لماذا يحب المهاجمون استهداف السحابات والهواتف التي تم تكوينها بشكل خاطئ؟

تضاعفت خروقات البيانات ثلاث مرات بين عامي 2013 و2022، مما أدى إلى كشف 2.6 مليار سجل شخصي في العامين الماضيين، مع اقتراب عام 2023 من أن يكون عامًا قياسيًا. هذه النتائج من أ تقرير حديث كتبه البروفيسور ستيوارت إي مادنيك معهد ماساتشوستس للتكنولوجيا، والاكتتاب من قبل تفاحة.

يسلط التقرير الضوء على اتجاه مثير للقلق يتمثل في أن المهاجمين أصبحوا أكثر كفاءة في العثور على السحب التي تم تكوينها بشكل خاطئ واختراقها والاستفادة من تشفير الهاتف الشامل غير الآمن. تستمر برامج الفدية في النمو باعتبارها استراتيجية الهجوم المفضلة.

على الرغم من تحفيز شركة Apple للترويج لعمليات الشراء والمعاملات داخل المتجر والتشفير الشامل الخاص بشركة Apple من خلال البحث، فإن النتائج تتحدث عن تهديدات أوسع نطاقًا للمؤسسات.

ووجد مادنيك زيادة بنسبة 50% تقريبًا في عدد المؤسسات التي تعاني من هجمات فدية في النصف الأول من عام 2023 مقارنة بالنصف الأول من عام 2022. ويلاحق المهاجمون أيضًا أساطيل من الأجهزة المحمولة أثناء الهجمات لتجميد جميع الاتصالات حتى يدفع الضحايا ما عليهم.

السحب التي تم تكوينها بشكل خاطئ هي ما يأمله المهاجمون من الباب المفتوح

تعتبر بيانات الهوية غير المشفرة المخزنة في سحابات غير آمنة أو تم تكوينها بشكل خاطئ بمثابة منجم ذهب للمهاجمين. كما أثبتت السحابات التي تم تكوينها بشكل خاطئ أنها وسيلة سهلة لسرقة بيانات الهوية التي يمكن إعادة بيعها أو تحويلها إلى بيانات جديدة. الهويات الاصطناعية تستخدم للاحتيال.

“كشف قسم الأبحاث في Microsoft AI عن أكثر من 38 تيرابايت من المعلومات الحساسة بسبب التكوين الخاطئ للسحابة، بما في ذلك كلمات المرور لخدمات Microsoft، والمفاتيح السرية، وأكثر من 30000 رسالة Microsoft Groups داخلية من مئات موظفي Microsoft”، كتب مادنيك، نقلاً عن قصة تك كرانش من وقت سابق من هذا العام. يعرف المهاجمون أنه كلما تمكنوا من التحكم في الهويات بشكل أسرع، بدءًا من Microsoft Energetic Listing (AD)، كلما كان هجوم برامج الفدية أكثر نجاحًا.

في مقابلة أجريت مؤخرًا مع VentureBeat، ميريت باير، مدير أمن المعلومات الميداني في دانتيليقول إن الجهات الفاعلة السيئة تبحث أولاً عن باب أمامي سهل للوصول إلى السحابات التي تم تكوينها بشكل خاطئ والهويات والوصول إلى أساطيل كاملة من الأجهزة المحمولة. “إن برمجيات إكسبلويت الجديدة (الأيام الصفرية) أو حتى الاستخدامات الجديدة لبرمجيات إكسبلويت الحالية مكلفة للبحث والاكتشاف. لماذا تحرق يوم صفر باهظ الثمن عندما لا تحتاج إلى ذلك؟ وأغلب الجهات الفاعلة السيئة قادرة على إيجاد طريق للدخول عبر “الباب الأمامي” ــ أي استخدام أوراق اعتماد مشروعة (بطرق غير مصرح بها).

وأضاف باير: “يعمل هذا الطريق لأن معظم الأذونات يتم توفيرها بشكل زائد (لا يتم تقليمها/أقل امتيازات بقدر الإمكان)، ولأنه باستخدام بيانات الاعتماد الشرعية، من الصعب معرفة أي المكالمات مصرح بها/تم إجراؤها بواسطة مستخدم حقيقي مقابل الخبيث/ الذي يقوم به ممثل سيء.

تقريبا 99% يتم تعقب حالات فشل أمان السحابة مرة أخرى إلى عدم ضبط عناصر التحكم اليدوية بشكل صحيح، وما يصل إلى 50% من المؤسسات كشفت عن طريق الخطأ التطبيقات وقطاعات الشبكة ووحدات التخزين وواجهات برمجة التطبيقات بشكل مباشر للجمهور. إن خروقات البيانات التي تبدأ بسبب سوء تكوين البنية التحتية السحابية تكلف ما متوسطه 4 ملايين دولار لحلها، وفقًا لـ تقرير تكلفة اختراق البيانات لشركة IBM لعام 2023.

