نظرًا لأن المهاجمين يغيرون تقنياتهم باستمرار، فمن الضروري الحصول على معرفة شاملة بأنماط تدفق حركة المرور، متبوعة بتعديل متكرر للبنية التحتية للرصد والكشف والاستجابة، هناك بعض الطرق التي تساعد في التعرف على هجمات القيادة والسيطرة.
طرق اكتشاف هجمات القيادة والسيطرة C2
1. تصفية ومسح جميع حركات المرور
هذا هو الإجراء الأكثر أهمية الذي يمكن للمؤسسة أن تتخذه لتجنب وتحديد هجمات القيادة والسيطرة، حيث يجب مراقبة كل من حركة المرور الواردة والصادرة من أجل تحديد الإجراءات المشبوهة مثل التشفير غير القانوني لاتصالات الشبكة، غالبًا ما يتم استخدامه في عمليات نفق (DNS) وحركة المرور إلى وجهات غير مألوفة، وما إلى ذلك.
هذا يمنع الإشارات الآلية على المنافذ والبروتوكولات غير القياسية، بما في ذلك (DNS) الديناميكي لأن البرامج الضارة الحديثة تتواصل مع خوادم الأوامر والتحكم باستخدام منافذ الويب، علاوةً على ذلك، يجب نشر تقنيات السيطرة في التطبيق وتصفية الويب.
ملاحظة: “DNS” اختصار لـ”Domain Name System”.
2. الحصول على معلومات عن التهديدات
يجب أن تتمتع المنظمات بإمكانية الوصول إلى معلومات التهديد الحالية التي توفر معلومات حول شركات (IOC) المعروفة للقيادة والسيطرة، يمكن الحصول على معلومات التهديد السيبراني كخدمة في شكل تفريغ بيانات أولية أو كإمداد بيانات إلى حل أمان على مستوى المؤسسة، تعد جودة معلومات التهديدات وحسن توقيتها أهم عامل يجب فحصه عند تقييم فعالية خدمات مورد الأمن.
3. كشف سلوك الشبكة غير الطبيعي
يجب جمع بيانات الشبكة وتحليلها لاكتشاف السلوك الذي ينحرف عن ملف تعريف حركة مرور الشبكة المنتظمة والمتوقعة، يمكن تحقيق هذا المقياس من خلال إنشاء استراتيجية معينة لفترات زمنية مختلفة، على سبيل المثال، الأجهزة الداخلية وخدمات الشبكة، كما يجب مقارنة نشاط الشبكة الحالي بالاستراتيجية الرئيسية المحددة للعثور على الاختلافات التي قد تشير إلى نشاط القيادة والسيطرة.
