کمیته رکن چهارم – به دادههای قابل استناد در جرم شناسی مثل دادههایی که در لاگ سیستم یا فایلهای آن پیدا شده و میتوانند به شناسایی فعالیتهای مخرب در یک سیستم یا شبکه کمک کنند، «نشانه های نفوذ» گفته میشود. این نشانه ها به کارشناسان فناوری و امنیت اطلاعات کمک میکنند تا بتوانند آلودگیهای بدافزاری، نشت های اطلاعاتی یا سایر فعالیتهای مخرب را شناسایی نمایند.
سازمانها با نظارت بر نشانه های نفوذ قادر خواهند بود حملات را شناسایی کرده، به سرعت مانع از نفوذ مهاجمان شده یا با متوقف کردن آنها در همان مراحل اولیه، آسیبهای احتمالی را به کمترین سطح ممکن برسانند. این نشانه ها به نوعی شبیه ردپای مجرمان بوده و کارشناسان امنیت اطلاعات میتوانند از آنها برای شناسایی فعالیتهای مخرب استفاده کنند.
فعالیتهای غیرمتداول، علایم هشداری هستند که نشان دهنده قصد مهاجمان برای اجرای حمله یا در جریان بودن حملاتی هستند که ممکن است منجر به نشت های اطلاعاتی شود اما شاید شناسایی آنها همیشه کار آسانی نباشد. این علایم میتوانند شامل وجود عناصری ساده در ابردادهها یا کدهایی به شدت پیچیده و مخرب باشند. تحلیلگران معمولاً برای تشخیص ارتباط بین نشانه های نفوذ و سرهم کردن آنها جهت تحلیل یک تهدید یا حادثه بالقوه، نشانه های مختلف را بررسی میکنند.
نشانه های نفوذ و علایم حمله
نشانه های حمله شبیه علایم نفوذ هستند؛ با این تفاوت که به جای تمرکز بر تحلیل جرم شناسی حملهای که قبلاً به وقوع پیوسته، بر شناسایی فعالیتهای مهاجمان در هنگام اجرای حمله تمرکز دارند. نشانه های نفوذ میتوانند به پرسش «چه اتفاقی رخ داده؟» پاسخ دهند، در حالی که علایم حمله به پرسش «چه اتفاقی در جریان است و چرا؟» جواب میدهند. در روشهای پیشگیرانه، از هر دو گروه این نشانه ها برای شناسایی تهدیدها یا حوادث امنیتی در سریعترین زمان ممکن استفاده میشود.
نمونههایی از نشانه های نفوذ
نشانه های نفوذ مختلفی وجود دارد که سازمانها باید آنها را زیر نظر داشته باشند. در این مقاله، ۱۵ مورد از نشانه های نفوذ مهم بررسی شده که عبارتند از:
- ترافیک خروجی غیرعادی
- فعالیتهای غیرعادی در حسابهای کاربری که سطح دسترسی بالایی دارند.
- ورود به حساب کاری یا سختافزارها از مکانهای مختلف، بدون وجود الگوی منظم
- علایم هشدار درباره ورود به حساب کاربری
- افزایش تعداد دستورات خواندن از پایگاه داده
- اندازه پاسخهای HTML
- تعداد زیاد درخواست برای کار با یک فایل
- تطبیق نداشتن ترافیک برنامه کاربردی با پورت مورد استفاده
- تغییر مشکوک فایلهای سیستمی یا رجیستری
- درخواستهای غیرطبیعی DNS
- نصب غیرمنتظره وصله و بهروزرسانی سیستمها
- تغییر پروفایل دستگاههای همراه
- قرار داشتن داده ها در مکانهای نامناسب
- ترافیک وب با رفتار غیرعادی
- علایم حملات ممانعت از سرویس توزیع شده (DDoS)
استفاده از نشانه های نفوذ برای بهبود تشخیص و واکنش
نظارت بر نشانه های نفوذ به سازمانها کمک می کند که بتوانند رخنههای امنیتی را بهتر تشخیص داده و با آنها مقابله کنند. جمع آوری این نشانه ها و برقراری ارتباط بین آنها به صورت لحظهای به سازمانها کمک میکند تا حوادث امنیتی را که ممکن است سایر ابزارها قادر به تشخیص آنها نباشند، با سرعت بیشتری شناسایی نمایند.
اگر تیمهای امنیت سازمانی الگوهای خاصی از نشانه های نفوذ را پیدا کنند میتوانند ابزارها و سیاستهای امنیتی خودشان را بهروزرسانی کرده تا در برابر حملات آتی مقاومتر شوند.
در حال حاضر شاهد حرکت سازمانها به سمت انتشار گزارش نتایج این تحلیلها به روشی منسجم و سازمان دهی شده هستیم تا کارشناسان فناوری و امنیت اطلاعات بتوانند فرایند شناسایی، مقابله و گزارش حوادث امنیتی را خودکارسازی کنند. عدهای در این صنعت بر این باورند که مستندسازی نشانه های نفوذ و تهدیدهای سایبری به افراد و سازمانها کمک میکند تا اطلاعات لازم را بین سایر اعضای جامعه امنیت سایبری به اشتراک گذاشته و واکنش به نفوذ و جرم شناسی را بهتر از قبل انجام دهند.
چارچوب “OpenIOC” یکی از روشهای ارایه شده برای جمع آوری و یکپارچه کردن نتایج تحلیلهای جرم شناسی است. STIX و TAXII هم در حال تلاش برای استاندارد کردن فرایند مستندسازی و گزارش دهی نشانه های نفوذ هستند.
لازم به ذکر است نشانه های نفوذ نقش مهمی در مبارزه با بدافزارها و حملات سایبری دارند. هر چند ماهیت کلی آنها واکنشی است اما سازمانهایی که آنها را با دقت تحت نظر داشته و در جریان تازهترین یافتههای این حوزه باشند میتوانند میزان شناسایی و زمان واکنش به حادثه را به میزان قابل توجهی بهبود بخشند.
منبع : فراست
