اكتشاف نشاط APT من خلال تحليل حركة مرور الشبكة

يستمر التهديد المستمر المتقدم (APT) في توسيع جغرافية الغزو ولا يستهدف المؤسسات واسعة النطاق فحسب، بل الشركات الصغيرة أيضًا. وكمؤشر على هذه الظاهرة، يستمر سوق حماية التهديدات المستمرة المتقدمة (APT) في النمو. بحسب مجموعة راديكاتي تقرير، الإيرادات السنوية من حماية أبت وستصل الحلول إلى نقطة 7.5 مليار دولار بحلول عام 2021.

للكشف عن التهديدات المستمرة المتقدمة (APT) في الوقت المناسب، يجب على الشركة استخدام مجموعة من الأساليب، مثل حلول SIEM وأنظمة IPS/IDS وبرامج مكافحة الفيروسات وجدران الحماية وأنظمة الحماية من الفيروسات. تحليل حركة مرور الشبكة. ويعتبر هذا الأخير عنصرًا إلزاميًا لحماية التهديدات المستمرة المتقدمة (APT) بمهمتها الأساسية المتمثلة في التمييز بين حركة المرور المشروعة وغير المشروعة. ويمكن القيام بذلك باستخدام مجموعة من الأساليب، والتي تختلف في نطاق تطبيقاتها.

تقدم هذه المقالة سلسلة من المشكلات المتعلقة بدور تحليل حركة مرور الشبكة في حملة مقاومة APT.

اتصال البرامج الضارة بخادم التحكم والسيطرة: كيفية التعرف عليه؟

تحقق من عنوان IP

بعد اختراقها للشبكة، تتواصل البرامج الضارة مع خادم القيادة والتحكم (C&C). من الممكن التعرف على هذا الاتصال بمساعدة القوائم السوداء لعناوين IP. تقوم العديد من موارد أمن المعلومات (على سبيل المثال، IBM X-Force) بنشر نطاقات عناوين IP الخاصة بشبكة الروبوتات على الإنترنت. تحقق مما إذا كانت هناك أي اتصالات مشبوهة مع عناوين IP من قوائم C&C السوداء في شبكتك.

انتبه إلى توقيعات IRC وP2P

تتواصل شبكات الروبوت باستخدام بروتوكولات معينة. يعتبر نوع البروتوكول بمثابة معيار لتصنيف الروبوتات:

• بروتوكول IRC (الدردشة عبر الإنترنت) – 1^شارع جيل.
• بروتوكول P2P (نظير إلى نظير) – 2^{اختصار الثاني} جيل.
• بروتوكول HTTPS (بروتوكول نقل النص التشعبي الآمن) – 3^{بحث وتطوير}، جيل الروبوتات الأكثر تقدمًا والذي يصعب التعرف عليه بسبب تشفير حركة المرور.

تحتوي بعض أنظمة SIEM على مكونات متكاملة (على سبيل المثال IBM® QRadar® QFlow Collector) التي تقوم بتحليل حزم الشبكة وتحديد توقيعات IRC وP2P.

استخدام التحليل السلوكي

يشتمل التحليل السلوكي للشبكة ثلاثية المتجهات على تحليل نمط حركة المرور وتحليل أنشطة النظام ووضع الحماية. في هذه المقالة سوف نركز على تحليل نمط حركة المرور.

تقوم أنظمة SIEM ببناء خط أساسي لحركة مرور الشبكة يعكس أنماط الاتصال العادية لخوادم الشبكة الأساسية. يعتبر أي انحراف عن نمط حركة المرور علامة تحذير، ويتفاعل نظام SIEM عن طريق إنشاء مخالفة.

اختر تحليل نمط حركة المرور

يمكن تطبيق تحليل نمط حركة المرور على نطاق واسع للأغراض التالية:

للكشف عن التهديدات غير المعروفة

من بين مجموعة متنوعة من تقنيات الكشف عن التهديدات، أثبت تحليل نمط حركة المرور أنه الأداة الأكثر فعالية، والتي يمكن استخدامها لاكتشاف التهديدات غير المعروفة (المعروفة أيضًا باسم عمليات استغلال يوم الصفر). عادةً ما يقوم مسؤولو الأمان بتكوين نطاق عناوين IP لكل خادم داخل شبكتهم المحلية. عندما يبدأ خادم اتصالات خارج هذا النطاق، فقد تكون هذه إشارة إلى أن عنوان IP غير المعروف ينتمي إلى شبكة الروبوتات.

ويعتمد النجاح في الكشف عن استغلال يوم الصفر إلى حد كبير على قدرة برامج الأمان على استقراء طرق تحديد هوية التهديدات المستمرة المتقدمة المعروفة ومقارنتها بالطرق غير المعروفة. عادةً ما تكون البرامج الضارة قادرة على القيام بأحد الإجراءات التالية على الأقل: الانتشار في الشبكة، وإصابة الملفات، وإخفاء نفسها، ونقل البيانات خارج البيئة المتأثرة، والتواصل مع القيادة والسيطرة، والاستفادة من التقنيات متعددة الأشكال. وبالتالي، تختلف وظائف البرامج الضارة، ولكنها تحتوي على سمات مشتركة يمكن تتبعها في البرامج الضارة ذات يوم الصفر.

للكشف عن خادم C&C الداخلي

يمكن تنظيم شبكات الروبوت مباشرة داخل شبكة خاصة. عند وضعها على المحيط، لا تتمكن دفاعات الشبكة من اكتشاف حركة المرور المشبوهة، حيث يحدث الاتصال داخليًا. في مثل هذه الحالة، لا يمكننا اللجوء إلى تحديد عنوان IP خارجي، لأنه لا يوجد اتصال مع خوادم خارجية.

تحصل أنظمة SIEM على معلومات حول حركة المرور الداخلية من محولات الشبكة. لملاحظة الانحرافات عن الخط الأساسي لحركة مرور الشبكة الداخلية، يستخدم مسؤولو الأمان تحليل نمط حركة المرور. هناك طريقة أخرى لتحديد الاتصال بخادم القيادة والتحكم الداخلي وهي تحليل حركة مرور التطبيق من الطبقة السابعة. ويتضمن تحليل التوقيع والحمولة لحزمة الشبكة. إذا تم الكشف عن اتصالات IRC أو P2P المحظورة بموجب سياسات الشبكة الخاصة، فقد يشير ذلك إلى أن شخصًا ما قام بتنظيم شبكة روبوت داخلية.

للكشف عن اتصال البرمجيات الخبيثة مع مصادر موثوقة

المثال الكلاسيكي هو اتصالات البرامج الضارة من طروادة، عندما تتنكر البيانات الضارة الواردة مما يُعتقد أنه مصدر موثوق به في شكل اتصال مشروع وتخترق شبكتك. في حالة Trojan.Gmail هجوم مستهدف، كان البريد الإلكتروني الوارد من عنوان بريد إلكتروني مزيف يحتوي على مرفق PDF ضار. استغل ملف PDF هذا ثغرة Adobe Reader، وحقن برامج ضارة في النظام المستهدف وقام بتعديل متصفح Internet Explorer. في كل مرة يتم فيها فتح متصفح الويب، تقوم البرامج الضارة بتسجيل الدخول إلى حساب Gmail. في هذه الحالة، وبمساعدة تحليل نمط حركة المرور، يمكن لمسؤولي الأمن ملاحظة ارتفاع كبير في حركة مرور الشبكة إلى مضيفي البريد الإلكتروني، والذي يعمل كنقطة بداية لمزيد من فحص الشبكة.

للكشف عن اتصالات البرامج الضارة عبر HTTPS

كما ذكرنا سابقًا، يعد إنشاء شبكات الروبوت HTTPS هو الأكثر تقدمًا بسبب تشفير البروتوكول. اليوم، من الصعب فك تشفير HTTPS بدون مفتاح فك التشفير. ومع ذلك، حتى في حالة اتصال HTTPS، يمكننا اللجوء إلى تحليل نمط حركة المرور. استنادًا إلى أنماط حركة المرور، فإنه يسمح بتحديد انحرافات حركة المرور خلال إطار زمني معين بالإضافة إلى تقدير حجم حركة المرور وعدد الاتصالات من عنوان IP واحد.

لا يوجد علاج عالمي

وبما أنه لا يوجد علاج عالمي لجميع الأمراض، فلا توجد طريقة واحدة تناسب الجميع لمكافحة التهديدات المستمرة المتقدمة. يعد تحليل حركة مرور الشبكة (على وجه الخصوص تحليل نمط حركة المرور) أسلوبًا مفيدًا، ولكنه لا يضمن اكتشاف البرامج الضارة بنسبة 100%. ومع ذلك، من الممكن زيادة حماية APT الخاصة بك إلى أقصى حد بمساعدة مستشارو أمن المعلومات من سيقوم بتكوين قواعد تحليل حركة المرور المخصصة لبيئة معينة.

خدمات استشارات الأمن السيبراني

هل تريد الحفاظ على بيانات عملك آمنة؟ نحن نقدم خدمات استشارات أمن المعلومات التي تعالج التحديات الأمنية مهما كانت درجة تعقيدها.