بدافزار به اندازه کافی موثر بوده اند تا مجرمان را مجبور به اتخاذ روش های دیگر کنند و حتی ممکن است مانع از اجرای باج افزار در محیط شما شوند. این ابزارها و همچنین برنامه های آموزشی آگاهی امنیتی باید همچنان مورد استفاده قرار گیرند و اولویت بندی شوند.

همیشه نسخه­ های پشتیبان همراه داشته باشید

اگر می‌توانید از فایل‌های خود نسخه پشتیبان تهیه کنید یا محیط خود را به مرحله قبل از آلودگی باج گیر برگردانید، برای شروع فرآیند بازیابی نیازی به پرداخت باج ندارید. اطمینان حاصل کنید که پشتیبان‌های شما کاملاً از شبکه اصلی شما جدا شده‌اند تا از آلودگی جلوگیری کنید.

 

 

روی ابزارهای نظارت و شناسایی سرمایه گذاری کنید

 

پیش درآمد این حملات باج گیر جدید، نفوذ است. اگر بتوانید ورود یک فرد غیرمجاز به شبکه خود را شناسایی کنید، می توانید از حمله جلوگیری کرده و به طور بالقوه آنها را قبل از اینکه آسیبی وارد کند از محیط خود بیرون کنید.

تا حد امکان از قطعه بندی شبکه استفاده کنید

این موضوع همیشه در برابر باج افزار کار کرده و هنوز هم جواب می دهد. اگر یک سیستم قطعه بندی شبکه مقاوم دارید، باید بتوانید از آلوده کردن باج‌افزارها به مهم‌ترین دارایی‌های تجاری‌تان جلوگیری کنید و حتی از تهدیدهای اخاذی یا نشت داده‌ها جلوگیری کنید.

طرح پاسخ آماده داشته باشید

سازمان­ها باید برای مقابله با حملات باج افزار آمادگی کامل داشته باشد. یعنی باید یک طرح واکنش به حادثه ساخته شود و حتی در مواردی ممکن است بخواهید از یک شریک بررسی قضایی در سازمان استفاده کنید که در صورت خطر می تواند به سازمان کمک کنند.

ظهور RaaS بسیار نگران کننده است، اما اصول، روش ها، ابزارها و سیستم های امنیتی هنوز هم قابلیت های دفاعی، شناسایی و پاسخ قوی را ارائه می دهند. این اولویت های مهم را نادیده نگیرید و شرکای اهرمی را در نظر بگیرید که می توانند در قسمت تشخیص و پاسخ کمک کنند.

در این لینک درباره decryptor که به بیش از 1400 شرکت در 83 کشور کمک کرد تا فایل های خود را بازیابی کنند و بیش از 550 میلیون دلار باج پرداخت نشده را ذخیره کنند، بیشتر بیاموزید.

کسب و کارهای کوچک و متوسط باید در مقابل «حملات باج افزاری» آماده باشند

در حال حاضر «حملات باج‌افزاری» تهدیدی علیه امنیت سایبری با سریع‌ترین میزان انتشار است که بر کسب و کارهای کوچک و متوسط (SMBها) اثر می‌گذارند.

این حوادث می‌توانند به سازمان‌هایی با هر اندازه و تقریباً درون هر صنعتی صدمه بزنند. گزارش نیم‌سالۀ شرکت بیت‌دیفندر[1] در سال 2020 تحت عنوان «گزارش دورنمای تهدید 2020» به این مسئله اشاره کرد که تمام گزارشات حملات باج افزاری در جهان به میزان 715% نسبت به مدت مشابه سال قبل جهش ناگهانی داشت.

حوادث مرتبط با همه‌گیری بیماری کرونا نیز تاثیر شدیدی داشت و برای سال 2021 میزان مشابهی از این‌گونه تهدیدات انتظار می‌رود. احتمال حملات سایبری موفقی که به‌طور گسترده گزارش شده‌اند مجرمان سایبری را ترغیب کند و آن‌ها به‌دنبال روش‌های پیچیده‌تری برای حمله به سیستم‌های امنیتی شرکت‌ها باشند.

باج‌افزار چیست؟

قبل از این‌که کسب و کارهای کوچک و متوسط بتوانند امید به دفاع از خود داشته باشند، آن‌‎ها باید دقیقا درک کنند که «باج‌افزار» چیست و چگونه کار می‌کند. «باج‌افزار» نوعی بدافزار است که تهدید می‌کند در صورت پرداخت نشدن باج، داده‌های حساس سازمان را منتشر خواهد کرد یا به‌طور مداوم دسترسی به اسناد را مسدود می‌کند.

گونۀ پیشرفته‌تر «باج‌افزار» فایل‌های یک شرکت را رمزنگاری کرده و آن‌ها را با استفاده از یک فرآیند، غیرقابل دسترسی می‌کند، سپس برای رمزگشایی آن درخواست پول می‌کند. قربانیان این حملات اغلب مجبور به استفاده از کلیدهای رمزگشایی برای بازیابی اسناد خود می‌شوند.

هکرها معمولاً از طریق ارزهای دیجیتالی مانند «بیت‌کوین» و هم‌چنین رمز ارزهای دیگر درخواست پرداخت پول می‌کنند. از آن‌جایی که ردیابی این نوع پرداخت‌ها سخت است، کشف و تعقیب قانونی هکرها نیز مشکل و بی‌حاصل است.

حملات باج‌افزاری معمولاً توسط «تروجان‌ها»[2] انجام می‌شود. تروجان‌ها «بدافزاری» هستند که کاربران را از مقصد حقیقی خود گمراه می‌کنند، مانند اسب تروجانی که توسط شعر «انه‌اید»[3] اثر «ویرژیل»[4] مشهور شد. این ویروس‌های بدافزار به‌گونه‌ای در فایل‌های متعارف مخفی شده تا کاربر فریب خورده و آن‌ها را بارگیری کند و یا زمانی که از طریق ضمیمۀ ایمیل دریافت می‌کند‌، آن‌ها را باز کند.

حملۀ باج‌افزاری به‌وضوح رو به افزایش است. گزارشی که در ماه آگوست 2021 از سازمان تحقیقاتی «اینترنشنال دیتا کورپ(IDC)» منتشر شد، نشان داد که بیش از یک سوم سازمان‌ها در سراسر جهان حملات باج‌افزاری یا رخنۀ امنیتی را تجربه کردند که حاصل این حملات قطع دسترسی به سیستم‌ها یا داده‌ها طی 12 ماه گذشته بود. به‌ گفتۀ این گزارش، برای سازمان‌هایی که قربانی «باج‌افزار» شده‌اند، تجربۀ چندین حادثۀ «باج‌افزاری» غیرمتعارف نیست.

گزارش «State of the Channel Report» سال 2020 شرکت «داتو»[5] بیان کرد که نزدیک به 70% از «ارائه‌کنندگان خدمات مدیریت‌شده (MSPs)» باج‌افزار را به‌عنوان شایع‌ترین حملۀ بدافزاری معرفی کردند. با این‌حال از آن‌جایی که بیشتر «ارائه‌کنندگان خدمات مدیریت‌شده» یعنی 84% آن‌ها در خصوص باج‌افزار «بسیار نگران» هستند، تنها 30% از آن‌ها اعلام کردند که مشتریانشان که کسب و کارهای کوچک و متوسط هستند عقیدۀ مشابهی با آن‌ها دارند.

با انتشار منظم گزارشات فراوان از حملات باح‌افزاری در خبرها، کسب و کارهای کوچک و متوسط باید این‌گونه حملات را جدی بگیرند چرا که تاثیرات چنین حملاتی می‌تواند برای کسب و کار آن‌ها فاجعه‌آمیز باشد.

بهترین روش‌ها برای جلوگیری از حملات سایبری باج‌افزاری

پس کسب و کارهای کوچک و متوسط چگونه می‌توانند از خود در برابر «باج‌افزار» و دیگر «حملات سایبری» مراقبت کنند؟

یکی از این راه‌ها در صورتی که تا به‌حال اینکار را انجام نداده‌اند، به‌کار گیری سپر دفاعی چند لایه‌ است، یعنی فراتر از صرفاً اجرای یک نرم‌افزار تشخیص بدافزار. آن‌ها باید ابزارهایی داشته باشند که در «اندپوینت»[6] و «لایه‌های شبکه» شفافیت ایجاد کند که شامل «EDR»[7] و «MDR»[8] می‌شود.

«EDR» به‌طور مداوم بر دستگاه‌های «اندپوینت» نظارت کرده و به فعالیت‌های مشکوک پاسخ می‌دهد تا حملات سایبری را کم اثر کند. ابزارهای «EDR» در«سرورهای ابری» یا «در محل» موجود بوده که داده‎‌ها را از دستگاه‌های «اندپوینت» جمع‌آوری کرده و سپس آن‌ها را برای مشکلات و حملات احتمالی تجزیه و تحلیل می‌کنند. این نرم‌افزار بر روی دستگاه‌های «کاربر نهایی» نصب شده و داده‌ها بر روی پایگاه‌دادۀ متمرکز ذخیره می‌شود.

«MDR» به شرکت‌ها «فعالیت‌های مداوم امنیت سایبری» و برون‌سپاری شده ارائه می‌کند و هم‌چنین امنیت را برای «اندپوینت‌ها»، «شبکه‌ها» و هم‌چنین «تجزیه و تحلیل امنیت» و «تخصص در تجسس حمله» به ارمغان می‌آورد. مراقبت در برابر «باج‌افزار» تلاشی مداوم است و نه صرفاً پاره وقت و از آن‌جایی که شرکت‌های کوچک بسیاری برای ارائۀ پوشش شبانه روزی تجهیز نشده‌اند، آن‌ها برای کمک به جلوگیری از انتشار و اجرای حملات «باج‌افزاری» درون سازمان به خدمات «MDR» نیاز دارند.

«MDR» و «EDR»

«MDR» و «EDR» برای کسب و کارهای کوچک و متوسط قابل دسترسی شده‌اند که امنیتی به «مرکز عملیات امنیت» ارائه می‌دهند که در گذشته تنها شرکت‌های بزرگ توانایی مالی برای تهیۀ آن را داشتند.

از آن‌جایی که حتی تاخیرهای جزئی در شناسایی و پاسخ به «باج‌افزار» می‌تواند منجر به مشکلات عدیده‌ای شود، دفاع در مقابل این حملات با استفاده از رویکرد چندلایه‌ایِ براساس حفاظت پیشگیرانه ضروری است.

کسب و کارهای کوچک و متوسط باید گذشته از استقرار آخرین ابزارهای امنیتی برای محافظت در برابر «باج‌افزار»، بر جلوگیری یا حداقل کاهش احتمال صدمه دیدن با یک حمله تمرکز داشته باشند که این مسئله شامل انجام ارزیابی‌های منظمِ خطرِ امنیتی، همراه با رویکردهای مداوم برای مدیریتِ وصلۀ امنیتی با استفاده از خدماتی مانند «MDR» و «EDR» است.

با انطباق پذیر شدن حملات «باج‌افزاری»، دورنمای این تهدیدات دائماً درحال تحول است، بنابراین ارزیابی‌های مکررِ خطر از طریق «MDR» و «EDR» پیشنهاد می‌شود. ارائه‌کنندگان معتبر فراوانی برای «خدمات امنیتی مدیریت شده» وجود دارد که می‌توان برای این ارزیابی‌ها و خدمات دیگر از آن‌ها کمک گرفت.

«کسب و کارهای کوچک و متوسط» باید درک کنند که «جلوگیری» کافی نیست، آن‌ها هم‌چنین باید دارای «برنامۀ کاهش اثر» مناسبی باشند که شامل «فایل پشتیبان غیر قابل نفود» است. زمانی که یک جریان احتمالی «باج‌افزار جدید» سعی در رمز گذاری فایل‌ها می‌کند، پشتیبان غیر قابل نفود از فایل‌های مورد نظر می‌تواند بعد از این‌که بدافزار مسدود شد، فایل‌ها را بازیابی کند.

«اینترنشنال دیتا کورپ» به راه‌های دیگری نیز اشاره کرده که شرکت‌ها می‌توانند از آن‌ها برای راهبرد خود در برابر «حملات باج‌افزاری» استفاده کنند. این راه‌ها شامل: «بررسی و تصدیق محافظت از داده‌ها و امنیت، انجام بازیابی اطلاعاتِ شرکا و تامین کنندگان»، «روش‌های دوره‌ای پاسخگویی تست حساسیت» و «توزیع مضاعف اطلاعات تهدید بین دیگر سازمان‌ها و یا نهاد‌های دولتی».

آموزش امنیت سایبری

هیچ‌گونه راهبرد امنیتی، بدون برنامه‌های آموزشی موثر برای تمام کاربران، کامل نیست. همان‌طور که گزارش شرکت «داتو» نشان داد، «آموزش کاربر مصرف‌کننده» بخش اساسی یک «راهبرد محافظت موثر در برابر باج‌افزار» است. به گزارش این شرکت «فیشینگ»، «فعالیت‌های ضعیف کاربر» و «فقدان امنیت سایبری از سمت کاربر» سه دلیل حملات موفق باج‌افزاری بوده است.

این گزارش ادامه می‌دهد، درک این مسئله مهم است که «آموزش امنیت» باید فراتر از صرفاً پوشش چگونگی تشخیص حملات فیشینگ باشد. با این‌که «فیشینگ» در صدر لیست قرار دارد، اما «رمز عبور ضعیف»، «دسترسی باز به پروتکل دسترسی از راه دور به دسکتاپ» و «گروهی از خطاهای کاربر» نیز از دلایل دیگر این نفوذها هستند.

اولویت قرار دادن راهبرد امنیت سایبری

«کسب و کارهای کوچک و متوسط» باید «امنیت سایبری» را در اولویت بالاترین سطوح شرکت قرار دهند. این مسئله به این معنا است که مدیر عامل و دیگر مدیران ارشد باید مثالی طراحی و آن ‌را شفاف‌سازی کنند که «فعالیت‌های امنیتی» که به جلوگیری از حملات باج‌افزاری کمک می‌کنند، وظیفۀ همۀ افراد است.

«کسب و کارهای کوچک و متوسط» با انجام اقدامات احتیاطی ضروری می‌توانند با قدرت در مقابل حملات «باج‌افزاری» و دیگر حملات دفاع کنند.

[1] bitdefender

[2] Trojans

[3] The Aeneid

[4] Virgil

[5] Datto

[6] Endpoint

[7] Endpoint Detection and Response

[8] Managed Detection and Response

 

منبع

آنتی ویروس بیت دیفندر سازمانی

چگونه بیت دیفندر شما را در مقابل باج افزارها محافظت می کند (بخش دوم)

در بخش اول این بلاگ به برخی از قابلیت های بیت دیفندر در خصوص لایه های مختلف بیت دیفندر در مواجهه با باج افزارها اشاره شد.

 

حملات باج افزارها، به عنوان یکی از جدی ترین تهدیداتی که در دنیای دیجیتال با آن ها سر و کار داریم بدل شده اند که همچنان هم بیشتر و هم پیچیده تر نیز شده اند.

هدف مجرمان سایبری بسیار ساده است: یافتن اهداف برای گرفتن دسترسی، دانلود و نصب بدافزار و رمزگذاری اطلاعات آن ها و جلوگیری از استفاده آن از سیستم هایشان! قربانیان باج افزار، معمولا باید به این مرحله از دست رفتن اطلاعات یا پرداخت باج فکر کنند.

 

آیا می توانید برای داده های خود قیمت تعیین کنید؟

بیشتر اطلاعات شخصی بر دو نوع خاطرات ارزشمند یا داده های مالی تقسیم می شوند. هرچند با توجه به اینکه امروز با توجه به شیوع ویروس کرونا، آشپزخانه و پذیرایی هم به اتاق کار ما بدل شده اند و دستگاه های ما حامل اطلاعات حساس کاری نیز شده اند.

 

چگونه از نحوه محافظت از داده ها و فایل های خود اطمینان حاصل کنیم؟

تکنولوژی ضدباج افزار بیت دیفندر، با جلوگیری از آلودگی به بدافزارها، تهدیدات مرتبط با باج افزارها که باعث رمزگذاری فایل ها می شوند را، دفع می کند. قابلیت Advanced Threat Defence – ATD به صورت مداوم تمامی برنامه های درحال اجرای سیستم را به جهت رفتارهایی مبنی بر رمزگذاری فایل ها را مانیتور می کند. ماژول ATD برای هدف گیری پروسس های مخرب و رفتار آن ها طراحی شده است. مثلا در صورتی که یک نرم افزار فایل hosts را تغییر دهد، خود را در دیگر پروسس ها تزریق کند، یا تلاش برای غیرفعال یا حذف آنتی ویروس کند. در این شرایط، ATD این پروسس را به عنوان یک پروسس مخرب که به سیستم آسیب می رساند، شناسایی کرده و متوقف می کند.

 

این تکنولوژی، با استفاده از روش های پیشرفته هوش مصنوعی باج افزارهای شناخته شده و حتی جدید را به صورت بلادرنگ شناسایی کرده و رفتارهای مخرب آن ها مانند رمزگذاری را پیش از شروع متوقف می کند. علاوه بر آن ATD از اطلاعات شبکه محافظت جهانی بیت دیفندر GPN به جهت توقف باج افزارهای جدید نیز بهره برده و شما را در خصوص رفتارهای مخرب به محض شناسایی مطلع خواهد ساخت.

 

Bitdefender Ransomware Remediationعلاوه بر موارد مذکور، قابلیت امنیتی ضدباج افزار بیت دیفندر، اطمینان پیدا می کند تا در صورتی که اسناد و فایل های حساس، توسط بدافزاری که توانسته همه قابلیت های امنیتی را دور بزند، حفظ شوند. این امر توسط قابلیت Ransomware Remediation انجام شده که امکان بازیابی فایل ها و داده های رمزشده را فراهم می کند. اگر یک نرم افزار مخرب فایل ها را رمزگذاری کند، یک نسخه پشتیبان از فایل های هدف، به صورت خودکار ایجاد خواهد شد و امکان بازیابی آن ها نیز با چند کلیک فراهم می شود.

 

برای محافظت از سیستم های خود، با استفاده از یک راهکار چندلایه شما می توانید از راهکارهای بیت دیفندر بهره برده و ریسک آلودگی به این باج افزارها را تا حد بسیار بالایی کاهش دهید.

آنتی ویروس بیت دیفندر سازمانی

چگونه بیت دیفندر شما را در مقابل باج افزارها محافظت می کند (بخش اول)

با نگاه به گزارشات تهدیدات سال 2020، متوجه می شویم که باج افزارها، به عنوان یک عنصر قابل مشاهده در زمان شیوع ویروس کرونا کاربران خانگی و سازمانی را به مخاطره انداخته اند.

کار از خانه یا دورکاری، واژه ای که این روزها به دلیل شیوع ویروس کرونا بیشتر به گوشمان می خورد و در همه جهان، همه این روش از کار را به عنوان روش جدید برگزیده اند که البته همین امر باعث شده تا مجرمان سایبری به دستگاه ها و شبکه های خانگی نفوذ کرده و باعث حملات زیادی باج افزاها شوند. گاها ممکن است که سطح پایین تر امنیت در شبکه های خانگی به این مجرمان گاها در سرقت یا دستکاری اطلاعات نیز کمک کرده است.

این ریسک حتی ممکن است که بیشتر هم بشود، چرا که کارمندان برای سهولت استفاده ممکن است به جای استفاده از دستگاه های شرکتی از دستگاه های شخصی برای انجام امور استفاده کنند.

Real-time Protection

حملات گسترده ای در سال گذشته میلادی در حوزه های مختلف مانند آموزش، مالی و … در صدر اخبار قرار گرفت، نشان دهنده این مهم است که مجرمان سایبری پشت باج افزارها، هرگز بین قربانیان خود تبعیض قائل نمی شوند. باید در نظر گرفت که آلودگی ممکن است در چندین ثانیه رخ دهد. کلیک بر روی یک لینک آلوده، سند و حتی با بازدید و دانلود ناخواسته از یک سایت مخرب به دلیل عدم وصله بودن مرورگر وب، همگی ممکن است در کسری از ثانیه شما را به دام این باج افزارها بیاندازد.

راهکار ضد باج افزار بیت دیفندر شما را درمقابل تهدیدات و حملات باج افزارها محافظت کرده و با دفع آن ها اطلاعات حساس شما را در مقابل سرقت یا تخریب محافظت می کند.

Bitdefender Shield به صورت بلادرنگ و دائمی، برای جلوگیری و توقف بدافزارها، شامل باج افزارها، طراحی شده است که با اسکن فایلها، ایمیل ها، امکان آلودگی به چنین تهدیداتی را کاهش می دهد. لایه های مختلف دفاعی در مقابل باج افزارها مانند Online Threat Prevention که ترافیک وب مانند HTTP و HTTPS را اسکن می کنند، با جلوگیری از ورود به وبسایت های مخرب، شما را از تهدیداتی از قبیل فیشینگ، کلاهبرداری، بدافزارها و حتی باج افزارها مصون می کند. این قابلیت بر روی مرورگرهای محبوب مانند Google Chrome, Safari و Mozilla Firefox به کاربر در زمانی که یک وبسایت مخرب را باز می کند، هشدار می دهد.

 

web attack prevention

 

لایه دیگر محافظتی Network Threat Prevention است که مسئولیت توقف حملات پیش از نفوذ به حفره های امنیتی سیستم شما را بر عهده دارد. این لایه با شناسایی و متوقف کردن حملاتی مانند Brute-Force، اسکنرهای پورت، از نشر اطلاعات حساس سازمان شما که توسط Botnetها اقدام به اسکن اطلاعات، می کنند، خنثی می کند. این Botnetها به صورت مداوم در حال اسکن شبکه ها برای پورت ها باز و درصورت شناسایی سرویس های شبکه حاوی حفره امنیتی، شروع به توزیع باج افزار و تروجان می کنند. که قابلیت Network Threat Prevention سیستم شما را در مقابل چنین تهدیداتی محافظت می کند.

 

network threat preventionاز آنجایی که کاربری خانگی و شرکتی روزانه به سمت دیجیتال تر شدن پیش می رود، الان صحبت بر رسر “اگر” یا “کی” دستگاه ها یا شبکه ها تحت تاثیر حملاتی سایبری قرار می گیرند، نیست. یک تهدید واقعی و منسجم یک باج افزار می تواند بیشتر سیستم عامل ها را تحت تاثیر قرار داده و آلوده کند.

برای محافظت از سیستم های خود، با استفاده از یک راهکار چندلایه شما می توانید از راهکارهای بیت دیفندر بهره برده و ریسک آلودگی به این باج افزارها را تا حد بسیار بالایی کاهش دهید.

فاز دوم دفاعی SOC – شناخت شناسه های تهدیدات سایبری

شناسه ­های تهدید

 در فاز اول ساختار SOC، سطح اولیه شناخت از حمله‌ها و گام‌های ضروری برای شکستن زنجیره حمله را بررسی کردیم. در این مقاله در مورد فازهای SOC و سطح پیشرفته محافظت از سازمان در برابر شناسه های تهدید مختلف صحبت خواهیم کرد. در گذشته وقتی صحبت از ویروس میشد، منظورمان یک فایل با  ‘exe’ و تعدادی پاپ آپ بود. بسیاری از ویروس های ساخته شده توسط بچه اسکریپتی ها بود و که باعث هیچ ضرری به هیچ کامپیوتری نمی شدند.

اما بدافزار امروزی توسط بچه اسکریپتی ها ساخته نشده، بلکه آنها توسط شرکت هایی برای کسب درآمد توسعه یافته‌اند و پشت هر بد افزار ساخته شده، هدف­ها و انگیزه هایی وجود دارد.

خانواده‌ی بدافزارها در دسته بندی های : ویروس/ Worm/ PUP/ جاسوس افزار/ نرم افزارهای تبلیغاتی/ ویروس چند شکلی/ آنتی ویروس تقلبی/ ویروس محافظ صفحه، وجود دارند. اینها تأثیر زیادی ایجاد نخواهند کرد یا انگیزه‌ی تجاری، پشت‌شان وجود نخواهد داشت.

شناسه‌های تهدید

اما امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، بسیار گسترده تر هستند، امروزه بدافزارها قابلیتهای درون ساختی مانند دانلود قسمت های اضافی کدهای مخرب، نفوذ به اطلاعات، برقراری ارتباطات خارج از سرورها، پاک کردن اطلاعات، رمز گذاری فایل ها و بسیاری از موارد دیگر را دارند.

بدافزار امروزی با دستور، انگیزه، هدف مالی و… ساخته شده اند.

خانواده نرم‌افزارهای مدرن این موارد است: تروجان‌ها/ روت کیت/ بات/ بات نت/ بدافزار POS/ بدافزار ATM/ باج افزار/ بدافزار رمز گذاری/ ربات جاسوسی/ Wiper/ تروجان CnC/ اکسپلویت کیت/ مرورگر هایجک/ دزد هویت نامه/ RAT/ WMI Backdoors/ Skeleton Key / کی لاگر و…

 

 

شناسه های تهدید،توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

بنابراین فهم اولیه از تهدیدات مدرن، برای هر گروه SOC ضروری می شود. فهم شناسه‌های تهدید در نظارت SOC خیلی مهم‌تر است.

SOC باید بداند که دارد با چه چیزی معامله می کند، باید عملکرد را بفهمد، باید الگو را متمایز کند، باید انواع انتشارات مختلف توسط جامعه هکر ها را بشناسد و همچنین تیم SOC باید روش‌های مدیریت بدون هیچ گونه اختلال را بداند‌.

شناسه های تهدید، انواع مختلف بدافزار/ اسکریپت‌ها/ برنامه‌های آسیب پذیر که از آنها استفاده مخرب میشود/ ابزارهای ویندوز و شبکه است که توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

این قابلیت‌ها می توانند به این صورت طبقه بندی شوند:

۱) دسترسی اولیه – حمله کنندگان برای به دست آوردن جایگاه اولیه در یک شبکه سو استفاده می کنند.

۲) اجرا- اجرای کد کنترل شده توسط حمله کننده در یک سیستم محلی یا از راه دور.  این تاکتیک اغلب به همراه دسترسی اولیه به عنوان ابزاری برای اجرای کد، بعد از رسیدن به دسترسی و سپس حرکت فرعی برای توسعه‌ی دسترسی به سیستم های از راه دور  در یک شبکه استفاده می شود.

۳) ماندگاری – ماندگاری عبارت است از هرگونه دسترسی، اقدام یا تغییر پیکربندی در یک سیستم که به دشمن امکان حضور مداوم در آن سیستم را می دهد.

دشمنان اغلب نیاز به دسترسی به سیستم ها از طریق ایجاد وقفه هایی مانند راه اندازی مجدد سیستم ، از دست دادن اعتبارنامه یا سایر خرابی ها دارند که برای راه اندازی مجدد آنها نیاز به یک ابزار دسترسی از راه دور باشد.

۴) افزایش امتیازات – افزایش امتیازات نتیجه اقداماتی است که به یک دشمن اجازه می دهد تا سطح بالاتری از مجوزها را در یک سیستم یا شبکه بدست آورد.  ابزارها یا اقدامات مشخصی برای اجرای عملکردشان، به سطح بالاتری از امتیازات نیازمندند و احتمالاً در بسیاری از نقاط طی عملیات ضروری هستند.

مهاجمان می توانند به سیستمی که فاقد دسترسی و امتیاز ویژه ای است  وارد شوند و از ضعف سیستم برای دستیابی به مدیر محلی یا سیستم بهره ببرند.

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن ایجاد کند.

۵) دور زدن دفاع- دور زدن دفاع شامل تکنیک هایی است که یک دشمن ممکن است برای فرار شناسایی شدن یا جلوگیری از سایر دفاع ها استفاده کند.  بعضی اوقات این اقدامات شبیه یا متفاوت از تکنیک‌های سایر طبقه‌بندی‌هایی است که مزیت اضافی واژگونی دفاع یا کاهش اثر معین را دارا هستند.

۶) دسترسی هویتی- دسترسی هویتی تکنیک هایی را که منجر به دسترسی یا کنترل هویت نامه سیستم، دامنه یا سرویس که در یک محیط سازمانی استفاده می شود را نشان می­دهد.

مهاجمان احتمالاً قصد خواهند داشت که هویت نامه‌های مجاز کاربران یا حساب‌های مدیر (مدیر سیستم محلی یا کاربران دامنه با دسترسی مدیر)را برای استفاده در شبکه به دست آورند.

۷) کشف- کشف شامل تکنیک هایی است که به مهاجم اجازه می دهد تا اطلاعات سیستم و شبکه داخلی را به دست آورد.

وقتی مهاجمان به یک سیستم جدید دسترسی پیدا می کنند، باید خود را در جهت آن چه که اکنون روی آن کنترل دارند و همینطور سودی که عملکرد آن سیستم به مقصود فعلی یا اهداف کلی آنها در حین نفوذ می‌دهد، قرار دهند.

۸) حرکت جانبی- حرکت جانبی شامل تکنیک هایی است که یک مهاجم را قادر می سازد به سیستم های از راه دور در یک شبکه، دسترسی و کنترل داشته باشد و می تواند شامل اجرای ابزارها در سیستم های از راه دور هم بشود اما نه لزوماً.

تکنیک‌های حرکت جانبی این اجازه را به یک مهاجم می‌دهد که بدون نیاز به ابزارهای اضافی، مانند ابزار دسترسی از راه دور، اطلاعات را از سیستم گردآوری کند.

۹) جمع آوری داده‌ها- جمع آوری داده‌ها شامل تکنیک هایی است که برای تشخیص و جمع آوری اطلاعات، مانند فایل‌های حساس، از یک شبکه هدف، قبل از استخراج استفاده می شود. همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

۱۰) سرقت یا دسترسی به اطلاعات کامپیوتری- به تکنیک ها و ویژگی‌هایی گفته می شود که منجر به حذف فایل‌ها یا اطلاعات از یک شبکه هدف، توسط مهاجم می شود یا به این کار کمک می‌کند.

همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

 

۱۱) هدایت و کنترل – تاکتیک هدایت و کنترل نشان دهنده این است که چگونه مهاجمان با سیستم های تحت کنترل‌شان در یک شبکه ارتباط برقرار می‌کنند.

 

امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، عظیم و گسترده تر هستند.

 

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن، بسته به پیکربندی سیستم و ساختار شبکه، ایجاد کند.

با توجه به سطوح گسترده تنوع که برای مهاجم در سطح شبکه در دسترس است، فقط از رایج‌ترین فاکتورها برای توصیف تفاوت‌ها در هدایت و فرمان استفاده شد‌.

در زیر انواع مختلف خانواده‌ی بدافزار که به عنوان ناقلان حمله باعث نویز بیشتر در شناسه‌های تهدید می شوند را میتوانید مشاهده کنید. این لیست کامل نیست، فقط نمونه ای از انواع مختلف منتشر شده است.

 

نتیجه- شناسه‌های تهدید

چرا باید نگران بدافزارها و عملکردهای آن باشم؟

ما باید نگران باشیم! چون بدافزارهای مدرن روشهایی خاص برای انتشار، با ساختار دستوری پیچیده‌تر دارند که قدرت در اختیار گیری آن‌ها بیشتر است‌.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت تیم AV سازمان شما نیست (که با آن مقابله کند)، بلکه مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

اکثر آن‌ها تنها نخواهند بود، در بیشتر موارد آنها گروهی کار می کنند تا کارشان را عملی کنند.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

 

 

تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

هر سه تا پنج سال یک‌بار، یک اصطلاح جدید فناوری امنیت سایبری به ‌شدت مورد استقبال قرار می‌گیرد. در سال 2021 نوبت به فناوری تشخیص و پاسخ گسترده (XDR) رسیده است. سال 2017، زمانی که فناوری تشخیص و پاسخ به نقطه پایانی (EDR) به‌عنوان «جام مقدس» در دفاع سایبری معرفی شد را به یاد می­آوریم.

فن آوری EDR در نسخه بیت دیفندر  الترا استفاده شده است.

قرار بر این بود EDR به حل همه چالش‌های امنیت سایبری ما بپردازد. پذیرندگان اولیه می‌توانستند این پتانسیل را ببینند، اما کاستی‌های متداولی را نیز تجربه کردند. EDR به‌ویژه از دقت پایین و سایر مشکلات عملکردی رنج می‌برد که در بسیاری از موارد منجر به هشدارهای حادثه غیر واقعی برای تیم‌های آماده‌سازی و در نتیجه کمبود نیروهای امنیتی برای مقابله با آن‌ها می‌شد.

با گذشت زمان EDR رشد پیدا کرده و در حال حاضر ارزش خود را ثابت کرده است. امروزه EDR یکی از مؤلفه‌های اصلی یک ساختار امنیتی جامع است و به‌ویژه هنگام مبارزه با حملات هدفمند و پیچیده از اهمیت ویژه‌ای برخوردار میشود. اگرچه تجربه EDR نشان داده است ،تلاش‌های پیشگیرانه را همان‌طور که در ابتدا نیز بیان شده بود منسوخ نکرده است. درواقع، این امر نیاز به تمرکز بیشتر بر پیشگیری، برای کاهش تعداد حوادث امنیتی شناسایی‌شده توسط EDR را برجسته کرده است. نسل اول راه‌حل‌های EDR در اعمال همبستگی رویدادهای امنیتی، فراتر از یک نقطه پایانی (endpoints) دارای محدودیت بود. این محدودیت بار تشخیص حملات پیچیده را بر عهده تیم‌های فناوری اطلاعات و عملیات امنیت می‌گذاشت.

تشخیص و پاسخ گسترده

تشخیص و واکنش گسترده (xEDR) دو مورد اصلی را علاوه بر آنچه در حال حاضر با EDR داریم، بهبود می‌بخشد:

  • همبستگی رویداد در سطح سازمانی برای کاهش دیدگاه پراکنده از حوادث پیچیده امنیتی
  • افزودن منابع بیشتر علاوه بر نقاط پایانی، مانند منابع شبکه برای ایجاد تصویری بزرگ‌تر از حملات

درحالی‌که این فناوری ازلحاظ تئوری، ساده و عالی به نظر می‌رسد اما در عمل انجام این پیشرفت‌ها به‌خصوص در یک زمان، ساده نیست. پذیرندگان اولیه XDR و تحلیل گران صنعت به‌طور یکسان، توانایی xEDR را در تشخیص و پاسخ -تأیید می‌کنند اما در مورد آن هشدارهایی نیز ارائه می‌دهند. اغلب نگرانی‌ها مربوط به عدم بلوغ راه‌حل، عدم وجود استانداردهای صنعت ازنظر ویژگی‌های الزامی و ترس از گیر افتادن با یک فروشنده امنیتی برای مدت طولانی استاست. البته همه این موارد خطراتی است که برای دسته‌ای از راه‌حل‌ها که هنوز در حال رشد و ظهور هستند، انتظار می‌رود.

همچنین، آنچه تاکنون واقعاً بخشی از بحث نبوده است، میزان استفاده مؤثر از راه‌حل‌های XDR توسط سازمان‌هایی است که تیم‌های عملیاتی امنیتی قابل‌توجهی ندارند (این موضوع به‌ویژه در مورد مشاغل متوسط ​​و کوچک صادق است).

با توجه به اینکه -فروشندگان xEDR، با قابلیت‌های اصلی مختلف (امنیت شبکه، امنیت نقطه پایانی، SIEM) در حال  ارائه خدمات به سازمان‌هایی با اندازه‌های مختلف هستند، هنوز مشخص نیست که چه تعداد و چه نوع کارمندی برای اجرای مؤثر راه‌حل‌های جدید موردنیاز است.

بنابراین، یک سؤال واقع‌گرایانه وجود دارد که ارزش پرسیدن دارد: آیا راهی وجود دارد که از مفاهیم XDR به روش قابل‌هضم‌تری استفاده کرد؟ چگونه می‌توان از EDR به XDR رشد کرد درحالی‌که کارمندان امنیتی اختصاصی بیشتری اضافه نکرد یا بر کارکنان موجود فشار وارد نکرد؟ XEDR یک گزینه عالی برای شروع است.

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) چیست؟

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) قابلیت‌های EDR، مانند تجزیه‌ و تحلیل امنیت و همبستگی رویدادهای امنیتی در سطح سازمانی، که به‌طور طبیعی در EDR به کار میرود، را دارد. XEDR مرزهای تجزیه‌وتحلیل امنیتی را فراتر از نقطه پایانی خود گسترش می‌دهد و رویدادها را از تمام نقاط پایانی در زیرساخت‌های سازمان به هم پیوند می‌دهد. این موضوع به زیرساخت‌های سازمانی به‌عنوان مجموع نقاط پایانی، همان‌طور که EDR انجام می‌دهد نگاه نمی‌کند، در عوض، یک دیدگاه کلی‌نگر را در نظر می‌گیرد و زیرساخت‌ها را به‌عنوان یک موجود واحد در نظر می‌گیرد که توسط چندین عنصر تشکیل‌ شده است (نقاط نهایی).

xEDR دارای سه مزیت مهم است:

  • مزایای XDR را درجایی که بیشترین اهمیت را دارند متمرکز می‌کند: در نقاط پایانی. چرا نقاط پایانی بیشترین اهمیت را دارند؟ زیرا اینجا مکانی است که داده‌ها در آن قرار می‌گیرند (سرورها / کانتینرها) و اینجا مکانی است که تعامل کاربر (ایستگاه‌های کاری) انجام می‌شود. نقاط پایانی در مقایسه با سایر عناصر زیرساخت در معرض خطر بسیار بالاتری قرار دارند.
  • امکان ادغام گام‌به‌گام سایر منابع در شبکه (غیر از نقاط پایانی) را در طول زمان فراهم می‌کند تا قابلیت تشخیص و مشاهده را افزایش دهد. این ریسک فناوری رایج در راه‌حل جدید را کاهش می‌دهد و از ادغام منابع جدید (چشم‌انداز وسیع‌تر) بدون از دست دادن داده ها پشتیبانی میکند. آنچه EDR بسیار خوب انجام می‌دهد: عمق چشم‌انداز.
  • نیازها را از نظر مهارت و تعداد کارکنان حفظ می‌کند (و حتی ممکن است کاهش دهد) و به بیشتر سازمان‌ها اجازه می‌دهد تاب‌آوری سایبری خود را بدون هیچ‌گونه هزینه عملیاتی اضافی افزایش دهند.

با نگاهی به تجربه گذشته EDR در می یابیم، XDR نیز با گذشت  زمان رشد کرده و و رویکرد  xEDR  می‌تواند مشکل شناسایی و مدیریت حوادث پیچیده سایبری را بهتر و سریع‌تر حل نماید.

نصب و فعالسازی آنتی ویروس بیت دیفندر

آنتی ویروس بیت دیفندر را می‌توان بر روی ویندوز، مک (نسخه مک)، اندروید و iOS نصب کرد. با توجه به اینکه این محصول میتواند یک، سه، پنج و ده کاربره باشد، برای فعالسازی آن بر روی اولین دستگاه باید کد لایسنس خود را وارد نمایید و سپس برای نصب آن روی سایر دستگاه‌ها کافی است که پس از پایان نصب با اطلاعات اکانت بیت دیفندر خود وارد سنترال شوید تا بیت دیفندر به‌صورت خودکار بر روی دستگاه‌های جدید نیز فعال شود. در ادامه روش نصب آنتی ویروس بیت دیفندر روی سیستم‌ عامل‌ها ویمدوز آمده است.

نصب و فعالسازی آنتی ویروس بیت دیفندر روی ویندوز

آنتی ویروس بیت دیفندر، راهکار امنیتی ویژه است که قابلیت نصب روی ویندوز را به صورت آنلاین را داراست.

دانلود آنلاین

1. روی گزینه دانلود ذیل محصول بیت دیفندر مورد نظر کلیک کنید و در پنجره باز شده، ویندوز- دانلود آنلاین را انتخاب کنید.

2. فایل دانلود شده Bitdefender_TS.exe را باز کنید و بر روی Run کلیک کنید.

3. با اجرا شدن فایل مذکور، بصورت خودکار توتال سکیوریتی بیت دیفندر روی سیستم ویندوز شما دانلود خواهد شد.

4. پس از اتمام دانلود، با کلیک کردن بر روی INSTALL فرآیند نصب آغاز خواهد شد. توجه داشته باشید که زبان توتال سکیوریتی حتما انگلیسی باشد و در غیر این صورت آن را تغییر دهید. (این محصول فاقد زبان فارسی است).

چگونه آنتی ویروس بیت دیفندر را حذف کنیم؟

رای حذف بیت دیفندر با توجه به نوع ویندوزتان به ترتیب ذیل عمل کنید:

ویندوز 7، 8 و 8.1

  1. از منوی  استارت وارد کنترل پنل شوید. ( در ویندوز 8 و 8.1 در قسمت منو می‌توانید عبارتControl Panel را تایپ نمایید)
  2. بر روی گزینه Uninstall a program یا Programs and Features. کلیک نمایید.
  3. Bitdefender را پیدا کرده و گزینه Uninstall را انتخاب نمایید.
  4. در پنجره باز شده روی Remove کلیک کرده و با توجه به اینکه می‌خواهید بیت دیفندر را مجددا نصب و یا بطور کامل حذف کنید، از بین دو گزینه I want to reinstall it و I want to permanently remove it یکی را انتخاب نمایید.
  5. سپس برای ادامه بر روی Next کلیک نمایید.
  6. صبر کنید تا فرآیند حذف تکمیل شود و سپس سیستم خود را  مجددا راه اندازی نمایید.

ویندوز 10

  1. از منوی شروع وارد تنظیمات )setting) شوید.
  2. در قسمت Setting بر روی گزینه Apps کلیک نمایید.
  3. Bitdefender را پیدا کرده و گزینه Uninstall را انتخاب نمایید.
  4. دوباره بر روی Uninstall کلیک کنید تا انتخاب خود را تایید نمایید.
  5. در پنجره باز شده روی Remove کلیک کرده و با توجه به اینکه می‌خواهید بیت دیفندر را مجددا نصب و یا بطور کامل حذف کنید، از بین دو گزینه I want to reinstall it و I want to permanently remove it یکی را انتخاب نمایید.
  6. سپس برای ادامه بر روی Next کلیک نمایید.
  7. صبر کنید تا فرآیند حذف تکمیل شود و سپس سیستم خود را مجددا راه اندازی نمایید.
آسیب پذیری ویندوز

وصله امنیتی بسیار مهم برای رفع آسیب پذیری Blukeep در ویندوزهای قدیمی.