راههای کاهش سرعت حمله سایبری
بیمهگران و شرکتهای امنیت سایبری متعددی نگران هدف قرار گرفتن در برابر تهدیدات و حملات سایبری هستند.
سازمانهای آفریقای جنوبی اهداف مورد علاقه باندهای جنایت سایبری هستند. این افشاگری جدید نیست : گزارشها و مطالعات متعدد از سوی بیمهگران و شرکتهای امنیت سایبری بر این نگرانی تأکید میکند.
رویدادهای روی زمین هشدارهای خود را منعکس میکنند؛ نمونههای برجسته اخیر شامل غول خردهفروشی داروخانه دیسکِم (Dischem) است که 3.6 میلیون رکورد را در اثر نقض از دست داد و مجرمانی که 54 میلیون پرونده کاربر را از «TransUnion» گرفتهاند. هیچ کمبودی در نمونههای محلی بیشتر وجود ندارد و متخصصان امنیت، فناوری اطلاعات و کسبوکار تحت فشار فزایندهای قرار دارند تا این خطرات را در یک چشمانداز دائماً در حال تغییر کاهش دهند.
کارشناسان معتقدند که ما میتوانیم با مطالعه حملات مهم، راهنماییهای مهم برای مؤثرترین استراتژیها را به دست آوریم. به طور خاص، نقض اخیر سیستمهای اوبر (Uber) یک مطالعه موردی عالی از چگونگی کاهش سرعت حمله سایبری ارائه میکند.
کریگ هاروود (Craig Harwood)، مدیر منطقهای «CyberArk» در آفریقا و خاورمیانه گفت : «این موضوع بیشتر و بیشتر پذیرفته میشود که شما واقعاً نمیتوانید از تخلف جلوگیری کنید. تمرکز به سمت کاهش سرعت حملات معطوف شده است. دنیای امنیت این را «نقض فرضی» مینامد. شما همچنان با استفاده از ابزارهایی مانند احراز هویت چندعاملی و آموزش کاربر، تمام تلاش خود را برای جلوگیری از رخنهها انجام میدهید. اما این را نیز میپذیرید که مجرمان سایبری دائماً برای دور زدن چنین تدابیری تلاش میکنند. آنها در نهایت وارد خواهند شد. وقتی این کار را انجام دهند، برنامه شما چیست؟»
باز کردن شکاف Uber
نقض اوبر نشان داد که مهاجمان مدرن چگونه رفتار میکنند و چگونه میتوانیم آنها را از ایجاد هرگونه آسیب قابل توجهی متوقف کنیم. تیم قرمزCyberArk این رویداد را تجزیه و تحلیل کرد و چندین نتیجه مهم گرفت. برای درک ارزش آنها، بیایید با زنجیره رویدادها شروع کنیم :
- مهاجمان اعتبارها را از زیرساخت ویپیان اوبر به دست آوردند. اگرچه این اعتبارنامهها، که متعلق به یک پیمانکار بودند، دارای حقوق منحصر به فردی برای منابع حیاتی نبودند، اما دسترسی به یک اشتراک شبکه مشترک را فراهم میکردند که ممکن است برای خواندن گسترده لیست کنترل دسترسی به اشتباه پیکربندی شده باشد.
- مهاجمان یک اسکریپت «PowerShell» با اعتبارنامههای ممتاز کدگذاری شده سخت برای راهحل مدیریت دسترسی ممتاز (PAM) اوبر در اشتراک شبکه پیدا کردند.
- مهاجمان با استفاده از اعتبارنامه مدیریت کدگذاری شده و دسترسی به مدیریت دسترسی ممتاز، امتیازات خود را افزایش دادند.
- براساس گزارشها، مهاجمان به چندین کنسول، از جمله سرویس ورود به سیستم واحد و کنسول مدیریت ابری اوبر، که برای ذخیره اطلاعات محرمانه مشتری و مالی استفاده میکند، دسترسی پیدا کردند.
- مهاجمان دادهها را از چندین سیستم استخراج کردند. اوبر اظهار داشت که آنها برخی پیامهای داخلی «Slack» را دانلود کردهاند و همچنین به اطلاعاتی از ابزار داخلی که تیم مالی شرکت برای مدیریت برخی فاکتورها استفاده میکند، دسترسی یافتهاند یا دانلود کردهاند.
مشکل در اعتبارنامهها
هاروود توضیح داد : «ما میتوانیم چندین نتیجه از الگوی نقض بگیریم، اعتبارنامههای رمزگذاری شده نقش مهمی در این حمله داشتند. مدیران به طور معمول اسکریپتهایی را برای خودکارسازی فرآیندها، مانند پشتیبانگیری، مینویسند و اعتبارنامهها را در چنین اسکریپتهایی قرار میدهند. این اعتبارنامهها میتواند هر چیزی، از توکنهای ممتاز و کلیدهای «SSH» تا توکنهای «API» و انواع دیگر رمزهای عبور، باشد. برای توسعهدهندگان معمول است که این اعتبارنامهها (یا کدهای سخت) را در کد برای صرفهجویی در زمان و اطمینان از اتوماسیون قرار دهند. این امر مدیریت و چرخش اعتبارنامهها را دشوار میکند، زیرا آنها برای همه افرادی که به کد دسترسی دارند باز می مانند.»
سرقت اعتبار همچنان مهمترین خطر است و مجرمان در دور زدن پادمانهایی مانند احراز هویت چند عاملی ماهرتر میشوند. در واقع، داستان اوبر دارای چندین سازش «MFA» است.
مدیر منطقهای CyberArk در آفریقا و خاورمیانه توصیه کرد :
«کارکنان شما دروازهبانان شما هستند؛ بنابراین به طور معمول به آنها آموزش دهید که فیشینگ را شناسایی کنند و گزارش دهند تا از سرقت هویت جلوگیری شود. همانطور که حملات همچنان در حال تغییر هستند، انتظار هوشیاری را داشته باشید اما دقت مطلق را نداشته باشید. این نقض همچنین بر اهمیت تضمین دسترسی با حداقل امتیاز، بخش اساسی چارچوبهای بدون اعتماد، تأکید میکند : اصل حداقل امتیاز را به طور مداوم، از نقطه پایانی شروع کنید. برنامههای مدیریت دسترسی ممتاز را با نهایت دقت تنظیم کنید. دسترسی به حسابهای ممتاز مدیران فقط باید در مواقع ضروری اعطا شود. تمام دسترسیهای دارای امتیاز باید جدا و تأیید شوند.»
دفاع در عمق
آخرین نتیجه مهمی که کارشناسان بر آن تأکید دارند، اهمیت راهبرد دفاع در عمق (DiD) است که به طور مدبرانه کنترلهای امنیتی را لایهبندی میکند تا از داراییهای حیاتی، مانند دادههای مهم، در صورت شکست سایر کنترلها محافظت کند. محدود کردن حرکت جانبی نیز میتواند با حذف دسترسی ایستاده به زیرساختهای حساس و رابطهای آنلاین یا ابری کمک زیادی کند. افزایش بهموقع امتیازات میتواند دسترسی به هر هویت در معرض خطر را بهطور قابلتوجهی به حداقل برساند و شعاع انفجار مهاجم را کاهش دهد، بهویژه زمانی که با احراز هویت قوی ترکیب شود.
همه محققان معتقدند که هیچ گلوله نقرهای امنیتی وجود ندارد. حتی اوبر که چندین لایه امنیتی داشت، همچنان قربانی مهاجمان شد. تعداد کمی از مردم هنوز بر این باورند که میتوان حملات سایبری را متوقف کرد. بنابه گفته محققان، حملاتی مانند نفوذ اوبر را میتوان با دفاع قوی و لایه لایه امنیت سایبری عمیق با آموزش مداوم و مکرر کارکنان برای کمک به شناسایی منابع بالقوه خطر کاهش مییابد.
هاروود ادعا کرد : «وجود این جنبهها، دستیابی به جایگاه، حرکت، کشف و دستیابی به اهداف را برای مهاجمان دشوارتر میکند. به همان اندازه مهم، آنها به ما این امکان را میدهند که موفقیت و تأثیر حملات را به حداقل برسانیم و در سریعترین زمان ممکن به عملیات عادی بازگردیم.»
- ۰۱/۰۹/۲۲