از اطلاعات می توان برای شناسایی خطر و فعالیت تهدید در سیستم های مختلف استفاده کرد. این بیشتر در فصل 9 ، "نظارت بر محاصره" بحث خواهد شد.
از کنترل های خارجی ، به ویژه نظارت و ثبت غیرفعال ، همچنین می توان برای تکمیل دارایی هایی که قبلاً از طریق دیوار آتش میزبان ، IDS مبتنی بر میزبان ، آنتی ویروس ، AWL و غیره ایمن شده اند ، استفاده کرد.
چرا سازمانها به خطر افتاده اند؟تعرفه خدمات اکتیو شبکه
نمونه ای از نحوه پیروزی
در حالی که تمرکز این فصل بر این است که چرا سازمانها به خطر افتاده و مشکلات موجود در سازمانها را برجسته می کنند ، ما می خواهیم یک وقفه کوتاه تجاری داشته باشیم و در مورد راه حل چگونگی تبدیل سازمان خود از یک نقطه ضعف به یک موقعیت قدرت صحبت کنیم. در حالی که کل فصل ها در مورد راه حل وجود دارد ، تمرکز این کتاب بر روی راه حل ها و روش های دفاع در برابر APT است. بنابراین حتی در فصل های ابتدایی ما می خواهیم راه حل هایی ارائه دهیم که بلافاصله می توانید برای تأمین امنیت سازمان خود از آنها استفاده کنید. نکته دیگری که ما می خواهیم تأکید کنیم این است که در بسیاری از موارد تأمین امنیت مناسب برای مقابله با APT است ، شما نیازی به خرید محصولات اضافی ندارید ، شما اغلب می توانید از آنچه دارید استفاده کنید. به طور متوسط وقتی ما از سازمانی تحقیق می کنیم و به آنچه آنها خریداری کرده اند نگاه می کنیم ، آنها کمتر از نیمی از عملکردی را که برای آن پرداخت کرده اند استفاده می کنند. بنابراین ، اغلب با بررسی آنچه سازمان قبلاً خریداری كرده و پیكربندی ویژگی هایی كه در حال حاضر مورد استفاده قرار نمی گیرند ، سازمان ها می توانند با استفاده از آنچه كه قبلاً دارند ، به روشی م effectiveثرتر راه حلی ایجاد كنند.
یکی از فناوری هایی که اغلب در بسیاری از سازمان ها از آن کم استفاده می شود NAC (کنترل دسترسی شبکه) است. NAC راه حلی است که یک سیستم را پرس و جو می کند و براساس سیاست ها تعیین می کند که یک سیستم در کدام VLAN (شبکه محلی مجازی) قرار دارد. به عنوان مثال ، هنگامی که یک سیستم به شبکه متصل می شود ، NAC دستگاه را اسکن کرده و تعیین می کند که آیا وصله داده شده است ، آخرین نسخه از امنیت نقطه پایانی را اجرا می کند و آیا شاخص های سازش در رایانه را دارد یا خیر. اگر سیستم کاملاً وصله و سازگار باشد ، آن را روی VLAN خصوصی و قابل اعتماد قرار می دهیم. اگر فاقد یک وصله باشد ، در VLAN محدودی قرار می گیرد که در آن می تواند پچ را بارگیری و نصب کند. اگر سیستم آلوده باشد ، روی VLAN جدا شده قرار گرفته و قرنطینه می شود. در حالی که NAC بسیار م andثر است و بسیار خوب کار می کند ، NAC اغلب فقط هنگامی استفاده می شود که سیستم در ابتدا متصل باشد. بعد از اینکه سیستم متصل شد و NAC تعیین کرد VLAN از چه قرار است ، NAC خدمات اضافی ارائه نمی دهد.
تعیین VLAN صحیح در زمان اتصال مهم است ، اما چرا از NAC برای نظارت مستمر استفاده نمی شود. یکی از تکنیک هایی که مهاجمان برای دور زدن تجهیزات امنیتی فعلی شبکه استفاده می کنند ، راه اندازی یک کانال رمزگذاری شده خروجی روی سیستم آلوده است. از آنجایی که مهاجم سیستمی را به خطر انداخته است که از آن به عنوان نقطه محوری استفاده خواهد کرد ، لازم است یک کانال کنترل فرمان خروجی ایجاد کنند تا با سیستم به خطر افتاده ارتباط برقرار کند و به طور بالقوه اطلاعات را از سازمان خارج کند. مهاجم نمی خواهد گرفتار شود بنابراین آنها از کلیدهای رمزنگاری شخصی خود برای ایجاد یک تونل خروجی استفاده می کنند. این یک ترفند باعث می شود که کل اتصال به صورت پنهانی انجام شود و توسط اکثر دستگاه های امنیتی شبکه که در حال حاضر مستقر شده اند ، بلغزد. فایروال های سطح برنامه ، IDS ، IPS و DLP برای تعیین سطح امنیتی لازم است بخشهایی از بسته را بخوانند. اگر بسته رمزگذاری شده باشد ، دستگاهها اساساً در گرفتن یا توقف حمله بی تأثیر هستند. یک اقدام موثر برای مقابله با APT حرکت از تجزیه و تحلیل امضا و تشخیص بسته به سمت تحلیل رفتاری است. موارد زیر چهار مورد است که می تواند برای افتراق ترافیک عادی و تهاجمی مورد استفاده قرار گیرد ، حتی اگر ترافیک رمزگذاری شده باشد:
1
طول اتصال - کاربران عادی معمولاً اتصالات کوتاه خروجی برقرار می کنند ، در حالی که مهاجمان معمولاً اتصالات طولانی را برقرار می کنند.
2
تعداد بسته - اتصالات عادی معمولاً تعداد کمی بسته را از سازمان خارج می کند در حالی که مهاجمان معمولاً حجم بیشتری از بسته را ارسال می کنند.
3
مقدار داده - اتصالات عادی معمولاً درخواست ها را برای درخواست اطلاعات به سرورها ارسال می کنند (به عنوان مثال وب سرورها) و بنابراین اطلاعات کمی است. مهاجمین از آنجا که در حال استخراج اطلاعات هستند ، معمولاً مقادیر زیادی اطلاعات ارسال می کنند.
4
IP مقصد - اتصالات خروجی برای کاربران عادی معمولاً به مقدار مشخصی از IP های معتبر ، معمولاً در یک لیست خاص از کشورهای معتبر ، می رود. مهاجمان معمولاً با اتصال به IP غیر عادی یا IP در کشورهای خارجی ارتباط برقرار می کنند که سایت های معمولی نیستند که شرکت به آنها متصل می شود.
توجه به این نکته مهم است که هر سازمانی متفاوت است و این چهار نکته باید گاهی اوقات براساس جزئیات و برنامه های خاصی که یک سازمان در حال اجراست تنظیم و تنظیم شوند. نکته آخر این است که حتی اگر نکات فوق الذکر برای سازمانی کمی تنظیم شود ، تقریباً همیشه تفاوتی بین nor وجود دارد
در آیدت،
فایلهای
خود را به فروش بگذارید و یا
مقالاتتان
را منتشر کنید👋
پاسخ ها