گزارش تهدیدات فعال 2023 برای رهبران کسب و کار، آنچه تیم پاسخ به حوادث Sophos X-Ops از پردازش بحرانهای امنیتی در سراسر جهان یاد گرفته است را ارائه میدهد. این گزارش بر اساس دادههای بیش از 150 مورد انتخاب شده از حجم کاری تیم پاسخ به حوادث سال 2022 استوار است. اطلاعات بیشتر درباره جمعیت نماینده در این تحلیل را در پایان گزارش ارائه میدهیم.
علاوه بر دادههای سال 2022، گزارش امسال شامل دادههای گزارشهای تهدید فعال سالهای قبل Sophos X-Ops است (دادههای 2021 و 2020). همانطور که برنامه پاسخ به حوادث سوفوس به توسعه ادامه میدهد، در آن دادههای یک ساله به سالهای گذشته آمده که میتواند روندهای سال به سال جالب و برخی از آنها پیشبینی شده را برایمان ارائه دهد.
با توسعه مجموعه دادهها، توانایی استخراج اطلاعات مفید برای انواع افراد و افرادی که با مشکل امنیتی مواجه هستند افزایش مییابد. در طول سال 2023، گزارشهایی بر اساس دادههای سوفوس(و در صورت لزوم با جمعآوری یافتههای سال 2023) برای هر یک از این افراد منتشر خواهیم شد. این، اولین گزارش در این سال است و برای رهبران کسب و کار که به دنبال درک کلی از چه چیزی با شرکت خود مواجه هستند، اطلاعات مفیدی را ارائه میدهد.
اهم نکات:
- باج افزار هنوز تهدید فراگیری است.
- تکنولوژی های تشخیص و پاسخ به حملات در برابر حمله کنندگان پیشرفت قابل توجهی داشته است.
- اعمال پچهای امنیتی بسیار مهم است.
- شرکت ها در معرض خطر حملات تکراری هستند زمانی که اطلاعات لاگ ندارند یا آنها را حفظ نمی کنند.
- خوب یا بد ، زمان اقامت حمله کننده در شبکه شما کوتاه می شود.
- هنگامی که یک مهاجم در داخل شبکه شما قرار می گیرد، احتمال اینکه داده های شما از بین برود بسیار خطرناک است.
منابع دادهای برای تهیه این گزارش، 81 درصد دادهها از سازمانهایی با کمتر از ۱۰۰۰ کارمند بودند. همانند سالهای گذشته، ۵۰ درصد از سازمانهایی که به خدمات IR ما نیاز داشتند، شامل ۲۵۰ کارمند یا کمتر بودند.
با این حال، شرکتهای بزرگ همچنان بخش مهمی از معادله هستند: در حالی که بیشتر سازمانهای بزرگ قادرند درخصوص پاسخ به حوادث، با منابع خودشان اقدام کنند، یک پنجم سازمانهایی که در سال ۲۰۲۳ ، شامل شرکتهایی با بیش از ۱۰۰۰ کارمند بودند. (گاهی اوقات، حتی بهترین تیمهای IR در داخل سازمان، به کمک کارشناسان با مهارتها و دانش تخصصی نیاز دارند.)
اما این شرکتها چه کار میکنند؟ برای سومین سال متوالی، بخش تولید (۲۰ درصد) بیشترین درخواست خدمات IR سوفوس را داشت، به دنبال آن به ترتیب، صنعت بهداشت (۱۲ درصد)، آموزش (۹ درصد) و خردهفروشی (۸ درصد) قرار داشتند. در کل، ۲۲ بخش مختلف در این مجموعه داده نمایان است. به طور کلی، این اعداد نباید به عنوان یک بیانیه جامع درباره جنبه کلی تهدید که در طول زمان وجود دارد تلقی شود، متاسفانه هیچ صنعتی از حملات مصون نیست، اما به هر حال، ما شاهد حملات مستمر به مؤسسات بهداشتی و آموزشی در چندین سال گذشته بوده ایم و جای تعجب نیست که دوباره این بخش ها را در صدر فهرست خود قرار دهیم.
انواع حمله: باج افزار بازی را اجرا می کند
سازمانها در همه گروههای جمعیتی در سال گذشته هجوم مداوم حملات باجافزاری را تجربه کردند. در حالی که در اخبار ادعاهایی مبنی بر کاهش یا حتی کاهش حملات باجافزار در سال 2022 وجود دارد، بیش از دو سوم (68%) از حوادث ثبتشده در دادههای Active Adversary امسال، حملات باجافزاری و به دنبال آن نقضهای شبکه غیر باجافزاری (18%) بوده است. ) به عنوان دومین یافته رایج.
