صعود الشركات السيبرانية الوهمية: كيفية اكتشافها

من السيئ بما فيه الكفاية أن تقلق المؤسسات بشأن قيام الجهات الفاعلة في مجال التهديد بشن هجمات تصيد أو حقن برامج فدية أو استغلال نقاط الضعف؛ الآن، هناك متغير هجوم جديد متاح. المحتالين القانونيين.

هذه الشركات، التي يبدو أنها ناشئة بشكل خاص في أستراليا، تم تأسيسها وتسجيلها كشركات قانونية للأمن السيبراني، ولكنها في النهاية تأخذ أموال الشركة فقط دون تقديم أي خدمات.

على مدى السنوات القليلة الماضية، واجهت مرارًا وتكرارًا نفس قواعد اللعبة المستخدمة: تظهر أعمال الأمن السيبراني المصقولة من العدم.

ولديها رقم تجاري أسترالي شرعي (ABN)، وموقع ويب رائع، ومجموعة من الملفات الشخصية المقنعة على LinkedIn، ومجموعة من المقالات الموضعية (بمساعدة الذكاء الاصطناعي بشكل متزايد) حول الانتهاكات الحالية.

هؤلاء ليسوا خصومك العاديين، بل هم مجموعات متطورة للغاية، وبعد فترة من الصبر من بناء المصداقية، تتصل بالمنظمات التي تدعي أنها “عثرت على بياناتك على شبكة الإنترنت المظلمة” أو “حددت نقاط الضعف الحرجة”، وتمارس الضغط لإجراء مكالمة عاجلة.

استخدام تكتيكات التخويف

نهج المحتال متعمد. إنهم يخلقون واجهة الشرعية، ثم يضيفون رافعة عاطفية – عادة ما تكون الخوف – وهي آلية فعالة للغاية لإقناع صناع القرار المتسرعين بدفع ثمن “المساعدة” التي لم يتحققوا منها بشكل مستقل.

هذه ليست نظرية. تجمع التقنيات بين ممارسات الهندسة الاجتماعية المجربة والمختبرة والأدوات الحديثة (المحتوى الآلي، وأسماء النطاقات المشتراة، وشخصيات LinkedIn الواقعية ولكن المزيفة).

الهدف ليس دائمًا تقديم قيمة تقنية حقيقية؛ وفي كثير من الأحيان، يكون ذلك لخلق ما يكفي من الشك والإلحاح بحيث يدفع الهدف مقابل معالجة البيانات أو إزالتها أو “حفظها بشكل آمن”.

الدفاع ضد المحتالين “المفيدين”.

تعتبر الاستجابة الدفاعية بسيطة من حيث المفهوم ولكن يجب ممارستها: توقف مؤقتًا، وتحقق، واطلب الأدلة، وقم بتوجيه جهة الاتصال من خلال الاستجابة للحوادث، والعمليات القانونية وعمليات الشراء.

أعرض أدناه عمليات التحقق العملية التي يجب أن يطلبها كل رئيس أمناء أمن المعلومات، ورئيس قسم المعلومات، ورئيس قسم المشتريات قبل قبول المطالبات الأمنية غير المرغوب فيها – وقائمة مرجعية قصيرة بعنوان “كيفية التحقق منا” في النهاية حتى تعرف بالضبط المكان الذي يجب أن تبحث فيه إذا تواصلنا (أو أي مزود آخر).

قائمة مرجعية عملية للتحقق من البائع مكونة من 10 نقاط (افعلها أولاً)

1. تحقق من الكيان القانوني (تسجيل ABN / ACN / شركة أجنبية) – تأكد من ABN / ACN والاسم القانوني الدقيق عبر ABN Lookup (سجل الأعمال الأسترالي).
2. لا تعتمد فقط على الاسم التجاري الموجود على موقع الويب؛ يُظهر سجل ABN الكيان المسجل وحالته. بالنسبة للشركات وأسماء الأعمال، قم بالتحقق من سجلات ASIC (بحث الشركة، وأسماء الأعمال). تُظهر سجلات ASIC المستندات المقدمة وحاملي الأسماء التجارية وتسجيلات الشركات الأجنبية.
3. التحقق من اعتمادات وعضويات الأمن السيبراني المعترف بها.
4. بالنسبة لمقدمي الخدمات الذين يقدمون اختبارات هجومية (اختبار القلم، الفريق الأحمر)، ابحث عن اعتماد CREST أو موافقات صارمة مماثلة من طرف ثالث وتحقق من الشهادات عبر خدمة التحقق من CREST. بالنسبة للأعمال الحكومية أو أعمال التأمين العالي، تحقق مما إذا كان مقدم الخدمة قد أظهر قنوات أو علاقات مع ACSC / ASD واتبع إرشادات ACSC بشأن الإبلاغ عن الحوادث/المساعدة.
5. تحقق من شهادات ISO وشهادات الإدارة الأخرى من خلال سجل الاعتماد – إذا ادعى البائع الحصول على ISO 27001 (أو معايير ISO أخرى)، فتحقق من الشهادة في سجل هيئة الاعتماد مثل JAS-ANZ أو السجل العام لجهة التصديق – تنشر هيئات الاعتماد المعتمدة سجلات قابلة للبحث. شعار الشهادة الموجود على موقع الويب ليس كافيًا بدون التحقق من التسجيل.
6. طلب تقارير ضمان الطرف الثالث والتحقق من صحتها (SOC 2/ISAE 3402/تقارير اختبار الاختراق) – تعد تقارير SOC 2/ISAE هي المعيار الصناعي لضمان التحكم. سيقوم مقدم الخدمة الشرعي إما بمشاركة ملخص تنفيذي لـ SOC 2/ISAE أو توفير مسار لعرض التقرير الكامل بموجب اتفاقية عدم الإفصاح وسيقوم بتحديد شركة التدقيق. التحقق من أوراق اعتماد المدقق والإصرار على الأطر الزمنية للتقرير.
7. التحقق من صحة مطالبات شركاء البائعين (Microsoft، وAWS، وGoogle، وما إلى ذلك) – تعد شعارات الشركاء مفيدة ولكن يمكنك التحقق منها عبر أدلة شركاء البائعين (على سبيل المثال، دليل شركاء Microsoft / AppSource). يمكن تأكيد قوائم الشركاء أو تعيينات الحلول من خلال صفحات البحث الرسمية عن الشركاء الخاصة ببائعي السحابة.
8. فحص LinkedIn وآثار الموظفين العموميين. ابحث عن عمق التاريخ، والجداول الزمنية المتسقة، وأصحاب العمل السابقين الذين يمكن التحقق منهم، وعناوين البريد الإلكتروني للشركة. إن الملفات الشخصية أو الصور المخزنة التي تم إنشاؤها مؤخرًا أو مجموعات كبيرة من “الموظفين” الذين تم إنشاؤهم حديثًا كلها تشير إلى المخاطر. استخدم التحقق من الملف الشخصي والتتبعات مفتوحة المصدر (محادثات المؤتمر، GitHub، الأبحاث المنشورة) لتأكيد الخبرة.
9. اطلب التحف الفنية والتأييد. إذا ادعى شخص ما أن بياناتك موجودة “على الويب المظلم” أو أنه اكتشف ثغرة أمنية، فيجب عليك طلب عناصر محددة يمكن التحقق منها (على سبيل المثال، التجزئة أو لقطات الشاشة المؤرخة أو السجلات التي تحتوي على عمليات تنقيح) ثم التحقق بشكل مستقل من خلال فريق IR الخاص بك أو جهة خارجية موثوقة.
10. المشتريات والبوابات القانونية ليست اختيارية. الإصرار على بيان العمل والنطاق المحدد وشروط العقد وتفاصيل التأمين ودليل التعويض المهني / التأمين السيبراني. إذا قاوم مقدم الخدمة عملية الشراء/المراجعة القانونية أو الضغوط من أجل الدفع السريع “لمنع التعرض”، فتعامل مع ذلك كعلامة حمراء.

أين يمكن التحقق من مؤهلات البائع؟

فيما يلي قائمة قصيرة بالأماكن الموثوقة (وكيفية استخدامها)

• ABN Lookup / سجل الأعمال الأسترالي – ابحث في ABN أو اسم الشركة لتأكيد التسجيل وحالة ضريبة السلع والخدمات واسم الكيان. استخدم بحث ABR للتحقق من أن النشاط التجاري نشط ويطابق الفواتير/العقود.
• سجلات ASIC (الشركات وأسماء الأعمال) – ابحث عن المستندات المقدمة ومسؤولي الشركة وحاملي الأسماء التجارية للتأكد من من يدير الشركة بشكل قانوني.
• صفحات إرشادات ACSC/ASD — إذا ادعى أحد جهات الاتصال غير المرغوب فيها أنه يتصرف نيابة عن الخدمات الإلكترونية الوطنية، فبدلاً من ذلك تواصل مع قنوات ACSC للتحقق والمشورة. توفر ACSC إرشادات لدعم الحوادث وعمليات الإبلاغ.
• التحقق من CREST/CREST — للحصول على اعتمادات الاختبارات الهجومية وشهادات الممارسين الفرديين، استخدم قوائم اعتماد CREST والتحقق من الشهادات.
• سجل JAS-ANZ وسجلات جهة التصديق – لتأكيد ISO 27001 وشهادات نظام الإدارة الأخرى، ابحث في سجل JAS-ANZ أو القوائم العامة لهيئة إصدار الشهادات.
• أدلة شركاء موردي السحابة – التحقق من حالة الشريك والتخصصات المتقدمة ومعرفات الشركاء عبر دليل Microsoft AppSource / الشريك أو ما يعادله لـ AWS/GCP.
• التحقق من SOC / المدقق – اطلب ملخصات SOC 2 أو ISAE، ثم تأكد من المدقق (الأربعة الكبار أو دار التدقيق المعترف بها) وأن العمل الميداني للتقرير والتغطية يتطابقان مع الخدمات المقدمة.

المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ولا ينبغي تفسيره على أنه نصيحة قانونية أو تنظيمية أو تتعلق بالامتثال أو الأمن السيبراني. يجب على المؤسسات استشارة متخصصيها في الشؤون القانونية أو الامتثال أو الأمن السيبراني فيما يتعلق بالتزامات محددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات المُدارة والاستجابة لها من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية، إلا أنها ليست بديلاً عن المراقبة الشاملة للشبكة، أو إدارة الثغرات الأمنية، أو برنامج الأمن السيبراني الكامل.