EDR

آنتی ویروس یا EDR

آنتی ویروس یا EDR
(Endpoint Detection and Response)  EDR  یک جایگزین مدرن برای مجموعه های امنیتی آنتی ویروس است. برای چند دهه، سازمان‌ها و کسب‌وکارها به امید حل چالش‌های امنیت سازمانی، روی مجموعه‌های آنتی‌ویروس سرمایه‌گذاری کرده‌اند. اما همانطور که پیچیدگی و شیوع تهدیدات بدافزار در ده سال گذشته افزایش یافته است. کاستی های آنتی ویروسی که اکنون از آن به عنوان “میراث” یاد می شود بسیار معلوم شده است.
در پاسخ، برخی از فروشندگان دوباره به چالش های امنیت سازمانی فکر کردند و راه حل های جدیدی برای شکست آنتی ویروس ارائه کردند. EDR چه تفاوتی با آنتی ویروس دارد؟ چگونه و چرا EDR موثرتر از AV  (Antivirus) است؟ و پیچیدگی های جایگزینی AV با یک EDR پیشرفته در چیست؟ پاسخ تمام این سوالات و موارد دیگر را در این پست خواهید یافت.

 

چه چیزی EDR را با آنتی ویروس متفاوت می کند؟

برای اینکه به اندازه کافی از کسب و کار یا سازمان خود در برابر تهدیدات محافظت کنید، مهم است که تفاوت بین EDR و آنتی ویروس سنتی یا قدیمی را درک شود. این دو رویکرد امنیتی، اساساً متفاوت هستند و تنها یکی برای مقابله با تهدیدات مدرن مناسب است.

 

ویژگی های آنتی ویروس:

در روزهایی که تعداد تهدیدات بدافزار جدید در روز را می‌توان به راحتی در یک سند Excel شمارش کرد، آنتی‌ویروس ابزاری برای مسدود کردن بدافزارهای شناخته‌شده با بررسی – یا اسکن – فایل‌هایی که روی دیسک روی یک دستگاه کامپیوتری نوشته شده بودند را به شرکت‌ها ارائه داد. اگر فایل موردنظر در پایگاه داده فایل های مخرب اسکنر AV «شناخته شده» بود، نرم افزار از اجرای فایل بدافزار جلوگیری می کرد.

پایگاه داده آنتی ویروس سنتی از مجموعه ای از امضاها تشکیل شده است. این امضاها ممکن است حاوی هش‌های یک فایل بدافزار و/یا قوانینی باشند که حاوی مجموعه‌ای از ویژگی‌هایی هستند که فایل میبایست با آنها مطابقت داشته باشد. چنین ویژگی‌هایی معمولاً شامل مواردی مانند: رشته‌های قابل خواندن توسط انسان یا دنباله‌هایی از بایت‌های موجود در فایل اجرایی بدافزار، نوع فایل، اندازه فایل و انواع دیگر فراداده‌های مربوط به فایل است.

برخی از موتورهای آنتی ویروس همچنین می توانند تجزیه و تحلیل اکتشافی اولیه را روی فرآیندهای در حال اجرا (Running processes) انجام دهند و یکپارچگی فایل های مهم سیستم را بررسی کنند. این بررسی‌های «بعد از واقعیت» یا پس از آلودگی پس از سیل نمونه‌های بدافزار جدید به طور روزانه به بسیاری از محصولات AV اضافه شد. که به دلیل حجم بالا،اینکار از توانایی فروشندگان AV برای به‌روز نگه‌داشتن پایگاه‌های داده‌شان خارج شد.

با توجه به تهدیدات رو به رشد و کاهش کارایی رویکرد آنتی ویروس، برخی از فروشندگان قدیمی سعی کرده اند آنتی ویروس را با سرویس های دیگری مانند کنترل فایروال (firewall control)، رمزگذاری داده ها (dataencryption)، مجوز فرآیند (process allows) و لیست های مسدود (Blocklists) ، و سایر ابزارهای مجموعه AV تکمیل کنند. چنین راه حل هایی که به طور کلی به عنوان “EPP” (Endpoint Protection Platforms) یا پلتفرم های محافظت نقطه پایانی شناخته می شوند، مبتنی بر رویکرد امضاء هستند.

ویژگی های EDR:

در حالی که تمرکز همه راه‌حل‌های AV بر روی فایل‌های (بالقوه مخرب) است که به سیستم معرفی می‌شوند، یک EDR به صورت بلادرنگ بر جمع‌آوری داده‌ها از نقطه پایانی و بررسی آن داده‌ها برای الگوهای غیرعادی عمل می‌کند. همانطور که از نام EDR پیداست، ایده این سیستم تشخیص عفونت و شروع پاسخ است. هرچه EDR سریعتر بتواند این کار را بدون دخالت انسان انجام دهد، موثرتر خواهد بود.

یک EDR خوب همچنین شامل قابلیت هایی برای مسدود کردن فایل های مخرب است، اما مهمتر از همه EDR ها تشخیص می دهند که همه حملات مدرن مبتنی بر فایل نیستند. علاوه بر این، EDR‌های فعال ویژگی‌های مهمی را که در آنتی‌ویروس یافت نمی‌شوند به تیم‌های امنیتی ارائه می‌دهند. از جمله پاسخ خودکار و دید عمیق در مورد تغییرات فایل، ایجاد فرآیند و اتصالات شبکه در نقطه پایانی: برای شکار تهدیدات (threat hunting)، پاسخ به حادثه (incident response)، و جرم شناسی دیجیتال (digital forensics) حیاتی است.

دلایل زیادی وجود دارد که چرا راه‌حل‌های آنتی ویروس نمی‌توانند با تهدیداتی که امروزه شرکت‌ها با آن مواجه هستند، هماهنگی داشته باشند. اول، همانطور که در بالا اشاره شد، تعداد نمونه‌های بدافزار جدیدی که روزانه مشاهده می‌شوند، بیشتر از تعداد افرادی است که روی فایل های مخرب اثر انگشت میگذارند (توضیح مترجم: یک سری افراد در تیم های امنیتی روی فایل های مخرب یک امضا قرار میدهند که امکان شناسایی، حذف و قرنطینه را به آنتی ویروس میدهد. به این ترتیب کسانی که این اثر انگشت هارا روی ویروس ها میگذارند team of signature writers میگویند . این لینک توضیحات مناسبی دارد).

دوم، شناسایی از طریق امضاهای آنتی ویروس اغلب می‌تواند به راحتی توسط عوامل تهدید حتی بدون بازنویسی بدافزار آنها دور زده (Bypass) شود. از آنجایی که امضاها فقط بر روی چند مشخصه از فایل تمرکز دارند، نویسندگان بدافزار یاد گرفته‌اند که چگونه بدافزاری ایجاد کنند که ویژگی‌های متغیری داشته باشد که به عنوان بدافزار چند شکلی (polymorphic malware)نیز شناخته می‌شود. برای مثال، هش‌های فایل یکی از ساده‌ترین ویژگی‌های یک فایل برای تغییر هستند، اما رشته‌های داخلی (internal strings) نیز می‌توانند به‌طور تصادفی، با تولید هر نسخه از بدافزار رمزگذاری شوند.

