تسلط هيئة الأوراق المالية والبورصة (SEC) الضوء على الإبلاغ عن الحوادث الأمنية. هذا الصيف، هيئة الأوراق المالية والبورصاتأعلن عن تغيير القاعدةيتطلب من بعض المؤسسات المالية إخطار الأفراد في غضون 30 يومًا من تحديد أن معلوماتهم الشخصية قد تم اختراقها في انتهاك. وسيكون أمام الكيانات الأكبر 18 شهرًا للامتثال، وسيبدأ التنفيذ بالنسبة للشركات الأصغر خلال عامين.
يتبع هذا التغيير الجديد في القاعدة متطلبات الكشف عن الأمن السيبراني للشركات العامة التي تم اعتمادها قبل عام واحد فقط – وتم تنفيذها في 18 ديسمبر 2023 للشركات الكبرى و15 يونيو 2024 للشركات الأصغر حجمًا. هذه التغييرات لها بالفعل تأثير على الإفصاحات، حتى لو لم يكن بالطريقة التي أرادتها هيئة الأوراق المالية والبورصة.
بموجب متطلبات الإفصاح هذه، يجب على الشركات العامة الإبلاغ عن حوادث الأمن السيبراني في غضون أربعة أيام عمل من تحديد أن الحادث كان “جوهريًا”. ولكن في منتصف نوفمبر/تشرين الثاني، حتى قبل اعتماد القواعد رسميًا، أضافت عصابة AlphV/BlackCat لبرامج الفدية تطورًا مبكرًا إلى لعبتها النموذجية من خلال إخطار المجلس الأعلى للتعليم أن أحد ضحاياها فشل في الإبلاغ عن هجوم المجموعة خلال مهلة الأربعة أيام.
أثار هذا الحادث احتمالًا واقعيًا مفاده أنه إذا لم تقم الشركات بالإبلاغ عن الهجمات الإلكترونية إلى هيئة الأوراق المالية والبورصات، فإن المهاجمين سوف يقومون بذلك نيابةً عنها. وقد أثار هذا الإجراء مخاوف بشأن إساءة استخدام العمليات التنظيمية والمخاوف من أن القواعد الجديدة قد تؤدي عن غير قصد إلى إفصاحات مبكرة، ودعاوى قضائية، وزيادة في الهجمات.
لست مقتنعاً بأن مجموعات التهديد لها اليد العليا. يجب أن نفترض أن لجنة الأوراق المالية والبورصات أو المقاولين يراقبون الويب المظلم للحصول على معلومات حول الهجمات التي تؤثر على الشركات المتداولة علنًا. ومع ذلك، سيكون من الحكمة أن تقوم المنظمات بتعزيز دفاعاتها والاستعداد لأسوأ السيناريوهات.
مع تزايد الهجمات الإلكترونية، أصبحت الهوية في دائرة الضوء
تأتي قواعد الإفصاح الخاصة بهيئة الأوراق المالية والبورصات مع استمرار الهجمات الإلكترونية في الارتفاع من حيث الحجم والخطورة، مع احتلال الهجمات القائمة على الهوية في المقدمة. فيريزون 2023 DBIR ووجدت أن 74% من جميع الانتهاكات كانت بسبب العنصر البشري، في حين أن ما يقرب من ربعها (24%) كان يتعلق ببرامج الفدية.
Active Directory (AD) وأنظمة هوية Entra ID، المستخدمة في أكثر من90% من المؤسساتفي جميع أنحاء العالم، توفير الوصول إلى حسابات المستخدمين وقواعد البيانات والتطبيقات ذات المهام الحرجة. بصفته حارس “مفاتيح المملكة”، أصبحت AD وEntra ID أهدافًا رئيسية للهجمات القائمة على الهوية.
من السابق لأوانه معرفة ما إذا كان مجرمو الإنترنت الذين يبلغون هيئة الأوراق المالية والبورصة عن هجماتهم سيصبحون اتجاهًا أم لا. وبغض النظر عن ذلك، فمن الأهمية بمكان أن تتخذ المؤسسات نهجًا استباقيًا فيما يتعلق بأمن الهوية. في العالم الرقمي اليوم، تعد الهويات ضرورية لممارسة الأعمال التجارية. لكن الوصول غير المقيد الذي يمكن أن توفره أنظمة الهوية للمهاجمين يمثل خطرًا كبيرًا على البيانات القيمة والعمليات التجارية. ومن خلال اتخاذ خطوات لتعزيز وضع الأمن السيبراني، وقدرات الاستجابة للحوادث والتعافي، والمرونة التشغيلية، يمكن للمؤسسات المساعدة في منع الجهات الفاعلة السيئة من اختراق أنظمة الهوية.
حماية Active Directory، وبناء مرونة الأعمال
يعد تأمين AD وEntra ID وOkta أمرًا أساسيًا لتحديد المهاجمين وإيقافهم قبل أن يتسببوا في حدوث ضرر. يجب أن يكون أمن الإعلانات جوهر استراتيجية المرونة الإلكترونية لديك.
فالهجمات أمر لا مفر منه، ويجب على المنظمات أن تتبنى عقلية “افتراض الخرق”. إذا تمت إزالة AD بواسطة هجوم إلكتروني، فستتوقف العمليات التجارية. قد يؤدي التوقف المفرط إلى إحداث ضرر لا يمكن إصلاحه للمؤسسة. واضطرت شركة Henry Schein إلى إيقاف تشغيل منصة التجارة الإلكترونية الخاصة بها لأسابيع بعد تعرضها لبرامج الفدية BlackCat ثلاث مرات؛ الشركة انخفاض توقعات المبيعات للعام المالي 2023 بسبب اختراق الأمن السيبراني.
يعد وجود خطة للاستجابة للحوادث وخطة التعافي من الكوارث التي تم اختبارها أمرًا حيويًا.
فيما يلي ثلاث خطوات للمؤسسات لتعزيز أمان الإعلانات لديها – قبل الهجوم الإلكتروني وأثناءه وبعده.
1. تنفيذ دفاع متعدد الطبقات. تتطلب المرونة السيبرانية مستوى معينًا من التكرار لتجنب نقطة فشل واحدة. أفضل دفاع هو الدفاع متعدد الطبقات. ابحث عن حل الكشف عن تهديدات الهوية والاستجابة لها (ITDR) الذي يركز بشكل خاص على حماية نظام هوية AD.
2. مراقبة إعلانك المختلط. تعد المراقبة المنتظمة لسطح هجوم الهوية أمرًا بالغ الأهمية ويمكن أن تساعدك في تحديد نقاط الضعف المحتملة قبل قيام المهاجمين بذلك. يجب أن تكون استراتيجية المراقبة الفعالة محددة لمرض الزهايمر. استخدم أدوات المجتمع المجانية مثل الفارس الأرجواني للعثور على تكوينات ونقاط ضعف محفوفة بالمخاطر في بيئة AD المختلطة لمؤسستك.
3. ممارسة الأشعة تحت الحمراء والتعافي. إن خطة الاستجابة للحوادث (IR) ليست قائمة يجب التحقق منها. ويجب أن تتضمن تمارين سطحية تحاكي الهجمات وتشرك قادة الأعمال بالإضافة إلى فريق الأمن. حتى مع وجود خطة التعافي من الكوارث AD التي تم اختبارها، لا تزال مؤسستك عرضة للحوادث السيبرانية التي تعوق الأعمال. ومع ذلك، يعمل اختبار IR بشكل كبير على تحسين قدرة مؤسستك على استعادة الأنظمة والبيانات المهمة في حالة حدوث اختراق، مما يقلل من مخاطر التوقف عن العمل وفقدان البيانات.
من خلال تجربتي الخاصة، أعلم أن الفرق الرئيسي بين المؤسسة التي تتعافى بسرعة من هجوم متعلق بالهوية والمؤسسة التي تفقد وقتًا ثمينًا هو القدرة على تنسيق عملية الاسترداد وأتمتتها واختبارها.
فيما يلي نصائحي للاستجابة السريعة للحوادث:
-
يعد الحصول على نسخ احتياطية نقطة انطلاق أساسية لاستعادة الأعمال. تأكد من أن لديك نسخًا احتياطية دون اتصال/خارج الموقع لا يمكن الوصول إليها باستخدام نفس بيانات الاعتماد مثل بقية شبكة الإنتاج الخاصة بك.
-
أفضل نهج للتعافي هو “الممارسة تحقق التقدم”. سيؤدي إجراء الاسترداد المعقد إلى تأخير العودة إلى العمليات التجارية العادية. تأكد من أن لديك إجراء IR موثق جيدًا والذي يعرض تفاصيل جميع جوانب عملية الاسترداد – وأنه يمكن الوصول إلى المعلومات حتى في حالة تعطل الشبكة.
-
قم بتنسيق وأتمتة أكبر قدر ممكن من عملية الاسترداد. الوقت هو العامل الحاسم في نجاح التعافي. يمكن أن تُحدث الأتمتة فرقًا بين عملية التعافي التي تستغرق أيامًا أو أسابيع وتلك التي تستغرق دقائق أو ساعات.
يؤكد احتمال قيام المهاجمين بكشف ضحاياهم أمام هيئة الأوراق المالية والبورصة (SEC) عن أهمية حماية الأنظمة في المقام الأول. تحتاج المنظمات إلى اتخاذ الخطوات اللازمة، بدءًا من تأمين نظام الهوية الخاص بها. سواء كانت مؤسستك تستخدم AD أو Entra ID أو Okta، فإن أي هوية يمكن أن توفر مسارًا للهجوم الرقمي للأعداء الذين يبحثون عن أصولك الأكثر قيمة.
