QRadar SIEM للقبض على مسؤول النظام المارق
بالنسبة لمديري الأمن الذين يتطلعون إلى تحسين الأمن المحيطي، قد يكون مؤشر IBM X-Force 2016 Cyber Security Intelligence Index مخيبا للآمال للغاية. وأظهرت الإحصائيات ذلك 60% من الهجمات السيبرانية في عام 2015 كانت بسبب أشخاص من الداخل، أي الموظفين الذين لديهم إمكانية الوصول المباشر إلى أنظمة المنظمات. ومن بينهم، تم تصنيف 15.5% فقط كمستخدمين مهملين، في حين تم تمثيل 44.5% آخرين من قبل المطلعين الخبيثين الذين استغلوا نقاط ضعف الشركات عن عمد.
ولكن من هم في الواقع هؤلاء المطلعين؟ كشفت دراسة أجراها معهد هندسة البرمجيات (SEI) أن الموظفين الفنيين ارتكبوا 75.4% من حوادث التخريب المسجلة. فيما بينها، ويشكل مسؤولو النظام أكبر مجموعة من الجناة المسؤولين عن 27.1% من الحوادث. والآن دعونا ننظر إلى ما هو أبعد من هذه الأرقام لفهم العواقب التي تواجهها الشركات عندما تعهد بشبكاتها إلى مسؤولي النظام غير الشرفاء.
لماذا يعتبر مسؤولو النظام الخبيثون خطيرين جدًا؟
في العادة، يجب على مسؤولي النظام مراقبة شبكة الشركة والبقاء على حراسة البوابات الإلكترونية للشركة. ومع ذلك، يحدث في الواقع أن حارس الأمن هو مرتكب جريمة شريرة. في بعض الأحيان، تكون مراجعة الأداء السلبية من المدير كافية لجعل مسؤول النظام يتحول إلى الجانب المظلم. فيما يلي مثال حي استشهد به SEI: “أدى مسؤول النظام إلى جعل شبكة صاحب العمل السابق غير قابلة للاستخدام في أقل من 30 دقيقة. احتاجت المنظمة الضحية إلى 30 يومًا للتعافي من الهجوم. إذا لم يقم بديل المطلعين بإجراء نسخ احتياطية إضافية للنظام قبل الهجوم، فلن تتمكن المنظمة أبدًا من استعادة شبكتها.
بالإضافة إلى هذه الأساليب السريعة، يمكن لمسؤولي النظام أيضًا قيادة حرب طويلة الأمد وتهديد شبكة الشركة بشكل مستمر إلى جانب التسبب في تسرب بيانات كبير أو تلوث شديد للشبكة. مثل هذا التكتيك البطيء يمثل تهديدًا داخليًا متقدمًا ومستمرًا حقيقيًا: حيث يقوم مسؤول النظام بوضع العديد من “الألغام الأرضية” بدم بارد لتفجير الشركة بأكملها في يوم من الأيام.
ومن الجدير بالذكر أن التعليم والخبرة المهنية يمنحان مسؤولي النظام حتماً كل ما يحتاجون إليه من أجل:
تنفيذ أنواع مختلفة من الهجمات. ومع الخلفية التقنية ذات الصلة، عادة ما يكون مسؤولو النظام على دراية جيدة بكل ما يتعلق بالشبكات ويعرفون تمامًا جميع نقاط الضعف وطرق استغلالها. وفي أسوأ السيناريوهات، يمكن لمسؤولي النظام العبقريين إعداد قنبلة منطقية، وهي عبارة عن جزء من التعليمات البرمجية يطلق وظيفة ضارة عند استيفاء شروط محددة. التأثير الضار لمثل هذا الهجوم هو أنه بمجرد تشغيله يؤدي عادة إلى ضرر كبير لا يمكن إصلاحه، على سبيل المثال، حذف ملفات التكوين الهامة من خوادم الشركة وجميع حسابات المستخدمين.
إساءة استخدام أذونات واسعة النطاق. على عكس الموظفين العاديين، يتم منح مسؤولي النظام في البداية أذونات واسعة، حتى يتمكنوا حرفيًا من فتح أي باب. تعد هذه واحدة من أكبر المزايا للمسؤولين الضارين حيث أنهم لا يحتاجون حتى إلى تجاوز أنظمة الحماية لتصفح الشبكة بحرية.
تمويه أنشطتهم. يمكن لمسؤولي النظام المحتالين إنشاء حسابات وهمية بسهولة وتنفيذ أعمالهم الشريرة دون أن يتم اكتشافهم. من الممكن أيضًا استخدام الحسابات الموجودة بالفعل لكل من الموظفين العاديين والمديرين على المستوى C. في هذه الحالة، جميع الأنشطة الضارة سوف تنشأ من موظف غير متوقع.
السماح للمتسللين الخارجيين بالدخول. ولجعل الأمور أسوأ، يمكن لمسؤول النظام الضار السماح للمتسللين الخارجيين بالدخول إلى شبكة المؤسسة وضخ معلومات سرية أو إطلاق حملات تصيد احتيالي ضمن فريق. بمجرد فتح الباب، ستواجه المنظمة هجمات متزامنة من الداخل والخارج يمكن أن تصل إلى نطاق مثير للإعجاب حقًا.
إعداد الدفاع القائم على SIEM
حتى عندما يكون الخطر المحتمل واضحًا، لا تزال الشركات تجد صعوبة في التخفيف من التهديدات الداخلية، خاصة تلك التهديدات المعقدة للغاية والتي يتم إعدادها من قبل مسؤولي النظام. عادةً ما تتضمن الإجراءات المضادة مجموعة من الخطوات التنظيمية التي تسمح بتقليل مخاطر تخريب تكنولوجيا المعلومات. من بينها، هناك فحص إلزامي لخلفية الموظف، ونظام موثق جيدًا للتحكم الأمني، وإنشاء حساب مسؤول متميز وفصل واضح بين الواجبات الإدارية (على سبيل المثال، لا ينبغي لمسؤول نظام التشغيل أن يكون قادرًا على الوصول إلى أجهزة الشبكة ).
وفي الوقت نفسه، من المعقول استكمال هذه التدابير التنظيمية القياسية بمراقبة الشبكة الآلية للتحكم غير المتحيز في المستخدمين المميزين واكتشاف العلامات المبكرة للتخريب. ولهذه الأغراض، يمكن للشركات استخدام أنظمة SIEM التي توفر إمكاناتها الواسعة لالتقاط التهديدات الخارجية والداخلية.
وحتى لا يبدو الأمر بلا أساس، فإننا نعرض تحليل مجموعة من الحالات المحتملة بناءً على الإجراءات المحتملة لمسؤولي النظام الضار إلى جانب آليات تضمن الإشراف المكثف على أنشطة مسؤول النظام داخل آي بي إم الأمن QRadar. يوفر الحل بنية موحدة لدمج معلومات الأمان وإدارة الأحداث (SIEM)، وإدارة السجل، والكشف عن الحالات الشاذة، والاستجابة للحوادث، والمزيد.
ومن الجدير بالذكر أيضًا أنه لتحقيق نتائج إيجابية، يجب أن يكون حتى حل SIEM المتقدم مثل QRadar هو الأول تم ضبطها بواسطة خبراء SIEM الذين يقومون بتكييف النظام مع البنية التحتية للشركة وتطوير قواعد الارتباط المخصصة التي تهدف إلى التعامل مع مشكلة أمنية معينة.
اكتشاف مسؤول النظام الذي يترك أحيانًا ثغرة في جدار الحماية
ولمواجهة مسؤولي النظام الذين يقومون عن عمد بإيقاف تشغيل حماية جدار الحماية، يمكن لمسؤولي الأمان استغلال الفرصة للقيام بما يلي:
- إرسال معلومات الوصول والتدقيق من جدران الحماية إلى QRadar.
- تطبيق قواعد الحالات الشاذة بناءً على حركة مرور جهاز الشبكة على الخدمات الحيوية للأعمال وتحديد متى تنمو حركة المرور أو تقل بشكل ملحوظ، والتي ستكون علامة على وجود أنشطة غير طبيعية داخل الشبكة.
- مراقبة نشاط تسجيل الجهاز وتحديد العيوب، على سبيل المثال، عندما لا يرسل الجهاز سجلات لمدة 10 دقائق.
- مراقبة الأوامر المشبوهة (مثل “عدم تسجيل الدخول” في Cisco) التي يتم تنفيذها من أجهزة الشبكة.
- استخدم QRadar Risk Manager لمتابعة التعديلات على تكوين جدار الحماية ومقارنة سجل التكوين لاكتشاف من ومتى ترك ثغرة.
اكتشاف حسابات المستخدمين الزائفة أو امتيازات المستخدم الموسعة
تقليديًا، يجب على مسؤول النظام إخطار مسؤولي الأمان بكل مثيل لحساب مستخدم تم إنشاؤه أو تم تمديد الامتياز (في شركة كبيرة، يمكن تحقيق مثل هذه الشفافية من خلال التقارير اليومية التي تسرد جميع حسابات المستخدمين الجديدة أو ملحقات الامتيازات). لمعرفة ما إذا كان مسؤول النظام يستخدم حسابات المستخدمين في الوقت المناسب أو يقوم بتوسيع بعض امتيازات المستخدم بشكل غير قانوني، يمكن لمسؤولي الأمان استخدام حل SIEM من أجل:
- جمع سجلات التدقيق القادمة من Active Directory (AD) الخاص بالشركة.
- تطبيق قاعدة الارتباط لمراقبة حالات إنشاء مستخدم جديد مع حذف الحساب لاحقاً خلال فترة زمنية قصيرة، وقاعدة إنشاء حساب مستخدم لا يتبعه تغيير كلمة المرور.
يمكن لمسؤول الأمان أيضًا استكمال الخطوات المذكورة أعلاه من خلال:
- تعيين حسابات وأدوار المستخدمين الإدارية وغير الإدارية ضمن القوائم الداخلية لحل SIEM (المجموعات المرجعية) مع أخذ المعلومات من إعلان الشركة أو LDAP أو خدمات المصادقة الأخرى.
- تنفيذ قواعد الارتباط لإعلام محلل الأمان عندما يصل حساب مستخدم غير معين (مثل الحسابات المحلية/حسابات الخدمة، والحسابات من أقسام غير محددة) إلى أي خادم مهم أو يستخدم الامتيازات الإدارية.
تتبع تثبيت البرامج الضارة إلى خادم أو محطة عمل
للاستعداد لانتشار محتمل للبرامج الضارة، يمكن لمسؤولي الأمان استخدام طريقتين على الأقل استنادًا إلى مراقبة التدفق. على الرغم من أنه في هذه الحالة يتم التركيز فقط على بيانات التدفق، فإن اكتشاف انحرافات التدفق سيمكن متخصصي الأمن من إجراء المزيد من التحقيق والعثور على المخالف.
التكتيك الأول اسمه وعاء العسل يهدف إلى اكتشاف البرامج الضارة لتمكين المتخصصين في مجال الأمن من تعقب المستخدم الذي قام بنشرها. في هذه الحالة، ستتضمن قائمة المهام لمسؤول الأمان ما يلي:
- تمكين AppLocker على خوادم Windows ومحطات عمل الموظفين الحاليين. سيسمح هذا بتحديد المستخدمين أو مجموعات المستخدمين التي يمكنها تشغيل تطبيقات معينة بناءً على الهويات الفريدة للملفات.
- إنشاء مجلدات مصيدة الجذب بأسماء مجلدات يمكن التعرف عليها بسهولة ومنح الوصول إلى هذه المجلدات لجميع المستخدمين.
- تمكين تدقيق نظام الملفات لمراقبة الوصول إلى مجلد مصيدة الجذب وإتلاف البيانات، و/أو تنفيذ برنامج نصي للتحقق من تجزئات MD5 لملفات مصيدة الجذب، ثم إعادة توجيه هذه البيانات إلى QRadar.
- تنفيذ قاعدة الارتباط لمراقبة الوصول إلى الملفات واكتشاف التغييرات وتنبيه مسؤولي الأمان.
وبصرف النظر عن طريقة مصيدة الجذب، يمكن لمسؤولي الأمن أيضًا ضمان استمرارية هذه الهجمات شبكة الرصد وتدفق البيانات المباشر إلى حل SIEM من أجل مراقبة:
- الاتصالات مع مراكز التحكم المعروفة في الروبوتات وعناوين IP الضارة. يمكن الاشتراك في هذه المعلومات عبر IBM X-Force أو دمجها مع نظام SIEM من المصادر المفتوحة.
- الاتصالات مع بلدان ومناطق غير عادية ومن المحتمل أن تكون ضارة.
- الاتصالات عبر منافذ غير عادية (على سبيل المثال، 6667/IRC).
- الاتصالات التي تحتوي على حمولات محددة (على سبيل المثال، أوامر التحكم في الروبوت).
الكشف عن استعلامات البيانات إلى خادم قاعدة بيانات الأعمال الهامة
لتحديد مسؤولي النظام الذين يطلبون البيانات من خوادم قواعد البيانات الهامة، يمكن لمسؤول الأمان تنفيذ السيناريو التالي:
- تمكين تدقيق قاعدة البيانات لحسابات مسؤول قاعدة البيانات المميزة على مستوى نظام التشغيل وتعطيل الامتيازات الإدارية لنظام التشغيل على مستوى نظام التشغيل لمسؤولي قواعد البيانات.
- سجلات تدقيق قاعدة البيانات المباشرة إلى حل SIEM.
- قم بتعيين مستخدمي وأدوار قاعدة البيانات إلى مجموعات المراجع الداخلية لحل SIEM.
- قم بتنفيذ قاعدة الارتباط لمراقبة وصول المستخدمين إلى قاعدة بيانات غير مسموح لهم بالوصول إليها، استنادًا إلى مجموعات مراجع QRadar.
- قم بتمكين الإشعارات التلقائية عندما يطلب حساب مسؤول غير معين أو حساب مسؤول قاعدة البيانات معلومات من قاعدة بيانات تطبيقات الأعمال أو يعدلها أو يحذفها (عادةً، يجب أن يكون التطبيق نفسه فقط قادرًا على الوصول إلى البيانات).
التقاط اتصال مسؤول النظام بخادم غير مصرح به
بالإضافة إلى الفصل بين المهام وإدارة الحساب على أساس الدور، سيتمكن مسؤول الأمان من اكتشاف مثل هذا الانتهاك من خلال:
- تعيين المستخدمين وأدوارهم والخوادم المستهدفة ضمن حل SIEM.
- تنفيذ قواعد الارتباط التي ستُعلم محللي الأمان عندما يصل المستخدمون الإداريون الذين لديهم دور محدد إلى خادم لا يُسمح لهم بالوصول إليه.
الكشف عن مسؤول النظام الذي يقوم بتنظيف سجلات التدقيق أو تعطيل التدقيق
للكشف عن مسؤولي النظام الذين يحاولون إخفاء مساراتهم، يتعين على مسؤول الأمان تكوين التدقيق بشكل صحيح على الأنظمة الأساسية المستهدفة وتنفيذ قواعد الارتباط المخصصة لإخطار محلل الأمان عندما:
- تمت تطهير مجلة التدقيق.
- تم تعطيل التدقيق.
- تم تغيير سياسة التدقيق.
خاتمة
على الرغم من أن معظم الهجمات السيبرانية المدمرة يتم تنفيذها بواسطة قراصنة خارجيين، ويستمر خطر التهديدات الداخلية في النمو في غالبية المؤسسات. وبينما يمكن لشركة أن تتعافى سريعًا من حادث لمرة واحدة سببه إهمال موظف، فإن الأضرار التي يسببها مسؤول النظام الضار يمكن أن تكون ساحقة، مما يؤدي إلى شل حركة الشركة بأكملها ويؤدي إلى خسائر مالية هائلة. لتجنب مثل هذه النتيجة المريرة، يمكن للمؤسسات الاهتمام ببياناتها الحساسة وسمعتها مسبقًا والالتزام بمراقبة متواصلة لشبكتها بمساعدة حل SIEM. تم ضبطها بشكل صحيح وتزويدها بمجموعة مخصصة قواعد الارتباط، سيسجل نظام SIEM حتى التغييرات الطفيفة في تكوين الشبكة، ويكشف عن حسابات المستخدمين الزائفة والوصول غير المصرح به إلى أجهزة الشبكة المهمة. سيسمح هذا لمديري الأمن باكتشاف مسؤولي النظام الضارين في الوقت المناسب وحظر نشاطهم في شبكة الشركة.