Professional Documents
Culture Documents
Introduction To SOC 1712671684
Introduction To SOC 1712671684
عملیات امنیت
)(SOC
مقدمه
هرچند دفاع سایبری یک موضوع بسیار عمیق است ،اما
تعدادی از دیدگاهها ،مدلها ،منابع داده و تکنیکها وجود
دارند که میتوانند تیم را به سمت ایده آل هدایت کنند.
این راهنما یک مجموعه از مفیدترین اطالعات و مدلها
برای کسانی که در مراکز عملیات امنیت فعالیت میکنند،
همچنین اشاره به ابزارهای قدرتمند رایگان ،مراجع کتاب
و موارد دیگر است تا به ساختار تیم ،مهارتها و
تواناییهای دفاعی کمک کند.
الگگیری در CLOUD
فرآیند SOC
در نمودار زیر ،روند فرایند اصلی SOCدر مستطیل آبی رنگ و در کنار آن فرآیند های
کمکی و مکان جایگیری آن ،مشخص شده است .مکان قرارگیری وظایف کمکی در نمودار
نباید به عنوان یک پیشنهاد در نظر گرفته شود ،بلکه تنها به منظور نشان دادن ورودیها
از آن گروهها/وظایف به فرآیند اصلی SOCاست .یک نکته مهم این است که از آنجا
که این فرآیند یک زنجیره پی در پی از ورودیها و خروجیها تشکیل میدهند ،عدم اجرای
موارد اولیه در فرآیند تاثیراتی بر قابلیتها در طول زنجیره خواهد داشت .این به این معناست
که عملکردهای اولیه در فرآیند باید بهینه سازی شده و بر روی آنها تمرکز شود تا بهترین
نتیجه ممکن حاصل شود.
وظایف اصلی SOC
موارد زیر بهعنوان فعالیتهای اصلی که تیم SOCمسئولیت آن را بر عهده دارد ،فهرست
شدهاند .در بخش زیر ،هر فرآیند ،اهداف آن و میزان تاثیرگذاری آن توضیح داده میشود.
Collection
گام اول در این فرآیند ،جمعآوری است .این گام شامل ثبت رویدادهای مرتبط با امنیت
(هر فعالیت مفید و قابل مشاهده ،اما نه لزوماً مخرب) در محیط است .ضرورت ثبت تمام
رویدادها از جمله ترافیک وب ،ورود به سیستم و سایر عملیات مشابه برای شناسایی
فعالیتهای مشکوک که ممکن است به شناسایی حمالت در حال اجرا کمک کند ،وجود
دارد .انواع دادههای خاصی که باید جمعآوری شود ،باید تحت تأثیر Threat
Intelligenceشما باشد ،که باید شما را در مورد انواع رویدادها و الگهایی که برای
تشخیص حمالت الزم است ،آگاه سازد .در بیشتر SOCها ،یک استراتژی برای جمعآوری
دقیق ،نیازمند همکاری از طریق چندین تیم و بودجه برای سختافزار و نرمافزار مورد نیاز
برای تأمین نیازهای میدان دید خوب ،پیشبینی میشود .خروجی این مرحله رویدادهایی
است که ممکن است الگها metadata ،ترافیک شبکه یا سایر اطالعات درباره اتفاقی
که در یک دستگاه یا بخش شبکه خاص رخ داده باشد ،باشد .این داده معموالً از یک
endpointبه عنوان یک الگ تولید میشود یا از ترافیک شبکه که مستقیماً توسط یک
دستگاه شبکه یا از طریق یک port mirrorمشاهده میشود ،جمعآوری/تولید میشود.
دادههای جمعآوری شده بهتر است به صورت متمرکز شده و به SIEMارسال شود تا
جهت ارتباط ،اعمال قوانین تحلیلی و ذخیرهسازی بلندمدت نگهداری شود .هدف این مرحله
جمعآوری جامع تمام دادههای مرتبط با امنیت است که سپس میتواند در مرحله بعد برای
تحلیلهای شناسایی استفاده شود .کارآیی یک SOCدر این مرحله به طور مستقیم با
توانایی تشخیص موارد استفاده از امنیت و منابع داده کلیدی که نشانگر اجرای یک حمله
است مرتبط خواهد بود
Detection
پس از مرحله جمعآوری ،مرحله تشخیص آغاز میشود .در این فرآیند ،هدف شناسایی همه
رویدادهای مشاهده شده که ممکن است به حمله ای با پتانسیل اشاره داشته باشند (بدون
از دست دادن چیزی یا تولید .)false positiveاین کار به دو روش اتفاق میافتد،
reactiveو .proactiveشناساییهای reactiveو خودکار توسط موتورهای تحلیل در
،SIEMشبکه یا حسگرهای endpointاعمال میشوند .شناسایی همچنین به وسیله
تحلیلگران به صورت proactiveاز طریق جستجوی فعال در دادهها از طریق threat
( huntingبرای جزئیات بیشتر به بخش threat huntingدر ادامه این راهنما مراجعه
کنید) .هدف این مرحله یافتن همه فعالیتهای مخرب است و یک هشدار مرتبط با آن را
به صف تریاژ برای اقدام توسط تیم امنیت ارسال کند .کارآیی یک SOCدر این مرحله با
کیفیت ابزارهای استفاده شده و همچنین قدرت توانایی threat ،threat hunting
( intelligenceهم feedو هم TIتولید شده درون شبکه) و فرآیند detection
engineeringهمبسته است .تشخیص موفقیت طبیعتاً بر وابستگی به دادههایی که در
مرحله Collectionدر دسترس است ،تکیه دارد .هرچه عملکرد فرایند Collectionشما
بهتر باشد Detection ،بهتر کار میکند ،و همین موضوع برای کیفیت signatureتولید
شده توسط مهندسان threat intelهم صادق است.
Triage
هنگامی که مرحله ،Detectionهشدارها درباره رویدادهای مورد نظر ایجاد شد ،این
هشدارها به یک یا چند صف برای تریاژ ارسال میشوند .در این مرحله ،تحلیلگران SOC
باید در میان تمام فعالیتهای بالقوه خطرناک که توسط بخش Detectionتولید شدهاند،
بررسی کنند و ترتیب اهمیت را که هر هشدار باید بررسی شود را تعیین کنند .ترتیب تریاژ
اغلب بر اساس عواملی مانند اینکه حمله چقدر پیشرفته است ،اهمیت سیستمی که در حال
حمله است ،میزان دسترسی حساب کاربری که ممکن است مورد حمله قرار گرفته باشد ،و
یا اینکه آیا به نظر میرسد یک حمله یکتا یا هدفمند باشد ،تعیین میشود .مشابه یک
اورژانس بیمارستان ،هدف تحلیلگر در این مرحله تصحیح صف تریاژ برای بررسی در یک
ترتیب اولویت منطقی بر اساس دادههای ارائهشده است .تحلیلگران این کار را با ترکیب
دانش خود از مفاهیمی مانند Cyber Kill Chainو TTPهای حمله بر اساس
MITRE ATT&CKبا تجربه دفاعی قبلیشان انجام میدهند .از آنجا که هشدارها
معموالً پیچیده هستند و در شکل خام خود بهسختی قابل فهم هستند ،کارایی در این
مرحله به طور عمده توسط سطح جزئیات و زمینه اطالعات اضافی ارائهشده توسط ابزارهای
امنیتی به تحلیلگران در حین تریاژ هشدارها تعیین میشود.
Investigation
هنگامی که یک هشدار از صف تریاژ انتخاب میشود ،تحلیلگران SOCهشدار را با
جزئیات بیشتر بررسی میکنند تا بررسی کنند که آیا واقعاً اتفاق امنیتی حادی در حال رخ
دادن است یا خیر .از آنجایی که بسیاری از SOCها از تجزیه و تحلیل بسیار حساس و
زیاد هشدار ها رنج می برند ،این می تواند مرحله ای باشد که اغلب منجر به تعیین false
positiveو رد هشدار می شود .برای رسیدن به حقیقت موضوع ،تحلیلگران باید اطالعات
هشدار ارائهشده را دریافت کنند و مهارتهای تحلیلی خود و هر گونه شواهد اضافی که
ممکن است پیدا کنند را استفاده کنند تا ارزیابی کنند که آیا هشدار به درستی یک حمله را
شناسایی کرده است یا خیر .این ممکن است شامل جمعآوری داده از محصوالت امنیتی
دیگر شبکه اضافی یا الگها از منابع گوناگون یا انجام OSINTباشد .هدف این مرحله
تایید دقیق این است که آیا یک هشدار واقعی یا false positiveاست .هنگامی که
false positiveرخ میدهند ،منطقی است که تحلیلگران بالفاصله دلیل خطا را شناسایی
کرده و این اطالعات را به تیم detection engineeringارسال کنند تا قوانین
alertingرا اصالح کنند .تحلیلگران باید آموزش دیده شوند که مرحله بررسی را به روش
ساختاری و دقیق انجام دهند و از هر گونه تصمیمات اشتباه و خطاهای معمول دیگر که
ممکن است هنگام انجام یک بررسی اتفاق بیافتد ،پرهیز کنند .این میتواند یکی از
دشوارترین مراحل برای تحلیلگران جدید باشد .عملکرد در این بخش با چندین عامل
مرتبط است :تجربه تحلیلگر ،تکنیک تحلیل ،دسترسی به داده ،و تکنولوژی و اتوماسیون
که به تولید و ارائه شواهد به تحلیلگران کمک میکند.
Incident Response
در فرآیند ،Incident Responseبخش مورد نظر اعالنهایی را دریافت میکند که در
مرحله قبل صحت آن بررسی شده و باید واکنش های مشخصی نسبت به آن صورت
بگیرد ،اعالم میشود .هدف این مرحله تعیین دامنه ،محدود کردن و بهبود مسأله با سرعت
باال است و در نهایت با حداقل آسیب از حادثه بهبود یابد .بسته به اهمیت حادثه ،این
فعالیت ممکن است از حذف ویروس تا تحقیقات چندماهه به همراه فارنزیک ،گزارش آن
به مراجع قضایی و موارد دیگر را شامل باشد .در ، SOCابزارهای جمعآوری و تولید داده
مانند EDR/NDRو الگگیری متمرکز SIEMبه تحلیلگران و پاسخدهندگان حادثه
کمک میکنند تا به سرعت میان رویدادهای شبکه و endpointها جستوجو کنند و
دامنه آسیب دیده و میزان آن را تعیین کرده و سپس زمانبندی حادثه را مشخص کنند.
خروجیهای فرآیند Incident Responseباید شامل برطرف کردن حادثه و درسهایی
جهت پیشگیری از دوباره به وجود آمدن این نوع مشکل در آینده ،باشد .جزئیات حمالت
پس از حادثه باید برای معیار ها دستهبندی شده و به Threat Intelligenceبرای
همبستگی با حمالت قبلی و آینده ارسال میشود تا پروفایل گروههای تهدید ساخته شود.
ردیابی الگوها و جزئیات حوادث در طوالنی مدت به SOCکمک میکند تا در حمالت
بعدی دارای یک مزیت تاکتیکی و استراتژیک باشد.
فرآیند های کمکی SOC
گروههای زیر اغلب جزء سازمان SOCهستند یا به نزدیکی با آن همکاری میکنند تا
به امنیت سازمان ،کمک کنند.
هیچ ابزار تکی دیگر در محیط این حجم داده را برای کار با خود ندارد ،به این معنا است
که SIEMدر یک موقعیت قدرتمند و منحصربهفرد در امنیت سازمان شما قرار دارد.
وظیفه اصلی SIEMدریافت همه الگها و تجزیهوتحلیل آنها به فیلدهای مورد نظر
است ،که در این راستا اطالعات ممکن است در حین فرآیند غنیسازی و ارتباطبندی افزوده
شوند .سپس ،فیلدهای تجزیهوتحلیلشده در یک پایگاهدادهای نوعی به صورت سریع
فهرستبندی میشوند .این دادهها هستند که میتوانید به سرعت از آنها جستجو کنید ،بر
روی آنها هشدار دهید یا با آنها تصاویر و گزارشها ایجاد کنید.
Threat Intelligence Platform
یکی دیگر از ابزارهای کلیدی Threat Intelligence Platform ، SOCاست .در هر
SOCباید یک لیست اصلی از همه دامنهها ،هشها ،آدرسهای IPو غیره که به عنوان
مهاجم شناختهشده باید با همه رویدادها در شبکه و endpointها مطابقت یابد ،وجود
داشته باشد .در بسیاری از موارد ،این اطالعات در TIPذخیره میشود و TIPبه عنوان
«منبع حقیقت» برای IOCدر جهت مطابقت با آنها عمل میکند .برای انجام این کار،
باید همه Atomic Indicatorها به طور دورهای به IDS ،SIEMیا هر ابزار دیگری
که برای مطابقت با دادهها استفاده میشود ،صادر شود تا یک لیست نظارت بهروز روی
رویدادهای مشاهدهشده اعمال شود .در همین حال ،احتماالً TIPاز منابع Threat
Intelligenceخارجی ،و همچنین هر اطالعاتی که توسط تیم Threat Intelligence
یا SOCاز حوادث واقعی به آن بازگشته است ،دریافت خواهد کرد.
هنگامی که حوادث بررسی ،اصالح و به اتمام رسیدهاند ،تحلیلگران تیکت مرتبط را می-
بندند .در انجام این کار ،یک مورد کلیدی که نباید نادیده گرفته شود ،دستهبندی حادثه به
منظور اندازهگیری میباشد .این معیار ها در انتهای هر هفته میتوان در گزارشات استفاده
شود و مدیران SOCمیتوانند از تعداد حوادث و سطح آن ،برای ارائه بازخورد در مورد
بودجه اضافی ،استفاده کنند .از آنجا که تحلیلگران اغلب تقریباً تمام روز را در IMS
میگذرانند ،این یک بخش مهم دیگر از نرمافزارهاست که باید با دقت انتخاب شود.
جمعآوری دادههای کلیدی
دفاع سایبری با کارآیی باال به هیچ وجه یک وظیفه آسان نیست .جمعآوری و اعمال یک
مجموعه مداوم از Detectionها به مقادیر عظیمی از دادههای جاری نیازمند Threat
،Intelligenceیک زیرساخت قابل اطمینان و یک تیم ماهر پشت آن است .در هر
،SOCعملیات جمعآوری دادههای گسترده و پیچیدهای وجود دارد .از آنجا که تیمها به
دادهها در بخش رویدادهای شبکه و کالینت نیاز دارند ،یکی از چالشهای اولیه که هر
تیمی باید با آن روبرو شود ،به دست آوردن دادههای صحیح است.
انواع دادهها
اطالعات جمعآوریشده میتواند به دو دسته اصلی تقسیم شود NSM :و .CSMاین
دادهها از تمام نقاط شبکه جمعآوری میشوند و بسیاری از آنها به یک SIEMمرکزی
میروند تا امکان جستجوی آسان ،تصویرسازی ،دریافت موارد مشکوک و گزارشدهی
فراهم شود .صفحات آینده به تفصیل به تجزیه و تحلیل هر نوع داده میپردازند و منابع
کلیدی هرکدام را که باید جمعآوری شود تا به تیم عملیات امنیتی شما بیشترین فرصت
ممکن برای شناسایی حمالت پیشرفته را بدهند ،شرح میدهند.
Flow Record
Flow Recordها در سطح باالترین الگهای نظارت امنیت شبکه قرار دارند و عمدتاً
جزئیات الیههای 3و OSI (TCP/IP) 4و همچنین جزئیات زمانی را توضیح میدهند.
مزایای Flow Recordاین است که به طور معمول به راحتی برای تیمهای امنیتی در
دسترس هستند ،زیرا اغلب توسط تیمهای عملیات شبکه برای نظارت بر عملکرد استفاده
میشوند و به دلیل دادههای محدودی که دارند ،حجم فضای ذخیره سازی آنها نسبت به
سایر دادهها کمتر است .معایب Flow Recordاین است که اغلب جزئیات کافی برای
تشخیص واقعی حمله وجود ندارند ،مگر اینکه برای مطابقت با IOCمانند آدرس IPیا
یافتن موارد مشکوک در ترافیک استفاده شوند.
ابزارها و فرمتهای متداول :الگهای مبتنی بر متن تولید شده توسط ابزارهایی مانند
Zeekیا Suricataیا فرمتهای اختصاصی مانند،NetStream ،JFlow ، NetFlow
sFlow ،Zeek conn logsو ...
اجرای برنامه
Command line and arguments •
Program name and file path •
Parent process •
Hash •
Signiture – signed or unsigned, signature details •
Application control list status (allowed or unallowed) •
اجرای اسکریپت
Windows •
cscript.exe, wscript.exe, cmd.exe o
PowerShell – script file names, transcription logs, script o
block logs, module logs
macOS – osacript (AppleScript) •
Linux – sh, zsh, bash commands •
Python مانندCross-platform زبان های •
Authentication الگ های
• چه حساب های کاربری ورود موفق به سیستم داشتند؟ چه حساب هایی ورود ناموفق
داشتند؟
،local • دسترسی و ورود به سیستم از چه طریق صورت گرفته است؟(بهصورت
)... وSSH ،RDP
... وNTLM یاKerberos – • مکانیزم استفاده شده جهت احراز هویت
• اگر بهصورت ریموت صورت گرفته است ،منبع درخواست از کجا بوده است؟
نظارت بر Configurationو Baseline
• سرویس های در حال اجرا
• موارد Autorun
• Scheduled taskها
• افزودن ،حذف ،خواندن و تغییر در فایل های حساس و registry
وضعیت آسیبپذیری
• سیستم عامل :نسخه و پچ های نصب شده.
• Applicationها :چه چیزی نصب شده و نسخه آن چند است؟
وضعیت آسیبپذیری
توجه :الگهای فایروال hostمنبع قابل توجهی برای بررسی هستند ،اما معموالً قبل از
جمعآوری باید به شدت فیلتر شوند -فقط پورتهای متداول برای lateral movement
و منابع/مقصدهایی که ترافیک در آنجا غیرمنتظره خواهد بود ،را انتخاب کنید.
منابع الگ ویندوز
منابع الگ ویندوز به کانالها در Windows Event Viewerتقسیم میشوند .در حالی
که سیاست حفاظت ویندوز شما تعیین میکند که کدام رویدادها باعث ایجاد یک رکورد در
یکی از کانالها میشوند ،باز هم به تیم امنیتی وابسته است که کدام کانالها و کدام
رویدادها در هر کانال را جمعآوری کند .توجه داشته باشید که در حالی که پیکربندی
استاندارد اغلب شروع به جمعآوری کانالهای System ،Securityو Application
است ،اما این کافی نیست تا بتوانید بسیاری از حمالت پیشرفته را شناسایی کنید .برای
بهبود فعالسازی تیم شما برای تشخیص حمالت ،کانالهای الگ ویندوز زیر (هر جا که
امکانپذیر است) نیز برای جمعآوری در نظر گرفته شوند .توجه داشته باشید که بسیاری از
این کانالها نیازمند اجرای یک سیاست فیلترینگ دقیق توسط agentجمعآوری الگ
شما بر اساس EventIDو یا دیگر بخشها هستند تا تنها رویدادهای مرتبط با امنیت
جمعآوری شوند.
