آیا راهکار تشخیص و واکنش پیشرفته شرکت Sophos می تواند به مقابله با حملات جدید کمک کند؟

باج‌افزارها، بدافزارهای خطرناکی هستند که فایل های موجود در رایانه‌ها را قفل کرده و گاهی وقت ها نیز کاربران را به اتهام دانلود غیرمجاز یک نرم‌افزار یا مشاهده محتوای مبتذل، تهدید به زندان یا پرداخت جریمه‌های نقدی می‌کنند. مجرمان سایبری پس از مدت زمان کوتاهی متوجه شدند هدف گرفتن شرکت‌های بزرگ نسبت به کاربران معمولی بسیار سودآورتر است.

شرکت‌های فعال در حوزه امنیت و فناوری همچنان که به راهکارهایی برای جلوگیری از انتقال بدافزار از طریق ایمیل، دانلودهای مخرب یا روش‌های مشابه دیگر دست یافتند، گروه‌های باج‌افزاری هم تصمیم گرفتند باج‌افزارهای خودشان را پس از نفوذ به سازمان‌ها به صورت دستی در شبکه سازمان و نقاط انتهایی آن اجرا کنند.

موفقیت چشمگیر این روش باعث محبوبیت قابل توجه آن شد؛ هر چند شرکت‌ها سعی نمودند بهداشت سایبری، سازوکارهای کلی دفاعی و قابلیت‌های‌شان را برای تشخیص تهدیدات ارتقا دهند. با این وجود کارشناسان سایبری معتقدند دلیل اصلی تبدیل باج‌افزارها به چنین مشکلی این است که همیشه برای این حملات، هدف و قربانی پیدا می‌شود.

با این حال برای سازمان‌ها مسأله این نیست که آیا چنین حملاتی را تجربه‌ می‌کنند یا خیر، بلکه هدف آنها آگاهی از زمان وقوع حمله است.

 

همه اشخاصی که مورد هدف این حملات هستند، قربانی نمی‌شوند!

تیم‌های امنیت سایبری به خوبی می‌دانند جلوگیری از انجام تمام حملات، امری محال و غیرممکن است در نتیجه هدف آنها به حداقل رساندن زمان از کارافتادگی سیستم ها و سرویس های سازمانی است تا از وقوع بدترین شرایط ممکن جلوگیری کنند. حادثه‌ای که به تازگی تیم واکنش به حوادث شرکت Sophos با آن مواجه شد، مثال خوبی است که نشان می‌دهد مدافعان سایبری چگونه می‌توانند در برابر این حملات مقاومت کنند.

حملات اخیر با سوءاستفاده از اکسپلویت [1]ProxyLogon سرور اکسچنج، شرکت بزرگی را هدف گرفته بودند و در طول یک دوره دو هفته‌ای، اعتبارنامه دیجیتال راهبر دامنه (Domain Administrator) را سرقت کرده، موفق به نفوذ بیشتر در شبکه شده، کنترل‌گرهای دامنه را آلوده نموده و در چندین سیستم بدافزارهایشان را نصب کرده بودند. سپس اقدام به نصب یک ابزار دسترسی از راه دور نموده تا بتوانند چندین برنامه مخرب را بر روی سایر سیستم‌های شبکه این شرکت نیز نصب کنند.

سرعت حرکت مهاجمان در این حمله بسیار کند بود و روزانه اقدامات بسیار محدودی را انجام می‌دادند تا جلب توجه نکرده و شناسایی نشوند اما در نهایت، استفاده از یک ترکیب غیرطبیعی از ابزارهای مدیریت راه دور باعث شد مدافعان سایبری و ابزارهای امنیتی به آنها مشکوک شوند.

Andrew Brandt محقق ارشد شرکت Sophos می‌گوید: «شما باید علائم حملاتی را که در حال اجرا بر روی سیستم‌هایتان هستند، بشناسید؛ حتی اگر مهاجمان از ابزارهایی استفاده کنند که با آنها آشنایی ندارید. اجرای Cobalt Strike در حافظه[2] یکی از علائم هشدار است و با وجود اینکه نشانه‌های چندان زیادی از وقوع حمله مثل استفاده بیش از حد از پروتکل دسترسی راه دور در یک بازه طولانی را مشاهده نکرده بودیم ولی به ما کمک کرد تا مشتری‌مان را قانع کنیم حمله‌ای جدی در حال اجرا می‌باشد».

 

مثال شرکت Sophos، نمونه‌ای از ضرورت شکار تهدید[3]

کاملاً مسلم و بدیهی است که شناسایی علائم مخاطره، شبیه آنچه در قسمت بالا به آن اشاره شد، توسط انسان و بدون در اختیار داشتن ابزارهای مناسب غیرممکن است. تیم واکنش به حادثه Sophos از ابزارهای مختلفی همچون راهکار Sophos XDR (راهکار تشخیص و واکنش توسعه‌یافته) استفاده می کند که وظیفه هماهنگی، امنیت ایمیل، فایروال، سرورها و نقاط انتهایی را بر عهده دارد.

ابزار Sophos XDR اطلاعات لازم را از زیست بوم امنیتی و محیط فناوری اطلاعات سازمان جمع آوری نموده و به شکارچیان تهدید این امکان را می‌دهد تصویری جامع از وضعیت جاری به دست آورده و بتوانند سرنخ‌هایی که احتمال غفلت از آنها وجود دارد را شناسایی و بررسی کنند.

این راهکار، متکی بر غنی‌ترین مجموعه داده یعنی دریاچه داده مبتنی بر ابر Sophos است. این مخزن شامل اطلاعات مهم و حیاتی است که از راهکارهای Intercept X (ابزار امنیت ایمیل برای ایستگاه‌های کاری)، Intercept X مخصوص سرورها (حفاظت از نقاط انتهایی برای سرورها)، فایروال Sophos (فایروال ادغام شده با سیستم امنیتی) و ایمیل Sophos (راهکار امنیت ابری مبتنی بر هوش مصنوعی) جمع‌آوری شده‌اند.

Dan Schiappa مدیر ارشد محصولات شرکت Sophos در این خصوص می‌گوید: «ما در این دریاچه داده، داده‌های جمع‌آوری شده را با هوش تهدید (از ابزار Sophos Intelix) غنی‌سازی کرده و می‌توانیم مدل‌های هوش مصنوعی مختلف را بر روی داده‌ها اجرا کنیم تا به قابلیت‌های خودکارسازی و تشخیص خودکار برسیم. ما از طریق زبانی به اسم لایو کوئری این اطلاعات را به مدیران و مسئولان امنیت ارایه دادیم».

ارزیابی راهکار

پیش از عرضه گسترده Sophos XDR این شرکت یک نسخه اولیه آن را از طریق APIهای مربوطه منتشر کرد. Schiappa می‌گوید: «بخشی از ارزش راهکار Sophos XDR این است که ما تک تک داده‌های موجود را ارزیابی نکردیم بلکه سعی کردیم فقط از داده‌های مفید که به موتورهای هوش مصنوعی برای نتیجه‌گیری هر چه بهتر کمک می‌کنند، استفاده نماییم. ما همچنین توانستیم با استفاده از این نسخه اولیه، ابزار نهایی را به صورت دقیق تنظیم کنیم».

Sophos XDR، Sophos EDR (که به تازگی مجهز به قابلیت‌های جدیدی مثل زمان بندی کوئری شده) و سایر راهکارهای امنیت سازمانی این شرکت، بخش مهمی از زیست بوم امنیت سایبری‌ تطبیق‌پذیر Sophos هستند. با این حال این پلتفرم، APIهای باز و قابلیت‌های یکپارچه‌سازی و ادغام قدرتمندی دارد در نتیجه سایر شرکت‌ها هم می‌توانند از آن بهره بگیرند حتی اگر از محصولات شرکت Sophos استفاده نمی‌کنند.

بنا بر گفته Schiappa: «این ابزارها می‌توانند داده‌ها را از دریاچه داده استخراج نموده و داده‌های لازم را در آن وارد کنند. آنها همچنین می‌توانند جزو ابزارهای واکنش به تهدید باشند».

این دریاچه داده حاوی داده‌هایی است که راهکار EDR، آنها را در 7 روز و راهکار XDR در 30 روز جمع‌آوری کرده است. داده‌هایی که در مدت زمان 90 روز از نقاط انتهایی و سرورها جمع‌آوری شده‌اند هم در این دریاچه داده وجود دارند و کاربران می‌توانند از آنها جهت اجرای کوئری به منظور تشخیص بلادرنگ فعالیت‌هایی که بر روی دستگاه‌هایشان اجرا می‌شوند، استفاده کنند.

 

تشکیل جامعه‌ای از مدافعان سایبری

کارشناسان امنیت سایبری می‌توانند به آسانی از Sophos XDR استفاده کنند ولی استفاده از آن برای اشخاصی که به تازگی در این مسیر قدم گذاشته‌اند، مدیران فناوری اطلاعات و مسئولان امنیت شرکت‌های کوچک نیز بسیار راحت است.

همه این افراد صرف نظر از سطح تخصصی که دارند می‌توانند از قابلیت‌هایی مثل کوئری‌های ایجاد شده توسط شکارچیان تهدید Sophos و سایر شرکت‌ها و همچنین از قابلیت تنظیم و تولید کوئری این راهکار استفاده کنند. Schiappa می‌گوید: «این یکی از مواردی است که ما نسبت به آن بسیار هیجان زده هستیم. ما انجمنی داریم که مشتریان می‌توانند در آن کوئری‌های مفید را منتشر کنند. این کار به سادگی و تنها با کپی و جایگذاری (Paste) کردن قابل انجام است. هدف اصلی ما از انجام چنین کاری، استفاده از تخصص کارمندان امنیت سایبری و قرار دادن این تخصص در اختیار سایر افراد جامعه است».

در نهایت شرکت‌هایی که از نیرو یا قابلیت‌های لازم در تیم مرکز عملیات امنیتی خودشان برخوردار نیستند می‌توانند این کار را به سرویس واکنش به تهدید مدیریت شده Sophos برون‌سپاری کرده تا از امکانات خوب آن بهره مند شوند.

 

[1] یک آسیب‌پذیری اجرای کد از راه دور که در سرور اکسچنج مایکروسافت وجود داشت.

[2] یک آسیب‌پذیری کشف شده در مایکروسافت آفیس که در حقیقت یک مشکل تخریب حافظه است و به مهاجمان از راه دور و غیرمجاز اجازه می‌دهد کد مخربی را در هنگام باز کردن یک فایل آلوده بر روی سیستم هدف اجرا کرده و کنترل سیستم را در دست خودشان بگیرند.

[3] فرایند جستجوی نفوذگران، قبل از اجرای موفقیت‌آمیز یک حمله توسط آنها است.

 

منبع: helpnetsecurity

خروج از نسخه موبایل