به گزارش کارگروه بینالملل سایبریان؛ به گفته کارشناسان، یک مهاجم سایبری به مدت 6 ماه در شبکه یک سازمان در منطقه آسیا-اقیانوسیه تحت پوشش باقی ماند و تصمیم گرفت در ماه اکتبر گذشته یک حمله باجافزاری را علیه قربانی خود انجام دهد؛ در طول دوره غیرمعمول طولانی شناسایی حمله، سازمان فرصتهایی برای شناسایی نشانههای متعدد تهدید قبل از اجرای حمله باجافزاری را داشت.
کارشناسان معتقدند که این سازمان افراد، فرآیند یا فناوری برای جلوگیری از اجرای باجافزار را در اختیار نداشت و تنها پس از آفلاین شدن سیستمهایش، حمله را کشف کرد.
مارک گودی (Mark Goudie)، مدیر خدمات «CrowdStrike» در منطقه آسیا-اقیانوسیه و ژاپن، اظهار داشت که این حمله باجافزاری تنها نمونهای از عدم تجهیز سازمانها در منطقه برای مقابله با حملات باجافزاری بود.
گودی با اشاره به اینکه دید تهدید یک «مسئله کلیدی» در منطقه است، گفت که سازمانها همچنان به زرادخانه امنیت سایبری متکی هستند که هنوز مبتنی بر «دانستن ظاهر بد» برای مقابله با تهدیدات سایبری است؛ او از سازمانها خواست تا به دنبال نشانههایی از عوامل تهدید در کمین شبکههایشان باشند.
مدیر خدمات CrowdStrike توضیح داد :
«ما به یک مدل مبتنی بر رفتار نیاز داریم، کاری که CrowdStrike و دیگران انجام میدهند، و سپس از آن برای مشاهده استفاده میکنند. این امر میتواند شامل ترکیب سیاهههای امنیتی برای شناسایی نشانههایی از عدم اعتبار و سایر رفتارهای شرورانه و اقدام روی آنها باشد. این فقط مربوط به فناوری نیست؛ بلکه افراد و فرآیندهایی نیز هستند و شما باید افراد آموزش دیده و فرآیندی مناسب برای به دست آوردن نتیجه داشته باشید. اینها موارد کلیدی هستند که بسیاری از سازمان ها از دست دادهاند.»
گودی خاطرنشان کرد که هنوز جایی برای نشانگرهای سازش (IOC)، خواه آدرس IP، هش یا کلید رجیستری، وجود دارد. همه این موارد خوب هستند، اما از آنجایی که عوامل تهدید میتوانند به سرعت و به راحتی تغییر کنند، آنها نباید تنها تیر در کمان باشند.
وی افزود :
«شما به بیش از این نیاز دارید؛ به موتور تشخیص رفتار، یادگیری ماشینی، شکار تهدید و افراد باهوشی نیاز دارید که کارهای هوشمندانه انجام میدهند، زیرا این روزها، دشمن شما اغلب یک شخص و نه یک ماشین است.»
در مورد حملات زنجیره تأمین، که در سالهای اخیر تشدید شدهاند، گودی از سازمانها خواست تا فروشندگان خود را بدون توجه به اینکه چه کسانی هستند، در مورد واکنش آنها به تهدیدات سایبری و نحوه اصلاح آسیبپذیریها به دقت بررسی کنند.
به گفته گودی، شما به عنوان یک کسب و کار میتوانید بگویید که این شرکتی است که میخواهید با آن درگیر باشید و به نرمافزار آنها اعتماد خواهید کرد. در حالیکه دفع حملات پیچیده مانند حادثه سولارویندز (SolarWinds)، که پارادایمهای امنیتی متعارف را به چالش میکشند، دشوار است و سازمانها میتوانند با پیشی گرفتن از دشمنان خود شانس داشته باشند.
او ادامه داد :
«طبق قانون 1/10/60 شرکت CrowdStrike، تیمهای امنیتی که با یک حمله مقابله میکنند به طور متوسط یک دقیقه برای شناسایی آن، 10 دقیقه برای درک آن و 60 دقیقه برای مهار آن فرصت دارند. صرف نظر از اینکه این اعداد چقدر هستند، این یک مسابقه است و موارد در طول زمان اندازهگیری میشوند. بنابراین، شما باید سریعتر از مهاجم پیشرفت کنید و مانع رسیدن آنها به هدف شوید. اگر بتوانید سرعت آنها را کاهش دهید، آنها را مهار و سپس حذف کنید، در درازمدت پیروز میدان خواهید شد.»
بر اساس نظرسنجی CrowdStrike، سازمانها در منطقه آسیا-اقیانوسیه همچنان با چالشهای گسترده در شناسایی و اصلاح حوادث امنیت سایبری مواجه هستند؛ به طور متوسط، پاسخ دهندگان در منطقه تخمین زدند که شناسایی یک حادثه امنیت سایبری 205 ساعت و پس از شناسایی، 14 ساعت بررسی و درک حادثه و 19 ساعت میانگین زمان اصلاح آن طول میکشد.
