چرا کتاب راهنمای حمله سایبری CISA به چین شایسته توجه شماست

در نگاه اول ، مشاوره هفته گذشته در مورد حملات سایبری تحت حمایت دولت چین توسط FBI و آژانس امنیت سایبری و زیرساخت های امنیتی چیز جدیدی نیست. این تاکتیک ها ، تکنیک ها و رویه هایی را که آنها استفاده می کنند ، بیان می کند. بعلاوه ، هر مرکز داده حاوی اطلاعاتی نیست که مورد علاقه دولت چین باشد.

اما این گزارش باید برای بسیاری از افراد ، اگر نه بیشتر ، افرادی که امنیت را در شبکه های مرکز داده مدیریت می کنند ، خوانده شود. این بدان دلیل است که الف) شرکت هایی که می توانند در اینجا تحت تأثیر قرار بگیرند ، فراتر از آنهایی هستند که مستقیماً مورد علاقه استراتژیک چین هستند. ب) گزارش شامل لیستی از شاخص های خاص نفوذ توسط این مجموعه خاص از مهاجمان است – که به شما در اطلاع رسانی یک طرح پاسخ کمک می کند. و ج) شامل مجموعه ای از اقدامات توصیه شده برای تخفیف و اطلاعات تماس دفاتر FBI و CISA است که برای رفع این تهدید که می تواند کمک کند ، کار می کنند.

این سند در یک گروه حمله سایبری چین به نام APT40 متمرکز است و افراد خاصی را نام می برد: سه افسر اطلاعاتی چین و یک کارمند یک شرکت پیشرو. این گروه شرکت های مختلفی از جمله آکادمیک ، هوا فضا ، زیست پزشکی ، پایگاه صنایع دفاعی ، آموزش ، دولت ، بهداشت ، تولید ، دریانوردی ، موسسات تحقیقاتی و حمل و نقل را هدف قرار داد.

اکثر شاخص های سازش ذکر شده که قبلاً دیده ایم. با این وجود ، دلایلی برای توجه مرکز اطلاعات شرکت و مدیران امنیت سایبری ارائه دهنده مرکز داده وجود دارد.

شان پیرسی ، مدیر ارشد خدمات امنیت سایبری در Flexential ، ارائه دهنده اصلی مرکز داده ایالات متحده ، گفت: “امروز مراکز داده حتی بیشتر از مشتریان مورد حمله مستقیم قرار می گیرند.” “بازیگران مخرب متوجه می شوند که آنها اغلب می توانند از طریق مراکز داده خود ، مشتری ها را با راحتی بیشتری هدف قرار دهند.”

وی به DCK گفت ، و مشتریان شروع به س questionال كردن بیشتر از ارائه دهندگان مراكز داده در مورد امنیت زیرساخت های حیاتی خود كرده اند.

وی گفت: “بازیگران بدخواه به نظر می رسند كه به طور جانبی از طریق یك مركز داده جابجا شوند.” “نقض مرکز داده این امکان را دارد که کل شبکه های مشتری را از بین ببرد.

مراکز داده سازمانی به عنوان اهداف حمله سایبری چین

مدیران مراکز داده داخلی سازمانی باید به مشاوره CISA توجه داشته باشند حتی اگر در یکی از صنایع موردنظر در گزارش حمله سایبری چین نباشند. کافی است که بخشی از یک اکوسیستم تجاری باشید که یکی از آن اهداف ارزشمند را شامل شود تا آسیب پذیر باشید.

به عنوان مثال یک شرکت کوچک بازاریابی ، حقوقی یا نرم افزاری ممکن است مشتریانی داشته باشد که مورد علاقه دولت چین باشند. همانطور که در مورد نقض SolarWinds در سال گذشته مشاهده کردیم ، بازیگران ایالتی به راحتی از یک سرویس دهنده شخص ثالث استفاده می کنند. در این صورت ، بازیگران دولت روسیه برای حمله به مشتریان فروشنده ، به SolarWinds ، یک فروشنده نرم افزار نظارت بر شبکه ، نفوذ کردند.

چین نیز همین کار را انجام داده است. وزارت دادگستری آمریکا در سال 2018 فاش کرد که هکرهای چینی بیش از یک دهه به ارائه دهندگان خدمات مدیریت شده حمله کرده اند تا به مشتریان خود برسند.

در مشاوره جدید ، CISA هشدار می دهد که این حملات همچنین ایمیل ها و حساب های رسانه های اجتماعی را برای انجام حملات مهندسی اجتماعی به خطر می اندازد. اگر شخصی از منبع معتبری بدست بیاید ، احتمالاً روی ایمیل کلیک کرده و نرم افزار را بارگیری می کند. اگر مهاجم به صندوق پستی یک کارمند دسترسی داشته باشد و بتواند پیام های قبلی را بخواند ، می تواند ایمیل فیشینگ خود را متناسب با جذابیت خاص خود تنظیم کند – و حتی آن را مانند پاسخ به پیام قبلی جلوه دهد.

پاتریشیا موویو ، رئیس سابق گروه تحقیقات سیستم معتمد NSA ، که اکنون شریک عمومی SineWave Ventures است ، برخلاف مجرمان “بخش خصوصی” ، بازیگران حمایت مالی دولت تمایل بیشتری به استفاده از مسیرهای پیچیده برای رسیدن به اهداف نهایی خود دارند.

وی به DCK گفت: “آنها بسیار صبور ، بسیار پیگیر هستند و مایلند وقت و انرژی خود را صرف کنند تا به مکانی که می خواهند برسند.” “و بسیاری از این مسیرها شامل افرادی می شود که خود نهادهای مورد علاقه نیستند.”

وی گفت ، در یک اکوسیستم تجاری ، کل شبکه به اندازه کمترین امنیت عضو آسیب پذیر است. “بنابراین ، همه باید سطح خود را بالا ببرند. هیچ کس نباید بگوید ،” آنها به من اهمیت نخواهند داد. “

ویدیشا سومان ، شریک در عمل تحول دیجیتال مشاوره جهانی کرنی ، گفت که بیش از نیمی از نقض سایبری در حال حاضر به دلیل حملات شخص ثالث است.

وی افزود: “كمتر از یك چهارم شركت ها حتی از دامنه كامل دسترسی و به اشتراک گذاری داده هایی که با ارائه دهندگان شخص ثالث اتفاق می افتد ، آگاهی دارند.” و این حتی در نظر گرفتن تمام اتصالات ارائه دهنده خدمات نرم افزار ، سخت افزار و خدمات نیست.

وی گفت ، وقتی بیشتر شرکت ها به روابط فروشنده خود نگاه می کنند ، بر اهمیت خدماتی که ارائه می دهند تمرکز می کنند. اکنون زمان بازبینی اقدامات امنیت سایبری با طرز فکر “ارزش در معرض خطر” است. “

حملات سایبری با حمایت دولتی نیاز به پاسخ متناسب دارند

مجرمان اینترنتی خصوصی به دنبال سود مالی هستند. آنها اطلاعات کارت اعتباری و داده های مراقبت های بهداشتی را برای فروش در بازار سیاه می دزدند ، ماشین آلات هواپیمارباشی را برای استخراج ارزهای رمزنگاری شده و باج افزار را مستقر می کنند.

مهاجمان تحت حمایت دولت دنبال چیزهای مختلفی هستند. اگر آنها قصد دارند از شرکت شما به عنوان بردار حمله برای دنبال کردن هدف دیگری استفاده کنند ، می خواهند حساب های کاربری خود را برای دستیابی به ارتباطات خود به خطر بیاندازند. اگر شما یک فروشنده نرم افزار هستید ، هدف آنها ورود به فرآیند توسعه یا به روزرسانی نرم افزار شماست.

شرکت های دارای منافع استراتژیک ممکن است دارای مالکیت معنوی ارزشمند یا اسناد تجاری یا حقوقی باشند که توسط حملات سایبری چین هدف قرار گرفته اند.

بنابراین ، در حالی که تخفیف برای هر دو نوع حمله عمدتا یکسان است – وصله و به روزرسانی همه سیستم ها ، تقویت احراز هویت و کنترل دسترسی و استفاده از فن آوری های مدرن نظارت – برخی اقدامات اضافی ممکن است لازم باشد.

به عنوان مثال ، شرکت ها ممکن است توجه ویژه ای به هرگونه دسترسی غیرمعمول به سیستم های حاوی اسناد حساس ، اطلاعات مربوط به شرکای سازمانی یا مشتریان ، یا ایمیل کارمندان یا حساب های رسانه های اجتماعی داشته باشند.

تفاوت دیگر بین این دو نوع حمله ، میزان پنهان کاری مورد نیاز است. مجرمان اینترنتی خصوصی ممکن است برای مدتی در سیستم های شرکتی معلق باشند ، داده ها را منفجر کنند یا رمزگذارهایی را اجرا کنند ، اما به طور کلی ، هرچه بیشتر در محل باشند ، احتمال کشف آنها بیشتر است. بعلاوه ، هرچه سریعتر حمله باج افزار خود را انجام دهند ، سریعتر پرداخت می شوند.

با این حال بازیگران با حمایت مالی دولت خصوصاً مراقب هستند که گرفتار نشوند. در مشاوره CISA ، این امر تحت مرحله “فرار از دفاع ، فرماندهی و کنترل ، جمع آوری و انفجار” از حمله قرار می گیرد.

جان کری ، مدیر عامل در فن آوری در AArete ، یک شرکت مشاوره مدیریت ، گفت: “این روش مخفی کاری ارزش اطلاعات جمع آوری شده را افزایش می دهد و در را باز می گذارد.” وی به DCK گفت مهاجمان می توانند اطلاعات مربوط به سازمان را تقریباً به گونه ای جمع كنند كه گویی در این شركت خال دارند.

دوم ، اطلاعات سرقت شده اگر قربانی بداند که آنها مورد اصابت قرار گرفته اند ارزش بیشتری دارد. “آنها نمی خواهند قربانی را از واقعیت حضور در آنجا آگاه کنند ، به این معنی که سرقت IP یا اطلاعات خاص داخلی ، که به نفع بازیگران بد است ، مانند داده های قبل از IPO یا داروی احتمالی کارآیی محاکمه ، هنوز هم به ظاهر محرمانه است. “

قربانیان APT40 باید با مقامات همکاری کنند

اگر شرکت ها شواهدی از فعالیت APT40 پیدا کردند ، باید با دفتر محلی FBI یا ساعت مچی 24/7 FBI تماس بگیرند.

گزارش یک نفوذ می تواند به مقامات کمک کند تا دامنه تهدید را بهتر شناسایی کرده و پاسخ های مناسب را ایجاد کنند.

تانر جانسون ، تحلیلگر اصلی امنیت داده ها در Omdia ، گفت: ایجاد زیرساخت های CISA برای مقابله با تهدید حمله سایبری چین مدت زیادی است که به تأخیر افتاده است. این به نفع شرکت ها است که همکاری کنند. وی به DCK گفت: “این به تهیه یک مخزن واحد کمک می کند تا بتوانیم اطلاعات را به طور جهانی به اشتراک بگذاریم و پاسخ را هماهنگ کنیم.”

شرکت ها می توانند با CISA تماس بگیرند تا منابع پاسخگویی به حوادث یا کمک فنی مربوط به این تهدیدات را درخواست کنند.

ایلیا کولوچنکو ، مدیر عامل شرکت فروشنده امنیت سایبری ImmuniWeb ، گفت ، مگر اینکه شما مجبور به انجام این کار قانونی باشید ، معمولاً “خیلی مهم نیست” که به نیروی انتظامی اطلاع دهید که شما باج افزار شده اید. با این حال ، با APT40 ، ایده خوبی است که با مقامات تماس بگیرید ،

CISA ممکن است اطلاعات بیشتری در مورد حمله داشته باشد ، مانند درهای پشتی مخفی که مهاجمان می توانستند در جای خود بگذارند یا سایر اطلاعات حساس. وی گفت: “من فکر نمی کنم CISA در این زمان اطلاعات آن را علناً به اشتراک بگذارد تا مانع تحقیقات نشود.” “اما اگر با CISA تماس بگیرید ، آنها ممکن است بینش دیگری داشته باشند.”

APT40 از تاکتیک های “عابر پیاده” استفاده می کند

چه مهاجمان به دنبال شماره کارت اعتباری باشند و چه اسرار دولتی ، استراتژی های دفاعی یکسان هستند.

CISA لیستی از کنترلهای امنیتی که شرکتها باید در اختیار داشته باشند را ارائه می دهد که بهترین روشها برای هر نوع حمله است. این برنامه شامل وصله های سریع به استفاده از احراز هویت چند عاملی تا سیستم های نظارتی برای رفتارهای ناهنجار است.

این بدان دلیل است که اکثر تاکتیک های حمله APT40 چندان غیرمعمول نیستند.

راس روستیچی ، مدیر ارشد فروشنده امنیت سایبری Cybereason ، گفت: “نتیجه اصلی شماره یک این گزارش باید نحوه پیاده روی در واقع باشد.”

وی به DCK گفت كه APT40 از ابزارهای كالایی استفاده می كند. “Gh0st ، Derusbi و China Chopper همگی در این مرحله یک دهه یا بیشتر هستند.”

یک بار دیگر ، این به مبانی امنیتی برمی گردد. شرکت ها باید در برابر تمام روش های حمله معمول استفاده کنند. دروسبی گفت: “این نه تنها مارك خاص تهدیدات مداوم پیشرفته را متوقف می كند ، بلكه اثربخشی مجرمان اینترنتی را به شدت كاهش می دهد.”

سئو PBN | خبر های جدید سئو و هک و سرور