🧑🏾‍🤝‍🧑🏾 🔱 👨‍👧‍👧 خمس نقاط ضعف خطيرة للعمل عن بعد 👩🏼‍🤝‍👨🏿 👩‍⚕️ 🗃️

صورة: Unsplash

عند نقل الموظفين إلى الوضع البعيد ، ترتكب أقسام تكنولوجيا المعلومات العديد من الأخطاء الأمنية وتزود الغرباء بالوصول إلى البنية التحتية الداخلية.

بادئ ذي بدء ، سنقوم بإدراج نقاط الضعف التي يجب القضاء عليها بسرعة في بنيتنا التحتية حتى لا تصبح هذه الأشهر الصعبة "لحوم سهلة" لمشغلي الفيروسات المشفرة أو مجموعات APT ذات التوجه المالي.

1. منذ نهاية شهر فبراير ، تزايد عدد العقد المتاحة باستخدام بروتوكول سطح المكتب البعيد (RDP) بسرعة. يظهر الرصد لدينا أنه في المتوسط 10 ٪ من هذه العقد عرضة لـ BlueKeep ( CVE-2019-0708 ).

يسمح لك BlueKeep بالتحكم الكامل عن بعد في جهاز كمبيوتر يستند إلى أنظمة التشغيل Windows 7 و Windows Server 2008 و Windows Server 2008 R2 (هل قمت بالتبديل إلى Windows 10 منذ فترة طويلة ويمكن أن تكون آمنًا؟). للهجوم ، ما عليك سوى إرسال طلب RDP خاص إلى خدمات سطح المكتب البعيد الضعيفة (RDS) ، المصادقة غير مطلوبة.

كلما زاد عدد العقد مع بروتوكول RDP بشكل أسرع ، أصبحت الأجهزة الأكثر ضعفًا بينها (كقاعدة). على سبيل المثال ، في جبال الأورال ، زاد عدد العقد المفتوحة بنسبة 21٪ ، وفي 17٪ من الأنظمة هناك ثغرة BlueKeep. يأتي بعد ذلك سيبيريا (21٪ و 16٪ على التوالي) ، والشمال الغربي (19٪ و 13٪) ، والجنوب (12٪ و 14٪) ، وفولجا (8٪ و 18٪) ، والشرق الأقصى (5٪ و 14٪) و الدوائر الفيدرالية المركزية (4 ٪ و 11 ٪).

بالإضافة إلى تثبيت التصحيحات ، للقضاء على ثغرة BlueKeep ، بالإضافة إلى CVE-2019-1181 / 1182 المماثل لها ، فمن الضروري توفير الوصول عن بعد عبر بوابة. بالنسبة لاتصالات RDP ، هذه هي بوابة سطح المكتب البعيد (RDG) ، لـ VPN - VPN Gateway. هو بطلان الاتصال عن بعد مباشرة إلى مكان العمل.

2. تحتوي الإصدارات الجديدة من Windows أيضًا على ثغرات أمنية تسمح للمهاجم بالسير على شبكة أجنبية باستخدام أخطاء خدمات سطح المكتب البعيد. هذا هو CVE-2019-1181 / 1182 ، تم تسميته من قبل عدد من خبراء BlueKeep-2. نوصي بالتحقق ، وإذا لزم الأمر ، تثبيت تصحيحات جديدة ، حتى إذا تم تنظيم الوصول عن بُعد بواسطة RDG على شبكتك.

3. في ترتيب أخطر المشاكل الأمنية ، نعطي البرونزية لنقاط الضعف في برنامج Citrix ( CVE-2019-19781).) ، تم تحديده بواسطة خبير التقنيات الإيجابية Mikhail Klyuchnikov واسمه Shitrix بشكل غير رسمي بسبب التأخير في التحديثات ووجود برمجية إكسبلويت. بعد شهر ونصف من نشر التفاصيل الأولى ، كانت الثغرة موجودة في حوالي 16 ألف شركة. الخطأ خطير للغاية ويسمح لك باختراق الشبكة المحلية من الإنترنت. يتم استخدامه ، على وجه الخصوص ، من قبل مشغلي فيروسات الفدية Ragnarok و REvil / Sodinokibi .

4. لا تنسى الثغرة القديمة في بروتوكول سطح المكتب البعيد CVE-2012-0002 (MS11-065) ، والذي لا يزال موجودًا في محيط الشبكة. تم تذكر هذا العيب الذي تم اكتشافه في عام 2012 لتسريب كود PoC من أحد شركاء Microsoft في MAAP والادعاءاتيُزعم أنها موظفة في GRU في محاولة لشراء مآثر لها.

5. أخيرًا ، يجدر الانتباه إلى الخطأ في آلية إلغاء تسلسل لغة البرمجة PHP 7 ( CVE-2019-11043 ). كما يسمح لمستخدم غير مصرح له بتنفيذ تعليمات برمجية عشوائية. خوادم nginx المعرضة للخطر مع تمكين FPM (حزمة لمعالجة البرامج النصية بلغة PHP). تسبب الخلل في إصابة مستخدمي التخزين السحابي NextCloud بـ NextCry.

سيساعد نظام الإدارة المركزي للتحديثات والتصحيحات على أتمتة عملية تصحيح أنظمة الشركة ، وستساعد أدوات تحليل الأمان في التحقق من عدم وجود نقاط ضعف .

تثبيت التحديثات على جهاز الكمبيوتر للموظفين

من المستحيل ألا نتذكر أنه من العديد من أجهزة الكمبيوتر المنزلية التي انتقل إليها موظفو المكتب ، قاموا مؤخرًا بمسح الغبار ، وهم مشكلة من وجهة نظر أمن المعلومات. في عالم مثالي ، من الأفضل عدم توفير الوصول لأجهزة الكمبيوتر الشخصية ، ولكن لتسليط الضوء على أنظمة الشركات المثبتة والمعدة. ولكن الآن قد لا تكون أجهزة الكمبيوتر المحمولة كافية للجميع . لذلك ، من الضروري تنظيم عملية واسعة النطاق لتحديث أجهزة الكمبيوتر المنزلية عن بُعد حتى لا تصبح نقطة دخول للمهاجمين.

بادئ ذي بدء ، من المهم تحديث أنظمة التشغيل والمنتجات المكتبية وبرامج مكافحة الفيروسات. بالإضافة إلى ذلك ، تحتاج إلى تحذير الموظفين من مخاطر استخدام المتصفحات القديمة ، مثل الإصدارات غير المدعومة من Internet Explorer. قبل تحديث أجهزة الكمبيوتر المنزلية ، يجب عليك إنشاء نقطة استرداد أو عمل نسخة احتياطية من النظام للتراجع في حالة حدوث أي مشاكل ، مثل فشل تحديث Windows 10 آخر .

فيما يتعلق بسياسة كلمة المرور ، نوصي باستخدام كلمات مرور لا يقل طولها عن 12 حرفًا للحسابات غير المميزة و 15 حرفًا على الأقل للحسابات الإدارية عند الاتصال عن بُعد. استخدم أنواعًا مختلفة من الأحرف في نفس الوقت (أحرف صغيرة وكبيرة ، أحرف خاصة ، أرقام) واستبعد كلمات المرور التي يمكن تخمينها بسهولة. وفقًا لبياناتنا، في عام 2019 ، كانت 48 ٪ من جميع كلمات المرور المحددة تتكون من مزيج من كلمة تشير إلى وقت السنة أو الشهر وأربعة أرقام تشير إلى السنة (سبتمبر 2019 أو في تخطيط لوحة المفاتيح الإنجليزية Ctynz ، hm2019). تتوافق كلمات المرور هذه رسميًا مع سياسة كلمة المرور ، ولكن يتم اختيارها وفقًا للقواميس في غضون دقائق.

بشكل عام ، يعد القفز في أدوات التحكم عن بعد ضارًا في الظروف الحالية: نصيحتنا هي اختيار برنامج واحد والتمييز بين حقوق المستخدمين المحليين. سيكون من الصحيح إذا تم تسجيل قوائم البرامج المسموح بها على بعض أجهزة الكمبيوتر البعيدة التي تستخدم ، على سبيل المثال ، Windows AppLocker.

يجب أن يقال أيضًا عن المشاكل المحتملة المرتبطة بتنظيم الوصول إلى VPN. قد لا يتوفر لمتخصصي تكنولوجيا المعلومات الوقت لإعادة تكوين المعدات في وقت قصير وتزويد جميع مستخدمي VPN بالوصول الذي يحتاجونه دون انتهاك قواعد الترسيم. ونتيجة لذلك ، لضمان استمرارية العمل ، سيتعين على متخصصي تكنولوجيا المعلومات اختيار الخيار الأسرع والأسهل - لفتح الوصول إلى الشبكة الفرعية المطلوبة ليس فقط لموظف واحد ، ولكن لجميع مستخدمي VPN في وقت واحد. هذا النهج يقلل بشكل كبير من الأمن ويفتح الفرص ليس فقط للهجمات التي يقوم بها مهاجم خارجي (إذا كان يستطيع اختراق) ، ولكن أيضًا يزيد بشكل كبير من خطر هجوم من الداخل. نوصي بأن تفكر مسبقًا في خطة عمل للحفاظ على تقسيم الشبكة وتخصيص العدد المطلوب من تجمعات VPN.

تستفيد الهندسة الاجتماعية بالفعل من قصص فيروسات التاجية بالكامل ، ونوصي بتعريف الموظفين بمواضيع جديدة من هجمات التصيد الاحتيالي. تستغل مجموعات APT مثل Gamaredon و Higaisa القصص المتعلقة بعمليات النقل والحظر والإلغاء والعمل عن بعد وتهاجم عناوين البريد الإلكتروني الشخصية للموظفين. تم تنفيذ عملية تصيد احتيالي بواسطة مهاجمين مجهولين لشركتنا: حاول المجرمون سرقة أوراق الاعتماد. يجب على الموظفين فهم شدة التهديد والاستعداد لتمييز البريد الشرعي عن التصيد الاحتيالي. للقيام بذلك ، نوصي بتوزيع مواد تدريبية مرئية ومذكرات حول أمن المعلومات والهندسة الاجتماعية. سيساعد التصيد الديناميكي للملفات في بريد الشركات باستخدام وضع الحماية على تحديد أعراض التصيد.

من الضروري أيضًا الانتباه إلى أنظمة إدارة المستندات الإلكترونية و ERP. في الوقت الحاضر ، يتم نشر تطبيقات الأعمال التي كان يمكن الوصول إليها في السابق فقط من الداخل والتي لم يتم تحليلها بحثًا عن الثغرات الأمنية للجمهور. في الوقت نفسه ، كان مستوى أمن أولئك الذين تم تحليلهم منخفضًا . للحماية من استغلال التهديدات المستندة إلى الويب للتطبيقات المهمة ، نوصي باستخدام جدران الحماية ، وطبقة التطبيق (جدار حماية تطبيق الويب).

تلعب إمكانية الوصول والتوافر في هذه الأسابيع دورًا رئيسيًا ، ولن يكون لدى العديد من الشركات الوقت الكافي لإزالة الثغرات الأمنية في المحيط الخارجي وتحسين عمليات نظم المعلومات ، لذلك سيكون من الضروري في بعض الحالات التركيز على تحديد المخالفين الذين وقعوا بالفعل في البنية التحتية. في مثل هذه الحالات ، قد تنطبق.أنظمة تحليل حركة مرور الشبكة العميقة (NTA) المصممة لاكتشاف الهجمات المستهدفة (في الوقت الحقيقي وفي النسخ المحفوظة لحركة المرور) وتقليل وقت التواجد السري للمهاجمين.

خمس نقاط ضعف خطيرة للعمل عن بعد

تثبيت التحديثات على جهاز الكمبيوتر للموظفين

More articles: