در آزمایشگاه های ESET، کارشناسان دائما در حال تجزیه و تحلیل و مطالعه ی چگونگی انتشار تهدیدات اینترنتی در سراسر جهان می باشند. همه روزه این کارشناسان و محققان کدهای مخرب مختلفی را که برای اهداف متفاوت طراحی شده اند دریافت می کنند.بعضی از آنها کاربران خانگی را هدف قرار داده و تعدادی دیگر نیز سازمانها و شرکت های تجاری را هدف حملات قرار می دهند.
با نگاهی به آنچه در مقالات قبلی ESET عنوان شده ، می توان شاهد انقلاب و تغییراتی که سازمانها تا به حال در این زمینه انجام داده اند بود.سال گذشته محور بررسی ها شرکت های بزرگ بود در حالی که رویکرد سال جاری تمرکز بر افزایش اینترنت اشیاء (Internet of Things)، نه تنها در محیط خانه بلکه در محیط های کاری می باشد.
از نقطه نظر شرکت های بزرگ، امنیت فرایندی است که به مدیریت و پشتیبانی مناطق کلیدی سازمانها نیاز دارد.این چالش ها پایان ناپذیر بوده و تیم های امنیتی می بایست جنبه های مختلفی که از طریق آن کدهای مخرب می توانند به شبکه نفوذ کرده، استفاده از تکنولوژی های تشخیص فعال، مدیریت و آموزش به عنوان بخشی از برنامه ی دفاع از سازمان را مورد نظر قرار داده و پوشش دهی کنند.
با در نظرگرفتن این واقعیت که سازمانها منابع محدودی دارند و کارمندان IT در برابر امنیت اطلاعات مسئول هستند، مهم گسترش برنامه ای روشن و مختصر برای واکنش به این موضوع است.در همین زمان، مشخص کردن نقاطی از سازمان که معمولا و یا اغلب هدف حملات قرار میگیرد برای آماده بودن در برابر هر وضعیتی می تواند به سازمان کمک کند.
در زیر به چند مورد از این حملات، تاثیر آنها و بعضی از نمونه های هدف قرار گرفته شده می پردازیم.
1) نامه های الکترونیکی ( ایمیل )، یکی از ابزارهای تهدید
امروزه نامه های الکترونیکی یا همان ایمیل ها از آنجا که بخش مرکزی ارتباط با مشتریان، تامین کنندگان، خدمات و … می باشد، نقش محوری و اصلی را در سازمانها ایفا می کنند. همچنین کارمندان را قادر می سازد تا بتوانند اطلاعات سازمان را به اشتراک بگذارند.ایمیل های سازمانی معمولا کانال های اصلی دریافت کدهای مخرب بوده و محققان ESET همچنان در صدد هستند تا انواع مختلف تهدیداتی که از این طریق منتقل می شوند را شناسایی کنند.
آخرین نوع تهدیدات ایمیلی Win32/Bayrob می باشد که از راه های مختلفی مثل تغییر شکل به عنوان Amazon coupon، منتشر شده است. در کمتر از یک ماه این تهدید در کشورهای آرژانتین، شیلی، کلمبیا و مکزیک به یکی از تهدیدات عمده و شایع شناسایی شده ی سازمانها بدل گشت.
بعد از آن بدافزارهای دریافت شده از طریق فایل پیوست ایمیل ها مشکلات عمده و بزرگی را ایجاد می کنند.همان طور که در مورد CTB-Locker- که کمی بیش از یک سال گذشته مطرح شد- که در آن تروجان شناسایی شده توسط ESET به نام Win32/TrojanDownloader.Elenoocka.A امواج مختلفی از حملات را به زبان های مختلف منتشر ساخت.این بدافزار پس از نصب فایل های قربانی را رمزنگاری کرده و برای بازیابی اطلاعات درخواست پرداخت وجه می کند.
به منظور حفاظت ایمیل های سازمانی، نه تنها به راه حل های امنیتی Endpoint که تهدیدات فایل های پیوست را شناسایی می کند نیازمند هستید، بلکه لازم است از سرور ایمیل نیز محافظت کرده و این عناوین را قبل از ورود به inbox کارمندان فیلتر سازید.یک پیشنهاد برای تیم امنیتی استفاده از ابزارهای مدیریتی به منظور ایجاد گزارشاتی است که از آن طریق کارمندان تهدیداتی را دریافت می کنند و در نهایت می توانند واکنش مناسبی در این ارتباط اتخاذ کنند.
2) دستگاه های خارجی که ممکن است اطلاعات و داده ها را مخفی کند.
استفاده از USB و انواع دیگر دستگاه های خارجی روش دیگری است که مجرمان سایبری از آن طریق می توانند به نشر کدهای مخرب بپردازند.این مورد از جمله مواردی است که به ویژه در آمریکای لاتین در طول سالیان شاهد نشر تعداد زیادی از خانواده ی کدهای مخربی که از این تکنیک استفاده می کنند بوده ایم.
متد اصلی این نوع تهدید سوء استفاده از لینک های دسترسی مستقیم ( LNK) می باشد که با اتصال دستگاه USB به سیستم آلوده تمام فایل ها ناپدید شده و با لینک های دسترسی مستقیم جایگزین می شوند.اگر همان دستگاه USB به دستگاه جدیدی متصل شود، با دابل کلیک بر روی این لینک ها سیستم جدید نیز آلوده می شود.
برخی از بدافزارها در طول سالیان از این روش برای انتشار Win32/Dorkbot, Python/Liberpy.A, JS/Bondat, VBS/Agent.NDH, و حتی انواع مختلف Win32/IRCBot استفاده کرده اند.
نکته ی قابل توجهی که وجود دارد این است که سازمانها می بایست نسبت به اتصال ابزارهای خارجی به سیستم های سازمان که می توانند راهی برای سرقت اطلاعات و داده های آنان باشد، سیاست هایی را اتخاذ کنند.با توجه به نوع کسب و کار و تصمیماتی که توسط سازمان اتخاذ می شود استفاده از راه حلی که امکان مسدود کردن سطح دسترسی را امکان پذیر می سازد، توصیه می شود.
3) سوء استفاده
سوء استفاده از آسیب پذیریهای نرم افزارها راه دیگری است که کدهای مخرب عمدتا از طریق برنامه های سازمانی ، مرور گرها و وب سایت ها منتشر می شوند.این چالش همزمان با ایجاد رخنه در برنامه ها و یا مرورگرها زمانی که کاربر موفق به گرفتن آپدیت های جدید نمی شود و یا زمانی که وصله های امنیتی وجود ندارد سازمانها را در معرض خطر قرار می دهد.
چند روز گذشته اطلاعاتی در خصوص آسیب پذیریهای گزارش شده از سیستم عامل مایکروسافت به اشتراک گذاشته شد.این سیستم عامل به ویژه در دنیای کسب و کار بیشترین استفاده را در سراسر جهان دارد. مطابق این گزارش Internet Explorer برنامه ای با بیشترین حوادث است. خطر سوء استفاده عمدتا با نصب کدهای مخرب همراه است. این کدهای اجرایی از راه دور مهاجمان را قادر می سازند که کنترل سیستم را از راه دور به دست گیرند.
این سوء استفاده ها نه تنها نقاط پایانی را هدف قرار می دهد، وب سرورها و دیگر ابزارهایی که به صورت مستقیم به اینترنت متصل می شوند را نیز دچار مشکل می کند.برای مبارزه با این نوع تهدیدات به راه حل های امنیتی فعال با ویژگی هایی همانند ESET Exploit Blocker. نیازمندیم.این راه حل ها به جلوگیری از اجرای سوء استفاده ها کمک کرده و از کاربران در برابر تهدیداتی مثل 0-Day محافظت می کند.همانگونه که برای خدماتی همچون وب سرورها، پایگاه داده ها و ابزارهای مختلفی که بر روی آنها راه حل های امنیتی نصب نشده خدمات pentesting برای کمک به جلوگیری از انواع خطرات اجرا می شود.
4) بدافزار
بدافزارها یکی دیگر از تهدیداتی هستند که سازمانهای بزرگ، متوسط و کوچک در سراسر جهان با آن درگیر می شوند.این آلودگی ها با این نوع کدهای مخرب می تواند بسیاری از سازمانهای آسیب پذیر را در معرض خطر قرار دهد.چه این سازمانها از نرم افزارهای امنیتی استفاده کرده و یا تحت بررسی های مکرر امنیتی قرار گرفته باشد، حمله ای از این دست به این معنا است که بسته به نوع اطلاعات سرقت شده ادامه ی روند کسب و کاری سازمان در معرض خطر است.
هر سازمانی که در جستجوی پیاده سازی سیاستهای امنیتی فعال است از ابتلا به هر نوع آلودگی اجتناب می ورزد.اما زمانی که این حوادث رخ می دهد، ابزارهای بازیابی آسیب ها از اهمیتی حیاتی برخوردار می شوند. قبل از آنکه هر نوع بدافزاری سیستم ها را آلوده سازد، زمانی برای فراهم کردن نسخه ی پشتیبان از داده ها و اطلاعات به منظور به دست گرفتن روند کسب و کار و اجرای دوباره ی آن کلیدی برای به حداقل رساندن تاثیر آن می باشد.
5) تلفن های هوشمند محافظت نشده
یکی دیگر از عوامل نگرانی سازمانها تلفن های همراه است.ESET سال گذشته طی گزارشی عنوان کرد که در آمریکای لاتین از هر 10 شرکت تنها یک شرکت از راه حل های امنیتی برای تلفن های هوشمند استفاده می کند.اگر این موضوع را در نظر داشته باشیم که در بسیاری از موارد تلفن های همراه محافظت نشده به همان شبکه ای متصل می شوند که سیستم های سازمان، بایستی دقت داشت که می توانند دری را برای نشت و سرقت اطلاعات به روی مجرمان سایبری باز کنند.
تلفن های همراه حفاظت شده نه تنها در برابر کدهای مخرب حفاظت می شوند، همچنین به حفاظت از شبکه ی داخلی زمانی که این دستگاهها به اینترنت متصل می شوند کمک می کند.در این ارتباط طرح این نکته که این دستگاهها را می توان از طریق یک کنسول مدیریتی مدیریت کرد خالی از اهمیت نیست.
برای سازمانها این امکان وجود دارد که از سیاستهای موثر برای دستگاه های موبایل استفاده کرده و در نهایت قوانین مشخصی برای استفاده از تلفن های همراه و دستگاههایی از این دست وضع نمود.
چه باید کرد؟
چالش تیم امنیتی سازمانها حفاظت از سازمان، اطمینان از عدم آلودگی تجهیزات شبکه و همچنین اطمینان از اینکه درصورت بروز هرگونه مشکل بتوانند در سریعترین زمان و به بهترین وجه واکنش نشان دهند تا بتوانند تاثیر آن را در سازمان به حداقل برسانند، می باشد. درست است که مشکل به نظر می رسد اما اگر تصمیمات درستی در زمان مناسب اتخاذ شود به هیچ وجه امری غیر ممکن نیست.
برای این منظور نقطه ی شروع درست و مطلوب اطلاع از نوع تهدیداتی است که می توانند بیشترین آسیب ها را به سازمان وارد آورند که اطلاع از این موضوع هم زمان بر می باشد، اما درک و کسب آگاهی از اینکه هر روز چه تهدیداتی توسط راه حل های امنیتی کشف و ردیابی می شود در کنار اجرای سیاستهای امنیتی می تواند کمک موثری به سازمانها باشد.روی هم رفته برای امن نگه داشتن سازمانها و مهم تر از آن اطلاعات نکات عنوان شده حائز اهمیت هستند.
منبع : www.welivesecurity.com