📝 پیاده سازی استاندارد PCI DSS توسط محصول SIEM - بخش اول
آنچه یک محصول SIEM را تبدیل به یک محصول قدرتمند و باارزش برای یک سازمان می کند، محتوای آن محصول است. منظور از محتوا، قوانینی است که برای شناسایی تهدیدات و مخاطرات در یک SIEM تعریف می شود. در بیانی فنی تر این محتوا را Use Case نیز می نامند. بنابراین می توان گفت، Use Case کارها و قابلیت هایی است که یک محصول SIEM یا به طور کلی هر محصولی قادر به انجام آن است.
یکی از Use Case های رایج برای SIEM ها، پوشش استانداردهای مطرح امنیتی است، به این معنا که محصول SIEM می تواند با بررسی داده های شبکه ایی هرگونه تناقض با استانداردها را شناسایی کرده و نسبت به آن هشدار دهد.
در این پست، ضمن معرفی یکی از استانداردهای مطرح در زمینه امنیت سایبری، قصد داریم تا نشان دهیم چگونه یک SIEM می تواند این استاندارد امنیتی را پوشش دهد.
📰 معرفی استاندارد PCI DSS
استاندارد PCI DSS (Payment Card Industry Data Security Standard) مجموعهای از الزامات امنیتی جهت افزایش سطح امنیت اطلاعات در فرآیندها و تراکنشهای مالی میباشد که توسط مؤسسه PCI Council امریکا انتشار یافته است. این استاندارد با هدف تأمین امنیت اطلاعات در مبادلات پولی و بانکی، این اطمینان را ایجاد میکند که از اطلاعات دارندگان کارت محافظت نماید و رعایت الزامات آن در کلیه شرکتها و سازمانهایی که در پردازش، ذخیرهسازی و انتقال دادههای کارتهای پرداخت فعالیت مینمایند، همچون بانکها، مؤسسات مالی و اعتباری، شرکتهای PSP و تجارت الکترونیک و سایر شرکتهای فعال در حوزه پرداخت الکترونیک کاربرد دارد. الزامات امنیتی شرکت شاپرک نیز براساس الزامات استاندارد PCI DSS تدوین گردیده است.
1⃣ Use Case 1
- الزام شماره ۱.۱.۱
فرآیندی رسمی برای تایید و تست تمامی کانکشن های شبکه و تغییرات در فایروال و مسیریاب ها
- الزام شماره ۱.۲.۱
محدود کردن ترافیک ورودی و خروجی به ترافیک های واقعا ضروری و مسدودسازی سایر ترافیک ها
- تهدیدات محتمل ناشی از عدم رعایت این الزامات
دسترسی غیرمجاز یا تایید نشده به شبکه
- نحوه پیاده سازی این الزام توسط یک SIEM
همبسته سازی (Correlate) کردن تمامی کانکشن ها بر اساس پورت مقصد آنها و همچنین مرتبط سازی آنها با دارایی های موجود در سازمان
به عنوان نمونه، با دستور Correlate در اسپلانک می توان این همبسته سازی را انجام داد
- لاگ های مورد نیاز برای بررسی این الزامات
لاگ های مربوط به کانشکن های شبکه در فایروال، مسیریاب و سوییچ ها
آنچه یک محصول SIEM را تبدیل به یک محصول قدرتمند و باارزش برای یک سازمان می کند، محتوای آن محصول است. منظور از محتوا، قوانینی است که برای شناسایی تهدیدات و مخاطرات در یک SIEM تعریف می شود. در بیانی فنی تر این محتوا را Use Case نیز می نامند. بنابراین می توان گفت، Use Case کارها و قابلیت هایی است که یک محصول SIEM یا به طور کلی هر محصولی قادر به انجام آن است.
یکی از Use Case های رایج برای SIEM ها، پوشش استانداردهای مطرح امنیتی است، به این معنا که محصول SIEM می تواند با بررسی داده های شبکه ایی هرگونه تناقض با استانداردها را شناسایی کرده و نسبت به آن هشدار دهد.
در این پست، ضمن معرفی یکی از استانداردهای مطرح در زمینه امنیت سایبری، قصد داریم تا نشان دهیم چگونه یک SIEM می تواند این استاندارد امنیتی را پوشش دهد.
📰 معرفی استاندارد PCI DSS
استاندارد PCI DSS (Payment Card Industry Data Security Standard) مجموعهای از الزامات امنیتی جهت افزایش سطح امنیت اطلاعات در فرآیندها و تراکنشهای مالی میباشد که توسط مؤسسه PCI Council امریکا انتشار یافته است. این استاندارد با هدف تأمین امنیت اطلاعات در مبادلات پولی و بانکی، این اطمینان را ایجاد میکند که از اطلاعات دارندگان کارت محافظت نماید و رعایت الزامات آن در کلیه شرکتها و سازمانهایی که در پردازش، ذخیرهسازی و انتقال دادههای کارتهای پرداخت فعالیت مینمایند، همچون بانکها، مؤسسات مالی و اعتباری، شرکتهای PSP و تجارت الکترونیک و سایر شرکتهای فعال در حوزه پرداخت الکترونیک کاربرد دارد. الزامات امنیتی شرکت شاپرک نیز براساس الزامات استاندارد PCI DSS تدوین گردیده است.
1⃣ Use Case 1
- الزام شماره ۱.۱.۱
فرآیندی رسمی برای تایید و تست تمامی کانکشن های شبکه و تغییرات در فایروال و مسیریاب ها
- الزام شماره ۱.۲.۱
محدود کردن ترافیک ورودی و خروجی به ترافیک های واقعا ضروری و مسدودسازی سایر ترافیک ها
- تهدیدات محتمل ناشی از عدم رعایت این الزامات
دسترسی غیرمجاز یا تایید نشده به شبکه
- نحوه پیاده سازی این الزام توسط یک SIEM
همبسته سازی (Correlate) کردن تمامی کانکشن ها بر اساس پورت مقصد آنها و همچنین مرتبط سازی آنها با دارایی های موجود در سازمان
به عنوان نمونه، با دستور Correlate در اسپلانک می توان این همبسته سازی را انجام داد
- لاگ های مورد نیاز برای بررسی این الزامات
لاگ های مربوط به کانشکن های شبکه در فایروال، مسیریاب و سوییچ ها
Hypersec
Photo
یکی از اطلاعات مهم مورد نیاز در فرآیند شکار تهدیدات روی سیستم های ویندوزی، درک ساختار سلسله مراتبی پراسس های ویندوزی است. این دیاگرام به ما کمک می کند تا سلسله مراتب پراسس های Native ویندوز را درک کنیم. در صورتی که در بررسی پراسس های ویندوزی به پراسسی برخورد کنیم که خارج از الگوی موجود در این شکل باشد می توان به عنوان یک نشانه مشکوک در نظر گرفت. به عنوان نمونه در صورتی که پراسس والد svchost چیزی به جز services باشد می تواند به عنوان یک الگوی مشکوک و یا مخرب در نظر گرفت.
دوستانی که علاقه مند به مطالب نوین امنیت به خصوص در حوزه مرکز عملیات امنیت هستند، کانال مهندس آدینه رو پیشنهاد میکنم.
Hypersec
Photo
جهت دسترسی به پروژه Mordor، به لینک ذیل مراجعه کنید
https://lnkd.in/g3cbtNi
https://lnkd.in/g3cbtNi
GitHub
OTRF/mordor
Re-play Adversarial Techniques. Contribute to OTRF/mordor development by creating an account on GitHub.
Hypersec
Photo
در فرآیند شکار تهدیدات، از چه نوع دستگاه هایی چه نوع لاگ هایی باید جمع آوری کرد و از میان آنها به چه تهدیداتی می توان رسید؟
یکی از مهم ترین نکات تو بحث شکار تهدیدات اینه که شما بتونید لاگ رو به بهترین نحو تحلیل کنید و یک تایم لاین از عملکرد اون درست کنید.
به عنوان مثال شما در نظر بگیرید که نفوذگر یک بدافزار رو تو یکی از EndPoint های شما اجرا میکنه. اون بدافزار یک سری فایل رو تغییر میده. بعد چند تا Child از خودش درست میکنه که هرکدوم وظیفه خاصی برعهده دارند.
و ....
تحلیل همه اینا کار نسبتا وقت گیریه.
اما مرکز Cert ژاپن که یه جوری پیشرو توی این زمینه هم هست اومده یه ابزاری نوشته به اسم Sysmonsearch
اگر sysmon رو نصب کرده باشید روی کلاینت هاتون و لاگشو بگیرید میتونید به این راحتی از این ابزار استفاده کنید.
البته ناگفته نمونه که روی ELK راه اندازی میشه.
Link: https://github.com/JPCERTCC/SysmonSearch
به عنوان مثال شما در نظر بگیرید که نفوذگر یک بدافزار رو تو یکی از EndPoint های شما اجرا میکنه. اون بدافزار یک سری فایل رو تغییر میده. بعد چند تا Child از خودش درست میکنه که هرکدوم وظیفه خاصی برعهده دارند.
و ....
تحلیل همه اینا کار نسبتا وقت گیریه.
اما مرکز Cert ژاپن که یه جوری پیشرو توی این زمینه هم هست اومده یه ابزاری نوشته به اسم Sysmonsearch
اگر sysmon رو نصب کرده باشید روی کلاینت هاتون و لاگشو بگیرید میتونید به این راحتی از این ابزار استفاده کنید.
البته ناگفته نمونه که روی ELK راه اندازی میشه.
Link: https://github.com/JPCERTCC/SysmonSearch
GitHub
GitHub - JPCERTCC/SysmonSearch: Investigate suspicious activity by visualizing Sysmon's event log
Investigate suspicious activity by visualizing Sysmon's event log - JPCERTCC/SysmonSearch
یکی دیگه از مهم ترین بحثا در حال حاضر اینه که ببینیم کاربرامون کجا و چجوری لاگین کردن.
همونطور که مستحضرید ما چند نوع لاگین دارم.
۱-interactive :
تو این نوع لاگین کاربر به صورت فیزیکی پشت سیستم میشینه
البته اگر کاربر از طریق کنسول ESXI هم لاگین کنه همین نوع محسوب میشه.
۲-Netowrk login:
همونطور که از اسمش پیداس این نوع لاگین زمانی اتفاق میوفته که ما از طریق سرویس های توی شبکه لاگین کنیم
مثلا smb. حالا این smb کجا استفاده میشه؟ توی ابزاری مثل psexec که این روزا بین red team ها خیلی طرفدار داره
۳-batch:
این نوع لاگین به گفته خود ماکروسافت موقعی استفاده میشه که از scheduled task استفاده بشه
۴-Service
این لاگین زمانی استفاده میشه که شما سرویسی بخواد عملیات احراز هویت رو انجام بده.
۵-unlock
این لاگین کی استفاده میشه؟
موقعی که کاربر سیستمشو unlock کنه
۶-Network Cleartext:
که خب همینجوری که از اسمش پیداس موقعیه که کاربر پسورد رو به صورت clear text وارد کنه و وارد شبکه بشه.
باید یکم بیشتر به این نوع لاگین توجه کرد
۷-New credential:
بعضا شاید براتون پیش اومده باشه که برنامه ای رو Run as admin کرده باشید
موقعی که اینکارو بکنید این نوع لاگین اتفاق میوفته
۸-Remote interactive
که خب فکرمیکنم همه اشنا باشید با این نوع لاگین. برای زمانیه که کاربری از سرویس rdp استفاده میکنه. توی مباحث threat hunting میتونه خیلی کمک کننده باشه.
۹-Cached credential:
خیلی وقتا ادمین ها موقع ریموت زدن تیک remmember رو میزنند تا هر دفعه نیاز نباشه پسورد رو وارد کنند. که خب از اینجا میشه متوجه این قضیه شد. که بعضا میتونه خطر افرین باشه!!!
حالا تحلیل همه اینا با حجم کاربر زیاد یا حتی متوسط قطعا کار راحتی نیست.
چیکار میتونیم بکنیم؟
بازم اینجا مرکز Cert ژاپن که دیگه قبلا هم بهش اشاره کردیم اومده یه ابزاری رو طراحی کرده که همه اینها رو انالیز میکنه و یک Time line از لاگین های مختلف کاربر درست میکنه که میتونه کمک خیلی زیادی برای تشخیص نفوذ
به ما بکنه
https://github.com/JPCERTCC/LogonTracer
همونطور که مستحضرید ما چند نوع لاگین دارم.
۱-interactive :
تو این نوع لاگین کاربر به صورت فیزیکی پشت سیستم میشینه
البته اگر کاربر از طریق کنسول ESXI هم لاگین کنه همین نوع محسوب میشه.
۲-Netowrk login:
همونطور که از اسمش پیداس این نوع لاگین زمانی اتفاق میوفته که ما از طریق سرویس های توی شبکه لاگین کنیم
مثلا smb. حالا این smb کجا استفاده میشه؟ توی ابزاری مثل psexec که این روزا بین red team ها خیلی طرفدار داره
۳-batch:
این نوع لاگین به گفته خود ماکروسافت موقعی استفاده میشه که از scheduled task استفاده بشه
۴-Service
این لاگین زمانی استفاده میشه که شما سرویسی بخواد عملیات احراز هویت رو انجام بده.
۵-unlock
این لاگین کی استفاده میشه؟
موقعی که کاربر سیستمشو unlock کنه
۶-Network Cleartext:
که خب همینجوری که از اسمش پیداس موقعیه که کاربر پسورد رو به صورت clear text وارد کنه و وارد شبکه بشه.
باید یکم بیشتر به این نوع لاگین توجه کرد
۷-New credential:
بعضا شاید براتون پیش اومده باشه که برنامه ای رو Run as admin کرده باشید
موقعی که اینکارو بکنید این نوع لاگین اتفاق میوفته
۸-Remote interactive
که خب فکرمیکنم همه اشنا باشید با این نوع لاگین. برای زمانیه که کاربری از سرویس rdp استفاده میکنه. توی مباحث threat hunting میتونه خیلی کمک کننده باشه.
۹-Cached credential:
خیلی وقتا ادمین ها موقع ریموت زدن تیک remmember رو میزنند تا هر دفعه نیاز نباشه پسورد رو وارد کنند. که خب از اینجا میشه متوجه این قضیه شد. که بعضا میتونه خطر افرین باشه!!!
حالا تحلیل همه اینا با حجم کاربر زیاد یا حتی متوسط قطعا کار راحتی نیست.
چیکار میتونیم بکنیم؟
بازم اینجا مرکز Cert ژاپن که دیگه قبلا هم بهش اشاره کردیم اومده یه ابزاری رو طراحی کرده که همه اینها رو انالیز میکنه و یک Time line از لاگین های مختلف کاربر درست میکنه که میتونه کمک خیلی زیادی برای تشخیص نفوذ
به ما بکنه
https://github.com/JPCERTCC/LogonTracer
GitHub
GitHub - JPCERTCC/LogonTracer: Investigate malicious Windows logon by visualizing and analyzing Windows event log
Investigate malicious Windows logon by visualizing and analyzing Windows event log - JPCERTCC/LogonTracer
Hypersec
Photo
از چه نوع دستگاه هایی چه لاگ هایی باید جمع آوری کرد و به دنبال چه تهدیداتی باید بود (بخش دوم)