در این بخش به نحوه عملکرد و پشتیبانی قابلیت فریب در لایسنسهای ارائه دهنده آنتی ویروس سیمانتک میپردازیم؛ در واقع فریب مفهوم جدیدی نیست. در طول تاریخ، میتوانید نمونه هایی از فریب در طبیعت و جنگ را مشاهده کنید. تعدادی از حیوانات تکنیکهای استتار پیچیده ای را ایجاد کرده اند تا شکارچیان را فریب دهند و برخی از استراتژیست های جنگ، از فریب برای ایجاد برتری بر دشمنان استفاده کرده اند (بعنوان مثال اسب تروا).
وقتی صحبت از امنیت سایبری به میان می آید، میتوان از طعمه برای فریب مهاجمان برای انجام کاری متفاوت از آنچه آنها قصد دارند، استفاده کرد.
برای قرار دادن فریب در نقاط پایانی، سازمانها بطور سنتی باید به قابلیت دسترسی به نقطه پایانی تکیه میکردند. این وابستگی به سرعت برای نقاط پایانی پشت فایروالها، پروکسیها، تفسیر آدرس شبکه (NAT) یا شبکه های خصوصی مجازی (VPN) پیچیده و سخت میشود.
بدلیل چالش برانگیز بودن استقرار و نظارت بر فریب در نقاط پایانی در یک محیط گسترده و توزیع شده، اکثر فروشندگان بر فریب شبکه تمرکز کردند. با اینحال، سیمانتک با مسائلی روبرو شده است که راه حلهای فریب سنتی را ارائه میدهد تا امنیت نقطه پایانی را فراهم کند که هم میتواند نقاط انتهایی را در برابر حمله محافظت کند و هم مهاجمان را در نقطه پایانی هدف قرار دهد.
از آنجاکه میدانید داراییهای مهم شما چیست و در کجا قرار دارد، میتوانید از این دانش برای گمراه کردن مهاجمان سازمان استفاده کنید. شما میتوانید طیف گسترده ای از “طعمه” را در سراسر محیط خود قرار دهید تا مهاجمان را در شناسایی خود و آشکارسازی اهداف حمله خود فریب دهید:
فایلهای جعلی – Fake Files
میتوانید فایلهای جعلی ایجاد کنید تا مهاجم را به بیرون جذب کنید. به این فکر کنید که یک “doc” روی دسکتاپ مدیرعامل چقدر جذاب است، یا “FundraisingCycle.doc” دسکتاپ مدیر مالی، یا یک فایل “Salary.xls” در سرور منابع انسانی. گزینه ها بی پایان هستند.
دارایی های جعلی – Fake Credentials
پسوردهای جعلی را در سیستمها ایجاد و توزیع کنید تا شناسایی مهاجم آسان شود- هرگونه تلاش برای استفاده از یکی از پسوردهای جعلی شواهدی از فعالیت مخرب است.
سیستمهای فریبکاری پیشرفته و متقابل بالا میتوانند مهاجم را قادر سازند تا با پسورد جعلی وارد سیستم کنترل شده و با یکدیگر تعامل کرده و تاکتیکها و قصد واقعی خود را آشکار کند.
شبکه های اشتراکی جعلی- Fake Network Shares
از شبکه های اشتراکی جعلی در رایانه های رومیزی استفاده کنید تا مهاجمان را مجبور به تعامل با منابع کنید تا خود را نشان دهند. هرگونه تعامل با این شبکه های اشتراکی، مانند کلیک برای باز کردن، کپی کردن فایلها و غیره، نشان دهنده حمله است.
کش های ورودی- Cached Items
از ورودیهای جعلی cache، مانند DNS cache, remote access tool caches (RDP, VNC) و غیره برای گمراه کردن مهاجم و شناسایی اهداف احتمالی آنها استفاده کنید.
نقاط پایانی جعلی – Fake Endpoints
گره های جعلی را در شبکه قابل مشاهده کنید تا مهاجم را وسوسه کند تا از راه دور به آن دستگاه دسترسی پیدا کند- چون نقطه پایانی جعلی است، میدانید که به محض اینکه شخصی سعی میکند به آن دسترسی پیدا کند، این یک حمله است.
در حالیکه اکثر فناوری های امنیتی برای شناسایی و توقف مراحل اولیه حمله طراحی شده اند، فریب برای شناسایی مراحل بعدی بهینه سازی شده است.
بر اساس توالی حملات ساده شده زیر، اکثر فناوری های امنیتی بر مراحل 1، 2، 3 و 6 تمرکز میکنند، در حالیکه فناوری های فریب، مراحل 1، 4، 5 و 6 را برای کشف فعالیت حمله ای که قبلاً در شبکه است، هدف قرار میدهند:
2. تسلیم (Delivery)– مهاجم فریب میدهد و سپس حمل میکند. اغلب تسلیم از طریق فیشینگ ایمیل، پیوستهای ایمیل، لینکهای مخرب، USB یا سایر درایوهای قابل جابجایی انجام میشود.
3. بهره برداری (Exploitation)– حمله آغاز شده و در شبکه است.
4. اعدام (Execution)- مهاجم مراحل برنامه را تکمیل میکند: مهاجمین عموما با ایجاد استقامت سعی دارند در شبکه باقی بمانند، اغلب برای دستیابی به داده های بیشتر از تکنیکهایی استفاده میکنند (شامل دستکاری توکن دسترسی، DLL های AppInit، تغییر برنامه، تزریق DLL، راه اندازی Daemon و..) و یا برای کشف محیط و برنامه ریزی اقدامات بعدی خود به یک ابزار دسترسی از راه دور عمومی (RAT) یا پوسته معکوس نیاز دارند که فرماندهی و کنترل ترافیک اغلب در HTTP یا IRC رمزگذاری و تنظیم میشود تا از تشخیص توسط فایروال جلوگیری شود.
5. جانبی (Lateral Movement)- -مهاجم با جستجوی دارایی های حیاتی، شبکه داخلی را طی میکند. آنها ممکن است بطور بالقوه از اعتباراتی که بدست آورده اند (از طریق افزایش امتیاز) استفاده کنند.
6. لایه برداری (Exfiltration)- مهاجم داده های مهم را پس از بدست آوردن، اغلب رمزگذاری و منتقل میکند. رمزگذاری مورداستفاده مهاجم اغلب از تنظیمات رمزگذاری و ابزارهای مورداستفاده در شرکت پیروی میکند. Exfiltration اغلب داده ها را در سرویسهای ابری مورد استفاده شرکت مانند Box، Dropbox، Google Drive و غیره بارگذاری میکند.
فریب Symantec توسط خدمات امنیت سایبری Symantec (CSS)، برای نظارت مداوم بر تهدیدها و تخصص در واکنش به حوادث، و خدمات مشاوره سیمانتک، پشتیبانی (توسط شرکتهای ارائه دهنده آنتی ویروس) میشود تا نحوه فریب خود را متناسب با تاکتیکها، تکنیکها و رویه ها (TTPs) که در محیط شما بهترین کار را میکند، سفارشی کند.
با استفاده از Symantec Deception، جاییکه اکثر فناوری های امنیتی متوقف میشوند، آغاز میشود و یک لایه حفاظتی تکمیلی اضافه میکند که به شما امکان میدهد مهاجمان تهاجمی را خارج از مخفی شدن فریب دهید.
سیمانتک شما را قادر میسازد تا براحتی مقدار بی نهایت طعمه قابل تنظیم را در محیط خود قرار دهید، بنابراین میتوانید مهاجمان موجود در شبکه خود را شناسایی کرده و آنها را از رسیدن به اهداف خود بازدارید. و از آنجاکه فریب از همان نمای نهایی و کنسول مدیریت Symantec استفاده میکند، راه حل درحال حاضر بهینه سازی شده است تا هیچ تأثیر ملموسی بر عملکرد نداشته باشد. این قابلیت مشکل دسترسی به نقطه پایانی را که در گذشته فروشندگان آنتی ویروس را دچار مشکل کرده بود، حل میکند.
شما به سادگی فریب را برای افزودن طعمه به نقاط پایانی در محیط وسیع و توزیع شده خود فعال میکنید. با قرار دادن طعمه واقع بینانه در نقاط پایانی، احتمال برخورد مهاجم با آنرا به میزان قابل توجهی افزایش میدهید.
از آنجاکه این طعمه است، دلیلی وجود ندارد که کسی بخواهد به اتصالات جعلی دسترسی پیدا کند، بنابراین به محض اینکه تلاش شود، میدانید که یک مهاجم دارید. طعمه توسط سرویسهای امنیت سایبری ارائه دهنده آنتی ویروس سیمانتک بصورت حرفه ای تنظیم میشود.
شرکت داده پایش کارن ارائه دهنده لایسنس های آنتی ویروس سیمانتک، آماده پاسخگویی به نیازهای شما میباشد.
