با حرکت کسبوکارها به سوی فضای ابری، تکنولوژی نقشی کلیدی را ایفا کرده و به نیروی کاری توزیعی دسترسی ارائه مینماید. امروز اکثر کسبوکارها فرایندی را برای نصب حساب کاربری ارائه میدهند که برای مشتریان سریع است اما همچنین نیازمند این است که آنها اطلاعات شخصی خود را ارائه نمایند. این امر باعث شده است که این نوع حسابها هدف جذابی برای کلاهبردارانی باشد که یا به دنبال تست کردن اطلاعات اعتباری به سرقت رفته یا ساخت حسابهای کاربری جعلی برای دسترسی به خدمات هستند. وقتی که این اطلاعات به سرقت برود، میتوان از آنها برای تسهیل فعالیت کلاهبردارانه استفاده کرد و بدین صورت در بازارهای غیرقانونی اطلاعات شخصی ارزشی حقیقی پیدا میکنند. در حقیقت، با توجه به گزارش کلاهبرداری و سوءاستفاده که توسط شرکت Arkose Labs منتشر شد، حدود نیمی از لاگینها (۵۳ درصد) در رسانههای اجتماعی جعلی هستند و ۲۵ درصد از تمام حسابهای کاربری در رسانههای اجتماعی نیز جعلی میباشند.
در قسمت اول این مقاله به بررسی کلاهبرداریهای فیشینگ پرداختیم، در قسمت دوم بهترین راهکارها برای امنسازی VPN را بررسی کردیم و در قسمت سوم این مجموعه مقالات، نحوه شناسایی بدافزار در پوشش ابزارهای مفید را توضیح دادیم. در این بخش از مقاله شرح مختصری از تأثیر لاگینهای تقلبی روی سازمانها ارائه شده و بیان میشود که شرکتها چطور میتوانند از تکنولوژی تجزیهوتحلیل مدرن و ایزار UEBA یا تجزیه و تحلیل رفتار کاربران و موجودیتها، برای شناسایی این لاگینهای جعلی و نقض سیاستها استفاده کنند.
لاگینهای جعلی چطور روی کسبوکار تأثیر میگذارند؟
کلاهبرداران معمولاً برای سرقت اطلاعات، اطلاعات اعتباری، پخش اسپم و اجرای کمپینهای مهندسی اجتماعی از حملات Bot در مقیاس بزرگ استفاده مینمایند. اگر مهاجم بتواند اطلاعات اعتباری شخصی را به سرقت ببرد، توانایی جعل هویت کاربر و ورود به حساب کاربری سازمانی او را خواهد داشت، زیرا بسیاری از کاربران برای ورود به حسابهای مختلف از اطلاعات اعتباری یکسانی استفاده میکنند. وقتی که کلاهبرداران بتوانند هویت یک حساب کاربری سازمانی را جعل کنند، خواهند توانست میلیاردها دلار از کسبوکار کوچک و بزرگ به سرقت ببرند. در ادامه برخی از اقدامات غیرقانونی که در این زمینه انجام میشوند، بیان میشود.
- سرقت هویت – سرقت هویت هفتمین جرم بزرگ در ایالات متحده است. میتوان با استفاده از هویتهای سازمانی، حسابهای کاربری باز کرد، انتقال بانکی انجام داد یا دست به تقلب مالیاتی زد. جعلکنندگان میتوانند از اطلاعات به سرقت رفته استفاده کنند و خود را یک بیمار جا بزنند تا از مراقبت پزشکی بهرهمند شوند یا سعی کنند از مزایای دولتی استفاده کنند، اظهارنامه مالیاتی جعلی را ضبط کنند و یا مرتکب جرمهای دیگری شوند.
- کلاهبرداری بانکی و اعتباری – کلاهبرداران میتوانند شمارهحسابهای کارت اعتباری، کدهای امنیتی و PIN را به سرقت ببرند تا تراکنشهای غیرمجاز انجام دهند. اما چطور این کار را میکنند؟ آنها معمولاً از اطلاعات قابلشناسایی شخصی یا PII یک فرد استفاده میکنند تا با شرکت کارت اعتباری یا بانک او ارتباط برقرار کنند و حساب کاربری را به دست بگیرند یا از اطلاعات شخصی مثل SSNها برای دریافت یک کارت اعتباری به نام شخص مورد نظر استفاده کنند.
- صورتحساب جعلی – در این کلاهبرداری معمولی فردی خود را یک تأمینکننده واقعی جا میزند و واریزها را به یک حساب جایگزین انجام میدهد.
بهترین راهکارها برای حفاظت از سازمان در مقابل کلاهبرداری
بااینکه کلاهبرداران میتوانند به روشهای متعددی به افراد و سازمانها حمله کنند، مهمترین قدمی که سازمانها میتوانند بردارند حفاظت از دادههای شرکتی و حساس خود و اطلاعات شخصی کارمندان است. در ادامه برخی از بهترین راهکارهایی که سازمانها میتوانند برای جلوگیری از سرفت داده و اطلاعات کلیدی اتخاذ کنند بررسی میکنیم.
آموزش مجدد به کارمندان در مورد Phishing و اسپم: همانطور که کارمندان بروزرسانیهای زیادی را در مورد آخرین سیاستهای سلامت و سفر دریافت میکنند، مهم است که در مورد تأثیرات امنیتی این شرایط جدید نیز آموزش ببینند. معمولاً تمایز حملات ایمیلی پیچیده از ایمیلهای واقعی غیرممکن است. برای کسب اطلاعات در مورد کلاهبرداریهای Phishing به بخش اول این مقاله یعنی راهکارهایی برای دورکاری امن – بخش ۱: شناسایی کلاهبرداریهای فیشینگ رجوع کنید.
ایجاد محدودیت دسترسی به اطلاعات حساس: باید خطر افشا شدن اطلاعات حساس را محدود کرد، مگر زمانی که کاملاً ضروری باشد. باید دادههای محرمانه و شرکتی کلیدی را کنترل نمود. هرگز دیر نیست که سیستم احراز هویت خود را ارزیابی کرده و یک لایه به آن اضافه کنید.
بررسی مجدد کنترلهای امنیتی: سازمانها باید ریسکها موجود برای داراییهای حیاتی خود را ارزیابی کنند و سپس کنترلهای امنیتی مناسبی را در مورد آنها انتخاب نمایند. این کنترلها میتوانند فیزیکی باشند، مثل شناسایی و جلوگیری از دسترسی غیرمجاز به بخشها، سیستمها یا داراییها و یا میتوانند منطقی باشند، مثل داشتن کنترلهای امنیتی روی فایروالها، نرمافزار آنتیویروس، سیستمهای شناسایی نفوذ یا IDSها و همچنین لیستهای کنترل دسترسی یا ACLها.
UEBA چگونه میتواند به شناسایی لاگینهای جعلی و نقض سیاستها کمک کند؟
گزارش کلاهبرداری و جعل هویت جهانی در سال ۲۰۱۸ بیان میکند که تنها ۴۰ درصد از مدیران اجرایی کسبوکار نسبت به شناسایی فعالیتهای جعلی مطمئن هستند. حتی با وجود بهترین راهکارها و کنترلهای امنیتی، مانیتور کردن رفتار کاربر یکی از کارآمدترین راهها برای شناسایی و علامتگذاری سریع رفتار غیرعادی است. ممکن است مانیتور کردن تکتک ویژگیهای رفتاری برای جستجوی تهدیدات، کاری پیچیده به نظر برسد و تیم امنیتی را درگیر بررسی هشدارهای زیادی بکند. در اینجا است که تجزیهوتحلیل رفتاری کاربران و موجودیتهل براساس یادگیری ماشین یا UEBA کارآمدی خود را نشان میدهد تا به تیمهای امنیتی در شناسایی کارآمد رفتار کلاهبردارانه کمک کند.
ابزار UEBA یک تکنولوژی شناسایی تهدید برمبنای تجزیهوتحلیل است که از یادگیری ماشینی و علم داده استفاده میکند تا درکی از رفتار متداول کاربران در یک محیط ارائه نماید. سپس سیستم فعالیتهای پرریسک و غیرعادی را که با رفتار معمول کاربر متفاوت است و ممکن است نشاندهندهی تهدید به یک سازمان باشد پیدا میکند. بسیار مهم است که هر نقض سیاست یا رفتار جعلی، پیش از اینکه تبدیل به نقضهای امنیتی داده شود، کشف گردد.
بااینکه تیمهای IT و امنیتی میتوانند کنترلهایی را مورد استفاده قرار دهند، کارمندان نیز باید به سیاستهای امنیتی احترام بگذارند. ابزار UEBA میتوانند هر نقض سیاست را شناسایی کرده و رخدادهای غیرعادی را در یک جدول زمانی قرار دهند تا کار تحلیلگران برای شناسایی متخلفین تسهیل گردد. بهعنوانمثال، رخدادهای مربوط به ورود غیرعادی کاربران زمانی شناسایی میشود که کاربر سعی دارد از راه دور از مکانهای جغرافیایی و ISPهای غیرمجاز وارد یکی از داراییها شود و اولین باری است که ورود به یک دارایی برای کاربر و گروهی که به آن تعلق دارد رخ میدهد. این رخدادها ممکن است به خودی خود در نگاه اول شبیه به نقض سیاست نباشند، درنتیجه مهم است که یک جدول زمانی برای دیدن تصویر کاملی از تهدید مورد استفاده قرار گیرد. جدول زمانی هوشمند نه تنها تمام رخدادها را به ترتیب کنار هم قرار میدهد، بلکه همچنین دلیل غیرعادی بودن یک رخداد بهخصوص را به تحلیلگر نشان میدهد. این کار کمک میکند مثبتهای کاذبی که تیم امنیتی باید بهصورت روزانه همراه با میلیونها هشدار و رخداد به آنها رسیدگی کند به حداقل برسند.
تکنولوژی UEBA با مشخص کردن مبنایی برای رفتار عادی برای هر کاربر و دستگاه در یک سازمان شروع میشود. به هر انحرافی از این مبنا توسط الگوریتمهای یادگیری ماشینی، براساس میزان انحراف و نوع رفتار یک امتیاز داده میشود. این مدلهای رفتاری به تحلیلگران کمک میکند که هر تغییری از رفتار عادی را ردیابی و شناسایی کنند و آن را در جدول زمانی هوشمند نشان میدهد تا هر نقض سیاستی مشخص گردد.