وبلاگ

سیمانتک، سد محکمی در برابر حملات باج‌افزار و استفاده از ابزارهای پیشرفته

 

در دنیای امروز که شاهد افزایش حملات سایبری و باج‌افزار هستیم، سازمان‌ها با تهدیدات روزافزونی روبه‌رو هستند که از ابزارهای قانونی و نرم‌افزارهای موجود در سیستم‌هایشان برای نفوذ و تخریب استفاده می‌کنند. این نوع حملات که به عنوان “Living-off-the-Land” یا “زندگی در محیط” (LOTL) شناخته می‌شود، در طی سال‌های اخیر به یکی از روش‌های اصلی حملات سایبری تبدیل شده است. با توجه به این تغییرات در چشم‌انداز امنیت سایبری، شرکت سیمانتک راهکاری نوآورانه به نام “Adaptive Protection” یا محافظت تطبیقی ارائه کرده است که به سازمان‌ها کمک می‌کند تا از خود در برابر این نوع حملات حفاظت کنند.

 

رشد فزاینده استفاده از ابزارهای قانونی در حملات سایبری

طبق تحلیل‌های سیمانتک از حملات باج‌افزار در سه سال گذشته (۲۰۲۱-۲۰۲۳)، تقریباً ۵۰ درصد از این حملات با استفاده از ابزارهای قانونی یا نرم‌افزارهای پیش‌نصب شده صورت گرفته است. این روند نشان می‌دهد که مجرمان سایبری به جای استفاده از بدافزارهای خاص، از نرم‌افزارهای موجود و قانونی برای حمله به سیستم‌ها استفاده می‌کنند و از طریق آن، مراحل نفوذ و تخریب را به اجرا می‌گذارند.

 

همچنین گزارش جدیدی از “گروه استراتژی سازمانی” (Enterprise Strategy Group) که توسط دیو گروبر نوشته شده است، بیان می‌کند که بیش از نیمی از رهبران امنیتی (۵۲٪) اذعان دارند که عملیات‌های امنیتی امروز نسبت به دو سال گذشته پیچیده‌تر شده‌اند. این پیچیدگی ناشی از گسترش سطح حملات و تغییر سریع چشم‌انداز تهدیدات است. این تغییرات شامل افزایش استفاده از ابزارهای LOTL نیز می‌شود.

 

چرا حملات LOTL اینقدر موثر هستند؟

یکی از دلایل موفقیت زیاد حملات LOTL، این است که سازمان‌ها تمایلی به مسدود کردن نرم‌افزارهای قانونی ندارند. این ابزارها به‌طور معمول برای اهداف مشروع در سیستم‌ها نصب شده‌اند و جلوگیری از استفاده از آن‌ها می‌تواند عملکرد عادی سازمان را مختل کند. همین امر باعث می‌شود که شناسایی و جلوگیری از این حملات بسیار دشوار شود. علاوه بر این، این نوع حملات اغلب ردپای دیجیتال کمتری به جا می‌گذارند و از “شاخص‌های سازش” (IOCs) که معمولاً برای شناسایی حملات استفاده می‌شوند، استفاده نمی‌کنند. سازمان امنیت سایبری و زیرساخت‌های آمریکا (CISA) نیز این چالش امنیتی را در گزارش خود با عنوان “شناسایی و کاهش تکنیک‌های زندگی در محیط” مورد توجه قرار داده است. این گزارش تاکید دارد که فقدان شاخص‌های سنتی برای شناسایی فعالیت‌های LOTL، تلاش‌های مدافعان شبکه برای شناسایی و پیگیری رفتارهای مخرب را پیچیده‌تر می‌کند.

 

از سوی دیگر، سازمان‌ها به دلایل مختلف از ابزارهای LOTL استفاده می‌کنند و هر کسب‌وکار ممکن است به طور خاص و متفاوت از این ابزارها در بخش‌های مختلف خود استفاده کند. این بدان معناست که یک رویکرد یکسان برای همه شرکت‌ها در مواجهه با این نوع حملات ناکافی خواهد بود.

 

سیمانتک Adaptive Protection: راهکاری نوین برای مقابله با حملات LOTL

در مواجهه با چالش‌هایی که در بالا مطرح شد، سیمانتک راهکار “Adaptive Protection” یا محافظت تطبیقی خود را معرفی کرده است. یکی از مزایای بزرگ این راهکار این است که برای حفاظت از سیستم‌ها در برابر حملات LOTL نیازی به شاخص‌های سازش (IOCs) ندارد. سیمانتک از طریق این راهکار، ابزارها و برنامه‌هایی که به‌طور معمول در این نوع حملات استفاده می‌شوند را تحلیل می‌کند و سپس با استفاده از داده‌های خاص محیط کاری هر سازمان، تحلیل‌های خود را به روز رسانی می‌کند.

 

Adaptive Protection به‌طور پیوسته محیط عملیاتی مشتریان را تجزیه و تحلیل می‌کند و با داشتن تاریخچه‌ای از یک سال فعالیت‌های ابزارها در سازمان، تنها ابزارهایی را مسدود می‌کند که به صورت قانونی مورد استفاده قرار نمی‌گیرند. این ویژگی نه تنها از شناسایی اشتباه (False Positives) جلوگیری می‌کند، بلکه استفاده مخرب از این ابزارها را نیز متوقف می‌کند و راه را برای نفوذ مهاجمان مسدود می‌سازد.

 

به عنوان مثال، در زمان نگارش این مقاله، Adaptive Protection در حال پیگیری ۴۶۹ رفتار خاص در ۵۴ ابزار و نرم‌افزار پیش‌نصب شده مختلف است. با ظهور روش‌های جدید حمله، شبکه اطلاعات جهانی سیمانتک داده‌های جدیدی را به این سیستم تزریق می‌کند تا همیشه به‌روز و موثر باقی بماند.

 

چگونگی استفاده مهاجمان از ابزارهای LOTL

گزارش جدید سیمانتک با عنوان “چشم‌انداز تهدیدات باج‌افزار ۲۰۲۴” جزئیات دقیقی درباره نحوه استفاده مهاجمان از ابزارهای LOTL برای انجام حملات باج‌افزار ارائه می‌دهد. از جمله این ابزارها، PowerShell، WMI و Vssadmin هستند که در رده‌های اول ابزارهای مورد استفاده مهاجمان قرار دارند. با این حال، لیستی از سایر ابزارهای پیش‌نصب شده که مهاجمان از آن‌ها برای حمله استفاده می‌کنند نیز در این گزارش و همچنین در مقاله “پیشرفت‌های امنیت نقطه پایانی” که توسط دیو گروبر نوشته شده، آمده است.

 

به عنوان مثال، مهاجمان از PowerShell به عنوان یک ابزار قانونی برای اجرای دستورات مخرب، دانلود بدافزارها و سرقت اطلاعات استفاده می‌کنند. همین امر باعث شده است که شناسایی و جلوگیری از این نوع فعالیت‌ها بسیار دشوار شود.

 

چرا به رویکرد جدید نیاز داریم؟

چشم‌انداز تهدیدات سایبری، به ویژه حملات باج‌افزار، به سرعت در حال تغییر است. حملات نه تنها پیچیده‌تر شده‌اند، بلکه روش‌های جدیدی مانند استفاده از ابزارهای قانونی نیز به روش‌های قدیمی افزوده شده‌اند. در نتیجه، استفاده از راهکارهای امنیتی سنتی دیگر کافی نیست و سازمان‌ها باید به دنبال راهکارهای نوآورانه‌ای مانند سیمانتک Adaptive Protection باشند که به جای مدل‌های واکنشی، رویکردی پیشگیرانه و تطبیقی را اتخاذ می‌کند.

 

باج‌افزارها تنها هزینه‌ی باج را به سازمان‌ها تحمیل نمی‌کنند؛ بلکه خسارات بلندمدتی همچون از دست رفتن داده‌ها، تخریب اعتبار شرکت و اختلال در عملیات‌ها را نیز به همراه دارند. به همین دلیل، اتخاذ یک رویکرد پیشگیرانه و تطبیقی می‌تواند به کاهش قابل توجه خطرات این نوع حملات کمک کند.

 

با توجه به رشد فزاینده حملات سایبری و استفاده مهاجمان از ابزارهای قانونی برای نفوذ به سیستم‌ها، استفاده از راهکارهای سنتی امنیتی دیگر کافی نیست. سیمانتک با ارائه راهکار Adaptive Protection به سازمان‌ها این امکان را می‌دهد که بدون نیاز به شاخص‌های سازش، از سیستم‌های خود در برابر حملات LOTL محافظت کنند. این رویکرد نوآورانه نه تنها به جلوگیری از حملات باج‌افزار کمک می‌کند، بلکه با شناسایی دقیق ابزارهای مخرب و تطبیق با محیط‌های کاری مختلف، از شناسایی اشتباه نیز جلوگیری می‌کند. آلما شبکه نماینده سیمانتک در ایران، آماده ارائه انوع لایسنس های اورجینال Symantec می باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

11 − دو =