• /var/log/syslogیا /var/log/messages
• – /var/log/audit/kern.logالگهای Kernel
• – /var/log/audit/audit.logالگهای Auditd
• – /var/log/audit/ufw.logالگهای Firewall
• – /var/log/httpd/access.logالگهای Apache
• – /var/log/httpd/mysqld.logالگهای MySQL
الگگیری در Cloud
الگگیری و نظارت بر سیستمهای مبتنی بر cloudمیتواند به چندین روش مختلف
انجام شود که به نحوی به مدیریت سیستمهای cloudو نظارت بر سرورها ،پلتفرمها یا
برنامههای اجرا شده در cloudبستگی دارد .دو حوزه اصلی نظارت این فرآیند عبارتاند
از نظارت بر مدیریت خود پلتفرم cloudو نظارت بر سرورها ،پلتفرمها یا برنامههای اجرا
شده در .cloud
Cloud Management Plane Logs
یکی از حوزههای اصلی نگرانی برای تمامی سرویس های مبتنی بر ،cloudرابطهای
مدیریت خود هستند .هر سازمان افرادی دارد که مجوزهایی دارند ،به عنوان مثال ،وارد
صفحه مدیریت Amazon AWSمیشوند و خدمات و دادهها را میخوانند ،اصالح
میکنند ،ایجاد یا حذف میکنند .حملهکنندهای که به این عملکردهای مدیریتی دسترسی
پیدا کند ،به راحتی میتواند به چندین شیوه مختلف آسیب بزند .بنابراین ،نظارت بر
سیستمهای cloudهمیشه باید شامل بررسی این باشد که چه کسانی وارد پلتفرم مدیریت
میشوند و چه اقداماتی را انجام میدهند .منابع الگ صفحه مدیریت cloudشامل مواردی
مانند Amazon CloudTrailو Azure Activity Logsهستند.
الگگیری IaaS
برای سیستمهایی که میتوانند به عنوان IaaSدر نظر گرفته شوند ،الگگیری و نظارت
به همان ابزارها و مکانیزمهایی که در بهصورت on-premiseاجرا میشوند مشابه مورد
استفاده قرار میگیرد ،باز میگردد .از آنجا که شما در تقریباً کنترل کاملی بر روی سیستم
دارید ،الگگیری میتواند همانند هر ماشین مجازی دیگر ،اغلب با استفاده از agentها
که اطالعات در مورد فعالیت سیستم ،سیستمعامل و applicationرا جمعآوری میکنند
و سپس به یک SIEMمرکزی ارسال میکنند ،پیادهسازی شود.
الگگیری در PaaSو SaaS
اگرچه سازمان شما کنترلی بر سیستم اصلی در PaaSو SaaSندارد ،اما نگرانیهای
مربوط به امنیت آنها باید به همان اولویت باال باشند همچنان که با سایر سیستمها است.
عموماً ارائه دهندگان PaaSو SaaSامکان جمعآوری الگ را از طریق API callیا
الگهای سرویس نوشته شده به ناحیه خاصی درون پلتفرم ابری(مانند ،S3 bucket
)Azure Event Hub ،Amazon CloudWatchفراهم میکنند .سپس این APIها
و نقاط جمعآوری الگ باید در SIEMشما به عنوان یک منبع الگی که به صورت خودکار
بهره برداری میشود ،تنظیم شوند .الگهای جمعآوری شده باید شامل فعالیت برای
سرویس و همچنین کاربرانی که با نرمافزار تعامل دارند ،باشد و باید عملیاتی که انجام شد
و یا تالش ناموفقی برای آن صورت گرفت(تغییرات ،ورود/خروج ،اقدامات و غیره) را بررسی
کند.
تفاوت بین SaaSو IaaS/PaaSاین است که امنیت این سیستمها خارج از کنترل
شماست ،که الگها به عنوان تنها گزینه برای نظارت باقی میمانند و تنها چیزی که
تامینکننده شما میخواهد با شما به اشتراک بگذارد .سازمانهایی که از SaaSاستفاده
میکنند ،باید با دقت موارد کاربردی برای حمالت به این سیستمها و اهداف مهاجمان را
در نظر بگیرند و چگونگی ظاهر شدن این رویدادها با دید خوبی که از طریق APIسرویس
دهنده برای شما در دسترس است را ترسیم کنند .سپس باید قوانین تحلیل و هشدارگذاری
مرتبط با این موارد کاربرد ایجاد ،تست و به صورت مداوم تأیید شوند تا اطمینان حاصل
شود که پوشش کاملی وجود دارد.
مدلها و معیارهای عملیات امنیتی
این بخش شامل برخی از مهمترین منابع برای درک و مدلسازی حمالت سایبری ،ساخت
،Threat Intelligenceو اجرا و سنجیدن عملیات امنیتی شما است.
مدلها و چارچوبهای ارجاع حمالت
لیستی از برخی از مدلهای ذهنی مفید معموالً در امنیت اطالعات ارجاع میشوند ،همچنین
چارچوبهای بسیار مفیدی که برای استانداردسازی و سازماندهی تکنیکهاThreat ،
Intelligenceو دفاع در برابر حمالت سایبری ارائه شدهاند.
Threat Intelligenceبه چند نوع مختلف تقسیم میشود و همگی برای دفاع موثر
الزم است .مراکز عملیات امنیتی ( )SOCو تحلیلگران SOCمعموالً در سطوح پایینتر
Threat Intelligenceعملیاتی و تاکتیکی عمل میکنند ،اما این تنها کافی نیست .یک
SOCموفق باید تمامی سه سطح Threat Intelligenceرا تولید ،تهیه یا خریداری
کند تا بهترین دفاع را در سازمان خود داشته باشد.
سطح استراتژیک:
• مصرفکنندگان :مدیران اجرایی و سیاستگذاران
• نگاه گسترده به منظر تهدیدات ،تاثیر گذاری بر سرمایهگذاریها ،سیاستها و ریسک
سطح عملیاتی:
• مصرفکنندگان :پاسخگویان ارشد ،مدیران
• اهداف و روندها ،ردیابی حمالت ،قابلیتهای مهاجم
سطح تاکتیکی:
• مصرفکنندگان :تحلیلگران ،SOCتحلیلگران Threat Intelligence
• سطح ،domain ،IP :IOCشواهد + hostتحلیل آن
• متداولترین نوع برای استفاده تحلیلگران
مدلسازی تهدیدات
هر سازمان و فرد باید جزئیات مدل تهدیدات خود را به عنوان اولین مرحله در توسعه دفاع
خود در نظر بگیرد .راهنمای کلی در این فرآیند در این صفحه ذکر شده است.
ساختن یک مدل تهدید شامل پاسخ به سواالتی مانند:
.1از چه چیز محافظت میکنید؟
.2از دست چه کسی دارید آن را محافظت میکنید؟
.3چقدر احتمال دارد که نیاز به محافظت داشته باشد؟
.4عواقب آن اگر شکست بخورید چه میزان آسیب وارد میکند؟
.5چقدر حاضرید برای جلوگیری از این پیامد ها ایستادگی کنید؟
برای کسانی که میخواهند یک مدل تهدید شخصی ایجاد کنند ،راهنمای EFFدر دو
لینک زیر قابل دسترس است:
eff.org/keeping-your-site-alive/evaluating-your-threat-model .1
ssd.eff.org/en/module/your-security-plan .2
Attack Trees
Attack Treesیک روش برای تجسم جزئیات مدل تهدیدات شما و نحوهی
حملهکنندگان به تحقق اهداف خود در محیط شما است .ایجاد یک Attack Treeبرای
اهداف مختلف مهاجمان یک تمرین مفید در یافتن مسیرهایی است که مهاجمان ممکن
است دنبال کنند و نقاط کلیدی جمعآوری اطالعات را نشان میدهد تا بهبود امنیت شما
را تسریع بخشد.
ایجاد یک Attack Treeآسان است ،به سادگی با شروع از لیست کردن هدف فرضی
یک حمله در یک جعبه در باالی صفحه و سپس "یک قدم عقب بروید" ،تمام راههای
معلوم را که اجازه میدهد این اتفاق بیفتد لیست کنید .سپس این کار را به طول صفحه
تکرار کنید تا جزئیات بیشتری بدست آید .میتوانید اگر تمایل داشته باشید بر روی هر مورد
احتماالت ،رتبهبندیها یا احتمالپذیریها بگذارید ،اما این الزم نیست.
زمانی که به اتمام رسیدید ،به صورت معکوس یک نقشه از این چگونگی ممکن است
حملهکنندگان حمله خود را شروع کنند ،از محیط شما عبور کنند و در نهایت هدف خود را
به دست آورند ،تولید کردهاید .انجام این تمرین فکری ممکن است نقاط کور و سایر نقاط
ضعف سازمان شما را قبل از اینکه مهاجمان آنها را پیدا کند ،روشن کند و به تیم دفاعی
وقت بدهد تا مشکل را قبل از اینکه در یک حمله واقعی کشف شود ،حل کند .در دیاگرام
مثالی از یک درخت حمله برای یک دزدی از بانک آمده است که توسط بروس شنایر در
پست منبعی که به آن ارجاع داده شده است ،ارائه شده است و شما میتوانید جزئیات
بیشتری در مورد چگونگی عبور از این فرآیند را بیابید.
منبع Attack Tree
چرخه F3EAD
منبع
حلقه OODA
حلقه OODAکه توسط خلبان جان بوید در دهه ۱۹۴۰طراحی شده است ،به عنوان یک
مدل ذهنی نمایانگر چهار مرحلهای است که هر دو طرف درگیر در هر رقابت سر به سری
به طور مداوم آن را طی میکنند .همچنین پیشبینی میکند که کدام طرف ممکن است
بر اساس سرعتی که هر طرف میتواند از طریق حلقه حرکت کند ،برنده شود .برای ،SOC
این مدل یک راه مفید برای تفکر در مورد اهمیت نرخ عملیاتی است ،و چگونگی سرعت
در هر فرآیند SOCبه موفقیت در مقابله با یک مهاجم کمک میکند.
حلقه OODAو سرعت عملیات
مشاهده ):(Observeاین مرحله به جمعآوری اطالعات از محیط اختصاص دارد.
برای ،SOCاین عملکرد ترجمه به فرآیند جمعآوری) (Collectionمیشود ،یعنی
توانایی مشاهده دادههای شبکه و دادههای سمت کاربر جهت شناسایی یک حمله.
جهتدهی) :(Orientاز بین تمام مراحل ،مرحله جهتدهی یکی از اثرات بزرگترین
را دارد چرا که در آن ما سعی میکنیم وضعیت را با توجه به دادههای ارائه شده تفسیر
کنیم .برای ،SOCاین به معنای گرفتن محتوای دادههای موجود در شبکه برای ایجاد
فرضیه از چه اتفاقی ممکن است رخ دهد میباشد .بدون تیمی که آموزش دیده باشد
که حمالت یا اطالعات موجود را درک کند ،این مرحله ممکن است منجر به تفسیر
نادرست اطالعات یا واکنش اشتباه شود.
تصمیمگیری) :(Decideدر این مرحله زمان تصمیمگیری است ،با توجه به تفسیر
شما از رویدادها از مرحله جهتیابی ،بهترین حرکت بعدی را برای مقابله با حریف
تصمیم بگیرید .برای ،SOCاین به معنای تصمیمگیری در مورد بهترین راه برای
جلوگیری از مهاجمان است بهطوری که ما قادر باشیم در حلقههای بعدی مزیتی بر
آنها داشته باشیم .برای یک ،SOCاثربخشی در این مرحله اغلب به تجربه و آموزش
در مورد بهترین پاسخ به هر وضعیت داده شده بستگی دارد Playbook .ها و روشهای
پاسخ به حوادث ممکن است در این مرحله به اندازهی زیادی کمک کننده باشند.
اجرا) :(Actمرحله اجرا ،کامالً درباره پیگیری اقداماتی است که در مرحله تصمیمگیری
تصمیم گرفته شده است .در ،SOCاین میتواند به توانایی شما در پاسخ سریع به یک
حمله ترجمه شود .آیا مجوز و ابزار و روشهای الزم برای اقدام سریع و کاهش آسیب
در اختیار شماست؟ مرحله اجرا منجر به بازخورد تأثیر اقدامات شما به مرحله بعدی
مرحله مشاهده میشود ،جایی که SOCباید ببیند که آیا اقدامات انجام شده پیامدهای
مطلوب داشته است یا خیر.
Threat Hunting
تهدید ،نقطه اساسی در عملیات روزانه است و دیگر قسمت اساسی از عملکرد Detection
است که قبالً توضیح داده شده است .در حالی که هر SOCیک کتابخانه بزرگ از حمالت
و Signatureهای شناخته شده برای شناسایی حمالت دارد ،تضمین میشود که بسیاری
از قطعات ناشناختهای از malwareها و روشهای حمله وجود دارد که هنوز هیچ
signatureخاصی برای آنها وجود ندارد .بنابراین Threat Hunting ،یک فعالیت
ضروری برای همه تیمهای SOCاست ،بدون توجه به اندازه یا تجربه.
Threat Huntingباید به عنوان نیمه دیگر عملیات Detectionمشاهده شود .به جای
reactiveبودن بر اساس مطابقت با شاخصهای حمله ،در مدل ،proactiveبا فرض
اینکه "مورد نفوذ قرار گرفته ایم شبکه را مورد بررسی قرار میدهیم" است Hunt .بدون
signatureبدافزار های شناخته شده اغلب شامل جمعآوری و تجزیه و تحلیل دقیق
مقادیر بزرگی از داده یا فعالیت برای شناسایی نقصانهایی است که ممکن است ما را به
سمت درست هدایت کند .در حالی که تمام تیمها میتوانند به دنبال تهدید جستجو کنند،
طبیعت تاکتیکهای Threat Huntingاغلب به این معناست که کسانی که دارای
جمعآوری داده و تجزیه و تحلیل دادههای گسترده و خوب برنامهریزی شده هستند،
همچنین Threat Intelligenceقوی برای استفاده به عنوان مرجع ،موثرترین در پیدا
کردن موارد مخرب خواهند بود .این فرآیند میتواند به مراحل زیر تقسیم شود:
معیار ها
معیار ها) (Metricدر SOCبه عنوان یک مکانیزم بازخورد بسیار مهم استفاده میشوند.
این بازخورد هم برای اندازهگیری عملکرد SOCو هم به عنوان یک مکانیزم ارتباطی بین
SOCو مدیریت استفاده میشود .معیار های داخلی که توسط افراد داخل SOCنظارت
میشوند ،باید اندازهگیریهایی را نشان دهند که به افراد داخل SOCبگویند آیا امور در
حد عادی اداره میشود یا خیر ،و همچنین نشان دهند که پروژهها و اقدامات بهبود چگونه
در حال پیشرفت هستند .معیارها خارجی باید بر روی ارائه اطالعاتی به مدیریت عالی
تمرکز داشته باشند که به آنها کمک کند تصمیمات در خصوص ریسک و بودجهها را
بگیرند ،و همچنین بازگشت سرمایه تولید شده توسط تیم امنیتی را به وضوح نشان دهند.
این بخش حاوی مفاهیم و مالحظات ارزیابی برای معیارهای شما است .به یاد داشته باشید
که موفقیت در SOCبر اساس کارایی در هر دو وظایف عملیاتی روزانه و بهبود مستمر
است.
انواع معیار
معیارها
یک اندازهگیری از یک فرآیند تجاری است که شامل یک نقطه مرجع یا زمینه مرتبط
نمیشود .معیارها به عنوان جزء کلیدی از دو مورد بعدی استفاده میشوند (مثال :هشدارها
در صف تریاژ).
اهداف و نتایج کلیدی (OKRها)
یک فریمورک مدیریت هدف استراتژیک برای اندازهگیری پیشرفت و فعالیتها .سیستم
OKRمیتواند یک راه برای تولید معیارها برای فعالیتهای بهبود در SOCباشد.
• هدف :هدفی که باید دستیافته شود.
• نتایج کلیدی :راههای مشخص و قابل اندازهگیری که نشان دهنده پیشرفت به سوی
هدف است.
• فعالیتها :اقدامات خاصی که برای پیش روی از ابتدا تا پایان هدف انجام میشوند.
• مؤلفههای قابل اندازهگیری
oمقدار شروع :معیاری از عالقه در آغاز پروژه
oمقدار فعلی :معیار وضعیت در طول دورهی اندازهگیری اخیر
oمقدار هدف :مقدار معیار هنگامی که پروژه به عنوان کامل محسوب میشود.
شاخصهای عملکرد کلیدی (KPIها)
یک معیار +حدود یا مرزهای مطلوب آن معیار .برای اندازهگیری و حفظ وضعیت عادی یا
کار به عنوان معمول .وقوع یک KPIخارج از محدوده معموالً به معنای لزوم اقدامی برای
اصالح موضوع استKPI .ها باید برای موارد عملیاتی روزانه SOCتوسعه داده و استفاده
شوند تا بدانیم ابزارها و فرآیندهای امنیتی همانطور که انتظار میرود ،کار میکنند.
(مثال :نرخ حوادث false positive ،و هر منطقه دیگری که یک هدف مشخص شده
باشد).
مثال
• هدف :کاهش خطر و تأثیر حمالت phishingموفق
• نتیجه کلیدی :1کمتر از ٪1از ایمیلهای اسپم به صندوقهای پیامها تحویل داده
شود.
• نتیجه کلیدی :2حداکثر زمان پاسخ 30دقیقه از هشدار مربوط به phishingتا
محافظت و کنترل موجود باشد.
• نتیجه کلیدی :3کمتر از 3مورد در هفته از ایمیلهای مخرب بر روی کاربران تأثیر
بگذارد.
• فعالیتها :پیادهسازی sandboxایمیل های مخرب ،آگاهی رسانی برای کاربران،
مانیتورینگ ایمیل و Threat Hunting
SOC
ابزار های Open-Source
با وجود ابزارهای تجاری بسیاری برای دفاع سایبری در همه زمینهها ،تیمهای با بودجه
محدود نیاز به نگرانی ندارند .با استفاده از تیمی پرانرژی و متعهد ،میتوان به راحتی یک
دفاع سایبری کالس جهانی با استفاده از فراوانی از محصوالت Open-Sourceو رایگان
که اکنون در دسترس هستند ،ایجاد کرد .در زیر تعدادی از محبوبترین ابزارهای Open-
Sourceدر انواع مختلف آورده شده است:
سیستمهای مدیریت حوادث (:)IMS
• The Hive
• FIR
مانیتورینگ امنیت شبکه:
• metadata ،IDSشبکه:
Suricata o
EVEbox -
Snort o
Zeek o
• :Full Packet Capture
Arkime(Moloch) o
Google Stenographer o
Netsniff-ng o
• توزیعهای لینوکس:
Security Onion o
RockNSM o
مانیتورینگ HIDS /endpoint
• NXLog Community Edition
• OSQuery
• OSSEC: HIDS
• Sysmon
• Wazuh
پاسخ به حوادث
• Kansa
• Velociraptor
Sandboxو تحلیل بد افزار
• Cuckoo Sandbox
• :REMnuxتوزیع لینوکس برای تحلیل بد افزار
پلتفرمهای Threat Intelligence
• MISP
• OpenCTI
آزمایش و گزارشدهی تیم بنفش
• Vectr
Log Management / SIEM
• Elastic Stack
Elastalert o
اتوماسیون و پاسخ امنیتی)(SOAR
• NSA Walkoff
• Shuffle
• IBM Node-Red
تاریخ پشتیبانی و بروز رسانی بعضی از این ابزار ها به اتمام رسیده و شاید دیگر برای پیاده
سازی عملی مناسب نباشد ،اما برای یادگیری و بررسی پیشنهاد میشود.
پادکستها
و این،تعداد زیادی پادکست با کیفیت در حوزههای مختلف امنیت سایبری موجود است
اما پادکست های ذکر شده از کیفیت خوبی برخوردار.لیست قطعا لیست کاملی نیست
.هستند و خالی از لطف نیست اگر نگاهی به آنها بیندازید
• https://www.sans.org/cyber-security-courses/blue-team-
fundamentals-security-operations-analysis/
• https://www.sans.org/cyber-security-courses/building-
leading-security-operations-centers
• https://www.sans.org/posters/guide-to-security-operations/
هرچند دفاع سایبری یک موضوع بسیار
عمیق است ،اما تعدادی از دیدگاهها،
مدلها ،منابع داده و تکنیکها وجود
دارند که میتوانند تیم را به سمت ایده آل
هدایت کنند .این راهنما یک مجموعه از
مفیدترین اطالعات و مدلها برای کسانی
که در مراکز عملیات امنیت فعالیت
میکنند ،همچنین اشاره به ابزارهای
قدرتمند رایگان ،مراجع کتاب و موارد
دیگر است تا به ساختار تیم ،مهارتها و
تواناییهای دفاعی کمک کند.
linkedin.com/in/heisalim