برای مشاهده نتایج کلید Enter و برای خروج کلید Esc را بفشارید.

۵ مورد از مواردی که هکرها مخفیانه اطلاعات شما را سرقت میکنند

سرقت اطلاعات با روند سرسام آوری که در پیش گرفته ضرر های هنگفتی را متوجه سازمان ها میکند و برای مسئولین امنیت سایبری می تواند به قیمت از دست دادن شغلشان تمام شود.در این جا پنج مورد از مواردی را در سال ۲۰۱۹ مورد بررسی قرار می دهیم که تبهکاران سایبری از این طریق به سرقت داده های شرکتی ودولتی می پردازند هم چنین راهکار هایی برای مقابله با این مسئله مورد بررسی قرار میگیرد.

۱. عدم رعایت تنظیمات امنیتی در Cloud

بر طبق یک تحقیق جهانی در مورد امنیت cloud که توسط شرکت امنیت سایبری Thales بر روی ۳۰۰۰ مورد حرفه ای در دنیا انجام شده ، ۴۸ درصد از کل داده های شرکتی در cloud ذخیره میشود این نرخ در سه سال پیش ۳۵ درصد بوده.به وضوح فقط ۳۲ درصد از سازمان ها اعتقاد دارند که محافظت  از اطلاعات در cloud مسئولیت خود آنهاست و در این مورد مسئولیت را متوجه تامین کنندگان cloud و IaaS میدانند.بد تر ازاین مورد ،۵۱ درصد از سازمان ها از رمزنگاری و توکن در cloud استفاده نمی کنند.

بر طبق گزارش امنیت کلاد ISC 2019 شصت وچهار درصد از متخصصین امنیت سایبری از دست دادن اطلاعات و نشت داده ها را بزرگترین خطر متوجه cloud قلمداد می کنند.سو استفاده از دسترسی های کارمندان و نظارت های نا کافی بر دسترسی ها بزرگترین چالش برای ۴۲ درصد از متخصصین امنیت به حساب می آید.۳۴ درصد با مسائل مربوط به compliance در Cloud دست وپنجه  نرم میکنند و ۳۳ دزصد هم عدم شفافیت در ساختار امنیتی را دغدغه اصلی خود به حساب می آورند.

البته third party های بی مسئولیت و سهل انگار به احتمال زیاد خطر ناک ترین چالشی هستند که معمولا دست کم گرفته می شوند . در سال ۲۰۱۹ Facebook , Microsoft و Toyota  شرکت هایی بودند که قربانی نشت اطلاعات کاربران توسط third party ها شدند و زیر هجوم رسانه ای قرار گرفتند.

علیرغم این اتفاقات هشدار دهنده هنوز تعداد کمی از شرکت ها یک برنامه مدون دقیق و حساب شده برای مدیریت third party ها را به کار میبرند و به جای به روش های راستی آزمایی کارامد  ونظارت های مداوم فقط به یک سری کاغذ بازی اتکا میکنند.

در جهت کاهش اثرات این مسایل باید از یک تیم مجرب و آموزش دیده استفاده کرد و یک سیاست امنیت cloud سازمانی را به کار گرفت و ساختار cloud را به شکل منظم بروز نگه داشت.

۲. دارک وب

Notorious Collection  #۱ که توسط متخصص امنیت Tory Hunt در ۲۰۱۹ شناسایی شد مجموعه ای از آدرس ایمیل ها وپسورد های plaintext است که مجموعا ۲,۶۹۲,۸۱۸,۲۳۸ ردیف را شامل میشود.هرکسی تقریبا می تواند این مجموعه را با استفاده از بیت کوین خریداری کند وهیچ اثری از  خود باقی نگدارد این مجموعه یکی از بزرگترین دیتا بیس های شناخته شده از اطلاعات لو رفته است که در واقع قسمتی کوچک از اطلاعات به سرقت رفته برای فروش در دارک وب است. هر روز بسیاری از شرکت ها به دلیل ماهیت پیچیده تبهکاران ،سهل انگاری و عدم استفاده از مهارت های مورد نیاز از این طریق هک میشوند.

حمله های password re-use و spear phishing برای اجرا راحت هستند و نیازی به اکسپلویت های zero-day گرانقیمت ندارد.ممکن است در وهله اول بی اهمیت برسد  ولی ممکن است بشدت موثر واقع شوند.بسیاری از سازمان ها سیاست جامعی برای پسورد در منابع شرکت ندارند و فقط SSO را در ساختار مرکزی به کار می برند.

اینگونه حمله ها بیشتر اوقات از نظر فنی غیر قابل شناسایی هستند این به دلیل عدم وجود نظارت کافی ویا به این علت است که بدون استفاده از شرایط پیچیده ای عملیات ورود صورت می پذیرد.هکرهای حرفه ای به دقت قبل از حمله ،کاربر مورد نظر خود را شناسایی می کنند تا از ISP sub-network ودر زمان های مشابه وارد شوند تا حتی سیستم های AI-enabled IDS را دور بزنند.

شفافیت در digital assets ،اتخاد سیاست جامع برای پسوردها و عکس العمل ها ونظارت مداوم دارک وب و منابع دیگر به منظور شناسایی درز اطلاعات از تمهیداتی است که در راستای مقابله با این تهدیدات باید در نظر داشت.

۳.وبسایت های رهاشده و محافظت نشده

بر طبق تحقیقی که شرکت امنیت وب ImmuniWeb در ۲۰۱۹ انجام داده ،۹۷ مورد از ۱۰۰ بانک بزرگ دنیا وب سایت ها واپلیکیشن هایی آسیب پذیر دارند.طیف وسیعی از مشکلات مربوط به استفاده کنترل نشده از نرم افزارهای اپن سورس ،فریم ورک های قدیمی و کتابخانه های JS است که بعضی از آنها حاوی آسیب پذیری های شناخته شده ای مربوط به سال ۲۰۱۱ هستند.

در همین گزارش مشخص شده ۲۵ درصد از اپلیکیشن های بانک داری اینترنتی حتی با  web application firewall یا  WAF هم محافظت نشده اند.۸۵ درصد از اپلیکیشن هادر تست های GDPR compliance مردود شدند و ۴۹ درصد هم در تست PCI DSS مردود شدند.

با وجود پیدایش راهکار های ASM یا  attack surface management بیشتر سازمان ها با پیچیدگی های روز افزون و نوسانات مربوط به سطوح خارجی حملات در گیر هستند.

نسخه های آزمایشی و یا دمو بسرعت در یک سازمان پخش میشوند وبطور گسترده در اختیار دیتا بیس های حساس قرار میگیرند وبعد نسخه جدید منتشر میشود درحالیکه نسخه های قبلی برای ماه ها در دسترس باقی می ماند.تیم های امنیتی کم تعداد زمانی برای رد یابی این اپلیکیشن های دردسر ساز نخواهند داشت وبه سیاست های امنیتی اتکا میکنند که نیمی از مهندسین نرم افزار هرگز آنرا نخوانده اند.

حتی اپلیکیشن هایی که بدرستی به کار گرفته شده اند هم در صورتیکه بی مراقبت رها شوند مانند یک بمب ساعتی عمل خواهند کرد.

بیشتر سیستم های مدیریت محتوا ( CMS) معروف مانند WordPress یا Drupal وقتی در حالت پیش فرض نصب میشوند بسیار امن هستند ولی پلاگین های third-party بی شمار ، تم ها و موارد اضافی دیگر امنیت آنها را نابود میکند.

انجام تست های امنیتی مداوم برای وب سایتها و انجام web penetration test برای وب اپلیکیشن ها و API ها برای مقابله با این مسایل ضرورت محسوب میشود.

۴.backend در اپلیکیشن های موبایل

کسب وکار های مدرن امروزه با دست ودل بازی زیادی در امر امنیت اپلیکیشن های موبایل سرمایه گذاری میکنند و برای داشتن استاندارد های کدنویسی امن از  تست های SAST/DAST/IAST ، محافظت RASP همراه با راهکارهای Vulnerability Correlation استفاده می کنند.متاسفانه بیشتر این راهکارها فقط قسمت بیرون از آب کوه یخ را می بینند و backend اپلیکیشن موبایل تست نشده و محافظت نشده باقی می ماند.

در حالیکه بیشتر API های مورد استفاده توسط اپلیکیشن های موبایل  اطلاعات حساسی را دریافت میکنند یا می فرستند اطلاعاتی که محرمانه می تواند باشد،امنیت آنها بشدت فراموش شده  که می تواند عواقب جبران ناپذیری در پی داشته باشد.

شرکت های بزرگ اغلب فراموش میکنندکه نسخه های قدیمی تر اپلیکیشن های موبایلشان براحتی از طریق اینترنت قابل دانلود شدن و مهندسی معکوس است.که برای هکرها منبع بسیار ارزشمندی به منظور شناسایی API های آسیب پذیر میباشد.در نهایت راه برای انجام حمله از brute-force  گرفته تا دور زدن احراز هویت با حمله های پیچیده تر باز میشود.معمولا خطرناک ترین حمله ها مانند SQL injection و RCE  ها در بستر backend انجام میشوند که حتی با WAF هم محافظت نمی شوند.

داشتن فهرست جامعی از API ها،انجام تست های نرم افزاری،انجام تست های امنیت اپلیکیشن موبایل روی backend وانجام تست های نفوذ در جهت کاهش تهدیدات بسیار موثر خواهند بود.

۵.مخازن public code

انجام روش CI/CD اقدام بسیار موثری برای کسب وکار است با این حال اگر بطور ناقص به کار گرفته شود می تواند به فاجعه تبدیل شود.با توجه به این موضوع مخازن public code بیشتر اوقات ضعیف ترین مورد در ارتباط با تمهیدات امنیت سایبری در سازمان هستند.

یک نمونه برجسته که به تازگی رخ داده در مورد غول بانکی Scotiabank  است که اطلاعات بسیار حساسی را در مخازن عمومی ودر دسترس GitHub  ذخیره کرده بود وسورس کد داخلی ،اطلاعات حساب های کاربری وکلید های دسترسی محرمانه را در معرض خطر قرار داده بود.

خطا های انسانی و توسعه دهندگان نرم افزار های third party در تشدید وضعیت می توانند بسیار موثر باشند .اتخاذ سیاستی برای پرداختن به مخازن کد ومدیریت دسترسی ها و ضروری کردن نظارت بر مخازن کد به منظور شناسایی درز های اطلاعاتی هم داخل سازمان وهم در ارتباط با third party ها از تمهیداتی است که در جهت کاهش خطرات بسیار موثر خواهد بود.

در نظر داشتن موارد گفته شده در این مقاله می تواند در کاهش ضرر های احتمالی که متوجه سازمان اسن موثر واقع شود.