پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو
7 اقدام لازم بعد از حملات مبتنی بر اعتبارنامه Credential

7 اقدام لازم بعد از حملات مبتنی بر اعتبارنامه Credential

تیتر مطالب

این روزها هکرها اقدام به شکستن قفل ها نمی کنند اما می توانند لاگین شوند. با استفاده از اعتبارنامه های معتبر، مهاجمان سایبری سیستم های امنیتی را بای پس کرده و برای ابزارهای نظارتی قانونی بنظر می رسند (حملات مبتنی بر اعتبارنامه credential ).
این مشکل بسیار گسترده است، گوگل گزارش میدهد که حفاظت ضعیف یا عدم وجود credential تا 47 درصد از نقض های محیط های ابری را تسهیل کرده و IBM X-Force تقریبا یک سوم حملات سایبری جهانی را به نفوذ به حسابها مرتبط می داند.

بنابراین این موضوع برای دفاع از امنیت سایبری سازمان شما چه معنایی دارد؟ در ادامه آنچه باید در مورد چگونگی محافظت از سیستم‌های خود در برابر حملات مبتنی بر اعتبارنامه بدانید، اقدامات لازم در صورت عدم موفقیت پیشگیری و اینکه چرا اسکن Active Directory برای رمزهای عبور لو رفته باید بخشی از استراتژی امنیتی شما باشد، آورده شده است.

چرا حملات مبتنی بر اعتبارنامه credential از روشهای موردعلاقه هکرهاست؟

مهاجمان سایبری به حملات مبتنی بر اعتبارنامه credential توجه ویژه ای دارند، زیرا:
برای اجرا راحت هستند: حملات مبتنی بر اعتبارنامه نسبتا در مقایسه با سوءاستفاده های پیچیده تر روز صفر، نسبتا ساده تر اجرا می شوند.
تا حد زیادی موفقیت آمیز هستند: با توجه به اینکه کاربران به صورت چرخشی از پسوردهای یکسانی برای اکانتهای خود استفاده می کنند، برای مهاجمان رسیدن به دسترسی گسترده تر ساده است، یک کلید می تواند درهای مختلفی را باز کند!
ریسک شناسایی کمتری دارند: چرا که مهاجمان از اعتبارنامه ها برای بهره برداری ها استفاده می کنند بنابراین می توانند در یک ترافیک نرمال ترکیب شده و به آنها امکان دور زدن هشدارهای امنیتی را میدهد.
ارزان هستند: حملات مبتنی بر اعتبارنامه credential منابع حداقلی نیاز دارند اما می توانند عملکرد قابل توجهی به دنبال داشته باشند. مهاجمان می توانند به راحتی مجموعه ای از اعتبارنامه های به سرقت رفته را در محیط دارک وب خریداری کرده سپس با استفاده از ابزارهای اتوماتیک رایگانی که وجود دارد، اعتبارنامه ها مذکور را در سیستم های مختلفی تست کنند.
همه کاره هستند: حملات مبتنی بر اعتبارنامه credential در هر جایی که اعتبارنامه نیاز است، می توانند استفاده شوند، این بدان معناست که مهاجمان چندین نقطه ورود بالقوه خواهند داشت از اپلیکیشن های وبی تا سرویس های ابری.

چرا سازمانی هدف قرار میگیرد؟

سازمان شما می تواند یک هدف جذاب برای حملات مبتنی بر اعتبارنامه credential باشد؟ چنانچه هر یک از این مشکلات امنیتی روی سیستم های شبکه یک سازمان وجود داشته باشد، آن سازمان بیش از آنچه تصور کنید می تواند هدف حمله قرار گیرد:

  • سیاست های پسورد ضعیف یک راه ورودی برای مهاجمان ایجاد کرده و می توانند به راحتی با استفاده از ابزارهای خودکار و لیست پسوردهای رایج، پسوردها را حدس زده یا اعتبارنامه ها را کرک کند.
  • عدم استفاده و استقرار ناقص راهکارهای احراز هویت چندعاملی حتی پسوردهای قوی را در برابر سرقت آسیب پذیر می کند.
  • آموزش های امنیت ناکافی کاربران را در برابر ایمیل های فیشینگ، تاکتیک های مهندسی اجتماعی و سایر حملات آسیب پذیرتر می کند.
  • با بخش بندی ضعیف شبکه زمانی که مهاجمان به یک اندپوینت نفوذ می کنند، برای آنها دسترسی به کل شبکه مهیا می شود.
  • عدم نظارت کافی به مهاجمان اجازه میدهد که تا چند روز، چند هفته و یا حتی چندماه درون سیستم های حیاتی شبکه، ناشناس باقی بمانند.
  • استفاده دوباره کاربران از یک پسورد، اثر هر نقضی را افزایش میدهد، بدین شکل که یک اعتبارنامه به سرقت رفته چندین سیستم و اپلیکیشن شخصی و یا سازمانی را باز می کند.

زمانی که یک اعتبارنامه به خطر می افتد: یک سناریوی واکنش

زمانی که سازمان هدف یک حمله مبتنی بر اعتبارنامه credential می شود، باید بدانیم که عواقب آن چقدر می تواند ویرانگر باشد. اما اگر شما یکی از معدود افراد خوش شناسی هستید که تاکنون از دید هکرها در امان مانده اید، شرایط به این شکل است:

نیمه شب تلفن شما زنگ میخورد. تیم امنیت سازمان الگوهای لاگین غیرمعمولی را از یک آدرس IP ناشناخته و در کشور دیگری در ساعات غیرکاری سازمان، شناسایی کرده اند. تا زمانی که شما از راه دور وارد سیستم شوید، مهاجم به چندین فایل حساس دسترسی پیدا کرده و به صورت جانبی در شبکه سازمان حرکت کرده و سیستم های بیشتری را به خطر انداخته است.
احساس شکست: سازمان شما در حال تجربه یک حمله مبتنی بر اعتبارنامه real-time است. حال چه باید کرد؟

مراحل پاسخ سریع

زمانی که اعتبارنامه ای به دست مهاجمی می رسد و هکر به سیستم های شبکه سازمان دسترسی پیدا می کند، هر دقیقه ارزشمند است اما داشتن یک برنامه پاسخ به رخداد مناسب و دقیق می تواند به سازمان کمک کند تا آسیب و زمان ریکاوری را به حداقل برساند.

در ادامه مراحل پایه و مهمی که در زمان یک حمله، سازمانها باید انجام دهند، ذکر می شوند:

  1.  سیستم هشدار و شناسایی اولیه: به محض اینکه ابزارهای نظارتی ناهنجاری را شناسایی کرده و به تیم امنیتی هشدار می‌دهند، زمان شروع به حرکت می‌کند – باید به سرعت برای محدود کردن آسیب اقدام کنیم.
  2.  ارزیابی و اولویت‌بندی: مطمئن شوید که هشدار معتبر است. سپس، مشخص کنید کدام سیستم‌ها و حساب‌ها تحت تأثیر قرار گرفته‌اند و تأثیر بالقوه آن بر سازمان شما ارزیابی شود.
  3.  ایزولاسیون و مهار: با قطع اتصال دستگاههای آسیب‌دیده از شبکه، نقاط دسترسی هکرها را قطع کنید. دسترسی به حساب‌های آسیب‌دیده را لغو کنید و شبکه را برای مهار تهدید، بخش‌بندی کنید.
  4.  تحقیقات دقیق: فعالیت‌های مهاجم را با تجزیه و تحلیل گزارش‌ها و داده‌های فارنزیک ردیابی کنید. نحوه به خطر انداختن اعتبارنامه‌ها توسط هکرها را شناسایی کنید و ارزیابی کنید که هکرها در حین دسترسی چه کاری انجام داده‌اند.
  5.  ارتباطات و اطلاع‌رسانی: به یاد داشته باشید، شفافیت باعث ایجاد اعتماد می‌شود، در حالی که پنهان‌کاری باعث ایجاد سوءظن می‌شود. با در نظر گرفتن این موضوع، به همه ذینفعان مربوطه، از جمله مدیریت ارشد، تیم‌های حقوقی و کاربران آسیب‌دیده، به‌روزرسانی‌های واضح و واقعی ارائه دهید.
  6.  ریشه‌کنی و بازیابی: شروع به بازسازی سیستم‌های امنیتی خود کنید و آنها را قوی‌تر کنید. رمزهای عبور را برای همه حساب‌های آسیب‌دیده تنظیم مجدد کنید، آسیب‌پذیری‌های مورد سوءاستفاده را وصله کنید، سیستم‌ها را با استفاده از فایل های بکاپ غیرآلوده و سالم بازیابی کنید و احراز هویت چند عاملی را پیاده‌سازی کنید.
  7.  بررسی پس از حادثه: بهترین دفاع در برابر حمله آینده، درس گرفتن از نقض امنیتی فعلی است. پس از یک نقض امنیتی، فرآیند واکنش به حادثه خود را تجزیه و تحلیل کنید، برنامه واکنش خود را به‌روزرسانی کنید و اقدامات امنیتی اضافی را بر اساس درس‌های آموخته شده اجرا کنید.

اسکن اکتیو دایرکتوری برای جلوگیری از حملات آینده

در حالی که پاسخ سریع به حملات مبتنی بر اعتبارنامه مهم است، پیشگیری کامل از آنها حتی مهم‌تر (و مقرون به صرفه‌تر) است. با پیاده‌سازی احراز هویت چند عاملی، اجرای سیاست‌های رمز عبور قوی، آموزش منظم کارکنان، بررسی مکرر اکتیو دایرکتوری و تقسیم‌بندی صحیح شبکه، آسیب‌پذیری سازمان خود را کاهش خواهید داد.
همچنین اسکن اکتیو دایرکتوری برای یافتن رمزهای عبور لو رفته در استراتژی پیشگیری شما مهم است.
با ترکیب اقدامات امنیتی سنتی و نظارت فعال، سازمان می‌تواند خود را از حملات مبتنی بر اعتبارنامه‌ (credential) محافظت کند. برای ایمن‌سازی سیستم‌های خود تا پس از وقوع نقض امنیتی صبر نکنید – آسیب‌پذیری‌های رمز عبور را قبل از اینکه مهاجمان از آنها سوءاستفاده کنند، شناسایی و برطرف کنید.

 

منبع: 
bleepingcomputer

شرکت فنی مهندسی ارتباط پانا

از سال ۱۳۸۴ به عنوان شرکتی پیشرو در زمینه “امنیت شبکه” فعالیت خود را آغاز کرد و با اخذ مجوزهای مربوطه و همچنین با بهره گیری از تیمی متخصص و حرفه ای در جایگاه یکی از معتبرترین فعالان این صنعت قرار گرفته است. 

دسترسی سریع

امنیت حرفه ای

عضویت در خبرنامه

شبکه اجتماعی