SgapHunter

 

در سازمان‌هایی که از بستر فناوری اطلاعات استفاده می‌کنند، روزانه حجم عظیمی از رخدادنماها و هشدارها توسط تجهیزات و حسگرهای مختلف شبکه‌ای و امنیتی تولید می‌شود که بررسی دقیق، ارزیابی و اهمیت‌دهی به موارد مهم، به صورت انسانی کاری بسیار پرزحمت، پرهزینه و همراه با اشتباه و چه بسا غیرممکن خواهد بود.

در یک شبکه سازمانی با اندازه متوسط روزانه بیش از چند میلیون رخدادنما تولید می‌شود که تا اندازه‌ای می‌تواند مشخص کننده مشکلات پردازش انسانی رخدادنماها باشد. همچنین تنوع رخدادنماها و قالب‌ها و زبان‌های مختلف به کار گرفته شده در آن‌ها برای بیان یک اتفاق یکسان، مشکلات پردازش انسانی رخدادنماها را آشکارتر می‌سازد.

به منظور حل این مشکل، راه‌کارهای مختلفی ارائه شده است. این راه‌کارها با نام‌هایی همچون مدیریت رخدادنما (Log Management)، مدیریت رویدادها و اطلاعات امنیتی (SIEM: Security Information & Event Management) و مرکز عملیات امنیت (SOC: Security Operations Center) ارائه می‌شوند.
مرکز عملیات امنیت، به عنوان کامل‌ترین راه‌کار برای موضوع یاد شده، ارائه شده است. همان طور که از نام آن مشخص است به صورت یک مرکز راه‌اندازی شده و بنابراین از سه جزء تکنولوژی، تیم‌های انسانی و فرآیندها تشکیل شده است. این مرکز با پایش ۲۴×۷×۳۶۵ شبکه سازمان، نمایی بلادرنگ از وضعیت امنیتی شبکه و رخدادهای جاری فراهم می‌کند و در صورت بروز حادثه، در سریع‌ترین زمان ممکن حادثه را تشخیص داده و سازمان را در رفع حادثه یاری نماید.

یکی از راه های جلوگیری از نفوذ به شبکه استفاده از Antivirus ،Firewalls  و (Intrusion Detection/Prevention System(IDS/IPS می باشد.
با وجود این ابزارها امکان شناسایی، جلوگیری و دفاع از حملات سایبری به طور کامل وجود ندارد زیرا ما نیازمند آگاهی رسانی مداوم نیروها و مجنمع سازی اطلاعات و ایجاد ارتباط بین آنها و بروزرسانی ابزارهای مورد استفاده زیرساخت بوده تا از این حملات جلوگیری کنیم؛ همچنین ممکن است سازمان ها بودجه و نیروی متخصص لازم جهت نگهداری تجهیزات و ارائه خدمات مانیتورینگ و کنترل شبکه را نداشته باشند.
به همین دلیل ما به یک راه حل سازمان یافته و منطقی جهت متمرکز کردن فرایندهای دفاع سایبری نیازمندیم تا بطور شبانه روزی ( ۲۴*۷*۳۶۵)  و از راه دور قادر به جلوگیری (Prevention)، شناسایی (Detection)، حفاظت (Protection)  و پاسخگویی (Response)  در مقابل خطرات، تهدیدات و حوادث بلادرنگ در شبکه را داشته باشیم.
مرکز عملیات امنیت (SOC) بعنوان یکی از راه حل های موفق جهت متمرکز کردن دفاع سایبری تعریف می شود.
SOC با ابزار یا تکنولوژی SIEM به عنوان یک سایت مرکزی تعریف می شود که به ابزارهایی جهت دسترسی به سیستم مانیتورینگ، کنترل log ها، کنترل موانع و علائم هشدار مجهز می باشد. در حالت کلی SOC به عنوان یک سایت متمرکز مانیتورینگ امنیت و مدیریت شبکه ارائه دهنده سرویس های زیر می باشد:

 

معرفی سامانه تشخیص و مقابله با نفوذ سدید گستران امن پارس SgapHunter

توسط زیرساخت و سرورها لاگ های زیادی تولید میشود . در دل این لاگ ها می تواند شواهدی از نفوذ یا شروع شیوع بدافزارها یا امثال ان وجود داشته باشد و این نفوذ میتواند توسط عوامل خارجی یا کارکنان داخلی شروع شود .

چگونه می توانید شواهدی از رفتار غیرقانونی را در میان میلیونها لاگ و اطلاعات کسب شده به دست آورد و از آنها به درستی استفاده کرد نکته مهمی است که باید در مورد آن اندیشید .

تعدادی از روش های جمع آوری داده ها برای اطمینان از وضعیت امنیت وجود دارد: امنیت اطلاعات و مدیریت رویداد (SIEM)، مرکز عملیات امنیتی (SOC) و هنجار تهدید، همه تغییرات یک مفهوم مشابه است. بدین معنی است که فرایند ذخیره سازی لاگ ها در حال انجام است اما اینکه از بین این لاگ ها اطلاعات مفید استخراج شود و با سیاست های سازمان شما مطابقت داشته باشد نکته مهم در نحوه برخورد با اطلاعات به دست امده میباشد .

استفاده از SIEM برای کنترل امنیت :

SIEM عمدتا یک راه حل اتومات جمع اوری لاگ ها و پردازش انها میباشد که قابلیت تنظیم دستی و یکپارچگی را نیز دارد .

برای مثال SIEM می تواند هنگامی که یک حساب دارای چندین ورود دارد و پس از آن یک ورود موفق باشد یا خیر را تشخیص دهد. سپس تحلیلگر امنیتی برای تعیین اینکه آیا کسی رمز عبور خود را فراموش کرده یا نه مجبور است، فعالیت آن کاربر را دنبال کند.

استفاده از Threat Hunting در شناسایی تهدیدات پیشرفته :

پس از اینکه SIEM یک رویداد مربوطه را از دست داد یا یک اپراتور SOC یک رویداد را به عنوان خوش خیم رد کرد کار Threat Hunting شروع میشود .

برای الگوهای رفتارهایی که ممکن است به ظاهر مشکلی نداشته باشد Threat hunting رفتار سختگیرانه تری را نشان میدهد.

مثلا آیا یک حساب کاربری مدیر از طریق خط فرمان ایجاد شده؟

آیا یک کامپیوتر در هر ۶۰ ثانیه یک وب سایت خالی را بازدید می کند؟ این احتمالا بیشتر از عملکرد معمول یک کاربر است و بیشتر ما را به سمت وجود یک RAT هدایت میکند .

ایا ارتباطات سرورها و کلاینت ها با یکدیگر توسط سرویس ها و نرم افزارهای مجاز انجام میشود تا اقدام به برقراری ارتباط توسط ابزار یا خط فرمان غیرمجاز شکل گرفته است .

SIEM یک راه عالی برای تقویت کنترل های امنیتی شما میباشد . در زمانی که نیاز شما فقط تهدیدات عمومی و غیرمتمرکز باشد.


Threat Hunting
یکی از راه کارهای جدید در امنیت سایبری است که به معنای جستجوی نرم افزارهای مخرب یا مهاجمان در شبکه شما است که ممکن است مدت زمان زیادی در شبکه وجود داشته باشند .

زمانی که حفاظت های سنتی مانند فایروال ها و تجهیزات و siem ناکام میشوند SgapHunter شروع به کار میکند . به طور متوسط مجرمان سایبری قبل از اینکه کشف شوند ۱۹۱ روز در شبکه قرار دارند و این زمان بیشتر از زمانی است که بخواهد دست به اقدامی بزنند .

اگر چه ابزارهای امنیتی خودکار و تحلیلگران مرکز عملیات امنیتی سطح ۱ و ۲ باید با تقریبا ۸۰ درصد از تهدیدات مقابله کنند، اما هنوز هم باید درباره ۲۰ درصد باقی مانده که تهدیدات اصلی و پنهان میباشند نگرانی داشته باشید که احتمالا شامل تهدیدات مداوم است ( APTs) که می تواند باعث آسیب جدی شود.

چطور باید Threat hunting ر در سازمان جاری کرد ؟

قبل از اینکه شروع کنید، مهم است که اطمینان حاصل کنید که سازمان شما واقعا آماده شکار تهدید است. شما باید یک پیکربندی امنیتی نسبتا بالغ را داشته باشید تا بتواند چندین منبع اطلاعات را ذخیره کرده و آن را به طریقی ذخیره کند که به آن دسترسی پیدا کند. یک سیستم پایه باید شامل ابزارهای خودکار مسدود سازی و نظارت مانند فایروال، آنتی ویروس، مدیریت نقطه پایان، ضبط بسته شبکه، و اطلاعات امنیتی و مدیریت رویداد (SIEM) باشد. شما همچنین به منابع اطلاعاتی تهدید نیاز دارید تا بتوانید آدرسهای IP، هشهای مخرب، شاخصهای سازش (IoCs) و موارد دیگر را جستجو کنید. سرانجام شما نیاز به سیستمی دارید که فراتر از ابزارهای فعلی شبکه فعالیت کند و رفتارهای غیرمعمول را شناسایی کند و در کمترین زمان شما را از وجود یک مشکل اگاه کند . در واقع SgapHunter به عنوان مغز متفکر شبکه با تکنولوژی Machine learning خود اطلاعات شما را پردازش میکند و دید ۳۶۰ درجه را به شما ارائه میدهد .

هیچ فرایند شکار تهدیدی وجود ندارد که برای هر شرکت اعمال شود، بنابراین تیم شما باید در شبکه سازمان شما تخصص لازم را داشته باشد و ابزاری را داشته باشد تا به آنها در شناسایی کمک کند و قسمتی از کار را انجام دهد .

قابلیت های SgapHunter

  • ارزیابی ریسک و آسیب پذیری (Vulnerability and Risk Assessment)

  • مدیریت رخداد و حوادث (Event & Incident Management)

  • مانیتورینگ منطبق بر سیاستهای سازمان و استانداردها ) (Compliance Monitoring

  • مدیریت پیکربندی و تنظیمات (Configuration Management)

  • ارزیابی آسیبها و بحثهای قانونی (Forensics, damage assessment)

  • پاسخگویی به حوادث (Incident Response)

  • طرح تداوم کسب و کار (Business Continuity Plan)

  • شناسایی تهدیدات به صورت یکپارچه و ارائه روش جلوگیری و رفع آنها

  • دارا بودن دیتابیس های Vulnerability و Exploit به منظور رفع سریع مشکلات امنیتی و تهدیدات قبل از وقوع

  • اطلاع رسانی سریع مشکلات امنیتی و حملات به صورت لحظه ای ( Email – SMS – Ticket )

  • اسکن اسیب پذیری و ارائه گزارش کامل در مورد آنها

  • ارائه روش رفع اسیب پذیری ها و مشکلات شبکه و تجهیزات و سیستم عامل ها و ...

  • قابلت اتصال به تمامی تجهیزات شبکه و دریافت اطلاعات از آنها

  • قابلت شناسایی و انطباق با تمامی سیستم عامل ها ( لینوکس – ویندوز و ... )

  • دارای ماژول HIDPS جهت شناسایی تهدیداتی که از دید آنتی ویروس ها مخفی میماند

  • دارا بودن ماژول RootKit checker و Backdoor checker و Anomaly Detection در سطح تمامی سیستم عامل ها

  • دارای ماژول Linux Kernel Rootkit Hunter که امکان Hunting بر روی کرنل سیستم عامل را میدهد

  • سرور آنتی Malware و Virus و SandBox پیشرفته با بیش از ۷۰ انتی ویروس جهت شناسایی بدافزارها

  • رفع نقاط ضعف فایروال و UTM ها در شناسایی سرورهای C&C که کاربران و سرورهای الوده به آن متصل میشوند

  • دارای Engine داخلی Forensic و IDPS پیشرفته با قابلیت شناسایی تهدیدات شبکه و ارائه تحلیل و آنالیز آنها

  • دارای قابلیت Hunting و رصد باج افزارها از زمان دانلود و ورود به سیستم عامل و رصد تمامی پروسس های درگیر و روش Encryptداده ها

شرکت سدید گستران امن پارس به عنوان تخصصی ترین مرکز امنیت و تست نفوذ در شرق کشور جهت بالا بردن امنیت و جلوگیری از حملات و تهدیدات سایبری سیستم بومی مرکز عملیات امنیت SIEM خود را با نام SGAP در اختیار مشتریان محترم قرار میدهد .

مراحل راه اندازی سیستم به شرح ذیل میباشد :

  • – بازدید از شبکه و دریافت اطلاعات شبکه و تجهیزات آن
  • – محاسبه مقدار EPS تولید شده توسط هر کدام از تجهیزات شبکه
  • – طراحی منطقی و فیزیکی مرکز SOC
  • – پیاده سازی طرح مرکز SOC
  • – آموزش پرسنل کارفرما جهت عملیاتی نمودن مرکز SOC
error: فعالیتهای شما تحت نظارت تیم امنیت ما میباشد.موفق باشید