ملحوظة المحرر: في هذا المقال ، يشرح سيرجي كيف تستخدم ScienceSoft مؤشرات الاختراق (IoCs) للإشارة إلى علامات عدم أمان الشبكة. تابع القراءة للحصول على بعض النصائح المفيدة! وإذا كنت ترغب في ضمان حماية شاملة للشبكة ، فنحن نرحب بك لاستكشاف عرض مخصص أعدته ScienceSoft فريق pentesting.
نظرًا للتصاعد الوبائي للانتهاكات الأمنية ، يركز مقدمو استشارات أمن المعلومات وموظفو الأمن جهودهم على الكشف المبكر عن التهديدات الإلكترونية. للحصول على علامات تدل على أن الشبكة غير آمنة في أسرع وقت ممكن ، يستخدم متخصصو نظم المعلومات مؤشرات التسوية (IoCs). دعنا نصحح قيمتها وسلبياتها لأمن معلومات الشركة.
المحتويات
ما هو IoC؟
تشير مؤشرات الاختراق إلى احتمال أن تكون ضارة أنشطة على نظام أو شبكة و الآثار التي تشير بثقة عالية إلى اقتحام الكمبيوتر.
قد تخدم أمثلة الأنشطة المشبوهة أنماط حركة مرور غير عادية بين الأنظمة الداخلية وأنماط استخدام غير معتادة للحسابات المميزة ووصول إداري إلى شبكتك من موقع جغرافي غير متوقع. تشتمل العناصر الرقمية على عناوين IP وأسماء مضيف مشبوهة وعناوين URL وأسماء نطاقات botnets وتجزئة MD5 لملفات البرامج الضارة وتوقيعات الفيروسات وإدخالات تسجيل Windows وعمليات الشبكة والخدمات.
يعثر مسؤولو الأمان على مؤشرات الاختراق في سجلات المضيف ، بالإضافة إلى سجلات أجهزة الشبكة. التي تم تحديدها ، يتم تطبيق IoCs للكشف عن الهجمات المستقبلية باستخدام حلول الأمان الآلية (أنظمة SIEM ، مضادات الفيروسات ، IDS / IPS ، HIDS / HIPS).
مصادر IoC
هناك نوعان من مصادر IoCs: خارجي وداخلي.
تتضمن مستودعات IoC الخارجية المصادر التجارية ، بالإضافة إلى المصادر المجانية. يقوم بائعو استشارات أمن المعلومات المختلفون (RSA و Norse و McAfee و Symantec ، على سبيل المثال لا الحصر) وفرق أبحاث الأمان (IBM X-Force) بتوفير IoCs لعملائهم على أساس تجاري. بالإضافة إلى ذلك ، تتم مشاركة بيانات IoC من قبل العديد من مجموعات مركز تبادل المعلومات وتحليلها (ISAC) في العديد من الصناعات. على سبيل المثال ، FS ISAC (المالية) ، R-ISAC (البيع بالتجزئة) ، IT-ISAC (IT).
يمكن العثور على مصادر IoC المجانية في مواقع مخصصة ، على سبيل المثال ، دلو IoC. يسمح موقع الويب هذا بتنزيل معلومات إضافية حول مؤشرات التسوية المختلفة والحصول عليها ، بالإضافة إلى تشجيع تحميل IoCs الجديدة ومشاركتها مع مجتمع تكنولوجيا المعلومات.
مصدر آخر رائع لبيانات IoC هو Google. يستخدم المتخصصون الأمنيون خدمة تنبيهات Google أو حتى بحث Google البسيط لتوليد النتائج ذات الصلة.
من العيوب الرئيسية للمؤشرات الخارجية للتسوية أنها قد تولد إيجابية كاذبة عند تطبيقها على بيئة معينة. لذلك ، يتولى متخصصو أمن معلومات الشركات أدوار المحققين ويطورون IoCs المخصصة لشبكاتهم ومضيفيهم.
تصف مؤلفة كتاب Dark Reading ، Ericka Chickowski في مقالتها 15 مؤشرًا رئيسيًا للتسوية:
- حركة مرور غير عادية للشبكة الصادرة.
- الشذوذ في نشاط حساب المستخدم المميز.
- المخالفات الجغرافية.
- أعلام حمراء لتسجيل الدخول.
- الزيادات في حجم قراءة قاعدة البيانات.
- أحجام استجابة HTML.
- عدد كبير من الطلبات لنفس الملف.
- حركة مرور تطبيق المنفذ غير متطابقة.
- التغييرات المشبوهة في التسجيل أو ملفات النظام.
- طلبات DNS غير العادية.
- تصحيح غير متوقع للأنظمة.
- تغييرات ملف تعريف الجهاز المحمول.
- حزم البيانات في المكان الخطأ.
- حركة الويب بسلوك غير بشري.
- علامات نشاط DDoS.
هذه القائمة ليست شاملة. عادة ، يقوم متخصصو أمن المعلومات بإنشاء IoCs جديدة بناءً على المعلومات من المؤتمرات ، والقراءة الإضافية حول نقاط الضعف المكتشفة حديثًا والحوادث السابقة.
قيمة IoC
تسمح بيانات IoC لمتخصصي أمن المعلومات لتحديد أن الشبكة قد تم اختراقها بالفعل واحصل على التفاصيل ماذا حدث ومن المتورط ومتى وقع الهجوم.
يقوم مستشارو أمن المعلومات بدمج مؤشرات الاختراق في حلول الأمان المؤتمتة (على سبيل المثال ، أنظمة SIEM و IDS / IPS و HIDS / HIPS ومضادات الفيروسات) مما يوفر أدلة إضافية حول ما إذا كان العنصر المعني ضارًا. بعد جمع وتنفيذ مؤشرات التسوية لتهديد معين ، يمكن لمتخصصي الأمن المسح عبر الشبكة للبحث عن أي من هؤلاء. يعد وجود ملفات بها تجزئة معينة أو عمليات تشغيل تحت اسم معين علامة على تعرض الشبكة للاختراق.
IoCs لمواجهة APTs
تعمل مؤشرات الاختراق كعلامات حمراء تشير إلى متخصصي أمن المعلومات حول هجوم إلكتروني محتمل أو مستمر. على وجه الخصوص ، فهي مفيدة في تعقب APTs (التهديدات المستمرة المتقدمة). عادةً ما يتجاوز هجوم APT تقنيات الأمان التقليدية ، حيث تكون إشاراته ضعيفة جدًا. قبل اكتشافه ، قد يستمر APT لمدة عام في شكل كامن. تسمح IoCs لأخصائيي أمن المعلومات باكتشاف وجود APT ووقف تهريب البيانات. فيما يلي بعض الأمثلة على IoCs الشائعة للكشف عنها كاربانك (حملة على غرار APT تستهدف بشكل رئيسي المؤسسات المالية):
- الاتصال بخوادم القيادة والتحكم الموجودة في مكان مشبوه (الصين ، على وجه الخصوص).
- التنفيذ الناجح لرمز بعيد جديد في الشبكة ، مما يؤدي إلى تثبيت Carbanak على نظام الضحية.
- الكتابة في مسار ملف من خلال أدلة نظام حساسة ، مثل System 32. Carbanak ، على سبيل المثال ، ينسخ نفسه إلى “٪ system32٪ com” بالاسم “svchost.exe” مع نظام سمات الملفات ، مخفي وقراءة فقط.
- ظهور خدمات جديدة أو بدايات آلية. تقوم Carbanak ، على سبيل المثال ، بإنشاء خدمة جديدة لضمان حصولها على امتيازات التشغيل التلقائي.
- وجود أدوات المسؤول عن بعد (RATs). يستخدم مهاجمو Carbanak Ammyy Admin RAT لأنه شائع الاستخدام من قبل المسؤولين ، وبالتالي يتم إدراجه في القائمة البيضاء.
- وجود عمليات تسجيل الدخول عن بُعد. في حالة هجوم Carbanak ، تشير سجلات أدوات RAT إلى أنه تم الوصول إليها من خلال اثنين من عناوين IP المختلفة ، التي يستخدمها المهاجمون ، وتقع في أوكرانيا وفرنسا.
- وجود أدوات غير عادية لتكنولوجيا المعلومات. يستخدم مهاجمو Carbanack أدوات إضافية ، مثل Metasploit و PsExec و Mimikatz ، للسيطرة على شبكة الضحية.
قيود IoC
تعمل IoCs على تحسين الموقف الأمني للشركة من خلال التركيز على تحليل الطب الشرعي للتسوية التي حدثت بالفعل. هذا بالأحرى رد الفعل من أ استباقي مقاربة. تساعد هذه المؤشرات في منع التهديدات المتكررة والمستمرة ، ولكنها ليست مصممة لاكتشاف التهديدات الجديدة أو المعدلة ، على سبيل المثال ، الهجمات الخالية من البرامج الضارة أو عمليات الاستغلال في يوم الصفر.
ومع ذلك ، فإن معظم الهجمات ، بما في ذلك APT ، تستخدم سيناريوهات استغلها شخص ما بالفعل في حالات خرق أمني مماثلة. هذا هو السبب في قيام مجتمع تكنولوجيا المعلومات بتوثيق ومشاركة مؤشرات التسوية للاستجابة للحوادث وتحسين الطب الشرعي الحاسوبي.
خدماتنا الأمنية
استشارات الأمن السيبراني
هل تريد الحفاظ على بيانات عملك آمنة؟ نحن نقدم خدمات استشارات أمن المعلومات التي تعالج التحديات الأمنية مهما كانت تعقيدها.
خدماتنا الأمنية