سوم، عوامل تهدید با انگیزه مالی مانند سازندگان باج افزار، فراتر از حملات بدافزار مبتنی بر فایل عمل کرده اند. حملات درون حافظه یا بدون فایل رایج شده‌اند، و حملات باج‌افزاری که توسط انسان انجام می‌شود، مانند Hive – همراه با حملات «اخاذی مضاعف» مانند Maze، Ryuk  و موارد دیگر – که ممکن است با اعتبار اجباری به خطر افتاده یا بی‌رحمانه یا سوءاستفاده از RCE (اجرای کد از راه دور) (Remote code execution)شروع شود. آسیب‌پذیری‌ها، می‌توانند منجر به به خطر افتادن و از دست دادن مالکیت شود. و دیگر با استفاده از آنتی ویروس و شناسایی امضای دیجیتال نمیشود کاری کرد.

مزایای EDR:

EDR  با تمرکز بر روی ارائه دید همراه با پاسخ‌های تشخیص خودکار به تیم‌های امنیتی سازمانی، برای مقابله با عوامل تهدید امروزی و چالش‌های امنیتی که آنها ارائه می‌کنند بسیار مجهزتر است.

EDR با تمرکز بر شناسایی فعالیت غیرمعمول و ارائه پاسخ، تنها به شناسایی تهدیدهای شناخته شده و مبتنی بر فایل محدود نمی شود. برعکس، ارزش اصلی EDR این است که مثل آنتی ویروس نیست و تهدید نیازی به تعریف دقیق ندارد،. یک راه حل EDR می تواند الگوهای فعالیت غیرمنتظره، غیرمعمول و ناخواسته را جستجو کند و هشداری را برای تحلیلگر امنیتی صادر کند تا آن را بررسی کند.

علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز گرد هم آورند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. داده های جامع از یک EDR همچنین می تواند شکار و تجزیه و تحلیل تهدیدات گذشته نگر را امکان پذیر کند.

علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز تجسم کنند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. همچنین می تواند شکار و تحلیل تهدیدات گذشته نگر را فعال کند.

چگونه EDR آنتی ویروس را تعریف میکند:

موتورهای آنتی ویروس علیرغم محدودیت‌هایشان وقتی به تنهایی یا به‌عنوان بخشی از راه‌حل EPP مستقر می‌شوند، می‌توانند تمجیدهای مفیدی برای راه‌حل‌های EDR باشند، و بیشتر EDR‌ها شامل برخی از عناصر مسدودسازی مبتنی بر امضا و هش به عنوان بخشی از استراتژی «دفاع در عمق» هستند.

با ترکیب موتورهای آنتی ویروس در یک راه حل موثرتر EDR، تیم های امنیتی سازمانی می توانند از مزایای مسدود کردن ساده بدافزارهای شناخته شده بهره ببرند و آن را با ویژگی های پیشرفته ای که EDR ها ارائه می دهند ترکیب کنند.

اجتناب از خستگی هشدار با Active EDR:

همانطور که قبلاً اشاره کردیم، EDR ها امنیت سازمانی و تیم های فناوری اطلاعات را در تمام نقاط پایانی در سراسر شبکه سازمان دید عمیقی ارائه می دهند و  تعدادی از مزیت ها را امکان پذیر می کند. با این حال، علی‌رغم این مزایا، بسیاری از راه‌حل‌های EDR تأثیری را که تیم‌های امنیتی سازمانی امیدوار بودند، نداشته باشند، زیرا به منابع انسانی زیادی برای مدیریت نیاز دارند: منابعی که اغلب به دلیل محدودیت‌های کارکنان یا بودجه در دسترس نیستند یا به دلیل کمبود مهارت‌های امنیت سایبری، غیرقابل دسترسی هستند.

بسیاری از سازمان‌هایی که در EDR سرمایه‌گذاری کرده‌اند، به‌جای لذت بردن از امنیت بیشتر و کار کمتر برای تیم‌های امنیتی و IT خود، به سادگی منابع را از یک وظیفه امنیتی به دیگری تخصیص داده‌اند: به دور از تریاژ دستگاه‌های آلوده تا تریاژ کوهی از هشدارهای EDR.

و با این حال لازم نیست اینطور باشد. شاید ارزشمندترین پتانسیل EDR توانایی آن در کاهش مستقل تهدیدات بدون نیاز به دخالت انسان باشد. با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، Active EDR بار را از دوش تیم SOC برمی‌دارد و می‌تواند به طور مستقل رویدادها را در نقطه پایانی بدون تکیه بر منابع ابری کاهش دهد.

EDR فعال برای تیم شما چه معنایی دارد:

این سناریوی معمولی را در نظر بگیرید: کاربر یک برگه را در Google Chrome باز می کند، فایلی را که معتقد است امن است دانلود می کند و آن را اجرا می کند. این برنامه از PowerShell برای حذف پشتیبان‌گیری‌های محلی استفاده می‌کند و سپس شروع به رمزگذاری تمام داده‌های روی دیسک می‌کند.

کار یک تحلیلگر امنیتی با استفاده از راه حل های EDR  غیرفعال می تواند سخت باشد. با وجود هشدارها، تحلیلگر باید داده ها را در یک گزارش معنادار جمع کند. با EDRفعال ، این کار در عوض توسط عامل در نقطه پایانی انجام می شود.  EDR فعال گزارش کامل را می داند، بنابراین در زمان اجرا، قبل از شروع رمزگذاری، این تهدید را کاهش می دهد.

هنگامی که داستان کمرنگ میشود، تمام عناصر موجود در آن داستان، تا برگه کروم که کاربر در مرورگر باز کرده است،  مورد مراقبت قرار داده می‌شود. با دادن شناسه TrueContext به هر یک از عناصر داستان کار می کند. این داستان‌ها سپس به کنسول مدیریت ارسال می‌شوند و امکان مشاهده و جستجوی آسان تهدید را برای تحلیلگران امنیتی و مدیران فناوری اطلاعات فراهم می‌کنند.

فراتر از EDR | XDR برای حداکثر دید و یکپارچگی:

در حالی که Active EDR گام بعدی برای سازمان‌هایی است که هنوز آنتی ویروس را پشت سر نمی‌گذارند، شرکت‌هایی که به حداکثر دید و یکپارچگی در کل دارایی خود نیاز دارند، باید به تشخیص و پاسخ گسترده یا XDR فکر کنند.

XDR ، EDR را با ادغام تمامی کنترل‌های دید و امنیت در یک نمای کاملاً جامع از آنچه در محیط شما اتفاق می‌افتد به سطح بعدی می‌برد. XDR با یک مجموعه واحد از داده‌های خام شامل اطلاعات از کل اکوسیستم، امکان شناسایی و پاسخ سریع‌تر، عمیق‌تر و مؤثرتر تهدید را نسبت به EDR می‌دهد و داده‌ها را از طیف وسیع‌تری از منابع جمع‌آوری و جمع‌آوری می‌کند.

نتیجه گیری:

عوامل تهدید مدت‌هاست که فراتر از آنتی‌ویروس و EPP فراتر رفته اندو سازمان‌ها باید در نظر داشته باشند که چنین محصولاتی با تهدیداتی که امروزه فعال هستند همخوانی ندارند. حتی نگاهی گذرا به سرفصل‌ها نشان می‌دهد که سازمان‌های بزرگ و ناآماده با وجود اینکه روی کنترل‌های امنیتی سرمایه‌گذاری کرده‌اند، توسط حملات مدرن مانند باج‌افزار گرفتار شده‌اند. وظیفه ما، به عنوان مدافع، این است که اطمینان حاصل کنیم که نرم افزار امنیتی ما نه تنها برای حملات دیروز، بلکه برای امروز و فردا مناسب است.

