الأمن السيبراني

كيف يساعد SIEM في الكشف عن برامج الفدية في مكان العمل، ولماذا نلجأ إليها


في الآونة الأخيرة، تحولت برامج الفدية من ضرب المستخدمين الأفراد المطمئنين إلى مهاجمة الشركات، حيث يمكن عادةً التخلص من الشركات من فدية أكبر مقابل البيانات المشفرة. لقد أصبحت برامج الفدية كلمة طنانة بعد الخسائر التي تم الإبلاغ عنها والتي تجاوزت 200 مليون دولار والتي تكبدتها الشركات الأمريكية في الربع الأول من عام 2016. وهذا الرقم أعلى 9 مرات مقارنة بعام 2015 بأكمله، حيث أن وقال مكتب التحقيقات الفيدرالي لشبكة سي.إن.إن. كما توقع المكتب أن يصل هذا الرقم إلى مليار دولار سنويا.

نظرًا لأن المطالبة بفدية مقابل إلغاء حظر وصول المستخدمين إلى بياناتهم الشخصية أصبحت عملاً مزدهرًا لمجرمي الإنترنت، فإن المتسللين يعملون بلا كلل على تطوير عدد كبير من تقنيات التشفير. Locky، وCryptoWall، وCTB-Locker، وCrypt0L0cker، وCerber، وTeslaCrypt هي من بين أفضل 10 برامج. وقد اتفق المتخصصون في الأمن السيبراني على أن برامج الفدية هي التهديد السيبراني رقم واحد في الوقت الحاضر.

كيف يساعد SIEM في الكشف عن برامج الفدية في مكان العمل

تضرب التهديدات المستمرة المتقدمة الشركات من خلال برامج الفدية

في الآونة الأخيرة، ضرب عدد من هجمات برامج الفدية المراكز الطبية الأمريكية، ومن المحتمل جدًا وقوع حوادث جديدة مماثلة. وبما أن مثل هذه الهجمات أصبحت أكثر تكرارًا، فمن الواضح أنها لا تستغل الثغرات العرضية في الأنظمة غير الآمنة. من المؤكد أن منظمات الرعاية الصحية المتضررة كان لديها إجراءات أمنية مطبقة. ومع ذلك، على الرغم من استخدام أدوات مختلفة لضمان السلامة (برامج مكافحة الفيروسات، وجدران الحماية، وIPS، وIDS)، فقد يكون لدى أمن الشركات العديد من الثغرات التي يمكن للمهاجمين اختراقها.

إلى جانب الأسباب المالية، فإن الشركات والمؤسسات العامة معرضة بشكل خاص لهجمات برامج الفدية، حيث يفتقر الكثير منها عادةً إلى التقنيات الدفاعية المناسبة ضدها. كما أنهم قد يفضلون فقط دفع فدية بدلاً من تسريب خبر تعرضهم لهجوم لتجنب الإضرار بالسمعة والعقوبات.

استهداف الشركات أو الوكالات العامة، يستخدم المتسللون التهديد المستمر المتقدم (APT) ووضع اللمسات الأخيرة عليها عن طريق حظر بيانات الضحية باستخدام برنامج الفدية، الذي لا يكشف عن وجوده في الشبكة حتى يبدأ التشفير. عادةً ما يساعد التصيد الاحتيالي في تحديد موقع برامج الفدية في أصول المستخدمين. وبهذه الطريقة، يتم توزيع المستندات الضارة التي تحتوي على وحدات ماكرو أو برامج أو روابط ممكّنة في رسائل بريد مجمعة، ويفعل المستخدمون النهائيون ما يُطلب منهم فعله بسبب جهلهم. كما يمكن أيضًا استخدام التشغيل التلقائي الممكّن والأجهزة والاتصالات غير الموثوق بها، بالإضافة إلى بعض المكونات الإضافية للمتصفح كثغرات لتثبيت برامج الفدية. بالإضافة إلى ذلك، أطلق مطورو فيروسات التشفير Cerber حملة فدية حديثة عن طريق حقن نصوص برمجية ضارة في مواقع الويب الخاصة بالشركة ليتبعها إعادة توجيه حركة المرور إلى بوابة Cerber.

عادة ما يصبح حقن برامج الفدية هو المرحلة الأخيرة من التهديدات المستمرة المتقدمة، عندما يفوت الأوان لفعل أي شيء باستثناء دفع فدية أو توديع البيانات المشفرة. وهذا يجعل من الضروري لأي شركة أن تكتشف وجود تهديد مستمر مستمر في مراحله المبكرة.

الكشف عن برامج الفدية باستخدام نظام SIEM

من خلال تحديث برنامج مكافحة الفيروسات أو جدار الحماية الذي تم تكوينه مع مراعاة قواعد الشركة للتحكم في حركة مرور الشبكة، لا يزال من المستحيل ضمان قدرة نظام الأمان على مقاومة هجوم برامج الفدية. نظرًا لعدم وجود حل أمني يوفر حماية قوية ضد برامج الفدية، كلما زادت طبقات الأمان في شبكة تكنولوجيا المعلومات، زادت قدرتها على اكتشاف عدوى برامج الفدية قبل بدء تشغيلها. يوصى باتباع نهج شامل قائم على SIEM للكشف عن برامج الفدية في الشبكة، حيث يضمن هذا النهج نظرة عامة شاملة على بيئة تكنولوجيا المعلومات الخاصة بالشركة من وجهة نظر واحدة فيما يتعلق بالأحداث الأمنية المحددة الخاصة بها.

سيتم توضيح الأساليب المستندة إلى SIEM للكشف عن برامج الفدية في بيئة تكنولوجيا المعلومات IBM® Security QRadar SIEM، وهو أحد تقارير Gartner Magic Quadrant لقادة SIEM 2016. جوهر أداء QRadar هو معالجة الأحداث التي يتم إرسالها إليه من جميع مصادر السجل في بيئة تكنولوجيا المعلومات، بناءً على قواعد الارتباطوذلك من أجل الكشف عن الجرائم المحتملة.

مثل مستشارو SIEM قم بتطوير قواعد الارتباط في QRadar يدويًا، مما يسمح بمراعاة جميع العلامات المحتملة لـ APT لسحب القابس عليها في الوقت المناسب. فيما يلي توصيات حول ضبط النظام لاكتشاف مثل هذا الهجوم باستخدام QRadar استنادًا إلى العلامات الشائعة للتهديد المستمر المستمر:

  • مراقبة حركة المرور انحراف المعلمات عن خصائصها الأساسية. قد يشير الاتصال بعناوين IP وعناوين URL والنطاقات الضارة (يمكن تحديد “الخطيئة” باستخدام قائمة IBM X-Force Threat Intelligence)، والوجهات الجغرافية المشبوهة، بالإضافة إلى زيادة حجم حركة المرور، إلى وجود برامج فدية في الشبكة. لذلك، يعد تعيين خط الأساس لحركة مرور الشبكة في QRadar جزءًا حيويًا من تطوير قواعد الارتباط بحيث يتمكن QFlow Collector من مراقبة حركة المرور ويمكن لـ QRadar اكتشاف المخالفات في حالة حدوث خلل.
  • التحليل السلوكي لاكتشاف تصعيد امتيازات المستخدم والعدد الهائل من عمليات تسجيل دخول المسؤول. يمكن لـ QRadar إجراء تحليل سلوكي لكل من المحاولات الناجحة وغير الناجحة لتسجيل الدخول بامتيازات إدارية من أجهزة كمبيوتر غير إدارية بالإضافة إلى زيادة عدد عمليات تسجيل دخول المسؤول.
  • مراقبة سجل تدقيق نظام التشغيل إعداد برامج غير مصرح بها (يجب أن تنص سياسة أمان الشركة على قواعد توزيع البرامج)، حيث يتم عادةً تسجيل جميع عمليات تثبيت البرامج في السجل، سواء بالنسبة للبرامج الشرعية أو البرامج الضارة.
  • مراقبة سجل تدقيق نظام التشغيل لعدد متزايد من التعديلات المتوطنة في نظام الملفات (تغييرات أسماء الملفات ومحتوياتها، وحذف الملفات).

الإهمال سيكلف أكثر في النهاية

الوقاية هي أفضل طريقة لمكافحة برامج الفدية، وقد تساعد الاحتياطات اللازمة في الكشف المبكر عن وجودها في النظام. على الرغم من أن الصناعات التي تبلغ إيراداتها مليارات الدولارات معرضة للخطر بشكل خاص، يجب على كل شركة أن تظل في حالة تأهب وتتخذ الإجراءات اللازمة لمنع التهديدات المستمرة المتقدمة التي قد تحتوي على برامج فدية. بالإضافة إلى ذلك، باستثناء دفع الفدية للمتسللين (قد تصل المشكلة إلى ملايين الدولارات)، يمكن أيضًا معاقبة الشركة المتضررة من قبل الحكومة لأن نظامها الأمني ​​فشل في الامتثال للمتطلبات القانونية.

عندما يستهدف المتسللون الشركات، غالبًا ما تكون برامج الفدية جزءًا من التهديدات المستمرة المستمرة (APT). أ حل SIEM المضبوط بشكل صحيح يمكن أن يمنح الشركات فرصًا أفضل بكثير لاكتشاف برامج الفدية في نظام تكنولوجيا المعلومات مقارنة بالأدوات التقليدية، حيث أنها توفر نظرة عامة شاملة على الشبكة وتحليلًا آليًا للأحداث الأمنية بناءً على معلمات تم تكوينها بشكل احترافي. مثل هذا الدفاع متعدد الطبقات هو ما يمكن أن يساعد في الحفاظ على صحة شبكات تكنولوجيا المعلومات من خلال تحديد الإصابة ببرامج الفدية من خلال أعراضها الرئيسية.



Source link

زر الذهاب إلى الأعلى