گزارش تهدیدات فعال 2023 برای رهبران کسب و کار، آنچه تیم پاسخ به حوادث Sophos X-Ops از پردازش بحران‌های امنیتی در سراسر جهان یاد گرفته است را ارائه می‌دهد. این گزارش بر اساس داده‌های بیش از 150 مورد انتخاب شده از حجم کاری تیم پاسخ به حوادث سال 2022 استوار است. اطلاعات بیشتر درباره جمعیت نماینده در این تحلیل را در پایان گزارش ارائه می‌دهیم.

علاوه بر داده‌های سال 2022، گزارش امسال شامل داده‌های گزارش‌های تهدید فعال سال‌های قبل Sophos X-Ops است (داده‌های 2021 و 2020). همانطور که برنامه پاسخ به حوادث سوفوس به توسعه ادامه می‌دهد، در آن داده‌های یک ساله به سال‌های گذشته آمده که می‌تواند روندهای سال به سال جالب و برخی از آنها پیش‌بینی شده را برایمان ارائه دهد.

با توسعه مجموعه داده‌ها، توانایی استخراج اطلاعات مفید برای انواع افراد و افرادی که با مشکل امنیتی مواجه هستند افزایش می‌یابد. در طول سال 2023، گزارش‌هایی بر اساس داده‌های سوفوس(و در صورت لزوم با جمع‌آوری یافته‌های سال 2023) برای هر یک از این افراد منتشر خواهیم شد. این، اولین گزارش در این سال است و برای رهبران کسب و کار که به دنبال درک کلی از چه چیزی با شرکت خود مواجه هستند، اطلاعات مفیدی را ارائه می‌دهد.

اهم نکات:
  • باج افزار هنوز تهدید فراگیری است.
  • تکنولوژی های تشخیص و پاسخ به حملات در برابر حمله کنندگان پیشرفت قابل توجهی داشته است.
  • اعمال پچ‌های امنیتی بسیار مهم است.
  • شرکت ها در معرض خطر حملات تکراری هستند زمانی که اطلاعات لاگ ندارند یا آنها را حفظ نمی کنند.
  • خوب یا بد ، زمان اقامت حمله کننده در شبکه شما کوتاه می شود.
  • هنگامی که یک مهاجم در داخل شبکه شما قرار می گیرد، احتمال اینکه داده های شما از بین برود بسیار خطرناک است.

 

منابع داده‌ای برای تهیه این گزارش، 81 درصد داده‌ها از سازمان‌هایی با کمتر از ۱۰۰۰ کارمند بودند. همانند سال‌های گذشته، ۵۰ درصد از سازمان‌هایی که به خدمات IR ما نیاز داشتند، شامل ۲۵۰ کارمند یا کمتر بودند.

با این حال، شرکت‌های بزرگ همچنان بخش مهمی از معادله هستند: در حالی که بیشتر سازمان‌های بزرگ قادرند درخصوص پاسخ به حوادث، با منابع خودشان اقدام کنند، یک پنجم سازمان‌هایی که در سال ۲۰۲۳ ، شامل شرکت‌هایی با بیش از ۱۰۰۰ کارمند بودند. (گاهی اوقات، حتی بهترین تیم‌های IR در داخل سازمان، به کمک کارشناسان با مهارت‌ها و دانش تخصصی نیاز دارند.)

اما این شرکت‌ها چه کار می‌کنند؟ برای سومین سال متوالی، بخش تولید (۲۰ درصد) بیشترین درخواست خدمات IR سوفوس را داشت، به دنبال آن به ترتیب، صنعت بهداشت (۱۲ درصد)، آموزش (۹ درصد) و خرده‌فروشی (۸ درصد) قرار داشتند. در کل، ۲۲ بخش مختلف در این مجموعه داده نمایان است. به طور کلی، این اعداد نباید به عنوان یک بیانیه جامع درباره جنبه کلی تهدید که در طول زمان وجود دارد تلقی شود، متاسفانه هیچ صنعتی از حملات مصون نیست، اما به هر حال، ما شاهد حملات مستمر به مؤسسات بهداشتی و آموزشی در چندین سال گذشته بوده ایم و جای تعجب نیست که دوباره این بخش ها را در صدر فهرست خود قرار دهیم.

انواع حمله: باج افزار بازی را اجرا می کند

سازمان‌ها در همه گروه‌های جمعیتی در سال گذشته هجوم مداوم حملات باج‌افزاری را تجربه کردند. در حالی که در اخبار ادعاهایی مبنی بر کاهش یا حتی کاهش حملات باج‌افزار در سال 2022 وجود دارد، بیش از دو سوم (68%) از حوادث ثبت‌شده در داده‌های Active Adversary امسال، حملات باج‌افزاری و به دنبال آن نقض‌های شبکه غیر باج‌افزاری (18%) بوده است. ) به عنوان دومین یافته رایج.

مربوط است. همانطور که در سال‌های گذشته بوده، ۵۰٪ سازمان‌هایی که نیاز به کمک ما داشتند کمتر از ۲۵۰ کارمند داشتند.

اما به هر حال، شرکت‌های بزرگ همچنان بخش مهمی از بررسی‌های ما هستند. در حالی که بسیاری از شرکت‌های بزرگ در حال حاضر به منابع لازم برای انجام بخشی از حوادث امنیتی درون‌سازمانی خود دسترسی دارند، یک پنجم سازمان‌هایی که در سال ۲۰۲۳ با آنها همکاری داشتیم بیش از ۱۰۰۰ کارمند داشتند. (گاهی اوقات حتی تیم‌های داخلی پرسنل‌دار بخش حادثه‌بازی نیاز به کمک از متخصصان با تخصص و دانش تخصصی دارند.)

در ضمن، این سازمان‌ها چه فعالیتی دارند؟ برای سومین سال متوالی، بخش تولید (۲۰٪) بیشترین تقاضای خدمات IR Sophos را داشت، پس از آن به ترتیب بخش بهداشت (۱۲٪)، آموزش و پرورش (۹٪) و خدمات خرده‌فروشی (۸٪) دنبال می‌شوند. در کل، این اعداد نباید به عنوان بیانی جامع درباره این جنبه از چشم‌انداز تهدید کلی در نظر گرفته شوند – متأسفانه هیچ صنعتی از حملات مستثنی نیست،اما با این حال، در گذشته شاهد حملات مداوم متعددی علیه مؤسسات بهداشتی و آموزشی بوده ایم. چند سال است، و جای تعجب نیست که دوباره این بخش ها را در صدر فهرست خود قرار دهیم.

نوع حملات گزارش تهدیدات فعال 2023: نرم افزارهای باج افزار بیشترین تهدید را به دنبال دارند

در سال گذشته، سازمان‌هایی در تمام طیف‌های مختلف با یک موج حملات باج افزار روبرو شده‌اند. در حالی که در خبرها ادعا شده بود که حملات باج افزار در سال 2022 کاهش یافته یا به حالت پایدار درآمده‌اند، بیش از دو سوم (68 درصد) حوادث ثبت شده در داده‌های تهاجم فعال امسال، حملات باج افزار بودند و به عنوان دومین نوع حملات رایج، نفوذهای غیر باج افزار به شبکه (18 درصد) به دنبال آن بودند.

منظور از کلمه “IR engagements” که به معنای “ارتباط با مراجعه‌کنندگان در خصوص مسائل امنیتی و حوادث امنیتی” است. در این موارد، افراد و سازمان‌ها با مشکلات امنیتی مانند نفوذ دسترسی غیرمجاز به سیستم‌های کامپیوتری، حملات با رمزگذاری و ربوده‌شدن داده‌ها، جنایات سایبری و … مواجه هستند و برای رفع مشکلات خود به مراکز متخصص در این زمینه، مانند تیم‌های Incident Response (IR) مراجعه می‌کنند. در اینجا، کلمه “ingagements” به معنای “ارتباطات” است که مراجعه کنندگان با تیم IR را شامل می‌شود.

اگرچه با حملات گسترده باج افزار در حال تنوع در هدف‌های خود شده است، اما همچنان بسیار شایع‌تر از سایر انواع حملات در سال ۲۰۲۲ بود. با نگاهی بلندمدت، می‌توانیم ببینیم که باج افزار به طور پیش‌بینی‌نشده‌ای در رتبه بالای گزارشات حملات فعال ما برای سه سال متوالی قرار دارد و تقریباً سه چهارم (۷۳٪) بررسی‌های ما در این بازه زمانی شامل حملات باج افزار بوده است.

گزارش تهدیدات فعال 2023

گزارش تهدیدات فعال 2023

در این گزارش، به جزئیات خانواده‌های باج افزار شناسایی شده در بخش‌های بعدی پرداخت خواهیم کرد. اما در حال حاضر، مهمترین نکته این است که عناوین تغییر می‌کنند، اما مشکل باقی می‌ماند. حملات باج افزار همواره در مجموعه داده‌های بخش پاسخ به حوادث یا IR بسیاری نماینده‌ی برجسته و ویرانگر هستند و بسیاری از مواقع به کمک بیشترین تخصصی نیاز دارند.

با نادیده گرفتن حملات باج افزار، دیتابیس‌های حملات تخریب شبکه با ۵۸ درصد بیشترین میزان درصد را شامل می‌شود. به عبارت دیگر، بیش از نیمی از حملات غیر باج افزار شامل نفوذ به سیستم‌های مختلف است، اما هیچ‌گونه دلیل مشخصی برای این حملات شناسایی نشده است؛ در این حملات، احتمال دزدیده شدن داده‌ها هم تأیید نشده و هم تکذیب. این موضوع سئوالی را پیش می‌آورد: چند تا از این حملات، در واقع تلاش‌های ناموفق برای انجام حملات باج افزار بوده‌اند؟ در واقع، ما توانستیم تعدادی از حملاتی که توسط گروه‌های کوبا و وایس سوسایتی انجام شده بودند، ولی به مرحله باج افزار نرسیده بودند، شناسایی کنیم. این درس برای رهبران تجاری این است که اقدامات سریع می‌تواند هر زنجیره حمله‌ای را شکست دهد؛ در صورت تعدادی از این حوادث، این اتفاق افتاده است.

گزارش تهدیدات فعال 2023

گزارش تهدیدات فعال 2023

در داده های جمع آوری شده، تعداد رو به افزایشی از حملات انتقال داده (data exfiltration) با 13 درصد و حملات تحت فشار قرار دادن برای پرداخت وجه (data extortion) با 8 درصد را مشاهده کرده ایم. این نوع حملات به دزدیدن داده ها (انتقال داده) و همچنین درخواست پرداخت (تحت فشار قرار دادن برای پرداخت وجه) تعریف می‌شوند و همچنین ویژگی‌هایی از برخی انواع باج افزار (ransomware) را نشان می‌دهند، اما ویژگی‌های دیگر یک حمله رنسومر مانند رمزنگاری داده ها در محل مورد حمله، در این موارد موجود نبودند.

گزارش تهدیدات فعال 2023به علت عدم اجرای پچ‌های موجود، بسیاری از این حملات می‌توانستند جلوگیری شوند. درصددهی مشخص می‌کند که در 55% از تحقیقاتی که در آن‌ها آسیب‌پذیری به عنوان ریشه مشکل شناسایی شده بود، به دلیل بهره‌برداری از آسیب‌پذیری ProxyShell یا Log4Shell، بود. پچ‌هایی برای این آسیب‌پذیری‌ها در ماه‌های آوریل/مه 2021 و دسامبر 2021 منتشر شدند. کشف‌های “Zero Day” همیشه در ضمیر عمومی اهمیت زیادی داشته‌اند و مدیران شما نیز خواهان شنیدن آن هستند، اما در واقع اجرای پچ‌های ماهانه و سه‌ماهه بی‌پایان، کاری است که واقعا تفاوت در پروفایل خطر شرکت شما را ایجاد می‌کند.

علت حملات
این گزارش، ریشه‌یابی حملات را بررسی کرده و به دو دلیل اصلی نفوذ حملات در سال 2022 اشاره می‌کند. درصد بیشتری از حملات به دلیل آسیب‌پذیری‌های بهره‌برداری‌نشده (37 درصد) اتفاق افتاده است. درصد پایین‌تری از حملات نیز به دلیل مشکلات احراز هویت (30 درصد) رخ داده است. معمولاً منشأ این مشکلات احراز هویت مشخص نیست، اما می‌تواند نشان دهنده حضور افرادی با دسترسی اولیه به شبکه باشد. در صورتی که خدمات راه دور خارجی درگیر باشند، اولین نشانه حمله موفقیت آمیز با یک حساب کاربری معتبر، ورود به سیستم است. اگر خدمات با تأیید هویت چند عاملی (MFA) محافظت نشوند، باید محافظت شوند.

اگر MFA برای سرویس در دسترس نیست، باید توسط چیزی قابل اعتماد محافظت شود. شناخت مرز بین فعالیت IAB و فعالیت جرمی دیگر ممکن است هنر بیشتر از علم باشد، اما ما سعی کرده‌ایم تا الگوها و روندهای مرتبط با IAB را در بخش Dwell Time که در پایین ذکر شده، شناسایی و مجزا کنیم.

کلمات MFA و IAB به ترتیب از عبارات شناسایی چند عامله و دسترسی های نخستین استفاده شده است.

زمان اقامت: خبر خوب، خبر بد

میانگین زمان اقامت (Dwell Time) در سال جاری کاهش یافت که می‌تواند به دو نوع خبر خوب و بد تعبیر شود، به تفکیک این دو دیدگاه. خبر خوب این است که ممکن است بهبود در تشخیص حملات فعال به شبکه رخ داده باشد، که برای مدافعان و قابلیت‌های آن‌ها بهبودی واقعی محسوب می‌شود. میانگین زمان اقامت برای همه حملات در سال 2022، 10 روز بود که نسبت به گزارش قبلی ما که 15 روز بود کاهش یافته است. ما در زمان اقامت غیررنسانسی، از ۳۴ روز به ۱۱ روز کاهش زیادی را مشاهده کردیم (با این وجود، یکی از قربانیان بیش از ۲٫۵ سال به مهاجمان در شبکه خود میزبانی کرد). زمان اقامت رنسانسی نیز در سال ۲۰۲۲ از ۱۱ روز به ۹ روز کاهش یافت.

(Dwell Time به معنای زمانی است که یک حمله کامپیوتری در شبکه شما حضور داشته و فعال بوده، اما شما نتوانسته‌اید آن را شناسایی و متوقف کنید. به عبارت دیگر، مدت زمانی که یک مهاجم در شبکه شما وجود دارد و شما از حضور آن آگاه شده‌اید، به عنوان dwell time شناخته می‌شود. این زمان به شما کمک می‌کند تا بفهمید چقدر طول کشیده تا حمله شناسایی شود و چقدر به مهاجم فرصت داده شده است تا در شبکه‌ی شما فعالیت کند.)
اخبار ناخوشایند آن است که ممکن است حمله‌کنندگان به دلیل بهبود قابلیت‌های شناسایی، تلاش خود را در این زمینه شتاب دهند.
گزارش تهدیدات فعال 2023

گزارش تهدیدات فعال 2023

داده‌های این گزارش در طول بررسی‌های جداگانه انجام شده توسط تیم پاسخ به حوادث X-Ops شرکت Sophos جمع‌آوری شده است. برای این گزارش اولیه سال 2023، اطلاعات مورد نیاز در مورد همه بررسی‌های انجام شده توسط تیم در سال 2022 جمع‌آوری شد و در 37 حوزه نرمال شد.  سپس در هر مورد با توجه به زمانبندی برای بیشتر درک از مواردی مانند ورود اولیه، دوره اقامت، انتقال داده و غیره مورد بررسی قرار گرفت.