الجهات الفاعلة في مجال التهديد تسيء استخدام نظام Windows المستخدم على نطاق واسع بروتوكول سطح المكتب البعيد ميزة الوصول عن بعد (RDP) في سلاسل الهجوم الخاصة بهم بمعدل غير مسبوق منذ جائحة Covid-19، وفقًا لتحليل جديد أصدرته شركة Sophos في تقريرها الأخير عن الخصم النشط، والتي استكشفت أكثر من 150 حالة استجابة للحوادث استجاب لها فريق X-Ops الخاص بها خلال عام 2023.
وقالت إنها شهدت استغلال RDP تحدث في 90٪ من الحالات في العام الماضيوهو أعلى معدل شوهد منذ تقرير 2021 الذي يغطي بيانات عام 2020، ارتفاع الوباء.
في إحدى الحوادث، نجح المهاجمون في اختراق الضحية ما لا يقل عن أربع مرات على مدار فترة ستة أشهر، وفي كل حالة تمكنوا من الوصول الأولي من خلال منافذ RDP المكشوفة – والتي كانت أيضًا الناقل الأكثر شيوعًا الذي اخترق المهاجمون من خلاله الشبكات، وتم العثور عليه في 65% من الهجمات. حالات موثقة.
وبمجرد دخولهم إلى شبكة الضحية، واصل المهاجمون التحرك أفقيًا عبر شبكتهم، وقاموا بتنزيل الثنائيات الضارة، وإيقاف تشغيل أدوات الأمن السيبراني التي كانت تحمي نقاط النهاية الخاصة بهم، وإنشاء جهاز تحكم عن بعد.
“تعد الخدمات الخارجية عن بعد متطلبًا ضروريًا، ولكنه محفوف بالمخاطر، للعديد من الشركات. وقال جون شاير، المدير التنفيذي للتكنولوجيا في شركة Sophos، إن المهاجمين يدركون المخاطر التي تشكلها هذه الخدمات ويسعون بنشاط إلى تخريبها بسبب المكافأة التي تكمن وراءها.
“إن الكشف عن الخدمات دون دراسة متأنية وتخفيف مخاطرها يؤدي حتماً إلى التسوية. لا يستغرق الأمر وقتًا طويلاً حتى يتمكن المهاجم من العثور على خادم RDP المكشوف واختراقه، وبدون ضوابط إضافية، لن يتمكن المهاجم من العثور على خادم Active Directory الذي ينتظر على الجانب الآخر.
وقال شير إن جانبًا مهمًا من إدارة المخاطر – بما يتجاوز مجرد التحديد وتحديد الأولويات – كان يعمل بناءً على المعلومات المتاحة، ومع ذلك فإن المخاطر مثل منافذ RDP المكشوفة لا تزال تصيب الضحايا “لإسعاد المهاجمين”، مما يشير إلى أن العديد من المنظمات ببساطة لا تدفع انتباه.
“إن إدارة المخاطر هي عملية نشطة. تواجه المنظمات التي تفعل ذلك بشكل جيد مواقف أمنية أفضل من تلك التي لا تفعل ذلك في مواجهة التهديدات المستمرة من المهاجمين المصممين…. إن تأمين الشبكة عن طريق الحد من الخدمات المكشوفة والضعيفة وتعزيز المصادقة سيجعل المؤسسات أكثر أمانًا بشكل عام وأكثر قدرة على التغلب على الهجمات السيبرانية.
كما كشفت النسخة الأخيرة من سلسلة Active Adversary الجارية أيضًا أن استغلال الثغرات الأمنية واستخدام بيانات الاعتماد المخترقة هي الأسباب الجذرية الأكثر شيوعًا للهجمات السيبرانية، إلا أن استخدام بيانات الاعتماد المسروقة أصبح أكثر انتشارًا، ويتم رؤيته الآن في أكثر من 50٪ من حالات الاستجابة للحوادث – يمثل استغلال نقاط الضعف 30% أخرى.
وقال شير إن هذا كان مصدر قلق خاص نظرًا لأنه في 43% من الحالات، لم يكن لدى المؤسسات مصادقة متعددة العوامل (MFA) تم تكوينها بشكل صحيح أو لم يتم تكوينها على الإطلاق.
وشملت الأسباب الجذرية الأخرى الأقل شيوعًا التي لاحظتها سوفوس هجمات القوة الغاشمة (3.9% من الحالات)، والتصيد الاحتيالي (3.3%)، وتسوية سلسلة التوريد (2.6%). وفي 13.6% من الحالات لم يكن من الممكن تحديد السبب الجذري.
يجب على محترفي الإنترنت بذل المزيد من الجهد
بالنظر إلى بيانات عام 2023، كتب شير أنه نظرًا لأن غالبية التنازلات تنشأ من ثلاث مشكلات رئيسية فقط – منافذ RDP المكشوفة، ونقص MFA، والخوادم غير المصححة – والسهولة النسبية لمعالجة هذه المشكلات الثلاث، فقد بقي أمامه مشكلة الشعور بأنه لم يتم بذل ما يكفي لحماية المنظمات من الضرر، وأنه على الرغم من أن البعض يتمتع بالحماية اللازمة، إلا أن القليل منهم كانوا يهتمون حقًا بالأمن.
وكتب قائلاً: “في كثير من الأحيان، فإن الاختلافات الوحيدة بين المنظمات التي يتم اختراقها وتلك التي لم يتم اختراقها هي: أولاً، الإعداد الذي يتطلبه اختيار الأدوات المناسبة ووضعها في مكانها، وثانياً، المعرفة والاستعداد للعمل عند الحاجة”.
“لسوء الحظ، ما زلنا نرى نفس الأخطاء التي يرتكبها المدافعون كل عام. ومع أخذ هذا في الاعتبار، نعتقد أن المنظمات بحاجة إلى المشاركة بشكل عاجل في إنقاذها.
“لا توجد صناعة أو منتج أو نموذج مثالي، لكننا ما زلنا نخوض معارك الأمس، في كثير من الأحيان، قبل يوم من أسلحة الأمس. معظم الأدوات والتقنيات الموضحة في هذا التقرير لديها حلول، أو على الأقل، وسائل تخفيف للحد من ضررها، ولكن الدفاعات ببساطة لا تواكب ذلك.
وفي ختام التقرير، قال شير إنه قد يكون من المغري لمحترفي الإنترنت الاستسلام للغضب من جميع الإخفاقات المتكررة والتي يمكن تجنبها. “نقول، لا تنظر إلى الوراء بغضب، وتطلع إلى كيفية إحداث تغيير إيجابي اليوم من أجل غد أفضل.”
