hypersec.ir


Гео и язык канала: не указан, не указан
Категория: не указана


Cybet Threat Hunting
A new and proactive approach to detect adavanced and 0-day threats
http://hypersec.ir

Связанные каналы

Гео и язык канала
не указан, не указан
Категория
не указана
Статистика
Фильтр публикаций


استخراج اطلاعات از طریق ترافیک DNS✍

حتما در خصوص افشای اطلاعات بزرگی که در ماه اخیر برای شرکت Equifax (شرکت بررسی اعتبارات شهروندان) رخ داد مواردی شنیده اید. اتفاقی که هنوز پیامدهای آن به طور کامل مشخص نیست، اما استعفای مدیرعامل این کمپانی بزرگ را به دنبال داشته است. آنچه از بین حواشی و اتفاقات مبهم این رخداد واضح است، اطلاعاتی است که از این کمپانی افشا شده است. افشای اطلاعات یا به بیان دقیق تر استخراج اطلاعات از راه های مختلفی قابل انجام است که یکی از خطرناکترین آنها، استخراج اطلاعات در قالب ترافیک DNS است؛ این مساله از آن جهت خطرناک است که تقریبا اکثر فایروال ها و سیستم های تشخیص تهدید، اجازه عبور چنین ترافیکی را می دهند و در صورتی که مهاجم بتواند اطلاعات مورد نظر خود را در این ترافیک تعبیه کند تقریبا با مانع اساسی روبرو نخواهد شد. مطالعه ای که اخیرا بر روی رخدادهای افشای اطلاعات انجام شده است، نشان می دهد ۲۵ درصد کسب و کار های هدف بررسی در آمریکا، افشای اطلاعات از طریق DNS را تجربه کرده اند.
هکرها معمولا داده های خود را در درخواست های بازگشتی (Recursive Qery) سرویس DNS تعبیه می کنند. درخواست های بازگشتی، درخواستهایی است که بین کلاینت و سرور DNS ردوبدل می شود (نه پیام هایی که بین سرورهایDNS مبادله می شود). مهاجمان داده ها یا کدهای خود را به بخش های بسیار کوچکی تقسیم می کنند و هریک از این بخش ها را در یکی از فیلدهای بسته DNS ( به عنوان نمونه فیلد TXT ) جاسازی می کنند. اما این یکی از روش های استخراج داده از طریق DNS است.
روش معروف دیگری برای این کار وجود دارد که به روش DNS Tunneling معروف است. DNS Tunneling به معنای ارسال بسته های مختلف (مثلا FTP، HTTP و …) با پوشش بسته های DNS است؛ به عبارت دقیق تر روی داده های مورد نظر سرآیند DNS می خورد که این مساله می تواند منجر به فریفتن تجهیزات امنیتی موجود در شبکه شود. انجام فرآیند  DNS Tunneling نیاز به دو برنامه یکی در سمت سرور و دیگری در سمت کلاینت دارد. معمولا این روش از روش قبلی کمی کندتر است  اما با استفاده از آن حجم داده بیشتری را می توان انتقال داد.

شناسایی ترافیک مشکوک DNS
متخصصان شبکه و امنیت سازمان ها برای شناسایی بسته های مخرب DNS، در اولین گام باید پیلود بسته ها را تحلیل کنند.به بیان دقیق تر، با تحلیل هریک از درخواست ها و پاسخ های متناظر با آن، می توان فعالیت های مخرب احتمالی از طریق DNS را شناسایی کرد. با مروری بر داده های تراکنش و جستجو برای الگوهای مشخص می توان به نشانه های DNS Tunneling رسید.
ناهمگونی در تعداد درخواست ها و پاسخ ها، ناهمگونی در حجم بسته های DNS و قالب غیرعادی بسته های DNS همگی از نشانه های DNS Tunneling است. همچنین با فرآیند تحلیل ترافیک و تحلیل های آماری نظیر تعداد نام میزبان ها بر دامنه ها، مکان فیزیکی درخواست ها و … می توان دریافت که آیا نشت داده ای از این طریق رخ داده است یا خیر. کسب و کارهایی که به امنیت دارایی های اطلاعاتی خود اهمیت زیادی می دهند می توانند از سیستم هایی موسوم به DNS Filteration استفاده کنند که می تواند ترافیک DNS را به صورت آنلاین و بلادرنگ بررسی کند و میزان ریسک آن را اعلام کند.
اما در صورتی که با هر روشی افشای اطلاعات از طریق DNS رخ داد می توان دو اقدام زیر را تحت عنوان پاسخگویی به رخداد انجام داد:

