هفته گذشته کنفرانس RSA تعداد زیادی از آسیب پذیری های امنیت شبکه را تحت پوشش قرار داد ، از توسعه سیاست های مقاوم سازی قوی تر و رسیدگی به حملات مبتنی بر UEFI و بردارهای حمله غیر انتهایی. پیش از این کنفرانس ، ایالات متحده بزرگترین حمله سایبری خود را به زیرساخت های مهم تا کنون با برخورداری باج افزار از طریق استفاده از خط لوله استعماری تجربه کرده است.
پیام کلی در مورد آسیب پذیری های کنفرانس این است که امنیت سایبری یک بازی مداوم برای آماده سازی برای جدیدترین و خطرناک ترین تاکتیک ها است ، تکنیک ها و رویه ها (TTP).
ما سه جلسه RSAC 2021 و برخی از دلهره آورترین نقاط آسیب پذیری ارائه شده توسط موسسه SANS ، آژانس امنیت سایبری و زیرساخت (CISA) و Varonis Systems را بررسی می کنیم.
همچنین بخوانید: و برنده مسابقه نوآوری RSA 2021 SANS…
SANS: پنج روش حمله و آسیب پذیری جدید خطرناک
ارائه موسسه SANS ، " پنج خطرناک ترین روش جدید حمله " یک RSAC است پایه اصلی این نقطه آسیب پذیری های برجسته امسال عبارتند از:
Testing Integrity Software
برای شروع جلسه ، همکار SANS و مدیر Ed Skoudis در مورد معماری یکپارچگی نرم افزار صحبت کردند. اسکودیس با استناد به مقاله 1984 کن تامپسون ، "تأملاتی در اعتماد اعتماد" ، اشاره کرد که هیچ مقدار تأیید در سطح منبع وجود ندارد که بتواند یک سازمان را از کد غیرقابل اعتماد محافظت کند. با این حال ، این دقیقاً مخمصه است. توزیع نرم افزار سرعت را نسبت به اعتماد اولویت می دهد و نتیجه آن آسیب پذیری های احتمالی است. حملات ، درصورتی که توسعه دهندگان هدف آن باشند ، می توانند کل اجتماعات را تحت تأثیر قرار دهند ، در حالی که تهیه کد برای آنها مهم است.
برای رفع آسیب پذیری های یکپارچگی نرم افزار ، Skoudis سازمان ها را تشویق می کند:
دسترسی بیش از حد توسط Tokens
ارائه دو مورد از خطرناک ترین حمله تکنیک ها ، هدایت برنامه درسی SANS DFIR و مدیر هوش دیجیتال هدر مهالیک اولین بار در مسئله هویت و مدیریت دسترسی در دوره کار از خانه کار کردند. همانطور که در راهنمای ما برای OAuth شرح داده شده است ، نشانه ها چگونگی کارکرد برنامه ها ، API ها و مرورگرها برای فراهم کردن دسترسی گسترده به کاربران هستند. اولویت ها و پروژه های برتر 2021
واقعیت این است که اگر دسترسی اولیه همه نیاز به یک بازیگر مخرب برای پیمایش منابع شبکه باشد ، راه حل هایی مانند ورود به سیستم تک (SSO) و احراز هویت چند عاملی (MFA) می توانند فاجعه را نشان دهند. برای مدیران رمزها ، این کار پیکربندی دسترسی برای کاهش دسترسی بیش از حد می شود. بدون اینکه کاربر حتی متوجه این موضوع شود ، مهاجمان می توانند رمزهای دسترسی را ربوده کنند.
با استفاده از رمزپذیر آسیب پذیر برای دسترسی به برنامه
در همان زمینه آسیب پذیری های یکپارچگی نرم افزار ، توسعه دهندگان خود را بین پاسخگویی به تقاضای مصرف کننده بی تاب و بهینه سازی امنیت قرار می دهند. نتیجه این امر سازمان ها و مولدهای توکن ها هستند که از رمزنگاری با آسیب پذیری های شناخته شده استفاده می کنند. اگرچه کاربران ممکن است سریعتر به برنامه دسترسی داشته باشند ، اما سازمان در نتیجه آسیب پذیرتر است. سازمان ها باید سیستم های دسترسی به برنامه های خود را تأیید کنند تا بازیگران مخرب قادر به شکستن رمزنگاری نباشند.
Machine Learning Ups Adversary Skills
SANS ، رئیس تحقیقات تحقیقات ، بیان کرد که چرا یادگیری ماشین (ML) فوق العاده است اما بدون آن خالی از لطف نیست. آسیب پذیری های آن مدتهاست که شناسایی بدافزار بازی شناسایی امضا است. با استفاده از ML و هوش مصنوعی (AI) هزاران فشار برای آموزش الگوریتم ها ، می توان حدس زد که توانایی شناسایی بدافزارها فقط در حال بهبود است.
متأسفانه ، پیشرفت در امنیت سایبری به بازیگران مخرب گسترش می یابد ، همانطور که برای متخصصان این صنعت انجام می شود. هکرها برای جلوگیری از استفاده از بدافزار شناخته شده از همان فناوری ML و AI استفاده می کنند. نتیجه این امر ثروت دشمنانی است که قادر به فرار از شناسایی و شبکه هایی نیستند که برای تهدید روز صفر آماده نیستند. اولریچ خاطرنشان کرد: سازمانها نمی توانند به مدلهای استاتیک متکی باشند و باید داده های آموزش را اولویت بندی کنند تا چیزی بیش از آنچه که شناخته شده است ببینند.
در جلسه دیگری RSAC ، بروس اشنایر ، تکنسین امنیتی ، درمورد اینکه چگونه ممکن است هوش مصنوعی توزیع بدافزار نکند ، اما آینده ای که در آن توزیع می شود ، بحث کرد. ممکن است کاملاً علمی تخیلی نباشد. در یک فراخوان اقدام ، اشنایر تأکید کرد که باید از هوش مصنوعی کنترل شود تا از دیدن توانایی های مخرب آن در جاده جلوگیری شود.
همچنین بخوانید: انواع بدافزارها | بهترین روشهای محافظت در برابر بدافزار برای سال 2021
Ransomware: Encryption، Exfiltration، and Extortion
مرتکبان باج افزار در گذشته مشکل در دسترس بودن از طریق رمزگذاری را ارائه می دادند. عادی جدید در میان خانواده های باج افزار افزودن مواد منفجره و اخاذی است. کتی نیکلز ، مربی و مدیر اطلاعات ارشد SANS ، فرآیند هکرها را مورد بررسی قرار داد ، از جمله 1) دسترسی اولیه ، 2) شناسایی ، 3) حرکت جانبی ، 4) اکسفیلتراسیون و 5) رمزگذاری. با استفاده از ابزارهای مشروع به اشتراک گذاری پرونده مانند RClone و MegaCmdServer ، فعالیتهای مخرب هنگام بارگیری داده های شبکه شما غیرقابل شناسایی می شوند.
اگرچه میزان داده های برگشتی هنگام پرداخت دیه توسط سازمان ها در گذشته زیاد بوده است ، اما هیچ افتخاری برای آنها وجود ندارد سارقان.
Conti ، Netwalker و Sodinokibi همگی اخیراً باج افزارهایی هستند که پس از پرداخت دیه ، قربانیان را مجدداً اخاذی کرده و یا محتوای شبکه را منتشر می کردند. نیکلز پیشنهاد می کند سازمان ها از این راهنمایی پیروی کنند:
همچنین بخوانید: How Zero Trust Security می تواند در برابر Ransomware محافظت کند
Old Way | New Way | |
---|---|---|
جلوگیری از | فقط به نسخه های پشتیبان آفلاین اعتماد کنید | اشتراک فایل غیر ضروری |
شناسایی | تمرکز بر رمزگذاری | فرض در exfiltration |
پاسخ | فرض کنید که داده ها را پس می گیرید | به دشمنان اعتماد نکنید |
CISA: آسیب پذیری های زیر سیستم عامل (VBOS)
جدیدترین آژانس در وزارت امنیت داخلی ایالات متحده ، آژانس امنیت سایبری و زیرساخت (CISA) است که متهم به عنوان مشاور خطر کشور در زمینه خطرات سایبری و جسمی و تلاش برای تقویت انعطاف پذیری امنیت ملی است. در RSAC ، مقامات آژانس از بخش مدیریت آسیب پذیری شامل معاون دستیار Boyden Rohner و رئیس شعبه روش شناسی توماس Ruoff در ارائه ، " DHS CISA استراتژی برای رفع آسیب پذیری زیر سیستم عامل در میان بدترین مجرمان ."
نرم افزار : چه چیزی در زیر سطح وجود دارد؟
مصرف کنندگان حرفه ای صنعت برای دیدن نرم افزاری فراتر از سیستم عامل (OS) و لایه کاربرد آن تلاش می کنند. تقریباً مانند کوه یخی ، دیدن زیر سطح و درک کامل نرم افزار در حال حاضر تقریباً غیرممکن است. CISA جدیدترین کلمه اختصاری امنیت سایبری با آسیب پذیری های زیر سیستم عامل (VBOS) را معرفی کرد. از BIOS و سیستم عامل گرفته تا کد UEFI ، VBOS یک بردار حمله است که نیاز به توجه بیشتری دارد.
هدف فعلی: VBOS
در حالی که طراحی یک رابط سیستم عامل قابل توسعه یکپارچه (UEFI) بر محدودیت های BIOS غلبه کرد ، هر دو م criticalلفه برای عملکرد رایانه مهم هستند. یک هدف فزاینده هستند. حملات اخیر UEFI شامل حمله 2015 به شبکه برق اوکراین و حمله 2018 است که در آن بازیگران تهدید از روت کیت UEFI برای ریختن بدافزار اضافی در یک قسمت طولانی استفاده کردند. در حالی که هنوز در اقلیت حملات قرار داریم ، آسیب پذیری های میان افزار سال به سال در حال افزایش است. تشخیص حضور آنها می تواند بسیار دشوار باشد.
خبر خوب
در ارزیابی VBOS ، اخبار CISA این است که روش های کاهش آسیب پذیری – مانند ASLR ، STACK و CFG – بالای سیستم عامل به طور مداوم به شبکه ها اضافه می شوند و بهبود می یابند . بالاترین آن پیشگیری از اجرای داده ها (DEP) با 90 درصد پیاده سازی در محصولات تجاری است.
اخبار ناخوشایند
در طرف مقابل ، توسعه دهندگان ممکن است به تکنیک های تخفیف که تقریباً از دو دهه پیش آغاز شده اند ، نزدیک شوند. نیاز فعلی پرداختن به کاهش VBOS با کمی پیشرفت برای نشان دادن است. به این اضافه کنید شهرت فروشندگان این است که در طراحی محافظت از حافظه موجود (NX) – سازوکاری که از تزریق پوسته جلوگیری می کند – کمتر سازگار هستند.
تصمیم گیری با دید کامل
سیستم های IT و OT با مصالحه روبرو هستند زیرا سازمان ها از نظر نرم افزارهای آسیب پذیر از دید کافی برخوردار نیستند ، کد مخرب و استفاده مجدد ، و وابستگی های مدولار. برای کاهش موفقیت آمیز VBOS ، CISA آینده ای را متصور می شود که نرم افزار مشابه سایر محصولات مصرفی مورد موشکافی قرار گیرد.
دستیابی به اهداف از آسانترین تا دشوارترین موارد عبارتند از:
- الزام فروشندگان برای تهیه SBOM که تمام اجزا و اهداف م componentلفه را لیست کند [19659053] توسعه کاهش آسیب پذیری برای کد UEFI را الزام کنید
- گزارش عمومی در مورد قابلیت های محصولات نرم افزاری
- مکانیسم نشانگر خطر صنایع دستی برای تأیید نرم افزار قابلیت های اعلام شده را برآورده می کند
- گزارشات آزمایشی که برای ارزیابی خطر در دسترس عموم است
- دلسرد کردن ، ممنوع کردن ، و محروم کردن محصولات از بدترین مجرمان
از هم اکنون ، صنعت امنیت اطلاعات در آغاز اجرای SBOM برای محصولات نرم افزاری است. در حالی که CIO ها ، CISO ها و مدیران خرید اغلب بر اساس نرم افزار تصمیمی اتخاذ می کنند ، پاسخگویی بیشتر در توسعه نرم افزار که از زیر سیستم عامل شروع می شود ، می تواند منجر به داده های بیشتر و تصمیمات مبتنی بر ریسک شود.
همچنین بخوانید: امنیت سایبری از اولویت های دولت است [19659060] Varonis: ناقلین و نقاط ضعف حمله غیر انتهایی
بررسی کامل ما درباره آسیب پذیریهای مورد بحث در RSAC امسال " جنگ در جایی که نیستند: چگونه مهاجمان از نقاط انتهایی در حملات مدرن جلوگیری می کنند " توسط شرکت نرم افزاری امنیت سایبری Varonis Systems. پیشگامان بحث ، CTO فیلد برایان وچی و مدیر امنیت سایبری اسنیر بن شیمول بودند.
مدتی است که نقاط پایانی بردار اولویت برای محافظت از امنیت شبکه هستند ، اما واقعیت این است که مهاجمان به طور فزاینده ای در خارج از نقاط انتهایی حمله می کنند. همانطور که طبیعت امنیت سایبری است ، وارونیس قبل از فرو رفتن در روندهای رو به رشد آسیب پذیری های غیر انتهایی ، به طور مناسب از Sun Tsu "حمله به او در جایی که او آماده نیست ، به نظر می رسد جایی که انتظار نمی رود" استفاده کرد.
همچنین بخوانید: PowerShell Is Source بیش از یک سوم تهدیدهای امنیتی مهم
Gateway Compromise
اعم از VPN ، فایروال یا سرور دسترسی از راه دور ، ورود غیرمجاز از طریق درگاه های شبکه یک مشکل است. روش های دسترسی اولیه برای دروازه ها با دارا بودن 45٪ از دسترسی های اولیه سنتی مانند RDP ، VPN و RCE ، بازار Dark وب را در اختیار دارند. از آسیب پذیری های مهم دروازه می توان به ProxyLogon MS Exchange ، نقص VPN SonicWall's Pulse در سال 2019 و آسیب پذیری تزریق SQL در اوایل سال 2021 اشاره کرد.
با دسترسی اولیه به یک دروازه ، هکرها می توانند به صورت جانبی به یک سرور داخلی منتقل شوند و آنها را به سمت داخلی سوق دهند. DNS و Active Directory.
همچنین بخوانید: نحوه جلوگیری از حملات DNS
حملات زنجیره تأمین
در حملات زنجیره تامین ، بازیگران مخرب نقاط ورودی ارائه دهندگان نرم افزار را که مسئول تهیه و به روزرسانی جهانی راه حل ها هستند ، هدف قرار می دهند. وقتی مهاجمان سرور داخلی یک فروشنده را به خطر می اندازند ، دسترسی به AD ، داده های داخلی و DNS داخلی به مجرمان دید کاملی برای شناسایی می دهد. از طریق یک پروکسی به جلو ، هکر می تواند به سرور بروزرسانی دسترسی پیدا کند و کد مخربی را در کل شبکه مشتری فروشنده توزیع کند.
شاید هیچ نمونه اخیر بهتر این آسیب پذیری را از حماسه نقض SolarWinds و Solorigate نشان ندهد.
برنامه های ابری مخرب
] در حالی که فیشینگ یکی از قدیمی ترین TTP ها در کتاب هکر است ، هنوز هم کار می کند – و به لطف مهندسی اجتماعی ، به تکامل خود ادامه می دهد. این آسیب پذیری در کنار اعتماد روزافزون مصرف کننده به برنامه ها بازی می کند زیرا خود را به عنوان یک برنامه ابری قانونی نشان می دهد. مهاجمان به عنوان یک برنامه Azure که درخواست مجوز می دهد ، قربانیان را فریب می دهند تا به 365 مجموعه خود و بیشتر اجازه دسترسی دهند.
