راهکارهای تدافعی را دست کم نگیرید

عملیات تدافعی

یک سازمان همواره نیاز دارد تا دو مؤلفه خدمات تیم آبی و جرم شناسی دیجیتالی را با هم داشته باشد، در همین خصوص ترکیب دو بخش خدماتی تیم آبی با جرم شناسی که در وظایت کاری خود شکار تهدید و پاسخ به حادثه را دارد میتواند یک رویکرد بسیار قدرتمند در عرصه ایجاد مرکز عملیات امنیت (SOC) باشد، به همین منظور مدیریت و کنترل سامانه های دفاعی و رهگیری را تیم های آبی بر عهده گرفته و پایش های تخصصی و حرفه ای داده های جمع‌آوری شده را تیم جرم شناسی و رهگیری تهدیدات انجام خواهند داد.

0
پروژه های تکمیل شده
0
کارشناسان فعال
0
رصدهای تدافعی
0
تحقیقاات و توسعه

جرم شناسی دیجیتال

شناسایی زودهنگام و تحقیقات سریع برای دفع مهاجمان و پاسخگویی به تهدیدها بسیار مهم است. اما تعداد بیشماری هشدار، اطلاعات ناکافی و عدم دید می تواند شما را از انجام این کارهای مهم باز دارد. اینجاست که ما وارد می شویم. ما هم از نظر امنیت سایبری (اطلاعات تهدید و شکار تهدید) و هم پاسخ سریع به حوادث (ِDFIR)، یک نظارت مستمر 24 ساعته بر منابع IT را ارائه می دهیم. ما از شما دعوت می کنیم تا با سرویس SOC به عنوان سرویس ارائه شده توسط تیم مرکز عملیات امنیتی (SOC) آشنا شوید.

حادثه امنیتی

ایمن‌سازی صحیح ردیابی های دیجیتال امکان تجزیه و تحلیل عمیق حادثه را فراهم می کند و به شما امکان می دهد جزئیات چگونگی وقوع و عملیاتی که مهاجم انجام داده را تعیین کنید.

شناسایی تهدیدات شبکه

مهاجمان اغلب از روش های مبهم سازی در خصوص کانال های ارتباطی با مرکز فرمان خود استفاده میکنند که رصد آنها برای محصولات سطح شبکه امکان‌پذیر نیست.

تیم آبی

  • برای محافظت فعال میبایست از آزمایش‌ها و اقدامات امنیتی موجود برای تشخیص نقاط ضعف استفاده و ممیزی های امنیتی را کاملا برقرار نمود، همچنین آسیب پذیری های موجود را بواسطه خدمات تست نفوذ به عنوان یک مکمل ارزیابی کرد. موارد جدید تری مانند: بررسی امنیت فضای ابری و مهندسی اجتماعی و شبیه سازی های تیم قرمز از موارد خاص تری در خصوص برقراری محافظت فعال خواهند بود.
  • ارزیابی های امنیتی بر پایه کشف آسیب پذیری فعال هم یکی دیگر از موارد محافظت فعال میباشد، یعنی تیم آبی در خصوص آسیب پذیری های انتشار یافته همواره باید گزارش‌ها سامانه ها را بروز رسانی نماید.
  • شناسایی فعال بدین معنی است که کارشناس تیم آبی بر اساس اکتشافات مخازن رویدادها به‌صورت دستی اقدام به طراحی امضا های فعال در خصوص فایل های مخرب کرده و مخازن امضای مکانیزم های شناسایی کننده را همواره بروز رسانی نماید.
  • شناسایی فعال به ارتباطات و بهره‌برداری هایی که از پروتکل ها می شود هم نظارت دارد و اگر تکنیک های Exfiltration موجود در مستندات MITRE ATT&CK توسط کارشناسان مشاهده شود سریعا اقدام به رهگیری و داده کاوی ارتباط کرده و در صورت نا معتبر بودن ارتباط را از بین خواهند برد. این امر همواره یکی از مؤثر ترین روش های شکار تهدیدات بوده و داده های تراکنش شده مبهم را براحتی نمایان میسازد.
  • گزارش فعال یکی از عوامل مؤثر در رصد های دقیق و کامل مبحث گردآوری خوشه رویداد ها میباشد که میتوان در خصوص هر یک از سرویس های تحت شبکه، Endpoint، روترها، فایروال ها و غیره… از آن استفاده کرد. این رویدادها از طریق یک مدیریت یکپارچه بواسطه موتورهای جستجوگری مانند Elasticsearch قابل پالایش میباشند.
  • در راستای تولید هوشمند پیامهای اضطراری میتوان از محصولاتی مانند Splunk که یک پویشگر امضاء های امنیتی است استفاده کرد، همچنین از پتانسیل های سیستم عامل، مانند Event Tracing Windows که یک ماژول در سطح کرنل است میتوان استفاده کرد تا تمامی رخدادهای سیستم عامل را ضبط و گرد آوری نمود.

هر مشکلی می تواند بخشی از راه حل باشد

تیم آبی به تنهایی نمیتواند در مقابل حملات پیشرفته یا Advanced Persistent Threat عملکرد خوبی را از خود نشان دهد، به همین منظور در مهندسی مرکز کنترل امنیت همواره از متخصصین تیم بنفش استفاده می شود تا علاوه بر کنترل و محافظت و نظارت به واسطه مکانیزم های دفاعی سازمانی، همواره یک تیم متخصص در سطح تیم های قرمز فرامین و کنش های سیستمی را بررسی و پالایش نماید و در صورت رخداد یک حمله، بحث شکار تهدید را عملیاتی نمایند.

از دیگر موارد مفید سیاست ها و راهکارهای عملیات تدافعی این است که تیم مرکز کنترل امنیت یا Security Operations Center در هنگام رخداد حملات پیچیده مانند آلوده سازی سیستم ها به باج افزار، بتواند سریعا عملیات مهندسی معکوس و خنثی سازی باج افزار را انجام بدهد و نیازی به متخصص خارجی نباشد، این ویژگی نیازمند تعاملات تیم آبی با تیم جرم شناسی میباشد که در امر برقراری مرکز کنترل امنیت مؤثر عمل نمایند، علاوه بر شکار تهدید منشاء تهدیدات را هم میتوانند کشف شوند.

معماری یکپارچه دفاع سایبری که بواسطه Cyber Threat Intelligence اتفاق می افتد میتواند تمامی سازمان های زیر مجموعه خدماتی ما را به‌صورت هم بسته به شاخص های حمله یا Indicator of Compromise بروز رسانی بکند، بدین ترتیب یک دفاع جامع اتفاق می افتد، همچنین باید نقشه یا Tactics, Techniques, and Procedures را طراحی و رفتار کامل حمله رخ داده را رفتار شناسی نمایند، این رفتار شناسی نهایتا میبایست عمومی شود.

شبیه سازی تهاجمی

یکی از راه های بالا بردن سطح امنیت در یک سازمان، این است که سناریو های مختلف حملات سایبری سطح پیشرفته به‌صورت شبیه سازی شده بر روی سازمان مربوط پیاده‌سازی شود و با استفاده از ترکیب تخصص های تست نفوذ و تیم قرمز، تمامی آسیب پذیری و نقص های زیرساختی امنیت دفاعی را مورد ارزیابی قرار گیرد. این ارزیابی ها مبتنی بر تکنیک های تیم های Advanced Persistent Threat میباشد. پلن هایی مانند نامحسوس در مقابل مکانیزم های دفاعی و فیلترسازی کانال ارتباطی با خط فرمان، که این امور باعث میشود تا مرکز کنترل امنیت (SOC) مورد ارزیابی قرار گیرد تا در برابر یک حمله واقعی واکنش های قابل پیش بینی از خود نشان دهد.

شکارچی باگ

شکارچیان همواره به دنبال کشف آسیب پذیری هستند و تمرکز خود را بر روی اشتباهات کد نویسی میگذارند، از این روی استفاده از شکارچیان باگ در کنار دیگر مکانیزم های ایمن‌ساز، میتواند یک گزینه مناسب برای کشف حفره هایی باشند که عامل یک حمله سایبری هستند. برنامه های جایزه در مقابل باگ هم از همین استراتژی بهره میبرند و شرکت ها در کنار تمامی مکانیزم های خود از این پتانسیل به نفع خود بهره میگیرند، تیم تحقیقاتی ما همواره با شرکت در مسابقات CTF و برنامه های جایزه در قبال باگ، خود را در این حوزه تقویت می نماید، از این روی میتوانید در برنامه های کشف باگ ما که به‌صورت اختصاصی به مشتریان ارائه میشود وارد شوید.