هکرهای SolarWinds به حمله به شرکت های خدمات فناوری اطلاعات ادامه می دهند - سئو PBN

اواخر سال گذشته، ما متوجه شدیم که بازیگران دولتی روسیه، SolarWinds Orion، یک ابزار نظارت شبکه پرکاربرد، را به خطر انداختند و توانستند به سیستم‌های بسیاری از مشتریان SolarWinds – از جمله بسیاری از آژانس‌های فدرال، دسترسی پیدا کنند.

آن گروه که نوبلیوم نام داشت، وقتی هک آنها کشف شد، تسلیم نشدند. در عوض فعالیت خود را افزایش دادند. بر اساس گزارشی که مایکروسافت در اواخر ماه گذشته منتشر کرد، نوبلیوم حداقل از ماه می فروشندگان فناوری اطلاعات و ارائه دهندگان خدمات را هدف قرار داده است.

تام برت، معاون شرکت مایکروسافت در بخش امنیت و اعتماد مشتری، در یک پست وبلاگی گفت: “ما به بیش از 140 فروشنده و ارائه دهنده خدمات فناوری که توسط نوبلیوم هدف قرار گرفته اند، اطلاع داده ایم.”

به گفته برت، 14 نفر از این فروشندگان به خطر افتاده بودند.

او گفت علاوه بر این، از آغاز ماه جولای، مایکروسافت 609 مشتری را در مورد نزدیک به 23000 حمله دیگر نوبلیوم مطلع کرده است، “با نرخ موفقیت تک رقمی پایین.”

Maayan Fishelov، محقق امنیتی در SCADefence می گوید: «به نظر می رسد که نوبلیوم تلاش می کند تا حد امکان به بسیاری از ارائه دهندگان فناوری دسترسی پیدا کند، و این قبلا دیده نشده بود. “مراکز داده ای که به مشتریان زیادی خدمات ارائه می دهند باید بدانند که ممکن است هدف چنین حملاتی باشند. به عنوان مثال، یک شرکت ذخیره سازی ابری بزرگ که فایل ها را برای مشتریان خود – صدها شرکت – میزبانی می کند، هدف اصلی چنین حمله ای است. “

او به Data Center Knowledge گفت اگر حمله موفقیت آمیز باشد، گروه Nobelium به تمام داده های مشتریان آن مرکز داده دسترسی خواهد داشت.

آنتونی جیمز، معاون بازاریابی محصول در Infoblox، یک بخش امنیت سایبری، گفت: آنچه در این دور جدید حملات متفاوت است این است که به جای نصب بدافزار در یک نرم افزار کلیدی، همانطور که با SolarWinds انجام دادند، مهاجمان جعل فروشندگان قابل اعتماد فناوری اطلاعات هستند. شرکت.

مفاهیم برای مراکز داده

او به Data Center Knowledge گفت، برای مدیران امنیت مراکز داده، این دو پیامد عمده دارد.

اول، هر گونه ارتباط از سوی یک تامین کننده فناوری اطلاعات باید مشکوک تلقی شود زیرا ممکن است آن تامین کننده در معرض خطر قرار گرفته باشد.

جیمز گفت: «هر زمان که ایمیلی برای درخواست چیزی دریافت می‌کنم – فاکتور، اطلاعاتی که باید ارائه کنم – همیشه مستقیماً به شرکت می‌روم و آن را درخواست می‌کنم و به ایمیل پاسخ نمی‌دهم.

او گفت ثانیا، زمانی که مرکز داده خودش یک ارائه دهنده خدمات است، باید برای فیشینگ و حملات مشابه در حالت آماده باش باشد.

ارائه‌دهندگان مراکز داده اهداف بسیار ارزشمندی هستند زیرا مهاجمان می‌توانند از حساب‌های کارمند آسیب‌دیده برای دسترسی به مشتریان خود استفاده کنند، که می‌تواند به طور جبران ناپذیری به اعتبار مرکز داده آسیب برساند.

به گفته مایکروسافت، نوبلیوم اکنون از اسپری های رمز عبور، فیشینگ، سرقت توکن و سوء استفاده از API برای سرقت اعتبارنامه های قانونی استفاده می کند.

مایکروسافت راهنمایی هایی را برای شرکای خود در مورد نحوه محافظت از عملیات خود منتشر کرده است که برای هر ارائه دهنده خدمات فناوری اطلاعات مفید است.

توصیه‌های برتر شامل استفاده از احراز هویت چند عاملی و نظارت بر فعالیت‌های کاربر، به‌ویژه فعالیت‌های کاربران ممتاز است. علاوه بر این، مایکروسافت توصیه می‌کند در صورت عدم استفاده، امتیازات مدیریتی را حذف کنید.

امنیت صفر اعتماد

جیمز از Infoblox گفت: شرکت ها همچنین باید به سمت یک مدل امنیتی بدون اعتماد حرکت کنند.

او گفت: «نباید به کسی اعتماد کرد فقط به این دلیل که دارای اعتبار است.

دنی لوپز، مدیر عامل Glasswall، یک شرکت امنیت سایبری، گفت: موج جدید حملات تاکید می کند که رویکرد سنتی قلعه و خندق به امنیت سازمان ها را در معرض دید قرار می دهد.

او همچنین توصیه می کند که مراکز داده به اعتماد صفر نگاه کنند.

لوپز به Data Center Knowledge گفت: امنیت صفر اعتماد دنیا را متفاوت می بیند. “هیچ کس به طور پیش فرض قابل اعتماد نیست، صرف نظر از اینکه در یک شبکه باشد یا خارج از آن. بدون رویکرد اعتماد صفر، سازمان هایی با خطر این که مهاجمانی مانند نوبلیوم پس از ورود به شبکه کنترل آزاد در سراسر شبکه داشته باشند.”

یکی از حوزه‌های آسیب‌پذیری که در گزارش مایکروسافت ذکر شده، مجوزهای اداری باقی مانده است.

گال دیسکین، یکی از بنیانگذاران و CTO در Authomize، یک شرکت امنیت سایبری، گفت: این یک عمل بد رایج است.

دیسکین به Data Center Knowledge گفت: «سازمان‌ها فراموش می‌کنند که این مجوزهای ممتاز را حذف کنند. که درها را به روی مهاجمان باز می کند.

او گفت: «تشخیص این قرار گرفتن در معرض دشوار است، به خصوص اگر این حساب‌های متروکه بخشی از یک سیستم مدیریت دسترسی فدرال نباشند.

دیسکین پیشنهاد کرد که مدیران امنیت سایبری مراکز داده مجوزها را بررسی کنند و مجوزهای غیرفعال و استفاده نشده را حذف کنند و تغییرات در مجوزها و استفاده را نظارت کنند – و از تامین کنندگان فناوری اطلاعات آنها بخواهند که همین کار را برای سیستم های خود انجام دهند.

او افزود که این حساب ها فقط متعلق به افرادی نیست که دیگر از آنها استفاده نمی کنند.

طبق تحقیقات Authomize، 20٪ متعلق به سیستم ها هستند، نه افراد، و از این تعداد، 80٪ غیرفعال هستند و 30٪ دارای امتیازات اداری هستند. او گفت که آنها اغلب برای انجام کارهای مهم خودکار استفاده می شوند. بنابراین، به خطر انداختن یکی ممکن است به مهاجمان امتیازات قابل توجهی در داخل سازمان شما بدهد.

سئو PBN | خبر های جدید سئو و هک و سرور