پدافند غیر عامل

پدافند غیرعامل در دفاع سایبری

همانگونه که حفاظت و حراست از تمامیت ارضی هر کشور از اهمیت بالایی برخوردار بوده و تقویت توان بازدارندگی نظامی مسلحانه در مقابل هرگونه تجاوز و تعرض به مرزهای قانونی از وظایف اصلی هر حکومتی میباشد، توجه به سایر ابعاد تهدیدات و همچنین آمادگی مقابله و خنثی سازی آن نیز از اهمیت بالایی برخوردار است.

نکته قابل تامل در برهه کنونی این است که تمامی تهدیداتی که متوجه کشور، مردم و زیر ساختهای حیاتی آن است تنها مخاطرات نظامی نبوده و این تهدیدات به مولفه های غیر مسلحانه نیز تعمیم پیدا کرده است و دشمن برای نفوذ و پیاده سازی اهداف خود از تمام توان نظامی و غیر نظامی خود بهره میبرد.

با توجه به اهمیت فناوری اطلاعات در عصر حاضر و رشد سریع و در عین حال نامتوازن ساختار IT ، این بستر به یکی از نقاط بالقوه آسیب پذیر و خطرناک در جهان بدل شده است؛

دفاع غیرعامل در واقع مجموعه تمهیدات، اقدامات و طرح‌هایی است که با استفاده از ابزار، شرایط و حتی‌المقدور بدون نیاز به نیروی انسانی به صورت خود اتکا صورت‌گیرد چنین اقداماتی از یک سو توان دفاعی مجموعه را در زمان بحران افزایش داده و از سوی دیگر پیامدهای بحران را کاهش و امکان بازسازی مناطق آسیب‌دیده را با کمترین هزینه فراهم می‌سازد.

پدافند غیرعامل سایبری شامل کلیه اقدامات كه موجب كاهش آسیب پذیری ایمنی و پایداری شبکه و تجهیزات وابسته به شبکه ، نیروی انسانی، اسناد و شریان های كشور در مقابل عملیات مخرب دشمن گردد، میشود. پدافند غیرعامل انجام می شود تا در صورت بروز جنگ، خسارات احتمالی به حداقل میزان خود برسد

پدافند غیر عامل در زمینه حملات سایبری را به دو حوزه نیروی انسانی و سیستم­ها می­توان تقسیم نمود.

در حوزه نیروی انسانی و کاربران فضای سایبری نیاز به آموزشهای مستمر و ارتقا دانش کابردی کاربران است. حوزه سیستم ها خود شامل، داده ها و اطلاعات، روشها و رویه های اجرایی، سخت افزارها  و به ویژه نرم افزاهای رایانه ای می باشد.

امروزه پدافند غیر عامل به دو مقوله دفاع و بازگشت به روال کار د رصورت  خرابی تاکید ویژه ای دارد.

در مقوله دفاع سایبری نیاز به آموزش، امن سازی سیستم ها، کاربرد دفاع در عمق از طریق استفاده از آنتی ویروس شرکتی، فایروالها، سیستمهای کنترل دسترسی (PAM)، سیستم های جلوگیری از نشت اطلاعات (DLP)  و استفاده از مدیریت خدمات IT  می باشد.

همچنین شناسایی نقاط حمله با استفاده از امکانات پیشرفته EDR، استفاده از روش های به روز و مطئن پشتیبان گیری میتواند به سازمان ها در بازگشت سریع به کار پس از حملات سایبری  کمک شایانی نماید.

ضد بدافزار

اولین فاز دفاعی SOC – درک زنجیره حمله سایبری – رویکرد دفاعی با / بدون SOC

این مقاله به شما کمک می کند تا تهدیدات حمله سایبری مدرن و رایج ترین سطوح حمله استفاده شده پشت هر گونه حمله بدافزار / حمله سایبری را بشناسید. در بیشتر مواقع، حمله سایبری در مراحل مختلفی اتفاق می افتد. بنابراین تیم سایبری باید الگوها و زنجیره حمله را بشناسد.

بنابراین شکستن زنجیره حمله و جلوگیری از مجرمان به قصد متوقف کردن هدفشان، تاثیر بد تجاری از بین رفتن اطلاعات را کم میکند. این کار بصورت صد در صدی مراحل دفاعی را برای سازمان شما فراهم نمی کند.

این کار اطلاعات مختصری در مورد ناقلان حمله فراهم می‌کند و اینکه هر تیم SOC باید یک مکانیسم دفاعی برای آن بسازد تا مرحله اولیه نظارت امنیتی را داشته باشد. این گام‌ها می‌تواند توسط هر تیم امنیت شبکه یا صنایعی با مقیاس کوچک یا شرکت‌های کوچکتر که نمی‌توانند SOC تهیه کنند، پیروی شود تا به آنها کمک کند که به وسیله آن، دیوار دفاعی بسازند.

