نوشته‌ها

پلاگ این وردپرس

باگ پلاگین وردپرس All in One SEO سه میلیون وبسایت را با سرقت شناسه تهدید می‌کند

پلاگ این وردپرس

یک آسیب‌پذیری بهره‌برداری از باگ‌های حیاتی می‌تواند باعث ایجاد درهای پشتی برای دسترسی ادمین در سرورهای وب شود

یک پلاگین معروف بهینه‌سازی سئوی وردپرس به نام All in One SEO وقتی در یک زنجیره بهره‌برداری قرار می‌گیرد یک جفت (pair) آسیب‌پذیری امنیتی بوجود می‌آورد که می‌تواند مالکین وبسایت‌ها را در معرض خطر سرقت سایت قرار دهد. این پلاگین  در بیش از 3 میلیون وبسایت استفاده شده است.

یک حمله‌کننده که در سایت حساب کاربری دارد – مثلا یک مشترک، یا دارنده حساب خرید – می‌تواند از چاله‌هایی بهره‌مند شود که طبق تحقیقات انجام شده در Sucuri نوعی بهره‌برداری از باگ و SQL Injection هستند.

محققین در Wednsday بیان کردند که «وبسایت‌های وردپرس بصورت پیشفرض به همه کاربران وب اجازه می‌دهند حساب کاربری ایجاد کنند. حسابهای جدید بصورت پیشفرض از رتبه مشترکی برخوردار هستند و هیچ قابلیتی جز نوشتن کامنت به آنها اختصاص داده نمی‌شود. اما برخی آسیب‌پذیریهای مشخص نظیر آسیب‌پذیریهای که اخیرا کشف شده است به این مشترکین اجازه می‌دهند اولویت‌های بیشتری نسبت به اولویت‌های مجاز بدست بیاورند».

طبق گفتۀ Sucuri این زوج به اندازه کافی برای بهره‌برادری آسان رشد کرده است، لذا کاربران باید نسخه خود را به نسخه پچ شدۀ v. 4.1.5.3 Marc Montpas ارتقا دهند. این نسخه توسط یک محقق امنیتی با یافتن باگ‌ها اعتباربخشی شد.

 

تعدیل اولویت و SQL Injection

از بین این دو باگ، مشکل تعدیل اولویت مهمتر است. این مشکل بر نسخه‌های 4.0.0 و 4.1.5.2 ی All in One SEO تاثیر می‌گذارد. در مقیاس شدت- آسیب‌پذیری CVSS امتیاز 9.9 از 10 به آن تعلق گرفته است، زیرا بهره‌برداری بسیار آسان است و می‌توان برای مقرر نمودن در پشتی در وب‌سرور از آن استفاده کرد.

محققین در Sucuri بیان کرده‌اند که صرفا با تغییر حرف کوچک یک کاراکتر درخواست به حرف بزرگ می‌توان از این آسیب‌پذیری بهره برد.

اساسا این پلاگین دستورات را به نقاط انتهایی مختلف REST API می‌فرستد و یک بررسی مجوزات انجام می‌دهد تا مطمئن شود کسی کار غیرمجازی انجام ندهد. اما مسیرهای REST API حساس به حالت حرف هستند، لذا کافیست حمله‌کننده کوچک یا بزرگ بودن یک کاراکتر را تغییر دهد تا از بررسی‌های احراز هویت عبور کند.

محققین Sucuri می‌گویند «این آسیب‌پذیری وقتی استفاده شود می‌تواند فایل‌های بخصوصی را در ساختار فایل وردپرس رونویسی کند، و دسترسی در پشتی برای هر حمله‌کننده‌ای فراهم شود. این امکان سرقت وبسایت را فراهم می‌سازد و می‌تواند اولویت‌های حساب‌های مشترک را به ادمین ارتقا دهد».

باگ دوم یک هسته پرشدت CVSS از 7.7 را حمل می کند و بر نسخه‌های 4.1.3.1 و 4.1.5.2 تاثیر می‌گذارد.

بطور ویژه، این مشکل در یک نقطه انتهایی API به نام «/wp-json/aioseo/v1/objects» واقع است. اگر طبق گفته Sucuri، حمله‌کنندگان از آسیب‌پذیری قبلی برای ارتقای امتیازات خود به سطح ادمین استفاده کنند، قابلیت دسترسی به نقطه انتهایی را بدست خواهند آورد و در نتیجه می‌توانند دستورات مخرب SQL را به پایگاه‌داده پشتی ارسال کنند و اعتبارنامه‌های کاربر، اطلاعات ادمین و داده‌های مهم دیگر را بازیابی نمایند.

طبق گفته محققین، کاربران All in One SEO برای ایمنی خود لازم است نسخه خود را به نسخه پچ شده ارتقا دهند. گام‌های دفاعی دیگر عبارتند از:

  1. بازیابی کاربران مدیر (ادمین) در سیستم و حذف کاربران مشکوک؛
  2. تغییر همه گذرواژه‌های حساب مدیر؛ و
  3. افزودن سخت‌گیریهای بیشتر به پنل مدیر.
بهشت پلاگین برای هکرهای وبسایت

محققین می‌گویند پلاگین‌های وردپرس هنوز برای مهاجمان سایبری به عنوان یک زمینه و مسیر جذاب تلقی می‌شوند. به عنوان مثال در ماه دسامبر یک حمله فعال علیه بیش از 1.6 میلیون سایت وردپرس انجام شد. محققین ده‌ها میلیون تلاش برای بهره‌وری از پلاگین‌های مختلف و چند چهارچوب اپسیلون ثبت کرده‌اند.

یوریل مایمون مدیر اجرایی پیشین فناوریهای نوظهور در شرکت PerimeterX در یک ایمیل گفته است «پلاگین‌های وردپرس هنوز خطری جدی برای همه کاربردهای وب تلقی می‌شوند و لذا یک هدف رایج برای حمله‌کنندگان خواهند بود. کد سایه از طریق پلاگین‌های شخص ثالث معرفی شد و چهارچوب‌ها بطور گسترده سطح حمله را برای وبسایت‌ها توسعه می‌دهند».

وقتی باگ‌ها جدید پدیدار می شوند، وضعیت خطرناک می‌شود. به عنوان مثال اوایل ماه جاری پلاگین «Variation Swatches for WooCommerce» که در 80،000 خرده فروشی دارای وردپرس نصب شده بود حاوی یک آسیب پذیری امنیتی ذخیره شده بین سایت اسکریپت (XSS) بود که به مهاجمین سایبری اجازه می‌داد اسکریپت‌های مخرب را  تزریق کنند و کنترل سایت‌ها را بدست بگیرند.

طبق گفته محققین در ماه اکتبر دو آسیب‌پذیری قوی در Post Grid، یک پلاگین وردپرس با بیش از 60،000 نصب، راه را برای سارقان شناسه سایت باز کرده بود. باگ‌های نسبتاً مشابهی در پلاگین همتای Post Grid، یعنی Team Showcase یافت شد که دارای 6،000 نصب است.

در همین ماه اکتبر، یک باگ پلاگین وردپرس در پیشنهاد واردکننده دموی Hashthemes کشف شد، که به کاربران دارای مجوزهای ساده اجازه می‌داد سایت‌هایی با هر محتوایی را از بین ببرند.

مایمون گفته است «دارندگان وبسایت‌ها باید در مورد پلاگین‌ها و چهارچوب‌های شخص ثالث مراقب باشند و بروزرسانی‌های امنیتی انجام دهند. آنها باید با استفاده از دیوارهای آتش برنامه‌های وب وبسایت‌های خود را ایمن سازند. همچنین، از راهکارهای قابلیت رویت سمت کلاینت استفاده کنند که وجود کد بدخواه را در سایت تشخیص می‌دهد».

شرکت مهندسی ابل رایان پویا

 

باج گیر

باج افزار RaaS چیست و چرا خطرناک است؟

پوشیده نیست که باج افزار (ransomware ) سریعا به خطرناک­ترین تهدید برای سازمان­ها تبدیل می­شود. تعداد حملات باج افزار به صورت چشمگیری در حال افزایش است، که عمدتا ناشی از پاندمی کرونا است. به­ صورت جهانی، حملات باج افزار در سال 2020 به بیش از 60% افزایش یافت که 158% آن در آمریکای شمالی بود و ادارۀ فدرال تحقیقات (FBI) 20 % بیشتر شکایات از باج افزار دریافت کرد. در نیمۀ اول سال 2020، حملات باج افزار در مقایسه با دورۀ زمانی مشابه در سال گذشته به 151% افزایش یافت.

یکی از دلایلی که حملۀ باج افزار فراوان شده است، افزایش RaaS یا باج افزار به­عنوان سرویس است. این مساله به چگونگی انجام حملات و استقرار باج افزار در شبکه ها است که شانس موفقیت را افزایش می دهد.  ما این توسعه باج‌افزار جدید را بررسی می‌کنیم و نکاتی را در مورد اینکه چگونه می‌توانید بهتر از خود دفاع کنید به شما ارائه می‌کنیم.

باج افزار به چه صورت عمل می­کند؟

باج‌افزار تا حد زیادی از طریق Exploit-kit ها ساخته میشود. ابزاری که می‌توان از طریق انجمن‌های هکری و Dark Web خریداری کرد. باج افزار Hermes مثال خوبی است. اکسپلویت کیت ها، حاوی بدافزار، روتکیت‌ها و باج‌افزار هستند که معمولاً به منظور استفاده از یکی از آسیب‌پذیری های موجود ساخته می‌شوند که به بدافزار اجازه می‌دهد تا شبکه را آلوده کند. این امر به خریدار این امکان را می دهد که تلاش کند تا سازمان را با یک بدافزار آلوده کند در صورتی که سازمان آسیب‌پذیری های مربوطه را اصلاح نکرده باشد٬ اما هکرها می‌توانند از انواع دیگر حملات مانند فیشینگ برای نفوذ استفاده کنند.

بسته به اکسپلویت کیتی که یک هکر میتواند خریداری کند، هکر می­تواند حملۀ مخربی را ترتیب دهد که این حمله ممکن است شامل باج افزار کدگذاری شده در یک فایل مخرب باشد که پاداش های تمام افرادی که فایل را دانلود کرده اند را گرداوری می­کند. در هر حال، این نوع از باج افزار بطور گسترده­ای بدلیل نبود کارایی دچار رکود شده است.

مدل قدیمی نفوذ مربوط به ارسال ایمیل‌های فیشینگ است  با این امید که فردی یک پیوست مخرب را دانلود کند، که اغلب کار نمی‌کند. ضد فیشینگ، AV، شناسایی بدافزار، فیلترهای هرزنامه می توانند این نوع حملات باج افزار را در مراحل مختلف زنجیره حمله متوقف کنند.

حتی در مقابل با باج افزار کالا (commodity ransomware) مانند هرمس، داشتن فایل پشتیبان  (Backup File) برای مواجهه با حملات باج افزار کافی است.

از آن جایی که باج افزار در دسترس تمامی خریداران قرار دارد، محققان امنیت توانستند کلیدهای کشف رمز (Decryption keys) را توسعه دهند و هدف­ها را از باج افزار دور کنند، بدون آن که آنها را وادار به پرداخت باج به حمله کنندگان کنند و در عوض، توسعه­دهندگان باج افزار را وادار می­کنند که فایل های مخرب خود را بطور پیوسته به روز رسانی کنند (بدلیل اینکه آنتی ویروس ها آنها را شناسایی کرده اند، پس باید تغییراتی در آنها داده شود تا دوباره هکر ها بتوانند از آنها استفاده ببرند).

و نتیجه میگیریم حملات باج افزار چندان کارامد و موثر نبودند و هکرها باید روش دیگری را پیدا کنند.

توصیف باج افزار به عنوان سرویس

خطرناک ترین گروه های باج گیر تصمیم گرفتند موثرترین باج افزار خود را خصوصی کنند و یک قدم فراتر بروند. به جای اینکه آن را بفروشند و به عاملین بد اجازه دهند آزادانه از آنها استفاده کنند، تصمیم گرفتند باج افزار را به صورت یک وب سرویس لایسنس دار در بیاورند، و به صورت درصدی هزینه ها را با خریداران این سرویس های مخرب تقسیم کنند.

این بدان معناست که یک عامل بد خدمات گروه‌های هکر را به طور کامل برون‌سپاری می‌کند– این موضوع تغییری اساسی در نحوه انجام حملات باج‌افزار به شمار میرود.

گروه‌های هکر به‌جای استفاده از این ابزار در حملات فیشینگ و هرزنامه‌ها، یا به سازمان‌های هدف نفوذ می‌کنند یا باج‌افزار را در اهدافی که عوامل مخرب قبلاً راه خود را پیدا کرده‌اند، مستقر می‌کنند.

این مساله دو مزیت برای حمله کننده های باج افزار به همراه دارد:

سازمان­هایی که قبلا به خطر افتاده ­اند:  این حملات حملاتی با سبک سنتی نیستند بلکه حملات هدفمند تری هستند که یک سازمان به خطر افتاده را آلوده می‌کنند و شانس موفقیت را افزایش می‌دهند. و از آنجا که عوامل مخرب در حال حاضر در محیط یک شرکت هستند، احتمال بیشتری وجود دارد که باج افزارها بخش بزرگتری از شبکه سازمان را تحت‌تاثیر قرار دهد.

هیچ کلید رمزگشایی در دسترس وجود ندارد: امنیت سایبری به اطلاعات بستگی دارد. این واقعیت که باج گیر  در چنین مقیاس وسیعی مورد استفاده قرار می‌گرفت، امکان توسعه کلیدهای رمزگشایی را برای محققان امنیتی فراهم کرد. با این حال، باج‌افزار خیلی در دسترس نیست و تنها در برابر سازمان‌ها به‌طور کم استفاده می‌شود که این مسئله ساخت کلیدهای رمزگشایی را دشوارتر می‌کند.

باج افزار Ryuk مثال خوبی برای این موضوع است. این باج افزار که فقط توسط گروه هکر WIZARD SPIDER مجوز داده شده است، اشتراکات زیادی با هرمس دارد، اما تنها شرکت های بزرگ را با این باج گیر هدف قرار می دهد. و از آنجایی که به طور گسترده برای خرید در دسترس نیست، ویژگی های مخصوص به قربانی را برای هر حمله ایجاد می کند که ایجاد یک کلید رمزگشایی برای آن را بسیار دشوارتر می کند.

 

RaaS احتمالا به هنجار جدید تبدیل می­شود

متاسفانه، این توسعۀ جدید احتمالا حفظ می­شود. روش جدید، مزایای بیشتری برای متهاجمان دارد. هکر مخرب به دنبال آن است تا سازمانی را آلوده کند که احتمال موفقیت در آن بالاتر است و گروه باج افزار بدون انجام دادن کار بیشتر قادر به انجام حمله و سرقت اطلاعات است.

در نتیجه، قبلاً دیده‌ایم که گروه‌های باج‌افزار مدل کارتلی را اتخاذ کرده و با گروه‌های باج‌افزاری کوچک‌تر کار می‌کنند و شبکه‌ای سازمان‌یافته از مجرمان باج‌افزار را ایجاد می‌کنند. موفقیت مشاهده شده این مدل به این دلیل است که احتمالاً این مدل باقی می ماند و در آینده نزدیک افزایش می یابد.

این مساله بخشی از این دلیل است که حملات باج افزار بسیار افزایش یافته است و ما شاهد پرداخت های بزرگتر و بزرگتر هستیم. متوسط پرداخت باج افزار به طور چشمگیری افزایش یافت و به بیش از 300 هزار دلار در سال 2020 رسید که نشان دهنده افزایش 171 درصدی است.

سازمان­ها همچنان می­توانند از خودشان در برابر RaaS محافظت کنند.

با وجود این تحولات جدید، این بدان معنا نیست که سازمان ها در برابر این سبک از حملات درمانده هستند. خوشبختانه، سازمان ها می توانند از ابزارها، فرآیندها و راه حل های موجود برای محافظت از خود در برابر باج افزار استفاده کنند.

در اینجا چند زمینه وجود دارد که باید آنها را در اولویت قرار دهید.

دفاع سنتی در مقابل باج افزار را متوقف نکنید

فیلترهای هرزنامه، AV، و ابزارهای تشخیص و حذف ضد بدافزار به اندازه کافی موثر بوده اند تا مجرمان را مجبور به اتخاذ روش های دیگر کنند و حتی ممکن است مانع از اجرای باج افزار در محیط شما شوند. این ابزارها و همچنین برنامه های آموزشی آگاهی امنیتی باید همچنان مورد استفاده قرار گیرند و اولویت بندی شوند.

همیشه نسخه­ های پشتیبان همراه داشته باشید

اگر می‌توانید از فایل‌های خود نسخه پشتیبان تهیه کنید یا محیط خود را به مرحله قبل از آلودگی باج گیر برگردانید، برای شروع فرآیند بازیابی نیازی به پرداخت باج ندارید. اطمینان حاصل کنید که پشتیبان‌های شما کاملاً از شبکه اصلی شما جدا شده‌اند تا از آلودگی جلوگیری کنید.

 

 

روی ابزارهای نظارت و شناسایی سرمایه گذاری کنید

 

پیش درآمد این حملات باج گیر جدید، نفوذ است. اگر بتوانید ورود یک فرد غیرمجاز به شبکه خود را شناسایی کنید، می توانید از حمله جلوگیری کرده و به طور بالقوه آنها را قبل از اینکه آسیبی وارد کند از محیط خود بیرون کنید.

تا حد امکان از قطعه بندی شبکه استفاده کنید

این موضوع همیشه در برابر باج افزار کار کرده و هنوز هم جواب می دهد. اگر یک سیستم قطعه بندی شبکه مقاوم دارید، باید بتوانید از آلوده کردن باج‌افزارها به مهم‌ترین دارایی‌های تجاری‌تان جلوگیری کنید و حتی از تهدیدهای اخاذی یا نشت داده‌ها جلوگیری کنید.

طرح پاسخ آماده داشته باشید

سازمان­ها باید برای مقابله با حملات باج افزار آمادگی کامل داشته باشد. یعنی باید یک طرح واکنش به حادثه ساخته شود و حتی در مواردی ممکن است بخواهید از یک شریک بررسی قضایی در سازمان استفاده کنید که در صورت خطر می تواند به سازمان کمک کنند.

ظهور RaaS بسیار نگران کننده است، اما اصول، روش ها، ابزارها و سیستم های امنیتی هنوز هم قابلیت های دفاعی، شناسایی و پاسخ قوی را ارائه می دهند. این اولویت های مهم را نادیده نگیرید و شرکای اهرمی را در نظر بگیرید که می توانند در قسمت تشخیص و پاسخ کمک کنند.

در این لینک درباره decryptor که به بیش از 1400 شرکت در 83 کشور کمک کرد تا فایل های خود را بازیابی کنند و بیش از 550 میلیون دلار باج پرداخت نشده را ذخیره کنند، بیشتر بیاموزید.

فاز دوم دفاعی SOC – شناخت شناسه های تهدیدات سایبری

شناسه ­های تهدید

 در فاز اول ساختار SOC، سطح اولیه شناخت از حمله‌ها و گام‌های ضروری برای شکستن زنجیره حمله را بررسی کردیم. در این مقاله در مورد فازهای SOC و سطح پیشرفته محافظت از سازمان در برابر شناسه های تهدید مختلف صحبت خواهیم کرد. در گذشته وقتی صحبت از ویروس میشد، منظورمان یک فایل با  ‘exe’ و تعدادی پاپ آپ بود. بسیاری از ویروس های ساخته شده توسط بچه اسکریپتی ها بود و که باعث هیچ ضرری به هیچ کامپیوتری نمی شدند.

اما بدافزار امروزی توسط بچه اسکریپتی ها ساخته نشده، بلکه آنها توسط شرکت هایی برای کسب درآمد توسعه یافته‌اند و پشت هر بد افزار ساخته شده، هدف­ها و انگیزه هایی وجود دارد.

خانواده‌ی بدافزارها در دسته بندی های : ویروس/ Worm/ PUP/ جاسوس افزار/ نرم افزارهای تبلیغاتی/ ویروس چند شکلی/ آنتی ویروس تقلبی/ ویروس محافظ صفحه، وجود دارند. اینها تأثیر زیادی ایجاد نخواهند کرد یا انگیزه‌ی تجاری، پشت‌شان وجود نخواهد داشت.

شناسه‌های تهدید

اما امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، بسیار گسترده تر هستند، امروزه بدافزارها قابلیتهای درون ساختی مانند دانلود قسمت های اضافی کدهای مخرب، نفوذ به اطلاعات، برقراری ارتباطات خارج از سرورها، پاک کردن اطلاعات، رمز گذاری فایل ها و بسیاری از موارد دیگر را دارند.

بدافزار امروزی با دستور، انگیزه، هدف مالی و… ساخته شده اند.

خانواده نرم‌افزارهای مدرن این موارد است: تروجان‌ها/ روت کیت/ بات/ بات نت/ بدافزار POS/ بدافزار ATM/ باج افزار/ بدافزار رمز گذاری/ ربات جاسوسی/ Wiper/ تروجان CnC/ اکسپلویت کیت/ مرورگر هایجک/ دزد هویت نامه/ RAT/ WMI Backdoors/ Skeleton Key / کی لاگر و…

 

 

شناسه های تهدید،توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

بنابراین فهم اولیه از تهدیدات مدرن، برای هر گروه SOC ضروری می شود. فهم شناسه‌های تهدید در نظارت SOC خیلی مهم‌تر است.

SOC باید بداند که دارد با چه چیزی معامله می کند، باید عملکرد را بفهمد، باید الگو را متمایز کند، باید انواع انتشارات مختلف توسط جامعه هکر ها را بشناسد و همچنین تیم SOC باید روش‌های مدیریت بدون هیچ گونه اختلال را بداند‌.

شناسه های تهدید، انواع مختلف بدافزار/ اسکریپت‌ها/ برنامه‌های آسیب پذیر که از آنها استفاده مخرب میشود/ ابزارهای ویندوز و شبکه است که توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

این قابلیت‌ها می توانند به این صورت طبقه بندی شوند:

۱) دسترسی اولیه – حمله کنندگان برای به دست آوردن جایگاه اولیه در یک شبکه سو استفاده می کنند.

۲) اجرا- اجرای کد کنترل شده توسط حمله کننده در یک سیستم محلی یا از راه دور.  این تاکتیک اغلب به همراه دسترسی اولیه به عنوان ابزاری برای اجرای کد، بعد از رسیدن به دسترسی و سپس حرکت فرعی برای توسعه‌ی دسترسی به سیستم های از راه دور  در یک شبکه استفاده می شود.

۳) ماندگاری – ماندگاری عبارت است از هرگونه دسترسی، اقدام یا تغییر پیکربندی در یک سیستم که به دشمن امکان حضور مداوم در آن سیستم را می دهد.

دشمنان اغلب نیاز به دسترسی به سیستم ها از طریق ایجاد وقفه هایی مانند راه اندازی مجدد سیستم ، از دست دادن اعتبارنامه یا سایر خرابی ها دارند که برای راه اندازی مجدد آنها نیاز به یک ابزار دسترسی از راه دور باشد.

۴) افزایش امتیازات – افزایش امتیازات نتیجه اقداماتی است که به یک دشمن اجازه می دهد تا سطح بالاتری از مجوزها را در یک سیستم یا شبکه بدست آورد.  ابزارها یا اقدامات مشخصی برای اجرای عملکردشان، به سطح بالاتری از امتیازات نیازمندند و احتمالاً در بسیاری از نقاط طی عملیات ضروری هستند.

مهاجمان می توانند به سیستمی که فاقد دسترسی و امتیاز ویژه ای است  وارد شوند و از ضعف سیستم برای دستیابی به مدیر محلی یا سیستم بهره ببرند.

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن ایجاد کند.

۵) دور زدن دفاع- دور زدن دفاع شامل تکنیک هایی است که یک دشمن ممکن است برای فرار شناسایی شدن یا جلوگیری از سایر دفاع ها استفاده کند.  بعضی اوقات این اقدامات شبیه یا متفاوت از تکنیک‌های سایر طبقه‌بندی‌هایی است که مزیت اضافی واژگونی دفاع یا کاهش اثر معین را دارا هستند.

۶) دسترسی هویتی- دسترسی هویتی تکنیک هایی را که منجر به دسترسی یا کنترل هویت نامه سیستم، دامنه یا سرویس که در یک محیط سازمانی استفاده می شود را نشان می­دهد.

مهاجمان احتمالاً قصد خواهند داشت که هویت نامه‌های مجاز کاربران یا حساب‌های مدیر (مدیر سیستم محلی یا کاربران دامنه با دسترسی مدیر)را برای استفاده در شبکه به دست آورند.

۷) کشف- کشف شامل تکنیک هایی است که به مهاجم اجازه می دهد تا اطلاعات سیستم و شبکه داخلی را به دست آورد.

وقتی مهاجمان به یک سیستم جدید دسترسی پیدا می کنند، باید خود را در جهت آن چه که اکنون روی آن کنترل دارند و همینطور سودی که عملکرد آن سیستم به مقصود فعلی یا اهداف کلی آنها در حین نفوذ می‌دهد، قرار دهند.

۸) حرکت جانبی- حرکت جانبی شامل تکنیک هایی است که یک مهاجم را قادر می سازد به سیستم های از راه دور در یک شبکه، دسترسی و کنترل داشته باشد و می تواند شامل اجرای ابزارها در سیستم های از راه دور هم بشود اما نه لزوماً.

تکنیک‌های حرکت جانبی این اجازه را به یک مهاجم می‌دهد که بدون نیاز به ابزارهای اضافی، مانند ابزار دسترسی از راه دور، اطلاعات را از سیستم گردآوری کند.

۹) جمع آوری داده‌ها- جمع آوری داده‌ها شامل تکنیک هایی است که برای تشخیص و جمع آوری اطلاعات، مانند فایل‌های حساس، از یک شبکه هدف، قبل از استخراج استفاده می شود. همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

۱۰) سرقت یا دسترسی به اطلاعات کامپیوتری- به تکنیک ها و ویژگی‌هایی گفته می شود که منجر به حذف فایل‌ها یا اطلاعات از یک شبکه هدف، توسط مهاجم می شود یا به این کار کمک می‌کند.

همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

 

۱۱) هدایت و کنترل – تاکتیک هدایت و کنترل نشان دهنده این است که چگونه مهاجمان با سیستم های تحت کنترل‌شان در یک شبکه ارتباط برقرار می‌کنند.

 

امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، عظیم و گسترده تر هستند.

 

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن، بسته به پیکربندی سیستم و ساختار شبکه، ایجاد کند.

با توجه به سطوح گسترده تنوع که برای مهاجم در سطح شبکه در دسترس است، فقط از رایج‌ترین فاکتورها برای توصیف تفاوت‌ها در هدایت و فرمان استفاده شد‌.

در زیر انواع مختلف خانواده‌ی بدافزار که به عنوان ناقلان حمله باعث نویز بیشتر در شناسه‌های تهدید می شوند را میتوانید مشاهده کنید. این لیست کامل نیست، فقط نمونه ای از انواع مختلف منتشر شده است.

 

نتیجه- شناسه‌های تهدید

چرا باید نگران بدافزارها و عملکردهای آن باشم؟

ما باید نگران باشیم! چون بدافزارهای مدرن روشهایی خاص برای انتشار، با ساختار دستوری پیچیده‌تر دارند که قدرت در اختیار گیری آن‌ها بیشتر است‌.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت تیم AV سازمان شما نیست (که با آن مقابله کند)، بلکه مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

اکثر آن‌ها تنها نخواهند بود، در بیشتر موارد آنها گروهی کار می کنند تا کارشان را عملی کنند.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

 

 

اولین فاز دفاعی SOC – درک زنجیره حمله سایبری -رویکرد دفاعی با / بدون SOC

این مقاله به شما کمک می کند تا تهدیدات سایبری مدرن و رایج ترین سطوح حمله استفاده شده پشت هر گونه حمله بدافزار/سایبری را بشناسید. در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد. بنابراین تیم سایبری باید الگوها و زنجیره حمله را بشناسد.

بنابراین شکستن زنجیره حمله و جلوگیری از مجرمان به قصد متوقف کردن هدفشان، تاثیر بد تجاری از بین رفتن اطلاعات را کم میکند. این کار بصورت صد در صدی مراحل دفاعی را برای سازمان شما فراهم نمی کند.

 

این کار اطلاعات مختصری در مورد ناقلان حمله فراهم می‌کند و اینکه هر تیم SOC باید یک مکانیسم دفاعی برای آن بسازد تا مرحله اولیه نظارت امنیتی را داشته باشد. این گام‌ها می‌تواند توسط هر تیم امنیت شبکه یا صنایعی با مقیاس کوچک یا شرکت‌های کوچکتر که نمی‌توانند SOC تهیه کنند، پیروی شود تا به آنها کمک کند که به وسیله آن، دیوار دفاعی بسازند.

در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد.

 

۳ واقعیت اساسی که باید به ذهن بسپارید:

مجرمان اینترنتی همیشه جلوتر از کنترل های امنیتی برنامه ریزی می کنند.

۱) هر چیزی را به آسانی به حمله کننده ندهید، کار را برای او سخت کنید. ( اقدامات کنترلی در شبکه)

۲) برنامه‌های آسیب پذیر مجاز را در صورت عدم استفاده فعال نکنید، حمله کنندگان همیشه از برنامه های مجاز در شبکه استفاده می کند. ( سو استفاده از  LOLBins)

۳) فکر نکنید که حمله کنندگان، فقط یک بخش از یک کد واحد را ایجاد می کنند، آنها همیشه به مراحل حمله با دستورالعمل ها و قابلیت های گوناگون متکی هستند. (زنجیره کشتار سایبری)

 

بنابراین، مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

) دفاع در برابر ورود بد افزار-( وارد شدن به شبکه سازمان تان)

۲) اگر بد افزار با موفقیت وارد شد، چگونه قرار است از حرکات جانبی و ماندگاری آن دفاع کنید؟-(حرکت به درون شبکه سازمان‌تان)

۳) اگر حمله کننده، همه فعالیت هایش را کامل کند، مرحله نهایی او استخراج داده یا نفوذ خواهد بود. ( ترک از شبکه سازمان‌تان)

نکته کوچک: این زنجیره کشتار سایبری نیست، یک فاز اساسی از حمله است.

بیایید مراحل را تجزیه کنیم و از مکانیسم های دفاعی آن در برابر ناقلین آلودگی رایج مطمئن شویم.

