ملاحظة المحرر: في المقالة، يشرح سيرجي كيف تستخدم ScienceSoft مؤشرات التسوية (IoCs) للإشارة إلى علامات انعدام أمان الشبكة. تابع القراءة للحصول على بعض النصائح المفيدة! وإذا كنت تريد ضمان حماية شاملة للشبكة، فنحن نرحب بك لاستكشاف عرض مخصص أعدته شركة ScienceSoft فريق الاختراق.
وفي ظل تصاعد جائحة الخروقات الأمنية، خدمة الأمن السيبراني يركز مقدمو الخدمات وموظفو الأمن جهودهم على الكشف المبكر عن التهديدات السيبرانية. للحصول على إشارات تشير إلى أن الشبكة غير آمنة في أسرع وقت ممكن، يستخدم متخصصو نظم المعلومات مؤشرات الاختراق (IoCs). دعونا نصحح قيمتها وسلبياتها بالنسبة لأمن معلومات الشركة.
ما هو IoC؟
تشير مؤشرات التسوية إلى احتمالية أن تكون ضارة أنشطة على النظام أو الشبكة و التحف التي تشير بثقة عالية إلى وجود اقتحام للكمبيوتر.
قد تخدم أمثلة الأنشطة المشبوهة أنماط حركة غير عادية بين الأنظمة الداخلية، وأنماط استخدام غير عادية للحسابات المميزة، والوصول الإداري إلى شبكتك من موقع جغرافي غير متوقع. تشتمل القطع الأثرية الرقمية على عناوين IP وأسماء مضيفين مشبوهة وعناوين URL وأسماء نطاقات شبكات الروبوتات وتجزئة MD5 لملفات البرامج الضارة وتوقيعات الفيروسات وإدخالات تسجيل Windows وعمليات وخدمات الشبكة.
يجد مسؤولو الأمان مؤشرات الاختراق في سجلات المضيف، بالإضافة إلى سجلات أجهزة الشبكة. يتم تطبيق IoCs التي تم تحديدها للكشف عن الهجمات المستقبلية باستخدام حلول الأمان الآلية (أنظمة SIEM، وبرامج مكافحة الفيروسات، وIDS/IPS، وHIDS/HIPS).
مصادر IoC
هناك مصدران لـ IoCs: خارجي وداخلي.
تتضمن مستودعات IoC الخارجية مصادر تجارية، بالإضافة إلى مصادر مجانية. يقدم بائعو استشارات أمن المعلومات المختلفون (RSA وNorse وMcAfee وSymantec، على سبيل المثال لا الحصر) وفرق البحث الأمني (IBM X-Force) IoCs لعملائهم على أساس تجاري. بالإضافة إلى ذلك، تتم مشاركة بيانات IoC بواسطة العديد من مراكز تحليل ومشاركة المعلومات (ISAC) مجموعات في العديد من الصناعات. على سبيل المثال، FS ISAC (المالية)، R-ISAC (البيع بالتجزئة)، IT-ISAC (IT).
يمكن العثور على مصادر IoC المجانية على مواقع مخصصة، على سبيل المثال، دلو IoC. يسمح موقع الويب هذا بتنزيل معلومات إضافية والحصول عليها حول مختلف مؤشرات التسوية، كما يشجع على تحميل IoCs الجديدة ومشاركتها مع مجتمع تكنولوجيا المعلومات.
مصدر آخر رائع لبيانات IoC هو Google. يستخدم متخصصو الأمن خدمة تنبيهات Google أو حتى بحث Google البسيط لإنشاء النتائج ذات الصلة.
من العيوب الرئيسية لمؤشرات التسوية الخارجية أنها قد تولد نتائج إيجابية كاذبة عند تطبيقها على بيئة معينة. لذلك، يتولى متخصصو أمن معلومات الشركات أدوار المحققين ويقومون بتطوير IoCs مخصصة لشبكاتهم ومضيفيهم.
تصف مؤلفة القراءة المظلمة إيريكا تشيكوفسكي في مقالتها 15 مؤشرا رئيسيا من التسوية:
- حركة مرور الشبكة الصادرة غير عادية.
- حالات شاذة في نشاط حساب المستخدم المميز.
- المخالفات الجغرافية
- تسجيل الدخول الأعلام الحمراء.
- زيادة في حجم قراءة قاعدة البيانات.
- أحجام استجابة HTML.
- أعداد كبيرة من الطلبات لنفس الملف.
- حركة مرور تطبيق المنفذ غير متطابقة.
- تغييرات مشبوهة في السجل أو ملفات النظام.
- طلبات DNS غير عادية.
- تصحيح غير متوقع للأنظمة.
- تغييرات ملف تعريف الجهاز المحمول.
- مجموعات من البيانات في المكان الخطأ.
- حركة المرور على شبكة الإنترنت مع السلوك غير البشري.
- علامات نشاط DDoS.
هذه القائمة ليست شاملة. عادةً ما يقوم متخصصو أمن المعلومات بإنشاء IoCs جديدة بناءً على المعلومات الواردة من المؤتمرات، وقراءة إضافية حول نقاط الضعف المكتشفة حديثًا والحوادث السابقة.
قيمة IoC
تتيح بيانات IoC لمتخصصي أمن المعلومات لتحديد أن الشبكة قد تم اختراقها بالفعل والحصول على التفاصيل حول ماذا حدث ومن شارك ومتى وقع الهجوم.
يقوم مستشارو أمن المعلومات بدمج مؤشرات الاختراق في حلول الأمان الآلية (على سبيل المثال، أنظمة SIEM، IDS/IPS، HIDS/HIPS، برامج مكافحة الفيروسات) مما يوفر أدلة إضافية حول ما إذا كان العنصر المعني ضارًا. بعد جمع وتنفيذ مؤشرات التسوية لتهديد معين، يمكن لمحترفي الأمن إجراء فحص عبر الشبكة بحثًا عن أي منها. يعد وجود ملفات ذات تجزئة معينة أو عمليات قيد التشغيل تحت اسم معين علامة على تعرض الشبكة للاختراق.
IoCs لمواجهة التهديدات المستمرة المتقدمة
تعمل مؤشرات التسوية بمثابة إشارات حمراء تشير إلى متخصصي أمن المعلومات حول هجوم إلكتروني محتمل أو مستمر. وعلى وجه الخصوص، فهي مفيدة في مطاردة APTs (التهديدات المستمرة المتقدمة). عادةً ما يتجاوز هجوم APT تقنيات الأمان التقليدية، نظرًا لأن إشاراته ضعيفة جدًا. قبل اكتشافها، قد تستمر التهديدات المستمرة المتقدمة لمدة عام في شكل كامن. تتيح IoCs لمتخصصي أمن المعلومات القيام بذلك اكتشاف وجود APT ووقف تسريب البيانات. فيما يلي بعض الأمثلة على IoCs الشائعة التي يجب اكتشافها كارباناك (حملة على طراز APT تستهدف بشكل رئيسي المؤسسات المالية):
- الاتصال بخوادم القيادة والسيطرة الموجودة في مكان مشبوه (الصين، على وجه الخصوص).
- التنفيذ الناجح لرمز بعيد جديد في الشبكة، مما يؤدي إلى تثبيت Carbanak على نظام الضحية.
- الكتابة في مسار ملف من خلال دلائل النظام الحساسة، مثل System 32. يقوم Carbanak، على سبيل المثال، بنسخ نفسه إلى “%system32%com” بالاسم “svchost.exe” مع نظام سمات الملف، المخفي والقراءة فقط.
- ظهور خدمات جديدة أو التشغيل التلقائي. على سبيل المثال، أنشأ Carbanak خدمة جديدة لضمان حصوله على امتيازات التشغيل التلقائي.
- وجود أدوات الإدارة عن بعد (RATs). يستخدم مهاجمو Carbanak Ammyy Admin RAT لأنه شائع الاستخدام من قبل المسؤولين، وبالتالي تم إدراجه في القائمة البيضاء.
- وجود تسجيلات الدخول عن بعد. في حالة وقوع هجوم Carbanak، تشير سجلات أدوات RAT إلى أنه تم الوصول إليها من عنواني IP مختلفين، يستخدمهما المهاجمون، ويقعان في أوكرانيا وفرنسا.
- وجود أدوات تكنولوجيا المعلومات غير عادية. ويستخدم مهاجمو Carbanack أدوات إضافية، مثل Metasploit وPsExec وMimikatz، للتحكم في شبكة الضحية.
قيود IoC
تعمل IoCs على تحسين الوضع الأمني للشركة من خلال التركيز على التحليل الجنائي للتسوية التي حدثت بالفعل. هذا بالأحرى رد الفعل من أ استباقية يقترب. تساعد هذه المؤشرات في منع التهديدات المتكررة والمستمرة، ولكنها ليست مصممة لاكتشاف التهديدات الجديدة أو المعدلة، على سبيل المثال، الهجمات الخالية من البرامج الضارة أو عمليات استغلال اليوم صفر.
ومع ذلك، فإن معظم الهجمات، بما في ذلك التهديدات المستمرة المتقدمة (APT)، تستخدم سيناريوهات استغلها شخص ما بالفعل في حالات اختراق أمني مماثلة. وهذا هو السبب وراء قيام مجتمع تكنولوجيا المعلومات بتوثيق مؤشرات التسوية ومشاركتها بنشاط من أجل الاستجابة للحوادث وتحسين الطب الشرعي للكمبيوتر.
