روش مقابله با بدافزارها و رعایت Incident Category در SOC

آلوده شدن به بدافزار و درگیر شدن با عواقب آن، یکی از مهمترین ریسک هایی است که در سازمان ها وجود دارد و مقابله با آن بسیار سخت می باشد.اینطوری فرض کنید ، یک Malware سعی دارد که با سرور C2C در ارتباط باشد. این ارتباط در بسیاری از موارد از طریق HTTP و HTTPS است. تا زمانی که 3way TCP handshake برقرار نشود ، HTTP GET یا HTTP POST و یا SSL Handshake برقرار نمی شود و شما نمی توانید ماهیت بسته HTTP و یا جزئیات SSL مثل Certificate مورد استفاده را مشاهده کنید.خوب به نظر شما راه کار چیست ؟ برای جواب به این سوال بخاطر داشته باشید:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

در SOC دو راه Incident Response برای مقابله با رخداد ها وجود دارد:

  • الف) راه کار موقت یا Containment که شما سعی می کنید که نفوذگر جلوتر از آنچه هست نرود. خوب در مشکل ما دو راه کار ساده وجود داشت. اولی isolate کردن سرور هست که بدلیل تجاری بودن سرور نشدنی است. راه کار دوم هم مسدود کردن ترافیک آن در داخل و خارج شبکه است.
  • ب) راه کار بلند مدت یا Eradication نیز لازم است که بایستی در آن مشکل به طور کامل برطرف شود، که در اینجا شما با Root Cause Analysis یا RCA طرف هستید و عملیات Forensics و سپس Recovery در این مورد بسیار مرسوم است. اما گاها پیش میاید که سرور Operational است و نمی توان آن را بررسی کامل کرد. ابزار های Imaging مانند Encase و AccessData هم در دسترسی نیستند.

در نهایت تصمیمی که میتوان در این شرایط گرفت این است که ترافیک سرور مربوط را برای مدت محدودی بازکنیم تا بتوان با عملیات Sniffing تحلیل بهتری بر روی ترافیک شبکه آن داشته باشید. و متاسفانه این ها جز مواردی است بدلیل اینکه Response Plan آن نوشته نشده است در حال حاضر نمی توان تصمیمی در مورد آن گرفت. برای همین همواره در پیاده سازی SOC ، تاکید خاصی بر تعریف Incident Category ها و روش برخورد با آنها وجود دارد.


نظرات