حصول اطمینان از انجام صحیح فرآیندهای مانیتورینگ مداوم شبکه و تحلیل بسته های DNS
غیرفعال کردن موقتی سرویس DNS به گونه ای که میزبان های داخل سازمان نتوانند هیچ دامنه خارجی را اصلاحا Resolve کنند.

http://www.hypersec.ir/?p=173🌎
@hypersec
t.me/hypersec


مقدمه ای بر Cyber Threat Intelligence
واژه CTI به اطلاعات تهدیدات مرتبط با حوزه کامپیوتر، شبکه‌ و فناوری اطلاعات اطلاق می‌شود. برای درک بهتر این مفهوم بهتر است نگاهی به تعاریف کلاسیک Intelligence داشته باشیم. Intelligence اطلاعات و دانشی راجع به یک عامل مخرب است که از طریق مشاهده، بررسی، تحلیل و درک به‌دست می‌آید. در تعریف دیگری از Intelligence از آن به عنوان اطلاعات عملیاتی یاد شده است.
اما از تعاریف فوق، می‌توان به دو نکته مهم رسید.
• نکته اول، Intelligence اطللاعات یا داده تنها نیست بلکه اطلاعاتی است که تحلیل شده است، یعنی از نتیجه یک تحلیل و بررسی به دست آمده است.
• نکته دوم، Intelligence باید عملیاتی (قابل به‌کارگیری) باشد. در غیر این صورت داشتن آن مزیتی نخواهد داشت.
نکته: CTI می تواند از نوع استراتژیک یا تاکتیکی باشد. نوع استراتژیک شامل مواردی نظیر انگیزه مهاجمان سایبری است. در مقابل نوع تاکتیکی شامل مواردی نظیر رویه‌ها، تکنیک‌ها و تاکتیک‌ها (TTP) و البته نشانه‌های تهدید یا مخاطره (IOC) است. IOC ها یکی از عملیاتی‌ترین نوع CTI ها است که شامل مواردی نظیر آدرس IP، نام دامنه، URL و هش فایل است.


راهکارهای Threat Intelligence باید چه ویژگی هایی داشته باشند:
یک راهکار Threat Intelligence کار آمد، داده های مرتبط با تهدیدات سایبری را از منابع مختلف جمع آوری کرده، تحلیل و پایش می کند و در نهایت آن ها را تفسیر و به کاگیری می کند.
راهکار Threat Intelligence به پوشش گپ های موجود در راهکارهای دفاعی یک سازمان کمک زیادی می کند. برخی از شرکت ها و سازمان های بزرگ و متوسط برای راه اندازی Threat Intelligence از ابزارهای متن باز استفاده می کنند. برخی دیگر نیز ترجیح می دهند ابزارهای تجاری موجود در این حوزه را خریداری کنند. فارغ از نوع راهکار مورد استفاده در سازمان ها، ویژگی های اصلی که یک راهکار کارآمد TI باید داشته باشد عبارتند از:
• راهکار مورد نظر برای ییاده سازی در سازمان باید نیاز به حداقل منابع آن سازمان داشته باشد.
• راهکار موردنظر قابلیت یکپارچه سازی با ابزارها و راهکارهای دفاعی موجود در سازمان را داشته باشد.
• در راهکار مورد نظر باید عمده فرآیند های مربوطه نظیر جمع آوری اطلاعات از فیدهای مختلف، تحلیل و پایش و تفسیر و به کارگیری حتی الامکان خودکار انجام شود.
• در راهکار مورد نظر باید مکانیزم هایی برای بررسی صحت و درصد اطمینان اطلاعات تهدید وجود داشته باشد (به عنوان نمونه مکانیزم رتبه بندی یا مواردی مشابه)


