از بسیاری جهات، این گزارش سالیانه، تهدیدات سایبری جهانی امسال را خلاصه می کند. جزئیات مطرح شده در این گزارش از مشاهدات دست اول تیمهای پاسخ به رخداد و تحلیلگران سایبری، جمعآوری شده است. همچنین این گزارش سالیانه تهدیدات سایبری ۲۰۲۱ در سال شامل درسها و توصیههای مهمی برای تیمهای امنیتی ارائه می دهد. بخش اول، بخش دوم و بخش سوم این مطلب را از دست ندهید.
هوش آسیبپذیری
ویژگی آسیبپذیریهای مهم مشاهده شده، رابطهشان با خدمات از راه دوری است که در معرض اینترنت قرار دارند. این آسیبپذیریها برای مهاجمان جذاب هستند، زیرا پتانسیل ارائهی دسترسی اولیه به شبکههای هدف را دارند. سوءاستفادههای مکرری از چندین سرویس VPN مختلف و برنامههای کاربردی وب مثل Microsoft SharePoint (CVE- 2019-0604گزارش شده است. نقض امنیتی این سرویسها، زنجیر کردن اکسپلویت با آسیبپذیریهای دیگر را با هدف بالا بردن سطح دسترسی و چرخش شبکه ممکن ساختند. از بین این موارد، آسیبپذیریهای شناختهشده در Microsoft Exchange Server (CVE-2020- 0688) و Windows Netlogon (CVE-2020-1472) معمولاً امکان تکثیر شبکه و حرکت جانبی را فراهم مینماید.
میزان خطر و قابلیت اطمینان
شروع و میزان خطر کلی یک محصول آسیبپذیر علاوه بر قابلیت اطمینانِ کد اکسپلویت قابلدسترسی تا حد زیادی کارآمدی یک آسیبپذیری برای عاملان تهدید را تعیین میکند. این ویژگیها به CVE-2019-0604 و CVE-2020-0688 قابلاعمال هستند که ازجمله اکسپلویتهایی هستند که بسیار زیاد مشاهده شدند. این دو اکسپلویت از آسیبپذیریهای شناختهشده در Microsoft SharePoint و Exchange گرفته شدهاند؛ خدماتی که هم بهطور گسترده پیادهسازی میشوند و هم در اکثر محیطها رو به اینترنت هستند. بهعلاوه، کد Exploit قابلدسترسی، بدون ایجاد عدم ثبات در سیستم، روشهای باثبات و قابلاطمینانی را برای کسب دسترسی اولیه (CVE-2019-0604) یا بالا بردن سطح دسترسی و کنترل دامین یک قربانی (CVE-2020-0688) فراهم مینماید.
وابستگیهای متقابل: Exploitها و حملات مبتنی بر اطلاعات اعتباری
وقتیکه عاملان تهدید مکانیزمهای شناسایی، اکسپلویت و حملهی مبتنی بر اطلاعات اعتباری خودکار را انجام دادند، فعالیتهای مربوط به اکسپلویت و سرقت اطلاعات اعتباری در یک فرایند خودکفا، از یکدیگر حفاظت میکنند.
مراحل چرخهی اکسپلویت مکرر و اکتساب اطلاعات اعتباری
این فرایند با اسکن کردن یا اکسپلویت کردن سرویسهای از راه دور آغاز میگردد تا اطلاعات اعتباری حساب کاربری جمعآوری شود. برای مثال در اواخر سال ۲۰۲۰، CVE-2018-13379 امکان افشای دایرکتوریهای حساب کاربری را از تقریباً ۵۰۰۰۰ FortiOS VPN فراهم نمود. حتی پس از Patch شدن، عاملان تهدید معمولاً میتوانند از این اطلاعات اعتباری دزدیدهشده برای کسب مجدد دسترسی به اهداف یکسان (یا به شبکههای دیگری که قربانیان در آنها از رمزهای عبور استفاده کردهاند) از طریق تکنیکهای مبتنی بر اطلاعات اعتباری استفاده نمایند. در این شرایط، لاگینهای به سرقت رفته همچنین تهدید بالا رفتن سطح دسترسی از یک کاربر احراز هویت شده (مثلاً CVE-2020-0688)، چرخش و نهایتاً در کنترل گرفتن دامین را معرفی مینمایند. در این زمان، وقتیکه چرخه دوباره آغاز میشود، یک مهاجم میتواند تمام حسابهای Active Directory را برای حملات مبتنی بر اطلاعات اعتباری آینده به دست آورد.
پیشنهاداتی برای جلوگیری از حملات سایبری در دورکاری
در طول سال گذشته، مهاجمانی مشاهده شدند که نه تنها کووید-۱۹ ضرری به آنها نزده، بلکه حتی به دلیل تأثیرات همهگیری جهانی این ویروس پیشرفت هم کردند. مهاجمان نفوذ هدفمند دست به اقدام زدند تا دادههای ارزشمندی را در مورد تحقیقات واکسن و پاسخ دولتها به همهگیری به دست آورند و حتی مهاجمین مجرمی مثل CARBON SPIDER که سود آنها به دلیل این همهگیری کاهش یافته بود، ثابت کردند که در مقابل این مسئله منعطف هستند. در سال ۲۰۲۱، مهاجمینی که از عملیات BGH استفاده میکردند به بررسی روشهایی برای به حداکثر رساندن تأثیرگذاری خود روی هدفها ادامه دادند؛ این روشها شامل توسعهی سفارشی برای پشتیبانی از اهداف جدید در یک سازمان هستند.
با بلوغ عملیات، هم جرایم سایبری و هم مهاجمین نفوذ هدفمند، به توسعه و بهکارگیری روشهای جدید ادامه میدهند تا بتوانند فرایندهای شناسایی را دور بزنند و مانع تجزیهوتحلیل توسط پژوهشگران شوند. فارغ از اینکه دنبال کردن امنیت عملیاتی به دلیل گزارشات عمومی انجام شود یا به دلیل انگیزههای داخلی سازمان، این کار قطعاً شامل روشهای بهبودیافتهی مبهمسازی، استفاده از ابزار کالا و تکنیکهای Living-Off-The-Land خواهد بود.
چرخش سریع بهسوی رویکرد دورکاری باعث شده است که سطحی از آشوب اجتماعی و اقتصادی ایجاد گردد که در دوران مدرن بیسابقه بوده است. تأثیر گستردهی این چرخش موجب بازداری مهاجمین امنیت سایبری نشده است، بلکه عکس این موضوع رخ داده است. در حقیقت مهاجمین از این شرایط و از ترس عمومی سوءاستفاده کرده و حملات شدیدتری را انجام دادهاند. این پیشنهاد به افراد کمک میکند پیش از اینکه نقاط ضعف توسط مهاجمین مورد استفاده قرار گیرند، بهصورت فعال و پیشگیرانه به آنها رسیدگی کنند.
اگر نتوان چیزی را دید، نمیتوان از آن حفاظت نمود. برای تیمهای امنیتی که در محیط امروز فعالیت میکنند، قابلیت دید و سرعت برای مسدودکردن حرکت مهاجمینی که توانایی و قصد سرقت داده و اختلال در عملیات را دارند بسیار مهم است. تیمهای امنیتی باید درک کنند که ایمنسازی محیطهای Cloud، درست مثل سیستمهای On-Premises، مسئولیت آنها است. آنها باید برای تمام محیطها قابلیت دید باثباتی را ایجاد کرده و بهصورت فعال و پیشگیرانه، پیش از اینکه آسیبپذیریهای احتمالی توسط مهاجمین مورداستفاده قرار بگیرند، به آنها پاسخ دهند.
حفاظت از هویتها و دسترسی. سازمانها باید احراز هویت چندمرحلهای یا MFA را روی تمام خدمات کارمندان که رو به عموم هستند، بهصورت اجباری پیادهسازی کنند. علاوه بر MFA، یک فرایند مدیریت سطح دسترسی قدرتمند میتواند آسیبی که مهاجمین در صورت ورود به سازمان ایجاد میکنند را محدود کرده و احتمال حرکت جانبی را نیز کاهش دهد. در نهایت، راهکارهای Zero Trust باید پیادهسازی گردند تا دسترسی به داده بخشبندی و محدود شود و درنتیجه آسیبهای احتمالی از دسترسی غیرمجاز به اطلاعات حساس کاهش یابد.
سرمایهگذاری در شکار تهدیدات حرفهای. حملات تعاملی از تکنیکهای مخفیانه یا جدید استفاده میکنند تا از مانیتورینگ و شناسایی خودکارسازیشده عبور کنند. شکار تهدیدات بهصورت مداوم بهترین روش برای شناسایی و پیشگیری از حملات پیچیده یا مداوم هستند.
جلو زدن از مهاجمین با هوش تهدیدات. پشت هر حمله، یک انسان قرار دارد. هوش تهدیدات میتواند به افراد کمک کند که انگیزه، مهارتها و نحوهی کار مهاجمین را بشناسند تا بتوانند با استفاده از این دانش از حملات آینده پیشگیری نموده و حتی آنها را پیشبینی کنند.
باید اطمینان حاصل نمود که یک پالیسی امنیت سایبری بهروز برای کار از راه دور وجود دارد. پالیسیهای امنیتی باید شامل مدیریت دسترسی برای کارمندان از راه دور، استفاده از دستگاههای شخصی و ملاحظات بهروز در مورد حریم شخصی داده برای دسترسی کارمندان به اسناد و اطلاعات دیگر باشد.
ایجاد فرهنگی از امنیت سایبری. درحالیکه تکنولوژی در مبارزه برای شناسایی و متوقف کردن نفوذها حیاتی است، کاربر نهایی حلقهی مهمی در زنجیرِ مربوط به متوقف کردن نقضهای امنیتی میباشد. برنامههای آگاهیرسانی به کاربر باید آغاز به کار کنند تا با تهدید مداوم فیشینگ مبارزه شود.