خرق نقل MOVEit تم الإبلاغ عنه لأول مرة في 31 مايو، ولا تزال تداعيات الحادث مستمرة. تعد National Student Clearinghouse، وهي منظمة تعليمية غير ربحية، من بين الضحايا الجدد الذين أصدروا إشعارًا بخرق البيانات المتعلق بثغرة MOVEit.
“أشك بقوة في أننا لم ننته بعد من رؤية تداعيات هذا الأمر”، قالت إميلي أوستن، باحثة أمنية أولى في منصة استخبارات التهديدات سينسيس“، يقول InformationWeek.
ما هو نطاق اختراق National Student Clearinghouse، وهل يمكن أن تحدث حوادث مثل اختراق MOVEit الأولي مرة أخرى؟
خرق غرفة تبادل المعلومات الطلابية الوطنية
أبلغت شركة Progress Software، الشركة التي تقف وراء أداة نقل الملفات المُدارة (MFT) MOVEit، National Student Clearninghouse بحادث الأمن السيبراني الذي تعرضت له في 31 مايو، وفقًا لبياناتها. إشعار خطاب خرق البيانات. بدأت المنظمة غير الربحية تحقيقًا وقررت في 20 يونيو أن طرفًا غير مصرح به حصل على بيانات من بيئة MOVEit الخاصة بها. تسرد الرسالة المعلومات المتأثرة بالانتهاك، بما في ذلك الأسماء وتواريخ الميلاد ومعلومات الاتصال وأرقام الضمان الاجتماعي وأرقام هوية الطالب والسجلات المتعلقة بالمدرسة.
توفر National Student Clearninghouse خدمات التحقق من الشهادات والبحث وتبادل البيانات وإعداد التقارير التعليمية. التي تخدمها 3600 كلية وجامعة; يتم تسجيل 97% من الطلاب في المؤسسات العامة والخاصة من قبل المشاركين فيها، وفقًا لموقع المنظمة غير الربحية. ما يقرب من 900 مؤسسة تعليمية تأثروا بهذا الانتهاك.
غرفة تبادل المعلومات الطلابية الوطنية لديها تطبيق ثلاثة تصحيحات أمنية تم إصداره بواسطة Progress Software، وهو يقدم خدمات مراقبة تحديد الهوية مجانًا لمدة عامين.
تأثير تموج
لقد كان Censys عن كثب بعد خرق MOVEit منذ الإعلان عنه لأول مرة. لاحظت Censys انخفاض عدد مثيلات نقل MOVEit المكشوفة. وفي 2 يونيو، حددت 3000 مضيفًا معرضين للإنترنت ويقومون بتشغيل MOVEit. وبحلول 7 يونيو/حزيران، انخفض هذا العدد إلى 2600.
يخبر أوستن InformationWeek أن الاختراق ينتقل إلى مرحلة جديدة. “على مدى الشهر الماضي أو نحو ذلك، بدأنا نرى هذا التحول… في MOVEit من… واحد إلى واحد، مثل شركة إلى مثيل. وتوضح قائلة: “نحن الآن ننظر إلى الأمر على أنه مجرد مشكلة تتعلق بسلسلة التوريد”.
ومع انتشار الاختراق إلى الخارج، تتأثر المؤسسات التي لم تستخدم MOVEit لأنها تعمل مع البائعين الذين يستخدمون أداة MFT. في أغسطس، أعلنت إدارة سياسة وتمويل الرعاية الصحية في كولورادو (HCPF) أن البيانات الصحية الشخصية لـ 4 ملايين شخص سرق. يستخدم بائع الطرف الثالث IBM MOVEit لنقل ملفات بيانات HCPF، وفقًا لـ إشعار حادث أمن البيانات.
“بينما أكد HCPF أنه لم تتأثر أي أنظمة أو قواعد بيانات HCPF، في 13 يونيو 2023، حدد التحقيق أن بعض ملفات HCPF على تطبيق MOVEit الذي تستخدمه IBM تم الوصول إليها من قبل ممثل غير مصرح به في 28 مايو 2023 أو حوالي ذلك التاريخ،” وفقًا لـ الإشعار.
تتدفق المعلومات بشكل متزايد عبر نظام بيئي معقد، وقد يكون لثغرة أمنية واحدة فقط عواقب بعيدة المدى، مثل خرق MOVEit.
يقول جريجوري هوفر، الرئيس التنفيذي لشركة حلول MFT: “توجد سلسلة توريد المعلومات هذه وستستغرق البيانات الكثير من القفزات على طول سلسلة توريد المعلومات هذه وأي نقطة في سلسلة التوريد هذه قد تكون بها ثغرة أمنية أو نقاط متعددة”. برامج كوفيانت.
بائعو MFT ودوافع الجهات الفاعلة المهددة
إن MOVEit ليست أداة MFT الوحيدة التي تستهدفها جهات التهديد. وترتبط عصابة Clop Ransomware باختراق MOVEit، ونفس المجموعة استغلال ثغرة يوم الصفر في حل MFT GoAnywhere في بداية هذا العام. في عامي 2020 و2021، كلوب “…استخدم العديد من عمليات استغلال يوم الصفر لتثبيت غلاف ويب يسمى DEWMODE على خوادم Accellion FTA المواجهة للإنترنت، وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية (CISA).
توفر أدوات MFT للمؤسسات طريقة آمنة لنقل المعلومات الحساسة، وبالتالي القيمة. ولكن يجب على المؤسسات أن تعرض شبكاتها لكيانات خارجية لتنفيذ هذا النقل.
“نعلم جميعًا أن جدران الحماية تحافظ على سلامتنا وأماننا في القلعة مع الخندق المحيط بها، ولكن MFT يشبه تقريبًا الجسر المتحرك الذي يتعين عليك خفضه للسماح للأشخاص بالدخول والخروج. يقول هوفر: “نحن بحاجة إلى إيلاء المزيد من الاهتمام لهذا الجسر المتحرك والتأكد من أنه آمن قدر الإمكان”.
ويتوقع أن تبحث الجهات الفاعلة في مجال التهديد عن بائعي MFT الآخرين بحثًا عن المزيد من نقاط الضعف لاستغلالها.
بالإضافة إلى ذلك، يتوقع أوستن أن الجهات الفاعلة في مجال التهديد قد تستهدف بشكل متزايد برامج المكاتب الخلفية للمؤسسات. في أبريل، تم ربط برنامجي الفدية Clop وLockBit الهجمات على برنامج إدارة الطباعة PaperCut، بحسب موقع Bleeping Computer.
“لم يكن هذا نوعًا من التحطيم والاستيلاء والابتزاز. لم يسرقوا البيانات بالضرورة، ولكن بدلاً من ذلك استخدموا برنامج Paper Cut، وهو برنامج خادم الطباعة المكشوف على الإنترنت… للوصول فعليًا إلى المؤسسات. وقد تمكنوا من ذلك يقول أوستن: “لتثبيت برنامج الإدارة عن بعد على هؤلاء المضيفين لمنحهم الباب الخلفي نوعًا ما”.
من المحتمل أن تعتقد الجهات الفاعلة في مجال التهديد ذات الدوافع المالية أن الأنواع الأخرى من أدوات إدارة المشاريع المستندة إلى الويب أو أدوات نقل البيانات التي تسهل العمليات التجارية تمثل مشهدًا جاهزًا للاستغلال المحتمل.
الأمن السيبراني والموارد المحدودة
راج أنانثانبيلاي، المؤسس والرئيس التنفيذي لشركة الهوية والفحص تروا، يرى أنه يجب أن يكون هناك نقلة نوعية في الطريقة التي تقوم بها المنظمات بجمع البيانات وتخزينها. “لماذا أقوم بجمع هذه المعلومات وتخزينها في البداية؟ ما الذي أحاول تحقيقه، وهل يمكنني تحقيق نفس الشيء باستخدام طريقة مختلفة؟ سأل.
ولكن في الوقت الحالي، أصبحت البيانات الشخصية غزيرة الإنتاج، والمؤسسات مكلفة بحمايتها، حتى لو كانت لديها موارد محدودة للقيام بذلك. ما الذي يمكن أن تفعله المنظمات غير الربحية وغيرها من المنظمات التي ليس لديها ميزانيات كبيرة للأمن السيبراني؟
يمكن للمؤسسات اتخاذ خطوات لتقليل مخاطر الطرف الثالث عن طريق فحص الموردين الذين تختارهم. “لا تثق بشكل أعمى بالبائع الذي تتعامل معه فحسب. تأكد أنك [do] يوصي هوفر ببعض الاجتهاد وفهم الوضع الأمني لتلك الشركة.
دارين جوتشيوني، الرئيس التنفيذي والمؤسس المشارك لشركة حارس الأمنتشرح شركة إدارة كلمات المرور والأسرار أهمية إجراء تحليل الفجوات مقابل إطار عمل موثوق به للأمن السيبراني.
“بالنسبة لمنظمة صغيرة، قد لا يكون هذا أمرًا شاقًا كما يبدو. يمكن أن يكون الأمر بسيطًا مثل إدراج عناصر التحكم في إطار العمل كقائمة مرجعية والسؤال، “هل نقوم حاليًا بتنفيذ هذه المهمة؟” وبعد ذلك، يمكنهم وضع علامة عليها بنعم أو لا. “البنود “لا” هي المخاطر الأمنية التي يجب معالجتها”، يوضح في تعليقات عبر البريد الإلكتروني.
وبطبيعة الحال، فإن القضاء على جميع المخاطر أمر مستحيل، مما يعني أن جميع المؤسسات تحتاج أيضًا إلى خطط قوية للاستجابة للحوادث.
