هفته گذشته کنفرانس RSA تعداد زیادی از آسیب پذیری های امنیت شبکه را تحت پوشش قرار داد ، از توسعه سیاست های مقاوم سازی قوی تر و رسیدگی به حملات مبتنی بر UEFI و بردارهای حمله غیر انتهایی. پیش از این کنفرانس ، ایالات متحده بزرگترین حمله سایبری خود را به زیرساخت های مهم تا کنون با برخورداری باج افزار از طریق استفاده از خط لوله استعماری تجربه کرده است.
پیام کلی در مورد آسیب پذیری های کنفرانس این است که امنیت سایبری یک بازی مداوم برای آماده سازی برای جدیدترین و خطرناک ترین تاکتیک ها است ، تکنیک ها و رویه ها (TTP).
ما سه جلسه RSAC 2021 و برخی از دلهره آورترین نقاط آسیب پذیری ارائه شده توسط موسسه SANS ، آژانس امنیت سایبری و زیرساخت (CISA) و Varonis Systems را بررسی می کنیم.
همچنین بخوانید: و برنده مسابقه نوآوری RSA 2021 SANS…
SANS: پنج روش حمله و آسیب پذیری جدید خطرناک
ارائه موسسه SANS ، " پنج خطرناک ترین روش جدید حمله " یک RSAC است پایه اصلی این نقطه آسیب پذیری های برجسته امسال عبارتند از:
Testing Integrity Software
برای شروع جلسه ، همکار SANS و مدیر Ed Skoudis در مورد معماری یکپارچگی نرم افزار صحبت کردند. اسکودیس با استناد به مقاله 1984 کن تامپسون ، "تأملاتی در اعتماد اعتماد" ، اشاره کرد که هیچ مقدار تأیید در سطح منبع وجود ندارد که بتواند یک سازمان را از کد غیرقابل اعتماد محافظت کند. با این حال ، این دقیقاً مخمصه است. توزیع نرم افزار سرعت را نسبت به اعتماد اولویت می دهد و نتیجه آن آسیب پذیری های احتمالی است. حملات ، درصورتی که توسعه دهندگان هدف آن باشند ، می توانند کل اجتماعات را تحت تأثیر قرار دهند ، در حالی که تهیه کد برای آنها مهم است.
برای رفع آسیب پذیری های یکپارچگی نرم افزار ، Skoudis سازمان ها را تشویق می کند:
دسترسی بیش از حد توسط Tokens
ارائه دو مورد از خطرناک ترین حمله تکنیک ها ، هدایت برنامه درسی SANS DFIR و مدیر هوش دیجیتال هدر مهالیک اولین بار در مسئله هویت و مدیریت دسترسی در دوره کار از خانه کار کردند. همانطور که در راهنمای ما برای OAuth شرح داده شده است ، نشانه ها چگونگی کارکرد برنامه ها ، API ها و مرورگرها برای فراهم کردن دسترسی گسترده به کاربران هستند. اولویت ها و پروژه های برتر 2021
واقعیت این است که اگر دسترسی اولیه همه نیاز به یک بازیگر مخرب برای پیمایش منابع شبکه باشد ، راه حل هایی مانند ورود به سیستم تک (SSO) و احراز هویت چند عاملی (MFA) می توانند فاجعه را نشان دهند. برای مدیران رمزها ، این کار پیکربندی دسترسی برای کاهش دسترسی بیش از حد می شود. بدون اینکه کاربر حتی متوجه این موضوع شود ، مهاجمان می توانند رمزهای دسترسی را ربوده کنند.
با استفاده از رمزپذیر آسیب پذیر برای دسترسی به برنامه
در همان زمینه آسیب پذیری های یکپارچگی نرم افزار ، توسعه دهندگان خود را بین پاسخگویی به تقاضای مصرف کننده بی تاب و بهینه سازی امنیت قرار می دهند. نتیجه این امر سازمان ها و مولدهای توکن ها هستند که از رمزنگاری با آسیب پذیری های شناخته شده استفاده می کنند. اگرچه کاربران ممکن است سریعتر به برنامه دسترسی داشته باشند ، اما سازمان در نتیجه آسیب پذیرتر است. سازمان ها باید سیستم های دسترسی به برنامه های خود را تأیید کنند تا بازیگران مخرب قادر به شکستن رمزنگاری نباشند.
