كتاب تشغيل عمليات الأمان XOps - الماسحات الضوئية والثغرات الأمنية

يصف كتاب التشغيل هذا كيفية استخدام ورشة عمل القصص للتحقيق في القصص بناءً على الثغرات وأنشطة الفحص.

نظرة عامة

يوضح هذا الكتاب الإرشادي نهجًا منهجيًا لمهندسي مركز عمليات الأمان للتحقيق في الحوادث الأمنية المحتملة المتعلقة بأنشطة الفحص والثغرات. يوفر إطارًا لجمع المعلومات الأولية وتحليل حركة مرور الشبكة وتكوين استنتاجات حول طبيعة التهديد.

يساعدك كتاب التشغيل في تحديد المراحل المختلفة للهجوم عبر الشبكة للهجمات التي تعتمد على نشاط الفحص واستغلال الثغرات. هذه بعض التكتيكات التي ترتبط عادةً بهذه الهجمات:

استطلاع
الوصول الأولي
تصعيد الامتيازات
التحرك العرضي
الترشيح

تحديد الماسحات الضوئية والقصص الثغرات

تحدد محركات XOps قصص الماسح الضوئي والثغرات استنادًا إلى توقيعات IPS التي تتطابق مع سلوكيات التهديد المحددة. فهم السلوك الذي أثار القصة يمنحك فكرة أفضل عن كيفية التحقيق فيها. يظهر الجدول التالي صيغًا لتوقيعات IPS المختلفة لهذه الأنواع من القصص، ويصف السلوكيات الخبيثة المحتملة التي تتطابق مع التوقيع.

توقيع IPS	توضيح
cid_cve_*	ثغرات مع معرف CVE
cid_vuln_*	ثغرات بدون معرف CVE
cid_scan_*	للماسحات الضوئية للشبكة
cid_waf_*	للماسحات الضوئية للشبكة والثغرات الموجهة لخدمات الويب
feed_cid_cve_*	لمصادر محددة لتهديدات تتعلق بالثغرات
feed_threat_scanner*	للحركة الداخلية المرتبطة بعناوين IP التي تم تصنيفها كماسحات تهديد

تدفق إجراءات التحقيق

يشرح هذا القسم تدفق التحقيق لتحديد هجوم نشأ من نشاط فحص أو محاولة استغلال ثغرة.

الخطوة 1 - جمع المعلومات الأولية حول التهديد

استخدم ويدجت تفاصيل في القصة لجمع المعلومات الأساسية حول التهديد المحتمل. راجع الوصف للقصة. يمكن أن يساعد ذلك في توجيه التحقيق بناءً على المنطق الذي أنتج القصة. بالإضافة إلى ذلك، يُظهر قسم القصص المشابهة قصصًا أخرى تشارك مؤشرات وملاحظات مشابهة.

لتحديد ما إذا كانت هناك حاجة لمزيد من التحقيق، راجع بيانات إضافية، على سبيل المثال:

الاتجاه: يؤثر هذا على عملية التحقيق، لمزيد من المعلومات انظر الخطوة 3 - التحقيق وفقًا للاتجاه.
المصدر/الهدف: تعرض هذه النافذة بيانات حول الأجهزة المتأثرة.

ملاحظة: بالنسبة للقصص الواردة، يشير الهدف إلى المضيف المتأثر، بينما يشير المصدر إلى الكائن الذي يتم التحقيق فيه ويقع خارج كاتو. يمكن أن يكون ذلك في بعض الأحيان بسبب أجهزة أو مواقع غير مهيأة كجزء من شبكة كاتو، أو بسبب أخطاء التكوين.
كتالوج المؤشرات: يمكن أن يساعد في فهم المنطق الخاص بالمؤشر.

الخطوة 2 - تحديد نوع التهديد

في قصة الماسح الضوئي يمكنك تحديد نوع الماسح الضوئي بناءً على التوقيع الذي أثار القصة والتطبيق المشار إليه في التوقيع. يمكن أن تكون مرتبطة بنوع محدد مثل Nessus، أو Qualys، أو بناءً على خدمة/تطبيق عام وكمية الحركة.

في قصة الثغرة تساعد المراجع في الأحداث على فهم الثغرة وتوجيه التحقيق إلى مؤشرات التهديد ذات الصلة.

يوفر مجال مرجع التهديد في الحدث الرابط للبحث عن التهديد في قاعدة بيانات الثغرات الوطنية.

الخطوة 3 - التحقيق وفقًا للاتجاه

يؤثر اتجاه القصة على الخطوات التالية في التحقيق:

قصة فحص واردة / قصة الثغرة

الغرض من هذه المرحلة من التحقيق هو تحديد والتحقق من إمكانية حدوث محاولة لجمع المعلومات / التسلل من قبل خصم خارجي.

في جدول المصادر، اكتشف المصادر المحددة لتحديد نواياها الخبيثة المحتملة:

تحليل معايير الجدول لتقييم المخاطر: تقييم المعايير مثل الدرجة الخبيثة والشعبية والفئات المرتبطة وعدد مصادر استخبارات التهديد المرتبطة بالمصدر لتحديد احتمال كون المصدر خبيثًا.
استخدم روابط المصدر للبحث الخارجي: قم بإجراء بحث خارجي باستخدام روابط المصدر في محركات البحث وقواعد بيانات الأمن الخارجية الموثوقة. ابحث عن أي سياق تاريخي أو روابط أو مؤشرات لسلوك خبيث مرتبط بالمصدر. قم بربط البيانات المجمعة لتحديد الاتصالات بين المصادر والكيانات الأخرى وحاول تحديد ما إذا كانت هناك أي روابط لممثلين تهديد معروفين أو حملات أو تقنيات.
التدفقات/الأحداث المتعلقة بالهجمات: استخدم الجدول المحدد لتفحص عينات تدفق البيانات غير المعالجة المرتبطة بالقصة المفعلة. قم بتحليل نقاط البيانات المكملة من التدفقات، مثل عناوين URL، ووكلاء المستخدم، وأسماء الملفات والسمات ذات الصلة الأخرى، وقارن بين هذه المعايير والنتائج من خطوات التحقيق السابقة واكتسب رؤى حول الحكم النهائي للمصدر المتواصل.

بعد فهم أنواع التهديدات بناءً على الأحداث ذات الصلة بالقصة، من المهم التعمق في الأحداث ذات الصلة للحصول على مزيد من الرؤى حول حركة المرور. على سبيل المثال:

التحقق من حركة المرور وتصنيفها كإيجابية حقيقية أو سلبية حقيقية بناءً على مرجع التوقيع المتوافق مع البيانات الموجودة في الأحداث.
فهم نطاق التهديد:
- تحقق من حركة مرور إضافية من المصدر المتواصل لتحديد ما إذا كانت هذه الاتصال جديدة أو مشهودة من قبل.
- تحقق من مصادر إضافية ذات خصائص حركة مرور مشابهة (تطبيق، منفذ وجهة)
- تحقق من الأهداف/المضيفين الإضافيين الذين تواصل معهم المصدر الذي تم التحقيق فيه
- تحقق من الاختلافات بين الأحداث مثل عناوين URL المختلفة، المنافذ الوجهة، طريقة الطلب، إلخ.
- تحقق مما إذا تم حظر حركة المرور بناءً على مجال الإجراء

الخاتمة

بالنسبة لتحقيقات الماسح الضوئي، هناك تصنيفات متعددة للماسحات الضوئية المعروفة وطرق الفحص مثل:

Nessus
Nmap
Xmas
Ping Sweep

بالنسبة لتحقيقات الثغرات، هناك تصنيفات للثغرات المعروفة مثل:

حقن SQL
حقن البرمجة النصية عبر المواقع (حقن XSS)

إذا لم تكن الثغرة المحددة في القصة موجودة في قائمة التصنيف، يمكنك إضافتها محليًا إلى حسابك بالنقر فوق جديد وتعبئة الحقول ذات الصلة.

في حالة أن القصة إيجابية حقيقية ولم يتم حظرها، يُوصى بشدة بإضافة المصادر التي تم التحقيق فيها إلى قائمة الحظر لسياسة RPF. لمزيد من المعلومات، انظر تكوين توجيه المنفذ البعيد للحساب.

في حالة أن القصة كانت إيجابية زائفة، يمكنك تصنيفها كقصة حميدة/إعلامية وإضافتها أيضًا إلى قاعدة كتم القصص. (إذا كانت القصة نتيجة فحص/اختبار اختراق مشروع، يوصى بإضافتها إلى قاعدة كتم القصص لفترة زمنية محددة.)

قصة فحص صادرة / قصة ثغرة

الغرض من التحقيق هو تحديد والتحقق من الحالات المحتملة للتسلل، حركة المرور للتحكم والقيادة، نشاط الروبوتات، وما إلى ذلك.

في جدول الأهداف، قم بفحص الأهداف المحددة لتحديد نواياها الخبيثة المحتملة:

تحليل معايير الجدول لتقييم المخاطر: تقييم المعايير مثل الدرجة الخبيثة والشعبية والفئات المرتبطة وعدد مصادر استخبارات التهديد المرتبطة بالهدف لتحديد احتمال كون الهدف خبيثًا.
استخدم روابط الهدف للبحث الخارجي: في حالات نشاط الفحص الصادرة، قد يكون التحقيق في الهدف صعبًا حيث أن معظم الأهداف التي يتم التواصل معها غير معروفة لعديد من محركات الأمن وتفتقر إلى البيانات الخارجية.

ومع ذلك، يُوصى باستخدام مصادر خارجية للعثور على أقصى قدر من السياق باستخدام أي سياق تاريخي، روابط، أو مؤشرات لسلوك خبيث مرتبط بالهدف. قم بربط البيانات المجمعة لتحديد الاتصالات بين الأهداف والكيانات الأخرى وحاول تحديد ما إذا كانت هناك أي روابط لممثلين تهديد معروفين أو حملات أو تقنيات.
التدفقات/الأحداث المتعلقة بالهجمات: استخدم الجدول المحدد لتفحص عينات تدفق البيانات غير المعالجة المرتبطة بالقصة المُفعلة. تحليل نقاط البيانات التكميلية من التدفقات، مثل منافذ الوجهة، التطبيقات، عناوين URL، وكلاء المستخدمين، البلدان الوجهة، والسمات ذات الصلة الإضافية، وقارن هذه المعلمات بالنتائج من التحقيق السابق واحصل على رؤى بخصوص القرار النهائي للهدف المتواصل.

بعد فهم نوع التهديدات بناءً على الأحداث ذات الصلة بالقصة، من المهم التعمق في الأحداث ذات الصلة للحصول على رؤى إضافية حول الحركة. على سبيل المثال:

التحقق من الحركة وتصنيفها على أنها إيجابية حقيقية أو سلبية حقيقية بناءً على مرجعية التوقيع ووضع البيانات الموجودة على الأحداث.
فهم نطاق التهديد:
- افحص حركة إضافية من الهدف المتواصل لفهم ما إذا كانت هذه الحركة جديدة، أو قد ظهرت من قبل.
- افحص أهداف إضافية ذات خصائص حركة مشابهة (التطبيق، منفذ الوجهة)
- تحقق من أهداف/مضيفين إضافيين تواصل معهم الهدف المُحقق فيه
- افحص الفروقات بين الأحداث مثل عناوين URL المختلفة، منافذ الوجهة المختلفة، طريقة الطلب، إلخ.
- تحقق مما إذا كانت الحركة قد تم حظرها بناءً على حقل الإجراء
الخاتمة

بالنسبة لتحقيقات الماسح الضوئي، هناك تصنيفات متعددة للماسحات الضوئية المعروفة وطرق المسح الضوئي مثل:
- فحص ICMP
- فحص SYN
- فحص SMTP
بالنسبة لتحقيقات الثغرات الأمنية، هناك تصنيفات للثغرات الأمنية المعروفة مثل:
- حقن SQL
- حقن البرمجة عبر المواقع (حقن XSS)
في حالة عدم وجود ثغرة محددة تم العثور عليها للقصة في قائمة التصنيف، يمكنك إضافتها محلياً بالنقر على جديد وملء الحقول ذات الصلة.

في حالة أن تكون القصة إيجابية حقيقية ولم يتم حظرها، يُوصى بشدة بإضافة الأهداف التي تم التحقيق فيها إلى قاعدة حظر جدار الحماية على الإنترنت. بالإضافة إلى ذلك، في الحالات التي يسمح فيها بتوقيع IPS، يوصى بحظره باستخدام قاعدة جدار حماية أو تحرير قاعدة السماح بـIPS لتشمل الأهداف المعروفة فقط.

في حالة أن تكون القصة إيجابية خاطئة، يمكنك تصنيفها على أنها حميدة/معلوماتية وأيضاً إضافتها إلى قاعدة كتم القصص. في حالة أن تكون القصة ناتجة عن فحص/اختبار اختراق مشروع، يوصى بإضافتها إلى قاعدة كتم القصص لمدة زمنية محددة.

قصة الفحص الخارج/الثغرات الأمنية

الهدف من التحقيق هو التعرف والتأكد من حالات التسرب المحتملة، والتنقل الجانبي، وتصعيد الامتيازات، وما إلى ذلك.

يمكن لجدول الأهداف توفير رؤية لجميع الأهداف المتواصلة.

استخدم الجدول لفحص عينات تدفق البيانات غير المعالجة المقابلة للقصة المفعلة. تحليل نقاط البيانات التكميلية من التدفقات، مثل عناوين URL، وكلاء المستخدمين، أسماء الملفات، والسمات ذات الصلة الإضافية، وقارن هذه المعلمات بالنتائج من خطوات التحقيق السابقة واحصل على رؤى بخصوص القرار النهائي للمصدر المتواصل.

التحقق من الحركة وتصنيفها على أنها إيجابية حقيقية أو سلبية حقيقية بناءً على مرجع التوقيع وتوافقه مع البيانات الموجودة على الأحداث
فهم نطاق التهديد:
- التحقق من حركة إضافية من المصدر المتواصل لفهم ما إذا كانت هذه الحركة جديدة، أو قد ظهرت من قبل
- التحقق من مصادر إضافية ذات خصائص حركة مشابهة (التطبيق، منفذ الوجهة)
- التحقق من أهداف/مضيفين إضافيين تواصل معهم المصدر المحقق فيه
- التحقق من الفروقات بين الأحداث مثل عناوين URL المختلفة، منافذ الوجهة المختلفة، طريقة الطلب، إلخ.
- التحقق مما إذا كانت الحركة قد تم حظرها بناءً على حقل الإجراء
بالنسبة لتحقيقات الفحص، هناك تصنيفات متعددة للماسحات الضوئية المعروفة/طرق الفحص مثل:
- Nessus
- Nmap
- Xmas
- فحص Ping
بالنسبة لتحقيقات الثغرات الأمنية، هناك تصنيفات للثغرات الأمنية المعروفة مثل:
- حقن SQL
- حقن البرمجة عبر المواقع (حقن XSS)
في حالة عدم وجود الثغرة المحددة التي تم العثور عليها للقصة في قائمة التصنيف، يمكنك إضافتها محلياً بالنقر على جديد وملء الحقول ذات الصلة.

في حالة أن تكون القصة إيجابية حقيقية ولم يتم حظرها، يُوصى بشدة بإضافة الأهداف التي تم التحقيق فيها إلى قاعدة حظر جدار الحماية على الشبكة. بالإضافة إلى ذلك، في الحالات التي يسمح فيها بتوقيع IPS، يوصى بحظره باستخدام قاعدة جدار حماية أو تحرير قاعدة السماح بـIPS لتشمل الأهداف المعروفة فقط.

في حالة أن تكون القصة إيجابية خاطئة، يمكنك تصنيفها على أنها حميدة/معلوماتية وأيضاً إضافتها إلى قاعدة كتم القصص. إذا كانت القصة ناتجة عن فحص مشروع أو اختبار اختراق، يُوصى بإضافتها إلى قاعدة كتم القصص لفترة زمنية محددة.