باجافزارها، بدافزارهای خطرناکی هستند که فایل های موجود در رایانهها را قفل کرده و گاهی وقت ها نیز کاربران را به اتهام دانلود غیرمجاز یک نرمافزار یا مشاهده محتوای مبتذل، تهدید به زندان یا پرداخت جریمههای نقدی میکنند. مجرمان سایبری پس از مدت زمان کوتاهی متوجه شدند هدف گرفتن شرکتهای بزرگ نسبت به کاربران معمولی بسیار سودآورتر است.
شرکتهای فعال در حوزه امنیت و فناوری همچنان که به راهکارهایی برای جلوگیری از انتقال بدافزار از طریق ایمیل، دانلودهای مخرب یا روشهای مشابه دیگر دست یافتند، گروههای باجافزاری هم تصمیم گرفتند باجافزارهای خودشان را پس از نفوذ به سازمانها به صورت دستی در شبکه سازمان و نقاط انتهایی آن اجرا کنند.
موفقیت چشمگیر این روش باعث محبوبیت قابل توجه آن شد؛ هر چند شرکتها سعی نمودند بهداشت سایبری، سازوکارهای کلی دفاعی و قابلیتهایشان را برای تشخیص تهدیدات ارتقا دهند. با این وجود کارشناسان سایبری معتقدند دلیل اصلی تبدیل باجافزارها به چنین مشکلی این است که همیشه برای این حملات، هدف و قربانی پیدا میشود.
با این حال برای سازمانها مسأله این نیست که آیا چنین حملاتی را تجربه میکنند یا خیر، بلکه هدف آنها آگاهی از زمان وقوع حمله است.
همه اشخاصی که مورد هدف این حملات هستند، قربانی نمیشوند!
تیمهای امنیت سایبری به خوبی میدانند جلوگیری از انجام تمام حملات، امری محال و غیرممکن است در نتیجه هدف آنها به حداقل رساندن زمان از کارافتادگی سیستم ها و سرویس های سازمانی است تا از وقوع بدترین شرایط ممکن جلوگیری کنند. حادثهای که به تازگی تیم واکنش به حوادث شرکت Sophos با آن مواجه شد، مثال خوبی است که نشان میدهد مدافعان سایبری چگونه میتوانند در برابر این حملات مقاومت کنند.
حملات اخیر با سوءاستفاده از اکسپلویت [1]ProxyLogon سرور اکسچنج، شرکت بزرگی را هدف گرفته بودند و در طول یک دوره دو هفتهای، اعتبارنامه دیجیتال راهبر دامنه (Domain Administrator) را سرقت کرده، موفق به نفوذ بیشتر در شبکه شده، کنترلگرهای دامنه را آلوده نموده و در چندین سیستم بدافزارهایشان را نصب کرده بودند. سپس اقدام به نصب یک ابزار دسترسی از راه دور نموده تا بتوانند چندین برنامه مخرب را بر روی سایر سیستمهای شبکه این شرکت نیز نصب کنند.
سرعت حرکت مهاجمان در این حمله بسیار کند بود و روزانه اقدامات بسیار محدودی را انجام میدادند تا جلب توجه نکرده و شناسایی نشوند اما در نهایت، استفاده از یک ترکیب غیرطبیعی از ابزارهای مدیریت راه دور باعث شد مدافعان سایبری و ابزارهای امنیتی به آنها مشکوک شوند.
Andrew Brandt محقق ارشد شرکت Sophos میگوید: «شما باید علائم حملاتی را که در حال اجرا بر روی سیستمهایتان هستند، بشناسید؛ حتی اگر مهاجمان از ابزارهایی استفاده کنند که با آنها آشنایی ندارید. اجرای Cobalt Strike در حافظه[2] یکی از علائم هشدار است و با وجود اینکه نشانههای چندان زیادی از وقوع حمله مثل استفاده بیش از حد از پروتکل دسترسی راه دور در یک بازه طولانی را مشاهده نکرده بودیم ولی به ما کمک کرد تا مشتریمان را قانع کنیم حملهای جدی در حال اجرا میباشد».
مثال شرکت Sophos، نمونهای از ضرورت شکار تهدید[3]
کاملاً مسلم و بدیهی است که شناسایی علائم مخاطره، شبیه آنچه در قسمت بالا به آن اشاره شد، توسط انسان و بدون در اختیار داشتن ابزارهای مناسب غیرممکن است. تیم واکنش به حادثه Sophos از ابزارهای مختلفی همچون راهکار Sophos XDR (راهکار تشخیص و واکنش توسعهیافته) استفاده می کند که وظیفه هماهنگی، امنیت ایمیل، فایروال، سرورها و نقاط انتهایی را بر عهده دارد.
ابزار Sophos XDR اطلاعات لازم را از زیست بوم امنیتی و محیط فناوری اطلاعات سازمان جمع آوری نموده و به شکارچیان تهدید این امکان را میدهد تصویری جامع از وضعیت جاری به دست آورده و بتوانند سرنخهایی که احتمال غفلت از آنها وجود دارد را شناسایی و بررسی کنند.
این راهکار، متکی بر غنیترین مجموعه داده یعنی دریاچه داده مبتنی بر ابر Sophos است. این مخزن شامل اطلاعات مهم و حیاتی است که از راهکارهای Intercept X (ابزار امنیت ایمیل برای ایستگاههای کاری)، Intercept X مخصوص سرورها (حفاظت از نقاط انتهایی برای سرورها)، فایروال Sophos (فایروال ادغام شده با سیستم امنیتی) و ایمیل Sophos (راهکار امنیت ابری مبتنی بر هوش مصنوعی) جمعآوری شدهاند.
Dan Schiappa مدیر ارشد محصولات شرکت Sophos در این خصوص میگوید: «ما در این دریاچه داده، دادههای جمعآوری شده را با هوش تهدید (از ابزار Sophos Intelix) غنیسازی کرده و میتوانیم مدلهای هوش مصنوعی مختلف را بر روی دادهها اجرا کنیم تا به قابلیتهای خودکارسازی و تشخیص خودکار برسیم. ما از طریق زبانی به اسم لایو کوئری این اطلاعات را به مدیران و مسئولان امنیت ارایه دادیم».
ارزیابی راهکار
پیش از عرضه گسترده Sophos XDR این شرکت یک نسخه اولیه آن را از طریق APIهای مربوطه منتشر کرد. Schiappa میگوید: «بخشی از ارزش راهکار Sophos XDR این است که ما تک تک دادههای موجود را ارزیابی نکردیم بلکه سعی کردیم فقط از دادههای مفید که به موتورهای هوش مصنوعی برای نتیجهگیری هر چه بهتر کمک میکنند، استفاده نماییم. ما همچنین توانستیم با استفاده از این نسخه اولیه، ابزار نهایی را به صورت دقیق تنظیم کنیم».
Sophos XDR، Sophos EDR (که به تازگی مجهز به قابلیتهای جدیدی مثل زمان بندی کوئری شده) و سایر راهکارهای امنیت سازمانی این شرکت، بخش مهمی از زیست بوم امنیت سایبری تطبیقپذیر Sophos هستند. با این حال این پلتفرم، APIهای باز و قابلیتهای یکپارچهسازی و ادغام قدرتمندی دارد در نتیجه سایر شرکتها هم میتوانند از آن بهره بگیرند حتی اگر از محصولات شرکت Sophos استفاده نمیکنند.
بنا بر گفته Schiappa: «این ابزارها میتوانند دادهها را از دریاچه داده استخراج نموده و دادههای لازم را در آن وارد کنند. آنها همچنین میتوانند جزو ابزارهای واکنش به تهدید باشند».
این دریاچه داده حاوی دادههایی است که راهکار EDR، آنها را در 7 روز و راهکار XDR در 30 روز جمعآوری کرده است. دادههایی که در مدت زمان 90 روز از نقاط انتهایی و سرورها جمعآوری شدهاند هم در این دریاچه داده وجود دارند و کاربران میتوانند از آنها جهت اجرای کوئری به منظور تشخیص بلادرنگ فعالیتهایی که بر روی دستگاههایشان اجرا میشوند، استفاده کنند.
تشکیل جامعهای از مدافعان سایبری
کارشناسان امنیت سایبری میتوانند به آسانی از Sophos XDR استفاده کنند ولی استفاده از آن برای اشخاصی که به تازگی در این مسیر قدم گذاشتهاند، مدیران فناوری اطلاعات و مسئولان امنیت شرکتهای کوچک نیز بسیار راحت است.
همه این افراد صرف نظر از سطح تخصصی که دارند میتوانند از قابلیتهایی مثل کوئریهای ایجاد شده توسط شکارچیان تهدید Sophos و سایر شرکتها و همچنین از قابلیت تنظیم و تولید کوئری این راهکار استفاده کنند. Schiappa میگوید: «این یکی از مواردی است که ما نسبت به آن بسیار هیجان زده هستیم. ما انجمنی داریم که مشتریان میتوانند در آن کوئریهای مفید را منتشر کنند. این کار به سادگی و تنها با کپی و جایگذاری (Paste) کردن قابل انجام است. هدف اصلی ما از انجام چنین کاری، استفاده از تخصص کارمندان امنیت سایبری و قرار دادن این تخصص در اختیار سایر افراد جامعه است».
در نهایت شرکتهایی که از نیرو یا قابلیتهای لازم در تیم مرکز عملیات امنیتی خودشان برخوردار نیستند میتوانند این کار را به سرویس واکنش به تهدید مدیریت شده Sophos برونسپاری کرده تا از امکانات خوب آن بهره مند شوند.
[1] یک آسیبپذیری اجرای کد از راه دور که در سرور اکسچنج مایکروسافت وجود داشت.
[2] یک آسیبپذیری کشف شده در مایکروسافت آفیس که در حقیقت یک مشکل تخریب حافظه است و به مهاجمان از راه دور و غیرمجاز اجازه میدهد کد مخربی را در هنگام باز کردن یک فایل آلوده بر روی سیستم هدف اجرا کرده و کنترل سیستم را در دست خودشان بگیرند.
[3] فرایند جستجوی نفوذگران، قبل از اجرای موفقیتآمیز یک حمله توسط آنها است.
منبع: helpnetsecurity