بسمه تعالی

خبرنامه وکیل سایبری

آخرین اخبار روز حقوق سایبری و جرایم سایبری جهان را با وکیل سایبری دنبال کنید.

این خبرنامه زیرنظر مستقیم علیرضا طباطبایی وکیل متخصص حوزه جرایم سایبری آماده می شود.

23 تیر 1402

خبر اول:

روندهای امنیتی که رهبران فناوری اطلاعات باید از آنها آگاه باشند ..

استراتژی‌های امنیتی باید با دنیایی سازگار شوند که در آن مهاجمان سایبری زیرک به طور فزاینده‌ای کارکنان از راه دور را مورد هدف قرار می‌دهند.

تهدیدهای امنیتی پیچیده‌تر می‌شوند زیرا مجرمان سایبری همچنان آسیب‌پذیری‌هایی را در محیط کار ترکیبی (هیبرید) و استفاده از ابزارهای مولد هوش مصنوعی آشکار می‌کنند. به همین دلیل ضروری است که سازمان‌ها بدانند که مهاجمان سایبری چگونه فکر می‌کنند و از چه تکنیک‌هایی برای غلبه بر فناوری امنیت سازمانی استفاده می‌کنند.

مجرمان سایبری از عوامل موثر بر بازار پیروی می‌کنند که تصمیمات تجاری شرکت‌ها را شکل می‌دهند. جنایتکاران سایبری وقتی صحبت از افزودن فناوری های نوظهور مانند هوش مصنوعی به مجموعه امکانات حملات شان می شود، بسیار مشتاق رفتار می کنند.

در همین حال، اکوسیستم باج افزار هم در حال تغییر می باشد. مهاجمان، عملیات‌های باج‌افزار به‌عنوان سرویس (RaaS) کوچک‌تری را تشکیل می‌دهند، زیرا هدف آن‌ها این است که فرایند شناسایی دشوار باشد و سطح پنهان کاری شان افزایش یابد.

این روند برای رهبران امنیتی دردسرهای بیشتری ایجاد می کند زیرا این گروه‌های کوچک‌تر تاکتیک‌های متنوع تری را بکار می‌ گیرند و مذاکرات باج‌گیری را چالش‌برانگیزتر می‌کنند.

از آنجایی که دشمنان انواع تهدیدات جدید را با مدل‌های حمله موجود ترکیب می‌کنند، تدارکات امنیتی مبتنی بر محیط‌های سنتی دچار عدم توانایی در مقابله می شوند.

تیم‌های عملیات و امنیت فناوریی اطلاعات (SecOps) باید استراتژی‌های امنیت سایبری خود را مورد بررسی قرار داده، تجدیدنظر و تقویت کنند و گزینه‌های مقابله‌ای که در اختیارشان قرار دارد را بهبود ببخشند. کسب بینش در مورد روندهای آینده امنیت سایبری جهت آماده‌سازی بهتر در مقابل چالش‌های سال ۲۰۲۳ کمک خواهد کرد.

مهم‌ترین بخش این چالش‌ها، عادی‌سازی کار از راه دور برای بسیاری از کارکنانی ست که قبلاً در دفتر کار می‌کردند. در حال حاضر کارفرمایان باید اصول ساختار و امنیت فناوری اطلاعات آنها را بازنگری کنند.

روند حرکت به سمت کار از راه دور همچنان ادامه دارد. کار ترکیبی در حال حاضر تا حد زیادی نوعی هنجار جدید محسوب می شود. کسب و کارها باید یک مدل شبکه غیرمتمرکز را مدیریت کنند که در آن حداقل 35 درصد از نیروهای کار می توانند در هر زمان از راه دور کار کنند.

بعلاوه، مشکلی که به تدریج برای CISOها و سایر تصمیم‌گیرندگان IT نگرانی محسوب می شود، استفاده مخرب از ابزارهای مولد جدید هوش مصنوعی می باشد.

روش‌های زیادی وجود دارد که می‌توان از هوش مصنوعی استفاده کرد. به عنوان مثال، برای نوشتن بدافزار یا افزودن اعتبار (باورپذیر بودن) به حملات فیشینگ، یا حتی کمک به مجرمان سایبری مبتدی برای کسب مهارت فنی استفاده می شود.

بار فزاینده حفاظت از سازمان ها در برابر حملات سایبری، متخصصان امنیتی را تحت فشار شدید و بی وقفه قرار می دهد. این فشار و استرس کسب‌وکارها را در برابر حملات آسیب‌پذیرتر می‌کند به همین دلیل مراکز عملیات امنیتی (SOC) به پشتیبانی بیشتری نیاز دارند.

سرویس‌هایی مانند شناسایی و پاسخ مدیریت شده (MDR) با استفاده از خودکارسازی و هوش تهدید، شرکت‌ها را قادر می‌سازد تا تیم‌های داخلی خود را تقویت کنند و پایگاه امنیتی خود را گسترش دهند.

استفاده از خدمات MDR از یک تامین‌کننده واحد در مدل‌های امنیت سایبری می‌تواند به رهبران IT کمک کند تا بهره‌وری و سهولت بیشتری را در ارائه خدمات امنیتی داشته باشند.

در حال حاضر شاهد این مسئله هستیم که سازمان‌ها اعتماد بیشتری به انتخاب یک استراتژی تک‌فروشندگی (استفاده از یک تامین کننده اصلی برای تامین نیازهای امنیتی خود) پیدا می‌کنند. به عبارت دیگر، آن‌ها به این باور رسیده‌اند که استفاده از یک تامین کننده واحد برای راهکارهای امنیتی، عملکرد و کارایی بهتری را به همراه خواهد داشت.

مدیریت سایبری باید جامع و متمرکز باشد. مدل‌های کسب‌وکار باید با مدل‌های امنیت فناوری اطلاعات همراه شوند. انعطاف‌پذیری و بازیابی باید به اندازه تشخیص و کاهش تهدید مهم باشد. بدین ترتیب، همه کارکنان، چه در محل کار یا از راه دور، می‌توانند احساس کنند که بخشی از تیم امنیتی فناوری اطلاعات سازمانی هستند.

با تحول و تبدیل شدن شرکت ها به سیستم‌های دیجیتالی، سطوح حمله جدید ایجاد می‌شود، بنابراین ضروری ست که دفاع‌های سایبری هم به اندازه‌ ی کافی بزرگ شوند و مقیاس‌پذیری داشته باشند. برای رسیدن به این هدف، تیم‌های IT با استفاده از تکنیک‌های مورد تأییدی مانند فارنزیک دیجیتال (Digital Forensics)، بهره‌وری تاکتیکی بیشتری را کسب می‌کنند. همچنین، با استفاده از حمایت و راهنمایی از سوی سرویس‌های ارائه دهنده خدمات سایبری، تیم‌های IT قدرت و استعداد تاکتیکی بیشتری را به دست می‌آورند.

منبع خبر : csoonline

خبر دوم:

هشت گام موثر پس از انتشار خبر حمله سایبری تحت حمایت دولت

مایکروسافت اعلام کرد که یک حمله توسط عامل تهدید مستقر در چین که هدف آن ایمیل‌های مشتریان مبتنی بر ابر در محصول Microsoft 365 بوده را مهار کرده است. این حمله حدود 25 سازمان را تحت تأثیر قرار داده است. مایکروسافت این حملات را به گروه تهدیدی بنام Storm-0558 نسبت داده که یک گروه سایبری جاسوسی می باشد و بر جمع‌آوری اطلاعات حساس با نفوذ به سیستم‌های ایمیل با استفاده از توکن‌های احراز هویت جعلی متمرکز می باشد.

به گفته مایکروسافت، Storm-0558 در درجه اول سازمان‌های دولتی در اروپای غربی را هدف قرار می دهد و بر روی جاسوسی، سرقت داده‌ها و دسترسی به اطلاعات کاربری تمرکز دارد، اما رسانه‌های خبری گزارش دادند که هر دو وزارت بازرگانی و امور خارجه، از جمله وزیر بازرگانی ایالت متحده، جینا ریموندو، هک شده‌اند.

اکثر متخصصان امنیتی می‌دانند که مایکروسافت امکانات متعددی در زمینه گزارش حسابرسی در مجموعه خدمات خود ارائه می‌کند. این ویژگی‌ها به سازمان‌ها کمک می‌کند تا بر فعالیت کاربر نظارت کنند، رفتار غیرعادی یا بالقوه مضر را شناسایی کنند و الزامات انطباق را برآورده کنند. به عنوان مثال، در مایکروسافت 365، یک سرپرست باید به گزارش حسابرسی یکپارچه، که شامل رویدادهای Exchange Online، SharePoint Online، OneDrive for Business، Azure AD، Microsoft Teams و سایر خدمات می شود، دسترسی داشته باشد. همچنین می تواند رویدادهای مختلفی مانند فعالیت های فایل و صفحه، رویدادهای ورود به سیستم و فعالیت های مدیریتی را ضبط و ثبت کند.

دسترسی و شناخت این گزارش ها نیازمند درک فنی مشخصی می باشد. مایکروسافت اسناد گسترده‌ای را برای هدایت کاربران در این فرآیند ارائه می‌دهد و رابط کاربری تا حد امکان بصری طراحی شده است. لاگ‌ (گزارش) های حسابرسی به‌صورت پیش‌فرض فعال نیستند و مدیران باید آنها را به‌صورت دستی فعال کنند. همچنین زمان تأخیر تا ۲۴ ساعت یا بیشتر قبل از ظهور لاگ‌های حسابرسی در نتایج جستجو در مرکز امنیت و انطباق وجود دارد. علاوه بر این، لاگ‌ها برای مدت زمان محدودی نگهداری می‌شوند، مگر اینکه اقدامات بیشتری برای نگهداری بلندمدت آنها انجام شود.

تأثیر یک حمله می‌تواند شدید باشد، زیرا می‌تواند به مهاجم اجازه دهد هویت کاربران قانونی را جعل کند، به داده‌های حساس دسترسی داشته باشد و بدون شناسایی شدن در شبکه سازمان فعالیت کنند. تیم شما با انجام مراحل زیر با این نوع حمله سایبری تحت حمایت دولت می تواند مقابله کند:

جهت شناخت و درک به هوش تهدید تکیه کنید:

درک نحوه عملکرد عامل تهدید، در این مورد، Storm-0558، بسیار مهم می باشد. تیم باید تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) این عامل را بررسی و درک کند تا فعالیت‌های آینده را پیش‌بینی کند. تیم‌های امنیتی باید از اطلاعات گزارش‌هایی مانند گزارش منتشر شده توسط مایکروسافت برای ایجاد پروفایل‌های خاص برای این عامل تهدید استفاده کنند.

آسیب‌پذیری و ارزیابی ریسک را انجام دهید:

منظور از ارزیابی آسیب‌پذیری و ارزیابی ریسک این است که در مورد Storm-0558، که به‌طور اصلی به سازمان‌ها در غرب اروپا و ایالات متحده حمله می‌کند، بررسی انجام داده شود. این بررسی شامل ارزیابی ریسک و احتمال موفقیت حملات این گروه در محیط سازمان شما می باشد. به عبارت دیگر، می‌خواهیم بدانیم که چقدر سازمان شما در معرض خطر قرار دارد و چقدر احتمال وقوع حملات Storm-0558 با استفاده از روش‌ها و راهبردهای تان وجود دارد.

اجرای اقدامات پیشگیرانه:

بر اساس تکنیک های شناخته شده مورد استفاده توسط Storm-0558، مانند جعل توکن های احراز هویت، ما باید مکانیسم های احراز هویت خود را دوباره ارزیابی و تقویت کنیم. این فرایند می تواند شامل اقداماتی مانند تقویت پروتکل های احراز هویت چند عاملی (MFA)، بررسی سیستم های مدیریت کلیدی و اطمینان از به روز بودن وصله های امنیتی باشد.

آموزش آگاهی را ارائه دهید:

اطمینان حاصل کنید که تیم امنیتی و کارکنان مربوطه از این تهدید آگاه هستند و می توانند علائم هشدار دهنده احتمالی را شناسایی کنند. ارائه آموزش های به روز در مورد تهدید جدید، با تاکید بر اهمیت هوشیاری، گزارش فعالیت های مشکوک، و پایبندی به پروتکل های امنیتی تعیین شده ضروری می باشد.

تشویق ارتباطات با ذینفعان:

رهبری ارشد، اعضای هیئت مدیره و سایر ذینفعان مربوطه را در مورد تهدید و اقدامات انجام شده برای کاهش آن مطلع کنید. ارتباط شفاف و به موقع می تواند به مدیریت انتظارات و کاهش هراس احتمالی یا اطلاعات نادرست کمک کند.

همکاری با آژانس های خارجی:

درست همانطور که مایکروسافت با CISA همکاری می کند، ایجاد و حفظ روابط با سازمان های دولتی مربوطه، انجمن های صنعتی و شرکت های امنیت سایبری ضروری می باشد. به اشتراک گذاری اطلاعات در مورد تهدیدات و دفاع می تواند به نفع همه طرف های درگیر باشد.

نظارت مستمر را تمرین کنید:

ردیابی مستمر و بهبود تشخیص‌های خودکار برای شاخص‌های تخریب مرتبط با این حمله را پیاده‌سازی کنید. سیستم‌ها را به‌طور منظم نظارت کنید تا نشانه‌های نفوذ را شناسایی و به آنها پاسخ دهید.

انجام تجزیه و تحلیل پس از حادثه:

پس از رسیدگی به تهدید، تجزیه و تحلیل دقیق رویداد را انجام دهید تا بفهمید چه اتفاقی افتاده است، چه کاری به خوبی انجام شده است و تیم در چه جاهایی باید پیشرفت کند. این آموزش ها را در برنامه ها و استراتژی های امنیتی آینده بکار بگیرید.

حملات سایبری تحت حمایت دولت مانند این موارد، پیچیده و مداوم هستند و نیازمند هوشیاری و رویکردی پیشگیرانه برای امنیت سایبری می باشند.

یک تیم امنیتی متوسط باید تحقیقاتی مانند این مورد را به عنوان فرصتی جهت یادگیری در نظر بگیرد، استراتژی‌های خود را دوباره ارزیابی کند، درک خود را از چشم‌انداز تهدید در حال تحول تقویت کند و وضعیت امنیتی خود را بهبود بخشد. هنگامی که اخبار حملات تحت حمایت دولت منتشر می شود، حتی یک تیم امنیتی متوسط نیز باید آن را جدی بگیرد و فعالانه به آن پاسخ دهد. آنها ممکن است منابع لازم برای تجزیه و تحلیل دقیق تهدید را نداشته باشند اما همیشه اقداماتی وجود دارد که کسب و کارها می توانند برای محافظت از سازمان خود انجام دهند.

منبع خبر : scmagazine

خبر سوم:

عوامل جدید تهدید، حملات سایبری به اوکراین و لهستان را آغاز کردند

یک گروه عامل تهدید جدید مشاهده شده که مجموعه ای از حملات سایبری را بر روی نهادهای دولتی، سازمان های نظامی و کاربران غیرنظامی در اوکراین و لهستان انجام داده است.

این کمپین های مخرب در آوریل 2022 شروع شده و در حال حاضر ادامه دارند. هدف آنها در درجه اول سرقت اطلاعات ارزشمند و ایجاد دسترسی از راه دور بصورت دائمی می باشد.

تیم واکنش به فوریت های رایانه ای اوکراین (CERT-UA) کمپین ماه جولای را به گروه عامل تهدید UNC1151، به عنوان بخشی از فعالیت های عملیاتی GhostWriter که ظاهراً به دولت بلاروس مرتبط می باشد، نسبت داده است.

این حملات از یک زنجیره عفونت چند مرحله ای پیچیده استفاده می کنند که نقطه ورود اولیه شامل اسناد مخرب مایکروسافت آفیس، به ویژه در قالب های اکسل و پاورپوینت می باشد. این اسناد از برنامه‌های قابل اجرا پنهان و بارهای مخفی شده درون فایل‌های تصویری استفاده می‌کنند که شناسایی شان دشوارتر شود.

تمرکز اصلی این کمپین ها بر نهادهای دولتی و نظامی در اوکراین و لهستان می باشد. عوامل تهدید از تکنیک های مهندسی اجتماعی، با استفاده از تصاویر و متن های به ظاهر معتبر استفاده می کنند.

هدف این فریبکاری هایی مهندسی اجتماعی شده، متقاعد کردن کاربران هدف، برای فعال سازی ماکروها می باشد، بدین ترتیب امکان اجرای زنجیره فراهم می شود.

بر اساس گزارش‌ها، کسب‌وکارهای اوکراینی و لهستانی، و همچنین کاربران عمومی، قربانی این کمپین‌ها از طریق صفحات گسترده فریبنده اکسل شده‌اند که به عنوان فرم‌های اظهارنامه مالیات بر ارزش افزوده (VAT) ظاهر می‌شوند.

تجزیه و تحلیل حملات نشان داده است که بارهای مخرب مختلفی از جمله تروجان دسترسی از راه دور AgentTesla (RAT) به کار گرفته شده است. این بارهای مخرب، عاملان تهدید را قادر می‌سازد تا اطلاعات را سرقت و کنترل از راه دور بر روی سیستم‌های در معرض خطر را به دست آورند.

جهت کاهش خطر ناشی از این حملات سایبری شرکت امنیتی Cisco Talos اجرای اقدامات امنیتی جامع را توصیه کرده است..

منبع خبر : infosecurity

خبر چهارم:

7 روش کلیدی که شرکت ها باید برای اطمینان از ایمنی سایبری در عصر کار از راه دور اجرا کنند...

امنیت سایبری در عصر کار از راه دور بسیار مهم می باشد. با افزایش تعداد افرادی که از خانه کار می کنند و از راه دور به سیستم ها و داده های شرکت دسترسی دارند، احتمال حملات سایبری و نقض داده ها به طور قابل توجهی افزایش یافته است. کار از راه دور آسیب پذیری های جدیدی ایجاد کرده است که مجرمان سایبری می توانند از آنها سوء استفاده کنند.

یکی از بزرگترین چالش های امنیت سایبری با کار از راه دور این است که کنترل و دسترسی ایمن به داده ها، سیستم ها و برنامه های شرکت می تواند دشوارتر باشد.

به عنوان مثال، کارمندان ممکن است با استفاده از شبکه‌های خانگی ناامن یا Wi-Fi عمومی به شبکه‌ها و اطلاعات شرکت‌ها دسترسی داشته باشند و در برابر حملات سایبری مانند فیشینگ، بدافزار و باج‌افزار آسیب‌پذیر شوند. علاوه بر این، زمانی که کارمندان از لحاظ فیزیکی در دفتری مشابه همکاران خود نباشند، ممکن است بیشتر مستعد حملات فیشینگ یا کلاهبرداری های مهندسی اجتماعی قرار بگیرند. کار از راه دور می تواند نظارت و پاسخگویی به حوادث امنیتی را بصور آنی برای تیم های فناوری اطلاعات چالش برانگیزتر کند.

حمله سایبری یا نقض داده ها می تواند عواقب جدی برای شرکت داشته باشد، از جمله خسارات مالی، آسیب به شهرت و مسئولیت های قانونی. بنابراین، شرکت ها باید اقدامات امنیت سایبری را برای محافظت از کارکنان و داده های حساس خود در اولویت قرار دهند.

برخی از شیوه های کلیدی وجود دارد که شرکت ها می توانند برای اطمینان از ایمنی کارمندان و داده های خود در عصر کار از راه دور اجرا کنند.

اولاً، شرکت‌ها باید خط‌مشی‌ها و دستورالعمل‌های روشنی را برای کار از راه دور، از جمله قوانین مربوط به استفاده از دستگاه، دسترسی و ذخیره‌سازی داده‌ها، و کانال‌های ارتباطی ایجاد کنند. این مسئله کمک می کند تا اطمینان حاصل شود که کارکنان از مسئولیت های خود آگاه هستند و آنچه از آنها انتظار می رود را درک می کنند.

دوم، شرکت ها باید دسترسی از راه دور امن به سیستم ها و برنامه های خود را فراهم کنند. این فرایند را می توان با استفاده از شبکه های خصوصی مجازی (VPN)، احراز هویت چند عاملی (MFA) و سایر اقدامات امنیتی انجام داد تا اطمینان حاصل شود که فقط کاربران مجاز می توانند به منابع شرکت دسترسی داشته باشند.

سوم، شرکت‌ها باید اقدامات امنیتی نقطه پایانی را برای محافظت از دستگاه‌هایی که برای کار از راه دور استفاده می‌شوند، مانند نرم‌افزار آنتی‌ویروس، فایروال‌ها و سایر ابزارهای امنیتی اجرا کنند.

چهارم، شرکت ها باید کارکنان را در مورد بهترین شیوه های امنیتی، از جمله نحوه جلوگیری از کلاهبرداری های فیشینگ، نحوه ایجاد رمزهای عبور قوی، و نحوه شناسایی فعالیت های مشکوک، آموزش دهند.

پنجم، شرکت‌ها باید ارزیابی‌های امنیتی منظمی را برای شناسایی آسیب‌پذیری‌ها در سیستم‌ها و برنامه‌های خود انجام دهند. این امر می تواند به اطمینان از به روز بودن و موثر بودن اقدامات امنیتی کمک کند.

ششم، شرکت ها می توانند از راه حل های امنیتی مبتنی بر ابر برای محافظت از داده ها و سیستم های خود استفاده کنند.

این راه حل ها می توانند نظارت مستمر، تشخیص تهدید و قابلیت های واکنش سریع را ارائه دهند.

در نهایت، شرکت‌ها باید برنامه‌ای برای واکنش به حادثه، شامل مراحل شناسایی و واکنش به حوادث امنیتی، اطلاع‌رسانی به طرفین مربوطه و بازیابی از حادثه داشته باشند. به طور کلی، به شرکت‌ها توصیه می‌شود که مجموعه‌ای از اقدامات را اجرا کنند که هم عوامل فنی و هم عوامل انسانی را مورد توجه قرار می‌دهند و به طور مستمر این اقدامات را در صورت لزوم نظارت و به‌روزرسانی کنند.

منبع خبر : jdsupra