من علیرضا طباطبایی وکیل پایه یک با همکاری جمعی از وکلا، مهندسان کامپیوتر و کارشناسان جرائم رایانه ای در سال ۹۳ گروه حقوقی تخصصی وکیل سایبری را تاسیس کردم. اینجا مطالب روز دانش حقوقی جهان را دنبال کنید
خبرنامه وکیل سایبری (23 تیر)
بسمه تعالی
خبرنامه وکیل سایبری
آخرین اخبار روز حقوق سایبری و جرایم سایبری جهان را با وکیل سایبری دنبال کنید.
این خبرنامه زیرنظر مستقیم علیرضا طباطبایی وکیل متخصص حوزه جرایم سایبری آماده می شود.
23 تیر 1402
خبر اول:
روندهای امنیتی که رهبران فناوری اطلاعات باید از آنها آگاه باشند ..
استراتژیهای امنیتی باید با دنیایی سازگار شوند که در آن مهاجمان سایبری زیرک به طور فزایندهای کارکنان از راه دور را مورد هدف قرار میدهند.
تهدیدهای امنیتی پیچیدهتر میشوند زیرا مجرمان سایبری همچنان آسیبپذیریهایی را در محیط کار ترکیبی (هیبرید) و استفاده از ابزارهای مولد هوش مصنوعی آشکار میکنند. به همین دلیل ضروری است که سازمانها بدانند که مهاجمان سایبری چگونه فکر میکنند و از چه تکنیکهایی برای غلبه بر فناوری امنیت سازمانی استفاده میکنند.
مجرمان سایبری از عوامل موثر بر بازار پیروی میکنند که تصمیمات تجاری شرکتها را شکل میدهند. جنایتکاران سایبری وقتی صحبت از افزودن فناوری های نوظهور مانند هوش مصنوعی به مجموعه امکانات حملات شان می شود، بسیار مشتاق رفتار می کنند.
در همین حال، اکوسیستم باج افزار هم در حال تغییر می باشد. مهاجمان، عملیاتهای باجافزار بهعنوان سرویس (RaaS) کوچکتری را تشکیل میدهند، زیرا هدف آنها این است که فرایند شناسایی دشوار باشد و سطح پنهان کاری شان افزایش یابد.
این روند برای رهبران امنیتی دردسرهای بیشتری ایجاد می کند زیرا این گروههای کوچکتر تاکتیکهای متنوع تری را بکار می گیرند و مذاکرات باجگیری را چالشبرانگیزتر میکنند.
از آنجایی که دشمنان انواع تهدیدات جدید را با مدلهای حمله موجود ترکیب میکنند، تدارکات امنیتی مبتنی بر محیطهای سنتی دچار عدم توانایی در مقابله می شوند.
تیمهای عملیات و امنیت فناوریی اطلاعات (SecOps) باید استراتژیهای امنیت سایبری خود را مورد بررسی قرار داده، تجدیدنظر و تقویت کنند و گزینههای مقابلهای که در اختیارشان قرار دارد را بهبود ببخشند. کسب بینش در مورد روندهای آینده امنیت سایبری جهت آمادهسازی بهتر در مقابل چالشهای سال ۲۰۲۳ کمک خواهد کرد.
مهمترین بخش این چالشها، عادیسازی کار از راه دور برای بسیاری از کارکنانی ست که قبلاً در دفتر کار میکردند. در حال حاضر کارفرمایان باید اصول ساختار و امنیت فناوری اطلاعات آنها را بازنگری کنند.
روند حرکت به سمت کار از راه دور همچنان ادامه دارد. کار ترکیبی در حال حاضر تا حد زیادی نوعی هنجار جدید محسوب می شود. کسب و کارها باید یک مدل شبکه غیرمتمرکز را مدیریت کنند که در آن حداقل 35 درصد از نیروهای کار می توانند در هر زمان از راه دور کار کنند.
بعلاوه، مشکلی که به تدریج برای CISOها و سایر تصمیمگیرندگان IT نگرانی محسوب می شود، استفاده مخرب از ابزارهای مولد جدید هوش مصنوعی می باشد.
روشهای زیادی وجود دارد که میتوان از هوش مصنوعی استفاده کرد. به عنوان مثال، برای نوشتن بدافزار یا افزودن اعتبار (باورپذیر بودن) به حملات فیشینگ، یا حتی کمک به مجرمان سایبری مبتدی برای کسب مهارت فنی استفاده می شود.
بار فزاینده حفاظت از سازمان ها در برابر حملات سایبری، متخصصان امنیتی را تحت فشار شدید و بی وقفه قرار می دهد. این فشار و استرس کسبوکارها را در برابر حملات آسیبپذیرتر میکند به همین دلیل مراکز عملیات امنیتی (SOC) به پشتیبانی بیشتری نیاز دارند.
سرویسهایی مانند شناسایی و پاسخ مدیریت شده (MDR) با استفاده از خودکارسازی و هوش تهدید، شرکتها را قادر میسازد تا تیمهای داخلی خود را تقویت کنند و پایگاه امنیتی خود را گسترش دهند.
استفاده از خدمات MDR از یک تامینکننده واحد در مدلهای امنیت سایبری میتواند به رهبران IT کمک کند تا بهرهوری و سهولت بیشتری را در ارائه خدمات امنیتی داشته باشند.
در حال حاضر شاهد این مسئله هستیم که سازمانها اعتماد بیشتری به انتخاب یک استراتژی تکفروشندگی (استفاده از یک تامین کننده اصلی برای تامین نیازهای امنیتی خود) پیدا میکنند. به عبارت دیگر، آنها به این باور رسیدهاند که استفاده از یک تامین کننده واحد برای راهکارهای امنیتی، عملکرد و کارایی بهتری را به همراه خواهد داشت.
مدیریت سایبری باید جامع و متمرکز باشد. مدلهای کسبوکار باید با مدلهای امنیت فناوری اطلاعات همراه شوند. انعطافپذیری و بازیابی باید به اندازه تشخیص و کاهش تهدید مهم باشد. بدین ترتیب، همه کارکنان، چه در محل کار یا از راه دور، میتوانند احساس کنند که بخشی از تیم امنیتی فناوری اطلاعات سازمانی هستند.
با تحول و تبدیل شدن شرکت ها به سیستمهای دیجیتالی، سطوح حمله جدید ایجاد میشود، بنابراین ضروری ست که دفاعهای سایبری هم به اندازه ی کافی بزرگ شوند و مقیاسپذیری داشته باشند. برای رسیدن به این هدف، تیمهای IT با استفاده از تکنیکهای مورد تأییدی مانند فارنزیک دیجیتال (Digital Forensics)، بهرهوری تاکتیکی بیشتری را کسب میکنند. همچنین، با استفاده از حمایت و راهنمایی از سوی سرویسهای ارائه دهنده خدمات سایبری، تیمهای IT قدرت و استعداد تاکتیکی بیشتری را به دست میآورند.
منبع خبر : csoonline
خبر دوم:
هشت گام موثر پس از انتشار خبر حمله سایبری تحت حمایت دولت
مایکروسافت اعلام کرد که یک حمله توسط عامل تهدید مستقر در چین که هدف آن ایمیلهای مشتریان مبتنی بر ابر در محصول Microsoft 365 بوده را مهار کرده است. این حمله حدود 25 سازمان را تحت تأثیر قرار داده است. مایکروسافت این حملات را به گروه تهدیدی بنام Storm-0558 نسبت داده که یک گروه سایبری جاسوسی می باشد و بر جمعآوری اطلاعات حساس با نفوذ به سیستمهای ایمیل با استفاده از توکنهای احراز هویت جعلی متمرکز می باشد.
به گفته مایکروسافت، Storm-0558 در درجه اول سازمانهای دولتی در اروپای غربی را هدف قرار می دهد و بر روی جاسوسی، سرقت دادهها و دسترسی به اطلاعات کاربری تمرکز دارد، اما رسانههای خبری گزارش دادند که هر دو وزارت بازرگانی و امور خارجه، از جمله وزیر بازرگانی ایالت متحده، جینا ریموندو، هک شدهاند.
اکثر متخصصان امنیتی میدانند که مایکروسافت امکانات متعددی در زمینه گزارش حسابرسی در مجموعه خدمات خود ارائه میکند. این ویژگیها به سازمانها کمک میکند تا بر فعالیت کاربر نظارت کنند، رفتار غیرعادی یا بالقوه مضر را شناسایی کنند و الزامات انطباق را برآورده کنند. به عنوان مثال، در مایکروسافت 365، یک سرپرست باید به گزارش حسابرسی یکپارچه، که شامل رویدادهای Exchange Online، SharePoint Online، OneDrive for Business، Azure AD، Microsoft Teams و سایر خدمات می شود، دسترسی داشته باشد. همچنین می تواند رویدادهای مختلفی مانند فعالیت های فایل و صفحه، رویدادهای ورود به سیستم و فعالیت های مدیریتی را ضبط و ثبت کند.
