Network Security Channel
Kaspersky Unified Monitoring and Analysis Platform کسپرسکی بالاخره محصول SIEM خودش رو در سبد فروش جهانی قرار داد و این محصول به زودی وارد بازار ایران میشه. این محصول که به KUMA معروفه در کنار قابلیت های خیره کننده ای که داره نکات کلیدی ای هم داره که فکر…
برخي از ويژگي هاي اين محصول:
اول EPS محصول هست که می تونه تا 300K ورودی به ازای هر نود Correlation داشته باشه. این رو مقایسه کنید مثلا با ArcSight که حداکثر از 100K EPS پشتیبانی می کنه. نکته جالب دیگه اینه که می تونیم محصول رو در حالت Distribution پیاده کنیم و در واقع قابلیت LB رو داشته باشیم.
نکته بعدی معماری سیستم هست که به صورت میکرو سرویس طراحی شده و این علاوه بر مصرف منابع فوق العاده پایین، باعث شده دست ما در مقیاس پذیری و توسعه زیرساخت باز باشه. و البته که از HA و Fault Tolerance هم پشتیبانی می کنه.
نکته مهم دیگه Integration محصول با ابزارهای دیگه هست. این یکپارچه سازی رو میشه به دو قسمت تقسیم کرد: محصولات کسپرسکی و محصولات Third Party. برای محصولات Third Party مثل محصولات دیگه دست ما درKUMA هم باز هست و طیف وسیعی از ابزارها رو پشتیبانی می کنه. نکته جالب اینه که برای Parser نویسی هم خودمون می تونیم به راحتی داخلش Parser رو ایجاد کنیم و هم به لطف پشتیبانی مستقیم کسپرسکی در ایران، نوشتن Parser رو از خود شرکت درخواست کنیم. اما در مورد محصولات کسپرسکی داستان متفاوته. در اینجا میتونیم مفهوم یکپارچه سازی به معنای واقعی رو ببینیم، مثلا اتصال EPP کسپرسکی به KUMA یعنی می تونیم ازش به عنوان Inventory, Asset Management, Vulnerability Assessment و غیره استفاده کنیم. این محصول با بیشتر محصولات کسپرسکی ادغام می شه که من تصویرش رو گذاشتم. اما قابلیت های افزوده به قدری زیاده که نمیشه در این مقاله همه رو پوشش داد.
این محصول توسط کسپرسکی نوشته شده. پس یعنی میتونه به Threat Intelligence کسپرسکی متصل بشه و در برابر رقبا یک برگ برنده قوی داشته باشه. و استفاده از TDF کسپرسکی یعنی قدرت شناسایی تهدیدات فوق العاده بالا. نکته کلیدی این محصول قابلیت response هست که فعلا در حد محصولات کسپرسکیه اما در نسخه های آینده قراره این قابلیت رو برای ابزارهای Third Party دیگه مثل فایروال هم پیاده سازی کنه
کسپرسکی با ارائه این محصول قصد داره معنای XDR رو تغییر بده و البته که با وجود این محصول در قلب XDR خودش، عملا یک SOC کامل رو می تونه پیاده سازی کنه.
#Kaspersky
#XDR
#Threatintelligence
#KUMA
@Engineer_Computer
اول EPS محصول هست که می تونه تا 300K ورودی به ازای هر نود Correlation داشته باشه. این رو مقایسه کنید مثلا با ArcSight که حداکثر از 100K EPS پشتیبانی می کنه. نکته جالب دیگه اینه که می تونیم محصول رو در حالت Distribution پیاده کنیم و در واقع قابلیت LB رو داشته باشیم.
نکته بعدی معماری سیستم هست که به صورت میکرو سرویس طراحی شده و این علاوه بر مصرف منابع فوق العاده پایین، باعث شده دست ما در مقیاس پذیری و توسعه زیرساخت باز باشه. و البته که از HA و Fault Tolerance هم پشتیبانی می کنه.
نکته مهم دیگه Integration محصول با ابزارهای دیگه هست. این یکپارچه سازی رو میشه به دو قسمت تقسیم کرد: محصولات کسپرسکی و محصولات Third Party. برای محصولات Third Party مثل محصولات دیگه دست ما درKUMA هم باز هست و طیف وسیعی از ابزارها رو پشتیبانی می کنه. نکته جالب اینه که برای Parser نویسی هم خودمون می تونیم به راحتی داخلش Parser رو ایجاد کنیم و هم به لطف پشتیبانی مستقیم کسپرسکی در ایران، نوشتن Parser رو از خود شرکت درخواست کنیم. اما در مورد محصولات کسپرسکی داستان متفاوته. در اینجا میتونیم مفهوم یکپارچه سازی به معنای واقعی رو ببینیم، مثلا اتصال EPP کسپرسکی به KUMA یعنی می تونیم ازش به عنوان Inventory, Asset Management, Vulnerability Assessment و غیره استفاده کنیم. این محصول با بیشتر محصولات کسپرسکی ادغام می شه که من تصویرش رو گذاشتم. اما قابلیت های افزوده به قدری زیاده که نمیشه در این مقاله همه رو پوشش داد.
این محصول توسط کسپرسکی نوشته شده. پس یعنی میتونه به Threat Intelligence کسپرسکی متصل بشه و در برابر رقبا یک برگ برنده قوی داشته باشه. و استفاده از TDF کسپرسکی یعنی قدرت شناسایی تهدیدات فوق العاده بالا. نکته کلیدی این محصول قابلیت response هست که فعلا در حد محصولات کسپرسکیه اما در نسخه های آینده قراره این قابلیت رو برای ابزارهای Third Party دیگه مثل فایروال هم پیاده سازی کنه
کسپرسکی با ارائه این محصول قصد داره معنای XDR رو تغییر بده و البته که با وجود این محصول در قلب XDR خودش، عملا یک SOC کامل رو می تونه پیاده سازی کنه.
#Kaspersky
#XDR
#Threatintelligence
#KUMA
@Engineer_Computer
پاسخ به یک سوال مهم :
پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمیدهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا میکنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ میدهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!
من تعاملی با ChatGPT داشتم به جواب زیر رسیدم
Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.
### Relation Between Windows PatchGuard and EDR Drivers
#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.
- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Descriptor Table (SSDT) hooks
- Interrupt Descriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger
This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.
#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.
- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.
#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.
- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
پیرو حادثه crowdstrike و مشکل درایور این محصول که منجر به بلو اسکرین در سراسر جهان شد سوالی به میان میاید :
ویندوز با Patchguard که از انتهای ویندوز xp ارائه کرد دیگر اجازه نمیدهد هر کسی در کرنل دستکاری کند ، اما EDR و XDR ها ادعا میکنند توسط درایور ها در تعامل با کرنل هستند . حد این تعامل چیست که حادثه ای چون CrowdStrike رخ میدهد؟ و اینکه چرا مایکروسافت اخیرا جلسه ای بدون حضور خبرنگاران با اصحاب تولید کننده محصولاتی چون XDR و EDR گذاشته تا ایشان را از کرنل بیرون کند؟!!
من تعاملی با ChatGPT داشتم به جواب زیر رسیدم
Windows PatchGuard (also known as Kernel Patch Protection or KPP) is a security feature introduced by Microsoft to prevent unauthorized code from patching or modifying the Windows kernel on 64-bit systems. Its main goal is to maintain kernel integrity by ensuring that only trusted and signed code operates within the kernel space, protecting against malicious attacks, rootkits, or unauthorized kernel modifications.
### Relation Between Windows PatchGuard and EDR Drivers
#### 1. Kernel-Level Drivers and PatchGuard
- EDR Driver Requirements: Many EDR (Endpoint Detection and Response) solutions require kernel-level drivers to monitor system events, processes, and behavior in real time. These drivers operate in kernel mode, where they have higher privileges to access and monitor sensitive operations (file access, memory usage, etc.). However, PatchGuard enforces strict rules on what can and cannot interact with or modify the kernel.
- PatchGuard Restrictions: PatchGuard specifically blocks unauthorized drivers or software from modifying critical parts of the Windows kernel, such as:
- System Service Descriptor Table (SSDT) hooks
- Interrupt Descriptor Table (IDT) hooks
- Kernel Object Manipulation
- Modification of the Kernel Debugger
This ensures that the kernel remains in a known, stable state, preventing malware or poorly written drivers from tampering with it. Thus, any legitimate EDR driver must respect PatchGuard's restrictions, meaning that it cannot perform kernel patching or directly modify protected kernel structures.
#### 2. Signed Drivers and PatchGuard Compliance
- Driver Signing: For EDR drivers to function within the constraints of PatchGuard, they must be properly signed with a valid digital signature. Microsoft enforces driver signing to ensure that only trusted drivers are loaded into kernel space. Drivers that attempt to bypass or disable PatchGuard violate this trust model and are blocked by the system.
- Windows Hardware Quality Labs (WHQL) Certification: Most reputable EDR vendors will seek WHQL certification for their drivers, ensuring that they operate within Microsoft's guidelines for kernel interaction. This certification process ensures that the driver respects PatchGuard’s policies and doesn’t introduce instability or security vulnerabilities.
#### 3. Driver Operation Without Violating PatchGuard
- Non-Patching Approach: EDR drivers must monitor and respond to system events without directly modifying kernel structures or patching kernel code, which would violate PatchGuard. Instead, they:
- Hook into legitimate, documented APIs that provide system monitoring capabilities.
- Rely on Windows Filtering Platform (WFP), ETW (Event Tracing for Windows), or Hypervisor-protected Code Integrity (HVCI) for monitoring low-level events.
- Use legitimate kernel interfaces to gather data about processes, network activity, and file operations without modifying protected kernel data structures.
- User Mode and Kernel Mode Balance: Some EDR solutions split their functionality between user-mode agents and kernel-mode drivers. The driver performs low-level monitoring, while the user-mode components handle less sensitive tasks, ensuring that EDR solutions work effectively within the boundaries set by PatchGuard.
ادامه در پست بعد
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
ادامه از پست قبل 👆👆
#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.
- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.
### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
#### 4. Is Using a Driver a Violation?
- No, It’s Not a Violation (When Done Correctly): Using a kernel driver in EDR solutions is not inherently a violation of PatchGuard. It’s only a violation if the driver attempts to patch or modify the kernel in ways that violate Windows security policies. Well-designed EDR solutions comply with PatchGuard by using standard APIs and legitimate kernel interfaces to achieve monitoring and protection goals.
- Working Within Kernel Mode: The EDR driver operates *within* the kernel, but it doesn’t modify or patch critical parts of the kernel itself. Instead, it monitors and reports events while respecting PatchGuard's restrictions. This allows it to maintain visibility into the system without breaching the kernel's integrity or violating Windows security rules.
### Summary
- Windows PatchGuard prevents unauthorized modifications to the Windows kernel, ensuring that the system's core remains intact and protected.
- EDR drivers operate within kernel mode but must comply with PatchGuard rules, meaning they cannot modify or patch the kernel directly.
- No violation occurs if the EDR driver is properly signed, respects PatchGuard’s limitations, and uses legitimate kernel monitoring techniques rather than trying to alter or bypass kernel protections.
@Engineer_Computer
#cybersecurity #threathunting #cyberforensics #Stuxnet #risk #edr #xdr
تکنیک در معماری و مفاهیم طراحی XDR
برطبق متن CISSP ، یکی از محل ها و نقاط که پاشنه آشیل هر کنترل امنیتی است لحظه اعمال کنترل در محیط Untrust است. کنترل امنیتی باید بتواند همان اول، محیط را verify کند و چهارچوب آنرا در بر بگیرد به نحوی که از جامعیت سیستم و جامعیت خود مطمئن شود. درغیر اینصورت درمرداب قرارگرفته است.
مثالی از این امر لحظه نصب XDR Agent است. این Agent نباید اساس خود را بر آب بنا کند یعنی در محیطی که شناختی ندارد و کنترلی ندارد مشغول به کار شود.
یکی از روشهای دور زدن Agent های XDR این است که نتواند محیطی که توسط هکر تسخیر شده و دامی برای او پهن شده را تشخیص دهد.
بک دور های سطح کرنل، خطرناک ترین عوامل برای این لحظات هستند.
لذا درون نهادن روشی که XDR بتواند محیط را بشناسد و آنرا تمیز کند یکی از اصول طراحی امن XDR است ؛ نوعی Anti tampering .
شاید یکی از روشهای اجرایی این مفهوم ، اتصال آنلاین و کامل Agent در لحظه نصب با سرور مادر باشد.
پی نوشت : این مفهوم ؛ برای کنترل های مشابه XDR نظیر EDR نیز لازم است.
#معماری_امن
#طراحی_نرم_افزار
#cybersecurity #threathunting #xdr
#sdlc #ssdlc
@Engineer_Computer
برطبق متن CISSP ، یکی از محل ها و نقاط که پاشنه آشیل هر کنترل امنیتی است لحظه اعمال کنترل در محیط Untrust است. کنترل امنیتی باید بتواند همان اول، محیط را verify کند و چهارچوب آنرا در بر بگیرد به نحوی که از جامعیت سیستم و جامعیت خود مطمئن شود. درغیر اینصورت درمرداب قرارگرفته است.
مثالی از این امر لحظه نصب XDR Agent است. این Agent نباید اساس خود را بر آب بنا کند یعنی در محیطی که شناختی ندارد و کنترلی ندارد مشغول به کار شود.
یکی از روشهای دور زدن Agent های XDR این است که نتواند محیطی که توسط هکر تسخیر شده و دامی برای او پهن شده را تشخیص دهد.
بک دور های سطح کرنل، خطرناک ترین عوامل برای این لحظات هستند.
لذا درون نهادن روشی که XDR بتواند محیط را بشناسد و آنرا تمیز کند یکی از اصول طراحی امن XDR است ؛ نوعی Anti tampering .
شاید یکی از روشهای اجرایی این مفهوم ، اتصال آنلاین و کامل Agent در لحظه نصب با سرور مادر باشد.
پی نوشت : این مفهوم ؛ برای کنترل های مشابه XDR نظیر EDR نیز لازم است.
#معماری_امن
#طراحی_نرم_افزار
#cybersecurity #threathunting #xdr
#sdlc #ssdlc
@Engineer_Computer