ESET World 2025 | محافظت از خود با MDR

ESET World 2025 | محافظت از خود با MDR

ESET World 2025 | محافظت از خود با MDR : با جیمز رودوالد، معنای امنیت شبانه‌روزی را کشف کنید، زیرا او توضیح می‌دهد که چه چیزی ESET MDR را به یک سرویس امنیتی تبدیل می‌کند.

ESET World 2025 رویدادی بود که متخصصان برتر امنیت سایبری را از همه اقشار جامعه گرد هم آورد بنابراین انتظار می‌رود نمونه‌های ملموسی از آنچه باعث می‌شود یک کسب‌وکار واقعاً ایمن بماند ارائه شود. این دقیقاً همان کاری است که جیمز رودوالد، تحلیلگر نظارت امنیتی در ESET انجام داد.

رودوالد در طول جلسه‌ای با عنوان «حفاظت از خود با ESET MDR»، به نقاط درد حیاتی مدیران فناوری اطلاعات و اینکه چگونه تشخیص و پاسخ مدیریت‌شده (MDR) در زمان آنها صرفه‌جویی می‌کند و کارایی‌های جدیدی را ایجاد می‌کند، اشاره کرد و همچنین داستانی در مورد یک VPN خرابکار به اشتراک گذاشت.

معمولاً مدیران فناوری اطلاعات باید تمرکز خود را بین بسیاری از حوزه‌ها تقسیم کنند و امنیت تنها بخش کوچکی از وظایف آنهاست که اغلب کمتر از حد لازم مورد توجه قرار می‌گیرد.

از میان بسیاری از مسائل پیرامون امنیت سایبری یک شرکت، بودجه آنها یک نگرانی کلیدی است – مراکز عملیات امنیتی (SOC) مناسب می‌توانند گران باشند، زیرا پوشش صدها صندلی زمان و تلاش می‌طلبد. با این حال برخی از شرکت‌ها فرض می‌کنند که داشتن دو نفر که کل قابلیت‌های یک SOC را پوشش می‌دهند کافی است، اما رودوالد به شدت مخالف است: آنها قادر به نظارت ۲۴ ساعته و ۷ روز هفته نخواهند بود. … اگر اتفاقی در حالی که آنها خواب هستند یا احتمالاً در تعطیلات هستند، رخ دهد، می‌تواند واقعاً بد باشد.

نقاط ضعف یک مدیر فناوری اطلاعات معمولی

در حالی که رودوالد نمی‌خواهد متخصصان فناوری اطلاعات را از تلاش بازدارد تأکید می‌کند که شکاف‌های خاصی وجود دارد که فقط متخصصان امنیت می‌توانند آنها را پر کنند: “مدیران فناوری اطلاعات باهوش هستند. آنها در کاری که انجام می‌دهند عالی هستند.

آنها این سیستم‌های زیبا را می‌سازند که همه با یکدیگر ارتباط برقرار می‌کنند و این شگفت‌انگیز است. اما گاهی اوقات آنها نمی‌دانند چگونه متوجه شوند که شخص دیگری شبکه آنها را به طور مخرب مدیریت می‌کند. و اینجاست که خطرات وارد می‌شوند.

ESET MDR به کمک می‌آید!

تأمین منابع اضافی برای مدیران فناوری اطلاعات جهت مبارزه با تهدیدات در حین انجام وظایف روزانه، چیزی است که ESET MDR به طور گسترده ارائه می‌دهد. این امر برای کسب‌وکارهای کوچک‌تر که فاقد نیروی متخصص امنیتی در بخش‌های فناوری اطلاعات خود هستند، بسیار مفید است و به سرعت وضعیت آنها را بهبود می‌بخشد. رودوالد در مورد این سرویس گفت: «انگار آن را تنظیم می‌کنید و فراموش می‌کنید… مشتریان می‌خواهند کسی نظارت داشته باشد و در صورت وقوع حادثه، آنچه برای رفع آن انجام داده‌ایم و آیا اقداماتی وجود دارد که باید انجام دهند، مطلع شود.

ESET MDR یک سرویس مدیریت تهدید ۲۴ ساعته برای سازمان‌های کوچک‌تر است که از هوش مصنوعی و تخصص انسانی برای محافظت ممتاز بدون متخصصان امنیتی داخلی استفاده می‌کند. اجازه دهید ESET در حالی که شما بر شایستگی‌های اصلی تمرکز می‌کنید، رفتارهای مخرب را تنها در ۲۰ دقیقه مسدود، متوقف و مختل کند.

در حالی که یک سرویس MDR پایه می‌تواند امنیت در سطح سازمانی را ارائه دهد، با نظارتی که توسط متخصصان جدی آموزش دیده برای متوقف کردن حوادث امنیتی انجام می‌شود (با استفاده از هوش تهدید برتر برای توانمندسازی تصمیمات آنها)، کارهای بسیار بیشتری می‌توان برای محیط‌های پیچیده با ردپای بزرگتر انجام داد. این محیط‌ها به یک رویکرد خاص نیاز دارند که به طور طبیعی با دستگاه امنیتی موجود یک سازمان بزرگتر هماهنگ باشد.

همانطور که رودوالد گفت، ESET MDR Ultimate (MDRU) «برای آن دسته از مشتریانی است که می‌خواهند در زمان واقعی با ما زندگی کنند، زیرا ما محیط آنها را رصد می‌کنیم… مزایای آن از ایجاد قوانین سفارشی و هشدار گرفته تا بهینه‌سازی محیط امنیتی… و یافتن دستگاه‌های محافظت نشده و غیره را شامل می‌شود.

بنابراین، در طیف وسیعی از این فعالیت‌ها، ما بلوغ عملیاتی و فرآیندی را هدایت می‌کنیم به اصلاح کمک می‌کنیم و حتی آن دستگاه‌های محافظت نشده را که متأسفانه منبع بسیار رایجی از تهدیدها هستند، علامت‌گذاری می‌کنیم.»

ESET MDRU به طور کامل فناوری ESET و تخصص امنیت دیجیتال را برای شناسایی و پاسخ مؤثر و پیشگیرانه به هرگونه تهدیدی ترکیب می‌کند. این یک سرویس سفارشی است که به عنوان یک چتر امنیتی شبیه SOC عمل می‌کند و توانایی محافظت از محیط‌های پیچیده را با تیم‌های امنیتی اختصاصی دارد.

رودوالد همچنین گزارش‌های ESET MDRU را برجسته کرد و توضیح داد که چگونه این فرآیند انسانی‌تر است و متخصصان هر دو طرف را برای طراحی قوانین و مکانیسم‌های حفاظتی بهتر به طور همزمان متصل می‌کند، که ارزش بیشتری را به همراه دارد.

حفظ ۲۰ دقیقه برای تشخیص

سطح خدمات ESET MDR برای همه مشتریان ۲۰ دقیقه زمان برای تشخیص در نظر گرفته است – در حال حاضر ۱ دقیقه زمان برای واکنش و حدود ۵ دقیقه زمان برای حل یک حادثه. این به دلیل نظارت ۲۴ ساعته و ۷ روز هفته مانند SOC است، و تیم‌های MDR ما دائماً فرآیندهای تصمیم‌گیری خود را با هر تشخیص بهبود می‌بخشند.

میانگین زمان ۲۰ دقیقه برای تشخیص و پاسخگویی برای ESET MDR در مقایسه با ۱۶ ساعت برای SOCهای داخلی و بیش از ۲۰۰ روز برای مشاغل بدون SOC یا MDR

میانگین زمان تشخیص و پاسخگویی برای ESET MDR

رودوالد برای دستیابی به این نرخ تشخیص و پاسخگویی سریع، در مورد رژیم آموزشی ESET MDR توضیح داد: “روش آموزش ما پرسیدن این سوال است که آیا می‌توانستیم این را زودتر تشخیص دهیم؟ زیرا اگر بتوانیم بهبود یابیم، پس می‌خواهیم بهبود یابیم. همچنین، آیا اگر این [تهدید] را در طبیعت دیدید، می‌توانید آن را شناسایی کنید؟” تیم‌های مربوطه همچنین تحقیقات را بررسی می‌کنند تا بتوانند مسائلی را که هنوز با آنها مواجه نشده‌اند، بهتر شناسایی کنند.

در نتیجه، تیم‌های MDR در ESET می‌توانند به طور فعال موارد مثبت کاذب را از تشخیص‌های واقعی جدا کنند، در صورت نیاز از دستورالعمل‌های جدید پاسخ به حوادث استفاده کنند و آموزش‌ها را مدیریت کنند تا تحلیلگران در مورد تهدیدات به‌روز باشند. برای تیم‌های داخلی (به ویژه متخصصان عمومی فناوری اطلاعات)، این ممکن است دشوار باشد، اما این چرخه معیوبی است که تحلیلگران نظارت امنیتی ESET برای آن آموزش دیده‌اند.

داستانی با جیمز

رودوالد در داستانی درباره موفقیت ESET MDRU، در مورد چگونگی نفوذ یک VPN خرابکار به شبکه یک کسب و کار صحبت کرد. شرکت مورد نظر، که صاحب یک شبکه بزرگ با چندین سایت در سطح جهان است، قبل از راه‌اندازی سرویس ESET خود (حداقل دو تا سه ماه قبل) به طور ناخودآگاه مورد نفوذ قرار گرفت. در حالی که از یک راهکار XDR استفاده می‌کرد، هیچ کس آن را نظارت نمی‌کرد.

در مرحله بعد، ابزار RMM که به romfusclient.exe تغییر نام داد زنجیره اجرایی دیگری را برای نصب یک درِ پشتی OpenSSH آغاز کرد: رودوالد گفت: «این درِ پشتی با یک سرور کنترل و فرمان از راه دور ارتباط برقرار می‌کرد و به هر کسی که کنترل را در دست داشت اجازه می‌داد تا از طریق این دستگاه تونل بزند و سایر دستگاه‌های موجود در شبکه را هدف قرار دهد.

چگونه ESET MDRU کمک کرد

کمی پس از راه‌اندازی ESET MDRU، نظارت بر حرکات جانبی از طریق وظایف برنامه‌ریزی‌شده از راه دور افزایش یافت نمونه دیگری از PowerTrash در حال اجرا بود: رودوالد اظهار داشت: «هدف آن تخلیه اعتبارنامه‌ها و بارگذاری Spy.Sekur در حافظه بود. در این مرحله، ما می‌دانستیم که این FIN7 است زیرا Spy.Sekur فقط توسط FIN7 استفاده می‌شود و PowerTrash، به گمان من، نیز منحصر به FIN7 است.» مورد دوم ۴۱۰۰۰ خط کد بود که بسیار طولانی‌تر از نمونه قبلی بود.

اجرای PowerTrash جدید برای حذف اعتبارنامه‌ها و بارگذاری Spy.Sekur

ما همزمان با ایجاد قوانین سفارشی برای مسدود کردن موارد، شاهد حرکات جانبی دیگری بودیم… و این را هم از طریق وظایف از راه دور و هم از طریق WinRM مشاهده کردیم. دیدیم که هدف آنها این بار اجرای یک فایل دسته‌ای برای اجرای نسخه تغییر نام یافته RClone.exe به منظور پشتیبان‌گیری از فایل‌های اشتراکی شبکه و سپس استفاده از یک کپی تغییر نام یافته از ۷-Zip برای فشرده‌سازی آن قبل از استخراج آن بود.

کشتن و مسدود کردن

تیم MDR سپس شروع به کشتن و مسدود کردن این فرآیندها کرد و در عین حال قوانین سفارشی برای غیرفعال کردن دائمی آنها ایجاد کرد. با این وجود، این اتفاق در چندین دستگاه و با اشکال مختلف حرکت جانبی رخ می‌داد.

از آنجایی که تیم MDR آدرس IP منبع هر یک از این حرکات را داشت، متوجه شد که باید دستگاه‌های محافظت نشده را در محیط مشتری پیدا کند زیرا آنها در ESET PROTECT یا ESET Inspect به عنوان دستگاه‌های مدیریت شده نمایش داده نمی‌شدند.

رودوالد گفت: «بنابراین، ما در حال حاضر با تلفن صحبت می‌کنیم و من از آنها می‌خواهم که مستقیماً من را به این دستگاه‌ها از راه دور وصل کنند تا بتوانم ببینم چه اتفاقی می‌افتد. ما درهای پشتی OpenSSH را در چندین دستگاه مختلف پیدا کردیم یا باید از کلاینت می‌خواستیم که آنها را از شبکه جدا کند، یا من باید به صورت دستی آنها را اصلاح می‌کردم.

با این حال، دشمن کار را تمام نکرده بود. احتمالاً با وحشت از دست دادن دسترسی، ابزار جدیدی را منتشر کردند: رودوالد «این یک DLL جانبیِ بی‌سابقه بود!» در حالی که ممکن است فایل .exe قبلاً در فضای مجازی دیده شده باشد (TopoEdit)، اما شامل یک DLL مخرب بود.

آنها سعی داشتند در شبکه بمانند… ما این را در کمتر از ۳۰ ثانیه متوجه شدیم.» بنابراین، تیم MDR فایل اجرایی .exe و DLL پاک را مسدود کرد و آن را از حدود شش یا هفت دستگاه دیگر، همه در همان بازه زمانی، اصلاح کرد.

بازگشت به مبدا

به موازات آن، تیم کنجکاو شد تا بررسی کند که چگونه دسترسی اولیه رخ داده است: «ما شروع به استخراج گزارش‌ها از دستگاه‌ها کردیم و سعی کردیم رد رویدادها را پیدا کنیم… بنابراین در حال انجام تحقیقات [حادثه] دیجیتال بودیم.» قبل از اینکه آنها خیلی عمیق به این تحقیقات بپردازند، عوامل تهدید کارت‌های خود را رو کردند: شخصی از پروتکل دسکتاپ از راه دور (RDP) از IP های خصوصی برای دسترسی به دستگاه‌های مختلف استفاده می‌کرد و بلافاصله AteraAgent را با Splashtop – دو ابزار RMM دیگر – نصب می‌کرد.

با این حال، این IP ها در یک زیرشبکه خاص بودند که با سایر دستگاه‌های شبکه متفاوت بود، که به سرعت توسط مدیر کسب و کار به عنوان آدرس‌های اختصاص داده شده توسط VPN مشتری تأیید شدند.

رودوالد فاش کرد: «دستگاه VPN آنها مورد نفوذ قرار گرفته بود. آنها دستگاه‌های مخربی داشتند که متعلق به عامل تهدید بود و به VPN متصل می‌شد و سپس از طریق RDP به دستگاه‌های دیگر متصل می‌شد.» از این رو، تیم MDR شرکت را مجبور به خاموش کردن VPN خود کرد و از آن زمان تاکنون هیچ فعالیت جدیدی انجام نشده است، اگرچه هنوز تحت نظارت است.

این داستان نشان می‌دهد که چگونه به لطف همکاری نزدیک ایجاد شده توسط سرویس ESET MDRU، اقدامات فوری انجام شد و به سرعت دستورالعمل‌ها و استراتژی‌های امنیتی جدیدی برای مشتری برای جلوگیری از حوادث آینده توسعه داده شد.

امنیت مبتنی بر پیشگیری

ارزش کلیدی خدمات MDR ESET در کیفیت مبتنی بر پیشگیری آن نهفته است. با توجه به اینکه هر یک از سرویس‌های مدیریت شده ESET معماری‌های مختلف شرکت را مورد بررسی قرار می‌دهند، هدف یکسان است – شناسایی سریع و اصلاح تقریباً فوری، مقابله با تهدیدات جدید قبل از اینکه بتوانند باعث آسیب شوند.

به علاوه، همانطور که در داستان VPN مخرب رودوالد مشهود است، شاید استفاده از یک سرویس مدیریت شده حتی در حین تجربه یک نفوذ، بتواند کسب و کارها را قادر سازد تا از شاخک‌های خزنده یک نقض امنیتی، یک برد امنیتی به دست آورند.