معضل امنیتی فنجان چای، چگونه سیمانتک از حملات هدفمند جلوگیری می‌کند

معضل امنیتی فنجان چای، چگونه سیمانتک از حملات هدفمند جلوگیری می‌کند

معضل امنیتی فنجان چای، چگونه سیمانتک از حملات هدفمند جلوگیری می‌کند

در دنیای امروز، امنیت سایبری به یکی از دغدغه‌های اصلی سازمان‌ها تبدیل شده است. مقاله پیش رو بر اساس تحلیل‌های منتشرشده توسط سیمانتک، به بررسی راهکارهای نوین برای مقابله با حملات هدفمند می‌پردازد و نشان می‌دهد که چگونه راهکار امنیت endpoints سیمانتک می‌تواند از سازمان‌ها در برابر پیشرفته‌ترین تهدیدات محافظت کند.

 

تشبیه فنجان چای و معضل امنیتی

هر روز صبح، بسیاری از متخصصان امنیت سایبری روز خود را با یک فنجان چای گرم آغاز می‌کنند. اما اگر به جای شکر، نمک در چای بریزید، چه اتفاقی می‌افتد؟ جدا کردن ذرات نمک از آب تقریباً غیرممکن است و تنها راه خلاصی از شر آن، دور ریختن کل فنجان است. این دقیقاً همان معضلی است که سازمان‌ها در مواجهه با یک حمله هدفمند با آن روبرو هستند. اگر مهاجمان ماهر بتوانند به شبکه نفوذ کرده و با استفاده از تکنیک‌های مختلف به صورت جانبی حرکت کنند، حتی اگر دستگاهی که حمله از آن شروع شده را پیدا کنید، تنها راه پاک‌سازی کامل، بازسازی کل شبکه از صفر خواهد بود. سیمانتک با درک این چالش، راهکاری ارائه داده است که از همان ابتدا از نفوذ مهاجمان جلوگیری می‌کند.

 

چالش بزرگ حملات هدفمند در چشم‌انداز تهدیدات سایبری

در چشم‌انداز تهدیدات سایبری امروز، ما به طور فزاینده‌ای شاهد حملات هدفمند پیچیده علیه سازمان‌ها هستیم. این حملات از نظر تکنیک‌ها و تأثیرات، روزبه‌روز گسترده‌تر می‌شوند. باج‌افزارهای هدفمند که بازدهی مالی بسیار بالایی برای هکرها دارند، همچنان یکی از بزرگترین چالش‌های جرایم سایبری برای شرکت‌ها محسوب می‌شوند. طبق گزارش تهدیدات اینترنتی سیمانتک در مورد باج‌افزارهای هدفمند، تعداد کسب‌وکارهای تحت تأثیر این حملات از سال ۲۰۱۷ به شدت افزایش یافته است. در آن زمان تنها دو سازمان در ماه مورد حمله قرار می‌گرفتند، اما در سال ۲۰۱۹ بیش از پنجاه شرکت در ماه توسط باج‌افزارهای هدفمند مورد اصابت قرار گرفته‌اند. برخی از این حملات منجر به رمزنگاری هزاران کامپیوتر و سرقت اطلاعات حساس شده و زیان‌های مالی، آسیب به شهرت و هزینه‌های میلیون دلاری پاک‌سازی را به همراه داشته است.

 

تکنیک‌های زندگی در دل زمین و حرکت جانبی مهاجمان

هکرها برای رسیدن به حداکثر تعداد ماشین‌ها در یک سازمان، از طیف گسترده‌ای از روش‌ها و ابزارها برای حرکت جانبی در شبکه استفاده می‌کنند. یکی از روش‌های رایج، استفاده از تکنیک‌های «زندگی در دل زمین» است که در آن هکرها از ویژگی‌های سیستمعامل و ابزارهای از پیش نصب شده بر روی ماشین‌های هدف برای حرکت در شبکه بهره می‌برند. مزیت این روش برای مهاجمان این است که نیازی به ایجاد فایل‌های متعدد بر روی هارد دیسک ندارند و در نتیجه شانس شناسایی توسط ابزارهای امنیتی سنتی کاهش می‌یابد. از جمله تکنیک‌های پرکاربرد زندگی در دل زمین می‌توان به ابزارهای دو منظوره مانند PsExec که امکان اجرای فرآیندها روی سیستم‌های دیگر را فراهم می‌کند، ابزارهای بدون فایل مانند Mimikatz که برای افزایش امتیازات استفاده می‌شود و اجرای PowerShell برای اجرای دستورات و انجام شناسایی اشاره کرد. سیمانتک با شناسایی این الگوها، از همان مراحل اولیه جلوی این نوع فعالیت‌ها را می‌گیرد.

