Search
Menu

راهکارهایی برای دورکاری امن – بخش ۳: نحوه‌ی شناسایی بدافزار در پوشش ابزارهای مفید

با ادامه یافتن کار نیروی کاری از راه دور، تیم‌های SOC باید چشم‌انداز تهدیدات بزرگ‌تری را مدیریت کنند. چالش تطبیق دادن این محیط متغیر، فقط محدود به کارمندان نیست، بلکه تیم SOC نیز باید آموزش‌های لازم را ببیند. این تیم‌ها نه تنها از راه دور کار می‌کنند، بلکه باید با شیوه‌ی کاری جدیدی نیز تطبیق پیدا کنند که آن‌ها را مجبور می‌کند استراتژی امنیتی خود را تکامل دهند. در بخش یک از مقاله‌ی «راهکارهایی برای دورکاری امن» در مورد مجرمان سایبری صحبت شد که کمپین‌های Phishing و بدافزار را برای سود شخصی اجرا می‌کنند. در بخش دوم به آسیب‌پذیری‌هایی پرداخته شد که در VPNها وجود دارد و برخی از روش‌ها برای ایمن‌سازی سرویس‌های VPN و شناسایی دسترسی غیرعادی به VPN معرفی شد.

در این بخش از مقاله بدافزار تعریف می‌شود و ریسک بالایی که در کار از خانه وجود دارد شرح داده می‌شود و همچنین توصیه‌هایی در مورد نحوه‌ی شناسایی بدافزار در پوشش ابزارهای مفید ارائه می‌گردد.

بدافزار یا Malware چیست؟

نرم‌افزار مخرب یا همان بدافزار واژه‌ای است که شامل هر برنامه یا کد مخربی می‌شود که توسط مهاجمین با هدف آسیب رساندن به داده یا یک سیستم یا کسب دسترسی غیرمجاز به یک شبکه مورد استفاده قرار گیرد. بدافزار خود را به شکل‌های مختلفی نشان می‌دهد، مثلاً آگهی‌افزار (Adware)، جاسوس‌افزار (Spyware)، ویروس، کرم رایانه‌ای، تروجان و باج‌افزار. اما نهایتاً هدف مهاجم ساده است: سود شخصی.

حفاظت از شبکه با ساخت دژ امنیتی

بدافزار موضوع جدیدی نیست، درحقیقت اولین ویروس ساخته شده به دهه‌ی ۱۹۷۰ برمی‌گردد، وقتی که باب توماس در شرکت BBN Technologies برنامه‌ی Creeper را ساخت؛ یک برنامه‌ی آزمایشی رایانه‌ای که خود را بین رایانه‌ها جابه‌جا می‌کرد. اما اخیراً تعداد حملات بدافزار افزایش سریعی داشته است، طوری که مجله‌ی Security گزارش‌ می‌دهد فقط در سه‌چهارم اول سال ۲۰۱۹، ۷.۲ میلیارد حمله‌ی بدافزار رخ داده است.

برای مقابله با حملات و حفاظت از داده‌ها و اطلاعات ارزشمند، بسیاری از شرکت‌ها از معماری امنیتی دفاع عمیق (Defense in Depth) استفاده کرده‌اند. این معماری یک مدل امنیتی چندلایه است که برای حفاظت از کنترل‌های فیزیکی، فنی و مدیریتی یک شبکه طراحی شده است.

  • کنترل‌های فیزیکی: دسترسی فیزیکی به سیستم‌های IT را محدود می‌کنند (دسترسی Badge یا CCTV)
  • کنترل‌های فنی: از سیستم‌ها یا منابع شبکه از طریق سخت‌افزار یا نرم‌افزار (فایروال‌ها، احراز هویت، تجزیه‌و‌تحلیل رفتاری) حفاظت می‌نماید.
  • کنترل‌های مدیریتی: سیاست‌ها یا فرایندهایی که از راهنمایی امنیتی مناسب، اطمینان حاصل می‌کنند (فرایندهای مربوط به رسیدگی به داده و اقدامات مربوط به استخدام)

تفکر پشت ساختن یک مدل امنیتی چندلایه این است که افزونگی‌ها و چندین خط دفاعی ساخته شود تا اگر یکی از کنترل‌های امنیتی دچار خرابی شد، کنترل امنیتی دیگر آماده‌ی مقابله با حمله باشد.

نیروی کاری در حالی تغییر، معضل امنیتی جدید

پس اگر بدافزار چیز جدیدی نیست، چه چیزی جدید است؟ نیروی کاری در حالی تغییر. وقتی بسیاری از سازمان‌ها استراتژی دفاع عمقی خود را ساختند، اکثر آن‌ها انتظار نیروی کاری را نداشتند که ۱۰۰ درصد از راه دور فعالیت کنند. این امر می‌تواند برای شرکت‌هایی که خط دفاعی اصلی آن‌ها در مقابل بدافزار، صرفا پارامتر محیط امنیتی قوی است، مشکل‌ساز باشد. درحالی‌که ابزار مربوط به محیط می‌تواند شبکه‌ی سازمانی را ایمن کند، با توجه به اینکه اکثر نیروی کاری اکنون خارج از محیط امنیتی است، کارآمدی استراتژی دفاع عمیق کاهش پیدا می‌کند. در مواقع بسیاری اتکا به راهکارهای نقطه‌ای مثل راهکار EDR، برای مسدود کردن بدافزارهایی که ابزارهای محیطی دیگر توانایی شناسایی آن‌ها را ندارند انجام می‌شود.

کارمندان دورکار، هدف مهاجمان سایبری

مهاجمان سایبری مخرب از اینکه اکثریت کارمندان دفتری در خانه کار می‌کنند آگاه بوده و از اینکه کارمندان و دستگاه‌های آن‌ها خارج از شبکه‌ی سازمانی هستند سوءاستفاده می‌نمایند. کار از خانه بدین معنا است که ممکن است کارمندان روی شبکه‌هایWi-Fi غیرایمن کار کنند، از لپ‌تاپ‌های شخصی استفاده نمایند که مانیتور نمی‌شوند یا ایمن نیستند و حتی شاید سیستم‌های قدیمی و Patch نشده را اجرا کنند. درحالی‌که کارمندان وارد محیط جدیدی برای کار از خانه می‌شوند، بسیاری از آن‌ها برنامه‌های کاربردی جدیدی مثل ابزار بهره‌وری، برنامه‌های کاربردی دیگر یا بک‌گراندهای Zoom را دانلود می‌کنند.

در حالیکه هدف کارمندان دورکار، افزایش بهره‌وری در حین کار از خانه است، ممکن است خود، داده‌های سازمانی و سرورهای از راه دور را در معرض خطر حملات بدافزار قرار دهند.

شناسایی بدافزار با نیروی کاری از راه دور

در روز سیزدهم مارس، آژانس امنیت زیرساخت و امنیت سایبری (CISA) هشداری را منتشر کرد و به سازمان‌ها گفت وضعیت امنیت سایبری خود را ارتقا دهند. CISA پیشنهاد کرد که پرسنل IT «آماده‌ی بالا بردن سطح وظایف امنیت سایبری که در مورد دسترسی از راه دور هستند، باشند، از جمله بررسی Log، شناسایی حمله، پاسخ به آن و بازیابی از حوادث.»

بااینکه شناسایی و بررسی Hostهای آلوده به بدافزار، برای تیم‌های عملیات IT کاری متداول است، امروز تقویت و بهبود وضعیت امنیتی بسیار حیاتی است. اکنون که کارمندان خارج از محیط امنیتی هستند، استفاده از راهکار SIEM می‌تواند به روش‌های زیر دفاع عمیق را افزایش دهد:

  • لاگ‌گیری از پردازش‌های غیرعادی و اتصالات شبکه – می‌توان از کدهای رخداد در رخدادهای ویندوز استفاده کرد. Windows Security Log Event ID 4688ثبت می‌کند که فرایندهای جدید چه زمانی ایجاد شده‌اند و Event ID 5156 ثبت می‌کند که Windows Filtering Platform چه زمانی اجازه‌ی یک اتصال را داده است. Logکردن کدهای رخداد مختلف ویندوز می‌تواند بینشی را به رفتار غیرعادی Endpoint فراهم کند، حتی وقتی که یک سیستم EDR پیاده‌سازی نشده باشد.
  • شکار تهدید برای اولین پردازش اجراشده – اگر به اندازه‌ی شش ماه داده داشته باشید و هیچکس در سازمان در مدت شش ماه فرایند جدیدی را اجرا نکرده باشد، احتمالاً لازم باشد این مورد را بررسی کنید. می‌توانید از تحلیل‌گران بخواهید که این Query جستجو را ذخیره کرده و روزانه آن را اجرا کنند تا شکار تهدید بخشی از اقدامات متداول آن‌ها شود. احتمالاً هجومی از این رخدادها را تجربه کنید، زیرا کارمندان شروع می‌کنند به دانلود ابزار برای بهبود بهره‌وری، اما حالا که خارج از محیط هستید، شکار تهدید در اجرای اولیه فرایند یک لایه دفاعی اضافی را فراهم می‌نماید.
  • ساخت یک فهرست مراقبتی یا Watchlist – هر کاربری که اولین اجرای یک رخداد فرایند را داشته باشد، باید در فهرست مراقبتی قرار گیرد و حداقل به مدت ۲۴ ساعت مانیتور شود. اگر متوجه شدید که امتیاز ریسک یک کاربر در ۲۴ ساعت افزایش پیدا کرد، باید مخرب بودن یا نبودن دانلود اولیه مخرب بررسی شود.
  • خودکارسازی فهرست مراقبتی – اگر کاربری فعالیتی غیرعادی در فرایند داشت، به همراه یک امتیاز ریسک میانگین در یک آستانه‌ی به‌خصوص به‌طور خودکار به فهرست اضافه می‌شود. می‌توان فهرست را با یک TTL پیکربندی کرد تا اگر اتفاق نگران‌کننده‌ی دیگری رخ نداد، کاربر به‌طور خودکار از فهرست خارج شود.
  • آموزش مجدد به کارمندان در مورد امنیت – اکنون زمان مناسبی است تا به کارمندان در مورد سیاست‌های امنیتی شرکت، آموزش مجددی ارائه شود. ممکن است امنیت سایبری برای بسیاری از کارمندان در اولویت نباشد، پس مهم است که به آن‌ها در این مورد یادآوری کنید. وقتی مسئله‌ی دانلود برنامه‌های کاربردی جدید یا کلیک روی لینک‌ها مطرح باشد، می‌توانید برخی از راهکارها را با آنان در میان بگذارید:
    • به چیزی که دانلود می‌کنید، دقت داشته باشید
    • بررسی کنید که وب‌سایت گواهی‌های لازم را داشته باشد
    • پیش از کلیک روی لینک‌های ایمیلی، اطمینان حاصل کنید که ارسال‌کننده را می‌شناسید
    • به اطلاع‌رسانی‌ها (Notificationها) اعتماد نکنید
    • به آخرین سیستم عامل‌ها و مرورگرها بروزرسانی کنید
    • برنامه‌های کاربردی قدیمی بلااستفاده را حذف کنید

انجام این شش کار ساده لایه‌ای از امنیت را اضافه می‌کند که می‌تواند شناسایی بدافزار را در سازمان بهبود بخشد.

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.