جدای از اینکه سازمان شما در چه زمینه ای فعالیت می کند، برای هر سازمانی لازم است که استراتژی موثری برای تهدیدات پیشرفته به کار گیرد.
در حال حاضر تهدیدات پیشرفته بیش از هر زمان دیگری به سازمانها آسیب میزنند. در محیط دارک وب می توان به راحتی حملات Zero-day، بدافزارهای Fileless و بدافزارهایی که فرآیندهای حافظه دستگاه را هدف قرار می دهند را خرید یا اجاره کرد.
در سال 2021 در معرض خطر قرار گرفتن حافظه یکی از 5 روش رایج حملات MITRE بوده است و حملات Fileless نیز حدود 900 درصد افزایش داشته است. آسیب پذیری ها و حملات zero-day نیز نسبت به سال 2020 دو برابر شده بود و این گونه حملات همچنان رو به افزایش است و در سال 2022 این روند افزایش چشمگیری داشته است.
مهاجمان سایبری در مقابل شبکه های حفاظت شده نیز حرفه ای عمل کرده و مرتبا روشها و تکنیک های جدیدی را به کار می برند.
تهدیدات به منظور جلوگیری از شناسایی توسط راهکارهای امنیتی، در حافظه مخفی می شوند!
تکنیک های شناسایی از دفاعهای اساسی به کار رفته در محیط شبکه هستند. این تکنیک ها شامل آنتی ویروس های نسل جدید، پلتفرم های حفاظت از ایستگاههای کاری، راهکارهای EDR/XDR و managed detection and response (MDR) می باشند. اما گاهی این تهدیدات پیشرفته تلاش می کنند تا چنین راهکارهایی را نیز دور زده و در حافظه مخفی شوند تا توسط آنها شناسایی نشوند.
اسکنرها در ابتدا تلاش می کنند تا بدافزار و فعالیتهای مخرب را با جستجو در پایگاه امضا شناخته شده شناسایی کنند. اسکنرهای معمولی نمی توانند به راحتی با چنین روشی تهدیداتی که Fileless بوده یا در حافظه هستند را شناسایی کنند. در کل تا زمانی که ندانید به دنبال چه چیزی هستید و در شبکه خود چیزی مشاهده نکنید مسلما نمی توانید تهدید را بیابید.
حافظه (Memory) از جمله آسیب پذیری های عمده در فضای امنیت سایبری مدرن محسوب میشود چرا که ابزارهای استاندارد امنیت سایبری نمی توانند تهدیدات ناشناخته و پنهان شده در حافظه را شناسایی کرده و همچنین به اندازه کافی برای توقف حملات سرعت عمل ندارند. در نتیجه تیم های امنیتی با این شرایط یک قدم نسبت به مهاجم عقب تر خواهند بود.
افزایش شکاف امنیتی حافظه
مهاجمان امنیتی اخیرا حافظه را هدف قرار میدهند زیرا حافظه بهترین مکان برای ماندن در یک دستگاه و همچنین عدم شناسایی است.
با توجه به اینکه فضای حافظه Runtime معمولا اینقدر بزرگ است که اسکن همزمان آن بدون کندی عملکرد عملا امکان پذیر نیست بنابراین در بسیاری از موارد این فضا فاقد دفاع و کنترلهای امنیتی می باشد.
برای پیشگیری از به خطر افتادن عملکرد، راهکارهای مبتنی بر شناسایی مثل EDR از روش جستجوی انتخابی استفاده می کنند.
با توجه به اینکه تهدید می تواند در فضای بزرگی پنهان شود و برای مخفی شدن از مجموعه قوانین مجددا پیکربندی شود، در بیشتر مواقع توسط راهکارهای اسکن ساده قابل شناسایی نیستند.
در محیطهای حافظه Run-time تهدیدات می توانند اطلاعات هویتی را به سرقت برده، از فرآیندهای قانونی سوءاستفاده کرده و حتی با مجوزهای یک کاربر ساده وارد سیستم مدیریتی شوند.
افزایش محافظت از حافظه
تنها راه قابل اعتماد برای پیشگیری از خطرات تهدیدات پیشرفته استفاده از لایه های امنیتی مختلف در شبکه است که در واقع به معنای ایجاد شبکه های امن، سیستم های پیچیده و استقرار تکنولوژی های امنیتی مثل EDR، EPP و AV است که رفتارهای مخرب شناسایی شده و تیم امنیتی به طور کامل در جریان فعالیت های شبکه باشد. همچنین لازم است تیم های امنیتی راهکارهایی برای حفاظت از حافظه و عدم دسترسی کاربران نامعتبر را در نظر داشته باشند.
یکی از راههای محافظت از حافظه استفاده از فناوری دفاع هدف متحرک برای تصادفی کردن محیط حافظه در زمان اجرا است تا مهاجمان نتوانند زنجیره حمله خود را کامل کند و مهاجم بجای روبرو شدن با یک محیط استاتیک، با محیط حافظه داینامیک روبرو می شود و امکان فعالیت برای آنها سخت خواهد شد. همانطور که تهدیدات پیشرفته رایج تر می شوند، امنیت لایه ای که دفاع از حافظه را در بر می گیرد ضروری می شود و بدون آن، هیچ راه کاملا موثری برای متوقف کردن تهدیدهایی که حافظه دستگاه را هدف قرار می دهند وجود ندارد.
منبع :
https://www.darkreading.com/