در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد.

۳ واقعیت اساسی که باید به ذهن بسپارید:

مجرمان اینترنتی همیشه جلوتر از کنترل های امنیتی برنامه ریزی می کنند.

۱) هر چیزی را به آسانی به حمله کننده ندهید، کار را برای او سخت کنید. ( اقدامات کنترلی در شبکه)

۲) برنامه‌های آسیب پذیر مجاز را در صورت عدم استفاده فعال نکنید، حمله کنندگان همیشه از برنامه های مجاز در شبکه استفاده می کند. ( سو استفاده از  LOLBins)

۳) فکر نکنید که حمله کنندگان، فقط یک بخش از یک کد واحد را ایجاد می کنند، آنها همیشه به مراحل حمله با دستورالعمل ها و قابلیت های گوناگون متکی هستند. (زنجیره کشتار سایبری)

بنابراین، مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

) دفاع در برابر ورود بد افزار-( وارد شدن به شبکه سازمان تان)

۲) اگر بد افزار با موفقیت وارد شد، چگونه قرار است از حرکات جانبی و ماندگاری آن دفاع کنید؟-(حرکت به درون شبکه سازمان‌تان)

۳) اگر حمله کننده، همه فعالیت هایش را کامل کند، مرحله نهایی او استخراج داده یا نفوذ خواهد بود. ( ترک از شبکه سازمان‌تان)

نکته کوچک: این زنجیره کشتار سایبری نیست، یک فاز اساسی از حمله است.

بیایید مراحل را تجزیه کنیم و از مکانیسم های دفاعی آن در برابر ناقلین آلودگی رایج مطمئن شویم.

مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

 

 

 

 مرحله۱: دریافت بدافزار/ هرزنامه

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند. اما اخیراً این تکنیک ها به آسانی توسط حمله کنندگان سایبری، مغلوب می‌شود. حمله‌های سایبری امروزی شامل یک مرحله نیستند آنها بد افزار را در هر سازمانی، در مراحل مختلف آلودگی ، پخش می کنند. در ابتدا حمله کنندگان قربانی را فریب می‌دهند تا روی هر گونه آدرس اینترنتی غیرمخرب کلیک کند و آن را به یک CnC منتقل می کند و پی لود مخرب خود را آزاد میکند. این مراحل نمی‌توانند توسط سیستم‌های دفاعی سنتی مسدود شوند.

دو راه اساسی: ۱) پخش ایمیل- هرزنامه، فیشینگ هدفدار، کمپین‌های ایمیل. ۲)نقاط ورودی RDP

الف) پیوست های ایمیل رایج مورد استفاده در بیشتر کمپین های ایمیل

  1. vbs (VBS فایل اسکریپت)

2 .js (فایل جاوا اسکریپت)

3 .exe (اجرا شدنی)

4 .jar (فایل آرشیو جاوا)

5 .docx ، .doc ، .dot (اسناد آفیس)

6 .html ، .htm (فایل‌های صفحه وب)

7 .wsf (فایل اسکریپت ویندوز)

8 .pdf

9 .xml (فایل اکسل)

10.rtf (فایل با فرمت متن غنی، استفاده شده توسط آفیس)

پیوست ایمیل که ناخواسته و غیر مجاز هستند را بلاک کنید. جیمیل این افزونه ها را بلاک کرد و می‌تواند در سازمان شما هم بلاک شود.

ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js,.jse, .lib, .lnk,.mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct,.shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh

ب) کارکنان را برای اجرای اسکریپت ها در نقطه پایانی مرحله محدود کنید.

ج) آگاهی کاربر از ایمیل های هرزنامه و آموزش های مناسب به کاربران

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند.

RDP – پروتکل دسکتاپ از راه دور (پورت ۳۳۸۹) که سرورهای اتصالات RDP آسیب پذیر را شناسایی می‌کند، به لطف ابزارهای اسکن مانند شودان (Shodan)  و مس اسکن (masscan) به طرز شگفت آوری آسان شده است.

به همین دلیل به سادگی، مسئله فقط استفاده از ابزارهای جستجوی فراگیر(بروت فورس) مانند NLBrute برای شکستن هویت نامه‌های RDP و حمله‌کنندگانی که در آن هستند، می‌باشد. از طرف دیگر حمله کنندگان  می‌توانند به راحتی به DarkMarket xDedic زیر زمینی بروند، جایی که دسترسی به سرور های آلوده می تواند فقط ۶ دلار هزینه داشته باشد.

RDP تبدیل به یک ناقل آلودگی مورد علاقه، برای مجرمان باج افزار شده است، به خصوص با باج افزارهایی نظیر سم سم، کرایسیس، لاک کریپت، شِید، آپوکالیپس و انواع مختلف دیگر که همه وارد عمل می‌شوند.

. مکانیسم دفاعی سوء استفاده از RDP:

. دسترسی با فایروال ها را محدود کنید.

. از پسورد (رمز عبور)های قوی و 2FA/MFA استفاده کنید.

. کاربرانی که می توانند با استفاده از RDP وارد سیستم شوند را محدود سازید.

. برای مقابله با حملات جستجوی فراگیر، سیاست قفل حساب را تنظیم کنید.

 

مرحله۱-الف: ‏بازیابی پی لودها از سرورهای کنترل و فرمان

در نسخه های اخیر، ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند. در برخی موارد، ایمیل اولین طعمه برای فریب قربانی است تا همه‌ی اسکریپت ها را از طریق ایمیل اجرا کند که خود باعث سوء استفاده از برنامه های کاربر و دانلود هر گونه پی لود در مرحله دوم آلودگی می‌شود. غیرفعال کردن یا محدود کردن آن منابع مجاز در دانلود فایل‌ها از اینترنت می تواند به جلوگیری از دریافت پی لودها کمک کند.

حمله کنندگان سایبری همیشه دوست دارند از برنامه های مجاز مایکروسافت آفیس برای دستیابی به اهدافشان سوء استفاده کنند. زیرا:

۱) برنامه های آفیس در سطح جهانی پذیرفته شده‌اند. بیشترین نام های مورد استفاده توسط حمله کنندگان در پیوست یک ایمیل (فاکتور، گزارش ها، ترازنامه، اسناد و مناقصه ها) است.

۲) برنامه های آفیس براحتی مسلح می شوند. قابلیت‌های درون ساختی مایکروسافت توسط حمله شوندگان جذب می‌شود و از آن‌ها به روش های متعددی استفاده میکنند.

چگونه حمله کنندگان برای انتقال پی لودها از برنامه‌های مایکروسافت سوء استفاده می‌کنند؟

الف) ماکروها – غیرفعال یا محدود کردن

ب) پیوند دادن و جایگذاری (OLE)-محدود یا غیرفعال کردن

ج) تبادل پویای داده (DDE)- این عملکرد از word برداشته شود ، هنوز نیاز است که در Excel و Outlook هم غیر فعال شود.

د) بهره برداری از ویرایشگر معادله– CVE-2017-11882 – این عملکرد، در به روز رسانی امنیتی ویندوز در ژانویه ۲۰۱۸ برداشته شد.

نه فقط برنامه های مایکروسافت آفیس، حمله کنندگان همچنین از برنامه های مجاز و ابزارهای درون ساختی ویندوز، برای انتقال پی لود ها استفاده می کنند.

الف) VBS اسکریپت و جاوا اسکریپت- اگر احتیاج ندارید غیرفعال کنید.

ب) پاورشل-غیرفعال کردن یا کاهش قابلیت ها با استفاده از قفل برنامه یا سیاست محدودیت نرم افزاری ویندوز  (SRP)

ج) سو استفاده از certutil.exe, mshta.exe, regsvr32.exe, bitsadmin.exe and curl.exe- بلاک کردن برنامه ها و بلاک کردن ایجاد درخواست های خارجی

در میان برنامه های مجاز، این موارد می‌تواند برای ایجاد لیست سفید برنامه استفاده شود: هم بلاک کردن و هم تحت کنترل گرفتن توصیه می شود.

   ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند.

مرحله۲: مطمئن شوید که بد افزار در سازمان اجرا یا پخش نمیشود.

 

به طور معمول سازمان ها به آنتی ویروس (AV)  برای جلوگیری از اجرای بد افزار تکیه می‌کنند.

حمله ها برای نادیده گرفتن/ دور زدن AV توسعه یافته اند. برای اثرگذار بودن، نرم‌افزار محافظت نقطه پایانی، باید از یادگیری ماشینی برای تجزیه و تحلیل هوشمندتر فایل و از تجزیه و تحلیل فعالیت سیستم در زمان واقعی برای تشخیص و بلاک رفتارهای مخرب استفاده کند.

لیست سفید برنامه لایه دفاعی خوب دیگری است که نگهداری آن می­تواند مشکل باشد. حمله کنندگان همچنین می توانند با تزریق کد مخرب به فرایندهای تایید شده، لیست سفید و AV را دور بزنند.

حمله کنندگان همچنین می توانند بسیاری از روش‌های AV/NGAV را با تزریق کد مخرب به فضای حافظه‌ی یک فرایند مجاز، دور بزنند، بنابراین امتیازات آن را می‌ربایند و تحت قالب آن عمل می‌کنند.

