📝📝📝
ابزارهای کاربردی مورد استفاده توسط Red Team ها
تیم قرمز (RedTeam) جهت انجام فعالیت های خود پس از نفوذ به شبکه قربانی نیاز به استفاده از ابزارهایی جهت خودکار سازی و تسهیل برخی از فرآیند های موجود دارد.
به عنوان نمونه، فرض کنید تیم قرمز قصد دارد پس از نفوذ به شبکه ای متشکل از ماشین های ویندوزی، فعالیت های خود را تعمیم و گسترش دهد. بهترین گزینه برای این مثال، استفاده از PowerShell است. در این پست قصد داریم برخی از ابزارهای کاربردی و دم دستی مبتنی بر PowerShell و یا زبان C که مناسب تیم های قرمز است را معرفی کنیم.
1⃣ PowerSploit
مجموعه ای از اسکریپت ها و ماژول های پاور شل است که می تواند در انجام اقدامات زیر در طی فعالیت های RedTeaming و حتی تست نفوذ مورد استفاده قرار گیرد
CodeExecution
ScriptModification
Persistence
AntivirusBypass
Exfiltration
Mayhem
Privesc
Recon
2⃣ PowerView
یک اسکریپت پاورشل است که مجموعه از اقدامات معمول در فاز شناسایی محیط شبکه و ماشین قربانی را به طور خود کار اجرا می کند. برخی از این اقدامات عبارتند از:
Users: Get-NetUser
Groups: Get-NetGroup
Sessions: Get-NetSession
GPO locations: Find-GPOLocation
Active Directory objects: Set-ADObject
Forests: Get-NetForest
3⃣ Nishang
مجموعه ای از اسکریپت ها و پیلودهای مبتنی بر پاور شل است که برخی از فعالیت های معمول در تمامی فازهای فعالیت تیم قرمز و همچنین تست نفوذ را به صورت خودکار انجام می دهد. برخی از این فعالیت ها عبارتند از:
Get-WLAN-Keys
Get-PassHashes
Get-Information
Invoke-Mimikatz
Invoke-CredentialsPhish
4⃣ Mimikatz
ابزار Mimikatz که با زبان سی نوشته شده است، عموما برای استخراج رمز عبور از حافظه استفاده می شود. پسوردهایی که با استفاده از این ابزار مشهور قابل استخراج است پسوردهای ClearText، پسوردهای Hash شده، پین کد و … است.
ابزارهای کاربردی مورد استفاده توسط Red Team ها
تیم قرمز (RedTeam) جهت انجام فعالیت های خود پس از نفوذ به شبکه قربانی نیاز به استفاده از ابزارهایی جهت خودکار سازی و تسهیل برخی از فرآیند های موجود دارد.
به عنوان نمونه، فرض کنید تیم قرمز قصد دارد پس از نفوذ به شبکه ای متشکل از ماشین های ویندوزی، فعالیت های خود را تعمیم و گسترش دهد. بهترین گزینه برای این مثال، استفاده از PowerShell است. در این پست قصد داریم برخی از ابزارهای کاربردی و دم دستی مبتنی بر PowerShell و یا زبان C که مناسب تیم های قرمز است را معرفی کنیم.
1⃣ PowerSploit
مجموعه ای از اسکریپت ها و ماژول های پاور شل است که می تواند در انجام اقدامات زیر در طی فعالیت های RedTeaming و حتی تست نفوذ مورد استفاده قرار گیرد
CodeExecution
ScriptModification
Persistence
AntivirusBypass
Exfiltration
Mayhem
Privesc
Recon
2⃣ PowerView
یک اسکریپت پاورشل است که مجموعه از اقدامات معمول در فاز شناسایی محیط شبکه و ماشین قربانی را به طور خود کار اجرا می کند. برخی از این اقدامات عبارتند از:
Users: Get-NetUser
Groups: Get-NetGroup
Sessions: Get-NetSession
GPO locations: Find-GPOLocation
Active Directory objects: Set-ADObject
Forests: Get-NetForest
3⃣ Nishang
مجموعه ای از اسکریپت ها و پیلودهای مبتنی بر پاور شل است که برخی از فعالیت های معمول در تمامی فازهای فعالیت تیم قرمز و همچنین تست نفوذ را به صورت خودکار انجام می دهد. برخی از این فعالیت ها عبارتند از:
Get-WLAN-Keys
Get-PassHashes
Get-Information
Invoke-Mimikatz
Invoke-CredentialsPhish
4⃣ Mimikatz
ابزار Mimikatz که با زبان سی نوشته شده است، عموما برای استخراج رمز عبور از حافظه استفاده می شود. پسوردهایی که با استفاده از این ابزار مشهور قابل استخراج است پسوردهای ClearText، پسوردهای Hash شده، پین کد و … است.
📝 معرفی برخی از تاکتیک ها و تکنیک های پرکاربرد مهاجمین در حملات پیشرفته و چندگامی (بخش اول)
1⃣تاکتیک اول: Internal Reconnaissance
- تکنیک Host Enumeration
به مشخص کردن جزئیاتی درباره یک میزبان شامل درک زمینه کاری آن میزبان (یا کاربر) و پیکربندی سیستم میزبان است، اطلاق می شود. تعیین زمینه کاری میزبان به شکارچی تهدید یا به مهاجم این امکان را می دهد تا مشخص کند چه کاربری در حال حاضر به سیستم لاگین کرده و چه دسترسی دارد. مشخص کردن پیکربندی میزبان هم شامل اطلاعاتی راجع به خود میزبان از قبیل نام سیستم میزبان و آدرس IP و ... است.
- تکنیک Network Enumeration
به یافتن سایر میزبان هایی که از میزبان جاری به صورت از راه دور قابل دسترس است Network Enumeration گفته می شود. مهاجم پس از قربانی کردن یک میزبان، نیاز به مشخص کردن ادامه راه، یعنی مشخص کردن نحوه حرکت در شبکه و سایر میزبان های قابل نفوذ در شبکه دارد.
تکنیک Network Enumeration به مهاجم این امکان را می دهد تا دسترسی های میزبان جاری به سایر دارایی ها و سیستم ها در شبکه و همچنین اتصالات و ارتباطات فعال آن ها با یکدیگر را مشاهده کند. نکته حائز اهمیت این است که اقداماتی که در رده Network Enumeration جای می گیرند صرفا اقداماتی است که سایر دارایی های شبکه را شناسایی می کند و هنوز هیچگونه نفوذ از سیستم جاری (سیستم قربانی) به سایر سیستم ها در شبکه انجام نگرفته است.
2⃣تاکتیک دوم Persistence
- تکنیک اجرای اقدامات زمان بندی شده
این فرآیند شامل صف بندی برنامه ها و یا اسکریپت هایی است که می تواند در نقاط یا زمان های دیگر (به صورت متناوب) عملیاتی شود. این اقدامات می توانند به صورت از راه دور زمان بندی شوند البته با فرض اینکه مهاجم برای اجرای آن اسکریپت یا برنامه مجوزRPC یا فراخوانی از راه دور را دارد. این فرآیند (اجرای زمان بندی شده اقدامات مورد نظر) به مهاجمان این امکان را می دهد تا برنامه های مورد نظر خود در هنگام بالاآمدن سیستم به اجرا در آورند.
- تکنیک DLL Injection
با استفاده از این تکنیک، مهاجمان کد مخرب مورد نظر خود را با سوء استفاده از یک پردازه دیگر اجرا می کنند؛ سوءاستفاده از پردازه دیگر با هدف بارگذاری و اجرای کدمخرب مورد نظر مهاجم است. در این تکنیک مهاجمان به واسطه فعالیت مخرب مورد نظر خود به عنوان بخشی از فرآیندهای عادی و روتین، آن را مخفی می کنند. این تکنیک به مهاجمان اجازه دسترسی به مجوزها و حافظه پردازه سیستم را می دهد.
- تکنیک Registry Modification
مقادیر اضافه برای کلیدهای رجیستری RUNONCE و RUN امکان اجرای بدافزارهای باینری در زمان بوت شدن سیستم و یا لاگین را می دهد. این تکنیک رایج ترین تکنیک مشاهده شده در یک دهه اخیر برای ماندگاری در سیستم میزبان است.
1⃣تاکتیک اول: Internal Reconnaissance
- تکنیک Host Enumeration
به مشخص کردن جزئیاتی درباره یک میزبان شامل درک زمینه کاری آن میزبان (یا کاربر) و پیکربندی سیستم میزبان است، اطلاق می شود. تعیین زمینه کاری میزبان به شکارچی تهدید یا به مهاجم این امکان را می دهد تا مشخص کند چه کاربری در حال حاضر به سیستم لاگین کرده و چه دسترسی دارد. مشخص کردن پیکربندی میزبان هم شامل اطلاعاتی راجع به خود میزبان از قبیل نام سیستم میزبان و آدرس IP و ... است.
- تکنیک Network Enumeration
به یافتن سایر میزبان هایی که از میزبان جاری به صورت از راه دور قابل دسترس است Network Enumeration گفته می شود. مهاجم پس از قربانی کردن یک میزبان، نیاز به مشخص کردن ادامه راه، یعنی مشخص کردن نحوه حرکت در شبکه و سایر میزبان های قابل نفوذ در شبکه دارد.
تکنیک Network Enumeration به مهاجم این امکان را می دهد تا دسترسی های میزبان جاری به سایر دارایی ها و سیستم ها در شبکه و همچنین اتصالات و ارتباطات فعال آن ها با یکدیگر را مشاهده کند. نکته حائز اهمیت این است که اقداماتی که در رده Network Enumeration جای می گیرند صرفا اقداماتی است که سایر دارایی های شبکه را شناسایی می کند و هنوز هیچگونه نفوذ از سیستم جاری (سیستم قربانی) به سایر سیستم ها در شبکه انجام نگرفته است.
2⃣تاکتیک دوم Persistence
- تکنیک اجرای اقدامات زمان بندی شده
این فرآیند شامل صف بندی برنامه ها و یا اسکریپت هایی است که می تواند در نقاط یا زمان های دیگر (به صورت متناوب) عملیاتی شود. این اقدامات می توانند به صورت از راه دور زمان بندی شوند البته با فرض اینکه مهاجم برای اجرای آن اسکریپت یا برنامه مجوزRPC یا فراخوانی از راه دور را دارد. این فرآیند (اجرای زمان بندی شده اقدامات مورد نظر) به مهاجمان این امکان را می دهد تا برنامه های مورد نظر خود در هنگام بالاآمدن سیستم به اجرا در آورند.
- تکنیک DLL Injection
با استفاده از این تکنیک، مهاجمان کد مخرب مورد نظر خود را با سوء استفاده از یک پردازه دیگر اجرا می کنند؛ سوءاستفاده از پردازه دیگر با هدف بارگذاری و اجرای کدمخرب مورد نظر مهاجم است. در این تکنیک مهاجمان به واسطه فعالیت مخرب مورد نظر خود به عنوان بخشی از فرآیندهای عادی و روتین، آن را مخفی می کنند. این تکنیک به مهاجمان اجازه دسترسی به مجوزها و حافظه پردازه سیستم را می دهد.
- تکنیک Registry Modification
مقادیر اضافه برای کلیدهای رجیستری RUNONCE و RUN امکان اجرای بدافزارهای باینری در زمان بوت شدن سیستم و یا لاگین را می دهد. این تکنیک رایج ترین تکنیک مشاهده شده در یک دهه اخیر برای ماندگاری در سیستم میزبان است.
📝 معرفی برخی از تاکتیک ها و تکنیک های پرکاربرد مهاجمین در حملات پیشرفته و چندگامی (بخش دوم)
3⃣تاکتیک سوم Command and Control
- تکنیک استفاده از پورت ها و پروتکل های معمولی و رایج
مهاجمان با استفاده از پورت ها و پروتکل های رایج می توانند داده ها و فرامین مورد نظر خود را در قالب بسته های عادی شبکه به بدافزارهای تحت هدایت خود برسانند. در اکثر موارد، مهاجمان داده های خود را در قالب HTTPS، DNS Tunnelung و سایر موارد و پروتکل های پرکاربرد رد و بدل می کنند.
- تکنیک استفاده از پورت ها و پروتکل های غیرمعمول
با به کارگیری این روش، مهاجمان می توانند مکانیزم مانیتورینگ پورت ها و بسته های رایج را دور بزنند و داده های مورد نظر خود را از طریق پورت های غیرمعمولی که مانیتور نمی شوند ارسال کنند. این روش به مهاجم این امکان را می دهد تا عملیات خود را مخفیانه پیش برده و از سیستم های تشخیص موجود در شبکه و اپراتورهای انسانی در امان باشد.
4⃣تاکتیک چهارم Lateral Movement
- تکنیک Pass the Hash
در این تکنیک، مهاجمان رشته های هش رمز عبور را ثبت و ضبط کرده و از آنها برای احراز هویت خود (به جای قربانی) استفاده می کنند. به بیان دیگر، بر اساس این روش مهاجمان دیگر نیازی به یافتن رشته بدون رمز کاربر قربانی ندارند و می توانند اقدامات خود را روی سیستم جاری و سیستم راه دور پیش ببرند.
- تکنیک Remote Desktop Protocol
پروتکل RDP به کاربر امکان دسترسی به دسکتاپ یک کامپیوتر از طریق یک سیستم راه دور را می دهد. در صورتی که امکان RDP روی یک سیستم فعال باشد و مهاجم نام کاربری و رمز عبور آن سیستم را از قبل بداند، می تواند از این طریق به سیستم قربانی نفوذ کند.
- تکنیک Shared Webroot
در صورتی که قربانی یک شبکه یا وب سایت قابل دسترسی از اینترنت (یا حتی قابل دسترسی از داخل سازمان) داشته باشد مهاجم ممکن است بتواند محتوای مخرب مورد نظر خود را در آن شبکه یا به طور خاص تر وب سایت بارگذاری کند و سپس آن را با استفاده از یک مرورگر وب به اجرا در آورد. از آنجایی که محتوای مذکور تحت مجوز سرویس دهنده وب اجرا می شود ممکن است به مهاجم امکان دسترسی Local یا مدیریتی را بدهد.
- تکنیک رهگیری مسیر
این تکنیک مستلزم قرار دادن یک فایل اجرایی در یک مسیر خاص است به گونه ای که اشتباها توسط یک برنامه عادی اجرا شود. نمونه هایی از این تکنیک شامل سوءاستفاده از مسیرهای بسته نشده و متغیرهای محیطی است. مهاجمان با استفاده از این تکنیک می توانند سطح دسترسی خود را ارتقا دهند.
5⃣تاکتیک پنجم Exfiltration
- تکنیک DNS Tunneling
مهاجمان با استفاده از تکنیک هایی نظیر DNS Tunneling می توانند داده های خود را در قالب درخواست های DNS ردوبدل کنند. مهاجمان از این روش برای دور زدن کنترل های امنیتی رایج نظیر فایروال و ... و همچنین سرقت و استخراج اطلاعات از شبکه قربانی استفاده می کنند.
- تکنیک SFTP/SCP Exfiltration
در این تکنیک مهاجمان، از SSL برای مخفی سازی جزئیات داده های مورد نظر خود بهره می برند. برای جلوگیری از این تکنیک، متخصصان امنیت نیاز به استفاده از یک پراکسی دارند تا بتوانند این نوع ترافیک و فعالیت ها را رهگیری و بررسی کنند.
3⃣تاکتیک سوم Command and Control
- تکنیک استفاده از پورت ها و پروتکل های معمولی و رایج
مهاجمان با استفاده از پورت ها و پروتکل های رایج می توانند داده ها و فرامین مورد نظر خود را در قالب بسته های عادی شبکه به بدافزارهای تحت هدایت خود برسانند. در اکثر موارد، مهاجمان داده های خود را در قالب HTTPS، DNS Tunnelung و سایر موارد و پروتکل های پرکاربرد رد و بدل می کنند.
- تکنیک استفاده از پورت ها و پروتکل های غیرمعمول
با به کارگیری این روش، مهاجمان می توانند مکانیزم مانیتورینگ پورت ها و بسته های رایج را دور بزنند و داده های مورد نظر خود را از طریق پورت های غیرمعمولی که مانیتور نمی شوند ارسال کنند. این روش به مهاجم این امکان را می دهد تا عملیات خود را مخفیانه پیش برده و از سیستم های تشخیص موجود در شبکه و اپراتورهای انسانی در امان باشد.
4⃣تاکتیک چهارم Lateral Movement
- تکنیک Pass the Hash
در این تکنیک، مهاجمان رشته های هش رمز عبور را ثبت و ضبط کرده و از آنها برای احراز هویت خود (به جای قربانی) استفاده می کنند. به بیان دیگر، بر اساس این روش مهاجمان دیگر نیازی به یافتن رشته بدون رمز کاربر قربانی ندارند و می توانند اقدامات خود را روی سیستم جاری و سیستم راه دور پیش ببرند.
- تکنیک Remote Desktop Protocol
پروتکل RDP به کاربر امکان دسترسی به دسکتاپ یک کامپیوتر از طریق یک سیستم راه دور را می دهد. در صورتی که امکان RDP روی یک سیستم فعال باشد و مهاجم نام کاربری و رمز عبور آن سیستم را از قبل بداند، می تواند از این طریق به سیستم قربانی نفوذ کند.
- تکنیک Shared Webroot
در صورتی که قربانی یک شبکه یا وب سایت قابل دسترسی از اینترنت (یا حتی قابل دسترسی از داخل سازمان) داشته باشد مهاجم ممکن است بتواند محتوای مخرب مورد نظر خود را در آن شبکه یا به طور خاص تر وب سایت بارگذاری کند و سپس آن را با استفاده از یک مرورگر وب به اجرا در آورد. از آنجایی که محتوای مذکور تحت مجوز سرویس دهنده وب اجرا می شود ممکن است به مهاجم امکان دسترسی Local یا مدیریتی را بدهد.
- تکنیک رهگیری مسیر
این تکنیک مستلزم قرار دادن یک فایل اجرایی در یک مسیر خاص است به گونه ای که اشتباها توسط یک برنامه عادی اجرا شود. نمونه هایی از این تکنیک شامل سوءاستفاده از مسیرهای بسته نشده و متغیرهای محیطی است. مهاجمان با استفاده از این تکنیک می توانند سطح دسترسی خود را ارتقا دهند.
5⃣تاکتیک پنجم Exfiltration
- تکنیک DNS Tunneling
مهاجمان با استفاده از تکنیک هایی نظیر DNS Tunneling می توانند داده های خود را در قالب درخواست های DNS ردوبدل کنند. مهاجمان از این روش برای دور زدن کنترل های امنیتی رایج نظیر فایروال و ... و همچنین سرقت و استخراج اطلاعات از شبکه قربانی استفاده می کنند.
- تکنیک SFTP/SCP Exfiltration
در این تکنیک مهاجمان، از SSL برای مخفی سازی جزئیات داده های مورد نظر خود بهره می برند. برای جلوگیری از این تکنیک، متخصصان امنیت نیاز به استفاده از یک پراکسی دارند تا بتوانند این نوع ترافیک و فعالیت ها را رهگیری و بررسی کنند.
📝 ده استراتژی موسسه MITRE برای مراکز عملیات امنیت به بیان ساده
بسیاری از مدیران و متصدیان مراکز عملیات امنیت، با چالش هایی نظیر موارد زیر مواجه شده اند:
- چه داده هایی را باید جمع آوری کرد؟
- چه تعداد تحلیل گر در مرکز عملیات امنیت مورد نیاز است؟
- جایگاه و چارت سازمانی مرکز عملیات امنیت چگونه است؟
برای پاسخگویی به این سوالات و مواردی مشابه، این موسسه در کتابی با عنوانTen Strategies of a World-Class Cybersecurity Operations Center ده استراتژی برای ایجاد یک مرکز عملیات امنیت استاندارد مطرح کرده است که در این پست به صورت خلاصه و به بیانی ساده فهرست شده است:
1⃣ استراتژی اول - تمامی عملیات های دفاع سایبری نظیر نظارت بر رخداد، هماهنگی،پاسخگویی به رخداد و … باید به صورت واحد در مرکز عملیات امنیت انجام شود. حتی از نظر استقرار فیزیکی نیز این تیم ها باید در یکجا (مرکز عملیات امنیت) مستقر باشند.
