خلال جائحة كوفيد-19، كان إغراء القبول بالوصول والدعم دون التركيز على الأمن أو تنفيذه جذابًا للغاية للاستجابة للحاجة المفاجئة للوصول عن بعد على نطاق واسع. علاوة على ذلك، أصبح من الأهمية بمكان أن تكون تجربة الهاتف المحمول للمستخدم تعكس بيئة عمله الداخلية لتحقيق النجاح الفعال.
ومع ذلك، فإن الإسراع نحو الوصول عن بعد ترك العديد من الشركات تتطلع إلى الحصول على إجابات عندما أصبحت شبكاتها الموسعة أكثر عرضة للخطر من أي وقت مضى. في UAB، كان التوسع بسرعة كبيرة جدًا لدعم مستخدمي الأجهزة المحمولة والمستخدمين البعيدين باستخدام سطح مكتب افتراضي موسع يعيد إنشاء تجربة سطح المكتب داخل المكتب من داخل منزل المستخدم له إيجابيات وسلبيات.
في هذه الجلسة الرئيسية المؤرشفة، يرشدنا روب فيريل، نائب الرئيس ورئيس قسم تكنولوجيا المعلومات في UAB، عبر طرق اكتشاف العلامات الحمراء لنظام ضعيف يسمح بالهجمات الإلكترونية، بالإضافة إلى كيفية القضاء على التهديدات من خلال استخدام أدوات الابتكار والمرونة الإلكترونية للمساعدة تحديد نقاط الضعف ودمجها في سير عمل التطوير. كان هذا الجزء جزءًا من ندوتنا المباشرة عبر الإنترنت حول “الابتكار والمرونة السيبرانية”.. تم تقديم الحدث بواسطة InformationWeek وبرعاية NetSPI في 29 نوفمبر 2023.
شاهد الندوة المباشرة عبر الإنترنت حول “الابتكار والمرونة السيبرانية” بالكامل حسب الطلب هنا.
نسخة من الفيديو يلي أدناه. تم إجراء تعديلات طفيفة من أجل الوضوح.
روب فيريل: أثناء الوباء، كانت إحدى الأدوات الأمنية التي نفذها فريقنا، ولكن لم يكتمل التنفيذ، هي أداة EDR، أو أداة الكشف عن نقطة النهاية والاستجابة لها. كان هذا في الإطار الزمني الصيفي تقريبًا بعد بدء الوباء. حسنًا، مع بدء تشغيل بيئة VDI الخاصة بنا، أدركنا أن نشر EDR يجب أن يتم بشكل أسرع.
لقد كنا بحاجة إلى تسريع عملية نشر هذه الأداة عبر مؤسستنا، لذلك قمنا بنشرها. أولئك منكم الذين ليس لديهم EDR أو مزود خدمات أمان مُدارة، أحد المكونات التي يقدمونها هي خدمة المراقبة. سوف يقومون بمراجعة سجلاتك على مدار الساعة طوال أيام الأسبوع وسيسمحون لك أو لشخص الأمن الخاص بك أو مركز عمليات الأمن (SOC) الخاص بك بمعرفة أي حوادث محتملة تحدث.
بالنسبة لنا، تبين أن ذلك كان بمثابة النعمة المنقذة لما أصبح إشعارًا لنا في العطلة. بالنسبة لفريقي، قبل EDR، كنا في الأساس من الثامنة إلى الخامسة، من الاثنين إلى الجمعة، لكننا لم نكن مركز عمليات مركزية يعمل على مدار الساعة طوال أيام الأسبوع. لذلك، كان الحصول على هذه القدرة على المراقبة المستمرة بمثابة فوز كبير.
كما اتضح، لم نكن نعمل في يوم اثنين محدد من شهر يناير لأنه كان يوم عطلة. لقد كان يوم مارتن لوثر كينغ عندما حدث هذا. لذلك، تلقت شركة SOC لدينا إشعارًا بشأن هذه العطلة، في اليوم الذي كانوا يأملون فيه الاستمتاع بالإجازة في المنزل والذي سرعان ما تحول إلى يوم سيء. لقد تم إخطارهم بوجود بعض الأنشطة الضارة على شبكتنا. تم العثور عليه على كمبيوتر غرفة الاجتماعات ويحتاج إلى اهتمامنا الفوري.
وإليك جدول زمني سريع لما حدث. يشير الإخطار الذي تلقيناه في تلك العطلة في شهر يناير إلى أن جهاز كمبيوتر في إحدى قاعات المؤتمرات لدينا يستخدم أداة تسمى PsExec. أنا متأكد من أن الكثير منكم قد سمع عن ذلك أو استخدمه أيضًا.
كانوا يستخدمون PsExec لإجراء الاستطلاع وتفريغ بيانات اعتماد المستخدم على اثنين من أجهزة الكمبيوتر الأخرى في هذا القسم. لقد تمكن المهاجمون من اختراق بيانات اعتماد جهاز الكمبيوتر الخاص بغرفة الاجتماعات، والذي يتضمن حساب مسؤول محلي. وكان لهذا الحساب حقوق الإدارة لجميع أجهزة الكمبيوتر في هذا القسم، مما أدى إلى تفاقم المشكلة بالنسبة لنا.
أخبرنا التنبيه الذي تلقيناه من مورد EDR هذا أنهم اكتشفوا نشاطًا مشابهًا قبل بضعة أيام. لذا، في جوهر الأمر، كان ينبغي عليهم إخطارنا قبل أيام قليلة من حدوث ذلك بأن شيئًا سيئًا كان يحدث. ولكن كما اتضح فيما بعد، كان يوم MLK، وكنا ممتنين لتلقي هذا الإخطار.
لأنه لولاهم، لم نكن لنرى ذلك خاصة في تلك العطلة عندما كان هناك الكثير من الأنشطة الخبيثة الجارية. سأدخل في بعض هذه التفاصيل لأريكم ما حدث. أخبرنا مورد EDR أن مصدر هذا النشاط جاء من كمبيوتر غرفة الاجتماعات في أحد أقسامنا.
إذن، هذه هي مرحلة الاستغلال التي ترونها هناك. تحت قطعة التعريف، وجدوا أنه كان هناك باب خلفي مثبت. هناك العديد من الأدوات التي تستخدمها أقسام مكتب المساعدة للمساعدة في دعم مستخدميها، وهذه الأداة عبارة عن جهاز تحكم عن بعد أو منتج لسطح المكتب البعيد.
من المحتمل أن البعض منكم قد سمع عنه أو استخدمه من قبل، ويسمى AnyDesk. و AnyDesk ليست أداة يستخدمها مكتب المساعدة الخاص بنا، لذلك عرفنا أنه عندما وجدناها على أجهزة الكمبيوتر المخترقة هذه، تم استخدامها كباب خلفي للوصول إلى شبكتنا.
في تلك المرحلة، لم يكن المهاجمون مضطرين إلى المرور عبر VDI للوصول إلى شبكتنا لأنه كان لديهم اتصال مباشر بأجهزة الكمبيوتر التي تم تشغيل AnyDesk عليها. لذلك، كان هذا اكتشافًا كبيرًا آخر كجزء من هذا التحقيق في هذه الحادثة.
شاهد الندوة المؤرشفة المباشرة عبر الإنترنت “الابتكار والمرونة السيبرانية” عند الطلب اليوم.
