قابلیت فریب (طعمه گذاری) آنتی ویروس سیمانتک

در این بخش به اهمیت قابلیت فریب در فروش آنتی ویروس سیمانتک میپردازیم؛ در واقع فریب مفهوم جدیدی نیست.

در طول تاریخ، میتوانید نمونه‌هایی از فریب در طبیعت و جنگ را مشاهده کنید. تعدادی از حیوانات تکنیک‌های استتار پیچیده‌ای را ایجاد کرده‌اند تا شکارچیان را فریب دهند و برخی از استراتژیست‌های جنگ، از فریب برای ایجاد برتری بر دشمنان استفاده کرده‌اند (بعنوان مثال اسب تروا).

وقتی صحبت از امنیت سایبری به میان می‌آید، میتوان از طعمه برای فریب مهاجمان برای انجام کاری متفاوت از آنچه آنها قصد دارند، استفاده کرد.

برای قرار دادن فریب در نقاط پایانی، سازمانها بطور سنتی باید به قابلیت دسترسی به نقطه پایانی تکیه میکردند.

این وابستگی به سرعت برای نقاط پایانی پشت فایروالها، پروکسیها، تفسیر آدرس شبکه (NAT) یا شبکه های خصوصی مجازی (VPN) پیچیده و سخت میشود.

بدلیل چالش برانگیز بودن استقرار و نظارت بر فریب در نقاط پایانی در یک محیط گسترده و توزیع شده، اکثر فروشندگان بر فریب شبکه تمرکز کردند.

با اینحال، فروش آنتی ویروس سیمانتک با مسائلی روبرو شده است که راه حلهای فریب سنتی را ارائه میدهد تا امنیت نقطه پایانی را فراهم کند که هم میتواند نقاط انتهایی را در برابر حمله محافظت کند و هم مهاجمان را در نقطه پایانی هدف قرار دهد.

از آنجا که میدانید دارایی‌های مهم شما چیست و در کجا قرار دارد، میتوانید از این دانش برای گمراه کردن مهاجمان سازمان استفاده کنید.

شما میتوانید طیف گسترده‌ای از “طعمه” را در سراسر محیط خود قرار دهید تا مهاجمان را در شناسایی خود و آشکارسازی اهداف حمله خود فریب دهید.

مسیرهای شناسایی مهاجمان سایبری و آشکارسازی اهداف حمله

فایلهای جعلی – Fake Files

میتوانید فایلهای جعلی ایجاد کنید تا مهاجم را به بیرون جذب کنید. به این فکر کنید که یک “doc” روی دسکتاپ مدیرعامل چقدر جذاب است، یا “FundraisingCycle.doc” دسکتاپ مدیر مالی، یا یک فایل “Salary.xls” در سرور منابع انسانی. گزینه‌ها بی پایان هستند.

دارایی های جعلی – Fake Credentials

پسوردهای جعلی را در سیستمها ایجاد و توزیع کنید تا شناسایی مهاجم آسان شود- هرگونه تلاش برای استفاده از یکی از پسوردهای جعلی شواهدی از فعالیت مخرب است.

سیستم‌های فریبکاری پیشرفته و متقابل بالا میتوانند مهاجم را قادر سازند تا با پسورد جعلی وارد سیستم کنترل شده و با یکدیگر تعامل کرده و تاکتیک‌ها و قصد واقعی خود را آشکار کند.

شبکه های اشتراکی جعلی-  Fake Network Shares

از شبکه‌های اشتراکی جعلی در دسکتاپ‌ها استفاده کنید تا مهاجمان را مجبور به تعامل با منابع کنید تا خود را نشان دهند.

هرگونه تعامل با این شبکه‌های اشتراکی، مانند کلیک برای باز کردن، کپی کردن فایلها و غیره، نشان دهنده حمله است.

Cached Items

از ورودی‌های جعلی cache، مانند DNS cache, remote access tool caches (RDP, VNC) و غیره برای گمراه کردن مهاجم و شناسایی اهداف احتمالی آنها استفاده کنید.

نقاط پایانی جعلی – Fake Endpoints

نودهای جعلی را در شبکه قابل مشاهده کنید تا مهاجم را وسوسه کند تا از راه دور به آن دستگاه دسترسی پیدا کند- چون نقطه پایانی جعلی است، میدانید که به محض اینکه شخصی سعی میکند به آن دسترسی پیدا کند، این یک حمله است.

نیاز به فریب

چرا شما نیاز به فریب دارید، در حالیکه بسیاری از لایه‌های دفاعی دیگر در حال حاضر وجود دارد؟ زیرا شما باید تمام پایه‌های خود را پوشش دهید.

مهاجمان بطور فزاینده ای زیرک هستند. سرقت اطلاعات کاربری یک روش برتر برای نحوه نفوذ آنها به شبکه است.

علاوه بر این، آنها از ابزارهایی استفاده میکنند که قبلاً روی رایانه‌های هدف نصب شده اند. این تاکتیک‌های “living off the land” اغلب بدافزارها را لود نمیکند و فایلهای جدیدی را روی هارد دیسک دستگاه ایجاد نمیکند (آنها مستقیماً در حافظه اجرا میشوند). علاوه بر این، سطح حمله، امروز به رشد و تغییر خود ادامه میدهد.

برای مبارزه، به مکانیزمهای مختلفی نیاز دارید که به شما کمک میکند پنجره فرصت را برای مهاجمان بسته و برخی از بردارهای حمله‌ای که آنها استفاده میکنند را ببندید:

1.      مولفه های اجتماعی

• 43% از 42.068 حادثه امنیتی تجزیه و تحلیل شده در گزارش تحقیقات نقض داده‌ها در سال 2017 شامل حملات مهندسی اجتماعی بود.
• انتظار میرفت سطح حمله انسانی تا سال 2020 به 4 میلیارد نفر برسد. شرکتها دارای تعداد قابل توجهی از کارکنان، شرکا، پیمانکاران، فروشندگان، مشتریان و غیره هستند که همگی به منابع سازمانی دسترسی دارند و میتوانند داده‌های شرکت را عمداً و ناخواسته به نمایش بگذارند.
• دو سوم متخصصان فناوری، phishing یا spear phishing و مهندسی اجتماعی را بزرگترین تهدید برای سازمان خود میدانند. پس از فیشینگ، یک مهاجم دارای مدارک موردنیاز برای بدست آوردن اطلاعات موردنظر خود است-هیچ سوء استفاده دیگری برای شناسایی وجود ندارد.
• 56% از کاربران ایمیل و 40% از کاربران فیسبوک روی پیوند فرستنده ناشناس کلیک میکنند.

2.      آسیب پذیری های فناوری

• 99% از رایانه‌ها در برابر سوء استفاده از کیت‌ها (سیستم عامل یا نرم افزار وصله نشده) آسیب پذیر هستند.
• بیش از 75% از همه وبسایت‌های مجاز دارای یک آسیب پذیری وصله ناپذیر هستند.

3.      نقاط ضعف نقطه پایانی

• حفاظت از نقطه پایانی ممکن است در تمام نقاط پایانی (بطور تصادفی) اجرا نشود.

4.      پیکربندی های اشتباه

• حفاظت اغلب قدیمی است و مهاجمین به داراییها حمله میکنند و آسیب میزنند. ممکن است قابلیت‌هایی که برای محافظت طراحی شده‌اند، خاموش شوند.

فریب یک لایه آسیب پذیر به امنیت شما می‌افزاید که احتمال کشف مهاجم در شبکه را افزایش میدهد. شما میتوانید به سرعت و براحتی مقدار بی‌نهایت طعمه در شرکت خود (اعتبار جعلی، فایلها، نقاط پایانی آسیب پذیر، داراییهای مهم و غیره) قرار دهید تا مهاجم را فریب دهد تا خود را فاش کند.

در جاییکه دیگر فناوری‌های امنیتی متوقف میشوند فریب شروع میشود و تاکتیک‌های تهاجمی را ارائه میدهد که میتواند مراحل بعدی حمله را آشکار کند.

حمله به گردش کار (Attack Workflow)

در حالیکه اکثر فناوری‌های امنیتی برای شناسایی و توقف مراحل اولیه حمله طراحی شده‌اند، فریب برای شناسایی مراحل بعدی بهینه سازی شده است.

بر اساس توالی حملات ساده شده زیر، اکثر فناوری‌های امنیتی بر مراحل 1، 2، 3 و 6 تمرکز میکنند، در حالیکه فناوری‌های فریب، مراحل 1، 4، 5 و 6 را برای کشف فعالیت حمله‌ای که قبلاً در شبکه است، هدف قرار میدهند:

• شناسایی (Reconnaissance)

مهاجم با جستجو در سطح حمله، بدنبال کشف سیستمها، خدمات، برنامه‌ها، افراد، فروشندگانی است که محیط شما را تشکیل میدهند.

• تسلیم (Delivery)

مهاجم فریب میدهد و سپس حمل میکند. اغلب تسلیم از طریق فیشینگ ایمیل، پیوستهای ایمیل، لینکهای مخرب، USB یا سایر درایوهای قابل جابجایی انجام میشود.

• بهره برداری (Exploitation)

حمله آغاز شده و مهاجم در شبکه است.

• اعدام (Execution)

مهاجم مراحل برنامه را تکمیل میکند. مهاجمین عموما با ایجاد استقامت سعی دارند در شبکه باقی بمانند.

اغلب برای دستیابی به داده‌های بیشتر از تکنیک‌هایی استفاده میکنند (شامل دستکاری توکن دسترسی، DLL های AppInit، تغییر برنامه، تزریق DLL، راه اندازی Daemon و..) و یا برای کشف محیط و برنامه ریزی اقدامات بعدی خود به یک ابزار دسترسی از راه دور عمومی (RAT) یا پوسته معکوس نیاز دارند که فرماندهی و کنترل ترافیک اغلب در HTTP یا IRC رمزگذاری و تنظیم میشود تا از تشخیص توسط فایروال جلوگیری شود.

• حرکت جانبی (Lateral Movement)

مهاجم با جستجوی دارایی‌های حیاتی، شبکه داخلی را طی میکند. آنها ممکن است بطور بالقوه از اعتباراتی که بدست آورده‌اند (از طریق افزایش امتیاز) استفاده کنند.

• Exfiltration

مهاجم داده‌های مهم را پس از بدست آوردن، اغلب رمزگذاری و منتقل میکند. رمزگذاری مورد استفاده مهاجم اغلب از تنظیمات رمزگذاری و ابزارهای مورد استفاده در شرکت پیروی میکند.

Exfiltration اغلب داده‌ها را در سرویسهای ابری مورد استفاده شرکت مانند Box، Dropbox، Google Drive و غیره بارگذاری میکند.

نتیجه گیری: فریب مدرن

فریب Symantec توسط خدمات امنیت سایبری سیمانتک (CSS)، برای نظارت مداوم بر تهدیدها و تخصص در واکنش به حوادث، و خدمات مشاوره و فروش آنتی ویروس سیمانتک، پشتیبانی (توسط شرکتهای ارائه دهنده آنتی ویروس) میشود تا نحوه فریب خود را متناسب با تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs) که در محیط شما بهترین کار را میکند، سفارشی کند.

با استفاده از Symantec Deception، جاییکه اکثر فناوری‌های امنیتی متوقف میشوند، آغاز میشود و یک لایه حفاظتی تکمیلی اضافه میکند که به شما امکان میدهد مهاجمان تهاجمی را خارج از مخفی شدن فریب دهید.

آنتی ویروس سیمانتک شما را قادر میسازد تا براحتی مقدار بی نهایت طعمه قابل تنظیم را در محیط خود قرار دهید.

بنابراین میتوانید مهاجمان موجود در شبکه خود را شناسایی کرده و آنها را از رسیدن به اهداف خود بازدارید. و از آنجاکه فریب از همان نمای نهایی و کنسول مدیریت Symantec استفاده میکند، راه حل درحال حاضر بهینه سازی شده است تا هیچ تأثیر ملموسی بر عملکرد نداشته باشد.

این قابلیت مشکل دسترسی به نقطه پایانی را که در گذشته فروش آنتی ویروس را دچار مشکل کرده بود، حل میکند.

شما به سادگی فریب را برای افزودن طعمه به نقاط پایانی در محیط وسیع و توزیع شده خود فعال میکنید. با قرار دادن طعمه واقع بینانه در نقاط پایانی، احتمال برخورد مهاجم با آنرا به میزان قابل توجهی افزایش میدهید.

از آنجاکه این طعمه است، دلیلی وجود ندارد که کسی بخواهد به اتصالات جعلی دسترسی پیدا کند، بنابراین به محض اینکه تلاش شود، میدانید که یک مهاجم دارید.

طعمه توسط سرویسهای امنیت سایبری ارائه دهنده آنتی ویروس سیمانتک بصورت حرفه‌ای تنظیم میشود.

شرکت داده پایش کارن آماده ارائه خدمات و فروش لایسنس آنتی ویروس سیمانتک، آماده پاسخگویی به نیازهای شما میباشد.