Get best of the week

الهجوم على udalenka


في الأيام الأخيرة ، كانت وسائل الإعلام الإخبارية الروسية مليئة بالتقارير التي أشار الخبراء إلى زيادة الهجمات الإلكترونية على خلفية انتقال الناس إلى udalenka. كما يقولون ، لمن الحرب ، ولمن تكون الأم. كما أن العديد من الشركات المتخصصة في أمن المعلومات تتفق على أن طبيعة الهجمات في عام 2020 قد تغيرت. دعونا نرى كيف ازداد عدد هجمات القراصنة منذ اللحظة التي بدأ فيها الناس العمل من المنزل بشكل كبير ، وما هي أنواع الهجمات على الخوادم الافتراضية وأجهزة الكمبيوتر الشخصية التي جاءت إلى القمة وكيف تحمي نفسك منها.

إحصائيات هجوم القراصنة


على مدى الأسبوعين الماضيين ، ارتفع عدد هجمات القراصنة من عدة مئات إلى 5 آلاف يوميًا. يحذر المتخصصون من أن مواقع الويب التي تحتوي على الكلمات corona أو covid المذكورة في المجال ، بالإضافة إلى الملفات التي تشير أسماءها إلى فيروسات التاجية ، تشكل خطرًا محتملاً. لكن ليس هم فقط.

في نوفمبر 2019 ، تنبأت Kaspersky Lab بأن ما يسمى التهديدات المعقدة والهجمات المستهدفة (التهديدات المستمرة المتقدمة ، ART) ستكتسب زخمًا في العام المقبل: كان هذا تسرب البيانات البيومترية ، واستخدام الذكاء الاصطناعي لملف تعريف الضحية وإنشاء مزيف معلومات (عميق) ، والابتزاز المستهدف. أما بالنسبة للأخيرة ، فقد كانت هناك اقتراحات بأن المهاجمين قد ينحرفون عن طرق توزيع برامج الفدية العالمية والتركيز على الاختيار المستهدف للضحايا الذين كانوا على استعداد لدفع الكثير لاستعادة بياناتهم.

ومع ذلك ، فإن الوباء يحدد قواعده الخاصة ، وفي تقرير كاسبيرسكي نفسه ، نرى أنه على سبيل المثال ، في شهر أبريل هذا ، فإن أعلى التهديدات يرأسها هجوم اقتحام باستخدام برنامج فدية عالمي يهدف إلى أجهزة الكمبيوتر التي تعمل بنظام Windows. يتم تنفيذه في محاولة لاستغلال ثغرات SMB (Server Message Block) ، وهو بروتوكول شبكة على مستوى التطبيق يعمل من خلال منافذ TCP 139 و 445 ، والتي تستخدم لتوفير الوصول المشترك إلى الملفات والطابعات ، وكذلك للوصول إلى الخدمات عن بعد.

قد يؤدي الاستغلال الناجح لنقاط الضعف هذه إلى تنفيذ التعليمات البرمجية عن بُعد على أجهزة الكمبيوتر التي تمت مهاجمتها ، مما يسمح للمهاجمين بتنزيل برنامج الفدية وتوزيعه على العقد الضعيفة الأخرى على الشبكة.


أهم التهديدات من Kaspersky Lab في أبريل 2020

في المرتبة الثانية ، هجوم Bruteforce ، والذي يتكون من اختيار كلمة مرور أو مفتاح تشفير لبروتوكول RDP عن بعد لسطح المكتب ، وهو بروتوكول مملوك لشركة Microsoft يوفر للمستخدم واجهة رسومية للاتصال بجهاز كمبيوتر آخر عبر الشبكة. يتم استخدام بروتوكول RDP على نطاق واسع من قبل مسؤولي النظام والمستخدمين العاديين للتحكم في الخوادم وأجهزة الكمبيوتر الأخرى عن بُعد.

وأدناه على الرسم البياني إجمالي عدد استجابات الشركة لمكافحة الفيروسات للتهديدات من القائمة في أبريل. هناك زيادة واضحة مقارنة بنهاية شهر مارس وبداية شهر أبريل. يمكن الاطلاع على جميع الإحصاءات هنا .



بالمناسبة ، اكتشف المختبر في اليوم الآخر نسخة معدلة من Android Trojan Ginp ، والتي تطلب رسومًا لإظهار الأشخاص المصابين بالقرب من فيروس سارس- CoV-2.

سجلت منظمة الصحة العالمية زيادة حادة في الهجمات الإلكترونية بمقدار خمسة أضعاف. وشنت الهجمات على موظفي الشركة والسكان على حد سواء.

مقارنة بالربع الأول من العام الماضي ، تضاعفت شدة هجمات DDoS في نفس الفترة من هذا العام. في أكبر هجوم DDoS لعام 2020 على قنوات الضحية ، تدفقت حركة القمامة بكثافة 406 جيجابت / ثانية ، بينما بلغ ذروة الهجوم في الربع الأول من 2019 224 جيجابت / ثانية. ولوحظ ما مجموعه 51 هجمة بكثافة تتجاوز 50 جيجابت / ثانية ، وكان متوسط ​​الشدة 5 جيجابت / ثانية مقابل 4.3 جيجابت / ثانية العام الماضي ( Cnews).مشيرا إلى بيانات الشركة Link11).

ارتفع عدد الهجمات متعددة النواقل من 47٪ إلى 64٪. ومع ذلك ، فإن 66 ٪ من جميع الهجمات متعددة النواقل تتكون من ناقلين أو ثلاثة تستخدم في وقت واحد. كانت هناك 19 حالة عندما استخدم المهاجمون 10 ناقلات أو أكثر! في عام 2019 ، لم تكن هناك مثل هذه الهجمات. الطرق الأكثر استخدامًا هي انعكاس DNS و CLDAP و NTP و WS-Discovery (المرجع نفسه).

ازداد عدد الهجمات التي تتم من خلال شبكات الروبوت القائمة على السحابة: في الربع الأول من عام 2020 ، جاءت حوالي 47 ٪ من هجمات DDoS من هذه الشبكات النقطية مقارنة بـ 31 ٪ من العام السابق (المرجع نفسه).

في الأيام الأخيرة ، شهد Sberbank زيادة في هجمات DDoS على أنظمته. منذ بداية العام ، كان هناك 26 منها بالفعل ، ومع ذلك ، يدعي البنك أنه يعمل بشكل طبيعي.

بعد انتقال الأطفال إلى التعلم عن بعد ، زاد عدد الهجمات السيبرانية على المؤسسات التعليمية أربع مرات في أبريل. في معظم الأحيان ، يتم تنفيذ الهجمات على أنظمة المعلومات في المدارس والجامعات من أجل سرقة البيانات الشخصية ومعلومات الاتصال للطلاب بهدف زيادة استخدامها في الهندسة الاجتماعية. إن المخادعين الذين يستغلون نقاط الضعف في منصات التعلم عبر الإنترنت هم أيضًا "شائعون" ، وغزوا الدردشات والمؤتمرات والتدخل في عملية التعلم (وفقًا لشركة Infosecurity a Softline Company).

على موقع darknet ، زاد عدد العروض لبيع الوصول إلى خوادم الشركات العالمية الكبرى بمقدار 30 مرة: إذا تم تقديمها ثلاث سنوات فقط قبل عام ، ثم في الربع الأول من عام 2020 - 88! في ثلث الحالات ، هذه الشركات بمتوسط ​​دخل سنوي من 23 مليار دولار إلى 45 مليار دولار ، والبنية التحتية للمنظمات لديها ما يصل إلى 6000 جهاز كمبيوتر. على المنصات غير القانونية ، يبيعون فقط " نقاط دخول " معينة للبنية التحتية الداخلية للشركات. في أغلب الأحيان ، تكون هذه بيانات اعتماد مخترقة لمستخدم أو مسؤول محلي (RIA Novosti مع الإشارة إلى البيانات من مركز أبحاث التقنيات الإيجابية.

أكثر أنواع الهجمات شيوعًا على VPS والكمبيوتر الشخصي لمدة 4 أشهر من عام 2020


هجمات البريد العشوائي والتصيد. في الرسائل ، يستغل المهاجمون موضوع الوباء ، حيث يحصلون على المساعدة اللازمة من المستخدمين (على سبيل المثال ، فتح مرفق) الذين يبدأون في تنفيذ التعليمات البرمجية الخبيثة. ونتيجة لذلك ، يتمكن المتسللون من الوصول إلى أجهزة سطح المكتب البعيدة ، والوصول إلى الأجهزة المخترقة ، والقدرة على مراقبة تصرفات المرسل إليه ، وإمكانية أي قرصنة لتشفير خوادم الشركة والفرص الأخرى التي توفرها الهندسة الاجتماعية للمهاجمين.

يمكن أن يكون:

  • "توصيات للحماية ضد الفيروس التاجي." 
  • يُزعم أن منظمة الصحة العالمية تناشد تحميل وثيقة معلومات مهمة أو إرسال تبرعات أو المساهمة في تطوير اللقاح (حتى أن منظمة الصحة العالمية أصدرت تحذيراً بهذا الشأن).
  • . / -.
  • « » , , , , , . — «».
  • « » - .


تنبيهات التصيد الاحتيالي من Allegedly Pharmacy.ru

الهجمات على أجهزة الكمبيوتر المكتبية البعيدة. تم الكشف عن خطأ أمان يسمح للمهاجم بالتحكم الكامل في جهاز كمبيوتر يعمل بنظام Windows من خلال سطح المكتب البعيد - BlueKeep (CVE-2019-0708). على مدى الأسابيع الثلاثة الماضية ، زاد عدد عقد الشبكة التي يمكن الوصول إليها عبر بروتوكول RDP بنسبة 9٪ ووصل إلى أكثر من 112 ألف. الآن أكثر من 10 ٪ من هذه الموارد معرضة لـ BlueKeep (المرجع نفسه).

هجمات DDoS على VPN.مع الزيادة في الموظفين العاملين عن بعد ، ازداد استخدام شبكات VPN ، التي تنطوي على الوصول من العديد من النقاط المختلفة ، بشكل حاد. وهذا يسمح لمنظمي هجوم DDoS بزيادة التحميل على الشبكات والتسبب في اضطرابات خطيرة لجميع العمليات. من المهم تطبيق تقنيات استباقية للحماية من هجمات DDoS ، والتي تهدف إلى منع إصابة نظام المستخدم ، والقضاء على الصراعات والتهديدات المحتملة قبل حدوثها ، وعدم البحث عن البرامج الضارة المعروفة بالفعل.

الهجمات على تطبيقات الشبكة وواجهات برمجة التطبيقات. التطبيقات والخدمات عرضة لهجمات مثل الطبقة 7 التي تستهدف منطق تطبيق الويب. الغرض الرئيسي منها هو استنفاد موارد خادم الويب عند معالجة الطلبات "الثقيلة" أو وظائف المعالجة المكثفة أو الذاكرة.


CERT-GIB

:


تلخيصا لتوصيات الخبراء من الجزء الأول من المقالة ، يمكننا تمييز النصائح العامة التالية لضمان أمن المعلومات في الحجر الصحي. سيبدو بعضها واضحًا للكثيرين لفترة طويلة ، لكن تذكرها لن يضر.

تحقق مما إذا كانت الشركة التي وصلت الرسالة نيابة عنها. هل لدى الشركة شبكات اجتماعية ، أي ذكر لها على الإنترنت. يمكن للمحتالين استخدام معلومات مفتوحة عن الشركة من مصادر رسمية ، لذلك إذا كانت لا تزال لديك شكوك ، فاطلب من الشركة تأكيد إرسال هذه الرسالة.

تحقق مما إذا كانت البيانات في حقل المرسل وفي تطابق التوقيع التلقائي. من الغريب أن المخادعين هنا غالبًا ما يرتكبون خطأ.

انظر إلى امتداد الملفات المرفقة.لا تفتح الملف القابل للتنفيذ.

قم بتثبيت حل أمان موثوق لخادم البريد الخاص بك. يجب تحديثه بانتظام واستخدام قواعد البيانات الحالية.

استخدم أجهزة الكمبيوتر المحمولة للشركات للموظفين عن بُعد. قم بتثبيت برنامج مكافحة الفيروسات للشركات الضروري لعمل البرنامج ، وتوفير المصادقة ذات العاملين ، وتشفير القرص ، والمستوى المناسب من تسجيل الأحداث ، بالإضافة إلى التحديث التلقائي في الوقت المناسب لجميع الأنظمة.

قم بتثبيت أحدث برامج الحماية من الفيروسات على VPS. على سبيل المثال ، نحن نقدم لعملائنا عامل مضاد للفيروسات سهلكاسبيرسكي للبيئات الافتراضية ، التي توفر: حماية شبكة متعددة المستويات ضد هجمات الشبكة الخارجية والداخلية ، والتحكم في التطبيق والجهاز ، والحماية التلقائية من عمليات الاستغلال ، لديها التحكم الذاتي المدمج. 

تكوين الوصول عن بعد من خلال بوابة خاصة. بالنسبة لاتصالات RDP ، هذه هي بوابة سطح المكتب البعيد (RDG) ، لـ VPN - VPN Gateway. لا تستخدم اتصال بعيد بمحطة العمل مباشرة.

استخدام وصول VPN المصادقة ذات العاملين

النسخ الاحتياطي للبيانات الرئيسية.

تثبيت حماية DDOS على VPS. يقدم مزودو الخدمات السحابية شروطًا مختلفة. هنا ، مرة أخرى ، تسمح لنا الحماية بتحمل 1500 جيجابت / ثانية بشكل مستقر. يتم تحليل حركة المرور على مدار الساعة طوال أيام الأسبوع. في هذه الحالة ، يتم الدفع فقط لحركة المرور الضرورية.

تحقق من حقوق الوصول للموظفين وأداء تجزئة الشبكة وفصل حقوق الوصول.

استخدم PortKnocking - حماية شبكة الخادم استنادًا إلى طريقة تسمح لك بجعل المنفذ "غير مرئي" للعالم الخارجي ومرئيًا لأولئك الذين يعرفون تسلسلًا محددًا مسبقًا لحزم البيانات التي ستفتح المنفذ (على سبيل المثال ، SSH).

ضع قيودًا على تنزيل تطبيقات الجهات الخارجية ، وخاصة الأنظمة الأساسية عبر الإنترنت ورسائل التعاون ، لمنع التسرب المحتمل للمعلومات السرية.

تحقق من جميع الخدمات والمعدات المستخدمة للوصول عن بعد بحثًا عن البرامج الثابتة وتصحيحات الأمان المحدثة.
 
توفير التدريب على أساسيات الأمن الرقميقبل مغادرة الموظفين لوضع التشغيل عن بعد. بالطبع ، لن يساعد

تأمين مخاطر تكنولوجيا المعلومات في استعادة البيانات ، ولكنه سيساعد على تغطية الضرر الناتج عن اختراق أجهزة الكمبيوتر. صحيح ، الآن في روسيا هذا نوع جديد من المنتجات لشركات التأمين ، لذلك هناك وحدات حرفيا. تقدم RUVDS لعملائها خيارين للتأمين: بوليصة عامة لجميع أو شروط خاصة للتأمين الفردي ، والتي يتم مناقشتها بشكل فردي في كل حالة فريدة. 

بشكل منفصل ، نلاحظ مشاكل مع 1C على جهاز التحكم عن بعد. إن وضع 1C محاصر للموظفين عن بعد أمر مكلف وغير آمن ، وغالبًا ما يكون عديم الفائدة. غير معتاد على طريقة العمل هذه ، سينسى المحاسبون مزامنة البيانات ؛ تتطلب الأخطاء في العمل مع النظام مشاركة عن بعد لمسؤول النظام في الشركة أو ممثل مورد البرنامج (مقابل رسوم) ، فهناك خطر من استنزاف قاعدة البيانات إلى المنافسين. خروج: تأجير خوادم VPS عن بعد من 1C .

كيفية مراقبة خدماتك بحثًا عن نقاط الضعف النموذجية


تهدف جميع سيناريوهات المراقبة إلى تجميع البيانات اللازمة للتحقيق الفوري والفعال في الحادث. ما هو المهم القيام به أولا؟

مراقبة وصول تخزين الملفات ، استخدم SIEM . من الناحية المثالية ، يعد هذا إعداد تدقيق لقوائم الملفات التي لا يُسمح للموظفين على الموقع البعيد بالوصول إليها. الحد الأدنى هو إعداد تسجيل وصول التخزين وعمليات الملف.


رسم توضيحي من موقع styletele.com.

تسجيل العناوين الخارجية للمستخدمين المتصلين للعمل عن بعد. استخدم المراجع الجغرافية للمستخدمين لهذا الأمر بمساعدة الخدمات المناسبة (بعد التأكد من سلامتهم).

تحديد محطات عمل المجال وغير المجالمع اتصال بعيد.

مراقبة اتصالات المسؤولين وإجراء تغييرات التكوين لخدمات البنية التحتية الحيوية. كشف عمليات تسجيل الدخول المكررة عن طريق محاولات الاتصال الفاشلة عن بعد وتتبعها.

وبشكل عام: قم بتنفيذ مثل هذه الإجراءات مقدمًا والتي ستساعد على زيادة دقة تحديد الاتصالات غير المشروعة في كتلة الطلبات التي يتم إنشاؤها على الشبكة أثناء إجمالي الوصول عن بعد.

نأمل أن تكون المادة مفيدة لك. كما هو الحال دائمًا ، سنكون سعداء بالتعليقات البناءة على المقالة. ابق في المنزل وحافظ على نفسك وعملك في أمان!

More articles:


All Articles