روش‌های تحلیل داده با رویکرد کشف تهدیدات (Threat Hunting)✍

روش‌ها و تکنیک‌های مختلفی برای تحلیل داده و به خصوص لاگ با رویکرد کشف یا اصطلاحا شکار تهدید (Threat Hunting) وجود دارد که در این پست به برخی از شناخته شده‌ترین آن‌ها پرداخته می‌شود. این روش‌ها به چهار دسته کلی زیر تقسیم شده‌اند.
روش اول – جستجوی ساده (Searching)
جستجو یا Searching به عنوان ساده‌ترین روش برای شکار تهدیدات، به فرآیند جستجوی نشانه های مشخص در داده‌ها اطلاق می شود؛ این فرآیند می تواند از طریق ابزارهای مختلفی نظیر Splunk، ElasticSearch و … انجام شود. برای رسیدن به نتیجه مطلوب و اجتناب از نتایج غیرمربوط از فرآیند جستجو، نیاز به تعیین صحیح عبارت و شرایط جستجو است. دو فاکتور اساسی که در انجام یک جستجوی مطلوب باید در نظر داشت عبارتست از:

اجتناب از جستجوی نشانه های خیلی کلی یا گسترده

به عنوان نمونه، در صورتی که در بین داده های ورودی نظیر لاگ ها تمام لاگ های مربوط به پورت ۸۰ جستجو شود، این جستجو بسیار زمان بر و دارای نتایج بی ربطی خواهد بود.

اجتناب از جستجوی نشانه های خیلی خاص

به عنوان نمونه در صورتی که در بین داده های ورودی تنها لاگ های مربوط به پورت ۸۰ که از آدرس مبدا x.x.x.x و در زمان ۸ تا ۹ صبح درخواست شود، آنگاه ممکن است بسیاری از نتایج مفید از دست برود و تحلیلگر از آن غافل بماند.
روش دوم – خوشه‌بندی (Clustering)
خوشه بندی یک روش آماری است که اغلب با تکنیکهای یادگیری ماشین یا Machine Learning انجام می شود؛ خوشه بندی به فرآیند تفکیک و دسته بندی نقاط داده مشابه بر اساس خصیصه های مشخص از یک مجموعه داده بزرگتر اطلاق می شود. کاشفان یا شکارچیان تهدید از روش خوشه بندی برای مقاصد مختلفی از جمله تشخیص داده های ناهمگون و غیرمعمول استفاده می کنند. این روش زمانی مؤثر است که با حجم عظیمی از داده ها روبرو هستیم که هیچ گونه خصیصه رفتاری مشخصی را از خود نشان نمی دهند.
روش سوم – گروه‌بندی (Grouping)
گروه بندی به معنای دسته بندی داده ها بر اساس معیارهای رفتاری مشخص است. تفاوت عمده بین گروه بندی و خوشه بندی این است که در گروه بندی، ورودی مجموعه ای از اقلام مشخص است که هریک از آنها در فرآیند تحلیل و تشخیص تهدید می تواند مورد نظر قرار گیرد اما در خوشه بندی چنین اقلام مشخصی وجود ندارد. گروه های حاصل از خروجی فرآیند گروه بندی می تواند نشان دهنده یک ابزار یا تکنیک، روش و رویه ای باشد که مهاجمان استفاده کرده اند. یک جنبه بسیار مهم و حیاتی در فرآیند گروه بندی، تعیین شرایط مشخص برای گروه بندی اقلام و آیتم ها است؛ به عنوان نمونه رویدادهایی که در طی یک پنجره زمانی خاص اتفاق افتاده اند می توانند به عنوان یک گروه تفکیک شوند. این روش زمانی مفید است که شما درحال بررسی و تحلیل نمونه های مرتبط به هم از یک رویداد هستید؛ به عنوان مثال تفیک لاگ ها و داده هایی که مربوط به فرآیند شناسایی هدف هستند و در یک قاب زمانی خاص تولید شده اند.
روش چهارم – Stack Counting
روش Stack Counting که گاها Stacking نیز نامیده می شود یکی از رایج ترین روش هایی است که توسط تحلیلگران و شکارچیان تهدید استفاده می شود. روش Stacking به شمارش و فهرست کردن  مقادیر از یک نوع  خصیصه و تحلیل مقادیر پرت و ناهمگون آن نتایج اطلاق می شود. به بیان ساده تر، در روش Stacking داده ها بر اساس خصیصه های مشخص مانند آدرس IP، پورت و … مرتب می شوند و هرگونه ناهمگونی در این ترتیب تحلیل می شود. هنگامی که با مجموعه داده های بزرگ سروکار داریم این روش کارآمدی چندانی ندارد اما در مواقعی که داده های فیلترشده و مرتب با حجم نسبتا کم در اختیار داریم این روش کارآمد خواهد بود. در این روش می توان از سازوکار های به اشتراک گذاری اطلاعات تهدید یا Threat Intelligence و خروجی آنها و در کل از نشانه های شناخته شده تهدیدات بهره برد.

http://www.hypersec.ir/?p=196🌎
@hypersec
t.me/hypersec


شواهد مجازی و نشانگرهای آلودگی✍

حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه  است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است.  حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.

نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:

یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته

به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.

تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.

به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
 

http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec


شواهد مجازی و نشانگرهای آلودگی✍

حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه  است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است.  حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.

نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:

یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته

به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.

تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.

به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
 

http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec


مدل MITRE-ATT&CK – معرفی و موارد کاربرد✍

 

 مدل MITRE ATT&CK – معرفی و موارد کاربرد
مدل یا به‌ عبارتی چارچوب ATT&CK که توسط شرکت MITRE توسعه یافته است، طبقه‌بندی هدفمند تاکتیک‌ها و تکنیک‌های مورد استفاده توسط مهاجمین است که روی شبکه‌های سازمانی مشاهده و کشف شده است. به‌بیان دیگر، شرکت MITRE، جهت شناسایی تهدیدات، به خصوص تهدیدات پیشرفته و چندگامی مدلی را عرضه کرده است که گام‌های مورد نظر مهاجمان و روش های کلی پیشگیری و تشخیص آنها را مدون و مستند کرده است. به عنوان نمونه در مدل ATT&CK (مخفف Attack Tactics Techniques and Common Knowledge) با فرض اینکه مهاجم سیستمی را آلوده کرده باشد، گام‌های محتمل بعدی (نظیر Lateral Movement و …) و روش‌های مورد استفاده برای تحقق این گام‌ها، مستند شده است. مدل مذکور، یک مدل جزیی‌تر از مدل‌های سطح بالاتری نظیر Kill Chain است.
 
مدل سطح بالا و کلی Kill Chain جهت شناسایی هرچه بهتر تهدیدات پیشرفته و چندگامی، گام های احتمالی نفوذ یک مهاجم را به شش دسته تقسیم کرده است؛ از آن جایی که گام های مذکور بسیار کلی است و تا سطح عملیاتی فاصله زیادی دارد، مدل ATT&CK با جزییات بیشتر و دقیق تر به عنوان یک مدل سطح میانی در شناسایی تهدیدات و رفتارهای مهاجمان ایفای نقش می کند. در واقع، ATT&CK، مدل جزیی تری از سه گام انتهایی مدل Kill Chain است.
 
