ترجمه مقالات SANS : تئوری های هوشمند برای به دام انداختن موفق تهدیدات – قسمت اول

تاریخ انتشار : اسفند ۱۸, ۱۳۹۷
1 ستاره2 ستاره3 ستاره4 ستاره5 ستاره

این مقاله از سوی موسسه sans ارایه شده است و مربوط به قسمت (Infosec Reading Room) اتاق مطالعات امنیتی می باشد. ( مقالات SANS )

این مقاله تحت حمایت نرم افزاری موسسه Sans می باشد و استفاده از آن بدون ذکر نام نگارنده مجاز نمیباشد. این مقاله برای اولین بار توسط گروه امنیتی سما ترجمه و به رایگان در اختیار عموم گذاشته می شود. انتشار مطلب با ذکر نام منبع (گروه امنیتی سما) مجاز می باشد.

تئوری های هوشمند برای به دام انداختن موفق تهدیدات

به دام انداختن تهدیدات امنیتی فرآیندی عملگرا و بعضا تکراری با رویکرد نهایی حذف خطرات دنیای اینترنت می باشد. اگرچه در بیشتر مواقع افراد متخصص موسوم به Threat Hunter (شکارچیان تهدیدات اینترنتی) نیاز به استفاده و کمک گرفتن از سیستم های اتوماتیک و ماشین های مختلف مجازی و الگوریتم های متنوعی برای شناسایی تهدیدات بالقوه در درون شبکه دارند، اما اینگونه تهدیدات معمولا تنها به شکل اتوماتیک و با استفاده از الگوریتم ها بصورت کامل پیدا نمی شوند. ( مقالات SANS )

یکی از این روش ها که با کمک افراد متخصص در راستای جلوگیری از رخدادهای امنیتی مورد نظر است، برنامه ریزی کردن یا formulation کردن کل فرآیند توسط متخصصان می باشد در این مقاله ما به برسی سه حالت مختلف از این برنامه ریزی (فرمولاسیون) برای شناسایی و از بین بردن خطرات خواهیم پرداخت. ( مقالات SANS )

مقدمه

همانگونه که قبلا گفتیم Threat Hunting یک فرآیند نسبتا تکراری می باشد. از دیدگاه امنیت سایبری (Cyber Security) اینگونه تهدیدات معمولا در ابتدا توسط سیستم هایی که از قبل توسط متخصصین امنیت فراهم شده است به دام می افتند. اگرچه معمولا پیدا کردن اینگونه خطرات به شکل بالقوه توسط سیستم های هوشمند انجام می گیرد و وظیفه سنگین این کار برعهده ماشین ها می باشد، اما نه تنها ماشین ها بلکه حتی خود افراد سازنده اینگونه ماشین ها نیز به خودی خود نمی توانند به تنهایی اقدام به یافتن این تهدیدات بکنند.

یکی از مسائلی که افراد متخصص به شکل مشخص با آن مواجه می باشند این است که چگونه درچه زمانی به چه شکل و در چه سطحی می بایستی اقدام به حذف و پیگیری این تهدیدات نمود. به این رویکرد که ما در آن اقدام به بررسی و برنامه ریزی مقدماتی خواهیم کرد اصطلاحا  hunt’s hypothesis می گویند که به معنی تئوری به دام انداختن می باشد . این مرحله درواقع به عنوان تنها یک رویکرد کلی از قابلیت امتحان پذیری انواع خطرات موجود در محیط شبکه و روش های جلوگیری از آنها می باشد که شاید تنها در سطح تئوری مورد بررسی قرار بگیرد. ( مقالات SANS )

دو رویکرد در راستای به دام انداختن خطرات در شبکه از لحاظ تئوری و پایه ای موجود می باشد که یکی از آنها مشاهدات است، مشاهداتی که می تواند به دو حالت ساده به شکل اینکه تنها به مدیر شبکه یا کاربر تنها یک پیغام خطای ساده داده شود، که می تواند از سوی فرد گیرنده نادیده گرفته شود و یا اینکه به شکل یک پیام بسیار پیشرفته باشد که در زمانی صادر می شود که سیستم آن را براساس الگوریتم ها پیچیده قبلی برپایه عملکردهایی که قبلا به عنوان یک تهدید درنظر گرفته می شده است، به کاربر خود اعلام کند. ( مقالات SANS )

