شکار تهدید پیشگیرانه یا Proactive، بهجای رویکرد مرسوم که منتظر شناسایی تهدیدهای بالقوه توسط ابزارهای کشف نقطه پایانی میماند، پیشفرض را وجود نقض امنیتی درنظر میگیرد. با اینکه رویکرد مرسوم در مورد حملات خودکار و شناختهشده جواب میدهد، حملات امروزیِ دارای عامل انسانی پیچیدهتر هستند. شکار تهدید پیشگیرانه به پردهبرداری از تهدیدهای امنیتی مخفیشده در محیط و پیدا کردن آسیبپذیریها کمک میکند. مانند متخصصان بقا در حیات وحش که برای بقا در محیطهای ناملایم تمرین میکنند، شکارچیان تهدید مدرن از دانش و منابع خود بهره میبرند تا در اندیشهی خود از مهاجمان پیشی بگیرند.
پیشگیری از تهدیدات
شکار تهدید پیشگیرانه به تیم شما کمک میکند محیط را بهتر بشناسند و شناسایی موارد غیرعادی را آسانتر میسازد. این امر شما را قادر به شناسایی فرصتهای استانداردسازی کرده و بدین ترتیب شناسایی فعالیت مشکوک در آینده را تسهیل میکند.
کسب قابلیت دید
شکارچیان تهدید از داشتن «مزیت زمین خودی» بهره میبرند. زمانی که دید شکارچیان متخصص در چشمانداز تهدید این مزیت را تکمیل کند، آن را چندبرابر مفیدتر میکند. دانش شما از سازمان خود در کنار دانش چشمانداز تهدید به شناسایی سریعتر فعالیتهای مشکوک کمک میکند.
استانداردسازی
امنیت سایبری مدرن ذاتاً پیچیده بوده و نیازمند دادههایی از منابع گوناگون است و در نبود انسجام همهچیز شبیه به ناهنجاری بهنظر میرسد. استانداردسازی سازمان فعالیتهای مشکوک را واضحتر میسازد و احتمال شناسایی فعالیتهای مشکوک در مراحل ابتدایی حمله را افزایش میدهد.
کمبود فعلی نیروی کار امنیتی منجر به شکلگیری یک ریسک امنیتی ملی شده است. تا زمانی که سِمتهای شغلی بیشتری اشغال شوند، افراد حرفهای حوزهی امنیت سایبری متحمل مسئولیتی طاقتفرسا میشوند. این راهنمای شکار تهدید برای کمک به این مدافعان تدوین شده است. در این راهنما به چگونگی تشخیص اینکه حملهای دارای عامل انسانی رخ داده است میپردازیم و استراتژیهایی برای شکار تهدید پیشگیرانه و بررسی حملههای دارای عامل انسانی به اشتراک خواهیم گذاشت. با راهنمایی این استراتژیهای بقا، خواهید توانست تهدیدهای بالقوهای که در مقابلتان قرار میگیرند را ارزیابی کرده و بهسرعت نشانههای حملهی دارای عامل انسانی را شناسایی کنید.
شناسایی حملات بر اساس ارقام
- ۸۳ میلیون حملهی مبتنی بر هویت طی یک ماه
- ۴۵ درصد از CISOها افزایش کمپینهای فیشینگ و جعل هویت گزارش کردهاند
- ۹ میلیارد ورود به سیستم توسط مهاجمان تنها طی یک ماه
چرا شکار تهدیدات باید فراتر از نقاط پایانی گسترش یابد؟
بقا در حیات وحش مستلزم درک خطراتی همچون آب و هوا، ناهمواریهای زمین، جانوران شکارچی و الگوهای فعالیت، شیوههای حمله و نقاط ضعف آنها است. شکارچیان تهدید نیز همواره نسبت به تهدیدها هوشیار بوده و متوجه هستند که حمله میتواند در هر جایی و هر زمانی رخ دهد و از این رو باید این تهدیدات را درک کنند و به اندازهای سریع باشند که بتوانند در زمان نیاز خود را انطباق دهند.
انسانها ستون اصلی شکار تهدید را تشکیل میدهند. مایهی تعجب نیست که سهمگینترین تهدیدات نیز اغلب توسط انسانها اجرا میشوند. درک کردن این مهاجمان بهمعنی دستیابی به دانشی عمیق از تاکتیکها، تکنیکها و رویههایی (TTPs) است که برای دسترسی به محیط سازمان به کار میبرند.
گسترش دادن قابلیت دید امنیتی
امنیت نقاط پایانی اهمیت دارد و همواره اهمیت خواهد داشت. در واقع، ظهور حملات دارای عامل انسانی باعث میشود تقویت امنیت نقاط پایانی مهمتر شود. بدافزارها به صدمه زدن به اعتبار و سود و زیان کسب و کارهای کوچک و بزرگ ادامه میدهند. فراتر رفتن از نقاط پایانی تحولی است که میتواند سود بسیاری به کسب و کارها برساند. یکی از استراتژیهایی که شکارچیان تهدید میتوانند به کار ببرند استفاده از شناسایی و پاسخدهی توسعهیافته (XDR) است.
XDR چیست؟
شناسایی و پاسخدهی توسعهیافته، یا به اختصار XDR، مجموعهای کاملاً یکپارچه از ابزارهای امنیتی است که با ادغام محصولات و دادههای امنیتی در قالب راهکارهای سادهشده، امنیت جامع و بهینه ارائه میکند. XDR پیشگیری، شناسایی، بررسی و پاسخدهی را ترکیب میکند تا قابلیتدید، تجزیه و تحلیل، هشدارهای رویداد همبسته و پاسخهای خودکار فراهم کند و با بهبود امنیت داده، با تهدیدها مبارزه کند.
سرمایههای امنیت سایبری یک سازمان مدرن انواع شبکههای شخص اول و شخص ثالث، برنامههای کاربردی، پایگاهدادههای مبتنی بر Cloud، دستگاههای موبایل و هویت را دربرمیگیرد. محیط دیجیتال به شکل امروزی چشماندازی پویا و همواره در حال تکامل است.
Zero Trust چیست؟
گذشته از XDR، یکی از بهترین راههای فراتر رفتن از نقاط پایانی، پایبندی به اصل Zero Trust است. مبانی اصلی فلسفهی Zero Trust شامل احراز هویت و صدور مجوز دسترسی در هر مرتبه، محدود کردن دسترسی کاربران صرفاً به چیزهایی که برای انجام کارشان به آن نیاز دارند و فرض را بر نقض امنیتی گذاشتن با اِعمال صحتسنجی و تجزیه و تحلیل رمزگذاری End-to-end در اقدامات شناسایی تهدید است.
رویکرد Zero Trust باید در سرتاسر نهاد دیجیتال توسعه یابد و بهعنوان یک فلسفهی امنیتی یکپارچه و استراتژی End-to-end عمل کند. این کار با اِعمال کنترلها و تکنولوژیهای Zero Trust در شش عنصر بنیادین انجام میشود: هویت، نقاط پایانی، داده، برنامههای کاربردی، زیرساختها و شبکه. هر یک از این موارد منبع سیگنال، یک Control plane برای اجرا و اندوختهای حیاتی هستند که باید از آنها دفاع شود.
مهمترین موارد کاربرد XDR
- شناسایی آسیبپذیریهای دستگاه نقطه پایانی
- شکار تهدیدها درسرتاسر دامینها
- بررسی رویدادهای امنیتی بار کاری متقاطع
- حصول اطمینان از وضع امنیتی در تمامی دارایی دیجیتال
- پیشگیری از حملات آینده
- اولویتبندی و همبسته کردن هشدارها
بدافزارهای متداول در مقابل حملات دارای عامل انسانی
متخصصان بقا در حیات وحش به مخفی شدن در پناهگاه قناعت نمیکنند. در عوض توشه به پشت میبندند، بند کفشهای کوهنوری را گره زده و در دشت کاوش میکنند. گذشته از کسب اطلاعات نجاتبخش در مورد شکارچیان منطقه، با آبراهها، بافت گیاهی و سایر خصوصیات منحصربهفرد منطقه آشنا میشوند که به موفقیتشان کمک میکند.
شکارچیان تهدید باید چشمانداز دیجیتال را بپیمایند و دریابند که حملات ممکن است در کجا رخ دهند. دو نوع اصلی از حملاتی که شکارچیان تهدید باید نسبت به آنها هوشیار باشند، بدافزارهای متداول و حملات دارای عامل انسانی هستند.
حملات بدافزاری متداول
حملات بدافزاری متداول خطراتی هستند که کاربران، هر روزه با کلیک کردن روی لینکهای اشتباه یا نصب برنامههای اشتباه با آنها مواجه میشوند. در این موقعیتها، بخش عمدهی منطق حمله در خود بدافزار یافت میشود، بنابراین پاکسازی معمولاً بهسادگی با حذف بدافزار، بازسازی دستگاه، یا احتمالاً بازنشانی اطلاعات اعتباری کاربر انجام میشود.
حملات بدافزار متداول احتمال دارد مخاطبان بسیاری را هدف قرار دهند و بر آلوده کردن تعداد هرچه بیشتر سیستمها تمرکز کنند. به این منظور، بدافزارهای متداول ممکن است:
- از تکنیکهای حملهی خودکار بهره ببرند
- بر آلوده کردن تعداد بالایی از نقاط پایانی تمرکز داشته باشند
- با استفاده از تکنیکهایی که احتمال میرود برای تعداد زیادی از اهداف بالقوه جذابیت داشته باشند انتشار پیدا کنند
حملات دارای عامل انسانی
حملات دارای عامل انسانی نسبت به حملات بدافزار متداول تلاش بسیار بیشتری صرف تهدید یک هدف مشخص میکنند. زمانی که مهاجمان در سیستم جایگاهی مطمئن پیدا کنند، بسته به آنچه در شبکهی هدف مییابند، از تجربه و انگیزهی حملهی خود برای تصمیمگیری در مورد اینکه در هر مرحله چه کنند استفاده میکنند. از آنجاکه انسانها پشت این حملات هستند، تأثیر آنها – و تنوع تکنیکهای استفاده شده – بسیار متنوع است.
شکارچیان تهدید باید برای تعیین سیستمها و هویتهایی که نیاز به ترمیم دارند تحقیق کنند. رسیدگی به چنین تهدیدهایی ممکن است مانند شطرنج به نظر برسد، چراکه مهاجمان به هر اقدام ترمیمی که کاملاً آنها را از سازمان بیرون نکند پاسخ میدهند. خاتمه دادن به حملههای دارای عامل انسانی بهمعنی حذف هرنوع هویت یا دستگاه تحت کنترل آنها بوده و نیازمند هوشیاری کارمندان امنیتی آموزشدیده همراه با محصولات امنیتی اثرگذار و پیکربندی سازمانی مدرن است. این حملات دارای عامل انسانی یکی از دلایل مهمی هستند که شرکتها راهکارهای شناسایی و پاسخدهی نقاط پایانی (EDR) موجود خود را به XDR ارتقا میدهند. XDR این دید امنیتی گسترده را در سرتاسر چشمانداز فراهم میکند.
حملات دارای عامل انسانی ممکن است:
- بر اهداف مشخص تمرکز کنند
- از محافظتهای سازمانی خاص بگریزند
- از ابزارهای سفارشیشده استفاده کنند که مشخصاً برای آن هدف خاص طراحی شدهاند
- از ابزارهای مدیریتی قانونی برای اجتناب از شناسایی سوءاستفاده کنند
درک مسیر حملهی دارای عامل انسانی
مهاجمان انسانی میتوانند برای دستیابی به نتیجهای یکسان از تکنیکهای گوناگون بهره ببرند. این مسیرهای حمله میتوانند بدافزارها، سوءاستفاده از ابزارها یا امکانات مدیریتی قانونی، مهندسی اجتماعی، سوءاستفاده از نرمافزار، یا انواع تکنیکهای دیگر را دربرگیرند. نکتهی مهمی که باید به خاطر داشت این است که بسیاری از گامهای حملهی دارای عامل انسانی ممکن است شبیه به فعالیت های مدیریتی معمول به نظر برسند.
XDR تحلیلگر را قادر میسازد که از ضدبدافزارها و سایر تکنولوژیهایی که تنها به فعالیت مخرب واکنش نشان میدهند فراتر برود و بنابراین دیدی یکپارچه از هویتها، نقاط پایانی، ایمیل، و برنامههای کاربردی مبتنی بر Cloud و سایر منابع فراهم میکند که کمک میکند عناصر مشکوک منفردی را که ممکن است در حالات دیگر مورد غفلت واقع شوند، کنار هم قرار دهید.
نشانههای حملهی دارای عامل انسانی را شناسایی کنید
در حیات وحش، اگر صدای سقوط بهمن از ارتفاعات بالاتر بشنوید یا چشمان درخشان یک شکارچی چهارپا را در تاریکی ببینید، بدیهی است که امنیتتان در خطر است. با این حال، در ساعات یا روزهای پیش از حمله نشانههای هشدار وجود داشتهاند – مثلاً رد پا نزدیک یک چاله آب یا شکاف در برف. به همین صورت، شکارچیان تهدید موفق در جستجوی نشانههای تهدیدهای بالقوه در محیط خود گشت میزنند تا از آسیب جدی یا ماندگار به سازمان جلوگیری کنند.
درحالیکه اغلب بدافزارهای متداول را میتوان بهسادگی حذف کرد، حملات دارای عامل انسانی معمولاً نیازمند ترمیم هماهنگشده هستند. از آنجاکه این حملات توسط انسانها اجرا میشوند، مهاجمان میتوانند به اقدامات ناقص برای حذف حضورشان در سازمان پاسخ دهند. این پاسخها ممکن است شامل تغییر بدافزار یا راههای ارتباطی، غیرفعال شدن بهمنظور جلوگیری از شناسایی شدن، یا اثرگذاری فوری بر سازمان باشد.
معرفی مبانی شکار تهدید
بقا در هنگام حملات دارای عامل انسانی متکی بر توانایی شما در شناسایی نشانههای مهاجم و فعالیت او است. این نشانهها در تعیین گسترهی نقض امنیتی و فهرست مواردی که نیاز به ترمیم دارند مفید هستند. نشانههای هشدار هم چیزهایی که میتوانید ببینید و هم چیزهایی که نمیبینید را در برمیگیرند. برای مثال، اگر گوزنها هرروز از یک نهر آب مینوشند اما یک روز از آن دوری میکنند، میتواند به شما هشدار دهد که یک شکارچی در نزدیکی حضور دارد. در امنیت سایبری، ناهنجاریها میتوانند شامل چیزی در محیط باشند که ناگهان مفقود شده یا با چیزی که معمولاً میبینید متفاوت است.
درست همانطور که اولویتهای مرسوم و معمولی مانند سرپناه، آتش، آب و غذا برای بقا در حیات وحش وجود دارد، شکارچیان تهدید نیز میتوانند از مبانی شکار تهدید راهنمایی بگیرند.
احراز هویت (Authentication)
درپشتی (Backdoor
ارتباطات (Communication)
احراز هویت
احراز هویت نمایانگر جنبهی هویت رویداد است. هویتهایی که مهاجم به کار میبرد در یافتن سایر فعالیتهای مشکوک و ردیابی حسابهای کاربری که باید غیرفعال، حذف، یا بازنشانی شوند حائز اهمیت هستند. درک جنبهی احراز هویت حمله به شما این امکان را میدهد که فعالیت مشکوک را به سرعت شناسایی کرده و پیش از اینکه مهاجم فرصت ضربه زدن بیابد، به آن پاسخ دهید.
پرسشهایی که باید هنگام تحقیق در مورد جنبهی احراز هویت یک حمله بپرسید شامل موارد زیر است:
- مهاجم برای کسب دسترسی اولیه از چه هویتهایی استفاده کرد؟
- مهاجم پس از دسترسی اولیه از چه هویتهایی استفاده کرد؟
- کدام هویتها به خطر افتاده یا در دسترس مهاجم قرار گرفتهاند؟
- آیا حساب کاربری غیرمجازی توسط مهاجم ایجاد شده است؟
مثالهایی از عناصر احراز هویت
- حسابهای کاربری
- آدرس ایمیلها
- هویتهای Cloud
- SAS
- Tokens
- کوکیها
- اطلاعات اعتباری مشترک (SSH Keys)
- رمزعبورها
در پشتی (Backdoor)
درهای پشتی راههای عمدی یا مخربی هستند که مهاجم بهوسیلهی آنها یک سیستم یا سرویس را کنترل میکند و میتواند یک بدافزار یا قابلیتی مدیریتی باشد که سهواً در معرض خطر قرار گرفته است، یا سرویسهایی که آسیبپذیر هستند یا به درستی پیکربندی نشدهاند و مهاجم میتواند برای کنترل کردن سیستم از آنها سوءاستفاده کند. تحقیق در مورد جنبهی در پشتی یک حمله میتواند شواهدی از تکنیکهای مهاجم بهدست دهد و برنامههای کاربردی یا سیستمهای دیگری را که احتمالاً در معرض خطر قرار گرفتهاند برجسته سازد.
پرسشهایی که باید هنگام تحقیق در مورد جنبهی در پشتی یک حمله بپرسید شامل موارد زیر است:
- مهاجم چگونه کنترل دستگاه یا سرویس را به دست گرفت؟
- آیا یک آسیبپذیری وجود داشته که مهاجم برای کنترل دستگاه یا سرویس از آن سوءاستفاده کرده است؟
- آیا مهاجم بهدلیل یک قابلیت مدیریتی افشاشده کنترل را به دست آورده است؟
- مهاجم چه درهای پشتی نصب کرده تا دسترسی پایا فراهم شود؟
مثالهایی از عناصر در پشتی
- بدافزارهایی که دسترسی از راه دور فراهم میکنند
- ابزارهای مدیریتی از راه دور
- قابلیتهای مدیریتی Built-in
- Web Shells
- نادرست تصادفی یا عمدی برای ایجاد دسترسی از راه دور
ارتباطات
جنبهی ارتباطات حمله نمایندهی نحوهی برقراری ارتباط مهاجم با در پشتی است. میتوان از عناصر این ارتباط برای شناسایی سایر سیستمهایی که مهاجم احتمالاً با آنها ارتباط برقرار کرده استفاده کرد، همانطور که دنبال کردن ردپای گرگ میتواند نشان دهد او کجا رفته است.
پرسشهایی که باید هنگام تحقیق در مورد ارتباطات بپرسید شامل موارد زیر است:
- مهاجم طی دسترسی اولیه چگونه با سیستم در معرض خطر قرار گرفته ارتباط برقرار کرد؟
- مهاجم طی حمله با چه برنامههای کاربردی مجاز یا غیرمجازی ارتباط برقرار کرد؟
- آیا این ارتباط ویژگیهای بدیعی داشته که بتوان از آنها برای ردیابی فعالیتهای مخرب در سایر بخشهای سازمان استفاده کرد؟
مثالهایی از عناصر ارتباطات
- آدرس IP
- نام DNS
- رشتههای عامل کاربر
- Routeهای شبکه
- پراکسیها
- Relayهای شبکه
نشانههای یک حملهی دارای عامل انسانی
- سرقت و استفادهی مجدد از اطلاعات اعتباری
- شواهد خطای انسانی
- پاسخدهی به اقدامات بازیابی
- شواهد وجود انگیزه
- شناسایی سازمانی
- وجود بدافزاری که برای کنترل تعاملی طراحی شده
سخن پایانی
شکار تهدید پیشگیرانه با آشکار کردن تهدیدهایی که پیشتر شناخته شده نبودند یا خلأهای کنترلهای امنیتی، به تقویت و توسعهی دفاع کمک میکند. فرضیههای مبتنی بر اطلاعات برای هدایت اقدامات جستجو بر درکی از چشمانداز تهدید سایبری، رفتارهای معمول مهاجم، وضعیت امنیتی سازمان، فرآیندهای کسب و کار و سطح حمله متکی هستند. جستجوگران تهدید باید هشیار بوده و از تغییرات در تصمیمات سازمانی یا گزارشهای رهبران ارشد – مانند اعلام پیوند یا مالکیت احتمالی، توسعه به مناطق جغرافیایی مختلف، یا سایر اعلانهای عمومی – و انگیزهها و هدفگیری عاملان تهدید سایبری آگاه باشند.