Siber Güvenlik Altyapısı Oluşturmanın Kısa Bir Süreci

   Ekim 29, 2022  Posted in GBHackers


Modern CyberSOC – İşbirlikçi Bir Siber Güvenlik Altyapısı Oluşturmanın Kısa Bir Uygulaması

Daha önceki yıllarda, herkes SOC’ye bağlıdır (güvenlik duvarları, WAF, SIEM, vb. dahil) ve SOC’nin oluşturulmasındaki öncelik, güvenliği sağlar ve CIA korunur.

Ancak, daha sonra saldırıların ve tehdit aktörlerinin ortaya çıkması daha zorlu hale gelir ve mevcut SOC, CIA üzerinde daha iyi güvenlik sağlayamaz. Yalnızca SIEM’e bağlı olduğu mevcut SOC’nin başarısız olmasının birçok nedeni vardır.

Güvenlik Duvarı, Yönlendiriciler, AV ve DB çözümleri gibi tüm güvenlik cihazlarını SIEM’e entegre etmenin ve kullanım durumlarını ilişkilendirmenin onlara CIA üzerinden %100 güvenlik sağlayacağına inanılan birçok kuruluş. tarih. Ancak, APT ortaya çıktığı için hepsi başarısız olur.

DÖRT

Bu yıllardaki APT saldırıları kasıtlı olarak siber uzayda, kuruluşlar 0 güven savunma modelini uygulamalıdır. Mevcut SOC başarısızlıklarının ana nedenleri, çoğunlukla kaba kuvvet giriş denemeleri, başarısız girişler, başarısız http istekleri ve kötü amaçlı yazılım yayılımlarının kullanım durumlarını önemsiyoruz.

Yine de, defans oyuncuları öğrenmeye başladığında, suçluların da daha iyi bir şekilde geliştiğini anlamalıyız. APT grupları gelişiyor ve sıklıkla kullandığımız orijinal uygulamaları kötüye kullanıyor ve yakalanmadan yıllarca bekleme süresinde kalıyor.

APT’nin ortaya çıkışı

Gelişmiş Kalıcılık Tehdidi, bu gruplar bireysel bir kimlik değildir. Bunlar çoğunlukla uzmanlık ekipleri olan kuruluşlar veya ülkelerdir (gündem/politik nedenlere dayalı). Normal bir uzman değiller, eğitimli profesyoneller ve herhangi bir sistemi kırma ve bir LAN’da yıllarca yakalanmadan yanlamasına hareket etme potansiyeline sahipler.

Virüsten koruma yazılımınız bile bu hareketi algılayamaz çünkü oluşturmazlar. kötü amaçlı yazılımsadece orijinal uygulamaları (PowerShell gibi) kötüye kullanırlar ve gerçek bir süreç gibi yanal olarak hareket ederler.

Bir APT’nin temel bileşenleri, yanal hareket etme, kalıcılık, CnC kanalı oluşturma, yalnızca bir DNS isteği ile yük alma ve daha fazlasıdır. Şimdiye kadar kaydedilen her APT saldırısı, bir ağı yaymanın benzersiz yollarına sahiptir ve açık bağlantı noktalarına, korumasız ağ bölgelerine, güvenlik açığı uygulamalarına, ağ paylaşımlarına vb. Bir kez içeri girdiklerinde, yapmak istediklerini yaparlar.

Proaktif Savunma Modeli

Günümüzün siber saldırılarına ve APT saldırılarına karşı savunmaya yönelik algınız, tam olarak bir “Savunma mekanizması” gibi düşünmeli ve oluşturmalısınız.düşman“.Bir savunma modeli inşa etmek için düşman taktiklerini, nasıl içeri girdiklerini bilmelisiniz? Nasıl yayılırlar? Nasıl sızıyorlar?

Bu sorgular için, Lock Martin’in siber öldürme zinciri ve Mitre ATT&CK, saldırıların daha iyi anlaşılmasını sağlar. Tam olarak bir düşmanın ağınıza nasıl gizlice girdiğini ve yakalanmadan nasıl dışarı çıktığını. Ayrıca, siber saldırılar hakkında size bir fikir verecek olan Cyber ​​Kill zincirinin aşamalarına dayalı olarak mevcut SOC’nizde kullanım senaryoları uygulayabilirsiniz.

Siber Tehdit İstihbaratı

IOC’leri ve Ip’leri engellemek size siber saldırılara karşı %100 güvenlik sağlamaz. Son APT saldırıları, DGA algoritmasını kullanarak çok gelişiyorhms ve genellikle etki alanlarını, VPN ve TOR düğümlerini (DarkNet) kullanan kaynak IP adresini, sahtekarlığı vb. değiştirir. Kayıtlara göre, şimdiye kadar 5 milyon IP adresi sahip olmak küresel olarak kara listeye alındınedenkötü amaçlı yazılım saldırıları, siber casusluk, APT, TOR vb.

Mevcut SOC’mizi varsayalım; koyacak mıyız bir izleme listesi SIEM’de kara listeye alınmış 5 milyon IPS’yi izlemek için mi? Öte yandan, kara listeye alınan 5 milyonu engelleyecek miyiz? Ips çevre güvenlik duvarlarında?

İkisi de düşünüldü olarak plan eylem olarak değil olay tepki.

APT grupları çeşitli teknikler kullanıyor ve izlerini sonsuza kadar saklıyor, bu yüzden sadece IOC’lere (IP, etki alanı, karmalar, URL’ler) bağlı olarak artık çalışmıyor. hakkında düşünmelisin TTP’ler (Taktikler, Teknikler ve Prosedürler bazen Araçlar, Teknikler ve Prosedürler olarak da adlandırılır).

Bu TTP’ler, bilgilere dayanarak, düşmanlar tarafından kullanılan işletim sistemi ve ağ yapıtları hakkında bilgi toplamada, belirli bir trafik veya belirli bir şekilde durumlar için bir kullanım senaryosu oluşturmada hayati bir rol oynar.dll” veya “exe“, saldırılar hakkında fikir veriyor. DarkNet istihbaratına da ihtiyaç duyuldu, burada çalınan verilerin çoğu ya para ya da daha fazla sığınma için karanlık pazarda satıldı.

Tehdit istihbaratı, mevcut kaynaklara dayalı olarak küresel tehdit bilgilerini de sağlar. Birçok OEM aynı zamanda çeşitli tehdit matrisi bilgileri, kullanılan araçlar, kullanılan eserler vb. sağlar. Her gün, istihbarat ekibiniz sadece IOC’ler hakkında değil; ortaya çıkan IOA ve IOE’ler hakkında ayrıntılar için çaba sarf etmek zorundalar.

APT grupları, güvenlik açığından yararlanma konusunda iyi eğitilmiştir. Bu nedenle, saldırgan istismarından önce kuruluşlardaki istismar belirtileri için daha fazla bilgi toplamamız ve düzeltilmesini sağlamamız gerekiyor.

Bir siber istihbarat programı, bir siber saldırının arkasında kimin, ne, nerede, ne zaman, neden ve nasıl olduğunu ortaya çıkarmakla ilgilidir. Taktik ve operasyonel istihbarat, bir saldırının ne ve nasıl olduğunu ve bazen nerede ve ne zaman olacağını belirlemeye yardımcı olabilir.

Siber Tehdit Avcılığı

Bilgileri topladıktan sonra avlanmalıyız. Siber tehdit avcılığı, siber öldürme zincirleri veya Gönye Saldırısı hakkında fikir sahibi olmak ve bilinmeyen saldırı türlerini avlamak için modern metodolojidir. LAN’ınızda neler olduğunu bildiğinizde, doğrudan Olay yanıtına gidebilirsiniz.

Ancak, LAN’ınızda bilinmeyen varyantların (APT) izlerini aramak istediğiniz bir olaydan şüphelendiğinizde, tehdit avcılığı devreye girer. Tehdit avcılığı, tehdit vektörleri üzerinde derinlemesine analiz yapmanızı sağlar ve olaylar olay haline gelmeden önce.

Her kuruluşta, tehdit avlama ekipleri işe alınmalı ve proaktif olarak şüpheli olayları araştırır ve olayların veya düşmanın ihlali olmamasını sağlar. APT saldırı geçmişini anlamalı ve ağlarındaki yapıları kontrol etmelidirler. Bilinen IOC’leri aramamak, yaydıkları metodolojileri yıkmak.

Tam olarak ne avlanacak? – Örnekler

  • Ağ İşaretleme Avı
  • İçeriden Bilgilendirme Ayrıcalığı Yükseltmelerini Avlayın
  • Olağandışı DNS isteklerini avla
  • Olağandışı Ağ Paylaşımlarını Avlayın
  • Ağ Keşfi Avı
  • Uyumsuz Windows hizmetleri için arama yapın (üst/alt süreçler)
  • Ayrıcalık Yükseltme Avı – Erişim belirteci manipülasyonu
  • UAC Baypas için Av
  • Kimlik Bilgileri Dampingi için Av
  • SMB boruları üzerinde işaret avı yapın
  • Gizli Kanalları Avla
  • CNC trafiklerini araştırın
  • Gölgeleme için avla
  • Şüpheli Tüneller Avı

Aynı şekilde, bir LAN’da arama yapmak için birkaç koşul vardır. Mitre ATT&CK çerçevesini ve APT geçmişinin kontrolünü kullanabilir ve anlayabiliriz. Daha iyi anlaşılmasını sağlayacak ve avlanma yöntemlerinin haritasını çıkarabiliriz. çerçeve ve nereye kadar başarabileceğimizi görün.

Bekleme süresidüşmanların ağınızda kaldığı ve her bölgeyi, paylaşımı, Veritabanını, ağ protokollerini, haritalamayı, rotaları, savunmasız uç noktaları vb. öğrendiği zaman. Tehdit avcılık, yanal hareketi ve kalıcılığı bulmanıza yardımcı olur davranış herhangi bir siber saldırının

Olay Müdahalesi

Geleneksel olay müdahalesi, olaylar (ihlal edilen olaylar) üzerinde azaltma ve iyileştirme sağlarken, Tehdit avcılığı anlayış herhangi bir şüpheli veya garip olaydan ve bir olay haline gelmeden önce hafifletmek.

Ancak olay müdahalecisine ve müdahale ekibine, bulundukları herhangi bir SOC’de kesinlikle ihtiyaç vardır. yardım eder mevcut olayı hafifletmek ve açık güvenlik açıklarının giderilmesine yardımcı olmak, saldırı zincirini kıracak ve siber tehdit olasılığı azaltılacaktır.

IR ekibi, CIA’nın ihlal edilmediğinden ve hiçbir veri oldu süzülmüş. Olay müdahale ekipleri ayrıca siber öldürme zinciri modelini kontrol listelerine yerleştirebilir ve saldırıların haritasını çıkarabilir.

Bir olay müdahale planı, bir güvenlik olayının süresinin ve bundan kaynaklanan hasarın nasıl en aza indirileceğini ana hatlarıyla belirterek, katılan paydaşları belirleyerek, adli analizleri düzene sokarak, kurtarma süresini hızlandırarak, olumsuz tanıtımları azaltarak ve nihayetinde şirket yöneticilerinin, sahiplerinin güvenini artırarak bir kuruluşa fayda sağlayabilir. ve hissedarlar.

Modern SOC ve Uzmanlık becerileri

Çeşitli APT saldırılarını ve günümüzün siber casusluklarını gördüğümüz ve deneyimlediğimiz için, gelişmeli ve gelişmiş bir siber güvenlik stratejisi oluşturmalıyız. Bu model, siber saldırılar hakkında bilgi sağlar, bu nedenle çeşitli becerilere sahip uzman ekiplere ihtiyacımız var.

Tehdit avcılığı, açık kaynak tehdit istihbaratı ve DarkNet istihbaratı, Proaktif olay işleyicileri ve ilk müdahaleci, kötü amaçlı yazılım araştırmacıları ve Windows mimarisini ve kötü amaçlı yazılım davranışlarını anlayabilecek özel beceri setleri. Bu beceri setlerine çoğunlukla bir ağı günümüzün siber saldırılarına karşı savunmak için ihtiyaç duyulur.

Modern bir CyberSOC ekibinin nasıl planlanması gerektiğine bir örnek.

Çözüm

Siber dayanıklılık, hızla kabul gören gelişen bir bakış açısıdır. Konsept temelde bilgi güvenliği, iş sürekliliği ve (organizasyonel) dayanıklılık alanlarını bir araya getiriyor.

Tehdit Bilgisini getirme, avlanma, yanıt verme gibi kavramsal bir fikre sahip olan bu model ve SOC, bir kuruluş için karmaşık güvenlik yapısı dizisini sağlamak için birlikte. Aktiviteyi öncelik sırasına koymak daha yararlı olacaktır ve kendimizi günümüz saldırılarına karşı kolayca savunabiliriz.

Bu model, “Uyarlanabilir yanıt, Analitik izleme, Aldatma, İstihbarat, Çeşitlilik, Dinamik konumlandırma, mevcut politikalara dayalı ayrıcalık kısıtlaması, kritik ve kritik olmayan hizmetlerin/sunucuların yeniden düzenlenmesi, olayların korelasyonu ve hızlı yanıtlar”ın temel unsurlarını içerir. Esas olarak APT tehditlerini ele alır ve saldırı ve olası vektörler hakkında derinlemesine bilgi sağlar.

Unutma,

Daha erken: “Kötü Amaçlı Yazılım veya Kötü Amaçlı”, bir şeyler yapmayı amaçlayan komut dosyaları olarak sınıflandırıldı. Ancak bir APT’nin veya rakiplerinin bakış açısında, mevcut antivirüs işlevlerinin ve savunma mekanizmalarının çok iyi farkındalar. Bu nedenle, komut dosyalarına veya kötü amaçlı yazılımlara fazla güvenmezler, bunun yerine orijinal programları kötüye kullanırlar ve algılanmadan yanlamasına hareket ederler.

Siber Tehdit Avcısı POV – Bir kişi için herhangi bir uç noktada veya bir kuruluşta ihtiyaç duyulmayan her ne olursa olsun, bu savunmasız anahtarlar bir APT’nin kritik varlıklarıdır. Dolayısıyla bunlar tehdit avcısı algısında kötü amaçlı yazılım olarak kabul edilir. Eski: “PowerShell, sunucularda yönetici tarafından gerekmedikçe herkes tarafından kullanılmaz. Bu nedenle, uç noktalarda güç kabuklarının yürütülmesini devre dışı bırakmamak bir boşluktur ve düşmanlar bundan yararlanabilir.

Bu model beş noktalı bir görünüme sahiptir. dağıtım her biri için modüller“Tehdit İstihbaratı”, “Siber avcılık”, “SOC”, “Olay Müdahalesi” ve “öldürme zinciri modelleri”.

Bunlar CyberSOC’nin temel direkleridir ve ayrı olarak muhafaza edilebilir veya bir organizasyon politikasına göre kullanılabilir. Ancak, her şey mantıksal olarak senkronize edilmeli ve her birini kullanmalıdır. modüller şüpheli bir olay meydana geldiğinde etkili bir şekilde.

İndirin: Ücretsiz GDPR Çizgi Roman Kitabı – Şirket Verilerinizi ve kullanıcı gizliliğinizi korumak için Genel Veri Koruma Yönetmeliği’ne (GDPR) Uymanın Önemi

Bizi Linkedin’den takip edebilirsiniz, heyecan, Facebook Günlük Siber Güvenlik güncellemeleri için, kendinizi güncel tutmak için En İyi Siber Güvenlik kursunu çevrimiçi olarak da alabilirsiniz..





Source link