✍️بررسی ماژول Active Response در راهکار Wazuh
این ماژول یکی از بخش های تشکیل دهنده ی راهکار Wazuh میباشد که کمک میکند تا در صورت وقوع یک حادثه، Actionهای از پیش تعیین شده فعال و اعمال شود. این قابلیت که در فرآیند Incident Response مورد استفاده قرار میگیرد، به دو دسته Stateful و stateless تبدیل میشود.
در حالت Stateless، تنها یک بار Action مورد نظر اعمال میشود اما در حالت Stateful میتوان مشخص کرد که در بازه زمانی مختلف این Action رخ دهد.
به عنوان مثال اگر یک IP به سیستم ما درخواست دهد و باعث ایجاد چندین Login Failed شود، در حال Stateful میتوان مشخص کرد که پس از چندین Login Failed به مدت چند ساعت دسترسی آن IP را قطع کرده و سپس دوباره به آن اجازه اتصال دهد اما در حالت Stateless برای همیشه دسترسی آن IP به مقصد موردنظر بسته خواهد شد.
در پست های بعدی در رابطه با اسکریپت ها و Actionهای این ماژول بیشتر توضیح داده خواهد شد.
#Incident_Response
#Wazuh
♻️ @HyperSec
این ماژول یکی از بخش های تشکیل دهنده ی راهکار Wazuh میباشد که کمک میکند تا در صورت وقوع یک حادثه، Actionهای از پیش تعیین شده فعال و اعمال شود. این قابلیت که در فرآیند Incident Response مورد استفاده قرار میگیرد، به دو دسته Stateful و stateless تبدیل میشود.
در حالت Stateless، تنها یک بار Action مورد نظر اعمال میشود اما در حالت Stateful میتوان مشخص کرد که در بازه زمانی مختلف این Action رخ دهد.
به عنوان مثال اگر یک IP به سیستم ما درخواست دهد و باعث ایجاد چندین Login Failed شود، در حال Stateful میتوان مشخص کرد که پس از چندین Login Failed به مدت چند ساعت دسترسی آن IP را قطع کرده و سپس دوباره به آن اجازه اتصال دهد اما در حالت Stateless برای همیشه دسترسی آن IP به مقصد موردنظر بسته خواهد شد.
در پست های بعدی در رابطه با اسکریپت ها و Actionهای این ماژول بیشتر توضیح داده خواهد شد.
#Incident_Response
#Wazuh
♻️ @HyperSec
✍️بررسی Actionهای ماژول Active Response در راهکار Wazuh
همانطور که در پست قبلی اشاره شد، ماژولActive Response وظیفه اجرای Actionهای تعریف شده در صورت وقوع یک حادثه را برعهده دارد. این Actionها به صورت پیشفرض شامل اقداماتی نظیر بستن یک IP، غیرفعال کردن حساب یک کاربر، Restart کردن ماژولossec و غیره میباشد که این موارد در تصویر فوق مشخص شده است.
این Actionها در سیستم عامل هایی نظیر ویندوز و لینوکس کاربرد دارد که تعداد Scriptها در سیستم های لینوکسی، بیشتر از ویندوز میباشد اما قابلیت توسعه و یا تغییر آنها با توجه به نیازهای کاربران امکان پذیر است.
لینک زیر توضیح دقیق تری از هر Action را ارائه میدهد.
https://documentation.wazuh.com/current/user-manual/capabilities/active-response/how-it-works.html
#Wazuh
#Active_Response
♻️@HyperSec
همانطور که در پست قبلی اشاره شد، ماژولActive Response وظیفه اجرای Actionهای تعریف شده در صورت وقوع یک حادثه را برعهده دارد. این Actionها به صورت پیشفرض شامل اقداماتی نظیر بستن یک IP، غیرفعال کردن حساب یک کاربر، Restart کردن ماژولossec و غیره میباشد که این موارد در تصویر فوق مشخص شده است.
این Actionها در سیستم عامل هایی نظیر ویندوز و لینوکس کاربرد دارد که تعداد Scriptها در سیستم های لینوکسی، بیشتر از ویندوز میباشد اما قابلیت توسعه و یا تغییر آنها با توجه به نیازهای کاربران امکان پذیر است.
لینک زیر توضیح دقیق تری از هر Action را ارائه میدهد.
https://documentation.wazuh.com/current/user-manual/capabilities/active-response/how-it-works.html
#Wazuh
#Active_Response
♻️@HyperSec
✍️ معرفی راهکار Velociraptor
راهکار Velociraptor به عنوان یک ابزار شکار تهدید، فارنزیک و پاسخ به حادثه محسوب میشود که اشراف شما را بر روی Endpointهای موجود در شبکه افزایش میدهد. Velociraptor، ترکیبی از دو ابزار GRR و OSQuery بوده و هر سه نوع پلتفرم Windows، Linux و macOS را پشتیبانی میکند.
جالب است بدانید که این پروژه ی متن باز چند ماه پیش، توسط Rapid7 خریداری شد.
این ابزار به کمک موتور VQL یا Velociraptor Query Language این امکان را به کاربر میدهد که عملیات جمع آوری و تحلیل شواهد بصورت یکپارچه در کل شبکه، با سرعتی بالا و با کمترین تاثیر منفی بر روی Endpoint انجام شود.
برای دریافت اطلاعات بیشتر در مورد این ابزار به وبلاگ سورین مراجعه نمایید.
#Velociraptor #Forensic #Threat_Hunting #Incident_Response
@HyperSec
راهکار Velociraptor به عنوان یک ابزار شکار تهدید، فارنزیک و پاسخ به حادثه محسوب میشود که اشراف شما را بر روی Endpointهای موجود در شبکه افزایش میدهد. Velociraptor، ترکیبی از دو ابزار GRR و OSQuery بوده و هر سه نوع پلتفرم Windows، Linux و macOS را پشتیبانی میکند.
جالب است بدانید که این پروژه ی متن باز چند ماه پیش، توسط Rapid7 خریداری شد.
این ابزار به کمک موتور VQL یا Velociraptor Query Language این امکان را به کاربر میدهد که عملیات جمع آوری و تحلیل شواهد بصورت یکپارچه در کل شبکه، با سرعتی بالا و با کمترین تاثیر منفی بر روی Endpoint انجام شود.
برای دریافت اطلاعات بیشتر در مورد این ابزار به وبلاگ سورین مراجعه نمایید.
#Velociraptor #Forensic #Threat_Hunting #Incident_Response
@HyperSec
✍️ماژول Vulnerability Detector در راهکار Wazuh
راهکار Wazuh با استفاده از ماژول Vulnerability Detector میتواند آسیب پذیری های برنامه های نصب شده بر روی Clientها را تشخیص و آنها را گزارش دهد. برای شناسایی این آسیب پذیری ها، ابتدا Agentهای Wazuh شروع به اسکن برنامه های نصب شده بر روی سیستم عامل میکنند و لیست آنها را به صورت دوره ای به سمت سرور Wazuh ارسال میکنند و این اطلاعات در یک پایگاه داده که از نوع Sqlite میباشد ذخیره میگردد. همچنین سرور Wazuh از طریق پایگاه داده های مختلف، لیستی از CVEها را جمع آوری و درون خود ذخیره میکند و به کمک آن، آسیب پذیری های موجود را شناسایی مینماید. همچنین میتوان این پایگاه داده را به گونه ای پیکربندی نمود تا به صورت دوره ای و خودکار، به روز رسانی شده و جدید ترین CVE ها را دریافت کند.
برای خواندن ادامه مقاله و شناخت بیشتر این ماژول همراه با اطلاعات دقیق تر به وبلاگ سورین مراجعه فرمایید.
