التحقيق في حملة DNSpionage باستخدام استجابة Cisco Threat ، بما في ذلك العمل عن بُعد

لقد تحدثت بالفعل عن حل Cisco Threat Response (CTR) المجاني ، والذي يمكن أن يقلل بشكل كبير من الوقت للتحقيق في الحوادث التي تتميز بالعديد من الأنواع المختلفة من مؤشرات الاختراق - تجزئات الملفات وعناوين IP وأسماء النطاقات وعناوين البريد الإلكتروني وما إلى ذلك. ولكن تم تخصيص الملاحظات السابقة إما على أمثلة على استخدام نسبة النقر إلى الظهور مع حلول Cisco المنفصلة ، أو لتكاملها مع GosSOPKA و FinCERT. أود اليوم أن أصف كيف يمكن استخدام نسبة النقر إلى الظهور للتحقيق في حملات القراصنة الفردية التي يمكنها استخدام العديد من المتجهات ضد العديد من الأهداف المختلفة داخل الشركة. كمثال ، خذ حملة DNSpionage التي ذكرتها في مقال سابق .

في المرة الأخيرة ، أوضحت كيف يمكن اكتشافه باستخدام حل واحد فقط - نظام تحليل الشذوذ لشبكة Cisco Stealthwatch Enterprise. ثم سجلنا تفاعل جزء العميل الضار مع خادم الأوامر عبر بروتوكول DNS ، والذي كان بمثابة مؤشر إذا تم استخدامه على العقد غير المصرح بها داخل شبكة الشركة. في الواقع ، بحثنا عن حالات شاذة في حركة مرور الشبكة للبحث عن علامات وقوع حادث. الآن دعونا نرى كيفية تحديد حملة DNSpionage باستخدام مؤشرات مألوفة أكثر للنشاط الضار (IOC)؟

يمكننا أن نرى قائمة المؤشرات في أي نشرة تهديد الاستخبارات. في هذه الحالة ، سنستخدم موقع Cisco Talos ، أكبر مجموعة تحقيق في الحوادث غير الحكومية في العالم ، والتي كشفت لأول مرة عن حملة DNSpionage (هنا أن و هنا ).



في النشرة الإخبارية ، نرى قائمة من المؤشرات - تجزئات الملف وعناوين IP ونطاقات خوادم الأمر والتصيد المتورطة في الهجوم.



إذا قمنا "بقيادة" كل مؤشر من خلال وسائل الحماية المناسبة ، فسيستغرق الأمر وقتًا طويلاً. على سبيل المثال ، في Cisco AMP for Endpoints ، وهو حل من فئة EDR ، نقوم بإدخال واحد أو عدة تجزئات تهمنا في شريط البحث (أعلى اليمين):



ونحصل على النتيجة التي نهتم بها - وجدنا عقدة تم اكتشاف نشاط برنامج ضار بها لدينا التجزئة .



بالمناسبة ، أود أن أشير إلى أن البحث في التجزئة يمكن استخدامه ليس فقط لاكتشاف النشاط الضار ، ولكن أيضًا لمكافحة تسرب المعلومات. تذكر أن إحدى تقنيات التعامل مع التسربات (إلى جانب الحاويات / العلامات وتحليل المحتوى) هي استخدام بصمات الأصابع الرقمية ، والتي يمكن تنفيذها باستخدام التجزئة فقط التي ستسيطر عليها AMP4E (بالإضافة إلى حلول Cisco الأخرى التي قد تتضمن محرك AMP الذي تم تنفيذه - Cisco Firepower و Cisco Email Security Appliance و Cisco Web Security Appliance و Cisco Umbrella وما إلى ذلك). صحيح أن هذه الآلية تعمل فقط للملفات المعدلة نادرًا. إذا كنت مهتما في ما يقدمه سيسكو للتعامل مع التسريبات، ويمكنني أن أوصي تسجيل و العرض.أحدث ندوة عبر الإنترنت ، والتي خصصناها لهذا الموضوع.

لكن عد إلى قصتنا. إذا حاولت تتبع الوصول إلى نطاقات الأوامر أو خوادم التصيد ، فيمكن لـ Cisco Umbrella مساعدتنا.



نظرًا لأن الناقل الرئيسي للعدوى في معظم الحوادث هو البريد الإلكتروني ، فنحن بحاجة أيضًا إلى البحث عن المؤشرات التي تهمنا في البريد الإلكتروني. للقيام بذلك ، نشير إلى تجزئة المؤشر المقابل في Cisco Security Management Appliance أو Cisco E-mail Security Appliance:



ونجد 5 صناديق بريد يتم العثور على آثار للملفات التي نبحث عنها.



أخيرًا ، يساعدنا Cisco Firepower ، وهو جدار الحماية من الجيل التالي مع نظام منع الاختراق المدمج ، على تتبع (وحظر) عناوين IP التي يتفاعل معها جزء العميل من الحملة الضارة.



في هذا المثال ، على الرغم من أننا اكتشفنا علامات DNSpionage ، إلا أننا لا نقوم بذلك بالسرعة التي أردناها. نحن ننتقل بين وحدات التحكم. نقوم بتنفيذ العديد من عمليات النسخ السابقة و 4 منتجات مختلفة تبحث عن 4 أنواع مختلفة من مؤشرات الحل الوسط ، وبالتالي زيادة وقت التحقيق والاستجابة. هل يمكن تسريع هذه العملية؟ بالطبع بكل تأكيد. يمكنك استخدام SIEM ، الذي يمكن دمجه مع مصادر TI ، أو يمكنك تنزيل مؤشرات الاختراق من مصادر TI الخارجية. ولكنها باهظة الثمن إذا كانت تجارية ، أو تتطلب كفاءات عالية ، إذا كانت من فئة المصدر المفتوح. هناك حل أبسط وأكثر حرية - Cisco Threat Response ، الذي يركز بشكل أساسي على حلول Cisco ، وكذلك على حلول البائعين الآخرين.باستخدام المكوّن الإضافي للمتصفح ، "نسحب" جميع المؤشرات من صفحة مدونة Cisco Talos التي تصف حملة DNSpionage.



لتسريع عملية الاستجابة ، يمكننا حجب المؤشرات ذات الصلة مباشرة من خلال البرنامج المساعد.



لكننا مهتمون بالتحقيق في الحادث في محاولة لفهم أي من العقد والمستخدمين تم اختراقهم. ومن المستحسن رؤية كل شيء على شاشة واحدة. تمنحنا نسبة النقر إلى الظهور هذه الفرصة. في الجزء العلوي الأيسر من الواجهة الرسومية ، نرى جميع مؤشراتنا. في أسفل اليسار - خريطة "العدوى" لدينا.



يظهر اللون الأرجواني الأهداف المتأثرة بالفعل في بنيتنا التحتية - أجهزة الكمبيوتر ، وصناديق البريد ، والشبكات الفرعية ، وما إلى ذلك. في الجزء العلوي الأيمن نرى مخططًا زمنيًا يعرض تواريخ ظهور المؤشرات (بما في ذلك الأول) في بيئة شبكتنا. أخيرًا ، تتيح لنا المنطقة اليمنى السفلية الحصول على معلومات تفصيلية حول كل مؤشر ، يتم إثرائها والتحقق منها من خلال مصادر TI الخارجية ، على سبيل المثال ، VirusTotal ، أو أدوات الحماية التابعة لجهات خارجية.



بعد فهم مدى الإصابة ، يمكننا البدء في الاستجابة بشكل مناسب للتهديد المحدد عن طريق حظر حدوثه من خلال Cisco Umbrella ، الذي يمنع التفاعل مع نطاقات خادم الأوامر:



أو من خلال Cisco AMP لنقاط النهاية ، التي تعزل تشغيل ملف أو عملية ضارة.



مباشرة من واجهة CTR ، يمكننا رؤية نتيجة حظر ملف أو مجال أو مؤشر آخر.



من خلال دمج نسبة النقر إلى الظهور مع Cisco E-mail Security Appliance أو Cisco Firepower ، يمكننا أيضًا عزل صناديق البريد المصابة أو المواقع المخترقة ، على التوالي.

هل من الممكن القيام بنفس الشيء ، ولكن بدون استخدام واجهة Cisco Threat Response؟ في بعض الأحيان تريد استخدام أدواتك الخاصة والأكثر شيوعًا لهذا الغرض. نعم يمكنك ذلك. على سبيل المثال ، يمكننا تضمين وظيفة CTR في أي تقنية تدعم المتصفح (على سبيل المثال ، في بوابتنا الخاصة) ، وبسبب توفر واجهات برمجة التطبيقات ، يمكن الوصول إلى وظائف CTR من أي مكان.

لنفترض أنك تفضل واجهة سطر الأوامر وتريد التحقيق والرد عن طريق إدخال جميع الأوامر من لوحة المفاتيح. هذا سهل ايضا. على سبيل المثال ، إليك كيفية عمل تكامل نسبة النقر إلى الظهور مع نظام فريق عمل Cisco Webex Teams وبرنامج الروبوت AskWill الذي تم تطويره من أجله باستخدام حملة DNSpionage كمثال. غالبًا ما يستخدم عملاء Cisco Webex فرقًا لتنظيم تفاعل متخصصي أمن المعلومات. هذا المثال أكثر إثارة للاهتمام لأنه يوضح كيف يمكنك بناء عملية تحقيق واستجابة عند العمل عن بعد ، ومتى ، الشيء الوحيد الذي يوحد متخصصي SOC هو نظام الاتصال.

على سبيل المثال ، نريد الحصول على حالة النطاق 0ffice36o.com ، الذي تم استخدامه بواسطة خادم الأوامر كجزء من DNSpionage. نرى أن Cisco Umbrella تعيد لنا حالة "ضار".



وإليك كيف سيبحث الفريق عن معلومات حول ما إذا كان هناك العديد من مؤشرات الحلول الوسط لحملة DNSpionage التي حددتها Cisco Talos في بنيتنا التحتية في وقت واحد.



ثم يمكننا حظر المجال الضار من خلال Cisco Umbrella أو Cisco Stealthwatch Cloud. في الحالة الأخيرة ، سيحظر نظام التحليل الشاذ التفاعل مع خادم الأوامر لـ Amazon AWS ، والبنية التحتية السحابية MS Azure التي نستخدمها ، إلخ.



أخيرًا ، إذا حظرنا مؤشرًا عن طريق الخطأ ، أو مع مرور الوقت أصبح معروفًا أنه توقف عن تشكل تهديدًا ، فيمكننا إزالته من القائمة السوداء للحلول الوقائية.



هذه هي الطريقة التي يعمل بها حل Cisco Threat Response المجاني ، الذي تتمثل مهمته الرئيسية في تقليل الوقت للتحقيق والاستجابة للحوادث. وكما يقول عملاؤنا ، فإن نسبة النقر إلى الظهور تسمح لهم بتقليلها بشكل كبير. 60٪ من المستخدمين لديهم تخفيض بنسبة 50٪ ؛ 23٪ آخرين لديهم 25٪ على الأقل. ليس سيئًا بالنسبة للحل المجاني ، أليس كذلك ؟!

معلومة اضافية:

• دمج Cisco Threat Response و Cisco Stealthwatch Enterprise
• تفاعل حلول Cisco في GosSOPKoy و FinCERT
• لماذا لا تشتري Cisco Splunk أو تتحدث عن كيفية عمل منصة Cisco في البحث عن التهديدات
• تهديد الصيد برؤية سيسكو
• دراسات حالة لاستخدام أدوات تحليل الشذوذ في الشبكة: اكتشاف حملة DNSpionage