چگونه SESC به شناسایی، و پاسخ به حملات پیشرفته کمک می کند؟

symantec

چشم انداز تهدیدات امنیتی با تهدیدهای گسترده از زنجیره تامین، فیشینگ پیچیده تر، و مجموعه ای از آسیب پذیری ها در حال گسترش به تکامل خود ادامه می دهد. صرف نظر از آخرین روش‌های مورد استفاده توسط پیشرفته‌ترین مهاجمان، Symantec Endpoint Security (SES) Complete فناوری‌های پیشرفته‌ای را ارائه می‌کند تا بتوانید بدانید چه زمانی سازمان شما مورد حمله قرار می‌گیرد، دامنه حمله را تعیین کنید، و تهدید را مهار و ریشه‌کن کنید.

در این نوشته ما یک حمله دنیای واقعی را نشان می‌دهیم و اینکه چگونه SES Complete بیشتر حملات را قبل از وارد شدن هر گونه آسیبی مسدود می‌کند، به شما در مورد فعالیت‌های مشکوک هشدار می‌دهد و ابزارهایی را در اختیار شما قرار می‌دهد تا با اطمینان از شرکت و سازمان خود در برابر حملات دفاع کنید.

مرورگرها، جاوا اسکریپت مخرب را اجرا می کند! حمله با حذف و اجرای جاوا اسکریپت توسط مرورگر وب شروع می شود. این جاوا اسکریپت مخرب برای جلوگیری از شناسایی و دشوار کردن تجزیه و تحلیل مبهم است. این مرحله اول حمله تعیین می کند که آیا قربانی ارزش ادامه حمله را دارد یا خیر! کشف کاربر و سیستم را انجام می دهد و این اطلاعات را به یک سرور کنترل ارسال می کند. پس از تشخیص اینکه این قربانی مناسب است یا خیر، PowerShell مخرب را دانلود و اجرا می کند.

در این مرحله از حمله، مهاجم فقط دسترسی کاربر محدودی دارد که انجام کارهای زیادی را روی دستگاه دشوار می‌کند. بنابراین، گام بعدی مهاجم بالا بردن دسترسی هایشان است.

کشف مبتنی بر پاورشل، سرقت اعتبار، خروج و حرکت جانبی اکنون که مهاجم دارای دسترسی های زیادی می باشد، مهاجم از قابلیت های بیشتری برخوردار است. با این کار، مهاجم درباره کاربر، سیستم و سایر ماشین‌های موجود در شبکه اطلاعات بیشتری کسب می‌کند، اعتبارنامه‌ها را می‌دزدد، داده‌های دزدیده شده را استخراج می‌کند و به صورت جانبی به ساختارهای دیگر در شبکه می‌رود.

مسدود کردن حمله قبل از شروع آن در سیمانتک:

Adaptive Protection یکی از قدرتمندترین ابزارها برای جلوگیری از حملات پیشرفته قبل از اینکه مهاجمان بتوانند به آن نفوذ کنند است. مهاجمان اغلب سعی می‌کنند فعالیت‌های خود را با استفاده از باینری‌های قانونی سیستم‌عامل یا سایر باینری‌های رایج مانند مرورگرهای وب یا مشاهده‌کنندگان اسناد، ویرایشگرها پنهان کنند. حفاظت تطبیقی از این دانش برای بستن این راه‌های حمله استفاده می‌کند. برای انجام این کار، Adaptive Protection ابتدا یاد می‌گیرد که این برنامه‌های کاربردی که معمولاً مورد سوء استفاده قرار می‌گیرند در حال حاضر چگونه در محیط کار می‌کنند. سپس، هنگامی که Adaptive مطمئن شد هیچ استفاده قانونی وجود ندارد، به طور خودکار تمام رفتارهای مخرب آینده را مسدود می کند.

ابتدا با رفتن به خط مشی حفاظت تطبیقی و روشن کردن Auto Tune، یادگیری خودکار را فعال کنید و این خط مشی را در Device Groups مناسب اعمال کنید.(شکل زیر)

Adaptive Protection طیف وسیعی از برنامه‌هایی که معمولاً مورد سوء استفاده قرار می‌گیرند را ایمن می‌کند. برای مشاهده جزئیات بیشتر روی هر یک از فلش های کشویی کلیک کنید.

PowerShell را به عنوان مثال در نظر بگیرید. PowerShell یک ابزار مدیریتی قدرتمند است که می تواند تقریباً هر کاری را که مدیر بخواهد انجام دهد. نفوذکنندگان این را می‌دانند و از PowerShell نیز استفاده می‌کنند، به این امید که مانند فعالیت‌های عادی مدیر به نظر برسند. حفاظت تطبیقی یاد می‌گیرد که چگونه از PowerShell در سازمان استفاده می‌شود، سپس از سایر استفاده‌های مخرب PowerShell جلوگیری می‌کند و در عین حال به فعالیت‌های اداری عادی اجازه می‌دهد.

به‌طور پیش‌فرض، «محافظت تطبیقی» تعیین می‌کند که کدام حفاظت‌ها در جریان کار عادی شما تداخل نداشته باشند. همچنین می توانید هر گونه رفتاری را به صورت دستی مجاز، نظارت یا رد کنید. در مورد حمله ای که در بالا ذکر شد، سازمان در فعالیت های عادی خود از جاوا اسکریپت استفاده می کند، بنابراین این مجاز است. با این حال، به طور معمول جاوا اسکریپت کشف حساب را انجام نمی دهد و PowerShell را راه اندازی نمی کند، بنابراین این موارد به طور خودکار مسدود می شوند. بلوک توسط امضاها ساخته نمی‌شود، که مهاجمان می‌توانند کد خود را مبهم یا تغییر دهند. در عوض، خود رفتارها مسدود شده‌اند و کل تکنیک‌ها را از هرگونه احتمال بهره‌کشی می‌بندند. در اینجا مثالی از مسدود کردن عناصر کلیدی حمله بر اساس حفاظت تطبیقی توسط SESC آورده شده است.

حفاظت تطبیقی تنها یکی از بسیاری از فناوری‌های پیشرفته SES Complete برای جلوگیری از نقض است. حفاظت ارائه شده توسط فایروال SES Complete، حفاظت از نفوذ شبکه، کنترل دستگاه، قفل کردن سیستم، تشخیص بهره برداری حافظه، شهرت، یادگیری ماشین پیشرفته، شبیه سازی، فریب و نظارت بر رفتار عمیق است. در حالی که برخی از رقبا از ارائه محافظت ضعیف با عباراتی مانند "نقض اجتناب ناپذیر است" دفاع می کنند، ما معتقدیم که حفاظت یک بخش مهم از وضعیت امنیتی است. در پایان روز، بهترین محافظت، بسیاری از حملات را مسدود می‌کند.

تنها به این دلیل که دوربین های امنیتی دارید، درب ورودی خود را باز نمی گذارید. به طور مشابه، بهترین وضعیت امنیتی این است که از بهترین محافظت و همچنین بهترین تشخیص برای زمانی که محافظت با شکست مواجه می شود، استفاده کنید.

حتی اگر مهاجمان تکنیک های خود را اصلاح کنند، به هر حال مرحله بعدی مسدود می شود و مرحله بعد از آن و مرحله بعد از آن مسدود می شود. به سادگی، SES Complete یک راه حل حفاظتی قوی است زیرا چندین لایه کنترل مکمل را ارائه می دهد. به همین دلیل است که SES Complete جایزه بهترین Endpoint Enterprise Labs SE را برای سال 2023 حتی اگر مهاجم مداوم باشد و تکنیک های اولیه خود را تغییر دهد (به شما در طول مسیر هشدار می دهد)، مراحل بعدی حمله همانطور که در اینجا نشان داده شده است مسدود می شوند. (شکل زیر)

حتی با وجود اینکه حمله بارها و بارها و قبل از اینکه حتی به یک نقطه از پا برسد، متوقف شد، رویکرد دفاعی عمیق سیمانتک Symantec همچنان ادامه دارد. از اینجا به بعد، با قرار دادن SES Complete در حالت ویژه Monitor Only، شبیه سازی می کنیم که اگر هر بلوک بعدی اتفاق نیفتد چه اتفاقی می افتد. SES Complete به ما در مورد فعالیت های مشکوک هشدار می دهد اما هیچ یک از آنها را مسدود نمی کند. در حالی که اجرای در حالت فقط مانیتور در یک محیط تولید توصیه نمی شود، ما این کار را در این مورد انجام می دهیم تا ببینیم که SES Complete چگونه به بقیه حمله واکنش نشان می دهد با فرض اینکه هر مرحله قبلی مسدود نشده است. SES Complete با هشدار حادثه ای با شدت بالا درباره سرقت اعتبار و افزایش امتیاز به شما هشدار می دهد.