نوشته‌ها

چشم انداز تهدیدات سایبری در حال تغییر است.

ما اکنون با نوع جدیدی از تهدید روبرو هستیم که از رابط های برنامه نویسی برنامه (API) به عنوان عامل حمله اولیه استفاده می کند. این حملات پیچیده و مخرب هستند و در حال حاضر در صنایع مختلف گسترش یافته اند.

طبق  گزارشی  از گارتنر، امسال سالی است که API ها به عامل حمله پیشرو برای برنامه های کاربردی وب سازمانی تبدیل خواهند شد. از آنجایی که کسب‌وکارها به انتقال بیشتر عملیات خود به فضای ابری ادامه می‌دهند و داده‌های بیشتری به API منتقل می‌شوند، شاهد افزایش زیادی در حملات مبتنی بر API هستیم.

سازمان‌ها از API ها برای ساخت برنامه‌های کاربردی پیچیده استفاده می‌کنند که به‌عنوان پایه‌ای برای مدل‌های کسب‌وکارشان عمل می‌کنند، زیرا آنها روشی مؤثر برای استفاده از داده‌ها و عملکرد ارائه‌شده توسط برنامه‌ها و خدمات دیجیتال سازمان ارائه می‌دهند.

آنها به دلیل توانایی آنها در ارائه اتصال بین سیستم های متفاوت محبوب تر می شوند. به عنوان مثال، یک API برای یک بانک می تواند به شما امکان دسترسی به اطلاعات حساب خود را از یک برنامه تلفن همراه یا وب سایت بدهد. علاوه بر این، شرکت ها ممکن است از API ها برای فرآیندهای داخلی، مانند مدیریت صورتحساب یا موجودی استفاده کنند.

این فقط در مورد آسان کردن یا سریعتر کردن کار نیست. این در مورد ایجاد فرصت های جدید برای نوآوری و رشد از طریق یکپارچه سازی با دیگر پلتفرم ها یا خدمات خارج از کنترل سازمان است. اما، از آنجایی که شرکت‌ها API را برای خدمت به عنوان هسته مدل‌های کسب‌وکار خود اتخاذ می‌کنند، اغلب جنبه‌ای حیاتی از امنیت API را نادیده می‌گیرند.

مشکل API ها این است که توسط بسیاری از برنامه ها و افراد استفاده می شود.  API ها را می توان به طرق مختلف مورد استفاده قرار داد و آنها را به هدف اصلی هکرها تبدیل می کند.

روند حملات مبتنی بر API در سال های اخیر رشد قابل توجهی داشته است.

گزارش ها  حاکی از آن است که 95 درصد از شرکت ها در 12 ماه گذشته یک حادثه امنیتی API داشته و مطالعه دیگری  نشان می‌دهد که آسیب‌پذیری‌های API سالانه ۷۵ میلیارد دلار برای کسب‌وکارها هزینه دارد.

تهدیدهای رایج برای امنیت API عبارتند از:

بدافزار و حملات DDoS : حملات  انکار سرویس توزیع شده (DDoS) شامل ارسال حجم زیادی از ترافیک به وب سایت مورد نظر برای غلبه بر آن است که باعث از کار افتادن یا غیرقابل استفاده شدن آن می شود. حملات DDoS را می‌توان توسط بات‌نت‌ها انجام داد . گروه‌هایی از دستگاه‌های IoT که توسط بدافزار در معرض خطر قرار گرفته‌اند و به ربات‌هایی تبدیل شده‌اند که درخواست‌ها را به عقب و جلو ارسال می‌کنند. سایر حملات بدافزار شامل تزریق SQL است.

مدیریت نامناسب دارایی‌ها:   نسخه‌های قدیمی‌تر API آنها را در برابر حملات و نقض داده‌ها باز می‌کند. این شبیه به اسناد نامناسب است که داده‌های حساس را در معرض تهدیدات ناشناس قرار می‌دهد و یافتن آسیب‌پذیری‌هایی را که باید اصلاح شوند چالش برانگیز می‌کند. مهاجمان ممکن است نسخه‌های غیر تولیدی API مانند نسخه‌های مرحله‌ای، آزمایشی یا بتا را بیابند و از آنها در حمله استفاده کنند.

پیکربندی نادرست API  ها : هنگامی که یک برنامه وب به گونه ای پیکربندی می شود که داده ها و عملکردهایی را که می تواند در یک حمله مورد استفاده قرار گیرد در معرض دید قرار می دهد، گفته می شود که دارای پیکربندی اشتباه امنیتی است. مهاجمان ممکن است از سرورهای API با تنظیم نادرست، از جمله سیستم‌های وصله‌نشده یا فایل‌ها و پوشه‌های محافظت‌نشده سوء استفاده کنند. این شامل هدرهای HTTP نادرست، تنظیمات پیش‌فرض ناامن، پیام‌های خطای پرمخاطب و غیره است.

هر سازمانی باید تمام اقدامات ممکن را برای ایمن سازی API های خود در هر سطح انجام دهد، از جمله محافظت از آنها در برابر تهدیدهای خارجی و سوء استفاده داخلی. در غیر این صورت، آنها خود را در معرض نقض احتمالی مانند مواردی که  Uber  و  Equifax  تجربه کردند، در معرض خطر قرار می‌گیرند.

سازمان‌ها باید از راه‌حل‌های امنیتی API برای تشخیص زمانی که یک کاربر احراز هویت شده و تلاش می‌کند تا دسترسی غیرمجاز به داده‌های کاربر دیگر را برای جلوگیری از حملات BOLA به دست آورد، استفاده کنند. این اتفاق نیاز به بررسی دقیق همه گزینه‌های احراز هویت API را نشان می‌دهد. هر جریان API باید فرآیند احراز هویت استاندارد خود را با استفاده از راه حل امنیتی API ارزیابی کند.

آمارهای جهانی به یک روند واضح اشاره می کنند: هرچه به سمت آینده حرکت می کنیم عامل های حمله ابری API بیشتر و بیشتر رایج می شوند. برای محافظت واقعی از برنامه ها و کاربران خود در برابر عوامل مخرب، مشاغل امروزی باید API ها را در برابر تهدیدات در هر سطح از سازمان خود تقویت کنند.

 

5 کاری که اکنون باید انجام دهید

در این مقاله مت برومیلی ، مشاور ارشد Mandiant Managed Defense ، در مورد نکات برتر برای محافظت از محیط های سازمانی در برابر باج افزار صحبت می کند.

اگر در حال حاضر تهدیدات سایبری در ذهن همه وجود دارد ، اولین آنها باید باج افزار باشد. باج افزار که یک تهدید “آزار دهنده” است ، به یک صنعت لایه ای و چند میلیارد دلاری برای مهاجمان تبدیل شده است. هرروز ما می بینیم که مهاجمان، اطلاعات زمینه ای در مورد اهداف خود را تهیه می کنند ، داده های شناسایی را جمع آوری می کنند و حمله ای را انجام می دهند که به سرعت سازمان را به زانو در می آورد.

در Mandiant ، ما همچنان شاهد موج حوادث باج افزار هستیم که سازمان های مختلف ، شکل ها و اندازه ها را هدف قرار داده است. به نظر می رسد مهاجمان، تمایز کمی نسبت به قربانیان خود دارند  و سازمان هایی را از آژانس های بیمه تا شبکه های آموزش عالی هدف قرار داده اند. دیدن مقادیر پرداخت باج افزار (یا اخاذی) به میلیون ها یا ده ها میلیون دلار معمول است. تهدید گسترده و مبالغ گزافی که تعداد کمی توان پرداخت آن را دارند. چرا ما همچنان شاهد حملات موفقیت آمیز هستیم؟

وزارت دادگستری ایالات متحده دستورالعمل داخلی صادر کرده است که باید با حملات باج افزار با اولویت حملات تروریستی برخورد شود .سازمان ها همچنان باید هوشیاری خود را حفظ کنند تا از امنیت خود محافظت کرده و میزان موفقیت مهاجمان را محدود کنند.

نکته شماره 1: برنامه ریزی کنید

بگذارید آسان شروع کنیم: برنامه ای داشته باشید. حتی اگر تیم امنیتی ندارید از آن استفاده کنید تا برنامه ای در دست اجرا داشته باشد. با این مثال ساده شروع کنید: اگر همین الان مورد حمله قرار بگیرید ، چگونه پاسخ می دهید؟

شروع به پر کردن هر خلائی که می شناسید کنید ، یا اینکه چگونه داده ها را به عملکردهای عادی خود بازگردانید. وقتی برنامه ریزی می کنید ، از دست دادن داده را فرض کنید و ببینید آیا این امر بر نحوه پاسخ شما تأثیر می گذارد.

نکته شماره 2: با هم کار کنیم

باج افزار دیگر فقط یک “مشکل امنیتی” نیست. حمله باج افزار بر کاربران ، مسایل حقوقی ، منابع انسانی ، امور مالی و بسیاری دیگر از جمله تیم امنیتی تأثیر می گذارد. با تیم ها تماس بگیرید و روابط مشترک برقرار کنید.

سرپرستان سیستم و سرور در حسابرسی محیط Active Directory شما بسیار مهم هستند.

مهندسین شبکه مسئول بهنگام بودن و جریان ترافیک هستند. آنها درک می کنند که داده ها در چه محیطی می توانند یا نمی توانند بروند.

با تیم حقوقی کار کنید تا موقعیت سازمان خود را در مورد باج افزار و شرایط احتمالی بهتر درک کنید. تیم حقوقی نیز باید بخشی از برنامه پاسخگویی به حوادث شما باشد.

نکته شماره 3: حسابرسی و محدود کردن حسابهای دارای امتیاز در Active Directory

یکی از اولین اهداف برای مهاجمین در یک محیط، قربانی یافتن و به دست آوردن اعتبار بالا است. این مدارک معمولاً برای دستیابی به اهدافشان ضروری است . آنها برای یافتن سیستمهای اضافی ، حرکت جانبی در محیط اطراف ، اجرای برخی از دستورات ، ایجاد پایداری و غیره به امتیازاتی نیاز دارند. آنها اغلب محیطهایی را با حسابهای بسیار ممتاز کشف می کنند.

ابزارهای زیادی در دسترس مهاجمان است که Active Directory را بررسی می کنند ، حتی برخی از آنها “کوتاهترین” مسیر برای دستیابی به حساب کاربری نهایی دامنه را پیدا می کنند. خوشبختانه برای مدافعان ، این ابزارها به هر دو روش کار می کنند: می توانند از آنها برای انجام “شناسایی” خود استفاده کنند و از این خروجی برای محدود کردن حساب های دارای امتیازات زیاد استفاده کنند.

نکته شماره 4: از محافظت های داخلی برای حساب های بسیار محرمانه استفاده کنید

در قسمت نکته شماره 3 ، هنگامی که حسابهای کاملاً ممتاز خود را فقط به موارد ضروری ممیزی و محدود کردید ، قدم بعدی استفاده از حفاظت داخلی است که می تواند راههای مختلف سرقت اعتبارنامه را کاهش دهد. به عنوان مثال سیستم عامل های جدید ویندوز دارای محافظاتی مانند Credential Guard و Remote Credential Guard برای ویندوز 10 و Windows Sever 2016+ هستند. از آنها استفاده کنید. برای نقاط انتهایی قدیمی ، از حالت مدیر محدود استفاده کنید.حسابهای غیر سرویس و ممتاز را در گروه امنیتی کاربران محافظت شده قرار دهید .از آنها در اطراف دامنه محافظت می شود. روش هایی را که اطلاعات متنی واضح را در حافظه ذخیره می کنند غیرفعال کنید. اگر عوامل شناسایی و پاسخ در نقطه پایانی (EDR) در محل خود دارید ، ببینید آیا آنها از حسابهای کاربری کاربر محافظت می کنند یا خیر.

اکثر تکنیک های مهاجمین برای سرقت مدارک شناخته شده هستند و متأسفانه بسیاری از سازمان ها از راه حل های موجود استفاده نمی کنند.

نکته شماره 5: پیاده سازی و شبیه سازی

پس از ایجاد محافظت از حساب ، از ابزار open-source برای آزمایش محیط خود استفاده کنید. آزمایش های مکرر نه تنها بینش بیشتری نسبت به محیط شما ایجاد می کند ، بلکه به شما نشان می دهد که در کجاها شکاف های تشخیصی و پوششی دارید.ما نمی توانیم به سادگی ابزارها را به برق متصل کنیم و انتظار داشته باشیم که با “فشار یک دکمه” از ما دفاع کنند. امنیت اطلاعات مناسب مستلزم آگاهی از محیط و آزمایش و تنظیم مکرر آن است.

تصمیم شما برای اقدام زودهنگام به معنای واقعی کلمه می تواند میلیون ها دلار ارزش داشته باشد.