نوشته‌ها

چشم انداز تهدیدات سایبری در حال تغییر است.

ما اکنون با نوع جدیدی از تهدید روبرو هستیم که از رابط های برنامه نویسی برنامه (API) به عنوان عامل حمله اولیه استفاده می کند. این حملات پیچیده و مخرب هستند و در حال حاضر در صنایع مختلف گسترش یافته اند.

طبق  گزارشی  از گارتنر، امسال سالی است که API ها به عامل حمله پیشرو برای برنامه های کاربردی وب سازمانی تبدیل خواهند شد. از آنجایی که کسب‌وکارها به انتقال بیشتر عملیات خود به فضای ابری ادامه می‌دهند و داده‌های بیشتری به API منتقل می‌شوند، شاهد افزایش زیادی در حملات مبتنی بر API هستیم.

سازمان‌ها از API ها برای ساخت برنامه‌های کاربردی پیچیده استفاده می‌کنند که به‌عنوان پایه‌ای برای مدل‌های کسب‌وکارشان عمل می‌کنند، زیرا آنها روشی مؤثر برای استفاده از داده‌ها و عملکرد ارائه‌شده توسط برنامه‌ها و خدمات دیجیتال سازمان ارائه می‌دهند.

آنها به دلیل توانایی آنها در ارائه اتصال بین سیستم های متفاوت محبوب تر می شوند. به عنوان مثال، یک API برای یک بانک می تواند به شما امکان دسترسی به اطلاعات حساب خود را از یک برنامه تلفن همراه یا وب سایت بدهد. علاوه بر این، شرکت ها ممکن است از API ها برای فرآیندهای داخلی، مانند مدیریت صورتحساب یا موجودی استفاده کنند.

این فقط در مورد آسان کردن یا سریعتر کردن کار نیست. این در مورد ایجاد فرصت های جدید برای نوآوری و رشد از طریق یکپارچه سازی با دیگر پلتفرم ها یا خدمات خارج از کنترل سازمان است. اما، از آنجایی که شرکت‌ها API را برای خدمت به عنوان هسته مدل‌های کسب‌وکار خود اتخاذ می‌کنند، اغلب جنبه‌ای حیاتی از امنیت API را نادیده می‌گیرند.

مشکل API ها این است که توسط بسیاری از برنامه ها و افراد استفاده می شود.  API ها را می توان به طرق مختلف مورد استفاده قرار داد و آنها را به هدف اصلی هکرها تبدیل می کند.

روند حملات مبتنی بر API در سال های اخیر رشد قابل توجهی داشته است.

گزارش ها  حاکی از آن است که 95 درصد از شرکت ها در 12 ماه گذشته یک حادثه امنیتی API داشته و مطالعه دیگری  نشان می‌دهد که آسیب‌پذیری‌های API سالانه ۷۵ میلیارد دلار برای کسب‌وکارها هزینه دارد.

تهدیدهای رایج برای امنیت API عبارتند از:

بدافزار و حملات DDoS : حملات  انکار سرویس توزیع شده (DDoS) شامل ارسال حجم زیادی از ترافیک به وب سایت مورد نظر برای غلبه بر آن است که باعث از کار افتادن یا غیرقابل استفاده شدن آن می شود. حملات DDoS را می‌توان توسط بات‌نت‌ها انجام داد . گروه‌هایی از دستگاه‌های IoT که توسط بدافزار در معرض خطر قرار گرفته‌اند و به ربات‌هایی تبدیل شده‌اند که درخواست‌ها را به عقب و جلو ارسال می‌کنند. سایر حملات بدافزار شامل تزریق SQL است.

مدیریت نامناسب دارایی‌ها:   نسخه‌های قدیمی‌تر API آنها را در برابر حملات و نقض داده‌ها باز می‌کند. این شبیه به اسناد نامناسب است که داده‌های حساس را در معرض تهدیدات ناشناس قرار می‌دهد و یافتن آسیب‌پذیری‌هایی را که باید اصلاح شوند چالش برانگیز می‌کند. مهاجمان ممکن است نسخه‌های غیر تولیدی API مانند نسخه‌های مرحله‌ای، آزمایشی یا بتا را بیابند و از آنها در حمله استفاده کنند.

پیکربندی نادرست API  ها : هنگامی که یک برنامه وب به گونه ای پیکربندی می شود که داده ها و عملکردهایی را که می تواند در یک حمله مورد استفاده قرار گیرد در معرض دید قرار می دهد، گفته می شود که دارای پیکربندی اشتباه امنیتی است. مهاجمان ممکن است از سرورهای API با تنظیم نادرست، از جمله سیستم‌های وصله‌نشده یا فایل‌ها و پوشه‌های محافظت‌نشده سوء استفاده کنند. این شامل هدرهای HTTP نادرست، تنظیمات پیش‌فرض ناامن، پیام‌های خطای پرمخاطب و غیره است.

هر سازمانی باید تمام اقدامات ممکن را برای ایمن سازی API های خود در هر سطح انجام دهد، از جمله محافظت از آنها در برابر تهدیدهای خارجی و سوء استفاده داخلی. در غیر این صورت، آنها خود را در معرض نقض احتمالی مانند مواردی که  Uber  و  Equifax  تجربه کردند، در معرض خطر قرار می‌گیرند.

سازمان‌ها باید از راه‌حل‌های امنیتی API برای تشخیص زمانی که یک کاربر احراز هویت شده و تلاش می‌کند تا دسترسی غیرمجاز به داده‌های کاربر دیگر را برای جلوگیری از حملات BOLA به دست آورد، استفاده کنند. این اتفاق نیاز به بررسی دقیق همه گزینه‌های احراز هویت API را نشان می‌دهد. هر جریان API باید فرآیند احراز هویت استاندارد خود را با استفاده از راه حل امنیتی API ارزیابی کند.

آمارهای جهانی به یک روند واضح اشاره می کنند: هرچه به سمت آینده حرکت می کنیم عامل های حمله ابری API بیشتر و بیشتر رایج می شوند. برای محافظت واقعی از برنامه ها و کاربران خود در برابر عوامل مخرب، مشاغل امروزی باید API ها را در برابر تهدیدات در هر سطح از سازمان خود تقویت کنند.

 

چگونه از برند خود در برابر حملات جعلی محافظت کنیم؟

ایجاد یک برند معتبر ممکن است سالها طول بکشد، اما فقط یک ایمیل مخرب برای از بین بردن آن کافیست.

تلاش‌ها برای بهره‌برداری مخرب از برندها از طریق ایمیل و وب در حال افزایش است. گزارش وضعیت امنیت ایمیل 2022 Mimecast نشان داد که بیش از  90 درصد سازمان‌ها در 12 ماه گذشته حمله جعلی مبتنی بر ایمیل یا وب را تجربه کرده‌اند . این نوع حملات برای 46 درصد از سازمان ها در حال افزایش است، در حالی که تنها 19 درصد می گویند که در حال کاهش هستند.

حملات جعلی به برند می تواند منجر به از دست دادن درآمد و اعتماد مشتری شود و پیامدهای منفی طولانی مدت داشته باشد .

دو روش اصلی وجود دارد که عوامل تهدید از طریق آنها حملات جعل برند را اجرا می کنند. اولین مورد در یک سازمان رخ می دهد، جایی که مهاجمان تحت پوشش پشتیبانی فناوری اطلاعات از راه دور، از محیط های کاری راه دور استفاده می کنند تا خود را به عنوان سازمان و تامین کنندگان آن معرفی کنند، به این امید که کاربران نهایی را برای کلیک کردن بر روی پیوندها، ارائه اعتبارنامه ها یا نصب آنها جلب کنند.

روش دوم در خارج از سازمان رخ می دهد، جایی که عوامل تهدید جعل هویت برندها برای حمله به زنجیره های تامین، مشتریان و شرکا هستند، اغلب از طریق ایمیل با یکدیگر تماس برقرار می کنند و قربانیان را به دامنه های وب جعلی هدایت می کنند. این حملات معمولاً به‌عنوان درایوهای اهدایی، اعلان‌های خرید غیرمجاز، فروش بسته یا پیشنهادات مرتبط با رویدادهای ژئوپلیتیک به موقع و سایر موارد پنهان می‌شوند.

تلاش برای جعل برند یک تهدید بزرگ برای سازمان ها است. با این حال، چندین اقدامات احتیاطی وجود دارد که برندها می توانند برای تقویت دفاع در برابر این حملات انجام دهند. در زیر سه گام مهم برای تقویت حفاظت از برند وجود دارد که به حفظ اعتماد مشتری و محافظت از کار شما کمک می کند:

دارایی‌های خود در دنیای وب را مشخص کنید

برندها به درک محکمی از دارایی ها و دامنه های وب متعلق به خود نیاز دارند تا بفهمند آسیب پذیری های کلیدی در کجا وجود دارد. در صورت امکان، دامنه‌ها را تحت یک ثبت‌کننده واحد ادغام کنید تا تیم‌های فناوری اطلاعات و امنیت شما بتوانند محافظت‌ها و اصلاحات را به طور مؤثر اجرا کنند.

استاندارد DMARC  را پیاده سازی کنید

استاندارد احراز هویت، گزارش و انطباق پیام مبتنی بر دامنه (DMARC) برای برندهایی که به دنبال جلوگیری از جعل دامنه و خنثی کردن حمله مهاجمان ضروری است. حفاظت های DMARC را برای تقویت راه حل های امنیتی موجود خود به کار بگیرید و از تامین کنندگان و شرکای مورد اعتماد خود انتظار داشته باشید که همین کار را انجام دهند.

سطح حمله خود را تا حد امکان کاهش دهید

علاوه بر موارد فوق، چیزهای زیادی برای کاهش سطح حمله شما وجود دارد: اجرای فرآیندهای ساده، استفاده از بهترین راه کار های موجود ، سرمایه گذاری در آموزش کارمندان و موارد دیگر.  برای به حداکثر رساندن کارایی، اطمینان حاصل کنید که چارچوب امنیت سایبری شما جامع و واضح است.

با هوش مصنوعی و سیستم های ترکیب ابزار ، هوشمندتر کار کنید

سازمان‌ها می‌توانند به کمک هوش مصنوعی (AI) و یکپارچه‌سازی ابزارها برای ساده‌سازی فرآیندها، به تقویت تیم‌های امنیتی کمک کنند.  راه‌حل‌های امنیتی ایمیل مبتنی بر هوش مصنوعی از ترکیب هوش مصنوعی و داده‌های زمینه‌ای دنیای واقعی استفاده می‌کنند تا به صورت کارآمد و روان از برندها حفاظت کنند.

هوش مصنوعی می‌تواند حجم بالایی از داده‌ها را از منابع مختلف دریافت کند و آن را با نام تجاری و دارایی‌های دیجیتال شما ترکیب کند تا تشخیص و اصلاح تهدیدات را ساده‌تر کند. با خودکار کردن تجزیه و تحلیل تهدیدات ورودی و اطلاعات مشترک API از دنیای خارجی ، می‌تواند پیچش‌های رایج نام و دامنه‌های نام تجاری شما را شناسایی کند و سپس به کارمندان در زمان واقعی هشدار دهد. یک حلقه بازخورد قوی در اینجا برای تنظیم دقیق و مستمر ، ضروری است. این کار به شناسایی عوامل تهدید جدید و حذف موارد مثبت کاذب کمک می‌کند تا هوش مصنوعی ایمیل‌های سالم و معمولی را  به عنوان ایمیل مخرب علامت‌گذاری نکند.

بیان ریسک سایبری به عنوان یک ریسک تجاری برای جلب توجه مدیران 

افراد، فرآیندها و فناوری، چارچوب امنیت سایبری را تشکیل می دهند.  هدف این چارچوب محافظت از ارتباطات، افراد و داده های سازمان است که اگر محافظت نشود می تواند مستقیماً بر برند شما تأثیر بگذارد. با این حال، اغلب ممکن است قطع ارتباطی وجود داشته باشد که مانع از محافظت از برند شما و ایمن نگه داشتن ارتباطات، افراد و داده های شما شود. قطع ارتباط این است که تیم هایی که وظیفه برندسازی را دارند، اغلب از تیم هایی که وظیفه محافظت از برندها را دارند، جدا هستند و این مسأله می‌تواند مانع از حفاظت از برند، داده‌ها و افراد شما شود.

نکته کلیدی، شناسایی مشترکات بین ذینفعان و بیان ریسک بر اساس عباراتی است که با اولویت های آنها همخوانی دارد. به عنوان مثال، از مدیر ارشد بازاریابی خود بپرسید: «آیا از نظر شما، از دست دادن تعداد مشخصی قرارداد یا مشتری بالقوه، به بارآمدن خسارت‌های سنگین یا ایجاد آسیب‌های بلندمدت به اعتبار برند جزو بدترین رخدادهایی هستند که ممکن است برای این شرکت رخ دهد؟» پس از مشخص کردن اولویت‌های این افراد می‌توانید اهداف مشترک را شناسایی کرده و با ارائه مثال‌های واقعی، جنبه‌های مختلف امنیت سایبری را به جنبه‌های تجاری ارتباط دهید.

 

نادیده گرفتن یک تهدید امنیتی واحد می تواند یک رویداد جدی ایجاد کند که می تواند به شدت اعتماد جامعه و مصرف کننده را از بین ببرد، شهرت و نام تجاری را خدشه دار کند، بر ارزش گذاری شرکت ها تأثیر منفی بگذارد و مزیتی برای رقبا ایجاد کند. در این مقاله، چهار اشتباه رایج را که می‌توانند به برنامه امنیتی شما آسیب بزنند، بررسی می شود.

1-     نادیده گرفتن اصول اولیه

یکی از رایج‌ترین اشتباهاتی که همچنان شاهد آن هستیم این است که سازمان‌ها به شیوه‌های امنیت سایبری پایبند نیستندگزارش دفاع دیجیتال مایکروسافت نشان می‌دهد که امنیت ضعیف سایبری هنوز هم اولین دلیل برای آشکار شدن آسیب‌پذیری‌ها استدر واقع، طبق داده های این گزارش، رعایت نکات اولیه امنیتی از سازمان شما در برابر 98 درصد حملات محافظت می کند.

چندین مرحله وجود دارد که سازمان ها می توانند برای حفظ و تقویت وضعیت امنیتی کلی خود انجام دهند:

فعال کردن احراز هویت چند عاملی (MFA) : همیشه بر اساس تمام نقاط داده موجود، از جمله هویت کاربر، موقعیت مکانی، سلامت دستگاه، سرویس یا حجم کار، طبقه‌بندی داده‌ها و ناهنجاری‌ها، احراز هویت و مجوز را صادر کنید.

اعمال حداقل دسترسی:  به عنوان یکی از سه اصل Zero Trust ، اعمال حداقل امتیاز دسترسی کاربر را با دسترسی به موقع و به اندازه کافی (JIT/JEA)، سیاست های تطبیقی ​​مبتنی بر ریسک و حفاظت از داده ها محدود می کند. این کار هم داده ها و هم بهره وری را ایمن می کند.

به روز نگه داشتن نرم افزارها:  با اطمینان از اینکه دستگاه ها، زیرساخت ها و برنامه های سازمان شما به روز هستند و به درستی پیکربندی شده اند، خطر آسیب پذیری های نرم افزار را کاهش دهید.

از ابزارهای ضد بدافزار استفاده کنید:  با نصب و فعال کردن راه حل های ضد بدافزار در تمام نقاط پایانی و دستگاه ها، اجرای حملات بدافزار را متوقف کنید.

از داده های خود محافظت کنید:  بدانید که داده های حساس شما در کجا ذخیره می شوند و چه کسی به آنها دسترسی داردبهترین شیوه های حفاظت از داده ها مانند اعمال برچسب های حساسیت و سیاست های پیشگیری از از دست دادن داده ها (DLP) را اجرا کنید.

2-     داشتن توهم امنیت کاذب

 یکی از بزرگترین موضوعاتی که باید به سازمان ها منتقل شود این است که سازگاری همیشه به این معنی نیست که شما ایمن هستیدتغییر مقررات حفظ حریم خصوصی، همراه با منابع محدود مانند بودجه و کمبود استعدادها، به پیچیدگی های کسب و کار امروزی می افزاید. در حالی که مهاجمان به طور مداوم در حال جستجوی راه‌های جدید برای نفوذ به یک محیط هستند، باید از محافظت در برابر آسیب‌های زیان‌بار اجتناب‌ناپذیر کمک کنیم.

 3-     عدم شناخت محیط

شناسایی و مدیریت ریسک‌های امنیتی و داده‌ای در سازمان شما می‌تواند چالش برانگیز باشد، به‌ویژه زمانی که محیط خود را نمی‌شناسیداگر دید کلی در سراسر محیط نداشته باشید، نمی توانید شناسایی کنید که حمله در کجا انجام شده است این بینش ها به تیم های امنیتی کمک می کند تا نگرانی های بالقوه را شناسایی کنند و بتوانند به تسریع زمان برای اقدام کمک کنندشناخت محیط خود به کاهش پیچیدگی های موجود در سازمان ها نیز کمک می کند

4-     نداشتن طرح مقابله با فاجعه

حملات سایبری اجتناب ناپذیر هستند، حتی اگر ساز و کارهای دفاعی مناسبی را در اختیار داشته باشیدداشتن یک طرح مقابله با فاجعه در مورد به حداقل رساندن آسیب پس از وقوع یک رویداد استاول از همه، کارمندان باید بدانند که هنگام وقوع حمله با چه کسی تماس بگیرنداگر کارمندی در جریان نباشد که در صورت بروز حادثه باید با مدیر ارشد امنیت اطلاعات یا سایر کارمندان مربوطه تماس بگیرد تا درباره رسیدگی هر چه سریع‌تر به حادثه با آنها مشورت کند، بعید است که برای مدتی طولانی در سمت خود باقی بماند. این موضوع نیز به آشنایی با محیط مرتبط است. به عنوان یک کسب‌وکار باید استراتژی بازیابی از فاجعه و تداوم کسب‌وکار داشته باشید تا در صورت بروز مشکلات برنامه‌ریزی شده یا نشده داده‌ها و برنامه‌های کاربردی خود را حفظ نموده و عملیات آنلاین‌تان را به خوبی انجام دهید.در حالی که این چهار اشتباه رایج هستند، اما با ترکیبی درست از راه حل ها می توان آنها را برطرف کرد

 

به دنبال کمپین جاسوسی سایبری SolarWinds در سال 2020، که در آن هکرهای روسی به روز رسانی های آلوده را به یک پلتفرم مدیریت فناوری اطلاعات که به طور گسترده مورد استفاده قرار می گیرد، منتقل کردند، یک سری حملات بیشتر را در زنجیره تامین نرم افزار همچنان بر نیاز فوری به قفل کردن زنجیره های نرم افزاری تاکید می کند. و این موضوع به‌ویژه در منبع باز، جایی که پروژه‌ها ذاتاً غیرمتمرکز هستند و اغلب به‌صورت موقتی تلاش می‌کنند، شدیدتر است.

GitHub که خود متعلق به مایکروسافت است، اعلام کرد که قصد دارد از امضای کد، نوعی مهر و موم دیجیتال، برای بسته‌های نرم‌افزاری npm با استفاده از پلتفرم امضای کد Sigstore پشتیبانی کند. این ابزار از همکاری بین صنعت نشأت گرفت تا برای منبع باز بسیار آسان تر شود تا تأیید کنند که کدی که ایجاد می کنند همان کدی است که در نهایت به بسته های نرم افزاری می رسد که واقعاً توسط افراد در سراسر جهان بارگیری می شود.

جاستین هاچینگز، مدیر محصول GitHub می گوید: در حالی که اکثر بسته های npm منبع باز هستند، در حال حاضر هیچ تضمینی وجود ندارد که بسته ای در npm از همان کد منبع منتشر شده ساخته شده باشد. حملات زنجیره تامین در حال افزایش است و افزودن اطلاعات ساخت امضا شده به بسته‌های منبع باز که تأیید می‌کند نرم‌افزار از کجا آمده و چگونه ساخته شده است، راهی عالی برای کاهش سطح حمله است.

به عبارت دیگر، همه چیز در مورد ایجاد یک بازی تلفنی تایید شده رمزنگاری شده و شفاف است.

دن لورنک، مدیر عامل Chainguard، که Sigstore را توسعه می دهد، تأکید می کند که اگرچه GitHub تنها جزء اکوسیستم متن باز نیست، اما یک میدان شهری کاملاً حیاتی برای جامعه است زیرا اکثریت قریب به اتفاق پروژه ها در آنجا ذخیره و منتشر می شوند.

با ارائه Sigstore به مدیران ، شفافیت بسیار بیشتری در هر مرحله از سفر نرم افزار وجود دارد، و ابزار Sigstore به توسعه دهندگان کمک می کند تا بررسی های رمزنگاری و الزامات را هنگام حرکت نرم افزار در زنجیره تامین مدیریت کنند.

Sigstore توسط بنیاد لینوکس، گوگل، رد هت، دانشگاه پردو و Chainguard توسعه داده شده است. پلتفرم توسعه نرم افزار منبع باز Kubernetes اکنون از Sigstore پشتیبانی می کند و یک ابزار رسمی برای امضای توزیع بسته های Python با استفاده از Sigstore وجود دارد.

Hutchings GitHub می گوید: “روش های سنتی مدیریت کلیدهای امضا به اندازه جامعه منبع باز به خوبی مقیاس نمی شوند و بینشی در مورد نحوه ساخت نرم افزار ارائه نمی دهند.” یکی از چیزهایی که ما در مورد Sigstore دوست داریم این است که که پیکربندی آن برای کاربران نهایی صفر است، بنابراین ما می‌توانیم این را با اکوسیستم توسعه‌دهنده خود بدون توجه به محل زندگی کد منبع، افزایش دهیم.»

مشابه تلاش‌های عظیم صنعت برای ترویج رمزگذاری وب HTTPS، که تا حد زیادی با ابزارهایی مانند Let’s Encrypt از گروه تحقیقاتی امنیت اینترنت غیرانتفاعی امکان‌پذیر شد، Sigstore برای تشویق به پذیرش رایگان بودن و استفاده آسان متکی است.

Hutchings GitHub می‌گوید: «ما می‌خواهیم جهانی را ببینیم که در نهایت تمام مصنوعات نرم‌افزار امضا شده و به کد منبع پیوند داده می‌شوند. به همین دلیل بسیار مهم است که یک فناوری open source مانند Sigstore بسازیم که سایر مخازن بسته بندی نیز بتوانند از آن استفاده کنند.

 

گروه تحلیل تهدیدات گوگل (TAG) یک فروشنده ایتالیایی نرم افزارهای جاسوسی را مشاهده کرد که از برخی از ISP ها برای آلوده کردن کاربران اندروید و iOS با ابزارهای نظارت تجاری کمک می گرفت. کاربران هدف از ایتالیا و قزاقستان بودند.

این حملات از دانلودهای درایو به منظور آلوده کردن قربانیانی استفاده می کردند که از آنها خواسته شد تا برنامه های مخربی را نصب کنند که به عنوان برنامه های حامل تلفن همراه قانونی استتار شده بودند تا پس از قطع اینترنت توسط ISP آنها دوباره آنلاین شوند.

پس از غیرفعال شدن، مهاجم یک پیوند مخرب از طریق پیامک ارسال می‌کند و از قربانیان می‌خواهد برنامه‌ای را نصب کنند که به عنوان یک برنامه حامل تلفن همراه ظاهر می‌شود تا اینترنت را دوباره فعال کند.

 روش حمله جایگزین

اگر یک ISP نمی تواند درگیر شود، مهاجمان برنامه های مخرب را به عنوان برنامه های پیام رسانی پنهان می کنند، که کاربران باید دانلود کنند.

مهاجمان صفحه ای به زبان ایتالیایی برای دانلود مسنجر، اینستاگرام یا واتس اپ ارائه کردند.

کارشناسان با بررسی کد صفحه، تنها لینک های دانلود واتس اپ را که منجر به بدافزار مهاجم برای کاربران اندروید و iOS می شود، مشاهده کردند. 

هدف قرار دادن کاربران iOS

برنامه های مخرب مستقر در دستگاه های قربانی در فروشگاه App یا Google Play در دسترس نیستند. با این حال، نسخه iOS برنامه از روش پیشنهادی اپل برای توزیع برنامه های داخلی اختصاصی در دستگاه های اپل پیروی کرد.

برنامه با یک گواهی معتبر امضا شده است که تمام الزامات امضای کد را در هر دستگاه iOS رعایت می کند.برنامه iOS با اکسپلویت‌های داخلی مختلفی برای افزایش امتیازات روی دستگاه آلوده و سرقت فایل‌ها عرضه شد..

این اکسپلویت ها مربوط به CVE-2018-4344، CVE-2019-8605، CVE-2020-3837، و CVE-2020-9907 هستند، همچنین شامل دو آسیب پذیری CVE-2021-30883 و CVE-2021-309  

هدف قرار دادن کاربران اندروید

مشاهده می شود که برنامه مخرب اندروید هیچ گونه سوء استفاده همراه ندارد، وانمود می کند که برنامه قانونی سامسونگ است. گمان می رود که این همان جاسوس افزار Hermit باشد که چند روز پیش شناسایی شد. 

نتیجه

مجرمان سایبری که با ارائه دهندگان ISP برای هدف قرار دادن کاربران کار می کنند باید به عنوان یک موضوع حساس تلقی شوند. به کاربران گوشی‌های هوشمند پیشنهاد می‌شود هنگام دریافت پیامک، برنامه‌هایی را که برای نصب ارائه می‌دهند، هوشیار بمانند. همچنین، قبل از نصب یک برنامه، باید قانونی بودن برنامه ها را بررسی کنید.

 

مدیر امنیت هویت مایکروسافت از مشتریان درخواست کرد تا احراز هویت چند عاملی را اعمال کرده و مجوزهای حساب کاربری و فروشندگان را تشدید کنند.

به گفته مایکروسافت ، انواع تکنیک های مورد استفاده هکرهای SolarWinds پیچیده بوده اما در بسیاری از موارد معمولی و قابل پیشگیری است.

مایکروسافت برای جلوگیری از حملات بعدی با سطوح پیچیده مشابه ، به سازمان ها توصیه می کند

“ذهنیت اعتماد صفر” را اتخاذ کنند ، که این فرض را رد می کند که همه چیز در یک شبکه فناوری اطلاعات ایمن است. به این معنا که سازمان ها باید صراحتاً امنیت حساب های کاربری ، دستگاه های نقطه پایانی ، شبکه و سایر منابع را تأیید کنند.

همانطور که مدیر امنیت مایکروسافت ، الکس واینرت ، در یک پست وبلاگ خاطرنشان کرد ، سه بردار اصلی حمله ، حساب های کاربری به خطر افتاده ، حساب های فروشنده و نرم افزار فروشندگان به خطر افتاده است.

هزاران شرکت تحت تأثیر نقض SolarWinds قرار گرفتند که در اواسط دسامبر فاش شد. هکرها که با نام UNC2452/Dark Halo شناخته می شوند ، محیط ساخت نرم افزار SolarWinds ‘Orion را هدف قرار دادند و وقتی برنامه ای از کد منبع به یک فایل اجرایی دودویی که توسط مشتریان مستقر شده است ، فرآیند را دستکاری کردند.

فروشنده امنیتی آمریکایی Malwarebytes  افشا کرد که تحت تأثیر همین هکرها قرار گرفته است ، اما نه از طریق به روز رسانی های خراب Orion. هکرها در عوض با سوء استفاده از برنامه های کاربردی با دسترسی ممتاز به Office 365 و زیرساخت Azure ، Malwarebytes را نقض کردند که با این کار “دسترسی به زیرمجموعه محدود” ایمیل های داخلی Malwarebytes داده شد.

به گفته واینرت ، مهاجمان از شکاف های “تأیید صریح” در هر یک از بردارهای اصلی حمله استفاده کردند.

هم چنین اشاره کرد: “در مواردی که حساب های کاربری به خطر می افتد ، تکنیک های شناخته شده مانند اسپری رمز عبور ، فیشینگ یا بدافزار برای به خطر انداختن اعتبار کاربران مورد استفاده قرار می گیرد و به مهاجم دسترسی مهمی به شبکه مشتری می دهد.”

او استدلال می کند سیستم های هویت مبتنی بر ابر مانند Azure Active Directory (Azure AD) از سیستم های هویت داخلی امن تر هستند زیرا این سیستم ها فاقد محافظت از ابر هستند مانند حفاظت از رمز عبور

Azure AD برای از بین بردن رمزهای عبور ضعیف ، پیشرفت های اخیر در تشخیص اسپری رمز عبور ، و هوش مصنوعی پیشرفته برای جلوگیری از سازش حساب.

در مواردی که هکر موفق شد ، واینرت خاطرنشان می کند که حسابهای فروشندگان دارای امتیاز ویژه فاقد حفاظت اضافی مانند احراز هویت چند عاملی (MFA) ، محدودیت های محدوده IP ، انطباق دستگاه یا بررسی دسترسی هستند. مایکروسافت دریافته است که 99.9 درصد از حساب های آسیب دیده ای که هر ماه دنبال می کند از MFA استفاده نمی کنند.

MFA یک کنترل مهم است ، زیرا می توان از حساب های دارای امتیاز بالا برای جعل نشانه های SAML برای دسترسی به منابع ابری استفاده کرد. همانطور که NSA در هشدار خود پس از افشای هک SolarWinds خاطرنشان کرد: “اگر بازیگران سایبری مخرب نتوانند کلید امضای غیرمجاز را بدست آورند ، سعی می کنند امتیازات اداری کافی را در مستاجر ابر برای افزودن یک رابطه اعتماد اعتماد گواهی بدست آورند. برای جعل نشانه های SAML. ”

در صورت وجود مجوزهای سختگیرانه در حساب ها و دستگاه های کاربر ، این روش حمله نیز می تواند خنثی شود.

واینرت خاطرنشان می کند: “حتی در بدترین حالت جعل رمز SAML ، مجوزهای بیش از حد کاربر و از دست رفتن محدودیت های خط مشی دستگاه و شبکه به حملات اجازه پیشرفت می دهد.”

“اولین اصل Zero Trust تأیید صریح است.

با استفاده از Solorigate – نامی که مایکروسافت برای بدافزار SolarWinds استفاده می کند – مهاجمان “از تکالیف نقش گسترده ، مجوزهایی که فراتر از الزامات نقش بودند ، استفاده کردند و در برخی موارد حساب ها و برنامه هایی را که باید هیچ گونه مجوزی نداشتند رها کردند.”

واینرت اذعان کرد که هک SolarWinds “یک حمله واقعاً مهم و پیشرفته” بود ، اما تکنیک هایی که آنها استفاده می کردند می تواند به طور قابل توجهی در خطر کاهش یابد یا با این بهترین شیوه ها کاهش یابد.

مشارکت تیم قرمز مزایایی نسبت به سایر روش ها و فناوری ها در بهبود وضعیت امنیتی یک سازمان دارد.

تیم قرمز می تواند توانایی ها و نقایص دارایی های مختلف امنیتی یک سازمان را شناسایی کند و ارزیابی منحصر به فردی از آمادگی یک سازمان برای مقاومت در برابر تلاش های یک هکر مخرب ارائه می دهد.

درک این نکته مهم است که این ارزیابی به خوبی هکرهای انجام دهنده آن است و ارزیابی کنندگان به اندازه دامنه و قواعد تعامل با آنها محدود یا دارای قدرت هستند. در همه مواردی که با شرایط مناسب در نظر گرفته می شوند ، تیم قرمز در مقایسه با رفع واکنش های امنیتی ، پس از رفع آنها ، بازده هزینه بالاتری در بهبود وضعیت امنیتی ایجاد می کند.

تیم قرمز را می‌توان به عنوان یک ابزار تیز در نظر گرفت زیرا در دست های غیر آموزش دیده یا غیراخلاقی می تواند بسیار خطرناک باشد. در جایی که بسیاری از فن آوری های امنیتی حول مفهوم واکنش ساخته شده اند ، تیم قرمز به یک سازمان اجازه می دهد تا قبل از شروع مصالحه ، نه بعد از آن ، مسائل امنیتی را دنبال کند. ممکن است ادعا شود که فعالیتهایی مانند اسکن آسیب پذیری و مدیریت خوب  نیز پیشگیرانه است اما توجه به این نکته مهم است:

اگرچه این اتفاق اساس واکنش به یک رویداد امنیتی در داخل یک سازمان نیست ، اما هر دو ، واکنش به رویدادهای امنیتی در جای دیگر است که جزئیاتی را برای آسیب پذیری های جدید ارائه می دهد تا بتوان آنها را اسکن یا برطرف کرد.

 برخی دیگر تیم قرمز را یک ابزار ماهیتی فعال می دانند که هدف آن شناسایی شاخص های سازش از سوی بازیگران موجود در سازمان است که ممکن است متجاوز شناخته شده باشند یا نباشند.

منبع : کتاب Professional Red Teaming از Jacob G.Oakley

پردازنده های Intel 11th Gen Intel Core vPro با پشتیبانی از Hardware Shield و ویژگی های TDT قادر به شناسایی حملات باج افزار در سطح سخت افزاری و لایه های زیرین نرم افزار آنتی ویروس هستند.

در نمایشگاه Consumer Electronic Show 2021 ، اینتل اعلام کرد که از طریق بهبود فناوری محافظ سخت افزار و فناوری شناسایی تهدید (TDT) ، قابلیت های شناسایی باج افزار را به پردازنده های جدید یازدهمین نسل Core vPro خود اضافه می کند.

همچنین طی همکاری با Cybereason ، هر دو شرکت گفتند که این اولین موردی است که “سخت افزار کامپیوتر در شناسایی حملات باج افزار نقش مستقیم دارد”

این پردازنده چگونه کار می کند؟

همه اینها از طریق دو ویژگی اینتل یعنی Hardware Shield و Intel Threat Detection Technology (TDT) امکان پذیر است. هر دوی این فناوری ها مستقیماً روی پردازنده کار می کنند و بخشی از Intel vPro ، مجموعه ای از فناوری های سازمانی است که اینتل با برخی پردازنده های خود روانه بازار می کند.

Hardware Shield ، فناوری ای است که UEFI / BIOS و TDT را قفل می کند . این فناوری با استفاده از Telemetry CPU ،امکان شناسایی کدهای مخرب را دارد.

ایده پشت ویژگی های جدید اینتل این است که برخی از داده های خود را با نرم افزار امنیتی به اشتراک بگذارید و به آن اجازه دهید بدافزارهایی را که ممکن است در مکان هایی که برنامه های آنتی ویروس به آنها دسترسی ندارند مخفی کند ، شناسایی کند.

واحد نظارت بر عملکرد پردازنده اینتل (PMU) اینتل در زیر برنامه ها ، سیستم عامل و لایه های مجازی سازی سیستم قرار دارد و نمایش دقیق تری از تهدیدات فعال ، در کل سیستم را ارائه می دهد”. “همانطور که تهدیدها در زمان واقعی شناسایی می شوند ، Intel TDT سیگنالی با قابلیت اطمینان بالا را ارسال می کند که می تواند باعث ایجاد روند کار در Vendor’s code شود.”

طبق  صحبت های اینتل و Cybereason ، این فناوری جدید به شركتها این اجازه را می دهد كه حملات باج افزار را در صورت ورود، باج افزار با پنهان كردن در داخل ماشین های مجازی ، از شناسایی آنها جلوگیری كنند ، زیرا Hardware Shield و TDT لایه های زیادی را در زیر آن اجرا می كنند.

عملی است که می توانید امنیت سیستم های خود را با تلاش برای هک کردن آنها آزمایش کنید.

عملی است که می توانید امنیت سیستم های خود را با تلاش برای هک کردن آنها آزمایش کنید.

تیم قرمزمی تواند یک گروه آزمایش کننده تست نفوذ یا یک تیم در سازمان شما باشد ، اما در همه موارد ، نقش آنها یکسان است: تقلید از رفتار یک هکر مخرب و تلاش برای ورود به سیستم های شما.

با تصور یک سناریوی خیالی به راحتی می توان ارزش اینکار را درک کرد. یک سازمان ممکن است یک فرآیند امنیتی  بسیار پیشرفته داشته باشد و اطمینان داشته باشد که سیستم های آن توسط افراد خارجی نقض نمی شوند، درحالیکه تیم قرمز ممکن است این موضوع را درک کند و رویکرد مستقیم تری را در پیش بگیرد: جعل کارت دسترسی کارمندان و ورود به آن سازمان .

حتی در بعضی موارد ، به کمک کارمندان ، به آنها اجازه می دهند به داده های حساس دسترسی پیدا کنند ، کپی کنند و بیرون بروند.

چگونه یک سناریوی حمله برای تیم قرمز بسازیم؟

سناریوی حمله ، توالی منطقی تکنیک ها ، تاکتیک ها و رویه ها (TTPs) است که توسط دشمنان برای راه اندازی حملات سایبری و دستیابی به اهدافشان استفاده می شود.

در تستی که در آزمایشگاه های شرکت Picus انجام شد ، سناریوهای حمله را به صورت ساختاری ایجاد و آنها را برای آزمایش کارآیی کنترل های امنیتی در برابرحملات اجرا کردند. این عمل بسیار شبیه به تقلید از هکرهاست ؛ در واقع نوعی از درگیری تیم قرمز که یک تهدید شناخته شده را تقلید می کند.تیم های قرمز سناریوهای مختلفی را برای آزمایش جنبه های خاصی از TTPs های نفوذی ها در شبیه سازی عملیات آنها ایجاد می کنند. بنابراین ، توسعه سناریوهای حمله بخشی اساسی در عملیات تیم قرمز است. بسته به پیچیدگی کار، تیم های قرمز ممکن است هفته ها تصمیم بگیرند که از کدام TTPs برای تهیه سناریو استفاده کنند.

* TTPs :  Techniques, Tactics, and Procedures

بهترین تمرینات تیم قرمز برای اطمینان از امنیت شبکه شما

به نفع هر مدیر  SOC یا متخصص امنیت اطلاعات است که در تمرینات موثر تیم قرمز سرمایه گذاری کند تا درک کاملی از آسیب پذیری های شبکه داشته باشد.

اگر شما یک مدیر SOC هستید که از یک تیم قرمز یا یک تیم تست نفوذ استفاده می کنید ، حتما می دانید که مهارت داشتن آنها ضروری است. در پایان روز ، این افراد مسئول زیرساخت های شما و یافتن روزنه هایی هستند که همه سیستم های دیگر نمی توانند از آن استفاده کنند.

تمرینات تیم قرمز نه تنها آسیب پذیری شبکه را تشخیص می دهد ، بلکه موارد تاثیرگذار بر نواقص شبکه امنیت در سازمان شما ، از جمله مناطقی که بیشترین تخلف را ایجاد می کند نیز ارائه می دهد.

تمرینات تیم قرمز چگونه کار می کند؟

تمرینات موفقیت آمیز تیم قرمز تصویر روشنی از اینکه از کجا و چگونه یک هکر می تواند شبکه شما را خراب کند و چه میزان خسارت به کسب و کار شما وارد می کند را می دهد. در اکثر موارد ، یک متخصص تیم قرمز استخدام می شود که از توانایی و تخصص کافی در زمینه آسیب پذیری های امنیتی برخوردار است .

در این تمرین ها از تکنیک های مختلفی از جمله فیشینگ و مهندسی اجتماعی استفاده می شود که مستقیماً به کارمندان شما یا نام کاربری و رمزهای عبور آنها اختصاص دارد و یا با تحقیق روی کاربران خاص و رایانه شخصی آنها با استفاده از مرورگر اینترنت یا نصب بدافزار در سایت و هدف قرار دادن آنها  می توان به این اطلاعات دست پیدا کرد.

امنیت لینوکس از ویندوز بیشتر است. همه ما این را می دانیم. اما این بدان معنا نیست که امنیت کاملی دارد.

این برنامه ، سرورهای لینوکس را برای کتابخانه های از رده خارج ، روی دیسک و حافظه اسکن می کند. برخلاف سایر ابزارهای دیگر ، همچنین می تواند با گزارش در مورد کتابخانه های آسیب پذیر در حافظه که ممکن است توسط اسکنرهای دیگر از دست بروند ، نکات منفی کاذب را پیدا کند.

UChecker که مخفف عبارت “userspace checker” است ، نه فقط با خانواده RHEL بلکه با تمام توزیع های مدرن لینوکس تحت مجوز عمومی  GNU کار می کند. این اطلاعات عملیاتی دقیق در مورد اینکه کدام برنامه از کدام کتابخانه آسیب پذیر استفاده می کند را ارائه می دهد. این برنامه همچنین شناسه مربوط به فرآیند و نام فرآیند را به شما ارائه می دهد. با استفاده از این اطلاعات می توانید ببینید که کدام کتابخانه ها باید به روز شوند.

این برنامه را می توان با ابزارهایی مانند Nagios یا سایر ابزارهای نظارت ، ورود به سیستم و مدیریت ادغام کرد تا از سیستم امنیتی بهتری برای سرورهای شما برخوردار شود.

پس از اجرای UChecker از پوسته ، دو گزینه برای به روزرسانی کتابخانه های خود دارید. اول ، روش قدیمی وجود دارد. در این صورت ، شما کتابخانه های خود را با سیستم بسته بندی خود به روز می کنید و سرورها را دوباره راه اندازی می کنید. یا فقط می توانید تمام پردازش ها را مجدداً راه اندازی کنید زیرا حتی با UCherker نمی توانید مطمئن باشید که در کدام پروسه ها هنوز هم می توان از کتابخانه های قدیمی استفاده کرد.

یا می توانید از قابلیت Live patching سرویس TuxCare LibraryCare برای اعمال وصله های امنیتی در کتابخانه های OpenSSL و Glibc بدون نیاز به راه اندازی مجدد سرور استفاده کنید. خدمات TuxCare ، چترامنیتی و پشتیبانی CloudLinux هستند. این شامل Live patching برای کامپوننت های مهم  Linux از هسته تا کتابخانه های مشترک گسترده است. در هنگام راه اندازی مجدد سرورها یا سرویس ها برای نصب جدیدترین وصله های امنیتی ، دیگر نیازی به ایجاد اختلال در سرویس بطور طولانی مدت و پرهزینه نیست و نیازی به پنجره تعمیر و نگهداری disruptive ندارد.

CloudLinux همچنین قول داده است که خدمات پشتیبانی Linux TuxCare وصله ها و به روزرسانی های منظمی را برای تمام اجزای سیستم های لینوکس سازمانی و همچنین پشتیبانی از حوادث 24 ساعته و 7 ساعته فراهم کند ، حتی اگر سیستم ها ازEOL گذشته باشند. بنابراین ، اگر انواع توزیع های لینوکس را اجرا می کنید و برخی از آنها قدیمی هستند ، این سرویس ارزش بررسی را دارد.

 جیم جکسون ، رئیس CloudLinux ، اشاره کرد: «برخی از وصله ها به پیکربندی مجدد و راه اندازی مجدد سرورها نیاز دارند که به مدت بسیار طولانی به صورت آفلاین ، دشوار است. زمان بسیار حیاتی است ، زیرا هکرها به دنبال سوء استفاده از آسیب پذیری ها هستند .»

هم چنین گفت:

 «هر چیزی که به شما کمک کند کتابخانه های بالقوه ناامن را در سریع ترین زمان ممکن شناسایی و وصله کنید ، همیشه چیز خوبی است.»