پیچیدگی سیستم های فناوری اطلاعات شرکت ها در 10 سال گذشته به طور قابل توجهی افزایش یافته است، ابتدا با حرکت از سیستم های ثابت در محل به فضای ابری و سپس با رشد برنامه های وب و خدمات مبتنی بر ابر ارائه راه های جدید کارآمدتر برای انجام تجارت.
در حالی که برخی از سازمانهای کوچکتر ممکن است کاملاً مبتنی بر ابر باشند، اکثریت قریب به اتفاق سازمانها ترکیبی از فناوری اطلاعات داخلی، ابری یا ابر ترکیبی دارند و از سیستمها و برنامههای وب شخص ثالث برای خدمات داخلی یا مشتری استفاده میکنند.
در همین مدت، مهاجمان پیچیده تر شده اند، با حملات هدفمند معمولاً از چندین آسیبپذیری برای به دست آوردن جای پایی استفاده میکنند، امتیازات خود را افزایش میدهند، سپس به میزبانها و سرورهای دیگر در شبکه منتقل میشوند.
پس از آن، استفاده بیشتری از آسیبپذیریها برای حفظ پایداری وجود خواهد داشت – این آسیبپذیریها فقط آسیبپذیریهای نرمافزاری نیستند، بلکه میتوانند خطاهایی در پیکربندی ابر یا مدیریت هویت و دسترسی (IAM)، یا می تواند نتیجه حمله زنجیره تامین به یک نرم افزار یا ارائه دهنده خدمات باشد.
تا حدودی می توان به این موارد پرداخت اسکن آسیب پذیری و برنامه های تأیید خودکار خط مشی ابری که پیکربندی ها را در مقابل یک خط مشی سطح بالا بررسی می کنند، اما هرگز نمی توان آنها را حذف کرد.
چارچوب MITER ATT&CK 9 تکنیک اصلی را که مهاجمان برای دستیابی به دسترسی اولیه استفاده می کنند، شناسایی می کند.
اکثر این موارد – مانند به خطر انداختن درایو وب، بهره برداری از برنامه های عمومی، فیشینگ خارجی، تکرار از طریق رسانه های قابل جابجایی، استفاده از حساب های سرقت شده – فقط دسترسی در سطح کاربر را فراهم می کند.
این به مهاجم اجازه می دهد تا به اطلاعات در دسترس کاربر دسترسی داشته باشد، اما دسترسی کامل را نمی دهد. برای این کار، مهاجم باید از یک آسیب پذیری برای افزایش امتیازات و تبدیل شدن به یک مدیر برای فرار از میزبان اولیه و دیگری برای به دست آوردن جای پایی در میزبان یا سرور دوم استفاده کند.
به طور مشابه، اگر میزبانی برنامه های وب، سوء استفاده از یک آسیب پذیری یا پیکربندی نادرست در یک برنامه وب خارجی می تواند دسترسی به پایگاه داده زیربنایی یا دسترسی مستقیم به سیستم عامل و از طریق آن به سیستم های دیگر را با سوء استفاده از آسیب پذیری های دیگر بدهد.
در حالی که سیستم های مشتری و داخلی باید از هم جدا نگه داشته شوند، اغلب اینطور نیست و می توان از یک پلت فرم یا سیستم به پلتفرم دیگر پرش کرد.
محتمل ترین اتصال یک سیستم IAM معمولی خواهد بود، به خصوص اگر دامنه ویندوز کاربران باشد رمز عبور در سیستم های مختلف استفاده می شود – که غیر معمول نیست. با این حال، اگر هر گونه ارتباطی بین دو سیستم وجود داشته باشد، پیکربندی ضعیف یا آسیبپذیریهای رفع نشده میتواند به مهاجم اجازه دهد تا بین آنها حرکت کند.
این خطر بدون موجودی دقیق دارایی ها و ارتباطات متقابل، که باید همیشه به روز باشد، به درستی قابل رسیدگی نیست.
“اگر هر گونه ارتباطی بین دو سیستم وجود داشته باشد، پیکربندی ضعیف یا آسیبپذیریهای رفع نشده میتواند به مهاجم اجازه دهد تا بین آنها حرکت کند.”
پدی فرانسیس، ایرباس امنیت سایبری
پس از تحقق این امر، اولین گام در رسیدگی به این خطر باید منطقه بندی/بخش بندی با نظارت مناسب بر ترافیک بین منطقه ای باشد. این باید با اسکن و وصله آسیبپذیری منظم دنبال شود تا آسیبپذیریهای یافت شده حذف شود یا در مواردی که وصلهگذاری امکانپذیر نیست، آسیبپذیریها را کاهش دهیم تا نتوان از آنها سوء استفاده کرد. این ممکن است در سطح آسیب پذیری فردی یا کاهش سطح سیستم باشد که چندین آسیب پذیری را برطرف می کند.
برای ابر، پیکربندیهای نادرست را میتوان با استفاده از ابزارهایی شناسایی کرد که میتوانند پیکربندیها را در برابر یک خطمشی امنیتی سطح بالا تأیید کنند، که باید به اصلاح پیکربندیهای اشتباه ابری اجازه دهد. البته این فرض را بر این میگذارد که خطمشی برای ابزار بررسی وجود داشته باشد.
برای برنامه های وب یا سایر توسعه نرم افزارهای سفارشی، قوانین کدگذاری امنیتی و استفاده از تجزیه و تحلیل کد استاتیک و پویا به عنوان بخشی از چرخه آزمایش DevOps به حذف مشکلات رایج مانند سرریز بافر و آسیب پذیری های اسکریپت بین سایتی کمک می کند.
به ناچار آسیبپذیریهایی وجود خواهند داشت که قابل اصلاح یا کاهش نیستند و پیکربندیهای نادرست ناشناخته. بنابراین باید برای مواردی که نمیتوان آنها را اصلاح کرد، یا از آنها اطلاعی ندارید، کاری انجام داد.
اگر قبلاً وجود ندارد، احراز هویت چند عاملی (MFA) برای دسترسی سرپرست، دسترسی از راه دور به شبکههای خصوصی مجازی و دسترسی به سایر سیستمهای حساس به کاهش افزایش امتیازات و استفاده از اعتبارنامههای سرقت شده کمک میکند – به عنوان مثال، از طریق اسنیفرهای رمز عبور، ثبتکنندههای کلید و غیره. بر.
استفاده از منطقه بندی و نظارت اضافی همچنین می تواند به ایجاد اقدامات کاهشی در سطح سیستم برای آسیب پذیری های شناخته شده کمک کند و با محدود کردن ترافیک بین مناطق به آنچه مورد انتظار است و نظارت بر ترافیک بین منطقه ای به شناسایی آسیب پذیری ها و پیکربندی های ناشناخته شناسایی یا جلوگیری کند. شناسایی فعالیت های بهره برداری بالقوه
بالاخره یک استقلالی تست نفوذ روی سیستم کاهش آسیب پذیری های شناخته شده را ثابت می کند و همچنین می تواند پیکربندی های نادرست را شناسایی کند، اما قادر به شناسایی آسیب پذیری های ناشناخته نخواهد بود.
سیستمهای بزرگتر IT امروزی معمولاً پیچیده هستند و اغلب در طول زمان به صورت تکهتکه ساخته میشوند. این معمولاً آسیبپذیریها و پیکربندی نادرست را از طریق پیکربندی مجدد تجهیزات و سیستمها و معرفی برنامهها و سرویسهای جدید ایجاد میکند. چنین سیستمهایی احتمالاً دارای آسیبپذیریها و خطاهای پیکربندی هستند – و در صورت وجود، در نهایت مورد سوء استفاده قرار خواهند گرفت.
0
0
