Transcription
בלמ״ס אגף הכוונה ואסדרה TLP: White 09 בדצמבר 2020 כ"ב בכסלו תשפ"א אל : יחידות מגזריות הנדון : הטמעת מזהים ( )IOC's במערכות ההגנה הארגוניות א . כללי .1 לאורך כל השנה , מפיץ מערך הסייבר הלאומי התרעות ופרסומים הכוללים מזהים ואינדיקציות , שאיתורם ברשתות ובנכסים הארגוניים יכולים להעיד או אף למנוע מתקפות סייבר . .2 המזהים ( )Indicators Of Compromise – IOC הנשלחים הינם מגוונים ופועלים על נק' איתור שונות ברשת והנכסים הפעילים בה . .3 נוכח אירועי העת האחרונה , אנו מוצאים לנכון לחדד את אופן השימוש במזהים , על מנת להביא לאפקטיביות מבצעיות גבוהה ככל שניתן . .4 אנו אף נשמח להיזון חוזר על מסמך זה על מנת שנוכל לתקף , לעדכן ולהרחיב אותו לשימוש הכלל . ב . סוגי מזהים נפוצים : המזהה FILE NAME תת סוג הסבר שם קובץ מפורש של פוגען כלל הקבצים באשר הם File Path נתיב בנכס סייבר , אשר הימצאותו / קיומו מעידים על ביצוע תקיפה בנכס HASH פונקציית גיבוב , שתוצאתה היא ערך חד חד ערכי לכל קובץ באשר הוא 1 MD5 SHA-0 SHA-1 SHA-224 SHA-256 SHA-384 SHA-512 SHAKE128 SHAKE256 הערות
בלמ״ס אגף הכוונה ואסדרה המזהה IP Address הסבר הערות תת סוג ממנה IPv4 מתרחשת התקיפה או שמהווה IPv6 כתובת IP TLP: White מפורשת שלב בתקיפה E-mail כתובת מייל ממנה מבוצעת התקיפה או שמהווה שלב בתקיפה URL / Domain כתובת של אתר אינטרנט או name Domain ממנה מתרחשת תקיפה או שמהווה שלב בתקיפה String טקסט חופשי המעיד ה String יכול להיות על יכול להופיע פעילות זדונית . ב : מקודד קובץ טקסט מגוונים . מקטע בזיכרון בפורמטי בעיקר שימוש חוקי באמצעות YARA Yara Rule טכניקה לאיתור וזיהוי תוכנות החוק יכול מצורף זדוניות (או קבצים אחרים) על להכיל : שמות ידי יצירת סט כללים וחוקים שם קובץ העושים המחפשים מאפיינים ספציפיים שיסייעו לזיהוי התוכנה כזדונית . Hash בחוקי YARA Path URL Domain IP string Snort כלי לניתוח תעבורה בזמן אמת Sniffer בעל יכולת דיווח על פעולות Packet Logger חשודות . Network IDS 2 נספח עם היצרנים שימוש
בלמ״ס אגף הכוונה ואסדרה ג . TLP: White אופן השימוש במזהים : .1 לפניך טבלה אשר מציגה את סוגי המזהים ואת מערכות האבטחה ,IT , וטכניקות שבהן ניתן לעשות שימוש (רשימה חלקית בלבד) : Console / Command Prompt Domain Controller Proxy Server AV FW IDS IPS Mail relay Siem IP Address E-mail URL / Domain name String Yara Rule Snort WAF SandBox DNS Sink Hole HASH SNORT File Path Honey Pot FILE NAME EDR המזהה אשרי המאמין (מס"ל) מערכות הגנה / טכניקות ראה נספח ייעודי .2 מזהים לניטור יש להזין במערכות כגון ,IDS ,SIEM : כלי לאיתור מזהים במערכת קבצים (לדוגמה Hash של קובץ) ,FW , שרת ה Proxy- לגלישה באינטרנט .Mail Relay ,Sandbox ,Honeypot ,WAF ,HIDS ,AV/EPP ,EDR/XDR , .3 מזהים לחסימה יש להזין במערכות כגון ,FW : שרת ה Proxy- לגלישה באינטרנט .Mail Relay ,Sandbox ,WAF ,HIPS ,AV/EPP ,EDR/XDR ,IPS , ד . מצ"ב בנספח פירוט של מערכות הגנה נפוצות וסוגי המזהים הניתנים להטמעה בהן . באם קיימות בגופים מערכות הגנה אשר אינן מופיעות ברשימה נשמח להעביר אלינו היזון חוזר וכן ניתן לפנות ליצרן / ספק השירות על - מנת לקבל מידע אודות סוגי המזהים הנתמכים בהן . אגף מערך 3 הכוונה הסייבר ואסדרה הלאומי
TLP: White בלמ״ס אגף הכוונה ואסדרה YARA יצרנים וגורמים העושים שימוש בחוקי : נספח ActiveCanopyAdliceAlienVaultBAE SystemsBayshore Networks, Inc.BinaryAlertBlue CoatBluelivClarotyCofenseConixCrowdStrike FMSCuckoo SandboxCyber TriageDigita SecurityDragos PlatformDtex SystemsESETESTSecurityFidelis XPSFireEye, Inc.Fox-ITFSFGuidance SoftwareHerokuHornetsecurityInQuestJASKJoe Securityjsunpack-nKaspersky LabKoodousLaika BOSSLastline, Inc.LimaCharlieMcAfee Advanced Threat DefenseMetaflowsNBS SystemNozomi NetworksosqueryPayload SecurityPhishMePicus SecurityRadare2Raytheon Cyber Products, Inc.RedSocks SecurityReversingLabsroot9BScaniiRSA ECATSpamStopsHerestoQSymantecTaniumTenable Network SecurityThe DigiTrust GroupThreatConnectThreatStream, Inc.ThugTrend MicroVirusTotal IntelligenceVMRayWe Watch Your WebsiteWebsensex64dbgYALIH4
TLP: White בלמ״ס אגף הכוונה ואסדרה מול מערכות הגנה נפוצות IOCs מיפוי : נספח נתמך IOC פורמט גרסה מוצר חברה 5.6.1130Deep DiscoveryInvestigator6.5.0.1168Deep DiscoveryAnalyzer12.0.426Deep SecurityURL,IP,Domain, SHA1,SHA256URL,IP,Domain, SHA1,SHA256URL,IP,Domain, SHA1,SHA256Trend MicroURL,IP,Domain, SHA1,SHA256hotfix 20194365Apex One Centralbuild 20192117Apex One14.0.0.3006Smart Scan forExchangeURL,IP,Domain, SHA1,SHA256URL,IP,Domain, SHA1,SHA256Full pathFile nameDomainDestination IP addressMD5 hashSHA256 hashProcessHashActivity 2.6Cortex XDRPalo AltoTRAPS5
TLP: White בלמ״ס אגף הכוונה ואסדרה Full pathFile nameDomainDestination IP addressMD5 hashSHA256 hashProcessfile SHA256, file MD5, filename, full file pathPlatform3.7XDRSentinelOneCynet 360URLDomainIPIP RangeMD5SmartConsoleR80.20Check PointsandblastIP addresses, domains, andURLs.FWEmail AddressFile Name, File PathDomainIPv4, IPv6MD5 HashSHA1 HashURLWindows Registry KeyWindows Registry ork SecurityPlatform4.8.xAdvanced ThreatDefenseYARA6
TLP: White בלמ״ס אגף הכוונה ואסדרה MD5, SHA2 file hashDomainemail cWAFIMPERVASnort (lite)BIG IPURL,IP,DomainWAFSnortSecurity NetworkIntrusion PreventionSystem4.6.2F5IBMsnortIPS7Forcepoint
Mail Relay Sandbox Honeypot ,WAF HIDS ,AV/EPP EDR/XDR טנרטניאב השילגל Proxy ה תרש ,FW :ןוגכ תוכרעמב ןיזהל שי המיסחל םיהזמ 3 Mail Relay Sandbox WAF HIPS ,AV/EPP EDR/XDR ,IPS טנרטניאב םינתינה םיהזמה יגוסו תוצופנ הנגה תוכרעמ לש טוריפ חפסנב ב"צמ ד
