روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برای مقابله موثر با تهدیدهای سایبری که اقدامات اولیه امنیتی را دور می‌زند، یک سرویس شناسایی و پاسخ مدیریت شده (MDR) باید اطمینان حاصل کند که ابزارهای مناسب جمع‌آوری داده‌ها از همان ابتدا در سازمان محافظت شده وجود دارد. علاوه بر این، تیم خدمات و تیم مشتری باید مرتباً در مورد چگونگی بهبود جمع‌آوری تله‌متری و سایر داده‌های جمع آوری‌شده به منظور جلوتر ماندن از تاکتیک‌های مهاجم بحث کنند. کارشناسان ما نه تنها به مشتریان در مورد جمع‌آوری صحیح داده‌ها توصیه می‌کنند، بلکه از نزدیک بر تغییر چشم‌انداز تهدید نظارت می‌کنند تا به طور مداوم فرآیند را اصلاح کنند. آخرین گزارش سرویس MDR ما جزئیات رخدادهای در زیرساخت‌های مشتری و تاکتیک‌هایی را که مهاجمین استفاده کرده‌اند، ارائه می‌کند. بخش اختصاصی گزارش، متداول‌ترین قوانین شناسایی در سال 2024 و آنچه برای عملکرد مؤثر آنها لازم است را پوشش می‌دهد.

تخلیه کندوهای رجیستری
در میان عملیات مشکوکی که اغلب در رخدادهایی با شدت بالا شناسایی می‌شود، رایج‌ترین آنها استخراج داده‌های حیاتی امنیتی از سیستم رجیستری است (تخلیه‌ی کندوهای حساس رجیستری). این فعالیت در 27 درصد از رخدادهای با شدت بالا مشاهده شده است.

برای تشخیص چنین استخراجی، ارائه‌دهنده MDR باید تله‌متری از یک سیستم EDR را روی همه رایانه‌ها و سرورهای سازمان محافظت‌شده نصب کرده باشد. اگر یک سیستم حفاظت نقطه پایانی (EPP) وجود داشته باشد که بتواند فعالیت مشکوک (نه لزوما مخرب) را شناسایی کند، این می تواند به عنوان منبع داده‌های ضروری نیز عمل کند. رویدادی که قطعاً باید ثبت شود، دسترسی به رجیستری است.
کد مخرب در حافظه
بسیاری از حملات به گونه ای رخ می‌دهند که فایل‌های مخرب هرگز روی هارد دیسک ذخیره نشوند. با این حال، یک سیستم حفاظت نقطه پایانی می‌تواند کدهای مخرب را در حافظه یک فرآیند سیستم یا بخش دیگری از حافظه شناسایی کند. این در 17 درصد از رخدادهای با شدت بالا رخ داده است و چنین رویدادهایی از EPP باید فوراً برای سرویس MDR قابل مشاهده باشد.
خدمات مشکوک
ایجاد و اجرای سرویس‌های ویندوز حاوی کد دلخواه مشکوک، یک شاخص قوی از یک حمله سایبری آشکار است. این همچنین در نزدیک به 17٪ از رخدادها با شدت بالا شناسایی شده است. برای شناسایی این فعالیت، تله‌متری باید شامل رویدادهای سیستم عامل، اطلاعات راه اندازی فرآیند و محتویات کامل همه فهرست‌های استارت‌آپ شود.
دسترسی به یک میزبان مخرب
اگرچه به ظاهر ساده است، اما این رویداد در 12٪ از رخدادها با شدت بالا ظاهر شد و برای شناسایی به یک پایگاه داده شهرت IP به روز نیاز دارد. در زیرساخت یک شرکت، تلاش‌های دسترسی را می‌توان به روش‌های مختلفی ردیابی کرد: تشخیص EPP، نظارت در سطح شبکه، و تجزیه و تحلیل درخواست DNS/HTTP. ارائه‌دهنده MDR همچنین می‌تواند از پایگاه‌های اطلاعاتی تهدید برای غنی‌سازی تله‌متری مشتری استفاده کند.
تخلیه‌های قطعه‌ی حافظه
برای تشدید حمله در شبکه قربانی پس از دستکاری اولیه، مهاجمین اغلب سعی می‌کنند اعتبار یک ماشین آلوده را به دست آورند. اگر آنها خوش شانس باشند، ممکن است این اطلاعات محرمانه‌ی مدیر شبکه باشد که به آنها اجازه می‌دهد به سرعت سرورها را تصاحب کنند. یک تکنیک کلاسیک برای دستیابی به این، استخراج و ذخیره قطعات حافظه مربوط به LSASS (سرویس زیرسیستم مرجع امنیت لوکال) است. در سال 2024، ما این تکنیک را در نزدیک به 12 درصد از رخدادهای با شدت بالا شناسایی کردیم.
تلاش برای گرفتن حافظه LSASS را می‌توان به روش های مختلفی شناسایی کرد: استفاده از قوانین خاص EPP و EDR، تجزیه و تحلیل پارامترهای خط فرمان هنگام راه اندازی برنامه‌ها، اسکریپت‌ها و فرآیندها، و نظارت بر دسترسی به LSASS.
اجرای یک شیء با اعتبار پایین
اگرچه یک فایل، اسکریپت یا سند ممکن است به طور قطعی مخرب نباشد، اما اگر قبلاً در فعالیت مشکوک مشاهده شده باشد، متخصصان MDR باید بررسی کنند که آیا یک حمله سایبری در حال انجام است یا خیر. این به تله متری نیاز دارد که فرآیندهای راه‌اندازی فایل‌های مشکوک را ثبت کند. و البته، اطلاعات تهدید برای نشان دادن شهرت بد فایل مورد نیاز است. اجرای اشیاء با اعتبار کم در 10 درصد از رخدادها با شدت بالا مشاهده شد.
افزودن کاربران ممتاز
علاوه بر سرقت حساب‌های ادمین، مهاجمان اغلب حساب‌های خود را ایجاد می‌کنند و سپس امتیازات خود را افزایش می‌دهند. در 9٪ از رخدادها با شدت بالا، یک حساب به یک گروه دامنه شرکتی ممتاز اضافه شد. برای تشخیص این موضوع، مجموعه رویدادهای سیستم عامل باید تمام تغییرات حساب را ثبت کند.
اجرای فرآیند از راه دور
در بیش از 5 درصد از رخدادها، فرآیندی وجود داشت که توسط یک کاربر راه دور راه اندازی شد. برای نظارت بر چنین رویدادهایی، رایانه‌ها باید رویدادهای راه اندازی فرآیند و بارگذاری بخش های فایل اجرایی را در حافظه ثبت کنند.

آدرس مخرب در پارامترهای رویداد
در هر پارامتر رویداد - اما معمولاً در خط فرمان فرآیند در حال اجرا - ممکن است یک URL مخرب شناخته شده ظاهر شود. این امر در تقریباً 5 درصد از رخدادها با شدت بالا مشاهده شد، و این امر ضروری است که همیشه پارامترهای دقیق رویدادهای ثبت شده، از جمله خط فرمان کامل، در تله متری لحاظ شود. برای ارائه دهندگان MDR، چنین تشخیصی تنها با دسترسی به یک پایگاه داده با اعتبار URL بزرگ (که البته ما داریم) امکان‌پذیر است.
منابع تله‌متری
در بالا، ما حیاتی ترین رویدادهایی را که به تیم MDR کمک می کند تا رخدادهای جدی را شناسایی و از آن جلوگیری کند، برجسته کرده‌ایم. گزارش کامل رویدادهای اضافی و تجزیه و تحلیل عمیق‌تر از تاکتیک‌های مهاجم را پوشش می‌دهد. لیست بالا مشخص می‌کند که چه نوع داده‌هایی باید به صورت بلادرنگ به یک سرویس MDR منتقل شوند تا به طور موثر کار کند. اول از همه، این شامل موارد زیر می‌شود:
• تله متری از راهکارهای حفاظت نقطه پایانی (EPP) یا عوامل EDR. در سازمان‌های امروزی، «آنتی ویروس» سنتی و ابزارهای تشخیص و پاسخ اغلب در یک محصول واحد ادغام می‌شوند. این تله متری کلیدی را از رایانه ها و سرورها فراهم می‌کند، بنابراین حضور آن در همه ماشین‌ها، همراه با پیکربندی ثبت جزئیات رویداد با همکاری تیم MDR ضروری است.
• رویدادهای سیستم عامل گزارش‌های ویندوز با پیکربندی مناسب اطلاعات مهمی در مورد دستکاری حساب، راه‌اندازی و خاتمه فرآیند و موارد دیگر ارائه می‌دهند. در سیستم های لینوکس، همان نقش را Audit Daemon (معروف به حسابرسی) ایفا می کند. توجه ویژه باید به پیکربندی ورود به سیستم در تمام سرورهای سازمان داده شود. توصیه های دقیق برای تنظیمات ویندوز را می توان در پایگاه دانش ما یافت. ابزار Sysmon از مجموعه Microsoft Sysinternals کارایی گزارش‌های ویندوز را افزایش می‌دهد.
• رویدادها از دستگاه‌های شبکه پیکربندی ثبت جزئیات در دستگاه های شبکه بسیار مهم است - در درجه اول فایروال‌ها و فیلترهای وب، همچنین روترها، پروکسی ها و سرورهای DNS در صورت استفاده در شرکت.
• گزارش‌های محیط کلود مهاجمین اغلب زیرساخت‌های کلود و ابزارهای SaaS را به خطر می‌اندازند، جایی که گزارش‌های ذکر شده قبلاً معمولاً در دسترس نیستند. بنابراین، تنظیم گزارش جامع مبتنی بر امنیت با استفاده از ابزارهای بومی کلود، مانند AWS CloudTrail، ضروری است.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.