اقداماتی که در حوزه امنیت سایبری انجام میشود به هدف محافظت از دارایی های الکترونیکی شماست.امروزه تقریبا تمام داده ها بصورت دیجیتال ذخیره میشوند.داده های کوچک به عنوان برنامه خود را به اطلاعات شما و به اطلاعات بانکی شما نزدیک میکنند. به اصطلاح فنی افزایش حملات و نفوذ هر روزه درحال افزایش است که نتیجه گیری شده است که تنها محافظت از آنها کافی نیست و باید پروسه قوی تری برای بررسی داده ها به سرعت انجام شود تا بتواند به طور مدام ، موثر تر و با هدف به حداقل رساندن اثرات جانبی آن باشد که در زیر فرآیندی که میتواند در سطح وسیع برای بازسازی واکنش حوادث موثر در نظر گرفت ، در نظر گرفته شده است :
تشخیص ناهنجاری ها و فعالیت های مخرب در شبکه ، جمع آوری اطلاعات لازم برای تجزیه و تحلیل فعالیت های مخرب
ارتباط و همبستگی حوادث ، داده ها ، دارایی ها و شبکه ها برای تشخیص دامنه کلی فعالیت های مخرب
رفع حوادث با حذف فایل های مخرب از شبکه و مسدود کردن منبع آن ، اهمیت خودکار سازی (Automation ) آنجا مشخص میشود که برای هرگونه نقض احتمالی در مجموعه ای با داده های بزرگ نیاز به جمع آوری داده ها ، همبستگی و تصمیم گیری لازم است که باید بصورت دستی این فرآیند انجام شود اما خودکار سازی آنها کمک میکند تا بصورت خودکار جمع آوری داده های بزرگ و همبستگی آنها در یک زمان کوتاه انجام میشود و پس از آن داده ها آماده ارائه میشوند تا تصمیم گیری های لازم گرفته شود و هنگامی که یک تصمیم گرفته میشود، اتوماسیون به خوبی تمامی برنامه های درنظرگرفته شده را مدیریت میکند چون بعضی از نقض ها نوع خاصی می باشند که نیازمند فعالیت های پاکسازی گسترده ای است ، خب سوال اینجاست که ما چه نیازی به خودکارسازی داریم ؟؟؟؟؟ خب بیایم و نمونه حملات سایبری واقعی که انجام شده را بررسی و ارزیابی کنیم
همونطور که میدونید WannaCry یک باج افزار قوی بود که سیستم های ویندوزی رو مورد حمله قرار داد و فایل های آنها رو رمزنگاری میکرد و درخواست پرداخت مبلغی میشد بابت رمزگشایی فایل ها خب بیاییم بررسی کنیم این باج افزار رو که چگونه به شبکه منتقل میشود ؟؟؟؟ باج افزار WannaCry به عنوان یک جور قطره چکان در نظر بگیرید که یه شخص یا چیزی اون رو انداخته باشد ظاهر میشود که در نگاه و مراحل اول که برای آلوده کردن سیستم ها استفاده میشود شناخته نمیشود ، اما حدس و گمان ها و فرضیه هایی که ساخته میشود دیدگاه ما را به سمت فیشینگ می برد ، اما آیا مسئله فیشینگ به درستی و به موقع مورد توجه یک سازمان قرار گرفته است ؟؟؟ حوادث بوجود آمده از WannaCry میتواند بسیار موثر باشد حتی بدون اینکه نیاز به گستردگی و شیوع زیادی داشته باشد
باج افزار اقدام به برقراری ارتباط با دامنه میکند که اگر این ارتباط موفقیت آمیز باشد خارج میشود اما اگر هیچ ارتباطی برقرار نشود فایلهایی که روی کامپیوتر ذخیره شده اند رمزنگاری میشوند
این باج افزار از EthernalBlue استفاده میکند که یک آسیب پذیری در پروتکل SMB می باشد و با اکسپلویت کردن آن اجازه میدهد بد افزار ها بر روی سیستم های ویندوزی که این پروتکل فعال شده است گسترش یابد.این آسیب پذیری امکان اجرای کد از راه دور را با استفاده از SMB میدهد پس بنابراین باج افزار WannaCry با ایجاد یک درخواست session سفارشی سازی شده SMB با مقادیر وارد شده به صورت hardcoded (نوشتن مقادیر بصورت استاتیک) تارگت ، کار میکند.پس از اینکه اولین packet به آدرس IP اولیه ارسال می شود بعد از آن دو packet را به دو آدرس IP دیگر در شبکه ارسال میکند و این داستان ادامه دارد که البته اگر این آسیب پذیری ها به موقع با مدیریت خودکار آسیب پذیری ها (automation) درست شده باشند WannaCry هرگز اتفاق نخواهد افتاد !!!!!
تمامی هشدارها و دارایی هایی که تحت تاثیر قرار گرفته اند یا آسیب پذیر اند را به هم مرتبط سازید
و در آخر بصورت خلاصه اهمیت خودکار سازی (automation ) را بررسی کنیم :
که در آینده ای نه چندان دور میتوان شاهد این بود که :
نظر شما در مورد خودکار سازی فرآیند ها چیست؟ بنظر شما در ایران کاربرد دارد ؟ آیا ما به سمت automation میریم ؟
کپی برداری با ذکر منبع بلامانع هست.
هکر کلاه خاکستری و توسعه دهنده بدافزار
حامد مهدی ، هکر کلاه خاکستری و توسعه دهنده بدافزار ، تخصص در حوزه های امنیت شبکه (CCPE Infrastructure , CCPM Advanced Infrastructure) وایرلس ( CWSP , Wifu , SEC617) وب (CCPE Web , CCPM Advanced Web , SEC542,SEC642, AWAE ) موبایل (SEC575) ، امنیت و نفوذ سخت افزاری،زیرساخت سیسکو(CCNP , CCNP Security , CCDA) برنامه نویس و توسعه دهنده ارشد نرم افزار (اندروید (جاوا) وب ( NodeJS , PHP) و پایتون (SPSE,SEC573) UX Designer، WP WebMaster ، بیش از 8 سال فعالیت فوق حرفه ای در 6 دامنه امنیتی
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود