مقدمه

بررسی کلی MaxPatrol O2


محصول متا MaxPatrol O2 مهاجمان را شناسایی می‌کند، دارایی‌های نفوذ شده را مشخص می‌نماید، سناریوهای حمله را بر اساس رویدادهای غیرقابل قبول ویژه شرکت پیش‌بینی می‌کند و حملات را قبل از ایجاد خسارت جبران‌ناپذیر متوقف می‌سازد.

MaxPatrol O2

۳. Knows How Attackers Operate (شناخت روش‌های حمله مهاجمان)

این ویژگی یعنی سیستم از مدل‌ها و تکنیک‌های شناخت رفتار مهاجمان برخوردار است و می‌داند چگونه حملات سایبری انجام می‌شوند. با این دانش، محصول می‌تواند حملات را پیش‌بینی کند، الگوهای مخرب را تشخیص دهد و در برابر روش‌های نوین هکرها آماده باشد. این شناخت عمیق به بهبود دقت شناسایی تهدیدات و جلوگیری از نفوذهای پیچیده کمک می‌کند.

۲. Automates SOC Activities (خودکارسازی فعالیت‌های SOC)

SOC (مرکز عملیات امنیتی) وظیفه مانیتورینگ، تشخیص و پاسخ به تهدیدات سایبری را بر عهده دارد. خودکارسازی فعالیت‌های SOC یعنی بسیاری از فرایندهای زمان‌بر و تکراری مثل جمع‌آوری داده‌ها، تحلیل اولیه رخدادها، هشداردهی و پاسخ‌های اولیه توسط سیستم به صورت خودکار انجام می‌شود. این کار باعث افزایش سرعت واکنش، کاهش خطاهای انسانی و بهینه‌سازی عملکرد تیم امنیت می‌شود.

۱. Result Driven (مبتنی بر نتیجه)

این مفهوم به این معناست که سیستم یا محصول تمرکز اصلی‌اش روی دستیابی به نتایج مشخص و ملموس است. به جای صرفاً ارائه گزارش‌ها یا داده‌های خام، PT ISIM یا MaxPatrol O2 تلاش می‌کند که اثرگذاری واقعی در امنیت شبکه ایجاد کند و با کاهش ریسک‌ها و جلوگیری از حملات، به اهداف امنیتی سازمان کمک نماید. این رویکرد باعث می‌شود منابع و زمان به شکل بهینه استفاده شود و امنیت سازمان بهبود یابد.

ویژگی‌های کلیدی

مدل‌سازی اقدامات احتمالی مهاجم

  • پیش‌بینی رویدادهای غیرقابل تحمل که ممکن است فعالیت مشکوک به آن‌ها منجر شود و تعداد گام‌های باقی‌مانده تا تحقق ریسک‌ها

  • پیش‌بینی بر اساس موارد زیر انجام می‌شود:

    • دسترسی شبکه‌ای به میزبان‌ها: مسیریابی، فهرست‌های دسترسی (Access Lists)، قوانین NAT

    • مجوزهای حساب کاربری برای ورود از راه دور

    • آسیب‌پذیری‌های اجرای کد از راه دور (RCE) روی میزبان‌ها

    • فرصت‌های ورود از راه دور از طریق VPN

    • دسترسی خواندن به حافظه فرآیند lsass.exe

شناسایی زنجیره‌های فعالیت هکرها

  • تحلیل داده‌ها از حسگرهای شرکت Positive Technologies در محصول متا و تعیین منابع مورد حمله، هدف‌گذاری شده و تصاحب شده.

  • همبستگی منابع برای ساخت زنجیره‌های فعالیت با استفاده از دانش رفتارها و روش‌های مهاجمان (TPPs).

  • هر زنجیره شامل تصویری از مسیر حرکت هکرها و همچنین پیش‌بینی مسیر بعدی آن‌ها است.

خودکارسازی تحقیقات

  • استفاده از داده‌های حسگرهای شرکت Positive Technologies برای ساختن زمینه کامل حمله و انجام تحقیقات.

  • غنی‌سازی فعالیت‌های زیر را انجام می‌دهد:

    • راه‌اندازی فرآیند: فرآیند -> جلسه -> کاربر

    • ورود از راه دور: RDP، SMB، WMI

    • جابجایی در زیرساخت: IP -> IP

    • ایجاد جلسه VPN: IP مشتری -> IP خارجی + نام کاربری

ارزیابی شدت تهدید

 

  • MaxPatrol O2 منابع تصاحب شده را بررسی کرده و نزدیکی رویداد غیرقابل تحمل را ارزیابی می‌کند.
    با دریافت این اطلاعات، سیستم وضعیت زنجیره حمله را به «نیاز به توجه» ارتقاء می‌دهد، پیش از آنکه هکر را متوقف کند یا از اپراتور بخواهد تصمیم‌گیری نماید.
    الگوریتم ارزیابی شدت تهدید به لطف تمرین‌های سایبری منظم شرکت Positive Technologies و مشارکت‌کنندگان در برنامه جایزه باگ Standoff 365 به طور مداوم بهبود می‌یابد.

متوقف کردن مهاجمان

  • با در نظر گرفتن ریسک‌های مرتبط با فرآیندهای کسب‌وکار، بهترین سناریوی پاسخ را پیشنهاد می‌دهد.

  • این سناریو می‌تواند به‌صورت خودکار اجرا شود یا در صورت نیاز به تنظیمات، به‌صورت دستی اعمال گردد.

  • اقدامات ممکن در پاسخ شامل موارد زیر است:

    • قفل کردن حساب کاربری: در دامنه یا به‌صورت محلی، در ویندوز، لینوکس یا مک

    • مسدود کردن آدرس IP در فایروال: ترافیک ورودی یا خروجی

    • ایزوله کردن میزبان در شبکه

    • متوقف کردن فرآیند در حال اجرا

    • لغو توکن OpenVPN

    • حذف پیام ایمیل

ارزیابی شدت تهدید


MaxPatrol O2 منابع ضبط شده را بررسی می‌کند و نزدیکی یک رویداد غیرقابل تحمل را ارزیابی می‌نماید.
پس از دریافت این اطلاعات، سیستم وضعیت زنجیره حمله را به «نیاز به توجه» ارتقا می‌دهد و سپس هکر را متوقف می‌کند یا از اپراتور درخواست می‌کند تصمیم بگیرد.
الگوریتم ارزیابی شدت تهدید به لطف تمرینات سایبری منظم شرکت Positive Technologies و مشارکت‌های شرکت‌کنندگان در برنامه باگ بانتی Standoff 365 به طور مداوم بهبود می‌یابد.

متوقف کردن مهاجمان


ریسک‌های مرتبط با فرآیندهای کسب‌وکار را در نظر می‌گیرد و بهترین سناریوی پاسخ‌دهی را پیشنهاد می‌دهد.
این سناریو می‌تواند به صورت خودکار اجرا شود یا در صورت نیاز به تنظیمات، به صورت دستی انجام شود.
اقدامات پاسخ ممکن:

  • قفل کردن حساب کاربری: در دامنه یا به صورت محلی، در ویندوز، لینوکس یا مک.

  • مسدود کردن آدرس IP در فایروال: ترافیک ورودی/خروجی.

  • ایزوله کردن میزبان در شبکه.

  • توقف فرآیند در حال اجرا.

  • لغو توکن OpenVPN.

  • حذف پیام ایمیل.

چگونه متاپروداکت کار می‌کند؟