چشم انداز تهدید با سرعتی بیش از سرعت معمول بررسی امنیت در حال تکامل است
بکارگیری هوش تهدید برای بهبود وضع امنیتی سازمان باید بخش لاینفک تمام استراتژی های امنیتی باشد. در نتیجه با سازمان هایی از سراسر دنیا به گفتگو در مورد چالش های امنیتیشان پرداختیم و هنگامی که متوجه شدیم تعداد کمی از آن ها به این نکته توجه کرده اند شگفت زده شدیم.
در طول سال، سازمان هایی که بر امنیت متمرکز اند، تعداد زیادی گزارش تهدید منتشر می کنند (این گزارش ها سالانه، سه ماهه، ماهانه، هفتگی و حتی روزانه منتشر می شوند). این گزارش ها اغلب حاوی اطلاعات بسیار مهمی راجع به آخرین روندها، اهداف و تاکتیک های مورد استفاده جامعه مجرمین سایبری هستند. علاوه بر این با استفاده از ابزارهایی همچون SIEM ها می توان از محققان، عرضه کنندگان و سازمان های منطقه ای و عمودی اطلاعاتی سودمند در مورد تهدید دریافت کرد و آن ها را با SOC ها یکپارچه سازی کرد تا اطمینان حاصل شود که این سیستم ها دائماً با آخرین روندهای تهدید بهینه سازی می شوند.
آنالیز روند تهدیدات (بخصوص تهدیداتی که از محیط های تولید فعال جمع آوری شده اند) می تواند بینش متخصصین امنیت را در مورد نحوه محافظت بهتر از سازمان ها در مقابل آخرین تهدیدات سایبری افزایش دهد.
مجرمین امنیتی به صورت گروهی عمل می کنند
یکی از جالب ترین نکاتی که با نگاه کردن به داده های جمع آوری شده طی سه ماهه اول 2019 می توان دریافت این است که مجرمین سایبری در گروه های سازماندهی شده به فعالیت می پردازند. اگر به نظر برسد که حامل سوء استفاده یا حمله برای یک مجرم عمل می کند می توانید راحت فرض را بر این بگذارید که سیلی از حملات در حال هدف گیری یک نقطه اند. این روندی سطح بالاست که هر فرد آشنا به امنیت می تواند مشاهده کند.
رفتار گروهی در مقیاس بزرگ
برای مثال وردپرس (WordPress) بزرگترین سیستم مدیریت محتوای (CMS) پیشگام در جهان است که برای ساخت صدها میلیون وب سایت مورد استفاده قرار می گیرد. به دلیل این که داده های ذخیره شده در وب سایت (مانند فهرست های پستی، گالری های رسانه، فروشگاه های آنلاین و به خصوص اعتبارنامه های مالی مورد استفاده در سبدهای خرید) دارای ارزش بازار سیاه بالایی هستند، وردپرس دائماً مورد حمله مهاجمین قرار می گیرد. به همین دلیل تعجبی نیست که در سه ماهه اول بیش از 100000 حمله به این اپلیکیشن ها ثبت شده است. اما علاوه بر این حملاتی را از جانب توسعه دهندگان دیگر مثل افرادی که پلاگین های جانبی را توسعه می دهند به سیستم های CMS ثبت کرده ایم.
با این وجود برخی تحلیلگران این اطلاعات را نادیده می گیرند، چون تعداد کل حملاتی که هر CMS را هدف می گیرند، نسبت به تعداد حملاتی که بزرگترین بازیکن در فضا را هدف می گیرند بسیار کمتر است. متأسفانه هر فردی که CMS دیگری را اجرا می کند که سپرهای محافظش ارتقا نیافته، ممکن است در بی خبری دچار حمله شود.
رفتار گروهی دانه ای
این گرایش به رفتار گروهی تنها به حملات بزرگی که به حوزه های مربوطه رسیده اند محدود نمی شود. علاوه بر این به نظر می رسد این رفتار در برخی جزئیات دانه ای تر بیشتر انجام می شود.
برای مثال در حدود 60 درصد از تهدیدات آنالیز شده در سه ماهه اول 2019 دارای حداقل یک حوزه مشترک بودند که در زنجیره حمله به عنوان نقطه ای ویژه مورد استفاده قرار گرفتند. برای مثال می توان به جایی اشاره کرد که بدافزار از آنجا توزیع می شود یا جایی که داده های سرقتی جمع آوری می گردد. علاوه بر این بسیاری از حملات به استفاده مکرر از ارائه دهندگان وب یکسان گرایش دارند. ما دو نکته بسیار مهم را از این اطلاعات بدست می آوریم.
اولین نکته این است که مجرمین امنیتی به دقت به یکدیگر توجه دارند. آن ها در فروم های دارک وب با هم در تعامل اند، کدها و استراتژی ها را به اشتراک می گذارند و حتی ابزارهای یکدیگر را مهندسی معکوس می کنند. علاوه بر این هنگامی که این موارد موفقیت آمیز عمل کردند، خواه تکنیک مبهم سازی باشد یا یک ارائه دهنده دامنه وب، مجدداً مورد استفاده قرار می گیرند.
نکته دوم این است که این الگوها که اغلب در سورس آنالیز تهدید جامع هم قرار دارند برای شناسایی حملات قابل استفاده اند. اگر به نظر برسد که ترافیک میان دیوایس و دامنه وب در حال حرکت است و این دامنه توسط ارائه دهنده ای میزبانی می شود که دائماً توسط مجرمین سایبری مورد استفاده قرار می گیرد، نظارت دقیق تر بر این ترافیک ارزش صرف وقت را دارد.
روندهای جالب دیگر
فیشینگ همچنان لقب حامل حمله مهم را به خود اختصاص می دهد
محققین با مقایسه اطلاعات حمله جمع آوری شده از فیلترهای وب دریافتند که بخش عمده ای از فعالیت های پیش از ایجاد خطر، حین ساعات کار عرفی انجام می شوند. اما به نظر می رسد ترافیک پس از ایجاد خطر نسبت به روز یا زمان تفاوت کمی را از خود بروز می دهد. آنالیز بیشتر نشان داد دلیل این مسئله این است که بخش عمده حملات همچنان به نوعی اقدام مثل کلیک بر روی لینک مخرب یا باز کردن فایل ضمیمه آلوده توسط کاربر نهایی نیاز دارند. اما هنگامی که حمله ای با موفقیت به سیستم نفوذ کرد، بدافزار به ندرت به ورودی دیگری از سوی کاربر نیاز خواهد داشت. اگرچه برخی از اپلیکیشن های C2 ترجیح می دهند نویز ترافیک زمان کار روزانه مخفی کنند اما اغلب آن ها هیچ تمایزی میان آن ها قائل نمی شوند.
اگرچه برای رسیدگی به این چالش روش های مختلفی وجود دارد، اغلب سازمان ها باید بهبود آموزش هوشیاری امنیتی را مد نظر داشته باشند تا کاربران نهایی بتوانند به سرعت این حامل حمله رایج را تشخیص دهند. سنسورهای SOC و NOC نیز باید در طول عصر، تعطیلات و اواخر هفته فعال باقی بمانند، چون ترافیک C2 با احتمال کمی در نویز شبکه مخفی می شود و علت آن کاهش چشمگیر ترافیک معمول است.
مهاجمین قبل از حمله عملیات شناسایی کامل را انجام می دهند
حملات باج افزارها که در گذشته به صورت گسترده و با بی بند و باری انجام می شد در حال حاضر با منابع و سیستم های امنیتی اهداف مورد نظر خود سازگاری دارند. از جمله نمونه های اخیر می توان به حمله ای اشاره ای کرد که از هیچ گونه تکنیک مبهم سازی استفاده نکرد، چون آنالیز اولیه مجرم نشان داد که موجود در محل باج افزار را تشخیص نداده بود.
برای بررسی این نوع حملات، تشخیص رفتار غیرعادی و بخش بندی هدفمند بسیار ضروری است. رفتارهای غیرعادی همچون اسکن و وارسی سیستم باید تا به سرعت شناسایی و تا منبعشان ردگیری شوند و شبکه ها نیز باید به صورت هوشمندانه و هدفمند بخش بندی شوند تا حتی اگر نفوذی هم رخ داد، مهاجمین به مجموعه اندکی از منابع محدود شوند. مثل همیشه باید به صورت منظم از سیستم ها بکاپ گرفته شود، بکاپ ها باید برای بدافزار اسکن شوند و خارج از شبکه ذخیره شوند و سازمان ها باید برای حصول اطمینان از عملکرد صحیح فرآیند بکاپ، عملی بودن بکاپ ها و کارکرد آن ها مطابق برنامه، سناریوهای بازیابی بکاپ را اجرا کنند.
مهاجمین به شکل روزافزونی از منابع قانونی استفاده می کنند
استفاده از منابع قانونی بدین معناست که مجرمین سایبری به جای بارگذاری بدافزار خود که راحت تر شناسایی می شود، از ابزارهای قانونی نصب شده بر روی سیستم اهداف برای انجام حملات سایبری خود استفاده می کنند. بدلیل این که آن ها از ابزارها و فرآیندهای تأیید شده استفاده می کنند، تشخیص تاکتیک های به کارگیری منابع قانونی بسیار دشوارتر است.
یکی از مشهورترین ابزارهایی که مهاجمین از آن استفاده می کنند PowerShell است که در سه ماهه اول سال، حجم عظیمی از حملات شناسایی شد. PowerShell به صورت پیش فرض بر روی ماشین های ویندوزی نصب است و آن را به هدفی راحت تبدیل کرده است. اما همانگونه که بحث شد، بدلیل این که مهاجمین به حرکت گروهی میل دارند، بخش هایی را در حملات مشاهده کرده ایم که ابزارهای دیگر را هدف گرفته اند، به خصوص آن هایی که برای مدیریت و تحلیل سیستم ها مورد استفاده قرار گرفتند.
بخشی از این کار حاصل اقدامات تحول دیجیتال است که در آن مدرن سازی شبکه ها شامل افزودن ابزارها و فرآیندهای جدید برای مدیریت افزایش دیوایس ها و اپلیکیشن های اضافه شده به شبکه می شود. در نتیجه ادمین ها باید از ابزارهای مورد استفاده شبکه فهرست برداری کرده و آن ها را تحت نظارت قرار دهند و این لیست را مرتباً با سوء استفاده های شناخته شده برای به خطر انداختن این ابزارها برای جمع آوری اطلاعات سیستم، تغییر فرآیندها، خارج کردن امتیازات از کنترل، ایجاد حمله و فرار از شناسایی تطبیق دهند.
تاکتیک هایی برای موفقیت
سازمان ها باید بدانند که چشم انداز تهدید با سرعتی بیش از سرعت معمول بررسی امنیت در حال تکامل است. به کارگیری منابع هوش تهدید، جزئی بسیار مهم از هر استراتژی امنیتی محسوب می شود. اما این هوش برای سودمند بودن باید در شبکه توزیع شده کنش گرا، پویا و قابل دسترس باشد. این مسئله مستلزم نیازمند سیستمی مناسب است که در آن بتوان هوش خارجی را به هوش تهدید داخلی همبسته کرد و به کل شبکه اجازه داد از آخرین تغییرات ایجاد شده در چشم انداز تهدید آگاه شود.
این رویکرد به تیم های امنیتی آی تی کمک می کند روش های جدید حمله را درک کند و بر روی نقاطی متمرکز شوند که تمرکز اقدامات مجرمین روی آن هاست. توسعه و به کارگیری استراتژی معماری امنیتی یکپارچه به این دیدپذیری و کنترل کمک می کند تا شبکه توزیع شده را در بر گیرد و باید با بخش بندی تقویت شود تا از این طریق نه تنها تصمیم گیری سریع تر شود، بلکه شکاف موجود میان تشخیص و کاهش خطر کاهش یابد ، چون می توان دیوایس های بدخواه را ایزوله کرد و آن ها را درمان کرد.
دفتر تهران
