عند العمل ضمن شبكة كمبيوتر، من المستحيل التأكد على وجه اليقين من عدم قيام أي شخص بتضمين برامج تجسس واستخدامه لأغراض التهديد المستمر المتقدم (APT). يتم إطلاق APT لتحقيق مكاسب مالية أو الإضرار بسمعة الشركة أو تسرب المعلومات. فهو يتطور بشكل غير مرئي، وعندما لا يتم اكتشافه في الوقت المناسب، فإنه قد يؤثر على رفاهية المنظمات وحتى حياة الناس بشكل كبير. يستغرق المخترقون قدرًا كبيرًا من الوقت والجهد لزرع برامج التجسس في الشبكة كجذر APT لمواصلة تطوير الهجوم حتى يتمكنوا من التقاط البيانات المطلوبة. إن الكشف عن التهديدات المستمرة المتقدمة في المراحل المبكرة من شأنه أن يسمح بمعالجة العواقب السلبية وتجنب العواقب المدمرة.
تعد برامج التجسس أداة مهمة تساعد المتسللين على إبقاء شبكة الكمبيوتر المستهدفة تحت المراقبة في APT من أجل تحليل سلوك مستخدمي الشبكة. يبحث مسؤولو أمن المعلومات الذين يهدفون إلى اكتشاف التهديدات المستمرة المتقدمة (APTs) عن أنواع مختلفة من برامج التجسس مثل شاشات النظام، وأحصنة طروادة، وأدوات تسجيل ضغطات المفاتيح، وأجهزة تسجيل الشاشة، وتتبع ملفات تعريف الارتباط. وتتمتع جميعها بميزات أساسية مشتركة تكشف عن وجود برامج التجسس في الشبكة، وبالتالي يمكن أن تساعد في الكشف عن التهديدات المستمرة المتقدمة (APT) في وقت مبكر.
لماذا تكتشف برامج التجسس باستخدام تقنية SIEM؟
هناك عدة طرق لاكتشاف تداخل برامج التجسس في بيئة الكمبيوتر، وبالتالي إحباط التهديدات المستمرة المستمرة (APT) في الوقت المناسب. وبطبيعة الحال، فإن الكشف اليدوي عن وجود برامج التجسس هو أول ما يتبادر إلى الذهن. ومع ذلك، فإن مثل هذا النهج يستغرق وقتا طويلا ويتطلب موارد بشرية، في حين أنه لا يضمن الأمن الكامل.
عندما يتعلق الأمر بالأدوات المدعومة بالكمبيوتر، هناك اعتقاد خاطئ بأن برامج مكافحة الفيروسات توفر حماية بنسبة 100% ضد البرامج الضارة، والتي تغطي أيضًا برامج التجسس، ولكنها في الواقع لا تفعل ذلك. يمكن لبرامج مكافحة الفيروسات تتبع أنواع معينة فقط من برامج التجسس، في حين أن تلك التي تحتوي على رموز فريدة، مثل معظم برامج التجسس المستخدمة في APTs، تفلت بسهولة من التتبع. كما أن أدوات الأمان القياسية مثل جدران الحماية وأنظمة منع التطفل (IPS) لها قيود مشتركة: فهي تتعامل مع مشكلة ضيقة جدًا بحيث لا يمكن حلها. الكشف عن APT بشكل صحيح.
يتطلب الكشف الشامل عن برامج التجسس في شبكة تكنولوجيا المعلومات اتباع نهج شامل، مثل معلومات الأمان وإدارة الأحداث (SIEM). يوفر نظام SIEM تغطية شاملة لبيئة تكنولوجيا المعلومات من وجهة نظر واحدة. يقوم النظام بجمع البيانات لتحليل الأحداث الأمنية بحثًا عن أي خلل من سجلات التدقيق وجميع أدوات الشبكة، بما في ذلك برامج مكافحة الفيروسات وجدران الحماية وIPS. لذلك، يقدم SIEM حلاً متكاملاً مناسبًا لاكتشاف برامج التجسس من بين العمليات الضارة الأخرى.
مثال QRadar
يمكن توضيح نمط اكتشاف برامج التجسس لنظام SIEM في شبكة تكنولوجيا المعلومات من خلال كيفية ذلك IBM® Security QRadar SIEM يفعل ذلك. يقوم QRadar بمراقبة الشبكة والتطبيقات بناءً على القواعد الجاهزة والقواعد المخصصة التي تغطي شروط بحث معينة للأحداث الأمنية. للكشف عن برامج التجسس، فمن الممكن تطويرها قواعد الارتباط المخصصة والتي ستستخدم علامات وجود برامج التجسس في الشبكة كنقطة أساسية لإنشاء شروط البحث.
على الرغم من اتساع نطاق برامج التجسس التي يمكن تطبيقها أثناء التهديدات المستمرة المستمرة، وأن هذه البرامج تتصرف بطرقها الخاصة، إلا أنها جميعًا تكشف عن نفسها بأعراض مماثلة. إن أخذ كل هذه الأعراض في الاعتبار يسهل ضبط QRadar بشكل صحيح، وبالتالي الكشف الموثوق عن برامج التجسس في شبكة الشركة. دعونا نناقش العلامات التي تكشف برامج التجسس والطرق التي يوفرها QRadar للكشف عن كل منها.
مراقبة حركة المرور للكشف عن الاتصالات المشبوهة
بحكم طبيعتها، تقوم برامج التجسس بمشاركة معلومات المستخدم المكتسبة مع المهاجم، وبالتالي إرسالها إلى مصادر خارجية. ولذلك، فإن سمعة مصدر حركة المرور ووجهتها المحددة بواسطة عنوان IP الضار وعنوان URL والمجال وما إلى ذلك يمكن أن تكشف عن وجود برامج تجسس. لذلك، من الضروري مراقبة حركة المرور لأنها تسمح بملاحظة الاتصالات المشبوهة التي تنتجها برامج التجسس. فيما يلي خصائص برامج التجسس التي تحذر من احتمال حدوث خطأ ما في الشبكة في حالة حركة المرور الصادرة:
- يتم توجيه حركة المرور إلى عنوان IP سيئ السمعة الموجود في قائمة IBM X-Force® Threat Intelligence، والتي توفرها شركة IBM لمشتركيها؛
- تنتقل حركة المرور إلى عناوين IP المسجلة في بلدان الوجهة المشبوهة؛
- يرتفع حجم حركة المرور مقارنة بخط الأساس.
عند الحديث عن حركة المرور الواردة، يجب أن تنبه البيانات الواردة من المصادر، والتي تم تحديدها بواسطة IBM X-Force على أنها ضارة، مسؤولي الأمن لأنه من المحتمل أن تكون نقاط نهاية الاتصال مصابة ببرامج تجسس.
لتوفير مراقبة مستدامة لحركة المرور فيما يتعلق بالكشف عن برامج التجسس، يجب تحديد خط الأساس لحركة المرور في المقام الأول. يقوم QFlow Collector بمراقبة حركة المرور في QRadar من خلال معالجة التدفقات بتنسيقات مختلفة، لذلك يجب تعيين حجم قياسي لحركة المرور والوجهات العادية ومعلومات التدفق لها. بعد ذلك، يتم تطوير قواعد الارتباط بطريقة تجعل QRadar يؤدي إلى حدوث مخالفة في كل مرة يتجاوز فيها حجم حركة المرور خط الأساس، أو تختلف الوجهات ومعلومات التدفق عن المعتاد.
مراقبة سجل تدقيق نظام التشغيل لتثبيت برامج التجسس
في حالة تصميم برامج التجسس كتطبيق مستقل، يتم تسجيل حقيقة تثبيتها في سجل تدقيق نظام التشغيل كتثبيت برنامج عادي. لذلك، يمكن التعرف على أثر برامج التجسس من خلال مراقبة سجل تدقيق نظام التشغيل بحثًا عن آثار تثبيت البرامج غير المصرح به. لكي يعمل هذا النهج بكفاءة، يجب أن تحدد السياسة الأمنية الآليات المناسبة لتوزيع البرامج مركزيًا ويجب تطبيق هذه الآليات عبر البيئة. لذلك يجب ضبط QRadar بشكل دقيق بحيث يؤدي إلى حدوث جريمة في كل مرة يكتشف فيها تثبيت برنامج غير مصرح به.
التحليل السلوكي لتصعيد امتيازات المستخدم عبر الأصول
يتطلب النسخ الذاتي لأنواع معينة من برامج التجسس امتيازات إدارية. إن تسجيل كل من المحاولات الناجحة وغير الناجحة للوصول إلى أصل آخر في الشبكة تحت سلطة المسؤول من أجهزة كمبيوتر غير إدارية يجب أن يثير الشكوك التي تؤدي إلى حدوث جرائم في QRadar.
كما أن زيادة كثافة عمليات تسجيل دخول المسؤول قد تشير إلى أن برنامج تجسس يحاول مراقبة سلوك مالك الأصل. إن مفتاح التقاط مثل هذه العلامات هو تعيين خط الأساس لتسجيلات دخول المسؤول إلى الأصل. وبناءً عليه، تم تطوير قواعد الارتباط في QRadar بحيث تولد مخالفات في كل مرة تكتشف فيها عددًا غير طبيعي من عمليات تسجيل دخول المسؤول.
IBM Security QRadar Incident Forensics للكشف عن برامج التجسس
مع الأخذ في الاعتبار تفاصيل اكتشاف برامج التجسس، يمكن أيضًا استخدام IBM Security QRadar Incident Forensics وPacket Capture لمراقبة جميع البيانات الواردة والصادرة، مما يتيح التحقيق السريع في الأحداث الأمنية. ومع ذلك، فإن التشغيل على حركة المرور المشفرة يعتمد إلى حد كبير على توفر مفاتيح التشفير. لذلك، قد يؤدي التكوين غير الصحيح إلى تقليل كفاءة الأداة بشكل كبير.
الكشف في الوقت المناسب للوقاية المناسبة
على الرغم من أن التهديدات المستمرة المتقدمة لا تمتلك سمات كاشفة بشكل واضح مثل الأنواع الأخرى من الهجمات (هجوم DoS، وشبكات الروبوت، والتصيد الاحتيالي، وما إلى ذلك) ويمكنها حتى الاختباء خلفها، إلا أنها قد تسبب أضرارًا وخسائر أكبر. ولذلك، فإن الكشف عنها في الوقت المناسب في مرحلة حقن برامج التجسس يمكن أن يمنع المؤسسة من خسائر مالية كبيرة أو خسائر تتعلق بالسمعة. نظرًا لطبيعة برامج التجسس، فإن الكشف عن أنواع معينة منها يجعل الأمر صعبًا حتى بالنسبة لنظام SIEM الذي تم ضبطه بشكل خاص. على أية حال، عند تخصيص نظام SIEM بشكل صحيح، يصبح أداة شاملة ومفيدة للكشف عن برامج التجسس، لأنه يوفر مراقبة شاملة وارتباطًا لجميع الأحداث الأمنية وتدفقات حركة المرور وسلوك المستخدم.
