جرم شناسی دیجیتال و پاسخ به حادثه
شناسایی زودهنگام و تحقیقات سریع برای دفع مهاجمان و پاسخگویی به تهدیدها بسیار مهم است. اما تعداد بیشماری هشدار، اطلاعات ناکافی و عدم دید می تواند شما را از انجام این کارهای مهم باز دارد. اینجاست که ما وارد می شویم. ما هم از نظر امنیت سایبری (اطلاعات تهدید و شکار تهدید) و هم پاسخ سریع به حوادث (ِDFIR)، یک نظارت مستمر 24 ساعته بر منابع IT را ارائه می دهیم. ما از شما دعوت می کنیم تا با سرویس SOC به عنوان سرویس ارائه شده توسط تیم مرکز عملیات امنیتی (SOC) آشنا شوید.
جرم شناسی دیجیتال
حادثه امنیتی
جرم شناسی دیجیتال
- ما خدمات تخصصی جرم شناسی دیجیتال را که به آن DFIR (جرم شناسی و پاسخ به حادثه) میگویند، را ارائه می دهیم. ما برای انجام تجزیه و تحلیل در جرم شناسی از تجهیزات و ابزارهای تجاری بسیار تخصصی استفاده می کنیم.
- آزمایشگاه جرم شناسی دیجیتال ما که ماهانه ده ها مورد داده کاوی و استخراج اطلاعات در آن انجام می شود، متشکل از تعدادی نرمافزار حرفه ای و معتبر از جمله FTK Forensic Toolkit و X-Ways Forensics است که به شما امکان می دهد شواهد را از طریق مستندات تجزیه و تحلیل کنید.
حادثه امنیتی
- ایمنسازی صحیح ردیابی های دیجیتال امکان تجزیه و تحلیل عمیق
حادثه را فراهم می کند و به شما امکان می دهد جزئیات چگونگی وقوع عملیاتی
که مهاجم انجام داده را تعیین کنید. با گذشت زمان در صورت عدم ایمنسازی
صحیح شواهد، مکتوبات سیستم از بین می روند حتی اگر کاربر روی آن کار کند و
سیستم به سادگی در حال اجرا باشد. - از طرف دیگر، خاموش کردن رایانه بدون محافظت قبلی لازم، منجر
به از دست رفتن جبران ناپذیر داده های دیجیتالی میشود که در حافظه سیستم
عامل ذخیره شده و مختص به مهاجم است. این داده ها ممکن است حاوی اطلاعات
مهمی برای تجزیه و تحلیل حادثه باشند.
نظارت بر محیط IT
شناسایی تهدیدات شبکه
نظارت بر محیط IT
- امروزه، امنیت دیجیتال نیاز هر شرکتی است بنابراین مهمترین مسئله سرعت واکنش است. ما در SOC از فناوری های دفاعی پویا استفاده می کنیم که برای شناسایی انواع جدیدی از تهدیدهای هرگز دیده نشده (نمونه های منحصر به فرد در حملات هدفمند) استفاده می شوند.
- هر نمونه جدید به طور خودکار در یک Sandbox تجزیه و تحلیل می شود تا بتوان رفتار را شبیه سازی و روش های مخرب را شناسایی کرد. با استفاده از محصولاتی مانند Splunk و ELK تمامی رفتارهای درون شبکه جمعآوری و رفتارشناسی خواهند شد.
شناسایی تهدیدات شبکه
- محصولات امنیتی شناسایی حملات شبکه، ارتباطات را رصد می کنند و از صدها قانون از پیش تعیین شده برای تشخیص استفاده می کنند. این محصولات همواره دارای یک عیب اصلی هستند، این عیب را میتوان عدم درک بیشتر هشدارهای گزارش شده دانست.
- مهاجمان اغلب از روش های مبهم سازی در کانال های ارتباطی با مرکز فرمان خود استفاده میکنند که رصد آنها برای محصولات سطح شبکه امکانپذیر نیست. بدین ترتیب همواره به تیم های بنفش نیاز است تا با رفتارشناسی های مشکوک در سطح شبکه حملات و ارتباطات شکار شوند.
پاسخ به حوادث
مهمترین جنبه خدمات SOC / CERT، صلاحیت تیم فنی است، زیرا سطح دانش متخصصان، امنیت سایبری سازمان را تایین می کند. از طرف دیگر، شبکه مستقیماً با استفاده از نرمافزار NIDS / IDS پوشش داده می شود تا حملات انجام شده در شبکه محلی به طور منحصر به فرد تشخیص داده شود. دامنه های مخرب، آدرس های IP و اطلاعات هش (IoC) توسط سیستم اطلاعات تهدیدات سایبری یا (Cyber Threat Intelligence) ما ارائه می شود، که اطلاعات را با همکاری سایر تیم های بین المللی پاسخ به حوادث، دریافت می کند.
شکار تهدیدات
شکار تهدید و اطلاعات تهدید موضوعاتی هستند که بیش از یک دهه است معرفی شده اند. از دستاوردهای آنها میتوان به شکار تهدیدات در کلاس جهانی یعنی APT ها و پاسخ به حوادث رخ داده اشاره کرد. حملات پیشرفته APT بواسطه IoC ها رصد می شوند و در تکنیک های شکار الگو رفتاری تکنیکی و تاکتیکی آنها ترسیم میشوند که به این امر TTP گفته می شود. قدرت شناسایی آسیب پذیری های روز صفر (ضعف نرم افزاری که هیچ گونه اصلاحیه امنیتی برای آنها وجود ندارد) یکی از ویژگی های شکار تهدیدات است.
مرکز عملیات امنیت
کارشناسان SOC (شکارچی تهدید) و تیم CERT همواره میکوشند تا در زمینه های دفاعی (تیم آبی) و تهاجمی (تیم قرمز) در امنیت سایبری و همچنین پیادهسازی آزمایشگاه حرفه ای جرم شناسی رایانه ای فعال باشند تا در موقعیت های مختلف بتوانند کنش های مناسبی را از خود نشان دهند، متخصصین شکار و پاسخ سریع به حادثه در مرکز عملیات امنیت همواره مامور داده کاوی از پایگاه های گردآوری اطلاعات هستند.