با پیکربندی مجوزهای MS Graph API در کد برنامه ، بازیگران مخرب می توانند از دسترسی ناخواسته کاربران استفاده کنند. بسته به مجوزهای اعطا شده ، هکرها می توانند به داده های حساس دسترسی پیدا کنند و پرونده های قابل استفاده برای کاربر را اصلاح کنند.
Insider Threats
آخرین اما مهمترین نکته این است که آسیب پذیری کارکنان یک سازمان است. بیشترین آسیب پذیری مربوط به پرسنل شامل آموزش ، افزایش آگاهی و هوشیاری از خطاهای انسانی است. این واقعیت ضروری است که مدیران شبکه برای پر کردن خلا gap راه انداز فعال باشند. اما چگونه می توانید احتمال شروع کار حمله ای کارمندی را کاهش دهید؟
در اواخر سال 2020 ، استخدام جدیدی موقعیت خود را در تسلا آغاز کرد و سوابق نشان می دهد که او تقریباً بلافاصله پرونده ها و اسکریپت ها را به حساب Dropbox خود بارگذاری می کند. این موارد بیشتر از آنچه گزارش شده رخ می دهد و از بین رفتن مالکیت معنوی می تواند عمیق باشد. با دسترسی به اطلاعات بیشتر از حد مورد نیاز در روز اول ، سازمان ها باید در مورد چگونگی تعامل کارکنان و منابع داده هوشمند عمل کنند.
همچنین بخوانید: راه حل های برتر از دست دادن داده ها (DLP)
هیچ کس می خواهم به spied بر. شما باشد. حتی پس از آن پژواک خاموش شده است متاسفانه، الکسا گوش است! بدترین چیز این است که هکرها نیازی نیست هک دستیار صدا آمازون برای snooping بر روی کاربران — آنها می توانید آن را با بهره گیری از آمازون اکو سیستم در محل انجام. پس از گزارش سیمی که یک شرکت امنیتی در بر داشت اشکال داخل بلندگو اکو است که اجازه می دهد تا آن را به گوش دادن به هر آنچه که شما می گویند حتی زمانی که آن خاموش شدن آمازون اکو در تیراندازی است. معمولا، کاربر به بلندگو تا فرمان مانند “الکسا، دمای فعلی چیست؟”؛ می دهد صحبت می کند با این حال، به گفته شرکت امنیتی این اشکال به راحتی به عنوان دستیار شخصی اکو است، الکسا به شما بخواهید به تکرار هر زمان که آن را درک نمی کند استفاده می شود. امنیت شرکت Checkmarx توضیح می دهد که پیام کلامی “readback” (به طوری که کاربر می توانید بدانید که آن را فعالانه مشغول بود) که به الکسا معمولا می تواند برنامه با دو گوش در حفظ (و تمام هر آنچه که آن را به یک هکر می شنود) در حالی که در همان زمان muting پاسخ توسط الکسا. Checkmarx گفت که دستگاه به رشد در محبوبیت شدید و گوش دادن به بخش کلیدی برای اکو است، اما فقط ترس است که متصل به این نوع از دستگاه های حریم خصوصی است. به ویژه در مورد کاربر شنیدن ندانسته در حال ضبط. با توجه به Checkmarx، اشکال نیاز فقط یک کد به طوری که آن را به کنترل تمام ویژگی های فعلی از آمازون اکو را استفاده می شود. چیزی که شایان, این به این معنی هکر نیازی به اکو خود حمله اما فقط ضعف موجود در سیستم به جاسوسی بر روی هر چه می گوید صاحب اکو بهره برداری است. در نتیجه، آمازون گفت: فرآیندهای در محل هستند بنابراین برنامه نویسی می شود متوقف شده، 19659008 “ ما mitigations در محل برای تشخیص این نوع مهارت رفتار قرار داده اند و رد و یا سرکوب این زمانی که ما انجام.” آمازون جاسوس الکسا در کاربران حتی اگر اکو تعطیل