روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ شرکت‌ها اغلب با متخصصین ما برای گرفتن کمک در خصوص نحوه واکنش به رخداد سایبری و همینطور برای انجام بررسی‌ها یا تحلیل ابزارهای مجرمان سایبری تماس می‌گیرند. در سال 2020 ما کلی داده جمع‌آوری کردیم برای بررسی چشم‌انداز تهدید مدرن تا بدین‌ترتیب بتوانیم محتمل‌ترین سناریوهای حمله را –شامل بردارهای اولیه حمله- پیش‌بینی نموده و بهترین راهکارهای تدافعی را انتخاب کنیم. وقتی رخداد سایبری را بررسی می‌کنیم مشخصاً به بردار اولیه حمله توجه می‌کنیم. ساده بگوییم که راه ورود یک نقطه ضعف است و جلوگیری از تکرار این مسئله و شناسایی نقاط ضعف سیستم‌های دفاعی امریست بسیار حایز اهمیت. متأسفانه این کار همیشه هم ممکن نیست؛ در برخی از موارد گپ زمانی بین رخداد و شناسایی‌اش زیاد است و در برخی موارد دیگر قربانی لاگ‌ها را نگه نداشته یا رد پاها و آثار را (چه سهواً و یا چه تعمدی) پاک کرده است. سناریو زمانی پیچیده‌تر می‌شود که مجرمان سایبری از طریق زنجیره تأمین –که دارد روز به روز به متود رایج‌تری تبدیل می‌شود- حمله کنند. در این صورت بردار اولیه در اختیار قربانی نهایی نیست بلکه در اختیار توسعه‌دهنده یا ارائه‌دهنده طرف سوم است. با این حال در بیش از نیمی از همه رخدادهای سایبری متخصصین توانستند با دقت تمام بردار اولیه حمله را مشخص کنند. با ما همراه بمانید تا توضیح دهیم چطور مجرمان سایبری به شبکه‌های سازمانی راه پیدا می‌کنند.

جایگاه اول و دوم: جستجوی فراگیر و اکسپلویت اپ‌هایی که به طور عمومی قابل‌دسترسی هستند

حملات جستجوی فراگیر و اکسپلویت از آسیب‌پذیری‌های داخل اپ‌ها و سیستم‌هایی که خارج از سازمان نیز به طور عمومی قابلیت دسترسی دارند در جایگاه اول و دوم قرار دارند. هر یک حکم بردار اولیه نفوذ را در 31.58 درصد موارد داشته‌اند. در سال‌های قبل هم اینطور دیده شده که هیچ متود دیگری برای اجرای حمله در قالب اکسپلویت آسیب‌پذیری‌ها به این اندازه مؤثر عمل نکرده. تجزیه و تحلیل جزئی‌ترِ آسیب‌پذیری‌های اکسپلویت‌شده نیز نشان می‌دهد این مسئله از همه بیشتر به عدم توانایی شرکت در نصب فوری آپدیت‌ها ربط داشته است؛ صرفِ به کار بردن پچ‌ها می‌تواند قربانیان را براحتی نجات دهد. تغییر بزرگ شرکت‌ها از کار در محل کار به کار در خانه (به دلیل پاندمی ) و نیز استفاده بیشتر از سرویس‌های دسترسی ریموت نقش مهمی در محبوبیت حملات جستجوی فراگیر داشته است. در طول این گذار، بسیاری از سازمان‌ها نتوانستند آنطور که باید موضوعات مربوط به امنیت را تحت مدیریت خود قرار دهند و در نتیجه، تعداد حملات روی کانکشن‌های ریموت یک‌شبه اجرایی شد. برای مثال در بازه زمانی مارس تا دسامبر 2020 شاهد 242 درصد افزایش حملات جستجوی فراگیر مبتنی بر RDP بودیم.

جایگاه سوم: ایمیل مخرب

در 23.68 درصد موارد، بردار اولیه حمله، ایمیل مخرب بوده است حال یا با حمله بدافزاری یا در قالب فیشینگ. اپراتورهای حمله هدف‌دار و میلرهای عمده هر دو مدت‌های طولانی است از دو نوع پیام‌رسانی مخرب استفاده می‌کنند.

جایگاه چهارم: تحریک با دستکاری

برخی اوقات مهاجمین سعی دارند با استفاده از یک وبسایت که قربانی به طور دوره‌ای از آن دیدن می‌کند و یا شانسی روی آن فرود می‌آید به سیستم دسترسی پیدا کنند. برای استفاده از چنین تاکتیکی که در برخی از حملات APT پیچیده شاهدش هستیم- مجرمان سایبری یا سایت را به اسکریپت‌هایی که آسیب‌پذیری مرورگر را اکسپلویت می‌کنند مجهز می‌نمایند (برای اجرای کد مخرب روی کامپیوتر قربانی) یا قربانی را فریب می‌دهند تا بدافزاری را دانلود و نصب کند. در سال 2020 در 7.89 درصد موارد این روش، بردار اولیه حمله بوده است.

جایگاه پنجم و ششم

استفاده از درایوهای USB برای فیلتر کردن سیستم‌های کامپیوتر دیگر به ندرت رخ می‌دهد. جدا از اینکه آلوده کردن با فلش‌درایو مخرب از مد افتاده، ترفند دادن یو‌اس‌بی ویروسی به کسی چندان هم نمی‌تواند قابل‌اعتماد باشد (چون با یک اسکن آنتی‌ویروس نقشه‌ها بر باد می‌رود). با این حال، این متود در 2.63 درصد موارد نفوذ اولیه شبکه شناخته شده است. خود عوامل داخل شرکت باعث چنین رخداد سایبری می‌شوند؛ منظور کارمندانی است که بنا به هر دلیلی می‌خواسته‌اند به شرکت خود آسیبی برسانند.

راهکارهای امنیتی

بیشتر رخدادهایی که متخصصین ما تحلیل کردند قابل‌پیشگیری بوده‌اند. بر اساس یافته‌های بدست‌آمده آن‌ها توصیه می‌کنند که:

•         خط‌مشی سفت و سختی برای پسوردهایتان در نظر بگیرید و از احراز هویت دوعاملی استفاده کنید.
•         از سرویس‌های مدیریت ریموت که به طور عمومی قابلیت دسترسی دارند جلوگیری کنید.
•         هر چه سریعتر آپدیت‌های نرم‌افزاری نصب کنید.
•         از میل‌سرورهای خود با ابزارهای ضدویروس و ضدفیشینگ محافظت کنید.
•         میزان آگاهی کارمندان خود را نسبت به تهدیدهای سایبری مدرن (بر اساس روالی منظم) بالا ببرید.

افزون بر این، یادتان نرود که همه سیستم‌های حسابرسی و لاگینگ را تنظیم کنید و مرتباً از داده‌های خود بک‌آپ بگیرید- نه تنها برای تسهیل انجام بررسی‌ها که همچنین برای کاهش خسارات ناشی از رخدادهای سایبری. البته که آمار فوق نشان‌دهنده بخش کوچکی از اطلاعات مفیدی است که متخصصین بدان‌ دسترسی پیدا کرده‌اند. می‌توانید از اینجا متن کامل گزارش تحلیلگر رخداد 2021 را دریافت کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.