معضل امنیتی فنجان چای، چگونه سیمانتک از حملات هدفمند جلوگیری میکند
معضل امنیتی فنجان چای، چگونه سیمانتک از حملات هدفمند جلوگیری میکند
در دنیای امروز، امنیت سایبری به یکی از دغدغههای اصلی سازمانها تبدیل شده است. مقاله پیش رو بر اساس تحلیلهای منتشرشده توسط سیمانتک، به بررسی راهکارهای نوین برای مقابله با حملات هدفمند میپردازد و نشان میدهد که چگونه راهکار امنیت endpoints سیمانتک میتواند از سازمانها در برابر پیشرفتهترین تهدیدات محافظت کند.
تشبیه فنجان چای و معضل امنیتی
هر روز صبح، بسیاری از متخصصان امنیت سایبری روز خود را با یک فنجان چای گرم آغاز میکنند. اما اگر به جای شکر، نمک در چای بریزید، چه اتفاقی میافتد؟ جدا کردن ذرات نمک از آب تقریباً غیرممکن است و تنها راه خلاصی از شر آن، دور ریختن کل فنجان است. این دقیقاً همان معضلی است که سازمانها در مواجهه با یک حمله هدفمند با آن روبرو هستند. اگر مهاجمان ماهر بتوانند به شبکه نفوذ کرده و با استفاده از تکنیکهای مختلف به صورت جانبی حرکت کنند، حتی اگر دستگاهی که حمله از آن شروع شده را پیدا کنید، تنها راه پاکسازی کامل، بازسازی کل شبکه از صفر خواهد بود. سیمانتک با درک این چالش، راهکاری ارائه داده است که از همان ابتدا از نفوذ مهاجمان جلوگیری میکند.
چالش بزرگ حملات هدفمند در چشمانداز تهدیدات سایبری
در چشمانداز تهدیدات سایبری امروز، ما به طور فزایندهای شاهد حملات هدفمند پیچیده علیه سازمانها هستیم. این حملات از نظر تکنیکها و تأثیرات، روزبهروز گستردهتر میشوند. باجافزارهای هدفمند که بازدهی مالی بسیار بالایی برای هکرها دارند، همچنان یکی از بزرگترین چالشهای جرایم سایبری برای شرکتها محسوب میشوند. طبق گزارش تهدیدات اینترنتی سیمانتک در مورد باجافزارهای هدفمند، تعداد کسبوکارهای تحت تأثیر این حملات از سال ۲۰۱۷ به شدت افزایش یافته است. در آن زمان تنها دو سازمان در ماه مورد حمله قرار میگرفتند، اما در سال ۲۰۱۹ بیش از پنجاه شرکت در ماه توسط باجافزارهای هدفمند مورد اصابت قرار گرفتهاند. برخی از این حملات منجر به رمزنگاری هزاران کامپیوتر و سرقت اطلاعات حساس شده و زیانهای مالی، آسیب به شهرت و هزینههای میلیون دلاری پاکسازی را به همراه داشته است.
تکنیکهای زندگی در دل زمین و حرکت جانبی مهاجمان
هکرها برای رسیدن به حداکثر تعداد ماشینها در یک سازمان، از طیف گستردهای از روشها و ابزارها برای حرکت جانبی در شبکه استفاده میکنند. یکی از روشهای رایج، استفاده از تکنیکهای «زندگی در دل زمین» است که در آن هکرها از ویژگیهای سیستمعامل و ابزارهای از پیش نصب شده بر روی ماشینهای هدف برای حرکت در شبکه بهره میبرند. مزیت این روش برای مهاجمان این است که نیازی به ایجاد فایلهای متعدد بر روی هارد دیسک ندارند و در نتیجه شانس شناسایی توسط ابزارهای امنیتی سنتی کاهش مییابد. از جمله تکنیکهای پرکاربرد زندگی در دل زمین میتوان به ابزارهای دو منظوره مانند PsExec که امکان اجرای فرآیندها روی سیستمهای دیگر را فراهم میکند، ابزارهای بدون فایل مانند Mimikatz که برای افزایش امتیازات استفاده میشود و اجرای PowerShell برای اجرای دستورات و انجام شناسایی اشاره کرد. سیمانتک با شناسایی این الگوها، از همان مراحل اولیه جلوی این نوع فعالیتها را میگیرد.
اهمیت زمان در مقابله با حملات هدفمند
تیمهای امنیتی سازمانی از ریسک حملات هدفمند آگاه هستند اما همچنان برای پیشی گرفتن از تهدیدات تلاش میکنند. یک تصور غلط رایج این است که زمان کافی برای متوقف کردن مهاجمان بین نفوذ به اولین ماشین و شروع حرکت جانبی در شبکه وجود دارد. برخی فروشندگان امنیتی میگویند این پنجره به طور متوسط دو ساعت طول میکشد و پیشنهاد میکنند که میتوانید ظرف شصت دقیقه تهدید را برطرف کنید. اما در حالی که برخی حملات ممکن اینگونه باشند، حملات دیگری که امروزه رایجتر شدهاند میتوانند محیط شما را در عرض چند دقیقه از بین ببرند. برای نمونه، زمانی که باجافزار NotPetya در سال ۲۰۱۷ به یک شرکت حمل و نقل لجستیک جهانی حمله کرد، بدافزار تنها در هفت دقیقه در سراسر شبکه پخش شد. در موارد دیگر، NotPetya توانست هزار دستگاه را در کمتر از دو دقیقه آلوده کند. بنابراین برای محافظت مؤثر در برابر حملات هدفمند، باید سریع عمل کرده و در هر مرحله از زنجیره حمله، هرچه زودتر از تهدیدات جلوگیری کنید.
رویکرد جامع سیمانتک برای امنیت endpoints
سیمانتک با درک این واقعیت که هکرها مداوم هستند و اغلب به سرعت در زنجیره حمله حرکت میکنند، راهکاری ارائه داده است که بر محافظت نه تنها در سراسر زنجیره MITRE ATT&CK بلکه فراتر از آن، در مراحل قبل از حمله و پس از نفوذ تمرکز دارد. هدف، پیشگیری و اصلاح در اولین فرصت ممکن است. پلتفرم امنیت endpoints سیمانتک بر چهار ستون اصلی بنا شده است: کاهش سطح حمله، پیشگیری از حمله، جلوگیری از نفوذ و کشف و پاسخ به تهدیدات endpoints. این پلتفرم عمیقترین محافظت را با گستردهترین پوشش و متنوعترین گزینههای استقرار، از طریق یک عامل واحد و مدیریت یکپارچه ارائه میدهد. با این رویکرد، سیمانتک به سازمانها کمک میکند تا در برابر حملات هدفمند مقاوم شوند.
کاهش سطح حمله؛ گام اول برای مقاومسازی سازمان
ستون کاهش سطح حمله شامل اقداماتی است که از قبل برای مقاومسازی سازمانها در برابر حملات انجام میشود. این شامل پیادهسازی سیاستها و فناوریهای کنترلی پیشگیرانه است که آسیبپذیریهای موجود در برنامهها، اکتیو دایرکتوری و سیستمعاملها را کاهش میدهد. قابلیت ارزیابی نفوذ که منحصر به سیمانتک است، به طور مداوم در پسزمینه کار میکند تا اطلاعاتی درباره پیکربندیهای اکتیو دایرکتوری، حسابهای ممتاز، تنظیمات امنیتی و موارد دیگر جمعآوری کند. همچنین از هوش ریسک در مورد آسیبپذیریهای شناخته شده برای اولویتبندی پاسخ استفاده میشود تا جدیترین تهدیدات ابتدا برطرف گردند. با کنترل دستگاه، کنترل برنامه و سیاستهای ایزولهسازی، مدیران میتوانند توانایی کاربران یا برنامهها را برای وارد کردن بدافزار از خارج از محیط سازمانی محدود کرده و ریسک خروج داده را به حداقل برسانند.
پیشگیری از حمله؛ بلوکه کردن مهاجمان در مراحل اولیه
ستون پیشگیری از حمله شامل محافظت در برابر بدافزار روی ایستگاههای کاری و سرورها، دفاع در برابر تهدیدات موبایل برای دستگاههای iOS و اندروید و یکپارچگی شبکه برای سیستمعاملهای مدرن است. این ابزارها از تشخیصهای مبتنی بر یادگیری ماشین و هوش مصنوعی برای محافظت مؤثر در برابر تهدیدات مبتنی بر فایل و بدون فایل در سطوح دستگاه، سیستمعامل و برنامه استفاده میکنند. برای متوقف کردن مهاجمان در مراحل نفوذ و آلودگی زنجیره ATT&CK، سیمانتک از ابزارهایی مانند یادگیری ماشین پیشرفته برای تشخیص پیش از اجرا و محافظت در برابر تهدیدات شناخته شده و ناشناخته، تحلیل شهرت برای تعیین ایمنی فایلها و وبسایتها با استفاده از شبکه جهانی هوشمند سیمانتک، پایش رفتار مشکوک فایل و پیشگیری از بهرهبرداری حافظه برای مسدود کردن حملات روز صفر استفاده میکند. قابلیت اتصال امن نیز با استفاده از یک VPN خودکار از تهدیدات مبتنی بر شبکه روی دستگاههای در حال رومینگ جلوگیری میکند.
جلوگیری از نفوذ؛ متوقف کردن حرکت جانبی و خروج داده
اگر حمله موفق شود از تمام کنترلهای پیشگیری عبور کند، تلاش میکند با حرکت جانبی یا ارتباط با سرور فرماندهی و کنترل، به نفوذ خود ادامه دهد. یکی از تکنیکهای رایج برای حرکت جانبی، دستکاری اکتیو دایرکتوری برای سرقت اعتبارنامههای با امتیاز بالا است. امنیت endpoints سیمانتک با استفاده از تکنیکهای فریب مانند فایلهای جعلی، اعتبارنامههای جعلی و درخواستهای وب، چنین تلاشهای نفوذی را شناسایی میکند. با مبهمسازی برای تحریف درک مهاجم از منابع اکتیو دایرکتوری سازمان از نقطه endpoint، محصورسازی زودهنگام و جلوگیری از نفوذ تضمین میشود. همچنین از فایروال شبکه، پیشگیری از نفوذ و لیست سیاه IP برای جلوگیری از خروج داده و ارتباط هکرها با سرورهای فرماندهی و کنترل استفاده میشود. سیمانتک تنها راهکاری است که هکرها را در محلی که نفوذ شروع میشود - یعنی در endpoint - پیش از آنکه بتوانند از اکتیو دایرکتوری برای دسترسی به سایر داراییها استفاده کنند، متوقف میسازد.
کشف و پاسخ به تهدیدات؛ یافتن دستگاههای خفته
حتی اگر دستگاهی را که در یک حمله نفوذ کرده پیدا کرده و به طور کامل نابود کنید، مهاجمان معمولاً چندین endpoint را در یک سازمان آلوده کرده و ممکن است آنها را در حالت خواب باقی بگذارند. پیدا کردن این ماشینهای خفته دشوار است و به همین دلیل کشف و پاسخ به تهدیدات endpoints حیاتی میباشد. راهکار سیمانتک در این زمینه به همراه تحلیل مرکز عملیات امنیتی، دید کاملی از فعالیت مهاجم روی دستگاه در اختیار پاسخدهندگان به حوادث قرار میدهد. با استفاده از تحلیل لحظهای ابری که میتواند مخفیانهترین فعالیتهای هدفمند را شناسایی کند، پاسخدهندگان میتوانند به سرعت حوادث را بررسی و مختومه اعلام کرده و تأثیر حمله را به حداقل برسانند. تحلیل پیشرفته حملات هدفمند یک عنصر اساسی برای جلوگیری از حملات است زیرا اتوماسیون تضمین میکند که بتوان ظرف چند ثانیه یا چند دقیقه پاسخ داد. محققان سیمانتک تلهمتری بیش از ۱۷۵ میلیون endpoint را تجزیه و تحلیل میکنند تا بینش در مورد مهاجمان، تکنیکها، ماشینهای تحت تأثیر و راهنمایی برای اصلاح ارائه دهند.
بررسی موردی؛ نحوه مقابله سیمانتک با باجافزار GoGalocker
باجافزار هدفمند GoGalocker که در اوایل سال ۲۰۱۹ ظاهر شد، به سازمانهایی در طیف وسیعی از بخشهای کسبوکار حمله کرده است. در مارس ۲۰۱۹، غول آلومینیوم نروژی Norsk Hydro فاش کرد که مورد حمله باجافزاری قرار گرفته که به نظر میرسد GoGalocker بوده و این حمله کامپیوترها و عملیات شرکت را فلج کرده است. هنگامی که مهاجمان GoGalocker موفق به ورود به شبکه قربانی میشوند، تمرکز خود را بر نقشهبرداری از شبکه و به دست آوردن اعتبارنامهها برای دسترسی به ماشینهای دیگر و افزایش امتیازات معطوف میکنند. مهاجمان از تکنیکهای زندگی در دل زمین برای استفاده از منابع موجود در محیط قربانی مانند منابع ویندوز که میتوانند برای اجرای شلکد استفاده شوند، بهره میبرند. آنها همچنین از ابزارهایی مانند Mimikatz و PuTTY برای غیرفعال کردن نرمافزارهای امنیتی و تغییر امتیازات استفاده میکنند. سیمانتک در هر مرحله از زنجیره حمله GoGalocker محافظت ارائه میدهد. تکنیکهایی مانند پیشگیری از نفوذ و فایروال، ارتباط سرور فرماندهی و کنترل را مسدود کرده و امنیت اکتیو دایرکتوری از حرکت جانبی و دسترسی به اعتبارنامهها جلوگیری میکند.
بررسی موردی؛ نحوه مقابله سیمانتک با گروه APT28
گروه تهدید APT28 خانواده تهدیدی است که سازمانهای دولتی، نظامی و امنیتی را هدف قرار داده است. این گروه برای به دست آوردن جای پایی در محیط قربانی، معمولاً از ایمیلهای فیشینگ ساخته شده استفاده میکند و کاربران فردی را فریب میدهد تا آنها را باز کنند. آنها همچنین ممکن است از اسکن آسیبپذیری، حملات آبشاری (بهرهبرداری از وبسایتهای قانونی برای استقرار بدافزار) و حملات روز صفر برای نفوذ اولیه استفاده کنند. پس از ورود، هکرها اعتبارنامههای دامنه را با استفاده از Mimikatz و Keyloggers و ابزارهایی که اعتبارنامهها را از مرورگرها و کلاینتهای ایمیل میدزدند، به سرقت میبرند. سیمانتک با پوشش هر مرحله از زنجیره کشتار در برابر APT28 محافظت میکند. در مراحل دسترسی اولیه، از یادگیری ماشین پیشرفته پیش از اجرا برای تشخیص بدافزار بر اساس ویژگیهای ایستا استفاده میشود. در طول مرحله اجرا، از اکتشافات پیشرفته و دادههای عمیق شهرت برای پیشگیری از تهدید در حین اجرا بهره گرفته میشود. همچنین شناسایی داخلی مختل شده و حرکت جانبی با استفاده از مبهمسازی اکتیو دایرکتوری متوقف میشود.
زمان، عنصر کلیدی در امنیت سایبری مدرن
چشمانداز امنیت سایبری تغییر کرده است. همانطور که تقریباً غیرممکن است ذرات شکر را از یک فنجان چای گرم بیرون کشید، بیرون راندن مهاجمان هدفمند از سازمان نیز پس از ورود آنها غیرممکن است. هکرهای امروزی سریع حرکت میکنند و بیش از هر زمان دیگری پایدار هستند. آنها مسیر کمترین مقاومت را در سازمان شما دنبال میکنند تا راهی برای ورود پیدا کنند. این شامل استفاده از نقاط ورودی متعدد مانند موبایل و شکار سریع برای اعتبارنامههای مدیر دامنه پس از ورود، برای دستیابی به کنترل کامل سازمانی است. اگر این اتفاق بیفتد، تنها راه خلاصی از شر آنها بازسازی کل دامنه شما خواهد بود. این حملات میتوانند تنها در چند دقیقه - نه ساعت یا روز - رخ دهند و مدافعان را ملزم میکند که تهدیدات را در سراسر زنجیره حمله، پیش از انجام آسیب، متوقف کنند. سیمانتک با راهکار امنیت endpoints خود، به طور خودکار امکان نفوذ در سازمان شما را از ابتدا تا انتها کاهش میدهد و از تمام سیستمعاملها و endpoints سنتی و مدرن در محیط شما محافظت میکند.