درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات مطلب
      مدرس/نویسنده
      Farshid Dashti
      امتیاز: 3071
      رتبه:507
      0
      35
      0
      5

      منبع حملات سایبری و گزارش Intrusion Analysis و Forensics شرکت Mandiant در سال 2017

      تاریخ 15 ماه قبل
      نظرات 0
      بازدیدها 106
      در این مقاله سعی میکنیم به منبع حملات سایبری بپردازیم ، با توجه به آخرین تحقیقات و آمار بدست آمده از حملات سایبری نتایج زیر بدست آمده است که باعث بوجود آمدن این حملات می باشد:
      1. نفوذگران سایبری (که از مهمترین عوامل می باشد)
      2. خطای کاربران و کارمندان و فعالیت های ناخواسته
      3. شرکای تجاری و همکار (3rd Party)
      4. نقطه ضعف امنیتی در محصولات
      5. کاربران و کارمندان –Insider
      حال با توجه به موارد گفته شده موثر ترین راه کار های شناسایی چه ابزار های هستند ؟
      • ممیزی و ارزیابی امنیتی
      • سامانه های تحلیلی مانند مدیریت لاگ و SIEM
      • گزارش ها بیرونی
      با توجه به تفاسیری که گفته شد می بایست:
      • تمرکزی ویژه بر روی محصولات مدیریت تغییرات ، vulnerability Manager ، Compliance Checker ، امن سازی و Hardening ، Threat Intelligence ، Sandbox و امثال آنها وجود داشته باشد.
      • ابزار هایی مانند Patch Manager حتما استفاده گردد.
      • جمع آوری متمرکز لاگ ها و تحلیل آن ها بایستی یک اولویت باشد در سازمان ها
      • راه کار های دفاعی مدرن و نوین در شبکه های استفاده شوند تا امکان شناسایی و مقابله با روش های پیچیده و ناشناخته نفوذگران وجود داشته باشد.
      • راه کار مناسب ارتباطی با بیرون شبکه ایجاد شود و workflow مناسب مدیریت گزارش های امنیتی ایجاد شود.
      تمامی این موارد درحالی اتفاق می افتد که می دانیم بیشتر از 50 درصد این موارد در شبکه ها انجام نمی شوند و یا به درستی صورت نمی پذیرد ،تا زمانی که ابزار سنجش و ارزیابی کارایی پیاده نشوند نمی توان مدعی استفاده درست از هیچ سامانه نرم افزاری یا تجهیز سخت افزاری بود.
      fire

      شرکت Mandiant ، در حال حاضر قوی ترین شرکت در حوزه Intrusion Analysis و Forensics می باشد و هر ساله گزارش هایی را در مورد آنالیز های خود انجام می دهد.
      در گزارش سال 2017 موارد موارد جالبی نوشته است که به طور خلاصه می توان گقت :
      2017777


      1. بدافزار ها بگونه ای تغییر عملکرد داشته اند که از کد های پر صدا به کد ها بسیار کم صدا تغییر کرده اند.
      2. روش های Persistency در این بدافزار ها تغییر کرده است و از سال 2016 شاهد ثبت آنها دز Boot Record هستم ، به بیانی قبل از boot شدن OS
      3. بدافزار ها دو مرحله ای عمل کنند و کد cleaner ایجاد شده است که اثر کد مخرب اصلی را پاک می کند و تکنیک های ضد فارنزیک زیادی توسط آنها استفاده می شود.
      4. راه ورودی اصلی بدافزار ها از طریق کاربران می باشد که می تواند از طریق ایمیل با محتوای شکل معتبر، سایت های هک و آلوده شده باشد.
      5. کانال های C2C از سایت های معتبر برای برقراری ارتباط استفاده می کنند.
      6. کد هایی که بر روی سیستم های مختلف ایجاد می شوند عملکرد های متفاونی دارند
      7. زیان powershell به یکی از ابزار های اصلی نفوذگران تبدیل شده است

      با توجه به تمام این موارد نتیجه می گیریم که :

      1. ساختارهای دفاعی که در حال حاضر در داخل کشور و به صورت عمومی شاهد آنها هستیم کارایی لازم را ندارند.
      2. احساس به استفاده از ابزار های مانند sandbox بیشتر از پیش نیاز است.
      3. ثبت فعالیت های سیستمی و استفاده از ابزار های Endpoint Visibility بیشتر احساس می شود.
      4. ثیت ، جمع آوری و تحلیل وقایع بیشتر از قبل جلوه می کند. البته این به معنای استفاده از SIEM نیست.
      5. بایستی ارتباطات کاربران موشکافانه باشد و ترافیک های غیر ضروری کاملا مسدود شوند.
      6. استفاده از Desktop Virtualization راه کار های مناسبی با محاظقت از کاربران می باشد.
      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید

        arrow