آژانس دفاع سایبری ایالات متحده از شرکت‌ها می‌خواهد آزمایش‌های تهدید را خودکار کنند | دانش مرکز داده

(بلومبرگ) — آژانس دفاع سایبری دولت ایالات متحده برای اولین بار توصیه می کند که شرکت ها از آزمایش مداوم خودکار برای محافظت در برابر تهدیدات آنلاین طولانی مدت استفاده کنند.

این دستورالعمل، که از سوی مجموعه‌ای از آژانس‌های ایالات متحده و بین‌المللی منتشر شد، از کسب‌وکارها می‌خواهد تا با اعتبار مستمر برنامه امنیتی خود در برابر رفتارهای تهدید شناخته‌شده، به جای رویکردی جزئی‌تر، دفاع خود را تقویت کنند.

طبق هشداری از آژانس امنیت سایبری و امنیت زیرساخت و چندین آژانس دیگر ایالات متحده و بین‌المللی، «سازمان‌های نویسنده توصیه می‌کنند برنامه امنیتی خود را به طور مداوم در مقیاس آزمایش کنید». این هشدار هشدار داد که بازیگران مخرب سایبری که ادعا می‌شود وابسته به سپاه پاسداران انقلاب اسلامی ایران هستند، از آسیب‌پذیری‌های شناخته شده برای عملیات باج‌گیری سوءاستفاده می‌کنند.

یکی از مقامات CISA پیش از اعلام این خبر به بلومبرگ گفت که تقلید از دشمنان و آزمایش علیه آنها کلید دفاع در برابر حملات سایبری است.

مرکز این تلاش، فهرستی از رایج‌ترین تاکتیک‌ها و رویه‌های مهاجمان سایبری است که برای اولین بار در سال 2015 توسط MITRE، یک مرکز تحقیق و توسعه با بودجه فدرال منتشر شد و اکنون مرتباً به‌روزرسانی می‌شود. این مقام CISA گفت، در حالی که بسیاری از سازمان ها و پیمانکاران امنیتی آنها قبلاً با این لیست مشورت می کنند، تعداد بسیار کمی از آنها بررسی می کنند که آیا سیستم های آنها واقعاً می توانند آنها را شناسایی کرده و بر آنها غلبه کنند.

به گفته این مقام، تست خودکار تهدید هنوز خیلی گسترده نیست، او افزود که سازمان ها گاهی اوقات واقعاً پس از استقرار ابزارهای گران قیمت در شبکه خود عمل نمی کنند و در عوض فقط تصور می کنند دارند کار را انجام می دهند.

خودکارسازی کنترل‌های امنیتی، جلوگیری از اتکای مهاجمان به تاکتیک‌های تعیین‌شده را آسان‌تر می‌کند. این مقام CISA هشدار داد که بازیگران اصلی تهدید هنوز به عقب باز می‌گردند و از آسیب‌پذیری‌های تا 10 سال و بالاتر استفاده می‌کنند.

CISA این توصیه را با همکاری مرکز دفاع آگاهانه از تهدید، یک سازمان غیرانتفاعی 29 عضوی که در سال 2019 تشکیل شده و از چارچوب MITRE تشکیل شده است، ارائه می‌کند.

ایمان غنی زاده، رئیس جهانی عملیات امنیتی خودکار در Google Cloud، حامی تحقیقاتی این مرکز، گفت که آزمایش خودکار برای ایجاد حلقه‌های بازخورد مداوم که می‌تواند حفاظت را به طور پیوسته بهبود بخشد، مهم است.

او گفت: “چه یک شرکت بزرگ یا یک استارتاپ باشید، باید دید، تجزیه و تحلیل، پاسخ و بازخورد مداوم داشته باشید.” غنی زاده گفت که آزمایش حفاظت از امنیت سایبری در دنیای واقعی به جای اینکه فقط در شرایط آزمایشگاهی باشد، تفاوت بزرگی ایجاد می کند.

تعداد فزاینده‌ای از شرکت‌های امنیت سایبری، از جمله AttackIQ، Cymulate، Mandiant، Picus Security و SafeBreach، به اصطلاح شبیه‌سازی‌های نفوذ و حمله و سایر خدمات اعتبارسنجی امنیتی را ارائه می‌دهند. این مقام CISA گفت که آژانس در مورد اینکه شرکت های فروشنده از کدام شرکت ها استفاده می کنند، بی اعتنا است.

مارتین پترسن، مدیر ارشد امنیت اطلاعات در غول مدیریت تاسیسات ISS A/S، گفت که او شرکت خود را متقاعد کرد تا آزمایشات خودکار را پس از حمله باج افزار در سال 2020 آغاز کند. این نقض باعث شده بود که صدها هزار کارمند به ایمیل و سایر سیستم ها دسترسی نداشته باشند.

قرارداد سه ساله این شرکت با AttackIQ، یکی از اعضای موسس مرکز دفاع آگاهانه از تهدیدات، 300000 دلار در سال هزینه دارد. او گفت که ISS محاسبه کرده است که قیمت ارزان‌تر از به‌کارگیری تسترهای به اصطلاح نفوذ است که کارهای مشابه را انجام می‌دهند، اما به طور منظم و مؤثر کمتری دارند.

پترسن گفت که این شرکت حفاظت از دستکاری را در حدود 60000 نقطه پایانی خود بهبود داده است و غیرفعال کردن محافظت از بدافزار را در نتیجه آزمایش مداوم دشوارتر می کند. همچنین تنظیمات «خنده‌دار» ویندوز و تنظیمات فایروال محلی را که می‌توانستند آسیب‌پذیری باشند، برطرف کرد.

وی افزود که این شرکت همچنین بودجه امنیت سایبری خود را به میزان قابل توجهی افزایش داده است که به گفته او اکنون 7.5 درصد از بودجه فناوری اطلاعات آن است. او از بیان این تعداد قبل از حمله خودداری کرد اما گفت که تا سال آینده به افزایش خود ادامه خواهد داد.

JetBlue Airways Corp. همچنین به AttackIQ، یک شرکت مستقر در کالیفرنیا که در سال 2013 تأسیس شد، متکی است. این شرکت هواپیمایی به آزمایش مداوم خودکار روی آورد تا حدی به این دلیل که هشدار دولت در مورد تهدیدها “معمولاً نسبتاً کند است و زمانی که به ما می رسد ارزش کمی دارد. تیم روهربا، افسر ارشد امنیت اطلاعات آن از سال 2019، گفت.

طبق یک مطالعه جدید از AttackIQ که قرار است در روز چهارشنبه منتشر شود، محافظت های فعلی اغلب کار را انجام نمی دهند. کنترل‌های رایج امنیت سایبری مشتریان مبتنی بر فضای ابری – معروف به سیستم‌های تشخیص و پاسخ نقطه پایانی، که برای شناسایی خودکار و مسدود کردن خطرات در زمان واقعی طراحی شده‌اند – آنچه را که شرکت ارزیابی کرده بود، هفت تکنیک حمله بزرگ را در 39٪ مواقع متوقف کرد. در سال 2021 پیدا شد. بر اساس این گزارش، هیچ یک از بیش از 100 کنترل شرکت مبتنی بر ابر در این مطالعه، از هر هفت تکنیک “مرگبار” جلوگیری نکرد.

جاناتان ریبر، معاون استراتژی و سیاست امنیت سایبری AttackIQ و یکی از نویسندگان گزارش، استدلال می‌کند که آزمایش خودکار مداوم می‌تواند به کشف تغییرات در پرسنل و تجهیزاتی که حفاظت از امنیت سایبری را تضعیف می‌کند کمک کند. او این رویکرد را به جست‌وجوی فعالانه تهدیدات بالقوه به جای جستجوی اثر انگشت در پی یک حادثه تشبیه می‌کند – رویکردی عطف به ماسبق که به جستجوی «شاخص‌های سازش» معروف است.

او گفت: «مردم اطلاعات کافی ندارند. “اغلب تنها مکانیزم بازخوردی که مردم دارند مهاجم است.”