دسترسی و شناخت این گزارش ها نیازمند درک فنی مشخصی می باشد. مایکروسافت اسناد گستردهای را برای هدایت کاربران در این فرآیند ارائه میدهد و رابط کاربری تا حد امکان بصری طراحی شده است. لاگ (گزارش) های حسابرسی بهصورت پیشفرض فعال نیستند و مدیران باید آنها را بهصورت دستی فعال کنند. همچنین زمان تأخیر تا ۲۴ ساعت یا بیشتر قبل از ظهور لاگهای حسابرسی در نتایج جستجو در مرکز امنیت و انطباق وجود دارد. علاوه بر این، لاگها برای مدت زمان محدودی نگهداری میشوند، مگر اینکه اقدامات بیشتری برای نگهداری بلندمدت آنها انجام شود.
تأثیر یک حمله میتواند شدید باشد، زیرا میتواند به مهاجم اجازه دهد هویت کاربران قانونی را جعل کند، به دادههای حساس دسترسی داشته باشد و بدون شناسایی شدن در شبکه سازمان فعالیت کنند. تیم شما با انجام مراحل زیر با این نوع حمله سایبری تحت حمایت دولت می تواند مقابله کند:
جهت شناخت و درک به هوش تهدید تکیه کنید:
درک نحوه عملکرد عامل تهدید، در این مورد، Storm-0558، بسیار مهم می باشد. تیم باید تاکتیکها، تکنیکها و رویهها (TTP) این عامل را بررسی و درک کند تا فعالیتهای آینده را پیشبینی کند. تیمهای امنیتی باید از اطلاعات گزارشهایی مانند گزارش منتشر شده توسط مایکروسافت برای ایجاد پروفایلهای خاص برای این عامل تهدید استفاده کنند.
آسیبپذیری و ارزیابی ریسک را انجام دهید:
منظور از ارزیابی آسیبپذیری و ارزیابی ریسک این است که در مورد Storm-0558، که بهطور اصلی به سازمانها در غرب اروپا و ایالات متحده حمله میکند، بررسی انجام داده شود. این بررسی شامل ارزیابی ریسک و احتمال موفقیت حملات این گروه در محیط سازمان شما می باشد. به عبارت دیگر، میخواهیم بدانیم که چقدر سازمان شما در معرض خطر قرار دارد و چقدر احتمال وقوع حملات Storm-0558 با استفاده از روشها و راهبردهای تان وجود دارد.
اجرای اقدامات پیشگیرانه:
بر اساس تکنیک های شناخته شده مورد استفاده توسط Storm-0558، مانند جعل توکن های احراز هویت، ما باید مکانیسم های احراز هویت خود را دوباره ارزیابی و تقویت کنیم. این فرایند می تواند شامل اقداماتی مانند تقویت پروتکل های احراز هویت چند عاملی (MFA)، بررسی سیستم های مدیریت کلیدی و اطمینان از به روز بودن وصله های امنیتی باشد.
آموزش آگاهی را ارائه دهید:
اطمینان حاصل کنید که تیم امنیتی و کارکنان مربوطه از این تهدید آگاه هستند و می توانند علائم هشدار دهنده احتمالی را شناسایی کنند. ارائه آموزش های به روز در مورد تهدید جدید، با تاکید بر اهمیت هوشیاری، گزارش فعالیت های مشکوک، و پایبندی به پروتکل های امنیتی تعیین شده ضروری می باشد.
تشویق ارتباطات با ذینفعان:
رهبری ارشد، اعضای هیئت مدیره و سایر ذینفعان مربوطه را در مورد تهدید و اقدامات انجام شده برای کاهش آن مطلع کنید. ارتباط شفاف و به موقع می تواند به مدیریت انتظارات و کاهش هراس احتمالی یا اطلاعات نادرست کمک کند.
همکاری با آژانس های خارجی:
درست همانطور که مایکروسافت با CISA همکاری می کند، ایجاد و حفظ روابط با سازمان های دولتی مربوطه، انجمن های صنعتی و شرکت های امنیت سایبری ضروری می باشد. به اشتراک گذاری اطلاعات در مورد تهدیدات و دفاع می تواند به نفع همه طرف های درگیر باشد.
نظارت مستمر را تمرین کنید:
ردیابی مستمر و بهبود تشخیصهای خودکار برای شاخصهای تخریب مرتبط با این حمله را پیادهسازی کنید. سیستمها را بهطور منظم نظارت کنید تا نشانههای نفوذ را شناسایی و به آنها پاسخ دهید.
انجام تجزیه و تحلیل پس از حادثه:
پس از رسیدگی به تهدید، تجزیه و تحلیل دقیق رویداد را انجام دهید تا بفهمید چه اتفاقی افتاده است، چه کاری به خوبی انجام شده است و تیم در چه جاهایی باید پیشرفت کند. این آموزش ها را در برنامه ها و استراتژی های امنیتی آینده بکار بگیرید.
حملات سایبری تحت حمایت دولت مانند این موارد، پیچیده و مداوم هستند و نیازمند هوشیاری و رویکردی پیشگیرانه برای امنیت سایبری می باشند.
یک تیم امنیتی متوسط باید تحقیقاتی مانند این مورد را به عنوان فرصتی جهت یادگیری در نظر بگیرد، استراتژیهای خود را دوباره ارزیابی کند، درک خود را از چشمانداز تهدید در حال تحول تقویت کند و وضعیت امنیتی خود را بهبود بخشد. هنگامی که اخبار حملات تحت حمایت دولت منتشر می شود، حتی یک تیم امنیتی متوسط نیز باید آن را جدی بگیرد و فعالانه به آن پاسخ دهد. آنها ممکن است منابع لازم برای تجزیه و تحلیل دقیق تهدید را نداشته باشند اما همیشه اقداماتی وجود دارد که کسب و کارها می توانند برای محافظت از سازمان خود انجام دهند.
منبع خبر : scmagazine
خبر سوم:
عوامل جدید تهدید، حملات سایبری به اوکراین و لهستان را آغاز کردند
یک گروه عامل تهدید جدید مشاهده شده که مجموعه ای از حملات سایبری را بر روی نهادهای دولتی، سازمان های نظامی و کاربران غیرنظامی در اوکراین و لهستان انجام داده است.
این کمپین های مخرب در آوریل 2022 شروع شده و در حال حاضر ادامه دارند. هدف آنها در درجه اول سرقت اطلاعات ارزشمند و ایجاد دسترسی از راه دور بصورت دائمی می باشد.
تیم واکنش به فوریت های رایانه ای اوکراین (CERT-UA) کمپین ماه جولای را به گروه عامل تهدید UNC1151، به عنوان بخشی از فعالیت های عملیاتی GhostWriter که ظاهراً به دولت بلاروس مرتبط می باشد، نسبت داده است.
این حملات از یک زنجیره عفونت چند مرحله ای پیچیده استفاده می کنند که نقطه ورود اولیه شامل اسناد مخرب مایکروسافت آفیس، به ویژه در قالب های اکسل و پاورپوینت می باشد. این اسناد از برنامههای قابل اجرا پنهان و بارهای مخفی شده درون فایلهای تصویری استفاده میکنند که شناسایی شان دشوارتر شود.
تمرکز اصلی این کمپین ها بر نهادهای دولتی و نظامی در اوکراین و لهستان می باشد. عوامل تهدید از تکنیک های مهندسی اجتماعی، با استفاده از تصاویر و متن های به ظاهر معتبر استفاده می کنند.
هدف این فریبکاری هایی مهندسی اجتماعی شده، متقاعد کردن کاربران هدف، برای فعال سازی ماکروها می باشد، بدین ترتیب امکان اجرای زنجیره فراهم می شود.
بر اساس گزارشها، کسبوکارهای اوکراینی و لهستانی، و همچنین کاربران عمومی، قربانی این کمپینها از طریق صفحات گسترده فریبنده اکسل شدهاند که به عنوان فرمهای اظهارنامه مالیات بر ارزش افزوده (VAT) ظاهر میشوند.
تجزیه و تحلیل حملات نشان داده است که بارهای مخرب مختلفی از جمله تروجان دسترسی از راه دور AgentTesla (RAT) به کار گرفته شده است. این بارهای مخرب، عاملان تهدید را قادر میسازد تا اطلاعات را سرقت و کنترل از راه دور بر روی سیستمهای در معرض خطر را به دست آورند.
جهت کاهش خطر ناشی از این حملات سایبری شرکت امنیتی Cisco Talos اجرای اقدامات امنیتی جامع را توصیه کرده است..
منبع خبر : infosecurity
خبر چهارم:
7 روش کلیدی که شرکت ها باید برای اطمینان از ایمنی سایبری در عصر کار از راه دور اجرا کنند...
امنیت سایبری در عصر کار از راه دور بسیار مهم می باشد. با افزایش تعداد افرادی که از خانه کار می کنند و از راه دور به سیستم ها و داده های شرکت دسترسی دارند، احتمال حملات سایبری و نقض داده ها به طور قابل توجهی افزایش یافته است. کار از راه دور آسیب پذیری های جدیدی ایجاد کرده است که مجرمان سایبری می توانند از آنها سوء استفاده کنند.
یکی از بزرگترین چالش های امنیت سایبری با کار از راه دور این است که کنترل و دسترسی ایمن به داده ها، سیستم ها و برنامه های شرکت می تواند دشوارتر باشد.
به عنوان مثال، کارمندان ممکن است با استفاده از شبکههای خانگی ناامن یا Wi-Fi عمومی به شبکهها و اطلاعات شرکتها دسترسی داشته باشند و در برابر حملات سایبری مانند فیشینگ، بدافزار و باجافزار آسیبپذیر شوند. علاوه بر این، زمانی که کارمندان از لحاظ فیزیکی در دفتری مشابه همکاران خود نباشند، ممکن است بیشتر مستعد حملات فیشینگ یا کلاهبرداری های مهندسی اجتماعی قرار بگیرند. کار از راه دور می تواند نظارت و پاسخگویی به حوادث امنیتی را بصور آنی برای تیم های فناوری اطلاعات چالش برانگیزتر کند.
حمله سایبری یا نقض داده ها می تواند عواقب جدی برای شرکت داشته باشد، از جمله خسارات مالی، آسیب به شهرت و مسئولیت های قانونی. بنابراین، شرکت ها باید اقدامات امنیت سایبری را برای محافظت از کارکنان و داده های حساس خود در اولویت قرار دهند.
برخی از شیوه های کلیدی وجود دارد که شرکت ها می توانند برای اطمینان از ایمنی کارمندان و داده های خود در عصر کار از راه دور اجرا کنند.
اولاً، شرکتها باید خطمشیها و دستورالعملهای روشنی را برای کار از راه دور، از جمله قوانین مربوط به استفاده از دستگاه، دسترسی و ذخیرهسازی دادهها، و کانالهای ارتباطی ایجاد کنند. این مسئله کمک می کند تا اطمینان حاصل شود که کارکنان از مسئولیت های خود آگاه هستند و آنچه از آنها انتظار می رود را درک می کنند.
دوم، شرکت ها باید دسترسی از راه دور امن به سیستم ها و برنامه های خود را فراهم کنند. این فرایند را می توان با استفاده از شبکه های خصوصی مجازی (VPN)، احراز هویت چند عاملی (MFA) و سایر اقدامات امنیتی انجام داد تا اطمینان حاصل شود که فقط کاربران مجاز می توانند به منابع شرکت دسترسی داشته باشند.
سوم، شرکتها باید اقدامات امنیتی نقطه پایانی را برای محافظت از دستگاههایی که برای کار از راه دور استفاده میشوند، مانند نرمافزار آنتیویروس، فایروالها و سایر ابزارهای امنیتی اجرا کنند.
چهارم، شرکت ها باید کارکنان را در مورد بهترین شیوه های امنیتی، از جمله نحوه جلوگیری از کلاهبرداری های فیشینگ، نحوه ایجاد رمزهای عبور قوی، و نحوه شناسایی فعالیت های مشکوک، آموزش دهند.
پنجم، شرکتها باید ارزیابیهای امنیتی منظمی را برای شناسایی آسیبپذیریها در سیستمها و برنامههای خود انجام دهند. این امر می تواند به اطمینان از به روز بودن و موثر بودن اقدامات امنیتی کمک کند.
ششم، شرکت ها می توانند از راه حل های امنیتی مبتنی بر ابر برای محافظت از داده ها و سیستم های خود استفاده کنند.
این راه حل ها می توانند نظارت مستمر، تشخیص تهدید و قابلیت های واکنش سریع را ارائه دهند.
در نهایت، شرکتها باید برنامهای برای واکنش به حادثه، شامل مراحل شناسایی و واکنش به حوادث امنیتی، اطلاعرسانی به طرفین مربوطه و بازیابی از حادثه داشته باشند. به طور کلی، به شرکتها توصیه میشود که مجموعهای از اقدامات را اجرا کنند که هم عوامل فنی و هم عوامل انسانی را مورد توجه قرار میدهند و به طور مستمر این اقدامات را در صورت لزوم نظارت و بهروزرسانی کنند.
منبع خبر : jdsupra
مطلبی دیگر از این انتشارات
خبرنامه وکیل سایبری (23 آبان)
مطلبی دیگر از این انتشارات
خبرنامه وکیل سایبری (8 مهر)
مطلبی دیگر از این انتشارات
خبرنامه وکیل سایبری (30 اردیبهشت)