ایتنا - پیشی گرفتن از تهدیدات در حال تحول، چالشی است که بسیاری از متخصصان فناوری اطلاعات را هوشیار نموده است. درک مهمترین تهدیدات سایبری روز، اولین قدم برای محافظت از هر سازمانی در برابر حمله است.
تهدیدات سایبری دائماً در حال تحول هستند. تا همین اواخر در سال 2016، بدافزار Trojan حدود 50٪ از کل تخلفات را به خود اختصاص میداد درحالی که امروز به کمتر از هفت درصد رسیده است.
به این معنا نیست که تروجانها ضرر کمتری دارند. بر اساس گزارش تحقیقات نقض دادههای(DBIR) Verizon در سال2020 ، قابلیتهای backdoor و کنترل از راه دور، هنوز هم توسط عاملان تهدیدات پیشرفته، برای انجام حملات پیچیده استفاده میشود.
پیشی گرفتن از تهدیدات در حال تحول، چالشی است که بسیاری از متخصصان فناوری اطلاعات را هوشیار نموده است. درک مهمترین تهدیدات سایبری روز، اولین قدم برای محافظت از هر سازمانی در برابر حمله است.
5 تهدید برتر سایبری
مرکز امنیت اینترنتی (CIS) پنج حمله اصلی را که سازمانها باید از آنها حفاظت شوند را از طریق Verizon DBIR و منابع دیگر شناسایی کرد:
1. بدافزار(Malware)- انواع مختلفی از بدافزار وجود دارد و بسیاری از سازمانها متوجه حملات آنها در زمانهای مختلف با انواع مختلفی میشوند. طبق DBIR، فعالترین انواع بدافزارها امروزه با عنوان dumpers password شناخته میشوند که برای سرقت اطلاعات مورد استفاده قرار میگیرند.
ایمیلهای فیشینگ و نصب مستقیم رایج ترین روشهای انتشار این نوع بدافزارها هستند. دانلود (backdoors و key loggers) نیز از تهدیدات بدافزاری برجسته هستند.
2. هک کردن - بیش از 80٪ موارد نقض اطلاعات تأیید شده از طریق هک، از روشهای brute force یا استفاده از مدارک گمشده یا به سرقت رفته است. وکتور اصلی حمله از طریق برنامههای تحت وب است که به دلیل افزایش محبوبیت برنامههای ابری ، بخشی از آن در حال افزایش است. بهرهبرداری از آسیب پذیری ، درهای پشتی(backdoors) و قابلیت فرماندهی و کنترل (Command and control) نیز از مهمترین تکنیکهای هک هستند.
3. استفاده از امتیاز داخلی و سوءاستفاده- در حالی که مهاجمان خارجی عموما نسبت به خودی ها تهدید بزرگتری به شمار میروند ، کاربران دارای امتیاز هنوز هم ریسک قابل توجهی را به خود اختصاص میدهند. DBIR 2020 به کاهش تعداد حملات داخلی از سال گذشته تا کنون اشاره کرد.
با این حال، تشخیص این حوادث بسیار دشوار است و زمانی که به طور هوشمندانه پنهان شدهباشد، میتواند برای مدت طولانی ادامه یابد. همچنین ، سواستفاده افراد از منابع یا سواستفاده از امتیازاتی که دارند میتواند منجر به افشای ناخواسته اطلاعات شود.
4- نفوذهای هدفمند - جاسوسی سایبری همچنان یک نگرانی بزرگ است، اگرچه به نظر میرسد اکثر حوادث از بازیگران تحت حمایت دولت به سوی افرادی که صرفاً منافع مالی میطلبند دور میشود. نفوذهای هدفمند با هک عمومی فرق میکند زیرا مرتکبان سخت تلاش خواهند کرد تا شناسایی نشوند و ممکن است با ادامه تمرکز بر قربانی خود ، رویکرد خود را تغییر دهند.
5. Ransomware - باج افزارها نوعی بدافزار هستند که میبایست توجه خاصی به آن داشت. باج افزار سومین نوع رایج در بدافزارها است.Credentials (ابزار احراز هویت یا اعتبارسنجی) نیز ممکن است در حمله باج افزار به خطر افتد. خودکارسازی حملات از طریق سرویسهای آنلاین بدان معنی است که باج افزار همچنان یک مشکل رو به رشد خواهد ماند.
تکنیکها و تاکتیکهای حمله
حفاظت از یک سازمان دربرابر حمله به موارد دیگری بیش از اطلاع از شایعترین تهدیدات سایبری نیاز دارد. هر نوع حمله از یک سری تاکتیک پیروی میکند (مراحل حمله). تکنیکهای زیادی وجود دارد که مهاجم میتواند در هر مرحله از آنها استفاده کند.
این وکتورهای حمله در سیستم تایید شده صنعت شناسایی میشوندکه حول مدل MITER ATT & CK (تاکتیک های خصمانه ، تکنیک ها و دانش مشترک-Adversarial Tactics, Techniques, and Common Knowledge) در حال توسعه است.
بیش از 260 تکنیک در چارچوب ATT & CK شناسایی شده است که به 11 تاکتیک متناظر ترسیم میشود.
حفاظت در برابر تهدیدات جدید
البته دانستن انواع حمله ، تاکتیکها و تکنیکها فقط آغاز کار است. سوال این است که در مورد آنها چه باید کرد؟ مرکز امنیت اینترنتی (CIS) برای کمک به سازمانها در طول مسیر امنیت سایبری خود ، از اطلاعات موجود در DBIR و ATT & CK برای ایجاد مدل دفاعی جامع(CDM) CIS استفاده کرد.
CDM انواع مهم حمله را در DBIR شناسایی میکند و آنها را با تکنیکهای مورد نیاز برای اجرای تاکتیکهای قابل استفاده مطابقت میدهد. سپس یک گام فراتر میرود تا نقشهای از تدابیر حفاظتی یافت شده در برابر تنکنیکهای بکاررفته در هر حمله در کنترلهای CIS و مقدار ارزش امنیت اجرای تدابیر حفاظتی را ترسیم کند.
CIS Controls یک مجموعه تدابیر حفاظتی اولویت بندی شده و تجویزی هستند که رایج ترین حملات سایبری علیه سیستمها و شبکهها را کاهش میدهد. کنترل های CIS بیشتر در سه گروه پیاده سازی (IG) سازماندهی میشوند تا به سازمانها در تصمیمگیری درباره اینکه کدام یک از تدابیرحفاظتی بیشترین ارزش را میسر میکنند، کمک کنند. این امر با توجه به اندازه و ماهیت سازمان و همچنین میزان همراهی آنها با برنامه امنیت سایبری تعیین میشود.
به عنوان مثال گروه اجرایی1(IG1) شامل تدابیری است که اغلب سازمانها برای دستیابی به سلامت سایبری اساسی باید اجرا کنند. CIS Controls و CIS Benchmarks ، راهنمای پیکربندی امن برای فنآوریهای مختلف ، بدون هیچ هزینهای در دسترس سازمانهای سراسر جهان است.
پیادهسازی، اتوماسیون و ارزیابی
امروزه ماهیت پیچیده محیطهای فنآوری اطلاعات نیازمند راهحلهای پیشرفته برای اجرا و ارزیابی است. پیادهسازی را میتوان تا حد زیادی از طریق استفاده از ابزارهای خودکار برای ارزیابی و ارتقا از راه دور نقاط مهم انجام داد.
CIS-CAT Pro Assessor یکی از این ابزارهاست.این ابزار با اسکن کردن تنظیمات پیکربندی سیستم هدف و گزارش انطباق سیستم با معیار CIS مربوطه، میتواند در بررسی پیکربندی ساعتها صرفهجویی کند.
علاوه بر این، ابزار خود ارزیابی CIS (CIS CSAT) مزایای بسیاری را برای ردیابی اجرای کنترلهای CIS فراهم میکند که فراتر از یک صفحه گسترده(Spreadsheet) ساده است. CIS CSAT اکنون در نسخه "on premise" با گزینههای پیشرفته برای تیمها، به نام CIS CSAT Pro در دسترس است. این ابزارها و موارد دیگر از طریق عضویت در CIS SecureSuite در دسترس هستند.