آشنایی با نحوه شناسایی تهدید سایبری BOGON

تشخیص تهدید Bogon

تهدید Bogon یک آدرس IP جعلی است از مجموعه‌ای از آدرس‌های IP که هنوز به طور رسمی توسط هیچ نهادی، مثل IANA یا یک موسسه ثبت اینترنت منطقه‌ای، اختصاص داده نشده است. آدرس‌های IP Bogon در فعالیت‌های هکری یا مخرب محبوب هستند و توسط فرستندگان هرزنامه و آنهایی که حملات انکار سرویس توزیع شده (DDoS) را آغاز می‌کنند، استفاده می‌شوند.

راهکار سیسکو SNA

سیسکو Stealthwatch داده‌های مرتبط با داده های شبکه را با یک Threat feed جهانی بررسی کرده تا قابلیت‌های بهتری را برای تشخیص بدافزارهای پیشرفته، از جمله فعالیت Bogon، ارائه دهد.

با ترکیب اطلاعات Real-time منتشر شده در مورد تهدیدها، با اطلاعات بدست آمده در مورد فعالیت های مشکوک شبکه، Secure Network Analytics به طور منحصر به فردی، می‌تواند بینش جامعی در مورد کل رویدادهای امنیتی ارائه دهد.

برای این منظور بهره مندی از نسخه 7.4 Cisco SNA، لایسنس Threat Intelligence یا لایسنس PLR سیسکو SNA الزامی می‌باشد.

لایسنس Threat Intelligence

لایسنس با فعالسازی قابلیت Threat Intelligence، اطلاعات بروزرسانی شده در مورد تهدیدهای شناخته شده جهانی را به شما ارائه می‌دهد. بخش Threat Intelligence داده‌هایی در مورد بدافزارها، سرورهای کنترل و فرماندهی (C&C) و سایر Hostهای شناسایی شده با فعالیت های مخرب، مانند Bogons و Tor، را در اختیار SNA قرار می‌دهد.

قابلیت Threat Feed شامل IP Addresses، Port Number، Protocols، Host Name و URL‌هایی است که برای فعالیت‌های مخرب استفاده می‌شوند. بصورت کلی Bogon Host Groups در این بخش گنجانده شده است و اطلاعات مورد نیاز را در اختیار SNA قرار می‌دهد.

رویدادهای امنیتی Bogon می‌تواند توسط threat hosts که در این بخش قرار دارند، ایجاد شوند. هر کدام از این رویدادهای امنیتی در صورت پیکربندی برای این کار، یک هشدار را در Secure Network Analytics Manager ایجاد می‌کند. آنها می‌توانند در ابزار Policy Management در Manager پیکربندی شوند. هنگامی که ایجاد می‌شوند، هشدارها در داشبورد Network Security نمایش داده می‌شوند.

هشدار Bogon

در ادامه به بررسی هشدارهای مختلف این تهدید می‌پردازیم:

• هشدار Connection from Bogon Address Attempted: به دنبال مواردی است که در آن یک میزبان Bogon خارجی بصورت ناموفق سعی در برقراری ارتباط با یک Inside Host Server داشته است.
• هشدار Connection from Bogon Address Successful: به دنبال مواردی است که در آن یک میزبان Bogon خارجی، با موفقیت با یک Inside Host Server ارتباط برقرار می‌کند.
• هشدار Connection to Bogon Address Attempted: به دنبال مواردی است که در آن یک Inside Host Server بصورت ناموفق، سعی در برقراری ارتباط با یک میزبان Bogon خارجی داشته است.
• هشدار Connection to Bogon Address Successful: به دنبال موارد ترافیک دوطرفه بین یک Inside Host Server و یک آدرس IP Bogon خارجی است.

فعال کردن تشخیص ترافیک Bogon

برای فعال کردن تشخیص ترافیک Bogon، سیاست‌های Inside Hosts را پیکربندی کنید. از داشبورد Security Insight، روی Configure کلیک کنید و Policy Management را انتخاب کنید.

صفحه Policy Management نمایش داده می‌شود. روی Core Events کلیک کنید و bogon را جستجو کنید.

رویدادهای bogon نمایش داده می‌شوند. هر رویداد را انتخاب کنید و سیاست Inside Hosts را برای هر دو Source و Target روی On + Alarm تنظیم کنید. روی Save کلیک کنید.

اکنون هشدارهای ترافیک bogon در داشبورد Security Insight نمایش داده می‌شوند. برای جزئیات بیشتر، می‌توانید روی نمودارهای میله‌ای یا دایره‌ای برای رویداد bogon مورد نظر کلیک کنید.

یک لیست از هشدارها برای آن رویداد نمایش داده می‌شود. برای دریافت یک گزارش میزبان، می‌توانید روی یک آدرس IP کلیک کنید. برای گزارش‌های بیشتر، می‌توانید روی نقطه سه نقطه برای هر رویداد کلیک کنید. در این مثال، می‌خواهیم جریان‌های مرتبط را ببینیم، بنابراین روی نقطه سه نقطه در ستون Action کلیک می‌کنیم و View Flows را انتخاب می‌کنیم.

صفحه Flow Search Results با جزئیات عمیق نمایش داده می‌شود. با این اطلاعات، می‌توانید اقدامات بیشتری را برای کاهش این ریسک انجام دهید.