آشنایی با نحوه شناسایی تهدید سایبری RECON

هکرها در گام اول حمله به سیستم‌ها کاربران، از یک سری اسکن جهت کسب اطلاعات در مورد شبکه‌ها یا رایانه‌ها استفاده می‌کنند. این اسکن‌های داخلی یا خارجی، که به عنوان شناسایی یا ریکان (Recon) شناخته می‌شوند، از اولین نشانه‌ هایی است که شبکه شما در خطر است!

راهکار سیسکو SNA

محصول SNA سیسکو یک راهکار قدرتمند برای شناسایی این نوع از تهدید ها می‌باشد.هشدارهای ریکان (Recon) در Cisco Secure Network Analytics نشان دهنده وجود اسکن‌های غیرمجاز و احتمالاً مخرب، با استفاده از TCP یا UDP در برابر Hostهای سازمان شما است.

هشدارهای ریکان (Recon)

بصورت کلی هشدارها در سیسکو SNA بر اساس نوع رویدادهای امنیتی که رخ می‌دهد، ایجاد می‌شود و بسته به نوع هشدار، آن در یکی یا چند دسته هشدار گروه‌بندی می‌شود.

رویدادهای امنیتی در جدول زیر با دسته هشدار ریکان (Recon) مرتبط هستند. ستون دوم تعداد Index Points مرتبط به دسته هشدار را نشان می‌دهد. هرچه تعداد این Index Points بیشتر باشد، اهمیت آن هشدار هم افزایش میابد.

رویدادهای کلیدی

اینجا نگاهی دقیق‌تر به برخی از رویدادهای کلیدی برای دسته هشدار ریکان (Recon) داریم:

• رویداد Addr_Scan/tcp: اگر Secure Network Analytics فعالیتی را که احتمالاً نشان دهنده انجام اسکن شبکه با استفاده از TCP است تشخیص دهد، این سیستم آن را به عنوان یک رویداد اسکن ثبت می‌کند. اگر تعداد کافی از رویدادهای اسکن تعداد قابل توجهی از میزبان‌ها را تحت تأثیر قرار دهد، مدیر Secure Network Analytics یک رویداد امنیتی ایجاد می‌کند. نمونه‌هایی از رویدادهای اسکن شامل ترکیب‌های مختلف پرچم‌های TCP نادرست یا ارسال SYN اما پاسخ ندادن به SYN-ACK بعدی است. میزبان متخلف به دنبال میزبان‌هایی با سرویس‌هایی است که می‌توانند مورد سوءاستفاده قرار گیرند.
• رویداد Addr_Scan/udp: اگر Secure Network Analytics فعالیتی را که احتمالاً نشان دهنده انجام اسکن شبکه با استفاده از UDP است تشخیص دهد، این سیستم آن را به عنوان یک رویداد اسکن ثبت می‌کند. اگر تعداد کافی از رویدادهای اسکن تعداد قابل توجهی از میزبان‌ها را تحت تأثیر قرار دهد، مدیر یک رویداد امنیتی ایجاد می‌کند. نمونه‌هایی از رویدادهای اسکن شامل ارسال بسته‌های UDP است که با انواع مختلف رد ICMP یا پیام‌های رد جریان فایروال به آنها پاسخ داده می‌شود. میزبان متخلف به دنبال میزبان‌هایی با سرویس‌هایی است که می‌توانند مورد سوءاستفاده قرار گیرند.
• رویداد Ping_Scan: یک اسکن ICMP به طور معمول یک نوع شناسایی اولیه است زیرا، برخلاف اسکن یک پورت خاص در میان میزبان‌ها یا پورت‌های زیادی در یک میزبان، تنها به دنبال هر میزبان پاسخگو است و نه یک سرویس خاص. یک میزبان در حال انجام اسکن پینگ، فقط در تلاش برای یافتن سایر میزبان‌های فعال در یک شبکه است، احتمالاً برای بررسی بیشتر.
• رویداد Port Scan: اسکن پورت تعداد پورت‌های زیر 1024 را که یک میزبان با میزبان دیگری صحبت می‌کند، شمارش می‌کند. هنگامی که آستانه قابل پیکربندی رد شود، رویداد فعال می‌شود.
• رویداد Stealth_Scan/tcp: میزبان منبع از یک پورت منبع یکسان برای اتصال به پورت‌های مختلف در میزبان هدف در یک زمان استفاده کرده است. این رفتار نشان می‌دهد که برنامه‌ها از سوکت‌های خام برای ایجاد اتصالات TCP یا UDP استفاده کرده‌اند. رویداد امنیتی آخرین پورت هدف را که قبل از شناسایی رویداد امنیتی به آن دسترسی پیدا شده است، نشان می‌دهد.
• رویداد Stealth_Scan/udp: این یک اسکن UDP سفارشی است که در آن میزبان شماره پورت‌ها را دوباره استفاده می‌کند. این اغلب نشان می‌دهد که میزبان اسکن در حال بسته‌بندی بسته‌ها است و به دنبال میزبان‌هایی برای حمله است.

بررسی فعالیت ریکان (Recon)

سرویس مدیریتی SNA SMC یک ابزار جامع برای بررسی فعالیت‌های ریکان (Recon) ارائه می‌دهد. ما یک بررسی رایج را با استفاده از این ابزار نشان خواهیم داد.

در SMC، داشبورد Security Insight دسته‌های هشدار را در بالا نشان می‌دهد. به راحتی می‌توانید تعداد Hostهایی را که هشدارها را ایجاد کرده‌اند، مشاهده کنید. تصویر زیر نشان می‌دهد که دو میزبان وجود دارند که رویدادهای Recon را ایجاد می‌کنند. روی شماره نشان داده شده در دسته Recon کلیک کنید.

فهرست میزبان‌های دارای هشدار در دسته Recon نمایش داده می‌شود. برای نمایش یک گزارش برای آن رویداد به همراه جزئیات دلیل آن، روی درصد در ستون RC کلیک کنید.

صفحه Recon Alarms برای میزبان خاص نمایش داده می‌شود. برای اطلاعات بیشتر، روی جزئیات کلیک کنید.

صفحه رویدادهای امنیتی نمایش داده می‌شود که نشان می‌دهد رویداد Port Scan این هشدار را فعال کرده است.

رویداد امنیتی  Port Scan 13 در ردیف اول گزارش شده است، به دنبال آن Address Scan و سایر رویدادها آمده‌اند. برای تحقیق بیشتر در مورد جریان‌ها، روی Flows مرتبط کلیک کنید.