خانه » ارزیابی نفوذ چگونه به تقویت دفاع سایبری سازمان‌ها کمک می‌کند؟

ارزیابی نفوذ چگونه به تقویت دفاع سایبری سازمان‌ها کمک می‌کند؟

توسط Vulnerbyte
23 بازدید
گروه vulnerbyte - گروه والنربایت -vulnerbyte group - ارزیابی نفوذ -

سازمان‌ها اغلب بر استراتژی دفاعی لایه‌ای متکی هستند اما همچنان نفوذها و حملات سایبری با درصد موفقیت بالایی رخ می‌دهند. اینجاست که ارزیابی نفوذ با هدف کاهش ریسک بایستی صورت پذیرد. اسکن تمام endpointها، تجزیه و تحلیل لاگ‌ها و اطلاعات تهدید همچون جستجو در دارک نت و واکنش اولیه به رخداد برای مهار تهدیدهای کشف شده از جمله اقداماتی هستند که در ارزیابی نفوذ مورد توجه قرار می‌گیرند.

ما در این مقاله با استناد به گزارش کسپرسکی قصد داریم عوامل متداول و رایج در نفوذ به سازمان‌ها با وجود کنترل‌های امنیتی متعدد را مورد بررسی قرار دهیم.

 

۱. مشکلات مدیریت پچ

اصلاح آسیب‌ پذیری (از زمان انتشار واقعی پچ تا شناسایی دارایی‌های آسیب ‌پذیر و اصلاح آنها) معمولاً به دلایل مختلف فرآیندی زمان‌بر است. عوامل متعددی مانند عدم توانایی در راه اندازی مجدد سرور و الزامات سازمانی وجود دارد که ممکن است این فرآیند را به تاخیر بیاندازد.

به همین دلیل است که فرآیندهای ناکارآمد مدیریت پچ در سمت کلاینت یکی از رایج‌ترین علل اصلی رخدادهای هک و نفوذ است. علاوه بر این مورد، سوء استفاده از یک اپلیکیشن در دسترس عموم در ۴۲.۳۷ درصد مواردی که توسط تیم GERT کسپرسکی در سال 2023 بررسی شده است، یکی از دلایل اصلی نفوذ به سازمان‌ها می‌باشد.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - ارزیابی نفوذ - مدیریت پچ

کارشناسان در طول بررسی یک مورد، متوجه شدند که وب سرور سازمان یک ماه پس از نفوذ مهاجم به شبکه پچ شده است. این اهمال و تأخیر، یک فرصت طلایی برای هکرها بوده است تا با ایجاد دسترسی به شبکه، اطلاعات و داده‌های مورد نیاز خود را استخراج کنند و فعالیت قربانی را به منظور جاسوسی سایبری تحت نظر داشته باشند.

 

۲. نقض خط مشی و سیاست‌های سازمان توسط کارکنان

اغلب سازمان‌ها متمرکز بر تهدیدات خارجی هستند در حالی که نقض خط مشی‌های سازمان یکی از بزرگ تهدیدات داخلی است، به طوری که 51٪ از هک‌های SMB و 43٪ از رخدادهای سازمانی مربوط به نقض خط مشی امنیت فناوری اطلاعات ناشی از کارمندان می‌باشد. «کارمند» در اینجا هر شخصی است که سطح دسترسی کارمند عادی به سیستم‌های سازمان را دارد.

کارمندان و هر شخص ثالثی که به شبکه دسترسی دارد می‌بایست از سیاست‌ها پیروی می‌کنند. متاسفانه گفتن این موضوع آسان است اما گاهی اوقات در عمل پیچیده می‌شود و نیاز به زمان، تلاش و دانش فنی عمیق دارد.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - نقض خط مشی و سیاست‌های سازمان توسط کارکنان -

۳. مسائل MSP/MSSP

یک ارائه دهنده خدمات امنیتی مدیریت شده (MSSP) نظارت و مدیریت برون سپاری دستگاه‌ها و سیستم‌های امنیتی را فراهم می‌آورد. خدمات رایج شامل فایروال مدیریت شده، تشخیص نفوذ، شبکه خصوصی مجازی، اسکن آسیب پذیری و خدمات آنتی ویروس است. MSSPها اغلب بر نظارت و هشدار مستمر متمرکز هستند و شناسایی شکاف‌های تشخیص و بهبودهای دید را نادیده می‌گیرند.

به عنوان مثال، هدر X-Forwarded-For HTTP اغلب در سرورهای وب فعال نمی‌شود؛ در نتیجه SOC نمی‌تواند IP اصلی متصل شده را ببیند و منبع حمله را تعیین کند. از این رو، بررسی نفوذ پیچیده می‌شود.

نظارت و تأیید کیفیت سرویس‌های MSP[1] یا [2]MSSP اغلب چالش برانگیز است. MSPها ممکن است آگاهی کافی از امنیت سایبری نداشته باشند، که این خود یک چالش دیگر است چرا که احتمال دارد به طور ناخواسته شبکه را در معرض تهدیدات امنیت سایبری با پیکربندی اشتباه قرار دهند.

 

۴. پاسخ به رخداد ناقص

ریشه کن کردن یک تهدید کننده پس از نفوذ مستلزم اقدامات متعدد برای اطمینان از حذف کامل مهاجم از شبکه یا سیستم‌ها است، از جمله:

  • حذف بدافزارها، اسکریپت‌ها، ابزارها و بکدورهای نصب شده توسط مهاجم.
  • تغییر گذرواژه‌های اکانت‌های هک شده و مورد سوء استفاده قرار گرفته و حذف هر گونه حساب سرویس غیرمجاز که مهاجمان ممکن است ایجاد کرده باشند.
  • بازگرداندن تنظیمات سیستم که ممکن است سطح حمله را افزایش دهند یا آسیب ‌پذیری‌های جدیدی را به همراه داشته باشد.

جالب است بدانید که حتی پس از حذف بدافزار، برخی از آرتیفکت‌ها و ابزارها در سیستم قربانی باقی می‌مانند. به عنوان مثال، هر گونه تغییر در ویژگی AllowReversiblePasswordEncryption هر یک از اکانت‌های اکتیو دایرکتوری (AD)، باعث می‌شود کنترل‌کننده‌های دامنه رمزهای عبور را به شکل قابل رمزگشایی (بدون استفاده از تابع هش یک طرفه) ذخیره کنند. این پیکربندی مهاجم را قادر می‌سازد تا از طریق حملاتی مانند DCSync، داده‌های لاگین را بصورت متن ساده دریافت کند.

 

۵. احساس امنیت کاذب

بسیار مهم است که به یاد داشته باشید اثربخشی محصولات و راهکارهای امنیتی حتی محصولات سطح بالا زمانی به بهترین حالت خود خواهد رسید که به درستی نصب، پیکربندی و یکپارچه سازی شده باشند. بدون پیکربندی مناسب، سازمان‌ها نمی‌توانند به طور کامل از پتانسیل راه حل‌ و محصولات امنیت سایبری خود استفاده کنند، که این خود مانع از توانایی آنها برای ایجاد یک دفاع امنیتی قوی می‌شود.

 

سخن پایانی

ارزیابی نفوذ ثابت کرده است که یک جزء ضروری در استراتژی امنیت سایبری سازمان‌ها است. مواردی که در این گزارش مورد بررسی قرار گرفتند، تایید می‌کنند که هیچ اقدام امنیتی هر چند پیشرفته کاملاً امن و بی‌خطر نیست. از نقض خط‌مشی داخلی سازمان گرفته تا مشکلات در مدیریت پچ‌ها و تنظیمات نادرست، همگی باعث می‌شوند تا راه برای نفوذ هکرها باز باشد.

با ادغام ارزیابی نفوذ در چارچوب‌های امنیتی، می‌توان این تهدیدات پنهان را کشف و آسیب ‌پذیری‌های مربوطه را برطرف کرد.

در دنیایی که تهدیدات سایبری به طور مداوم در حال تکامل هستند، شناسایی پیشگیرانه و کاهش خطرات احتمالی نه تنها توصیه می‌شود، بلکه امری ضروری است. این رویکرد تضمین می‌کند که سازمان‌ها نه تنها به نفوذها و تهیدیدات واکنش نشان می‌دهند، بلکه به طور مداوم اثربخشی مکانیزم‌های دفاعی خود را بهبود می‌بخشند که پیرو آن خطر نفوذهای کشف ‌نشده کاهش می‌یابد.

 

[1] managed service providers

[2] managed security service provider

 

منبع

همچنین ممکن است دوست داشته باشید

پیام بگذارید