رویکرد های مقابله با تهدید های امنیتی جدید و قدیمی

چگونگی رویکرد پیشگیرانه مدیران برای امنیت سایبری

مطابق جدیدترین گزارش آماری Cymulate ، مدیران سازمانها دیگر برای ارزیابی آسیب پذیری ها و مدیریت آنها ، به خرید یک تکنولوژی امنیتی اکتفا نمی کنند. اکنون رهبران امنیتی به جای اینکه منتظر حمله سایبری بزرگ بعدی باشند و امیدوار باشند که دفاع مناسب را در اختیار دارند، بیش از هر زمان دیگر رویکردی پیشگیرانه (proactive approach) برای امنیت سایبری دارند. بدین گونه که اقداماتی برای شناسایی و رفع شکاف‌های امنیتی قبل از سوء استفاده از طرف مهاجمان انجام می دهند.

در ادامه نکاتی در ارتباط خطرات ناشی از آسیب‌پذیری‌ها، پیکربندی‌های نادرست و سایر نقاط ضعف و کنترل‌های امنیتی طراحی‌شده برای کاهش تهدیدها آورده شده است.

نمونه کامل از مواجهه‌ها، تهدیدها و کنترل‌ها، آسیب‌پذیری بدنام Log4Shell (CVE: 2021-44228) می باشد . این آسیب پذیری از اواخر سال 2021  اغلب مورد هدف قرار می‌گیرد. بازیگران تهدید مانند Lazarus، MuddyWater و گروه‌های مرتبط با کره شمالی ، این آسیب‌پذیری را در کمپین‌های ۲۰۲۳ خود مورد هدف قرار دادند.

آسیب‌پذیری Log4Shell ، با شناسه CVE-2021-44228 ،یک آسیب‌پذیری حیاتی است که اجرای کد از راه دور (RCE) را در سیستم‌هایی که از Log4j شرکت آپاچی (Apache Software Foundation) استفاده می‌کنند، امکان‌پذیر می‌نماید.

به طور متوسط، 75٪ از فایروال های برنامه های وب توانایی خود را در مسدود کردن اکسپلویت های آسیب پذیری Log4Shell نشان دادند، در حالی که امنیت نقطه پایانی و حفاظت از دروازه وب کارایی امنیتی را از 62٪ تا 89٪ برای محافظت در برابر فعالیت های تهدید پس از سوء استفاده در این کمپین ها نشان دادند.

این گزارش خانواده بدافزار Pikabot را به عنوان رایج ترین تهدید ارزیابی شده در میان مشتریان Cymulate شناسایی کرده است. Pikabot در سال 2023 به عنوان یک اکسپلویت مخرب در پشتی مرتبط با توزیع باج افزار، استخراج رمزنگاری، سرقت اطلاعات و کنترل از راه دور ظاهر شد. در اعتبارسنجی تهدید، تحقیقات نشان می‌دهد که به‌طور میانگین، کنترل‌های امنیتی تنها 47 درصد مؤثر بوده است، که به این معناست که 53 درصد از ارزیابی‌های Pikabot قادر به نفوذ به دفاع بوده‌اند.

به عنوان یک تروجان بدافزار، Pikabot یک ماژولار است که از دو جزء اصلی تشکیل شده است: یک لودر و یک ماژول هسته. ماژول اصلی اکثر عملکردهای بدافزار را اجرا می کند، در حالی که بارگذار در انجام این فعالیت های مخرب کمک می کند.

در میان یافته‌های کلیدی دیگر، خطر مواجهه ایجاد شده توسط 63 درصد از سازمان‌هایی بود که حداقل یک نمونه از خدمات مدیریتی در معرض عموم را گزارش می‌کردند. یک ضعف امنیتی که با آسیب‌پذیری‌ها مرتبط نیست، این سرویس‌های مدیریتی که به صورت عمومی در معرض دید عموم قرار می‌گیرند، سطح حمله را با ایجاد نقاط دسترسی اولیه برای عوامل مخرب، تا حد زیادی گسترش می‌دهند. 47 درصد از سازمان ها حداقل یک نمونه از سرویس های ایمیل و 10 درصد از خدمات پایگاه داده در معرض دسترسی عموم دارند.

سازمان ها باید بیشتر بر استراتژی های امنیت سایبری تهاجمی تمرکز کنند یا تدافعی

زمانی که سازمان‌ها ازکنترل های موثر جهت پیشگیری از دست دادن داده‌ها (DLP) استفاده نکنند ، با خطر فزاینده‌ای برای استخراج غیر مجاز داده‌ها مواجه هستند.

استخراج غیرمجاز داده Data Exfiltration زمانی اتفاق می‌افتد که بدافزار و یا یک عامل مخرب انتقال غیرمجاز داده را از رایانه انجام دهد. معمولاً به آن اکستروژن داده یا صادرات داده نیز می‌گویند. استخراج غیرمجاز داده‌ها نیز نوعی سرقت داده در نظر گرفته می‌شود.

این تحقیق کاهش 5 درصدی در اثربخشی کنترل بر اساس میانگین امتیاز کنترل ها و بردارها را نشان داد. در حالی که کاهش اثربخشی نگران کننده است، اما همچنین بر اهمیت شیوه های اعتبار سنجی امنیتی تأکید می کند، که می تواند به سازمان ها اجازه دهد تا گپ ها را شناسایی و سپس تاکتیک های کاهش یا کنترل های جبرانی را اجرا کنند.

با ظهور تاکتیک‌های جدید حمله و استفاده دشمنان از آسیب‌پذیری‌های موجود، کسب‌وکارها نمی توانند به صورت واکنشی دفاع کنند. بلکه آنها باید به طور فعال اثربخشی راه حل های امنیتی خود را بسنجند، شکاف ها را شناسایی کنند و اقدامات لازم را برای محدود کردن خطر و کاهش مواجهه با آن را انجام دهند.

یکی از مهمترین موضوعات این گزارش، اکسپلویت های مستمر از آسیب‌پذیری‌های قدیمی‌تر و شناخته‌شده به جای تکنیک‌های جدید یا نوآورانه بود. پیکربندی‌های نادرست که منجر به رمزگذاری ضعیف و افزایش حساسیت به حمله می‌شوند، همچنان رایج هستند .به‌ویژه در برنامه‌های وب قدیمی‌تر که به دلیل استفاده ازکدهای قدیمی ، امکان به‌روزرسانی ندارند.

30 درصد از اسکن‌ها مجموعه‌ رمزهای آسیب‌پذیر را برای HTTPS شناسایی کردند، که همچنان یک ناحیه فعالانه از یک نقص قدیمی‌تر است. این یافته‌ها یادآور این نکته مهم اندکه سازمان‌های امروزی باید علاوه بر آماده‌سازی برای تهدیدات جدید و نوظهور، از داشتن مبانی امنیتی قوی اطمینان حاصل کنند.

مدیریت قرار گرفتن در معرض (Exposure management) باید باعث بهبودهای ملموس در انعطاف‌پذیری سایبری شود ، نه اینکه فقط فهرست‌ها و موجودی‌ها را برای مستندسازی آماده کند.