راهکارهای تدافعی را دست کم نگیرید
عملیات تدافعی
یک سازمان همواره نیاز دارد تا دو مؤلفه خدمات تیم آبی و جرم شناسی دیجیتالی را با هم داشته باشد، در همین خصوص ترکیب دو بخش خدماتی تیم آبی با جرم شناسی که در وظایت کاری خود شکار تهدید و پاسخ به حادثه را دارد میتواند یک رویکرد بسیار قدرتمند در عرصه ایجاد مرکز عملیات امنیت (SOC) باشد، به همین منظور مدیریت و کنترل سامانه های دفاعی و رهگیری را تیم های آبی بر عهده گرفته و پایش های تخصصی و حرفه ای داده های جمعآوری شده را تیم جرم شناسی و رهگیری تهدیدات انجام خواهند داد.
5
پروژه های تکمیل شده
9
کارشناسان فعال
15
رصد های تهاجمی
27
تحقیقات و توسعه
جرم شناسی دیجیتال
شناسایی زودهنگام و تحقیقات سریع برای دفع مهاجمان و پاسخگویی به تهدیدها بسیار مهم است. اما تعداد بیشماری هشدار، اطلاعات ناکافی و عدم دید می تواند شما را از انجام این کارهای مهم باز دارد. اینجاست که ما وارد می شویم. ما هم از نظر امنیت سایبری (اطلاعات تهدید و شکار تهدید) و هم پاسخ سریع به حوادث (ِDFIR)، یک نظارت مستمر 24 ساعته بر منابع IT را ارائه می دهیم. ما از شما دعوت می کنیم تا با سرویس SOC به عنوان سرویس ارائه شده توسط تیم مرکز عملیات امنیتی (SOC) آشنا شوید.
حادثه امنیتی
ایمنسازی صحیح ردیابی های دیجیتال امکان تجزیه و تحلیل عمیق حادثه را فراهم می کند و به شما امکان می دهد جزئیات چگونگی وقوع و عملیاتی که مهاجم انجام داده را تعیین کنید.
شناسایی تهدیدات شبکه
مهاجمان اغلب از روش های مبهم سازی در خصوص کانال های ارتباطی با مرکز فرمان خود استفاده میکنند که رصد آنها برای محصولات سطح شبکه امکانپذیر نیست.
تیم قرمز
از تمرینات تیم قرمز به منظور ارزیابی وضعیت امنیتی فعلی در یک شرکت هدفمند، آگاهی کارکنان و همچنین زمان واکنش تیم های امنیتی داخلی مانند SOC (مرکز عملیات امنیتی) استفاده می شود.
تیم قرمز همواره میکوشد تا روش های ابتکاری خود را در تمامی مراحل مورد نیاز حمله بکار گیرد، از این روی کیفیت حمله و محک زدن تدابیر تیم های آبی همواره به سطح دانش بکار برده شده در حمله تیم قرمز بستگی دارد.
شناسایی فعال بدین معنی است که کارشناس تیم آبی بر اساس اکتشافات مخازن رویدادها بهصورت دستی اقدام به طراحی امضا های فعال در خصوص فایل های مخرب کرده و مخازن امضای مکانیزم های شناسایی کننده را همواره بروز رسانی نماید.
شناسایی فعال به ارتباطات و بهرهبرداری هایی که از پروتکل ها می شود هم نظارت دارد و اگر تکنیک های Exfiltration موجود در مستندات MITRE ATT&CK توسط کارشناسان مشاهده شود سریعا اقدام به رهگیری و داده کاوی ارتباط کرده و در صورت نا معتبر بودن ارتباط را از بین خواهند برد. این امر همواره یکی از مؤثر ترین روش های شکار تهدیدات بوده و داده های تراکنش شده مبهم را براحتی نمایان میسازد.
گزارش فعال یکی از عوامل مؤثر در رصد های دقیق و کامل مبحث گردآوری خوشه رویداد ها میباشد که میتوان در خصوص هر یک از سرویس های تحت شبکه، Endpoint، روترها، فایروال ها و غیره… از آن استفاده کرد. این رویدادها از طریق یک مدیریت یکپارچه بواسطه موتورهای جستجوگری مانند Elasticsearch قابل پالایش میباشند.
