هر تحقیق باید با پرسشهایی پردازش شود. برخی پرسشها همواره کاربردی هستند، درحالی که برخی دیگر باید بر اساس دستهبندی رخدادها یا جزئیات دیگر مطرح شوند. پرسشها را در یاداشتهای تحقیق بنویسید. این کار به متمرکز ساختن اقدامات تحلیلی و بازآرایی تحقیق پس از دنبال کردن سرنخها کمک میکند.
پرسشهای استاندارد
- نقطهی نفوذ کجا بود؟
- آیا کد مخرب اجرا شده است؟
- آیا مقاومت ایجاد شده است؟
- آیا اطلاعات اعتباری به خطر افتادهاند؟
پرسشهای نمونهی مخصوص به تحقیق
- کدام سیستمها در این شبکه یا به واسطهی یک میزبان به خطر افتادهی بهخصوص در دسترس قرار دارند؟
- منبع به خطر افتاده با چه آدرس IPهای خارجیای ارتباط برقرار کرده بود؟
- سلسله مراتب فرآیند منشاءِ این فرآیند مخرب چیست؟
- کدام امور زمانبندی شده در این محیط عادی هستند و کدام یک از این امور جزو مبنا نیستند؟
در مورد مقصود مهاجم فرضیهپردازی کنید
براساس آموزش و تجربیات خود، مقصود مهاجم را پیشبینی کنید. از پیشبینی خود برای ساختار دادن به اقدامات مهاجم استفاده کنید. مهاجمی که به دنبال تعیین جهت دادههای پرداختی مشتریان باشد ممکن است JavaScript مخرب در وبسایت کار گذارد اما هرگز تلاشی برای تهدید سیستمهای پسین نکند. به عکس، مهاجمی که به دنبال اجرای باجافزار باشد احتمالاً اطلاعات اعتباری مدیریتی را در چندین سیستم میجوید تا کد خود را در وسعت زیاد پیاده کند.
بعد از جمعآوری شواهد جدید، مقصود فرضشده را مجدداً ارزیابی کنید. مدام از خود بپرسید:
- آیا شواهد این نظریه را تأیید میکنند؟
- چه شواهدی این نظریه را ابطال میکند؟ اگر چنین شواهدی وجود دارد درکجا یافت میشود؟
- شواهد چه نظریههای متناقضی را تأیید میکنند؟
- چه شرح غیرخرابکارانهای به رفتاری مشابه منجر میشود؟
شناسایی شواهد
از تجزیه و تحلیل و جرمشناسی برای شناسایی رخداد موردنظر در شبکه و سیستمهای تحتتاثیر قرارگرفته استفاده کنید. تغییرات، رفتارها و مشاهدات باید با تفسیر همراه شوند. بهعبارت دیگر، گزارش باید شامل توصیفی از یافتهها به همراه توصیف آنچه نمایان میکنند باشد.
مثال: ۱۸:۰۰:۲۳ ۲۰۲۱-۳-۲۲
یافته: بدافزار «مثال» با ایجاد تغییر در HKEY_CURRENT_USER\ Software\Microsoft\Windows\ CurrentVersion\Run یک ورودی اضافه کرد که به بدافزار رجوع میکند.
تفسیر: این کار با اجرای خودکار برنامهی فهرستشده در پی Restart، راهی برای دسترسی بدون اجازه به قسمتهای مختلف سیستم ایجاد میکند.
یک شرح تدوین کنید
بعد از اینکه رخدادهای مدنظر شناسایی شده و به مهاجم نسبت داده شدند، اطلاعات را در خط زمانی منسجمی ضبط کنید. در نهایت، هدف گزارش رخداد این است که نشان دهد مهاجم چه هدفی داشته و چه چیزی به دست آورده است. گزارش باید از ابتدا تا انتها بر اساس خط زمانی مهاجم باشد نه خط زمانی تحلیلگر. گزارش را نه از هشدار، بلکه از اولین شواهد رؤیتشده از فعالیت مهاجم شروع کنید.
از چرخهی عمر حمله یا روش Kill chain دیگری برای سازماندهی شواهد در قالب زنجیرهای که مقصود کلی مهاجم یا اهداف خرد او را توضیح دهد، استفاده کنید.
مدام بپرسید:
- آیا این شرح منطقی است؟
- چرا مهاجم باید چنین کاری کند؟
- کدام سنسورها و Logها مرتبط هستند؟
تکرار
این فرآیند را تا جایی که نتایج خروجی نزولی شود، تکرار کنید.
رویهی باجافزار SOC
اگر کنترلها و سایر اقدامات نتوانند جلوی حملهی باجافزاری را بگیرند، SOC با فرآیند سطح بالای زیر از پاسخدهی متناسب اطمینان حاصل میکند:
شناسایی خانواده/نوع باجافزار
به منظور مبارزهی بهینه با حملهی باجافزاری در یک محیط، SOC خانواده و نوع باجافزاری که با آن مواجه است را تشخیص میدهد. SOC از تمامی اطلاعات و ابزاری که در دسترس دارد به بهترین نحو بهره میبرد. چنین اطلاعاتی میتواند شامل موارد زیر باشد:
- شاخصهای مبتنی بر Host (HBIs)
- شاخصهای مبتنی بر شبکه (NBIs)
- هوش تهدید
این اطلاعات را میتوان از چندین منبع، از هوش تهدید تا کنترلهای امنیتی، به دست آورد.
سیستمهای تأثیرپذیرفته را ایزوله/محدود کنید
محدودسازی به اولویت اول تبدیل میشود چراکه باجافزار میتواند به سرعت در محیط پخش شود. برای تقویت احتمال محدودسازی موفقیتآمیز، اقدامات زیر باید انجام شوند:
- بخشبندی از طریق مسدودسازی پورتها و پروتکلهایی که معمولاً برای انتشار باجافزارها به کار میروند اولین گام حیاتی است. مسدودسازی باید دست کم تا جای ممکن در موارد زیر اعمال شود:
- انسداد پیام سرور (SMB) – TCP/445، TCP/135
- پروتکل دسکتاپ Remote (RDP) – TCP/3389
- ابزار مدیریتی ویندوز (WMI) و Remote Power Shell – TCP/80، TCP/5985، TCP/5986
- اتصال ورودی به اندپوینتها را با استفاده از فناوری فایروالهای مبتنی بر Host (برای مثال فایروال ویندوز از طریق Group Policy) محدود کنید.
- هرکجا امکان دارد، از بخشبندی شبکه برای اجرای ایزولهسازی معقول اندپوینتها استفاده کنید. مثالهای این کار میتواند شامل این موارد باشد: اِعمال ACLها بر رابطهای فیزیکی و مجازی، فایروالهای پیکربندی شده با ACLهای Stateful، یا اِعمال تغییرات پیکربندی Routing که ترافیک Route را در صورت وجود پارامترهای از پیش تعیین شده بیاثر میکند.
حرکت جانبی/ انتشار را تعدیل کنید
در کنار محدود و ایزولهسازی، وظیفهی بعدی SOC تعدیل کردن تکنیکهای حرکت جانبی رایجی است که حملات باجافزاری بر آنها تکیه دارند
- از UAC Token Filtering یا lor SID S-1-5-114 NT Authority/ Local Account استفاده کنید و سیاستهای کامپیوتری مناسب را برای واگذاری حقوق کاربری از طریق GPO تنظیم کنید.
- بهسرعت راهبردی برای تصادفیکردن رمز عبورها روی حساب کاربری Built-in مدیر Local تعریف کنید. مثالی از این اقدام، به کار بستن Microsoft LAPS (Microsoft Local Administrator Password Solution) است.
- دسترسی را به حسابهای دارای امتیازی که ممکن است برای انتشار یا حرکت جانبی به کار روند، محدود کنید. به علاوه، میتوان اقداماتی نیز جهت محدود کردن دسترسی به اطلاعات اعتباری یا Tokenها در حافظه انجام داد تا میزان در معرض خطر قرار گرفتن اطلاعات اعتباری که ممکن است برای حرکت به کار روند، به حداقل برسد.
- اشتراکهای مدیریتی یا مخفی را غیرفعال کنید تا از اتصال باجافزار به اندپوینتهای بیشتر جلوگیری شود. مثالهایی از این اشتراکها میتواند ADMIN$، IPC$، و C$ را دربرگیرد.
نسخههای پشتیبان را محفوظ و ایمن کنید
با اینکه نسخههای پشتیبان میتوانند نقشی حیاتی در ترمیم حملههای باجافزاری ایفا کنند، بدون شک نسبت به آنها مصون نیستند. عاملان تهدید و باجافزارهای معمول مدرن با اقدام به رمزگذاری، حذف، یا متوقف کردن خدمات مربوط به نسخههای پشتیبان قادر به هدف قرار دادن نسخههای پشتیبان و محیط پشتیبانگیری هستند.
همچنین باید اطمینان حاصل کرد که از خدمات کلیدی سازمان و شبکه نیز، که پیشتر به دلیل زمان لازم برای بازسازی یا بالا بودن افزونگی آنها تصور میشد نیازی به پشتیبانگیری ندارند، نسخه پشتیبان تهیه شود. مثالی از این کار Active Directory است. برخی سازمانها همسانسازی/افزونگی اساسی تعبیهشده در راهکارها را دلیلی برای عدمنیاز به یک راهبرد پشتیبانگیری تکاملیافته یا واقعی میدانند. اما اگر این موارد عامدانه از دسترس خارج شوند، بازیابی از نسخهی پشتیبان میتواند تنها گزینهی بازیابی خوشایند باشد.
باید دقت کرد که تا زمانی که تهدید باجافزار از بین برود محیط نسخهی پشتیبان نسبت به دسترسی اندپوینتها ایزوله شده و نسخههای پشتیبان خوب/بینقص ایمنسازی شوند. نقطهی شروع این کار قانون ۱-۲-۳ پشتیبانگیری است. این قانون نیازمند سه نسخه از دادهها، در دو نوع بستر متفاوت، و یک نسخهی خارج از محل است که به یکی از نسخهها توجه بسیاری میکند، بهخصوص در مورد سرمایههای حیاتی که منبعی تغییرناپذیر هستند. به علاوه، ضروری است که نسخههای پشتیبان مرتباً و با مجموعه محتوا/دادههای متفاوت آزموده شوند.
فعالیتها و سرویسهای نگهداری را غیرفعال/متوقف کنید
پس از اینکه SOC خانوادهی باجافزار را تعیین و با Client جهت محدود ساختن باجافزار همکاری کرد، فهرستی از فعالیتها یا سرویسهایی که باید به منظور جلوگیری از مداخلهی بیشتر باجافزار موقتاً متوقف یا غیرفعال شوند، تهیه میکند.
مثالهای این اقدام شامل موارد زیر است:
- سرویس پشتیبانگیری
- فعالیتهای برنامهریزیشده
- پلتفرمهای بهکارگیری نرمافزار (SCCM, Ghost)
- اسکریپتهای مدیریتی یا فایلهای دستهای
تذکر: گامهای ذکرشده تنها یک راهنما هستند نه فرآیندی جامع و عمومی.