اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

اولویت‌بندی راهکارها جهت مقابله با تهدیدات

اولویت‌بندی راهکارها جهت مقابله با تهدیدات

از آنجا که روش‌ها و استراتژی حمله‌ی مهاجمین سایبری پیوسته در حال گسترش است، سازمان‌ها باید برای مقابله با این تهدیدات که به احتمال زیاد روی شبکه‌ها به صورت جداگانه و منابع داخلی آن‌ها تاثیر می‌گذارند، عملکرد بهتری داشته باشند. بر اساس جدیدترین گزارش چشم‌انداز تهدید جهانی Fortinet، مجرمان سایبری نه‌تنها از روش‌های جدید حمله (حتی برای انواع حملات قدیمی‌تر) استفاده می‌کنند، بلکه از راهکارهای جدیدتری نیز استفاده می‌کنند تا حضور خود را مخفی کرده و از شناسایی‌ شدن در امان بمانند. این راهکارها شامل گسترش منابع در زمینه شناسایی برای انجام بهتر حملات هدفمند و دستیابی به تکنیک‌های جدید برای مخفی‌سازی است تا اطمینان حاصل کنند که به هدفشان می

این چند نمونه نشان می‌دهد که مجرمان سایبری چگونه در حال افزایش سرعت، گسترش سطح حمله و پیچیدگی چشم‌انداز تهدید  کنونی، برای یافتن و بهره‌برداری از نقاط ضعف در شبکه‌های امروزی هستند. در نتیجه، استراتژی امنیتی یکپارچه‌ی سازمان‌ها باید بی‌وقفه فراتر از حملات نوظهور عمل کند. این قابلیت باعث می‌گردد که سازمان‌ها به‌کار‌گیری سیستم‌های دفاعی به‌خصوصی را در اولویت قرار دهند و همچنین موارد اصولی امنیت سایبری خود را تقویت نمایند.

مسیرتکامل باج‌افزارها    

باج‌افزار نمونه‌ای کامل از تکامل یک تهدید مداوم است. با اینکه به نظر می‌رسید که قرار است Cryptomining جایگزین باج‌افزار شود، ولی این نوع از تهدیدات حالا با قدرت فراوان بازگشته‌اند. اولین نشانه‌ی این امر، حمله‌های بسیاری بودند که در اوایل سال جاری رخ دادند. برای مثال LockerGoga از بررسی دقیق برای شناسایی اهداف اصلی استفاده کرد و توانست فراری موفق از راهکارهای امنیتی که در حال حاضر موجود هستند، داشته باشد. RobinHood یا RobbinHood یا انواع باج‌افزارهای مشابهی مانند Ryuk با هدف آلوده‌کردن برخی شهرداری‌ها در سراسر ایالات متحده امریکا این استراتژی را انجام داده‌اند.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

این ابزار جدید عملکردهای مرسوم باج‌افزار را گسترش داده‌اند. بعنوان مثال می‌توان باج‌افزار RobbinHood را نام برد که قادر به غیرفعال کردن سرویس‌های ویندوزی است و از رمزگذاری داده‌ها جلوگیری می‌کنند، توانایی سیستم‌ها برای جدا شدن از درایوهای مشترک را از بین می‌برد و از اینکه داده‌های سازمان در خطر رمزگذاری قرار دهد، اطمینان حاصل می‌کند. Ryuk از تاکتیک‌های پیشرفته‌ی مخفی‌سازی، شامل از بین بردن کلید رمز‌گذاری خود و پاک کردن نسخه‌های Shadowبر روی یک سیستم آلوده استفاده می‌کند تا نرم‌افزارهای ضد باج‌افزار تا زمانی که دیگر خیلی دیر شده است، از حضور آن بی‌اطلاع باشند.

اخیرا، بدافزاری به نام Sodinokibi یا Sodin پیدا شده است که از آسیب‌پذیری مهمی که اخیرا کشف شده و امکان اجرای از راه دور کد دلخواه را فراهم می‌کند، سواستفاده می‌کند. استفاده از این آسیب‌پذیری می‌تواند اثرات بسیار مخربی داشته باشد زیرا این حفره امنیتی باعث آلودگی سیستم می‌شود، بدون این که کاربر کوچکترین نقشی در انجام آن داشته‌باشد.

ظهور استراتژیهای Anti-Analysis (ضد‌آنالیز)

یکی دیگر از زمینه‌های مهمی که تیم‌های امنیتی باید رسیدگی به آن را در اولویت کار خود قراردهند، تعداد فزاینده‌ی تکنیک‌های جدید است، که برای جلوگیری از شناخته شدن، توسعه یافته‌اند. در سه ماه گذشته، چندین استراتژی برای مخفی‌سازی و Anti-Detection شناسایی شده‌اند. برای مثال Andromut یک Downloader است که در سه ماه گذشته شهرت پیدا کرده و برای دانلود بدافزارهایی مانند RAT FlawedAmmyy مشهور است. دلیل این شهرت این است که این بدافزار نه تنها توسط Sandbox  شناسایی نمی‌شود و در حال رایج شدن است، بلکه دارای ابزار تایید شبیه‌ساز هم هست. این ابزار بررسی می‌کند که بدافزار در یک محیط عادی کار کند و نه در یک شبیه ساز و اگر تشخیص دهد که در یک محیط آزمایشگاهی اجرا شده‌ است، از کار می‌افتد تا تحلیلگران امنیتی نتوانند آن را پیدا کنند.

همچنین، اخیرا دو ابزار جدید Downloader دیگر، به نام Brushaloader و دیگری نسخه جدید Jasper-Loader شناسایی شده‌اند که از مکانیسم‌های مخفی‌سازی پیشرفته‌ی مشابهی، از جمله قابلیت تایید مکان و تایمری برای اجرا شدن همراه با تاخیر، استفاده می‌کنند. این استفاده‌ی فزاینده از تاکتیک‌های ضدآنالیز و مخفی‌سازی، برای سازمان‌های سرمایه‌گذاری، چالشی جدی ایجاد کرده و مشخص می‌کند که به چه میزان به دفاع چند لایه و فراتر از روش‌های سنتی امن‌سازی نیاز است و همچنین اهمیت تشخیص تهدیدات با رفتارشناسی را نشان می‌دهد.

امکان بروز خطا با نظارت فقط بر روند کلی

هر کس به سادگی بر روند کلی باج‌افزار نظارت کند ممکن است به راحتی آن را در روندی نزولی در نظر بگیرد و دیگر توجهی به آن نکند، اما این نتیجه‌ی درستی نیست. دلیل این تصور شاید این باشد که علیرغم حملات پیشرفته‌ی اخیر، برای مدتی میزان شناسایی باج‌افزار حتی در طول سه‌ماهه‌ی دوم کاهش یافته بود اما دلیل دیگر این است که حملات فرصت‌طلبانه عمومی باج‌افزار، به مرور جای خود را به سوء‌‌استفاده‌های هدفمند می‌دهند. این باج‌افزارها شناسایی را با غیر‌فعال کردن دقیق ابزارها و خدمات ایمنی و تکنیک‌های پیشرفته‌ی مخفی سازی، ترکیب می‌کنند و بدینگونه، نتایج اخیر می‌توانند ویران‌کننده باشند. بنابراین، فقط اولویت‌بندی آن دسته از حملات که در گزارش‌های تهدیدات عمومی خود را نشان می‌دهند، برای کشف و پاسخ به تهدید‌هایی که به‌طور خاص طراحی شده‌اند تا شناخته نشوند، کافی نیست.

آغاز ایمنسازی شبکه‌های امروزی با آگاهی از تهدید و یکپارچگی

برای مدیریت و کنترل موثر خطرات سایبری که سازمان‌ها امروزه با آن روبرو هستند، ضروری است که مدیران امنیتی، اطلاعات مربوط به تهدید را از منابع گوناگون رصد کنند و سپس رفع آسیب‌پذیری‌هایی که در محیط شبکه‌ی منحصر‌به فرد خودشان قابل‌اعمال است، در اولویت قراردهند. اما این رویکرد باید با یک استراتژی امنیتی طراحی شده برای دیدن و متوقف نمودن و یا حداقل محدود کردن استراتژیکی تاثیر یک حمله از بخشی غیر منتظره، همراه باشد. این کار با رویکرد امنیتی یکپارچه‌ای آغاز می‌شود که همه عناصر امنیتی مستقر در هر نقطه از شبکه توزیع شده را در یک ساختار امنیتی واحد مدیریت می‌کند و با استراتژی جداسازی هدفمند، بهترین راهکارهای امنیتی دارای ثبات و خودکار‌سازی را همراه با یادگیری ماشینی تقویت می‌نماید.

 استفاده از هوش مصنوعی نیز روزبه‌روز ضروری‌تر می‌شود تا کارهایی تکراری مانند Patching را به عهده گیرد، همچنین تهدیدها را با سرعت زیاد پیدا کرده و به آن‌ها پاسخ دهد. هر استراتژی امنیتی که شامل همه‌ی این عناصر ضروری نباشد، قادر به دستیابی به دید کافی و کنترل لازم برای شبکه‌های امروزی نخواهد بود و این ضعف، شبکه را در معرض خطر در برابر تلاش‌های سازمان‌های جرائم سایبری مصمم قرار می‌دهد.