Get best of the week

خمسة مخاطر أمنية عند العمل عن بعد



اضطر محترفو الأمن السيبراني في الشركات فجأة للتكيف مع حقيقة أن 100٪ تقريبًا من المستخدمين يعملون عن بُعد. اليوم ، في مواجهة عدم اليقين ، تحاول الشركات الحفاظ على العمليات التجارية ، ويتلاشى الأمن في الخلفية. قد لا يكون المحترفون الذين خدموا سابقًا أجهزة الكمبيوتر المحلية جاهزين للتعامل مع تهديدات الوصول عن بعد الجديدة.

يساعد فريق الاستجابة للحوادث لدينا عملائنا على حل المشكلات الأمنية يوميًا. ولكن خلال الشهرين الماضيين ، تغيرت طبيعة الهجمات عند توصيل VPN واستخدام التطبيقات والبيانات السحابية. لقد قمنا بتجميع قائمة من خمسة تهديدات للعمل عن بعد لإخبارنا بما يواجهه خبراؤنا خلال جائحة COVID-19.

1. هجمات VPN القوة الغاشمة


نظرًا لأن العديد من الأشخاص يعملون الآن من المنزل ، فإن المهاجمين لديهم المزيد من الفرص لهجمات القوة الغاشمة عبر VPN. أفادت ZDNet أن عدد اتصالات VPN قد نما مؤخرًا بنسبة 33٪. وهذا يعني أنه منذ بداية عام 2020 ، أصبح لدى المهاجمين أكثر من مليون هدف جديد.

في حوالي 45 ٪ من الحالات ، يتعين على فريق الاستجابة لـ Varonis التحقيق في هجمات القوة الغاشمة. تهدف معظم هذه الهجمات إلى الوصول إلى VPN أو Active Directory. حدث أن أوقفت المؤسسات الأقفال المدمجة والقيود الأخرى على الاتصال بشبكة VPN حتى لا تتوقف عن العمل أو تقلل تكاليف تكنولوجيا المعلومات. وهذا يجعل النظام عرضة لمثل هذه الهجمات.

يقوم المهاجمون بهجوم القوة الوحشية. يختارون بوابة VPN ويحاولون بشكل متكرر المصادقة باستخدام قوائم بيانات الاعتماد المجمعة مسبقًا. هذا الهجوم يسمى حشو الاعتماد. إذا تم تحديد تسجيل دخول أو كلمة مرور واحدة على الأقل بشكل صحيح ، فيمكن للمهاجم اختراق النظام.

علاوة على ذلك ، إذا كان النظام يستخدم تسجيل الدخول الأحادي (SSO) ، فيمكن للمهاجم أيضًا الحصول على تسجيل الدخول الصحيح للنطاق. يخترق مهاجم الشبكة بسرعة كبيرة. يمكنه بدء الاستطلاع عن طريق تسجيل الدخول إلى المجال ومحاولة زيادة الامتيازات.

كيف يمكن لـ Varonis المساعدة


تحتوي حلول Varonis على أكثر من مائة نموذج تهديد مدمج للكشف عن المصادقة المشبوهة (بيانات الاعتماد ، انتحال كلمة المرور ، القوة الغاشمة) في VPN أو Active Directory. ستلاحظ أن نماذج التهديد الخاصة بنا تأخذ في الاعتبار عدة مصادر: يتم استكمال بيانات نشاط VPN بمعلومات من Active Directory ، وخوادم الويب الوكيلة ، ومستودعات البيانات مثل SharePoint أو OneDrive.



يمكنك أيضًا عرض نشاط VPN السياقي (السجلات التي تمت معالجتها) بسرعة في مكتبة عمليات البحث المحفوظة ، والتي يمكنك استخدامها لإنشاء تقارير أو البحث عن التهديدات:



يمكن أن تكون عدة مئات من محاولات تسجيل الدخول الفاشلة من نفس عنوان IP أو الجهاز بمثابة دليل على هجوم القوة الغاشمة. ولكن ، حتى لو تصرف المهاجمون بهدوء وببطء ، يمكن لـ Varonis اكتشاف انحرافات بسيطة من خلال تحليل القياس عن بُعد المحيط ونشاط Active Directory والوصول إلى البيانات ، ثم مقارنة هذه المعلومات بالنموذج الأساسي لسلوك المستخدم أو الجهاز.



2. الإدارة والتحكم من خلال التصيد


التصيد هو تهديد آخر معروف يتكيف مع ظروف الوباء. يستغل المهاجمون مخاوف الناس أثناء تفشي جائحة ما ، ويخدعون المستخدمين للنقر على الروابط الضارة وتنزيل البرامج الضارة. التصيد هو شر حقيقي.
طور المجرمون خرائط لمراكز توزيع COVID-19 وأنشأوا مواقع إلكترونية تبيع المستلزمات الطبية أو تقدم وسائل خارقة ، وبعد ذلك تقوم بتثبيت برامج ضارة على جهاز الكمبيوتر الخاص بك. بعض المخادعين يتصرفون بوقاحة ، على سبيل المثال ، يطلبون 500 دولار لقناع N-95. وتهدف الهجمات الأخرى إلى الوصول إلى جهاز الكمبيوتر الخاص بك وجميع البيانات الموجودة عليه. بمجرد النقر فوق الارتباط الضار ، سيتم تنزيل برنامج على جهاز الكمبيوتر الخاص بك بمساعدة يقوم المهاجم بإنشاء اتصال بخادم الأوامر. سيبدأ بعد ذلك الاستطلاع ويرفع الامتيازات للعثور على بياناتك الحساسة وسرقتها.

كيف يمكن لـ Varonis المساعدة


يكتشف Varonis أنشطة الشبكة التي تشبه التقاط الإدارة والتحكم (وليس الاتصال فقط بعناوين IP الخبيثة أو المجالات المعروفة). يقوم الحل بإجراء فحص عميق لحركة مرور DNS واكتشاف البرامج الضارة التي تحجب نقل البيانات في حركة مرور HTTP أو DNS.

بالإضافة إلى اكتشاف البرامج الضارة واتصالاتها بخادم الأوامر ، غالبًا ما تكتشف نماذج التهديد Varonis مستخدمًا مخترقًا عن طريق تسجيل محاولات غير عادية للوصول إلى الملفات أو البريد الإلكتروني. يراقب Varonis نشاط الملف والقياس عن بعد المحيط ويخلق ملفات تعريف سلوك المستخدم الأساسية. ثم يقارن الحل النشاط الحالي بهذه الملفات الشخصية الأساسية وكتالوج متزايد باستمرار لنماذج التهديد.



3. التطبيقات الضارة في Azure


ناقل الهجوم هذا جديد نسبيًا ؛ في الشهر الماضي تمت مناقشته لأول مرة على مدونتنا . نوصي بقراءة النسخة الكاملة من المقالة ، حيث نقدم هنا وصفًا موجزًا ​​لها.
قالت مايكروسوفت أنه خلال الشهر الماضي ، زاد عدد المستأجرين من أزور بنسبة 775 ٪. هذا يعني أن البعض منكم الآن يخلقون بيئات Azure لموظفيك البعيدين ، وأن الكثير منهم يبذلون كل جهودهم للحفاظ على العمل طافيا وتقديم ميزات جديدة بسرعة. ربما هذا ينطبق عليك.

تحتاج إلى معرفة التطبيقات التي يسمح المستخدمون بالوصول إلى البيانات ، والتخطيط لفحوصات منتظمة للتطبيقات المعتمدة حتى تتمكن من حظر كل شيء ينطوي على مخاطر.

أدرك المجرمون أنه يمكنهم استخدام تطبيقات ضارة لـ Azure في حملات التصيد ، وعندما يقوم المستخدم بتثبيت التطبيق ، سيتمكن المهاجمون من الوصول إلى الشبكة.



كيف يمكن لـ Varonis المساعدة


يمكن لـ Varonis تتبع طلبات التثبيت لتطبيق Azure واكتشاف علامات هذا الهجوم من البداية. يجمع Varonis جميع الأحداث في Office 365 ويحللها وملفات تعريفه لكل مكون ، وبالتالي ، بمجرد أن يبدأ تطبيق ضار في انتحال هوية مستخدم (إرسال رسائل بريد إلكتروني وتحميل ملفات) ، تعمل نماذج التهديدات السلوكية لدينا.

4. تجاوز المصادقة متعددة العوامل


تهديد آخر للموظفين البعيدين هو هجوم رجل في الوسط. ربما لم يكن موظفوك قد عملوا عن بعد من قبل وهم ليسوا على دراية كبيرة بـ Office 365 ، لذلك قد يتم تضليلهم من خلال نوافذ تسجيل الدخول المزيفة في Office 365 . يستخدم المهاجمون نوافذ تسجيل الدخول هذه لسرقة بيانات الاعتماد والرموز المميزة للمصادقة ، وهي كافية لمحاكاة مستخدم وتسجيل دخول. بالإضافة إلى ذلك ، يمكن للموظفين البعيدين استخدام جهاز توجيه Wi-Fi غير الآمن الذي يمكن اختراقه بسهولة.

باختصار ، يعترض أحد المهاجمين رمز مصادقة يرسله الخادم إليك ، ثم يستخدمه لإدخال النظام من جهاز الكمبيوتر الخاص به. بعد حصوله على حق الوصول ، يتحكم المهاجم في جهاز الكمبيوتر الخاص بك. يحاول إصابة أجهزة الكمبيوتر الخاصة بالمستخدمين الآخرين أو يبحث على الفور عن البيانات الحساسة.

كيف يمكن لـ Varonis المساعدة


يمكن لـ Varonis اكتشاف عمليات تسجيل الدخول المتزامنة من أماكن مختلفة ، بالإضافة إلى محاولات تسجيل الدخول التي لا تتطابق مع سلوك المستخدم السابق وتعمل كدليل على الاحتيال. يراقب Varonis بياناتك بحثًا عن محاولات وصول غير طبيعية يمكن أن يقوم بها مجرمو الإنترنت من خلال التواجد داخل شبكتك.



5. التهديدات الداخلية


لقد حان الوقت لعدم اليقين بالنسبة للجميع. يبذل الناس قصارى جهدهم للتغلب على الأزمة ، والخوف وعدم اليقين يجعلهم يتصرفون بشكل غير عادي.

يقوم المستخدمون بتنزيل ملفات العمل على جهاز كمبيوتر غير محمي. هذا بسبب الخوف من فقدان الوظيفة أو عدم القدرة على القيام بذلك بشكل فعال. كلا الخيارين لديهم مكان ليكونوا فيه. وهذا يعقد عمل تكنولوجيا المعلومات وخدمات أمن المعلومات التي تحتاجها لضمان أمن البيانات.

قد يكون من الصعب اكتشاف التهديدات الداخلية ، خاصة عندما يستخدم الموظف جهازًا شخصيًا للوصول إلى البيانات الحساسة . ليس لديها عناصر تحكم في أمان الشركة ، مثل DLP ، يمكنها اكتشاف المستخدم الذي يرسل هذه البيانات.

كيف يمكن لـ Varonis المساعدة


نكتشف التهديدات الداخلية من خلال تحديد مكان وجود البيانات السرية للشركة ، ثم نفحص كيف يتعامل المستخدمون عادةً مع هذه البيانات. يراقب Varonis لفترة طويلة إجراءات المستخدمين بالبيانات والملفات ، ثم يكملها ببيانات VPN و DNS و proxy. لذلك ، يخطرك Varonis عندما يقوم مستخدم بتنزيل كمية كبيرة من البيانات عبر الشبكة أو يحصل على حق الوصول إلى البيانات الحساسة التي لم يتمكن من الوصول إليها من قبل ، ويمكنه تقديم قائمة كاملة بالملفات التي قام المستخدم بالوصول إليها.



في معظم الأحيان ، ليس لدى الموظفين نية خبيثة. ومع ذلك ، من المهم أن تفهم الشركة كيفية تخزين البيانات الحساسة ، حيث أن التهديدات الداخلية تحدث بشكل متكرر. إن القدرة على الاستجابة المباشرة لسلوك الموظف ليست مجرد طريقة لتقليل المخاطر ، ولكن أيضًا مناقشة المشكلات مع الفريق.

افكار اخيرة


يمكن أن يساعدك Varonis في التحقيق في أي شيء يبدو مريبًا وتقديم توصيات حول كيفية التعافي من هجوم. إذا لزم الأمر ، نقدم تراخيص تجريبية مجانية.
كما تفهم ، نحن لا نعتمد على نوع واحد من الحماية. نحن ندعم عدة مستويات من الحماية تغطي جميع الأنظمة ، مثل الويب. سيساعد فريق الاستجابة للحوادث لدينا على دمج Varonis في استراتيجية الأمن السيبراني الحالية وتقديم توصيات بشأن أنظمة الأمان الأخرى التي قد ترغب في الاستثمار فيها.

More articles:


All Articles