(بلومبرگ) — آژانس دفاع سایبری دولت ایالات متحده برای اولین بار توصیه می کند که شرکت ها از آزمایش مداوم خودکار برای محافظت در برابر تهدیدات آنلاین طولانی مدت استفاده کنند.
این دستورالعمل، که از سوی مجموعهای از آژانسهای ایالات متحده و بینالمللی منتشر شد، از کسبوکارها میخواهد تا با اعتبار مستمر برنامه امنیتی خود در برابر رفتارهای تهدید شناختهشده، به جای رویکردی جزئیتر، دفاع خود را تقویت کنند.
طبق هشداری از آژانس امنیت سایبری و امنیت زیرساخت و چندین آژانس دیگر ایالات متحده و بینالمللی، «سازمانهای نویسنده توصیه میکنند برنامه امنیتی خود را به طور مداوم در مقیاس آزمایش کنید». این هشدار هشدار داد که بازیگران مخرب سایبری که ادعا میشود وابسته به سپاه پاسداران انقلاب اسلامی ایران هستند، از آسیبپذیریهای شناخته شده برای عملیات باجگیری سوءاستفاده میکنند.
یکی از مقامات CISA پیش از اعلام این خبر به بلومبرگ گفت که تقلید از دشمنان و آزمایش علیه آنها کلید دفاع در برابر حملات سایبری است.
مرکز این تلاش، فهرستی از رایجترین تاکتیکها و رویههای مهاجمان سایبری است که برای اولین بار در سال 2015 توسط MITRE، یک مرکز تحقیق و توسعه با بودجه فدرال منتشر شد و اکنون مرتباً بهروزرسانی میشود. این مقام CISA گفت، در حالی که بسیاری از سازمان ها و پیمانکاران امنیتی آنها قبلاً با این لیست مشورت می کنند، تعداد بسیار کمی از آنها بررسی می کنند که آیا سیستم های آنها واقعاً می توانند آنها را شناسایی کرده و بر آنها غلبه کنند.
به گفته این مقام، تست خودکار تهدید هنوز خیلی گسترده نیست، او افزود که سازمان ها گاهی اوقات واقعاً پس از استقرار ابزارهای گران قیمت در شبکه خود عمل نمی کنند و در عوض فقط تصور می کنند دارند کار را انجام می دهند.
خودکارسازی کنترلهای امنیتی، جلوگیری از اتکای مهاجمان به تاکتیکهای تعیینشده را آسانتر میکند. این مقام CISA هشدار داد که بازیگران اصلی تهدید هنوز به عقب باز میگردند و از آسیبپذیریهای تا 10 سال و بالاتر استفاده میکنند.
CISA این توصیه را با همکاری مرکز دفاع آگاهانه از تهدید، یک سازمان غیرانتفاعی 29 عضوی که در سال 2019 تشکیل شده و از چارچوب MITRE تشکیل شده است، ارائه میکند.
ایمان غنی زاده، رئیس جهانی عملیات امنیتی خودکار در Google Cloud، حامی تحقیقاتی این مرکز، گفت که آزمایش خودکار برای ایجاد حلقههای بازخورد مداوم که میتواند حفاظت را به طور پیوسته بهبود بخشد، مهم است.
او گفت: “چه یک شرکت بزرگ یا یک استارتاپ باشید، باید دید، تجزیه و تحلیل، پاسخ و بازخورد مداوم داشته باشید.” غنی زاده گفت که آزمایش حفاظت از امنیت سایبری در دنیای واقعی به جای اینکه فقط در شرایط آزمایشگاهی باشد، تفاوت بزرگی ایجاد می کند.
تعداد فزایندهای از شرکتهای امنیت سایبری، از جمله AttackIQ، Cymulate، Mandiant، Picus Security و SafeBreach، به اصطلاح شبیهسازیهای نفوذ و حمله و سایر خدمات اعتبارسنجی امنیتی را ارائه میدهند. این مقام CISA گفت که آژانس در مورد اینکه شرکت های فروشنده از کدام شرکت ها استفاده می کنند، بی اعتنا است.
مارتین پترسن، مدیر ارشد امنیت اطلاعات در غول مدیریت تاسیسات ISS A/S، گفت که او شرکت خود را متقاعد کرد تا آزمایشات خودکار را پس از حمله باج افزار در سال 2020 آغاز کند. این نقض باعث شده بود که صدها هزار کارمند به ایمیل و سایر سیستم ها دسترسی نداشته باشند.
قرارداد سه ساله این شرکت با AttackIQ، یکی از اعضای موسس مرکز دفاع آگاهانه از تهدیدات، 300000 دلار در سال هزینه دارد. او گفت که ISS محاسبه کرده است که قیمت ارزانتر از بهکارگیری تسترهای به اصطلاح نفوذ است که کارهای مشابه را انجام میدهند، اما به طور منظم و مؤثر کمتری دارند.
پترسن گفت که این شرکت حفاظت از دستکاری را در حدود 60000 نقطه پایانی خود بهبود داده است و غیرفعال کردن محافظت از بدافزار را در نتیجه آزمایش مداوم دشوارتر می کند. همچنین تنظیمات «خندهدار» ویندوز و تنظیمات فایروال محلی را که میتوانستند آسیبپذیری باشند، برطرف کرد.
وی افزود که این شرکت همچنین بودجه امنیت سایبری خود را به میزان قابل توجهی افزایش داده است که به گفته او اکنون 7.5 درصد از بودجه فناوری اطلاعات آن است. او از بیان این تعداد قبل از حمله خودداری کرد اما گفت که تا سال آینده به افزایش خود ادامه خواهد داد.
JetBlue Airways Corp. همچنین به AttackIQ، یک شرکت مستقر در کالیفرنیا که در سال 2013 تأسیس شد، متکی است. این شرکت هواپیمایی به آزمایش مداوم خودکار روی آورد تا حدی به این دلیل که هشدار دولت در مورد تهدیدها “معمولاً نسبتاً کند است و زمانی که به ما می رسد ارزش کمی دارد. تیم روهربا، افسر ارشد امنیت اطلاعات آن از سال 2019، گفت.
طبق یک مطالعه جدید از AttackIQ که قرار است در روز چهارشنبه منتشر شود، محافظت های فعلی اغلب کار را انجام نمی دهند. کنترلهای رایج امنیت سایبری مشتریان مبتنی بر فضای ابری – معروف به سیستمهای تشخیص و پاسخ نقطه پایانی، که برای شناسایی خودکار و مسدود کردن خطرات در زمان واقعی طراحی شدهاند – آنچه را که شرکت ارزیابی کرده بود، هفت تکنیک حمله بزرگ را در 39٪ مواقع متوقف کرد. در سال 2021 پیدا شد. بر اساس این گزارش، هیچ یک از بیش از 100 کنترل شرکت مبتنی بر ابر در این مطالعه، از هر هفت تکنیک “مرگبار” جلوگیری نکرد.
جاناتان ریبر، معاون استراتژی و سیاست امنیت سایبری AttackIQ و یکی از نویسندگان گزارش، استدلال میکند که آزمایش خودکار مداوم میتواند به کشف تغییرات در پرسنل و تجهیزاتی که حفاظت از امنیت سایبری را تضعیف میکند کمک کند. او این رویکرد را به جستوجوی فعالانه تهدیدات بالقوه به جای جستجوی اثر انگشت در پی یک حادثه تشبیه میکند – رویکردی عطف به ماسبق که به جستجوی «شاخصهای سازش» معروف است.
او گفت: «مردم اطلاعات کافی ندارند. “اغلب تنها مکانیزم بازخوردی که مردم دارند مهاجم است.”