يصف هذا الكتيب كيفية استخدام منصة القصص للتحقيق في القصص المتعلقة بالهجمات التي تستخدم مواقع التصيد.
يوضح هذا الكتيب نهجًا منهجيًا للمهندسين في مركز العمليات الأمنية للتحقيق في الحوادث الأمنية المحتملة المتعلقة بالمواقع المستخدمة للهجمات التصيدية. يوفر إطارًا لجمع المعلومات الأولية، تحليل حركة المرور على الشبكة، واستنتاج طبيعة التهديد.
استخدم عنصر واجهة المستخدم التفاصيل في القصة لجمع المعلومات الأساسية حول التهديد المحتمل. راجع الوصف للقصة والبيانات الأخرى لتقرير ما إذا كانت هناك حاجة لإجراء تحقيق إضافي. بالإضافة إلى ذلك، تعرض قسم القصص المشابهة قصص أخرى تشترك في مؤشرات ومواد مماثلة.
انقر فوق توليد ملخص AI للحصول على وصف القصة بلغة طبيعية يوفر سياق غني ويساعدك على تقييم القصة بسرعة.
استخدم عنصر واجهة المستخدم المصدر لمراجعة البيانات حول الجهاز المتأثر بهذا الهجوم.
يمكنك أيضًا استخدام كتالوج المؤشرات للحصول على معلومات إضافية (مثل معرف المؤشر)، وتركيز التحقيق بناءً على استفساراتك.
يمكن أن يساعد الرسم البياني توزيع الهجوم في فهم طبيعة الحركة، الهجمات الدورية التي تشبه سلوك البوت، أو حدوث لمرة واحدة، أو خصائص أخرى.
بالنسبة للهجمات التصيدية، يتكون توزيع الحركة عادةً من كمية قليلة من التدفقات، أو حدوث لمرة واحدة، مع رسم بياني يشبه هذا:
للتحقيق بشكل صحيح في هجوم التصيد المحتمل، من المهم تحديد أي مرحلة تم اكتشاف الهجوم فيها أولاً. تكتشف خدمات الأمن لدى كاتو الهجمات التصيدية في المراحل المختلفة التالية:
-
حظر الوصول - تحدد كاتو وجهة التصفح كموقع تصيدي وتحظر الوصول إلى الموقع
-
حظر إرسال بيانات اعتماد - عندما يصل المستخدم إلى موقع تصيدي ويتم عرضه في المتصفح، يمكن لكتو منع المستخدم من إدخال البيانات الاعتمادية
-
اكتشاف ما بعد الاختراق - يمكن لخدمة مراقبة النشاط المشبوه (SAM) أن تحدد متى يقدم المستخدم بيانات اعتماد في مواقع خطرة، وتقوم بإنشاء أحداث تنبه المسؤول إلى الاختراق المحتمل
استخدم عنصر واجهة المستخدم الأحداث المستهدفة لمعرفة الأحداث المتعلقة بالقصة والعثور على معلومات لتحديد في أي مرحلة تم اكتشاف محاولة التصيد، وما إذا كانت قد تم حظرها. يمكن أن يشير حقل اسم التهديد إلى الوقت الذي تم فيه اكتشاف الهجوم.
هذا مثال على حدث يظهر حاجز IPS إرسال البيانات الاعتمادية في موقع التصيد:
بعد تحديد المرحلة التي تم اكتشاف فيها الهجوم المحتمل، اتبع خطوات التحقيق الموضحة أدناه للكشف عند تلك المرحلة.
يصف هذا القسم نهجًا للتحقق من أن الموقع المحظور هو موقع تصيد. يركز جزء من التحقيق هذا بشكل رئيسي على الهدف.
يسمح لك قسم الأهداف بفحص الأهداف المحددة لمعرفة المزيد عن نيّتها المحتملة واحتمالية أن يكون الهدف خبيثاً:
-
تقييم درجة خطر كاتو
-
فحص شعبية كاتو
-
النظر في الفئات المرتبطة بكتو
-
مراجعة عدد تغذيات الاستخبارات المرتبطة بالهدف
مؤشر مهم جدًا للهجمات التصيدية هو تاريخ الإنشاء للدومين. إذا كان التاريخ حديثًا، فمن المرجح أن الموقع خبيث.
استخدام الروابط المستهدفة للبحث في المصادر الخارجية
بحلول الآن، ينبغي أن يكون لديك فهم قوي للنشاط الذي تم التقاطه في هذه القصة، تساعد الروابط المستهدفة في إجراء بحث خارجي في مصادر موثوقة للبحث عن سياق تاريخي وعلامات سلوك خبيث. قم بمقارنة هذه البيانات لتحديد الروابط مع كيانات أخرى وروابط محتملة لمهاجمين معروفين، حملات، أو تقنيات.
استخدام قسم التدفقات المتعلقة بالهجوم لفحص تدفقات البيانات الخام المتعلقة بالقصة.
قم بتحليل نقاط البيانات الإضافية من هذه التدفقات، بما في ذلك عناوين URL، وكلاء المستخدم، أسماء الملفات، وغير ذلك من السمات ذات الصلة، وقارنها بالنتائج من خطوة التحقيق السابقة لكشف العلاقات المحتملة.
-
التحقق مع الضحية ما إذا كانت الهجوم محاولة تصيد موجهة لهم بشكل خاص (باستخدام اسم خاص، معلومات خاصة، إلخ).
إذا لم يكن كذلك، تأكد من أن لا يوجد موظفون آخرون كانوا ضحايا للحملة التصيدية نفسها.
-
إذا كان مصدر محاولة التصيد قائم على البريد الإلكتروني ومعروف للمستخدم، قم بتخفيف الهجوم باستخدام منصة البريد الإلكتروني التنظيمي للإبلاغ عن العنوان المصدر و حجب العنوان.
-
إذا كان مصدر محاولة التصيد غير معروف، قم بإجراء فحص حماية النقطة النهائية الكاملة (مضاد الفيروسات، EPP، EDR، إلخ) وإزالة أي برامج غير معروفة وإضافات المتصفح من الجهاز المصاب.
يصف هذا القسم نهجًا للتحقق من وجود محاولة إرسال بيانات اعتماد إلى موقع تصيد. يركز جزء من التحقيق هذا بشكل رئيسي على الهدف المكتشف وعنوان URL.
يسمح لك قسم الأهداف بفحص الأهداف المحددة لمعرفة المزيد عن نيّتها المحتملة واحتمالية أن يكون الهدف خبيثاً:
-
تقييم درجة خطر كاتو
-
فحص شعبية كاتو
-
النظر في الفئات المرتبطة بكتو
-
مراجعة عدد تغذيات الاستخبارات المرتبطة بالهدف
مؤشر مهم جدًا للهجمات التصيدية هو تاريخ الإنشاء للدومين. إذا كان التاريخ حديثًا، فمن المرجح أن الموقع خبيث.
استخدام الروابط المستهدفة للبحث في المصادر الخارجية
بحلول الآن، ينبغي أن يكون لديك فهم قوي للنشاط الذي تم التقاطه في هذه القصة، تساعد الروابط المستهدفة في إجراء بحث خارجي في مصادر موثوقة للبحث عن سياق تاريخي وعلامات سلوك خبيث. قم بمقارنة هذه البيانات لتحديد الروابط مع كيانات أخرى وروابط محتملة لمهاجمين معروفين، حملات، أو تقنيات.
تحديد المرجع
في الهجمات التصيدية، الهدف الذي يتم الاتصال به أولاً غالبًا ليس الموقع الخبيث نفسه، بل موقع المرجع، بمعنى موقع يحتوي على الرابط إلى الموقع الخبيث. يظهر موقع المرجع في قسم التدفقات المتعلقة بالهجوم في عمود المرجع.
التحقق من المرجع باستخدام البحث عن دومين
بعد تحديد المرجع، يمكنك استخدام البحث عن دومين لبحث الدومين. تدني الشعبية وارتفاع درجة الخطر تشير إلى دومين خبيث.
استخدام قسم التدفقات المتعلقة بالهجوم لفحص تدفقات البيانات الخام المتعلقة بالقصة.
قم بتحليل نقاط البيانات الإضافية من هذه التدفقات، بما في ذلك عناوين URL، وكلاء المستخدم، أسماء الملفات، وغير ذلك من السمات ذات الصلة، وقارنها بالنتائج من خطوة التحقيق السابقة لكشف العلاقات المحتملة.
عند التحقيق في عنوان URL، من المهم التحقق مما إذا كان يحتوي على أي بيانات حساسة (لاحظ أنه في كثير من الحالات يتم ترميز عناوين URL وتحتاج إلى فك التشفير للوصول إلى جميع البيانات التي يحتويها). نوصي أيضًا بمراجعة الأدوات الخارجية لنمط عنوان URL مشابه لاكتساب المزيد من الفهم للحركة المكتشفة.
ملاحظة: عند إجراء تحقيق، نوصي بعدم الدخول إلى المواقع المشبوهة المرتبطة بالتصيد.
للحالات معظم إرسال البيانات الاعتمادية إلى موقع تصيد محظور، التصنيف الصحيح للقصة هو محاولة إرسال البيانات الاعتمادية.
-
إذا تم تسريب بيانات حساسة، قم بتغيير كلمة المرور للخدمات المعنية واعتبر بدء جلسة تسجيل خروج صارمة من جميع الخدمات.
-
تأكد من عدم تنزيل وتشغيل أي ملفات خبيثة.
-
التحقق مع الضحية ما إذا كانت الهجوم محاولة تصيد موجهة لهم بشكل خاص (باستخدام اسم خاص، معلومات خاصة، إلخ).
إذا لم يكن كذلك، تأكد من أن لا يوجد موظفون آخرون كانوا ضحايا للحملة التصيدية نفسها.
-
إذا كان مصدر محاولة التصيد قائم على البريد الإلكتروني ومعروف للمستخدم، قم بتخفيف الهجوم باستخدام منصة البريد الإلكتروني التنظيمي للإبلاغ عن العنوان المصدر و حجب العنوان.
-
إذا كان مصدر محاولة التصيد غير معروف، قم بإجراء فحص حماية النقطة النهائية الكاملة (مضاد الفيروسات، EPP، EDR، إلخ) وإزالة أي برامج غير معروفة وإضافات المتصفح من الجهاز المصاب.
يصف هذا القسم نهجًا للتحقق من وجود تقديم بيانات اعتماد إلى موقع تصيد. يركز جزء من التحقيق هذا بشكل رئيسي على الهدف المكتشف والمرجع (الموقع الذي يحتوي على الرابط إلى الموقع الخبيث).
يسمح لك قسم الأهداف بفحص الأهداف المحددة لمعرفة المزيد عن نيّتها المحتملة واحتمالية أن يكون الهدف خبيثاً:
-
تقييم درجة خطر كاتو
-
فحص شعبية كاتو
-
النظر في الفئات المرتبطة بكتو
-
مراجعة عدد تغذيات الاستخبارات المرتبطة بالهدف
مؤشر مهم جدًا للهجمات التصيدية هو تاريخ الإنشاء للدومين. إذا كان التاريخ حديثًا، فمن المرجح أن الموقع خبيث.
استخدام الروابط المستهدفة للبحث في المصادر الخارجية
بحلول الآن، ينبغي أن يكون لديك فهم قوي للنشاط الذي تم التقاطه في هذه القصة، تساعد الروابط المستهدفة في إجراء بحث خارجي في مصادر موثوقة للبحث عن سياق تاريخي وعلامات سلوك خبيث. قم بمقارنة هذه البيانات لتحديد الروابط مع كيانات أخرى وروابط محتملة لمهاجمين معروفين، حملات، أو تقنيات.
تحديد المرجع
في الهجمات التصيدية، الهدف الذي يتم الاتصال به أولاً غالبًا ليس الموقع الخبيث نفسه، بل موقع المرجع، بمعنى موقع يحتوي على الرابط إلى الموقع الخبيث. يظهر موقع المرجع في قسم التدفقات المتعلقة بالهجوم في عمود المرجع.
التحقق من المرجع باستخدام البحث عن دومين
بعد تحديد الإحالة، يمكنك استخدام البحث عن النطاق لإجراء بحث عن النطاق. يشير انخفاض الشعبية وارتفاع درجة الضرر إلى أن النطاق مشبوه.
استخدم القسم تدفقات ذات صلة بالهجوم لفحص التدفقات المسجلة غير المعالجة المتعلقة بالقصة.
قم بتحليل نقاط البيانات التكميلية من هذه التدفقات، بما في ذلك عناوين URL، ووكيلات المستخدم، وأسماء الملفات، والسمات الأخرى ذات الصلة، وقارنها مع النتائج من خطوة التحقيق السابقة للكشف عن الارتباطات المحتملة.
عند التحقيق في رابط URL، من المهم التحقق مما إذا كانت تحتوي على بيانات حساسة (لاحظ أنه في كثير من الحالات تكون روابط URL مشفرة وتحتاج إلى فك تشفير للوصول إلى جميع البيانات التي تحتوي عليها). نوصي أيضًا بالتحقق من الأدوات الخارجية للأنماط المماثلة لعناوين URL للحصول على مزيد من الفهم لحركة المرور المكتشفة.
ملاحظة: عند إجراء تحقيق، نوصي بعدم الوصول إلى المواقع المشبوهة المتعلقة بالتصيد.
في معظم حالات الكشف بعد الاختراق عن تقديم بيانات اعتماد إلى موقع تصيد، يكون التصنيف الصحيح للقصة هو تقديم بيانات اعتماد.
-
إذا تم تسريب بيانات حساسة، قم بتغيير كلمة المرور الخاصة بالخدمات ذات الصلة واعتبر تنفيذ تسجيل خروج قوي من جميع الخدمات.
-
تأكد من عدم تحميل أو تنفيذ ملفات ضارة.
-
تحقق مع الضحية مما إذا كانت الهجوم محاولة تصيد مستهدفة وتم توجيهها تحديدًا إليهم (باستخدام اسم خاص، معلومات خاصة، إلخ).
إذا لم يكن الأمر كذلك، تأكد من أنه لم يكن هناك أي موظفين آخرون ضحايا الحملة التصيدية نفسها.
-
إذا كان مصدر محاولة التصيد يعتمد على البريد الإلكتروني ومعروفًا للمستخدم، قم بالحد من الهجوم باستخدام منصة بريدك الإلكتروني التنظيمية للإبلاغ عنه وحظر العنوان المصدر.
-
إذا كان مصدر محاولة التصيد غير معروف، قم بإجراء فحص حماية الجهاز بالكامل (برنامج مضاد الفيروسات، وحماية النقاط النهائية، وكشف وردع التهديدات)، وأزل أي برامج غير معروفة والإضافات من المتصفح من الجهاز المصاب.
-
إذا لم يتم حظر حركة المرور المكتشفة، قم بإنشاء قاعدة جدار ناري للإنترنت لحظر الهدف.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.