پیشی گرفتن از تهدیدات در حال تحول، چالشی است که بسیاری از متخصصان فناوری اطلاعات را هوشیار نموده است. درک مهمترین تهدیدات سایبری روز، اولین قدم برای محافظت از هر سازمانی در برابر حمله است.
تهدیدات سایبری دائماً در حال تحول هستند. تا همین اواخر در سال 2016، بدافزار Trojan حدود 50٪ از کل تخلفات را به خود اختصاص می‌داد درحالی که امروز به کمتر از هفت درصد رسیده است.

به این معنا نیست که تروجان‌ها ضرر کمتری دارند. بر اساس گزارش تحقیقات نقض داده‌های(DBIR‏) Verizon در سال2020 ، قابلیت‌های backdoor و کنترل از راه دور، هنوز هم توسط عاملان تهدیدات پیشرفته، برای انجام حملات پیچیده استفاده می‌شود.

پیشی گرفتن از تهدیدات در حال تحول، چالشی است که بسیاری از متخصصان فناوری اطلاعات را هوشیار نموده است. درک مهمترین تهدیدات سایبری روز، اولین قدم برای محافظت از هر سازمانی در برابر حمله است.

5 تهدید برتر سایبری
مرکز امنیت اینترنتی (CIS) پنج حمله اصلی را که سازمان‌ها باید از آنها حفاظت شوند را از طریق Verizon DBIR و منابع دیگر شناسایی کرد:

1. بدافزار(Malware)- انواع مختلفی از بدافزار وجود دارد و بسیاری از سازمان‌ها متوجه حملات آنها در زمان‌های مختلف با انواع مختلفی می‌شوند. طبق DBIR، فعال‌ترین انواع بدافزارها امروزه با عنوان dumpers password شناخته می‌شوند که برای سرقت اطلاعات مورد استفاده قرار می‌گیرند.
ایمیل‌های فیشینگ و نصب مستقیم رایج ترین روش‌های انتشار این نوع بدافزارها هستند. دانلود (backdoors و key loggers) نیز از تهدیدات بدافزاری برجسته هستند.

2. هک کردن – بیش از 80٪ موارد نقض اطلاعات تأیید شده از طریق هک، از روش‌های  brute force یا استفاده از  مدارک گم‌شده یا به سرقت رفته است. وکتور اصلی حمله از طریق برنامه‌های تحت وب است که به دلیل افزایش محبوبیت برنامه‌های ابری ، بخشی از آن در حال افزایش است. بهره‌برداری از آسیب پذیری ، درهای پشتی(backdoors) و قابلیت فرماندهی و کنترل (Command and control‎) نیز از مهمترین تکنیک‌های هک هستند.

3. استفاده از امتیاز داخلی و سوءاستفاده- در حالی که مهاجمان خارجی عموما نسبت به خودی ها تهدید بزرگتری به شمار می‌روند ، کاربران دارای امتیاز هنوز هم ریسک قابل توجهی را به خود اختصاص می‌دهند. DBIR 2020 به کاهش تعداد حملات داخلی از سال گذشته تا کنون اشاره کرد.

با این حال، تشخیص این حوادث بسیار دشوار است و زمانی که به طور هوشمندانه پنهان شده‌باشد، می‌تواند برای مدت طولانی ادامه یابد. همچنین ، سواستفاده افراد از منابع یا سواستفاده از امتیازاتی که دارند می‌تواند منجر به افشای ناخواسته اطلاعات شود.

4- نفوذهای هدفمند – جاسوسی سایبری همچنان یک نگرانی بزرگ است، اگرچه به نظر می‌رسد اکثر حوادث از بازیگران تحت حمایت دولت به سوی افرادی که صرفاً منافع مالی می‌طلبند دور می‌شود. نفوذهای هدفمند با هک عمومی فرق می‌کند زیرا مرتکبان سخت تلاش خواهند کرد تا شناسایی نشوند و ممکن است با ادامه تمرکز بر قربانی خود ، رویکرد خود را تغییر دهند.

5. Ransomware – باج افزارها نوعی بدافزار هستند که میبایست توجه خاصی به آن داشت. باج افزار سومین نوع رایج در بدافزارها است.Credentials (ابزار احراز هویت یا اعتبارسنجی)  نیز ممکن است در حمله باج افزار به خطر افتد. خودکارسازی حملات از طریق سرویس‌های آنلاین بدان معنی است که باج افزار همچنان یک مشکل رو به رشد خواهد ماند.

تکنیک‌ها و تاکتیک‌های حمله
حفاظت از یک سازمان دربرابر حمله به موارد دیگری بیش از اطلاع از شایع‌ترین تهدیدات سایبری نیاز دارد. هر نوع حمله از یک سری تاکتیک پیروی می‌کند (مراحل حمله). تکنیک‌های زیادی وجود دارد که مهاجم می‌تواند در هر مرحله از آنها استفاده کند.

این وکتورهای حمله در سیستم تایید شده صنعت شناسایی می‌شوندکه حول مدل MITER ATT & CK (تاکتیک های خصمانه ، تکنیک ها و دانش مشترک-Adversarial Tactics, Techniques, and Common Knowledge) در حال توسعه است.

بیش از 260 تکنیک در چارچوب ATT & CK شناسایی شده است که به 11 تاکتیک متناظر ترسیم می‌شود.

حفاظت در برابر تهدیدات جدید
البته دانستن انواع حمله ، تاکتیک‌ها و تکنیک‌ها فقط آغاز کار است. سوال این است که در مورد آن‌ها چه باید کرد؟ مرکز امنیت اینترنتی (CIS) برای کمک به سازمان‌ها در طول مسیر امنیت سایبری خود ، از اطلاعات موجود در DBIR و ATT & CK برای ایجاد مدل دفاعی جامع(CDM‏) CIS  استفاده کرد.

CDM انواع مهم حمله را در DBIR شناسایی می‌کند و آنها را با تکنیک‌های مورد نیاز برای اجرای تاکتیک‌های قابل استفاده مطابقت می‌دهد. سپس یک گام فراتر می‌رود تا نقشه‌ای از تدابیر حفاظتی یافت شده در برابر تنکنیکهای بکاررفته در هر حمله  در کنترل‌های CIS و مقدار ارزش امنیت اجرای تدابیر حفاظتی را ترسیم کند.

CIS Controls یک مجموعه‌ تدابیر حفاظتی اولویت بندی شده و تجویزی هستند که رایج ترین حملات سایبری علیه سیستم‌ها و شبکه‌ها را کاهش می‌دهد. کنترل های CIS بیشتر در سه گروه پیاده سازی (IG) سازماندهی می‌شوند تا به سازمانها در تصمیم‌گیری درباره اینکه کدام یک از تدابیرحفاظتی بیشترین ارزش را میسر می‌کنند، کمک ‌کنند. این امر با توجه به اندازه و ماهیت سازمان و همچنین میزان همراهی آنها با برنامه امنیت سایبری تعیین می‌شود.

به عنوان مثال گروه اجرایی1(IG1) شامل تدابیری است که اغلب سازمانها برای دستیابی به سلامت سایبری اساسی باید اجرا کنند. CIS Controls و CIS Benchmarks ، راهنمای پیکربندی امن برای فن‌آوری‌های مختلف ، بدون هیچ هزینه‌ای در دسترس سازمانهای سراسر جهان است.

پیاده‌سازی، اتوماسیون و ارزیابی
امروزه ماهیت پیچیده محیط‌های فن‌آوری اطلاعات نیازمند راه‌حل‌های پیشرفته برای اجرا و ارزیابی است. پیاده‌سازی را می‌توان تا حد زیادی از طریق استفاده از ابزارهای خودکار برای ارزیابی و ارتقا از راه دور نقاط مهم انجام داد.

CIS-CAT Pro Assessor یکی از این ابزارهاست.این ابزار با اسکن کردن تنظیمات پیکربندی سیستم هدف و گزارش انطباق سیستم با معیار CIS مربوطه، می‌تواند در بررسی پیکربندی ساعت‌ها صرفه‌جویی کند.

علاوه بر این، ابزار خود ارزیابی CIS ‪(CIS CSAT)‬ مزایای بسیاری را برای ردیابی اجرای کنترل‌های CIS فراهم می‌کند که فراتر از یک صفحه گسترده(Spreadsheet) ساده است. CIS CSAT اکنون در نسخه “on premise” با گزینه‌های پیشرفته برای تیم‌ها، به نام CIS CSAT Pro در دسترس است. این ابزارها و موارد دیگر از طریق عضویت در CIS SecureSuite در دسترس هستند.