معرفی Symantec Threat Defence For AD

بررسی کامل حفاظت از شبکه با Symantec Endpoint Threat Defense (سیمنتک TDAD)

نفوذ به دامنه

هدف ما در این متن بررسی حفاظت از شبکه با Symantec Endpoint Threat Defense است. تنها یک اندپوینت (endpoint) آلوده که به دامنه‌ی شرکتی متصل است، می‌تواند کل سازمان را در معرض خطر قرار دهد:

• می‌خواهید بدانید داده‌های حساس کجا ذخیره می‌شوند؟
• می‌خواهید بدانید مدیران سیستم‌ها کجا هستند؟
• می‌خواهید بدانید چطور می‌توان محیط هدف را در اختیار گرفت؟
• کافیست از Microsoft Active Directory بپرسید.

به محض این‌که مهاجمان به یک اندپوینت متصل به دامنه نفوذ کنند، عملیات شناسایی خود را بر روی پایگاه داده‌ی AD شروع خواهند کرد تا به تمامی منابع سازمان دسترسی پیدا کنند. گام بعدی سرقت اعتبارنامه‌های دامنه است که به صورت محلی روی اندپوینت یا به صورت راه‌دور روی سایر منابع ذخیره شده‌اند. با این اعتبارنامه‌های سرقت‌شده، مهاجمان به تمامی سرورها، برنامه‌ها و رایانه‌های سازمان دست می‌یابند. هدف آن‌ها نیز سرقت یا رمزگذاری داده‌ها است.

مهاجمان از برنامه‌های معتبر و ابزارهای داخلی در فرآیند بهره‌برداری پس از نفوذ استفاده می‌کنند. به کارگیری برنامه‌های معتبر و پروتکل‌های داخلی به‌جای فایل‌های مخرب، شناسایی، ردگیری قانونی و بررسی‌های فارنزیک این حملات مخفیانه را تقریباً به کاری غیرممکن تبدیل می‌کند.

اطلاعات بیشتر درباره Symantec Endpoint Security

 Active Directory: ریشه نفوذ به دامنه | حفاظت از شبکه با Symantec Endpoint Threat Defense (سیمنتک TDAD)

Microsoft Active Directory (AD) یک سرویس  network domain است که در سطح جهانی توسط نه شرکت از هر ده شرکت برای مدیریت و کنترل منابع داخلی (سرورها، نقاط پایانی، برنامه‌ها و کاربران) استفاده می‌شود. از لحاظ طراحی، AD به هر کاربری که به دامنه متصل است دسترسی می‌دهد؛ به این معنی که تمامی شناسه‌ها و منابع در یک شبکه شرکتی به صورت آشکار در معرض دید قرار دارند و همین باعث می‌شود AD هدف شماره یک برای مهاجمان باشدو به همین دلیل باید به حفاظت از شبکه با Symantec Endpoint Threat Defense اهمیت داد.

مهار APTها با تقویت AD

Symantec Endpoint Threat Defense for AD بخش پیشرفته‌ای از راهکار امنیتی Symantec برای مقابله با حملات مخفی یا تهدیدات پایدار پیشرفته (APTها) است. Endpoint Threat Defense for AD یک دفاع مؤثر برای AD فراهم می‌کند که از اندپوینت شروع می‌شود و شامل قابلیت‌های خودکار مهار نفوذ، پاسخ به حوادث و ارزیابی امنیت دامنه می‌باشد. این تنها راهکار امنیتی است که مهاجمان را بلافاصله پس از نفوذ به اندپوینت و پیش از دستیابی به دامنه متوقف می‌کند. این راهکار فعالیت‌های شناسایی را مختل کرده و از استفاده‌ی مهاجمان از AD برای نفوذ جانبی به دیگر منابع جلوگیری می‌کند.

Endpoint Threat Defense for AD کم‌هزینه‌ترین مسیر موجود در شبکه‌های امروزی را هدف قرار می‌دهد و بازه زمانی، دشواری و خطاهای موجود در شناسایی و مهار نفوذ را در همان نقطه‌ی شروع، یعنی اندپوینت، به طور چشمگیری کاهش می‌دهد. این راهکار با استفاده از پردازش زبان طبیعی مبتنی بر هوش مصنوعی، تکنیک‌های پیچیده‌ی مبهم‌سازی و روش‌های فارنزیک پیشرفته به سرعت نفوذ را شناسایی و مهار می‌کند.

دفاع از AD در برابر حملات با استفاده از مبهم‌سازی

Endpoint Threat Defense for AD برای تغییر دید مهاجم نسبت به منابع داخلی سازمان طراحی شده است. این تغییر شامل تمامی نقاط پایانی، سرورها، کاربران، برنامه‌ها و اعتبارنامه‌های ذخیره‌شده محلی می‌شود، اما دقیقاً در نقطه‌ای که نفوذ رخ داده است.

Endpoint Threat Defense for AD به‌صورت خودکار ساختار کامل AD سازمان را یاد می‌گیرد (شامل سرورها، نقاط پایانی، برنامه‌ها، کاربران، شعبه‌ها، الگوهای نام‌گذاری، پیکربندی‌ها، ویژگی‌ها و غیره) و از این اطلاعات برای ایجاد یک لایه مبهم‌سازی واقعی و بی‌پایان بهره می‌برد که یک نکته مهم برای حفاظت از شبکه با Symantec Endpoint Threat Defense است.

در اندپوینت‌ها، فعالیت‌های AD از جمله فرآیندهای runtime و شرایط آن‌ها ارزیابی می‌شوند. این اقدامات مشخص می‌کنند که آیا لازم است مبهم‌سازی (obfuscation) فعال شود یا خیر و با این کار، دارایی‌های دامنه‌ای که در معرض خطر قرار گرفته‌اند به‌گونه‌ای بازتاب می‌یابند که مهاجم نتواند به اطلاعات واقعی دست یابد.

در هر اندپوینت حافظه دستکاری می‌شود و مبهم‌سازی زمانی که مهاجم با API‌های بومی و باز AD تعامل دارد، به او نمایش داده می‌شود. Endpoint Threat Defense for AD نمایی از محیط را ارائه می‌دهد که متفاوت از واقعیت است. در این حالت، مهاجم در حین تعامل با دارایی‌ها یا تلاش برای استفاده از اعتبارنامه‌های مدیر دامنه، خود را لو می‌دهد. هم‌زمان با این اتفاق، یک هشدار دقیق صادر شده و حمله به صورت خودکار مسدود می‌شود.

مهار APTها با تقویت AD | حفاظت از شبکه با Symantec Endpoint Threat Defense

Endpoint Threat Defense for AD به عنوان بخشی از راهکار امنیتی Symantec برای مقابله با حملات مخفی و APTها، دفاع مؤثری از AD را از اندپوینت فراهم می‌کند. این راهکار شامل مهار خودکار نفوذ، پاسخ به حوادث، و ارزیابی امنیت دامنه است. Endpoint Threat Defense for AD با استفاده از پردازش زبان طبیعی مبتنی بر هوش مصنوعی، تکنیک‌های پیچیده‌ی مبهم‌سازی، و روش‌های پیشرفته‌ی فارنزیک به سرعت نفوذ را شناسایی و مهار می‌کند.

ارزیابی مستمر AD برای کاهش سطح حمله

با گذشت زمان و توسعه‌ی AD در سازمان‌ها، تنظیمات پیکربندی ممکن است به درستی نگهداری نشده، به‌روزرسانی‌های امنیتی اعمال نمی‌شوند و آسیب‌پذیری‌های گوناگونی در دامنه و سرویس AD به وجود می‌آیند که مهاجمان می‌توانند از آن‌ها سوءاستفاده کنند. این امر نشان‌دهنده اهمیت حفاظت از شبکه با Symantec Endpoint Threat Defense است.

علاوه بر این، مهاجمان می‌توانند درهای پشتی و انواع  persistence hook را  ایجاد کنند که به آن‌ها اجازه می‌دهد در زمان دلخواه خود دوباره حمله کنند. Endpoint Threat Defense for AD به طور مداوم به دنبال ناهنجاری‌ها، آسیب‌پذیری‌ها و persistence hooks در دامنه می‌گردد و تصویری از منظر مهاجم به مدیر AD ارائه می‌دهد تا امکان کنترل خطر فراهم شود.

این فرایند ارزیابی خودکار، از شبیه‌سازی حملات برای جمع‌آوری اطلاعات دقیق درباره‌ی پیکربندی دامنه، حساب‌های دارای امتیاز، تنظیمات امنیتی، GPO، نقاط پایانی، کنترلر دامنه و Kerberos استفاده می‌کند. سپس هر جزء از ساختار دامنه و AD به‌طور خودکار برای شناسایی ناهنجاری‌ها و درهای پشتی بررسی می‌شود. شناسایی مستمر این ناهنجاری‌ها و درهای پشتی برای کاهش خطر در دامنه ضروری است. هنگامی که یک ناهنجاری یا در پشتی شناسایی شد، هشدار به کنسول مرکزی ارسال می‌شود و توصیه‌های اصلاحی ارائه خواهند شد.