مزایای شکار تهدید پیشگیرانه (Proactive)

شکار تهدید پیشگیرانه یا Proactive، به‌جای رویکرد مرسوم که منتظر شناسایی تهدیدهای بالقوه توسط ابزارهای کشف نقطه پایانی می‌ماند، پیشفرض را وجود نقض امنیتی درنظر می‌گیرد. با اینکه رویکرد مرسوم در مورد حملات خودکار و شناخته‌شده جواب می‌دهد، حملات امروزیِ دارای عامل انسانی پیچیده‌تر هستند. شکار تهدید پیشگیرانه به پرده‌برداری از تهدیدهای امنیتی مخفی‌شده در محیط و پیدا کردن آسیب‌پذیری‌ها کمک می‌کند. مانند متخصصان بقا در حیات وحش که برای بقا در محیط‌های ناملایم تمرین می‌کنند، شکارچیان تهدید مدرن از دانش و منابع خود بهره می‌برند تا در اندیشه‌ی خود از مهاجمان پیشی بگیرند.

پیشگیری از تهدیدات

شکار تهدید پیشگیرانه به تیم شما کمک می‌کند محیط را بهتر بشناسند و شناسایی موارد غیرعادی را آسان‌تر می‌سازد. این امر شما را قادر به شناسایی فرصت‌های استانداردسازی کرده و بدین ترتیب شناسایی فعالیت مشکوک در آینده را تسهیل می‌کند.

کسب قابلیت دید

شکارچیان تهدید از داشتن «مزیت زمین خودی» بهره می‌برند. زمانی که دید شکارچیان متخصص در چشم‌انداز تهدید این مزیت را تکمیل کند، آن را چندبرابر مفیدتر می‌کند. دانش شما از سازمان خود در کنار دانش چشم‌انداز تهدید به شناسایی سریع‌تر فعالیت‌های مشکوک کمک می‌کند.

استانداردسازی

امنیت سایبری مدرن ذاتاً پیچیده بوده و نیازمند داده‌هایی از منابع گوناگون است و در نبود انسجام همه‌چیز شبیه به ناهنجاری به‌نظر می‌رسد. استانداردسازی سازمان فعالیت‌های مشکوک را واضح‌تر می‌سازد و احتمال شناسایی فعالیت‌های مشکوک در مراحل ابتدایی حمله را افزایش می‌دهد.

کمبود فعلی نیروی کار امنیتی منجر به شکل‌گیری یک ریسک امنیتی ملی شده است. تا زمانی که سِمت‌های شغلی بیشتری اشغال شوند، افراد حرفه‌ای حوزه‌ی امنیت سایبری متحمل مسئولیتی طاقت‌فرسا می‌شوند. این راهنمای شکار تهدید برای کمک به این مدافعان تدوین شده است. در این راهنما به چگونگی تشخیص اینکه حمله‌ای دارای عامل انسانی رخ داده است می‌پردازیم و استراتژی‌هایی برای شکار تهدید پیشگیرانه و بررسی حمله‌های دارای عامل انسانی به اشتراک خواهیم گذاشت. با راهنمایی این استراتژی‌های بقا، خواهید توانست تهدیدهای بالقوه‌ای که در مقابلتان قرار می‌گیرند را ارزیابی کرده و به‌سرعت نشانه‌های حمله‌ی دارای عامل انسانی را شناسایی کنید.

شناسایی حملات بر اساس ارقام

• ۸۳ میلیون حمله‌ی مبتنی بر هویت طی یک ماه
• ۴۵ درصد از CISOها افزایش کمپین‌های فیشینگ و جعل هویت گزارش کرده‌اند
• ۹ میلیارد ورود به سیستم توسط مهاجمان تنها طی یک ماه

چرا شکار تهدیدات باید فراتر از نقاط پایانی گسترش یابد؟

بقا در حیات وحش مستلزم درک خطراتی همچون آب و هوا، ناهمواری‌های زمین، جانوران شکارچی و الگوهای فعالیت، شیوه‌های حمله و نقاط ضعف آن‌ها است. شکارچیان تهدید نیز همواره نسبت به تهدیدها هوشیار بوده و متوجه هستند که حمله می‌تواند در هر جایی و هر زمانی رخ دهد و از این رو باید این تهدیدات را درک کنند و به اندازه‌ای سریع باشند که بتوانند در زمان نیاز خود را انطباق دهند.

انسان‌ها ستون اصلی شکار تهدید را تشکیل می‌دهند. مایه‌ی تعجب نیست که سهمگین‌ترین تهدیدات نیز اغلب توسط انسان‌ها اجرا می‌شوند. درک کردن این مهاجمان به‌معنی دستیابی به دانشی عمیق از تاکتیک‌ها، تکنیک‌ها و رویه‌هایی (TTPs) است که برای دسترسی به محیط سازمان به کار می‌برند.

گسترش دادن قابلیت دید امنیتی

امنیت نقاط پایانی اهمیت دارد و همواره اهمیت خواهد داشت. در واقع، ظهور حملات دارای عامل انسانی باعث می‌شود تقویت امنیت نقاط پایانی مهم‌تر شود. بدافزارها به صدمه زدن به اعتبار و سود و زیان کسب و کارهای کوچک و بزرگ ادامه می‌دهند. فراتر رفتن از نقاط پایانی تحولی است که می‌تواند سود بسیاری به کسب و کارها برساند. یکی از استراتژی‌هایی که شکارچیان تهدید می‌توانند به کار ببرند استفاده از شناسایی و پاسخ‌دهی توسعه‌یافته (XDR) است.

XDR چیست؟

شناسایی و پاسخ‌دهی توسعه‌یافته، یا به اختصار XDR، مجموعه‌ای کاملاً یکپارچه از ابزارهای امنیتی است که با ادغام محصولات و داده‌های امنیتی در قالب راهکارهای ساده‌شده، امنیت جامع و بهینه ارائه می‌کند. XDR پیشگیری، شناسایی، بررسی و پاسخ‌دهی را ترکیب می‌کند تا قابلیت‌دید، تجزیه و تحلیل، هشدارهای رویداد همبسته و پاسخ‌های خودکار فراهم کند و با بهبود امنیت داده، با تهدیدها مبارزه کند.

سرمایه‌های امنیت سایبری یک سازمان مدرن انواع شبکه‌های شخص اول و شخص ثالث، برنامه‌های کاربردی، پایگاه‌داده‌های مبتنی بر Cloud، دستگاه‌های موبایل و هویت را دربرمی‌گیرد. محیط دیجیتال به شکل امروزی چشم‌اندازی پویا و همواره در حال تکامل است.

Zero Trust چیست؟

گذشته از XDR، یکی از بهترین راه‌های فراتر رفتن از نقاط پایانی، پایبندی به اصل Zero Trust است. مبانی اصلی فلسفه‌ی Zero Trust شامل احراز هویت و صدور مجوز دسترسی در هر مرتبه، محدود کردن دسترسی کاربران صرفاً به چیزهایی که برای انجام کارشان به آن نیاز دارند و فرض را بر نقض امنیتی گذاشتن با اِعمال صحت‌سنجی و تجزیه و تحلیل رمزگذاری End-to-end در اقدامات شناسایی تهدید است.

رویکرد Zero Trust باید در سرتاسر نهاد دیجیتال توسعه یابد و به‌عنوان یک فلسفه‌ی امنیتی یکپارچه و استراتژی End-to-end عمل کند. این کار با اِعمال کنترل‌ها و تکنولوژی‌های Zero Trust در شش عنصر بنیادین انجام می‌شود: هویت، نقاط پایانی، داده، برنامه‌های کاربردی، زیرساخت‌ها و شبکه. هر یک از این موارد منبع سیگنال، یک Control plane برای اجرا و اندوخته‌ای حیاتی هستند که باید از آن‌ها دفاع شود.

مهم‌ترین موارد کاربرد XDR

• شناسایی آسیب‌پذیری‌های دستگاه نقطه پایانی
• شکار تهدیدها درسرتاسر دامین‌ها
• بررسی رویدادهای امنیتی بار کاری متقاطع
• حصول اطمینان از وضع امنیتی در تمامی دارایی دیجیتال
• پیشگیری از حملات آینده
• اولویت‌بندی و همبسته کردن هشدارها

بدافزارهای متداول در مقابل حملات دارای عامل انسانی

متخصصان بقا در حیات وحش به مخفی شدن در پناهگاه قناعت نمی‌کنند. در عوض توشه به پشت می‌بندند، بند کفش‌های کوهنوری را گره زده و در دشت کاوش می‌کنند. گذشته از کسب اطلاعات نجات‌بخش در مورد شکارچیان منطقه، با آب‌راه‌ها، بافت گیاهی و سایر خصوصیات منحصربه‌فرد منطقه آشنا می‌شوند که به موفقیتشان کمک می‌کند.

شکارچیان تهدید باید چشم‌انداز دیجیتال را بپیمایند و دریابند که حملات ممکن است در کجا رخ دهند. دو نوع اصلی از حملاتی که شکارچیان تهدید باید نسبت به آن‌ها هوشیار باشند، بدافزارهای متداول و حملات دارای عامل انسانی هستند.

حملات بدافزاری متداول

حملات بدافزاری متداول خطراتی هستند که کاربران، هر روزه با کلیک کردن روی لینک‌های اشتباه یا نصب برنامه‌های اشتباه با آن‌ها مواجه می‌شوند. در این موقعیت‌ها، بخش عمده‌ی منطق حمله در خود بدافزار یافت می‌شود، بنابراین پاک‌سازی معمولاً به‌سادگی با حذف بدافزار، بازسازی دستگاه، یا احتمالاً بازنشانی اطلاعات اعتباری کاربر انجام می‌شود.

حملات بدافزار متداول احتمال دارد مخاطبان بسیاری را هدف قرار دهند و بر آلوده کردن تعداد هرچه بیشتر سیستم‌ها تمرکز کنند. به این منظور، بدافزارهای متداول ممکن است:

• از تکنیک‌های حمله‌ی خودکار بهره ببرند
• بر آلوده کردن تعداد بالایی از نقاط پایانی تمرکز داشته باشند
• با استفاده از تکنیک‌هایی که احتمال می‌رود برای تعداد زیادی از اهداف بالقوه جذابیت داشته باشند انتشار پیدا کنند

حملات دارای عامل انسانی

حملات دارای عامل انسانی نسبت به حملات بدافزار متداول تلاش بسیار بیشتری صرف تهدید یک هدف مشخص می‌کنند. زمانی که مهاجمان در سیستم جایگاهی مطمئن پیدا کنند، بسته به آنچه در شبکه‌ی هدف می‌یابند، از تجربه و انگیزه‌ی حمله‌ی خود برای تصمیم‌گیری در مورد اینکه در هر مرحله چه کنند استفاده می‌کنند. از آنجاکه انسان‌ها پشت این حملات هستند، تأثیر آن‌ها – و تنوع تکنیک‌های استفاده شده – بسیار متنوع است.

شکارچیان تهدید باید برای تعیین سیستم‌ها و هویت‌هایی که نیاز به ترمیم دارند تحقیق کنند. رسیدگی به چنین تهدیدهایی ممکن است مانند شطرنج به نظر برسد، چراکه مهاجمان به هر اقدام ترمیمی که کاملاً آن‌ها را از سازمان بیرون نکند پاسخ می‌دهند. خاتمه دادن به حمله‌های دارای عامل انسانی به‌معنی حذف هرنوع هویت یا دستگاه تحت کنترل آن‌ها بوده و نیازمند هوشیاری کارمندان امنیتی آموزش‌دیده همراه با محصولات امنیتی اثرگذار و پیکربندی سازمانی مدرن است. این حملات دارای عامل انسانی یکی از دلایل مهمی هستند که شرکت‌ها راهکارهای شناسایی و پاسخ‌دهی نقاط پایانی (EDR) موجود خود را به XDR ارتقا می‌دهند. XDR این دید امنیتی گسترده را در سرتاسر چشم‌انداز فراهم می‌کند.

حملات دارای عامل انسانی ممکن است:

• بر اهداف مشخص تمرکز کنند
• از محافظت‌های سازمانی خاص بگریزند
• از ابزارهای سفارشی‌شده استفاده کنند که مشخصاً برای آن هدف خاص طراحی شده‌اند
• از ابزارهای مدیریتی قانونی برای اجتناب از شناسایی سوءاستفاده کنند

درک مسیر حمله‌ی دارای عامل انسانی

مهاجمان انسانی می‌توانند برای دستیابی به نتیجه‌ای یکسان از تکنیک‌های گوناگون بهره ببرند. این مسیرهای حمله می‌توانند بدافزارها، سوءاستفاده از ابزارها یا امکانات مدیریتی قانونی، مهندسی اجتماعی، سوءاستفاده از نرم‌افزار، یا انواع تکنیک‌های دیگر را دربرگیرند. نکته‌ی مهمی که باید به خاطر داشت این است که بسیاری از گام‌های حمله‌ی دارای عامل انسانی ممکن است شبیه به فعالیت های مدیریتی معمول به نظر برسند.

XDR تحلیلگر را قادر می‌سازد که از ضدبدافزارها و سایر تکنولوژی‌هایی که تنها به فعالیت مخرب واکنش نشان می‌دهند فراتر برود و بنابراین دیدی یکپارچه از هویت‌ها، نقاط پایانی، ایمیل، و برنامه‌های کاربردی مبتنی بر Cloud و سایر منابع فراهم می‌کند که کمک می‌کند عناصر مشکوک منفردی را که ممکن است در حالات دیگر مورد غفلت واقع شوند، کنار هم قرار دهید.

نشانه‌های حمله‌ی دارای عامل انسانی را شناسایی کنید

در حیات وحش، اگر صدای سقوط بهمن از ارتفاعات بالاتر بشنوید یا چشمان درخشان یک شکارچی چهارپا را در تاریکی ببینید، بدیهی است که امنیت‌تان در خطر است. با این حال، در ساعات یا روزهای پیش از حمله نشانه‌های هشدار وجود داشته‌اند – مثلاً رد پا نزدیک یک چاله آب یا شکاف در برف. به همین صورت، شکارچیان تهدید موفق در جستجوی نشانه‌های تهدیدهای بالقوه در محیط خود گشت می‌زنند تا از آسیب جدی یا ماندگار به سازمان جلوگیری کنند.

درحالی‌که اغلب بدافزارهای متداول را می‌توان به‌سادگی حذف کرد، حملات دارای عامل انسانی معمولاً نیازمند ترمیم هماهنگ‌شده هستند. از آنجاکه این حملات توسط انسان‌ها اجرا می‌شوند، مهاجمان می‌توانند به اقدامات ناقص برای حذف حضورشان در سازمان پاسخ دهند. این پاسخ‌ها ممکن است شامل تغییر بدافزار یا راه‌های ارتباطی، غیرفعال شدن به‌منظور جلوگیری از شناسایی شدن، یا اثرگذاری فوری بر سازمان باشد.

معرفی مبانی شکار تهدید

بقا در هنگام حملات دارای عامل انسانی متکی بر توانایی شما در شناسایی نشانه‌های مهاجم و فعالیت او است. این نشانه‌ها در تعیین گستره‌ی نقض امنیتی و فهرست مواردی که نیاز به ترمیم دارند مفید هستند. نشانه‌های هشدار هم چیزهایی که می‌توانید ببینید و هم چیزهایی که نمی‌بینید را در برمی‌گیرند. برای مثال، اگر گوزن‌ها هرروز از یک نهر آب می‌نوشند اما یک روز از آن دوری می‌کنند، می‌تواند به شما هشدار دهد که یک شکارچی در نزدیکی حضور دارد. در امنیت سایبری، ناهنجاری‌ها می‌توانند شامل چیزی در محیط باشند که ناگهان مفقود شده یا با چیزی که معمولاً می‌بینید متفاوت است.

درست همانطور که اولویت‌های مرسوم و معمولی مانند سرپناه، آتش، آب و غذا برای بقا در حیات وحش وجود دارد، شکارچیان تهدید نیز می‌توانند از مبانی شکار تهدید راهنمایی بگیرند.

احراز هویت (Authentication)

درپشتی (Backdoor

ارتباطات (Communication)

احراز هویت

احراز هویت نمایانگر جنبه‌ی هویت رویداد است. هویت‌هایی که مهاجم به کار می‌برد در یافتن سایر فعالیت‌های مشکوک و ردیابی حساب‌های کاربری که باید غیرفعال، حذف، یا بازنشانی شوند حائز اهمیت هستند. درک جنبه‌ی احراز هویت حمله به شما این امکان را می‌دهد که فعالیت مشکوک را به سرعت شناسایی کرده و پیش از اینکه مهاجم فرصت ضربه زدن بیابد، به آن پاسخ دهید.

پرسش‌هایی که باید هنگام تحقیق در مورد جنبه‌ی احراز هویت یک حمله بپرسید شامل موارد زیر است:

• مهاجم برای کسب دسترسی اولیه از چه هویت‌هایی استفاده کرد؟
• مهاجم پس از دسترسی اولیه از چه هویت‌هایی استفاده کرد؟
• کدام هویت‌ها به خطر افتاده یا در دسترس مهاجم قرار گرفته‌اند؟
• آیا حساب کاربری غیرمجازی توسط مهاجم ایجاد شده است؟

مثال‌هایی از عناصر احراز هویت

• حساب‌های کاربری
•  آدرس ایمیل‌ها
• هویت‌های Cloud
• SAS
• Tokens
• کوکی‌ها
• اطلاعات اعتباری مشترک (SSH Keys)
•  رمزعبورها

در پشتی (Backdoor)

درهای پشتی راه‌های عمدی یا مخربی هستند که مهاجم به‌وسیله‌ی آن‌ها یک سیستم یا سرویس را کنترل می‌کند و می‌تواند یک بدافزار یا قابلیتی مدیریتی باشد که سهواً در معرض خطر قرار گرفته‌ است، یا سرویس‌هایی که آسیب‌پذیر هستند یا به درستی پیکربندی نشده‌اند و مهاجم می‌تواند برای کنترل کردن سیستم از آن‌ها سوءاستفاده کند. تحقیق در مورد جنبه‌ی در پشتی یک حمله می‌تواند شواهدی از تکنیک‌های مهاجم به‌دست دهد و برنامه‌های کاربردی یا سیستم‌های دیگری را که احتمالاً در معرض خطر قرار گرفته‌اند برجسته سازد.

پرسش‌هایی که باید هنگام تحقیق در مورد جنبه‌ی در پشتی یک حمله بپرسید شامل موارد زیر است:

• مهاجم چگونه کنترل دستگاه یا سرویس را به دست گرفت؟
• آیا یک آسیب‌پذیری وجود داشته که مهاجم برای کنترل دستگاه یا سرویس از آن سوءاستفاده کرده است؟
• آیا مهاجم به‌دلیل یک قابلیت مدیریتی افشاشده کنترل را به دست آورده است؟
• مهاجم چه درهای پشتی نصب کرده تا دسترسی پایا فراهم شود؟

مثال‌هایی از عناصر در پشتی

• بدافزارهایی که دسترسی از راه دور فراهم می‌کنند
• ابزارهای مدیریتی از راه دور
• قابلیت‌های مدیریتی Built-in
• Web Shells
•  نادرست تصادفی یا عمدی برای ایجاد دسترسی از راه دور

ارتباطات

جنبه‌ی ارتباطات حمله نماینده‌ی نحوه‌ی برقراری ارتباط مهاجم با در پشتی است. می‌توان از عناصر این ارتباط برای شناسایی سایر سیستم‌هایی که مهاجم احتمالاً با آن‌ها ارتباط برقرار کرده استفاده کرد، همانطور که دنبال کردن ردپای گرگ می‌تواند نشان دهد او کجا رفته است.

پرسش‌هایی که باید هنگام تحقیق در مورد ارتباطات بپرسید شامل موارد زیر است:

• مهاجم طی دسترسی اولیه چگونه با سیستم در معرض خطر قرار گرفته ارتباط برقرار کرد؟
• مهاجم طی حمله با چه برنامه‌های کاربردی مجاز یا غیرمجازی ارتباط برقرار کرد؟
• آیا این ارتباط ویژگی‌های بدیعی داشته که بتوان از آن‌ها برای ردیابی فعالیت‌های مخرب در سایر بخش‌های سازمان استفاده کرد؟

مثال‌هایی از عناصر ارتباطات

• آدرس IP
• نام DNS
• رشته‌های عامل کاربر
• Routeهای شبکه
• پراکسی‌ها
• Relayهای شبکه

نشانه‌های یک حمله‌ی دارای عامل انسانی

• سرقت و استفاده‌ی مجدد از اطلاعات اعتباری
•  شواهد خطای انسانی
• پاسخ‌دهی به اقدامات بازیابی
• شواهد وجود انگیزه
• شناسایی سازمانی
• وجود بدافزاری که برای کنترل تعاملی طراحی شده

سخن پایانی

شکار تهدید پیشگیرانه با آشکار کردن تهدیدهایی که پیش‌تر شناخته شده نبودند یا خلأهای کنترل‌های امنیتی، به تقویت و توسعه‌ی دفاع کمک می‌کند. فرضیه‌های مبتنی بر اطلاعات برای هدایت اقدامات جستجو بر درکی از چشم‌انداز تهدید سایبری، رفتارهای معمول مهاجم، وضعیت امنیتی سازمان، فرآیندهای کسب و کار و سطح حمله متکی هستند. جستجوگران تهدید باید هشیار بوده و از تغییرات در تصمیمات سازمانی یا گزارش‌های رهبران ارشد – مانند اعلام پیوند یا مالکیت احتمالی، توسعه به مناطق جغرافیایی مختلف، یا سایر اعلان‌های عمومی – و انگیزه‌ها و هدف‌گیری عاملان تهدید سایبری آگاه باشند.