هفته گذشته کنفرانس RSA تعداد زیادی از آسیب پذیری های امنیت شبکه را تحت پوشش قرار داد ، از توسعه سیاست های مقاوم سازی قوی تر و رسیدگی به حملات مبتنی بر UEFI و بردارهای حمله غیر انتهایی. پیش از این کنفرانس ، ایالات متحده بزرگترین حمله سایبری خود را به زیرساخت های مهم تا کنون با برخورداری باج افزار از طریق استفاده از خط لوله استعماری تجربه کرده است.
پیام کلی در مورد آسیب پذیری های کنفرانس این است که امنیت سایبری یک بازی مداوم برای آماده سازی برای جدیدترین و خطرناک ترین تاکتیک ها است ، تکنیک ها و رویه ها (TTP).
ما سه جلسه RSAC 2021 و برخی از دلهره آورترین نقاط آسیب پذیری ارائه شده توسط موسسه SANS ، آژانس امنیت سایبری و زیرساخت (CISA) و Varonis Systems را بررسی می کنیم.
همچنین بخوانید: و برنده مسابقه نوآوری RSA 2021 SANS…
SANS: پنج روش حمله و آسیب پذیری جدید خطرناک
ارائه موسسه SANS ، " پنج خطرناک ترین روش جدید حمله " یک RSAC است پایه اصلی این نقطه آسیب پذیری های برجسته امسال عبارتند از:
Testing Integrity Software
برای شروع جلسه ، همکار SANS و مدیر Ed Skoudis در مورد معماری یکپارچگی نرم افزار صحبت کردند. اسکودیس با استناد به مقاله 1984 کن تامپسون ، "تأملاتی در اعتماد اعتماد" ، اشاره کرد که هیچ مقدار تأیید در سطح منبع وجود ندارد که بتواند یک سازمان را از کد غیرقابل اعتماد محافظت کند. با این حال ، این دقیقاً مخمصه است. توزیع نرم افزار سرعت را نسبت به اعتماد اولویت می دهد و نتیجه آن آسیب پذیری های احتمالی است. حملات ، درصورتی که توسعه دهندگان هدف آن باشند ، می توانند کل اجتماعات را تحت تأثیر قرار دهند ، در حالی که تهیه کد برای آنها مهم است.
برای رفع آسیب پذیری های یکپارچگی نرم افزار ، Skoudis سازمان ها را تشویق می کند:
دسترسی بیش از حد توسط Tokens
ارائه دو مورد از خطرناک ترین حمله تکنیک ها ، هدایت برنامه درسی SANS DFIR و مدیر هوش دیجیتال هدر مهالیک اولین بار در مسئله هویت و مدیریت دسترسی در دوره کار از خانه کار کردند. همانطور که در راهنمای ما برای OAuth شرح داده شده است ، نشانه ها چگونگی کارکرد برنامه ها ، API ها و مرورگرها برای فراهم کردن دسترسی گسترده به کاربران هستند. اولویت ها و پروژه های برتر 2021
واقعیت این است که اگر دسترسی اولیه همه نیاز به یک بازیگر مخرب برای پیمایش منابع شبکه باشد ، راه حل هایی مانند ورود به سیستم تک (SSO) و احراز هویت چند عاملی (MFA) می توانند فاجعه را نشان دهند. برای مدیران رمزها ، این کار پیکربندی دسترسی برای کاهش دسترسی بیش از حد می شود. بدون اینکه کاربر حتی متوجه این موضوع شود ، مهاجمان می توانند رمزهای دسترسی را ربوده کنند.
با استفاده از رمزپذیر آسیب پذیر برای دسترسی به برنامه
در همان زمینه آسیب پذیری های یکپارچگی نرم افزار ، توسعه دهندگان خود را بین پاسخگویی به تقاضای مصرف کننده بی تاب و بهینه سازی امنیت قرار می دهند. نتیجه این امر سازمان ها و مولدهای توکن ها هستند که از رمزنگاری با آسیب پذیری های شناخته شده استفاده می کنند. اگرچه کاربران ممکن است سریعتر به برنامه دسترسی داشته باشند ، اما سازمان در نتیجه آسیب پذیرتر است. سازمان ها باید سیستم های دسترسی به برنامه های خود را تأیید کنند تا بازیگران مخرب قادر به شکستن رمزنگاری نباشند.
Machine Learning Ups Adversary Skills
SANS ، رئیس تحقیقات تحقیقات ، بیان کرد که چرا یادگیری ماشین (ML) فوق العاده است اما بدون آن خالی از لطف نیست. آسیب پذیری های آن مدتهاست که شناسایی بدافزار بازی شناسایی امضا است. با استفاده از ML و هوش مصنوعی (AI) هزاران فشار برای آموزش الگوریتم ها ، می توان حدس زد که توانایی شناسایی بدافزارها فقط در حال بهبود است.
متأسفانه ، پیشرفت در امنیت سایبری به بازیگران مخرب گسترش می یابد ، همانطور که برای متخصصان این صنعت انجام می شود. هکرها برای جلوگیری از استفاده از بدافزار شناخته شده از همان فناوری ML و AI استفاده می کنند. نتیجه این امر ثروت دشمنانی است که قادر به فرار از شناسایی و شبکه هایی نیستند که برای تهدید روز صفر آماده نیستند. اولریچ خاطرنشان کرد: سازمانها نمی توانند به مدلهای استاتیک متکی باشند و باید داده های آموزش را اولویت بندی کنند تا چیزی بیش از آنچه که شناخته شده است ببینند.
در جلسه دیگری RSAC ، بروس اشنایر ، تکنسین امنیتی ، درمورد اینکه چگونه ممکن است هوش مصنوعی توزیع بدافزار نکند ، اما آینده ای که در آن توزیع می شود ، بحث کرد. ممکن است کاملاً علمی تخیلی نباشد. در یک فراخوان اقدام ، اشنایر تأکید کرد که باید از هوش مصنوعی کنترل شود تا از دیدن توانایی های مخرب آن در جاده جلوگیری شود.
همچنین بخوانید: انواع بدافزارها | بهترین روشهای محافظت در برابر بدافزار برای سال 2021
Ransomware: Encryption، Exfiltration، and Extortion
مرتکبان باج افزار در گذشته مشکل در دسترس بودن از طریق رمزگذاری را ارائه می دادند. عادی جدید در میان خانواده های باج افزار افزودن مواد منفجره و اخاذی است. کتی نیکلز ، مربی و مدیر اطلاعات ارشد SANS ، فرآیند هکرها را مورد بررسی قرار داد ، از جمله 1) دسترسی اولیه ، 2) شناسایی ، 3) حرکت جانبی ، 4) اکسفیلتراسیون و 5) رمزگذاری. با استفاده از ابزارهای مشروع به اشتراک گذاری پرونده مانند RClone و MegaCmdServer ، فعالیتهای مخرب هنگام بارگیری داده های شبکه شما غیرقابل شناسایی می شوند.
اگرچه میزان داده های برگشتی هنگام پرداخت دیه توسط سازمان ها در گذشته زیاد بوده است ، اما هیچ افتخاری برای آنها وجود ندارد سارقان.
Conti ، Netwalker و Sodinokibi همگی اخیراً باج افزارهایی هستند که پس از پرداخت دیه ، قربانیان را مجدداً اخاذی کرده و یا محتوای شبکه را منتشر می کردند. نیکلز پیشنهاد می کند سازمان ها از این راهنمایی پیروی کنند:
همچنین بخوانید: How Zero Trust Security می تواند در برابر Ransomware محافظت کند
Old Way | New Way | |
---|---|---|
جلوگیری از | فقط به نسخه های پشتیبان آفلاین اعتماد کنید | اشتراک فایل غیر ضروری |
شناسایی | تمرکز بر رمزگذاری | فرض در exfiltration |
پاسخ | فرض کنید که داده ها را پس می گیرید | به دشمنان اعتماد نکنید |
CISA: آسیب پذیری های زیر سیستم عامل (VBOS)
جدیدترین آژانس در وزارت امنیت داخلی ایالات متحده ، آژانس امنیت سایبری و زیرساخت (CISA) است که متهم به عنوان مشاور خطر کشور در زمینه خطرات سایبری و جسمی و تلاش برای تقویت انعطاف پذیری امنیت ملی است. در RSAC ، مقامات آژانس از بخش مدیریت آسیب پذیری شامل معاون دستیار Boyden Rohner و رئیس شعبه روش شناسی توماس Ruoff در ارائه ، " DHS CISA استراتژی برای رفع آسیب پذیری زیر سیستم عامل در میان بدترین مجرمان ."
نرم افزار : چه چیزی در زیر سطح وجود دارد؟
مصرف کنندگان حرفه ای صنعت برای دیدن نرم افزاری فراتر از سیستم عامل (OS) و لایه کاربرد آن تلاش می کنند. تقریباً مانند کوه یخی ، دیدن زیر سطح و درک کامل نرم افزار در حال حاضر تقریباً غیرممکن است. CISA جدیدترین کلمه اختصاری امنیت سایبری با آسیب پذیری های زیر سیستم عامل (VBOS) را معرفی کرد. از BIOS و سیستم عامل گرفته تا کد UEFI ، VBOS یک بردار حمله است که نیاز به توجه بیشتری دارد.
هدف فعلی: VBOS
در حالی که طراحی یک رابط سیستم عامل قابل توسعه یکپارچه (UEFI) بر محدودیت های BIOS غلبه کرد ، هر دو م criticalلفه برای عملکرد رایانه مهم هستند. یک هدف فزاینده هستند. حملات اخیر UEFI شامل حمله 2015 به شبکه برق اوکراین و حمله 2018 است که در آن بازیگران تهدید از روت کیت UEFI برای ریختن بدافزار اضافی در یک قسمت طولانی استفاده کردند. در حالی که هنوز در اقلیت حملات قرار داریم ، آسیب پذیری های میان افزار سال به سال در حال افزایش است. تشخیص حضور آنها می تواند بسیار دشوار باشد.
خبر خوب
در ارزیابی VBOS ، اخبار CISA این است که روش های کاهش آسیب پذیری – مانند ASLR ، STACK و CFG – بالای سیستم عامل به طور مداوم به شبکه ها اضافه می شوند و بهبود می یابند . بالاترین آن پیشگیری از اجرای داده ها (DEP) با 90 درصد پیاده سازی در محصولات تجاری است.
اخبار ناخوشایند
در طرف مقابل ، توسعه دهندگان ممکن است به تکنیک های تخفیف که تقریباً از دو دهه پیش آغاز شده اند ، نزدیک شوند. نیاز فعلی پرداختن به کاهش VBOS با کمی پیشرفت برای نشان دادن است. به این اضافه کنید شهرت فروشندگان این است که در طراحی محافظت از حافظه موجود (NX) – سازوکاری که از تزریق پوسته جلوگیری می کند – کمتر سازگار هستند.
تصمیم گیری با دید کامل
سیستم های IT و OT با مصالحه روبرو هستند زیرا سازمان ها از نظر نرم افزارهای آسیب پذیر از دید کافی برخوردار نیستند ، کد مخرب و استفاده مجدد ، و وابستگی های مدولار. برای کاهش موفقیت آمیز VBOS ، CISA آینده ای را متصور می شود که نرم افزار مشابه سایر محصولات مصرفی مورد موشکافی قرار گیرد.
دستیابی به اهداف از آسانترین تا دشوارترین موارد عبارتند از:
- الزام فروشندگان برای تهیه SBOM که تمام اجزا و اهداف م componentلفه را لیست کند [19659053] توسعه کاهش آسیب پذیری برای کد UEFI را الزام کنید
- گزارش عمومی در مورد قابلیت های محصولات نرم افزاری
- مکانیسم نشانگر خطر صنایع دستی برای تأیید نرم افزار قابلیت های اعلام شده را برآورده می کند
- گزارشات آزمایشی که برای ارزیابی خطر در دسترس عموم است
- دلسرد کردن ، ممنوع کردن ، و محروم کردن محصولات از بدترین مجرمان
از هم اکنون ، صنعت امنیت اطلاعات در آغاز اجرای SBOM برای محصولات نرم افزاری است. در حالی که CIO ها ، CISO ها و مدیران خرید اغلب بر اساس نرم افزار تصمیمی اتخاذ می کنند ، پاسخگویی بیشتر در توسعه نرم افزار که از زیر سیستم عامل شروع می شود ، می تواند منجر به داده های بیشتر و تصمیمات مبتنی بر ریسک شود.
همچنین بخوانید: امنیت سایبری از اولویت های دولت است [19659060] Varonis: ناقلین و نقاط ضعف حمله غیر انتهایی
بررسی کامل ما درباره آسیب پذیریهای مورد بحث در RSAC امسال " جنگ در جایی که نیستند: چگونه مهاجمان از نقاط انتهایی در حملات مدرن جلوگیری می کنند " توسط شرکت نرم افزاری امنیت سایبری Varonis Systems. پیشگامان بحث ، CTO فیلد برایان وچی و مدیر امنیت سایبری اسنیر بن شیمول بودند.
مدتی است که نقاط پایانی بردار اولویت برای محافظت از امنیت شبکه هستند ، اما واقعیت این است که مهاجمان به طور فزاینده ای در خارج از نقاط انتهایی حمله می کنند. همانطور که طبیعت امنیت سایبری است ، وارونیس قبل از فرو رفتن در روندهای رو به رشد آسیب پذیری های غیر انتهایی ، به طور مناسب از Sun Tsu "حمله به او در جایی که او آماده نیست ، به نظر می رسد جایی که انتظار نمی رود" استفاده کرد.
همچنین بخوانید: PowerShell Is Source بیش از یک سوم تهدیدهای امنیتی مهم
Gateway Compromise
اعم از VPN ، فایروال یا سرور دسترسی از راه دور ، ورود غیرمجاز از طریق درگاه های شبکه یک مشکل است. روش های دسترسی اولیه برای دروازه ها با دارا بودن 45٪ از دسترسی های اولیه سنتی مانند RDP ، VPN و RCE ، بازار Dark وب را در اختیار دارند. از آسیب پذیری های مهم دروازه می توان به ProxyLogon MS Exchange ، نقص VPN SonicWall's Pulse در سال 2019 و آسیب پذیری تزریق SQL در اوایل سال 2021 اشاره کرد.
با دسترسی اولیه به یک دروازه ، هکرها می توانند به صورت جانبی به یک سرور داخلی منتقل شوند و آنها را به سمت داخلی سوق دهند. DNS و Active Directory.
همچنین بخوانید: نحوه جلوگیری از حملات DNS
حملات زنجیره تأمین
در حملات زنجیره تامین ، بازیگران مخرب نقاط ورودی ارائه دهندگان نرم افزار را که مسئول تهیه و به روزرسانی جهانی راه حل ها هستند ، هدف قرار می دهند. وقتی مهاجمان سرور داخلی یک فروشنده را به خطر می اندازند ، دسترسی به AD ، داده های داخلی و DNS داخلی به مجرمان دید کاملی برای شناسایی می دهد. از طریق یک پروکسی به جلو ، هکر می تواند به سرور بروزرسانی دسترسی پیدا کند و کد مخربی را در کل شبکه مشتری فروشنده توزیع کند.
شاید هیچ نمونه اخیر بهتر این آسیب پذیری را از حماسه نقض SolarWinds و Solorigate نشان ندهد.
برنامه های ابری مخرب
] در حالی که فیشینگ یکی از قدیمی ترین TTP ها در کتاب هکر است ، هنوز هم کار می کند – و به لطف مهندسی اجتماعی ، به تکامل خود ادامه می دهد. این آسیب پذیری در کنار اعتماد روزافزون مصرف کننده به برنامه ها بازی می کند زیرا خود را به عنوان یک برنامه ابری قانونی نشان می دهد. مهاجمان به عنوان یک برنامه Azure که درخواست مجوز می دهد ، قربانیان را فریب می دهند تا به 365 مجموعه خود و بیشتر اجازه دسترسی دهند.
با پیکربندی مجوزهای MS Graph API در کد برنامه ، بازیگران مخرب می توانند از دسترسی ناخواسته کاربران استفاده کنند. بسته به مجوزهای اعطا شده ، هکرها می توانند به داده های حساس دسترسی پیدا کنند و پرونده های قابل استفاده برای کاربر را اصلاح کنند.
Insider Threats
آخرین اما مهمترین نکته این است که آسیب پذیری کارکنان یک سازمان است. بیشترین آسیب پذیری مربوط به پرسنل شامل آموزش ، افزایش آگاهی و هوشیاری از خطاهای انسانی است. این واقعیت ضروری است که مدیران شبکه برای پر کردن خلا gap راه انداز فعال باشند. اما چگونه می توانید احتمال شروع کار حمله ای کارمندی را کاهش دهید؟
در اواخر سال 2020 ، استخدام جدیدی موقعیت خود را در تسلا آغاز کرد و سوابق نشان می دهد که او تقریباً بلافاصله پرونده ها و اسکریپت ها را به حساب Dropbox خود بارگذاری می کند. این موارد بیشتر از آنچه گزارش شده رخ می دهد و از بین رفتن مالکیت معنوی می تواند عمیق باشد. با دسترسی به اطلاعات بیشتر از حد مورد نیاز در روز اول ، سازمان ها باید در مورد چگونگی تعامل کارکنان و منابع داده هوشمند عمل کنند.
همچنین بخوانید: راه حل های برتر از دست دادن داده ها (DLP)
ممکن است اصطلاحاتی مانند آنتی ویروس ، EDR و EPP مانند اصطلاحاتی باشند که در اورژانس بیمارستان می شنوید ، اما در اهمیت این ابزارها برای امنیت نقطه پایانی هیچ اشتباهی وجود ندارد. در یک طرف ، نرم افزار آنتی ویروس برای شما مناسب است تعداد محدودی از دستگاهها را که نیاز به محافظت دارند و بودجه کمی برای محافظت از آنها در اختیار دارید. در انتهای دیگر ، ممکن است تشخیص و پاسخ به نقطه نهایی (EDR) بهترین گزینه شما برای ایمن سازی دستگاه های متعدد با بودجه بیشتر باشد. EDR نیز ترجیح داده می شود اگر شما نیاز به نظارت بر امنیت نقطه پایانی خود از یک نقطه دید بالاتر دارید. سیستم عامل های حفاظت از Endpoint (EPP) از نظر قابلیت ها و مقیاس تا حدودی در وسط قرار دارند و اغلب با EDR ترکیب می شوند تا کوکتل امنیتی عالی برای ایجاد نقطه پایانی ایجاد شود. بنابراین هنگام تأمین امنیت نقاط پایانی سازمان خود ، چه روشی را باید در پیش بگیرید؟ بیایید هر استراتژی را شکسته و درک کنیم که کدام یک از آنها برای شما مناسب تر است. رفتن به: محافظت در برابر آنتی ویروس رایج ترین نوع امنیت نقطه پایانی است ، به ویژه در میان لوازم الکترونیکی مصرفی . برخی از دستگاه ها با نصب نرم افزار آنتی ویروس از قبل نصب شده اند ، اما فروشندگانی وجود دارند که برای حفاظت پیشرفته تر ، راه حل های برتر ارائه می دهند. نرم افزار آنتی ویروس معمولی کامپیوتر کاربر را از نظر بدافزار مانند کرم ها ، تروجان ها ، تبلیغات تبلیغاتی ، باج افزارها و سایر موارد اسکن می کند. برخی از فروشندگان آنتی ویروس از هوش مصنوعی (AI) و یادگیری ماشین پشتیبانی می کنند ، اما بسیاری این کار را نمی کنند. این ویژگی های پیشرفته برای محافظت از نقاط پایانی در برابر انواع تهدیدات پیچیده ای که غالباً سعی در به خطر انداختن داده های تجاری دارند ، ضروری است. توصیه می شود: بهترین نرم افزار ضد ویروس برای سال 2020 سیستم عامل حفاظت از نقطه پایانی (EPP) اغلب شامل ابزارهای آنتی ویروس است و در عین حال چند ویژگی اصلی اضافی را نیز ارائه می دهد. اول ، این یادگیری ماشین را برای پشتیبانی از تجزیه و تحلیل رفتاری ، که نظارت بر تهدید سنتی را فراتر از تهدیدهای شناخته شده گسترش می دهد ، اضافه می کند. این قابلیت به یک EPP اجازه می دهد علاوه بر حملاتی که شایع تر است ، از حملات ناشناخته جلوگیری کند. EPP همچنین شاخص های سازش (IoC) را تأیید می کند و حافظه دستگاه را کنترل می کند تا الگوهای نامنظم در مصرف حافظه را شناسایی کند. EPP برای مدیریت گسترده نقاط انتهایی و جلوگیری از تهدید در شرکت های بزرگ از حفاظت از آنتی ویروس اساسی بهتر است ، اما برخی از حملات پیچیده هنوز قادر به فرار از شناسایی است. همچنین لازم به ذکر است که اگرچه EPP برای شناسایی آسیب پذیری ها و جلوگیری از حملات مفید است ، اما برای برداشتن تهدیدهای فعال که از نقاط انتهایی شما عبور می کنند کوتاه مدت متوقف می شود. به همین دلیل است که اغلب با راه حل های EDR برای ایجاد یک سیستم امنیتی چند لایه ترکیب می شود. تشخیص و پاسخ نقطه پایانی (EDR) جدیدترین و پیشرفته ترین لایه حفاظت از نقطه پایان است . این پشتیبانی از EPP معمولی برای هوش مصنوعی ، یادگیری ماشین ، هوش تهدید و تجزیه و تحلیل رفتاری را گسترش می دهد تا راه حلی ایجاد کند که حملات را خنثی کند. اگر EPP سپر باشد ، EDR شمشیر است. به همین منظور ، یک سیستم EDR داده های نقاط انتهایی شبکه را جمع آوری و تحلیل می کند تا بتواند حمله را در مسیرهای خود متوقف کند. پس از برطرف شدن تهدید ، می توان از EDR برای ردیابی دقیق منبع حمله استفاده کرد تا از وقایع مشابه در آینده جلوگیری شود. EDR به عنوان یک مرکز مدیریت متمرکز برای نقاط انتهایی سازمان در سراسر شبکه عمل می کند. این عمل برای جلوگیری از حمله در اولین علائم تشخیص ، حتی قبل از اینکه یک مدیر انسانی از وجود تهدید مطلع شود ، عمل می کند. در حالی که EPP اولین خط دفاعی است که پیشگیری از تهدیدات منفعل را فراهم می کند ، EDR به طور فعال برای کاهش حملات شبکه قبل از اینکه صدمه قابل توجهی وارد کند ، کار می کند. توصیه می شود: تشخیص و پاسخ به نقطه نهایی (EDR) راه حل ها هیچ سوالی وجود ندارد که عدم اجرای نوعی امنیت نقطه پایانی می تواند عواقب فاجعه بار داشته باشد. شما برای محافظت از سازمان خود به چیز نیاز دارید ، اما آنچه در عمل به نظر می رسد به اندازه شرکت ، صنعت و نیاز شما به امنیت بالا و محافظت از قوانین حریم خصوصی داده ها بستگی دارد. EDR – یا در حداقل ، EPP – برای شرکت های بزرگتر ایده آل است ، اما بهترین استراتژی شامل ترکیبی از هر دو است. در واقع ، اکثر فروشندگان امنیت نقطه پایان سازمانی یک راه حل ترکیبی EDR / EPP ارائه می دهند. این اطمینان می دهد که نقاط پایانی یک شرکت از هر جهت محافظت می شوند. نرم افزار آنتی ویروس برای مشاغل کوچک حداقل گزینه مناسبی است ، اما کسانی که با داده های بسیار حساس کار می کنند باید در یک چارچوب EDR و / یا EPP قوی تر سرمایه گذاری کنند. پیشگیری از حمله همیشه مقرون به صرفه تر از تمیز کردن بعد از حمله است ، بنابراین مطمئن شوید که امنیت نقطه پایانی که انتخاب می کنید متناسب با نیازهای سازمان شماست. آنتی ویروس در مقابل EPP در مقابل EDR: چگونه نقاط پایانی خود را ایمن کنیم
آنتی ویروس چیست؟
(EPP)؟
تشخیص و پاسخ نقطه پایانی (EDR) چیست؟
نحوه انتخاب صحیح استراتژی امنیتی نقطه پایانی
خرید وی پی ان