✍️بررسی حمله MysterySnail
در اوایل سپتامبر امسال، حملاتی بر روی برخی سرورهای ویندوزی شناسایی شد که شامل اکسپلویتی جهت ارتقاء سطح دسترسی بود. این اکسپلویت، دارای نشانههایی از یک اکسپلویت قدیمیتر و شناخته شده برای عموم بود که از آسیبپذیری با شناسه CVE-2016-3309 استفاد میکرد. اما تجزیه تحلیلهای بیشتر شرکت Kaspersky ، نشان داد که این آسیبپذیری از نوع Zero-day بوده و از درایور Win32k استفاده میکند. لازم به ذکر است پس از شناسایی این آسیبپذیری و اعلان عمومی آن، آسیبپذیری مذکور، با شناسهی CVE-2021-40449 از سمت شرکت مایکروسافت معرفی و Patch مربوطه عرضه گردید.
همچنین بررسیها حاکی از آن است که بدافزارهای مختلفی که از این آسیبپذیری استفاده میکنند، توسط گروهای مختلف هکری علیه شرکتهای فناوری اطلاعات، ارگانهای نظامی و نهاد های دیپلماتیک، مورد استفاده قرار میگیرند. مجموعه فعالیتهای ذکرشده با نام MysterySnail شناخته میشود. شباهت کدها و زیرساختهای C2 استفاده شده در این دسته از حملات با کدها و زیرساختهای مورد استفاده گروه هکری IronHusky و یک گروه هکری چینی که در سال 2012 حملات APT مختلفی انجام داده بود، این فرضیه را به وجود میآورد که این اقدامات احتمالا از سمت این دو گروه باشد.
لازم به ذکر است که رول های شناسایی این حمله به زودی توسط تیم سورین منتشر خواهد شد.
♻️@Hypersec
در اوایل سپتامبر امسال، حملاتی بر روی برخی سرورهای ویندوزی شناسایی شد که شامل اکسپلویتی جهت ارتقاء سطح دسترسی بود. این اکسپلویت، دارای نشانههایی از یک اکسپلویت قدیمیتر و شناخته شده برای عموم بود که از آسیبپذیری با شناسه CVE-2016-3309 استفاد میکرد. اما تجزیه تحلیلهای بیشتر شرکت Kaspersky ، نشان داد که این آسیبپذیری از نوع Zero-day بوده و از درایور Win32k استفاده میکند. لازم به ذکر است پس از شناسایی این آسیبپذیری و اعلان عمومی آن، آسیبپذیری مذکور، با شناسهی CVE-2021-40449 از سمت شرکت مایکروسافت معرفی و Patch مربوطه عرضه گردید.
همچنین بررسیها حاکی از آن است که بدافزارهای مختلفی که از این آسیبپذیری استفاده میکنند، توسط گروهای مختلف هکری علیه شرکتهای فناوری اطلاعات، ارگانهای نظامی و نهاد های دیپلماتیک، مورد استفاده قرار میگیرند. مجموعه فعالیتهای ذکرشده با نام MysterySnail شناخته میشود. شباهت کدها و زیرساختهای C2 استفاده شده در این دسته از حملات با کدها و زیرساختهای مورد استفاده گروه هکری IronHusky و یک گروه هکری چینی که در سال 2012 حملات APT مختلفی انجام داده بود، این فرضیه را به وجود میآورد که این اقدامات احتمالا از سمت این دو گروه باشد.
لازم به ذکر است که رول های شناسایی این حمله به زودی توسط تیم سورین منتشر خواهد شد.
♻️@Hypersec
✍️ انواع رول ها در یک SIEM
به طور کلی، قوانین یا رول های تشخیص تهدیدات در یک محصول SIEM را میتوان به دو دسته کلی تقسیم کرد
- Correlation Rules:
رول هایی که مبتنی بر یک یا چند نشانه یا در حالت پیچیده تر، توالی معناداری از نشانه ها هستند.
مثال:
- لاگین به چند سیستم در بازه زمانی کوتاه
- بلاک شدن یک ارتباط شبکه ای و (بعد از چند لحظه) دسترسی به وب سرور از همان مبدا ارتباطی
- Baseline Rules:
رول هایی که مبتنی بر مقایسه رفتارها و شناسایی ناهنجاری هستند. خروجی این رول ها غالبا شناسایی رفتارهای ناشناخته یا مشکوک و یا در بهترین حالت حملات Zero Day است.
مثال:
- مقایسه لاگین های انجام شده در دو روز گذشته با لاگین های دو ماه گذشته
♻️@Hypersec
به طور کلی، قوانین یا رول های تشخیص تهدیدات در یک محصول SIEM را میتوان به دو دسته کلی تقسیم کرد
- Correlation Rules:
رول هایی که مبتنی بر یک یا چند نشانه یا در حالت پیچیده تر، توالی معناداری از نشانه ها هستند.
مثال:
- لاگین به چند سیستم در بازه زمانی کوتاه
- بلاک شدن یک ارتباط شبکه ای و (بعد از چند لحظه) دسترسی به وب سرور از همان مبدا ارتباطی
- Baseline Rules:
رول هایی که مبتنی بر مقایسه رفتارها و شناسایی ناهنجاری هستند. خروجی این رول ها غالبا شناسایی رفتارهای ناشناخته یا مشکوک و یا در بهترین حالت حملات Zero Day است.
مثال:
- مقایسه لاگین های انجام شده در دو روز گذشته با لاگین های دو ماه گذشته
♻️@Hypersec
Hypersec
✍️بررسی حمله MysterySnail در اوایل سپتامبر امسال، حملاتی بر روی برخی سرورهای ویندوزی شناسایی شد که شامل اکسپلویتی جهت ارتقاء سطح دسترسی بود. این اکسپلویت، دارای نشانههایی از یک اکسپلویت قدیمیتر و شناخته شده برای عموم بود که از آسیبپذیری با شناسه CVE-2016…
✍رول های شناسایی حمله MysterySnail
با توجه به حمله MysterySnail که در پست قبلی شرح داده شد، تیم سورین، سه رول مختلف جهت شناسایی این حمله را آماده کرده است. این رول ها که مبتنی بر پلتفرم اسپلانک هستند، عبارتند از:
index=YourIndexName sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=13 TargetObject="*Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyServer"
| stats values(Image),values(Details),values(action) by host
با توجه به نشانه هایی که این حمله بر روی رجیستری ویندوز برجای میگذارد، با کمک رول فوق، که مبتنی بر لاگ Sysmon نوشته شده، میتوانیم آنرا شناسایی کنیم.
index= YourIndexName sourcetype="stream:dns" message_type=QUERY query IN ("disktest.com", "runblerx.com", "ddspadus.com")
| table src,query
از دیگر روش هایی که میتوان این حمله را شناسایی کرد، درخواست هایی است که از سیستم یا شبکه قربانی به دامنه های مختلف ارسال می شود . با استفاده از رول اسپلانک فوق، میتوان درخواست های ارسال شده به دامنه های مخرب را شناسایی کرد.
index= YourIndexName sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"
| regex _raw=("b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e | ecdec44d3ce31532d9831b139ea04bf48cde9090 | e2f2d2832da0facbd716d6ad298073ca")
سومین روش شناسایی حمله MysterySnail، بررسی هش هایی است که بدافزار مربوطه تولید میکند که با کمک رول بالا میتوانیم آنرا در اسپلانک شناسایی کنیم.
#MysterySnail
♻@Hypersec
با توجه به حمله MysterySnail که در پست قبلی شرح داده شد، تیم سورین، سه رول مختلف جهت شناسایی این حمله را آماده کرده است. این رول ها که مبتنی بر پلتفرم اسپلانک هستند، عبارتند از:
index=YourIndexName sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=13 TargetObject="*Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyServer"
| stats values(Image),values(Details),values(action) by host
با توجه به نشانه هایی که این حمله بر روی رجیستری ویندوز برجای میگذارد، با کمک رول فوق، که مبتنی بر لاگ Sysmon نوشته شده، میتوانیم آنرا شناسایی کنیم.
index= YourIndexName sourcetype="stream:dns" message_type=QUERY query IN ("disktest.com", "runblerx.com", "ddspadus.com")
| table src,query
از دیگر روش هایی که میتوان این حمله را شناسایی کرد، درخواست هایی است که از سیستم یا شبکه قربانی به دامنه های مختلف ارسال می شود . با استفاده از رول اسپلانک فوق، میتوان درخواست های ارسال شده به دامنه های مخرب را شناسایی کرد.
index= YourIndexName sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"
| regex _raw=("b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e | ecdec44d3ce31532d9831b139ea04bf48cde9090 | e2f2d2832da0facbd716d6ad298073ca")
سومین روش شناسایی حمله MysterySnail، بررسی هش هایی است که بدافزار مربوطه تولید میکند که با کمک رول بالا میتوانیم آنرا در اسپلانک شناسایی کنیم.
#MysterySnail
♻@Hypersec
✍️جداسازی شبکه داخلی از اینترنت یا آگاهی رسانی امنیتی؟
اخیرا سازمان های مختلف کشور، هدف حملات سایبری مختلفی قرار گرفته اند. حملاتی که بعضا به خارج از کشور نسبت داده می شود. این درحالی است که شبکه سازمان های هدف قرار گرفته، عمدتا از اینترنت جدا بوده و طبق ادعاهای مطرح شده هیچگونه ارتباطی با شبکه اینترنت وجود نداشته است. سوال اینجاست که چگونه با وجود این تدابیر امنیتی، باز هم سازمان های کشور ما دچار حملاتی خسارت بار می شوند.
شاید پاسخ به این سوال، در ناآگاهی کاربران سازمان نهفته باشد. عدم آگاهی نسبت به مخاطرات امنیتی که منجر به خسارات بعضا جبران ناپذیری شده است. راه حل این معضل را می توان در واژه ای به نام Security Awareness جستجو کرد.
بر اساس تعریف، آگاهی رسانی امنیتی یا به عبارتی Security Awareness، ارایه آگاهی به کاربران و کارمندان در خصوص مخاطرات امنیتی رایج جهت ترفیع سطح امنیتی یک سازمان است.
آگاهی رسانی امنیتی یک سرمایه گذاری کوچک جهت کاهش ریسک های بزرگ است.
بر اساس پژوهش های انجام شده:
• 91درصد از پاسخ دهندگان، از آگاهی رسانی امنیتی در راستای کاهش مخاطرات سایبری کارمندان و کاربران استفاده می کنند.
• 64 درصد از آن برای تغییر رفتار کاربر استفاده می کنند
• 61 درصد از آن برای رسیدگی به الزامات نظارتی استفاده می کنند
• 55 درصد از آن برای رعایت سیاست های داخلی استفاده می کنند.
#Security_Awareness
♻️@Hypersec
اخیرا سازمان های مختلف کشور، هدف حملات سایبری مختلفی قرار گرفته اند. حملاتی که بعضا به خارج از کشور نسبت داده می شود. این درحالی است که شبکه سازمان های هدف قرار گرفته، عمدتا از اینترنت جدا بوده و طبق ادعاهای مطرح شده هیچگونه ارتباطی با شبکه اینترنت وجود نداشته است. سوال اینجاست که چگونه با وجود این تدابیر امنیتی، باز هم سازمان های کشور ما دچار حملاتی خسارت بار می شوند.
شاید پاسخ به این سوال، در ناآگاهی کاربران سازمان نهفته باشد. عدم آگاهی نسبت به مخاطرات امنیتی که منجر به خسارات بعضا جبران ناپذیری شده است. راه حل این معضل را می توان در واژه ای به نام Security Awareness جستجو کرد.
بر اساس تعریف، آگاهی رسانی امنیتی یا به عبارتی Security Awareness، ارایه آگاهی به کاربران و کارمندان در خصوص مخاطرات امنیتی رایج جهت ترفیع سطح امنیتی یک سازمان است.
آگاهی رسانی امنیتی یک سرمایه گذاری کوچک جهت کاهش ریسک های بزرگ است.
بر اساس پژوهش های انجام شده:
• 91درصد از پاسخ دهندگان، از آگاهی رسانی امنیتی در راستای کاهش مخاطرات سایبری کارمندان و کاربران استفاده می کنند.
• 64 درصد از آن برای تغییر رفتار کاربر استفاده می کنند
• 61 درصد از آن برای رسیدگی به الزامات نظارتی استفاده می کنند
• 55 درصد از آن برای رعایت سیاست های داخلی استفاده می کنند.
#Security_Awareness
♻️@Hypersec
✍️ بیش از ۸۰ مورد Rule اسپلانک
در این پروژه گیت هاب، بیش از ۸۰ رول اسپلانک جهت تشخیص تهدیدات سطح شبکه و سیستم قرار گرفته است.
https://0xcybery.github.io/blog/Splunk+Use+Cases
@hypersec
در این پروژه گیت هاب، بیش از ۸۰ رول اسپلانک جهت تشخیص تهدیدات سطح شبکه و سیستم قرار گرفته است.
https://0xcybery.github.io/blog/Splunk+Use+Cases
@hypersec
0xcybery.github.io
Splunk Use Cases
More than 80 Use Cases for Splunk.
✍️معرفی برخی از مهمترین اپلیکیشن های امنیتی Splunk
Splunk Enterprise Security (ES)
این اپ طیف وسیعی از کاربردهای امنیتی نظیر نظارت مستمر امنیتی، تشخیص تهدیدات پیشرفته، بررسی میزان انطباق (Compliance Checking)، فارنزیک و پاسخ به حادثه را پوشش می دهد. بر این اساس، با استفاده از این اپ می توان به اشراف کاملی از وضعیت امنیت شبکه سازمان دست یافت.
Threat Hunting
این اپ حاوی چندین داشبورد و گزارش از نتیجه عملیات شکار تهدیدات است که به بررسی نشانه های مختلف تهدیدات پرداخته و روند انجام آن را تسهیل می کند.
Splunk Phantom
محصول Phantom که یک راهکار SOAR به شمار می آید، به تیمهای IT این امکان را میدهد تا فرآیند پاسخ به حوادث را تعریف، استانداردسازی و خودکارسازی کنند. به طور کلی، راهکارهای SOAR، تیمها را قادر میسازند تا با جمعآوری اطلاعات ارزشمند امنیتی، تهدیدات و آسیبپذیریهای موجود و بالقوه را از منابع مختلف شناسایی، تحلیل و بررسی کنند. در نتیجهی ارائه این قابلیتها، سازمان، توانایی پاسخ پیوسته، کارآمد و سریعتری را به حوادث امنیتی پیدا میکند.
Splunk Security Essential
اپ Splunk Security Essential یکی از اپ های رایگان اسپلانک است که به کاربر کمک میکند تا گزارشات و جستجوهای امنیتی متناسب با محیط خود را بیابد، نحوه کار آنها را بیاموزد و از آنها استفاده کند. Splunk Security Essentials حاوی بیش از 12 عدد Correlation Search است که به چارچوب Kill Chain و MITER ATT&CK نگاشت شده است.
#Splunk
@Hypersec
Splunk Enterprise Security (ES)
این اپ طیف وسیعی از کاربردهای امنیتی نظیر نظارت مستمر امنیتی، تشخیص تهدیدات پیشرفته، بررسی میزان انطباق (Compliance Checking)، فارنزیک و پاسخ به حادثه را پوشش می دهد. بر این اساس، با استفاده از این اپ می توان به اشراف کاملی از وضعیت امنیت شبکه سازمان دست یافت.
Threat Hunting
این اپ حاوی چندین داشبورد و گزارش از نتیجه عملیات شکار تهدیدات است که به بررسی نشانه های مختلف تهدیدات پرداخته و روند انجام آن را تسهیل می کند.
Splunk Phantom
محصول Phantom که یک راهکار SOAR به شمار می آید، به تیمهای IT این امکان را میدهد تا فرآیند پاسخ به حوادث را تعریف، استانداردسازی و خودکارسازی کنند. به طور کلی، راهکارهای SOAR، تیمها را قادر میسازند تا با جمعآوری اطلاعات ارزشمند امنیتی، تهدیدات و آسیبپذیریهای موجود و بالقوه را از منابع مختلف شناسایی، تحلیل و بررسی کنند. در نتیجهی ارائه این قابلیتها، سازمان، توانایی پاسخ پیوسته، کارآمد و سریعتری را به حوادث امنیتی پیدا میکند.
Splunk Security Essential
اپ Splunk Security Essential یکی از اپ های رایگان اسپلانک است که به کاربر کمک میکند تا گزارشات و جستجوهای امنیتی متناسب با محیط خود را بیابد، نحوه کار آنها را بیاموزد و از آنها استفاده کند. Splunk Security Essentials حاوی بیش از 12 عدد Correlation Search است که به چارچوب Kill Chain و MITER ATT&CK نگاشت شده است.
#Splunk
@Hypersec
👍1
✍️اپلیکیشن UBA – راهکاری کارآمد برای شناسایی تهدیدات داخلی (Insider Threats)
اپلیکیشن Splunk User Behavior Analytics یا Splunk Behavior Analytics که به اختصار، UBA نامیده میشود، راهکاری مبتنی بر Machine Learning است که به سازمانها کمک میکند تا بتوانند تهدیدات ناشناخته و رفتارهای ناهنجار کاربران، سیستمها و برنامههای کاربردی را شناسایی کنند. در بیانی ساده میتوان گفت، UBA با هدف شناسایی تهدیدات داخلی (Insider Threats) توسعه داده شده و در همین راستا میتواند رفتارهای مخربی نظیر موارد ذیل را به خوبی شناسایی کند.
- سوء استفاده از Privileged Accountها
- ارتقاء سطح دسترسی
- سرقت و استخراج دادههای حیاتی سازمان
- رفتارهای ناهنجار از قبیل دسترسی به دامین های خارجی، دسترسی از راه دور به داراییهای پراهمیت، زمان غیرعادی ورود به سیستم
و ...
این اپلیکیشن ارزشمند و البته گران قیمت، به طور کلی قابلیتهای زیر را ارائه میدهد:
1. اشراف بیشتر روی کاربران و موجودیتهای داخلی سازمان
تشخیص تهدیدات، به صورت خودکار با استفاده از یادگیری ماشینی، این قابلیت را به ارمغان میآورد که بتوان زمان بیشتری را برای شکار تهدیدات پیشرفتهتر و دارای درجه اهمیت بیشتر با هدف بررسی و حل سریع اختصاص داد.
2. کاهش نیاز به تحلیلگران امنیتی
UBA به سازمانها کمک میکند تا بدون نیاز به دانش تحلیلگران امنیتی، شناسایی سریعی از رفتارهای ناهنجار، سازمان داشته باشند. این ابزار دارای یک مجموعه با ارزش شامل بیش از 65 نوع رفتار ناهنجار و بیش از 25 دستهبندی مختلف از تهدیدات مرتبط با حسابهای کاربری، تجهیزات و
برنامههاست.
3. قابلیت ترکیب کارآمد با اپلیکیشن Enterprise Security
سازمانها با ترکیب این دو App و بهرهگیری از قدرت راهکارهای مبتنی بر یادگیری ماشین و توانمندی نیروی انسانی به صورت ترکیبی، در شناسایی تهدیدات مختلف، بسیار موفقتر خواهند بود.
#Splunk
#UBA
♻️@Hypersec
اپلیکیشن Splunk User Behavior Analytics یا Splunk Behavior Analytics که به اختصار، UBA نامیده میشود، راهکاری مبتنی بر Machine Learning است که به سازمانها کمک میکند تا بتوانند تهدیدات ناشناخته و رفتارهای ناهنجار کاربران، سیستمها و برنامههای کاربردی را شناسایی کنند. در بیانی ساده میتوان گفت، UBA با هدف شناسایی تهدیدات داخلی (Insider Threats) توسعه داده شده و در همین راستا میتواند رفتارهای مخربی نظیر موارد ذیل را به خوبی شناسایی کند.
- سوء استفاده از Privileged Accountها
- ارتقاء سطح دسترسی
- سرقت و استخراج دادههای حیاتی سازمان
- رفتارهای ناهنجار از قبیل دسترسی به دامین های خارجی، دسترسی از راه دور به داراییهای پراهمیت، زمان غیرعادی ورود به سیستم
و ...
این اپلیکیشن ارزشمند و البته گران قیمت، به طور کلی قابلیتهای زیر را ارائه میدهد:
1. اشراف بیشتر روی کاربران و موجودیتهای داخلی سازمان
تشخیص تهدیدات، به صورت خودکار با استفاده از یادگیری ماشینی، این قابلیت را به ارمغان میآورد که بتوان زمان بیشتری را برای شکار تهدیدات پیشرفتهتر و دارای درجه اهمیت بیشتر با هدف بررسی و حل سریع اختصاص داد.
2. کاهش نیاز به تحلیلگران امنیتی
UBA به سازمانها کمک میکند تا بدون نیاز به دانش تحلیلگران امنیتی، شناسایی سریعی از رفتارهای ناهنجار، سازمان داشته باشند. این ابزار دارای یک مجموعه با ارزش شامل بیش از 65 نوع رفتار ناهنجار و بیش از 25 دستهبندی مختلف از تهدیدات مرتبط با حسابهای کاربری، تجهیزات و
برنامههاست.
3. قابلیت ترکیب کارآمد با اپلیکیشن Enterprise Security
سازمانها با ترکیب این دو App و بهرهگیری از قدرت راهکارهای مبتنی بر یادگیری ماشین و توانمندی نیروی انسانی به صورت ترکیبی، در شناسایی تهدیدات مختلف، بسیار موفقتر خواهند بود.
#Splunk
#UBA
♻️@Hypersec
✍️یکپارچه سازی Wazuh و Splunk
پلتفرم Wazuh جهت مانیتور کردن هشدارهای خود در Splunk، اپلیکیشنی مخصوص عرضه کرده است. این اپلیکیشن به کاربران کمک میکند تا با نظارت بر بخش های مختلف اعم از سیستم عامل، برنامه ها و ...، اشراف بیشتری را نسبت به وضعیت امنیتی زیرساخت خود، حاصل کنند.
در ادامهی این مقاله که در وبسایت سورین آمده است، میتوانید نحوه نصب و یکپارچه سازی Wazuh و Splunk را مطالعه نمایید.
https://soorinsec.ir/2021/12/20/%d9%86%d8%b5%d8%a8-wazuh-%d8%af%d8%b1-splunk/
#Splunk
#Wazuh
♻️@Hypersec
پلتفرم Wazuh جهت مانیتور کردن هشدارهای خود در Splunk، اپلیکیشنی مخصوص عرضه کرده است. این اپلیکیشن به کاربران کمک میکند تا با نظارت بر بخش های مختلف اعم از سیستم عامل، برنامه ها و ...، اشراف بیشتری را نسبت به وضعیت امنیتی زیرساخت خود، حاصل کنند.
در ادامهی این مقاله که در وبسایت سورین آمده است، میتوانید نحوه نصب و یکپارچه سازی Wazuh و Splunk را مطالعه نمایید.
https://soorinsec.ir/2021/12/20/%d9%86%d8%b5%d8%a8-wazuh-%d8%af%d8%b1-splunk/
#Splunk
#Wazuh
♻️@Hypersec
فناوری راه نو سورین
یکپارچه سازی Wazuh و Splunk - نحوه نصب wazuh در Splunk - فناوری راه نو سورین
نصب Wazuh در Splunk - یکپارچه سازی Wazuh و Splunk - نحوه نصب wazuh در Splunk - فناوری راه نو سورین - آموزشی
✍️معرفی اجمالی تیم CSIRT
با توجه به اینکه تعداد تهدیدات سایبری روزانه افزایش مییابد، اهمیت وجود یک تیم امنیتی که صرفاً بر واکنش به حادثه(Incident Response(IR)) متمرکز باشد، بسیار اساسی است.. CSIRT(Computer Security Incident Response Team) گروهی است از افراد متخصص که به حوادث امنیتی در صورت وقوع، واکنش نشان میدهد. مسئولیتهای کلیدی CSIRT عبارتند از:
- ایجاد یک برنامه به منظور واکنش به حادثه (Incident Response Plan (IRP))
- بررسی و تجزیهوتحلیل حوادث
- مدیریت ارتباطات داخلی و بهروزرسانی آنی آن، بلافاصله پس از رخداد حادثه یا در حین آن
- ایجاد ارتباط با کارکنان، سهامداران، مشتریان و مطبوعات در مورد حوادث در صورت لزوم
- اصلاح حوادث
- ارائه پیشنهاد در راستای تغییرات تکنولوژی، سیاستهای سازمان و آموزش به افراد سازمان پس از حوادث امنیتی
معمولا یک تیم واکنش به حادثه از سه بخش مجزا تشکیل شده است:
- CSIRT
- کارشناس یا مشاور روابطعمومی
- کارشناس یا مشاور حقوقی
بهطورکلی، یک CSIRT دادههای حادثه را تجزیهوتحلیل میکند، مشاهدات را موردبحث قرار میدهد و اطلاعات را در تمام قسمتهای سازمان به اشتراک میگذارد. همچنین ممکن است برخی از این مسئولیتها با سایر سازمانها به اشتراک گذاشته شود.
#CSIRT #Soorin
🌐 www.soorinsec.ir
♻️@Hypersec
با توجه به اینکه تعداد تهدیدات سایبری روزانه افزایش مییابد، اهمیت وجود یک تیم امنیتی که صرفاً بر واکنش به حادثه(Incident Response(IR)) متمرکز باشد، بسیار اساسی است.. CSIRT(Computer Security Incident Response Team) گروهی است از افراد متخصص که به حوادث امنیتی در صورت وقوع، واکنش نشان میدهد. مسئولیتهای کلیدی CSIRT عبارتند از:
- ایجاد یک برنامه به منظور واکنش به حادثه (Incident Response Plan (IRP))
- بررسی و تجزیهوتحلیل حوادث
- مدیریت ارتباطات داخلی و بهروزرسانی آنی آن، بلافاصله پس از رخداد حادثه یا در حین آن
- ایجاد ارتباط با کارکنان، سهامداران، مشتریان و مطبوعات در مورد حوادث در صورت لزوم
- اصلاح حوادث
- ارائه پیشنهاد در راستای تغییرات تکنولوژی، سیاستهای سازمان و آموزش به افراد سازمان پس از حوادث امنیتی
معمولا یک تیم واکنش به حادثه از سه بخش مجزا تشکیل شده است:
- CSIRT
- کارشناس یا مشاور روابطعمومی
- کارشناس یا مشاور حقوقی
بهطورکلی، یک CSIRT دادههای حادثه را تجزیهوتحلیل میکند، مشاهدات را موردبحث قرار میدهد و اطلاعات را در تمام قسمتهای سازمان به اشتراک میگذارد. همچنین ممکن است برخی از این مسئولیتها با سایر سازمانها به اشتراک گذاشته شود.
#CSIRT #Soorin
🌐 www.soorinsec.ir
♻️@Hypersec
✍️وبينار مروري بر وضعيت و عوامل موفقيت SOC
لينك ثبت نام:
Https://evand.com/events/soorin-soc
♻️@Hypersec
لينك ثبت نام:
Https://evand.com/events/soorin-soc
♻️@Hypersec
Forwarded from Ahmadreza
SOC webinar-V2.pdf
2.2 MB
سورين برگزار ميكند
✍️وبينار رايگان مقايسه Splunk و ELK
(همراه با آزمون و ارائه گواهي)
لينك ثبت نام:
https://lnkd.in/dBYWchuk
♻️@Hypersec
🌐www.soorinsec.ir
✍️وبينار رايگان مقايسه Splunk و ELK
(همراه با آزمون و ارائه گواهي)
لينك ثبت نام:
https://lnkd.in/dBYWchuk
♻️@Hypersec
🌐www.soorinsec.ir
✍️پروژه Attack_Range
بررسی روزانه حملات سایبری و توسعه و ایجاد رول های شناسایی مرتبط با آن، یکی از وظایف اصلی هر مرکز عملیات امنیت میباشد.
این مهم، مستلزم داشتن یک آزمایشگاه مجهز است به شکلی که بتوان فرآیند آنالیز و تجزیه و تحلیل حملات و همچنین انطباق آنها با مدلهای مرجعی مانند MITRE ATT&CK را به صورت موثر و کارآمد انجام داد.
پروژههای متعددی به منظور ارائه این دسته از خدمات، به وجود آمدهاند که در این میان میتوان به Attack Range Local اشاره کرد.
در حقیقت Attack Range یک پلتفرم توسعه رولهای شناسایی است که سعی میکند سه چالش اصلی در این فرآیند را تسهیل کند:
1. کاربر می تواند به سرعت یک زیرساخت آزمایشگاهی کوچک را در کنار محیط عملیاتی خود داشته باشد.
2. فرآیند شبیه سازی حملات را با استفاده از ابزارهای مختلفی مانند Atomic Red Team یا Caldera به منظور تولید دادههای موردنیاز، انجام دهد.
3. فرآیند تست قوانین شناسایی را از طریق یکپارچهسازی با Pipelineهای CI/CD به صورت خودکار، انجام دهد.
این پروژه متشکل از ماشین های زیر می باشد که که به صورت یکپارچه با هم در ارتباط اند.
• Windows Domain Controller
• Windows Server
• Windows Workstation
• A Kali Machine
• Splunk Server
• Phantom Server
• Caldera Server
#Attack_Range #Laboratory
♻️@Hypersec
بررسی روزانه حملات سایبری و توسعه و ایجاد رول های شناسایی مرتبط با آن، یکی از وظایف اصلی هر مرکز عملیات امنیت میباشد.
این مهم، مستلزم داشتن یک آزمایشگاه مجهز است به شکلی که بتوان فرآیند آنالیز و تجزیه و تحلیل حملات و همچنین انطباق آنها با مدلهای مرجعی مانند MITRE ATT&CK را به صورت موثر و کارآمد انجام داد.
پروژههای متعددی به منظور ارائه این دسته از خدمات، به وجود آمدهاند که در این میان میتوان به Attack Range Local اشاره کرد.
در حقیقت Attack Range یک پلتفرم توسعه رولهای شناسایی است که سعی میکند سه چالش اصلی در این فرآیند را تسهیل کند:
1. کاربر می تواند به سرعت یک زیرساخت آزمایشگاهی کوچک را در کنار محیط عملیاتی خود داشته باشد.
2. فرآیند شبیه سازی حملات را با استفاده از ابزارهای مختلفی مانند Atomic Red Team یا Caldera به منظور تولید دادههای موردنیاز، انجام دهد.
3. فرآیند تست قوانین شناسایی را از طریق یکپارچهسازی با Pipelineهای CI/CD به صورت خودکار، انجام دهد.
این پروژه متشکل از ماشین های زیر می باشد که که به صورت یکپارچه با هم در ارتباط اند.
• Windows Domain Controller
• Windows Server
• Windows Workstation
• A Kali Machine
• Splunk Server
• Phantom Server
• Caldera Server
#Attack_Range #Laboratory
♻️@Hypersec