 

مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

 

 

 

 مرحله۱: دریافت بدافزار/ هرزنامه

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند. اما اخیراً این تکنیک ها به آسانی توسط حمله کنندگان سایبری، مغلوب می‌شود. حمله‌های سایبری امروزی شامل یک مرحله نیستند آنها بد افزار را در هر سازمانی، در مراحل مختلف آلودگی ، پخش می کنند. در ابتدا حمله کنندگان قربانی را فریب می‌دهند تا روی هر گونه آدرس اینترنتی غیرمخرب کلیک کند و آن را به یک CnC منتقل می کند و پی لود مخرب خود را آزاد میکند. این مراحل نمی‌توانند توسط سیستم‌های دفاعی سنتی مسدود شوند.

دو راه اساسی: ۱) پخش ایمیل- هرزنامه، فیشینگ هدفدار، کمپین‌های ایمیل. ۲)نقاط ورودی RDP

الف) پیوست های ایمیل رایج مورد استفاده در بیشتر کمپین های ایمیل

  1. vbs (VBS فایل اسکریپت)

2 .js (فایل جاوا اسکریپت)

3 .exe (اجرا شدنی)

4 .jar (فایل آرشیو جاوا)

5 .docx ، .doc ، .dot (اسناد آفیس)

6 .html ، .htm (فایل‌های صفحه وب)

7 .wsf (فایل اسکریپت ویندوز)

8 .pdf

9 .xml (فایل اکسل)

 

10.rtf (فایل با فرمت متن غنی، استفاده شده توسط آفیس)

پیوست ایمیل که ناخواسته و غیر مجاز هستند را بلاک کنید. جیمیل این افزونه ها را بلاک کرد و می‌تواند در سازمان شما هم بلاک شود.

ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js,.jse, .lib, .lnk,.mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct,.shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh

ب) کارکنان را برای اجرای اسکریپت ها در نقطه پایانی مرحله محدود کنید.

ج) آگاهی کاربر از ایمیل های هرزنامه و آموزش های مناسب به کاربران

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند.

RDP – پروتکل دسکتاپ از راه دور (پورت ۳۳۸۹) که سرورهای اتصالات RDP آسیب پذیر را شناسایی می‌کند، به لطف ابزارهای اسکن مانند شودان (Shodan)  و مس اسکن (masscan) به طرز شگفت آوری آسان شده است.

به همین دلیل به سادگی، مسئله فقط استفاده از ابزارهای جستجوی فراگیر(بروت فورس) مانند NLBrute برای شکستن هویت نامه‌های RDP و حمله‌کنندگانی که در آن هستند، می‌باشد. از طرف دیگر حمله کنندگان  می‌توانند به راحتی به DarkMarket xDedic زیر زمینی بروند، جایی که دسترسی به سرور های آلوده می تواند فقط ۶ دلار هزینه داشته باشد.

RDP تبدیل به یک ناقل آلودگی مورد علاقه، برای مجرمان باج افزار شده است، به خصوص با باج افزارهایی نظیر سم سم، کرایسیس، لاک کریپت، شِید، آپوکالیپس و انواع مختلف دیگر که همه وارد عمل می‌شوند.

. مکانیسم دفاعی سوء استفاده از RDP:

. دسترسی با فایروال ها را محدود کنید.

. از پسورد (رمز عبور)های قوی و 2FA/MFA استفاده کنید.

. کاربرانی که می توانند با استفاده از RDP وارد سیستم شوند را محدود سازید.

. برای مقابله با حملات جستجوی فراگیر، سیاست قفل حساب را تنظیم کنید.

 

مرحله۱-الف: ‏بازیابی پی لودها از سرورهای کنترل و فرمان

در نسخه های اخیر، ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند. در برخی موارد، ایمیل اولین طعمه برای فریب قربانی است تا همه‌ی اسکریپت ها را از طریق ایمیل اجرا کند که خود باعث سوء استفاده از برنامه های کاربر و دانلود هر گونه پی لود در مرحله دوم آلودگی می‌شود. غیرفعال کردن یا محدود کردن آن منابع مجاز در دانلود فایل‌ها از اینترنت می تواند به جلوگیری از دریافت پی لودها کمک کند.

حمله کنندگان سایبری همیشه دوست دارند از برنامه های مجاز مایکروسافت آفیس برای دستیابی به اهدافشان سوء استفاده کنند. زیرا:

۱) برنامه های آفیس در سطح جهانی پذیرفته شده‌اند. بیشترین نام های مورد استفاده توسط حمله کنندگان در پیوست یک ایمیل (فاکتور، گزارش ها، ترازنامه، اسناد و مناقصه ها) است.

۲) برنامه های آفیس براحتی مسلح می شوند. قابلیت‌های درون ساختی مایکروسافت توسط حمله شوندگان جذب می‌شود و از آن‌ها به روش های متعددی استفاده میکنند.

 

 

چگونه حمله کنندگان برای انتقال پی لودها از برنامه‌های مایکروسافت سوء استفاده می‌کنند؟

الف) ماکروها – غیرفعال یا محدود کردن

ب) پیوند دادن و جایگذاری (OLE)-محدود یا غیرفعال کردن

ج) تبادل پویای داده (DDE)- این عملکرد از word برداشته شود ، هنوز نیاز است که در Excel و Outlook هم غیر فعال شود.

د) بهره برداری از ویرایشگر معادله– CVE-2017-11882 – این عملکرد، در به روز رسانی امنیتی ویندوز در ژانویه ۲۰۱۸ برداشته شد.

نه فقط برنامه های مایکروسافت آفیس، حمله کنندگان همچنین از برنامه های مجاز و ابزارهای درون ساختی ویندوز، برای انتقال پی لود ها استفاده می کنند.

الف) VBS اسکریپت و جاوا اسکریپت- اگر احتیاج ندارید غیرفعال کنید.

ب) پاورشل-غیرفعال کردن یا کاهش قابلیت ها با استفاده از قفل برنامه یا سیاست محدودیت نرم افزاری ویندوز  (SRP)

ج) سو استفاده از certutil.exe, mshta.exe, regsvr32.exe, bitsadmin.exe and curl.exe- بلاک کردن برنامه ها و بلاک کردن ایجاد درخواست های خارجی

در میان برنامه های مجاز، این موارد می‌تواند برای ایجاد لیست سفید برنامه استفاده شود: هم بلاک کردن و هم تحت کنترل گرفتن توصیه می شود.

 

   ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند.

 

مرحله۲: مطمئن شوید که بد افزار در سازمان اجرا یا پخش نمیشود.

 

به طور معمول سازمان ها به آنتی ویروس (AV)  برای جلوگیری از اجرای بد افزار تکیه می‌کنند.

حمله ها برای نادیده گرفتن/ دور زدن AV توسعه یافته اند. برای اثرگذار بودن، نرم‌افزار محافظت نقطه پایانی، باید از یادگیری ماشینی برای تجزیه و تحلیل هوشمندتر فایل و از تجزیه و تحلیل فعالیت سیستم در زمان واقعی برای تشخیص و بلاک رفتارهای مخرب استفاده کند.

 

لیست سفید برنامه لایه دفاعی خوب دیگری است که نگهداری آن می­تواند مشکل باشد. حمله کنندگان همچنین می توانند با تزریق کد مخرب به فرایندهای تایید شده، لیست سفید و AV را دور بزنند.

حمله کنندگان همچنین می توانند بسیاری از روش‌های AV/NGAV را با تزریق کد مخرب به فضای حافظه‌ی یک فرایند مجاز، دور بزنند، بنابراین امتیازات آن را می‌ربایند و تحت قالب آن عمل می‌کنند.

 

انواع مختلفی از تکنیک‌های تزریق مخرب وجود دارد که حمله‌کنندگان می‌توانند به کار ببرند؛ تزریق DLL، تزریق DLL انعکاسی، فرایند تو خالی، فرآیند دوپلگنگینگ، بمب گذاری اتم و…

دفاع در برابر اجرای بد افزار در محیط شما شامل این موارد است:

۱) محافظت نقطه پایانی

۲)لیست سفید برنامه

۳) اگر ممکن است استفاده کاربران از اسکریپت‌ها را محدود یا قطع کنید.

