این اتفاق ممکن است برای همه ما رخ دهد. شاید در محیط خود از نرم افزار امنیتی قدرتمندی استفاده کنید و باز هم خطری به آن نفوذ کند. این اتفاق اغلب در نقاط ضعیفی رخ می دهد که یا آن ها را مهم نمی دانستید یا آن ها را به کلی نادیده گرفته اید. این تجربه می تواند ناگوار باشد و بسیاری از متخصصین امنیتی با آن مواجه شده اند.
شاید این گفته ها شما را ناامید کنند اما باز هم امیدی وجود دارد. این امید همان شکار تهدید است. در فرایند شکار تهدید شما به دنبال تهدیداتی هستید که موفق شده اند از دیوار دفاعی شما عبور کنند و خودشان را در فضای شبکه شما پنهان کرده اند. ما در آخرین گزارش خود در Cisco Cybersecurity Series با نام «شکار تهدیدات مخفی: اضافه کردن جستجوی تهدید به برنامه امنیتی شما» بر این موضوع تأکید کرده ایم. اگرچه کسی دوست ندارد گرفتار این تهدیدها شود اما در چشم انداز تهدید امروزی ممکن است این اتفاق رخ دهد.
نمونه واقعی:
این قصه هنگام عصر و در خانه رخ داد. هنگامی که جان (که نامش برای حفظ امنیت تغییر یافته است) در حال مشاهده نت فلیکس بود که متوجه اختلال غیرعادی تصویر شد. او از یک PC سینمای خانگی (HTPC) ساخت خودش استفاده می کرد و به نظر می رسید استریم نت فلیکس به توانی بیش از این مقدار نیاز دارد. این دیوایس سال ها بود که برای او به خوبی عمل می کرد اما متوجه شد که عمر زیادی از HTPC گذشته است و به فکر تعویض آن افتاد.
او به این فکر نمی کرد که در پس زمینه، ماینینگ رمزارز در حال اجراست. تهدیدی موفق شده بود بدون شناسایی وارد شبکه شود و جان اطلاعی از این موضوع نداشت. اما این تهدید تأثیرات جانبی اش را بروز داد.
اگرچه می توان چنین رفتارهایی را با دلایل دیگر توجیه کرد اما بهترین جا برای شکار تهدید همینجاست. در بهترین حالت ممکن، شکار با یک سوء ظن یا نظریه آغاز می شود. برای مثال هنگامی که به سیستمی نگاه می کنیم که دچار اختلال تصویر یا همان screen tearing شده است این سؤال پیش می آید که آیا می تواند ناشی از ماینینگ رمزارز باشد؟ در شبکه های بزرگتر ممکن است کاربران مشکلات عجیبی مانند این مورد را به شما گزارش دهند که همین می تواند اساس شکار باشد. مثلاً اگر کامپیوتر نیمه شب روشن شد این سؤال پیش می آید که آیا ممکن است فونینگ هوم (Phoning Home) باشد؟ سرعت آپلود در بازه های کوتاهی کند می شود و این سؤال پیش می آید که آیا تخلیه داده (data exfiltration) صورت گرفته است؟ وب سرور به صورت دوره ای از دسترس خارج می شود و این سؤال پیش می آید که آیا حمله DDoS انجام شده است؟ تمام موارد ذکر شده نقاط شروع بسیار خوبی محسوب می شوند.
هر یک از این فعالیت ها با عوامل غیرمخرب دیگر هم قابل توجیه اند. اما شکار تهدید به رویکردی متعادل تر نیاز دارد. بهتر است فکر نکنیم تمام ناهنجاری ها ناشی از بدافزار است، اما از طرفی بسیار مهم است که این فکر را به سرعت رد نکنیم.
افکار جان بر روی مورد دوم متمرکز شده بود. تجهیزات امنیتی اش برای یک شبکه خانگی کوچک به ظاهر کافی بود. او روتری داشت که فایروال آن مجهز به DPI (بررسی دقیق بسته ها) بود، HTPC بر روی ساب نتی جدا از دیوایس هایی که با آن ها ارتباط نداشت قرار گرفته بود و آنتی ویروس ها هم فعال و هم به روز بودند. اینجا همه چیز غیر از این HTPC در جای خود به درستی کار می کردند.
این خطا بسیار حیاتی بود. HTPC لینوکس را اجرا می کرد و جان به دام افکار «تأمین پنهان امنیت» افتاده بود. در اینجا او برای پوشش کامپیوترهای لینوکس باید از سیاست امنیتی جدیدی استفاده می کرد.
هدف شکار تهدید
این کار در راستای هدف اصلی شکار تهدید است. شکار تهدید تنها به معنای آشکارسازی تهدید نیست، بلکه به معنای استفاده از سیاست ها و دستورالعمل های لازم برای تقویت وضعیت امنیتی است. در واقعی موفق ترین شکارها در عمل هیچ تهدیدی را آشکارسازی نکرده اند. آن ها نقطه ضعفی را در محیط شناسایی کرده اند که باید مورد بررسی قرار گیرد.
جان دوست داشت بگوید که بدگمان شده است و دست به بررسی شکار تهدید برای ماین رمزارز بزند. اما چون هیچ مدرکی مبنی بر ماینینگ بودن این کار وجود نداشت این را نگفت و دست به این کار نزد. به همین دلیل داشتن لاگ گیری کافی بسیار مهم است. شما نمی توانید چیزی را که نمی بینید شناسایی کنید و بدون لاگ گیری و ابزارهای دیگر مانیتورینگ و گزارش گیری از سیستم در محیط به سختی می توانید وضعیت خود را با دقت بالا ارزیابی کنید.
حقیقت این است که هنگام شناسایی تهدید بخت با او یار بود. جان که کارمند جدید سیسکو بود می توانست Cisco Umbrella را بر روی شبکه خانگی خود پیاده سازی کند. پس از سوئیچ تنظیمات DNS خود به سرورهای Umbrella و بررسی لاگ ها پس از یک روز، وجود تهدید محرز شد. Umbrella در شبکه او به فعالیتی پی برد که تلاش می کرد به سایت های ماینینگ رمزارز مشهور متصل شود.
رویدادهای ماینینگ رمزارز (داده های بدست آمده از Cisco Umbrella)
پس از شکار
زمان شناسایی تهدید همان نقطه ای است که کار رفع تهدید آغاز می شود. جان بر روی HTPC مانیتورینگ پردازش را انجام داد و شش فایل با نام تصادفی در پوشه home و پوشه temp مرورگر پیدا کرد که حجم عظیمی از منابع پردازنده را می بلعیدند. جان مجوز هر یک از فایل ها را غیرفعال کرد و رویدادهای ماینینگ رمزارز ناپدید شدند. از همه مهمتر اختلال تصویر هم از بین رفت.
پس از شکار تهدید، برای جلوگیری از برگشت تهدید باید سیاست های مناسبی را اتخاذ کرد و دستورالعمل یا اتوماسیونی را برای آینده ایجاد نمود. در مورد جان Umbrella مورد دوم را انجام داد. جان برای تقویت HTPC کل سیستم را فرمت کرد (تا امن باشد) و توزیع لینوکس امنیت محورتر و AMP for Endpoints را نصب کرد.
علاوه بر این هنگام شناسایی تهدید بسیار مهم است که سیستم های دیگر را نیز بررسی کنید که نشانه های فعالیت مشابه ، در آن ها وجود نداشته باشد. شاخص های اختلال (IoC ها) مانند مقادیر هش فایل های ماینینگ رمزارز را جمع آوری کنید و بررسی وجود یا عدم وجود آن ها را در سیستم های دیگر ، مورد بررسی قرار دهید.
درس هایی که از اتفاق می گیریم
در نتیجه این تجربه، وضعیت امنیت جان بهبود یافت. اما آنقدرها هم ساده لوح نیست که فکر کند در امنیت کامل به سر می برد. از این حادثه به بعد جان با استفاده از ابزارهایی مانند Cisco Threat Response به بررسی شاخص های اختلال درون محیط خود پرداخت و برای بررسی فعالیت های غیرطبیعی از لاگ گیری بیشتری استفاده کرد.
چه بپذیریم و چه نپذیریم، ممکن بود من یا شما جای جان بودیم. سیستم های دفاعی ما نفوذپذیرند و پیامدهای وجود تهدید پنهان در شبکه بزرگ می تواند چیزی فراتر از نرم افزار ماینینگ رمزارز بر روی یک کامپیوتر شخصی باشد. به همین دلیل است که در مجموعه های امنیتی امروزی، شکار تهدید ابزاری بسیار مهم محسوب می شود.