روند کلی تهدیدات سایبری در سطح جهان، حاکی از اهداف سیاسی و اقتصادی جدید مجرمان سایبری است

روند کلی تهدیدات سایبری در سطح جهان، حاکی از اهداف سیاسی و اقتصادی جدید مجرمان سایبری است

گزارش تهدیدات سایبری FortiGuard Labs چشم اندازی جدید نسبت به روند فعلی مبادلات جهانی و تلاش برای دخالت در انتخابات ریاست جمهوری، ارائه می‌کند.

سانی‌ویل، کالیفرنیا، 26 فوریه 2020

Derek Manky مدیر ارشد اطلاعات امنیتی و اتحادیه‌های جهانی مقابله با تهدیدات سایبری، FortiGuard Labs

“در جنگ سایبری، معمولاً جامعه مجرمان به دلیل کمبود روز افزون مهارت‌های سایبری در نیروی کار، افزایش سطح حمله‌های دیجیتال و استفاده از روش‌های غافلگیر کننده با تاکتیک‌هایی همچون مهندسی اجتماعی، برای سوء استفاده از افراد ناآگاه، نسبت به مدافعان سایبری برتری دارند. برای پیشی گرفتن در چرخه تهدیدات پیچیده و خودکار، سازمان‌ها باید از فناوری‌ها و استراتژی‌هایی برای دفاع از شبکه‌های خودشان استفاده کنند که مهاجمان از آنها برای حمله استفاده می‌کنند. این امر مستلزم استفاده از پلتفرم‌های یکپارچه‌ای است که از قدرت و منابع هوش تهدید مبتنی بر هوش مصنوعی و دستورالعمل‌های راهنما برای ایجاد محافظت و دید کافی در زیرساخت‌های دیجیتال استفاده می‌کنند.”

خلاصه خبر:

Fortinet® (NASDAQ: FTNT) پیشگام در عرصه ارائه راهکارهای امنیت سایبری گسترده، ادغام شده و یکپارچه امروز یافته‌های جدیدترین گزارش چشم انداز تهدیدات سایبری جهانی FortiGuard Labs را اعلام کرد.

• نتایج یافته‌های مربوط به سه ماهه چهارم سال 2019 نشان می‌دهد که نه تنها مجرمان سایبری به سوء استفاده از فرصت‌های موجود در زیرساخت‌های دیجیتال ادامه می‌دهند، بلکه سعی دارند واقعیات سیاسی و اقتصادی را به بهترین شکل مطابق با اهداف خودشان رقم بزنند.
• روند جهانی نشان می‌دهد که میزان شیوع و تشخیص تهدیدات سایبری در هر منطقه جغرافیایی متفاوت است اما پیچیدگی و میزان حمله‌ها همه جا ثابت باقی مانده است. علاوه بر این، نیاز به بهداشت سایبری در سراسر جهان افزایش یافته چون حالا تهدیدات سایبری با سرعتی بیش از قبل افزایش مقیاس پیدا می‌کنند.

1. اقدامات گروه Charming Kitten: این تحقیق نشان می‌دهد که سطح قابل توجهی از فعالیت در مناطق مختلف به Charming Kitten مرتبط است که یکی از گروه‌های منتشر کننده تهدیدات پیشرفته مستمر (APT) در سه ماهه چهارم سال بود. این گروه ایرانی که از حدود سال 2014 فعالیت دارند، مسئول کمپین‌های سایبری مختلف، شناخته شده اند. فعالیت‌های اخیر نشان می‌دهد که این گروه به یکسری از حملات سایبری علیه کمپین انتخابات ریاست جمهوری ارتباط داشته است. بعلاوه، Charming Kitten از چهار تاکتیک جدید علیه قربانیان استفاده می‌کند که همگی برای فریب دادن آنها جهت ارائه اطلاعات حساس طراحی شده بودند.
2. افزایش ریسک امنیتی برای تجهیزات اینترنت اشیاء: تجهیزات اینترنت اشیاء همچنان مملو از نرم‌افزارهای قابل سوء استفاده هستند و ممکن است این تهدیدات بر دستگاه‌هایی مثل دوربین‌های مبتنی بر IP هم تاثیرگذار باشند. این شرایط وقتی قطعات و نرم‌افزارها در وسایل مختلفی از شرکت‌های متفاوت تعبیه شده اند که با برندهای مختلف و توسط شرکت‌های مختلف به فروش می‌رسند، بدتر می‌شود. خیلی از این قطعات و سرویس‌ها معمولاً طوری برنامه نویسی می‌شوند که از قطعه کدهای آماده استفاده کنند که گاهی اوقات در برابر سوء استفاده آسیب‌پذیر هستند و به همین دلیل همواره شاهد بروز آسیب‌پذیری‌های تکراری در دستگاه‌های مختلف هستیم. مقیاس این آسیب‌پذیری‌ها و نبود امکان پچ آسان این دستگاه‌ها یک چالش رو به افزایش است و دشواری‌های امنیت زنجیره تامین را برجسته تر می‌کند. فقدان آگاهی یا عدم امکان نصب پچ‌های امنیتی، وجود آسیب‌پذیری‌های مختلف در برخی تجهیزات اینترنت اشیاء و تلاش‌های ثابت شده برای استفاده از این دستگاه‌ها در بات‌نت‌های اینترنت اشیاء همگی باعث شدند تا این اکسپلویت‌ها بین تشخیص‌های IPS در این سه ماهه رتبه سوم را به خود اختصاص دهند.
3. کمک تهدیدات قدیمی تر به تهدیدات جدیدتر: در میانه فشار همیشگی که برای پیشی گرفتن از تهدیدات سایبری جدید وجود دارد، گاهی اوقات سازمان‌ها فراموش می‌کنند که اکسپلویت‌ها و آسیب‌پذیری‌های قدیمی هیچ تاریخ انقضائی ندارند و تا وقتی که این روش‌ها کار کنند، مجرمان به استفاده از آنها ادامه می‌دهند. یک نمونه از این آسیب‌پذیری‌ها EternalBlue است. این بدافزار به مرور زمان تکامل یافته تا بتواند از آسیب‌پذیری‌های متداول و بزرگ استفاده کند. از این بدافزار در کمپین‌های مختلفی استفاده شده که برجسته ترین آنها حملات باج افزاری WannaCry و NotPetya هستند. بعلاوه در ماه می‌ سال گذشته یک پچ برای آسیب‌پذیری BlueKeep منتشر شد که اگر با موفقیت از آن سوء استفاده می‌شد قابلیت تبدیل شدن به یک کرم کامپیوتری را داشت و می‌توانست با سرعت و مقیاسی مشابه WannaCry و NotPetya منتشر شود. در سه ماهه قبل نسخه‌ای جدید از تروجان EternalBlue Downloader ساخته شده که قابلیت سوء استفاده از آسیب‌پذیری BlueKeep را دارد. خوشبختانه نسخه‌ای که در حال حاضر وارد فضای آنلاین شده، کامل نیست و قبل از بارگذاری باعث کرش کردن دستگاه قربانی می‌شود اما با نگاهی به چرخه توسعه سنتی بدافزارها، می‌توان به این نتیجه رسید که مجرمان مصمم قادر هستند در آینده‌ای نزدیک نسخه‌ای کاربردی از این بدافزار ویرانگر تهیه کنند. هر چند از ماه می‌ یک پچ برای BlueKeep منتشر شده اما هنوز بسیاری از سازمان‌ها سیستم‌های آسیب‌پذیر خودشان را بروزرسانی نکردند. تداوم و افزایش علاقه مهاجمان به EternalBlue و BlueKeep یادآور این نکته است که سازمان‌ها باید مطمئن شوند سیستم‌های مورد استفاده شان به درستی پچ و در برابر این خطرات ایمن سازی شده است.
4. روندی جدید در تبادل جهانی اسپم: همچنان اسپم یکی از مهم ترین مشکلاتی است که افراد و سازمان‌ها با آن دست و پنجه نرم می‌کنند. در گزارش این فصل، حجم جریان اسپم بین کشورها و داده‌های مرتبط دیگر، شکل گیری یک روند جدید در نسبت اسپم‌های ارسال شده و دریافت شده را نشان داد. به نظر می‌رسد که حجم قابل توجهی از این اسپم‌ها با روند سیاسی و اقتصادی جهان در ارتباط هستند. برای مثال، کشورهایی که بیشترین میزان تبادل اسپم با آمریکا را داشتند، لهستان، روسیه، آلمان، ژاپن و برزیل بودند. بعلاوه، از نظر حجم اسپم صادر شده از مناطق جغرافیایی، اروپای شرقی بزرگترین تولید کننده خالص اسپم در جهان است که پس از آن مناطق فرعی آسیا قرار می‌گیرند. سایر بخش‌های فرعی اروپا از نظر نرخ اسپم منفی پیشرو بودند و این یعنی حجم اسپم دریافتی آنها بیشتر از حجم ارسالی شان بود. آمریکا و آفریقا در جایگاه‌های بعدی قرار دارند.
5. دنبال کردن ردپای مجرمان سایبری برای تشخیص گام‌های بعدی آنها: بررسی رویدادهایی که باعث فعال شدن سیستم IPS در یک ناحیه خاص شده اند، نه تنها مشخص می‌کند که چه منابعی مورد هدف قرار گرفته اند بلکه می‌تواند اهداف احتمالی مجرمان سایبری را در آینده مشخص کند هم به این دلیل که ممکن است تعداد زیادی از این حملات به موفقیت ختم شده باشند و هم به این دلیل که در بعضی از مناطق بیشتر از یک نوع فناوری خاص به کار رفته است. البته شرایط همیشه هم به این صورت نیست. مثلاً طبق اطلاعات سایت shodan.io بیشتر موارد نصب ThinkPHP در چین صورت می‌گیرند که تعداد نصب آنها نسبت به آمریکا حدوداً 10 برابر بیشتر است.
6. با فرض اینکه کمپانی‌ها در همه مناطق نرم‌افزارهای خودشان را با یک نرخ مشابه پچ کنند، اگر بات‌نتی در حال جستجوی نمونه‌های آسیب‌پذیر ThinkPHP باشد تا اکسپلویتی را نصب کند، تعداد موارد شناسایی باید در منطقه آسیا-اقیانوسیه بیشتر باشد اما تعداد دفعات تریگر شدن IPS در رابطه با یک اکسپلویت جدید در تمام مناطق آسیا-اقیانوسیه نسبت به آمریکای شمالی تنها 6 درصد بیشتر بود که نشان می‌دهد این بات‌نت‌ها اکسپلویت را در هر نمونه از ThinkPHP که پیدا می‌کنند، نصب می‌کنند. بعلاوه، با اجرای بررسی‌های مشابه در رابطه با تشخیص بدافزار، می‌توان گفت که بیشتر خطراتی که سازمان‌ها را هدف می‌گیرند، ماکروهای ویژوال بیسیک برای اپلیکیشن‌ها (VBA) هستند. این احتمال وجود دارد، چون این ماکروها هنوز هم اثربخش هستند و به نتیجه می‌رسند. در مجموع، تعداد دفعات تشخیص مواردی که خوب کار نمی‌کنند (توسط سیستم تشخیص نفوذ)، برای مدتی طولانی بالا باقی نمی‌ماند و اگر تعداد دفعات شناسایی یک بدافزار خاص زیاد بود، حتماً هنوز هم شخص یا اشخاصی قربانی آن می‌شوند.

نیاز به راهکارهای امنیتی گسترده، یکپارچه و خودکار

با افزایش تعداد اپلیکیشن‌ها و دستگاه‌های به هم پیوسته در یک محیط، میلیاردها لبه جدید در شبکه ایجاد می‌شوند که باید مدیریت و حفاظت شوند. بعلاوه، سازمان‌ها با افزایش پیچیدگی حملاتی روبرو هستند که زیرساخت‌های دیجیتال را هدف می‌گیرند از جمله حمله‌هایی که با کمک هوش مصنوعی و یادگیری ماشینی انجام می‌شوند. سازمان‌ها باید برای ایمن سازی کارآمد شبکه‌های توزیع شده خودشان، از سمت حفاظت از محیط امنیتی به سمت حفاظت از داده‌هایی که در لبه‌های شبکه، سیستم‌ها، بین کاربران، دستگاه‌ها و اپلیکیشن‌های مهم توزیع شده اند حرکت کنند. تنها یک پلتفرم امنیت سایبری که برای فراهم کردن دیدی جامع و محافظت از سازمان در برابر سطوح حمله مختلف – از جمله دستگاه‌ها، کاربران، نقاط پایانی موبایلی، محیط‌های چند کلودی و زیرساخت‌های SaaS – طراحی شده باشد می‌تواند شبکه‌های امروزی که به سرعت در حال رشد و توسعه هستند را ایمن سازی کند.

مروری بر این گزارش

جدیدترین گزارش چشم انداز تهدیدات سایبری یک چشم انداز فصلی است که اطلاعات جمع آوری شده از حسگرهای Fortinet که میلیاردها رویداد مختلف را طی سه ماهه چهارم سال 2019 تحت نظر داشته اند، ارائه می‌دهد. این گزارش چشم انداز منطقه‌ای و جهانی را مشخص می‌کند و سه جنبه مهم از این چشم انداز که شامل اکسپلویت‌ها، بدافزارها و بات‌نت‌ها هستند را تحت پوشش قرار می‌دهد.