مربوط است. همانطور که در سالهای گذشته بوده، ۵۰٪ سازمانهایی که نیاز به کمک ما داشتند کمتر از ۲۵۰ کارمند داشتند.
اما به هر حال، شرکتهای بزرگ همچنان بخش مهمی از بررسیهای ما هستند. در حالی که بسیاری از شرکتهای بزرگ در حال حاضر به منابع لازم برای انجام بخشی از حوادث امنیتی درونسازمانی خود دسترسی دارند، یک پنجم سازمانهایی که در سال ۲۰۲۳ با آنها همکاری داشتیم بیش از ۱۰۰۰ کارمند داشتند. (گاهی اوقات حتی تیمهای داخلی پرسنلدار بخش حادثهبازی نیاز به کمک از متخصصان با تخصص و دانش تخصصی دارند.)
در ضمن، این سازمانها چه فعالیتی دارند؟ برای سومین سال متوالی، بخش تولید (۲۰٪) بیشترین تقاضای خدمات IR Sophos را داشت، پس از آن به ترتیب بخش بهداشت (۱۲٪)، آموزش و پرورش (۹٪) و خدمات خردهفروشی (۸٪) دنبال میشوند. در کل، این اعداد نباید به عنوان بیانی جامع درباره این جنبه از چشمانداز تهدید کلی در نظر گرفته شوند – متأسفانه هیچ صنعتی از حملات مستثنی نیست،اما با این حال، در گذشته شاهد حملات مداوم متعددی علیه مؤسسات بهداشتی و آموزشی بوده ایم. چند سال است، و جای تعجب نیست که دوباره این بخش ها را در صدر فهرست خود قرار دهیم.
نوع حملات گزارش تهدیدات فعال 2023: نرم افزارهای باج افزار بیشترین تهدید را به دنبال دارند
در سال گذشته، سازمانهایی در تمام طیفهای مختلف با یک موج حملات باج افزار روبرو شدهاند. در حالی که در خبرها ادعا شده بود که حملات باج افزار در سال 2022 کاهش یافته یا به حالت پایدار درآمدهاند، بیش از دو سوم (68 درصد) حوادث ثبت شده در دادههای تهاجم فعال امسال، حملات باج افزار بودند و به عنوان دومین نوع حملات رایج، نفوذهای غیر باج افزار به شبکه (18 درصد) به دنبال آن بودند.
منظور از کلمه “IR engagements” که به معنای “ارتباط با مراجعهکنندگان در خصوص مسائل امنیتی و حوادث امنیتی” است. در این موارد، افراد و سازمانها با مشکلات امنیتی مانند نفوذ دسترسی غیرمجاز به سیستمهای کامپیوتری، حملات با رمزگذاری و ربودهشدن دادهها، جنایات سایبری و … مواجه هستند و برای رفع مشکلات خود به مراکز متخصص در این زمینه، مانند تیمهای Incident Response (IR) مراجعه میکنند. در اینجا، کلمه “ingagements” به معنای “ارتباطات” است که مراجعه کنندگان با تیم IR را شامل میشود.
اگرچه با حملات گسترده باج افزار در حال تنوع در هدفهای خود شده است، اما همچنان بسیار شایعتر از سایر انواع حملات در سال ۲۰۲۲ بود. با نگاهی بلندمدت، میتوانیم ببینیم که باج افزار به طور پیشبینینشدهای در رتبه بالای گزارشات حملات فعال ما برای سه سال متوالی قرار دارد و تقریباً سه چهارم (۷۳٪) بررسیهای ما در این بازه زمانی شامل حملات باج افزار بوده است.

گزارش تهدیدات فعال 2023
در این گزارش، به جزئیات خانوادههای باج افزار شناسایی شده در بخشهای بعدی پرداخت خواهیم کرد. اما در حال حاضر، مهمترین نکته این است که عناوین تغییر میکنند، اما مشکل باقی میماند. حملات باج افزار همواره در مجموعه دادههای بخش پاسخ به حوادث یا IR بسیاری نمایندهی برجسته و ویرانگر هستند و بسیاری از مواقع به کمک بیشترین تخصصی نیاز دارند.
