حتی اگر ساختار امنیتی شبکه و زیرساخت‌های خود را بر مبنای مدل امنیتی Zero Trust پیاده‌سازی کرده باشید، باید خود را برای وقوع اجتناب‌ناپذیر یک نفوذ آماده کنید. حقیقت این است که هر لحظه امکان دارد یک مهاجم به شبکه شما دسترسی پیدا کند و قصد داشته‌باشد بدافزارها را اجرا کند یا دیگر آسیب‌ها را وارد نماید.

مدل امنیتی Zero Trust چیست و چگونه از آن پیروی کنیم؟

یک حمله سایبری معمولی به این شکل پیش می‌رود:

1. مهاجم، حساب کاربری یک کاربر را از طریق فیشینگ، حمله حدس زدن رمز عبور(Keylogger) یا روش‌های دیگر به‌دست می‌آورد و با این کار در یک سیستم نهایی، دستگاه IoT یا سیستم دیگر جای پای خود را محکم می‌کند.
2. سپس با حرکت جانبی در شبکه و افزایش سطح دسترسی خود، به منابع حیاتی IT دسترسی پیدا می‌کند. این مرحله ممکن است هفته‌ها یا حتی ماه‌ها طول بکشد و طی آن، مهاجم به مطالعه شبکه می‌پردازد.
3. مهاجم داده‌های حساس را استخراج می‌کند، باج‌افزار یا بدافزارهای دیگر را پیاده‌سازی می‌کند و/یا با از کار انداختن سیستم‌ها، خرابی ایجاد می‌کند.

یک تصور اشتباه وجود دارد که تهدیدات حرکت جانبی فقط به شبکه‌های محلی محدود می‌شوند. اما این نوع حرکت می‌تواند در محیط‌های ابری نیز رخ دهد و حتی مهاجمان می‌توانند بین سیستم‌های محلی و ابری جابه‌جا شوند.

رایانش ابری چه مفهومی دارد و چقدر قدرت‌مند است؟

تیم‌های امنیتی وظیفه دارند تهدیدات را شناسایی کنند، حملات را مهار نمایند تا از گسترش بیشتر جلوگیری شود، و تمامی سیستم‌های آلوده را پاک‌سازی کنند. برای دفاع از سازمان، باید تکنیک‌های مورد استفاده مهاجمان را به‌خوبی درک کنید.

افزایش سطح دسترسی چیست؟ 

معمولاً مهاجمان از طریق به‌دست آوردن کنترل یک حساب کاربری با سطح دسترسی معمولی، در شبکه جای پای خود را محکم می‌کنند. برای رسیدن به اهداف خود، لازم است سطح دسترسی بیشتری را به‌دست آورند و کنترل بیشتری روی سیستم داشته باشند. از این رو، هنگامی که مهاجم وارد محیط سازمان می‌شود، به شناسایی منابع قابل دسترسی و حساب‌هایی که امکان به خطر افتادن دارند، می‌پردازد. مهاجمان ممکن است از ابزارهای اسکن شبکه برای شناسایی سیستم‌های فعال، پورت‌های باز و سرویس‌های در حال اجرا در یک پلتفرم هدف استفاده کنند. این مرحله که پیش از رخ دادن آسیب‌های اصلی است، نقطه‌ای کلیدی برای شناسایی و واکنش به‌موقع محسوب می‌شود.

تکنیک‌های خاصی که مهاجمان استفاده می‌کنند 

مهاجمان برای نفوذ در شبکه و افزایش سطح دسترسی خود از روش‌های مختلفی بهره می‌گیرند. برخی از تکنیک‌های رایج شامل موارد زیر است:

1. شناسایی با LDAP: مهاجمان می‌توانند از یک سرویس دایرکتوری LDAP برای دریافت اطلاعات در مورد اشیاء و ویژگی‌ها استفاده کنند تا حساب‌های دارای دسترسی بالا و منابع حساس را شناسایی کنند.
2. حمله Pass-the-Hash: در این تکنیک، مهاجم با سرقت رمز عبور کاربران دارای دسترسی بالا، از طریق رهگیری ترافیک شبکه یا استفاده از بدافزارها برای استخراج هش رمز عبور، به سیستم‌ها نفوذ می‌کند.
3. کر‌بروسینگ (Kerberoasting): مهاجمان می‌توانند با سوء‌استفاده از پروتکل تأیید هویت Kerberos اطلاعات کاربری Active Directory را که دارای سرویس‌پرنسیپل‌نیم هستند، سرقت کنند. این حساب‌ها غالباً حساب‌های سرویسی بوده و دارای سطح دسترسی بالاتری نسبت به حساب‌های کاربری عادی هستند.
4. استفاده از آسیب‌پذیری‌ها: مهاجمان معمولاً از آسیب‌پذیری‌های شناخته‌شده در سیستم‌ها یا نرم‌افزارها برای افزایش سطح دسترسی یا دستیابی به سیستم‌های دیگر بهره می‌گیرند؛ به‌خصوص نرم‌افزارهای قدیمی یا به‌روزرسانی‌نشده در معرض این خطرات هستند.
5. سوءاستفاده از پیکربندی‌های ضعیف: پیکربندی‌های ضعیف در سرورها، دستگاه‌های کاربری و سیستم‌های دیگر به مهاجمان امکان پیشبرد حملات را می‌دهد.
6. استفاده از RDP: ابزارهای مدیریت از راه دور مانند پروتکل Remote Desktop Protocol (RDP) در سیستم‌های ویندوز، اغلب هدف مجرمان سایبری برای حرکت جانبی در شبکه هستند.

علاوه بر این، مهاجمان از ابزارهای تخصصی مانند Bloodhound، PowerSploit یا Empire استفاده می‌کنند تا نقشه شبکه را ترسیم کرده و اهداف بالقوه برای بهره‌برداری را شناسایی کنند.

نمونه‌های واقعی 

یکی از نمونه‌های بسیار مشهور حملات با حرکت جانبی، حمله زنجیره تأمین SolarWinds در سال 2020 بود. مهاجمان به نرم‌افزار SolarWinds دسترسی پیدا کرده و یک Backdoor را در بروزرسانی نرم‌افزار قرار دادند. با نصب این بروزرسانی توسط مشتریان، مهاجمان به دسترسی‌های سطح بالا در شبکه‌های آنها دست یافتند.

نمونه دیگری در همان سال، حمله باج‌افزار Ryuk به شرکت Universal Health Services بود. در این حمله، مهاجمان از طریق یک ایمیل فیشینگ برنامه‌ای تروجان را ارسال کردند که با دانلود باج‌افزار، امکان حرکت جانبی در شبکه را فراهم کرد. مهاجمان سپس از ابزار Mimikatz برای سرقت اطلاعات کاربری ادمین و حرکت جانبی در شبکه استفاده کردند.

چگونه سازمان‌ها می‌توانند از خود دفاع کنند؟

برای جلوگیری از حرکت جانبی مهاجمان در محیط IT خود، می‌توانید از بهترین راهکارهای زیر استفاده کنید:

• دسترسی ادمین محلی را محدود کنید

دیگر نمی‌توانید حقوق ادمین محلی را به کاربران استاندارد اختصاص دهید. هنگامی که یک حساب کاربری به خطر بیافتد، مهاجمان به طور خودکار حقوق همان حساب را به دست می‌آورند. بدون حقوق ادمین محلی، مهاجمان قادر به نصب کد مخرب نخواهند بود.

• اصل کمترین دسترسی را اجرا کنید

اصل کمترین دسترسی (POLP) بیان می‌کند که هر کاربر و فرآیند باید تنها به منابع شبکه‌ای دسترسی داشته باشد که برای انجام وظایف اختصاص داده‌شده لازم است و هیچ چیزی بیشتر از آن. اجرای این اصل همچنین شامل عنصر زمان‌بندی می‌شود، به این معنی که دسترسی‌ها باید تنها به مدت لازم برای انجام وظیفه خاصی وجود داشته باشند.

• جلوگیری از حملات مهندسی اجتماعی

مجرمان سایبری اغلب از طریق حملات مهندسی اجتماعی به محیط IT هدف خود دسترسی پیدا می‌کنند. آموزش‌های آگاهی‌بخش امنیتی و استفاده از راهکارهای فیلتر ایمیل و وب می‌تواند به کاهش این نوع حملات کمک کند.

• حفاظت از رمزهای عبور

رمزهای عبور ضعیف، به‌ویژه در حساب‌های با دسترسی بالا، امکان سرقت اعتبارات را به مهاجمان می‌دهد. استفاده از سیاست‌های پیچیدگی رمز عبور و پیاده‌سازی احراز هویت چند عاملی (MFA) برای حساب‌های با سطح دسترسی بالا ضروری است.

جایگزینی حساب‌های دارای دسترسی پایدار با دسترسی به‌موقع و نظارت بر فعالیت‌ها

استفاده از راهکارهایی مانند Privileged Access Management امکان شناسایی حساب‌های حساس، جایگزینی آنها با دسترسی به‌موقع (JIT) برای انجام وظایف خاص، و نظارت بر رفتارهای مشکوک را فراهم می‌کند.

نتیجه‌گیری…

اجرای استراتژی‌های صحیح برای محدود کردن دسترسی‌ها، ایجاد مکانیزم‌های کنترلی برای تشخیص رفتارهای غیرمعمول و استفاده از ابزارهای مناسب، نقش بسزایی در شناسایی زودهنگام حملات و جلوگیری از گسترش آن‌ها در شبکه دارد. به کمک این راهکارها، سازمان‌ها می‌توانند در برابر این نوع حملات دفاع موثری داشته باشند و آسیب‌پذیری‌های شبکه را به حداقل برسانند تا مهاجمان نتوانند به راحتی به اهداف خود دست یابند.