تشارك سونيا دوفين ، خبيرة برامج الفدية وحماية البيانات في شركة Veritas Technologies ، عبر threatpost ثلاث خطوات يمكن للمؤسسات اتخاذها اليوم لتقليل تداعيات الهجمات الإلكترونية و لحماية البيانات.
قد تعتبر الحقائق التالية قاسية قليلاً، و لكنها حقيقية.
- أولاً ، تنتشر برامج الفدية ، ولا توجد طريقة للقضاء على التهديد تماماً.
- ثانياً، في هذه المرحلة ، يجب أن تعمل المؤسسات على افتراض أن المتسللين موجودون بالفعل في أنظمتها أو يمكنهم الوصول إليها بسهولة في أي لحظة. لا ينبغي أن تكون متفاجئاً عندما أخبرك أن المجرمين السيبرانيين المتطورين الذين يقفون وراء تهديدات برامج الفدية اليوم قد تجاوزوا باستمرار أفضل خطوط الأمان و الحماية – سابقاً و حالياً ولفترة قادمة.
- ثالثاً، قد يعرف مجرمو الإنترنت أنظمتك وبنيتك التحتية أفضل منك. بمجرد تمكنهم من الدخول، تكون استراتيجيتهم هي البقاء تحت مستوى رادار أدوات التنبيه و الإنذار. والبقاء مختبئين بينما يتعلمون عن شبكتك قدر الإمكان. ثم يضربون في الوقت الأمثل لإلحاق أكبر قدر ممكن من الضرر و لضمان أنك ستدفع الفدية صاغراً حين يطلبون ذلك.
اكتشاف التهديدات قبل أن ينجح الهجوم
الخبر السار هو أن هناك ممارسات وتقنيات يمكن أن تساعدك في اكتشاف التهديدات قبل أن تتحول خطط مجرمي الانترنت للهجوم إلى أمر واقع. هناك أيضاً إستراتيجيات يمكنك استخدامها لتقليل سطح الهجوم الخاص بك. و كذلك منع اضطراب أعمالك و تعطلها بسبب تسلل المجرمين لشركتك.
مع وضع ذلك في الاعتبار ، ستحدد هذه السلسلة المكونة من جزأين الخطوات الست الأولى التي يجب عليك اتخاذها على الفور لضمان امتلاكك المرونة في مواجهة هذا التهديد الدائم. لنبدأ بالخطوات الثلاث الأولى.
البحث عن البيانات المظلمة Dark Data
تقاس قوة السلسلة بقوة أضعف حلقاتها. لذلك يبحث المهاجمون عن أضعف حلقات الأمن السيبراني في المؤسسة. يفتشون في الزوايا المظلمة و يبحثون في الشبكة عن مكان فيه الرقابة و الأمان ضعيفين. لذلك ، من الضروري امتلاك الأدوات التي توفر لك معرفة كاملة بالبيانات الموجودة في مؤسستك من خلال تسليط الضوء على جميع البيانات التي قد تعتبر مظلمة لأنك لا تعلم بها و بالتالي هي لا تدخل في حسابات الحماية و الدفاع التي تقوم بتصميمها. وفقًا لأبحاث Veritas Vulnerability Lag ، لا تزال 35 بالمائة من البيانات مظلمة. يعتبر هذا مؤشر مرتفع بشكل ينذر بالخطر. لذلك أبدأ العمل على معرفة البيانات التي لديك وأين توجد في أسرع وقت ممكن.
بالإضافة إلى الرؤية الكاملة لكل شيء في بيئة العمل، من الضروري أيضاً أن يكون لديك توثيق واضح لتفاصيل بيئة العمل. يشمل ذلك و لا يقتصر على، الإجراءات والتكوينات – بما في ذلك عناوين IP وكلمات المرور وما إلى ذلك – للمساعدة في الاسترداد عند الضرورة . يمكن أن يؤدي فقدان هذه التفاصيل إلى إضعاف قدرة المؤسسة على التعافي بسرعة في فوضى الهجوم. لذلك قم بتخزين هذه الوثائق في خزنة يتم فحصها وتحديثها بانتظام.
بناء دفاعات أمنية قوية
استخدم أدوات توفر لك الكشف عن السلوكيات أو الأنشطة الشاذة المرتبطة بكل من البيانات ونشاط المستخدم عبر بيئة العمل بأكملها. من المهم أن تعمل إمكانات الكشف بشكل مستقل ، دون الحاجة إلى خطوات يدوية. إن تنبيه المعنيين في المؤسسة إلى أي شيء غير عادي أو خارج عن المألوف سيعزز قدرتهم على بناء دفاعات قوية. كما أنه سيسمح لهم بتحقيق استجابة فعالة للتهديدات ، وفرصة للتصرف مع مجرمي الإنترنت أوأي هجوم باستخدام البرمجيات الضارة. قد تكون هذه الأشياء الشاذة إنشاء ملفات غير معتادة مما قد يشير إلى تسلل. و يمكن أيضًا اكتشاف امتدادات ملفات الفدية المعروفة. ومعرفة أنماط الوصول إلى الملفات ، وأنماط المرور ، وتنزيلات التعليمات البرمجية ، وطلبات الوصول. و كذلك التنبه لزيادة سعة التخزين ، وفهم مسارات تدفق البيانات خارج المؤسسة أو داخلها. أو يمكن أن تكون هذه المؤشرات قفزة غير عادية في النشاط مقارنة بالسلوكيات المعتادة للموظفين.
اختراق البيانات- SolarWinds
على سبيل المثال ، في اختراق SolarWinds الشهير ، استخدم المتسللون تحديثًا دورياً للبرامج لإدخال بعض التعليمات البرمجية الخبيثة بطريقة أنيقة و مبتكرة إلى العديد من شبكات الشركات ، باستخدام برنامج SolarWinds.
لأكثر من تسعة أشهر ، تجولوا في الشركات الكبرى والحساسة ، مختبئين في مرمى بصر المدافعين و لكن دون أن يروهم. جمع المخترقون معلومات عن أنظمة الشركات الضحية و جمعوا كذلك أي معلومات وصلت لأيديهم. كانت غلطتهم أنهم بدأوا بالتجول في شركة الأمن السيبراني FireEye.
لاحظ فريق الأمن في FireEye نشاطاً مشبوهاً – حيث حاول شخص ما تسجيل هاتف ثانٍ على شبكة الشركة. بعد أن اكتشفوا أنه من الغريب أن يكون لدى ذلك الموظف هاتفان ،اتصلوا بذلك الموظف ليسألوه عن سبب محاولته تلك لتسجيل هاتفه الثاني. حيث كانت المفاجأة أن هذا المستخدم لم يسجل هذا الهاتف وليس لديه فكرة عمن قام بذلك. بفضل يقظة FireEye ، التي حققت في النشاط غير المعتاد ، طفت على السطح الاختراقات الأوسع نطاقاً و عرفنا بها.
قم بإجراء عمليات البحث عن التهديدات الإلكترونية بانتظام. تعامل مع الأمر بجدية وقم بتنفيذ بروتوكولات للتحقيق في السلوكيات الشاذة. استعن بجهة خارجية لو تطلب الأمر لتدقيق استراتيجيتك ، والتحقق من عملك والعثور على نقاط الضعف.
تقييد الوصول للبيانات وتقليل سطح الهجوم
بعد التسلل إلى بيئتك ، يبحث مجرمو الإنترنت غالباً عن معلومات سرية أو بيانات اعتماد تسجيل الدخول التي ستسمح لهم بالتقدم أكثر عبر بيئتك. هذا يعني أنه يمكنهم أيضاً الوصول إلى أنظمة النسخ الاحتياطي الخاصة بك وسيحاولون أن يسحبوا منك ورقتك الرابحة و هي قدرتك على استرداد بياناتك من النسخ الاحتياطية عند الضرورة.
هناك بعض الأشياء التي يمكنك القيام بها للمساعدة في إفشال جهودهم تلك :
- حدد ما وأين يمكن أن تعمل كل مجموعة من بيانات الاعتماد credentials، واستخدم كلمات مرور مختلفة لكل نطاق.
- تأكد من عدم وجود مستخدم مميز أو مدير نظام واحد لديه صلاحيات مطلقة لفعل كل شيء في بيئتك التقنية.
- من المهم أيضًا اتخاذ اجراءات أمنية لحماية المديرين التنفيذيين أو تقييد وصولهم للأصول المعلوماتية ، لأنهم غالباً ما يتم اعتبارهم أهدافاً سهلة.
- بنفس القدر من الأهمية ، قم بتقييد وصول و امتيازات المسؤول admin ، و خاصةً وصولهم للنسخ الاحتياطية.
- ممارسة أخرى شائعة هي تنفيذ نهج عدم الثقة zero-trust مع مصادقة متعددة العوامل (MFA) وضوابط الوصول القائمة على الأدوارالوظيفية.
- من الأهمية بمكان أيضًا تقسيم شبكتك أو تجزئتها إلى مناطق متعددة من الشبكات الأصغر والتأكد من أن الوصول مُدار ومحدود ، خاصة إلى البيانات الأكثر أهمية لديك.
- تتجه العديد من المنظمات أيضاً نحو الممارسة الأمنية المسماة just-in-time حيث يتم منح الوصول على أساس الحاجة أو لفترة زمنية محددة مسبقاً، وهو أمر يجب مراعاته بالنسبة للبيانات المهمة والحاسمة للأعمال.
من خلال بناء مجموعة متنوعة من هذه العوائق ، سيتم احتواء الجهات الفاعلة السيئة ومنعها من التنقل في بيئاتك. كن مبدعاً- بمعنى ، قم بإعداد نظام فريد ينسجم مع رؤية مؤسستك و يلبي احتياجاتك ومتطلبات الأمان التي تطمح لها.
اختراق هيئة النقل في نيويورك
عندما تم اختراق هيئة النقل في نيويورك في نيسان الماضي ، لم يتمكن المهاجمون من الوصول إلى الأنظمة التي تتحكم في عربات القطار ولم يتم اختراق أي معلومات للعملاء. لماذا ا؟ نظراً لأن لديهم شبكة متعددة الطبقات ومجزأة تضم أكثر من 18 نظاماً مختلفاً، تم اختراق ثلاثة منها فقط. بفضل هذا النظام الرائع ، تم منع الجهات المهددة من التحرك بحرية في جميع أنحاء النظام ، وتم عزل الحدث واستعادة الأنظمة بسرعة.
قم بإنشاء شبكة معزولة تشبه تمامًا شبكة الإنتاج production لديك ، ولكن ببيانات اعتماد و إدارة مختلفة. لا تشارك شيئاً مع شبكات الإنتاج الخاصة بك باستثناء الوصول إلى وسائط التخزين immutable storage. يمكنك استخدام هذه المساحة لاستعادة بياناتك وخدماتك وتنظيف بياناتك من البرامج الضارة. إنه أيضاً مكان رائع لاختبار الاسترداد بشكل دوري للتأكد من سلامة عملية النسخ الاحتياطي لديك.
سنتابع لاحقاً تتمة هذه النصائح الست لمواجهة الحقائق القاسية في الأمن السيبراني.
