كانت أجهزة الكمبيوتر دائمًا ساحة معركة. بدأت المعركة الأبدية للقرصنة والحماية مع ظهور أول جهاز كمبيوتر جماعي وستستمر ما دامت البشرية موجودة. كان المتسللون الأوائل هم باحثون يبحثون عن طرق لتحسين الحوسبة ، وإيجاد طرق تشغيل أكثر كفاءة ، وتحقيق أقصى استفادة من القدرات الضئيلة لأجهزة الكمبيوتر. ثم لم يكن هناك مصطلح "هاكر" ، فالأشخاص الذين شاركوا في "القرصنة" سيُطلق عليهم الآن مبرمجي النظام ومبرمجي المتحكمات الدقيقة ، ولا يزالون ينبضون بكل بايت إضافي ويكتبون بمستوى منخفض.
من الصعب تحديد متى أصبح الترفيه خبيثًا ثم يخدم الذات. في البداية ، لم يؤد تلف البيانات أو الأجهزة إلى الربح ، لأن كتابة الفيروسات كان الكثير من الأشخاص المنعزلين ، والهواة بالمعنى الجيد للكلمة ، والأشخاص الذين لا يبحثون عن الربح.
غيرت الشبكة كل شيء ...
المتطلبات الأساسية لـ EDR
لفترة طويلة جدًا ، كانت فيروسات الكمبيوتر برامج محددة للغاية. كان عليهم أن يعيشوا في ظروف ضيقة للغاية لأجهزة الكمبيوتر الضعيفة ذات الموارد المحدودة ، وكان مؤلفو الفيروسات معلمين مجمعين ، وكانوا يعرفون تمامًا كل التفاصيل الدقيقة لأجهزة الكمبيوتر على مستوى منخفض. لكن أجهزة الكمبيوتر أصبحت أكثر قوة ، وكانت متصلة بشبكة وكانت جميعها تفوح منها رائحة المال الوفير. تم تشغيل القرصنة ، والآن أصبح عملًا جادًا وكبيرًا ، وتباع نقاط الضعف مقابل الكثير من المال ، والحركة الرئيسية لشبكات الكمبيوتر هي DDoS. أصبح الدفاع ضد الهجمات عملاً تجاريًا كبيرًا أيضًا. لقد ولت الأيام التي تم فيها شراء برامج مكافحة الفيروسات على أقراص مرنة وتم حماية جهاز كمبيوتر واحد فقط. حتى مفاهيم "الفيروسات" و "مكافحة الفيروسات" قد عفا عليها الزمن بالفعل ، وأصبحت منظمات بأكملها أهدافًا للهجمات ، ولم يعد هذا أحد المتحمسين.
لكن البرامج الهجومية ظلت محددة لفترة طويلة ، ويمكن التعرف عليها من خلال التوقيعات المميزة وأنماط السلوك وناقل الهجوم. كانت مضادات الفيروسات التي تعمل وفقًا لمبادئ "dosovskiy" القديمة فعالة جدًا ، ويسمح لك التحليل الإرشادي بالعثور بسرعة على فيروسات مشفرة ومتعددة الأشكال. طور متخصصو الأمن أساليب حماية جديدة تستند إلى تحليل شامل لمختلف علامات النشاط الضار ، مثل: حركة مرور الشبكة غير النمطية ، والنشاط المشبوه لحسابات المستخدمين ، ووجود برامج مشبوهة على أجهزة الكمبيوتر ، إلخ. تحدد أنظمة SIEM (معلومات الأمان وإدارة الأحداث) أجهزة الكمبيوتر المصابة من خلال تحليل سجلات شبكة الشركة. والأنظمة المحلية EPP (منصة حماية نقطة النهاية) يحافظ على النظام في مكان عمل الموظف وفقًا لمبدأ مكافحة الفيروسات وجدار الحماية الكلاسيكي.
يبدو أن كل شيء تحت السيطرة ، لكن المشكلة جاءت من الجانب الآخر.
كيفن في سنواته الأولى ، صورة من مركز الشرطة
منذ زمن الشهير كيفن ميتنيك- لم يتم استخدام الهندسة الاجتماعية الكلاسيكية بنجاح حتى الآن فحسب ، بل إنها تتطور أيضًا وفقًا للعصر. لم تعد بحاجة إلى الاتصال بجميع الأرقام التي تخص الشركة بنفسك للعثور على موظف مهمل يوافق على فتح الباب أو إدخال الأمر الذي يحتاجه السارق. سيرسل أبسط نص برمجي عشرات الآلاف من رسائل البريد الإلكتروني المزيفة ، وسيطرق الروبوت على الرسائل الفورية والشبكات الاجتماعية ، وستجمع مواقع التصيد الاحتيالي حصادًا غنيًا من كلمات المرور. مثل هذا الهجوم ليس له توقيعات خاصة ولا يمكن إرجاعه إلى سجلات جدار الحماية. سيتم أيضًا تمرير برنامج عالي التخصص مكتوب لإجراءات أمنية محددة لشركة محددة مسبقًا بواسطة برنامج مكافحة الفيروسات دون إطلاق إنذار.
في الآونة الأخيرة ، في عام 2013 ، حققت Symantec في أنشطة مجموعة قراصنة تسمى Thrip... كانت أفعالهم ناجحة للغاية على وجه التحديد لأنهم لم يستخدموا عمليًا "برنامج القرصنة" التقليدي ، الذي يترك آثارًا مألوفة ومعروفًا جيدًا لأنظمة الأمان الحديثة. يستخدم هؤلاء المتسللون الهندسة الاجتماعية للتسلل إلى مؤسسة. للحصول على امتيازات المسؤول ، يتم تعديل الأداة المساعدة المعتادة مرة واحدة ، دون الكشف عن نفس التوقيع في عمليات اختراق مختلفة. علاوة على ذلك ، يتم استخدام هذه البرامج أو البرامج النصية لفترة وجيزة جدًا ثم تحذف نفسها دون ترك أي آثار ، أو ما هو أسوأ من ذلك ، فهي موجودة فقط في ذاكرة الوصول العشوائي (RAM) ، ولا تكتب أكوادها أبدًا في الملفات ، وتخزن البيانات في التسجيل ، وتستدعي powerhell القياسي للعمل. exe أو wmic.exe ، والتي لا تدق ناقوس الخطر لبرامج مكافحة الفيروسات التقليدية. بعد دخول النظام ، يتم استخدام الأدوات المساعدة الأكثر شيوعًا ،التي تسمح بها السياسات الأمنية. على سبيل المثال ، استخدم Thrip برنامج اختبار اختراق معدل للاختراق Mimikatz ، "مصمم لتعلم لغة C وتجربة أمان Windows" ، ثم للتحكم عن بعد في أجهزة الكمبيوتر التي تعرضت للاختراق ، استخدموا أداة PsExec من Microsoft من حزمة PsTools وبرنامج آخر قانوني تمامًا ، LogMeIn . لسرقة البيانات ، لم يستخدموا برامج التجسس الماكرة ، بل استخدموا عميل WinSCP FTP الأكثر شيوعًا .
هذا النشاط غير مرئي تقريبًا لأدوات مثل SIEM و EPP.
كيف يعمل EDR
في عام 2013 نفسه ، اقترح أنطون تشوفاكين (أخصائي أمن كمبيوتر روسي تخرج من كلية الفيزياء بجامعة موسكو الحكومية ويعمل بالخارج) تحديد فئة جديدة من الأدوات لمنع هجمات القراصنة وأطلق عليها اسم ETDR (اكتشاف واستجابة التهديدات لنقطة النهاية) ، وفيما بعد أصبح الاختصار EDR مقبولًا بشكل عام. ... تشير نقطة النهاية إلى الخادم ومحطة عمل سطح المكتب والكمبيوتر المحمول والهاتف الذكي.
Anton Chuvakin
كيف يختلف EDR عن طرق الحماية التقليدية الأخرى؟
يتمثل الاختلاف الرئيسي بين EDR و SIEM في العمل مع البيانات المحلية وتسجيل الأحداث التي تحدث على جهاز كمبيوتر معين. تراقب SIEM حركة مرور الشبكة العالمية في مؤسسة ما ، مما يجعل هذا النظام يجمع البيانات من كل كمبيوتر فردي مكلف للغاية ويتطلب الكثير من الطاقة.
في الواقع ، يعد هذا تطورًا منطقيًا لأنظمة مكافحة الفيروسات وأنظمة EPP المعتادة التي تراقب نشاط حركة المرور المشبوهة وتبحث عن البرامج الضارة المعروفة. ولكن إذا اكتشفت برامج مكافحة الفيروسات البرامج الضارة في لحظة إطلاقها ، فإن أدوات EDR تتعمق أكثر.
يتكون أي نظام EDR من عدة وحدات نمطية ، يمكن تفكيك تفاعلها باستخدام مثال EDR من Comodo Cybersecurity ، الذي نشر كود المصدر لـ Open EDR للمشاركه:
- المكتبة الأساسية - إطار عمل أساسي يحتوي على الوظائف الرئيسية وهو جوهر النظام ؛
- خدمة وكيل EDR - تطبيق EDR نفسه ؛
- مراقب العملية - مكتبة DLL التي يتم حقنها في عمليات مختلفة لاعتراض استدعاءات API وأدوات العمل معها ؛
- برنامج تشغيل مرشح الملفات - عامل تصفية نظام ملفات صغير يعترض طلبات الإدخال / الإخراج لنظام الملفات ، ويراقب الوصول إلى السجل ، ويحمي مكونات وإعدادات EDR ، إلخ.
- مراقب الشبكة - مكون لرصد نشاط الشبكة ؛
تسمح الإعدادات المرنة بتصفية الإنذارات الكاذبة وتعديل النظام لشبكة معينة في المؤسسة ، ويتم دفن جوهر النظام على مستوى عميق جدًا باستخدام "تقنيات القرصنة" مثل Rootkit.
بالإضافة إلى التوقيع والتحليل الإرشادي ، يقوم EDR بفحص النظام باستمرار بحثًا عن IoC (مؤشر الاختراق ) و IoA (مؤشرات الهجوم) ، ويتتبع بعض العلامات التي قد تشير إلى محاولة اقتحام: رسائل البريد الإلكتروني المخادعة ، والوصول إلى IP المشبوه - عناوين وتتبع تجزئة الملفات الضارة وقيم التسجيل وما إلى ذلك.
يبدو أن كل هذا لا يختلف كثيرًا عن برنامج مكافحة الفيروسات وجدار الحماية المعتاد؟ ليس صحيحا.
الذكاء الاصطناعي على أهبة الاستعداد
جمعت المنظمة غير الربحية MITER Corp مجموعة كبيرة من البيانات من سجلات المسح لشبكات الشركات ونقاط النهاية التي تم جمعها أثناء اختراق المتطفلين للأنظمة ، بالإضافة إلى اختبار الاختراق وأبحاثها الخاصة وتنظيمها وتحديد تكتيكات الهجوم الرئيسية. تم تقديم النسخة الأولى من قاعدة البيانات في عام 2013 ، حيث تم توسيعها واستكمالها كل عام.
تشير استخبارات التهديدات إلى تحليل بيانات EDR الممسوحة ضوئيًا عند مطابقتها مع تكتيكات مهاجم معروفة. عندما ترتبط بشكل إيجابي بأنماط MITER ATT & CK، سيقوم النظام بإصدار إنذار ، وإذا لزم الأمر ، يمكنه تغليف التهديد في صندوق حماية وفصل الأجهزة المشبوهة عن شبكة الكمبيوتر. في الوقت نفسه ، يتيح جمع السجلات المفصلة والمنظمة لمهندسي الأمن العثور بسرعة على خرق عند اكتشاف حقيقة دخول المتطفلين إلى النظام وإجراء مزيد من التحقيقات في الحادث.
في الآونة الأخيرة، الشركة البريطانية مايكرو التركيز الدولي قدمت على تقرير حول الاتجاهات الحالية في مجال أمن المعلومات. تم إرسال الاستبيان المكون من 15 عنصرًا إلى عدة مئات من المتخصصين من مختلف البلدان. اتضح أن 90٪ يستخدمون قاعدة MITER ATT & CK و 93٪ يستخدمون تقنيات الذكاء الاصطناعي والتعلم الآلي.
يأخذك تحليل البيانات المدعوم بالذكاء الاصطناعي إلى المستوى التالي ، من ذكاء التهديدات إلى صيد التهديدات. يحاكي متخصصو الأمن مجموعة متنوعة من الهجمات على البنية التحتية لشركاتهم ، ويحددون نقاط الضعف مقدمًا ، ويتخذون خطوات لتقويتها.
هناك عامل آخر لتطبيقات الذكاء الاصطناعي في مجال الأمن وهو تحليل سلوك الموظف.
يتم وضع خريطة للنشاط المعتاد في حساب الموظف ، والتي بموجبها تكون حركة المرور وبرامج التشغيل الخاصة به أكثر أو أقل في نفس اليوم بعد يوم. وإذا تبين فجأة أنه قام بتسجيل الدخول في وقت متأخر من الليل ، وأطلق برنامجًا غير معتاد بالنسبة له ويحاول الوصول إلى عنوان غير معروف على الإنترنت ، فسيقوم النظام بإطلاق الإنذار وقد يحظر الحساب.
المستقبل قريب
يصف كاتب الخيال العلمي الكندي بيتر واتس في ثلاثية Rifters الكئيبة ، التي تحدث في المستقبل القريب ، "العضلات" - هلام ذكي يتكون من خلايا عصبية من القشرة الدماغية ، مزروعة على ركيزة اصطناعية. لقد تعلم العلماء تكوين روابط فيه ، مثل تلك الموجودة في الدماغ البشري ، وإنشاء أجهزة كمبيوتر حيوية عالية الأداء على أساسها ، متجاوزة شبكات الكمبيوتر العصبية في السلطة. ترتبط المؤامرة الرئيسية للثلاثية بخصائص "التفكير" في مثل هذه الأجهزة ، لكنني سأخبر فقط عن مجال واحد من تطبيقها.
في المستقبل ، أدت فيروسات الكمبيوتر وهجمات الشبكات إلى انسداد جميع قنوات المعلومات لدرجة أن الإنترنت ، في فهمنا الحديث ، لم يعد موجودًا. بعد ذلك ، كمضاد للفيروسات ، اعتمدوا "المواد الهلامية الذكية" ، والتي لا يمكن خداعها من خلال التشفير البسيط وتعدد الأشكال ؛ فقد تتبعوا أنماط القرصنة بسرعة وأوقفوها على الفور. لقد أدى هذا الإجراء إلى تطهير شبكات الكمبيوتر تمامًا من مثل هذه التهديدات.
من تعرف. ربما ستعمل قواعد البيانات مثل تلك التي يجمعها MITER والتعلم الآلي على مسح الإنترنت من الفيروسات بشكل أسرع مما تخيله بيتر واتس؟ على الرغم من ذلك ، يمكن لمجرمي الإنترنت أيضًا استخدام تقنيات الذكاء الاصطناعي. علاوة على ذلك ، هناك دليل على أنهم قد أتقنوها بالفعل ...
