با ادامه یافتن کار نیروی کاری از راه دور، تیمهای SOC باید چشمانداز تهدیدات بزرگتری را مدیریت کنند. چالش تطبیق دادن این محیط متغیر، فقط محدود به کارمندان نیست، بلکه تیم SOC نیز باید آموزشهای لازم را ببیند. این تیمها نه تنها از راه دور کار میکنند، بلکه باید با شیوهی کاری جدیدی نیز تطبیق پیدا کنند که آنها را مجبور میکند استراتژی امنیتی خود را تکامل دهند. در بخش یک از مقالهی «راهکارهایی برای دورکاری امن» در مورد مجرمان سایبری صحبت شد که کمپینهای Phishing و بدافزار را برای سود شخصی اجرا میکنند. در بخش دوم به آسیبپذیریهایی پرداخته شد که در VPNها وجود دارد و برخی از روشها برای ایمنسازی سرویسهای VPN و شناسایی دسترسی غیرعادی به VPN معرفی شد.
در این بخش از مقاله بدافزار تعریف میشود و ریسک بالایی که در کار از خانه وجود دارد شرح داده میشود و همچنین توصیههایی در مورد نحوهی شناسایی بدافزار در پوشش ابزارهای مفید ارائه میگردد.
بدافزار یا Malware چیست؟
نرمافزار مخرب یا همان بدافزار واژهای است که شامل هر برنامه یا کد مخربی میشود که توسط مهاجمین با هدف آسیب رساندن به داده یا یک سیستم یا کسب دسترسی غیرمجاز به یک شبکه مورد استفاده قرار گیرد. بدافزار خود را به شکلهای مختلفی نشان میدهد، مثلاً آگهیافزار (Adware)، جاسوسافزار (Spyware)، ویروس، کرم رایانهای، تروجان و باجافزار. اما نهایتاً هدف مهاجم ساده است: سود شخصی.
حفاظت از شبکه با ساخت دژ امنیتی
بدافزار موضوع جدیدی نیست، درحقیقت اولین ویروس ساخته شده به دههی ۱۹۷۰ برمیگردد، وقتی که باب توماس در شرکت BBN Technologies برنامهی Creeper را ساخت؛ یک برنامهی آزمایشی رایانهای که خود را بین رایانهها جابهجا میکرد. اما اخیراً تعداد حملات بدافزار افزایش سریعی داشته است، طوری که مجلهی Security گزارش میدهد فقط در سهچهارم اول سال ۲۰۱۹، ۷.۲ میلیارد حملهی بدافزار رخ داده است.
برای مقابله با حملات و حفاظت از دادهها و اطلاعات ارزشمند، بسیاری از شرکتها از معماری امنیتی دفاع عمیق (Defense in Depth) استفاده کردهاند. این معماری یک مدل امنیتی چندلایه است که برای حفاظت از کنترلهای فیزیکی، فنی و مدیریتی یک شبکه طراحی شده است.
- کنترلهای فیزیکی: دسترسی فیزیکی به سیستمهای IT را محدود میکنند (دسترسی Badge یا CCTV)
- کنترلهای فنی: از سیستمها یا منابع شبکه از طریق سختافزار یا نرمافزار (فایروالها، احراز هویت، تجزیهوتحلیل رفتاری) حفاظت مینماید.
- کنترلهای مدیریتی: سیاستها یا فرایندهایی که از راهنمایی امنیتی مناسب، اطمینان حاصل میکنند (فرایندهای مربوط به رسیدگی به داده و اقدامات مربوط به استخدام)
تفکر پشت ساختن یک مدل امنیتی چندلایه این است که افزونگیها و چندین خط دفاعی ساخته شود تا اگر یکی از کنترلهای امنیتی دچار خرابی شد، کنترل امنیتی دیگر آمادهی مقابله با حمله باشد.
نیروی کاری در حالی تغییر، معضل امنیتی جدید
پس اگر بدافزار چیز جدیدی نیست، چه چیزی جدید است؟ نیروی کاری در حالی تغییر. وقتی بسیاری از سازمانها استراتژی دفاع عمقی خود را ساختند، اکثر آنها انتظار نیروی کاری را نداشتند که ۱۰۰ درصد از راه دور فعالیت کنند. این امر میتواند برای شرکتهایی که خط دفاعی اصلی آنها در مقابل بدافزار، صرفا پارامتر محیط امنیتی قوی است، مشکلساز باشد. درحالیکه ابزار مربوط به محیط میتواند شبکهی سازمانی را ایمن کند، با توجه به اینکه اکثر نیروی کاری اکنون خارج از محیط امنیتی است، کارآمدی استراتژی دفاع عمیق کاهش پیدا میکند. در مواقع بسیاری اتکا به راهکارهای نقطهای مثل راهکار EDR، برای مسدود کردن بدافزارهایی که ابزارهای محیطی دیگر توانایی شناسایی آنها را ندارند انجام میشود.