يجب أن يكون التشفير الشامل جزءًا من استراتيجية أمنية أوسع

تحتاج المؤسسات إلى التفكير فيما هو أبعد من التشفير الشامل إذا كانت تريد تعزيز بنيتها التحتية والحفاظ على أمان أساطيل الهواتف ونقاط النهاية والأجهزة اللوحية. غالبًا ما يكون تحديد محاولات التطفل التي تستخدم بيانات اعتماد الوصول المشروعة للوصول إلى الموارد أو الحسابات التي ليس لديها امتيازات لها هو كيفية بدء الاختراق. وهذا أمر أعلى بكثير مما يمكن أن توفره أي تقنية تشفير – ولماذا تحتاج الشركات إلى إعادة التفكير في الاعتماد على التشفير وحده.

يقول باير من Lacework أن “اكتشاف مكالمة شاذة إلى خدمة البيانات الوصفية، على سبيل المثال، هو شيء لن تتمكن من تحديده إلا بناءً على تثليث السلوك “المعروف/المتوقع” وغير المتوقع”. وتنصح بأن تشتمل برامج الأمان على القدرة على تثليث البيانات للتنبيه بشأن الاستخدام غير الآمن لبيانات الاعتماد المشروعة، وهو ما لن تتمكن من القيام به بفعالية إلا إذا كان بإمكانهم القيام بالاستدلال على مستوى تفصيلي.

وأضاف باير: “يقوم Lacework بذلك – على سبيل المثال، بدلاً من النظر إلى سلوك مضيف Kubernetes، فإننا ننظر إلى مستوى الكبسولة (الأكثر تفصيلاً) والتنبيه على المكالمات غير المتوقعة بناءً على السياق. وبدون الدقة، سيكون لديك عدد كبير جدًا من التنبيهات ولن تتمكن من التمييز بين السلوك المقبول والشاذ.

فكر مثل CISO عندما يتعلق الأمر بتوحيد نقاط النهاية

أخبر CISOs VentureBeat أن عام 2023 سيتم تذكره باعتباره عام الدمج، حيث ستكون نقاط النهاية جزءًا من الجهود المبذولة لتقليل الوكلاء المتداخلين والتحليلات والتنبيهات التي تهدف إلى تبسيط أعباء عمل المحللين. إدارة نقاط النهاية الموحدة (UEM) أثبتت فعاليتها منذ فترة طويلة في تأمين الأجهزة ونقاط النهاية المملوكة للشركة والموظفين عبر الشبكات. ومن بين الموردين الرائدين IBM، وIvanti، وManageEngine، وMatrix42، وMicrosoft، وVMWare.

أجرى VentureBeat مؤخرًا مقابلة مع سرينيفاس موكامالا، كبير مسؤولي المنتجات في إيفانتيللحصول على وجهة نظره بشأن الاتجاهات السائدة في عام 2024. “في عام 2024، سيعيد التقارب المستمر بين شبكات الجيل الخامس وإنترنت الأشياء تحديد تجاربنا الرقمية. وبالمثل، سيكون هناك طلب متزايد على معايير أكثر صرامة تركز على الأمن والخصوصية والتفاعل مع الأجهزة، وجعل مجتمعنا أكثر ترابطا. سوف تزداد توقعات الاتصال في كل مكان وعلى أي جهاز. يقول موكامالا: “تحتاج المؤسسات إلى التأكد من أن لديها البنية التحتية المناسبة لتمكين هذا الاتصال في كل مكان الذي يتوقعه الموظفون”.

أصبحت UEM أيضًا بمثابة رهانات لمتابعة المصادقة بدون كلمة مرور والدفاع عن تهديدات الأجهزة المحمولة (MTD). ومن بين أبرز موفري حلول المصادقة بدون كلمة مرور Microsoft Authenticator وOkta وDuo Safety وAuth0 وYubico وIvanti. ومن بين هذه الحلول، تجدر الإشارة إلى شركة Ivanti في كيفية دمج حلها بين UEM والمصادقة متعددة العوامل بدون كلمة مرور (تسجيل الدخول الصفري) والدفاع عن تهديدات الأجهزة المحمولة (MTD) وإدارة الأجهزة المحمولة (MDM) على منصة واحدة. ال المعاهد الوطنية للصحة (NIH) تعتمد على Ivanti لتحديد ومعالجة تهديدات الأجهزة المحمولة عبر شبكاتها. إنهم يستخدمون تسجيل الدخول الصفري لـ Ivanti (ZSO), الخلايا العصبية Ivanti للدفاع عن التهديدات المتنقلة والعديد من الوحدات الأخرى لتأمين أجهزة العاملين داخل مقر العمل وعن بعد.

ويتوقع جارتنر أنه بحلول عام 2025، سيكون أكثر من 50% من القوى العاملة وأكثر من 20% من معاملات مصادقة العملاء بدون كلمات مرور، مقارنة بأقل من 10% اليوم.

يقوم المهاجمون بتحويل الخروقات إلى فرص عمل

يقوم المهاجمون باستمرار بإعادة اختراع أنفسهم للاستفادة من التقنيات الجديدة مع إيجاد طرق جديدة للضغط على الضحايا لدفع الفدية بسرعة. يساعد Gen AI في رفع مهارات المتخصصين في مجال الأمن السيبراني برؤى أفضل؛ الأمر نفسه ينطبق على المهاجمين. في وقت سابق من هذا العام الاحتيالGPT، وهي مجموعة أدوات أولية للمهاجمين، تقدم اشتراكات عبر الويب المظلم وعلى برقية. قفزت قاعدة المشتركين في FraudGPT إلى 3000 في أسابيع بعد إعلانها الأول في يوليو الماضي.

تقرير التهديدات العالمية لعام 2023 الصادر عن CrowdStrike اكتشف أن عدد الانتهاكات التي تنطوي على تهديدات “واعية للسحابة” تضاعف ثلاث مرات مقارنة بالعام الماضي. ووجد بحثهم أيضًا أن المزيد من المهاجمين يطمحون إلى أن يصبحوا وسطاء الوصول. كانت هناك زيادة بنسبة 20% في عدد الخصوم الذين يتابعون حملات سرقة البيانات السحابية والابتزاز وأكبر زيادة على الإطلاق في عدد الخصوم.

وسطاء الوصول هي واحدة من الأسرع نموا الأعمال غير المشروعة على شبكة الإنترنت المظلمة. يعتمد وسطاء الوصول على تقنية “المزاد الواحد للوصول الواحد” المتمثلة في تقديم صفقات جماعية على مئات إلى آلاف الهويات المسروقة وبيانات اعتماد الوصول المميز.

ومن خلال مهاجمة الصناعات التي تكون أعمالها حساسة للوقت، يأمل المهاجمون في الحصول على فدية أكبر بشكل أسرع. وجد تحليل مادنيك أن الرعاية الصحية هي الهدف الرئيسي. تصنيع هو آخر. المهاجمون يسارعون إلى وضع الجديد حكم هيئة الأوراق المالية والبورصات أعلن عنها في 26 يوليو ودخلت حيز التنفيذ في 18 ديسمبر لصالحهم.

كراود سترايك كان الرئيس والمدير التنفيذي والمؤسس المشارك جورج كورتز مقابلته على قناة CNBC هذا الأسبوع ولاحظ أنه “الآن مع قوانين الإفصاح الصادرة عن هيئة الأوراق المالية والبورصة، نرى بالفعل عصابات برامج الفدية، إذا لم يحصلوا على أموالهم، فإنهم الآن يبلغون لجنة الأوراق المالية والبورصات بذلك. وكان ذلك شيئًا نسميه الابتزاز المزدوج، والذي كان إما يقومون بتشفير البيانات، أو يقومون بتسريب البيانات. الآن، نحن ننظر إلى الابتزاز الثلاثي لأنه يمكنهم تشفيره أو تسريبه أو يمكنهم الذهاب مباشرة إلى هيئة الأوراق المالية والبورصات. وقال كورتز: “هذا هو الخيار الذي يقدمونه للضحايا”.

استعدوا لعام 2024

يواجه مدراء تكنولوجيا المعلومات ومديرو تكنولوجيا المعلومات وفرقهم تحديات تتمثل في حماية العمليات المدرة للدخل لأعمالهم وتعزيز الأمن حول مبادرات الأعمال الجديدة – دون أن يصبحوا عائقًا أمام نمو الإيرادات. للتفوق في هذا الدور، تعتقد VentureBeat أن المزيد من مدراء تكنولوجيا المعلومات بحاجة إلى أن يكونوا أعضاء نشطين في مجالس الإدارة.

“أرى المزيد والمزيد من كبار مسؤولي أمن المعلومات ينضمون إلى مجالس الإدارة. أعتقد أن هذه فرصة عظيمة للجميع هنا [at Fal.Con] لفهم التأثير الذي يمكن أن يحدثوه على الشركة. من الناحية المهنية، من الرائع أن تكون جزءًا من قاعة مجلس الإدارة تلك وأن تساعدهم في الرحلة. وقال كورتز خلال كلمته الرئيسية في الحدث السنوي لشركته، Fal.Con: “للحفاظ على مرونة وأمان الأعمال”. وتابع قائلاً: “يجب أن تكون إضافة الأمان عامل تمكين للأعمال. وينبغي أن يكون شيئًا يضيف إلى مرونة أعمالك، ويجب أن يساعد في حماية مكاسب الإنتاجية الناتجة عن التحول الرقمي.