با نادیده گرفتن حملات باج افزار، دیتابیسهای حملات تخریب شبکه با ۵۸ درصد بیشترین میزان درصد را شامل میشود. به عبارت دیگر، بیش از نیمی از حملات غیر باج افزار شامل نفوذ به سیستمهای مختلف است، اما هیچگونه دلیل مشخصی برای این حملات شناسایی نشده است؛ در این حملات، احتمال دزدیده شدن دادهها هم تأیید نشده و هم تکذیب. این موضوع سئوالی را پیش میآورد: چند تا از این حملات، در واقع تلاشهای ناموفق برای انجام حملات باج افزار بودهاند؟ در واقع، ما توانستیم تعدادی از حملاتی که توسط گروههای کوبا و وایس سوسایتی انجام شده بودند، ولی به مرحله باج افزار نرسیده بودند، شناسایی کنیم. این درس برای رهبران تجاری این است که اقدامات سریع میتواند هر زنجیره حملهای را شکست دهد؛ در صورت تعدادی از این حوادث، این اتفاق افتاده است.

گزارش تهدیدات فعال 2023
در داده های جمع آوری شده، تعداد رو به افزایشی از حملات انتقال داده (data exfiltration) با 13 درصد و حملات تحت فشار قرار دادن برای پرداخت وجه (data extortion) با 8 درصد را مشاهده کرده ایم. این نوع حملات به دزدیدن داده ها (انتقال داده) و همچنین درخواست پرداخت (تحت فشار قرار دادن برای پرداخت وجه) تعریف میشوند و همچنین ویژگیهایی از برخی انواع باج افزار (ransomware) را نشان میدهند، اما ویژگیهای دیگر یک حمله رنسومر مانند رمزنگاری داده ها در محل مورد حمله، در این موارد موجود نبودند.
گزارش تهدیدات فعال 2023به علت عدم اجرای پچهای موجود، بسیاری از این حملات میتوانستند جلوگیری شوند. درصددهی مشخص میکند که در 55% از تحقیقاتی که در آنها آسیبپذیری به عنوان ریشه مشکل شناسایی شده بود، به دلیل بهرهبرداری از آسیبپذیری ProxyShell یا Log4Shell، بود. پچهایی برای این آسیبپذیریها در ماههای آوریل/مه 2021 و دسامبر 2021 منتشر شدند. کشفهای “Zero Day” همیشه در ضمیر عمومی اهمیت زیادی داشتهاند و مدیران شما نیز خواهان شنیدن آن هستند، اما در واقع اجرای پچهای ماهانه و سهماهه بیپایان، کاری است که واقعا تفاوت در پروفایل خطر شرکت شما را ایجاد میکند.
علت حملات
اگر MFA برای سرویس در دسترس نیست، باید توسط چیزی قابل اعتماد محافظت شود. شناخت مرز بین فعالیت IAB و فعالیت جرمی دیگر ممکن است هنر بیشتر از علم باشد، اما ما سعی کردهایم تا الگوها و روندهای مرتبط با IAB را در بخش Dwell Time که در پایین ذکر شده، شناسایی و مجزا کنیم.
کلمات MFA و IAB به ترتیب از عبارات شناسایی چند عامله و دسترسی های نخستین استفاده شده است.
زمان اقامت: خبر خوب، خبر بد
میانگین زمان اقامت (Dwell Time) در سال جاری کاهش یافت که میتواند به دو نوع خبر خوب و بد تعبیر شود، به تفکیک این دو دیدگاه. خبر خوب این است که ممکن است بهبود در تشخیص حملات فعال به شبکه رخ داده باشد، که برای مدافعان و قابلیتهای آنها بهبودی واقعی محسوب میشود. میانگین زمان اقامت برای همه حملات در سال 2022، 10 روز بود که نسبت به گزارش قبلی ما که 15 روز بود کاهش یافته است. ما در زمان اقامت غیررنسانسی، از ۳۴ روز به ۱۱ روز کاهش زیادی را مشاهده کردیم (با این وجود، یکی از قربانیان بیش از ۲٫۵ سال به مهاجمان در شبکه خود میزبانی کرد). زمان اقامت رنسانسی نیز در سال ۲۰۲۲ از ۱۱ روز به ۹ روز کاهش یافت.

گزارش تهدیدات فعال 2023
دادههای این گزارش در طول بررسیهای جداگانه انجام شده توسط تیم پاسخ به حوادث X-Ops شرکت Sophos جمعآوری شده است. برای این گزارش اولیه سال 2023، اطلاعات مورد نیاز در مورد همه بررسیهای انجام شده توسط تیم در سال 2022 جمعآوری شد و در 37 حوزه نرمال شد. سپس در هر مورد با توجه به زمانبندی برای بیشتر درک از مواردی مانند ورود اولیه، دوره اقامت، انتقال داده و غیره مورد بررسی قرار گرفت.