بررسی تهدیدات امنیتی سازمان‌ها و نحوه مقابله با آنها

با توجه به آنکه حملات سایبری رو به گسترش می باشد، بزرگترین نگرانی مدیران ارشد بخش امنیتی (CISO) مقابله با حملاتی می‌باشد که آن‌ها هیچ کنترلی روی آن ندارند و این امر یک هشدار برایشان محسوب می‌گردد.

در این مستند به نکاتی می پردازیم که خوانندگان را تا حدودی با نقاط ضعف امنیتی شرکت‌ها و نحوه رفع و مقابله با آن آشنا نماید. در زیر به ارائه چهار خبر می‌پردازیم که بصورت شایعه بین شرکت‌ها و متناسب با آن بین کارشناسان امنیتی منتشر شده است اما ممکن است در هر لحظه در هر سازمانی نیز اتفاق بیافتد و بررسی و آمادگی جهت مقابله با آنها خالی از لطف نیست چراکه این اخبار براساس مهم‌ترین کابوس‌های امنیتی CISOها نوشته شده‌اند.

1- تعلیق کامل کسب‌وکار شرکت مربوطه، با آلودگی تمام سیستم‌های سازمان به باج‌افزار

علی‌رغم اینکه این سرتیتر دیگر «قدیمی» شده است، این سناریو همچنان همه‌روزه رخ می‌دهد. برای رخداد این سناریو فقط به یک آسیب‌پذیری Zero-Day تازه نیاز است و تعدادی کاربر بدشانس که بر روی فایل ضمیمه‌ی یک ایمیل کلیک کنند. در صورتی که قربانی این نقض امنیتی باشید، آیا قادر خواهید بود که:

– به یک برنامه‌ی مدیریت بحران رجوع کنید تا ماشین‌های خود را بازیابی نمایید؟

– الگوهای آسیب‌پذیری/بدافزار را شناسایی کنید؟

– اولین سیستم آلوده را پیدا کنید؟

– اطمینان حاصل کنید که آلودگی دوباره درحال گسترش نیست؟

2- بالا گرفتن اعتراضات درخصوص عدم پرداخت دستمزد برابر با فاش شدن اطلاعات منابع انسانی و لیست پرداخت‌های سازمان

با توجه به فرهنگ شرکت مربوطه، این سناریو «فقط» یک نقض امنیتی داده‌های شخصی نیست، بلکه درصورت فاش شدن لیست پرداختی تمام کارمندان، می‌تواند عامل احتمالی بروز تنش‌های داخلی باشد. درصورت مواجه ‌شدن با این سناریو، آیا قادر خواهید بود:

– نحوه‌ی دسترسی مهاجم به اطلاعات را پیدا کنید؟

– متوجه شوید که از حساب چه کاربرانی و چه دسترسی‌های سطح بالایی استفاده شده است؟

– درصورتی که Exfiltration داده‌ها همچنان در جریان است، دسترسی کاربران آلوده را ببندید؟

3- هاستینگ شرکت بدون آگاهی به ‌مدت دو سال برای حملات بزرگ Botnet به وب‌سایت‌های شغلی استفاده می‌شده

شاید تصور کنید این سناریو غیرمحتمل است چرا که Command and Control Serverها اغلب بر روی سروهای Net-New ناشناس و یا وب‌سایت‌هایی که آسیب‌پذیری دارند، مستقر می‌شوند. اما هر صفحه‌ی ثبت اطلاعاتی که در اختیار شرکت شما باشد و کاربر بتواند از طریق آن ثبت‌نام نموده و اطلاعات آپلود یا دانلود کند (مانند آپلود یک رزومه بر روی صفحه‌ی شغلی وب‌سایت شما)، ممکن است به‌عنوان یک Command and Control Server مورد سوء استفاده قرار بگیرد.  Botها حتی از صفحات شبکه‌های مجازی نیز به همین روش استفاده کرده‌اند. در این وضعیت آیا قادر خواهید بود که:

– به‌دنبال کاربرانی بگردید که به‌تازگی ثبت‌نام کرده‌اند؟

– انحراف معیار از میزان معمول یا تعداد Login هر کاربر یا حجم هر IP مبدأ خاصِ کاربران مختلف را زیر نظر بگیرید؟

4- افزایش بسیار زیاد هزینه‌های تأمین انرژی و AWS به‌دلیل وجود بدافزار کشف‌نشده در سازمان

برای خلافکاران سایبری، در جهت کسب درآمد از هاست‌های آلوده‌ای که تحت کنترل دارند و یا محیط‌های Cloud که به آن‌ها دسترسی پیدا کرده‌اند، Crypto-Jacking راه جذابی می‌باشد. اگر سوء استفاده از توان پردازشی در جهت Crypto-Mining به روشی استراتژیک صورت پذیرد، ممکن است تا مدت‌ها بدون آگاهی کاربر مربوطه ادامه یابد و اغلب زمانی فاش گردد که خیلی دیر شده است.  آیا خواهید توانست با قراردهی یک لنز امنیتی بر روی معیارهای سنجش قدیمی IT-Operationهایی همچون CPU Utilization، یک بررسی انجام دهید؟

یادتان باشد، CISOها از این گونه سوالات نمی‌ترسند، بلکه نگران آن هستند که نتوانند با شرایط ذکر شده در بالا مقابله کنند و این کار را نحواحسن به انجام رسانند. پس اگر یک سناریو مشابه بوجود آید، آیا خواهید توانست به شش سؤال زیر در خصوص مواجه‌شدن با یک نقض امنیتی پاسخ دهید؟

• چه اتفاقی افتاده است؟
• چه کسانی درگیر شده‌اند؟
• این اتفاق چه زمانی به وقوع پیوسته است؟
• این اتفاق در کجا دیده شد؟
• این نقص امنیتی چگونه رخ داد؟
• چگونه می‌توانم آن را کنترل نمایم؟

اغلب پاسخ‌ها در داده‌های ماشینی شما پنهان خواهد بود و داشتن کنترل کامل بر روی تمام داده‌های ماشینی (نه فقط داده‌های ابزار امنیتی) می‌تواند به تیم شما این امکان را بدهد که از آمادگی کامل برخوردار باشند و با شروع متمرکزسازی داده‌های ماشینی اولین قدم‌ها را در جهت مقابله با ترس‌های CISOهای خود بردارید.