در سال 2020، بیماری همهگیر ویروس کرونا، تغییرات غیرقابل پیشیبینی در ساختارهای شبکه و استراتژیهای حمله در صنعت امنیت سایبری به وجود آورد. همچنان که ویروس کرونا سازمانها و افراد مختلفی را در سراسر جهان تحتتاثیر قرار میدهد، تهدیدات سایبری هر روز قدرتمندتر و پیچیدهتر از قبل میشوند. بسیاری از سازمانها منابع کافی برای مدیریت و کاهش این تهدیدات را در اختیار ندارند و تحتتاثیر مشکلات ناشی از انتقال ناگهانی به محیط دورکاری قرار گرفتهاند.
با توجه به ماهیت همیشگی تهدیدات سایبری، مدیران سازمان باید به طور مستمر اطلاعات خود را در زمینه هوش تهدید به روز کنند و روی منابع ضروری برای مقابله با این تهدیدات سرمایهگذاری کنند. امروزه، تغییرات مربوط به تهدیدات سایبری چشمگیرتر است و خطراتی که افراد و سازمانها را تهدید میکنند، بسیار بزرگتر از قبل است. علاوه بر این همانطور که در اخبار باجافزارهای این هفته دیدیم، حملات سایبری به موسسات درمانی و بیمارستانها در شرایطی که بار کاری این موسسات به خاطر همهگیری ویروس کرونا به شدت افزایش یافته، چالشی جدی برای بخش سلامت به وجود آورده است.
این مسئله، اهمیت هوش تهدید دقیق و کارامد را بیشتر میکند. خلاصه گزارش تهدیدات سایبری که در ادامه آمده است، اثبات میکند که مجرمان سایبری از اهداف آسان و دردسترس برای رسیدن به مقاصد خود استفاده میکند.
استفاده از کاربران خانگی برای دسترسی به شبکه سازمانی
در گذشته، تیمهای امنیتی میتوانستند کاربران را در برابر تهدیدات شبکه و اپلیکیشن ایمن کنند، و امنیت اتصالات اینترنتی سازمان را بالا ببرند. اما این کار در محیط دورکاری دیگر ممکن نیست. در دوران پاندمیک، میزان استفاده از دستگاههای IoT و شبکههای خانگی، به طور تصاعدی افزایش پیدا کرد.
موج دورکاری، باعث شد که توجه افراد به سمت امنیت دستگاههای شخصی مانند تلفنهای هوشمند، تبلتها، لپتاپها و رایانههای شخصی جلب شود. این مسئله، فرصت مناسبی برای مهاجمان فراهم کرده تا بتوانند با اکسپلویت این دستگاهها، به شبکههای سازمانی دست پیدا کنند. این دستگاهها به راحتی در معرض خطر قرار میگیرند و محققان شاهد شکلگیری بات نت های بزرگی هستند که میتوانند برای ایجاد حملات DDoS یا توزیع بدافزار مورد استفاده قرار بگیرند.
مهاجمان در طول زمان پیشرفت کرده و نسبت به قبل، به منابع پیچیدهتری دست پیدا کردهاند که این موضوع، محافظت از منابع توزیع شده (برای مثال، سیستم افرادی که به صورت دورکار فعالیت میکنند) را سختتر میکند.
برای مثال، با استفاده از هوش مصنوعی و ابزارهای یادگیری ماشین، مجرمان سایبری از سطح حمله در حال گسترش بهره میبرند و لایههای محافظتی را دور میزنند. به دلیل این پیشرفتها در روشها و تکنولوژیهای حمله، تیمهای IT تلاش میکنند از مواردی مانند باجافزارهای آپدیت شده و تهدیدات فیشینگی که برای به خطر انداختن دستگاههای IoT خانگی استفاده میشوند، آگاه باشند و جلوتر از آنها حرکت کنند.
حملات باج افزاری روز به روز پیچیدهتر میشوند
حملات باج افزاری، همیشه یکی از نگرانیهای اصلی کسب و کارها بوده است. طی چند ماه گذشته، این دسته از حملات، هم رایجتر شدهاند و هم خسارت بیشتری -چه از لحاظ خرابی و چه از لحاظ Downtime- به سازمانها وارد میکنند. سوالی که پیش میآید، این است که چرا این نوع از حملات، نه تنها متوقف نشدهاند، بلکه چالشبرانگیزتر و پیچیدهتر از قبل هم شدهاند. یکی از دلایل آن این است که باج افزار ها از طریق بازارهای سیاه دارک وب، به راحتی در دسترس است. همچنین، تکنولوژیهای جدید باج افزاری مانند ransomware-as-a-service هم ارزاناند و هم استقرار آنها نسبتا آسان است.
باجافزارها در پیامها، پیوستها و اسناد مرتبط با COVID-19 مخفی میشوند. این تهدیدات همچنان پیچیدهتر میشوند و به مجرمان سایبری کمک میکنند تا همیشه یک قدم جلوتر از تیمهای امنیتی باشند. سه نمونه خاص از باجافزارها در این دستهبندیها جا میگیرند: NetWalker، Ransomware-GVZ و CoViper. از بین این سه دستهبندی، CoViper بسیار نگرانکننده بود، زیرا این باج افزار برای بازنویسی MBR کامپیوتر، قبل از رمزنگاری دادهها نوشته شده بود. با این که حملات مختلفی در گذشته به این روش گزارش شده بود، این روش، یک استراتژی غیرمعمول تهاجمی است.
در اواخر نیمه اول سال 2020، گزارشهای زیادی درباره گروههای تهاجمی مورد حمایت دولت گزارش شد. این گروهها، سازمانهای تحقیقاتی ایالات متحده و کشورهای دیگر را که درباره ویروس کرونا تحقیق میکردند، مورد هدف قرار دادند. علاوه براین، مهاجمان اطلاعات قربانیان را به سرورهای عمومی منتقل کرده و تهدید میکردند که در صورت عدم پرداخت مبلغ درخواستی، اطلاعات را منتشر کنند؛ این کار باعث میشد که قربانیان به جای تصمیم برای بازیابی سیستمهای خود، تسلیم خواستههای هکرها شوند و مبلغ باج را پرداخت کنند.
به دلیل وجود این تهدیدات، تیمهای امنیتی باید اطمینان حاصل کنند که به آخرین اطلاعات تهدید دسترسی دارند و از جدیدترین روشها و ترندهای حمله مطلعاند. این کار شامل اطلاع از ابزارهایی است که مجرمان برای به حداکثر رساندن تاثیر حملات خود استفاده میکنند، مانند شبکههای اجتماعی و موتورهای جستجوگر مخصوص دارک وب مثل تور. همچنین، این کار شامل اصلاح استراتژیهای فعلی است. اکنون به سازمانها توصیه میشود که برای خنثی کردن استراتژی حملههای اخیر، تمام دادهها را رمزنگاری کنند.
استفاده از یادگیری ماشین برای فیشینگ
بسیاری از حملات فیشینگی که در گذشته اتفاق میافتادند، پیچیده نبودند و به راحتی میشد از آنها پیشگیری کرد. در واقع، هدف حملات فیشینگ قبلی، عموما افراد سادهلوح بودند. در این نوع از کلاهبرداریهای سایبری، از روشهای مهندسی اجتماعی، به ویژه از ایمیل برای سرقت اطلاعات کاربران استفاده میشد. در موارد دیگر، پیامی حاوی یک لینک مخرب به قربانی ارسال میشد که کلیک روی آن موجب نصب بدافزار یا افشای اطلاعات حساس میشد.
اما بهطور فزاینده، از این حملات جهت ایجاد زمینه برای حملات داخلی و سرویسهای ابری استفاده میشود. تاکتیکهای فیشینگ اخیر بسیار پیچیدهتر هستند و برای مورد هدف قرار دادن پیوندهای ضعیف در شبکههای تجاری تکامل یافتهاند. از آنجایی که امروزه کارمندان اکثر سازمانها آموزش دیدهاند و در مواجهه با ایمیلهای مشکوک، بیشتر احتیاط میکنند، هکرها روش خود را تغییر دادهاند. برای مثال، مجرمان سایبری، شبکههای خانگی ناامن و کارمندان دورکار را که اطلاعات زیادی درباره امنیت سایبری ندارند، مورد هدف قرار میدهند تا اطلاعات شخصی آنها را سرقت کنند و با استفاده از آنها به شبکه سازمانی که به آن متصل هستند، حمله کنند.
