وبلاگ

استفاده از Detection برای پیش‌گیری از نفوذ به وسیله SESC

کنترل های امنیتی مناسب و سهولت استفاده سیمانتک:

ما با دوران هالسیون فاصله زیادی داریم، زمانی که پول آزادانه به مراکز عملیات امنیتی سازمانی (SOC) سرازیر می شد. امروزه، SOCها، که مراکز هزینه برای شرکت هستند، مجبور هستند کارهای بیشتری را با کمتر انجام دهند، حتی اگر بار کاری آنها همیشه سنگین تر شود.

به همین دلیل است که ممکن است زمان آن باشد که بپرسیم چگونه می‌توانیم SOCها را کارآمدتر کنیم و قادر به مدیریت بی‌شمار تهدیدهایی که وظیفه بررسی آن‌ها را دارند، بهتر شوند.

امروزه، SOCها، که مراکز هزینه برای شرکت هستند، مجبور هستند کارهای بیشتری را با کمتر انجام دهند، حتی اگر بار کاری آنها همیشه سنگین تر شود.

سیمانتک Symantec به عنوان بخشی از Broadcom ، راه‌هایی برای بازنگری در نحوه برخورد شرکت‌ها با پیشگیری و تشخیص زودهنگام تهدیدات جدید ارائه کرد. اما ابتدا، اجازه دهید این را در یک ساختار تاریخی قرار دهیم تا چالش را درک کنیم.

به طور سنتی، SOC ها توسط متخصصان امنیتی کار نمی کردند. در روزهای اولیه، SOCها به افرادی وابسته بودند که قبلاً نقش های IT/SysAdmin را بر عهده داشتند. با گذشت زمان، SOCها به بلوغ رسیدند و متخصصین را جذب کردند که به این رشته اختصاص داشتند. اما با مستقل‌تر شدن عملکرد SOC، کارمندان فناوری اطلاعات برای اعتماد به توصیه‌های تشخیص و پاسخ از سوی تحلیلگرانی که احساس می‌کردند فاقد تجربه کافی SysAdmin یا همدلی با کاربران نهایی هستند، مشکل داشتند.

 

اما وقتی نوبت به پاسخ به تهدیدات می رسید، هیچ کدام از اینها کمکی نکرد. در شرایطی که سرعت اهمیت دارد، این قطع ارتباط توانایی SOC را برای پاسخگویی به تهدیدات جدید کند کرد.

تشخیص زودهنگام یک حادثه منجر به اصلاح آسان‌تر می‌شود – به‌ویژه اگر سازمان بتواند قبل از اینکه مهاجمان قادر به حرکت جانبی باشند، واکنش نشان دهد. از لحاظ تاریخی، مدیران SOC توسط ابزارهای امنیتی که برای شناسایی و نه برای جلوگیری از تهدیدات طراحی شده اند، محدود شده اند. این امر به رویکرد سازمانی نامطلوب برای جدا نگه داشتن تیم های SOC و تیم های عملیاتی دامن زد. سازمان‌ها و فرآیندها می‌توانند منجر به ناکارآمدی شوند، زیرا ممکن است تیم‌ها از توانایی‌های یکدیگر برای شناسایی و پیشگیری از تهدیدات آگاه نباشند.

تشخیص ویروس و تهدیدات و پاسخ مناسب، واقعاً گران‌ترین بخش فرآیند امنیتی یک Endpoint می باشد. سوال این است که چگونه می توان پیشگیری را تا حد امکان بارگذاری کرد و در عین حال تلاش، زمان و هزینه صرف شده برای بررسی و پاسخ به یک نقض احتمالی را به حداقل رساند.

هنگامی که محصولات پیشگیری معمولاً شکست می‌خورند، به این دلیل است که موارد حساس، موارد مثبت کاذب مخرب ایجاد می‌کنند، بنابراین رفتار مخرب مسدود نمی‌شود. بسیاری از سازمان‌ها بیشتر با مشکل مواجه می‌شوند، زیرا پیکربندی‌های لازم یا نرم افزارهای پیشگیری از حمله را ندارند تا بدانند چه چیزی را می‌توان و چه چیزی را نمی‌توان در محیط‌های خاص خود پیکربندی کرد. که بار بیشتری را بر دوش تیم‌های SOC می‌اندازد!

همچنین به همین دلیل است که ما در سیمانتک بر روی سیستم‌های مهندسی تمرکز کرده‌ایم که بهترین پیشگیری را با تشخیص زودهنگام تهدیدها در صورت شکست پیشگیری ترکیب می‌کنند.

هدف باید این باشد که در وهله اول از بروز انواع خاصی از رفتارها در نقطه پایانی جلوگیری شود. برای مثال، ممکن است کنترل‌های امنیتی را پیاده‌سازی کنید که برنامه‌های خاصی را از اجرای اسکریپت‌های PowerShell، ایجاد فایل‌های اجرایی یا ایجاد اتصالات شبکه مسدود می‌کند. این اسکریپت‌ها هستند که اغلب در اسناد آفیس یافت می‌شوند – برخی بالقوه مخرب، که از طریق پیوندهای فیشینگ یا ایمیل به نقاط پایانی می‌رسند.

جلوگیری از نفوذ به کمک سیمانتک

سیمانتک این کار را با ارائه کنترل‌های پیشگیری به چارچوب MITER ATT&CK آسان‌تر می‌کند تا تکنیک‌های مختلف حمله مورد استفاده مهاجمان را مسدود کند. این فراتر از تشخیص است و زبان مشترکی را برای تحلیلگران فراهم می کند تا در هنگام مقایسه تکنیک های حمله مختلف از آن استفاده کنند. با همه این کنترل‌های کاهش سطح حمله که نقشه‌برداری شده‌اند، مدافعان می‌توانند این تکنیک‌های مختلف را دوباره به خط مشی پیشگیری خود متصل کنند.

با اتخاذ این رویکرد، روند سنتی بررسی فعالیت های مشکوک و پاسخ به حملات اکنون فرصتی برای جلوگیری از وقوع آنها در آینده می شود. این به راحتی با پیوند مستقیم تشخیص رفتار مشکوک به کنترل های پیشگیری مبتنی بر سیاست انجام می شود. از نظر عملیاتی، این به سرعت توسط یک تحلیلگر با استفاده از یک کنسول واحد که در آن همه سیاست‌های تشخیص EDR و پیشگیری وجود دارند، انجام می‌شود. تاکتیک‌ها و تکنیک‌های MITER ATT&CK، دنیای پیشگیری و جهان تشخیص را به هم الحاق می دارد.

با اتخاذ این رویکرد، روند سنتی بررسی فعالیت های مشکوک و پاسخ به حملات اکنون فرصتی برای جلوگیری از وقوع آنها در آینده می شود.

ارائه کنترل های امنیتی مناسب تنها نیمی از کار است. نیمی دیگر این است که اطمینان حاصل شود که آنها می توانند به طور موثر بدون ایجاد اختلال در کاربران نهایی استفاده شوند. سیمانتک قادر است اطلاعات لازم را ارائه دهد که به تعیین اینکه آیا یک تکنیک خاص قبلاً در محیط مشتری استفاده شده است یا خیر. اگر نه، احتمالاً مسدود کردن از قبل امن تر است. این نوع راهنمایی تا کنون در ابزارهای امنیتی موجود نبوده است زیرا فروشندگان قادر به پیوند دادن تکنیک ها به حوادث امنیتی یا استفاده تاریخی نبوده اند.

نتیجه استفاده از آموخته های تحقیقات قبلی کاهش تعداد حوادثی است که SOC ها در نهایت باید در آینده بررسی کنند. نمی توان مزایای کاهش صدای هشدار در طول زمان را بیش از حد بیان کرد. از یک طرف، احتمال کمتری وجود دارد که اجازه دهید حملات واقعاً مهم از بین بروند. از سوی دیگر، زمان بیشتری برای بررسی و رسیدگی به حملاتی که واقعاً به توجه شما نیاز دارند، خواهید داشت.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

18 − پنج =