۴) کنترل ویندوز به وسیله فولدرها

۵) برای جلوگیری از تکنیک های تزریق، فرآیندهای نظارت و تماس های API را به کار بگیرید.

حمله ها برای نادیده گرفتن/ دور زدن AV (آنتی ویروس) توسعه یافته اند.

 

مرحله۳: مطمئن شوید در/ بعد از مرحله آخر از زنجیره حمله، به اطلاعاتتان نفوذ یا استخراج نشده باشد.

وقتی حمله کنندگان اولین دسترسی را پیدا کردند، توجه‌شان به فعالیت‌های بعد از بهره ‌برداری جلب می‌شود. برای ادامه عملکرد توسط ردیاب، حمله کنندگان ترجیح می‌دهند که قانع باشند و از ابزارهای مجاز و فرآیندهایی که قبلاً در سیستم وجود داشت استفاده کنند.

حمله کنندگان می توانند از عملکردها و ابزارهای سیستم سوء استفاده کنند و نقاط بارگذاری متعددی ایجاد کنند، از جمله ذخیره کردن اسکریپت ها در رجیستری.

تعداد زیادی از انواع مختلف بد افزارها طراحی شده‌اند که برای تکثیر خودکار، اغلب از ابزارهای اجرایی از راه دور سوء استفاده کرده­اند.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است. بعضی از ابزارهای بسیار رایجی که مورد سوء استفاده قرار گرفته‌اند، این موارد است: پاورشل، ابزارهای مدیریتی ویندوز (WMI) و ابزارهای مدیریتی از راه دور مانند PsExec.

تکنیکهای حمله کنندگان و مکانیسم های دفاعی:

۱) سوء استفاده از برنامه هایی که برای ارتقای خودکار طراحی شده است.

الف) هر موقع که ممکن است، از بالاترین سطح اجرایی UAC استفاده کنید.

ب) حالت تایید ادمین را فعال کنید.

ج) کاربران را از گروه ادمین محلی بردارید.

۲) سرقت DLL

الف) نرم افزار محافظت نقطه پایانی

ب)به DLL‌های از راه دور، اجازه بارگذاری ندهید.

ج) حالت جستجوی DLL ایمن را فعال کنید.

۳) بهره‌برداری‌های افزایش امتیاز (دزدی رمز، افزایش آسیب پذیری آدرس دهی عنصر اطلاعاتی NULL، تنظیم توصیف‌گر امنیتی بر روی NULL و…)

الف) نرم افزار محافظت نقطه پایانی با فضای کاربر، فضای هسته اصلی و سطح دید CPU

۴) استخراج اعتبار

الف) فعال کردن حافظه پنهان

ب) با استفاده از قفل برنامه، پاورشل را محدود یا غیرفعال کنید.

ج) حداقل ایمنی را ایجاد کنید، از اشتراک هویت‌نامه خودداری کنید.

د) محافظت نقطه پایانی که از LSASS و سایر ذخیره‌‌های هویتی محافظت می کند.

۵) تکنیک حرکت فرعی ( سو استفاده از ابزارهای مدیریتی از راه دور و…)

الف) پیشنهادات تنظیمات UAC

ب) بهترین روش های تقسیم شبکه (منبع: SANS)

ج) احراز هویت دو عاملی

۶) پنهان کردن اسکریپت‌های مخرب در رجیستری

الف) با اجرای خودکار نظارت کنید.

۷) ایجاد تسک‌های برنامه ریزی شده مخرب

الف) بر رویداد ID 4698 ارتباط امنیتی ویندوز نظارت کنید.

۸) سوء استفاده از WMI برای ترغیب اجرای اسکریپت ها بر اساس رویدادها (در راه اندازی و…)

الف) سابسکرایبشن‌های رویداد WMI دفاعی بسازید.

ب) اگر ممکن است یک پورت ثابت برای WMI از راه دور تنظیم کرده و آن را مسدود کنید.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است.

نتیجه

همه این متن در مورد فهم اولیه در مورد این موضوع است که با چه نوع رفتاری از ناقلان و سطوح حمله ممکن است در سازمان مواجه شویم و در مرحله اول یک دیوار دفاعی بسازیم.

این کار برای شما ایمنی صد درصدی در مقابل همه رفتار ها ایجاد نمی‌کند، روش های نوظهور و تک و ارتباط بیشتری در الگوهای بد افزار در حال پدیدار شدن است. بنابراین باید مطمئن شویم که در مقابل حملات سایبری الگوهای شناخته شده، بر اساس توصیه های آمده شده در بالا، از قبل ایمن شده‌ایم.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

شما می توانید برای به روز رسانی های روزانه سایبری، ما را در لینکدین، توئیتر و فیسبوک دنبال کنید.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

منبع

تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

هر سه تا پنج سال یک‌بار، یک اصطلاح جدید فناوری امنیت سایبری به ‌شدت مورد استقبال قرار می‌گیرد. در سال 2021 نوبت به فناوری تشخیص و پاسخ گسترده (XDR) رسیده است. سال 2017، زمانی که فناوری تشخیص و پاسخ به نقطه پایانی (EDR) به‌عنوان «جام مقدس» در دفاع سایبری معرفی شد را به یاد می­آوریم.

فن آوری EDR در نسخه بیت دیفندر  الترا استفاده شده است.

قرار بر این بود EDR به حل همه چالش‌های امنیت سایبری ما بپردازد. پذیرندگان اولیه می‌توانستند این پتانسیل را ببینند، اما کاستی‌های متداولی را نیز تجربه کردند. EDR به‌ویژه از دقت پایین و سایر مشکلات عملکردی رنج می‌برد که در بسیاری از موارد منجر به هشدارهای حادثه غیر واقعی برای تیم‌های آماده‌سازی و در نتیجه کمبود نیروهای امنیتی برای مقابله با آن‌ها می‌شد.

با گذشت زمان EDR رشد پیدا کرده و در حال حاضر ارزش خود را ثابت کرده است. امروزه EDR یکی از مؤلفه‌های اصلی یک ساختار امنیتی جامع است و به‌ویژه هنگام مبارزه با حملات هدفمند و پیچیده از اهمیت ویژه‌ای برخوردار میشود. اگرچه تجربه EDR نشان داده است ،تلاش‌های پیشگیرانه را همان‌طور که در ابتدا نیز بیان شده بود منسوخ نکرده است. درواقع، این امر نیاز به تمرکز بیشتر بر پیشگیری، برای کاهش تعداد حوادث امنیتی شناسایی‌شده توسط EDR را برجسته کرده است. نسل اول راه‌حل‌های EDR در اعمال همبستگی رویدادهای امنیتی، فراتر از یک نقطه پایانی (endpoints) دارای محدودیت بود. این محدودیت بار تشخیص حملات پیچیده را بر عهده تیم‌های فناوری اطلاعات و عملیات امنیت می‌گذاشت.

تشخیص و پاسخ گسترده

تشخیص و واکنش گسترده (xEDR) دو مورد اصلی را علاوه بر آنچه در حال حاضر با EDR داریم، بهبود می‌بخشد:

  • همبستگی رویداد در سطح سازمانی برای کاهش دیدگاه پراکنده از حوادث پیچیده امنیتی
  • افزودن منابع بیشتر علاوه بر نقاط پایانی، مانند منابع شبکه برای ایجاد تصویری بزرگ‌تر از حملات

درحالی‌که این فناوری ازلحاظ تئوری، ساده و عالی به نظر می‌رسد اما در عمل انجام این پیشرفت‌ها به‌خصوص در یک زمان، ساده نیست. پذیرندگان اولیه XDR و تحلیل گران صنعت به‌طور یکسان، توانایی xEDR را در تشخیص و پاسخ -تأیید می‌کنند اما در مورد آن هشدارهایی نیز ارائه می‌دهند. اغلب نگرانی‌ها مربوط به عدم بلوغ راه‌حل، عدم وجود استانداردهای صنعت ازنظر ویژگی‌های الزامی و ترس از گیر افتادن با یک فروشنده امنیتی برای مدت طولانی استاست. البته همه این موارد خطراتی است که برای دسته‌ای از راه‌حل‌ها که هنوز در حال رشد و ظهور هستند، انتظار می‌رود.

همچنین، آنچه تاکنون واقعاً بخشی از بحث نبوده است، میزان استفاده مؤثر از راه‌حل‌های XDR توسط سازمان‌هایی است که تیم‌های عملیاتی امنیتی قابل‌توجهی ندارند (این موضوع به‌ویژه در مورد مشاغل متوسط ​​و کوچک صادق است).

با توجه به اینکه -فروشندگان xEDR، با قابلیت‌های اصلی مختلف (امنیت شبکه، امنیت نقطه پایانی، SIEM) در حال  ارائه خدمات به سازمان‌هایی با اندازه‌های مختلف هستند، هنوز مشخص نیست که چه تعداد و چه نوع کارمندی برای اجرای مؤثر راه‌حل‌های جدید موردنیاز است.

بنابراین، یک سؤال واقع‌گرایانه وجود دارد که ارزش پرسیدن دارد: آیا راهی وجود دارد که از مفاهیم XDR به روش قابل‌هضم‌تری استفاده کرد؟ چگونه می‌توان از EDR به XDR رشد کرد درحالی‌که کارمندان امنیتی اختصاصی بیشتری اضافه نکرد یا بر کارکنان موجود فشار وارد نکرد؟ XEDR یک گزینه عالی برای شروع است.

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) چیست؟

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) قابلیت‌های EDR، مانند تجزیه‌ و تحلیل امنیت و همبستگی رویدادهای امنیتی در سطح سازمانی، که به‌طور طبیعی در EDR به کار میرود، را دارد. XEDR مرزهای تجزیه‌وتحلیل امنیتی را فراتر از نقطه پایانی خود گسترش می‌دهد و رویدادها را از تمام نقاط پایانی در زیرساخت‌های سازمان به هم پیوند می‌دهد. این موضوع به زیرساخت‌های سازمانی به‌عنوان مجموع نقاط پایانی، همان‌طور که EDR انجام می‌دهد نگاه نمی‌کند، در عوض، یک دیدگاه کلی‌نگر را در نظر می‌گیرد و زیرساخت‌ها را به‌عنوان یک موجود واحد در نظر می‌گیرد که توسط چندین عنصر تشکیل‌ شده است (نقاط نهایی).

xEDR دارای سه مزیت مهم است:

  • مزایای XDR را درجایی که بیشترین اهمیت را دارند متمرکز می‌کند: در نقاط پایانی. چرا نقاط پایانی بیشترین اهمیت را دارند؟ زیرا اینجا مکانی است که داده‌ها در آن قرار می‌گیرند (سرورها / کانتینرها) و اینجا مکانی است که تعامل کاربر (ایستگاه‌های کاری) انجام می‌شود. نقاط پایانی در مقایسه با سایر عناصر زیرساخت در معرض خطر بسیار بالاتری قرار دارند.
  • امکان ادغام گام‌به‌گام سایر منابع در شبکه (غیر از نقاط پایانی) را در طول زمان فراهم می‌کند تا قابلیت تشخیص و مشاهده را افزایش دهد. این ریسک فناوری رایج در راه‌حل جدید را کاهش می‌دهد و از ادغام منابع جدید (چشم‌انداز وسیع‌تر) بدون از دست دادن داده ها پشتیبانی میکند. آنچه EDR بسیار خوب انجام می‌دهد: عمق چشم‌انداز.
  • نیازها را از نظر مهارت و تعداد کارکنان حفظ می‌کند (و حتی ممکن است کاهش دهد) و به بیشتر سازمان‌ها اجازه می‌دهد تاب‌آوری سایبری خود را بدون هیچ‌گونه هزینه عملیاتی اضافی افزایش دهند.

با نگاهی به تجربه گذشته EDR در می یابیم، XDR نیز با گذشت  زمان رشد کرده و و رویکرد  xEDR  می‌تواند مشکل شناسایی و مدیریت حوادث پیچیده سایبری را بهتر و سریع‌تر حل نماید.

نصب و فعالسازی آنتی ویروس بیت دیفندر

آنتی ویروس بیت دیفندر را می‌توان بر روی ویندوز، مک (نسخه مک)، اندروید و iOS نصب کرد. با توجه به اینکه این محصول میتواند یک، سه، پنج و ده کاربره باشد، برای فعالسازی آن بر روی اولین دستگاه باید کد لایسنس خود را وارد نمایید و سپس برای نصب آن روی سایر دستگاه‌ها کافی است که پس از پایان نصب با اطلاعات اکانت بیت دیفندر خود وارد سنترال شوید تا بیت دیفندر به‌صورت خودکار بر روی دستگاه‌های جدید نیز فعال شود. در ادامه روش نصب آنتی ویروس بیت دیفندر روی سیستم‌ عامل‌ها ویمدوز آمده است.

نصب و فعالسازی آنتی ویروس بیت دیفندر روی ویندوز

آنتی ویروس بیت دیفندر، راهکار امنیتی ویژه است که قابلیت نصب روی ویندوز را به صورت آنلاین را داراست.

دانلود آنلاین

1. روی گزینه دانلود ذیل محصول بیت دیفندر مورد نظر کلیک کنید و در پنجره باز شده، ویندوز- دانلود آنلاین را انتخاب کنید.

2. فایل دانلود شده Bitdefender_TS.exe را باز کنید و بر روی Run کلیک کنید.

3. با اجرا شدن فایل مذکور، بصورت خودکار توتال سکیوریتی بیت دیفندر روی سیستم ویندوز شما دانلود خواهد شد.

4. پس از اتمام دانلود، با کلیک کردن بر روی INSTALL فرآیند نصب آغاز خواهد شد. توجه داشته باشید که زبان توتال سکیوریتی حتما انگلیسی باشد و در غیر این صورت آن را تغییر دهید. (این محصول فاقد زبان فارسی است).

آسیب پذیری ویندوز

بسیار مهم! آموزش غیرفعال کردن پاورشل (PowerShell) از طریق گروپ پالیسی

ویژگیها و مزایای موبایل سکیوریتی بیت دیفندر

همه ما با دردسرهای یک روز جا گذاشتن تلفن همراهتان در منزل آشنا هستیم ؟ حال تصور کنید به محض خارج شدن از منزل ساعت هوشمند شما پیغام دهد که موبایل خود را جا گذاشته اید! یا در صورت گم شدن موبایلتان در منزل بوق بزند و آن را پیدا کنید. اگر تلفن شما سرقت شود چقدر دچار دردسر خواهید شد ؟ آیا نگران تلفن ها و اطلاعات خصوصی خود نیستید ؟

بالاخره نسخه جنجالی اندروید سکیوریتی 2015 بیت دیفندر رونمایی شده و از طریق پایگاه آنلاین بیت دیفندر ایران به آدرس www.BitdefenderMe.ir در دسترس علاقمندان قرار گرفته است. این نسخه توانست جایزه بهترین اندروید سکیوریتی را از موسسه AV-TEST دریافت کند و مورد انتخاب منتقدین مجله PC MAG قرار بگیرد.

اندروید سکیوریتی 2015 بیت دیفندر برای هر کدام از مشکلات امنیتی کاربران از امنیت فیزیکی دستگاه موبایل یا تبلت شما گرفته تا انواع تهدیدات آنلاین و اپلیکیشن های سودجو راهکاری جامع ارائه داده است بطوریکه با بررسی هر کدام از ویژگی های منحصر به فرد این محصول شگفت زده خواهید شد. ویژگی WearOn یا ساعت هوشمند امن، امن سازی اپلیکیشن ها، حفظ حریم خصوصی، اسکنر بدافزار، امنیت در استفاده از اینترنت و ضد سرقت بیت دیفندر مجموعه ای از این ابزار ها می باشند که خیال شما را از امنیت دستگاه راحت می کنند و در عین حال که عمر باطری دستگاه را کم نمی کنند، اجازه می دهند به کارهایتان برسید. با اندروید سکیوریتی 2015 بیت دیفندر امکانات زیر را خواهید داشت:

WearOn یا ساعت هوشمند امن

فناوری بیت دیفندر را به ساعت هوشمند خود هدیه دهید. اگر موبایلتان گم شد جیغ می کشد که آن را پیدا کنید و اگر فاصله شما از موبایتان دور شد به شما هشدار می دهد که ممکن است آن را جا گذاشته باشید.

ضد سرقت بیت دیفندر

موبایل سکیوریتی بیت دیفندر دارای یک ویژگی ضد سرقت جدید می باشد که مجهز به داشبورد تحت وب بوده و از طریق SMS نیز کنترل می شود. با ضد سرقت بیت دیفندر می توانید محل دستگاه اندرویدی خود را روی Google Map پیدا کرده و آن را قفل کنید، به آن پیغام بفرستید و یا اطلاعات حساستان را از روی دستگاه پاک نمایید.

حفظ حریم خصوصی

تمایل دارید بدانید که کدام یک از برنامه های نصب شده از اطلاعات شخصی شما استفاده کرده و حریم خصوصی شما را نقض می کنند؟! ویژگی حفظ حریم خصوصی بیت دیفندر قادر است جزئی ترین اطلاعات را در مورد اینکه برنامه های نصب شده بصورت پنهان چه کارهایی را انجام می دهند در اختیارتان بگذارند.

امن سازی اپلیکیشن ها

بدون نگرانی با اینترنت کار کنید و در شبکه های اجتماعی عضو شوید. هکرها نخواهند توانست به اطلاعات خصوصی شما دسترسی داشته باشند.

امنیت وب

موبایل سکیوریتی بیت دیفندر از فناوری پردازش ابری استفاده کرده و به هنگام استفاده از اینترنت، شما را از صفحات آلوده و کلاهبرداری های اینترنتی و صفحات جعلی آگاه می سازد.

سرعت بالا، عمر طولانی باطری

موبایل سکیوریتی بیت دیفندر با استفاده از فناوری شناسایی ویروس مبتنی بر پردازش ابری و برترین مکانیزم های امنیتی، ارتباطات اینترنتی شما را امن کرده و جلوی نصب نرم افزارهای آلوده را می گیرد و در عین حال هیچ تاثیری بر روی عمر باطری شما نخواهد داشت.

اسکن دلخواه و یا به هنگام نصب برنامه

شما در هر زمان می توانید کلیه برنامه های نصب شده روی دستگاه یا موجود در حافظه را اسکن نموده و از امن بودن آنها اطمینان کسب کنید. موبایل سکیوریتی بیت دیفندر همچنین به هنگام نصب هر برنامه جدید آن را اسکن نموده و کنترل می کند.

چرا باید از محصولات امنیتی تحت شبکه استفاده کرد؟

محصولات آنتی ویروس به دو دسته محصول برای کاربران خانگی و محصول برای کاربران سازمانی تقسیم بندی میشود.  محصولات سازمانی علاوه بر اینکه تمام ویژگیهای محصولات خانگی را دارند از امکانات خاصی برای سهولت کار مدیران فنن آوری اطلاعات سازمان بهره مند هستند. در زیر به برخی از آنها اشاره میشود

هزینه و وقت کمتر در نصب و راه اندازی: محصولات عادی باید هرکدام جداگانه نصب و تنظیم شوند که در صورت بالا بودن تعداد کلاینت ها به وقت و نیروی انسانی بسیار زیادی احتیاج است

بروز رسانی راحت تر: در محصولات تحت شبکه سرور یکبار آپدیت شده و سپس این آپدیت را به تمام کلاینت ها اعمال می کند.اما محصولات عادی باید هرکدام جداگانه آپدیت شوند

– یکپارچگی امنیت: در محصولات تحت شبکه با توجه به اینکه آپدیت ها همزمان اعمال می شود کل سیستم در سطح امنیتی مساوی قرار می گیرد.اما در محصولات عادی آپدیت ها الزاماً همزمان نبوده و بنابراین یکپارچگی امنیتی وجود ندارد

– کنترل کلیه کلاینت ها از یک کنسول مدیریتی: به کمک این کنسول می توان همواره از طریق یک دستگاه به کلیه کلاینت ها نظارت و با اعمال سیاست های مختلف سطح امنیتی مناسب هرکدام را اعمال کرد

امکان استفاده از ریموت اکسس

رفع اشکال راحت تر در صورت بروز مشکل در شبکه

امکانات ویژه و مناسب برای سازمان های دارای پایگاه داده

امکان حذف و اضافه کلاینت ها از طریق سرور

کاهش هزینه های سخت افزاری: با توجه به اینکه کنسول اصلی بر روی سرور نصب می شود سایر کلاینت ها به نیازهای سخت افزاری محصولات عادی نیازی ندارند

پشتیانی کامل بهمراه آموزش برای نفرات معرفی شده توسط سازمان

و سایر امکانات از قبیل: اعمال محدودیت روی سایتها و برنامه های مختلف، بستن یو اس بی، کنترل

اینترنت، ارسال پیام به کلاینتها، اجرای برنامه از راه دور، گزارشات متنوع مدیریتی

آیا از فروشگاه‌های الکترونیکی خرید می‌کنید؟

کارشناس پلیس فتا گفت: با توجه به رشد روز افزون فعالیت‌های اقتصادی در حوزه فضای مجازی امروزه شاهد استفاده از فروشگاه الکترونیکی به منظور تأمین نیازهای کاربران در سطح اینترنت هستیم.

متأسفانه مردم به هشدارهای پلیس فتا در این خصوص توجه نکرده‌اند و همچنان از فروشگاه‌هایی که دارای اعتبار لازم نیستند خرید کرده و بسیاری از آنها با مشکلات عدیده‌ای مواجه شده‌اند.

عدم توجه به تذکر پلیس فتا در خصوص خریدهای اینترنتی موجب شده تا بعد از اینکه فرد از یک وب‌سایت غیر معتبر خرید کرده و وجه را از طریق درگاه الکترونیک یکی از بانک‌های عضو شتاب پرداخت می‌نماید حتی بعد از گذشت ماه‌ها موفق به دریافت کالا و یا خدمات خریداری شده نگردیده و با پیگیری‌های وی وجه پرداختی نیز مسترد نشده است، از این رو پلیس فتا به کلیه کاربران اینترنتی که قصد خرید الکترونیکی را دارند توصیه اکید می‌کند تا از فروشگاه‌هایی که دارای نماد اعتماد الکترونیکی از مرکز توسعه تجارت الکترونیک وزارت صنعت و معدن تجارت هستند خرید نمایند.

کلیه کاربران می توانند لیست فروشگاه‌هایی که دارای نماد الکترونیکی از مرکز توسعه تجارت الکترونیک وزارت بازرگانی می‌باشند را از سایت enamad.ir دریافت نمایند.

در نهایت پلیس فتا از کلیه کاربران می خواهد در صورت مواجه با موارد مشکوک آن را از طریق وب‌سایت پلیس فتا به آدرسCyberpolice.ir بخش گزارش تخلف فروشگاه‌های اینترنتی با ما گزارش نمایند.

منبع:

پایگاه اطلاع‌رسانی پلیس فتا