مهمترین قسمت پاسخ به رخدادهای امنیتی فهمیدن این نکته است که آیا رویداد انجامشده یک حادثه واقعی است یا خیر. عبارت رایجی وجود دارد که میگوید: «وقتی چیزی را میبینم، متوجه آن میشوم.» ولی واقعیت این است که ممکن است با مشاهده ظاهری متوجه خطر نشوید، زیرا ابزارها و تکنیکهای مهاجم بسیار مخفی هستند و اغلب میتوانند از معرضدید پنهان شوند. شما باید شبکه خود و عملیات مربوط به آن را از منظر یک مهاجم مشاهده کنید و قبل از اینکه مورد سوءاستفاده قرار گیرد، به دنبال شاخصهای کلیدی و نقاط در معرضخطر باشید. به یاد داشته باشید که همه چیز به این بستگی دارد که چگونه میتوانید بهطور ماهرانه رخدادهای امنیتی را اولویتبندی (تریاژ) کنید.
عبارت تریاژ به طور معمول در جامعه پزشکی استفاده میشود. تریاژ مؤثر به پرسنل پزشکی اورژانس کمک میکند که بیماران را با توجه به شدت زخم یا بیماری به سرعت ارزیابی کرده و پروتکلهای مناسب برای حفظ سلامت و بهبود بیمار را اولویتبندی کنند. تریاژ مؤثر در زمانهای بحران مانند حوادث طبیعی و جنگها که هر ثانیه برای نجات جان انسانها بسیار مهم است، کاربرد دارد.
در این مقاله، ابزارهایی را در اختیار شما قرار میدهیم تا توانایی خود را برای تریاژ انواع رخدادهای امنیتی افزایش دهید. شما یاد خواهید گرفت که چگونه رخدادهای امنیتی را با درک چگونگی گسترش حملات و نحوه پاسخ مؤثر، قبل از اینکه از کنترل خارج شوند، شناسایی کنید.
تفاوت بین رخدادهای امنیتی و رخدادهای امنیت اطلاعات
در این مقاله تمرکز ما روی انواع مختلف رخدادهای امنیت اطلاعات به جای رخدادهای امنیتی استاندارد است. رخدادهای امنیت اطلاعات تنها مربوط به اطلاعات دیجیتال نمیشوند بلکه میتوانند کاملا در دنیای فیزیکی اتفاق بیفتد، مانند حملات فیزیکی (مثل سرقت لپتاب) و حتی میتوانند ترکیبی از این دو باشند.
انواع رخدادهای امنیتی و روشهای مختلف پاسخ
بهترین راه برای تعیین پاسخ مناسب به رخدادهای امنیتی در هر موقعیت معین، این است که بفهمید چه نوع حملاتی ممکن است علیه سازمان شما صورت بگیرد. NIST لیست زیر را از حملات مختلف ارائه کرده است:
حافظه خارجی یا قابل جابجایی
حملهای که از حافظههای قابل جابجایی مانند فلش مموری، سی دی یا یک دستگاه جانبی انجام میشود.
ایمیل
حملهای که از طریق یک پیام ایمیل یا پیوست انجام میشود (مثلا آلودهشدن به بدافزار).
حملات Attrition
حملهای که از روشهای brute force برای تهدید، تخریب یا نابودکردن سیستمها، شبکهها یا خدمات استفاده میکند.
استفاده نادرست
هرگونه حادثه ناشی از نقض خطمشیهای قابلقبول سازمان توسط کاربر مجاز، به استثنای دستههای مشخصشده.
وب
حملهای که از یک وبسایت یا یک برنامه مبتنی بر وب (مثلا دانلود با درایو) انجام میشود.
گمشدن یا سرقت تجهیزات
مفقود شدن یا سرقت یک دستگاه محاسباتی یا رسانه مورداستفاده توسط سازمان، مانند لپتاپ یا تلفن هوشمند.
سایر موارد
حملهای که در هیچ یک از دستهبندیهای دیگر قرار نمیگیرد.
دستهبندی رخدادهای امنیتی با ورود به ذهن مهاجم
یکی از بزرگترین اشتباهات در امنیت اطلاعات سنتی این فرض است که تصور میکنید میدانید مهاجم کدام مسیر را در شبکه شما طی میکند. در حالی که چنین تصوری اشتباه است. به عنوان مثال، مهاجمان بهندرت از درب ورودی شما یا از دید امنیت شبکه، از دروازه فایروال شما وارد میشوند.
هر حمله بهطورکلی از طریق یک الگوی خاص یا همان چیزی که لاکهید مارتین آن را «زنجیره کشتار سایبری» نامیده است، عمل میکند. «زنجیره کشتار سایبری» دنبالهای از مراحل موردنیاز مهاجم برای نفوذ موفقیتآمیز به شبکه و استخراج دادهها از آن است. هر مرحله یک هدف خاص را در مسیر مهاجم نشان میدهد. طراحی برنامه نظارت و پاسخ شما از طریق مدل «زنجیره کشتار سایبری» روشی مؤثر است زیرا بر چگونگی وقوع حملات واقعی تمرکز دارد.
| مرحله | هدف مهاجم |
| ۱. شناسایی و کاوشگری | · یافتن هدف
· توسعه برنامه حمله براساس فرصتهای بهرهبرداری |
| ۲. توریع و حمله | · قرار دادن مکانیزم توزیع به صورت آنلاین
· استفاده از مهندسی اجتماعی برای وادارکردن هدف برای دسترسی به بدافزار یا سایر سوءاستفادهها |
| ۳. بهره برداری و نصب | · بهرهبرداری از آسیبپذیریهای سیستمهای هدف برای دستیابی به دسترسی
· بالا بردن سطح دسترسی کاربر و نصب payload پایدار |
| ۴. به خطرافتادن سیستم | · فیلترکردن سریع و بیصدای دادههای با ارزش بالا
· استفاده از سیستم در معرضخطر برای بهدستآوردن دسترسی بیشتر، سرقت منابع محاسباتی و یا استفاده برای حمله به شخص دیگر |
اولویتبندی رخدادهای امنیتی
به راستی کدام رویدادهای امنیتی ممکن است به رخداد امنیت اطلاعات تبدیل شوند که همین الآن باید به آن توجه کنیم؟ و چه کاری باید در مقابل آن انجام دهیم؟ برای کمک به دستهبندی هر نوع رخداد، آن را در مقابل «زنجیره کشتار سایبری» قرار دهید تا اولویت و استراتژی پاسخ به رخداد مناسب را تعیین کنید. میتوانید برای شروع از جدول زیر استفاده کنید.
| نوع رخداد | مراحل زنجیره کشتار | سطح اولویت | اقدام پیشنهادی |
| فعالیت پایش پورت * (قبل از حادثه) | شناسایی و کاوشگری | پایین | بیشتر این رویدادها را نادیده بگیرید، مگر اینکه IP مبدأ دارای سابقه بد شناختهشدهای باشد، و چندین رویداد از همین IP در یک بازه زمانی کوچک وجود داشته باشد. |
| آلودگی بدافزار | توزیع و حمله | پایین-متوسط | هر گونه آلودگی بدافزار را در اسرع وقت قبل از پیشرفت برطرف کنید. بقیه شبکه خود را برای یافتن شاخصهای تهدید امنیتی مرتبط با این آلودگی (مانند Hashes MD5) پایش کنید. |
| DDoS | بهرهبرداری و نصب | بالا | سرورهای تحت وب را برای محافظت در برابر درخواستهای زیاد HTTP و SYN پیکربندی کنید. در طول حمله با ISP خود برای مسدود کردن IPهای مبدأ هماهنگ کنید. |
| DDoS برای منحرفکردن توجه | بهرهبرداری و نصب | بالا | گاهی اوقات از DDoSبرای منحرف کردن توجه از یک حمله جدیتر استفاده میشود. نظارت را افزایش دهید، تمام فعالیتهای مرتبط را بررسی کنید و با ISP یا ارائه دهنده خدمات خود از نزدیک همکاری کنید. |
| دسترسی غیرمجاز | بهرهبرداری و نصب | متوسط | تلاشهای دسترسی غیرمجاز را با اولویت مواردی که از نظر عملیاتی مهم و یا حاوی دادههای حساس هستند، شناسایی، مانیتورینگ و بررسی کنید. |
| نقض امنیتی داخلی | به خطر افتادن سیستم | بالا | حسابهای کاربری با سطح دسترسی بالا را برای همه دامنهها، سرورها، برنامهها و دستگاههای حیاتی شناسایی کنید. اطمینان حاصل کنید که نظارت برای همه سیستمها و برای همه رویدادهای سیستم فعال است و همچنین مطمئن شوید که زیرساخت مانیتورینگ لاگ شما (ابزارهای USM یا SIEM) را تغذیه میکند. |
| سایر موارد | همه مراحل | بالا | پاسخ به رخداد یک دستورالعمل برای بهبود مستمر است. همانطور که هر روز رویدادهای بیشتری منجر به رخدادهای امنیتی میشوند، راههای جدیدی برای دستهبندی و جلوگیری از وقوع آنها کشف میشود. |
| افزایش غیرمجاز دسترسیها | بهرهبرداری و نصب | بالا | سیستمهای حیاتی خود را طوری پیکربندی کنید که همه رویدادهای افزایش دسترسیهای سطح بالا را ثبت کنند و برای تلاشهای غیرمجاز افزایش سطح دسترسی، هشدار تعریف کنید. |
| حمله مخرب | به خطر افتادن سیستم | بالا | از تمام دادهها و سیستمهای حیاتی پشتیبانگیری کنید. روشهای بازیابی سیستم را تست، مستندسازی و به روزرسانی کنید. در حین تهدید امنیتی سیستم، شواهد را با دقت ضبط کنید و تمام مراحل بازیابی و همچنین تمام دادههای شواهد جمعآوریشده را مستند کنید. |
| تهدیدات پیشرفته و مستمر (APT) یا حمله چند مرحلهای | همه مراحل | بالا | هر یک از رویدادهای منحصربهفردی که در اینجا ذکر شده است میتواند در واقع بخشی از بدترین نوع حادثه امنیتی قابل تصور یعنی APT باشد. نکته مهم این است که هر رویداد را از طریق یک context بزرگتر مشاهده کنید، context ی که آخرین اطلاعات تهدید را در خود جای داده است. |
| هشدارهای کاذب ** | همه مراحل | پایین | بخش عمدهای از کار پاسخگویی به رخداد صرف حذف اطلاعات غلط و موارد مثبت کاذب میشود. شما دائما رادیوی نظارت امنیتی را تنظیم میکنید تا به سیگنال مناسب برسید. |
نکته ای در مورد اسکن پورت
حتی اگر مطمئن هستید که مهاجم هیچ اطلاعات مفیدی را از اسکن خود دریافت نمیکند، ولی به نظر میرسد که در حال انجام یک اسکن دقیق و جامع از سیستمهای خارجی شماست، منطقی است که این را به عنوان تلاشی برای حمله بعدی تفسیر کنید. اگر اسکن از طرف شبکههای یک سازمان قانونی انجام میشود، بهترین روش، تماس با تیم امنیتی یا پرسنل مدیریت شبکه آنهاست.
به عنوان آخرین راهحل، اگر هیچ جزئیات تماسی از مبدأ پایش پورت ندارید، از جزئیات تماس فهرست شده در اطلاعات WHOIS برای دامنه استفاده کنید. آدرس ایمیل abuse@domain نیز برای یافتن این اطلاعات استفاده میشود، اما ممکن است برای سازمانهای کوچکتر یا جوانتر دردسترس نباشد. روش مسدود کردن آدرس مبدأ ممکن است نتیجه معکوس دهد و تنها باعث شود مهاجم از آدرس مبدأ دیگری استفاده کند.
نکات قابل توجه در مورد هشدارهای کاذب
در این مقاله بارها به «تمرکز بر آنچه میدانید» تأکید کردهایم. بسیاری از فعالیتهایی که نظارت امنیتی کشف میکند، پیش پا افتاده و در عین حال حیاتی است.
- کنترل خرابیها: شامل پورتهای فایروالی که نباید باز باشند، گروهی از وبسایتهایی که باید در پروکسی مسدود شوند و میزبانهایی که به دلیل نداشتن امنیت نقطه پایانی در معرضخطر قرار گرفتند. پاسخگویی به رخداد برای بقیه تلاشهای امنیتی به عنوان «تضمین کیفیت» کار شما در نظر گرفته میشود.
- کاهش نویز: اگر تجزیهوتحلیل امنیتی شبیه به یافتن «سوزن در انبار کاه» باشد، یکی از بهترین روشها برای آسانتر کردن کار، ساخت انبار کاه کوچکتر است. ترافیک غیرضروری، خدمات ناخواسته، نرمافزارهای قدیمی کلاینتها و آسیبپذیریهایی که به راحتی برطرف میشوند را حذف کنید.
- نقض خط مشی: در حالت ایدهآل، بهتراست که زمان بیشتری را صرف مکانیابی اتفاقاتی کنید که شبکه شما را در معرضخطر قرار میدهد نه پاکسازی نتایج این خطرات.
بهرهگیری از هوش تهدیدات برای تریاژ مؤثر رخدادهای امنیتی
ما اغلب پاسخ به رخداد را به عنوان یک کار دقیق فارنزیک میشناسیم که در یک زمان خاص به دقت به یک سیستم نگاه میکنیم. با این حال، اکثریت عمده کارهای نظارت بر امنیت را میتوان از طریق مشاهده یک تصویر جامعتر از وضعیت و فعالیت در زیرساختهای شبکه انجام داد.
فهمیدن اینکه کجا، کدام و چگونه سیستمهای شما با سایر سیستمها ارتباط دارند و تغییراتی که در آنها ایجاد میشود، میتواند حملاتی را آشکار کند که سایر کنترلهای امنیتی قادر به این کار نیستند.
هوش تهدیدات به شما این امکان را میدهد به جای تمرکز بر آسیبپذیریها، سوءاستفادهها و وصلهها روی چیزهایی تمرکز کنید که به طور فعال به محرمانگی، یکپارچگی و دسترسیپذیری دادههای شرکت شما آسیب میزنند.
اولین قدم این است که تا حد امکان در مورد محیط محاسباتی فعلی خود آگاهی داشته باشید. برخی افراد از آن به عنوان آگاهی محیطی، آگاهی موقعیتی یا حتی آگاهی زمینهای یاد میکنند ولی ما آن را هوش تهدیدات محلی مینامیم.
هنگامی که اطلاعات غنی در مورد شبکه خود را با آخرین اطلاعات تهدیدات جهانی (مخصوص ابزارها، تکنیکها و روندهای مهاجم) ترکیب کنید، به تریاژ مؤثر دست خواهید یافت. شما فورا به جای اتلاف وقت خود بر روی موارد مثبت کاذب یا نویزهای نامرتبط، روی رخدادهای امنیتی مهم تمرکز خواهید کرد.
هوش تهدیدات ، شکاف بین تشخیص روش حمله شناختهشده و شناسایی عوامل تهدید شناختهشده را پر میکند. حتی اگر همه روشهای ممکن مورداستفاده را نشناسیم، میتوانیم شاخصهای کلیدی را که دیگران ممکن است در موقعیتهای مخاطرهآمیز دیده باشند، در شبکه خودمان جستجو کنیم.
۵ نکته قابل توجه در رخدادهای امنیتی
- با وجود زیرساخت کاملا استاتیک و بدون تغییر، آسیبپذیریها و مواجهههای جدید همواره ایجاد میشوند.
- فرآیندهای IT مناسب و مدیریت امنیت، تمام تلاش خود را برای به حداقل رساندن تهدیدات امنیتی انجام میدهند، اما تحلیلگر امنیتی همچنان باید از آنها آگاه باشد تا موارد دیگر را در چارچوبهای امنیتی قرار دهد.
- تغییرات پیکربندی غیرمنتظره در سیستمها میتواند نشان دهد که طرف متخاصم کنترل سیستم را از طریق اعتبارنامهها و روشهای معتبر در اختیار دارد.
- بسیاری از گزینههای پیکربندی به استانداردهای انطباقی خاصی مربوط میشوند. هشدار (یا گزارشدهی) در مورد آنها روشی بسیار بهتر برای مدیریت آنها نسبت به انتظار برای کشف آنها در طول ممیزی یا ردیابی بعدی است.
- شما نمیتوانید امنیت را فقط با جستجوی حملات و آسیبپریزیها انجام دهید. باید به آنچه در شبکه شما اتفاق میافتد نگاه کنید و سیستمهایی را که مستقر کردهاید بشناسید.
کلام آخر
با درک آنچه در شبکه شما اتفاق میافتد (آگاهی محیطی) و اتصال آن به اطلاعات مربوط به منابع شناخته شده فعالیتهای مخرب (هوش تهدیدات جهانی)، دریافت گزارشهایی با مقیاس بزرگ از تهدیدهای فعال در زیرساخت شما آسان میشود. به عنوان مثال، به جای جستجو در لیستهای عظیم هشدارهای کنترلهای امنیتی مختلف برای تعیین سوءاستفادهها و حملات احتمالی و تلاش برای اولویتبندی آنها براساس ارزش دارایی، ما به دادههای آگاهی محیطی نگاه میکنیم که میتوانند به شاخصهای تهدید مرتبط با عوامل تهدید مرتبط شوند.
امروزه، منابع محاسباتی ارزان و فراوان هستند. حملات میتوانند از هر نقطهای بهویژه از سیستمهای در معرضخطر در شبکههای راهدور قانونی انجام شوند. مهاجمان در یک نبرد دائمی تلاش میکنند تا مکانیابی سیستمهایی که توسط بدافزار کنترل میشوند را دشوار سازند، درحالیکه همچنان به بدافزارهای خود اجازه میدهند برای دریافت دستورالعملهای اجرایی به این سیستمها دسترسی داشته باشند.