در راستای تولید هوشمند پیامهای اضطراری میتوان از محصولاتی مانند Splunk که یک پویشگر امضاء های امنیتی است استفاده کرد، همچنین از پتانسیل های سیستم عامل، مانند Event Tracing Windows که یک ماژول در سطح کرنل است میتوان استفاده کرد تا تمامی رخدادهای سیستم عامل را ضبط و گرد آوری نمود.
هر مشکلی می تواند بخشی از راه حل باشد
تیم آبی به تنهایی نمیتواند در مقابل حملات پیشرفته یا Advanced Persistent Threat عملکرد خوبی را از خود نشان دهد، به همین منظور در مهندسی مرکز کنترل امنیت همواره از متخصصین تیم بنفش استفاده می شود تا علاوه بر کنترل و محافظت و نظارت به واسطه مکانیزم های دفاعی سازمانی، همواره یک تیم متخصص در سطح تیم های قرمز فرامین و کنش های سیستمی را بررسی و پالایش نماید و در صورت رخداد یک حمله، بحث شکار تهدید را عملیاتی نمایند.
از دیگر موارد مفید سیاست ها و راهکارهای عملیات تدافعی این است که تیم مرکز کنترل امنیت یا Security Operations Center در هنگام رخداد حملات پیچیده مانند آلوده سازی سیستم ها به باج افزار، بتواند سریعا عملیات مهندسی معکوس و خنثی سازی باج افزار را انجام بدهد و نیازی به متخصص خارجی نباشد، این ویژگی نیازمند تعاملات تیم آبی با تیم جرم شناسی میباشد که در امر برقراری مرکز کنترل امنیت مؤثر عمل نمایند، علاوه بر شکار تهدید منشاء تهدیدات را هم میتوانند کشف شوند.
معماری یکپارچه دفاع سایبری که بواسطه Cyber Threat Intelligence اتفاق می افتد میتواند تمامی سازمان های زیر مجموعه خدماتی ما را بهصورت هم بسته به شاخص های حمله یا Indicator of Compromise بروز رسانی بکند، بدین ترتیب یک دفاع جامع اتفاق می افتد، همچنین باید نقشه یا Tactics, Techniques, and Procedures را طراحی و رفتار کامل حمله رخ داده را رفتار شناسی نمایند، این رفتار شناسی نهایتا میبایست عمومی شود.
شبیه سازی تهاجمی
یکی از راه های بالا بردن سطح امنیت در یک سازمان، این است که سناریو های مختلف حملات سایبری سطح پیشرفته بهصورت شبیه سازی شده بر روی سازمان مربوط پیادهسازی شود و با استفاده از ترکیب تخصص های تست نفوذ و تیم قرمز، تمامی آسیب پذیری و نقص های زیرساختی امنیت دفاعی را مورد ارزیابی قرار گیرد. این ارزیابی ها مبتنی بر تکنیک های تیم های Advanced Persistent Threat میباشد. پلن هایی مانند نامحسوس در مقابل مکانیزم های دفاعی و فیلترسازی کانال ارتباطی با خط فرمان، که این امور باعث میشود تا مرکز کنترل امنیت (SOC) مورد ارزیابی قرار گیرد تا در برابر یک حمله واقعی واکنش های قابل پیش بینی از خود نشان دهد.
شکارچی باگ
شکارچیان همواره به دنبال کشف آسیب پذیری هستند و تمرکز خود را بر روی اشتباهات کد نویسی میگذارند، از این روی استفاده از شکارچیان باگ در کنار دیگر مکانیزم های ایمنساز، میتواند یک گزینه مناسب برای کشف حفره هایی باشند که عامل یک حمله سایبری هستند. برنامه های جایزه در مقابل باگ هم از همین استراتژی بهره میبرند و شرکت ها در کنار تمامی مکانیزم های خود از این پتانسیل به نفع خود بهره میگیرند، تیم تحقیقاتی ما همواره با شرکت در مسابقات CTF و برنامه های جایزه در قبال باگ، خود را در این حوزه تقویت می نماید، از این روی میتوانید در برنامه های کشف باگ ما که بهصورت اختصاصی به مشتریان ارائه میشود وارد شوید.