Search
Menu

گزارش سالیانه از تهدیدات سایبری در سال ۲۰۲۱ – بخش چهارم

راهکار EDR

از بسیاری جهات، این گزارش سالیانه، تهدیدات سایبری جهانی امسال را خلاصه می کند. جزئیات مطرح شده در این گزارش از مشاهدات دست اول تیم‌های پاسخ به رخداد و تحلیلگران سایبری، جمع‌آوری شده است. همچنین این گزارش سالیانه تهدیدات سایبری ۲۰۲۱ در سال شامل درس‌ها و توصیههای مهمی برای تیمهای امنیتی ارائه می دهدبخش اول، بخش دوم و بخش سوم این مطلب را از دست ندهید.

هوش آسیب‌پذیری

ویژگی آسیب‌پذیری‌های مهم مشاهده شده، رابطه‌شان با خدمات از راه دوری است که در معرض اینترنت قرار دارند. این آسیب‌پذیری‌ها برای مهاجمان جذاب هستند، زیرا پتانسیل ارائه‌ی دسترسی اولیه به شبکه‌های هدف را دارند. سوءاستفاده‌های مکرری از چندین سرویس VPN مختلف و برنامه‌های کاربردی وب مثل Microsoft SharePoint (CVE- 2019-0604گزارش شده است.  نقض امنیتی این سرویس‌ها، زنجیر کردن اکسپلویت با آسیب‌پذیری‌های دیگر را با هدف بالا بردن سطح دسترسی و چرخش شبکه ممکن ساختند. از بین این موارد، آسیب‌پذیری‌های شناخته‌شده در Microsoft Exchange Server (CVE-2020- 0688) و Windows Netlogon (CVE-2020-1472) معمولاً امکان تکثیر شبکه و حرکت جانبی را فراهم می‌نماید.

میزان خطر و قابلیت اطمینان

شروع و میزان خطر کلی یک محصول آسیب‌پذیر علاوه بر قابلیت اطمینانِ کد اکسپلویت قابل‌دسترسی تا حد زیادی کارآمدی یک آسیب‌پذیری برای عاملان تهدید را تعیین می‌کند. این ویژگی‌ها به CVE-2019-0604 و CVE-2020-0688 قابل‌اعمال هستند که ازجمله اکسپلویت‌هایی هستند که بسیار زیاد مشاهده شدند. این دو اکسپلویت  از آسیب‌پذیری‌های شناخته‌شده در Microsoft SharePoint و Exchange گرفته شده‌اند؛ خدماتی که هم به‌طور گسترده پیاده‌سازی می‌شوند و هم در اکثر محیط‌ها رو به اینترنت هستند. به‌علاوه، کد Exploit قابل‌دسترسی، بدون ایجاد عدم ثبات در سیستم، روش‌های باثبات و قابل‌اطمینانی را برای کسب دسترسی اولیه (CVE-2019-0604) یا بالا بردن سطح دسترسی و کنترل دامین یک قربانی (CVE-2020-0688) فراهم می‌نماید.

وابستگی‌های متقابل: Exploitها و حملات مبتنی بر اطلاعات اعتباری

وقتی‌که عاملان تهدید مکانیزم‌های شناسایی، اکسپلویت و حمله‌ی مبتنی بر اطلاعات اعتباری خودکار را انجام دادند، فعالیت‌های مربوط به اکسپلویت و سرقت اطلاعات اعتباری در یک فرایند خودکفا، از یکدیگر حفاظت می‌کنند.

مراحل چرخه‌ی اکسپلویت مکرر و اکتساب اطلاعات اعتباری

این فرایند با اسکن کردن یا اکسپلویت کردن سرویس‌های از راه دور آغاز می‌گردد تا اطلاعات اعتباری حساب کاربری جمع‌آوری شود. برای مثال در اواخر سال ۲۰۲۰، CVE-2018-13379 امکان افشای دایرکتوری‌های حساب کاربری را از تقریباً ۵۰۰۰۰ FortiOS VPN  فراهم نمود. حتی پس از Patch شدن، عاملان تهدید معمولاً می‌توانند از این اطلاعات اعتباری دزدیده‌شده برای کسب مجدد دسترسی به اهداف یکسان (یا به شبکه‌های دیگری که قربانیان در آن‌ها از رمزهای عبور استفاده کرده‌اند) از طریق تکنیک‌های مبتنی بر اطلاعات اعتباری استفاده نمایند. در این شرایط، لاگین‌های به سرقت رفته همچنین تهدید بالا رفتن سطح دسترسی از یک کاربر احراز هویت شده (مثلاً CVE-2020-0688)، چرخش و نهایتاً در کنترل گرفتن دامین را معرفی می‌نمایند. در این زمان، وقتی‌که چرخه دوباره آغاز می‌شود، یک مهاجم می‌تواند تمام حساب‌های Active Directory را برای حملات مبتنی بر اطلاعات اعتباری آینده به دست آورد.

پیشنهاداتی برای جلوگیری از حملات سایبری در دورکاری

در طول سال گذشته، مهاجمانی مشاهده شدند که نه تنها کووید-۱۹ ضرری به آن‌ها نزده، بلکه حتی به دلیل تأثیرات همه‌گیری جهانی این ویروس پیشرفت هم کردند. مهاجمان نفوذ هدفمند دست به اقدام زدند تا داده‌های ارزشمندی را در مورد تحقیقات واکسن و پاسخ دولت‌ها به همه‌گیری به دست آورند و حتی مهاجمین مجرمی مثل CARBON SPIDER که سود آن‌ها به دلیل این همه‌گیری کاهش یافته بود، ثابت کردند که در مقابل این مسئله منعطف هستند. در سال ۲۰۲۱، مهاجمینی که از عملیات BGH استفاده می‌کردند به بررسی روش‌هایی برای به حداکثر رساندن تأثیرگذاری خود روی هدف‌ها ادامه دادند؛ این روش‌ها شامل توسعه‌ی سفارشی برای پشتیبانی از اهداف جدید در یک سازمان هستند.

با بلوغ عملیات، هم جرایم سایبری و هم مهاجمین نفوذ هدفمند، به توسعه و به‌کارگیری روش‌های جدید ادامه می‌دهند تا بتوانند فرایندهای شناسایی را دور بزنند و مانع تجزیه‌و‌تحلیل توسط پژوهشگران شوند. فارغ از اینکه دنبال کردن امنیت عملیاتی به دلیل گزارشات عمومی انجام شود یا به دلیل انگیزه‌های داخلی سازمان، این کار قطعاً شامل روش‌های بهبودیافته‌ی مبهم‌سازی، استفاده از ابزار  کالا و تکنیک‌های Living-Off-The-Land خواهد بود.

چرخش سریع به‌سوی رویکرد دورکاری باعث شده است که سطحی از آشوب اجتماعی و اقتصادی ایجاد گردد که در دوران مدرن بی‌سابقه بوده است. تأثیر گسترده‌ی این چرخش موجب بازداری مهاجمین امنیت سایبری نشده است، بلکه عکس این موضوع رخ داده است. در حقیقت مهاجمین از این شرایط و از ترس عمومی سوءاستفاده کرده‌ و حملات شدیدتری را انجام داده‌اند. این پیشنهاد به افراد کمک می‌کند پیش از اینکه نقاط ضعف توسط مهاجمین مورد استفاده قرار گیرند، به‌صورت فعال و پیشگیرانه به آن‌ها رسیدگی کنند.

اگر نتوان چیزی را دید، نمی‌توان از آن حفاظت نمود. برای تیم‌های امنیتی که در محیط امروز فعالیت می‌کنند، قابلیت دید و سرعت برای مسدودکردن حرکت مهاجمینی که توانایی و قصد سرقت داده و اختلال در عملیات را دارند بسیار مهم است. تیم‌های امنیتی باید درک کنند که ایمن‌سازی محیط‌های Cloud، درست مثل سیستم‌های On-Premises، مسئولیت آن‌ها است. آن‌ها باید برای تمام محیط‌ها قابلیت دید باثباتی را ایجاد کرده و به‌صورت فعال و پیشگیرانه، پیش از اینکه آسیب‌پذیری‌های احتمالی توسط مهاجمین مورداستفاده قرار بگیرند، به آن‌ها پاسخ دهند.

حفاظت از هویت‌ها و دسترسی. سازمان‌ها باید احراز هویت چندمرحله‌ای یا MFA را روی تمام خدمات کارمندان که رو به عموم هستند، به‌صورت اجباری پیاده‌سازی کنند. علاوه بر MFA، یک فرایند مدیریت سطح دسترسی قدرتمند می‌تواند آسیبی که مهاجمین در صورت ورود به سازمان ایجاد می‌کنند را محدود کرده و احتمال حرکت جانبی را نیز کاهش دهد. در نهایت، راهکارهای Zero Trust باید پیاده‌سازی گردند تا دسترسی به داده بخش‌بندی و محدود شود و درنتیجه آسیب‌های احتمالی از دسترسی غیرمجاز به اطلاعات حساس کاهش یابد.

سرمایه‌گذاری در شکار تهدیدات حرفه‌ای. حملات تعاملی از تکنیک‌های مخفیانه یا جدید استفاده می‌کنند تا از مانیتورینگ و شناسایی خودکارسازی‌شده عبور کنند. شکار تهدیدات به‌صورت مداوم بهترین روش برای شناسایی و پیشگیری از حملات پیچیده یا مداوم هستند.

جلو زدن از مهاجمین با هوش تهدیدات. پشت هر حمله، یک انسان قرار دارد. هوش تهدیدات می‌تواند به افراد کمک کند که انگیزه، مهارت‌ها و نحوه‌ی کار مهاجمین را بشناسند تا بتوانند با استفاده از این دانش از حملات آینده پیشگیری نموده و حتی آن‌ها را پیشبینی کنند.

باید اطمینان حاصل نمود که یک پالیسی امنیت سایبری به‌روز برای کار از راه دور وجود دارد. پالیسی‌های امنیتی باید شامل مدیریت دسترسی برای کارمندان از راه دور، استفاده از دستگاه‌های شخصی و ملاحظات به‌روز در مورد حریم شخصی داده برای دسترسی کارمندان به اسناد و اطلاعات دیگر باشد.

ایجاد فرهنگی از امنیت سایبری. درحالی‌که تکنولوژی در مبارزه برای شناسایی و متوقف کردن نفوذها حیاتی است، کاربر نهایی حلقه‌ی مهمی در زنجیرِ مربوط به متوقف کردن نقض‌های امنیتی می‌باشد. برنامه‌های آگاهی‌رسانی به کاربر باید آغاز به کار کنند تا با تهدید مداوم فیشینگ مبارزه شود.

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.