بررسی اهمیت خودکار سازی مراحل حمله و دفاع در امنیت اطلاعات
اقداماتی که در حوزه امنیت سایبری انجام میشود به هدف محافظت از دارایی های الکترونیکی شماست.امروزه تقریبا تمام داده ها بصورت دیجیتال ذخیره میشوند.داده های کوچک به عنوان برنامه خود را به اطلاعات شما و به اطلاعات بانکی شما نزدیک میکنند. به اصطلاح فنی افزایش حملات و نفوذ هر روزه درحال افزایش است که نتیجه گیری شده است که تنها محافظت از آنها کافی نیست و باید پروسه قوی تری برای بررسی داده ها به سرعت انجام شود تا بتواند به طور مدام ، موثر تر و با هدف به حداقل رساندن اثرات جانبی آن باشد که در زیر فرآیندی که میتواند در سطح وسیع برای بازسازی واکنش حوادث موثر در نظر گرفت ، در نظر گرفته شده است :
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
کشف و بررسی
تشخیص ناهنجاری ها و فعالیت های مخرب در شبکه ، جمع آوری اطلاعات لازم برای تجزیه و تحلیل فعالیت های مخرب
ارتباط و همبستگی
ارتباط و همبستگی حوادث ، داده ها ، دارایی ها و شبکه ها برای تشخیص دامنه کلی فعالیت های مخرب
اصلاح و بازسازی مجدد
رفع حوادث با حذف فایل های مخرب از شبکه و مسدود کردن منبع آن ، اهمیت خودکار سازی (Automation ) آنجا مشخص میشود که برای هرگونه نقض احتمالی در مجموعه ای با داده های بزرگ نیاز به جمع آوری داده ها ، همبستگی و تصمیم گیری لازم است که باید بصورت دستی این فرآیند انجام شود اما خودکار سازی آنها کمک میکند تا بصورت خودکار جمع آوری داده های بزرگ و همبستگی آنها در یک زمان کوتاه انجام میشود و پس از آن داده ها آماده ارائه میشوند تا تصمیم گیری های لازم گرفته شود و هنگامی که یک تصمیم گرفته میشود، اتوماسیون به خوبی تمامی برنامه های درنظرگرفته شده را مدیریت میکند چون بعضی از نقض ها نوع خاصی می باشند که نیازمند فعالیت های پاکسازی گسترده ای است ، خب سوال اینجاست که ما چه نیازی به خودکارسازی داریم ؟؟؟؟؟ خب بیایم و نمونه حملات سایبری واقعی که انجام شده را بررسی و ارزیابی کنیم
باج افزار WannaCry
همونطور که میدونید WannaCry یک باج افزار قوی بود که سیستم های ویندوزی رو مورد حمله قرار داد و فایل های آنها رو رمزنگاری میکرد و درخواست پرداخت مبلغی میشد بابت رمزگشایی فایل ها خب بیاییم بررسی کنیم این باج افزار رو که چگونه به شبکه منتقل میشود ؟؟؟؟ باج افزار WannaCry به عنوان یک جور قطره چکان در نظر بگیرید که یه شخص یا چیزی اون رو انداخته باشد ظاهر میشود که در نگاه و مراحل اول که برای آلوده کردن سیستم ها استفاده میشود شناخته نمیشود ، اما حدس و گمان ها و فرضیه هایی که ساخته میشود دیدگاه ما را به سمت فیشینگ می برد ، اما آیا مسئله فیشینگ به درستی و به موقع مورد توجه یک سازمان قرار گرفته است ؟؟؟ حوادث بوجود آمده از WannaCry میتواند بسیار موثر باشد حتی بدون اینکه نیاز به گستردگی و شیوع زیادی داشته باشد
حالا بیایم بررسی کنیم که چگونه یک کامپیوتر را آلوده میکند
باج افزار اقدام به برقراری ارتباط با دامنه میکند که اگر این ارتباط موفقیت آمیز باشد خارج میشود اما اگر هیچ ارتباطی برقرار نشود فایلهایی که روی کامپیوتر ذخیره شده اند رمزنگاری میشوند
چگونه پخش میشود ؟
این باج افزار از EthernalBlue استفاده میکند که یک آسیب پذیری در پروتکل SMB می باشد و با اکسپلویت کردن آن اجازه میدهد بد افزار ها بر روی سیستم های ویندوزی که این پروتکل فعال شده است گسترش یابد.این آسیب پذیری امکان اجرای کد از راه دور را با استفاده از SMB میدهد پس بنابراین باج افزار WannaCry با ایجاد یک درخواست session سفارشی سازی شده SMB با مقادیر وارد شده به صورت hardcoded (نوشتن مقادیر بصورت استاتیک) تارگت ، کار میکند.پس از اینکه اولین packet به آدرس IP اولیه ارسال می شود بعد از آن دو packet را به دو آدرس IP دیگر در شبکه ارسال میکند و این داستان ادامه دارد که البته اگر این آسیب پذیری ها به موقع با مدیریت خودکار آسیب پذیری ها (automation) درست شده باشند WannaCry هرگز اتفاق نخواهد افتاد !!!!!
مراحل شناسایی و آنالیز
- بررسی IDS/IPS برای MS17-010 ، EthernalBlue ، و هش WannaCry
- شناسایی کامل سیستم هایی که توسط MS17-010 به فنا رفتند
- بررسی ترافیک و فیلتر محتوای وب (Kill-Switch URL)
مرحله همبستگی (Correlation)
تمامی هشدارها و دارایی هایی که تحت تاثیر قرار گرفته اند یا آسیب پذیر اند را به هم مرتبط سازید
اصلاح و باز سازی مجدد(Remediation)
- غیرفعال سازی SMB بر روی سیستم های آسیب پذیر
- رفع آسیب پذیری MS17-010 بر روی سیستم های آسیب پذیر
- جدا کردن سیستم های آسیب دیده از شبکه
- از بین بردن آلودگی ایجاد شده با استفاده از anti-malware و restore کردن backup ها
- بلاک مقدار هش WannaCry در ابزار Endpoint Security به منظور جلوگیری از binary execution
سوالی که پیش میاد اینه که چگونه خوکار سازی (Automation) سرعت فرآیند های بالا را افزایش میدهد؟
- وقتی که SOC در حال تجزیه و تحلیل و ترمیم چند سیستم اولیه است ، automation مشغول جمع آوری اطلاعات درمورد تمام سیستم های آلوده و آسیب پذیر است وقتی که تمامی اطلاعات جمع آوری و تجزیه و تحلیل شدند تمام کارهایی که باید انجام شود ، تکرار دوباره آن است
- زمان انجام تمامی کارهایی مثل اسکن و جمع آوری اطلاعات از دستگاه های متعدد را برای تصمیم گیری کاهش میدهد
- با ارائه امتیاز به تصمیم گیری ها کمک میکند
- با جدا سازی سیستم های آلوده از سیستم های آسیب پذیر
- پاکسازی سیستم های آسیب پذیر و کاهش زمان در برابر رفع آسیب پذیری بصورت دستی و در گراف زیر که برای این مثال رسم کردم میتونید به طور کامل این موضوع رو مشاهده کنید
و در آخر بصورت خلاصه اهمیت خودکار سازی (automation ) را بررسی کنیم :
- توانمند سازی تیم در گرفتن تصمیم بهتر
- خلاص شدن از کار طولانی و صرفه جویی در زمان با استفاده از خودکار سازی جمع آوری اطلاعات و همبستگی آنها
- تاثیر بهتر به وسیله خودکار سازی پروسه های از پیش تعریف شده
- محاسبه سریع تر
- خطای کمتر به وسیله خودکار سازی بررسی های انسانی
- آموزش کمتر چون پروسه های کاری تعریف ، داکیومنت ، و خودکار سازی شده است
که در آینده ای نه چندان دور میتوان شاهد این بود که :
- یادگیری ماشین (Machine Learning) در آینده به انواع تهدید های سایبری بصورت خودکار و مبتنی بر آموزش ها و اعمال قبلی ، پاسخ خواهد داد
- پیش بینی آنالیزها به گرایش و تمایلات حملات و ساختن یک سیاست دفاعی مرتبط کمک خواهد کرد
- خودکار سازی آموزش ها موجب خواهد شد که در صورت لزوم به یک نوع آموزش ، برای یک تهدید خاصی تغییر پیدا کند
نظر شما در مورد خودکار سازی فرآیند ها چیست؟ بنظر شما در ایران کاربرد دارد ؟ آیا ما به سمت automation میریم ؟
کپی برداری با ذکر منبع بلامانع هست.