#Wazuh
#Vulnerability_Detection
♻️@HyperSec
راهکار Wazuh با استفاده از ماژول Vulnerability Detector میتواند آسیب پذیری های برنامه های نصب شده بر روی Clientها را تشخیص و آنها را گزارش دهد. برای شناسایی این آسیب پذیری ها، ابتدا Agentهای Wazuh شروع به اسکن برنامه های نصب شده بر روی سیستم عامل میکنند و لیست آنها را به صورت دوره ای به سمت سرور Wazuh ارسال میکنند و این اطلاعات در یک پایگاه داده که از نوع Sqlite میباشد ذخیره میگردد. همچنین سرور Wazuh از طریق پایگاه داده های مختلف، لیستی از CVEها را جمع آوری و درون خود ذخیره میکند و به کمک آن، آسیب پذیری های موجود را شناسایی مینماید. همچنین میتوان این پایگاه داده را به گونه ای پیکربندی نمود تا به صورت دوره ای و خودکار، به روز رسانی شده و جدید ترین CVE ها را دریافت کند.
برای خواندن ادامه مقاله و شناخت بیشتر این ماژول همراه با اطلاعات دقیق تر به وبلاگ سورین مراجعه فرمایید.
#Wazuh
#Vulnerability_Detection
♻️@HyperSec
✍️بررسی قابلیت Security Configuration Assessment در راهکار Wazuh
یکی از ابزارهای مناسب در حوزه مقاومسازی سیستمها که میتوان به کار گرفت، Wazuh است. این راهکار به کمک یکی از ماژولهای خود با نام Security Configuration Assessment، به فرآیند مقاومسازی، کمک شایانی میکند.
این ماژول، اسکن هایی جهت کشف Misconfigurationهای موجود در سطح شبکه انجام میدهد و وضعیت پیکربندی ها را بر اساس Policyهایی که برای Wazuh تعریف شده است، مشخص میکند. Policyهای نوشته شده برای ماژول SCA با فرمت های YAML میباشند و به دلیل سادگی و قابل فهم بودن آن توسط انسان، میتوان آنها را با توجه به سیاست های سازمان و نیاز های موجود گسترش داد.
علاوه براین Wazuh با مجموعه ای از Policyهای از پیش تعیین شده که اغلب بر اساس Benchmarkهای CIS میباشد، استانداردهایی را برای Hardening سیستم ها در نظر گرفته است.
برای مشاهده اطلاعات بیشتر در رابطه با این ماژول، میتوانید به وبلاگ سورین مراجعه فرمایید.
#Wazuh #SCA
♻️@Hypersec
یکی از ابزارهای مناسب در حوزه مقاومسازی سیستمها که میتوان به کار گرفت، Wazuh است. این راهکار به کمک یکی از ماژولهای خود با نام Security Configuration Assessment، به فرآیند مقاومسازی، کمک شایانی میکند.
این ماژول، اسکن هایی جهت کشف Misconfigurationهای موجود در سطح شبکه انجام میدهد و وضعیت پیکربندی ها را بر اساس Policyهایی که برای Wazuh تعریف شده است، مشخص میکند. Policyهای نوشته شده برای ماژول SCA با فرمت های YAML میباشند و به دلیل سادگی و قابل فهم بودن آن توسط انسان، میتوان آنها را با توجه به سیاست های سازمان و نیاز های موجود گسترش داد.
علاوه براین Wazuh با مجموعه ای از Policyهای از پیش تعیین شده که اغلب بر اساس Benchmarkهای CIS میباشد، استانداردهایی را برای Hardening سیستم ها در نظر گرفته است.
برای مشاهده اطلاعات بیشتر در رابطه با این ماژول، میتوانید به وبلاگ سورین مراجعه فرمایید.
#Wazuh #SCA
♻️@Hypersec
با ما در دورهمی کلاب هاوس با موضوع بررسی آسیب پذیری های مهم اخیر همراه باشید
قراره با همراهی آکادمی راوین، در خصوص آسیب پذیری های اخیر مثل Exchange و MSHTML بحث و تبادل نظر بشه و راهکارهای شناسایی و مقابله با این موارد بررسی بشه.
آدرس اتاق گفت و گو:
http://clubhouse.com/event/M8X8bVZ1
#Exchange #ProxyShell #MSHTML
@Hypersec
قراره با همراهی آکادمی راوین، در خصوص آسیب پذیری های اخیر مثل Exchange و MSHTML بحث و تبادل نظر بشه و راهکارهای شناسایی و مقابله با این موارد بررسی بشه.
آدرس اتاق گفت و گو:
http://clubhouse.com/event/M8X8bVZ1
#Exchange #ProxyShell #MSHTML
@Hypersec
✍️معرفی راهکار SOAR و محصولات پیشگام این حوزه
راهکار SOAR محصولات نرمافزاری هستند که به تیمهای فناوری اطلاعات این امکان را میدهند تا فعالیتهای سازمان در واکنش به حوادث را تعریف، استانداردسازی و خودکارسازی کنند. اکثر سازمانها از این ابزار به منظور خودکارسازی عملیات و فرآیندهای امنیتی، پاسخ به حوادث و مدیریت آسیبپذیریها و تهدیدات استفاده میکنند. به طور کلی، راهکارهای SOAR، تیمها را قادر میسازند تا با جمعآوری اطلاعات ارزشمند امنیتی، تهدیدات و آسیبپذیریهای موجود و بالقوه را از منابع مختلف شناسایی، تحلیل و بررسی کنند. در نتیجهی ارائه این قابلیتها، سازمان، توانایی پاسخ پیوسته، کارآمد و سریعتری را به حوادث امنیتی پیدا میکند.
برای کسب اطلاعات بیشتر در رابطه با این راهکار و شناخت محصولات پیشگام در این حوزه به وبلاگ سورین مراجعه فرمایید.
#SOAR
♻️@Hypersec
راهکار SOAR محصولات نرمافزاری هستند که به تیمهای فناوری اطلاعات این امکان را میدهند تا فعالیتهای سازمان در واکنش به حوادث را تعریف، استانداردسازی و خودکارسازی کنند. اکثر سازمانها از این ابزار به منظور خودکارسازی عملیات و فرآیندهای امنیتی، پاسخ به حوادث و مدیریت آسیبپذیریها و تهدیدات استفاده میکنند. به طور کلی، راهکارهای SOAR، تیمها را قادر میسازند تا با جمعآوری اطلاعات ارزشمند امنیتی، تهدیدات و آسیبپذیریهای موجود و بالقوه را از منابع مختلف شناسایی، تحلیل و بررسی کنند. در نتیجهی ارائه این قابلیتها، سازمان، توانایی پاسخ پیوسته، کارآمد و سریعتری را به حوادث امنیتی پیدا میکند.
برای کسب اطلاعات بیشتر در رابطه با این راهکار و شناخت محصولات پیشگام در این حوزه به وبلاگ سورین مراجعه فرمایید.
#SOAR
♻️@Hypersec
✍️بررسی حمله MysterySnail
در اوایل سپتامبر امسال، حملاتی بر روی برخی سرورهای ویندوزی شناسایی شد که شامل اکسپلویتی جهت ارتقاء سطح دسترسی بود. این اکسپلویت، دارای نشانههایی از یک اکسپلویت قدیمیتر و شناخته شده برای عموم بود که از آسیبپذیری با شناسه CVE-2016-3309 استفاد میکرد. اما تجزیه تحلیلهای بیشتر شرکت Kaspersky ، نشان داد که این آسیبپذیری از نوع Zero-day بوده و از درایور Win32k استفاده میکند. لازم به ذکر است پس از شناسایی این آسیبپذیری و اعلان عمومی آن، آسیبپذیری مذکور، با شناسهی CVE-2021-40449 از سمت شرکت مایکروسافت معرفی و Patch مربوطه عرضه گردید.
همچنین بررسیها حاکی از آن است که بدافزارهای مختلفی که از این آسیبپذیری استفاده میکنند، توسط گروهای مختلف هکری علیه شرکتهای فناوری اطلاعات، ارگانهای نظامی و نهاد های دیپلماتیک، مورد استفاده قرار میگیرند. مجموعه فعالیتهای ذکرشده با نام MysterySnail شناخته میشود. شباهت کدها و زیرساختهای C2 استفاده شده در این دسته از حملات با کدها و زیرساختهای مورد استفاده گروه هکری IronHusky و یک گروه هکری چینی که در سال 2012 حملات APT مختلفی انجام داده بود، این فرضیه را به وجود میآورد که این اقدامات احتمالا از سمت این دو گروه باشد.
لازم به ذکر است که رول های شناسایی این حمله به زودی توسط تیم سورین منتشر خواهد شد.
♻️@Hypersec
در اوایل سپتامبر امسال، حملاتی بر روی برخی سرورهای ویندوزی شناسایی شد که شامل اکسپلویتی جهت ارتقاء سطح دسترسی بود. این اکسپلویت، دارای نشانههایی از یک اکسپلویت قدیمیتر و شناخته شده برای عموم بود که از آسیبپذیری با شناسه CVE-2016-3309 استفاد میکرد. اما تجزیه تحلیلهای بیشتر شرکت Kaspersky ، نشان داد که این آسیبپذیری از نوع Zero-day بوده و از درایور Win32k استفاده میکند. لازم به ذکر است پس از شناسایی این آسیبپذیری و اعلان عمومی آن، آسیبپذیری مذکور، با شناسهی CVE-2021-40449 از سمت شرکت مایکروسافت معرفی و Patch مربوطه عرضه گردید.
همچنین بررسیها حاکی از آن است که بدافزارهای مختلفی که از این آسیبپذیری استفاده میکنند، توسط گروهای مختلف هکری علیه شرکتهای فناوری اطلاعات، ارگانهای نظامی و نهاد های دیپلماتیک، مورد استفاده قرار میگیرند. مجموعه فعالیتهای ذکرشده با نام MysterySnail شناخته میشود. شباهت کدها و زیرساختهای C2 استفاده شده در این دسته از حملات با کدها و زیرساختهای مورد استفاده گروه هکری IronHusky و یک گروه هکری چینی که در سال 2012 حملات APT مختلفی انجام داده بود، این فرضیه را به وجود میآورد که این اقدامات احتمالا از سمت این دو گروه باشد.
لازم به ذکر است که رول های شناسایی این حمله به زودی توسط تیم سورین منتشر خواهد شد.
♻️@Hypersec
✍️ انواع رول ها در یک SIEM
به طور کلی، قوانین یا رول های تشخیص تهدیدات در یک محصول SIEM را میتوان به دو دسته کلی تقسیم کرد
- Correlation Rules:
رول هایی که مبتنی بر یک یا چند نشانه یا در حالت پیچیده تر، توالی معناداری از نشانه ها هستند.
مثال:
- لاگین به چند سیستم در بازه زمانی کوتاه
- بلاک شدن یک ارتباط شبکه ای و (بعد از چند لحظه) دسترسی به وب سرور از همان مبدا ارتباطی
- Baseline Rules:
رول هایی که مبتنی بر مقایسه رفتارها و شناسایی ناهنجاری هستند. خروجی این رول ها غالبا شناسایی رفتارهای ناشناخته یا مشکوک و یا در بهترین حالت حملات Zero Day است.
مثال:
- مقایسه لاگین های انجام شده در دو روز گذشته با لاگین های دو ماه گذشته
♻️@Hypersec
به طور کلی، قوانین یا رول های تشخیص تهدیدات در یک محصول SIEM را میتوان به دو دسته کلی تقسیم کرد
- Correlation Rules:
رول هایی که مبتنی بر یک یا چند نشانه یا در حالت پیچیده تر، توالی معناداری از نشانه ها هستند.
مثال:
- لاگین به چند سیستم در بازه زمانی کوتاه
- بلاک شدن یک ارتباط شبکه ای و (بعد از چند لحظه) دسترسی به وب سرور از همان مبدا ارتباطی
- Baseline Rules:
رول هایی که مبتنی بر مقایسه رفتارها و شناسایی ناهنجاری هستند. خروجی این رول ها غالبا شناسایی رفتارهای ناشناخته یا مشکوک و یا در بهترین حالت حملات Zero Day است.
مثال:
- مقایسه لاگین های انجام شده در دو روز گذشته با لاگین های دو ماه گذشته
♻️@Hypersec
Hypersec
✍️بررسی حمله MysterySnail در اوایل سپتامبر امسال، حملاتی بر روی برخی سرورهای ویندوزی شناسایی شد که شامل اکسپلویتی جهت ارتقاء سطح دسترسی بود. این اکسپلویت، دارای نشانههایی از یک اکسپلویت قدیمیتر و شناخته شده برای عموم بود که از آسیبپذیری با شناسه CVE-2016…
✍رول های شناسایی حمله MysterySnail
با توجه به حمله MysterySnail که در پست قبلی شرح داده شد، تیم سورین، سه رول مختلف جهت شناسایی این حمله را آماده کرده است. این رول ها که مبتنی بر پلتفرم اسپلانک هستند، عبارتند از:
index=YourIndexName sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=13 TargetObject="*Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyServer"
| stats values(Image),values(Details),values(action) by host
با توجه به نشانه هایی که این حمله بر روی رجیستری ویندوز برجای میگذارد، با کمک رول فوق، که مبتنی بر لاگ Sysmon نوشته شده، میتوانیم آنرا شناسایی کنیم.
index= YourIndexName sourcetype="stream:dns" message_type=QUERY query IN ("disktest.com", "runblerx.com", "ddspadus.com")
| table src,query
از دیگر روش هایی که میتوان این حمله را شناسایی کرد، درخواست هایی است که از سیستم یا شبکه قربانی به دامنه های مختلف ارسال می شود . با استفاده از رول اسپلانک فوق، میتوان درخواست های ارسال شده به دامنه های مخرب را شناسایی کرد.
index= YourIndexName sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"
| regex _raw=("b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e | ecdec44d3ce31532d9831b139ea04bf48cde9090 | e2f2d2832da0facbd716d6ad298073ca")
سومین روش شناسایی حمله MysterySnail، بررسی هش هایی است که بدافزار مربوطه تولید میکند که با کمک رول بالا میتوانیم آنرا در اسپلانک شناسایی کنیم.
#MysterySnail
♻@Hypersec
با توجه به حمله MysterySnail که در پست قبلی شرح داده شد، تیم سورین، سه رول مختلف جهت شناسایی این حمله را آماده کرده است. این رول ها که مبتنی بر پلتفرم اسپلانک هستند، عبارتند از:
index=YourIndexName sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=13 TargetObject="*Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyServer"
| stats values(Image),values(Details),values(action) by host
با توجه به نشانه هایی که این حمله بر روی رجیستری ویندوز برجای میگذارد، با کمک رول فوق، که مبتنی بر لاگ Sysmon نوشته شده، میتوانیم آنرا شناسایی کنیم.
index= YourIndexName sourcetype="stream:dns" message_type=QUERY query IN ("disktest.com", "runblerx.com", "ddspadus.com")
| table src,query
از دیگر روش هایی که میتوان این حمله را شناسایی کرد، درخواست هایی است که از سیستم یا شبکه قربانی به دامنه های مختلف ارسال می شود . با استفاده از رول اسپلانک فوق، میتوان درخواست های ارسال شده به دامنه های مخرب را شناسایی کرد.
index= YourIndexName sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"
| regex _raw=("b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e | ecdec44d3ce31532d9831b139ea04bf48cde9090 | e2f2d2832da0facbd716d6ad298073ca")
سومین روش شناسایی حمله MysterySnail، بررسی هش هایی است که بدافزار مربوطه تولید میکند که با کمک رول بالا میتوانیم آنرا در اسپلانک شناسایی کنیم.
#MysterySnail
♻@Hypersec
✍️جداسازی شبکه داخلی از اینترنت یا آگاهی رسانی امنیتی؟
اخیرا سازمان های مختلف کشور، هدف حملات سایبری مختلفی قرار گرفته اند. حملاتی که بعضا به خارج از کشور نسبت داده می شود. این درحالی است که شبکه سازمان های هدف قرار گرفته، عمدتا از اینترنت جدا بوده و طبق ادعاهای مطرح شده هیچگونه ارتباطی با شبکه اینترنت وجود نداشته است. سوال اینجاست که چگونه با وجود این تدابیر امنیتی، باز هم سازمان های کشور ما دچار حملاتی خسارت بار می شوند.
شاید پاسخ به این سوال، در ناآگاهی کاربران سازمان نهفته باشد. عدم آگاهی نسبت به مخاطرات امنیتی که منجر به خسارات بعضا جبران ناپذیری شده است. راه حل این معضل را می توان در واژه ای به نام Security Awareness جستجو کرد.
بر اساس تعریف، آگاهی رسانی امنیتی یا به عبارتی Security Awareness، ارایه آگاهی به کاربران و کارمندان در خصوص مخاطرات امنیتی رایج جهت ترفیع سطح امنیتی یک سازمان است.
آگاهی رسانی امنیتی یک سرمایه گذاری کوچک جهت کاهش ریسک های بزرگ است.
بر اساس پژوهش های انجام شده:
• 91درصد از پاسخ دهندگان، از آگاهی رسانی امنیتی در راستای کاهش مخاطرات سایبری کارمندان و کاربران استفاده می کنند.
• 64 درصد از آن برای تغییر رفتار کاربر استفاده می کنند
• 61 درصد از آن برای رسیدگی به الزامات نظارتی استفاده می کنند
• 55 درصد از آن برای رعایت سیاست های داخلی استفاده می کنند.
#Security_Awareness
♻️@Hypersec
اخیرا سازمان های مختلف کشور، هدف حملات سایبری مختلفی قرار گرفته اند. حملاتی که بعضا به خارج از کشور نسبت داده می شود. این درحالی است که شبکه سازمان های هدف قرار گرفته، عمدتا از اینترنت جدا بوده و طبق ادعاهای مطرح شده هیچگونه ارتباطی با شبکه اینترنت وجود نداشته است. سوال اینجاست که چگونه با وجود این تدابیر امنیتی، باز هم سازمان های کشور ما دچار حملاتی خسارت بار می شوند.
شاید پاسخ به این سوال، در ناآگاهی کاربران سازمان نهفته باشد. عدم آگاهی نسبت به مخاطرات امنیتی که منجر به خسارات بعضا جبران ناپذیری شده است. راه حل این معضل را می توان در واژه ای به نام Security Awareness جستجو کرد.
بر اساس تعریف، آگاهی رسانی امنیتی یا به عبارتی Security Awareness، ارایه آگاهی به کاربران و کارمندان در خصوص مخاطرات امنیتی رایج جهت ترفیع سطح امنیتی یک سازمان است.
آگاهی رسانی امنیتی یک سرمایه گذاری کوچک جهت کاهش ریسک های بزرگ است.
بر اساس پژوهش های انجام شده:
• 91درصد از پاسخ دهندگان، از آگاهی رسانی امنیتی در راستای کاهش مخاطرات سایبری کارمندان و کاربران استفاده می کنند.
• 64 درصد از آن برای تغییر رفتار کاربر استفاده می کنند
• 61 درصد از آن برای رسیدگی به الزامات نظارتی استفاده می کنند
• 55 درصد از آن برای رعایت سیاست های داخلی استفاده می کنند.
#Security_Awareness
♻️@Hypersec
✍️ بیش از ۸۰ مورد Rule اسپلانک
در این پروژه گیت هاب، بیش از ۸۰ رول اسپلانک جهت تشخیص تهدیدات سطح شبکه و سیستم قرار گرفته است.
https://0xcybery.github.io/blog/Splunk+Use+Cases
@hypersec
در این پروژه گیت هاب، بیش از ۸۰ رول اسپلانک جهت تشخیص تهدیدات سطح شبکه و سیستم قرار گرفته است.
https://0xcybery.github.io/blog/Splunk+Use+Cases
@hypersec
0xcybery.github.io
Splunk Use Cases
More than 80 Use Cases for Splunk.
✍️معرفی برخی از مهمترین اپلیکیشن های امنیتی Splunk
Splunk Enterprise Security (ES)
این اپ طیف وسیعی از کاربردهای امنیتی نظیر نظارت مستمر امنیتی، تشخیص تهدیدات پیشرفته، بررسی میزان انطباق (Compliance Checking)، فارنزیک و پاسخ به حادثه را پوشش می دهد. بر این اساس، با استفاده از این اپ می توان به اشراف کاملی از وضعیت امنیت شبکه سازمان دست یافت.
Threat Hunting
این اپ حاوی چندین داشبورد و گزارش از نتیجه عملیات شکار تهدیدات است که به بررسی نشانه های مختلف تهدیدات پرداخته و روند انجام آن را تسهیل می کند.
Splunk Phantom
محصول Phantom که یک راهکار SOAR به شمار می آید، به تیمهای IT این امکان را میدهد تا فرآیند پاسخ به حوادث را تعریف، استانداردسازی و خودکارسازی کنند. به طور کلی، راهکارهای SOAR، تیمها را قادر میسازند تا با جمعآوری اطلاعات ارزشمند امنیتی، تهدیدات و آسیبپذیریهای موجود و بالقوه را از منابع مختلف شناسایی، تحلیل و بررسی کنند. در نتیجهی ارائه این قابلیتها، سازمان، توانایی پاسخ پیوسته، کارآمد و سریعتری را به حوادث امنیتی پیدا میکند.
Splunk Security Essential
اپ Splunk Security Essential یکی از اپ های رایگان اسپلانک است که به کاربر کمک میکند تا گزارشات و جستجوهای امنیتی متناسب با محیط خود را بیابد، نحوه کار آنها را بیاموزد و از آنها استفاده کند. Splunk Security Essentials حاوی بیش از 12 عدد Correlation Search است که به چارچوب Kill Chain و MITER ATT&CK نگاشت شده است.
#Splunk
@Hypersec
Splunk Enterprise Security (ES)
این اپ طیف وسیعی از کاربردهای امنیتی نظیر نظارت مستمر امنیتی، تشخیص تهدیدات پیشرفته، بررسی میزان انطباق (Compliance Checking)، فارنزیک و پاسخ به حادثه را پوشش می دهد. بر این اساس، با استفاده از این اپ می توان به اشراف کاملی از وضعیت امنیت شبکه سازمان دست یافت.
Threat Hunting
این اپ حاوی چندین داشبورد و گزارش از نتیجه عملیات شکار تهدیدات است که به بررسی نشانه های مختلف تهدیدات پرداخته و روند انجام آن را تسهیل می کند.
Splunk Phantom
محصول Phantom که یک راهکار SOAR به شمار می آید، به تیمهای IT این امکان را میدهد تا فرآیند پاسخ به حوادث را تعریف، استانداردسازی و خودکارسازی کنند. به طور کلی، راهکارهای SOAR، تیمها را قادر میسازند تا با جمعآوری اطلاعات ارزشمند امنیتی، تهدیدات و آسیبپذیریهای موجود و بالقوه را از منابع مختلف شناسایی، تحلیل و بررسی کنند. در نتیجهی ارائه این قابلیتها، سازمان، توانایی پاسخ پیوسته، کارآمد و سریعتری را به حوادث امنیتی پیدا میکند.
Splunk Security Essential
اپ Splunk Security Essential یکی از اپ های رایگان اسپلانک است که به کاربر کمک میکند تا گزارشات و جستجوهای امنیتی متناسب با محیط خود را بیابد، نحوه کار آنها را بیاموزد و از آنها استفاده کند. Splunk Security Essentials حاوی بیش از 12 عدد Correlation Search است که به چارچوب Kill Chain و MITER ATT&CK نگاشت شده است.
#Splunk
@Hypersec
👍1