تعمل العصابات السيبرانية سريعة التصرف على نحو متزايد على تعطيل سجلات القياس عن بعد
وسط أ تحطم موثقة جيدا في أوقات السكن – الفترة الفاصلة بين وصول جهة التهديد إلى شبكة الضحية وتنفيذ هجومها السيبراني – المحللون في سوفوس سجلت عددًا متزايدًا من الهجمات التي تقوم فيها عصابات برامج الفدية بتعطيل أو مسح سجلات القياس عن بعد في محاولة لإخفاء مساراتها وعرقلة العمل الحيوي لفرق الأمن.
استنادًا إلى الحلقات التي شارك فيها فريق الاستجابة لحوادث سوفوس (IR) في الفترة من 1 يناير 2022 إلى 30 يونيو 2023، كشفت الشركة اليوم أن سجلات القياس عن بعد كانت مفقودة في أكثر من 42% من الحالات، وفي 82% من تلك الحالات، قام المهاجمون إما بتعطيل السجلات أو مسحها.
ومن الواضح أن هذا يحجب الرؤية التي يتمتع بها المدافعون في شبكات وأنظمة منظماتهم، مما يضعهم في موقف دفاعي أكبر نظرًا للوقت المحدود بشكل متزايد أمامهم لاكتشاف التطفل والرد عليه – مرات السكن يُعتقد أنها انخفضت بنسبة 44٪ على أساس سنوي (سنويًا).
“الوقت أمر بالغ الأهمية عند الاستجابة لتهديد نشط؛ يجب أن يكون الوقت بين اكتشاف حدث الوصول الأولي والتخفيف الكامل من التهديد قصيرًا قدر الإمكان. وقال جون شاير، كبير مسؤولي التكنولوجيا الميداني في سوفوس: “كلما تقدم المهاجم في سلسلة الهجوم، زاد الصداع الذي يواجهه المستجيبون”.
“إن فقدان القياس عن بعد لا يؤدي إلا إلى إضافة الوقت إلى المعالجات التي لا تستطيع معظم المؤسسات تحملها. ولهذا السبب يعد التسجيل الكامل والدقيق أمرًا ضروريًا، ولكننا نرى أنه في كثير من الأحيان، لا تمتلك المؤسسات البيانات التي تحتاجها.
وبشكل عام، فإن البحث – الذي يشكل جزءًا من سلسلة مستمرة من أبحاث سوفوس العدو النشط التقارير – وجدت أنه بغض النظر عن الوقت من الاختراق إلى التنفيذ، أظهرت عصابات برامج الفدية تباينًا طفيفًا بشكل ملحوظ في تكتيكاتها وتقنياتها وإجراءاتها (TTPs)، والتي يتم ممارستها بشكل جيد وناجحة بشكل عام، مما يشير إلى أن المدافعين لا يحتاجون إلى تطوير قدراتهم. الاستراتيجيات الدفاعية بشكل جذري.
ومع ذلك، قال سوفوس، من الواضح أن عصابات برامج الفدية تدرك جيدًا أن قدرات الكشف قد تحسنت أيضًا، مما يعني أنها بحاجة إلى بذل المزيد من الجهد للهروب من الاكتشاف – حيث يعد التلاعب بالقياس عن بعد للضحية بمثابة فوز سهل نسبيًا بالنسبة لهم.
ولذلك، يجب على المدافعين أن يدركوا أنه في الهجمات سريعة الحركة على وجه الخصوص (مع فترات بقاء تصل إلى خمسة أيام أو أقل)، فإن الافتقار إلى القياس عن بعد يمكن أن يعيق استجابتهم بشكل خطير.
“لا يبتكر مجرمو الإنترنت إلا عندما يتعين عليهم ذلك، وفقط إلى الحد الذي يصلون به إلى هدفهم. لن يغير المهاجمون ما يعمل، حتى لو كانوا يتحركون بشكل أسرع من الوصول إلى الاكتشاف. هذه أخبار جيدة للمؤسسات لأنها لا تحتاج إلى تغيير استراتيجيتها الدفاعية بشكل جذري حيث يقوم المهاجمون بتسريع جداولهم الزمنية. سيتم تطبيق نفس الدفاعات التي تكتشف الهجمات السريعة على جميع الهجمات، بغض النظر عن السرعة. وقال شير: “يتضمن ذلك القياس الكامل عن بعد، والحماية القوية في كل شيء، والمراقبة في كل مكان”.
“المفتاح هو زيادة الاحتكاك كلما أمكن ذلك – إذا جعلت مهمة المهاجمين أكثر صعوبة، فيمكنك إضافة وقت ثمين للرد، مما يؤدي إلى تمديد كل مرحلة من مراحل الهجوم.
“على سبيل المثال، في حالة هجوم برامج الفدية، إذا كان لديك المزيد من الاحتكاك، فيمكنك تأخير الوقت حتى التسلل؛ غالبًا ما يحدث التسلل قبل الكشف مباشرةً، وغالبًا ما يكون الجزء الأكثر تكلفة في الهجوم.
“لقد رأينا هذا يحدث في حادثتين من برامج الفدية في كوبا. قامت إحدى الشركات (الشركة أ) بمراقبة مستمرة باستخدام MDR، لذلك تمكنا من اكتشاف النشاط الضار ووقف الهجوم في غضون ساعات لمنع سرقة أي بيانات.
“شركة أخرى (الشركة ب) لم يكن لديها هذا الاحتكاك؛ ولم يرصدوا الهجوم إلا بعد أسابيع قليلة من الوصول الأولي وبعد أن نجحت كوبا بالفعل في تسريب 75 غيغابايت من البيانات الحساسة. ثم اتصلوا بفريق علاقات المستثمرين لدينا، وبعد شهر، كانوا لا يزالون يحاولون العودة إلى العمل كالمعتاد.
لا يعود فقدان القياس عن بعد دائمًا إلى مجرمي الإنترنت
بعد كل هذا، وجدت سوفوس أيضًا أنه عندما يفتقر المدافعون إلى القياس عن بعد للرد على حادث ما، فإن ذلك لا يرجع دائمًا إلى الإجراءات التي يتخذها المهاجم – فربع المنظمات التي قامت بالتحقيق فيها ببساطة لم يكن لديها سجلات مناسبة متاحة للبدء بها.
ويعود ذلك إلى مجموعة متنوعة من الأسباب، بما في ذلك عدم كفاية الاحتفاظ، أو إعادة تصوير القرص، أو عدم وجود التكوين المناسب.
وحذر شير من أنه في هذه الحالات، لا يعني هذا عدم وجود بيانات متاحة للمدافعين لفحصها فحسب، بل كان عليهم بعد ذلك إضاعة وقت ثمين في معرفة سبب عدم توفر البيانات في المقام الأول.
وأضاف شير أنه منذ أن بدأت مايكروسوفت الآن لجعل التسجيل متاحًا مجانًا للتراخيص الأساسية، فإن غالبية المؤسسات ليس لديها أي سبب أو عذر لعدم استخدامها على أكمل وجه عند طرحها في المؤسسة، على الرغم من اعترافه بأن هذا قد لا يكون أمرًا يمكن لفرق الأمان اتخاذ قرار بشأنه. ولذلك فمن المهم أن يدافع المدافعون عن أنفسهم إذا لم يتم رفع القضية من قبل القادة الأمنيين.
وأضاف أخيرًا، مثل جميع أنواع البيانات، يجب الاحتفاظ بنسخة احتياطية من السجلات بشكل آمن بحيث يمكن الوصول إليها في حالة الحاجة إلى تحليل الطب الشرعي. وأشار إلى أن “الثالوث الكلاسيكي للسرية والنزاهة والتوافر لا يكون في العادة في مقدمة اهتمامات جمهور الممارسين، ولكن من المفيد الاستناد إليه هنا للتحدث بلغة القيادة التي ستؤدي إلى تنفيذ العمليات الضرورية”.