روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ سرویس [1]MDR کسپرسکی به شرکتها اجازه میدهد تا با نظارت خارجی شبانهروزی بر زیرساختشان، تیمهای امنیتی خود را تقویت کنند. به نقل از گزارش تحلیلگر MDR که به تازگی منتشر شده، در سال 2021 این سرویس حدود 414 هزار هشدار امنیتی پردازش کرد که در نتیجه 8479 رخداد سایبری به مشتریان گزارش شد. متخصصین تیم SOC ما در عین حال که این رخدادها را تحلیل میکردند رایجترین ترفندهای حمله دردستهبندی MITRE ATT&CK را نیز شناسایی نمودند. آنها نسبت رخدادهای مبتنی بر چنین ترفندهایی را بر کل تعداد رخدادها محاسبه نموده و سه مورد از محبوبترینها را نامگذاری کردند. در ادامه با ما همراه شوید تا رایجترین تکنیکهای حمله در سال 2021 را خدمتتان ارائه دهیم.
اجرای کاربری
این دستهبندی شامل همه رخدادهایی میشود که در آنها مهاجم به اقداماتی از سمت کاربر داخل زیرساخت متکی است. بدینمعنا که مهاجم کارمند را مجبور میکند روی لینکی مخرب کلیک کرده یا پیوست ایمیلی را که آلوده است باز کند. این گروه همچنین دربردارندهی رخدادهایی هستند که در آنها کاربر فریبخورده به مهاجم دسترسی ریموت به منابع سازمانی را میدهد.
پیوست اسپیرفیشینگ
طبق دستهبندی MITRE ATT&CK، تاکتیک پیوست اسپیرفیشینگ شامل ارسال ایمیلهایی میشود که حاوی پیوستهای فایل مخربند. مهاجمین بینشان رایج است تحت این تفرند از مهندسی اجتماعی مدد گیرند و برای پیش بردن حمله خود روی اقدامات از سوی کاربر متمرکز باشند. پیلود معمول شامل فایلهای قابلاجرا، داکیومنتهای مایکروسافت آفیس، فایلهای پیدیاف و آرشیو میشود.
اکسپلویت سرویسهای ریموت
طبقهبندی اکسپلویت سرویسهای ریموت شامل رخدادهایی میشود که در آنها مهاجمین از خدمات آسیبپذیر برای دسترسی به سیستمهای داخلی درون شبکه سازمانی استفاده میکنند. معمولاً این برای حرکت جانبی داخل زیرساخت استفاده میشود. مهاجمین اغلب سرورها را مورد حمله قرار میدهند اما برخیاوقات همچنین آسیبپذیریهای سمت سایر اندپوینتها را نیز مانند ایستگاههای کار اکسپلویت میکنند.
راهکارهای امنیتی
وبسایت MITRE ATT&CK مؤثرترین متودها برای تخفیف اثر هر یک از این تکنیکهای مخرب را فهرست کرده است:
- برای جلوگیری خودکار از شرکت ناخواسته کارمند در حملهای به زیرساخت شرکتتان، توصیه میشود از راهکارهای امنیتی با قابلیتهای کنترل اپلیکیشن استفاده کنید که همچنین میتواند حملات شبکهای را بلاک کرده، اعتبار وبسایتها را بررسی نموده و فایلهای دانلودشده را اسکن کند. همچنین توصیه میکنیم میزان آگاهی کارمندان خود را نسبت به امنیت سایبری افزایش داده بدانها در مورد تاکتیکهای مخرب مدرن توضیح دهید.
- همان مکانیزمهای محافظتی میتوانند در برابر پیوستهای آلوده در ایمیلهای هدفدار نیز کارامد باشند. برای سطح محافظتی مضاعف در رابطه با سیستم ایمیل سازمانیتان نیز توصیه میکنیم از فناوریهای SPF، DKIM و DMARC استفاده کنید.
- فناوریهای جداسازی کاربرد نیز در برابر اکسپلویت سرویسهای ریموت بخوبی عمل میکنند. با این حال چندین اقدام هست که باید به فهرست اولویتهای امنیتیتان اضافه گردد: توصیه میکنیم همه سرویسهای ریموت کار نشده، شبکهها و سیستمهای سگمنت را یا حذف کرده و یا غیرفعال نمایید و نیز سطح دسترسی و مجوزهای اکانتهای سرویس را نیز کاهش دهید. همچنین لازم است آپدیتهای امنیتی را برای سیستمهای حیاتی به موقع نصب کرده و از راهکارهای امنیتی استفاده کنید که از قابلیتهای شناسایی رفتار برخوردارند. افزون بر این، بد نیست اگر به صورت دورهای شبکه سرویسهاییرا که بالقوه آسیبپذیرند اسکن کنید و از دادههای به روز هوش تهدید استفاده نمایید.
به طور کلی به منظور محافظت از زیرساخت سازمانی خود میبایست از متخصصین خارجی کمک بگیرید؛ این افراد میتوانند از زیرساخت شما محافظت کنند، هشدارهای امنیتی را بررسی کرده و در مورد فعالیتهای خطرناک به شما اطلاع دهند. متخصصین خارجی همچنین واکنشهای سریعی به رخدادهای سایبری نشان داده و توصیهها و راهکارهای خوبی نیز ارائه خواهند داد.
[1] Managed Detection and Response
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