2⃣ استراتژی دوم - ایجاد موازنه بین اندازه مرکز عملیات امنیت و چابکی آن با تهیه یک مدل سازمانی مناسب که در آن وظایف تیم های دفاعی در لایه های مختلف SOC تقسیم شده اند
3⃣ استراتژی سوم- اختیارات و مجوزهای مورد نیاز باید در اختیار تیم های SOC قرار گیرد تا این مراکز بتوانند تغییراتی مثمر ثمر ایجاد کنند. برخی از مراکز عملیات امنیت که اختیارات لازم را ندارند بیشتر زمان خود را به جای ایجاد اثرات مثبت، صرف درخواست کمک و مجوز برای انجام عملیات های خود دارند.
4⃣ استراتژی چهارم - در صورت غلبه کمیت بر کیفیت عملیات امنیت، SOC ها ممکن است جایگاه و اختیارات خود را از دست بدهند. به جای ایجاد بخش های متعدد در مراکز عملیات امنیت (بخش فارنزیک، ارزیابی تهدید، مشاوره امنیت و …) بهتر است روی بخش های کوچکتر ولی با کیفیت بهتر تمرکز کرد.
5⃣ استراتژی پنجم- از آنجایی که افراد مهمترین عنصر در امنیت سایبری به شمار می آیند بهتر است به جای استخدام تعداد زیادی از افراد، تعداد کمتر ولی با تخصص بالاتر جذب کرد.
6⃣ استراتژی ششم- مراکز عملیات امنیت در هنگام خرید فناوری های مورد نیاز خود باید ارتباط آن فناوری با حوزه کاری مربوطه، طول عمر و پایداری و بازخورد عملیاتی را به همراه سایر فاکتورها در نظر داشته باشند تا بتوانند حداکثر بهره وری و کارآیی را از فناوری های خریداری شده داشته باشند.
7⃣ استراتژی هفتم- میزان داده و نوع داده ای که باید جمع آوری شود بسیار حائز اهمیت است. داده ها نباید آنقدر کم باشند که نتوان تهدیدات را شناسایی کرد و نه آنقدر زیاد که در آن غرق شد. مراکز عملیات امنیت باید داده های مناسب را از منابع مناسب و با حجم مناسب جمع آوری کنند.
8⃣ استراتژی هشتم- فعالیت های تیم SOC و فناوری های آن باید از حملات سایبری روی سایر دارایی ها در امان باشند به گونه ای که اگر در بخش های تحت نظارت این مراکز تهدیدی به وقوع پیوست روی عملیات امنیت تاثیری نداشته باشد.
9⃣ استراتژی نهم- تیم های مرکز عملیات امنیت باید در راستای دفاع پیش کنشانه (Proactive) گام بردارند و ضمن استفاده از اطلاعات تهدید (Threat Intelligence) از منابع مختلف، این اطلاعات را با سایر بخش ها نیز به اشتراک بگذارند.
🔟 استراتژی دهم- از آنجایی که مراکز عملیات امنیت روزانه تهدیدها و رخدادهای مختلفی را مشاهده می کنند باید رویه ای مشخص برای درک این تهدیدات و پاسخگویی به آنها و همچنین کنترل نگرانی ها و هیجانات ناشی از رخدادهای بزرگ داشته باشند.
لینک دانلود کتاب:https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf
بسیاری از مدیران و متصدیان مراکز عملیات امنیت، با چالش هایی نظیر موارد زیر مواجه شده اند:
- چه داده هایی را باید جمع آوری کرد؟
- چه تعداد تحلیل گر در مرکز عملیات امنیت مورد نیاز است؟
- جایگاه و چارت سازمانی مرکز عملیات امنیت چگونه است؟
برای پاسخگویی به این سوالات و مواردی مشابه، این موسسه در کتابی با عنوانTen Strategies of a World-Class Cybersecurity Operations Center ده استراتژی برای ایجاد یک مرکز عملیات امنیت استاندارد مطرح کرده است که در این پست به صورت خلاصه و به بیانی ساده فهرست شده است:
1⃣ استراتژی اول - تمامی عملیات های دفاع سایبری نظیر نظارت بر رخداد، هماهنگی،پاسخگویی به رخداد و … باید به صورت واحد در مرکز عملیات امنیت انجام شود. حتی از نظر استقرار فیزیکی نیز این تیم ها باید در یکجا (مرکز عملیات امنیت) مستقر باشند.