ضد بدافزار

کسب و کارهای کوچک و متوسط باید در مقابل « حملات باج افزار » آماده باشند

در حال حاضر «حملات باج افزار» تهدیدی علیه امنیت سایبری با سریع‌ترین میزان انتشار است که بر کسب و کارهای کوچک و متوسط (SMBها) اثر می‌گذارند.

این حوادث باج افزار می‌توانند به سازمان‌هایی با هر اندازه و تقریباً درون هر صنعتی صدمه بزنند. گزارش نیم‌سالۀ شرکت بیت‌دیفندر[1] در سال 2020 تحت عنوان «گزارش دورنمای تهدید 2020» به این مسئله اشاره کرد که تمام گزارشات حملات باج افزار ی در جهان به میزان 715% نسبت به مدت مشابه سال قبل جهش ناگهانی داشت.

حوادث مرتبط با همه‌گیری بیماری کرونا نیز تاثیر شدیدی داشت و برای سال 2021 میزان مشابهی از این‌گونه تهدیدات انتظار می‌رود. احتمال حملات سایبری باج افزار موفقی که به‌طور گسترده گزارش شده‌اند مجرمان سایبری را ترغیب کند و آن‌ها به‌دنبال روش‌های پیچیده‌تری برای حمله به سیستم‌های امنیتی شرکت‌ها باشند.

باج‌ افزار چیست؟

قبل از این‌ که کسب و کارهای کوچک و متوسط بتوانند امید به دفاع از خود داشته باشند، آن‌‎ها باید دقیقا درک کنند که «باج‌ افزار» چیست و چگونه کار می‌کند. «باج‌ افزار» نوعی بدافزار است که تهدید می‌کند در صورت پرداخت نشدن باج، داده‌های حساس سازمان را منتشر خواهد کرد یا به‌طور مداوم دسترسی به اسناد را مسدود می‌کند.

گونۀ پیشرفته‌تر «باج‌ افزار» فایل‌های یک شرکت را رمزنگاری کرده و آن‌ها را با استفاده از یک فرآیند، غیرقابل دسترسی می‌کند، سپس برای رمزگشایی آن درخواست پول می‌کند. قربانیان این حملات اغلب مجبور به استفاده از کلیدهای رمزگشایی برای بازیابی اسناد خود می‌شوند.

هکرها معمولاً از طریق ارزهای دیجیتالی مانند «بیت‌کوین» و هم‌چنین رمز ارزهای دیگر درخواست پرداخت پول می‌کنند. از آن‌جایی که ردیابی این نوع پرداخت‌ها سخت است، کشف و تعقیب قانونی هکرها نیز مشکل و بی‌حاصل است.

حملات باج‌افزاری معمولاً توسط «تروجان‌ها»[2] انجام می‌شود. تروجان‌ها «بدافزاری» هستند که کاربران را از مقصد حقیقی خود گمراه می‌کنند، مانند اسب تروجانی که توسط شعر «انه‌اید»[3] اثر «ویرژیل»[4] مشهور شد. این ویروس‌های بدافزار به‌گونه‌ای در فایل‌های متعارف مخفی شده تا کاربر فریب خورده و آن‌ها را بارگیری کند و یا زمانی که از طریق ضمیمۀ ایمیل دریافت می‌کند‌، آن‌ها را باز کند.

حملۀ باج‌افزاری به‌وضوح رو به افزایش است. گزارشی که در ماه آگوست 2021 از سازمان تحقیقاتی «اینترنشنال دیتا کورپ(IDC)» منتشر شد، نشان داد که بیش از یک سوم سازمان‌ها در سراسر جهان حملات باج‌افزاری یا رخنۀ امنیتی را تجربه کردند که حاصل این حملات قطع دسترسی به سیستم‌ها یا داده‌ها طی 12 ماه گذشته بود. به‌ گفتۀ این گزارش، برای سازمان‌هایی که قربانی «باج‌افزار» شده‌اند، تجربۀ چندین حادثۀ «باج‌افزاری» غیرمتعارف نیست.

گزارش «State of the Channel Report» سال 2020 شرکت «داتو»[5] بیان کرد که نزدیک به 70% از «ارائه‌کنندگان خدمات مدیریت‌شده (MSPs)» باج‌افزار را به‌عنوان شایع‌ترین حملۀ بدافزاری معرفی کردند. با این‌حال از آن‌جایی که بیشتر «ارائه‌کنندگان خدمات مدیریت‌شده» یعنی 84% آن‌ها در خصوص باج‌افزار «بسیار نگران» هستند، تنها 30% از آن‌ها اعلام کردند که مشتریانشان که کسب و کارهای کوچک و متوسط هستند عقیدۀ مشابهی با آن‌ها دارند.

با انتشار منظم گزارشات فراوان از حملات باح‌افزاری در خبرها، کسب و کارهای کوچک و متوسط باید این‌گونه حملات را جدی بگیرند چرا که تاثیرات چنین حملاتی می‌تواند برای کسب و کار آن‌ها فاجعه‌آمیز باشد.

بهترین روش‌ها برای جلوگیری از حملات سایبری باج‌ افزار ی

پس کسب و کارهای کوچک و متوسط چگونه می‌توانند از خود در برابر «باج‌افزار» و دیگر «حملات سایبری» مراقبت کنند؟

یکی از این راه‌ها در صورتی که تا به‌حال اینکار را انجام نداده‌اند، به‌کار گیری سپر دفاعی چند لایه‌ است، یعنی فراتر از صرفاً اجرای یک نرم‌افزار تشخیص بدافزار. آن‌ها باید ابزارهایی داشته باشند که در «اندپوینت»[6] و «لایه‌های شبکه» شفافیت ایجاد کند که شامل «EDR»[7] و «MDR»[8] می‌شود.

«EDR» به‌طور مداوم بر دستگاه‌های «اندپوینت» نظارت کرده و به فعالیت‌های مشکوک پاسخ می‌دهد تا حملات سایبری را کم اثر کند. ابزارهای «EDR» در«سرورهای ابری» یا «در محل» موجود بوده که داده‎‌ها را از دستگاه‌های «اندپوینت» جمع‌آوری کرده و سپس آن‌ها را برای مشکلات و حملات احتمالی تجزیه و تحلیل می‌کنند. این نرم‌افزار بر روی دستگاه‌های «کاربر نهایی» نصب شده و داده‌ها بر روی پایگاه‌دادۀ متمرکز ذخیره می‌شود.

«MDR» به شرکت‌ها «فعالیت‌های مداوم امنیت سایبری» و برون‌سپاری شده ارائه می‌کند و هم‌چنین امنیت را برای «اندپوینت‌ها»، «شبکه‌ها» و هم‌چنین «تجزیه و تحلیل امنیت» و «تخصص در تجسس حمله» به ارمغان می‌آورد. مراقبت در برابر «باج‌افزار» تلاشی مداوم است و نه صرفاً پاره وقت و از آن‌جایی که شرکت‌های کوچک بسیاری برای ارائۀ پوشش شبانه روزی تجهیز نشده‌اند، آن‌ها برای کمک به جلوگیری از انتشار و اجرای حملات «باج‌افزاری» درون سازمان به خدمات «MDR» نیاز دارند.

«MDR» و «EDR»

«MDR» و «EDR» برای کسب و کارهای کوچک و متوسط قابل دسترسی شده‌اند که امنیتی به «مرکز عملیات امنیت» ارائه می‌دهند که در گذشته تنها شرکت‌های بزرگ توانایی مالی برای تهیۀ آن را داشتند.

از آن‌جایی که حتی تاخیرهای جزئی در شناسایی و پاسخ به «باج‌افزار» می‌تواند منجر به مشکلات عدیده‌ای شود، دفاع در مقابل این حملات با استفاده از رویکرد چندلایه‌ایِ براساس حفاظت پیشگیرانه ضروری است.

کسب و کارهای کوچک و متوسط باید گذشته از استقرار آخرین ابزارهای امنیتی برای محافظت در برابر «باج‌افزار»، بر جلوگیری یا حداقل کاهش احتمال صدمه دیدن با یک حمله تمرکز داشته باشند که این مسئله شامل انجام ارزیابی‌های منظمِ خطرِ امنیتی، همراه با رویکردهای مداوم برای مدیریتِ وصلۀ امنیتی با استفاده از خدماتی مانند «MDR» و «EDR» است.

با انطباق پذیر شدن حملات «باج‌افزاری»، دورنمای این تهدیدات دائماً درحال تحول است، بنابراین ارزیابی‌های مکررِ خطر از طریق «MDR» و «EDR» پیشنهاد می‌شود. ارائه‌کنندگان معتبر فراوانی برای «خدمات امنیتی مدیریت شده» وجود دارد که می‌توان برای این ارزیابی‌ها و خدمات دیگر از آن‌ها کمک گرفت.

«کسب و کارهای کوچک و متوسط» باید درک کنند که «جلوگیری» کافی نیست، آن‌ها هم‌چنین باید دارای «برنامۀ کاهش اثر» مناسبی باشند که شامل «فایل پشتیبان غیر قابل نفود» است. زمانی که یک جریان احتمالی «باج‌افزار جدید» سعی در رمز گذاری فایل‌ها می‌کند، پشتیبان غیر قابل نفود از فایل‌های مورد نظر می‌تواند بعد از این‌که بدافزار مسدود شد، فایل‌ها را بازیابی کند.

«اینترنشنال دیتا کورپ» به راه‌های دیگری نیز اشاره کرده که شرکت‌ها می‌توانند از آن‌ها برای راهبرد خود در برابر «حملات باج‌افزاری» استفاده کنند. این راه‌ها شامل: «بررسی و تصدیق محافظت از داده‌ها و امنیت، انجام بازیابی اطلاعاتِ شرکا و تامین کنندگان»، «روش‌های دوره‌ای پاسخگویی تست حساسیت» و «توزیع مضاعف اطلاعات تهدید بین دیگر سازمان‌ها و یا نهاد‌های دولتی».

آموزش امنیت سایبری

هیچ‌گونه راهبرد امنیتی، بدون برنامه‌های آموزشی موثر برای تمام کاربران، کامل نیست. همان‌طور که گزارش شرکت «داتو» نشان داد، «آموزش کاربر مصرف‌کننده» بخش اساسی یک «راهبرد محافظت موثر در برابر باج‌افزار» است. به گزارش این شرکت «فیشینگ»، «فعالیت‌های ضعیف کاربر» و «فقدان امنیت سایبری از سمت کاربر» سه دلیل حملات موفق باج‌افزاری بوده است.

این گزارش ادامه می‌دهد، درک این مسئله مهم است که «آموزش امنیت» باید فراتر از صرفاً پوشش چگونگی تشخیص حملات فیشینگ باشد. با این‌که «فیشینگ» در صدر لیست قرار دارد، اما «رمز عبور ضعیف»، «دسترسی باز به پروتکل دسترسی از راه دور به دسکتاپ» و «گروهی از خطاهای کاربر» نیز از دلایل دیگر این نفوذها هستند.

اولویت قرار دادن راهبرد امنیت سایبری

«کسب و کارهای کوچک و متوسط» باید «امنیت سایبری» را در اولویت بالاترین سطوح شرکت قرار دهند. این مسئله به این معنا است که مدیر عامل و دیگر مدیران ارشد باید مثالی طراحی و آن ‌را شفاف‌سازی کنند که «فعالیت‌های امنیتی» که به جلوگیری از حملات باج‌افزاری کمک می‌کنند، وظیفۀ همۀ افراد است.

«کسب و کارهای کوچک و متوسط» با انجام اقدامات احتیاطی ضروری می‌توانند با قدرت در مقابل حملات «باج‌افزاری» و دیگر حملات دفاع کنند.

[1] bitdefender

[2] Trojans

[3] The Aeneid

[4] Virgil

[5] Datto

[6] Endpoint

[7] Endpoint Detection and Response

[8] Managed Detection and Response

آنتی ویروس سازمانی شرکتی

بدافزار حذف‌کننده اطلاعات، Meteor سرنخ جدید حملات اخیر به وزارت راه و شهرسازی و سیستم ریلی ایران

روزهای پایانی سومین هفته تیرماه، وزارت راه و شهرسازی و سیستم ریلی ایران مورد حملات سایبری قرار گرفت و تمامی سامانه‌های وزارت راه و شرکت راه آهن از دسترس خارج  شدند.گزارش‌ها حاکی از آن بود که این حمله باعث تعویق صد ها قطار یا لغو آن‌ها شده است. چنانچه تصویر نشان می‌دهد بر تابلوی اعلان برنامه قطارهای راه‌آهن در ایستگاه تهران نوشته شده: «تاخیر زیاد بدلیل حملات سایبری» و از مسافران خواسته شده بود تا برای کسب اطلاعات بیشتر، با شماره‌ای تماس بگیرند که متعلق به دفتر مقام معظم رهبری، حضرت آیت الله خامنه ای بود.

پس از گذشت بیش از ۴۸ ساعت از حمله، از مجموع حدود ۴۰۰ سرور، تنها ۵ سرور شروع به فعالیت کردند و به نظر می‌رسید  نسخه‌های پشتیبان یا وجود نداشت یا به دلایلی امکان فعال شدن نداشتند. درگاه وزارت راه و شهرسازی  پس از چند روز  بالا آمد؛ اطلاعات ۴ ماه اخیر از سایت حذف شده بود. بنابراین به نظر می‌رسد آخرین نسخه پشتیبان در دست مربوط به ۴ ماه قبل است.

به گزارش شرکت امن‌پرداز و سنتینل وان SentinelOne، این حمله نتیجه‌ بدافزاری جدید و قبلاً دیده‌نشده‌ به نام «Meteor» است. در این گزارش‌ها آمده است که این اولین استقرار این بدافزار است؛ ولیکن با توجه به تحلیل‌ بدافزار Meteor، از سه سال گذشته کار خود را آغاز کرده است.

خوان آندرس گوئرر، محقق سنتینل وان SentinelOne، خاطرنشان کرده است: «علی‌رغم عدم وجود مشخصه‌های خاص تسخیر، توانستیم مهم‌ترین مولفه‌های این حمله را بازیابی کنیم و ردپای مهاجمی ناشناس  را پیدا کردیم . این بدافزار  برای فلج کردن سیستم‌های قربانی طراحی شده ‌است و هیچ راه‌حلی برای بهبود از طریق مدیریت دامنه یا بازیابی نسخه‌های پشتیبان باقی نمی‌گذاشت».

به نقل از SentinelOne، زنجیره آلودگی‌ها با سو استفاده از سیاست‌های گروهی یا Group Policy اتفاق افتاده که با وارد کردن ابزارهایی متشکل از فایل های batch که برای هماهنگ کردن اجزای مختلف استفاده می شود، صورت می‌گرفت. این فایل‌ها، خود  از چندین فایل آرشیو  RAR استخراج شده اند که به همدیگر متصل هستند و اجزای رمزنگاری فایل سیستم و تغییرات MBR را تسهیل می‌کنند و باعث قفل سیستم میشود. در این تحلیل، فایل‌های batch دیگری هم پیدا شده‌اند که برای قطع اتصال دستگاه های آلوده از شبکه استفاده می‌شوند و مانع از فعالیت سیستم دفاعی ویندوز می‌شوند؛ تکنیکی که اخیراً مورد توجه گروه‌های تهدید قرار گرفته است.

اولین اقدام بدافزار در رابطه با فایل cache.bat است که بر پاکسازی موانع برای حمله عناصر بعدی است.

cache.bat سه عملکرد اصلی را انجام می دهد ابتدا دستگاه آلوده را از شبکه جدا می کند، سپس بررسی می کند که آیا ضد ویروس کسپرسکی بر روی دستگاه نصب شده است یا خیر، اگر نصب بود در این صورت خارج می شود و در غیر اینصورت فایل cache.Bat باعث حذف Windows Defender می شود و راه را برای یک حمله باز می کند.

دو batch files دیگر نیز وجود دارند که Event Log ها را پاک می نمایند، و همچنین یک Task به صورت زمانبندی شده  توسط اسکریپتی به نام mstask ایجاد و تنظیم می شود بدافزار Meteor Wiper را در پنج دقیقه مانده تا نیمه شب اجرا نماید.

بخش اصلی این حمله یک زنجیره ای که بر عهده یک فایل اجرایی با نام env.exe یا msapp.exe است.

این Wiper قادر است اقدامات ذیل را انجام دهد:

  1.  Change Passwords برای تمام یوزرها
  2.  غیر فعال کردن Screensavers
  3.  Process Termination بر اساس یک لیست از پروسس های هدف
  4. نصب Screen Locker
  5. غیر فعال کردن Recovery Mode
  6. تغییر پالیسی های Boot Policy Error Handling
  7. ایجاد لیستی از برنامه های زمان بندی
  8. Log OFF Local Sessions
  9. Delete Shadow Copies
  10. تغییر تصاویر Lock Screen
  11. اجرای خواسته ها

هنگامی که محققان SentinelOne به صورت عمیق تر نرم افزار Wipe را مورد بررسی قرار دادند متوجه این قضییه شدند که این Wiper توسط Developer های متعددی ایجاد شده است؛ همچنین این گزارش اضافه می کند که این Wiper برای این عملیات خاص ساخته نشده است اما تاکنون نیز حمله مشابهی مشاهده نشده و احتمالا حمله کنندگان تحت حمایت یک دولت می باشند.

محققان موفق نشده اند هک شدن  سایت راه آن ایران را به فرد یا تیم خاصی منتسب نمایند اما توضیح داده اند که سطح حمله کننده متوسط می باشد که اجزای تیم عملیاتی او از افراد مبتدی تا خوب تشکیل شده اند، اگرچه آنها نتوانستند دلیل حمله را مشخص کنند ، اما آنها خاطرنشان کردند که به نظر می رسد مهاجمان با تنظیمات کلی سیستم راه آهن ایران آشنا بوده اند و این بدان معناست که هکرها قبل از شروع به حمله در سیستم های این اداره کلی وقت گذرانده اند.

ضد بدافزار

اولین فاز دفاعی SOC – درک زنجیره حمله سایبری – رویکرد دفاعی با / بدون SOC

این مقاله به شما کمک می کند تا تهدیدات حمله سایبری مدرن و رایج ترین سطوح حمله استفاده شده پشت هر گونه حمله بدافزار / حمله سایبری را بشناسید. در بیشتر مواقع، حمله سایبری در مراحل مختلفی اتفاق می افتد. بنابراین تیم سایبری باید الگوها و زنجیره حمله را بشناسد.

بنابراین شکستن زنجیره حمله و جلوگیری از مجرمان به قصد متوقف کردن هدفشان، تاثیر بد تجاری از بین رفتن اطلاعات را کم میکند. این کار بصورت صد در صدی مراحل دفاعی را برای سازمان شما فراهم نمی کند.

این کار اطلاعات مختصری در مورد ناقلان حمله فراهم می‌کند و اینکه هر تیم SOC باید یک مکانیسم دفاعی برای آن بسازد تا مرحله اولیه نظارت امنیتی را داشته باشد. این گام‌ها می‌تواند توسط هر تیم امنیت شبکه یا صنایعی با مقیاس کوچک یا شرکت‌های کوچکتر که نمی‌توانند SOC تهیه کنند، پیروی شود تا به آنها کمک کند که به وسیله آن، دیوار دفاعی بسازند.

در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد.

۳ واقعیت اساسی که باید به ذهن بسپارید:

مجرمان اینترنتی همیشه جلوتر از کنترل های امنیتی برنامه ریزی می کنند.

۱) هر چیزی را به آسانی به حمله کننده ندهید، کار را برای او سخت کنید. ( اقدامات کنترلی در شبکه)

۲) برنامه‌های آسیب پذیر مجاز را در صورت عدم استفاده فعال نکنید، حمله کنندگان همیشه از برنامه های مجاز در شبکه استفاده می کند. ( سو استفاده از  LOLBins)

۳) فکر نکنید که حمله کنندگان، فقط یک بخش از یک کد واحد را ایجاد می کنند، آنها همیشه به مراحل حمله با دستورالعمل ها و قابلیت های گوناگون متکی هستند. (زنجیره کشتار سایبری)

بنابراین، مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

) دفاع در برابر ورود بد افزار-( وارد شدن به شبکه سازمان تان)

۲) اگر بد افزار با موفقیت وارد شد، چگونه قرار است از حرکات جانبی و ماندگاری آن دفاع کنید؟-(حرکت به درون شبکه سازمان‌تان)

۳) اگر حمله کننده، همه فعالیت هایش را کامل کند، مرحله نهایی او استخراج داده یا نفوذ خواهد بود. ( ترک از شبکه سازمان‌تان)

نکته کوچک: این زنجیره کشتار سایبری نیست، یک فاز اساسی از حمله است.

بیایید مراحل را تجزیه کنیم و از مکانیسم های دفاعی آن در برابر ناقلین آلودگی رایج مطمئن شویم.

مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

 

 

 

 مرحله۱: دریافت بدافزار/ هرزنامه

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند. اما اخیراً این تکنیک ها به آسانی توسط حمله کنندگان سایبری، مغلوب می‌شود. حمله‌های سایبری امروزی شامل یک مرحله نیستند آنها بد افزار را در هر سازمانی، در مراحل مختلف آلودگی ، پخش می کنند. در ابتدا حمله کنندگان قربانی را فریب می‌دهند تا روی هر گونه آدرس اینترنتی غیرمخرب کلیک کند و آن را به یک CnC منتقل می کند و پی لود مخرب خود را آزاد میکند. این مراحل نمی‌توانند توسط سیستم‌های دفاعی سنتی مسدود شوند.

دو راه اساسی: ۱) پخش ایمیل- هرزنامه، فیشینگ هدفدار، کمپین‌های ایمیل. ۲)نقاط ورودی RDP

الف) پیوست های ایمیل رایج مورد استفاده در بیشتر کمپین های ایمیل

  1. vbs (VBS فایل اسکریپت)

2 .js (فایل جاوا اسکریپت)

3 .exe (اجرا شدنی)

4 .jar (فایل آرشیو جاوا)

5 .docx ، .doc ، .dot (اسناد آفیس)

6 .html ، .htm (فایل‌های صفحه وب)

7 .wsf (فایل اسکریپت ویندوز)

8 .pdf

9 .xml (فایل اکسل)

10.rtf (فایل با فرمت متن غنی، استفاده شده توسط آفیس)

پیوست ایمیل که ناخواسته و غیر مجاز هستند را بلاک کنید. جیمیل این افزونه ها را بلاک کرد و می‌تواند در سازمان شما هم بلاک شود.

ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js,.jse, .lib, .lnk,.mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct,.shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh

ب) کارکنان را برای اجرای اسکریپت ها در نقطه پایانی مرحله محدود کنید.

ج) آگاهی کاربر از ایمیل های هرزنامه و آموزش های مناسب به کاربران

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند.

RDP – پروتکل دسکتاپ از راه دور (پورت ۳۳۸۹) که سرورهای اتصالات RDP آسیب پذیر را شناسایی می‌کند، به لطف ابزارهای اسکن مانند شودان (Shodan)  و مس اسکن (masscan) به طرز شگفت آوری آسان شده است.

به همین دلیل به سادگی، مسئله فقط استفاده از ابزارهای جستجوی فراگیر(بروت فورس) مانند NLBrute برای شکستن هویت نامه‌های RDP و حمله‌کنندگانی که در آن هستند، می‌باشد. از طرف دیگر حمله کنندگان  می‌توانند به راحتی به DarkMarket xDedic زیر زمینی بروند، جایی که دسترسی به سرور های آلوده می تواند فقط ۶ دلار هزینه داشته باشد.

RDP تبدیل به یک ناقل آلودگی مورد علاقه، برای مجرمان باج افزار شده است، به خصوص با باج افزارهایی نظیر سم سم، کرایسیس، لاک کریپت، شِید، آپوکالیپس و انواع مختلف دیگر که همه وارد عمل می‌شوند.

. مکانیسم دفاعی سوء استفاده از RDP:

. دسترسی با فایروال ها را محدود کنید.

. از پسورد (رمز عبور)های قوی و 2FA/MFA استفاده کنید.

. کاربرانی که می توانند با استفاده از RDP وارد سیستم شوند را محدود سازید.

. برای مقابله با حملات جستجوی فراگیر، سیاست قفل حساب را تنظیم کنید.

 

مرحله۱-الف: ‏بازیابی پی لودها از سرورهای کنترل و فرمان

در نسخه های اخیر، ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند. در برخی موارد، ایمیل اولین طعمه برای فریب قربانی است تا همه‌ی اسکریپت ها را از طریق ایمیل اجرا کند که خود باعث سوء استفاده از برنامه های کاربر و دانلود هر گونه پی لود در مرحله دوم آلودگی می‌شود. غیرفعال کردن یا محدود کردن آن منابع مجاز در دانلود فایل‌ها از اینترنت می تواند به جلوگیری از دریافت پی لودها کمک کند.

حمله کنندگان سایبری همیشه دوست دارند از برنامه های مجاز مایکروسافت آفیس برای دستیابی به اهدافشان سوء استفاده کنند. زیرا:

۱) برنامه های آفیس در سطح جهانی پذیرفته شده‌اند. بیشترین نام های مورد استفاده توسط حمله کنندگان در پیوست یک ایمیل (فاکتور، گزارش ها، ترازنامه، اسناد و مناقصه ها) است.

۲) برنامه های آفیس براحتی مسلح می شوند. قابلیت‌های درون ساختی مایکروسافت توسط حمله شوندگان جذب می‌شود و از آن‌ها به روش های متعددی استفاده میکنند.

چگونه حمله کنندگان برای انتقال پی لودها از برنامه‌های مایکروسافت سوء استفاده می‌کنند؟

الف) ماکروها – غیرفعال یا محدود کردن

ب) پیوند دادن و جایگذاری (OLE)-محدود یا غیرفعال کردن

ج) تبادل پویای داده (DDE)- این عملکرد از word برداشته شود ، هنوز نیاز است که در Excel و Outlook هم غیر فعال شود.

د) بهره برداری از ویرایشگر معادله– CVE-2017-11882 – این عملکرد، در به روز رسانی امنیتی ویندوز در ژانویه ۲۰۱۸ برداشته شد.

نه فقط برنامه های مایکروسافت آفیس، حمله کنندگان همچنین از برنامه های مجاز و ابزارهای درون ساختی ویندوز، برای انتقال پی لود ها استفاده می کنند.

الف) VBS اسکریپت و جاوا اسکریپت- اگر احتیاج ندارید غیرفعال کنید.

ب) پاورشل-غیرفعال کردن یا کاهش قابلیت ها با استفاده از قفل برنامه یا سیاست محدودیت نرم افزاری ویندوز  (SRP)

ج) سو استفاده از certutil.exe, mshta.exe, regsvr32.exe, bitsadmin.exe and curl.exe- بلاک کردن برنامه ها و بلاک کردن ایجاد درخواست های خارجی

در میان برنامه های مجاز، این موارد می‌تواند برای ایجاد لیست سفید برنامه استفاده شود: هم بلاک کردن و هم تحت کنترل گرفتن توصیه می شود.

   ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند.

مرحله۲: مطمئن شوید که بد افزار در سازمان اجرا یا پخش نمیشود.

 

به طور معمول سازمان ها به آنتی ویروس (AV)  برای جلوگیری از اجرای بد افزار تکیه می‌کنند.

حمله ها برای نادیده گرفتن/ دور زدن AV توسعه یافته اند. برای اثرگذار بودن، نرم‌افزار محافظت نقطه پایانی، باید از یادگیری ماشینی برای تجزیه و تحلیل هوشمندتر فایل و از تجزیه و تحلیل فعالیت سیستم در زمان واقعی برای تشخیص و بلاک رفتارهای مخرب استفاده کند.

لیست سفید برنامه لایه دفاعی خوب دیگری است که نگهداری آن می­تواند مشکل باشد. حمله کنندگان همچنین می توانند با تزریق کد مخرب به فرایندهای تایید شده، لیست سفید و AV را دور بزنند.

حمله کنندگان همچنین می توانند بسیاری از روش‌های AV/NGAV را با تزریق کد مخرب به فضای حافظه‌ی یک فرایند مجاز، دور بزنند، بنابراین امتیازات آن را می‌ربایند و تحت قالب آن عمل می‌کنند.

انواع مختلفی از تکنیک‌های تزریق مخرب وجود دارد که حمله‌کنندگان می‌توانند به کار ببرند؛ تزریق DLL، تزریق DLL انعکاسی، فرایند تو خالی، فرآیند دوپلگنگینگ، بمب گذاری اتم و…

دفاع در برابر اجرای بد افزار در محیط شما شامل این موارد است:

۱) محافظت نقطه پایانی

۲)لیست سفید برنامه

۳) اگر ممکن است استفاده کاربران از اسکریپت‌ها را محدود یا قطع کنید.

۴) کنترل ویندوز به وسیله فولدرها

۵) برای جلوگیری از تکنیک های تزریق، فرآیندهای نظارت و تماس های API را به کار بگیرید.

حمله ها برای نادیده گرفتن/ دور زدن AV (آنتی ویروس) توسعه یافته اند.

مرحله۳: مطمئن شوید در/ بعد از مرحله آخر از زنجیره حمله سایبری، به اطلاعاتتان نفوذ یا استخراج نشده باشد.

وقتی حمله کنندگان اولین دسترسی را پیدا کردند، توجه‌شان به فعالیت‌های بعد از بهره ‌برداری جلب می‌شود. برای ادامه عملکرد توسط ردیاب، حمله کنندگان ترجیح می‌دهند که قانع باشند و از ابزارهای مجاز و فرآیندهایی که قبلاً در سیستم وجود داشت استفاده کنند.

حمله کنندگان می توانند از عملکردها و ابزارهای سیستم سوء استفاده کنند و نقاط بارگذاری متعددی ایجاد کنند، از جمله ذخیره کردن اسکریپت ها در رجیستری.

تعداد زیادی از انواع مختلف بد افزارها طراحی شده‌اند که برای تکثیر خودکار، اغلب از ابزارهای اجرایی از راه دور سوء استفاده کرده­اند.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است. بعضی از ابزارهای بسیار رایجی که مورد سوء استفاده قرار گرفته‌اند، این موارد است: پاورشل، ابزارهای مدیریتی ویندوز (WMI) و ابزارهای مدیریتی از راه دور مانند PsExec.

تکنیکهای حمله کنندگان و مکانیسم های دفاعی:

۱) سوء استفاده از برنامه هایی که برای ارتقای خودکار طراحی شده است.

الف) هر موقع که ممکن است، از بالاترین سطح اجرایی UAC استفاده کنید.

ب) حالت تایید ادمین را فعال کنید.

ج) کاربران را از گروه ادمین محلی بردارید.

۲) سرقت DLL

الف) نرم افزار محافظت نقطه پایانی

ب)به DLL‌های از راه دور، اجازه بارگذاری ندهید.

ج) حالت جستجوی DLL ایمن را فعال کنید.

۳) بهره‌برداری‌های افزایش امتیاز (دزدی رمز، افزایش آسیب پذیری آدرس دهی عنصر اطلاعاتی NULL، تنظیم توصیف‌گر امنیتی بر روی NULL و…)

الف) نرم افزار محافظت نقطه پایانی با فضای کاربر، فضای هسته اصلی و سطح دید CPU

۴) استخراج اعتبار

الف) فعال کردن حافظه پنهان

ب) با استفاده از قفل برنامه، پاورشل را محدود یا غیرفعال کنید.

ج) حداقل ایمنی را ایجاد کنید، از اشتراک هویت‌نامه خودداری کنید.

د) محافظت نقطه پایانی که از LSASS و سایر ذخیره‌‌های هویتی محافظت می کند.

۵) تکنیک حرکت فرعی ( سو استفاده از ابزارهای مدیریتی از راه دور و…)

الف) پیشنهادات تنظیمات UAC

ب) بهترین روش های تقسیم شبکه (منبع: SANS)

ج) احراز هویت دو عاملی

۶) پنهان کردن اسکریپت‌های مخرب در رجیستری

الف) با اجرای خودکار نظارت کنید.

۷) ایجاد تسک‌های برنامه ریزی شده مخرب

الف) بر رویداد ID 4698 ارتباط امنیتی ویندوز نظارت کنید.

۸) سوء استفاده از WMI برای ترغیب اجرای اسکریپت ها بر اساس رویدادها (در راه اندازی و…)

الف) سابسکرایبشن‌های رویداد WMI دفاعی بسازید.

ب) اگر ممکن است یک پورت ثابت برای WMI از راه دور تنظیم کرده و آن را مسدود کنید.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است.

نتیجه

همه این متن در مورد فهم اولیه در مورد این موضوع است که با چه نوع رفتاری از ناقلان و سطوح حمله ممکن است در سازمان مواجه شویم و در مرحله اول یک دیوار دفاعی بسازیم.

این کار برای شما ایمنی صد درصدی در مقابل همه رفتار ها ایجاد نمی‌کند، روش های نوظهور و تک و ارتباط بیشتری در الگوهای بد افزار در حال پدیدار شدن است. بنابراین باید مطمئن شویم که در مقابل حملات سایبری الگوهای شناخته شده، بر اساس توصیه های آمده شده در بالا، از قبل ایمن شده‌ایم.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

شما می توانید برای به روز رسانی های روزانه سایبری، ما را در لینکدین، توئیتر و فیسبوک دنبال کنید.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

منبع

EDR

تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

هر سه تا پنج سال یک‌بار، یک اصطلاح جدید فناوری امنیت سایبری به ‌شدت مورد استقبال قرار می‌گیرد. در سال 2021 نوبت به فناوری تشخیص و پاسخ گسترده (XDR) رسیده است. سال 2017، زمانی که فناوری تشخیص و پاسخ به نقطه پایانی (EDR) به‌عنوان «جام مقدس» در دفاع سایبری معرفی شد را به یاد می­آوریم.

قرار بر این بود EDR به حل همه چالش‌های امنیت سایبری ما بپردازد. پذیرندگان اولیه می‌توانستند این پتانسیل را ببینند، اما کاستی‌های متداولی را نیز تجربه کردند. EDR به‌ویژه از دقت پایین و سایر مشکلات عملکردی رنج می‌برد که در بسیاری از موارد منجر به هشدارهای حادثه غیر واقعی برای تیم‌های آماده‌سازی و در نتیجه کمبود نیروهای امنیتی برای مقابله با آن‌ها می‌شد.

با گذشت زمان EDR رشد پیدا کرده و در حال حاضر ارزش خود را ثابت کرده است. امروزه EDR یکی از مؤلفه‌های اصلی یک ساختار امنیتی جامع است و به‌ویژه هنگام مبارزه با حملات هدفمند و پیچیده از اهمیت ویژه‌ای برخوردار میشود. اگرچه تجربه EDR نشان داده است ،تلاش‌های پیشگیرانه را همان‌طور که در ابتدا نیز بیان شده بود منسوخ نکرده است. درواقع، این امر نیاز به تمرکز بیشتر بر پیشگیری، برای کاهش تعداد حوادث امنیتی شناسایی‌شده توسط EDR را برجسته کرده است. نسل اول راه‌حل‌های EDR در اعمال همبستگی رویدادهای امنیتی، فراتر از یک نقطه پایانی (endpoints) دارای محدودیت بود. این محدودیت بار تشخیص حملات پیچیده را بر عهده تیم‌های فناوری اطلاعات و عملیات امنیت می‌گذاشت.

تشخیص و پاسخ گسترده

تشخیص و واکنش گسترده (xEDR) دو مورد اصلی را علاوه بر آنچه در حال حاضر با EDR داریم، بهبود می‌بخشد:

  • همبستگی رویداد در سطح سازمانی برای کاهش دیدگاه پراکنده از حوادث پیچیده امنیتی
  • افزودن منابع بیشتر علاوه بر نقاط پایانی، مانند منابع شبکه برای ایجاد تصویری بزرگ‌تر از حملات

درحالی‌که این فناوری ازلحاظ تئوری، ساده و عالی به نظر می‌رسد اما در عمل انجام این پیشرفت‌ها به‌خصوص در یک زمان، ساده نیست. پذیرندگان اولیه XDR و تحلیل گران صنعت به‌طور یکسان، توانایی xEDR را در تشخیص و پاسخ -تأیید می‌کنند اما در مورد آن هشدارهایی نیز ارائه می‌دهند. اغلب نگرانی‌ها مربوط به عدم بلوغ راه‌حل، عدم وجود استانداردهای صنعت ازنظر ویژگی‌های الزامی و ترس از گیر افتادن با یک فروشنده امنیتی برای مدت طولانی استاست. البته همه این موارد خطراتی است که برای دسته‌ای از راه‌حل‌ها که هنوز در حال رشد و ظهور هستند، انتظار می‌رود.

همچنین، آنچه تاکنون واقعاً بخشی از بحث نبوده است، میزان استفاده مؤثر از راه‌حل‌های XDR توسط سازمان‌هایی است که تیم‌های عملیاتی امنیتی قابل‌توجهی ندارند (این موضوع به‌ویژه در مورد مشاغل متوسط ​​و کوچک صادق است).

با توجه به اینکه -فروشندگان xEDR، با قابلیت‌های اصلی مختلف (امنیت شبکه، امنیت نقطه پایانی، SIEM) در حال  ارائه خدمات به سازمان‌هایی با اندازه‌های مختلف هستند، هنوز مشخص نیست که چه تعداد و چه نوع کارمندی برای اجرای مؤثر راه‌حل‌های جدید موردنیاز است.

بنابراین، یک سؤال واقع‌گرایانه وجود دارد که ارزش پرسیدن دارد: آیا راهی وجود دارد که از مفاهیم XDR به روش قابل‌هضم‌تری استفاده کرد؟ چگونه می‌توان از EDR به XDR رشد کرد درحالی‌که کارمندان امنیتی اختصاصی بیشتری اضافه نکرد یا بر کارکنان موجود فشار وارد نکرد؟ XEDR یک گزینه عالی برای شروع است.

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) چیست؟

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) قابلیت‌های EDR، مانند تجزیه‌ و تحلیل امنیت و همبستگی رویدادهای امنیتی در سطح سازمانی، که به‌طور طبیعی در EDR به کار میرود، را دارد. XEDR مرزهای تجزیه‌وتحلیل امنیتی را فراتر از نقطه پایانی خود گسترش می‌دهد و رویدادها را از تمام نقاط پایانی در زیرساخت‌های سازمان به هم پیوند می‌دهد. این موضوع به زیرساخت‌های سازمانی به‌عنوان مجموع نقاط پایانی، همان‌طور که EDR انجام می‌دهد نگاه نمی‌کند، در عوض، یک دیدگاه کلی‌نگر را در نظر می‌گیرد و زیرساخت‌ها را به‌عنوان یک موجود واحد در نظر می‌گیرد که توسط چندین عنصر تشکیل‌ شده است (نقاط نهایی).

xEDR دارای سه مزیت مهم است:

  • مزایای XDR را درجایی که بیشترین اهمیت را دارند متمرکز می‌کند: در نقاط پایانی. چرا نقاط پایانی بیشترین اهمیت را دارند؟ زیرا اینجا مکانی است که داده‌ها در آن قرار می‌گیرند (سرورها / کانتینرها) و اینجا مکانی است که تعامل کاربر (ایستگاه‌های کاری) انجام می‌شود. نقاط پایانی در مقایسه با سایر عناصر زیرساخت در معرض خطر بسیار بالاتری قرار دارند.
  • امکان ادغام گام‌به‌گام سایر منابع در شبکه (غیر از نقاط پایانی) را در طول زمان فراهم می‌کند تا قابلیت تشخیص و مشاهده را افزایش دهد. این ریسک فناوری رایج در راه‌حل جدید را کاهش می‌دهد و از ادغام منابع جدید (چشم‌انداز وسیع‌تر) بدون از دست دادن داده ها پشتیبانی میکند. آنچه EDR بسیار خوب انجام می‌دهد: عمق چشم‌انداز.
  • نیازها را از نظر مهارت و تعداد کارکنان حفظ می‌کند (و حتی ممکن است کاهش دهد) و به بیشتر سازمان‌ها اجازه می‌دهد تاب‌آوری سایبری خود را بدون هیچ‌گونه هزینه عملیاتی اضافی افزایش دهند.

با نگاهی به تجربه گذشته EDR در می یابیم، XDR نیز با گذشت  زمان رشد کرده و و رویکرد  xEDR  می‌تواند مشکل شناسایی و مدیریت حوادث پیچیده سایبری را بهتر و سریع‌تر حل نماید.

آنتی ویروس بیت دیفندر بالاترین امتیاز شناسایی در ارزیابی MITRE ATT&CK را بدست آورد

شرکت بیت دیفندر بالاترین امتیاز شناسایی در ارزیابی MITRE ATT&CK را بدست آورد

نتایج گزارش سال ۲۰۲۱ MITRE Engenuity ATT&CK برای بیت دیفندر بسیار موفقیت آمیز بود. محصولات امنیتی بیت دیفندر بالاترین نرخ شناسایی را با عنوان استاندارد طلایی در تست ها و شبیه‌سازی های MITRE به از آن خود کرده است.

ارزیابی MITRE ATT&CK بر روی ۲۹ رهبر در حوزه امنیت سایبری شامل، Crowdstrike، Microsoft، McAfee و محصولاتشان که قابلیت شناسایی تکنیک‌ها و تاکتیک‌های FIN7 و Carbanak که بخش‌های مالی، سازمان‌های مهمان‌پذیر را با استفاده از بدافزارهای پیشرفته آلوده کردند، انجام شده است.

GravityZone بیت دیفندر با ۳۶۶ شناسایی تهدید سایبری از انواع مختلف (که با فاصله ۱۰ پله‌ای از دومین رتبه و تقریبا فاصله بیش ۵۰٪ از میانگین شناسایی نسبت به سایرین) افتخار بزرگی را کسب کرده‌است.

بیت‌دیفندر همچنین در خروجی نتایج با استفاده از عملیات امنیتی موثر خود به کاهش سردرگمی تحلیل‌گران در ۹۶٪ از کل شناسایی‌ها کمک کرده‌است. در مقایسه با سایرین، که در مواجهه با چنین تهدیداتی اطلاعات محدودی را در اختیار قرار داده اند که نیاز به بررسی بیشتر توسط تیم‌های امنیتی را طلب می‌کند.

Bitdefender GravityZone از طریق دقت بالا و استثنایی، هشدارهای غنی از اطلاعات مفید و پشتیبانی از چند سیستم‌عامل، شامل شناسایی ۱۰۰٪‌حملات بر روی سیستم عامل لینوکس، یک بار دیگر ثابت کرد که این یک انتخاب هوشمندانه برای کمک به سازمان‌ها برای تقویت انعطاف‌پذیری سایبری است که با راه‌حلهایی با نرخ بالای شناسایی، ایجاد هشدارها و واکنش‌های مناسب را ارائه می‌دهد.

این دومین سال پیاپی است که Bitdefender در ارزیابی MITRE ATT&CK شرکت می‌کند، که بسیار مورد توجه تحلیل‌گران صنعت و سازمان‌هایی است که به دنبال یافتن یک راه موثر برای پاسخ به تهدیدات امنیت سایبری هستند.