تکنیک های Cisoc ESA در مقابله با باج افزارها و حملات phishing

تکنیکهای مقابله با باجافزارها، حملات phishing و BEC

 مقدمه

حملات phishing، باج افزارها و Business Email Compromise) BEC) به یکی معضلات امنیتی سازمانها تبدیل شده است؛ این مساله از یک طرف با رشد تکنیک های پیچیده مورد استفاده توسط مجرمان سایبری و از طرف دیگر عدم آگاهی سازمان ها و افراد در برخورد با چنین حملاتی، روز به روز در حال گسترش است. به عنوان مثال باج افزارها در سال های اخیر به صورت اپیدمیک رشد یافته است به طوری که میزان خسارت از ۲۴ میلیون دلار در سال ۲۰۱۵ به یک بیلیون دلار در سال ۲۰۱۶ رسیده است. جدول شماره ۱، درصد سازمان هایی که در ۱۲ ماه گذشته مورد حملات سایبری مختلف قرار گرفته اند را نشان میدهد:

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisoc ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

جدول شماره ۱:

رویداد درصد سازمان­ها
حملات Phishing موفق ۳۷%
حملات باج­افزار موفق که منجر به رمزنگاری فایل­ها شده است ۲۴%
بدافزارهایی که موفق به تاثیرگذاری بر سیستم­ها شده و کانال ورودی آنها ناشناخته است ۲۲%
اطلاعات محرمانه و حساسی که به صورت تصادفی از طریق ایمیل فاش شده است ۲۲%
حملات drive-by attack که از وب­گردی کارمندان ایجاد شده است ۲۱%
حملات BEC ۱۲%
حملات spearphishing ایمیل که موفق به تاثیرگذاری بر سیستم­های حساس سازمان­ها شده است ۱۰%
اطلاعات محرمانه و حساسی که توسط یک بدافزار از طریق ایمیل فاش شده است ۷%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری از طریق ابزارهای مبتنی بر ابر مثل Dropbox فاش شده است ۶%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری از طریق شبکه­های اجتماعی فاش شده است ۲%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری به روش­های ناشناخته فاش شده است ۲%
سایر موارد ۲۵%

 

عمده مشکلات:

طیف گسترده ای از حملات سایبری وجود دارد که مدیران شبکه های سازمان ها ملزم به تصمیم گیری صحیح در برخورد با آنها هستند. همانطور که در شکل شماره ۱ نمایش داده شده است سه مورد اول که بیشترین توجهات را به خود جلب کرده اند مبتنی بر ایمیل هستند: که شامل Phishing، نفوذ بدافزار و Spearphishing است. با این حال بزرگترین نگرانی درخصوص نفوذ بدافزارها از طریق مرورگرهای وب، باج افزار و BEC است.

شکل شماره ۱:

چرا حملات Phishing، Spearphishing، BEC و باج ­افزارها تا حد زیادی موفقیت­ آمیز است؟

این حملات از جنبه هایی مختلفی سازمان ها را تحت تاثیر قرار داده و هزینه های هنگفتی را به آنها تحمیل می کنند. این امر می تواند منجر به وقوع خسارت های مالی، از دست دادن کارمندان و حسن شهرت شده و حتی اعتبار سازمان ها را در معرض خطر قرار دهد. مساله مهم بررسی دلایل موفقیت این نوع حملات است؟

کاربران به عنوان ضعیف­ترین عامل در این زنجیره حملات

کاربران، یکی از عوامل موفقیت بسیاری از حملات سایبری بوده و یکی از مشکلات اساسی سازمان ها در تامین امنیت کاربران هستند. اغلب کاربران در ارتباط با شناسایی و برخورد با حملات Phishing، Spearphishing، BEC و باج افزارها آموزش های لازم را دریافت نکرده اند، بنابراین بر لینک های مخرب و یا پیوست ایمیل های حاوی بدافزار بدون توجه به خطر بالقوه آنها کلیک کرده و در نتیجه سازمان ها و افراد را در معرض خطر قرار می دهند. بنابراین سازمان ها ملزم هستند تا با در نظر داشتن زیرساخت های مناسب هشدارهای لازم را به کاربران در ارتباط با لینک های مخرب و یا پیوست های ایمیل مشکوک ارائه دهند.
مدیران شبکه در نتیجه این آموزش های ضعیف از توانایی کاربران و سازمان ها در مقابله با تهدیدات، اطمینان ندارند. به عنوان مثال همانطور که در شکل شماره ۲ نشان داده شده است کمتر از پنج درصد مدیران شبکه ها از توانایی کارمندان سازمان خود در مقابله با شناسایی حملات باج افزارها اطمینان دارند:

شکل شماره ۲:

سازمان­ها کارایی لازم در برخورد با حملات را ندارند

مساله دیگری که منجر به پیچیدگی مقابله با حملات سایبری می شود، تلاش ناکارآمد سازمان ها در برخورد با حملات است. به عنوان مثال:
 بسیاری از سازمان ها فرآیندهای پشتیبان گیری کافی به منظور بازگرداندن سریع سرورها و Endpoint به وضعیت مناسب در صورت بروز حملات باج افزاری و سایر حملات را ندارند.
 بیشتر سازمان ها، کاربران خود را در برخورد با ایمیل های مخرب و میزان حساسیت آنها به این حملات آزمایش نمی کنند.
 بسیاری از سازمان ها فاقد سیستم های کنترل داخلی به منظور جلوگیری از حملات BEC هستند.
 اغلب سازمان ها فاقد سیستم ها و تکنولوژی های لازم در برخورد و کاهش تهدیدات پیش رو هستند.
 بسیاری از سازمان ها فاقد قوانین خاص در برخورد با BYOD بوده اند و کاربران با استفاده از ابزارهای سیار و نرم افزارهای تحت ابر و … امکان دستیابی به اطلاعات سازمانی و استفاده از آنها در ابزارهای دسترسی ناایمن دارند.

سازمان­های و گروه­ های مجرمانه تامین مالی می­شوند

سازمان­هایی که مرتکب جرایم سایبری می­شوند، معمولا منابع مالی مناسبی جهت انتشار انواع جدیدی از نرم ­افزارهای مخرب دریافت می­کنند. به عنوان مثال انواع مختلف باج­ افزارهایی که در سالهای اخیر منتشر شده ­اند، مانند: CryptoWall(2014)، CBT-Locker(2014)، Tesla-Crypt(1025)، Samas(2016)، Locky(2016 و (Zepto(2016 . این رشد بگونه ­ایست که واقعیتی چونransomware-as-a-service) RaaS)  به عنوان یکی از معضلات امنیتی امروزه تبدیل شده است. با توجه به منابع مالی بالا، این سازمان­های مجرمانه به سرعت امکان رشد و سازگاری با راهکارهای امنیتی جدید را خواهند داشت.

جرایم سایبری در حال تغییر و ارتقا خود هستند

پیشتر جرایم سایبری با تکیه بر دستیابی به اطلاعات افراد و فروش آن اطلاعات در فضای Darkweb استوار بودند، لیکن به تدریج با افزایش حجم اطلاعات به سرقت رفته و کاهش اهمیت این اطلاعات درآمد مجرمان سایبری کاهش پیدا کرد. در نتیجه شیوه های حملات سایبری تغییر پیدا کردند. مجرمان با استفاده از حملات Phishing و Spearphishing بدافزاری مانند Keylogger در سیستم قربانی نصب کرده و به انتقال وجه از حساب های مالی سازمان ها می پردازند، علاوه براین با استفاده از باج افزارها مستقیما وجه مورد نظر خود را دریافت می کنند، همچنین با بهره گیری از روش های BEC مدیران ارشد سازمان ها را فریب داده و مستقیما حجم بالایی از انتقالات مالی به حساب های مجرمان واریز می کنند. با این روش مجرمان سایبری به جای دزدی و فروش اطلاعات مستقیما به سرقت پول می پردازند.

در دسترس ­بودن، کم ­هزینه بودن و گستردگی ابزارهای phishing و باج ­افزار

نرم افزارهایی به منظور راهنمایی آماتورهایی با کمترین دانش IT در خصوص انجام حملات Phishing و ایجاد باج افزار، رشد قابل توجهی یافته اند. به صورتی که هر فردی با استفاده از Phishing Kit قادر به راه اندازی یک سایت فیشینگ است. بنابراین علاوه بر سازمان های بزرگی که حملات سایبری پیشرفته و ابزارهایی چون RaaS را توسعه می دهند، نسل جدیدی از حملات ناشی از ظهور رنج وسیعی از باج افزارها و سایر حملات ایجاد شده بوسیله این مجرمان آماتور است، بوجود آمده است.

 بدافزارها پیچیده تر شده است

با گذشت زمان باج­ افزارها ارتقا یافته و ساختار پیچیده­ تری پیدا کرده­اند. به عنوان مثال تلاش برای حملات فیشینگ از حملات ساده با هدف فریب کاربر جهت کلیک بر لینک مخرب تبدیل  شده است به حملات پیچیده BEC که می­توانند سازمان­های بزرگ را تحت تاثیر قرار دهد. باج­افزارها شکل­های پیچیده­تری یافته و به­سادگی اطلاعات افراد را رمزنگاری کرده و از دسترس فرد خارج می­کنند. در سال­های آینده باج­افزارها با استفاده از تکنولوژی­های machine learning ارتقا یافته و به­ صورت خودکار و هوشمند عمل خواهند کرد و به یکی از مهمترین تهدیدات سایبری تبدیل خواهند شد.

امنیت سایبری باید ارتقا یابد

برای رفع مشکلات ناشی از حملات پیچیده سایبری چون Phishing، BEC و باج افزار، ملزم به ارتقا امنیت سایبری و تغییر دیدگاه امنیتی سازمان ها در ارتباط با امنیت هستیم. با این حال تحقیقات نشان می دهد پیشرفت هایی که در زمینه امنیت سایبری صورت می گیرد متناسب با رشد تهدیدات نیست.

راهکارهای امنیتی بصورت همه جانبه ارتقا نیافته و تنها در برخی زمینه­ ها رشد لازم را دارند

تحقیقات نشان می دهد راهکارهای مقابله با حملات Phishing، Spearphishing، BEC و باج افزارها در بسیاری از سازمان ها چنانچه در جوانب شناسایی، تشخیص و جلوگیری از تهدید پیش از تاثیرگذاری آن بر Enduser، ارتقا یابند تاثیرگذارتر خواهند بود و آثار حملات را کاهش خواهند داد. شکل شماره ۳ نظر بسیاری از سازمان ها در ارتباط با تغییرات راهکارهای امنیتی آنها را نشان میدهد:

 

شکل شماره ۳:

راهکارهای امنیتی کنونی تا چه اندازه موثر هستند؟

در این تحقیق از سازمان ها خواسته شد، میزان اثربخشی راهکارهای امنیت سایبری خود را ارزیابی کنند. همان طور که در شکل شماره ۴ نمایش داده شده است، ۵۶ درصد از افراد شرکت کننده در نظرسنجی معتقدند راهکارهای امنیتی آنها برای از بین بردن تهدیدات امنیتی پیش از رسیدن به کاربر موثر بوده است.

 

 

شکل شماره ۴:

همانطور که در شکل شماره ۵ مشاهده می کنید میزان اثربخشی راهکارهای امنیت سایبری در سازمان هایی که کارمندان آنها آموزش های بیشتری در ارتباط با حملات سایبری دیده اند (حداقل دو بار در سال دوره های آموزشی برگزار کرده اند)، بیش از سایر سازمان ها است:

شکل شماره ۵:

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisoc ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

تکنیک ­هایی که سازمان­ها در برخورد با تهدیدات سایبری می­بایست اتخاذ کنند

در این پژوهش ۱۴ گام به منظور محافظت سازمان ها در برابر حملات سایبری همچون Phishing، Spearphishing، BEC و باج افزارها پیشنهاد و ارائه می شود:

 ۱-درک خطراتی که سازمان با آنها مواجه است:

اگرچه ممکن است این گام در ظاهر توصیه ای واضح به نظر برسد، لیکن تنها در صورت درک صحیح مشکل از جانب سازمان ها زیرساخت های لازم جهت امنیت سایبری توسعه خواهد یافت. جرایم سایبری به صنعتی عظیم و پیچیده تبدیل شده است که مقابله با آن مستلزم سرمایه گذاری است.

۲٫ طرح یک بازرسی کامل نسبت به ابزارهای فعلی امنیت سایبری:

سازمان ها ملزم به آگاهی کامل از رویکرد امنیتی خود هستند که این موارد شامل: بازرسی کامل از زیرساخت امنیتی موجود، نحوه آموزش در خصوص حملات و نحوه برخورد راهکارهای موجود در بازیابی اطلاعات در صورت بروز حملات می شود. این مرحله یک گام اساسی در شناسایی کمبودها و اولویت گذاری هزینه ها به منظور ارتقا راهکارهای امنیتی است.

۳٫ ایجاد پالیسی ها امنیتی:

مساله اعمال پالیسی ها از اهمیت ویژه ای برخوردار است که شامل کلیه ایمیل ها، صفحات وب، شبکه های اجتماعی، ابزارهای سیار و هر گونه فناوری که دپارتمان IT اجازه استقرار آن را صادر کرده است، می شود. یک گام مهم در ایجاد پالیسی ها این است که، پالیسی ها بگونه ای اعمال شوند که کلیه ابزارهایی، را که احتمالا در آینده به شبکه افزوده می شود، را در بر بگیرند. پالیسی ها باید در بردارنده قوانینی در خصوص رمزنگاری ایمیل های حاوی اطلاعات حساس، پایش رفتار بدافزارها و کنترل استفاده از ابزارهای ارتباطی شخصی باشند.

۴٫ارایه راهکارهای جایگزین

مدیران IT شبکه ­ها، ملزم به ارایه راهکارهای جایگزین برای بسیاری از سرویس­های مستقر شده برای کارمندان هستند. به عنوان مثال  enterprise file sync and share) EFSS ،(voice-over-IP) VoIP ، cloud storage) ، ارتباطات real-time و سایر قابلیت­هایی که برای استفاده کارمندان توسعه یافته است، بنابراین تیم­ های IT باید راهکاری جامعی را ارایه دهند که قابلیت استقرار در کل سازمان و تامین الزامات امنیتی را داشته باشد.

۵٫اجرا و بروزرسانی رویکردهای امنیتی سازمان

هر سازمانی ملزم به استقرار و بروزرسانی دوره­ای رویکردهایی است که به منظور حفظ اطلاعات حساس شرکت تعبیه شده است. به عنوان مثال کلیه سازمان­ها نیاز به مجموعه­ای از راهکارهای تهیه فایل­های پشتیبان، قابلیت بازیابی و تست کل مجموعه دیتا دارند تا در صورت حمله باج ­افزارها امکان بازیابی اطلاعات وجود داشته باشد.

۶٫ اجرا بهترین روشها به منظور برخورد آگاهانه افراد با حملات:

سازمان ها ملزم به توسعه روش های هستند که کاربران را در مقابل شکاف های امنیتی موجود یاری کند. به عنوان مثال: کاربران آموزش های لازم در خصوص انواع تهدیدات سایبری را داشته باشند، کارمندانی که با اطلاعات مالی و حساس سازمان ها در ارتباط هستند از Backchannel استفاده کنند و همواره کارمندان نسبت به بروزرسانی سیستم ها و ابزارهایی ارتباطی خود آگاه شوند.

۷٫ آموزش کلیه کاربران و مدیران ارشد:

برنامه آموزشی مناسب برای کلیه کارمندان به منظور آگاهی رسانی در خصوص ایمیل هایی که دریافت می کنند، نحوه استفاده از وب و لینک هایی که احتمال وجود حملات مخرب وجود دارد. مساله سرمایه گذاری در خصوص آموزش کارمندان از منظر ایجاد یک فایروال انسانی در مقابل حملات فیشینگ و حملاتی که از طریق مهندسی اجتماعی صورت می گیرد، اهمیت می یابد. مدیران ارشد می بایست در ارتباط با کلاه برداری های سایبری و حملات BEC مطلع باشند، چرا که اغلب این افراد به عنوان هدفی ارزشمند برای مجرمان سایبری مطرح هستند.

۸٫ بروزرسانی پیوسته سیستم ها:

ضعف های موجود در برنامه ها، سیستم عامل ها، پلاگین ها و سیستم ها یکی از راه های نفوذ مجرمان سایبری است. بنابراین بروزرسانی سیستم ها با استفاده از patch معتبر شرکت های صادرکننده آن، اهمیت ویژه ای در جلوگیری از بروز این مشکل دارد. به عنوان مثال یکی از مهمترین منابع نفوذ عدم بروزرسانی Oracle Java، Adobe Flash و Adobe Reader است.

۹٫ اطمینان از پشتیبان گیری صحیح و بهروز:

راهکارهای تهیه پشتیبان درصدد تهیه پشتیبان از کل داده ها پیش از آلوده شدن و بازیابی آنها در صورت بروز هرگونه مشکلی است. امروزه این راهکارها از تکنیکهایEnterprise Key Management) EKM) به منظور حفاظت و رمزنگاری فایلهای پشتیبان استفاده می کنند.

۱۰٫ استقرارهای راهکارهای مقابله با بدافزارهاو باج افزارها:

امروزه راهکارهای امنیتی مناسبی جهت مقابله با این قبیل بدافزارها وجود دارد که امکان استقرار محلی و ابری آنها وجود دارد. این راهکارها قابلیت شناسایی حملات phishing، Spearphishing، باج افزار، data exfiltration و سایر تهدیدات را دارند. هر سازمانی با توجه به الزامات امنیتی مورد نیاز خود ملزم به استقرار زیرساخت متناسب است. DLP یک عنصر کلیدی در توسعه زیرساخت امنیتی به منظور کاهش خطرات مرتبط با نقض و افشای اطلاعات است.

۱۱٫ استفاده از سیستم¬های هوشمند مقابله با تهدیدات:

استفاده از سیستم های هوشمند امنیت Real-time در مقابله با طیف گسترده ای از تهدیدات ارایه میدهد. این سیستم ها قادر به بررسی اعتبار دامنه ها و جلوگیری از حملات ، Spearphishing و باج افزار که از طریق دامنه های فاقد اعتبار انجام میشود، است.

۱۲٫ پیاده سازی سیستم های مرکزی حفاظت از داده های حیاتی:

با وجود تمام تمهیدات امنیتی همواره احتمال نفوذ و عبور از زیرساخت امنیتی وجود دارد. بنابراین سازمانها ملزم به استقرار راهکارهایی به منظور غیرقابل استفاده شدن داده های حیاتی در زمان چنین حملاتی، هستند. این عمل از طریق تکنولوژی های جدید رمزنگاری مانند:Format-Preserving Encryption) FPE) صورت میگیرد.

۱۳٫ رمزنگاری ارتباطات ایمیل:

همواره رمزنگاری ارتباطات ایمیل به عنوان یک ابزار استاندارد در مقابله با حملات فیشینگ است. راهکاری که قادر به رمزنگاری end-to-end ایمیل از ارسال آن تا دریافت توسط گیرنده اصلی، باشد.

۱۴٫ تجزیه و تحلیل رفتارها:

در این روش الگوی رفتارهای سازمانها بررسی و چنانچه رفتاری خارج از این الگو مشاهده شود دسترسی به دادهها مسدود خواهد شد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *