نظریه‌ی مبتنی بر تحقیق در دفاع سایبری

هر تحقیق باید با پرسش‌هایی پردازش شود. برخی پرسش‌ها همواره کاربردی هستند، درحالی که برخی دیگر باید بر اساس دسته‌بندی رخدادها یا جزئیات دیگر مطرح شوند. پرسش‌ها را در یاداشت‌های تحقیق بنویسید. این کار به متمرکز ساختن اقدامات تحلیلی و بازآرایی تحقیق پس از دنبال کردن سرنخ‌ها کمک می‌کند.

پرسش‌های استاندارد

• نقطه‌ی نفوذ کجا بود؟
• آیا کد مخرب اجرا شده است؟
• آیا مقاومت ایجاد شده است؟
• آیا اطلاعات اعتباری به خطر افتاده‌اند؟

پرسش‌های نمونه‌ی مخصوص به تحقیق

• کدام سیستم‌ها در این شبکه یا به واسطه‌ی یک میزبان به خطر افتاده‌ی به‌خصوص در دسترس قرار دارند؟
• منبع به خطر افتاده با چه آدرس IPهای خارجی‌ای ارتباط برقرار کرده بود؟
• سلسله مراتب فرآیند منشاءِ این فرآیند مخرب چیست؟
• کدام امور زمانبندی شده در این محیط عادی هستند و کدام یک از این امور جزو مبنا نیستند؟

در مورد مقصود مهاجم فرضیه‌پردازی کنید

براساس آموزش و تجربیات خود، مقصود مهاجم را پیش‌بینی کنید. از پیش‌بینی خود برای ساختار دادن به اقدامات مهاجم استفاده کنید. مهاجمی که به دنبال تعیین جهت داده‌های پرداختی مشتریان باشد ممکن است JavaScript مخرب در وبسایت کار گذارد اما هرگز تلاشی برای تهدید سیستم‌های پسین نکند. به عکس، مهاجمی که به دنبال اجرای باج‌افزار باشد احتمالاً اطلاعات اعتباری مدیریتی را در چندین سیستم می‌جوید تا کد خود را در وسعت زیاد پیاده کند.

بعد از جمع‌آوری شواهد جدید، مقصود فرض‌شده را مجدداً ارزیابی کنید. مدام از خود بپرسید:

• آیا شواهد این نظریه را تأیید می‌کنند؟
• چه شواهدی این نظریه را ابطال می‌کند؟ اگر چنین شواهدی وجود دارد درکجا یافت می‌شود؟
• شواهد چه نظریه‌های متناقضی را تأیید می‌کنند؟
• چه شرح غیرخرابکارانه‌ای به رفتاری مشابه منجر می‌شود؟

شناسایی شواهد

از تجزیه و تحلیل و جرم‌شناسی برای شناسایی رخداد موردنظر در شبکه و سیستم‌های تحت‌تاثیر قرارگرفته استفاده کنید. تغییرات، رفتارها و مشاهدات باید با تفسیر همراه شوند. به‌عبارت دیگر، گزارش باید شامل توصیفی از یافته‌ها به همراه توصیف آنچه نمایان می‌کنند باشد.

مثال: ۱۸:۰۰:۲۳ ۲۰۲۱-۳-۲۲

یافته: بدافزار «مثال» با ایجاد تغییر در HKEY_CURRENT_USER\ Software\Microsoft\Windows\ CurrentVersion\Run یک ورودی اضافه کرد که به بدافزار رجوع می‌کند.

تفسیر: این کار با اجرای خودکار برنامه‌ی فهرست‌شده در پی Restart، راهی برای دسترسی بدون اجازه به قسمت‌های مختلف سیستم ایجاد می‌کند.

یک شرح تدوین کنید

بعد از اینکه رخدادهای مدنظر شناسایی شده و به مهاجم نسبت داده شدند، اطلاعات را در خط زمانی منسجمی ضبط کنید. در نهایت، هدف گزارش رخداد این است که نشان دهد مهاجم چه هدفی داشته و چه چیزی به دست آورده است. گزارش باید از ابتدا تا انتها بر اساس خط زمانی مهاجم باشد نه خط زمانی تحلیل‌گر. گزارش را نه از هشدار، بلکه از اولین شواهد رؤیت‌شده از فعالیت مهاجم شروع کنید.

از چرخه‌ی عمر حمله یا روش Kill chain دیگری برای سازماندهی شواهد در قالب زنجیره‌ای که مقصود کلی مهاجم یا اهداف خرد او را توضیح دهد، استفاده کنید.

مدام بپرسید:

• آیا این شرح منطقی است؟
• چرا مهاجم باید چنین کاری کند؟
• کدام سنسورها و Logها مرتبط هستند؟

تکرار

این فرآیند را تا جایی که نتایج خروجی نزولی شود، تکرار کنید.

رویه‌ی باج‌افزار SOC

اگر کنترل‌ها و سایر اقدامات نتوانند جلوی حمله‌ی باج‌افزاری را بگیرند، SOC با فرآیند سطح بالای زیر از پاسخ‌دهی متناسب اطمینان حاصل می‌کند:

شناسایی خانواده/نوع باج‌افزار

به منظور مبارزه‌ی بهینه با حمله‌ی باج‌افزاری در یک محیط، SOC خانواده و نوع باج‌افزاری که با آن مواجه است را تشخیص می‌دهد. SOC از تمامی اطلاعات و ابزاری که در دسترس دارد به بهترین نحو بهره می‌برد. چنین اطلاعاتی می‌تواند شامل موارد زیر باشد:

• شاخص‌های مبتنی بر Host (HBIs)
• شاخص‌های مبتنی بر شبکه (NBIs)
• هوش تهدید

این اطلاعات را می‌توان از چندین منبع، از هوش تهدید تا کنترل‌های امنیتی، به دست آورد.

سیستم‌های تأثیرپذیرفته را ایزوله/محدود کنید

محدودسازی به اولویت اول تبدیل می‌شود چراکه باج‌افزار می‌تواند به سرعت در محیط پخش شود. برای تقویت احتمال محدودسازی موفقیت‌آمیز، اقدامات زیر باید انجام شوند:

1. بخش‌بندی از طریق مسدودسازی پورت‌ها و پروتکل‌هایی که معمولاً برای انتشار باج‌افزارها به کار می‌روند اولین گام حیاتی است. مسدودسازی باید دست کم تا جای ممکن در موارد زیر اعمال شود:

• انسداد پیام سرور (SMB) – TCP/445، TCP/135
• پروتکل دسکتاپ Remote (RDP) – TCP/3389
• ابزار مدیریتی ویندوز (WMI) و Remote Power Shell – TCP/80، TCP/5985، TCP/5986

2. اتصال ورودی به اندپوینت‌ها را با استفاده از فناوری فایروال‌های مبتنی بر Host (برای مثال فایروال ویندوز از طریق Group Policy) محدود کنید.
3. هرکجا امکان دارد، از بخش‌بندی شبکه برای اجرای ایزوله‌سازی معقول اندپوینت‌ها استفاده کنید. مثال‌های این کار می‌تواند شامل این موارد باشد: اِعمال ACLها بر رابط‌های فیزیکی و مجازی، فایروال‌های پیکربندی شده با ACLهای Stateful، یا اِعمال تغییرات پیکربندی Routing که ترافیک Route را در صورت وجود پارامترهای از پیش تعیین شده بی‌اثر می‌کند.

حرکت جانبی/ انتشار را تعدیل کنید

در کنار محدود و ایزوله‌سازی، وظیفه‌ی بعدی SOC تعدیل کردن تکنیک‌های حرکت جانبی رایجی است که حملات باج‌افزاری بر آن‌ها تکیه دارند

• از UAC Token Filtering یا lor SID S-1-5-114 NT Authority/ Local Account استفاده کنید و سیاست‌های کامپیوتری مناسب را برای واگذاری حقوق کاربری از طریق GPO تنظیم کنید.
• به‌سرعت راهبردی برای تصادفی‌کردن رمز عبورها روی حساب کاربری Built-in مدیر Local تعریف کنید. مثالی از این اقدام، به کار بستن Microsoft LAPS (Microsoft Local Administrator Password Solution) است.
• دسترسی را به حساب‌های دارای امتیازی که ممکن است برای انتشار یا حرکت جانبی به کار روند، محدود کنید. به علاوه، می‌توان اقداماتی نیز جهت محدود کردن دسترسی به اطلاعات اعتباری یا Tokenها در حافظه انجام داد تا میزان در معرض خطر قرار گرفتن اطلاعات اعتباری که ممکن است برای حرکت به کار روند، به حداقل برسد.
• اشتراک‌های مدیریتی یا مخفی را غیرفعال کنید تا از اتصال باج‌افزار به اندپوینت‌های بیشتر جلوگیری شود. مثال‌هایی از این اشتراک‌ها می‌تواند ADMIN$، IPC$، و C$ را دربرگیرد.

نسخه‌های پشتیبان را محفوظ و ایمن کنید

با این‌که نسخه‌های پشتیبان می‌توانند نقشی حیاتی در ترمیم حمله‌های باج‌افزاری ایفا کنند، بدون شک نسبت به آن‌ها مصون نیستند. عاملان تهدید و باج‌افزارهای معمول مدرن با اقدام به رمزگذاری، حذف، یا متوقف کردن خدمات مربوط به نسخه‌های پشتیبان قادر به هدف قرار دادن نسخه‌های پشتیبان و محیط پشتیبان‌گیری هستند.

همچنین باید اطمینان حاصل کرد که از خدمات کلیدی سازمان و شبکه نیز، که پیش‌تر به دلیل زمان لازم برای بازسازی یا بالا بودن افزونگی آن‌ها تصور میشد نیازی به پشتیبان‌گیری ندارند، نسخه پشتیبان تهیه شود. مثالی از این کار Active Directory است. برخی سازمان‌ها همسان‌سازی/افزونگی اساسی تعبیه‌شده در راهکارها را دلیلی برای عدم‌نیاز به یک راهبرد پشتیبان‌گیری تکامل‌یافته یا واقعی می‌دانند. اما اگر این موارد عامدانه از دسترس خارج شوند، بازیابی از نسخه‌ی پشتیبان می‌تواند تنها گزینه‌ی بازیابی خوشایند باشد.

باید دقت کرد که تا زمانی که تهدید باج‌افزار از بین برود محیط نسخه‌ی پشتیبان نسبت به دسترسی اندپوینت‌ها ایزوله شده و نسخه‌های پشتیبان خوب/بی‌نقص ایمن‌سازی شوند. نقطه‌ی شروع این کار قانون ۱-۲-۳ پشتیبان‌گیری است. این قانون نیازمند سه نسخه از داده‌ها، در دو نوع بستر متفاوت، و یک نسخه‌ی خارج از محل است که به یکی از نسخه‌ها توجه بسیاری می‌کند، به‌خصوص در مورد سرمایه‌های حیاتی که منبعی تغییرناپذیر هستند. به علاوه، ضروری است که نسخه‌های پشتیبان مرتباً و با مجموعه محتوا/داده‌های متفاوت آزموده شوند.

فعالیت‌ها و سرویس‌های نگهداری را غیرفعال/متوقف کنید

پس از اینکه SOC خانواده‌ی باج‌افزار را تعیین و با Client جهت محدود ساختن باج‌افزار همکاری کرد، فهرستی از فعالیت‌ها یا سرویس‌هایی که باید به منظور جلوگیری از مداخله‌ی بیشتر باج‌افزار موقتاً متوقف یا غیرفعال شوند، تهیه می‌کند.

مثال‌های این اقدام شامل موارد زیر است:

• سرویس پشتیبان‌گیری
• فعالیت‌های برنامه‌ریزی‌شده
• پلتفرم‌های به‌کارگیری نرم‌افزار (SCCM, Ghost)
• اسکریپت‌های مدیریتی یا فایل‌های دسته‌ای

تذکر: گام‌های ذکرشده تنها یک راهنما هستند نه فرآیندی جامع و عمومی.