Why is the ATT&CK Matrix Important?
Cybersecurity is a “game of inches” and every inch covered has proved to be no small feat for network defenders. As adversaries evolve their tactics and techniques, the security community works tirelessly to evolve their detection and remediation methods to bring their organizations and the community one step closer to closing the gap faced when battling these elusive actors.
One of the detection and remediation methods that has gained a lot of momentum is Cyber Threat Intelligence (CTI). Since its conception, some of the mysticism surrounding its definition and applicable use has begun to reveal itself. However, as with any new school of thought, there is still a lot of knowledge to be gained and work to be done.
The traditional approach to CTI has proven to be a cumbersome process. The ways and means of collecting threat intelligence data is oftentimes delivered through thorough reporting efforts which can leave analysts scrambling to extract meaningful information, and in turn, they must also be able to apply this information in a manner that proves to be an effective means of defense.
Other unforeseen obstacles organizations face are the overwhelming number of indicators these reports produce. These indicators, more times than not, provide a little context and must be vetted before they can be consumed. This can be a daunting process which if not done correctly, can contaminate an organization’s intelligence data causing an even greater increase of false positives than are already being observed. To make matters worse, even if the above-mentioned obstacles are overcome, these indicators are constantly evolving creating stale data in their wake which must be continuously reviewed and re-prioritized.
Now that we have stated some of the obvious issues, what can be done about it? That is where the ATT&CK Matrix comes in. ATT&CK provides structure to this chaos by allowing analysts and network defenders to gather greater context around adversary groups, how they compare to other groups, and what TTPs they are using. This invaluable information will help organizations begin to gain value from their threat intelligence while remaining sane in the process.
Cybersecurity is a “game of inches” and every inch covered has proved to be no small feat for network defenders. As adversaries evolve their tactics and techniques, the security community works tirelessly to evolve their detection and remediation methods to bring their organizations and the community one step closer to closing the gap faced when battling these elusive actors.
One of the detection and remediation methods that has gained a lot of momentum is Cyber Threat Intelligence (CTI). Since its conception, some of the mysticism surrounding its definition and applicable use has begun to reveal itself. However, as with any new school of thought, there is still a lot of knowledge to be gained and work to be done.
The traditional approach to CTI has proven to be a cumbersome process. The ways and means of collecting threat intelligence data is oftentimes delivered through thorough reporting efforts which can leave analysts scrambling to extract meaningful information, and in turn, they must also be able to apply this information in a manner that proves to be an effective means of defense.
Other unforeseen obstacles organizations face are the overwhelming number of indicators these reports produce. These indicators, more times than not, provide a little context and must be vetted before they can be consumed. This can be a daunting process which if not done correctly, can contaminate an organization’s intelligence data causing an even greater increase of false positives than are already being observed. To make matters worse, even if the above-mentioned obstacles are overcome, these indicators are constantly evolving creating stale data in their wake which must be continuously reviewed and re-prioritized.
Now that we have stated some of the obvious issues, what can be done about it? That is where the ATT&CK Matrix comes in. ATT&CK provides structure to this chaos by allowing analysts and network defenders to gather greater context around adversary groups, how they compare to other groups, and what TTPs they are using. This invaluable information will help organizations begin to gain value from their threat intelligence while remaining sane in the process.
SOC or MSSP?!!
Below are the most important advantages of a SOC as comapred to an MSSP:
Below are the most important advantages of a SOC as comapred to an MSSP:
What is an Incident Response Playbook?
A playbook is defined as a set of rules, describing at least one action to be executed with input data and triggered by one or more events. It is a critical component of cybersecurity—especially in relation to security automation and orchestration (SAO). It’s meant to represent a basic security process in a generalized way that can be used across a variety of organizations.
A playbook is defined as a set of rules, describing at least one action to be executed with input data and triggered by one or more events. It is a critical component of cybersecurity—especially in relation to security automation and orchestration (SAO). It’s meant to represent a basic security process in a generalized way that can be used across a variety of organizations.
Incident Response Playbook Example
The following is an example of a phishing playbook that an organization may utilize:
The following is an example of a phishing playbook that an organization may utilize:
مراحل آلوده سازی سیستم ها توسط باج افزارها (Ransomeware Kill Chain) و راهکارهای مقابله✍
۱. غالبا باج افزارها با یکی از روش های زیر وارد سیستم قربانی می شوند:
– ضمیمه یا لینک وبی مخرب در یک ایمیل فیشینگ
راهکار مقابله: مسدود کردن ایمیل های ورودی روی سرور SMTP، حذف ایمیل ها از Inbox کاربران و اطلاع رسانی به کاربر نسبت به بازنکردن لینک ها و ضمیمه هایی با الگوهای مشخص
– انتشار باج افزار از طریق صفحات وب مخرب (صفحاتی که کاربر با مرور و دانلود از آنها آلوده به باج افزار می شود – این تکنیک به Malvertizing شهرت دارد)
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)
– تکنیک Drive-by Download
در این روش برنامه های مخرب نظیر آنتی ویروس های جعلی کاربر را مجاب به دانلود فایل (در واقع دانلود باج افزار) می کنند.
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)، نوشتن Rule های سفارشی جهت مسدود کردن دانلود فایل های مشخص و مشکوک
۲. پیلود ( Payload ) روی سیستم قربانی اجرا شده و باج افزار نصب می شود
راهکار مقابله: ایجاد Whitelist از برنامه های قابل نصب روی سیستم کاربر، شناسایی سیستم هایی که فایل های مشخص (یا با الگوی مشخص) را دانلود کرده اند (اینکار با استفاده از تحلیل لاگ های HIDS میسر می شود)
۳. باج افزار نصب شده یک زوج کلید رمزگذاری و رمزگشایی تولید می کند.
۴. باج افزار با سرور کنترل و فرمان مربوطه ( C&C Server ) ارتباط برقرار می کند تا بدین طریق کلید رمزگشایی را به سرور مذکور ارسال کند
راهکار مقابله: شناسایی و مسدود کردن الگوهای ترافیکی غیرعادی (الگوهایی که تا به حال مشاهده نشده) روی NIDS و سرور پراکسی
۵. باج افزار با استفاده از کلید رمزگذاری مربوطه، اقدام به رمز کردن فایل های قربانی روی هارد دیسک می کند.
راهکار تشخیص: مانیتور کردن سیستم کاربران و فایل های اشتراکی با هدف یافتن پسوندهای مشکوک نظیر .abc، .xxx و …
۶. پس از اتمام عملیات مخرب باج افزار، فایل ها از دسترس خارج می شوند. باج افزار فایلی متنی را در دسکتاپ یا مسیرهای دلخواه قرار می دهد که در آن دستور العمل پرداخت و بازیابی فایل های اصلی ذکر شده است.
راهکار تشخیص: مانیتور کردن سیستم کاربر با هدف یافتن فایل های متنی مرتبط با باج افزار یا فایل های HTML روی دسکتاپ کاربر
http://www.hypersec.ir/?p=652🌎
@hypersec
t.me/hypersec
۱. غالبا باج افزارها با یکی از روش های زیر وارد سیستم قربانی می شوند:
– ضمیمه یا لینک وبی مخرب در یک ایمیل فیشینگ
راهکار مقابله: مسدود کردن ایمیل های ورودی روی سرور SMTP، حذف ایمیل ها از Inbox کاربران و اطلاع رسانی به کاربر نسبت به بازنکردن لینک ها و ضمیمه هایی با الگوهای مشخص
– انتشار باج افزار از طریق صفحات وب مخرب (صفحاتی که کاربر با مرور و دانلود از آنها آلوده به باج افزار می شود – این تکنیک به Malvertizing شهرت دارد)
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)
– تکنیک Drive-by Download
در این روش برنامه های مخرب نظیر آنتی ویروس های جعلی کاربر را مجاب به دانلود فایل (در واقع دانلود باج افزار) می کنند.
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)، نوشتن Rule های سفارشی جهت مسدود کردن دانلود فایل های مشخص و مشکوک
۲. پیلود ( Payload ) روی سیستم قربانی اجرا شده و باج افزار نصب می شود
راهکار مقابله: ایجاد Whitelist از برنامه های قابل نصب روی سیستم کاربر، شناسایی سیستم هایی که فایل های مشخص (یا با الگوی مشخص) را دانلود کرده اند (اینکار با استفاده از تحلیل لاگ های HIDS میسر می شود)
۳. باج افزار نصب شده یک زوج کلید رمزگذاری و رمزگشایی تولید می کند.
۴. باج افزار با سرور کنترل و فرمان مربوطه ( C&C Server ) ارتباط برقرار می کند تا بدین طریق کلید رمزگشایی را به سرور مذکور ارسال کند
راهکار مقابله: شناسایی و مسدود کردن الگوهای ترافیکی غیرعادی (الگوهایی که تا به حال مشاهده نشده) روی NIDS و سرور پراکسی
۵. باج افزار با استفاده از کلید رمزگذاری مربوطه، اقدام به رمز کردن فایل های قربانی روی هارد دیسک می کند.
راهکار تشخیص: مانیتور کردن سیستم کاربران و فایل های اشتراکی با هدف یافتن پسوندهای مشکوک نظیر .abc، .xxx و …
۶. پس از اتمام عملیات مخرب باج افزار، فایل ها از دسترس خارج می شوند. باج افزار فایلی متنی را در دسکتاپ یا مسیرهای دلخواه قرار می دهد که در آن دستور العمل پرداخت و بازیابی فایل های اصلی ذکر شده است.
راهکار تشخیص: مانیتور کردن سیستم کاربر با هدف یافتن فایل های متنی مرتبط با باج افزار یا فایل های HTML روی دسکتاپ کاربر
http://www.hypersec.ir/?p=652🌎
@hypersec
t.me/hypersec
ترفندهای ساده برای شکار تهدیدات (بخش اول)✍
فرض کنید یکی از اعضای تیم تحلیلگر تهدیدات در سازمان (گاهاً تیم آبی نیز خوانده میشود) هستید و سازمان بودجه و افراد کافی برای شکار تهدیدات در اختیار ندارد؛ با این فرضیه و همچنین با دراختیار داشتن لاگ پراکسی سرور سازمان میتوانید به راحتی با استفاده از الگوهایی مشخص اقدام به شکار تهدیدات سایبری نمایید.
ترفند اول
بهعنوان نمونه، مهاجم از طریق یکی از آسیبپذیریهای وردپرس اقدام به آپلود فایلهای مخرب روی سرور وب سازمان میکند.
بهراحتی با استفاده از یک الگوی رجکس (Regular Expression) مانند زیر، میتوانید در لاگهای موجود این مورد را بررسی کنید.
/wp-(includes|admin|content)/.*.(exe|dll|scr)
به این ترتیب میتوان فایلهای مخربی را که روی مسیرهای مشکوکی نظیر مسیر زیر بارگذاری شده است را شناسایی کرد.
http://www.example.com/wp-content/uploads/2015/06/malicious.exe
میتوان از رجکسی مشابه رجکس فوق برای CMS هایی نظیر جوملا، دراپال و غیره نیز استفاده کرد.
ترفند دوم
باج افزارها امروزه به یکی از تهدیدات رایج و بعضا خسارتبار در سازمان ها تبدیل شده است. بسیاری از آنها در هنگام نصب اقدام به برقراری ارتباط با سرور C2 خود میکنند. این ارتباط از طرق مختلفی نظیر استفاده از پروتکل HTTP، سرویسهای Tor و … قابل انجام است.
با زدن یک رجکس بسیار ساده روی لاگهای پراکسی سرور موجود در سازمان میتوان چنین ارتباطات مخربی را شناسایی کرد.
به عنوان نمونه، جهت شناسایی ارتباطات TOR میتوان از رجکس ساده زیر استفاده کرد.
[a-z0–۹]{۱۶}.(onion|tor2web|torlink).
با استفاده از رجکس فوق، ارتباط با آدرسهایی نظیر آدرس زیر بهراحتی قابل شناسایی خواهد بود.
https://duskgytldkxiuqc6.onion.to/
http://www.hypersec.ir/?p=655🌎
@hypersec
t.me/hypersec
فرض کنید یکی از اعضای تیم تحلیلگر تهدیدات در سازمان (گاهاً تیم آبی نیز خوانده میشود) هستید و سازمان بودجه و افراد کافی برای شکار تهدیدات در اختیار ندارد؛ با این فرضیه و همچنین با دراختیار داشتن لاگ پراکسی سرور سازمان میتوانید به راحتی با استفاده از الگوهایی مشخص اقدام به شکار تهدیدات سایبری نمایید.
ترفند اول
بهعنوان نمونه، مهاجم از طریق یکی از آسیبپذیریهای وردپرس اقدام به آپلود فایلهای مخرب روی سرور وب سازمان میکند.
بهراحتی با استفاده از یک الگوی رجکس (Regular Expression) مانند زیر، میتوانید در لاگهای موجود این مورد را بررسی کنید.
/wp-(includes|admin|content)/.*.(exe|dll|scr)
به این ترتیب میتوان فایلهای مخربی را که روی مسیرهای مشکوکی نظیر مسیر زیر بارگذاری شده است را شناسایی کرد.
http://www.example.com/wp-content/uploads/2015/06/malicious.exe
میتوان از رجکسی مشابه رجکس فوق برای CMS هایی نظیر جوملا، دراپال و غیره نیز استفاده کرد.
ترفند دوم
باج افزارها امروزه به یکی از تهدیدات رایج و بعضا خسارتبار در سازمان ها تبدیل شده است. بسیاری از آنها در هنگام نصب اقدام به برقراری ارتباط با سرور C2 خود میکنند. این ارتباط از طرق مختلفی نظیر استفاده از پروتکل HTTP، سرویسهای Tor و … قابل انجام است.
با زدن یک رجکس بسیار ساده روی لاگهای پراکسی سرور موجود در سازمان میتوان چنین ارتباطات مخربی را شناسایی کرد.
به عنوان نمونه، جهت شناسایی ارتباطات TOR میتوان از رجکس ساده زیر استفاده کرد.
[a-z0–۹]{۱۶}.(onion|tor2web|torlink).
با استفاده از رجکس فوق، ارتباط با آدرسهایی نظیر آدرس زیر بهراحتی قابل شناسایی خواهد بود.
https://duskgytldkxiuqc6.onion.to/
http://www.hypersec.ir/?p=655🌎
@hypersec
t.me/hypersec
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
برخی منابع مفید در خصوص Open Source Threat Intelligence - OSINT
https://www.peerlyst.com/posts/blog-kim-kardashian-an-osint-cautionary-tale-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/so-you-wanna-osint-resources-and-reading-for-those-interested-in-osint-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/osint-framework-with-justin-nordine-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/how-are-you-using-osint-in-your-organization?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-osint-reconnaissance-ian-barwise-m-s-cissp-ceh-cnda?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-let-the-games-begin-infosectdk?trk=wall_page_activity_feed
https://www.peerlyst.com/posts/blog-kim-kardashian-an-osint-cautionary-tale-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/so-you-wanna-osint-resources-and-reading-for-those-interested-in-osint-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/osint-framework-with-justin-nordine-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/how-are-you-using-osint-in-your-organization?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-osint-reconnaissance-ian-barwise-m-s-cissp-ceh-cnda?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-let-the-games-begin-infosectdk?trk=wall_page_activity_feed
Peerlyst
[Blog] Kim Kardashian: An OSINT Cautionary Tale
KIM KARDASHIAN: AN OSINT CAUTIONARY TALE> As the name implies, this is based on my analysis of the sequence of events of Kim Kardashian's robbery in Paris, France. I have no insider information and my analysis hinges on what I have read from various
برخی ابزارهای مفید جهت جمع آوری و استفاده از Threat Intelligence
https://inteltechniques.com/
http://osintframework.com/
Recon-NG
Maltego
Datasploit
TinEye
Onion Scan
Imagga
PyimageSearch
Tinfoleak
OpenCV
hunch.ly
Have I been pwned?
Google Hacking Database on Exploit-DB
https://inteltechniques.com/
http://osintframework.com/
Recon-NG
Maltego
Datasploit
TinEye
Onion Scan
Imagga
PyimageSearch
Tinfoleak
OpenCV
hunch.ly
Have I been pwned?
Google Hacking Database on Exploit-DB
معرفی کتابی در خصوص راهکارهای نوین تشخیص تهدیدات سایبری
این کتاب که Intrusion Detection Guide نام دارد با همکاری جمعی از کارشناسان امنیت سایبری از کشورهای مختلف تالیف و آماده شده است.
امیدوارم این کتاب به ارتقای دانش در حوزه مذکور کمک کند.
لطفا در اشتراک گذاری این کتاب پیشقدم باشید.
زبان کتاب: انگلیسی
تعداد فصل: ۱۱
تعداد صفحه: ۱۳۹
قیمت: رایگان
سرفصل مطالب
فصل یک: مروری بر شکار تهدیدات سایبری
فصل دوم: مروری بر مفاهیم پاسخگویی به رخداد
فصل سوم: شکار تهدیدات با استفاده از لاگ های ویندوز
فصل چهارم: ایجاد تیم پاسخگویی به رخداد سایبری
فصل پنجم: روشهای حمله روی زیرساخت های کنترل صنعتی
فصل ششم: دفاع سایبری در شبکه های کننرل صنعتی
فصل هفتم: شکار Lateral Movement - نوشته شده توسط مهدی صیاد
فصل هشتم: شکار سوءاستفاده از PowerShell - نوشته شده توسط علی آهنگری
فصل نهم: بکارگیری یادگیری ماشین در شکار تهدیدات
فصل دهم: استانداردها و فریم ورک های تطابقی در امنیت سایبری
فصل یازدهم: راهنمای کسب تخصص در حوزه دیجیتال فارنزیک
این کتاب که Intrusion Detection Guide نام دارد با همکاری جمعی از کارشناسان امنیت سایبری از کشورهای مختلف تالیف و آماده شده است.
امیدوارم این کتاب به ارتقای دانش در حوزه مذکور کمک کند.
لطفا در اشتراک گذاری این کتاب پیشقدم باشید.
زبان کتاب: انگلیسی
تعداد فصل: ۱۱
تعداد صفحه: ۱۳۹
قیمت: رایگان
سرفصل مطالب
فصل یک: مروری بر شکار تهدیدات سایبری
فصل دوم: مروری بر مفاهیم پاسخگویی به رخداد
فصل سوم: شکار تهدیدات با استفاده از لاگ های ویندوز
فصل چهارم: ایجاد تیم پاسخگویی به رخداد سایبری
فصل پنجم: روشهای حمله روی زیرساخت های کنترل صنعتی
فصل ششم: دفاع سایبری در شبکه های کننرل صنعتی
فصل هفتم: شکار Lateral Movement - نوشته شده توسط مهدی صیاد
فصل هشتم: شکار سوءاستفاده از PowerShell - نوشته شده توسط علی آهنگری
فصل نهم: بکارگیری یادگیری ماشین در شکار تهدیدات
فصل دهم: استانداردها و فریم ورک های تطابقی در امنیت سایبری
فصل یازدهم: راهنمای کسب تخصص در حوزه دیجیتال فارنزیک
معرفی پلتفرم تحلیل تهدیدات و دادههای امنیتی - SOF-ELK
توضیح: SOF-ELK پلتفرم تحلیل بیگ دیتاست که با تمرکز روی تحلیل و بررسی تهدیدات و جرم شناسی (فارنزیک) طراحی شده است. مخاطبان این پلتفرم کارشناسان مرکز عملیات امنیت، تحلیلگران امنیتی و شکارچیان تهدید است. در حقیقت پلتفرم مذکور، ترکیبی از ElasticSearch، Logstash و Kibiana است که پروسه نصب زمان بر و طولانی ELK را ساده کرده و آن را در قالب یک ماشین مجازی آماده ارایه داده است.
این پلتفرم در ابتدا برای افرادی که دوره های FOR507 و SEC555 موسسه SANS را می گذرانند طراحی شد اما به تدریج برای سایر کاربران و مخاطبان نیز در دسترس قرار گرفت. می توانید پلتفرم
مذکور را از لینک زیر دانلود کرده و از آن استفاده کنید.
https://lnkd.in/gSF8dS6
توضیح: SOF-ELK پلتفرم تحلیل بیگ دیتاست که با تمرکز روی تحلیل و بررسی تهدیدات و جرم شناسی (فارنزیک) طراحی شده است. مخاطبان این پلتفرم کارشناسان مرکز عملیات امنیت، تحلیلگران امنیتی و شکارچیان تهدید است. در حقیقت پلتفرم مذکور، ترکیبی از ElasticSearch، Logstash و Kibiana است که پروسه نصب زمان بر و طولانی ELK را ساده کرده و آن را در قالب یک ماشین مجازی آماده ارایه داده است.
این پلتفرم در ابتدا برای افرادی که دوره های FOR507 و SEC555 موسسه SANS را می گذرانند طراحی شد اما به تدریج برای سایر کاربران و مخاطبان نیز در دسترس قرار گرفت. می توانید پلتفرم
مذکور را از لینک زیر دانلود کرده و از آن استفاده کنید.
https://lnkd.in/gSF8dS6
GitHub
philhagen/sof-elk
Configuration files for the SOF-ELK VM, used in SANS FOR572 - philhagen/sof-elk
شواهد مجازی و نشانگرهای آلودگی✍
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec