بررسی کامل حفاظت از شبکه با Symantec Endpoint Threat Defense (سیمنتک TDAD)
نفوذ به دامنه
هدف ما در مقاله معرفی Symantec Threat Defence For AD بررسی حفاظت از شبکه با Symantec Endpoint Threat Defense است. تنها یک اندپوینت (endpoint) آلوده که به دامنهی شرکتی متصل است، میتواند کل سازمان را در معرض خطر قرار دهد:
- میخواهید بدانید دادههای حساس کجا ذخیره میشوند؟
- میخواهید بدانید مدیران سیستمها کجا هستند؟
- میخواهید بدانید چطور میتوان محیط هدف را در اختیار گرفت؟
- کافیست از Microsoft Active Directory بپرسید.
به محض اینکه مهاجمان به یک اندپوینت متصل به دامنه نفوذ کنند، عملیات شناسایی خود را بر روی پایگاه دادهی AD شروع خواهند کرد تا به تمامی منابع سازمان دسترسی پیدا کنند. گام بعدی سرقت اعتبارنامههای دامنه است که به صورت محلی روی اندپوینت یا به صورت راهدور روی سایر منابع ذخیره شدهاند. با این اعتبارنامههای سرقتشده، مهاجمان به تمامی سرورها، برنامهها و رایانههای سازمان دست مییابند. هدف آنها نیز سرقت یا رمزگذاری دادهها است. مهاجمان از برنامههای معتبر و ابزارهای داخلی در فرآیند بهرهبرداری پس از نفوذ استفاده میکنند. به کارگیری برنامههای معتبر و پروتکلهای داخلی بهجای فایلهای مخرب، شناسایی، ردگیری قانونی و بررسیهای فارنزیک این حملات مخفیانه را تقریباً به کاری غیرممکن تبدیل میکند.
اطلاعات بیشتر درباره Symantec Endpoint Security
Active Directory: ریشه نفوذ به دامنه | حفاظت از شبکه با Symantec Endpoint Threat Defense (سیمنتک TDAD)
Microsoft Active Directory (AD) یک سرویس network domain است که در سطح جهانی توسط نه شرکت از هر ده شرکت برای مدیریت و کنترل منابع داخلی (سرورها، نقاط پایانی، برنامهها و کاربران) استفاده میشود. از لحاظ طراحی، AD به هر کاربری که به دامنه متصل است دسترسی میدهد؛ به این معنی که تمامی شناسهها و منابع در یک شبکه شرکتی به صورت آشکار در معرض دید قرار دارند و همین باعث میشود AD هدف شماره یک برای مهاجمان باشدو به همین دلیل باید به حفاظت از شبکه با Symantec Endpoint Threat Defense اهمیت داد.
مهار APTها با تقویت AD
Symantec Endpoint Threat Defense for AD بخش پیشرفتهای از راهکار امنیتی Symantec برای مقابله با حملات مخفی یا تهدیدات پایدار پیشرفته (APTها) است. Endpoint Threat Defense for AD یک دفاع مؤثر برای AD فراهم میکند که از اندپوینت شروع میشود و شامل قابلیتهای خودکار مهار نفوذ، پاسخ به حوادث و ارزیابی امنیت دامنه میباشد.
این تنها راهکار امنیتی است که مهاجمان را بلافاصله پس از نفوذ به اندپوینت و پیش از دستیابی به دامنه متوقف میکند. این راهکار فعالیتهای شناسایی را مختل کرده و از استفادهی مهاجمان از AD برای نفوذ جانبی به دیگر منابع جلوگیری میکند.
Endpoint Threat Defense for AD کمهزینهترین مسیر موجود در شبکههای امروزی را هدف قرار میدهد و بازه زمانی، دشواری و خطاهای موجود در شناسایی و مهار نفوذ را در همان نقطهی شروع، یعنی اندپوینت، به طور چشمگیری کاهش میدهد. این راهکار با استفاده از پردازش زبان طبیعی مبتنی بر هوش مصنوعی، تکنیکهای پیچیدهی مبهمسازی و روشهای فارنزیک پیشرفته به سرعت نفوذ را شناسایی و مهار میکند.
دفاع از AD در برابر حملات با استفاده از مبهمسازی
Endpoint Threat Defense for AD برای تغییر دید مهاجم نسبت به منابع داخلی سازمان طراحی شده است. این تغییر شامل تمامی نقاط پایانی، سرورها، کاربران، برنامهها و اعتبارنامههای ذخیرهشده محلی میشود، اما دقیقاً در نقطهای که نفوذ رخ داده است.
Endpoint Threat Defense for AD بهصورت خودکار ساختار کامل AD سازمان را یاد میگیرد (شامل سرورها، نقاط پایانی، برنامهها، کاربران، شعبهها، الگوهای نامگذاری، پیکربندیها، ویژگیها و غیره) و از این اطلاعات برای ایجاد یک لایه مبهمسازی واقعی و بیپایان بهره میبرد که یک نکته مهم برای حفاظت از شبکه با Symantec Endpoint Threat Defense است. در اندپوینتها، فعالیتهای AD از جمله فرآیندهای runtime و شرایط آنها ارزیابی میشوند.
این اقدامات مشخص میکنند که آیا لازم است مبهمسازی (obfuscation) فعال شود یا خیر و با این کار، داراییهای دامنهای که در معرض خطر قرار گرفتهاند بهگونهای بازتاب مییابند که مهاجم نتواند به اطلاعات واقعی دست یابد. در هر اندپوینت حافظه دستکاری میشود و مبهمسازی زمانی که مهاجم با APIهای بومی و باز AD تعامل دارد، به او نمایش داده میشود.
Endpoint Threat Defense for AD نمایی از محیط را ارائه میدهد که متفاوت از واقعیت است. در این حالت، مهاجم در حین تعامل با داراییها یا تلاش برای استفاده از اعتبارنامههای مدیر دامنه، خود را لو میدهد. همزمان با این اتفاق، یک هشدار دقیق صادر شده و حمله به صورت خودکار مسدود میشود.
مهار APTها با تقویت AD | حفاظت از شبکه با Symantec Endpoint Threat Defense
Endpoint Threat Defense for AD به عنوان بخشی از راهکار امنیتی Symantec برای مقابله با حملات مخفی و APTها، دفاع مؤثری از AD را از اندپوینت فراهم میکند. این راهکار شامل مهار خودکار نفوذ، پاسخ به حوادث، و ارزیابی امنیت دامنه است. Endpoint Threat Defense for AD با استفاده از پردازش زبان طبیعی مبتنی بر هوش مصنوعی، تکنیکهای پیچیدهی مبهمسازی، و روشهای پیشرفتهی فارنزیک به سرعت نفوذ را شناسایی و مهار میکند.
ارزیابی مستمر AD برای کاهش سطح حمله
با گذشت زمان و توسعهی AD در سازمانها، تنظیمات پیکربندی ممکن است به درستی نگهداری نشده، بهروزرسانیهای امنیتی اعمال نمیشوند و آسیبپذیریهای گوناگونی در دامنه و سرویس AD به وجود میآیند که مهاجمان میتوانند از آنها سوءاستفاده کنند. این امر نشاندهنده اهمیت حفاظت از شبکه با Symantec Endpoint Threat Defense است.
علاوه بر این، مهاجمان میتوانند درهای پشتی و انواع persistence hook را ایجاد کنند که به آنها اجازه میدهد در زمان دلخواه خود دوباره حمله کنند. Endpoint Threat Defense for AD به طور مداوم به دنبال ناهنجاریها، آسیبپذیریها و persistence hooks در دامنه میگردد و تصویری از منظر مهاجم به مدیر AD ارائه میدهد تا امکان کنترل خطر فراهم شود.
این فرایند ارزیابی خودکار، از شبیهسازی حملات برای جمعآوری اطلاعات دقیق دربارهی پیکربندی دامنه، حسابهای دارای امتیاز، تنظیمات امنیتی، GPO، نقاط پایانی، کنترلر دامنه و Kerberos استفاده میکند.
سپس هر جزء از ساختار دامنه و AD بهطور خودکار برای شناسایی ناهنجاریها و درهای پشتی بررسی میشود. شناسایی مستمر این ناهنجاریها و درهای پشتی برای کاهش خطر در دامنه ضروری است. هنگامی که یک ناهنجاری یا در پشتی شناسایی شد، هشدار به کنسول مرکزی ارسال میشود و توصیههای اصلاحی ارائه خواهند شد.