الأمن السيبراني

حماية عملك في موسم العطلات هذا: المفتاح

صورة جالب الأخبار جالب الأخبار11 ديسمبر,2024
0 4 دقائق


لقد لاحظ موسم العطلات هذا محللو SOC زيادة حادة في نشاط التهديد السيبراني. على وجه التحديد ، لقد رأوا ارتفاعًا في محاولة هجمات الفدية ، والتي بدأت خلال فترة عطلة عيد الشكر الأمريكية (25-31 نوفمبر 2024) ومن المتوقع أن تستمر طوال موسم العطلات. نحن نشارك التفاصيل حول الجهات الفاعلة للتهديدات ، وتكتيكاتهم ، وكذلك توصيات لمنحك المعرفة والأدوات لتعزيز أمنك بشكل استباقي ضد التهديدات المتطورة.

مجموعات التهديد الرئيسية

الأسود (سابقا “الملكي”)

معروفًا باستهداف قطاعات البنية التحتية الحرجة ، بما في ذلك الرعاية الصحية والحكومة والتصنيع ، توظف Blacksuit تقنيات التخلص من البيانات والابتزاز والتشفير ، وفقًا للوكالة الأمنية الأمنية والبنية التحتية (CISA).

وتشمل ناقلات الهجوم الشائعة:

  • رسائل البريد الإلكتروني المخادعة والمواقع الخبيثة
  • استغلال الشبكات الخاصة الافتراضية غير المضمونة (VPNS) تفتقر إلى مصادقة متعددة العوامل (MFA)
  • تعطيل برامج مكافحة الفيروس

باستا الأسود

استهدفت شركة Basta Basta السوداء ، التي تعمل كخدمة فدية كخدمة (RAAS) ، أكثر من 500 كيان في عام 2024 وحدها في أمريكا الشمالية وأوروبا وأستراليا ، وفقًا لـ CISA. التكتيكات الرئيسية:

  • Vishing: انتحال شخصية فنيي مكتب المساعدة عبر الهاتف للوصول إلى الشبكات
  • باستخدام أدوات الإدارة عن بُعد الضارة للحصول على دخول وتصعيد الهجمات

ملاحظات LevelBlue لممثل التهديد TTPs وكيفية تعزيز الأمن

في الأسابيع الأخيرة ، لاحظ فريق SOC لدينا ممثلين للتهديد باستخدام التكتيكات التالية لإطلاق الهجمات:

تكتيك التوصيات
استغلال أ بوابة VPN التي لا تنفذ MFA للوصول الأولي
  • فرض MFA لاتصالات VPN و geo-fence بوابة (s) VPN
  • تصحيح أجهزة VPN. تاريخيا لاحظنا أن أجهزة الشبكة الخارجية هذه تتعرض للخطر

استخدام الصياغة (انتحال شخصية عضو في فريق “مكتب المساعدة”) للوصول الأولي إلى محطات عمل المستخدم النهائي ، والتي تتيح بعد ذلك الوصول إلى الشبكة الأكبر (يتم الاستفادة من رسائل البريد الإلكتروني والرسائل النصية لجمع بيانات الاعتماد ونشر البرامج الضارة)

تم تحديد مستوى رقم اثنين من المشاركين في الحوادث هي 1-844-201-3441 و 304-718-2459

  • تزويد الموظفين بالتدريب والتعليم على هجمات الصيد والسحر المشترك الذي يمكن استخدامه
  • تنفيذ عملية التحقق لكل من موظفي مكتب المساعدة والموظفين الذين يتم استدعاؤهم خلال سيناريوهات دعم تكنولوجيا المعلومات المشروعة
  • توجيه الموظفين للإبلاغ عن الاتصالات المشبوهة على الفور إلى مشرف وقيادة أمنية
استخدام rclone و WINSCP وأدوات نقل الملفات الأخرى لبيانات exfiltrate من البيئات
  • قم بحظر تثبيت أو تنفيذ أدوات المهاجم الشائعة التي لا تحتوي على وظيفة مخصصة داخل شبكتك ، أو فرض استثناءات بشكل صارم للسماح بالاستخدام

استغلال نقاط الضعف عبر البرامج/التطبيقات الشائعة لتصاعد الامتيازات

يتم استهداف نقاط الضعف في برنامج VMware و Microsoft Exchange و Microsoft SharePoint والتطبيقات الأخرى المستضافة ذاتيًا بشكل خاص للحصول على المسؤول أو حتى الوصول إلى الجذر داخل البيئات
  • برامج التصحيح لكل توصيات بائع ومراجعة جدول المسح والتصحيح لمؤسست مؤسستك
  • الحفاظ على سجلات جيدة للتطبيقات وأنظمة التشغيل التي تعمل داخل بيئتك ، وتمكين الإخطارات عندما تظهر إشعارات التصحيح أو رسائل البريد الإلكتروني أو تحديثات الأخبار حول هذه التطبيقات وأنظمة التشغيل
استخدام بروتوكول سطح المكتب عن بُعد (RDP) ، وإدارة النافذة عن بُعد (WINRM) ، وأدوات إدارة المراقبة عن بُعد (RMM) للحركة الجانبية
  • قم بحظر أي محاولات خارجية إلى RDP وتعطيل RDP على المضيفين الذين لا يحتاجون إليها
  • Limit RDP و WINRM حركة المرور من شرائح الشبكة التي لا تتطلب هذا النوع من TRAVERSAL WEST/EAST. يمكن أن ينطبق ذلك أيضًا على البروتوكولات الأخرى وحركة المرور الشاملة أيضًا ، ووقف حركة المهاجم الجانبية
  • قم بحظر تركيب أو تنفيذ أدوات RMM التي لا تستخدمها مؤسستك بشكل صريح. لاحظ أن أدوات RMM قد لوحظت في كل حادث مرتبط تقريبًا بفريق Ransomware ، وقد حقق فريق LevelBlue SOC. سيؤدي منع تركيب أو تنفيذ هذه الأدوات إلى تقليل فعالية الهجوم بشكل كبير

تدابير الأمن السيبراني الاستباقية الأخرى

تعزيز الوعي الموظف

في حين أن الموظفين قد يستمتعون بمزيد من الاحتفالات في هذا الوقت من العام ، من المهم توصيل إلحاح اليقظة المتزايدة خلال موسم العطلات. تثقيف الموظفين على الاعتراف والإبلاغ عن الاتصالات المشبوهة. وتقديم إرشادات واضحة حول التحقق من جهات الاتصال التي تدعم تكنولوجيا المعلومات.

التحقق من صحة الضوابط الأمنية ومعالجة التعرضات المحتملة

ابق على رأس التصحيح وتأكد من تأمين الأصول التي تواجه الجمهور من خلال MFA. نحن هنا للمساعدة في تحديد الفجوات والتعرضات الأمنية المحتملة. استفد من أ تجربة مجانية لمدة 30 يومًا مع إدارة الضعف في LevelBlue خدمة.

حماية من المواقع الخبيثة ورسائل البريد الإلكتروني

إذا لم يكن لديك بالفعل أمان البريد الإلكترونيو تأمين الوصول عن بُعد، أو تأمين بوابة الويب الحماية في مكانها ، فكر في إضافتها. يوفر LevelBlue خيارات تقديم الخدمة المرنة والمدارة مع اختيار التقنيات الرائدة. يمكن أن تساعد هذه الخدمات في حماية الموظفين من محاولات التصيد والمواقع الخبيثة وكذلك المساعدة في التحكم في التطبيق وإدارتها.

تحصين أمن نقطة النهاية

يقول أكثر من 75 ٪ من المنظمات إنها شهدت هجومًا إلكترونيًا واحدًا على الأقل بسبب الأجهزة غير المعروفة أو غير المعروفة أو التي تتم إدارتها بشكل غير معروف.2 LevelBlue المدارة أمن نقطة النهاية مع Sentinelone يحمي نقاط النهاية المتنوعة ، بما في ذلك أجهزة الكمبيوتر المحمولة والخوادم وأجهزة الكمبيوتر المكتبية وأعباء العمل السحابية ، من التهديدات المتطورة. إقران هذه الخدمة مع تمكن LevelBlue من اكتشاف التهديدات والاستجابة لها لتغطية سطح الهجوم بالكامل. نقدم أيضًا عدة مستويات لـ استجابة الحوادث التجنيب، منح العملاء الوصول إلى استجابة إضافية ، والطب الشرعي ، ودعم الاسترداد.

أخيرًا ، قد يكون من المغري السماح للمهام بتبقى في هذا الوقت من العام ، ولكن كما نعلم جميعًا ، فإن مجرمي الإنترنت سيستخدمون ذلك لصالحهم. معالجة المخاوف الأمنية على الفور ، بحيث لا تتفاقم وتنمو أكثر حدة. العطلات هي وقت مزدحم للجميع ، بما في ذلك ممثلي التهديد. استخدم خدمات الدعم لدينا خلال هذا الموسم وما بعده لتحصين عملياتك الإلكترونية والتأكد من أن مؤسستك لا تزال آمنة.

الاتصال LevelBlue

info@levelblue.com

1CISA ALERT: Royal Ransomware Actors RECRAND AS “Blacksuit” ، FBI و CISA تحديث للاستشاري. تم الاسترجاع 5 ديسمبر ، 2024.
2CISA ALERT: CISA and Partners Reports الاستشارية على Black Basta Ransomware. تم الاسترجاع 5 ديسمبر ، 2024.



Source link

صورة جالب الأخبار جالب الأخبار11 ديسمبر,2024
0 4 دقائق
صورة جالب الأخبار

جالب الأخبار

زر الذهاب إلى الأعلى