شکار تهدیدات (Threat Hunting)

خدمات SOC به همراه راه اندازی مراکز عملیات امنیت

خدمات SOC به دلیل گستردگی پیچیدگی‌های ذاتی که در عمل دارد سازمان ها و مجموعه ها را با چالش‌های مختلفی مواجه می‌کند. از جمله می‌توان به مشکلات موجود در طراحی زیرساخت‌های SOC، کیفیت و کمیت لاگ‌های جمع‌آوری شده، و جانمایی سنسورها اشاره کرد. از مهم‌ترین ماموریت‌های این شرکت ارائه‌ی انواع خدمات فنی به منظور استقرار مراکز عملیات امنیت سایبری در هر سه حوزه اصلی افراد، فرایندها و فناوری (People، Process و Technology) است.

شرکت فناوری راه نو سورین با متخصصانی مجرب در این حوزه، از ابتدایی ترین مراحل استقرار یک SOC در وسعت های مختلف تا ممیزی آنها و طراحی Use Case ها و Dashboardهای امنیتی و آموزش دوره های تخصصی امنیتی به کارکنان در جهت به بلوغ رسیدن یک مرکز عملیات امنیت، آماده ارائه خدمات به شرکت ها و سازمان های مختلف می‌باشد.

خدمات شرکت فناوری راه نو سورین در حوزه‌ی مختلف SOC به شرح زیر می‌باشد:

فناوری‌ها

  • خدمات مرتبط با اسپلانک
  • خدمات تخصصی الستیک استک
  • تامین منابع اطلاعات تهدید (Threat Intelligence)

فرایند‌ها

  • ارزیابی سطح بلوغ مرکز عملیات امنیت
  • طراحی و پیاده سازی سناریوهای تشخیصی
  • طراحی و پیاده‌سازی فرایندهای کاری جهت شکار تهدید افراد

افراد

  • برگزاری دوره‌های تخصصی
  • ارسال نیروی انسانی متخصص
  • ارسال تیم تخصصی پاسخ به حوادث سایبری
  • ارائه‌ی مشاوره‌های تخصصی
شکار تهدیدات (Threat Hunting)

کتابچه‌ی راهنمای دسته‌بندی رویداد برای موارد استفاده SOC

اکثر سازمان های مدرن مسیر ساخت مراکز عملیات امنیتی (SOC) را آغاز کرده اند. SOC امروزه یک روند مدرن نیست، بلکه بازسازی اجباری و سازماندهی مجدد بخش های امنیت اطلاعات یا امنیت سایبری موجود است. واقعیت این است که تعداد حوادث سایبری و انواع تهدیدات به طور مداوم در حال افزایش است، بنابراین متخصصان امنیت سایبری می بایست امنیت اطلاعات یا خدمات امنیت سایبری را در درجه اول به سمت شناسایی حوادث سوق دهند، تا همه‌ی موارد دیگر نیز این روند را دنبال کنند. چنین موقعیتی با این کلمات به خوبی نشان داده می شود: «دو نوع شرکت وجود دارد: آنهایی که هک شده اند و آنهایی که هنوز نمی دانند هک شده اند.»

 SOC و موارد استفاده

SOC مجموعه‌ای از کارکنان، فرآیندها، فناوری‌ها و امکانات است که عمدتاً بر شناسایی (تشخیص) و پاسخ به حوادث امنیت سایبری، که در نتیجه تحقق تهدیدات امنیت سایبری ایجاد می‌شوند، متمرکز است. متأسفانه باور عمومی به صورتی است که می‌پندارد پوشش و مقاومت در برابر انواع تهدیدات امنیت سایبری موجود، به دلیل محدودیت منابع غیرممکن است و بنابراین اولویت بندی اقدامات و پروژه ها ضروری است.

بحث در مورد موارد استفاده‌ی SOCها از مکانیزمی برای انتخاب و اجرای منسجم قوانین سناریوی تشخیص حوادث امنیت سایبری، ابزارها و عملیات واکنش آغاز می شود. یک مورد استفاده را می توان به عنوان یک وضعیت یا رویداد خاص (معمولاً مربوط به یک تهدید خاص) در نظر گرفت که باید توسط ابزار امنیتی شناسایی یا گزارش شود. این سنجشی از یک مدل تهدید امنیت سایبری یا ثبت ریسک امنیت سایبری است، اما در فرآیند مدیریت حوادث امنیت سایبری درون SOC متمرکز است.

