منبع حملات سایبری و گزارش Intrusion Analysis و Forensics

در این مقاله سعی میکنیم به منبع حملات سایبری بپردازیم ، با توجه به آخرین تحقیقات و آمار بدست آمده از حملات سایبری نتایج زیر بدست آمده است که باعث بوجود آمدن این حملات می باشد:

  1. نفوذگران سایبری (که از مهمترین عوامل می باشد)
  2. خطای کاربران و کارمندان و فعالیت های ناخواسته
  3. شرکای تجاری و همکار (3rd Party)
  4. نقطه ضعف امنیتی در محصولات
  5. کاربران و کارمندان –Insider
حال با توجه به موارد گفته شده موثر ترین راه کار های شناسایی چه ابزار های هستند ؟
  • ممیزی و ارزیابی امنیتی
  • سامانه های تحلیلی مانند مدیریت لاگ و SIEM
  • گزارش ها بیرونی

با توجه به تفاسیری که گفته شد می بایست:
  • تمرکزی ویژه بر روی محصولات مدیریت تغییرات ، vulnerability Manager ، Compliance Checker ، امن سازی و Hardening ، Threat Intelligence ، Sandbox و امثال آنها وجود داشته باشد.
  • ابزار هایی مانند Patch Manager حتما استفاده گردد.
  • جمع آوری متمرکز لاگ ها و تحلیل آن ها بایستی یک اولویت باشد در سازمان ها
  • راه کار های دفاعی مدرن و نوین در شبکه های استفاده شوند تا امکان شناسایی و مقابله با روش های پیچیده و ناشناخته نفوذگران وجود داشته باشد.
  • راه کار مناسب ارتباطی با بیرون شبکه ایجاد شود و workflow مناسب مدیریت گزارش های امنیتی ایجاد شود.
تمامی این موارد درحالی اتفاق می افتد که می دانیم بیشتر از 50 درصد این موارد در شبکه ها انجام نمی شوند و یا به درستی صورت نمی پذیرد ،تا زمانی که ابزار سنجش و ارزیابی کارایی پیاده نشوند نمی توان مدعی استفاده درست از هیچ سامانه نرم افزاری یا تجهیز سخت افزاری بود.

fire


شرکت Mandiant ، در حال حاضر قوی ترین شرکت در حوزه Intrusion Analysis و Forensics می باشد و هر ساله گزارش هایی را در مورد آنالیز های خود انجام می دهد. در گزارش سال 2017 موارد موارد جالبی نوشته است که به طور خلاصه می توان گقت :

2017777


  1. بدافزار ها بگونه ای تغییر عملکرد داشته اند که از کد های پر صدا به کد ها بسیار کم صدا تغییر کرده اند.
  2. روش های Persistency در این بدافزار ها تغییر کرده است و از سال 2016 شاهد ثبت آنها دز Boot Record هستم ، به بیانی قبل از boot شدن OS
  3. بدافزار ها دو مرحله ای عمل کنند و کد cleaner ایجاد شده است که اثر کد مخرب اصلی را پاک می کند و تکنیک های ضد فارنزیک زیادی توسط آنها استفاده می شود.
  4. راه ورودی اصلی بدافزار ها از طریق کاربران می باشد که می تواند از طریق ایمیل با محتوای شکل معتبر، سایت های هک و آلوده شده باشد.
  5. کانال های C2C از سایت های معتبر برای برقراری ارتباط استفاده می کنند.
  6. کد هایی که بر روی سیستم های مختلف ایجاد می شوند عملکرد های متفاونی دارند
  7. زیان powershell به یکی از ابزار های اصلی نفوذگران تبدیل شده است

با توجه به تمام این موارد نتیجه می گیریم که :

  1. ساختارهای دفاعی که در حال حاضر در داخل کشور و به صورت عمومی شاهد آنها هستیم کارایی لازم را ندارند.
  2. احساس به استفاده از ابزار های مانند sandbox بیشتر از پیش نیاز است.
  3. ثبت فعالیت های سیستمی و استفاده از ابزار های Endpoint Visibility بیشتر احساس می شود.
  4. ثیت ، جمع آوری و تحلیل وقایع بیشتر از قبل جلوه می کند. البته این به معنای استفاده از SIEM نیست.
  5. بایستی ارتباطات کاربران موشکافانه باشد و ترافیک های غیر ضروری کاملا مسدود شوند.
  6. استفاده از Desktop Virtualization راه کار های مناسبی با محاظقت از کاربران می باشد.
#بدافزارها #حملات_سایبری #گزارش_گارتنر #شرکت_fireeye #گزارش_حملات_سایبری
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
تنظیمات حریم خصوصی
تائید صرفنظر