همانطور که می دانید تهدیدات سایبری همچنان در حال تکامل هستند، دشمنان طیف وسیعی از ابزارها را برای نقض دفاع امنیتی و دسترسی به داده های حساس به کار می گیرند. با کمال تعجب، یکی از قویترین سلاحهای موجود در انبار مهمات آنها، کدهای مخرب نیست، بلکه نامهای کاربری و رمزهای عبور به سرقت رفته یا ضعیف هستند. در این مقاله به بررسی جدی بودن اطلاعات اکانت هک شده، چالشهایی که برای راهکارهای امنیتی ایجاد میکنند و اهمیت اجرای اقدامات قوی برای محافظت از محیطهای اکتیو دایرکتوری می پردازد. علاوه بر این، ما Silverfort Unified Identity Protection را معرفی می کنیم، یک راهکار جامع که امنیت پیشرفته ای را برای محیط های اکتیو دایرکتوری در برابر سوء استفاده از اطلاعات اکانت هک شده ارائه می دهد. در ادامه این مطلب با ما همراه باشید تا به بررسی موضوع حمله روز صفر بپردازیم.
حمله روز صفر چیست؟
حمله روز صفر (Zero Day Attack) یک آسیب پذیری نرم افزار است که قبل از این که کاربر و یا تولید کننده نرم افزار از آن باخبر شود توسط مهاجمان مورد حمله و سوء استفاده قرار می گیرد. در این مرحله هیچ پچی وجود ندارد، بنابراین مهاجمان می توانند به آسانی از آسیب پذیری کاربر استفاده کرده و بدانند که هیچ دفاعی وجود ندارد. به این گونه حملات حملات روز صفر گفته می شود. این آسیب پذیری ها روز صفر را به یک تهدید امنیتی شدید تبدیل می کند.
چرا به این نوع حمله حمله روز صفر می گویند؟
بسیاری از مردم مشتاق هستند تا بدانند چرا کارشناسان به جای هر چیز دیگری، این نوع از کامپیوترها را آسیب پذیری روز صفر می نامند. مردم در دنیای محاسبات از آن به عنوان یک حمله روز صفر یاد می کنند. زیرا سازندگان نرم افزار پس از سوء استفاده هکر ها از آن، روز صفر فرصت دارند تا پاسخگو باشند. علت نام گذاری حمله روز صفر این است که قبل از اینکه هدف مورد حمله از وجود آسیب پذیری آگاه باشد، حمله رخ می دهد. مهاجم، بد افزار را پیش آنکه توسعه دهنده یا شرکت تولید کننده نرم افزار فرصتی برای ایجاد یک پچ به منظور رفع آسیب پذیری داشته باشد، منتشر می کند.
آسیب پذیری روز صفر چیست؟
مفهوم روز صفر و منظور از آسیب پذیری روز صفر چیست؟
برنامه ها معمولا پس از انتشار دارای آسیب پذیری هستند. این آسیب پذیری ها، اغلب نقص های غیر عمدی یا حفره هایی در برنامه های نرم افزاری هستند. به عنوان مثال، حفره امنیتی که به مجرمان سایبری اجازه می دهد به داده های سازمان دسترسی پیدا کنند. برنامه نویسان نرم افزار همواره به دنبال این آسیب پذیری ها هستند تا بتوانند آنها را کشف کرده و تحلیل کنند و سپس یک راهکار برای رفع آسیب پذیری ارائه دهند. وصله ها در نسخه بعدی نرم افزار منتشر می شوند. با این حال، همانطور که متوجه شده اید، این فرایند بسیار زمانی بوده و گاهی ممکن است روز ها، هفته ها و حتی ماه ها طول بکشد، حتی زمانی که یک وصله روز صفر منتشر می شود، همه کاربران به سرعت آن را پیاده سازی نمی کنند؛ بنا بر این هکر ها در سرتاسر جهان به محض کشف آسیب پذیری و قبل از منتشر شدن وصله، می توانند شروع به سوء استفاده از آن می کنند. به بیان دیگر، توسعه دهندگان به تازگی از وجود آسیب پذیری مطلع شده اند و صفر روز فرصت دارند تا راهکاری برای حل مشکل پیدا کنند.
حمله روز صفر چگونه اتفاق می افتد؟
- شناسایی: هکرها آسیب پذیری های گزارش نشده را در نرم افزار از طریق آزمایش یا خرید از بازار های سیاه زیر بطن اینترنت مانند دارک وب پیدا می کنند.
- ایجاد: عوامل تهدید کیت ها، اسکریپت ها یا فرآیند هایی را ایجاد می کنند که می توانند از آسیب پذیری های تازه پیدا شده سوء استفاده کنند
- اطلاعات: مهاجمان از قبل هدفی را در ذهن دارند یا از ابزار هایی مانند ربات ها، اسکنر ها یا کاوشگر ها برای یافتن اهداف سود آور با سیستم های قابل بهره برداری استفاده کنند.
- برنامه ریزی: هکر ها قدرت ها و ضعف های هدف خود را قبل از حمله خود می سنجند. آنها ممکن است از مهندسی اجتماعی، جاسوسی یا هر تاکتیک دیگری برای نفوذ به یک سیستم استفاده می کنند.
- اجرا: با وجود همه چیز، مهاجمان نرم افزار مخرب خود را مستقر می کنند و از آسیب پذیری سوء استفاده می کنند.
باگ های روز صفر چگونه کشف می شوند؟
با توجه به اینکه سازندگان برای به حداقل رساندن آسیب پذیری ها اضافه کاری می کنند، به طور مرتب بروز رسانی نرم افزار خود را متوجه خواهید شد. بعضا بروزرسانی های امنیتی حتی در همان روزی که نرم افزار عرضه می شود منتشر می شود. در حالی که توسعه دهندگان دوست دارند حفره های امنیتی را در داخل بیابند، اما از کمک های خارجی نیز بدشان نمی آید.
هکر های کلاه سفید
هکر کلاه سفید یک اصطلاح قدیمی برای یک هکر اخلاقی است. شرکت ها چنین متخصصانی را برای افزایش امنیت شبکه استخدام می کنند. شناسایی اشکالات احتمالی روز صفر می تواند بخشی از کار باشد.
هکر های کلاه خاکستری
هکر های کلاه خاکستری مانند کلاه سفید هستند، با این تفاوت که در مقام رسمی کار نمی کنند. چنین هکر هایی ممکن است سعی کنند باگ های روز صفر را به امید یافتن شغلی در شرکت، به دست آوردن بدنامی یا صرفا برای سرگرمی، پیدا کنند.
هکر های کلاه سیاه
هکر هایی که به قصد دزدین اطلاعات، دستبرد، به به دست آوردن مبالغ هنگفت دست به کار هک می زنند.
چه کسانی حمله روز صفر را انجام می دهند؟
مهاجمانی که حملات روز صفر را انجام می دهند، بسته به انگیزه حمله، در دسته های مختلفی قرار می گیرند. به عنوان مثال:
- مجرمان سایبری: هکر هایی که انگیزه آن ها در بیشتر مواقع بهره برداری مالی است.
- هکتیویست ها: هکر هایی با انگیزه سیاسی یا اجتماعی که می خواهند حملات رسانه ای انجام دهند تا توجه عموم را به هدف خود جلب کنند.
- جاسوسی شرکتی: هکر هایی که از شرکت ها جاسوسی می کنند تا اطلاعاتی در مورد به دست آورند.
- جنگ سایبری: هدف این نوع مهاجمان، جاسوسی یا حمله به زیرساخت های سایبری یک کشور است.
هدف حملات روز صفر
یک حمله روز صفر می تواند از آسیب پذیری ها در سیستم های مختلف از جمله موارد زیر استفاده کند:
- سیستم عامل ها
- مرورگر های وب
- برنامه های کاربردی آفیس
- اجزای منبع باز
- سخت افزار
- اینترنت اشیاء
بنابراین، طیف وسیعی از قربانیان احتمالی وجود دارد، به عنوان مثال:
- افرادی که از یک سیستم آسیب پذیر مانند مرورگر یا سیستم عامل استفاده می کنند. هکر ها می توانند از آسیب پذیری های امنیتی برای به خطر انداختن دستگاه ها و ساخت بات نت های بزرگ استفاده کنند.
- افرادی که به داده های تجاری ارزشمند دسترسی دارند.
- شرکت و سازمان های بزرگ
- سازمان های دولتی
حتی زمانی که مهاجمان افراد خاصی را را هدف قرار نمی دهند، تعداد زیادی از افراد همچنان می توانند تحت تاثیر حملات روز صفر قرار بگیرند. هدف از حملات غیر هدفمند، به دام انداختن کاربران بیشتر است.
از جمله جدیدترین حملات روز صفر
از جمله جدیدترین حملات روز صفر می توان به موارد زیر اشاره کرد:
Chrome
در سال 2021، گوگل کروم با یک سری تهدیدات روز صفر مواجه شد که باعث شد به روزرسانی هایی را منتشر کند. این آسیب پذیری ناشی از یک نقص در موتور جاوا اسکریپت V8 مورد استفاده در مرورگر وب بود.
Zoom
سال 2020، یک آسیب پذیری در پلتفرم ویدیو کنفرانس محبوب پیدا شد. در این حمله روز صفر، هکر ها به کامپیوتر کاربر از راه دور در صورتی که از نسخه قدیمی ویندوز استفاده می کرد، دسترسی پیدا می کردند. هکر می توانست به طور کامل دستگاه آن ها را تصاحب کرده و به تمام فایل های آن ها دسترسی داشته باشد.
Apple iOS
iOS اپل، اغلب به عنوان امن ترین پلتفرم گوشی های هوشمند شناخته می شود. به این حال، در سال 2020، حداقل قربانی دو مجموعه از آسیب پذیری های روز صفر iOS شد، از جمله یک باگ روز صفر که باعث می شد آیفون ها را از راه دور در معرض مهاجمان قرار گیرند.
چگونه حملات روز صفر را شناسایی کنیم؟
از آن جایی که آسیب پذیری های روز صفر می توانند اشکال مختلفی مانند الگوریتم های خراب، مشکلات امنیتی رمز عبور و غیره، داشته باشند، شناسایی آنها می تواند دشوار و چالش برانگیز باشد. اطلاعات دقیق در مورد اکسپلویت های روز صفر نیز تنها پس از شناسایی اکسپلویت در دسترس است. سازمان هایی که توسط یک اکسپلویت روز صفر مورد حمله قرار می گیرند. ممکن است ترافیک غیر منتظره یا فعالیت اسکن مشکوک ناشی از یک مشتری یا سرویس را مشاهده کنند. یکی از تکنیک های شناسایی حمله های روز صفر به دنبال ویژگی های بدافزار روز صفر بر اساس نحوه تعامل آن ها با سیستم هدف است.
این تکنیک به جای بررسی کد های فایل های دریافتی، به تعاملات آنها با نرم افزارهای موجود نگاه می کند و تلاش می کند تعیین کند که آیا آنها ناشی از اقدامات مخرب هستند یا نه.
چگونه از داده ها مهم خود در برابر حملات روز صفر محافظت کنیم؟
جلوگیری از نفوذ و سوء استفاده مهاجمان بی شک دشوار و چالش برانگیز است. در این بخش چند نکته بسیار مهم وجود دارد که میتواند به شما در حفظ امنیت شبکه شما و جلوگیری از تهدیدات ناشناخته کمک کند:
- از نرم افزار های قدیمی استفاده نکنید زیرا هکر ها می توانند به راحتی برای نرم افزار هایی که فروشنده دیگر پشتیبانی نمی کند، اکسپلویت ایجاد کنند.
- از ابزار های آنتی ویروس پیشرفته ای استفاده کنید که دارای یادگیری ماشینی، تشخیص رفتار و کاهش بهره برداری هستند. چنین ویژگی هایی می توانند به ابزار های امنیت سایبری شما کمک کنند تا تهدیدات با امضا های ناشناخته را متوقف کنند.
در شرکت ها:
- به کارمندان آموزش جامع و کامل در موضوعات امنیت سایبری دهید تا حملات مهندسی اجتماعی مانند Spear Phishing را شناسایی کنند که هکر ها می توانند از آنها به عنوان یک بردار حمله استفاده کنند.
- راهکار های تشخیص و پاسخ نقطه پایانی را برای نظارت و ایمن سازی نقاط پایانی خود بپذیرید.
- امنیت شبکه را با فایروال ها، VPN های خصوصی و IPsec افزایش دهید.
- شبکه های خود را با کنترل های دسترسی قوی شبکه تقسیم کنید.
- با یک شرکت خدمات امنیت شبکه از جمله شرکت داریانت همکاری فنی و مشاوره بگیرید.
قدرت اطلاعات اکانت به سرقت رفته؛ دسترسی کامل به تمام منابع
در دنیای حملات سایبری، نامهای کاربری و رمزهای عبور دزدیده شده ابزار بسیار مؤثری برای دسترسی غیرمجاز به شبکهها و سیستمها هستند. آنها یک نقطه ورود در اختیار دشمنان قرار می دهند که امکان دسترسی بعدی به منابع حساس محلی و ابری را می دهند. اطلاعات اکانت لو رفته یک تهدید مهم است زیرا تشخیص تهدیدات سایبری به شدت به شناسایی ناهنجاری ها در فعالیت های مختلف مانند پروسه ها، ترافیک شبکه و رفتار کاربر بستگی دارد. ناهنجاریها به عنوان پرچمهای قرمز عمل میکنند که نشاندهنده نقض احتمالی امنیتی یا فعالیتهای مخرب است. اما احراز هویت مخرب با اطلاعات لو رفته، مشابه لاگینی است که توسط کاربر واقعی انجام شده است. راهکارهای فعلی مدیریت هویت و امنیت راهی برای تشخیص این دو ندارند، بنابراین می توانند اولی را بلاک و دیگری را مجاز کنند.
به دست آوردن اطلاعات اکانت هک شده هرگز آسان تر از الان نبوده است
مهاجمان از تکنیک های مختلفی برای به دست آوردن اطلاعات اکانت لو رفته استفاده می کنند. ممکن است آنها را از بازارهای دارک وب خریداری کنند یا از طریق استفاده از کی لاگرها یا تخلیه حافظه در ماشین های هک شده به دست آورند. بسیار مهم است که این واقعیت را بپذیریم که بسیاری از نامهای کاربری و گذرواژههای یک سازمان در نهایت افشا می شوند بنابراین نیاز به اقدامات امنیتی پیشگیرانه خواهند داشت.
حفاظت یکپارچه هویت
مهاجمان از غیاب قدیمی حفاظت اکتیو هویت در محیط های اکتیو دایرکتوری پیشرفت می کنند. خبر خوب این است که دیگر لازم نیست شاهد این موضوع باشید؛ سرویس سیلورفورت کاری میکند که سرویس احراز هویت چند-عاملی برای اکتیو دایرکتوری، قابل دسترس، کامل و دارای امکان نصب راحت باشد و این ضمانت را میدهد که سازمان شما دربرابر حملات سایبری بهتر از قبل مقاوم شوند.
اکتیو دایرکتوری نمی تواند از احراز هویت مخرب در لحظه جلوگیری کند
در حالی که پلتفرمهای وب و SaaS مدرن دارای قابلیتهای احراز هویت چند-عاملی درونی (MFA) هستند – که امنیت را با افزودن یک لایه اضافی از احراز هویت تقویت میکنند – همین سطح حفاظت اغلب در محیطهای اکتیو دایرکتوری وجود ندارد. پروتکل های احراز هویت مورد استفاده در اکتیو دایرکتوری (یعنی NTLM و Kerberos) فاقد پشتیبانی داخلی احراز هویت چند-عاملی هستند. در نتیجه، محیط های اکتیو دایرکتوری در برابر حملاتی که از اطلاعات افشا شده استفاده می کنند، بسیار آسیب پذیر هستند.
حملات حرکت جانبی در محیط های اکتیو دایرکتوری
ضعف قابلیتهای امنیتی اکتیو دایرکتوری که تنها تطبیق ساده نام کاربری و رمز عبورهستند، مرتباً توسط دشمنانی که حملات حرکت جانبی را اجرا میکنند، مورد سوء استفاده قرار میگیرد. از آنجایی که اکتیو دایرکتوری توانایی تمایز بین احراز هویت قانونی و احراز هویت مخرب با استفاده از اطلاعات هک شده ندارد، دشمنان میتوانند به صورت جانبی در محیط اکتیو دایرکتوری حرکت کنند، امتیازات و سطح دسترسی ها را افزایش دهند و بدون اینکه شناسایی شوند به منابع حیاتی دسترسی پیدا کنند.
تقویت امنیت اکتیو دایرکتوری با حفاظت یکپارچه هویت سیلورفورت
برای مقابله با سوء استفاده از اطلاعات اکانت لو رفته در محیط های اکتیو دایرکتوری، سازمان ها به یک راهکار امنیتی جامع نیاز دارند که نظارت مستمر، آنالیز ریسک و پاسخ اکتیو را ارائه دهد. راهکار حفاظت یکپارچه هویت سیلورفورت با اجرای احراز هویت چند-عاملی در هر احراز هویت در اکتیو دایرکتوری، از جمله اپلیکیشن های قدیمی، دسترسی خط فرمان به ایستگاههای کاری و سرورها، اشتراک گذاری فایلها و هر گونه احراز هویت NTLM، Kerberos یا LDAP، حفاظت قوی را فراهم میکند.
با استفاده از حافظت یکپارچه هویت سیلورفورت، سازمان ها مزیت متمایزی در کاهش خطرات مرتبط با اطلاعات اکانت هک شده به دست می آورند. این راهکار تمام دفعات احراز هویت را مانیتور می کند، خطرات را در لحظه آنالیز و به صورت اکتیو با بلاک کردن دسترسی یا اجرای احراز هویت چند-عاملی پاسخ می دهد. با سیلورفورت، سازمانها میتوانند محیطهای اکتیو دایرکتوری خود را تقویت کرده و از داراییهای حیاتی در برابر استفاده مخرب اطلاعات دزدیده شده محافظت کنند.
جمع بندی
اطلاعات اکانت به سرقت رفته یک تهدید بزرگ در حوزه حملات سایبری است. مشروعیت فریبنده آنها راهکارهای امنیتی مرسوم را به چالش می کشد و حملات حرکت جانبی را در محیط های اکتیو دایرکتوری ممکن می کند. با اجرای حفاظت یکپارچه هویت سیلورفورت، سازمانها میتوانند وضعیت امنیتی اکتیو دایرکتوری خود را ارتقا دهند و به طور اکتیو در برابر سوء استفاده از اطلاعات اکانت دزدیده شده دفاع کنند.