Threat Hunting
تعریف:
شکار تهدیدات فرآیند جستجوی پیش کنشانه، مداوم و مبتنی بر عامل انسانی در شبکه ها، سیستم های کاربران و یا دیتاست ها با هدف شناسایی فعالیت های مشکوک و یا مخربی است که ابزارهای خودکار تشخیص تهدیدات از شناسایی آنها عاجز مانده اند
تعریف:
شکار تهدیدات فرآیند جستجوی پیش کنشانه، مداوم و مبتنی بر عامل انسانی در شبکه ها، سیستم های کاربران و یا دیتاست ها با هدف شناسایی فعالیت های مشکوک و یا مخربی است که ابزارهای خودکار تشخیص تهدیدات از شناسایی آنها عاجز مانده اند
شکار تهدید فرآیند پیشگیرانه و متناوب جستجو در شبکه ها برای تشخیص و تفکیک تهدیدات پیشرفته ای است که راهکارهای امنیتی موجود را دور زده اند. این فعالیت نقطه مقابل راهکارهای مدیریت تهدید سنتی مانند فایروال ها، سیستم های تشخیص نفوذ و تجهیزات SIEM است؛ راهکارهایی که معمولا بررسی یک تهدید را بعد از دریافت یک هشدار یا بعد از وقوع یک رخداد انجام می دهند. پس می توان گفت، فرآیند شکار تهدید، پیشگیرانه است از آن جهت که سعی دارد قبل از وقوع رخداد تهدیدات احتمالی را شناسایی کند یا تهدیدات را در گام های اولیه وقوع منهدم سازد و در عین حال متناوب است زیرا باید در یک چرخه انجام شود در هر دور حلقه اثرات آن بهبود یاد.
اما فرآیند شکار تهدید می تواند یک فرآیند دستی (غیرخودکار) باشد که در طی آن تحلیل گر امنیت، اطلاعات مختلف را وارسی می کند تا از طریق آن به فرض ها یا سناریوهای احتمالی تهدید برسد. اما در برخی شرایط و با هدف کارآیی و اثربخشی بهتر می توان این فرآیند را خودکار کرد یا در انجام آن از ماشین بهره گرفت.
اما فرآیند شکار تهدید می تواند یک فرآیند دستی (غیرخودکار) باشد که در طی آن تحلیل گر امنیت، اطلاعات مختلف را وارسی می کند تا از طریق آن به فرض ها یا سناریوهای احتمالی تهدید برسد. اما در برخی شرایط و با هدف کارآیی و اثربخشی بهتر می توان این فرآیند را خودکار کرد یا در انجام آن از ماشین بهره گرفت.
پس از تعیین تعداد دفعات شکار و همچنین تعیین هدف شکار، می توان فرآیند شکار را آغاز کرد. در حالی که مدل زمان بندی تشریح شده در بخش قبل می تواند به تعیین تعداد دفعات شکار در یک بازه زمانی کمک کند، سوال اینجاست که فرآیند کاربردی برای انجام فعالیت شکار چیست؟
به منظور پاسخ به این سوال، شرکت Sqrrl چرخه ای با عنوان چرخه شکار تهدیدات معرفی کرده است که می تواند راهنمایی برای تحلیلگران در پیاده سازی تاکتیکی یک فعالیت شکار تهدیدات باشد.
همانگونه که در شکل نیز مشاهده می شود، چرخه شکار تهدیدات شامل چهار گام به شرح زیر است.
یک فعالیت شکار تهدید با خلق یک فرضیه یا یک حدس پرورش یافته درباره نوعی از فعالیتی که می توانسته در محیط سازمان شما اجرا شود، آغاز می شود. فرضیات معمولا بر اساس فاکتورهایی شامل اطلاعات تهدید، تجربیات گذشته و اطلاعات به دست آمده از همکاران یا سایر ذینفعان تنظیم و قاعده مند می شود.
شکارچی تهدید فرضیات خلق شده در گام قبلی را با بررسی از طریق تکنیک ها و ابزارهای مختلف دنبال می کند. این تکنیک ها و ابزارها در سایر بخش ها به تفصیل بیان خواهند شد، اما در کل تحلیلگران می توانند از آنها برای کشف الگوهای مخرب جدید در داده ها استفاده کنند و مسیرهای پیچیده یک حمله را برای نشان دادن تاکتیک ها، تکنیک ها و ابزارهای (TTP) مورد استفاده مهاجم، باز سازی کنند.
شکارچی تهدید با استفاده از تکنیک های دستی، جریان کاری مبتنی بر ابزار یا تحلیل، اقدام به کشف ناهنجاری یا الگوهای خاص که ممکن است در بررسی ها یافت شود، می کند. موفقیت در شکار تهدید، به آنچه در این گام یافت می شود بستگی دارد. از این رو این گام و نتایج آن بسیار حائز اهمیت است. حتی در صورتی که یک ناهنجاری یا ردپایی از مهاجم یافت نشود، می توان وجود یک تاکتیک یا نشانه خاص را رد کرد. به بیان دیگر، رد کردن فرضیه قربانی شدن و وجود مهاجم در شبکه خود می تواند یک دستاورد باشد. در اصل، این گام به عنوان اثبات یا رد فرضیات شما عمل می کند.
در نهایت، شکار تهدید می تواند به غنی تر کردن تحلیل های خودکار بیانجامد. زمان تیم شکار تهدید خود را با انجام شکارهای تکراری و یکسان تلف نکنید. در صورتی که نشانه یا الگویی یافت شود که بتواند مجددا در محیط سازمان شما (یا سازمان هدف) رخ دهد، تشخیص آن را خودکار کنید تا تیم شکار تهدیدات شما بتواند روی شکار تهدید جدید تمرکز کند. اطلاعات به دست آمده از شکارها می تواند به بهبود مکانیزم های تشخیص موجود مانند نشانه های تشخیص یا قوانین SIEM منجر شود.
به منظور پاسخ به این سوال، شرکت Sqrrl چرخه ای با عنوان چرخه شکار تهدیدات معرفی کرده است که می تواند راهنمایی برای تحلیلگران در پیاده سازی تاکتیکی یک فعالیت شکار تهدیدات باشد.
همانگونه که در شکل نیز مشاهده می شود، چرخه شکار تهدیدات شامل چهار گام به شرح زیر است.
یک فعالیت شکار تهدید با خلق یک فرضیه یا یک حدس پرورش یافته درباره نوعی از فعالیتی که می توانسته در محیط سازمان شما اجرا شود، آغاز می شود. فرضیات معمولا بر اساس فاکتورهایی شامل اطلاعات تهدید، تجربیات گذشته و اطلاعات به دست آمده از همکاران یا سایر ذینفعان تنظیم و قاعده مند می شود.
شکارچی تهدید فرضیات خلق شده در گام قبلی را با بررسی از طریق تکنیک ها و ابزارهای مختلف دنبال می کند. این تکنیک ها و ابزارها در سایر بخش ها به تفصیل بیان خواهند شد، اما در کل تحلیلگران می توانند از آنها برای کشف الگوهای مخرب جدید در داده ها استفاده کنند و مسیرهای پیچیده یک حمله را برای نشان دادن تاکتیک ها، تکنیک ها و ابزارهای (TTP) مورد استفاده مهاجم، باز سازی کنند.
شکارچی تهدید با استفاده از تکنیک های دستی، جریان کاری مبتنی بر ابزار یا تحلیل، اقدام به کشف ناهنجاری یا الگوهای خاص که ممکن است در بررسی ها یافت شود، می کند. موفقیت در شکار تهدید، به آنچه در این گام یافت می شود بستگی دارد. از این رو این گام و نتایج آن بسیار حائز اهمیت است. حتی در صورتی که یک ناهنجاری یا ردپایی از مهاجم یافت نشود، می توان وجود یک تاکتیک یا نشانه خاص را رد کرد. به بیان دیگر، رد کردن فرضیه قربانی شدن و وجود مهاجم در شبکه خود می تواند یک دستاورد باشد. در اصل، این گام به عنوان اثبات یا رد فرضیات شما عمل می کند.
در نهایت، شکار تهدید می تواند به غنی تر کردن تحلیل های خودکار بیانجامد. زمان تیم شکار تهدید خود را با انجام شکارهای تکراری و یکسان تلف نکنید. در صورتی که نشانه یا الگویی یافت شود که بتواند مجددا در محیط سازمان شما (یا سازمان هدف) رخ دهد، تشخیص آن را خودکار کنید تا تیم شکار تهدیدات شما بتواند روی شکار تهدید جدید تمرکز کند. اطلاعات به دست آمده از شکارها می تواند به بهبود مکانیزم های تشخیص موجود مانند نشانه های تشخیص یا قوانین SIEM منجر شود.
مدل MITRE-ATT&CK – معرفی و موارد کاربرد✍
مدل MITRE ATT&CK – معرفی و موارد کاربرد
مدل یا به عبارتی چارچوب ATT&CK که توسط شرکت MITRE توسعه یافته است، طبقهبندی هدفمند تاکتیکها و تکنیکهای مورد استفاده توسط مهاجمین است که روی شبکههای سازمانی مشاهده و کشف شده است. بهبیان دیگر، شرکت MITRE، جهت شناسایی تهدیدات، به خصوص تهدیدات پیشرفته و چندگامی مدلی را عرضه کرده است که گامهای مورد نظر مهاجمان و روش های کلی پیشگیری و تشخیص آنها را مدون و مستند کرده است. به عنوان نمونه در مدل ATT&CK (مخفف Attack Tactics Techniques and Common Knowledge) با فرض اینکه مهاجم سیستمی را آلوده کرده باشد، گامهای محتمل بعدی (نظیر Lateral Movement و …) و روشهای مورد استفاده برای تحقق این گامها، مستند شده است. مدل مذکور، یک مدل جزییتر از مدلهای سطح بالاتری نظیر Kill Chain است.
مدل سطح بالا و کلی Kill Chain جهت شناسایی هرچه بهتر تهدیدات پیشرفته و چندگامی، گام های احتمالی نفوذ یک مهاجم را به شش دسته تقسیم کرده است؛ از آن جایی که گام های مذکور بسیار کلی است و تا سطح عملیاتی فاصله زیادی دارد، مدل ATT&CK با جزییات بیشتر و دقیق تر به عنوان یک مدل سطح میانی در شناسایی تهدیدات و رفتارهای مهاجمان ایفای نقش می کند. در واقع، ATT&CK، مدل جزیی تری از سه گام انتهایی مدل Kill Chain است.
به صورت کلی می توان گفت مدل ATT@CK کاربردهای زیر را دارد
شبیهسازی رفتار مهاجمان
میتوان از مدل مذکور جهت ارزیابی امنیت داراییها و فناوریها بهره برد. این فرآیند (ارزیابی امنیتی) با بهکارگیری اطلاعات تهدید سایبری درباره مهاجمان و نحوه عملکردشان که در چارچوب MITRE گنجانده شده است قابل انجام است. به بیان دیگر، تمرکز این فرآیند، بر روی آزمودن توانایی یک سازمان در تشخیص یا کاهش سطح تهدید ناشی از فعالیت مهاجمان است. می توان به راحتی سناریوهای شبیه سازی رفتار مهاجمان را از روی مدل MITRE استخراج کرد.
ارزیابی گپ (Gap Assessment)
فرآیند Gap Assessment به یک سازمان این امکان را می دهد تا مشخص کند کدام یک از بخش های دفاعی یک سازمان دچار نقصان و کمبود است. ATT&CK می تواند در این حوزه نیز نقش خود را ایفا کند و ابزارها و راهکارهای تشخیصی و دفاعی شبکه را ارزیابی کند.
ارزیابی سطح بلوغ مرکز عملیات امنیت
مرکز عملیات امنیت مولفه کلیدی سازمان های متوسط تا بزرگ به شمار می آیند که به صورت مداوم تهدیدات احتمالی در شبکه را رصد می کند. درک سطح بلوغ یک مرکز عملیات امنیت در اندازه گیری میزان کارآمدی آن موثر است. چارچوب ATT&CK میتواند به عنوان معیار و سنجش میزان کارآمدی مرکز عملیات امنیت ایفای نقش کند.
غنیسازی اطلاعات تهدید
قالب ساخت یافتهی ATT&CK میتواند دادههای بیشتری را به اطلاعات تهدید بیافزاید. بهبیان دقیقتر، اطلاعات و گزارشات تهدیدات و رخدادهای سایبری، میتواند با استفاده از مدل مذکور دستهبندی شود و از این طریق دید بیشتری را نسبت به وضعیت تهدید، تهدیدات احتمالی و نحوه تشخیص تهدیدات ارایه کند.