2⃣ استراتژی دوم - ایجاد موازنه بین اندازه مرکز عملیات امنیت و چابکی آن با تهیه یک مدل سازمانی مناسب که در آن وظایف تیم های دفاعی در لایه های مختلف SOC تقسیم شده اند
3⃣ استراتژی سوم- اختیارات و مجوزهای مورد نیاز باید در اختیار تیم های SOC قرار گیرد تا این مراکز بتوانند تغییراتی مثمر ثمر ایجاد کنند. برخی از مراکز عملیات امنیت که اختیارات لازم را ندارند بیشتر زمان خود را به جای ایجاد اثرات مثبت، صرف درخواست کمک و مجوز برای انجام عملیات های خود دارند.
4⃣ استراتژی چهارم - در صورت غلبه کمیت بر کیفیت عملیات امنیت، SOC ها ممکن است جایگاه و اختیارات خود را از دست بدهند. به جای ایجاد بخش های متعدد در مراکز عملیات امنیت (بخش فارنزیک، ارزیابی تهدید، مشاوره امنیت و …) بهتر است روی بخش های کوچکتر ولی با کیفیت بهتر تمرکز کرد.
5⃣ استراتژی پنجم- از آنجایی که افراد مهمترین عنصر در امنیت سایبری به شمار می آیند بهتر است به جای استخدام تعداد زیادی از افراد، تعداد کمتر ولی با تخصص بالاتر جذب کرد.
6⃣ استراتژی ششم- مراکز عملیات امنیت در هنگام خرید فناوری های مورد نیاز خود باید ارتباط آن فناوری با حوزه کاری مربوطه، طول عمر و پایداری و بازخورد عملیاتی را به همراه سایر فاکتورها در نظر داشته باشند تا بتوانند حداکثر بهره وری و کارآیی را از فناوری های خریداری شده داشته باشند.
7⃣ استراتژی هفتم- میزان داده و نوع داده ای که باید جمع آوری شود بسیار حائز اهمیت است. داده ها نباید آنقدر کم باشند که نتوان تهدیدات را شناسایی کرد و نه آنقدر زیاد که در آن غرق شد. مراکز عملیات امنیت باید داده های مناسب را از منابع مناسب و با حجم مناسب جمع آوری کنند.
8⃣ استراتژی هشتم- فعالیت های تیم SOC و فناوری های آن باید از حملات سایبری روی سایر دارایی ها در امان باشند به گونه ای که اگر در بخش های تحت نظارت این مراکز تهدیدی به وقوع پیوست روی عملیات امنیت تاثیری نداشته باشد.
9⃣ استراتژی نهم- تیم های مرکز عملیات امنیت باید در راستای دفاع پیش کنشانه (Proactive) گام بردارند و ضمن استفاده از اطلاعات تهدید (Threat Intelligence) از منابع مختلف، این اطلاعات را با سایر بخش ها نیز به اشتراک بگذارند.
🔟 استراتژی دهم- از آنجایی که مراکز عملیات امنیت روزانه تهدیدها و رخدادهای مختلفی را مشاهده می کنند باید رویه ای مشخص برای درک این تهدیدات و پاسخگویی به آنها و همچنین کنترل نگرانی ها و هیجانات ناشی از رخدادهای بزرگ داشته باشند.
لینک دانلود کتاب:https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf
MITRE
News & Insights | MITRE
Follow our latest developments, stories, and technical resources.
👍1
عناوین ارایه
- سیر تکاملی تهدیدات سایبری
- معرفی تهدیدات پیشرفته
- بررسی چالشهای فعلی
- مدل های تشخیص تهدیدات پیشرفته
توضیحات
در این وبینار ابتدا ضمن بررسی سیر تکاملی تهدیدات سایبری از حدود دو دهه گذشته تا کنون، به بررسی ابعاد و ویژگی های تهدیدات پیشرفته پرداخته می شود. در ادامه، چالش های موجود در مواجهه با این تهدیدات مورد بحث و بررسی قرار می گیرد. بخش اصلی ارایه، مربوط به معرفی مدل های تشریح تهدیدات Kill Chain و MITRE ATT@CK است که امروزه به عنوان یکی از ملزومات مواجهه با تهدیدات سایبری پیشرفته مورد استفاده قرار می گیرد. در این وبینار ضمن بررسی این مدل ها، به خصوص مدل ATT@CK، موارد کاربرد آن نیز بیان خواهد شد.
- سیر تکاملی تهدیدات سایبری
- معرفی تهدیدات پیشرفته
- بررسی چالشهای فعلی
- مدل های تشخیص تهدیدات پیشرفته
توضیحات
در این وبینار ابتدا ضمن بررسی سیر تکاملی تهدیدات سایبری از حدود دو دهه گذشته تا کنون، به بررسی ابعاد و ویژگی های تهدیدات پیشرفته پرداخته می شود. در ادامه، چالش های موجود در مواجهه با این تهدیدات مورد بحث و بررسی قرار می گیرد. بخش اصلی ارایه، مربوط به معرفی مدل های تشریح تهدیدات Kill Chain و MITRE ATT@CK است که امروزه به عنوان یکی از ملزومات مواجهه با تهدیدات سایبری پیشرفته مورد استفاده قرار می گیرد. در این وبینار ضمن بررسی این مدل ها، به خصوص مدل ATT@CK، موارد کاربرد آن نیز بیان خواهد شد.
Hypersec
Video
ویدیو کامل وبینار مقابله با تهدیدات سایبری پیشرفته
برگزار کننده: موسسه آموزشی کاریار ارقام
ارایه دهنده: علی آهنگری
مدت زمان ارایه: 52 دقیقه
موضوعات: بررسی تهدیدات پیشرفته و مدل تحلیلی MITRE ATT@CK
برگزار کننده: موسسه آموزشی کاریار ارقام
ارایه دهنده: علی آهنگری
مدت زمان ارایه: 52 دقیقه
موضوعات: بررسی تهدیدات پیشرفته و مدل تحلیلی MITRE ATT@CK
سازمان هایی که دغدغه رصد رخدادهای امنیتی را دارند، غالبا اقدام به خرید محصول SIEM می کنند. اما اینکه چه محصولی خریداری شود به پارامترهای مختلفی بستگی دارد. در مقاله فوق، ضمن بحث درباره Use Case ها، این پارامترها نیز مورد بررسی قرار گرفته اند.
https://www.linkedin.com/pulse/how-buy-siem-kim-guldberg/
https://www.linkedin.com/pulse/how-buy-siem-kim-guldberg/
Hypersec
https://www.peerlyst.com/posts/how-to-build-a-threat-hunting-platform-using-elk-stack-chiheb-chebbi?utm_source=linkedin&utm_medium=social&utm_content=peerlyst_post&utm_campaign=peerlyst_shared_post
راهنمایی کاربردی درباره مفاهیم
تهدیدات و مدل های تشریح تهدیدات
راه اندازی پلتفرم تحلیل داده ElasticSearch
و ماژول های مرتبط با آن در جهت انجام شکار تهدیدات
تهدیدات و مدل های تشریح تهدیدات
راه اندازی پلتفرم تحلیل داده ElasticSearch
و ماژول های مرتبط با آن در جهت انجام شکار تهدیدات
Forwarded from Ravro
همراه راورو باشید
در سومین کنفرانس دستآوردهای نوین نفوذ و امنیت سایبری در ایران با ما همراه باشید.
کد تخفیف ۲۰ درصدی جهت شرکت در همایش آفسکانف۲۰۱۹
عبارت کد تخفیف:Ravro
#راورو
#شکارچی
#باگ_بانتی
#Ravro
#bugbounty
@Ravro_ir
در سومین کنفرانس دستآوردهای نوین نفوذ و امنیت سایبری در ایران با ما همراه باشید.
کد تخفیف ۲۰ درصدی جهت شرکت در همایش آفسکانف۲۰۱۹
عبارت کد تخفیف:Ravro
#راورو
#شکارچی
#باگ_بانتی
#Ravro
#bugbounty
@Ravro_ir