به صورت کلی می توان گفت مدل ATT@CK کاربردهای زیر را دارد

شبیه‌سازی رفتار مهاجمان

می‌توان از مدل مذکور جهت ارزیابی امنیت دارایی‌ها و فناوری‌ها بهره برد. این فرآیند (ارزیابی امنیتی) با به‌کارگیری اطلاعات تهدید سایبری درباره مهاجمان و نحوه عملکردشان که در چارچوب MITRE گنجانده شده است قابل انجام است. به بیان دیگر، تمرکز این فرآیند، بر روی آزمودن توانایی یک سازمان در تشخیص یا کاهش سطح تهدید ناشی از فعالیت مهاجمان است. می توان به راحتی سناریوهای شبیه سازی رفتار مهاجمان را از روی مدل MITRE استخراج کرد.

ارزیابی گپ (Gap Assessment)

فرآیند Gap Assessment به یک سازمان این امکان را می دهد تا مشخص کند کدام یک از بخش های دفاعی یک سازمان دچار نقصان و کمبود است. ATT&CK می تواند در این حوزه نیز نقش خود را ایفا کند و ابزارها و راهکارهای تشخیصی و دفاعی شبکه را ارزیابی کند.

ارزیابی سطح بلوغ مرکز عملیات امنیت

مرکز عملیات امنیت مولفه کلیدی سازمان های متوسط تا بزرگ به شمار می آیند که به صورت مداوم تهدیدات احتمالی در شبکه را رصد می کند. درک سطح بلوغ یک مرکز عملیات امنیت در اندازه گیری میزان کارآمدی آن موثر است. چارچوب ATT&CK می‌تواند به عنوان معیار و سنجش میزان کارآمدی مرکز عملیات امنیت ایفای نقش کند.

غنی‌سازی اطلاعات تهدید

قالب ساخت یافته‌ی ATT&CK می‌تواند داده‌های بیشتری را به اطلاعات تهدید بیافزاید. به‌بیان دقیق‌تر، اطلاعات و گزارشات تهدیدات و رخدادهای سایبری، می‌تواند با استفاده از مدل مذکور دسته‌بندی شود و از این طریق دید بیشتری را نسبت به وضعیت تهدید، تهدیدات احتمالی و نحوه تشخیص تهدیدات ارایه کند.
کاربردهای مذکور تنها بخشی از کاربردهای ATT&CK است و با فراگیری هرچه بیشتر این مدل، کاربردهای بیشتری نیز از آن کشف خواهد شد.

 

http://www.hypersec.ir/?p=592🌎
@hypersec
t.me/hypersec




پس از تعیین تعداد دفعات شکار و همچنین تعیین هدف شکار، می توان فرآیند شکار را آغاز کرد. در حالی که مدل زمان بندی تشریح شده در بخش قبل می تواند به تعیین تعداد دفعات شکار در یک بازه زمانی کمک کند، سوال اینجاست که فرآیند کاربردی برای انجام فعالیت شکار چیست؟

به منظور پاسخ به این سوال، شرکت Sqrrl چرخه ای با عنوان چرخه شکار تهدیدات معرفی کرده است که می تواند راهنمایی برای تحلیلگران در پیاده سازی تاکتیکی یک فعالیت شکار تهدیدات باشد.

همانگونه که در شکل نیز مشاهده می شود، چرخه شکار تهدیدات شامل چهار گام به شرح زیر است.


یک فعالیت شکار تهدید با خلق یک فرضیه یا یک حدس پرورش یافته درباره نوعی از فعالیتی که می توانسته در محیط سازمان شما اجرا شود، آغاز می شود. فرضیات معمولا بر اساس فاکتورهایی شامل اطلاعات تهدید، تجربیات گذشته و اطلاعات به دست آمده از همکاران یا سایر ذینفعان تنظیم و قاعده مند می شود.
شکارچی تهدید فرضیات خلق شده در گام قبلی را با بررسی از طریق تکنیک ها و ابزارهای مختلف دنبال می کند. این تکنیک ها و ابزارها در سایر بخش ها به تفصیل بیان خواهند شد، اما در کل تحلیلگران می توانند از آنها برای کشف الگوهای مخرب جدید در داده ها استفاده کنند و مسیرهای پیچیده یک حمله را برای نشان دادن تاکتیک ها، تکنیک ها و ابزارهای (TTP) مورد استفاده مهاجم، باز سازی کنند.
شکارچی تهدید با استفاده از تکنیک های دستی، جریان کاری مبتنی بر ابزار یا تحلیل، اقدام به کشف ناهنجاری یا الگوهای خاص که ممکن است در بررسی ها یافت شود، می کند. موفقیت در شکار تهدید، به آنچه در این گام یافت می شود بستگی دارد. از این رو این گام و نتایج آن بسیار حائز اهمیت است. حتی در صورتی که یک ناهنجاری یا ردپایی از مهاجم یافت نشود، می توان وجود یک تاکتیک یا نشانه خاص را رد کرد. به بیان دیگر، رد کردن فرضیه قربانی شدن و وجود مهاجم در شبکه خود می تواند یک دستاورد باشد. در اصل، این گام به عنوان اثبات یا رد فرضیات شما عمل می کند.
در نهایت، شکار تهدید می تواند به غنی تر کردن تحلیل های خودکار بیانجامد. زمان تیم شکار تهدید خود را با انجام شکارهای تکراری و یکسان تلف نکنید. در صورتی که نشانه یا الگویی یافت شود که بتواند مجددا در محیط سازمان شما (یا سازمان هدف) رخ دهد، تشخیص آن را خودکار کنید تا تیم شکار تهدیدات شما بتواند روی شکار تهدید جدید تمرکز کند. اطلاعات به دست آمده از شکارها می تواند به بهبود مکانیزم های تشخیص موجود مانند نشانه های تشخیص یا قوانین SIEM منجر شود.


شکار تهدید فرآیند پیشگیرانه و متناوب جستجو در شبکه ها برای تشخیص و تفکیک تهدیدات پیشرفته ای است که راهکارهای امنیتی موجود را دور زده اند. این فعالیت نقطه مقابل راهکارهای مدیریت تهدید سنتی مانند فایروال ها، سیستم های تشخیص نفوذ و تجهیزات SIEM است؛ راهکارهایی که معمولا بررسی یک تهدید را بعد از دریافت یک هشدار یا بعد از وقوع یک رخداد انجام می دهند. پس می توان گفت، فرآیند شکار تهدید، پیشگیرانه است از آن جهت که سعی دارد قبل از وقوع رخداد تهدیدات احتمالی را شناسایی کند یا تهدیدات را در گام های اولیه وقوع منهدم سازد و در عین حال متناوب است زیرا باید در یک چرخه انجام شود در هر دور حلقه اثرات آن بهبود یاد.

اما فرآیند شکار تهدید می تواند یک فرآیند دستی (غیرخودکار) باشد که در طی آن تحلیل گر امنیت، اطلاعات مختلف را وارسی می کند تا از طریق آن به فرض ها یا سناریوهای احتمالی تهدید برسد. اما در برخی شرایط و با هدف کارآیی و اثربخشی بهتر می توان این فرآیند را خودکار کرد یا در انجام آن از ماشین بهره گرفت.


Threat Hunting

تعریف:
شکار تهدیدات فرآیند جستجوی پیش کنشانه، مداوم و مبتنی بر عامل انسانی در شبکه ها، سیستم های کاربران و یا دیتاست ها با هدف شناسایی فعالیت های مشکوک و یا مخربی است که ابزارهای خودکار تشخیص تهدیدات از شناسایی آنها عاجز مانده اند

Показано 11 последних публикаций.

19

подписчиков
Статистика канала