کاربردهای مذکور تنها بخشی از کاربردهای ATT&CK است و با فراگیری هرچه بیشتر این مدل، کاربردهای بیشتری نیز از آن کشف خواهد شد.
http://www.hypersec.ir/?p=592🌎
@hypersec
t.me/hypersec
مدل MITRE ATT&CK – معرفی و موارد کاربرد
مدل یا به عبارتی چارچوب ATT&CK که توسط شرکت MITRE توسعه یافته است، طبقهبندی هدفمند تاکتیکها و تکنیکهای مورد استفاده توسط مهاجمین است که روی شبکههای سازمانی مشاهده و کشف شده است. بهبیان دیگر، شرکت MITRE، جهت شناسایی تهدیدات، به خصوص تهدیدات پیشرفته و چندگامی مدلی را عرضه کرده است که گامهای مورد نظر مهاجمان و روش های کلی پیشگیری و تشخیص آنها را مدون و مستند کرده است. به عنوان نمونه در مدل ATT&CK (مخفف Attack Tactics Techniques and Common Knowledge) با فرض اینکه مهاجم سیستمی را آلوده کرده باشد، گامهای محتمل بعدی (نظیر Lateral Movement و …) و روشهای مورد استفاده برای تحقق این گامها، مستند شده است. مدل مذکور، یک مدل جزییتر از مدلهای سطح بالاتری نظیر Kill Chain است.
مدل سطح بالا و کلی Kill Chain جهت شناسایی هرچه بهتر تهدیدات پیشرفته و چندگامی، گام های احتمالی نفوذ یک مهاجم را به شش دسته تقسیم کرده است؛ از آن جایی که گام های مذکور بسیار کلی است و تا سطح عملیاتی فاصله زیادی دارد، مدل ATT&CK با جزییات بیشتر و دقیق تر به عنوان یک مدل سطح میانی در شناسایی تهدیدات و رفتارهای مهاجمان ایفای نقش می کند. در واقع، ATT&CK، مدل جزیی تری از سه گام انتهایی مدل Kill Chain است.
به صورت کلی می توان گفت مدل ATT@CK کاربردهای زیر را دارد
شبیهسازی رفتار مهاجمان
میتوان از مدل مذکور جهت ارزیابی امنیت داراییها و فناوریها بهره برد. این فرآیند (ارزیابی امنیتی) با بهکارگیری اطلاعات تهدید سایبری درباره مهاجمان و نحوه عملکردشان که در چارچوب MITRE گنجانده شده است قابل انجام است. به بیان دیگر، تمرکز این فرآیند، بر روی آزمودن توانایی یک سازمان در تشخیص یا کاهش سطح تهدید ناشی از فعالیت مهاجمان است. می توان به راحتی سناریوهای شبیه سازی رفتار مهاجمان را از روی مدل MITRE استخراج کرد.
ارزیابی گپ (Gap Assessment)
فرآیند Gap Assessment به یک سازمان این امکان را می دهد تا مشخص کند کدام یک از بخش های دفاعی یک سازمان دچار نقصان و کمبود است. ATT&CK می تواند در این حوزه نیز نقش خود را ایفا کند و ابزارها و راهکارهای تشخیصی و دفاعی شبکه را ارزیابی کند.
ارزیابی سطح بلوغ مرکز عملیات امنیت
مرکز عملیات امنیت مولفه کلیدی سازمان های متوسط تا بزرگ به شمار می آیند که به صورت مداوم تهدیدات احتمالی در شبکه را رصد می کند. درک سطح بلوغ یک مرکز عملیات امنیت در اندازه گیری میزان کارآمدی آن موثر است. چارچوب ATT&CK میتواند به عنوان معیار و سنجش میزان کارآمدی مرکز عملیات امنیت ایفای نقش کند.
غنیسازی اطلاعات تهدید
قالب ساخت یافتهی ATT&CK میتواند دادههای بیشتری را به اطلاعات تهدید بیافزاید. بهبیان دقیقتر، اطلاعات و گزارشات تهدیدات و رخدادهای سایبری، میتواند با استفاده از مدل مذکور دستهبندی شود و از این طریق دید بیشتری را نسبت به وضعیت تهدید، تهدیدات احتمالی و نحوه تشخیص تهدیدات ارایه کند.
کاربردهای مذکور تنها بخشی از کاربردهای ATT&CK است و با فراگیری هرچه بیشتر این مدل، کاربردهای بیشتری نیز از آن کشف خواهد شد.
http://www.hypersec.ir/?p=592🌎
@hypersec
t.me/hypersec
👍1
شواهد مجازی و نشانگرهای آلودگی✍
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
شواهد مجازی و نشانگرهای آلودگی✍
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01