اطلاعیه مهم پادویش در خصوص روش کشف نفوذ در شبکه

اگر پادویش یکی از این بدافزارها را در شبکه شما کشف کند، شما هک شده‌اید و باید در اسرع وقت یک تیم فارنزیک، امنیت شبکه شما را بررسی نماید. دقیقه‌ها مهم است و نباید لحظه‌ای را از دست بدهید. در این مطلب با نشانه‌های کشف نفوذ در شبکه آشنا می‌شوید و نحوه مقابله با آنها را یاد خواهید گرفت.

بررسی‌های تیم فارنزیک پادویش از حملات سایبری اخیر نشان می‌دهد که زمان حملات از چند هفته به کمتر از ۲۴ ساعت در برخی موارد کاهش یافته است که ناشی از عجول بودن نفوذگران بوده و نشان می‌دهد این نفوذگران بدون هدفی خاص صرفا به دنبال زدن بیشترین ضربه و آسیب‌رسانی در حد توان‌شان هستند.

این موضوع از یک طرف نشان می‌دهد که با مقداری صرف وقت در مقاوم‌سازی شبکه و ایجاد موانعی مانند حیطه‌بندی و تعریف سیاست‌های درست می‌توان تا حد خوبی این حملات عجولانه را دفع نمود. از طرف دیگر زمان برای نظارت بر شبکه و واکنش بسیار کاهش یافته و در صورت کشف یک نفوذ باید در اسرع وقت اقدام به ‌امن‌سازی صورت گیرد.

در این مطلب نشانه‌ها و هشدارهایی که پادویش به شما در خصوص نفوذ می‌دهد و نحوه بررسی آنها توضیح داده شده است. طبیعتا آنتی‌ویروس تنها لایه دفاعی شبکه شما نمی‌باشد، اما آمار حملات سایبری اخیر نشان می‌دهد، در تمامی حملات پادویش توانسته است حمله سایبری را تشخیص داده و به موقع هشدار صادر کند. این امر لزوم توجه به هشدارهای پادویش را دو چندان می‌کند.

نشانه‌های وجود نفوذگر در شبکه

اگر هر یک از نشانه‌های زیر را در شبکه خود مشاهده کردید، شبکه شما هک شده و باید در اسرع وقت به دنبال کمک از یک تیم فارنزیک باشید:

  • مشاهده تشخیص بدافزار از نوع HackTool: پادویش همه ابزارهای نفوذگران را با این اسم می‌شناسد. این نوع بدافزارها توسط نفوذگران برای پویش شبکه، قرار دادن درب‌پشتی، گرفتن دسترسی و … استفاده می‌شوند.
  • مشاهده تشخیص بدافزار از نوع RiskTool: این ابزارها کاربردی دوگانه دارند، ولی نفوذگران از آنها برای عملیاتی نظیر دور زدن مکانیزم‌های امنیتی، شنود و … استفاده می‌کنند. بدیهی است رویت یک RiskTool جدید در شبکه موضوعی با درجه هشدار بالا می‌باشد و احتمال وقوع هک وجود دارد.
  • مشاهده تشخیص بدافزار از نوع APT: گروه‌های APT گروه‌هایی از نفوذگران هستند که به صورت تخصصی در زمینه هک و خرابکاری کار می‌کنند و اغلب توسط یک دولت خارجی حمایت می‌شوند. ابزارهای این گروه‌ها در پادویش با این نام شناسایی می‌شود.
  • مشاهده تشخیص‌های IPS: وجود هر نوع لاگ در بخش IPS کنسول شما نشانه آلودگی شبکه شما و بالا بودن ریسک آن دارد و باید با نصب آنتی‌ویروس در کل شبکه آن را به صفر برسانید. اما برخی اکسپلویت‌ها به طور خاص فقط توسط نفوذگران استفاده می‌شوند و باید با دقت مضاعف بررسی گردند:
    • Hacktool.Win32.CobaltStrike
    • Exploit.ZeroLogon.Possibility
    • Backdoor.Win32.chinachopper
    • Malware Infection By RDP

توصیه‌ها و اقدامات عملی

با توجه به موارد فوق اقدامات عملی زیر توصیه می‌گردد:

  • اطمینان از اتصال سرور مدیریتی پادویش به سامانه Padvish MDR

از اسفند ۱۴۰۰، سطح رایگان سامانه Padvish MDR جهت رصد ۷×۲۴ حملات سایبری برای کلیه مشتریان سازمانی پادویش فعال شده است.

برای استفاده از این خدمات رایگان که تا کنون جلوی ده‌ها حمله سایبری را گرفته است، کافیست مطمئن شوید سرور مدیریتی پادویش به آدرس cloudpms.padvish.com دسترسی دارد. در صورت استفاده از ساختار سلسله‌مراتبی، همه سرورهای اسلیو نیز باید به این سامانه دسترسی داشته و متصل باشند.

علاوه بر این، نسخه کنسول مدیریتی پادویش باید 1.16.306.5177 به بالا باشد.
  • تنظیم Event Manager کنسول مدیریتی پادویش جهت ارسال هشدار از طریق ایمیل به محض وقوع تشخیص

بخش Event Manager در کنسول مدیریتی پادویش به شما امکان می‌دهد رویدادهایی را تعریف کنید تا به محض مشاهده یک لاگ خاص از طریق ایمیل به شما هشدار داده شود. پیشنهاد می‌کنیم برای همه تشخیص‌های بالا رویداد تعریف کنید.

  • تعریف و نظارت مستمر بر گزارش‌های سفارشی در کنسول مدیریتی پادویش

با استفاده از بخش Custom Reports کنسول مدیریتی پادویش می‌توانید گزارش‌هایی جهت مشاهده تشخیص‌های فوق ایجاد کنید و به صورت دوره‌ای (مثلا ساعتی یا روزانه) آنها را بررسی نمایید.

  • تماس با واحد پشتیبانی پادویش با شماره ۴۳۹۱۲۰۰۰ (تهران) به محض رویت یک تشخیص خطرناک

کارشناسان ما به صورت ۷×۲۴ آماده پاسخگویی به سوالات، بررسی شبکه شما و مشاوره‌های امنیتی می‌باشند.

  • امن‌سازی در همه لایه‌های شبکه

سایر توصیه‌ها من جمله حیطه‌بندی شبکه، بستن ارتباطات ریموت از شبکه اینترنت و شبکه ملی و … را می‌توانید در پایگاه دانش پشتیبانی امن پرداز مطالعه نمایید. (https://kb.amnpardaz.com/2021/1063)

همچنین خلاصه‌ای از تجربیات حملات اخیر و راهکارهای مقابله‌ای که در هر شبکه‌ای، فارغ از وجود پادویش، قابل اجرا هستند نیز در اتاق خبر امن‌پرداز قابل مطالعه است. (https://news.amnpardaz.com/1401/03/5960)

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>