Machine Learning Ups Adversary Skills
SANS ، رئیس تحقیقات تحقیقات ، بیان کرد که چرا یادگیری ماشین (ML) فوق العاده است اما بدون آن خالی از لطف نیست. آسیب پذیری های آن مدتهاست که شناسایی بدافزار بازی شناسایی امضا است. با استفاده از ML و هوش مصنوعی (AI) هزاران فشار برای آموزش الگوریتم ها ، می توان حدس زد که توانایی شناسایی بدافزارها فقط در حال بهبود است.
متأسفانه ، پیشرفت در امنیت سایبری به بازیگران مخرب گسترش می یابد ، همانطور که برای متخصصان این صنعت انجام می شود. هکرها برای جلوگیری از استفاده از بدافزار شناخته شده از همان فناوری ML و AI استفاده می کنند. نتیجه این امر ثروت دشمنانی است که قادر به فرار از شناسایی و شبکه هایی نیستند که برای تهدید روز صفر آماده نیستند. اولریچ خاطرنشان کرد: سازمانها نمی توانند به مدلهای استاتیک متکی باشند و باید داده های آموزش را اولویت بندی کنند تا چیزی بیش از آنچه که شناخته شده است ببینند.
در جلسه دیگری RSAC ، بروس اشنایر ، تکنسین امنیتی ، درمورد اینکه چگونه ممکن است هوش مصنوعی توزیع بدافزار نکند ، اما آینده ای که در آن توزیع می شود ، بحث کرد. ممکن است کاملاً علمی تخیلی نباشد. در یک فراخوان اقدام ، اشنایر تأکید کرد که باید از هوش مصنوعی کنترل شود تا از دیدن توانایی های مخرب آن در جاده جلوگیری شود.
همچنین بخوانید: انواع بدافزارها | بهترین روشهای محافظت در برابر بدافزار برای سال 2021
Ransomware: Encryption، Exfiltration، and Extortion
مرتکبان باج افزار در گذشته مشکل در دسترس بودن از طریق رمزگذاری را ارائه می دادند. عادی جدید در میان خانواده های باج افزار افزودن مواد منفجره و اخاذی است. کتی نیکلز ، مربی و مدیر اطلاعات ارشد SANS ، فرآیند هکرها را مورد بررسی قرار داد ، از جمله 1) دسترسی اولیه ، 2) شناسایی ، 3) حرکت جانبی ، 4) اکسفیلتراسیون و 5) رمزگذاری. با استفاده از ابزارهای مشروع به اشتراک گذاری پرونده مانند RClone و MegaCmdServer ، فعالیتهای مخرب هنگام بارگیری داده های شبکه شما غیرقابل شناسایی می شوند.
اگرچه میزان داده های برگشتی هنگام پرداخت دیه توسط سازمان ها در گذشته زیاد بوده است ، اما هیچ افتخاری برای آنها وجود ندارد سارقان.
Conti ، Netwalker و Sodinokibi همگی اخیراً باج افزارهایی هستند که پس از پرداخت دیه ، قربانیان را مجدداً اخاذی کرده و یا محتوای شبکه را منتشر می کردند. نیکلز پیشنهاد می کند سازمان ها از این راهنمایی پیروی کنند:
همچنین بخوانید: How Zero Trust Security می تواند در برابر Ransomware محافظت کند
Old Way | New Way | |
---|---|---|
جلوگیری از | فقط به نسخه های پشتیبان آفلاین اعتماد کنید | اشتراک فایل غیر ضروری |
شناسایی | تمرکز بر رمزگذاری | فرض در exfiltration |
پاسخ | فرض کنید که داده ها را پس می گیرید | به دشمنان اعتماد نکنید |
CISA: آسیب پذیری های زیر سیستم عامل (VBOS)
جدیدترین آژانس در وزارت امنیت داخلی ایالات متحده ، آژانس امنیت سایبری و زیرساخت (CISA) است که متهم به عنوان مشاور خطر کشور در زمینه خطرات سایبری و جسمی و تلاش برای تقویت انعطاف پذیری امنیت ملی است. در RSAC ، مقامات آژانس از بخش مدیریت آسیب پذیری شامل معاون دستیار Boyden Rohner و رئیس شعبه روش شناسی توماس Ruoff در ارائه ، " DHS CISA استراتژی برای رفع آسیب پذیری زیر سیستم عامل در میان بدترین مجرمان ."
نرم افزار : چه چیزی در زیر سطح وجود دارد؟
مصرف کنندگان حرفه ای صنعت برای دیدن نرم افزاری فراتر از سیستم عامل (OS) و لایه کاربرد آن تلاش می کنند. تقریباً مانند کوه یخی ، دیدن زیر سطح و درک کامل نرم افزار در حال حاضر تقریباً غیرممکن است. CISA جدیدترین کلمه اختصاری امنیت سایبری با آسیب پذیری های زیر سیستم عامل (VBOS) را معرفی کرد. از BIOS و سیستم عامل گرفته تا کد UEFI ، VBOS یک بردار حمله است که نیاز به توجه بیشتری دارد.
هدف فعلی: VBOS
در حالی که طراحی یک رابط سیستم عامل قابل توسعه یکپارچه (UEFI) بر محدودیت های BIOS غلبه کرد ، هر دو م criticalلفه برای عملکرد رایانه مهم هستند. یک هدف فزاینده هستند. حملات اخیر UEFI شامل حمله 2015 به شبکه برق اوکراین و حمله 2018 است که در آن بازیگران تهدید از روت کیت UEFI برای ریختن بدافزار اضافی در یک قسمت طولانی استفاده کردند. در حالی که هنوز در اقلیت حملات قرار داریم ، آسیب پذیری های میان افزار سال به سال در حال افزایش است. تشخیص حضور آنها می تواند بسیار دشوار باشد.
خبر خوب
در ارزیابی VBOS ، اخبار CISA این است که روش های کاهش آسیب پذیری – مانند ASLR ، STACK و CFG – بالای سیستم عامل به طور مداوم به شبکه ها اضافه می شوند و بهبود می یابند . بالاترین آن پیشگیری از اجرای داده ها (DEP) با 90 درصد پیاده سازی در محصولات تجاری است.
اخبار ناخوشایند
در طرف مقابل ، توسعه دهندگان ممکن است به تکنیک های تخفیف که تقریباً از دو دهه پیش آغاز شده اند ، نزدیک شوند. نیاز فعلی پرداختن به کاهش VBOS با کمی پیشرفت برای نشان دادن است. به این اضافه کنید شهرت فروشندگان این است که در طراحی محافظت از حافظه موجود (NX) – سازوکاری که از تزریق پوسته جلوگیری می کند – کمتر سازگار هستند.
تصمیم گیری با دید کامل
سیستم های IT و OT با مصالحه روبرو هستند زیرا سازمان ها از نظر نرم افزارهای آسیب پذیر از دید کافی برخوردار نیستند ، کد مخرب و استفاده مجدد ، و وابستگی های مدولار. برای کاهش موفقیت آمیز VBOS ، CISA آینده ای را متصور می شود که نرم افزار مشابه سایر محصولات مصرفی مورد موشکافی قرار گیرد.
دستیابی به اهداف از آسانترین تا دشوارترین موارد عبارتند از:
- الزام فروشندگان برای تهیه SBOM که تمام اجزا و اهداف م componentلفه را لیست کند [19659053] توسعه کاهش آسیب پذیری برای کد UEFI را الزام کنید
- گزارش عمومی در مورد قابلیت های محصولات نرم افزاری
- مکانیسم نشانگر خطر صنایع دستی برای تأیید نرم افزار قابلیت های اعلام شده را برآورده می کند
- گزارشات آزمایشی که برای ارزیابی خطر در دسترس عموم است
- دلسرد کردن ، ممنوع کردن ، و محروم کردن محصولات از بدترین مجرمان
از هم اکنون ، صنعت امنیت اطلاعات در آغاز اجرای SBOM برای محصولات نرم افزاری است. در حالی که CIO ها ، CISO ها و مدیران خرید اغلب بر اساس نرم افزار تصمیمی اتخاذ می کنند ، پاسخگویی بیشتر در توسعه نرم افزار که از زیر سیستم عامل شروع می شود ، می تواند منجر به داده های بیشتر و تصمیمات مبتنی بر ریسک شود.
همچنین بخوانید: امنیت سایبری از اولویت های دولت است [19659060] Varonis: ناقلین و نقاط ضعف حمله غیر انتهایی
بررسی کامل ما درباره آسیب پذیریهای مورد بحث در RSAC امسال " جنگ در جایی که نیستند: چگونه مهاجمان از نقاط انتهایی در حملات مدرن جلوگیری می کنند " توسط شرکت نرم افزاری امنیت سایبری Varonis Systems. پیشگامان بحث ، CTO فیلد برایان وچی و مدیر امنیت سایبری اسنیر بن شیمول بودند.
مدتی است که نقاط پایانی بردار اولویت برای محافظت از امنیت شبکه هستند ، اما واقعیت این است که مهاجمان به طور فزاینده ای در خارج از نقاط انتهایی حمله می کنند. همانطور که طبیعت امنیت سایبری است ، وارونیس قبل از فرو رفتن در روندهای رو به رشد آسیب پذیری های غیر انتهایی ، به طور مناسب از Sun Tsu "حمله به او در جایی که او آماده نیست ، به نظر می رسد جایی که انتظار نمی رود" استفاده کرد.
همچنین بخوانید: PowerShell Is Source بیش از یک سوم تهدیدهای امنیتی مهم
Gateway Compromise
اعم از VPN ، فایروال یا سرور دسترسی از راه دور ، ورود غیرمجاز از طریق درگاه های شبکه یک مشکل است. روش های دسترسی اولیه برای دروازه ها با دارا بودن 45٪ از دسترسی های اولیه سنتی مانند RDP ، VPN و RCE ، بازار Dark وب را در اختیار دارند. از آسیب پذیری های مهم دروازه می توان به ProxyLogon MS Exchange ، نقص VPN SonicWall's Pulse در سال 2019 و آسیب پذیری تزریق SQL در اوایل سال 2021 اشاره کرد.
با دسترسی اولیه به یک دروازه ، هکرها می توانند به صورت جانبی به یک سرور داخلی منتقل شوند و آنها را به سمت داخلی سوق دهند. DNS و Active Directory.
همچنین بخوانید: نحوه جلوگیری از حملات DNS
حملات زنجیره تأمین
در حملات زنجیره تامین ، بازیگران مخرب نقاط ورودی ارائه دهندگان نرم افزار را که مسئول تهیه و به روزرسانی جهانی راه حل ها هستند ، هدف قرار می دهند. وقتی مهاجمان سرور داخلی یک فروشنده را به خطر می اندازند ، دسترسی به AD ، داده های داخلی و DNS داخلی به مجرمان دید کاملی برای شناسایی می دهد. از طریق یک پروکسی به جلو ، هکر می تواند به سرور بروزرسانی دسترسی پیدا کند و کد مخربی را در کل شبکه مشتری فروشنده توزیع کند.
شاید هیچ نمونه اخیر بهتر این آسیب پذیری را از حماسه نقض SolarWinds و Solorigate نشان ندهد.
برنامه های ابری مخرب
] در حالی که فیشینگ یکی از قدیمی ترین TTP ها در کتاب هکر است ، هنوز هم کار می کند – و به لطف مهندسی اجتماعی ، به تکامل خود ادامه می دهد. این آسیب پذیری در کنار اعتماد روزافزون مصرف کننده به برنامه ها بازی می کند زیرا خود را به عنوان یک برنامه ابری قانونی نشان می دهد. مهاجمان به عنوان یک برنامه Azure که درخواست مجوز می دهد ، قربانیان را فریب می دهند تا به 365 مجموعه خود و بیشتر اجازه دسترسی دهند.
با پیکربندی مجوزهای MS Graph API در کد برنامه ، بازیگران مخرب می توانند از دسترسی ناخواسته کاربران استفاده کنند. بسته به مجوزهای اعطا شده ، هکرها می توانند به داده های حساس دسترسی پیدا کنند و پرونده های قابل استفاده برای کاربر را اصلاح کنند.
Insider Threats
آخرین اما مهمترین نکته این است که آسیب پذیری کارکنان یک سازمان است. بیشترین آسیب پذیری مربوط به پرسنل شامل آموزش ، افزایش آگاهی و هوشیاری از خطاهای انسانی است. این واقعیت ضروری است که مدیران شبکه برای پر کردن خلا gap راه انداز فعال باشند. اما چگونه می توانید احتمال شروع کار حمله ای کارمندی را کاهش دهید؟
در اواخر سال 2020 ، استخدام جدیدی موقعیت خود را در تسلا آغاز کرد و سوابق نشان می دهد که او تقریباً بلافاصله پرونده ها و اسکریپت ها را به حساب Dropbox خود بارگذاری می کند. این موارد بیشتر از آنچه گزارش شده رخ می دهد و از بین رفتن مالکیت معنوی می تواند عمیق باشد. با دسترسی به اطلاعات بیشتر از حد مورد نیاز در روز اول ، سازمان ها باید در مورد چگونگی تعامل کارکنان و منابع داده هوشمند عمل کنند.
همچنین بخوانید: راه حل های برتر از دست دادن داده ها (DLP)
در بزرگترین حمله سایبری تاکنون به زیرساختهای مهم در ایالات متحده ، خط لوله استعماری – که 5 هزار و 500 مایل از هوستون به شهر نیویورک می رسید – خطوط اصلی خود را در روز جمعه 7 مه متوقف کرد ، زمانی که مدیران باج افزار پیشرفته را از داخل کشف کردند. روز پنجشنبه ، یک روز قبل از حمله باج افزار ، گروه جنایی سایبری DarkSide مستقر در روسیه بیش از 100 گیگابایت داده را سرقت کرد ، به DarkSide اهرم قدرت بیشتری برای استخراج دیه از Colonial Pipeline اضافه کرد ، که برخی از آنها تصور می کردند در پایان می تواند باج بدهد تا از یک فاجعه طولانی و بالقوه جلوگیری کند. خاموش کردن روز دوشنبه ، 10 مه ، استعمار اعلام كرد كه "هدف خود را برای بازگرداندن خدمات عملیاتی تا پایان هفته" تعیین كرده است ، این بدان معناست كه ایالات متحده شرقی احتمالاً روزها با عدم اطمینان در مورد تأمین انرژی خود روبرو خواهد شد. این حمله باید به عنوان یک زنگ خطر برای سازمانهایی در زیرساختهای حیاتی که قادر به انجام اقدامات حفاظتی باج افزار نیستند و دفاعی امنیتی پیشرفته سایبری را که سطح حمله بالقوه را محدود می کند ، مانند ریز تقسیم بندی و اعتماد صفر ، برای جداسازی بهتر داده های مهم و فناوری عملیاتی (OT) ، به کار گرفته شده است. همچنین بخوانید: ریز تقسیم بندی: تکامل بعدی در امنیت سایبری استعمار ، دفتر مرکزی آن در آلفارتا ، جورجیا ، بزرگترین تأمین کننده انرژی تصفیه شده در ایالات متحده است. خط لوله استعماری 45 درصد از بنزین ، گازوئیل ، سوخت جت و سوخت گرمایشی ساحل شرقی ایالات متحده را تأمین می کند. استعمار با تحریک برجسته در جورجیا ، کارولینای جنوبی ، کارولینای شمالی ، تنسی و ویرجینیا ، 70٪ سوخت مایع این ایالت های جنوب شرقی را تأمین می کند. خطوط اصلی و استعمار کل روزانه 3.4 میلیون بشکه نفت و گاز طبیعی را در ایالات متحده حمل می کنند ، یا تقریبا 150 میلیون گالن – مبلغی که صنعت حمل و نقل ، راه آهن و کشتی نمی تواند با وجود کاهش محدودیت دستورات اضطراری مطابقت داشته باشد ، بنابراین استعمار را تحت فشار قرار می دهد برای حل بحران قبل از اینکه ساحل شرقی را فلج کند. کلونیال پس از شناسایی حمله باج افزار در روز جمعه ، اظهار داشت که "برخی از سیستم ها را به صورت آفلاین برای جلوگیری از تهدید انجام می دهند ، که به طور موقت تمام عملیات خط لوله را متوقف کرده و برخی از IT ما را تحت تأثیر قرار داده است. سیستم های." همانطور که تأمین کننده انرژی تلاش می کند تخلف را برطرف کند ، شرکت FireEye Mandiant را امضا کرده است تا تحقیقات را انجام دهد ، زیرا FireEye پس از فاش شدن نفوذ Sunburst در SolarWinds در دسامبر همچنان برای خود نامی به وجود آورد. شرکت های امنیتی سایبری و افراد داخلی گمانه زنی کردند فروشنده امنیت سایبری انگلستان Digital Shadows به پراکسی گفت که با دسترسی مهندسان بیشتر از راه دور به سیستم های کنترل ، تعجب آور نخواهد بود اگر دسترسی از راه دور با سازماندهی آزاد ، آسیب پذیری اصلی باشد. در صبح روز دوشنبه توییت ، مدیر سابق CISA ، کریس کربس در توییت خود نوشت: با بیرون آمدن از یک باج افزار ، هر مدیرعامل تیم رهبر ارشد را دعوت می کند و امنیت را بررسی می کند (وزارت امور خارجه روشن است ، بله؟) ، برنامه پاسخ به حادثه (ما یک برنامه داریم و آزمایش شده است ، نه؟) ، طرح تجارت مشاغل (چه مدت برای بازیابی نسخه پشتیبان تهیه می شود؟ ما پشتیبان داریم؟ در این بین چه کاری انجام می دهیم؟) – Chris Krebs (C_C_Krebs) 10 مه 2021 اگر مهاجمان فقط به سیستم های رایانه ای تجاری محدود بودند ، مدیر عامل دراگوس ، راب لی به پولیتیکو گفت ، "من فکر می کنم این کار کوتاه مدت خواهد بود." پاسخ سریع اکثر سازمان ها برای خاموش کردن سیستم های مهم ماموریت در یک تلاش برای جلوگیری از گسترش ذاتاً منجر به برخی از زمان خرابی می شود. فقط وخیم تر کردن وضعیت اقتصادی ، تامین سوخت برای دو خط اصلی حمل سوخت از پسادنا ، تگزاس به گرینزبورو ، کارولینای شمالی ، در ماه های اخیر به دلیل کاهش تقاضا برای انرژی در طی همه گیر شدن ، کاهش یافته بود. بنیانگذار CrowdStrike و دیمیتری آلپروویچ ، CTO سابق روز یکشنبه از طریق توییتر اظهار داشت: باز هم نمونه دیگری از تأثیرگذاری زیرساخت های فیزیکی حتی وقتی شبکه های IT به خطر بیفتند. ما این فیلم را قبلاً با NotPetya و سایر حملات IT دیده ایم. اگر نمی توانید مشتری های خود را صورتحساب کنید یا بفهمید ، ممکن است چاره ای جز خاموش کردن آن نداشته باشید https://t.co/NkTJ5ttDwScepts19659002 ]— دیمیتری آلپروویچ (DAperperitch @) 10 مه 2021 استعمار در موقعیتی است که شروع مجدد طولانی مدت می تواند برای سازمان و اقتصاد ایالات متحده ویرانگر باشد. تحلیلگر بازار نفت ، گوراو شارما به پراکسی گفت ، "مگر اینکه آنها این مشکل را تا روز سه شنبه مرتب کنند ، آنها در دردسر بزرگی به سر می برند … اولین مناطقی که آسیب می بینند می توانند آتلانتا و تنسی باشند. پس از آن اثر دومینو به نیویورک افزایش می یابد. " همانطور که رئیس جمهور بایدن در اواخر آوریل خطاب به ملت گفت ، eSecurity Planet در مورد احتمال حضور بیشتر دولت در ایجاد زیرساخت های امنیت سایبری قوی تر برای نهادهای دولتی و خصوصی. در سخنرانی مشترک وی ، استراتژی سایبری بایدن متمرکز بر مهار تهدیدهای مداوم پیشرفته (APT) از روسیه است ، اما تهدیدهای سایبری پیشرفته همچنان استانداردهای انتساب را برای مقصر دانستن بین کشورها پایین می آورند ، و روسیه نشانه چندانی از پاسخگویی این بازیگران در کشور نشان نمی دهد قبل از حمله استعمار ، وزارت انرژی و CISA ابتکاری را برای کار با عملیات سیستم کنترل صنعتی برای بهبود شناسایی امنیت سایبری آغاز کردند و در فوریه ، CISA کتابخانه منابع امنیت سایبری خط لوله را منتشر کرد. همچنین بخوانید : بیش از 75 درصد Ransomware از سخنرانان روسی حاصل می شود تعداد معدودی از آژانس های فدرال اکنون در حال بررسی این حمله هستند ، با CISA و FBI اظهار داشتند که احتمالاً یک کشور-ملت نیست بلکه گروهی به نام DarkSide نامیده می شود اقامت در روسیه دیمیتری آلپروویچ ، بنیانگذار Crowdstrike ، "با توجه به سیاست آشکار روسیه در پناه دادن و تحمل جرایم اینترنتی ، بی اهمیت است که آیا آنها برای دولت کار می کنند یا نه ، بی اهمیت است." در چند روز پس از انتشار اخبار ، بسیاری از مقامات برجسته کاپیتول هیل موارد خود را به اشتراک گذاشته اند هنگامی که کنگره در مورد قانون گسترده زیرساخت ها بحث می کند ، حمله خط لوله استعماری این واقعیت را تأکید می کند که امنیت سایبری خود زیرساخت حیاتی است و بنابراین احتمالاً تمرکز فدرال افزایش می یابد. [19659002] با افزایش حملات باج افزار به زیرساخت های مهم بین سالهای 2018 تا 2020 566٪ ، امنیت این منابع از قبل مورد توجه قرار گرفته بود. ماه گذشته ، گروه ویژه بخش خصوصی باج افزار (RTF) کارزاری را برای کاهش حملات باج افزار جهانی آغاز کرد. چارچوب جامع اقدام آنها 48 توصیه برای شناسایی و ایجاد اختلال در باج افزار ارائه می دهد. در جنوب شرقی ایالات متحده که خط لوله استعماری از تگزاس به نیوجرسی را نشان می دهد. ” width=”696″ height=”557″ srcset=”https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1024×819.jpeg 1024w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-300×240.jpeg 300w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-768×614.jpeg 768w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1536×1229.jpeg 1536w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-2048×1638.jpeg 2048w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-150×120.jpeg 150w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-696×557.jpeg 696w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1068×854.jpeg 1068w, https://www.esecurityplanet.com/wp-content/uploads/2021/05/Colonial-Pipeline-1920×1536.jpeg 1920w” sizes=”(max-width: 696px) 100vw, 696px”/> از اوت سال 2020 ، گروه بدافزار سازمان یافته معروف به DarkSide قبلاً نام خود را ایجاد کرده است ، در نه ماه گذشته بیش از 40 قربانی گرفته است. دو شرکت امنیت سایبری که تجزیه و تحلیل عمیقی از گروه تازه شروع شده Ransomware as a Service (RaaS) ارائه می دهند ، Cybereason و Varonis هستند. آنچه که آنها توصیف می کنند همان تاکتیک ها ، تکنیک ها و شیوه های (TTP) است که به همه تبدیل شده است. با APT ها بیش از حد آشنا هستند. خانواده های هکر مخرب شناسایی دقیق را انجام می دهند تا یک استراتژی نقض و حمله را شناسایی کنند که بدون شناسایی خواهد ماند. TTP های توصیف شده عبارتند از: در حالی که باج افزار همچنان به سرعت دفاع افزایش می یابد ، با این وجود اقدامات دفاعی که همه سازمان ها باید انجام دهند وجود دارد ، همانطور که در حفاظت از باج افزار در سال 2021 عنوان کردیم. این اقدامات عبارتند از: همچنین بخوانید: محافظت در برابر TTP های Solorigate: SolarWinds Hack Defences کد اخلاقی DarkSide که در گوشه ای از وب تاریک نشسته است ، خواستار حمله فقط علیه شرکت هایی است که توانایی پرداخت دیه خود را دارند و همچنین منع حمله به آموزش و پرورش ، بهداشت ، سازمان های غیرانتفاعی و نهادهای دولتی است. گفته شد ، هیچ شرطی برای سرویس دهی وجود ندارد و مسئولیت کمی برای هکرهایی که قصد دارند هیچ نهادی را هدف قرار دهند وجود ندارد. در بیانیه ای که امروز منتشر شد ، DarkSide اظهار داشت: "ما غیرسیاسی هستیم ، در ژئوپلیتیک شرکت نمی کنیم ، نیازی به ما را با یک دولت تعریف شده گره بزند و به دنبال انگیزه های دیگر [our] باشد … هدف ما کسب درآمد است و ایجاد مشکلی برای جامعه نیست. " DarkSide همچنین از روشی باج گیری مضاعف استفاده می کند که گزینه های سازمان های قربانی باید پرداخت کنند. برای بازیابی اطلاعات یا پرداخت نکردن و هکرها داده ها را منتشر می کنند. برای شرکت های دولتی و خصوصی ، داده های منتشر شده می توانند اطلاعات انحصاری بسیار ارزشمندی باشند. همچنین بخوانید: انواع بدافزار | بهترین شیوه های حفاظت از بدافزار برای سال 2021 از شبکه های الکتریکی گرفته تا گیاهان آب ، زیرساخت های مهم آخرین هدف تهدیدات مداوم پیشرفته و باج افزار است. از حمله NotPetya به بخش انرژی اوکراین در سال 2017 گرفته تا حمله به تأسیسات تصفیه آب تامپا در سال گذشته ، زیرساخت های دولتی و خصوصی مهمترین مهمترین اقتصاد بین الملل هستند. دانشگاه تمپل سابقه حملات باج افزار مهم در زیرساخت ها (CIRW) را تهیه کرده است. ) مربوط به نوامبر 2013. جزئیات یادداشت شامل: همچنین بخوانید: راه حل های ضد ویروس در برابر Ransomware محافظت نمی کنند کول حمله خط لوله استعماری d به منظور ایجاد جذابیت بیشتر حملات زیرساختی برای مجرمان اینترنتی است. باندهای بدافزار سازمان یافته از استراتژی های دفاعی مدرن آگاهی دارند و بیمار کافی را برای جمع آوری اطلاعات و حمله در زمان مناسب دارند. ساخت ارگ سایبری از طریق اینترنت امکان پذیر نیست ، بنابراین انجام اقدامات لازم بر عهده سازمان های دولتی و خصوصی است. برای محافظت از دارایی های آنها تحلیلگران صنعت و شرکت ها به طور یکسان به ایجاد چارچوب هایی مانند اعتماد صفر و تقسیم خرد برای لایه های اضافی امنیت در شبکه سازمان اشاره می کنند. همچنین بخوانید: نحوه پیاده سازی Zero Trust Pipeline Ransomware Attack آسیب پذیری های حیاتی را نشان می دهد
حدس و گمان راه حمله استعماری
زمان تا استراحت oration
پاسخ صنعت فدرال و صنعت امنیت
دفاع در برابر DarkSide
زیرساخت های حیاتی نیاز به حفاظت پیشرفته دارد
مبارزه با باج افزار همچنان ادامه دارد
خرید وی پی ان