نوشته‌ها

فاز دوم دفاعی SOC – شناخت شناسه های تهدیدات سایبری

شناسه ­های تهدید

 در فاز اول ساختار SOC، سطح اولیه شناخت از حمله‌ها و گام‌های ضروری برای شکستن زنجیره حمله را بررسی کردیم. در این مقاله در مورد فازهای SOC و سطح پیشرفته محافظت از سازمان در برابر شناسه های تهدید مختلف صحبت خواهیم کرد. در گذشته وقتی صحبت از ویروس میشد، منظورمان یک فایل با  ‘exe’ و تعدادی پاپ آپ بود. بسیاری از ویروس های ساخته شده توسط بچه اسکریپتی ها بود و که باعث هیچ ضرری به هیچ کامپیوتری نمی شدند.

اما بدافزار امروزی توسط بچه اسکریپتی ها ساخته نشده، بلکه آنها توسط شرکت هایی برای کسب درآمد توسعه یافته‌اند و پشت هر بد افزار ساخته شده، هدف­ها و انگیزه هایی وجود دارد.

خانواده‌ی بدافزارها در دسته بندی های : ویروس/ Worm/ PUP/ جاسوس افزار/ نرم افزارهای تبلیغاتی/ ویروس چند شکلی/ آنتی ویروس تقلبی/ ویروس محافظ صفحه، وجود دارند. اینها تأثیر زیادی ایجاد نخواهند کرد یا انگیزه‌ی تجاری، پشت‌شان وجود نخواهد داشت.

شناسه‌های تهدید

اما امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، بسیار گسترده تر هستند، امروزه بدافزارها قابلیتهای درون ساختی مانند دانلود قسمت های اضافی کدهای مخرب، نفوذ به اطلاعات، برقراری ارتباطات خارج از سرورها، پاک کردن اطلاعات، رمز گذاری فایل ها و بسیاری از موارد دیگر را دارند.

بدافزار امروزی با دستور، انگیزه، هدف مالی و… ساخته شده اند.

خانواده نرم‌افزارهای مدرن این موارد است: تروجان‌ها/ روت کیت/ بات/ بات نت/ بدافزار POS/ بدافزار ATM/ باج افزار/ بدافزار رمز گذاری/ ربات جاسوسی/ Wiper/ تروجان CnC/ اکسپلویت کیت/ مرورگر هایجک/ دزد هویت نامه/ RAT/ WMI Backdoors/ Skeleton Key / کی لاگر و…

 

 

شناسه های تهدید،توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

بنابراین فهم اولیه از تهدیدات مدرن، برای هر گروه SOC ضروری می شود. فهم شناسه‌های تهدید در نظارت SOC خیلی مهم‌تر است.

SOC باید بداند که دارد با چه چیزی معامله می کند، باید عملکرد را بفهمد، باید الگو را متمایز کند، باید انواع انتشارات مختلف توسط جامعه هکر ها را بشناسد و همچنین تیم SOC باید روش‌های مدیریت بدون هیچ گونه اختلال را بداند‌.

شناسه های تهدید، انواع مختلف بدافزار/ اسکریپت‌ها/ برنامه‌های آسیب پذیر که از آنها استفاده مخرب میشود/ ابزارهای ویندوز و شبکه است که توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

این قابلیت‌ها می توانند به این صورت طبقه بندی شوند:

۱) دسترسی اولیه – حمله کنندگان برای به دست آوردن جایگاه اولیه در یک شبکه سو استفاده می کنند.

۲) اجرا- اجرای کد کنترل شده توسط حمله کننده در یک سیستم محلی یا از راه دور.  این تاکتیک اغلب به همراه دسترسی اولیه به عنوان ابزاری برای اجرای کد، بعد از رسیدن به دسترسی و سپس حرکت فرعی برای توسعه‌ی دسترسی به سیستم های از راه دور  در یک شبکه استفاده می شود.

۳) ماندگاری – ماندگاری عبارت است از هرگونه دسترسی، اقدام یا تغییر پیکربندی در یک سیستم که به دشمن امکان حضور مداوم در آن سیستم را می دهد.

دشمنان اغلب نیاز به دسترسی به سیستم ها از طریق ایجاد وقفه هایی مانند راه اندازی مجدد سیستم ، از دست دادن اعتبارنامه یا سایر خرابی ها دارند که برای راه اندازی مجدد آنها نیاز به یک ابزار دسترسی از راه دور باشد.

۴) افزایش امتیازات – افزایش امتیازات نتیجه اقداماتی است که به یک دشمن اجازه می دهد تا سطح بالاتری از مجوزها را در یک سیستم یا شبکه بدست آورد.  ابزارها یا اقدامات مشخصی برای اجرای عملکردشان، به سطح بالاتری از امتیازات نیازمندند و احتمالاً در بسیاری از نقاط طی عملیات ضروری هستند.

مهاجمان می توانند به سیستمی که فاقد دسترسی و امتیاز ویژه ای است  وارد شوند و از ضعف سیستم برای دستیابی به مدیر محلی یا سیستم بهره ببرند.

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن ایجاد کند.

۵) دور زدن دفاع- دور زدن دفاع شامل تکنیک هایی است که یک دشمن ممکن است برای فرار شناسایی شدن یا جلوگیری از سایر دفاع ها استفاده کند.  بعضی اوقات این اقدامات شبیه یا متفاوت از تکنیک‌های سایر طبقه‌بندی‌هایی است که مزیت اضافی واژگونی دفاع یا کاهش اثر معین را دارا هستند.

۶) دسترسی هویتی- دسترسی هویتی تکنیک هایی را که منجر به دسترسی یا کنترل هویت نامه سیستم، دامنه یا سرویس که در یک محیط سازمانی استفاده می شود را نشان می­دهد.

مهاجمان احتمالاً قصد خواهند داشت که هویت نامه‌های مجاز کاربران یا حساب‌های مدیر (مدیر سیستم محلی یا کاربران دامنه با دسترسی مدیر)را برای استفاده در شبکه به دست آورند.

۷) کشف- کشف شامل تکنیک هایی است که به مهاجم اجازه می دهد تا اطلاعات سیستم و شبکه داخلی را به دست آورد.

وقتی مهاجمان به یک سیستم جدید دسترسی پیدا می کنند، باید خود را در جهت آن چه که اکنون روی آن کنترل دارند و همینطور سودی که عملکرد آن سیستم به مقصود فعلی یا اهداف کلی آنها در حین نفوذ می‌دهد، قرار دهند.

۸) حرکت جانبی- حرکت جانبی شامل تکنیک هایی است که یک مهاجم را قادر می سازد به سیستم های از راه دور در یک شبکه، دسترسی و کنترل داشته باشد و می تواند شامل اجرای ابزارها در سیستم های از راه دور هم بشود اما نه لزوماً.

تکنیک‌های حرکت جانبی این اجازه را به یک مهاجم می‌دهد که بدون نیاز به ابزارهای اضافی، مانند ابزار دسترسی از راه دور، اطلاعات را از سیستم گردآوری کند.

۹) جمع آوری داده‌ها- جمع آوری داده‌ها شامل تکنیک هایی است که برای تشخیص و جمع آوری اطلاعات، مانند فایل‌های حساس، از یک شبکه هدف، قبل از استخراج استفاده می شود. همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

۱۰) سرقت یا دسترسی به اطلاعات کامپیوتری- به تکنیک ها و ویژگی‌هایی گفته می شود که منجر به حذف فایل‌ها یا اطلاعات از یک شبکه هدف، توسط مهاجم می شود یا به این کار کمک می‌کند.

همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

 

۱۱) هدایت و کنترل – تاکتیک هدایت و کنترل نشان دهنده این است که چگونه مهاجمان با سیستم های تحت کنترل‌شان در یک شبکه ارتباط برقرار می‌کنند.

 

امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، عظیم و گسترده تر هستند.

 

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن، بسته به پیکربندی سیستم و ساختار شبکه، ایجاد کند.

با توجه به سطوح گسترده تنوع که برای مهاجم در سطح شبکه در دسترس است، فقط از رایج‌ترین فاکتورها برای توصیف تفاوت‌ها در هدایت و فرمان استفاده شد‌.

در زیر انواع مختلف خانواده‌ی بدافزار که به عنوان ناقلان حمله باعث نویز بیشتر در شناسه‌های تهدید می شوند را میتوانید مشاهده کنید. این لیست کامل نیست، فقط نمونه ای از انواع مختلف منتشر شده است.

 

نتیجه- شناسه‌های تهدید

چرا باید نگران بدافزارها و عملکردهای آن باشم؟

ما باید نگران باشیم! چون بدافزارهای مدرن روشهایی خاص برای انتشار، با ساختار دستوری پیچیده‌تر دارند که قدرت در اختیار گیری آن‌ها بیشتر است‌.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت تیم AV سازمان شما نیست (که با آن مقابله کند)، بلکه مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

اکثر آن‌ها تنها نخواهند بود، در بیشتر موارد آنها گروهی کار می کنند تا کارشان را عملی کنند.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

 

 

تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

هر سه تا پنج سال یک‌بار، یک اصطلاح جدید فناوری امنیت سایبری به ‌شدت مورد استقبال قرار می‌گیرد. در سال 2021 نوبت به فناوری تشخیص و پاسخ گسترده (XDR) رسیده است. سال 2017، زمانی که فناوری تشخیص و پاسخ به نقطه پایانی (EDR) به‌عنوان «جام مقدس» در دفاع سایبری معرفی شد را به یاد می­آوریم.

فن آوری EDR در نسخه بیت دیفندر  الترا استفاده شده است.

قرار بر این بود EDR به حل همه چالش‌های امنیت سایبری ما بپردازد. پذیرندگان اولیه می‌توانستند این پتانسیل را ببینند، اما کاستی‌های متداولی را نیز تجربه کردند. EDR به‌ویژه از دقت پایین و سایر مشکلات عملکردی رنج می‌برد که در بسیاری از موارد منجر به هشدارهای حادثه غیر واقعی برای تیم‌های آماده‌سازی و در نتیجه کمبود نیروهای امنیتی برای مقابله با آن‌ها می‌شد.

با گذشت زمان EDR رشد پیدا کرده و در حال حاضر ارزش خود را ثابت کرده است. امروزه EDR یکی از مؤلفه‌های اصلی یک ساختار امنیتی جامع است و به‌ویژه هنگام مبارزه با حملات هدفمند و پیچیده از اهمیت ویژه‌ای برخوردار میشود. اگرچه تجربه EDR نشان داده است ،تلاش‌های پیشگیرانه را همان‌طور که در ابتدا نیز بیان شده بود منسوخ نکرده است. درواقع، این امر نیاز به تمرکز بیشتر بر پیشگیری، برای کاهش تعداد حوادث امنیتی شناسایی‌شده توسط EDR را برجسته کرده است. نسل اول راه‌حل‌های EDR در اعمال همبستگی رویدادهای امنیتی، فراتر از یک نقطه پایانی (endpoints) دارای محدودیت بود. این محدودیت بار تشخیص حملات پیچیده را بر عهده تیم‌های فناوری اطلاعات و عملیات امنیت می‌گذاشت.

تشخیص و پاسخ گسترده

تشخیص و واکنش گسترده (xEDR) دو مورد اصلی را علاوه بر آنچه در حال حاضر با EDR داریم، بهبود می‌بخشد:

  • همبستگی رویداد در سطح سازمانی برای کاهش دیدگاه پراکنده از حوادث پیچیده امنیتی
  • افزودن منابع بیشتر علاوه بر نقاط پایانی، مانند منابع شبکه برای ایجاد تصویری بزرگ‌تر از حملات

درحالی‌که این فناوری ازلحاظ تئوری، ساده و عالی به نظر می‌رسد اما در عمل انجام این پیشرفت‌ها به‌خصوص در یک زمان، ساده نیست. پذیرندگان اولیه XDR و تحلیل گران صنعت به‌طور یکسان، توانایی xEDR را در تشخیص و پاسخ -تأیید می‌کنند اما در مورد آن هشدارهایی نیز ارائه می‌دهند. اغلب نگرانی‌ها مربوط به عدم بلوغ راه‌حل، عدم وجود استانداردهای صنعت ازنظر ویژگی‌های الزامی و ترس از گیر افتادن با یک فروشنده امنیتی برای مدت طولانی استاست. البته همه این موارد خطراتی است که برای دسته‌ای از راه‌حل‌ها که هنوز در حال رشد و ظهور هستند، انتظار می‌رود.

همچنین، آنچه تاکنون واقعاً بخشی از بحث نبوده است، میزان استفاده مؤثر از راه‌حل‌های XDR توسط سازمان‌هایی است که تیم‌های عملیاتی امنیتی قابل‌توجهی ندارند (این موضوع به‌ویژه در مورد مشاغل متوسط ​​و کوچک صادق است).

با توجه به اینکه -فروشندگان xEDR، با قابلیت‌های اصلی مختلف (امنیت شبکه، امنیت نقطه پایانی، SIEM) در حال  ارائه خدمات به سازمان‌هایی با اندازه‌های مختلف هستند، هنوز مشخص نیست که چه تعداد و چه نوع کارمندی برای اجرای مؤثر راه‌حل‌های جدید موردنیاز است.

بنابراین، یک سؤال واقع‌گرایانه وجود دارد که ارزش پرسیدن دارد: آیا راهی وجود دارد که از مفاهیم XDR به روش قابل‌هضم‌تری استفاده کرد؟ چگونه می‌توان از EDR به XDR رشد کرد درحالی‌که کارمندان امنیتی اختصاصی بیشتری اضافه نکرد یا بر کارکنان موجود فشار وارد نکرد؟ XEDR یک گزینه عالی برای شروع است.

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) چیست؟

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) قابلیت‌های EDR، مانند تجزیه‌ و تحلیل امنیت و همبستگی رویدادهای امنیتی در سطح سازمانی، که به‌طور طبیعی در EDR به کار میرود، را دارد. XEDR مرزهای تجزیه‌وتحلیل امنیتی را فراتر از نقطه پایانی خود گسترش می‌دهد و رویدادها را از تمام نقاط پایانی در زیرساخت‌های سازمان به هم پیوند می‌دهد. این موضوع به زیرساخت‌های سازمانی به‌عنوان مجموع نقاط پایانی، همان‌طور که EDR انجام می‌دهد نگاه نمی‌کند، در عوض، یک دیدگاه کلی‌نگر را در نظر می‌گیرد و زیرساخت‌ها را به‌عنوان یک موجود واحد در نظر می‌گیرد که توسط چندین عنصر تشکیل‌ شده است (نقاط نهایی).

xEDR دارای سه مزیت مهم است:

  • مزایای XDR را درجایی که بیشترین اهمیت را دارند متمرکز می‌کند: در نقاط پایانی. چرا نقاط پایانی بیشترین اهمیت را دارند؟ زیرا اینجا مکانی است که داده‌ها در آن قرار می‌گیرند (سرورها / کانتینرها) و اینجا مکانی است که تعامل کاربر (ایستگاه‌های کاری) انجام می‌شود. نقاط پایانی در مقایسه با سایر عناصر زیرساخت در معرض خطر بسیار بالاتری قرار دارند.
  • امکان ادغام گام‌به‌گام سایر منابع در شبکه (غیر از نقاط پایانی) را در طول زمان فراهم می‌کند تا قابلیت تشخیص و مشاهده را افزایش دهد. این ریسک فناوری رایج در راه‌حل جدید را کاهش می‌دهد و از ادغام منابع جدید (چشم‌انداز وسیع‌تر) بدون از دست دادن داده ها پشتیبانی میکند. آنچه EDR بسیار خوب انجام می‌دهد: عمق چشم‌انداز.
  • نیازها را از نظر مهارت و تعداد کارکنان حفظ می‌کند (و حتی ممکن است کاهش دهد) و به بیشتر سازمان‌ها اجازه می‌دهد تاب‌آوری سایبری خود را بدون هیچ‌گونه هزینه عملیاتی اضافی افزایش دهند.

با نگاهی به تجربه گذشته EDR در می یابیم، XDR نیز با گذشت  زمان رشد کرده و و رویکرد  xEDR  می‌تواند مشکل شناسایی و مدیریت حوادث پیچیده سایبری را بهتر و سریع‌تر حل نماید.

نصب و فعالسازی آنتی ویروس بیت دیفندر

آنتی ویروس بیت دیفندر را می‌توان بر روی ویندوز، مک (نسخه مک)، اندروید و iOS نصب کرد. با توجه به اینکه این محصول میتواند یک، سه، پنج و ده کاربره باشد، برای فعالسازی آن بر روی اولین دستگاه باید کد لایسنس خود را وارد نمایید و سپس برای نصب آن روی سایر دستگاه‌ها کافی است که پس از پایان نصب با اطلاعات اکانت بیت دیفندر خود وارد سنترال شوید تا بیت دیفندر به‌صورت خودکار بر روی دستگاه‌های جدید نیز فعال شود. در ادامه روش نصب آنتی ویروس بیت دیفندر روی سیستم‌ عامل‌ها ویمدوز آمده است.

نصب و فعالسازی آنتی ویروس بیت دیفندر روی ویندوز

آنتی ویروس بیت دیفندر، راهکار امنیتی ویژه است که قابلیت نصب روی ویندوز را به صورت آنلاین را داراست.

دانلود آنلاین

1. روی گزینه دانلود ذیل محصول بیت دیفندر مورد نظر کلیک کنید و در پنجره باز شده، ویندوز- دانلود آنلاین را انتخاب کنید.

2. فایل دانلود شده Bitdefender_TS.exe را باز کنید و بر روی Run کلیک کنید.

3. با اجرا شدن فایل مذکور، بصورت خودکار توتال سکیوریتی بیت دیفندر روی سیستم ویندوز شما دانلود خواهد شد.

4. پس از اتمام دانلود، با کلیک کردن بر روی INSTALL فرآیند نصب آغاز خواهد شد. توجه داشته باشید که زبان توتال سکیوریتی حتما انگلیسی باشد و در غیر این صورت آن را تغییر دهید. (این محصول فاقد زبان فارسی است).

چرا باید از محصولات امنیتی تحت شبکه استفاده کرد؟

محصولات آنتی ویروس به دو دسته محصول برای کاربران خانگی و محصول برای کاربران سازمانی تقسیم بندی میشود.  محصولات سازمانی علاوه بر اینکه تمام ویژگیهای محصولات خانگی را دارند از امکانات خاصی برای سهولت کار مدیران فنن آوری اطلاعات سازمان بهره مند هستند. در زیر به برخی از آنها اشاره میشود

هزینه و وقت کمتر در نصب و راه اندازی: محصولات عادی باید هرکدام جداگانه نصب و تنظیم شوند که در صورت بالا بودن تعداد کلاینت ها به وقت و نیروی انسانی بسیار زیادی احتیاج است

بروز رسانی راحت تر: در محصولات تحت شبکه سرور یکبار آپدیت شده و سپس این آپدیت را به تمام کلاینت ها اعمال می کند.اما محصولات عادی باید هرکدام جداگانه آپدیت شوند

– یکپارچگی امنیت: در محصولات تحت شبکه با توجه به اینکه آپدیت ها همزمان اعمال می شود کل سیستم در سطح امنیتی مساوی قرار می گیرد.اما در محصولات عادی آپدیت ها الزاماً همزمان نبوده و بنابراین یکپارچگی امنیتی وجود ندارد

– کنترل کلیه کلاینت ها از یک کنسول مدیریتی: به کمک این کنسول می توان همواره از طریق یک دستگاه به کلیه کلاینت ها نظارت و با اعمال سیاست های مختلف سطح امنیتی مناسب هرکدام را اعمال کرد

امکان استفاده از ریموت اکسس

رفع اشکال راحت تر در صورت بروز مشکل در شبکه

امکانات ویژه و مناسب برای سازمان های دارای پایگاه داده

امکان حذف و اضافه کلاینت ها از طریق سرور

کاهش هزینه های سخت افزاری: با توجه به اینکه کنسول اصلی بر روی سرور نصب می شود سایر کلاینت ها به نیازهای سخت افزاری محصولات عادی نیازی ندارند

پشتیانی کامل بهمراه آموزش برای نفرات معرفی شده توسط سازمان

و سایر امکانات از قبیل: اعمال محدودیت روی سایتها و برنامه های مختلف، بستن یو اس بی، کنترل

اینترنت، ارسال پیام به کلاینتها، اجرای برنامه از راه دور، گزارشات متنوع مدیریتی

آیا از فروشگاه‌های الکترونیکی خرید می‌کنید؟

کارشناس پلیس فتا گفت: با توجه به رشد روز افزون فعالیت‌های اقتصادی در حوزه فضای مجازی امروزه شاهد استفاده از فروشگاه الکترونیکی به منظور تأمین نیازهای کاربران در سطح اینترنت هستیم.

متأسفانه مردم به هشدارهای پلیس فتا در این خصوص توجه نکرده‌اند و همچنان از فروشگاه‌هایی که دارای اعتبار لازم نیستند خرید کرده و بسیاری از آنها با مشکلات عدیده‌ای مواجه شده‌اند.

عدم توجه به تذکر پلیس فتا در خصوص خریدهای اینترنتی موجب شده تا بعد از اینکه فرد از یک وب‌سایت غیر معتبر خرید کرده و وجه را از طریق درگاه الکترونیک یکی از بانک‌های عضو شتاب پرداخت می‌نماید حتی بعد از گذشت ماه‌ها موفق به دریافت کالا و یا خدمات خریداری شده نگردیده و با پیگیری‌های وی وجه پرداختی نیز مسترد نشده است، از این رو پلیس فتا به کلیه کاربران اینترنتی که قصد خرید الکترونیکی را دارند توصیه اکید می‌کند تا از فروشگاه‌هایی که دارای نماد اعتماد الکترونیکی از مرکز توسعه تجارت الکترونیک وزارت صنعت و معدن تجارت هستند خرید نمایند.

کلیه کاربران می توانند لیست فروشگاه‌هایی که دارای نماد الکترونیکی از مرکز توسعه تجارت الکترونیک وزارت بازرگانی می‌باشند را از سایت enamad.ir دریافت نمایند.

در نهایت پلیس فتا از کلیه کاربران می خواهد در صورت مواجه با موارد مشکوک آن را از طریق وب‌سایت پلیس فتا به آدرسCyberpolice.ir بخش گزارش تخلف فروشگاه‌های اینترنتی با ما گزارش نمایند.

منبع:

پایگاه اطلاع‌رسانی پلیس فتا