چطور از یک تحلیلگر امنیتی سوال بپرسیم؟

28 مهر 1400 چطور از یک تحلیلگر امنیتی سوال بپرسیم؟

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اغلب، کارمندان مراکز عملیات امنیتی و دپارتمان‌های امنیت اطلاعات برای کمک گرفتن به متخصصین کسپرسکی رجوع می‌کنند. ما دلایل رایج چنین درخواست‌هایی را مورد تحلیل قرار دادیم و سرویسی تخصصی درست کرده‌ایم که به مشتریان کمک می‌کند مستقیماً سوالات خود را در حوزه مورد نظر خود از یک متخصص بپرسند. با ما همراه بمانید.

چرا ممکن است نیاز داشته باشید از یک متخصص سوال بپرسید؟

تهدید حملات سایبری با توجه به اینکه مجرمان سایبری هر روز به فکر پیدا کردن راه‌ها و ترفندهای جدیدی برای فریب دادن کاربران هستند روز به روز بیشتر رشد می‌کند. مجرمان سایبری همواره در حال کشف آسیب‌پذیری‌های جدید در سخت‌افزارها و نرم‌افزارها، سرورها، دروازه‌های وی‌پی‌ان و سیستم‌عامل‌ها هستند. صدها هزار نمونه بدافزار جدید هر روز به منصه ظهور می‌رسد و انواع گسترده‌ای از سازمان‌ها از جمله سازمان‌های اصلی و حتی آژانس‌های دولتی هم قربانی حملات باج‌افزاری می‌شوند. افزون بر این کمپین‌های جدید و پیچیده‌ی تهدید و APT نیز مرتباً مورد هجمه قرار می‌گیرند. در چنین اوضاعی هوش تهدید (TI) می‌تواند نقش تعیین‌کننده‌ای را ایفا کند. تنها با داشتن اطلاعات به موقع در مورد ابزارهای مهاجمین و تاکتیک‌هایشان این امکان وجد دارد که بشود سیستم محافظتی به جایی را ساخت و در صورت بروز رخداد بررسی‌های لازم را انجام داده، نفوذی‌ها را در شبکه شناسایی کرده و دسته‌بندی‌شان نموده و تعیین کرد کدام بردار حمله مهتر است تا در نهایت بشود جلوی تکرار شدن حمله را گرفت. به کار گرفتن TI در چنین سازمانی مستلزم داشتن متخصصی شایسته و تمام‌وقت است که بتواند از داده‌های هوش تهدید به طور عملی و اجرایی استفاده کند. از این رو چنین متخصصی به مهمترین دارایی هر بررسی تهدیدی تبدیل می‌شود. با این تفاسیر، آموزش دادن و حفظ تحلیلگران امنیت سایبری امری پرهزینه می‌شود و هر شرکتی هم توان نقبل چنین تیم متخصی را ندارد.

سوالات پرتکرار

دپارتمان‌های مختلفی در کسپرسکی به کلاینت‌ها کمک می‌کنند تا رخدادهای سایبری را مدیریت کنند. خلاصه بگوییم که آن‌ها در سه تیم [1]GReAT، [2]GERT و [3]Kaspersky Threat Research فعالیت می‌کنند. به طور خلاصه ما بیش از 250 تحلیلگر و متخصص در سطح جهانی کنار هم جمع کرده‌ایم. این تیم‌ها مرتباً کلی درخواست در مورد تهدیدهای سایبری از سوی کلاینت‌ها دریافت می‌کنند. ما با آنالیز کردن درخواست‌های اخیر طبقه‌بندی‌های زیر را شناسایی کرده‌ایم.

تحلیل بدافزار یا نرم‌افزار مشکوک

سناریویی که به کرات بدان برمی‌خوریم، منطق شناسایی را در امنیت اندپوینت یا قوانین شکار تهدید مورد هدف قرار می‌دهد. سرویس امنیتی یا SOC شرکت هشدار را بررسی می‌کند، آن چیز مخرب یا مشکوک را پیدا کرده اما برای استدلال با جزئیات، منابع کافی را ندارد. شرکت سپس از متخصصین ما برای تعیین کارایی آن چیز شناسایی‌شده کمک می‌گیرد. اینکه آن چیز چقدر خطرناک است و چطور می‌شود مطمئن شد رخداد بعد از حذف برای همیشه حل می‌شود. اگر متخصصین ما بتوانند سریعاً آنچه را کلاینت فرستاده تشخیص دهند (ما دانش وسیعی در مورد ابزارهای معمول مهاجمین داریم و هچنین کلی نمونه بدافزار منحصر به فرد می‌شناسیم) فوراً پاسخگو خواهند بود. در غیر این صورت، تحلیلگران ما نیاز دارند بررسی‌هایی را انجام دهند و در موارد پیچیده حتی این پروسه گاهاً زمانبر می‌شود.

اطلاعاتی مضاعف پیرامون شاخص‌های دستکاری

بیشتر شرکت‌ها از انواعی از منابع برای شاخص‌های دستکاری (IoCs) استفاده می‌کنند. ارزش IoCs تا حد زیادی در موجود بودن زمینه و موضوعیت است- یعنی اطلاعات مضاعف در مورد شاخص و اهمیت آن. زمینه با این حال همیشه هم موجود نیست. پس یک تحلیلگر SOC با شناسایی یک IoC خاص در فرضاً سیستم SIEM ممکن است حضور یک عامل مخرب را حس کند و متوجه شود احتمال رخداد سایبری وجود دارد اما اطلاعات کافی برای بررسی‌های بیشتر را نداشته باشد. در چنین مواردی آن‌ها می‌توانند درخواستی برای ما ارسال کنند و در مورد IoC شناسایی‌شده از ما اطلاعات بخواهند و در بسیاری از موارد چنین IoC‌هایی جالب هم از آب درمی‌آیند. برای مثال ما یکبار آدرس آی‌پی در فید ترافیک یک شرکت پیدا کردیم (یعنی از شبکه سازمانی بدان دسترسی پیدا کردیم). از میان چیزهای میزبانی‌شده در این آدرس یک سرور مدیریت نرم‌افزار به نام Cobalt Strike–یک ابزار مدیریت ریموت یا ساده بگوییم: همان بک‌در-وجود داشت که همه نوع مجرم سایبری آن را استفاده می‌کردند. شناسایی‌اش یقیناً به این معناست که شرکت از قبل تحت هجمه حمله‌ای بوده است (یا واقعی یا آموزشی).

درخواست داده در مورد تاکتیک‌ها، تکنیک‌ها و رویه‌ها

IoCها ابداً تنها چیزی نیستند که شرکت برای متوقف کردن حمله یا بررسی یک رخداد نیاز دارد. وقتی دستان پشت پرده یک حمله شناسایی شد، تحلیلگران SOC معمولاً داده‌هایی را در مورد تاکتیک‌های این گروه ملزم خواهند دانست؛ همینطور تکنیک‌ها و رویه‌ها. آن‌ها به شرحات مبسوط در مورد شیوه کار گروه سایبری نیاز دارند تا بتوانند تشخیص دهند آن‌ها چطور توانسته‌اند به زیرساخت رخنه کنند. همچنین اطلاعاتی می‌خواهند از متودهایی که مهاجمین معمولاً برای نفوذ به شبکه استفاده می‌کنند و نیز نحوه استخراج داده‌شان. ما این اطلاعات را بعنوان بخشی از سرویس Threat Intelligence Reporting خود ارائه می‌دهیم. متودهای مجرمان سایبری حتی در همان گروه نیز می‌تواند بسیار مختلف باشد و شاید توصیف همه جزئیات ممکن نباشد (حتی در گزارشات دقیق و مبسوط). از این رو کلاینت‌های TI که از APT و گزارشات تهدید جرم‌افزار ما استفاده می‌کنند برخی‌اوقات از ما اطلاعات بیشتری پیرامون جنبه خاصی از یک تکنیک حمله در یک زمینه خاص می‌خواهند. ما چنین پاسخ‌هایی را از طریق سرویس‌های خاص یا در فریم‌ورک محدود پشتیبانی فنی ارائه می‌دهیم. با این حال، با توجه به تعداد فزاینده درخواست‌ها و درک ارزش مهارت و دانش تیم تخصصی ما، تصمیم گرفتیم سرویسی مخصوص ارائه دهیم به نام Kaspersky Ask the Analyst که دسترسی سریعی را از طریق یک نقطه ورود به توصیه‌های متخصصین ما می‌دهد.

Kaspersky Ask the Analyst

ما اهمیت اطلاعات تهدید به موقع را درک می‌کنیم و از این رو برای هر نوع درخواستی SLA داریم. با این سرویس، یک متخصص امنیت اطلاعات می‌تواند:

  •         از گزارشات هوش تهدید کسپرسکی اطلاعات اضافی دریافت کند. این اطلاعات عبارتند از IoC مبسوط و زمینه تحلیلی از GReAT و تیم Kaspersky Threat Research. بسته به موقعیت دقیق‌تان این تیم‌ها هر ارتباطی را بین شاخص‌های شناسایی‌شده در شرکت‌تان با فعالیت شرح‌داده‌شده در گزارشات مورد بحث و بررسی قرار می‌دهند.
  •         تحلیل مفصلی دریافت کند از رفتار نمونه‌های شناسایی‌شده، اهداف‌شان را تعیین کرده و توصیه‌هایی نیز بگیرد از نحوه تخفیف عواقب آن حمله. متخصصین واکنش به رخداد سایبری تیم The Kaspersky Global Emergency Response شما را در این امر کمک خواهند کرد.
  •         شرحی از خانواده بدافزار مربوطه بگیرد (برای مثال یک تکه خاص از باج‌افزار) و نیز در خصوص محافظت در برابر آن نیز توصیه‌هایی دریافت کند. ضمن اینکه می‌تواند برای IoCها (هش‌ها، یوآرال‌ها و آدرس‌های آی‌پی) زمینه و بستر بیشتری دریافت کند تا بتواند هشدارها یا رخدادهایی که شامل‌شان می‌شود اولویت‌بندی کند. متخصصین Kaspersky Threat Research چنین اطلاعاتی را ارائه می‌دهند.
  •         شرحی از آسیب‌پذیری‌های خاص و سطوح وخامتشان دریافت کند؛ همینطور اطلاعاتی پیرامون نحوه مقابله با اکسپلویت توسط محصولات کسپرسکی. متخصصین Kaspersky Threat Research چنین داده‌هایی را در اختیار قرار می‌دهند.
  •         بررسی جداگانه‌ای را در مورد داده‌های دارک‌وب درخواست دهد. این کار اطلاعات ارزشمندی در خصوص تهدیدهای مربوطه ارائه خواهد داد که در عوض اقداماتی مؤثر برای جلوگیری یا تخفیف عواقب حملات سایبری در پی خواهد داشت. متخصصین Kaspersky Security Services این کار را بخوبی انجام خواهند داد.

 

[1] Global Research & Analysis Team

[2]  Global Emergency Response Team

[3] Kaspersky Threat Research Team

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    9,447,000 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    3,147,000 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    12,597,000 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,722,000 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,722,000 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    6,297,000 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    11,340,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد