اشتراک مقالات

منظور از استراتژی دفاع در عمق یا Defense in Depth در برابر باج افزار چیست – قسمت دوم

214 مشاهده 0 6 شهریور, 1401

باج‌افزار

در قسمت اول مقاله در مورد سناریوهای توزیع باج‌افزار و همچنین راهکار VMware  برای صحبت کردیم. در ادامه مقاله در مورد vRealize Network Insight و VMware vRealize Log Insight صحبت کرده و اطلاعاتی در مورد VMware vRealize Operations خواهیم داد.

vRealize Network Insight

Network Insight براي شبكه و امنيت مبتنی بر نرم‌افزار عمليات هوشمند ارائه می دهد. vRealize Network Insight به دليل آن كه قابليت‌هايی داخلی براي بررسی برنامه‌های كاربردی، مشاهده ترافیک شبکه، یا برنامه‌ریزی برای Micro-segmentation دارد، ممكن است به‌هنگام طراحی استراتژی امنيتی سازمان بسيار مهم واقع شود. پرسنل امنیتی می‌توانند هر گونه تغییر در زیرساخت شبکه را Audit کنند، توپولوژی برنامه‌های كاربردی را به‌منظور شناسايی خطرات درك كنند، یا ترافیک پس از حادثه را با هدف جداسازی حمله، تجزيه و تحليل نمايند. از اين راهكار به‌راحتی می توان توصيه‌هايی در خصوص Ruleهای فايروال VMware NSX و عضویت در گروه‌های امنیتی استخراج نمود. علاوه بر این، vRealize Ne0twork Insight این فرآیندها را تكرارپذير می‌کند، بنابراین می‌توان الگوهای امنیتی یکسانی را در کل زیرساخت اعمال کرد.

vRealize Network Insight كمك می كند واكنش مناسب‌تری به حملات باج‌افزار داده شود. اين راهكار با تجزیه و تحلیل ترافیک شرق-غرب و شمال-جنوب، اطلاعات ارزشمندی درباره زمینه‌هايی به دست می دهد كه نياز به بهبود امنيت دارد. از جمله اين زمينه‌ها می توان به نبودن Ruleهاي فايروال اشاره كرد كه ممكن است باعث شود باج‌افزار بتواند اطلاعات را به خارج نشت دهد يا منتشر كند. اين راهكار دو قابليت اصلی دارد: شناسایی Objectهايی كه نبايد داخل محيط باشند و جستجوی مهاجمانی كه بدون اجازه به منابع دسترسی دارند.

ارزیابی میزان آسیب‌پذیری امنیت سازمان نسبت به باج‌افزار با راهکار اسپلانک

وبدیوهای بیشتر درباره ی امنیت

VMware vRealize Log Insight

اين راهكار امكان مديريت ناهمگن و بسيار مقياس‌پذير Log را فراهم می كند و داشبوردهايی با كاربری آسان و فرآيندهای پيچيده آناليز در اختيار كاربر قرار می دهد. VMware vRealize Log Insight با vSphere ،NSX ،VMware vSAN™ ،vRealize Operations ،vRealize Automation™ و VMware Horizon® یکپارچه می‌شود. اين راهكار همچنین با بسیاری از راهكارهای Third Party مانند F5 ،Extreme Networks ،HPE OneView ،Infoblox و… ادغام می‌گردد. مدیران می‌توانند با جمع‌آوری Logها از سرتاسر زیرساخت و استفاده از ویژگی‌های تجزیه و تحلیل رویدادهای مختلفی را با هم مرتبط کنند. به‌سختی می توان اين رويدادها را با روش‌های ديگري به هم مرتبط نمود. این قابلیت فرصت‌های فوق‌العاده‌ای طي بررسی‌های حمله ارائه می‌دهد و باعث می شود فرآیند بازیابی Log مربوط به چند ماه قبل به‌سادگي و به‌سرعت انجام پذيرد. اگر براي اهداف Auditing به Logها نياز باشد، مي‌توان سريعاً با داشبوردهای قابل‌شخصی سازی، حادثه‌اي خاص را در ميان انواع پلتفرم‌ها و راهكارها رديابي كرد. رخدادهاي امنيتی منجر به فعال شدن هشدارها مي‌شوند.

شاخص‌های قابل اعتماد حملات باج‌افزار، پیام‌های Logای هستند که اطلاع می دهند دسترسی به كداميك از منابع از دست رفته يا جلوی آن گرفته شده است. مثلاً زمانی كه برنامه‌ای كاربردی كه بر سروری اجرا می شود نمی تواند به ديتابيس خود دسترسی پيدا كند و اين رويداد ثبت می شود، فيلترهای vRealize Log Insight می توانند سريعاً به مديران هشدار دهند و رويداد مذكور را در داشبورد به نمايش گذارند. كاوشگران مي‌توانند با بهره‌گيری از فيلترينگ و Field Extraction منشأ حمله را مشخص كنند. اين افراد همچنين می‌توانند گسترش یک حمله را ردیابی کنند تا ببینند چگونه در یک محیط آزمایشی رفتار می‌کند.

VMware vRealize Operations

VMware vRealize Operations اطلاعاتی درباره رویدادها و شرایط گذشته و همچنین وضعیت آینده زیرساخت ارائه می‌دهد. این قابلیت‌ها ریسک را کاهش می‌دهند، پیش‌بینی را امكان‌پذير‌تر می كنند و کارایی عملیاتی را افزایش می‌دهند. VMware vRealize Operations با جمع‌آوری اطلاعات از زیرساخت‌ها و پلتفرم‌های کاربردی مختلف، تصویری جامع از نحوه تعامل بخش‌ها با یکدیگر، مکان‌های مستعد آسيب‌پذيری و نحوه بهبود دفاع ارائه می‌کند. هشدارهای قابل‌تنظیم و اصلاح خودکار در vRealize Operations مدیران امنیت را قادر می‌سازد تا از واکنش مناسب و کافی در مواقع اضطراری اطمینان حاصل کنند. vRealize Operations با اجرای استانداردهای نظارتی IT برای VMware Cloud Foundation™ و VMware Cloud™ در AWS با تطبيق‌پذيري یکپارچه و اصلاح خودکار Drift، خطر را بيشتر كاهش می دهد. این راهكار اطمينان حاصل مي‌كند که محیط از استانداردهایی مانند Payment Card Industry يا PCI، يا Health Insurance Portability and Accountability Act يا HIPAA، یا SarbanesOxley يا SOX پيروی كند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

ف

+ معرفی قابلیت های VMware vRealize Operations

 vRealize Operations نيز همچون vRealize Log Insight می‎‌تواند زمانی که وضعیت یا رفتار منبع تغییر کرده است، هشداری ایجاد کند. تطبيق‌پذيری یکپارچه vRealize Operations مدیران را قادر می‌سازد تا در سیستمی که با اطلاعات حریم خصوصی سروکار دارد، به‌دنبال هرگونه تغییر بگردند. اين تغييرات ممكن است در تنظیمات سیستم‌عامل يا در زيرساخت اصلي رخ داده باشد. ارائه Inventory از سیستم‌های حیاتی و نمایش نتایج در داشبوردها و گزارش‌ها به مدیران این امکان را می‌دهد تا به‌راحتی برنامه‌های كابردي در حال اجرا را کنترل کنند. Backup گرفتن از داده‌ها به‌خصوص زماني كه خطر باج‌افزار پيش‌‌رو باشد بسيار مهم است. vRealize Operations با يكپارچه‌سازي‌هاي گسترده موجود می‌تواند هر گونه مشکلی را که در زمینه Backupگيري وجود دارد، هشدار داده و آن را برطرف کند. بيشتر سازمان‌ها نمي‌توانند هنگام ظهور حمله باج‌افزار آفلاين شوند و vRealize Operations در مواقع اضطراري با اجرای سناریوهای What-if و بودجه‌بندی هزینه‌های Public Cloud كمك‌كننده خواهد بود.

راهكارهای محاسباتی کاربر نهایی

از آنجايي كه سازمان‌‌ها با وجود كارمندانی كه از مكان‌ها مختلف كار مي‌كنند، نيروي كار خود را براي آينده آماده مي‌سازند، نياز به محافظت از  دستگاه‌هاي Endpoint لپ‌تاپ‌ و دسكتاپ‌‌ اكنون از هميشه مهم‌تر است. محافظت ديگر از طريق فايروال‌هاي شركتي انجام نمي‌شود و اين Endpointها اغلب مستقيماً به اينترنت متصل مي‌شوند. همچنین، سيستم‌هاي كارمندان با خطرات جديدي روبه‌روست؛ مثلاً ممكن است يكي از اعضاي خانواده از لپ‌تاپ او براي مرور وب استفاده و ناخواسته آن را آلوده كند.

دسکتاپ‌هاي مجازی Horizon به‌علت جدا بودن از Endpoint کاربر، در برابر حملات باج افزار دفاع می‌کنند. همچنین، دسکتاپ‌های ناپايدار پس از هر بار استفاده پاک می‌شوند تا از انتشار جلوگیری شود. با اين که ممکن است كاربري محافظت‌نشده در Endpoint فيزيكي خود تحت‌تأثير باج‌افزاری گیرد، این رويداد به راهكار ايمن Horizon منتقل نمی‌شود. پياده‌سازی های Horizon با روش‌هايی دفاعی كه در بخش‌ راهكارهای Private Cloud و Multi-cloud شرح داده شد محافظت مي‌شوند. Cloning ایمن از VMware Carbon Black Cloud تضمین می‌کند که Policyها از Golden Image و بدون توجه به محل پياده‌سازی زيرساخت دسكتاپ مجازی برگرفته شوند. Horizon همچنین از Policyهايی استفاده می كند تا درايوهای USB يا صرفاً انواع خاصی مانند Mass Storage در دسكتاپ‌های مجازی را Block كند. مانيتورينگ و کنترل دسترسی USB Storage نیز برای دستگاه‌های فیزیکی با استفاده از VMware Carbon Black Cloud در دسترس است.