انواع مختلفی از تکنیک‌های تزریق مخرب وجود دارد که حمله‌کنندگان می‌توانند به کار ببرند؛ تزریق DLL، تزریق DLL انعکاسی، فرایند تو خالی، فرآیند دوپلگنگینگ، بمب گذاری اتم و…

دفاع در برابر اجرای بد افزار در محیط شما شامل این موارد است:

۱) محافظت نقطه پایانی

۲)لیست سفید برنامه

۳) اگر ممکن است استفاده کاربران از اسکریپت‌ها را محدود یا قطع کنید.

۴) کنترل ویندوز به وسیله فولدرها

۵) برای جلوگیری از تکنیک های تزریق، فرآیندهای نظارت و تماس های API را به کار بگیرید.

حمله ها برای نادیده گرفتن/ دور زدن AV (آنتی ویروس) توسعه یافته اند.

مرحله۳: مطمئن شوید در/ بعد از مرحله آخر از زنجیره حمله سایبری، به اطلاعاتتان نفوذ یا استخراج نشده باشد.

وقتی حمله کنندگان اولین دسترسی را پیدا کردند، توجه‌شان به فعالیت‌های بعد از بهره ‌برداری جلب می‌شود. برای ادامه عملکرد توسط ردیاب، حمله کنندگان ترجیح می‌دهند که قانع باشند و از ابزارهای مجاز و فرآیندهایی که قبلاً در سیستم وجود داشت استفاده کنند.

حمله کنندگان می توانند از عملکردها و ابزارهای سیستم سوء استفاده کنند و نقاط بارگذاری متعددی ایجاد کنند، از جمله ذخیره کردن اسکریپت ها در رجیستری.

تعداد زیادی از انواع مختلف بد افزارها طراحی شده‌اند که برای تکثیر خودکار، اغلب از ابزارهای اجرایی از راه دور سوء استفاده کرده­اند.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است. بعضی از ابزارهای بسیار رایجی که مورد سوء استفاده قرار گرفته‌اند، این موارد است: پاورشل، ابزارهای مدیریتی ویندوز (WMI) و ابزارهای مدیریتی از راه دور مانند PsExec.

تکنیکهای حمله کنندگان و مکانیسم های دفاعی:

۱) سوء استفاده از برنامه هایی که برای ارتقای خودکار طراحی شده است.

الف) هر موقع که ممکن است، از بالاترین سطح اجرایی UAC استفاده کنید.

ب) حالت تایید ادمین را فعال کنید.

ج) کاربران را از گروه ادمین محلی بردارید.

۲) سرقت DLL

الف) نرم افزار محافظت نقطه پایانی

ب)به DLL‌های از راه دور، اجازه بارگذاری ندهید.

ج) حالت جستجوی DLL ایمن را فعال کنید.

۳) بهره‌برداری‌های افزایش امتیاز (دزدی رمز، افزایش آسیب پذیری آدرس دهی عنصر اطلاعاتی NULL، تنظیم توصیف‌گر امنیتی بر روی NULL و…)

الف) نرم افزار محافظت نقطه پایانی با فضای کاربر، فضای هسته اصلی و سطح دید CPU

۴) استخراج اعتبار

الف) فعال کردن حافظه پنهان

ب) با استفاده از قفل برنامه، پاورشل را محدود یا غیرفعال کنید.

ج) حداقل ایمنی را ایجاد کنید، از اشتراک هویت‌نامه خودداری کنید.

د) محافظت نقطه پایانی که از LSASS و سایر ذخیره‌‌های هویتی محافظت می کند.

۵) تکنیک حرکت فرعی ( سو استفاده از ابزارهای مدیریتی از راه دور و…)

الف) پیشنهادات تنظیمات UAC

ب) بهترین روش های تقسیم شبکه (منبع: SANS)

ج) احراز هویت دو عاملی

۶) پنهان کردن اسکریپت‌های مخرب در رجیستری

الف) با اجرای خودکار نظارت کنید.

۷) ایجاد تسک‌های برنامه ریزی شده مخرب

الف) بر رویداد ID 4698 ارتباط امنیتی ویندوز نظارت کنید.

۸) سوء استفاده از WMI برای ترغیب اجرای اسکریپت ها بر اساس رویدادها (در راه اندازی و…)

الف) سابسکرایبشن‌های رویداد WMI دفاعی بسازید.

ب) اگر ممکن است یک پورت ثابت برای WMI از راه دور تنظیم کرده و آن را مسدود کنید.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است.

نتیجه

همه این متن در مورد فهم اولیه در مورد این موضوع است که با چه نوع رفتاری از ناقلان و سطوح حمله ممکن است در سازمان مواجه شویم و در مرحله اول یک دیوار دفاعی بسازیم.

این کار برای شما ایمنی صد درصدی در مقابل همه رفتار ها ایجاد نمی‌کند، روش های نوظهور و تک و ارتباط بیشتری در الگوهای بد افزار در حال پدیدار شدن است. بنابراین باید مطمئن شویم که در مقابل حملات سایبری الگوهای شناخته شده، بر اساس توصیه های آمده شده در بالا، از قبل ایمن شده‌ایم.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

شما می توانید برای به روز رسانی های روزانه سایبری، ما را در لینکدین، توئیتر و فیسبوک دنبال کنید.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

منبع

EDR

تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

هر سه تا پنج سال یک‌بار، یک اصطلاح جدید فناوری امنیت سایبری به ‌شدت مورد استقبال قرار می‌گیرد. در سال 2021 نوبت به فناوری تشخیص و پاسخ گسترده (XDR) رسیده است. سال 2017، زمانی که فناوری تشخیص و پاسخ به نقطه پایانی (EDR) به‌عنوان «جام مقدس» در دفاع سایبری معرفی شد را به یاد می­آوریم.

قرار بر این بود EDR به حل همه چالش‌های امنیت سایبری ما بپردازد. پذیرندگان اولیه می‌توانستند این پتانسیل را ببینند، اما کاستی‌های متداولی را نیز تجربه کردند. EDR به‌ویژه از دقت پایین و سایر مشکلات عملکردی رنج می‌برد که در بسیاری از موارد منجر به هشدارهای حادثه غیر واقعی برای تیم‌های آماده‌سازی و در نتیجه کمبود نیروهای امنیتی برای مقابله با آن‌ها می‌شد.

با گذشت زمان EDR رشد پیدا کرده و در حال حاضر ارزش خود را ثابت کرده است. امروزه EDR یکی از مؤلفه‌های اصلی یک ساختار امنیتی جامع است و به‌ویژه هنگام مبارزه با حملات هدفمند و پیچیده از اهمیت ویژه‌ای برخوردار میشود. اگرچه تجربه EDR نشان داده است ،تلاش‌های پیشگیرانه را همان‌طور که در ابتدا نیز بیان شده بود منسوخ نکرده است. درواقع، این امر نیاز به تمرکز بیشتر بر پیشگیری، برای کاهش تعداد حوادث امنیتی شناسایی‌شده توسط EDR را برجسته کرده است. نسل اول راه‌حل‌های EDR در اعمال همبستگی رویدادهای امنیتی، فراتر از یک نقطه پایانی (endpoints) دارای محدودیت بود. این محدودیت بار تشخیص حملات پیچیده را بر عهده تیم‌های فناوری اطلاعات و عملیات امنیت می‌گذاشت.

تشخیص و پاسخ گسترده

تشخیص و واکنش گسترده (xEDR) دو مورد اصلی را علاوه بر آنچه در حال حاضر با EDR داریم، بهبود می‌بخشد:

  • همبستگی رویداد در سطح سازمانی برای کاهش دیدگاه پراکنده از حوادث پیچیده امنیتی
  • افزودن منابع بیشتر علاوه بر نقاط پایانی، مانند منابع شبکه برای ایجاد تصویری بزرگ‌تر از حملات

درحالی‌که این فناوری ازلحاظ تئوری، ساده و عالی به نظر می‌رسد اما در عمل انجام این پیشرفت‌ها به‌خصوص در یک زمان، ساده نیست. پذیرندگان اولیه XDR و تحلیل گران صنعت به‌طور یکسان، توانایی xEDR را در تشخیص و پاسخ -تأیید می‌کنند اما در مورد آن هشدارهایی نیز ارائه می‌دهند. اغلب نگرانی‌ها مربوط به عدم بلوغ راه‌حل، عدم وجود استانداردهای صنعت ازنظر ویژگی‌های الزامی و ترس از گیر افتادن با یک فروشنده امنیتی برای مدت طولانی استاست. البته همه این موارد خطراتی است که برای دسته‌ای از راه‌حل‌ها که هنوز در حال رشد و ظهور هستند، انتظار می‌رود.

همچنین، آنچه تاکنون واقعاً بخشی از بحث نبوده است، میزان استفاده مؤثر از راه‌حل‌های XDR توسط سازمان‌هایی است که تیم‌های عملیاتی امنیتی قابل‌توجهی ندارند (این موضوع به‌ویژه در مورد مشاغل متوسط ​​و کوچک صادق است).

با توجه به اینکه -فروشندگان xEDR، با قابلیت‌های اصلی مختلف (امنیت شبکه، امنیت نقطه پایانی، SIEM) در حال  ارائه خدمات به سازمان‌هایی با اندازه‌های مختلف هستند، هنوز مشخص نیست که چه تعداد و چه نوع کارمندی برای اجرای مؤثر راه‌حل‌های جدید موردنیاز است.

بنابراین، یک سؤال واقع‌گرایانه وجود دارد که ارزش پرسیدن دارد: آیا راهی وجود دارد که از مفاهیم XDR به روش قابل‌هضم‌تری استفاده کرد؟ چگونه می‌توان از EDR به XDR رشد کرد درحالی‌که کارمندان امنیتی اختصاصی بیشتری اضافه نکرد یا بر کارکنان موجود فشار وارد نکرد؟ XEDR یک گزینه عالی برای شروع است.

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) چیست؟

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) قابلیت‌های EDR، مانند تجزیه‌ و تحلیل امنیت و همبستگی رویدادهای امنیتی در سطح سازمانی، که به‌طور طبیعی در EDR به کار میرود، را دارد. XEDR مرزهای تجزیه‌وتحلیل امنیتی را فراتر از نقطه پایانی خود گسترش می‌دهد و رویدادها را از تمام نقاط پایانی در زیرساخت‌های سازمان به هم پیوند می‌دهد. این موضوع به زیرساخت‌های سازمانی به‌عنوان مجموع نقاط پایانی، همان‌طور که EDR انجام می‌دهد نگاه نمی‌کند، در عوض، یک دیدگاه کلی‌نگر را در نظر می‌گیرد و زیرساخت‌ها را به‌عنوان یک موجود واحد در نظر می‌گیرد که توسط چندین عنصر تشکیل‌ شده است (نقاط نهایی).

xEDR دارای سه مزیت مهم است:

  • مزایای XDR را درجایی که بیشترین اهمیت را دارند متمرکز می‌کند: در نقاط پایانی. چرا نقاط پایانی بیشترین اهمیت را دارند؟ زیرا اینجا مکانی است که داده‌ها در آن قرار می‌گیرند (سرورها / کانتینرها) و اینجا مکانی است که تعامل کاربر (ایستگاه‌های کاری) انجام می‌شود. نقاط پایانی در مقایسه با سایر عناصر زیرساخت در معرض خطر بسیار بالاتری قرار دارند.
  • امکان ادغام گام‌به‌گام سایر منابع در شبکه (غیر از نقاط پایانی) را در طول زمان فراهم می‌کند تا قابلیت تشخیص و مشاهده را افزایش دهد. این ریسک فناوری رایج در راه‌حل جدید را کاهش می‌دهد و از ادغام منابع جدید (چشم‌انداز وسیع‌تر) بدون از دست دادن داده ها پشتیبانی میکند. آنچه EDR بسیار خوب انجام می‌دهد: عمق چشم‌انداز.
  • نیازها را از نظر مهارت و تعداد کارکنان حفظ می‌کند (و حتی ممکن است کاهش دهد) و به بیشتر سازمان‌ها اجازه می‌دهد تاب‌آوری سایبری خود را بدون هیچ‌گونه هزینه عملیاتی اضافی افزایش دهند.

با نگاهی به تجربه گذشته EDR در می یابیم، XDR نیز با گذشت  زمان رشد کرده و و رویکرد  xEDR  می‌تواند مشکل شناسایی و مدیریت حوادث پیچیده سایبری را بهتر و سریع‌تر حل نماید.

ITIL چیست و چرا سازمان ها به نرم افزار ITSM نیاز دارند؟

مک آفی

مک آفی در معامله 4 میلیارد دلاری فروخته شد

مک آفی در معامله 4 میلیارد دلاری فروخته شد

شرکت امنیت سایبری مک آفی اعلام کرده است بخش امنیت سازمانی خود را به شرکت Symphony Technology Group (STG)  واگزار کرده است.

این معامله این فرصت را به شرکت مک آفی داده است که صرفا روی محصولات خانگی متمرکز شود. و استراتژی خود را از مشتریان سازمانی به مشتریان خانگی تغییر داده است.

همچنین شرکت مک آفی اعلام کرده است از انتهای سال 2021 میلادی خدماتی روی محصولات مک آفی نخواهد داشت.

جهت تغییر آنتی ویروس سازمانی خود قبل از اتمام فرصت با ما تماس بگیرید.

منبع

چارچوب Mitre’s ATT&CK چیست؟

چارچوب Mitre’s ATT&CK چیست؟

از همین رو نیز دنیای امنیت امروز نیازمند محققان و تحلیل گران امنیتی است که ورای نشانه های تکنیکی رایج بدافزار ها و فعالیت های مخرب  را هدف گرفته و با تمرکز بر الگوی رفتاری این تهدیدات مانند تاکتیک ها و تکنیک های  به کار رفته در آن ها برای تعیین فعالیت های مخرب این تهدید ها تلاش کنند.

MITRE ATT&CK ساز و کاری است که برای ایجاد یک پایگاه اطلاعات مرتبط به تاکتیک ها و تکنیک های مهاجمان سایبری بر پایه ی مشاهدات حقیقی و عملی متخصصان امنیت ایجاد شده است. در حقیقت، MITRE ATT&CK بهترین سازوکار ممکن برای تولید برنامه های شناسایی تهدید و پاسخگویی به حوادث سایبری محسوب می شود. ATT&CK هم چنین رویکردی قدرتمند برای بهبود، آنالیز و تست فرایند های شناسایی و شکار تهدید یک سازمان است.

ساز و کار ATT&CK توانایی مورد استفاده قرار گرفتن در هر پنج حوزه ی NIST CSF را دارا می باشد اما  عمدتا در فاز شناسایی است که مورد استفاده قرار می گیرد. این ساز و کار تعیین می کند که چه تکنیک هایی می توانند در شناسایی و تشخیص حوادث سایبری نقش ایفا کنند. برای مثال، از میان این تکنیک ها می توان به بررسی endpoint ها، PowerShell، تغییرات Active Directory و… اشاره کرد. به کار  بردن ساز و کار ATT&CK در فرایند شناسایی تهدید های سایبری، خسارات ناشی از این تهدید ها را به حداقل می رساند.

ATT&CK یکی از روشهای جامعی است که می تواند به اجزای بدافزار واقعی نگاه کند و آنها را با جزئیات بیان کند. بیشتر بدافزارهای مدرن از ترکیبی از تکنیک ها برای پنهان کردن عملکرد خود، اجرای سوئ استفاده و جلوگیری از شناسایی و ضعف های شبکه استفاده می کنند. پیدا کردن این قسمتهای مختلف کمک بزرگی است در راستای شناخت و دفاع در مقابل آنها.

باج افزار Lost_Files

این باج افزار که عملکرد آن تشابه زیادی به برخی دیگر از باج افزارها دارد، با استفاده از روش جعل هشدار شرکت مایکروسافت اقدام به انتشار خود و آلوده ساختن سیستمهای قربانیان نموده و خبر کشف آن در تاریخ 29 سپتامبر 2019 توسط یکی از متخصصین موسسه SANS منتشر شده است.

انتشار دهنده این باج افزار با اعلام هشدار جعلی آلودگی سیستم عامل از طریق ایمیل زیر، از روش ایجاد ترس در قربانیان استفاده کرده و با استفاده از این روش قربانیان را تشویق به استفاده از ابزار جعلی ویروسیابی می نماید.

در این روش، فایل مخرب توسط قربانی از آدرس زیر دانلود شده و پس از اجرای آن، فایلهای موجود بر روی سیستم قربانی رمزگذاری خواهند شد.

آدرس دریافت فایل:

hxxp://104[.]168[.]159[.]201/WSS.zip

کدهای hash فایل فوق و فایل مخرب موجود در این فایل:

02629729329cde8d1892afa1d412a75cfcc338826c0b5087a2ef3182b5a1af85

df693cc9d9e89e1db2a8edeaf2e77723e853f363da510a15ade9be79df96dc5e

پس از اجرا و آلوده شدن سیستم، پیغام زیر جهت دریافت مبلغی معادل 500 دلار در ازای بازگرداندن فایلهای رمز شده نمایش داده خواهد شد:

Hi, This is Lost_Files Ransomware, Pay us 500 USD to get our decryption software. So that you can get your files back. The payment is going to be paid in Bitcoin(BTC). For more information about this please click the same EXE file you clicked when you lost all your files. There will be detailed instruction there. The email is: Lost_Files_Ransom@secmail.proTransfer BTC to this address: 13nRGetwvc7UZF8P5KM9bWqHGK6tMk7wyf

این باج افزار قادر به رمزگذاری بر روی فرمتهای زیر می باشد:

.xxx .sdf .txt .doc .docx .xls .pdf .zip .rar .css .xlsx .ppt .pptx .odt .jpg .bmp .png .csv .sql .mdb .php.asp .aspx .html .xml .psd .bat .mp3 .mp4 .wav .wma.avi .mkv .mpeg .wmv .mov .jpeg .ogg.TXT .DOC .DOCX .XLS .PDF.ZIP .RAR .CSS .XLSX .PPT .PPTX .ODT .JPG .BMP.CSV .SQL .MDB .PHP .ASP .ASPX .HTML .XML .PSD .BAT .MP3 .MP4 .WAV .WMA .AVI .MKV .MPEG .WMV .MOV .OGG .JPEG

پس از اجرای فایل مخرب، فایلهای رمز شده بر روی سیستم قربانیان به پسوند .Lost_Files_Encrypt تغییر نام یافته و همچنین این باج افزار با استفاده از روش اسکن پودمان SMB از طریق پورت 445، اقدام به یافتن نشانی های IP تصادفی جهت انتشار آلودگی می‌نماید.

نتایج بررسی ها نشان دهنده شناسایی فایهای مخرب این باج افزار با عنوان Hidden Tear (گونه ای باج افزار متن باز قدیمی) می‌باشد.

لازم به ذکر است که فایلهای مخرب این باج افزار با عنوان Generic.Ransom.Hiddentear.A.B2914DE7 توسط ضدبدافزار Bitdefender قابل شناسایی و پاکسازی می باشند.

نصب و کنترل مداوم به روز رسانی ضدبدافزار، استفاده از راهکارهای پیشگیری از دریافت هرزنامه، کنترل سطح دسترسی کاربران به فایلهای اجرایی و آموزش کاربران در پیشگیری از انتشار انواع گونه های باج افزار موثر بوده و همواره توصیه می گردد.

پروتکل SMB چیست؟

 پروتکل SMB چیست؟ 
یکی از پروتکل‌های مرسوم که کاربرد اصلی آن انتقال فایل و استفاده از چاپگر در داخل شبکه است. توسط این پروتکل می‌توان منابعی که فایل‌ها را به اشتراک گذاشته‌اند و همچنین سرویس‌گیرنده‌ها را مدیریت کرد.

(SMB 1.0 (1984: ایجاد شده توسط آی بی ام برای به اشتراک گذاری فایل در DOS. قفل اپورتونیستی (OpLock) را به عنوان یک مکانیزم ذخیره سازی برای مشتری طراحی کرده تا ترافیک شبکه را کاهش دهد.

(CIFS (1996: زبان SMB توسعه یافته مایکروسافت که در ویندوز ۹۵ عرضه شده است. پشتیبانی از اندازه فایل های بزرگتر، انتقال مستقیم بر روی TCP / IP و لینک های نمادین و لینک های سخت افزوده شده است.

(SMB 2.0 (2006: با ویندوز ویستا و ویندوز سرور ۲۰۰۸ منتشر شده است. برای بهبود عملکرد، مقیاس پذیری و انعطاف پذیری افزایش یافته و پشتیبانی از شتاب WAN افزوده شده است.

(SMB 2.1 (2010: با ویندوز سرور ۲۰۰۸ R2 و ویندوز ۷ معرفی شده است. مدل لیزینگ مشتری oplock جایگزین OpLock برای افزایش ذخیره و بهبود عملکرد است. به روز رسانی های دیگر شامل پشتیبانی از حداکثر انتقال حداکثر (MTU) و بهبود بهره وری انرژی است که مشتریان را با فایل های باز از یک سرور SMB به حالت sleep فعال می کند.

(SMB 3.0 (2012: در ویندوز ۸ و ویندوز سرور ۲۰۱۲ عرضه شده است. برای بهبود در دسترس بودن، عملکرد، تهیه نسخه پشتیبان، امنیت و مدیریت، چندین نسخه قابل ارتقا وجود دارد. قابل توجه ویژگی های جدید شامل SMB Multichannel، SMB مستقیم، شکستن شفاف دسترسی مشتری پشتیبانی از VSS از راه دور، رمزگذاری SMB و بیشتر.

(SMB 3.02 (2014:در ویندوز ۸٫۱ و ویندوز سرور ۲۰۱۲ R2 معرفی شده است. شامل به روز رسانی عملکرد و توانایی به طور کامل غیر فعال کردن پشتیبانی CIFS / SMB 1.0، از جمله: حذف باینری مربوط.

(SMB 3.1.1 (2015: با ویندوز ۱۰ و ویندوز سرور ۲۰۱۶ منتشر شده است. پشتیبانی از رمزنگاری پیشرفته، یکپارچگی قبل از شناسایی برای جلوگیری از حملات در یک سو مردانه و شمشیر گویش خوشه ای، از سوی دیگر به روز رسانی ها اضافه شده است. در سال ۲۰۱۷ حملات WannaCry و Petya ransomware یک آسیب پذیری در SMB 1.0 را برای بارگیری نرم افزارهای مخرب بر روی مشتریان آسیب پذیر و گسترش آن در بین شبکه ها مورد استفاده قرار دادند. مایکروسافت پس از آن یک پچ را منتشر کرد، اما متخصصان توصیه کرده اند که کاربران و مدیران گام دیگری برای غیر فعال کردن SMB 1.0 / CIFS در تمام سیستم ها داشته باشند.

کرم های (worms) اینترنتی چیستند؟

کرم‌ها از جمله مخرب‌ترین بدافزارها هستند که بسیاری از آنها در عرض چند دقیقه می‌توانند در سطح بزرگترین شبکه‌های کامپیوتری گسترش و تمامی دستگاه‌های آسیب‌پذیر را به خود آلوده کنند. از جمله معروف‌ترین کرم‌ها می‌توان به SQL Slammer،وSasser،وBlaster و Conficker  اشاره کرد که هر یک از آنها در مدتی کوتاه سیستم‌های کاربران و سازمان‌ها را در بسیاری از کشورها دچار اختلالاتی جدی کردند.