۱۱ نکته در کشف تهدیدات داخلی

۱۱ نکته در کشف تهدیدات داخلی

ارسال شده در تاریخ : ۳۱ شهریور, ۱۳۹۵

۱۱ نکته در کشف تهدیدات داخلی

متخصصان امنیت دائما در مورد تهدیدات داخلی هشدار دریافت می کنند. به آنها گفته می شود شرکت ها نیاز به نرم افزار نسل آینده، اطلاعات یکپارچه درباره تهدیدات و توانایی همبسته سازی حجم انبوهی از لاگ و اطلاعات رویدادها برای آماده شدن در برابر این تهدیدات دارند. به آنها گفته می شود این ابزارها برای مسدود سازی حملات و بهبود یافتن از حملات ضروری هستند. متاسفانه زمانی که شرکت ها در نهایت تشخیص می دهند که آلوده شده اند، این را نیز متوجه می شوند که در تمام مدت سیستم های آنها آلوده بوده است. حملات داخلی می تواند شامل ترکیبی از افراد خودی مخرب، افراد خودی در معرض خطر و افراد خودی بی دقت باشد. برای کمک به شرکت ها در پیدا کردن هرچه سریع تر خطرات داخلی، در این مقاله توصیه هایی از متخصصان امنیت برای کمک به شرکت ها در یافتن حملات داخلی آورده شده است.

نکته ۱: در ترافیک DNS خود مراقب الگوهای بیگانه باشید
DNS لایه ای است که معمولا فراموش می شود. می توان از آن برای استخراج داده استفاده کرد. الگوهای عجیب در ترافیک DNS (مثل هش ها) می توانند نشانی بر این باشند که اتفاقی در شرف وقوع است.

نکته ۲: در احراز هویت host-to-host لاگ ها رابررسی کنید
زمانی که میبینید فردی از یک هاست دیگر در هاستی احراز هویت می شود در حالی که هاست مقصد تنها از طریق کنترل گر دامین تصدیق می شود احتمالا با مشکل روبرو هستید. در این حالت شناختن ابزارهایی که مهاجمان استفاده می کنند مانند PSExec یا Mimikatz – مهم است و ترافیک مرتبط با این ابزارها را بررسی کنید. برای ابزارهایی مانند اینها متداول است که استفاده از ارتباطات هاست به هاست، برای حرکت میان پنجره های کامپیوترهای یک شبکه استفاده شوند.

نکته ۳: به دنبال اطلاعات هویتی کارکنان روی وب بگردید
سایت های paste مانند Pastebin را برای بررسی اطلاعات محرمانه فاش شده کارمندان تحت نظر قرار دهید. اگر اطلاعات منتشر شده در وب مورد سوء استفاده قرار گرفته باشد، می توانید وارد عمل شوید و کارمندی که اطلاعاتش به سرقت رفته نیز نخواهد فهمید. با تغییر رمز عبور و پیاده سازی احراز هویت دو مرحله ای وارد عمل شوید.

نکته ۴: به جریان داده ها در اطراف دارایی های کلیدی توجه کنید
یک شخص نفوذی مخرب اغلب حجم زیادی از داده ها را در بازه زمانی کمی به سرقت می برد. جمع آوری حجم زیاد داده با نظارت بر تجهیزات داخلی به راحتی قابل تشخیص است. با نظارت بر ترافیک داخلی، تیم ها می توانند به سرعت متوجه شوند که داده ای به خارج از شبکه فرستاده می شود یا برای خروج بین دستگاه های متعدد منعکس شده است.

enhance-the-security-of-virtual-servers-lockdown

نکته ۵: لاگین های چندین ماشین را به سرویس های ذخیره سازی مبتنی بر کلاد مپ کنید
لاگین های کاربران به ماشین های مختلف از یک حساب کاربری، دسترسی به ذخایر بزرگ داده ها در این سیستم ها و سینک داده های آنها به سرویس ذخیره سازی مبتنی بر کلاد مانند Dropbox را تحت نظر قرار دهید. فرد نفوذی می تواند اطلاعات هویتی فاش شده کاربران را برای دسترسی به حساب کاربری Dropbox آنها استفاده کند- در غیر این صورت این آپلود داده می تواند مانند استفاده عادی کاری از سرویس ها دیده شود.

نکته ۶: از اطلاعات هویت و فایل های جعلی به عنوان طعمه استفاده کنید
یک فرد نفوذی ممکن است در اطراف شبکه در جستجوی اطلاعات هویت جدید بچرخد و از اطلاعاتی که به تازگی پیدا کرده برای دسترسی به داده ها استفاده کند. با راه اندازی اعتبار و فایل های جعلی به عنوان طعمه، می توانید ببینید این اطلاعات چه زمانی استفاده می شود.

نکته ۷: به دنبال چیزهایی بگردید که دیگر وجود ندارند
افراد نفوذی اغلب سعی در پوشاندن رد خود دارند و بد افزارها، با پاک کردن اطلاعات سعی در ماندگار شدن خواهند داشت. به دنبال کلیدهای رجیستری، سرویس ها و اشیاء کمک کننده ای باشید که مورد دسترسی و استفاده قرار گرفته اند یا در غیر اینصورت در گذشته اجرا شده و اکنون دیگر روی ماشین وجود ندارند. این می تواند نشانه ای از وجود یک نیروی نفوذی در آنجا باشد.

نکته ۸: لاگ های احراز هویت endpoint را با لاگ های ActiveDirectory مپ کنید
اکر کاربری قبلا تنها از سه یا جهار دارایی شبکه ای استفاده کرده ولی اکنون در یک بازه زمانی کوتاه به میزان قابل توجهی بیشتر دسترسی یافته احتمال یک خرابکاری داخلی وجود دارد. به علاوه لاگ های Active Directory (AD) باید با لاگ های endpoint ها مرتبط و به آنها افزوده شود، زیرا اینها شامل احراز هویت حساب های محلی هستند که ممکن است در AD قابل مشاهده نباشد.

نکته ۹: تعیین محل اولین نمونه از یک رویداد
به دنبال اولین باری باشید که یک فعالیت انجام شده است. اگر تاکنون این فعالیت را ندیده اید، ممکن است به شروع یک حمله داخلی اشاره کند. HSBC و Sabre دو نمونه از این موارد هستند که کارمندان غیر واقعی با استفاده از نام مستعار ساخته می شوند و فعالیت های جدید تحت آن نام مستعار جدید انجام می شود.

security-network

نکته ۱۰: ابزارهای آی تی مورد استفاده را شناسایی کنید
در گزارشی جدید به نام Application Usage and Threat اشاره شده است که بیش از ۴۴۰۰ سازمان بیش از ۵ اپلیکیشن دسترسی راه دور متمایز را به طور همزمان استفاده می کنند – اکثر سازمان ها انتظار یک یا ۲ ابزار را دارند نه ۵ ابزار، در عین حال که ممکن است استفاده آگاهانه مطرح باشد، استفاده از این ابزارها می تواند به عواقب غیر عمدی منجر شود.

نکته۱۱: قبل از پاک کردن بدافزار آن را آنالیز کنید
از آنجایی که در حال اجرا نگه داشتن برنامه ها اولویت دارد، سازمان ها در این عادت گیر افتاده اند که بدافزار را تشخیص دهند و به سرعت سیستم های آلوده را پاک سازی کنند که بتوانند به دنیای آنلاین بازگردانند. بدافزار نشانه وقوع یک اتفاق بد است – شرکت ها نباید این سرنخ مهم را انقدر سریع پاک کنند زیرا می تواند به آنها کمک کند این زنجیره سایبری را شناسایی کرده و از بین ببرند. بد افزار انتهای راه نیست بلکه اغلب شروع است. دانستن این موضوع مهم است که کارمندان پیش از تشخیص بد افزار چه می کردند و پس آلوده شدن چه کارهایی انجام داده اند.

 

تماس با ما

هر سوالی داشتید با ما در میان بگذارید