سناریوی توزیع 1: باج‌افزار توزیع‌شده از طریق وبسایت یا ایمیل

می توان با VMware Carbon Black Cloud آدرس‌های IP مخرب شناخته‌شده را تشخيص و درخصوص آن‌ها هشدار داد و به اين ترتيب نشانه‌ای اوليه از وقوع حمله ارائه كرد. این تشخیص صرف نظر از بودن يا نبودن Endpoint در شبكه شركتي صورت میگيرد. URL‌ها يا آدرس‌های IP مخرب شناخته‌شده را می توان با استفاده از هوش تهديدات آماده‌به‌مصرفي شناسايی كرد كه از VMware Carbon Black Cloud گرفته شده‌اند. VMware Carbon Black Cloud شامل Feedهايی از Facebook ThreatExchange و AlienVault است. سازمان‌ها مي‌توانند علاوه بر فيد تهديدات VMware Carbon Black Cloud، به اين راهكار Feed تهديدات خود را نيز وارد نمايند. قابليت تجزيه و تحليل ترافيك شبكه يا NTA در NSX Network Detection and Response، ارتباطات برگشتي بين ماشين در معرض خطر و C&C را فعاليتي غيرعادی قلمداد مي‌كند. NSX Distributed IDS/IPS™ از تشخیص‌های مبتنی بر Siganture برای کشف باج‌افزار در ترافیک شبکه قبل از رسیدن آن به Endpoint استفاده مي‌کند. NSX Advanced Threat Analyzer™ همچنین می‌تواند بدافزار بالقوه را برای تشخيص Payload مخرب آن Sandbox کند. همان‌ طور كه در بخش ترفندهای تشخيص توضيح داده شد، اگر آدرس IP ناشناخته باشد و Payload مخرب دانلود شود، VMware Carbon Black Cloud می‌تواند اقدامات مخرب را در همان اوایل Kill Chain متوقف كند. هرگونه حرکت جانبی از ماشین در معرض خطر به ماشین دیگر یا ارتباط با سرورهای C&C را مي‌توان با NSX Distributed IDS/IPS و NTA شناسایی كرد.

سناریوی توزیع 2: باج‌افزار توزیع‌شده از طریق درايو USB آلوده

پروفايل‌های محدودیت Workspace ONE UEM می‌توانند جلوی اتصال USB Mass Storage به Endpointها را بگيرند. طبق VMware Carbon Black Cloud Policy، اگر دستگاه‌های USB كاملاً Block نشده باشند، همه دستگاه‌های تأیید نشده USB Mass Storage را می‌توان Block كرد و هشداری ايجاد نمود. دستگاه‌های USB Mass Storage را می‌توان با آيدي محصول، آيدی Vendor  یا شماره سریال تأیید کرد. همان‌ طور كه در بخش ترفندهای تشخيص توضيح داده شد، اگر دستگاه دارای Policyای باشد که به همه دستگاه‌های USB Mass Storageاجازه ورود دهد و باینری مخرب اجرا شود، VMware Carbon Black Cloud می‌تواند اقدامات مخرب را در همان اوایل Kill Chain متوقف کند. هرگونه حرکت جانبی از ماشین در معرض خطر به ماشین دیگر یا ارتباط با سرورهای C&C را مي‌توان با NSX Distributed IDS/IPS و NTA شناسایی كرد.

سناریوی توزیع 3: باج‌افزار توزیع‌شده از طریق حمله هدفمند

مهاجمی را که RDP را از خارج از شبکه شرکت هدف قرار می‌دهد، می‌تواند با شناسایی آدرس‌های IP مخرب شناخته‌شده از Threat Feed تشخيص داد. مي‌توان با VMware Carbon Black Cloud درخصوص اين حمله هشدار داد و به اين ترتيب نشانه‌ای اوليه از وقوع حمله ارائه كرد. همان‌ طور كه در بخش ترفندهای تشخيص توضيح داده شد، اگر مهاجم ابزارها و باج‌افزار خود را در Endpointای که به آن متصل است کپی کند، VMware Carbon Black Cloud می‌تواند اقدامات مخرب را در همان اوایل Kill Chain متوقف کند. هرگونه حرکت جانبی از ماشین در معرض خطر به ماشین دیگر یا ارتباط با سرورهای C&C را مي‌توان با NSX Distributed IDS/IPS و NTA شناسایی كرد.

مقاله های مرتبط:

منظور از استراتژی دفاع در عمق یا Defense in Depth در برابر باج افزار چیست – قسمت اول
برچسب ها : باج‌افزار چیستباج‌افزارمسیرتکامل باج‌افزار‌ها

مطلب مفید بود؟

 
بیشتر بخوانید