بهترین راهکارهای جانبی برای دفاع از سازمان شما در برابر مهاجمان سایبری
حتی اگر ساختار امنیتی شبکه و زیرساختهای خود را بر مبنای مدل امنیتی Zero Trust پیادهسازی کرده باشید، باید خود را برای وقوع اجتنابناپذیر یک نفوذ آماده کنید. حقیقت این است که هر لحظه امکان دارد یک مهاجم به شبکه شما دسترسی پیدا کند و قصد داشتهباشد بدافزارها را اجرا کند یا دیگر آسیبها را وارد نماید.
مدل امنیتی Zero Trust چیست و چگونه از آن پیروی کنیم؟
یک حمله سایبری معمولی به این شکل پیش میرود:
- مهاجم، حساب کاربری یک کاربر را از طریق فیشینگ، حمله حدس زدن رمز عبور(Keylogger) یا روشهای دیگر بهدست میآورد و با این کار در یک سیستم نهایی، دستگاه IoT یا سیستم دیگر جای پای خود را محکم میکند.
- سپس با حرکت جانبی در شبکه و افزایش سطح دسترسی خود، به منابع حیاتی IT دسترسی پیدا میکند. این مرحله ممکن است هفتهها یا حتی ماهها طول بکشد و طی آن، مهاجم به مطالعه شبکه میپردازد.
- مهاجم دادههای حساس را استخراج میکند، باجافزار یا بدافزارهای دیگر را پیادهسازی میکند و/یا با از کار انداختن سیستمها، خرابی ایجاد میکند.
یک تصور اشتباه وجود دارد که تهدیدات حرکت جانبی فقط به شبکههای محلی محدود میشوند. اما این نوع حرکت میتواند در محیطهای ابری نیز رخ دهد و حتی مهاجمان میتوانند بین سیستمهای محلی و ابری جابهجا شوند.
رایانش ابری چه مفهومی دارد و چقدر قدرتمند است؟
تیمهای امنیتی وظیفه دارند تهدیدات را شناسایی کنند، حملات را مهار نمایند تا از گسترش بیشتر جلوگیری شود، و تمامی سیستمهای آلوده را پاکسازی کنند. برای دفاع از سازمان، باید تکنیکهای مورد استفاده مهاجمان را بهخوبی درک کنید.
افزایش سطح دسترسی چیست؟
معمولاً مهاجمان از طریق بهدست آوردن کنترل یک حساب کاربری با سطح دسترسی معمولی، در شبکه جای پای خود را محکم میکنند. برای رسیدن به اهداف خود، لازم است سطح دسترسی بیشتری را بهدست آورند و کنترل بیشتری روی سیستم داشته باشند. از این رو، هنگامی که مهاجم وارد محیط سازمان میشود، به شناسایی منابع قابل دسترسی و حسابهایی که امکان به خطر افتادن دارند، میپردازد. مهاجمان ممکن است از ابزارهای اسکن شبکه برای شناسایی سیستمهای فعال، پورتهای باز و سرویسهای در حال اجرا در یک پلتفرم هدف استفاده کنند. این مرحله که پیش از رخ دادن آسیبهای اصلی است، نقطهای کلیدی برای شناسایی و واکنش بهموقع محسوب میشود.
تکنیکهای خاصی که مهاجمان استفاده میکنند
مهاجمان برای نفوذ در شبکه و افزایش سطح دسترسی خود از روشهای مختلفی بهره میگیرند. برخی از تکنیکهای رایج شامل موارد زیر است:
- شناسایی با LDAP: مهاجمان میتوانند از یک سرویس دایرکتوری LDAP برای دریافت اطلاعات در مورد اشیاء و ویژگیها استفاده کنند تا حسابهای دارای دسترسی بالا و منابع حساس را شناسایی کنند.
- حمله Pass-the-Hash: در این تکنیک، مهاجم با سرقت رمز عبور کاربران دارای دسترسی بالا، از طریق رهگیری ترافیک شبکه یا استفاده از بدافزارها برای استخراج هش رمز عبور، به سیستمها نفوذ میکند.
- کربروسینگ (Kerberoasting): مهاجمان میتوانند با سوءاستفاده از پروتکل تأیید هویت Kerberos اطلاعات کاربری Active Directory را که دارای سرویسپرنسیپلنیم هستند، سرقت کنند. این حسابها غالباً حسابهای سرویسی بوده و دارای سطح دسترسی بالاتری نسبت به حسابهای کاربری عادی هستند.
- استفاده از آسیبپذیریها: مهاجمان معمولاً از آسیبپذیریهای شناختهشده در سیستمها یا نرمافزارها برای افزایش سطح دسترسی یا دستیابی به سیستمهای دیگر بهره میگیرند؛ بهخصوص نرمافزارهای قدیمی یا بهروزرسانینشده در معرض این خطرات هستند.
- سوءاستفاده از پیکربندیهای ضعیف: پیکربندیهای ضعیف در سرورها، دستگاههای کاربری و سیستمهای دیگر به مهاجمان امکان پیشبرد حملات را میدهد.
- استفاده از RDP: ابزارهای مدیریت از راه دور مانند پروتکل Remote Desktop Protocol (RDP) در سیستمهای ویندوز، اغلب هدف مجرمان سایبری برای حرکت جانبی در شبکه هستند.
علاوه بر این، مهاجمان از ابزارهای تخصصی مانند Bloodhound، PowerSploit یا Empire استفاده میکنند تا نقشه شبکه را ترسیم کرده و اهداف بالقوه برای بهرهبرداری را شناسایی کنند.
نمونههای واقعی
یکی از نمونههای بسیار مشهور حملات با حرکت جانبی، حمله زنجیره تأمین SolarWinds در سال 2020 بود. مهاجمان به نرمافزار SolarWinds دسترسی پیدا کرده و یک Backdoor را در بروزرسانی نرمافزار قرار دادند. با نصب این بروزرسانی توسط مشتریان، مهاجمان به دسترسیهای سطح بالا در شبکههای آنها دست یافتند.
نمونه دیگری در همان سال، حمله باجافزار Ryuk به شرکت Universal Health Services بود. در این حمله، مهاجمان از طریق یک ایمیل فیشینگ برنامهای تروجان را ارسال کردند که با دانلود باجافزار، امکان حرکت جانبی در شبکه را فراهم کرد. مهاجمان سپس از ابزار Mimikatz برای سرقت اطلاعات کاربری ادمین و حرکت جانبی در شبکه استفاده کردند.
چگونه سازمانها میتوانند از خود دفاع کنند؟
برای جلوگیری از حرکت جانبی مهاجمان در محیط IT خود، میتوانید از بهترین راهکارهای زیر استفاده کنید:
-
دسترسی ادمین محلی را محدود کنید
دیگر نمیتوانید حقوق ادمین محلی را به کاربران استاندارد اختصاص دهید. هنگامی که یک حساب کاربری به خطر بیافتد، مهاجمان به طور خودکار حقوق همان حساب را به دست میآورند. بدون حقوق ادمین محلی، مهاجمان قادر به نصب کد مخرب نخواهند بود.
-
اصل کمترین دسترسی را اجرا کنید
اصل کمترین دسترسی (POLP) بیان میکند که هر کاربر و فرآیند باید تنها به منابع شبکهای دسترسی داشته باشد که برای انجام وظایف اختصاص دادهشده لازم است و هیچ چیزی بیشتر از آن. اجرای این اصل همچنین شامل عنصر زمانبندی میشود، به این معنی که دسترسیها باید تنها به مدت لازم برای انجام وظیفه خاصی وجود داشته باشند.
-
جلوگیری از حملات مهندسی اجتماعی
مجرمان سایبری اغلب از طریق حملات مهندسی اجتماعی به محیط IT هدف خود دسترسی پیدا میکنند. آموزشهای آگاهیبخش امنیتی و استفاده از راهکارهای فیلتر ایمیل و وب میتواند به کاهش این نوع حملات کمک کند.
-
حفاظت از رمزهای عبور
رمزهای عبور ضعیف، بهویژه در حسابهای با دسترسی بالا، امکان سرقت اعتبارات را به مهاجمان میدهد. استفاده از سیاستهای پیچیدگی رمز عبور و پیادهسازی احراز هویت چند عاملی (MFA) برای حسابهای با سطح دسترسی بالا ضروری است.
جایگزینی حسابهای دارای دسترسی پایدار با دسترسی بهموقع و نظارت بر فعالیتها
استفاده از راهکارهایی مانند Privileged Access Management امکان شناسایی حسابهای حساس، جایگزینی آنها با دسترسی بهموقع (JIT) برای انجام وظایف خاص، و نظارت بر رفتارهای مشکوک را فراهم میکند.
نتیجهگیری…
اجرای استراتژیهای صحیح برای محدود کردن دسترسیها، ایجاد مکانیزمهای کنترلی برای تشخیص رفتارهای غیرمعمول و استفاده از ابزارهای مناسب، نقش بسزایی در شناسایی زودهنگام حملات و جلوگیری از گسترش آنها در شبکه دارد. به کمک این راهکارها، سازمانها میتوانند در برابر این نوع حملات دفاع موثری داشته باشند و آسیبپذیریهای شبکه را به حداقل برسانند تا مهاجمان نتوانند به راحتی به اهداف خود دست یابند.
موارد اخیر
-
معرفی همه پروتکل های انتقال فایل، چگونه فایل ها را در بستر شبکه اتقال دهیم؟
-
حمله روز صفر چیست؟ برسی حملات Zero Day Attack + روش های پیشگیری
-
فایل سرور چیست و چگونه کار می کند؟ مزایا + معایب File Sevrer
-
پروتکل FTP چیست؟ چه تفاوتی بین FTP و FTPS و SFTP وجود دارد؟
-
پروتکل NFS (Network File System) چیست؟ برسی کامل سیستم فایل شبکه، تاریخچه و ورژنها
-
پروتکل SMB چیست؟ سرویس Server Message Block چگونه کار میکند؟ برسی نسخهها، مزایا و معایب
-
آشنایی با Zabbix: ابزاری قدرتمند برای مانیتورینگ شبکه
-
مدیریت شبکه چیست؟ چرا مدیریت شبکه برای سازمانها ضروری است؟
-
سرویس اکتیو دایکتوری چیست؟ برسی ساختار و ویژگیهای Active Directory
-
OpenLDAP چیست؟ مقایسه اساسی با اکتیو دایرکتوری Active Directory
برترین ها
-
معرفی همه پروتکل های انتقال فایل، چگونه فایل ها را در بستر شبکه اتقال دهیم؟
-
حمله روز صفر چیست؟ برسی حملات Zero Day Attack + روش های پیشگیری
-
فایل سرور چیست و چگونه کار می کند؟ مزایا + معایب File Sevrer
-
پروتکل FTP چیست؟ چه تفاوتی بین FTP و FTPS و SFTP وجود دارد؟
-
پروتکل NFS (Network File System) چیست؟ برسی کامل سیستم فایل شبکه، تاریخچه و ورژنها
اشتراک گذاری این مطلب
دیدگاهتان را بنویسید
نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *