บทที่สาม
การเข้าใจว่าเหตุการณ์หนึ่งเป็นเหตุการณ์ที่เกิดขึ้นจริงหรือไม่ ทำให้ฉันนึกถึงสำนวนทั่วไปที่ว่า “ฉันรู้เมื่อเห็นมัน” ซึ่งมีชื่อเสียงโดยสจ๊วตผู้พิพากษาศาลฎีกาสหรัฐ เขาหมายถึงความลามกอนาจารมากกว่าการตอบสนองต่อเหตุการณ์ แต่ความเข้าใจผิดทั่วไปที่ว่า "รู้เมื่อคุณเห็น" มักจะทำให้เกิดภัยพิบัติต่อผู้เผชิญเหตุที่ตั้งใจดีที่สุด
ความจริงที่ไม่สบายใจคือคุณอาจไม่รู้เมื่อเห็น เพราะเครื่องมือและเทคนิคล่าสุดของผู้โจมตีนั้นมีลักษณะลับๆ ล่อๆ มากขึ้นเรื่อยๆ และมักจะซ่อนตัวอยู่ในสายตา เคล็ดลับคือการดูเครือข่ายและการดำเนินงานของคุณจากมุมมองของผู้โจมตี โดยมองหาตัวบ่งชี้หลักและพื้นที่ที่เปิดเผยก่อนที่จะถูกโจมตี และทั้งหมดนี้ขึ้นอยู่กับว่าคุณจะทำ Triage เหตุการณ์ได้อย่างมีศิลปะเพียงใด
โดยทั่วไปจะใช้ในชุมชนทางการแพทย์ Triage ที่มีประสิทธิภาพช่วยชีวิตโดยช่วยให้บุคลากรทางการแพทย์ฉุกเฉินประเมินความรุนแรงของบาดแผลหรือความเจ็บป่วยอย่างรวดเร็ว และสร้างโปรโตคอลที่ถูกต้องตามลำดับที่ถูกต้อง เพื่อลดการบาดเจ็บและรักษาสุขภาพของผู้ป่วยและการฟื้นตัว ท่ามกลางวิกฤตที่ทุกวินาทีมีค่า
ในบทนี้ เราจะมอบเครื่องมือเพื่อสร้างความสามารถของคุณในการคัดแยกประเภทเหตุการณ์ด้านความปลอดภัยข้อมูล คุณจะได้เรียนรู้วิธีระบุเหตุการณ์ด้านความปลอดภัยประเภทต่างๆ โดยทำความเข้าใจว่าการโจมตีเกิดขึ้นได้อย่างไร และวิธีรับมืออย่างมีประสิทธิภาพก่อนที่จะตกไปอยู่ในมือ
เหตุการณ์ด้านความปลอดภัยกับเหตุการณ์ด้านความปลอดภัยข้อมูล
เหตุการณ์ด้านความปลอดภัยกับเหตุการณ์ด้านความปลอดภัยข้อมูลข้อสังเกตสั้นๆ เกี่ยวกับความแตกต่างระหว่างเหตุการณ์ด้านความปลอดภัยและเหตุการณ์ด้านความปลอดภัยข้อมูล... ในคู่มือนี้ ข้อสันนิษฐานคือเรามุ่งเน้นไปที่เหตุการณ์ด้านความปลอดภัยข้อมูลประเภทต่างๆ เทียบกับเหตุการณ์ด้านความปลอดภัยมาตรฐานของคุณ ซึ่งอาจไม่เกี่ยวข้องกับข้อมูลดิจิทัลและอาจถูกบรรจุไว้อย่างสมบูรณ์ในโลกทางกายภาพ (เช่น การทำร้ายร่างกาย) ที่กล่าวว่า อาจมีบางโอกาสที่ผสมปนเปกัน - ประเภทของเหตุการณ์ด้านความปลอดภัยข้อมูลหรือการโจมตีที่เกี่ยวข้องกับส่วนประกอบทางกายภาพ (เช่น การขโมยแล็ปท็อป)
ชอบคำแนะนำนี้หรือไม่
ทดลองใช้ AlienVault USM ฟรี
เร่งการตรวจจับภัยคุกคามและการตอบสนองต่อเหตุการณ์ด้วยการควบคุมความปลอดภัยที่จำเป็นทั้งหมดที่คุณต้องการในคอนโซลเดียวที่ใช้งานง่าย
ทดลองขับได้เลย
แนะนำสำหรับคุณด้วย
- ชุดเครื่องมือตอบสนองเหตุการณ์ AlienVault
- 10 เคล็ดลับในการเลือก anMSSP