کارمندان دورکار، هدف مهاجمان سایبری
مهاجمان سایبری مخرب از اینکه اکثریت کارمندان دفتری در خانه کار میکنند آگاه بوده و از اینکه کارمندان و دستگاههای آنها خارج از شبکهی سازمانی هستند سوءاستفاده مینمایند. کار از خانه بدین معنا است که ممکن است کارمندان روی شبکههایWi-Fi غیرایمن کار کنند، از لپتاپهای شخصی استفاده نمایند که مانیتور نمیشوند یا ایمن نیستند و حتی شاید سیستمهای قدیمی و Patch نشده را اجرا کنند. درحالیکه کارمندان وارد محیط جدیدی برای کار از خانه میشوند، بسیاری از آنها برنامههای کاربردی جدیدی مثل ابزار بهرهوری، برنامههای کاربردی دیگر یا بکگراندهای Zoom را دانلود میکنند.
در حالیکه هدف کارمندان دورکار، افزایش بهرهوری در حین کار از خانه است، ممکن است خود، دادههای سازمانی و سرورهای از راه دور را در معرض خطر حملات بدافزار قرار دهند.
شناسایی بدافزار با نیروی کاری از راه دور
در روز سیزدهم مارس، آژانس امنیت زیرساخت و امنیت سایبری (CISA) هشداری را منتشر کرد و به سازمانها گفت وضعیت امنیت سایبری خود را ارتقا دهند. CISA پیشنهاد کرد که پرسنل IT «آمادهی بالا بردن سطح وظایف امنیت سایبری که در مورد دسترسی از راه دور هستند، باشند، از جمله بررسی Log، شناسایی حمله، پاسخ به آن و بازیابی از حوادث.»
بااینکه شناسایی و بررسی Hostهای آلوده به بدافزار، برای تیمهای عملیات IT کاری متداول است، امروز تقویت و بهبود وضعیت امنیتی بسیار حیاتی است. اکنون که کارمندان خارج از محیط امنیتی هستند، استفاده از راهکار SIEM میتواند به روشهای زیر دفاع عمیق را افزایش دهد:
- لاگگیری از پردازشهای غیرعادی و اتصالات شبکه – میتوان از کدهای رخداد در رخدادهای ویندوز استفاده کرد. Windows Security Log Event ID 4688ثبت میکند که فرایندهای جدید چه زمانی ایجاد شدهاند و Event ID 5156 ثبت میکند که Windows Filtering Platform چه زمانی اجازهی یک اتصال را داده است. Logکردن کدهای رخداد مختلف ویندوز میتواند بینشی را به رفتار غیرعادی Endpoint فراهم کند، حتی وقتی که یک سیستم EDR پیادهسازی نشده باشد.
- شکار تهدید برای اولین پردازش اجراشده – اگر به اندازهی شش ماه داده داشته باشید و هیچکس در سازمان در مدت شش ماه فرایند جدیدی را اجرا نکرده باشد، احتمالاً لازم باشد این مورد را بررسی کنید. میتوانید از تحلیلگران بخواهید که این Query جستجو را ذخیره کرده و روزانه آن را اجرا کنند تا شکار تهدید بخشی از اقدامات متداول آنها شود. احتمالاً هجومی از این رخدادها را تجربه کنید، زیرا کارمندان شروع میکنند به دانلود ابزار برای بهبود بهرهوری، اما حالا که خارج از محیط هستید، شکار تهدید در اجرای اولیه فرایند یک لایه دفاعی اضافی را فراهم مینماید.
- ساخت یک فهرست مراقبتی یا Watchlist – هر کاربری که اولین اجرای یک رخداد فرایند را داشته باشد، باید در فهرست مراقبتی قرار گیرد و حداقل به مدت ۲۴ ساعت مانیتور شود. اگر متوجه شدید که امتیاز ریسک یک کاربر در ۲۴ ساعت افزایش پیدا کرد، باید مخرب بودن یا نبودن دانلود اولیه مخرب بررسی شود.
- خودکارسازی فهرست مراقبتی – اگر کاربری فعالیتی غیرعادی در فرایند داشت، به همراه یک امتیاز ریسک میانگین در یک آستانهی بهخصوص بهطور خودکار به فهرست اضافه میشود. میتوان فهرست را با یک TTL پیکربندی کرد تا اگر اتفاق نگرانکنندهی دیگری رخ نداد، کاربر بهطور خودکار از فهرست خارج شود.
- آموزش مجدد به کارمندان در مورد امنیت – اکنون زمان مناسبی است تا به کارمندان در مورد سیاستهای امنیتی شرکت، آموزش مجددی ارائه شود. ممکن است امنیت سایبری برای بسیاری از کارمندان در اولویت نباشد، پس مهم است که به آنها در این مورد یادآوری کنید. وقتی مسئلهی دانلود برنامههای کاربردی جدید یا کلیک روی لینکها مطرح باشد، میتوانید برخی از راهکارها را با آنان در میان بگذارید:
- به چیزی که دانلود میکنید، دقت داشته باشید
- بررسی کنید که وبسایت گواهیهای لازم را داشته باشد
- پیش از کلیک روی لینکهای ایمیلی، اطمینان حاصل کنید که ارسالکننده را میشناسید
- به اطلاعرسانیها (Notificationها) اعتماد نکنید
- به آخرین سیستم عاملها و مرورگرها بروزرسانی کنید
- برنامههای کاربردی قدیمی بلااستفاده را حذف کنید
انجام این شش کار ساده لایهای از امنیت را اضافه میکند که میتواند شناسایی بدافزار را در سازمان بهبود بخشد.