بسیاری نیز از یادگیری ماشین برای ساخت سریع، آزمایش و توزیع پیامهایی استفاده میکنند که محتوای آنها واقعی بهنظر میرسد و مخاطب آن را باور میکند. آنها در واقع میتوانند نسخههای مختلفی از حمله را تحلیل کنند و برای رسیدن به حداکثر بازدهی، روشهای خود را اصلاح کنند.
محتوای پیامهای فیشینگ اخیر، حاوی مطالبی است که به نحوی به مخاطب کمک میکند تا مشکل خود را حل کند. بیشتر این حملات فیشینگ، حاوی پیلودهای مخرب است – شامل باجافزار، ویروس و تروجانهای دسترسی از راه دور (RAT) که طراحی شدهاند تا دسترسی مجرمان را به سیستمهای اندپوینت فراهم کنند، این کار به آنها اجازه میدهد که اکسپلویتهای RDP ایجاد کنند.
همچنین گزارشهایی مبنی بر افزایش قابل توجه فیشینگ مبتنی بر وب ثبت شده است. این امر در ماههای ژانویه و فوریه سال 2020 با تهدیدات سایبری HTML/فیشینگ شروع شد و تا پایان ماه مه ادامه یافت. ScrInject و REDIR که به HTML شباهت دارند، در افزایش فیشینگ در سال جاری نقش داشتند. بدافزار مبتنی بر وب، تمایل دارد برنامههای آنتی ویروس را نادیده بگیرد یا آنها را دور بزند و به همین دلیل، شانس بیشتری برای موفقیت دارد.
متخصصان امنیتی باید توجه داشته باشند که در سال 2020 مرورگرها تبدیل به عامل اصلی تحویل بدافزار شدهاند و به نظر میرسد که این روند تا سال بعد ادامه داشته باشد. این موضوع به کاهش ترافیک وب شرکتها و افزایش ترافیک وب خانگی، به دلیل افزایش دورکاری مربوط میشود. این تغییر، نشان میدهد که مجرمان سایبری روش خود را تغییر داده و شبکههایی را که امنیت کمتری دارند مورد هدف قرار دادهاند.
به همین دلیل، سازمانها علاوه بر آموزش نکات لازم به کارکنان، باید منابع دیگری را، از جمله راهکارهای شناسایی و پاسخ اندپوینت (EDR)، تهیه کنند. این منابع به شما کمک میکنند تهدیدات پیشرفته را شناسایی و متوقف کنید.
به دنبال راهکار EDR هستید؟ سیمانتک به شما کمک میکند:
جمعبندی
پاندمیک کووید-19 بر نکتهای تاکید کرد که متخصصان حوزه امنیت سایبری مدتهاست آن را تشخیص داده و از آن حمایت میکنند:
یک امنیت سایبری موثر، به هوشیاری مداوم و توانایی سازگاری با تغییر استراتژیهای تهدید نیاز دارد.
اگرچه امنیت همیشه باید اولویت اول یک سازمان باشد، اکنون زمان آن است که سازمانها بهطور گستردهتر روی راهکارهای امنیتی پیشرفتهتر و سازگارتر سرمایهگذاری کنند، به ویژه، حالا که مجرمان روشهای خود را اصلاح میکنند تا از دستگاههای شخصی افراد به عنوان سکوی پرتاب به شبکههای سازمانی استفاده کنند. با توجه به این نکته، بالابردن امنیت سیستمها و شبکههای ریموت باید در اولویت قرار بگیرد.
صرفنظر از وضعیت جهان پیرامون، بهترین راه برای محافظت دربرابر فعالیتهای مخرب، این است که یک رویکرد امنیت سایبری جامع و یکپارچه اتخاذ کنیم. یکی از مولفههای مهم این رویکرد، دسترس مداوم به اطلاعات تهدید بهروز و آموزشهای امنیت سایبری است.
