فراز اندیشان پویا

FAPco
فراز اندیشان پویا

ارائه راه حل های فن آوری اطلاعات و امنیت شبکه

تقدیم حلول تقنیة المعلومات وأمن الشبکات

طبقه بندی موضوعی

یکی از نیازهای امنیتی برای ممیزی پیمانکاران، کنترل نشست های  RDP  و برنامه های کاربردی روی این پروتکل است. در راستا این نیاز استفاده از رخدادنماهایی که نوع فعالیت کاربر را ازجهت استفاده از برنامه های کاربردی مشخص کنید بسیار اهمیت دارد. یکی از قابلیت هما عمومی PAMها این است که بتوانند بر روی سرور مقصد که پیمانکار با پروتکل RDP  وصل شده است کنترل داشته باشند. این کنترل ها شامل نوع برنامه های کاربردی APP Type ، فایل های منتقل شده و اجرای بعضی از فرمان ها، و جلوگیری از نشست مجدد RDP می باشد. زمانی که کاربری با پروتکل RDP  روی سروری کار می کند به سرورها و IPهای همسایه آن سرور می تواند دسترسی داشته باشد به دلیل این که معمولا در یک ساب نت هیچ کنترل امنیتی برای تبادل داده ها بین Asset ها وجود ندارد.

با سه روش زیر می توانید با باج افزارها مقابله کنید:

الف) مسدود کردن سرورهای باج افزار در اینترنت توسط تجهیزاتی همانند فایروال و UTM

باج افزارها برنامه های مخربی هستند که روی یک هاست مستقر شده و با جستجوی دیتا نوع Datatype ویژه ای اقدام به رمزگزاری آن ها می نماید. بعد از رمزگزاری فایل هایی همانند ورد، اکسل، pdf و یا بانک های اطلاعاتی از کاربر درخواست پول می کنند. معمولا باج افزار ها برای رمزنگاری اطلاعات ما به صورت ناخواسته با یک سرور باج افزار در اینترنت ارتباط برقرا می کنند. برای مقابله با باج افزارها راه حل های محدودی وجود دارد. یکی از راه های مقابله با باج افزارها شناسایی به موقع سرورهای فعال و مشهور در زمینه دریافت اطلاعات باج افزارها در اینترنت می باشد. لیست این سرورها توسط مراجع امنیتی در دنیا منتشر می شود فقط کافی است که فایروال یا UTM     شما قابلیت شناسایی و مسدود سازی این سایت ها را داشته باشد

ب) جلوگیری از باج افزارها توسط آسیب پذیری های تکنولوژی های نرم افزاری و سخت افزاری

یکی دیگر از راه های مقابله با باج افزارها در واقع مقاوم سازی سرویس و زیرساخت های نرم افزاری و سخت افزار است. به صورتی سازمان خود را به سامانه مکانیزه ای برای شناسایی و تشخیص آسیب پذیری به صورت بلادرنگ تجهیز بکنیم. آمار نشان داده است که 70 درصد حملات امنیتی از طریق آسیب پذیر انجام شده است. لذا یک سامانه مدیریت آسیب پذیری که مثل نسوس نباشد توصیه می شود. شرکت Rapid7 همچین ابزاری را دارد

 

ج) جلوگیری و شناسایی باج افزارها از روی رفتار آن ها توسط EDR

از طرف دیگر یکی دیگر از راه های شناسایی باج افزارها بر اساس رفتار می باشد به صورتی که بتوانیم با ابزارهایی همانند EDR این رفتارها را شناسایی کنیم. یکی از این رفتارها جستجوی داده بر روی هارد دیسک سسستم می باشد چرا که باج افزار به دنبال پیدا کردن فایل هایی با فرمت های خاص اطلاعات هست همانند فایل های آفیس و دیتابیس ها. همچنین بعد از پیدا کردن این اطلاعات توابع رمزنگاری سیستم عامل را به کرات فراخوانی می نماید. لذا یک EDR می تواند با شناسایی این رفتارها باج افزار را قرنطینه و محدود نماید.

از بزرگترین مزیت های فایروال های نسل بعدی می توان به قابلیت های ویژه لایه  7 اشاره کرد. قابلیت هایی که اجازه کنترل برنامه کاربردی را بدون وابستگی به پورت و یا نسخه در اختیار قرار می دهد. از طرف دیگر امروزه بسیاری از حملات با روش های Porotocol Anomaly انجام می شود بدین صورت که در حمله با استفاده از پروتکل Http پکت ها و ترافیک Rdp تبادل می شود. لذا برای مقابله با این نوع حملات کنترل پورت ها و ترافیک های عبوری از اهمیت ویژه ای برخوردار استنسل بعدی فایروال ها قابلیت این را دارند که علاوه بر بررسی پورت، آدرس مبدا و مقصد، به بررسی محتوای پکت ها بپردازد.

کنترل نرم افزارهای لایه 7 که تبادلات داده در شبکه دارند

Application Control
 

 

Endpoint Detection & Responde

در واقع می توان EDR ها را نسل پیشرفته Host IDS ها دانست و تمرکز این ابزارها بروی سرور ها و کلاینت هاست. در واقع تاثیری که برنامه و اجرای فرمان ها بر روی کامپیوتر ها از مهمترین دغدغه هاست. مکانیزم EDR ها بر شناسایی رفتارهای مخاطره آمیز است و از این جهت می تواند نا امنی هایی که از طریق آنتی ویروس روی یک سرور و یا از طریق IDS  در شبکه شناسایی نشده است را بفهمد. بر این اساس EDR ها ابزاری برای گزارش ناهنجاری های رفتار برنامه ها بر روی نقاط نهایی هستند که در نهایت این گزارش ها و لاگ ها سبب اعمال واکنش از طرف سامانه EDR می شود. اگر EDR ها در کنار مراکز عملیات امنیت استفاده شوند می توان آن هار یک سنسور لاگ تصور نمود

Privileged Access Management

این سامانه وظیفه نظارت و مونیتورینگ پروتکل های RDP,SSH,VNC را بر عهده دارد. یکی از مشکلات این نوع پروتکل ها این است که از سطح دسترسی بالایی برخوردار هستند و معمولا نمی توان شفافیتی روی این پروتکل ها داشت. لذا از قابلیت های این سامانه مشاهده برخط LIVE و فیلمبرداری از فعالیت های کاربران در زمان استفاده از پروتکل ها به عنوان رخدادنما Log در زمان فعالیت بر روی سرورهای عملیاتی می­باشد. از طرف دیگر با پیشرفت محصولات PAM قابلیت های در راستای جلوگیری اجرای برنامه های کاربردی روی پروتکل RDP و اجرای دستورات در پروتکل های SSH,VNC مورد توجه سازمان ها قرار گرفت.

همچنین جستجوی بر روی محتوای فیلم ها و رخداد نما ها از اهمیت زیادی برخوردار است؛ چراکه با افزایش حجم فیلم ها و رخداد نماها پیدا کردن یک فعالیت خاص در این پروتکل ها با مشکل روبرو خواهد شد. لذا معمولا این نوع محصولات از روش های مختلفی همچون استفاده از اطلاعات صفحه کلید و موس استفاده می کنند. از روش های دیگر جستجو می توان به شناسایی برنامه های کاربردی بر روی پروتکل RDP و تبدیل عکس ها در پروتکل RDP به متن OCR می باشد.

امروزه شرکت های پیشرو در این زمینه به سراغ واکاوی پروتکل هایی همانند SQL و Https هم رفته اند؛ و قابلیت ذخیره سازی، ایندکس گذاری روی تمامی فعالیت های کاربران در استفاده از این پروتکل ها را دارند.