- 5 การควบคุมความปลอดภัยสำหรับศูนย์ปฏิบัติการความปลอดภัยที่มีประสิทธิภาพ
ข้อดีของเหตุการณ์ความปลอดภัยประเภทต่างๆ
กลยุทธ์การตอบสนองที่แตกต่างกัน
แล้วคุณป้องกันอะไร? วิธีที่ดีที่สุดในการพิจารณาการตอบสนองต่อเหตุการณ์ที่เหมาะสมในสถานการณ์ที่กำหนดคือการทำความเข้าใจว่าการโจมตีประเภทใดที่มีแนวโน้มที่จะใช้กับองค์กรของคุณ ตัวอย่างเช่น NIST ได้จัดเตรียมรายการของเวกเตอร์การโจมตีต่างๆ ดังต่อไปนี้:
สื่อภายนอก/สื่อที่ถอดออกได้:
การโจมตีจากสื่อที่ถอดเข้าออกได้ (เช่น แฟลชไดรฟ์ ซีดี) หรืออุปกรณ์ต่อพ่วง
อีเมล:
การโจมตีที่ดำเนินการผ่านข้อความอีเมลหรือไฟล์แนบ (เช่น การติดมัลแวร์)
การขัดสี:
การโจมตีที่ใช้วิธีการกำลังดุร้ายเพื่อประนีประนอม ลดระดับ หรือทำลายระบบ เครือข่าย หรือบริการ
การใช้งานที่ไม่เหมาะสม:
เหตุการณ์ใดๆ ที่เกิดจากการละเมิดนโยบายการใช้งานที่ยอมรับได้ขององค์กรโดยผู้ใช้ที่ได้รับอนุญาต ยกเว้นหมวดหมู่ข้างต้น
เว็บ:
การโจมตีที่ดำเนินการจากเว็บไซต์หรือแอปพลิเคชันบนเว็บ (เช่น การดาวน์โหลดโดยใช้ไดรฟ์)
อุปกรณ์สูญหายหรือถูกขโมย:
การสูญหายหรือถูกขโมยของอุปกรณ์คอมพิวเตอร์หรือสื่อที่ใช้โดยองค์กร เช่น แล็ปท็อปหรือสมาร์ทโฟน
อื่น:
การโจมตีที่ไม่จัดอยู่ในประเภทอื่นๆ
จัดหมวดหมู่ประเภทเหตุการณ์ความปลอดภัยของข้อมูลโดยเข้าถึงจิตใจของผู้โจมตี
หนึ่งในข้อเข้าใจผิดที่ใหญ่ที่สุดเกี่ยวกับการรักษาความปลอดภัยข้อมูลแบบดั้งเดิมคือข้อสันนิษฐานพื้นฐานที่คุณรู้ว่าผู้โจมตีจะใช้เส้นทางใดผ่านเครือข่ายของคุณ ตัวอย่างเช่น ผู้โจมตีไม่ค่อยเข้ามาทางประตูหน้าของคุณ หรือในบริบทนี้ ไฟร์วอลล์เกตเวย์ของคุณ แต่โดยทั่วไปแล้วการโจมตีแต่ละครั้งจะทำงานผ่านรูปแบบบางอย่าง หรือสิ่งที่ Lockheed Martin เรียกว่า "ห่วงโซ่การฆ่าทางไซเบอร์"
“ห่วงโซ่การฆ่าทางไซเบอร์” คือลำดับของขั้นตอนที่จำเป็นสำหรับผู้โจมตีในการแทรกซึมเครือข่ายและดึงข้อมูลออกจากเครือข่ายได้สำเร็จ แต่ละด่านจะแสดงให้เห็นถึงเป้าหมายเฉพาะตามเส้นทางของผู้โจมตี การออกแบบแผนการตรวจสอบและการตอบสนองของคุณเกี่ยวกับรูปแบบห่วงโซ่การฆ่าในโลกไซเบอร์เป็นวิธีการที่มีประสิทธิภาพ เนื่องจากมุ่งเน้นไปที่วิธีการโจมตีที่เกิดขึ้นจริง
เวที
เป้าหมายของผู้โจมตี
เวที:
1) การลาดตระเวนและการสืบสวนสอบสวน
เป้าหมายของผู้โจมตี:
- ค้นหาเป้าหมาย
- พัฒนาแผนการโจมตีตามโอกาสในการแสวงหาผลประโยชน์
เวที:
2) การจัดส่งและการโจมตี
เป้าหมายของผู้โจมตี:
- วางกลไกการจัดส่งออนไลน์
- ใช้วิศวกรรมสังคมเพื่อชักจูงให้เป้าหมายเข้าถึงมัลแวร์หรือการแสวงประโยชน์อื่นๆ
