ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

راه‌های کاهش سرعت حمله سایبری

| سه شنبه, ۲۲ آذر ۱۴۰۱، ۰۳:۳۱ ب.ظ | ۰ نظر

بیمه‌گران و شرکت‌های امنیت سایبری متعددی نگران هدف قرار گرفتن در برابر تهدیدات و حملات سایبری هستند.

سازمان‌های آفریقای جنوبی اهداف مورد علاقه باندهای جنایت سایبری هستند. این افشاگری جدید نیست : گزارش‌ها و مطالعات متعدد از سوی بیمه‌گران و شرکت‌های امنیت سایبری بر این نگرانی تأکید می‌کند.

رویدادهای روی زمین هشدارهای خود را منعکس می‌کنند؛ نمونه‌های برجسته اخیر شامل غول خرده‌فروشی داروخانه دیسکِم (Dischem) است که 3.6 میلیون رکورد را در اثر نقض از دست داد و مجرمانی که 54 میلیون پرونده کاربر را از «TransUnion» گرفته‌اند. هیچ کمبودی در نمونه‌های محلی بیشتر وجود ندارد و متخصصان امنیت، فناوری اطلاعات و کسب‌وکار تحت فشار فزاینده‌ای قرار دارند تا این خطرات را در یک چشم‌انداز دائماً در حال تغییر کاهش دهند.

کارشناسان معتقدند که ما می‌توانیم با مطالعه حملات مهم، راهنمایی‌های مهم برای مؤثرترین استراتژی‌ها را به دست آوریم. به طور خاص، نقض اخیر سیستم‌های اوبر (Uber) یک مطالعه موردی عالی از چگونگی کاهش سرعت حمله سایبری ارائه می‌کند.

کریگ هاروود (Craig Harwood)، مدیر منطقه‌ای «CyberArk» در آفریقا و خاورمیانه گفت : «این موضوع بیشتر و بیشتر پذیرفته می‌شود که شما واقعاً نمی‌توانید از تخلف جلوگیری کنید. تمرکز به سمت کاهش سرعت حملات معطوف شده است. دنیای امنیت این را «نقض فرضی» می‌نامد. شما همچنان با استفاده از ابزارهایی مانند احراز هویت چندعاملی و آموزش کاربر، تمام تلاش خود را برای جلوگیری از رخنه‌ها انجام می‌دهید. اما این را نیز می‌پذیرید که مجرمان سایبری دائماً برای دور زدن چنین تدابیری تلاش می‌کنند. آنها در نهایت وارد خواهند شد. وقتی این کار را انجام دهند، برنامه شما چیست؟»

 

باز کردن شکاف Uber

نقض اوبر نشان داد که مهاجمان مدرن چگونه رفتار می‌کنند و چگونه می‌توانیم آن‌ها را از ایجاد هرگونه آسیب قابل توجهی متوقف کنیم. تیم قرمزCyberArk  این رویداد را تجزیه و تحلیل کرد و چندین نتیجه مهم گرفت. برای درک ارزش آنها، بیایید با زنجیره رویدادها شروع کنیم :

  • مهاجمان اعتبارها را از زیرساخت وی‌پی‌ان اوبر به دست آوردند. اگرچه این اعتبارنامه‌ها، که متعلق به یک پیمانکار بودند، دارای حقوق منحصر به فردی برای منابع حیاتی نبودند، اما دسترسی به یک اشتراک شبکه مشترک را فراهم می‌کردند که ممکن است برای خواندن گسترده لیست کنترل دسترسی به اشتباه پیکربندی شده باشد.
  • مهاجمان یک اسکریپت «PowerShell» با اعتبارنامه‌های ممتاز کدگذاری شده سخت برای راه‌حل مدیریت دسترسی ممتاز (PAM) اوبر در اشتراک شبکه پیدا کردند.
  • مهاجمان با استفاده از اعتبارنامه مدیریت کدگذاری شده و دسترسی به مدیریت دسترسی ممتاز، امتیازات خود را افزایش دادند.
  • براساس گزارش‌ها، مهاجمان به چندین کنسول، از جمله سرویس ورود به سیستم واحد و کنسول مدیریت ابری اوبر، که برای ذخیره اطلاعات محرمانه مشتری و مالی استفاده می‌کند، دسترسی پیدا کردند.
  • مهاجمان داده‌ها را از چندین سیستم استخراج کردند. اوبر اظهار داشت که آنها برخی پیام‌های داخلی «Slack» را دانلود کرده‌اند و همچنین به اطلاعاتی از ابزار داخلی که تیم مالی شرکت برای مدیریت برخی فاکتورها استفاده می‌کند، دسترسی یافته‌اند یا دانلود کرده‌اند.

 

مشکل در اعتبارنامه‌ها

هاروود توضیح داد : «ما می‌توانیم چندین نتیجه از الگوی نقض بگیریم، اعتبارنامه‌های رمزگذاری شده نقش مهمی در این حمله داشتند. مدیران به طور معمول اسکریپت‌هایی را برای خودکارسازی فرآیندها، مانند پشتیبان‌گیری، می‌نویسند و اعتبارنامه‌ها را در چنین اسکریپت‌هایی قرار می‌دهند. این اعتبارنامه‌ها می‌تواند هر چیزی، از توکن‌های ممتاز و کلیدهای «SSH» تا توکن‌های «API» و انواع دیگر رمزهای عبور، باشد. برای توسعه‌دهندگان معمول است که این اعتبارنامه‌ها (یا کدهای سخت) را در کد برای صرفه‌جویی در زمان و اطمینان از اتوماسیون قرار دهند. این امر مدیریت و چرخش اعتبارنامه‌ها را دشوار می‌کند، زیرا آنها برای همه افرادی که به کد دسترسی دارند باز می مانند.»

سرقت اعتبار همچنان مهم‌ترین خطر است و مجرمان در دور زدن پادمان‌هایی مانند احراز هویت چند عاملی ماهرتر می‌شوند. در واقع، داستان اوبر دارای چندین سازش «MFA» است.

مدیر منطقه‌ای CyberArk در آفریقا و خاورمیانه توصیه کرد :

«کارکنان شما دروازه‌بانان شما هستند؛ بنابراین به طور معمول به آنها آموزش دهید که فیشینگ را شناسایی کنند و گزارش دهند تا از سرقت هویت جلوگیری شود. همانطور که حملات همچنان در حال تغییر هستند، انتظار هوشیاری را داشته باشید اما دقت مطلق را نداشته باشید. این نقض همچنین بر اهمیت تضمین دسترسی با حداقل امتیاز، بخش اساسی چارچوب‌های بدون اعتماد، تأکید می‌کند : اصل حداقل امتیاز را به طور مداوم، از نقطه پایانی شروع کنید. برنامه‌های مدیریت دسترسی ممتاز را با نهایت دقت تنظیم کنید. دسترسی به حساب‌های ممتاز مدیران فقط باید در مواقع ضروری اعطا شود. تمام دسترسی‌های دارای امتیاز باید جدا و تأیید شوند.»

 

دفاع در عمق

آخرین نتیجه مهمی که کارشناسان بر آن تأکید دارند، اهمیت راهبرد دفاع در عمق (DiD) است که به طور مدبرانه کنترل‌های امنیتی را لایه‌بندی می‌کند تا از دارایی‌های حیاتی، مانند داده‌های مهم، در صورت شکست سایر کنترل‌ها محافظت کند. محدود کردن حرکت جانبی نیز می‌تواند با حذف دسترسی ایستاده به زیرساخت‌های حساس و رابط‌های آنلاین یا ابری کمک زیادی کند. افزایش به‌موقع امتیازات می‌تواند دسترسی به هر هویت در معرض خطر را به‌طور قابل‌توجهی به حداقل برساند و شعاع انفجار مهاجم را کاهش دهد، به‌ویژه زمانی که با احراز هویت قوی ترکیب شود.

همه محققان معتقدند که هیچ گلوله نقره‌ای امنیتی وجود ندارد. حتی اوبر که چندین لایه امنیتی داشت، همچنان قربانی مهاجمان شد. تعداد کمی از مردم هنوز بر این باورند که می‌توان حملات سایبری را متوقف کرد. بنابه گفته محققان، حملاتی مانند نفوذ اوبر را می‌توان با دفاع قوی و لایه لایه امنیت سایبری عمیق با آموزش مداوم و مکرر کارکنان برای کمک به شناسایی منابع بالقوه خطر کاهش می‌یابد.

هاروود ادعا کرد : «وجود این جنبه‌ها، دستیابی به جایگاه، حرکت، کشف و دستیابی به اهداف را برای مهاجمان دشوارتر می‌کند. به همان اندازه مهم، آنها به ما این امکان را می‌دهند که موفقیت و تأثیر حملات را به حداقل برسانیم و در سریع‌ترین زمان ممکن به عملیات عادی بازگردیم.»

  • ۰۱/۰۹/۲۲

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">