تهدیدات امنیت سایبری در سال ۲۰۲۱

در طول یک دهه گذشته فناوری های دیجیتالی در بسیاری از صنایع و بخش ها از جمله زیرساخت های کسب و کاری نفوذ کرده و ارتباط بین محصولات، فرایندها و سرویس ها نیز افزایش زیادی یافته است. به ترکیب راهبردهای فناوری اطلاعات و کسب و کار، «راهبرد دیجیتال» گفته می شود. اغلب کارکنان در سازمان هایی که از فناوری های دیجیتال مانند رایانش ابری و اینترنت اشیا استفاده می کنند، چنین تصور می کنند که عامل اصلی دیکته کننده راهبرد دیجیتال در شرکت آنها مدیرعامل، مدیر ارشد فناوری یا مدیر ارشد امنیت اطلاعات سازمان است؛ ولی در واقع تأثیرگذارترین عامل در سال ۲۰۲۰، ویروس کووید ۱۹ بوده است!

ادعای بسیاری از سازمان ها در سال های گذشته این بود که تمایلی به انتقال عملیات شان بر روی سرورهای ابری یا به عبارتی دیگر دورکاری کارمندان شان ندارند اما ناگهان شرایط تغییر کرد و پیروی از شرایط جدید برای شرکت ها دیگر یک اجبار بود. در حال حاضر کارمندان در هر جایی که باشند، به کمک سرویس های ابری، ابزارهای مشارکتی و سیستم های راه دور می توانند وظایف شغلی خود را انجام دهند. با توجه به این که سازمان ها به شرایط جدید عادت کرده اند و همچنین افزایش کووید ۱۹، بعید است که به این زودی شاهد برگشت اوضاع کار به روال عادی باشیم. در پی این دورکاری اجباری، شرکت ها با چالش های امنیتی زیادی مواجه شده اند.

در این مطلب ، به تهدیدات سایبری که انتظار می رود در سال ۲۰۲۱ امنیت سازمان ها و شرکت ها را تهدید کنند، پرداخته می شود.

رشد و تکامل تهدیدات سایبری گذشته

واضح است که تهدیدات سایبری مثل فیشینگ، باج افزار، تروجان و بات‌نت‌ها همچنان با قدرت به کار خودشان ادامه می‌دهند. این حملات که با استخراج اطلاعات شخصی افراد از شبکه‌های اجتماعی و وب سایت‌های سازمان ها طراحی می‌شوند، همواره بر تعداد و میزان گستردگی شان در حال افزوده شدن است.

همچنین رویدادهای جاری در پیشرفت و افزایش این تهدیدها می توانند مؤثر باشند. در دوره شیوع بیماری کرونا شاهد افزایش تعداد حملات فیشینگ ایمیلی بودیم که از عدم آشنایی قربانیان با برنامه‌های کاربردی مخصوص دورکاری سوءاستفاده می‌کردند یا اینطور وانمود می‌شد که حاوی جزییاتی درباره بسته‌های محرک اقتصادی دولت هستند.

با صنعتی شدن کمپین‌های مهندسی اجتماعی و حملات بدافزاری، مجرمان سایبری می‌توانند حملات خودشان را بر اساس نتیجه، ارزیابی و طراحی کنند تا در نهایت به یک حمله خطرناک با احتمال موفقیت بالا دست یابند.

حملات بدون فایل

همانطور که از نام آنها پیدا است، زیرمجموعه‌ای از حملات موسوم به حملات زندگی خارج از زمین یا به اختصار LotL هستند که در آنها از ابزارها و امکانات موجود در محیط کار قربانی استفاده می‌شود. این حملات، متکی بر پی‌لودهای مبتنی بر فایل نیستند و عموماً هیچ فایل جدیدی هم ایجاد نمی‌کنند. در نتیجه آنها این امکان را دارند که از شناسایی شدن توسط بسیاری از راهکارهای تشخیص و پیشگیری از حمله جلوگیری کنند.

ممکن است یک حمله بدون فایل، با ارسال لینک یک سایت مخرب و از طریق ایمیل آغاز شود. در این سایت‌های مخرب از ابزارهایی مثل پاورشل که یک ابزار بسیار قدرتمند و به منظور مدیریت و پیکربندی سیستم عامل ویندوز به طور خودکار طراحی و توسعه داده شده است، استفاده می‌شود. در این صورت آنها می‌توانند پی‌لودهای دلخواه را به صورت مستقیم بازیابی کرده و در حافظه سیستم اجرا کنند. با به کارگیری راهکارهای دفاعی سنتی، تشخیص بین استفاده‌های مجاز از اسکریپت‌ها و ابزارهای خودکارسازی و استفاده‌های مخرب از ابزارهای داخلی سیستم بسیار سخت و چالش برانگیز است.

حملات بدون فایل پدیده جدیدی نیستند و استفاده از ابزارهای سیستمی، قدمت طولانی دارد. با این حال نرخ موفقیت چشمگیر آنها و این که استفاده از فرایندهای سیستمی موجود می‌تواند چرخه توسعه بدافزار را کوتاه‌تر کند، باعث افزایش میزان استفاده از این روش شده است. همچنین این حملات نه تنها سازمان ها بلکه در بسیاری از موارد حتی شرکت‌های ارایه دهنده خدمات را نیز مورد هدف قرار داده و از زیرساخت و ابزارهای مدیریتی آنها برای حمله به مشتریان شان سوءاستفاده می کنند.

حمله به سرویس‌های راه دور و ابری

شیوع بیماری کرونا موجب بهره گیری سریع سازمان ها از سرویس‌های جدید ابری، ابزارهای دسترسی از راه دور و برنامه‌های کاربردی مخصوص کار گروهی شد. از سوی دیگر، بسیاری از سازمان‌ها فاقد نیروی لازم با مهارت‌های مرتبط برای پیکربندی مناسب این راهکارها هستند. همچنین کمبود زمان برای بررسی درست این ابزارها یا بودجه لازم برای کار با شرکت‌های ارایه دهنده این خدمات که مورد تأیید هستند، از جمله عوامل تشدید کننده این مشکل می باشد.

برنامه‌های کاربردی، مخازن و راهکارهای ذخیره اطلاعات روی بستر ابر به خوبی محافظت نمی‌شوند و مجرمان سایبری آنها را به عنوان یکی از اهداف اصلی خودشان که سطح حمله وسیعی نیز دارند، در نظر می‌گیرند. در واقع این احتمال وجود دارد که نفوذ به یک سرویس، راهی برای نفوذ به سایر بخش‌ها را فراهم کرده و منجر به شکل گیری زنجیره‌ای از حملات پی در پی شود که در نهایت به سطوح بالاتر در شبکه تأمین نفوذ نموده و پی‌لودهای مخرب را از طریق ابزارهایی که به آنها اطمینان دارید و همواره از آنها استفاده می کنید، بر روی سیستم نصب کنند. پیکربندی نادرست می تواند سطح مخاطره را افزایش داده و سرویس‌های بیشتری را در معرض خطر حمله قرار دهد. در نهایت، این سناریوها می توانند منجر به نشت اطلاعات سازمانی شوند.

تهدید فرایندهای کاری

یکی از احتمالات ممکن این است که مجرمان سایبری بتوانند یک آسیب‌پذیری را در جریان کاری کسب و کارها پیدا کنند. به همین دلیل شاهد ایجاد تهدیداتی برای فرایندهای کاری هستیم که مهاجمان در آنها از نقاط ضعف عملیاتی سوءاستفاده می‌کنند.

حمله بر ضد فرایندهای کاری، نیازمند دانش قابل توجهی درباره عملیات و سیستم‌های قربانی است. معمولاً این حملات با نفوذ به یک سیستم در شبکه مورد هدف شروع می‌شوند. مجرمان سایبری پس از این نفوذ می‌توانند فرایندهای سازمان را تحت نظر گرفته و به تدریج نقاط ضعف آن را شناسایی کنند.

این حملات معمولاً گسسته هستند و ممکن است سازمان‌ها نتوانند آنها را به موقع شناسایی کنند. مخصوصاً اگر فرایند مورد هدف با وجود تولید نتایجی متفاوت، همچنان به صورت مورد انتظار عمل کند. برای مثال، مهاجمان می‌توانند با نفوذ به یک ابزار صورتحساب خودکار و تغییر شماره حساب بانکی آن، کاری کنند که مبلغ فاکتورها به حساب خودشان واریز شود.

پی‌لودهای سفارشی

همانطور که در گذشته مشاهده شده، هر چند حملات هدفمند نیاز به تلاش بیشتری برای جمع آوری اطلاعات درباره قربانی دارند اما کارایی آنها برای به خطر انداختن سیستم‌ها و داده‌ها بسیار بیشتر است. این رویکرد روز به روز پیچیده‌تر هم می‌شود.

مجرمان سایبری از طریق وب سایت‌ها و شبکه‌های اجتماعی سازمان‌ها و همچنین با نفوذ به بعضی از سیستم‌های شبکه، اطلاعات بسیار زیادی را درباره سازمان مورد نظرشان جمع آوری می‌کنند. ابزارهای پرکاربردی مثل پاورشل و WMI که کاربردی دوگانه دارند، به مهاجمان امکان می‌دهند اطلاعات بیشتری را درباره ابزارها و سرویس‌هایی که شرکت شما متکی بر آنها است، کسب کنند. سپس آنها می‌توانند با استفاده از دانش اکتسابی و با کمک این ابزارها و آسیب‌پذیری‌هایی که در هر یک از آنها وجود دارد، پی‌لودهای مخصوصی را بسازند که فقط برای از کار انداختن شبکه سازمان شما طراحی شده‌اند.

رویکردهایی برای سال ۲۰۲۱

همچنان که مجرمان سایبری به رشد و تکمیل راهبردهای حمله و فناوری‌های خودشان ادامه می‌دهند، سازمان‌ها هم باید رویکردهایشان را نسبت به امنیت سایبری و حفاظت از داده‌ها تغییر دهند. نرم‌افزارهای ضدویروس که در سطح سیستمی هستند برای مقابله با تهدیدات سایبری مدرن و پشتیبان گیری از فایل‌ها برای حفاظت در برابر اختلالات دیجیتالی که توسط مهاجمان سایبری ایجاد می‌شوند، کافی نیستند.

کسب و کارها باید از همه جریانات کاری، داده‌ها و برنامه‌های کاربردی خودشان در دامنه‌های مختلف محافظت کنند. چنین امری مستلزم پیاده سازی راهکارهای ادغام شده‌ای است که نظارت، ارزیابی آسیب‌پذیری و محافظت از نقاط انتهایی را به شکل خودکار انجام می‌دهند.

کارشناسان فناوری اطلاعات و امنیت سایبری با وجود این که سال ۲۰۲۰ برای آنها پر از چالش بود، با موفقیت آن را پشت سر گذاشتند. آنها تنها در صورتی می توانند از سال ۲۰۲۱ نیز با موفقیت عبور کنند که برای مقابله با موج جدید تهدیدات سایبری آماده باشند.

living off the land

منبع: https://www.securitymagazine.com/articles/93924-building-a-resilient-enterprise-with-threat-intelligence