เวที:
3) การแสวงหาประโยชน์และการติดตั้ง
เป้าหมายของผู้โจมตี:
- ใช้ประโยชน์จากช่องโหว่ในระบบเป้าหมายเพื่อรับการเข้าถึง
- ยกระดับสิทธิ์ของผู้ใช้และติดตั้งเพย์โหลดการคงอยู่
เวที:
4) การประนีประนอมของระบบ
เป้าหมายของผู้โจมตี:
- กรองข้อมูลมูลค่าสูงอย่างเงียบๆ และรวดเร็วที่สุด
- ใช้ระบบที่ถูกบุกรุกเพื่อรับการเข้าถึงเพิ่มเติม "ขโมย" ทรัพยากรคอมพิวเตอร์ และ/หรือใช้ในการโจมตีผู้อื่น
เหตุการณ์ด้านความปลอดภัยใดที่ฉันต้องกังวลจริงๆ
เหตุการณ์ด้านความปลอดภัยใดที่พัฒนาไปสู่ประเภทของเหตุการณ์ด้านความปลอดภัยข้อมูลที่ต้องให้ความสนใจในตอนนี้ และ… ฉันจะทำอย่างไรกับมัน? เพื่อช่วยจัดหมวดหมู่เหตุการณ์แต่ละประเภท ให้จัดแต่ละประเภทให้สอดคล้องกับห่วงโซ่การฆ่าทางไซเบอร์เพื่อกำหนดลำดับความสำคัญที่เหมาะสมและกลยุทธ์การตอบสนองต่อเหตุการณ์ คุณสามารถใช้ตารางนี้เป็นจุดเริ่มต้น
ประเภทเหตุการณ์
ด่าน Kill Chain
ระดับความสำคัญ
การดำเนินการที่แนะนำ
ประเภทเหตุการณ์:
กิจกรรมการสแกนพอร์ต* (เหตุการณ์ก่อนหน้า)
ด่าน Kill Chain:
การลาดตระเวนและการสืบสวนสอบสวน
ระดับความสำคัญ:
ต่ำ
การดำเนินการที่แนะนำ:
ละเว้นเหตุการณ์ส่วนใหญ่เหล่านี้ เว้นแต่ว่า IP ต้นทางมีชื่อเสียงไม่ดี และมีหลายเหตุการณ์จาก IP เดียวกันนี้ในกรอบเวลาเล็กๆ
เคล็ดลับโบนัส: Open Threat Exchange® ของ AlienVaultเป็นวิธีที่ดีในการตรวจสอบคะแนนชื่อเสียงของ IP
ประเภทเหตุการณ์:
การติดเชื้อมัลแวร์
ด่าน Kill Chain:
การจัดส่งและการโจมตี
ระดับความสำคัญ:
ต่ำ-กลาง
การดำเนินการที่แนะนำ:
แก้ไขการติดมัลแวร์โดยเร็วที่สุดก่อนที่จะดำเนินการ สแกนเครือข่ายที่เหลือของคุณเพื่อหาตัวบ่งชี้การบุกรุกที่เกี่ยวข้องกับการแพร่ระบาดนี้ (เช่น แฮช MD5)
ประเภทเหตุการณ์:
การปฏิเสธการให้บริการแบบกระจาย
ด่าน Kill Chain:
การใช้ประโยชน์ & การติดตั้ง
ระดับความสำคัญ:
สูง
การดำเนินการที่แนะนำ:
กำหนดค่าเว็บเซิร์ฟเวอร์เพื่อป้องกันคำขอฟลัด HTTP และ SYN ประสานงานกับ ISP ของคุณระหว่างการโจมตีเพื่อบล็อก IP ต้นทาง
ประเภทเหตุการณ์:
การปฏิเสธการให้บริการแบบกระจาย
ด่าน Kill Chain:
การใช้ประโยชน์ & การติดตั้ง
ระดับความสำคัญ:
สูง
การดำเนินการที่แนะนำ:
บางครั้งมีการใช้ DDoS เพื่อเบี่ยงเบนความสนใจจากการพยายามโจมตีที่รุนแรงกว่าครั้งอื่น เพิ่มการตรวจสอบและตรวจสอบกิจกรรมที่เกี่ยวข้องทั้งหมด และทำงานอย่างใกล้ชิดกับ ISP หรือผู้ให้บริการของคุณ
ประเภทเหตุการณ์:
การเข้าถึงโดยไม่ได้รับอนุญาต
ด่าน Kill Chain:
การใช้ประโยชน์ & การติดตั้ง
ระดับความสำคัญ:
ปานกลาง
การดำเนินการที่แนะนำ:
ตรวจจับ ตรวจสอบ และตรวจสอบความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต โดยให้ความสำคัญกับภารกิจที่สำคัญและ/หรือมีข้อมูลที่ละเอียดอ่อน
ประเภทเหตุการณ์:
การละเมิดภายใน
ด่าน Kill Chain:
การประนีประนอมของระบบ
ระดับความสำคัญ:
สูง
การดำเนินการที่แนะนำ:
ระบุบัญชีผู้ใช้ที่ได้รับสิทธิพิเศษสำหรับโดเมน เซิร์ฟเวอร์ แอป และอุปกรณ์ที่สำคัญทั้งหมด ตรวจสอบให้แน่ใจว่าเปิดใช้งานการตรวจสอบสำหรับทุกระบบและสำหรับเหตุการณ์ของระบบทั้งหมด และตรวจสอบให้แน่ใจว่ามีการป้อนโครงสร้างพื้นฐานการตรวจสอบบันทึกของคุณ (เครื่องมือ USM หรือ SIEM ของคุณ)
ประเภทเหตุการณ์:
การเพิ่มระดับสิทธิ์โดยไม่ได้รับอนุญาต
ด่าน Kill Chain:
การใช้ประโยชน์ & การติดตั้ง
ระดับความสำคัญ:
สูง
การดำเนินการที่แนะนำ:
กำหนดค่าระบบที่สำคัญของคุณเพื่อบันทึกเหตุการณ์การยกระดับสิทธิพิเศษทั้งหมด และตั้งค่าการเตือนสำหรับความพยายามในการยกระดับสิทธิ์โดยไม่ได้รับอนุญาต
ประเภทเหตุการณ์:
การโจมตีทำลายล้าง
ด่าน Kill Chain:
การประนีประนอมของระบบ
ระดับความสำคัญ:
สูง
การดำเนินการที่แนะนำ:
สำรองข้อมูลและระบบที่สำคัญทั้งหมด ทดสอบ จัดทำเอกสาร และอัปเดตขั้นตอนการกู้คืนระบบ ระหว่างที่ระบบถูกบุกรุก - รวบรวมหลักฐานอย่างระมัดระวัง และจัดทำเอกสารขั้นตอนการกู้คืนทั้งหมด ตลอดจนข้อมูลหลักฐานทั้งหมดที่รวบรวมได้
ประเภทเหตุการณ์:
ภัยคุกคามต่อเนื่องขั้นสูงหรือการโจมตีหลายขั้นตอน
ด่าน Kill Chain:
ทุกขั้นตอน
ระดับความสำคัญ:
สูง
การดำเนินการที่แนะนำ:
เหตุการณ์เอกพจน์รายการใดรายการหนึ่งที่ระบุไว้ในที่นี้อาจเป็นส่วนหนึ่งของเหตุการณ์ด้านความปลอดภัยประเภทที่เลวร้ายที่สุดเท่าที่จะจินตนาการได้… APT ที่น่าสะพรึงกลัว สิ่งสำคัญคือการดูแต่ละเหตุการณ์ผ่านบริบทที่ใหญ่ขึ้น ซึ่งเป็นเหตุการณ์ที่รวมข้อมูลภัยคุกคามล่าสุด (ดูด้านล่างสำหรับข้อมูลเพิ่มเติมเกี่ยวกับความต้องการข่าวกรองภัยคุกคาม)
ประเภทเหตุการณ์:
สัญญาณเตือนที่ผิดพลาด
ด่าน Kill Chain:
ทุกขั้นตอน
ระดับความสำคัญ:
ต่ำ
การดำเนินการที่แนะนำ:
งานส่วนใหญ่ของผู้เผชิญเหตุถูกใช้ไปกับการกำจัดข้อมูลที่ไม่เกี่ยวข้องและลบผลบวกลวง คุณจะต้องปรับจูนวิทยุของการตรวจสอบความปลอดภัยอย่างต่อเนื่องเพื่อให้ได้สัญญาณที่ถูกต้อง
ประเภทเหตุการณ์:
อื่น
ด่าน Kill Chain:
ทุกขั้นตอน
ระดับความสำคัญ:
สูง
การดำเนินการที่แนะนำ:
การตอบสนองเหตุการณ์คือระเบียบวินัยของการปรับปรุงอย่างต่อเนื่อง เมื่อคุณเห็นว่าเหตุการณ์กลายเป็นเหตุการณ์มากขึ้นเรื่อยๆ คุณจะค้นพบวิธีใหม่ๆ ในการจัดหมวดหมู่เหตุการณ์เหล่านั้น รวมถึงวิธีใหม่ๆ ในการป้องกันไม่ให้เหตุการณ์นั้นเกิดขึ้นตั้งแต่แรก
* หมายเหตุเกี่ยวกับการสแกนพอร์ต:
แม้ว่าคุณจะแน่ใจว่าผู้โจมตีไม่ได้รับข้อมูลที่เป็นประโยชน์กลับมาจากการสแกนของพวกเขา หากดูเหมือนว่าพวกเขากำลังทำการสแกนระบบภายนอกของคุณอย่างละเอียดและครอบคลุม ก็มีเหตุผลที่จะตีความสิ่งนี้ว่าเป็นความตั้งใจที่จะติดตามการสอดแนมด้วยความพยายามโจมตีในภายหลัง หากการสแกนเกิดขึ้นจากเครือข่ายขององค์กรที่ถูกต้อง การติดต่อทีมรักษาความปลอดภัย (หากมี) หรือเจ้าหน้าที่จัดการเครือข่ายมักเป็นวิธีการที่ดีที่สุด
เป็นทางเลือกสุดท้าย หากไม่มีรายละเอียดการติดต่อปรากฏขึ้น ให้ลองใช้รายละเอียดการติดต่อที่แสดงอยู่ในไครข้อมูลสำหรับโดเมน ที่อยู่อีเมล abuse@domain มักจะเป็นอีเมลติดต่อสำหรับการสื่อสารประเภทนี้ แต่อาจไม่สามารถใช้ได้สำหรับองค์กรขนาดเล็กหรืออายุน้อยกว่า BTW การบล็อกที่อยู่ต้นทางอาจเป็นการต่อต้าน และทำให้ผู้โจมตีใช้ที่อยู่ต้นทางอื่น
** หมายเหตุเกี่ยวกับการเตือนที่ผิดพลาด:
เราได้แสดงความจำเป็นในการ "จดจ่อกับสิ่งที่คุณรู้" หลายครั้งในคู่มือนี้ - งานส่วนใหญ่ที่การตรวจสอบความปลอดภัยพบว่าเป็นเรื่องธรรมดาแต่มีความสำคัญ
- ความล้มเหลวในการควบคุม:พอร์ตไฟร์วอลล์ที่ไม่ควรเปิดสู่สายตาชาวโลก ประเภทของเว็บไซต์ที่ควรถูกบล็อกที่พร็อกซี โฮสต์ที่ถูกบุกรุกเนื่องจากไม่ได้ติดตั้งระบบรักษาความปลอดภัยปลายทาง งานตอบสนองเหตุการณ์ถือเป็น "การประกันคุณภาพ" สำหรับความพยายามด้านความปลอดภัยที่เหลือของคุณ
- ลดเสียงรบกวน:หากการวิเคราะห์ความปลอดภัยเกี่ยวกับการหา 'เข็มในกองหญ้า' วิธีที่ดีที่สุดวิธีหนึ่งในการทำให้งานง่ายขึ้นคือการสร้างกองหญ้าให้เล็กลง ลบทราฟฟิกที่ไม่จำเป็น บริการที่ไม่ต้องการ ซอฟต์แวร์ไคลเอ็นต์ที่ล้าสมัย และช่องโหว่ที่แก้ไขได้ง่าย
- การละเมิดนโยบาย:ตามหลักการแล้ว คุณหวังว่าจะใช้เวลามากขึ้นในการค้นหาสิ่งที่เกิดขึ้นที่ทำให้เครือข่ายของคุณตกอยู่ในความเสี่ยง โดยไม่ล้างข้อมูลผลลัพธ์ของความเสี่ยงนั้นที่ถูกโจมตีโดยฝ่ายที่ไม่เป็นมิตร
รวมข่าวกรองภัยคุกคามระดับท้องถิ่นและระดับโลก
เพื่อการทดสอบที่มีประสิทธิภาพ
เรามักนึกถึงการตอบสนองต่อเหตุการณ์ว่าเป็นงานด้านนิติวิทยาศาสตร์ที่ละเอียด พิถีพิถัน มองทีละระบบอย่างใกล้ชิด อย่างไรก็ตาม งานตรวจสอบความปลอดภัยส่วนใหญ่สามารถแก้ไขได้ด้วยการดูภาพรวมที่ใหญ่ขึ้นของสถานะและกิจกรรมบนโครงสร้างพื้นฐานของคุณ
การทำความเข้าใจว่าระบบของคุณสื่อสารกับระบบอื่นที่ใด และอย่างไร และการเปลี่ยนแปลงที่เกิดขึ้นกับระบบเหล่านี้ สามารถเปิดเผยการโจมตีที่การควบคุมความปลอดภัยอื่นๆ ไม่สามารถทำได้
ข่าวกรองภัยคุกคามช่วยให้คุณเลิกสนใจเรื่องช่องโหว่ การหาประโยชน์และแพตช์ และมุ่งเน้นไปที่สิ่งที่สร้างความเสียหายต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลในบริษัทของคุณ
ขั้นตอนแรกคือการทำความเข้าใจเกี่ยวกับสภาพแวดล้อมคอมพิวเตอร์ปัจจุบันของคุณให้มากที่สุด บางคนอ้างถึงสิ่งนี้ว่าเป็นการรับรู้ด้านสิ่งแวดล้อมหรือการรับรู้สถานการณ์หรือแม้แต่การรับรู้ตามบริบท เราชอบคิดว่ามันเป็นข้อมูลข่าวกรองภัยคุกคามในท้องถิ่น
เมื่อคุณรวมข้อมูลมากมายเกี่ยวกับเครือข่ายของคุณเองเข้ากับข่าวกรองภัยคุกคามระดับโลกล่าสุด (เฉพาะเจาะจงเกี่ยวกับเครื่องมือ เทคนิค และแนวโน้มของผู้โจมตี) คุณจะประสบความสำเร็จในการคัดแยกที่มีประสิทธิภาพ คุณจะมุ่งเน้นไปที่ประเภทของเหตุการณ์ด้านความปลอดภัยที่สำคัญ เทียบกับการเสียเวลาไปกับผลบวกปลอมหรือสัญญาณรบกวนที่ไม่เกี่ยวข้อง
Global Threat Intelligence เชื่อมโยงช่องว่างระหว่างการตรวจจับวิธีการโจมตีที่รู้จัก และการตรวจหาตัวการคุกคามที่รู้จัก แม้ว่าเราจะไม่ทราบวิธีการทั้งหมดที่พวกเขาอาจใช้อยู่ในปัจจุบัน แต่เราสามารถค้นหาเครือข่ายของเราเองเพื่อหาตัวบ่งชี้หลักที่คนอื่นอาจเคยเห็นมาก่อน
เว้นแต่ว่าโครงสร้างพื้นฐานของคุณจะคงที่และไม่มีการเปลี่ยนแปลง ช่องโหว่และความเสี่ยงใหม่ ๆ จะถูกสร้างขึ้นตลอดเวลา
กระบวนการจัดการด้านไอทีและการรักษาความปลอดภัยที่ดีจะพยายามอย่างเต็มที่เพื่อลดสิ่งเหล่านี้ให้เหลือน้อยที่สุด แต่นักวิเคราะห์ด้านความปลอดภัยยังคงต้องตระหนักถึงสิ่งเหล่านี้เพื่อวางสิ่งอื่นๆ ในบริบท
การเปลี่ยนแปลงการกำหนดค่าที่ไม่คาดคิดกับระบบสามารถเปิดเผยได้เมื่อฝ่ายที่ไม่เป็นมิตรเข้าควบคุมระบบผ่านข้อมูลประจำตัวและวิธีการที่ถูกต้อง
ตัวเลือกการกำหนดค่าจำนวนมากเกี่ยวข้องกับมาตรฐานการปฏิบัติตามข้อกำหนดบางประการ การแจ้งเตือน (หรือการรายงาน) เกี่ยวกับสิ่งเหล่านี้เป็นวิธีที่ดีกว่าในการจัดการมากกว่าการรอให้ตรวจพบในระหว่างการตรวจสอบครั้งต่อไปของคุณ
คุณไม่สามารถทำการรักษาความปลอดภัยเพียงแค่มองหาการโจมตีและการแสวงหาผลประโยชน์ คุณต้องตรวจสอบสิ่งที่เกิดขึ้นบนเครือข่ายของคุณและรู้ว่าระบบที่คุณปรับใช้
บรรทัดล่าง
เมื่อทำความเข้าใจกับสิ่งที่เกิดขึ้นบนเครือข่ายของคุณ (การรับรู้ด้านสิ่งแวดล้อม) และเชื่อมต่อกับข้อมูลเกี่ยวกับแหล่งที่มาของกิจกรรมที่เป็นอันตรายที่รู้จัก (Global Threat Intelligence) การรับรายงานขนาดใหญ่เกี่ยวกับภัยคุกคามที่ทำงานอยู่ภายในโครงสร้างพื้นฐานของคุณจะกลายเป็นเรื่องง่าย ตัวอย่างเช่น แทนที่จะค้นหาผ่านรายการการแจ้งเตือนจำนวนมากจากการควบคุมความปลอดภัยต่างๆ เพื่อระบุช่องโหว่และการโจมตีที่เป็นไปได้ และพยายามจัดลำดับความสำคัญตามมูลค่าของสินทรัพย์ เราจะพิจารณาข้อมูลการรับรู้ด้านสิ่งแวดล้อมที่สามารถเชื่อมโยงกับตัวบ่งชี้การประนีประนอมที่เกี่ยวข้องกับผู้คุกคาม
ทุกวันนี้ ทรัพยากรคอมพิวเตอร์มีราคาถูกและมีอยู่มากมาย การโจมตีสามารถมาจากทุกที่ โดยเฉพาะจากระบบที่ถูกบุกรุกบนเครือข่ายระยะไกลที่ถูกกฎหมาย ผู้โจมตีต่อสู้อย่างต่อเนื่องโดยพยายามทำให้ยากต่อการค้นหาระบบที่ควบคุมมัลแวร์ของพวกเขา ในขณะที่ยังคงปล่อยให้มัลแวร์เข้าถึงระบบเหล่านี้เพื่อรับคำแนะนำในการดำเนินการ
ดูบทต่อไปของเรา -บทที่สี่ - เครื่องมือตอบสนองเหตุการณ์สำหรับคำแนะนำวิธีการเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับแหล่งที่มาของการโจมตี
นำทางการเดินทางของคุณ:
การแนะนำตัว
4 เครื่องมือตอบสนองเหตุการณ์
5 การฝึกอบรมการตอบสนองเหตุการณ์
ไปที่บทที่ 4 เครื่องมือตอบสนองเหตุการณ์
ความสำคัญของการแสดงที่มา
ให้ฉันเล่าเรื่องจากแนวหน้าให้คุณฟัง
เรากำลังตามล่าการโจมตีที่ดำเนินอยู่ จุดสิ้นสุดถูกบุกรุก และพวกเขาได้ย้ายไปใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อเข้าถึงเครือข่ายโดยตรง - โดยไม่ต้องใช้ RAT (เครื่องมือการเข้าถึงระยะไกล) บนระบบที่ถูกบุกรุกเพิ่มเติม เมื่อเราเฝ้าดูผู้โจมตีของเราเข้าถึงเครือข่ายจากหลาย ๆ ที่ เราจึงเริ่มสร้างโปรไฟล์ของพวกเขา - เวลาที่พวกเขาทำงานอยู่ เราสามารถระบุเขตเวลาเฉพาะที่พวกเขาอาจอยู่ได้หรือไม่ แสดงด้วยกันกี่คน? ในที่สุดเราก็รู้บางอย่างจากข้อมูลการตรวจสอบการเชื่อมต่อ... การเชื่อมต่อที่เราเห็นจากสถานที่ห่างไกลหลายแห่งนั้นมาจากโฮสต์เดียวเท่านั้น - โฮสต์ที่จัดเตรียมบนคลาวด์ เนื่องจากโฮสต์ถูกนำเข้าสู่สถานะออนไลน์เพื่อโจมตีจากโฮสต์ จึงถูกย้ายไปยังคลัสเตอร์ฮาร์ดแวร์ที่โหลดต่ำด้วยการเชื่อมต่ออัปสตรีมที่ต่างไปจากเดิมอย่างสิ้นเชิง เราสังเกตเห็นว่าโฮสต์ใช้ที่อยู่ IP และชุดการเชื่อมต่อทางกายภาพที่แตกต่างกันจำนวนมาก (ครอบคลุมสามประเทศที่แตกต่างกัน) แต่ก็ยังคงเป็นอินสแตนซ์เครื่องเสมือนเดียวกันตลอดเวลา
เราเตรียมพร้อมอย่างดีในการระบุโฮสต์ระยะไกลในการจัดเตรียมตำแหน่งร่วมสไตล์ VPS แต่การเคลื่อนไหวทั่วโลกของโฮสต์บนผู้ให้บริการคลาวด์ทำให้เราต้องหยุดชะงักชั่วคราว - เราตระหนักว่าเกมได้เปลี่ยนไปอีกครั้งต่อหน้าต่อตาเรา
ในกรณีนี้ เรามีข้อได้เปรียบที่ชัดเจนว่าเรามีจุดข้อมูลที่มีอยู่แล้วเพื่อเชื่อมโยงเข้าด้วยกัน ซึ่งทำให้เราสามารถเปิดเผยสิ่งที่เกิดขึ้นหลังม่านได้ แต่จะดีกว่ามากหากเราสามารถระบุสิ่งนี้ได้อย่างง่ายดายล่วงหน้า และฉันตระหนักว่าเครื่องมือระบุเครือข่ายที่เรามีในปัจจุบันล้วนสร้างขึ้นสำหรับอินเทอร์เน็ตยุคก่อนคลาวด์ ซึ่งเป็นโลกที่ที่อยู่ IP เชื่อมโยงกับโฮสต์จริงในสถานที่จริงที่เป็นขององค์กรที่ลงทะเบียนที่ระบุตัวตนได้ ตอนนี้ใครก็ตามที่จำอินเทอร์เน็ตก่อนปี 1999 ได้จะจำโปรโตคอล Ident() ที่น่านับถือ (ล้าสมัยอย่างรวดเร็วเนื่องจากมันแสดงถึงความเสี่ยงด้านความปลอดภัยในอินเทอร์เน็ตเปิดที่ไม่น่าเชื่อถือ)
ยังไม่สามารถให้โทเค็นเวอร์ชันที่ไม่ระบุตัวตนของสิ่งนี้ให้ยูทิลิตี้บางอย่างในอินเทอร์เน็ตสาธารณะบนคลาวด์ได้หรือไม่ ความสามารถในการสืบค้นบริการบนเว็บของ Amazon และทราบว่าอินสแตนซ์ EC2 ทั้งสามที่กำลังโจมตีฉันอยู่นั้นดำเนินการโดย Tokenized Amazon Customer F8E993C?
จนกว่าจะมีการริเริ่มสร้างบางสิ่งในลักษณะนี้และได้รับการนำไปใช้ ฉันจะต้องยึดติดกับวิธีการที่ลึกซึ้งยิ่งขึ้นของอินสแตนซ์ระบบคลาวด์ลายนิ้วมือจากระยะไกลในภายหลัง เนื่องจากคลาวด์คอมพิวติ้งมีการประมวลผลยูทิลิตี้ในปริมาณที่มากขึ้น: อินสแตนซ์ของ OS ที่สามารถเปิดใช้ ดำเนินการ และลบออกได้ภายในเวลาไม่กี่นาที เราจึงจำเป็นต้องหาวิธีเพื่อให้ทันกับความซับซ้อนที่เพิ่มขึ้นของการระบุแหล่งที่มา
ความต้องการที่เพิ่มขึ้นสำหรับเทคนิคการระบุแหล่งที่มาในการตอบสนองต่อเหตุการณ์ไม่ได้เป็นเพียงผลพลอยได้บางอย่างของนักวิเคราะห์ความปลอดภัยที่ต้องการเล่นตัวแทนข่าวกรอง การระบุแหล่งที่มามีความสำคัญต่อการเชื่อมโยงและจัดลำดับความสำคัญของคลื่นข้อมูลที่เราจำเป็นต้องส่งผ่านเพื่อทำการตัดสินใจตอบสนองอย่างชาญฉลาด ความสามารถในการเชื่อมโยงความพยายามในการโจมตีเล็กน้อยที่ดูเหมือนไม่เกี่ยวข้องสองครั้งกับส่วนต่าง ๆ ของโครงสร้างพื้นฐานที่เปิดตัวจากโฮสต์แบบสุ่มสองโฮสต์บนผู้ให้บริการคลาวด์คอมพิวติ้งข้ามชาติรายเดียวกันสามารถสร้างความแตกต่างอย่างมาก
มีงานมากมายที่อยู่ระหว่างดำเนินการในการสร้างชื่อเสียงระหว่างผู้ให้บริการระบบคลาวด์และลูกค้าของพวกเขา แต่ความจำเป็นในการสร้างข้อมูลชื่อเสียงจากอินสแตนซ์ระบบคลาวด์ไปยังส่วนอื่นๆ ของโลกนั้นเป็นสิ่งจำเป็นในโลกของผู้เผชิญเหตุ