حملات چندگانه - Multi-vector attacks - گروه امن گستران فرزان

• مقالات

• حملات چندگانه – Multi-vector attacks

حملات چندگانه – Multi-vector attacks

منتشر شده در آذر ۲۱, ۱۴۰۲

همه می‌دانیم که جرائم سایبری در طول زمان پیچیده‌تر شده است. ظاهر شدن WannaCry در سال 2017 و رخ دادن یکی از بزرگ‌ترین حملات باج‌افزاری، نقطهٔ عطفی در امنیت سایبری بود. در همان سال، حملات چندگانه (multi-vector)، که حملات چند برداره نیز نامیده می‌شوند، آغاز شدند.

حملات چندگانه از چندین بردار حمله یا نقطه ورود به سیستم(Entry point) به طور همزمان استفاده می‌کنند. به عنوان مثال، مهاجم حمله فیشینگ و DDoS را همزمان اجرا می‌کند یا فیشینگ را با Credential stuffing ترکیب می‌کند. پس حملات چندگانه ترکیبی از بردارهای حمله و تکنیک‌های مختلف نفوذ به شبکه و App را در مراحل متعدد به کار می‌گیرد؛ به همین دلیل در مقایسه با حملات تک بردار، این حملات اغلب سخت‌تر تشخیص داده می‌شوند. این دسته از حملات می‌توانند به سازمان‌های هدف آسیب‌های جدی شامل ضررهای مالی، افشا اطلاعات حیاتی و مخدوش کردن اعتبار سازمان وارد کنند.

ویژگی‌ها

حملات چندبرداره اغلب پیچیدگی زیادی داشته و نسبت به حملات تک برداره، نیازمند منابع بیشتری هستند. با این حال، به دلایل زیر احتمال موفقیت بالاتری دارند:

شناسایی آسیب‌پذیری: حملات چندگانه، آسیب‌پذیری‌های بالقوه در سیستم‌های سازمان هدف حمله را نشانه می‌گیرند. با این کار، احتمال شناسایی آسیب‌پذیری واقعی و دستیابی به سیستم‌های سازمان افزایش می‌یابد.
دشواری در شناسایی: در حمله چندگانه، احتمال تشخیص تمام بردارهای حمله و تمرکز روی بردارهای حمله با اهمیت بیشتر، کاهش می‌یابد. به عنوان مثال، یک حمله DDoS به دلیل تاثیر آنی روی منابع سازمان، توجه را از حمله مهم‌تری مانند دزدی اطلاعات حساب‌ها یا Data exfiltration می‌رباید.
اصلاح پیچیده: سازمان‌ها برای مقابله با حملات چندگانه با پیچیدگی بیشتری مواجه هستند، زیرا تیم پاسخگویی به حوادث امنیتی، باید تمامی خطوط حمله را شناسایی و رفع کند. در نتیجه، ممکن است به دلیل کندی فرآیند رفع مشکل یا از قلم افتادن یکی از بردارهای حمله، مهاجم دسترسی خود به سیستم‌ها و شبکه سازمان را برای مدت طولانی‌تی حفظ کند.

بنابراین، گرچه برنامه‌ریزی و هماهنگی در حملات چندگانه برای هکرها دشوارتر و طولانی‌تر است، اما به دلیل کارایی و اثربخشی بالاتر، آنها رواج بیشتری یافته‌اند.

روش مقابله

برای مقابله با حملات چندگانه، توان تشخیص، پیشگیری و اصلاح چند بردار حمله به طور همزمان نیاز است. از این رو، ابزارها و توانمندی امنیت سایبری سازمان باید دارای قابلیت‌های زیر باشد:

وجود ابزارهای مقابله با APT
معماری امنیتی یکپارچه با مدیریت مرکزی
تمرکز بر پیشگیری جهت تشخیص و مسدود کردن حملات پیش از آنکه هکرها به منابع و سیستم‌های سازمان دست یابند.
امکان مقیاس‌پذیری در مدیریت حوادث امنیتی با بهره‌گیری از ابزارهای خودکار

نمونه واقعی حملات چندگانه

ابتدا روی شبکه و سرورهای یک شرکت بزرگ خرده‌فروشی آنلاین، الگوهای حمله DDOS در اندازه متوسط دیده شد. تیم امنیت با به کارگیری راهکار Stand-alone DDoS سعی در کنترل شرایط داشتند که با افزایش تعداد لاگین‌های ناموفق از طریق وب مواجه شدند. پس با فرض حمله Credential stuffing، آنها سعی کردند حملات Bot-based را مدیریت کنند. در نهایت آنها متوجه شدند که هر دو این حملات برای منحرف کردن تمرکز تیم امنیت از حمله به API موبایل بوده و از DDoS برای تریگر مسیریابی BGP و کنار زدن Fraud protection برای API موبایل استفاده شده است.

DDoS multi-vector Multi-vector attacks WannaCry آسیب‌پذیری امنیت سایبری حملات چندگانه فیشینگ

ارسال دیدگاه

پر بازدید ترین اخبار

مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS)

منتشر شده در اسفند ۲۶, ۱۴۰۲

هوش مصنوعی در امنیت سایبری در گذر زمان

منتشر شده در اسفند ۲۱, ۱۴۰۲

مشاوره و طراحی و اجرای مرکزعملیات امنیت (SOC)

منتشر شده در بهمن ۱۴, ۱۴۰۲

انواع SOAR

منتشر شده در دی ۱۱, ۱۴۰۲

امنیت عامل انسانی

منتشر شده در دی ۱۰, ۱۴۰۲

مدیریت ریسک

منتشر شده در دی ۴, ۱۴۰۲

شاید به این مقالات هم علاقه داشته باشید ...

مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS)

مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS) دو مفهوم متمایز اما به هم پیوسته در حوزه امنیت سایبری و حفاظت از داده‌ها هستند. مدیریت حساب به فرآیند نظارت و کنترل حساب‌های کاربری در زیرساخت فناوری اطلاعات (IT) یک سازمان اشاره دارد که شامل فعالیت‌هایی مانند ایجاد حساب‌های کاربری، اعطا یا لغو امتیازات دسترسی، اجرای سیاست‌های رمز عبور و نظارت بر فعالیت کاربر است. مدیریت موثر حساب برای حفظ امنیت و یکپارچگی سیستم‌ها و داده‌های یک سازمان بسیار مهم است. از سوی دیگر، سیستم مدیریت امنیت اطلاعات (ISMS) یک رویکرد سیستماتیک برای مدیریت اطلاعات حساس و اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن آن است. ISMS چارچوبی را برای ایجاد، پیاده‌سازی، بهره‌برداری، نظارت، بررسی، حفظ و بهبود امنیت اطلاعات یک سازمان فراهم می‌کند. وقتی صحبت از مدیریت حساب در چارچوب ISMS می‌شود، تمرکز بر اجرای کنترل‌ها و فرآیندهای مناسب برای مدیریت ایمن حساب‌های کاربری است. این شامل اقداماتی مانند: تامین کاربر (User provisioning): ایجاد فرآیندهایی برای ایجاد و اصلاح حساب‌های کاربری بر اساس نقش‌ها و مسئولیت‌های تعریف شده. کنترل دسترسی (Access control): اجرای مکانیسم‌هایی برای اعطای امتیازات دسترسی مناسب به کاربران بر اساس نقش آنها و اجرای اصل کمترین امتیاز. احراز هویت قوی (Strong authentication): استفاده از رمزهای عبور قوی، احراز هویت چند عاملی (MFA) یا سایر مکانیسم‌های احراز هویت برای تأیید هویت کاربران. نظارت کاربر (User monitoring): اجرای مکانیسم‌هایی برای نظارت بر فعالیت‌های کاربر، تشخیص رفتار مشکوک و پاسخ به حوادث امنیتی. حذف حساب (Account deprovisioning): ایجاد فرآیندهایی برای غیرفعال کردن یا حذف حساب‌های کاربری در زمانی که دیگر نیازی به آنها نیست یا زمانی که یک کارمند سازمان را ترک می‌کند. ممیزی و بازبینی منظم (Regular audits and reviews): انجام ممیزی و بررسی دوره‌ای حساب‌های کاربری برای اطمینان از انطباق با خط مشی‌ها و شناسایی هرگونه شکاف یا خطر امنیتی. ادغام شیوه‌های مدیریت حساب در چارچوب ISMS برای اطمینان از امنیت کلی دارایی‌های اطلاعاتی سازمان مهم است. با انجام این کار، سازمان‌ها می‌توانند به طور موثر چرخه عمر حساب‌های کاربری را مدیریت کنند، خطرات مرتبط با دسترسی غیر مجاز را کاهش دهند و از اطلاعات حساس در برابر افشای غیر مجاز یا دستکاری محافظت کنند.

منتشر شده در اسفند ۲۶, ۱۴۰۲

هوش مصنوعی در امنیت سایبری در گذر زمان

هوش مصنوعی در امنیت سایبری در گذر زمان – قسمت اول امروزه در زندگی ما، هوش مصنوعی (AI) تاثیرات مهمی ایجاد کرده است. هوش مصنوعی با داشتن قابلیت یادگیری و پیش‌بینی تهدیدات با سرعت و دقت بیشتر، به یک ابزار ضروری در حفاظت از دولت‌ها و سازمان‌ها تبدیل شده است. اما آینده AI در امنیت سایبری با چالش‌هایی نیز مواجه است؛ به عنوان مثال گرچه AI به سازمان‌ها، امکان ساخت دفاع قوی‌تری می‌دهد، اما ابزارهای متعددی نیز برای انجام حملات پیچیده و پنهانی در اختیار مهاجمان و هکرها قرار داده است. در این مطالعه به بررسی تاثیر AI روی امنیت سایبری از اوایل ۲۰۰۰ پرداخته می‌شود. AI در امنیت سایبری: موج اول (2010 – 2000) در آغاز هزاره‌ی جدید، گام‌های ابتدایی دیجیتالی شدن، زندگی‌های شخصی و حرفه‌ای ما را تحت تأثیر قرار داد. در بیشتر سازمان‌ها، کارمندان از کامپیوترها و لپ‌تاپ‌ها به همراه مراکز داده درون سازمانی که زیرساخت IT سازمان را تشکیل می‌دادند، استفاده می‌کردند. تهدیدات سایبری در این زمان، به شکل عمده بر ایجاد هرج و مرج تمرکز داشته و در جستجوی کسب شهرت بودند. دهه اول هزاره‌ی جدید، شاهد ظهور نرم‌افزارهای مخربی همچون ILOVEYOU، Melissa و MyDoom بود که در اینرنت آن زمان دنیا اختلالات مهمی ایجاد کردند. در میانه دهه اول ۲۰۰۰، کسب سود مالی منجر به افزایش فیشینگ و بدافزارهای مختلف مالی شد. تروجان بانکی Zeus ظاهر شد که به‌طور پنهانی اطلاعات ورود به حساب بانکی کاربران را می‌دزدید. در آن زمان، سازمان‌ها تنها بر کنترل‌های امنیتی پایه، مانند آنتی ویروس مبتنی بر امضا و فایروال تکیه داشتند. از این رو مفهوم امنیت شبکه با ورود سیستم‌های تشخیص نفوذ (IDS) شروع به تکامل کرد. احراز هویت دو عاملی (2FA) در این زمان محبوبیت پیدا کرد و لایه‌ی اضافی امنیت برای سیستم‌ها و داده‌های حساس اضافه شد. در همین زمان بود که AI، ارزش خود را در دفاع از سازمان نشان داد. زیرا در این زمان، حجم ایمیل‌های اسپم و ناخواسته حاوی بدافزار، که بار کاری زیادی به سرورهای ایمیل تحمیل می‌کردند، و همچنین کاربران را با فریب‌های گوناگون، وادار به افشای اطلاعات شخصی ارزشمند می‌کردند، افزایش یافت. AI ابزاری ایده‌آل برای تشخیص سریع و مسدود کردن پیام‌های مخرب بود و کمک شایانی به کاهش ریسک کرد. هوش مصنوعی در این زمان، هنوز در مراحل نخستین خود بود اما برای دفاع از سازمان‌ها در برابر تهدیداتی که به سرعت و در مقیاس گسترده در حال رشد بودند، پتانسیل زیادی نشان داد. AI در امنیت سایبری: موج دوم (2020 – 2010) با ورود به دهه‌ی دوم هزاره‌ی جدید، زیرساخت IT تغییرات قابل توجهی را تجربه کرد. انفجار نرم‌افزارهای Software-as-a-Service، رایانش ابری و سیاست‌های Bring-Your-Own-Device، دامنه فناوری اطلاعات را پویاتر از هر زمان دیگری کرد و در عین حال، سطوح حمله در برابر تهدیدات سایبری را به طور بی‌سابقه گسترش داد. عوامل تهدید به مراتب پیچیده‌تر شدند و هدف‌های حمله بالقوه به شدت گسترش یافت؛ سرقت مالکیت معنوی، خراب‌کاری در زیرساخت‌ها و کسب سود از طریق حملات در مقیاس بزرگ، به شدت رواج یافتند. سازمان‌ها از تهدیدهای امنیتی کلان بین حکومت‌ها آگاه شدند که از حمایت مالی و تکنیکی فراوان دولت‌ها بهره‌ می‌بردند. این امر، به دفاع‌های پیچیده‌ای با امکان یادگیری خودکار و سریع منجر شد. حوادت امنیتی همچون Stuxnet که هدف آن تأثیرگذاری بر تاسیسات هسته‌ای کشور ما، ایران بود و همچنین حملات ویران‌کننده علیه شرکت‌های معروف مانند Target و Sony Pictures رخ دادند و بر خطرات فزاینده سایبری، مهر تایید زدند. در همان زمان، آسیب‌پذیری زنجیره‌های تأمین به شدت مورد توجه قرار گرفت؛ به عنوان مثال افشا اطلاعات SolarWinds، برای ده‌ها هزار سازمان در کل دنیا تبعاتی مخرب داشت. همچنین حملاتی مانند WannaCry و NotPetya خسارات فراوانی در سراسر جهان به بار آوردند. گرچه حملات اخیر، نسبتاً به آسانی قابل شناسایی بودند، اما حجم تهدیدات و نشانه‌های آنها، نیازمند دفاع با سطحی از سرعت و دقت بود که از توان تحلیلی نیروی انسانی خارج است. در این دوره، AI به ابزار ضروری برای تیم دفاعی تبدیل شد. شرکت Cylance، که در سال ۲۰۱۲ تأسیس شد، با هدف جایگزینی آنتی‌ویروس‎های پیچیده با مدل‌های سبک یادگیری ماشین آغاز به کار کرد. مدل‌های کامپیوتری آموزش داده شدند تا به سرعت و با بهره‌وری زیاد، بدافزارها را شناسایی و متوقف کنند. بدین ترتیب AI در امنیت سایبری گسترش بیشتری یافت و تکنیک‌های یادگیری ماشین برای تشخیص آنومالی‌ها، الگوهای یا رفتارهای غیرعادی نشان‌دهنده یک حمله پیچیده، و تحلیل‌های پیش‌بینی‌کننده برای شناسایی و جلوگیری از مسیرهای حمله ممکن، به کار گرفته شد.

منتشر شده در اسفند ۲۱, ۱۴۰۲

مشاوره و طراحی و اجرای مرکزعملیات امنیت (SOC)

مرکز عملیات امنیت (SOC) معرفی مرکز عملیات امنیت که به اختصار SOC نامیده می‌شود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارش‌هاي مختلف و استفاده از نرم‌افزارهای پیشرفته، سخت‎افزارها و متخصصين امر، رویدادهای امنیتی را

منتشر شده در بهمن ۱۴, ۱۴۰۲

شماره تماس : 52768000 - 021

بومی

خارجی

امنیت شبکه

عملیات امنیت

امنیت صنعتی

امنیت اطلاعات

شماره تماس : 52768000 - 021

• مقالات