 

اهمیت زمان در مقابله با حملات هدفمند

تیم‌های امنیتی سازمانی از ریسک حملات هدفمند آگاه هستند اما همچنان برای پیشی گرفتن از تهدیدات تلاش می‌کنند. یک تصور غلط رایج این است که زمان کافی برای متوقف کردن مهاجمان بین نفوذ به اولین ماشین و شروع حرکت جانبی در شبکه وجود دارد. برخی فروشندگان امنیتی می‌گویند این پنجره به طور متوسط دو ساعت طول می‌کشد و پیشنهاد می‌کنند که می‌توانید ظرف شصت دقیقه تهدید را برطرف کنید. اما در حالی که برخی حملات ممکن اینگونه باشند، حملات دیگری که امروزه رایج‌تر شده‌اند می‌توانند محیط شما را در عرض چند دقیقه از بین ببرند. برای نمونه، زمانی که باج‌افزار NotPetya در سال ۲۰۱۷ به یک شرکت حمل و نقل لجستیک جهانی حمله کرد، بدافزار تنها در هفت دقیقه در سراسر شبکه پخش شد. در موارد دیگر، NotPetya توانست هزار دستگاه را در کمتر از دو دقیقه آلوده کند. بنابراین برای محافظت مؤثر در برابر حملات هدفمند، باید سریع عمل کرده و در هر مرحله از زنجیره حمله، هرچه زودتر از تهدیدات جلوگیری کنید.

 

رویکرد جامع سیمانتک برای امنیت endpoints

سیمانتک با درک این واقعیت که هکرها مداوم هستند و اغلب به سرعت در زنجیره حمله حرکت می‌کنند، راهکاری ارائه داده است که بر محافظت نه تنها در سراسر زنجیره MITRE ATT&CK بلکه فراتر از آن، در مراحل قبل از حمله و پس از نفوذ تمرکز دارد. هدف، پیشگیری و اصلاح در اولین فرصت ممکن است. پلتفرم امنیت endpoints سیمانتک بر چهار ستون اصلی بنا شده است: کاهش سطح حمله، پیشگیری از حمله، جلوگیری از نفوذ و کشف و پاسخ به تهدیدات endpoints. این پلتفرم عمیق‌ترین محافظت را با گسترده‌ترین پوشش و متنوع‌ترین گزینه‌های استقرار، از طریق یک عامل واحد و مدیریت یکپارچه ارائه می‌دهد. با این رویکرد، سیمانتک به سازمان‌ها کمک می‌کند تا در برابر حملات هدفمند مقاوم شوند.

 

کاهش سطح حمله؛ گام اول برای مقاوم‌سازی سازمان

ستون کاهش سطح حمله شامل اقداماتی است که از قبل برای مقاوم‌سازی سازمان‌ها در برابر حملات انجام می‌شود. این شامل پیاده‌سازی سیاست‌ها و فناوری‌های کنترلی پیشگیرانه است که آسیب‌پذیری‌های موجود در برنامه‌ها، اکتیو دایرکتوری و سیستم‌عامل‌ها را کاهش می‌دهد. قابلیت ارزیابی نفوذ که منحصر به سیمانتک است، به طور مداوم در پس‌زمینه کار می‌کند تا اطلاعاتی درباره پیکربندی‌های اکتیو دایرکتوری، حساب‌های ممتاز، تنظیمات امنیتی و موارد دیگر جمع‌آوری کند. همچنین از هوش ریسک در مورد آسیب‌پذیری‌های شناخته شده برای اولویت‌بندی پاسخ استفاده می‌شود تا جدی‌ترین تهدیدات ابتدا برطرف گردند. با کنترل دستگاه، کنترل برنامه و سیاست‌های ایزوله‌سازی، مدیران می‌توانند توانایی کاربران یا برنامه‌ها را برای وارد کردن بدافزار از خارج از محیط سازمانی محدود کرده و ریسک خروج داده را به حداقل برسانند.

 

پیشگیری از حمله؛ بلوکه کردن مهاجمان در مراحل اولیه

ستون پیشگیری از حمله شامل محافظت در برابر بدافزار روی ایستگاه‌های کاری و سرورها، دفاع در برابر تهدیدات موبایل برای دستگاه‌های iOS و اندروید و یکپارچگی شبکه برای سیستم‌عامل‌های مدرن است. این ابزارها از تشخیص‌های مبتنی بر یادگیری ماشین و هوش مصنوعی برای محافظت مؤثر در برابر تهدیدات مبتنی بر فایل و بدون فایل در سطوح دستگاه، سیستم‌عامل و برنامه استفاده می‌کنند. برای متوقف کردن مهاجمان در مراحل نفوذ و آلودگی زنجیره ATT&CK، سیمانتک از ابزارهایی مانند یادگیری ماشین پیشرفته برای تشخیص پیش از اجرا و محافظت در برابر تهدیدات شناخته شده و ناشناخته، تحلیل شهرت برای تعیین ایمنی فایل‌ها و وب‌سایت‌ها با استفاده از شبکه جهانی هوشمند سیمانتک، پایش رفتار مشکوک فایل و پیشگیری از بهره‌برداری حافظه برای مسدود کردن حملات روز صفر استفاده می‌کند. قابلیت اتصال امن نیز با استفاده از یک VPN خودکار از تهدیدات مبتنی بر شبکه روی دستگاه‌های در حال رومینگ جلوگیری می‌کند.

 

جلوگیری از نفوذ؛ متوقف کردن حرکت جانبی و خروج داده

اگر حمله موفق شود از تمام کنترل‌های پیشگیری عبور کند، تلاش می‌کند با حرکت جانبی یا ارتباط با سرور فرماندهی و کنترل، به نفوذ خود ادامه دهد. یکی از تکنیک‌های رایج برای حرکت جانبی، دستکاری اکتیو دایرکتوری برای سرقت اعتبارنامه‌های با امتیاز بالا است. امنیت endpoints سیمانتک با استفاده از تکنیک‌های فریب مانند فایل‌های جعلی، اعتبارنامه‌های جعلی و درخواست‌های وب، چنین تلاش‌های نفوذی را شناسایی می‌کند. با مبهم‌سازی برای تحریف درک مهاجم از منابع اکتیو دایرکتوری سازمان از نقطه endpoint، محصورسازی زودهنگام و جلوگیری از نفوذ تضمین می‌شود. همچنین از فایروال شبکه، پیشگیری از نفوذ و لیست سیاه IP برای جلوگیری از خروج داده و ارتباط هکرها با سرورهای فرماندهی و کنترل استفاده می‌شود. سیمانتک تنها راهکاری است که هکرها را در محلی که نفوذ شروع می‌شود - یعنی در endpoint - پیش از آنکه بتوانند از اکتیو دایرکتوری برای دسترسی به سایر دارایی‌ها استفاده کنند، متوقف می‌سازد.

 

کشف و پاسخ به تهدیدات؛ یافتن دستگاه‌های خفته

حتی اگر دستگاهی را که در یک حمله نفوذ کرده پیدا کرده و به طور کامل نابود کنید، مهاجمان معمولاً چندین endpoint را در یک سازمان آلوده کرده و ممکن است آنها را در حالت خواب باقی بگذارند. پیدا کردن این ماشین‌های خفته دشوار است و به همین دلیل کشف و پاسخ به تهدیدات endpoints حیاتی می‌باشد. راهکار سیمانتک در این زمینه به همراه تحلیل مرکز عملیات امنیتی، دید کاملی از فعالیت مهاجم روی دستگاه در اختیار پاسخ‌دهندگان به حوادث قرار می‌دهد. با استفاده از تحلیل لحظه‌ای ابری که می‌تواند مخفیانه‌ترین فعالیت‌های هدفمند را شناسایی کند، پاسخ‌دهندگان می‌توانند به سرعت حوادث را بررسی و مختومه اعلام کرده و تأثیر حمله را به حداقل برسانند. تحلیل پیشرفته حملات هدفمند یک عنصر اساسی برای جلوگیری از حملات است زیرا اتوماسیون تضمین می‌کند که بتوان ظرف چند ثانیه یا چند دقیقه پاسخ داد. محققان سیمانتک تله‌متری بیش از ۱۷۵ میلیون endpoint را تجزیه و تحلیل می‌کنند تا بینش در مورد مهاجمان، تکنیک‌ها، ماشین‌های تحت تأثیر و راهنمایی برای اصلاح ارائه دهند.

 

بررسی موردی؛ نحوه مقابله سیمانتک با باج‌افزار GoGalocker

باج‌افزار هدفمند GoGalocker که در اوایل سال ۲۰۱۹ ظاهر شد، به سازمان‌هایی در طیف وسیعی از بخش‌های کسب‌وکار حمله کرده است. در مارس ۲۰۱۹، غول آلومینیوم نروژی Norsk Hydro فاش کرد که مورد حمله باج‌افزاری قرار گرفته که به نظر می‌رسد GoGalocker بوده و این حمله کامپیوترها و عملیات شرکت را فلج کرده است. هنگامی که مهاجمان GoGalocker موفق به ورود به شبکه قربانی می‌شوند، تمرکز خود را بر نقشه‌برداری از شبکه و به دست آوردن اعتبارنامه‌ها برای دسترسی به ماشین‌های دیگر و افزایش امتیازات معطوف می‌کنند. مهاجمان از تکنیک‌های زندگی در دل زمین برای استفاده از منابع موجود در محیط قربانی مانند منابع ویندوز که می‌توانند برای اجرای شل‌کد استفاده شوند، بهره می‌برند. آنها همچنین از ابزارهایی مانند Mimikatz و PuTTY برای غیرفعال کردن نرم‌افزارهای امنیتی و تغییر امتیازات استفاده می‌کنند. سیمانتک در هر مرحله از زنجیره حمله GoGalocker محافظت ارائه می‌دهد. تکنیک‌هایی مانند پیشگیری از نفوذ و فایروال، ارتباط سرور فرماندهی و کنترل را مسدود کرده و امنیت اکتیو دایرکتوری از حرکت جانبی و دسترسی به اعتبارنامه‌ها جلوگیری می‌کند.

 

بررسی موردی؛ نحوه مقابله سیمانتک با گروه APT28

گروه تهدید APT28 خانواده تهدیدی است که سازمان‌های دولتی، نظامی و امنیتی را هدف قرار داده است. این گروه برای به دست آوردن جای پایی در محیط قربانی، معمولاً از ایمیل‌های فیشینگ ساخته شده استفاده می‌کند و کاربران فردی را فریب می‌دهد تا آنها را باز کنند. آنها همچنین ممکن است از اسکن آسیب‌پذیری، حملات آبشاری (بهره‌برداری از وب‌سایت‌های قانونی برای استقرار بدافزار) و حملات روز صفر برای نفوذ اولیه استفاده کنند. پس از ورود، هکرها اعتبارنامه‌های دامنه را با استفاده از Mimikatz و Keyloggers و ابزارهایی که اعتبارنامه‌ها را از مرورگرها و کلاینت‌های ایمیل می‌دزدند، به سرقت می‌برند. سیمانتک با پوشش هر مرحله از زنجیره کشتار در برابر APT28 محافظت می‌کند. در مراحل دسترسی اولیه، از یادگیری ماشین پیشرفته پیش از اجرا برای تشخیص بدافزار بر اساس ویژگی‌های ایستا استفاده می‌شود. در طول مرحله اجرا، از اکتشافات پیشرفته و داده‌های عمیق شهرت برای پیشگیری از تهدید در حین اجرا بهره گرفته می‌شود. همچنین شناسایی داخلی مختل شده و حرکت جانبی با استفاده از مبهم‌سازی اکتیو دایرکتوری متوقف می‌شود.

 

زمان، عنصر کلیدی در امنیت سایبری مدرن

چشم‌انداز امنیت سایبری تغییر کرده است. همانطور که تقریباً غیرممکن است ذرات شکر را از یک فنجان چای گرم بیرون کشید، بیرون راندن مهاجمان هدفمند از سازمان نیز پس از ورود آنها غیرممکن است. هکرهای امروزی سریع حرکت می‌کنند و بیش از هر زمان دیگری پایدار هستند. آنها مسیر کمترین مقاومت را در سازمان شما دنبال می‌کنند تا راهی برای ورود پیدا کنند. این شامل استفاده از نقاط ورودی متعدد مانند موبایل و شکار سریع برای اعتبارنامه‌های مدیر دامنه پس از ورود، برای دستیابی به کنترل کامل سازمانی است. اگر این اتفاق بیفتد، تنها راه خلاصی از شر آنها بازسازی کل دامنه شما خواهد بود. این حملات می‌توانند تنها در چند دقیقه - نه ساعت یا روز - رخ دهند و مدافعان را ملزم می‌کند که تهدیدات را در سراسر زنجیره حمله، پیش از انجام آسیب، متوقف کنند. سیمانتک با راهکار امنیت endpoints خود، به طور خودکار امکان نفوذ در سازمان شما را از ابتدا تا انتها کاهش می‌دهد و از تمام سیستم‌عامل‌ها و endpoints سنتی و مدرن در محیط شما محافظت می‌کند.

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد