ما تحتاج cisos إلى معرفته الآن
كل شهر يقدم أدلة جديدة على أن الأمن السيبراني لا يتعلق فقط بالرد على الحوادث ولكن توقعها. يبرز مشهد التهديد في مايو 2025 الحاجة المتزايدة إلى اليقظة الاستراتيجية والذكاء القابل للتنفيذ والتدخل في الوقت المناسب. مع سبعة وسبعين من نقاط الضعف الجديدة ، وخمس مآثر نشطة ، وارتفاع في نشاط الفدية ، يعزز الشهر رسالة واضحة واحدة: الخطر حقيقي ، والنافذة للعمل الآن. للرؤى الفنية التفصيلية ، ارجع إلى إحاطة PowerPoint المصاحبة المتاحة هنا.
تتطلب CVES الحرجة اهتمامًا فوريًا
أصدرت Microsoft تحديثات لـ Azure و Windows و Office وخدمات سطح المكتب عن بُعد ، بما في ذلك ثمانية نقاط ضعف مهمة. يعد CVE-2025-29813 ، الذي يؤثر على خادم Azure DevOps مع درجة CVSS مثالية 10.0 ، من بين الأكثر إلحاحًا بسبب إمكانية تصاعد الامتياز. تشمل نقاط الضعف البارزة الأخرى CVE-2015-30386 في Microsoft Office ، والتي من المحتمل أن يتم استغلالها.
الإفصاحات الأمنية من البائعين الرئيسيين الآخرين إضافة إلى الإلحاح. عالجت شركة Apple العيوب في مودم النطاق الأساسي الجديد وخدمات iOS الأساسية. جوجل نقاط الضعف في Android و Chrome ، بعضها بالفعل تحت هجوم نشط. قامت Cisco بتصحيح خمسة وثلاثين عيوبًا ، بما في ذلك واحدة من وحدات التحكم اللاسلكية التي تؤثر على درجة CVSS 10.0. قام SAP و VMware أيضًا بتصحيح مشكلات عالية التأثير ، حيث قامت SAP بإبلاغ النشاط المستمر للاستغلال المرتبط بممثلي التجسس وبرامج الفدية.
تستمر مجموعات الفدية في التطور
سيطرت خمس مجموعات فدية على المشهد هذا الشهر: Safepay و Qilin و Play و Akira و Devman. شنت Safepay ، التي لوحظت لأول مرة في سبتمبر 2024 ، أكثر من سبعين هجومًا في مايو وحده. يستخدم أدوات مماثلة لـ Lockbit ويتجنب تشفير أنظمة في البلدان الناطقة بالروسية. Devman هو ممثل تهديد أحدث مشاهد لأول مرة في أبريل 2025 ويبدو أنه يعيد العلامة التجارية أو العرضية لشركة تابعة سابقة في Qilin. تستمر هذه المجموعات في استغلال نقاط الضعف في البنية التحتية للوصول عن بُعد والبرامج التي عفا عليها الزمن ، مع التأكيد على الحاجة إلى عناصر تحكم قوية في الوصول وتقييمات الضعف العادية.
نقاط الضعف المستغلة بالفعل في البرية
أدرجت كتالوج نقاط الضعف المعروفة من CISA العديد من التهديدات الجديدة ، بما في ذلك CVE-2024-38475 في Apache HTTP Server و CVE-2023-44221 في Sonicwall Appliances و CVE-2025-20188 في Cisco IOS XE. يتم استخدام نقاط الضعف هذه بنشاط من قبل الجهات الفاعلة للتهديدات ، ويجب على المنظمات ذات التعرض تصحيحًا على الفور أو تنفيذ استراتيجيات التخفيف.
تكشف عمليات إرسال البرامج الضارة عن المخاطر المستمرة
تُظهر بيانات صندوق الرمل الاستخدام المستمر للبرامج الضارة المصممة للوصول المستمر وسرقة المعلومات الحساسة. تم تقديم Berbew ، طروادة Windows Backdoor ، بشكل متكرر وتبقى مصدر قلق رئيسي بسبب قدرات سرقة بيانات الاعتماد. تشمل عائلات البرامج الضارة الأخرى التي تمت ملاحظتها Nimzod و Systex و VB و Autoruns ، وكلها تدعم الحركة الجانبية وترشيح البيانات.
1. إعطاء الأولوية لـ CVES القابلة للاستغلال ، وليس فقط الحرجين
في حين أن درجات CVSS مفيدة ، فإنها لا تروي القصة بأكملها. استخدم خلاصات ذكاء التهديد وكتالوج نقاط الضعف المعروفة في CISA لتحديد نقاط الضعف التي يتم استخدامها بنشاط من قبل المهاجمين. على سبيل المثال ، CVE-2025-29813 و CVE-2025-30386 ، على سبيل المثال ، يتم وضع علامة على “الاستغلال أكثر احتمالًا” ويجب معاملته على أنه عاجل.
2. تنفيذ اكتشاف الأصول المستمر
تأكد من أن لديك رؤية كاملة في بيئتك ، بما في ذلك ظلها والأصول غير المدارة. غالبًا ما تكون الأصول غير المعروفة هي الروابط الضعيفة التي يستغلها المهاجمون أولاً.
3. دمج ذكاء التهديد في تحديد أولويات الضعف
طبقة CVE شدة مع ذكاء التهديد في الوقت الحقيقي لتقييم تأثير الأعمال لكل ضعف. على سبيل المثال ، يجب أن يتم تتبع نقاط الضعف المرتبطة بمجموعات الفدية مثل Safepay أو Devman للعلاج.
4. الخدمات المكشوفة
تقوم فاعلات التهديد بالاستفادة من الخدمات الضعيفة المعرضة للإنترنت (على سبيل المثال ، VPNs ، بريد الويب ، وحدات التحكم في الأجهزة). عزل هذه الأصول ، وفرض مصادقة متعددة العوامل ، والحد من الوصول بواسطة GEO أو IP حسب الحاجة.
5. أتمتة إدارة التصحيح والتكوين
قم بإعداد مهام العمل لدفع التحديثات تلقائيًا للبرامج عالية الخطورة-وخاصة الخدمات المتعلقة بـ Microsoft و Cisco و Browser. الأتمتة تقلل من وقت التأخر بين إصدار التصحيح والتنفيذ.
6. قياس وإبلاغ اتجاهات التعرض
تتبع مقاييس التعرض للمفتاح مثل متوسط الوقت للعلاج (MTTR) ، وعدد الأصول عالية الخطورة غير المشبعة ، ونسبة الأصول مع نقاط الضعف المعروفة. استخدم هذه لإيواء القيادة ودفع المساءلة.
7. توسيع ما وراء CVES: تشمل عمليات السوء والتعرف الافتراضية الضعيفة
التعرض لا يتعلق فقط بالبقع المفقودة. راجع قواعد جدار الحماية ، وتكوينات الهوية والوصول ، وإعدادات التسجيل ، والأذونات السحابية للكشف عن المخاطر الصامتة.
8. محاكاة مسارات الاستغلال
استخدم نمذجة مسار الهجوم أو تمارين الفريق الأحمر لرسم خريطة كيف يمكن ربط CVE المعروف بتقاطات ضعف أخرى. هذا يساعد على إعطاء الأولوية للإصلاحات بناءً على احتمال خرق العالم الحقيقي.
الفكر النهائي
يؤكد مشهد May Threat أن التهديدات ليست نظرية. هم هنا ، نشطون ، ومتطورة بشكل متزايد. من الأفضل وضع المؤسسات التي تجمع بين الترقيع الذكي وتعليم المستخدم والمراقبة الاستباقية لتقليل المخاطر والاستجابة بفعالية. إذا احتاج فريقك إلى دعم تفسير هذه الذكاء أو ترجمته إلى عمل ، فإن LevelBlue جاهز للمساعدة.
المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ويجب عدم تفسيرها على أنها نصيحة قانونية أو تنظيمية أو امتثال أو للأمن السيبراني. يجب على المنظمات استشارة محترفيها القانونيين أو الامتثال أو الأمن السيبراني فيما يتعلق بالالتزامات المحددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات والاستجابة المدارة من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية ، فهي ليست بديلاً لرصد الشبكات الشامل أو إدارة الضعف أو برنامج الأمن السيبراني الكامل.