چرخه‌ی عمر موارد استفاده (به عنوان مثال، فرآیند مورد استفاده) شامل موارد زیر است:

  1. طراحی مورد استفاده
  2. توسعه مورد استفاده
  3. اجرای مورد استفاده
  4. کاربست مورد استفاده

مؤلفه اصلی موارد استفاده، قوانین سناریوی تشخیص حادثه‌ی امنیت سایبری (یعنی یک قانون همبستگی) است که شامل موارد زیر است:

  • چیدمان قانون درون یک سیستم خاص اطلاعات امنیتی و مدیریت رویداد (SIEM)
  • منبع رویداد (هر نرم افزار یا سیستم عامل که دارای قابلیت ثبت گزارش و امکان دسترسی به داده های گزارش است)
  • دسته‌بندی رویداد یا رویداد ثبت شده دقیق (داده‌های گزارش)

افراد درگیر در چرخه عمر موارد استفاده عبارتند از:

  • طراح / تحلیل‌گر (گاهی اوقات یک مشاور خارجی)
  • مهندس / مدیر سیستم SIEM
  • مهندس / مدیر سیستم ابزار امنیتی (برای هر ابزار امنیتی)
  • مدیر سیستم (برای هر ابزار غیر امنیتی)

در واقع، هریک از اعضای تیم موارد استفاده، واژگان و درک خود از قانون همبستگی (قانون سناریوی تشخیص حادثه امنیت سایبری) را به کار می‌برد. خبر خوب این است که یک دسته رویداد یا یک رویداد ثبت شده دقیق (داده های گزارش) می تواند واژگان مشترک و واضحی را برای همه کارکنان ارائه دهد.

به عنوان مثال، یک دسته رویداد “logon, logoff” است که رویدادهای ثبت شده دقیق در محیط های Microsoft Windows 2008 R2 و 7 ، Windows 2012 R2 و 8.1 و Windows 2016 و 10  به شرح زیر است:

  • شناسه رویداد 4624، پیام رویداد « ورود به اکانت با موفقیت انجام شد »
  • شناسه رویداد 4634، پیام رویداد « یک اکانت از سیستم خارج شد »

با این حال یک خبر بد نیز وجود دارد: هیچ‌گونه کتابچه‌ی راهنمای کاملی از دسته بندی رویداد ها وجود ندارد. بنابراین لازم است که برای هر منبع رویداد یک دسته رویداد جداگانه یا لیست رویداد ثبت شده (داده های گزارش) دقیق (کتابچه‌ی راهنما) تهیه شود. انجام این کار برای زیرساخت بزرگ فناوری اطلاعات، چالش محسوب می‌شود. چون این کتابچه‌ی راهنما از یک طرف باید بر امنیت سایبری متمرکز باشد (فقط برای دو نفر اول از تیم لیست شده قبلی مشخص است) و از طرف دیگر روی منابع رویداد خاص متمرکز شود (فقط برای دو نفر آخر از تیم لیست شده مشخص است).

تجربه نشان داده است که انجام طراحی یک مورد استفاده و در نتیجه مراحل بعدی، بدون در اختیار داشتن کتابچه‌ی راهنمای دسته‌بندی رویدادها بسیار دشوار و گاهاً غیرممکن است.

1. سیستم عامل

  • ایجاد ، اصلاح و حذف گروه
  • اضافه و حذف اعضای گروه
  • ایجاد، اصلاح ، حذف ، قفل و باز کردن حساب
  • تغییر تائید کننده‌ی اعتبار
  • ورود و خروج
  • ایجاد و تکمیل فرآیند / عملیات
  • شروع و توقف سرویس/ راه انداز
  • دسترسی (ایجاد، خواندن/اجرا، اصلاح / نوشتن، حذف) به شیء (یعنی دایرکتوری، فایل، کلید رجیستری)
  • تغییر حقوق دسترسی مربوط به شیء
  • پشتیبان گیری و بازیابی
  • وضعیت به روز رسانی
  • تغییر زمان سیستم
  • روشن کردن، اصلاح، خاموش کردن ممیزی و حذف رد ممیزی

2. سیستم مدیریت پایگاه داده

  • ایجاد، اصلاح و حذف کارکرد
  • ایجاد، اصلاح و حذف کاربر
  • تغییر تائید کننده‌ی اعتبار
  • ورود و خروج
  • اتصال و قطع اتصال
  • تغییر مالک شیء پایگاه داده / مالک پایگاه داده
  • ایجاد، اصلاح و حذف شی‌‌ء پایگاه داده/ پایگاه داده
  • دسترسی (یعنی انتخاب، به روز رسانی، مراجع، درج، حذف، اجرا) به شی‌ء (یعنی پایگاه داده، جدول)
  • اجرای دستور (یعنی تائید، ابطال، تکذیب، ایجاد، تغییر، تحویل ) به کاربر یا کارکرد
  • شروع و توقف خدمات
  • پشتیبان گیری و بازیابی
  • روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی

3. سرور وب

  • شروع و توقف خدمات
  • ورود به میزبان مجازی
  • دسترسی (یعنی ارسال، دریافت به شی [میزبان مجازی])

4. سرور ایمیل

  • شروع و توقف خدمات
  • ورود به کنسول مدیریتی
  • دسترسی (یعنی دریافت، ارسال) به شی (یعنی صندوق پست، ایمیل)

5. نرم افزار کاربردی

  • ایجاد، اصلاح و حذف گروه (در صورت امکان)
  • اضافه و حذف اعضای گروه (در صورت امکان)
  • ایجاد، اصلاح، حذف، قفل کردن و باز کردن قفل حساب (در صورت امکان)
  • تغییر تائید کننده‌ی اعتبار (در صورت امکان)
  • ورود و خروج از سیستم (در صورت امکان)
  • شروع و توقف خدمات
  • دسترسی (یعنی ایجاد، خواندن / اجرا، اصلاح / نوشتن، حذف) به شی‌ء (اگر مربوط به نرم افزار کاربردی باشد)
  • تغییر حقوق دسترسی مربوط به شی‌ء
  • روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی(در صورت امکان)

6. روتر و سوئیچ

  • ایجاد، اصلاح و حذف گروه
  • اضافه و حذف اعضای گروه
  • ایجاد، اصلاح، حذف، قفل و باز کردن حساب
  • تغییر تائید کننده‌ی اعتبار
  • ورود به کنسول مدیریت و خروج از آن
  • دسترسی (یعنی ایجاد، خواندن، اصلاح، حذف) به شی (یعنی ACL، مسیر)
  • تغییر حقوق دسترسی مربوط به شی (تنظیم)
  • دسترسی (یعنی تائید، تکذیب) به شی شبکه (یعنی IP Address، Port، Protocol)
  • شروع و توقف خدمات
  • پشتیبان گیری و بازیابی
  • وضعیت به روز رسانی
  • تغییر زمان سیستم
  • روشن کردن، اصلاح، خاموش کردن ممیزی و حذف رد ممیزی

7. فایروال (فایروال نسل بعد [NGFW]، مدیریت تهدید یکپارچه [UTM]) و Server Proxy

  • ایجاد، اصلاح و حذف گروه
  • اضافه و حذف اعضای گروه
  • ایجاد، اصلاح، حذف، قفل و باز کردن حساب
  • تغییر تائید کننده‌ی اعتبار
  • ورود به کنسول مدیریت و خروج از آن
  • دسترسی (یعنی ایجاد، خواندن، اصلاح، حذف) به شی (یعنی ACL، مسیر)
  • تغییر حقوق دسترسی مربوط به شی
  • احراز هویت شی‌ء (یعنی نام کاربری) در دسترسی به شبکه (موفق یا ناموفق)
  • دسترسی (یعنی تائید، تکذیب ) به شی‌ء شبکه (یعنی IP Address، Port، Protocol)
  • شروع و توقف خدمات
  • پشتیبان گیری و بازیابی
  • وضعیت به روز رسانی
  • تغییر زمان سیستم
  • روشن کردن، اصلاح، خاموش کردن ممیزی و حذف رد ممیزی

8. ابزار شبکه خصوصی مجازی (VPN)

  • ایجاد، اصلاح و حذف گروه
  • اضافه و حذف اعضای گروه
  • ایجاد، اصلاح، حذف، قفل و باز کردن حساب
  • تغییر تائید کننده‌ی اعتبار
  • ورود به کنسول مدیریت و خروج از آن
  • دسترسی (یعنی ایجاد، خواندن، اصلاح، حذف) به شی (به عنوان مثال، VPN، Router، Private key)
  • تغییر حقوق دسترسی مربوط به شی
  • احراز هویت موضوع (کلاینت VPN) در دسترسی به VPN (موفق یا ناموفق)
  • اتصال بین ابزارهای VPN
  • تغییر کلید خصوصی
  • شروع و توقف دستگاه
  • تغییر وضعیت خدمات
  • پشتیبان گیری و بازیابی
  • وضعیت به روز رسانی
  • تغییر زمان سیستم
  • روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی

9. سیستم تشخیص نفوذ (IDS)/سیستم جلوگیری از نفوذ (IPS)، فایروال کاربردی وب

  • ایجاد، اصلاح و حذف گروه
  • اضافه و حذف اعضای گروه
  • ایجاد، اصلاح، حذف، قفل و باز کردن حساب
  • تغییر تائید کننده‌ی اعتبار
  • ورود به کنسول مدیریت و خروج از آن
  • دسترسی (یعنی ایجاد، خواندن، اصلاح، حذف) به شی (یعنی ACL، امضا)
  • تغییر حقوق دسترسی مربوط به شی
  • شناسایی و مسدود کردن فعالیت های مخرب
  • شروع و توقف دستگاه
  • تغییر وضعیت خدمات
  • پشتیبان گیری و بازیابی
  • وضعیت به روز رسانی
  • تغییر زمان سیستم
  • روشن کردن، اصلاح، خاموش کردن ممیزی و حذف رد ممیزی

10. ابزار آنتی ویروس

  • ایجاد، اصلاح و حذف گروه
  • اضافه و حذف شی گروه
  • ایجاد، اصلاح، حذف، قفل کردن و باز کردن قفل حساب (در صورت امکان)
  • ورود به کنسول مدیریت و خروج از آن
  • تغییر خطوط مشی آنتی ویروس
  • شروع و توقف خدمات
  • پشتیبان گیری و بازیابی
  • وضعیت به روز رسانی نرم افزار و پایگاه داده‌ی اثر
  • تغییر وضعیت ابزار آنتی ویروس
  • شناسایی، قرنطینه، بهبود و حذف شی مخرب
  • روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی

11. پویشگر آسیب پذیری

  • ایجاد، اصلاح و حذف گروه
  • اضافه و حذف شی گروه
  • ایجاد، اصلاح، حذف، قفل کردن و باز کردن قفل حساب (در صورت امکان)
  • ورود به کنسول مدیریت و خروج از آن
  • تغییر خطوط مشی پویشگر
  • شروع و توقف خدمات/ عملیات
  • وضعیت به روز رسانی نرم افزار و پایگاه داده آسیب پذیری
  • تشخیص آسیب پذیری
  • روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی
  1. سیستم جلوگیری از نشت داده ها

  • ایجاد، اصلاح و حذف گروه
  • اضافه و حذف اعضای گروه
  • ایجاد، اصلاح، حذف، قفل و باز کردن حساب
  • تغییر تائید کننده‌ی اعتبار
  • ورود به کنسول مدیریت و خروج از آن
  • شروع و توقف خدمات
  • دسترسی (یعنی ایجاد، حرکت، مقابله، حذف، اصلاح) به شی (یعنی خط مشی، قانون)
  • اقدام (یعنی ارسال از طریق شبکه، کپی در حافظه خارجی، چاپ) روی داده ها (یعنی فایل، ایمیل)
  • پشتیبان گیری و بازیابی
  • ورود، صدور، ذخیره، اعمال و بازگرداندن پیکربندی
  • روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی
  • رهگیری رویداد با دستورات «انسداد» و «قرنطینه»

13. هایپروایزر

  • ایجاد، اصلاح و حذف گروه
  • اضافه و حذف اعضای گروه
  • ایجاد، اصلاح، حذف، قفل و باز کردن حساب
  • تغییر احراز هویت
  • ورود به کنسول مدیریتی و خروج از آن
  • شروع و توقف فرآیند/ عملیات (یعنی انتقال، شبیه سازی)
  • شروع و توقف خدمات
  • دسترسی (یعنی ایجاد، اجرا، اصلاح، حذف) به شی (یعنی ماشین مجازی، سوئیچ مجازی)
  • تغییر حقوق دسترسی مربوط به شی
  • پشتیبان گیری و بازیابی
  • وضعیت به روز رسانی
  • تغییر زمان سیستم
  • روشن کردن، اصلاح، خاموش کردن ارزیابی و حذف مسیر ارزیابی

نتیجه

کتابچه‌ی راهنمای پیشنهادی از واژگان مبتنی بر هر نوع منبع رویداد و کارکنان مرتبط استفاده می کند (به عنوان مثال، «کارکرد»  مدیر پایگاه داده مشخص است، “ACL” برای یک متخصص شبکه واضح است)، بنابراین کارکنان امنیت سایبری ملزم به ترجمه‌ی اصطلاحات کلیدی نیستند و در زمان گرانبهای آنها صرفه‌جویی می‌شود. علاوه بر آن، این لیست به مسائل امنیت سایبری مرتبط بوده و شامل اطلاعات اضافی نمی‌باشد. بنابراین می‌توان منابع امنیت سایبری را به طور مسئولانه در فرآیند مورد استفاده از SOC به کار برد و تمرکز بر شناسایی (تشخیص) و پاسخ به حوادث امنیت سایبری را حفظ کرد.

نیاز به مشاوره امنیت سایبری دارید؟

همین حالا تماس بگیرید

برای دریافت مشاوره و خدمات امنیت سایبری می‌توانید با شماره تماس 02122021734 در ساعات اداری تماس گرفته و یا از طریق فرم مربوطه با ما تماس بگیرید.

مشاوره امنیت سایبری