رویکرد دوم براساس قابلیت آزمون پذیری یک سیستم و شبکه درنظر گرفته می شود که درآن رویکرد قابلیت دسترس پذیری یک شبکه توسط یک نفوذگر و مقدار دسترسی که او می تواند به دست بیاورد، مورد بررسی قرار میگیرد. برای کنترل و به دام انداختن خوب و موفق یک تهدید امنیتی، این نکته بسیار کلیدی است که فرد متخصص یا ماشینی که برای شکار تهدید طراحی شده است از چه روش ها و تکنولوژی هایی جهت بررسی شبکه و بدست آوردن و تشخیص خطرات نفوذگر استفاده می کند. ( مقالات SANS )

یک تحلیل کامل برای به دام انداختن خطرات امنیتی درون شبکه نیازمند استفاده از پلت فرمی می باشد که ابزارهایی را به طور مداوم برای بررسی اطلاعاتی که مداوم درحال رد و بدل شدن درون شبکه می باشند، مورد استفاده قرار دهد درست همانند یک میدان جنگ که همواره سربازان درحال مقابله با خطرات احتمالی می باشند. یک روش به دام انداختن خطرات استفاده از ابزارهایی می باشد که علاوه بر اینکه به شبکه بار اطلاعاتی و پردازشی سنگینی را وارد نمی کنند، بلکه باعث دسترسی سریع و پایدار کابران به اطلاعات می باشند و همچنین شبکه را از لحاظ الگوریتم های خطرناک نیز مورد بررسی قرار می دهند.( مقالات SANS )

دراین مقاله همانطوری که گفتیم به ۳ نوع تئوری برای بررسی و جلوگیری از رخدادهای امنیتی خواهیم پرداخت این تئوری ها عبارتند از :

  1. خطرهایی که به ظاهر  بی خطر یا دوستانه (friendly) می باشند اما در باطن ممکن است از سوی یک دشمن قوی و خطرناک به سوی شما روانه شده باشند
  2. هشدارهای وضعیت خاص (Situational awareness)
  3. خطرات متخصصین شبکه ای (Domain Expertise)

در این مقاله ما به بررسی این سه خطر و نحوه مقابله با آنها در زمان و مکان مشخص خود اشاره خواهیم کرد.


Observation :

یک مشاهده می تواند دارای دیدگاه های مختلفی باشد اما در اینجا به معنی این است که ممکن است یک خطر به عنوان تجربه ای از گذشته که در سیستم ثبت شده است مورد نظر باشد و یا اینکه می تواند به عنوان یک خطر خارجی که می تواند اشتباها از سوی دوستی که شما آن را می شناسید و یا اینکه با ظاهری دوستانه از سوی دشمن شما  به سوی شما ارسال شود. ( مقالات SANS )

Hypothesis :

دو رویکرد برای این بخش که به تئوری ترجمه شده است موجود میباشد : ۱-تعوری بر اساس مشاهدات و ۲-تئوری براساس قابلیت آزمون پذیر بودن سیستم که در متن توضیح داده شد


تئوری نیل به هدف براساس روش های هوشمندانه

مفهوم حرکت هوشمندانه یا Intelligence-driven در اینجا به معنی امنیت سایبری با وجود هشدارهای امنیتی و استفاده از شاخص خطرپذیری فاش شدن اطلاعات ( IOC) که مخفف واژه Indicators Of Compromise می باشد، و در این رویکرد از روش و تاکتیک های دشمن و نحوه ورود و مقابله با آنها که با اصطلاح TTPs گفته می شود که مخفف کلمات  Adversary Tactics, Techniques and Procedures می باشد، استفاده شده است. این رویکرد به تنهایی توسط ابزارها و یا به شکل طبیعی ماحصل نصب چند سیستم ایجاد نخواد شد بلکه رویکردی کاملا کاربر معابانه (Human base) می باشد. درحالی که برعکس این روش رویکرد intelligence (رویکرد هوشمندانه) بر اساس پرسش و پاسخ و جمع آوری اطلاعات برای ایجاد تئوری ابتدایی می باشد. ( مقالات SANS )

نمونه ای از رویکرد Intelligence-Driven :

تصور کنید که یک مهاجم قبلا از روشی خاص برای قراردادن IP آدرس در روش های نفوذ خود استفاده کرده است که پس از نفوذ به سیستم یا قبل از آن ما توانستیم آن را کشف و متوقف کنیم. اکنون این روش نفوذ و متدهای موجود قبلی در فایل هایی به عنوان IOC ذخیره شده و در اختیار تحلیلگران سیستم قرار می گیرد تا با استفاده از آنها اقدام به سیتز و جلوگیری مسیرهای احتمالی آینده برای پیشگیری رخداد امنیتی ممکن و ایجاد موانع امنیتی لازم بنمایند. ( مقالات SANS )

به عنوان مثال ما میدانیم که مثلا نفوذگری به نام LANKY JAGUAR تمایل دارد تا نفوذ های خود به روش Phishing که یکی از روش های مهندسی اجتماعی می باشد، از طریق زیرساخت های کشور برزیل به سمت قربانیان خود ارسال نماید لذا اگر دیدیم که مجددا در آینده سیستم امنیتی ما مورد نفوذ قرار گرفت و یا دوباره با روش فیشینگ به کاربران شبکه ما آسیب رسید، بایستی بتوان به سرعت مبدا رخداد این  حمله را مورد بررسی و پیگیری قرار داد.( مقالات SANS )

در اینجا بایستی در نظر گرفت که ماشین تشخیص تهدیدات امنیت که متشکل از مجموعه ای از IOC ها می باشد، به نحوی طراحی شود که حتی اگر فرد نفوذگر نتوانست الگوریتم حمله خود را کامل انجام دهد، دستگاه بتواند همان الگوریتم ناقص را به عنوان خطر تشخیص داده و log حمله ناقص را برای پیگیری به نیروهای امنیتی اطلاع دهد. سپس با دستگیری فرد مذکور اقدام به بازجویی از او انجام شود تا مشخص شود که به چه سطحی از اطلاعات دسترسی داشته است و از چه روشی برای نفوذ استفاده کرده است. در اینجا می توان مطمئن بود که شاید نفوذگر یک الگوریتم کامل IOC را طی نکرده باشد اما بازهم سیستم توانسته است به شکل پیشگیرانه اقدام به جلوگیری از رخداد خطر امنیتی نماید. ( مقالات SANS )

میتوان از IOC ها در مکان ها و موقعیت های زیر استفاده نمود :

  • مکان هایی که افراد برای حفاظت شبکه نیازمند به استفاده از سیستم هایی برای جلوگیری از نفوذ می باشند
  • موقعیت هایی که نیاز هست تا رفتار مهاجمین شبکه ای و روش نفوذ و تاثیر آنها بر روی شبکه مورد بررسی قرار بگیرد
  • مکان هایی که ممکن است بر روی سرورهای C2 (سرورهای دستوری-کنترلی) و نفوذ مهاجمان نیاز به همپوشانی امنیتی داشته باشیم
  • چگونگی مقابله با نفوذ مهاجمان از طریق سرور C2 و اینکه درچه سطحی و از چه روش های پیشرفته ای ممکن است مهاجمان استفاده نمایند

کسانی که برای مسدودسازی حملات نفوذگران استخدام می شوند، نباید تنها به اینکه IOC ها از سوی منابع معتبر می آیند اکتفا کرده و اقدام به استفاده تنها از آنها نمایند، بلکه بایستی به IOC هایی که به شکل اتوماتیک توانایی از بین بردن حمله ها و رخدادها را دارند نیز توجه نمایند. یعنی درواقع IOC هایی که می توانند براساس زنجیره ای از خطرات امنیتی و بر اساس یک سری روال های مشخص، اقدام به تنابودی و از بین بردن خطرات نمایند. IOC هایی که در بخش Reconnaissance مورد استفاده قرار می گیرند به لحاظ ساختاری کاملا با IOC هایی که برای جلوگیری از Exploitation و Installation مورد استفاده قرار میگیرند، متفاوت هستند. ( مقالات SANS )

INTELLIGENCE

به معنی بهره برداری و استفاده از اطلاعاتی می باشد که می تواند از سوی دوستان شما و یا رقبای شما تولید شده یاشد و می تواند نتایج مختلفی را به همراه داشته باشد.

شکارچیان امنیتی بایستی مداوم در فکر استفادده از IOC جهت جلوگیری از نفوذ باشند. در مسایل و خطرات امنیتی امروز این مسئله که بتوان به سرعت حتی با دیدن یک رخداد امنیتی و یا یک خطر امنیتی کوچک اقدام به پیشگیری نمود، بسیار مهم می باشد زیرا که اگر یک متخصص امنیت (شکارچی امنیت) بخواهد منتظر این بماند که تمام قطعات یک پازل IOC که بیانگر یک خطر امنیتی است، تکمیل شود تا آنگاه بتواند اقدام به جلوگیری از خطر نماید، به کم کاری و یا ضعف در تامین امنیت متهم خواهد شد. ( مقالات SANS )

اگر در IOC شما indicator های (شاخص های) اشتباهی تنظیم شوند، می توانند به آسانی منجر به لو رفتگی اطلاعات مهم شود اما همچنین سختگیری زیاد در تعیین شاخص ها نیز می تواند باعث ایجاد خطاهای اشتباهی یا False Positive شوند که این خود می تواند باعث نادیده گرفتن خطرات امنیتی شود در نتیجه تجهیز کردن دقیق IOC ها بر اساس متد TTPs ها، می تواند در تشخیص صحیح دشمن و حرکت به سوی امنیتی پایدار گام های اساسی بردارد.( مقالات SANS )

در نظر داشته باشید که یک IOC خوب باعث می شود که شما بتوانید با شاخص های صحیح، به عملکردی سریع و صحیح دست یابید و بدانید که شکار یک تهدید امنیتی به نحوه خوب، بسیار نتیجه خوبی برجای خواهد گذاشت. هرگز یک IOC را یک روال ثابت و تکراری در نظر نگیرید. همانطور که تا بحال گفته شد شما می توانید بعدا با استفاده از حتی همین IOC های ناقص اقدام به نوشتن یک تئوری خوب و قدرتمند امنیتی نمایید.( مقالات SANS )

در یک رویکرد Intelligence-Driven خوب می توان با استفاده از بررسی خطرات امنیتی که در گذشته در نقاط مختلف روی داده است فهمید که حیطه نفوذ مهاجمان چه چیزهایی بوده است و با چه خطاهای سطح پایینی شروع شده اند و درنهایت به یک خطر امنیتی تبدیل شده اند و همچنین خطاهای false positive را نیز میتوان درک کرد. شاخص های مورد استفاده بایستی به نحوی باشند که بتوانند سریعا اقدام به یافتن خطرات پیش رو نمایند و با تحریک دقیق الگوریتم های امنیتی، اقدام به دادن خطای صحیح نمایند. رویکرد intelligence-Driven  می تواند به سرعت اقدام به شناسایی خطرات محیطی بنماید اما متخصصین امنیت بایستی قبل از استفاده از این روش بدانند که حیطه امنیتی که میخواهند و شرح وظایف لازمه در این روش چه مواردی می باشد.( مقالات SANS )

دفع خطرات شبکه ای با بازگشتن به رویکرد intelligence-Driven در آینده برای داشتن شبکه ای ایمن

همانطور که گفتیم تئوری های ساخته شده روال هایی ثابت نیستند، به این مثال توجه کنید زمانیکه درحال بررسی یک رخداد امنیتی هستیم یک ماشین بررسی کننده ۲ نوع گزارش چاپ می کند :

  1. مهاجم سعی در نفوذ به سیستم از طریق تغییر در کلیدها و رجیسترهای موجود سیستم برای نیل به اهداف خود را دارد.
  2. مهاجم قصد دارد تا با استفاده از روت کیت Rootkit اقدام به نفوذ به درون کارت گرافیک سیستم شما دارد.

نتیجه اینکه سیستم بررسی کرده و میبیند که نفوذ از طریق روش اول برای نفوذگر آسان تر بوده و وقت کمتر می گیرد لذا سیستم برای جلوگیری از نفوذ به سیستم از طریق روش اول اقدام می کند و سپس این روش ها و تمامی جزئیات را با توجه به اعمال نفوذگر تا لحظه آخر ثبت کرده تا حد امکان نفوذگر را محدود میکند و تمامی این اقدامات را در یک تئوری جدید برای استفاده آینده به ثبت می رساند. ( مقالات SANS )

پایان قسمت اول


نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *