روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اغلب، کارمندان مراکز عملیات امنیتی و دپارتمان‌های امنیت اطلاعات برای کمک گرفتن به متخصصین کسپرسکی رجوع می‌کنند. ما دلایل رایج چنین درخواست‌هایی را مورد تحلیل قرار دادیم و سرویسی تخصصی درست کرده‌ایم که به مشتریان کمک می‌کند مستقیماً سوالات خود را در حوزه مورد نظر خود از یک متخصص بپرسند. با ما همراه بمانید.

چرا ممکن است نیاز داشته باشید از یک متخصص سوال بپرسید؟

تهدید حملات سایبری با توجه به اینکه مجرمان سایبری هر روز به فکر پیدا کردن راه‌ها و ترفندهای جدیدی برای فریب دادن کاربران هستند روز به روز بیشتر رشد می‌کند. مجرمان سایبری همواره در حال کشف آسیب‌پذیری‌های جدید در سخت‌افزارها و نرم‌افزارها، سرورها، دروازه‌های وی‌پی‌ان و سیستم‌عامل‌ها هستند. صدها هزار نمونه بدافزار جدید هر روز به منصه ظهور می‌رسد و انواع گسترده‌ای از سازمان‌ها از جمله سازمان‌های اصلی و حتی آژانس‌های دولتی هم قربانی حملات باج‌افزاری می‌شوند. افزون بر این کمپین‌های جدید و پیچیده‌ی تهدید و APT نیز مرتباً مورد هجمه قرار می‌گیرند. در چنین اوضاعی هوش تهدید (TI) می‌تواند نقش تعیین‌کننده‌ای را ایفا کند. تنها با داشتن اطلاعات به موقع در مورد ابزارهای مهاجمین و تاکتیک‌هایشان این امکان وجد دارد که بشود سیستم محافظتی به جایی را ساخت و در صورت بروز رخداد بررسی‌های لازم را انجام داده، نفوذی‌ها را در شبکه شناسایی کرده و دسته‌بندی‌شان نموده و تعیین کرد کدام بردار حمله مهتر است تا در نهایت بشود جلوی تکرار شدن حمله را گرفت. به کار گرفتن TI در چنین سازمانی مستلزم داشتن متخصصی شایسته و تمام‌وقت است که بتواند از داده‌های هوش تهدید به طور عملی و اجرایی استفاده کند. از این رو چنین متخصصی به مهمترین دارایی هر بررسی تهدیدی تبدیل می‌شود. با این تفاسیر، آموزش دادن و حفظ تحلیلگران امنیت سایبری امری پرهزینه می‌شود و هر شرکتی هم توان نقبل چنین تیم متخصی را ندارد.

سوالات پرتکرار

دپارتمان‌های مختلفی در کسپرسکی به کلاینت‌ها کمک می‌کنند تا رخدادهای سایبری را مدیریت کنند. خلاصه بگوییم که آن‌ها در سه تیم [1]GReAT، [2]GERT و [3]Kaspersky Threat Research فعالیت می‌کنند. به طور خلاصه ما بیش از 250 تحلیلگر و متخصص در سطح جهانی کنار هم جمع کرده‌ایم. این تیم‌ها مرتباً کلی درخواست در مورد تهدیدهای سایبری از سوی کلاینت‌ها دریافت می‌کنند. ما با آنالیز کردن درخواست‌های اخیر طبقه‌بندی‌های زیر را شناسایی کرده‌ایم.

تحلیل بدافزار یا نرم‌افزار مشکوک

سناریویی که به کرات بدان برمی‌خوریم، منطق شناسایی را در امنیت اندپوینت یا قوانین شکار تهدید مورد هدف قرار می‌دهد. سرویس امنیتی یا SOC شرکت هشدار را بررسی می‌کند، آن چیز مخرب یا مشکوک را پیدا کرده اما برای استدلال با جزئیات، منابع کافی را ندارد. شرکت سپس از متخصصین ما برای تعیین کارایی آن چیز شناسایی‌شده کمک می‌گیرد. اینکه آن چیز چقدر خطرناک است و چطور می‌شود مطمئن شد رخداد بعد از حذف برای همیشه حل می‌شود. اگر متخصصین ما بتوانند سریعاً آنچه را کلاینت فرستاده تشخیص دهند (ما دانش وسیعی در مورد ابزارهای معمول مهاجمین داریم و هچنین کلی نمونه بدافزار منحصر به فرد می‌شناسیم) فوراً پاسخگو خواهند بود. در غیر این صورت، تحلیلگران ما نیاز دارند بررسی‌هایی را انجام دهند و در موارد پیچیده حتی این پروسه گاهاً زمانبر می‌شود.

اطلاعاتی مضاعف پیرامون شاخص‌های دستکاری

بیشتر شرکت‌ها از انواعی از منابع برای شاخص‌های دستکاری (IoCs) استفاده می‌کنند. ارزش IoCs تا حد زیادی در موجود بودن زمینه و موضوعیت است- یعنی اطلاعات مضاعف در مورد شاخص و اهمیت آن. زمینه با این حال همیشه هم موجود نیست. پس یک تحلیلگر SOC با شناسایی یک IoC خاص در فرضاً سیستم SIEM ممکن است حضور یک عامل مخرب را حس کند و متوجه شود احتمال رخداد سایبری وجود دارد اما اطلاعات کافی برای بررسی‌های بیشتر را نداشته باشد. در چنین مواردی آن‌ها می‌توانند درخواستی برای ما ارسال کنند و در مورد IoC شناسایی‌شده از ما اطلاعات بخواهند و در بسیاری از موارد چنین IoC‌هایی جالب هم از آب درمی‌آیند. برای مثال ما یکبار آدرس آی‌پی در فید ترافیک یک شرکت پیدا کردیم (یعنی از شبکه سازمانی بدان دسترسی پیدا کردیم). از میان چیزهای میزبانی‌شده در این آدرس یک سرور مدیریت نرم‌افزار به نام Cobalt Strike–یک ابزار مدیریت ریموت یا ساده بگوییم: همان بک‌در-وجود داشت که همه نوع مجرم سایبری آن را استفاده می‌کردند. شناسایی‌اش یقیناً به این معناست که شرکت از قبل تحت هجمه حمله‌ای بوده است (یا واقعی یا آموزشی).

درخواست داده در مورد تاکتیک‌ها، تکنیک‌ها و رویه‌ها

IoCها ابداً تنها چیزی نیستند که شرکت برای متوقف کردن حمله یا بررسی یک رخداد نیاز دارد. وقتی دستان پشت پرده یک حمله شناسایی شد، تحلیلگران SOC معمولاً داده‌هایی را در مورد تاکتیک‌های این گروه ملزم خواهند دانست؛ همینطور تکنیک‌ها و رویه‌ها. آن‌ها به شرحات مبسوط در مورد شیوه کار گروه سایبری نیاز دارند تا بتوانند تشخیص دهند آن‌ها چطور توانسته‌اند به زیرساخت رخنه کنند. همچنین اطلاعاتی می‌خواهند از متودهایی که مهاجمین معمولاً برای نفوذ به شبکه استفاده می‌کنند و نیز نحوه استخراج داده‌شان. ما این اطلاعات را بعنوان بخشی از سرویس Threat Intelligence Reporting خود ارائه می‌دهیم. متودهای مجرمان سایبری حتی در همان گروه نیز می‌تواند بسیار مختلف باشد و شاید توصیف همه جزئیات ممکن نباشد (حتی در گزارشات دقیق و مبسوط). از این رو کلاینت‌های TI که از APT و گزارشات تهدید جرم‌افزار ما استفاده می‌کنند برخی‌اوقات از ما اطلاعات بیشتری پیرامون جنبه خاصی از یک تکنیک حمله در یک زمینه خاص می‌خواهند. ما چنین پاسخ‌هایی را از طریق سرویس‌های خاص یا در فریم‌ورک محدود پشتیبانی فنی ارائه می‌دهیم. با این حال، با توجه به تعداد فزاینده درخواست‌ها و درک ارزش مهارت و دانش تیم تخصصی ما، تصمیم گرفتیم سرویسی مخصوص ارائه دهیم به نام Kaspersky Ask the Analyst که دسترسی سریعی را از طریق یک نقطه ورود به توصیه‌های متخصصین ما می‌دهد.

Kaspersky Ask the Analyst

ما اهمیت اطلاعات تهدید به موقع را درک می‌کنیم و از این رو برای هر نوع درخواستی SLA داریم. با این سرویس، یک متخصص امنیت اطلاعات می‌تواند:

•         از گزارشات هوش تهدید کسپرسکی اطلاعات اضافی دریافت کند. این اطلاعات عبارتند از IoC مبسوط و زمینه تحلیلی از GReAT و تیم Kaspersky Threat Research. بسته به موقعیت دقیق‌تان این تیم‌ها هر ارتباطی را بین شاخص‌های شناسایی‌شده در شرکت‌تان با فعالیت شرح‌داده‌شده در گزارشات مورد بحث و بررسی قرار می‌دهند.
•         تحلیل مفصلی دریافت کند از رفتار نمونه‌های شناسایی‌شده، اهداف‌شان را تعیین کرده و توصیه‌هایی نیز بگیرد از نحوه تخفیف عواقب آن حمله. متخصصین واکنش به رخداد سایبری تیم The Kaspersky Global Emergency Response شما را در این امر کمک خواهند کرد.
•         شرحی از خانواده بدافزار مربوطه بگیرد (برای مثال یک تکه خاص از باج‌افزار) و نیز در خصوص محافظت در برابر آن نیز توصیه‌هایی دریافت کند. ضمن اینکه می‌تواند برای IoCها (هش‌ها، یوآرال‌ها و آدرس‌های آی‌پی) زمینه و بستر بیشتری دریافت کند تا بتواند هشدارها یا رخدادهایی که شامل‌شان می‌شود اولویت‌بندی کند. متخصصین Kaspersky Threat Research چنین اطلاعاتی را ارائه می‌دهند.
•         شرحی از آسیب‌پذیری‌های خاص و سطوح وخامتشان دریافت کند؛ همینطور اطلاعاتی پیرامون نحوه مقابله با اکسپلویت توسط محصولات کسپرسکی. متخصصین Kaspersky Threat Research چنین داده‌هایی را در اختیار قرار می‌دهند.
•         بررسی جداگانه‌ای را در مورد داده‌های دارک‌وب درخواست دهد. این کار اطلاعات ارزشمندی در خصوص تهدیدهای مربوطه ارائه خواهد داد که در عوض اقداماتی مؤثر برای جلوگیری یا تخفیف عواقب حملات سایبری در پی خواهد داشت. متخصصین Kaspersky Security Services این کار را بخوبی انجام خواهند داد.

[1] Global Research & Analysis Team

[2]  Global Emergency Response Team

[3] Kaspersky Threat Research Team

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.