منذ بداية الوباء، شهدنا زيادة كبيرة في عدد الهجمات الإلكترونية وخروقات البيانات. ومع نجاح كبير، تستغل الجهات الفاعلة في مجال التهديد الخوف والذعر الذي تسببه هذه الظروف المعاكسة. ونتيجة لذلك، كان هناك ارتفاع حاد في عدد أحصنة طروادة ذات الطابع الخاص بـ COVID، وهجمات برامج الفدية، فضلاً عن عمليات الاحتيال وهجمات التصيد الاحتيالي عبر المؤسسات والقطاعات. مع تحول المزيد من المؤسسات إلى العمل عن بُعد، مع عدم وجود سياسات واستراتيجيات كافية، فإنها تراهن على أمن بيانات الموظفين والشركات الخاصة بها، والضوابط المميزة. وقد كان هذا بمثابة محفز لعدد متزايد من خروقات البيانات في جميع أنحاء العالم.

تتناول هذه المقالة الطرق المختلفة التي يمكن أن تحدث بها انتهاكات البيانات وممارسات السلامة لضمان عدم تأثر مؤسستك بما يلي:

التكوينات الخاطئة للسحابة
تعرضات البحث المرن
واجهات برمجة التطبيقات/البوابات الداخلية المكشوفة
هجمات التصيد الاحتيالي والكشف عن بيانات الاعتماد
واي فاي غير آمن/بدون VPN

التكوينات الخاطئة للسحابة

أدت التكوينات الخاطئة للسحابة إلى خروقات هائلة للبيانات. على سبيل المثال، حدثت خروقات بيانات «Capital One» و «Imperva» بسبب الكشف عن مفاتيح AWS API.

مسح فوجو يُظهر أن 84٪ من 300 متخصص في تكنولوجيا المعلومات شملهم الاستطلاع يعتقدون أنهم بالفعل ضحايا للانتهاكات السحابية غير المكتشفة.

كما أشار الاستطلاع، فإن الأسباب الأكثر شيوعًا للتكوينات السحابية الخاطئة هي:

لعدم الوعي بأمن السحابة والسياسات ذات الصلة،
ضوابط غير كافية وانقطاع في الإشراف،
عدد كبير جدًا من واجهات برمجة التطبيقات السحابية التي لا يمكن التحكم فيها بشكل مناسب، و
أنشطة داخلية مهملة

على الرغم من أن العمليات السحابية تأخذ عبئًا كبيرًا على المطورين، وتسهل الإدارة السلسة ومراقبة الخدمات المتعددة، إلا أن فرض سياسات التحكم في الوصول المناسبة وإدارة المستخدم وإدارة مفاتيح الوصول والتحكم في الوصول إلى واجهة برمجة التطبيقات يصبح أمرًا ضروريًا.

كيفية منع التكوين الخاطئ للسحابة

فهم نموذج أمان «المسؤولية المشتركة» واستخدامه.
تأكد من عمليات التحقق المتعددة أثناء تحويل العمليات إلى السحابة مع مراعاة أدوار IAM وأذونات حساب المستخدم وعمليات تدوير المفاتيح وحسابات الاختبار وأذونات مجموعة التخزين.
راجع قواعد حركة المرور الواردة والصادرة بعناية لـ VPC. مجموعات الأمان عرضة أيضًا للتكوينات الخاطئة. لذلك، قم بفرض سياسة عدم الثقة، وتمكين سجلات VPC والمراقبة.
قم بإعداد التحليل السلوكي ومراقبة النشاط بالإضافة إلى سياسات الوصول الصارمة.

تعرضات البحث المرن

Elasticsearch هو محرك بحث يقوم بفهرسة البيانات في شكل مستندات. عادةً ما يكون حجم البيانات التي يفهرسها هذا المحرك كبيرًا جدًا وتتضمن النتيجة المفهرسة البيانات الوصفية ومعلومات المستخدم الشخصية ورسائل البريد الإلكتروني أو سجلات التطبيقات والمزيد. يتم تشغيل الخدمة افتراضيًا على منفذ TCP 9200. علاوة على ذلك، فإن معظم مثيلات Elasticsearch هي إصدارات مجانية مستضافة ذاتيًا من البرنامج.

مراقب البنية التحتية لـ CloudSek xviGil اكتشف زيادة كبيرة في مثيلات Elasticsearch التي تعمل على المنفذ الافتراضي. لكنها ليست نادرة هذه الأيام. كشفت شركة أمنية مقرها المملكة المتحدة مؤخرًا عن طريق الخطأ مجموعة Elasticsearch، مما أدى إلى تسريب أكثر من 5 مليارات مستند من البيانات المخترقة بين عامي 2012 و 2019.

كيفية تأمين إلاستيكسيرتش

امنع الوصول إلى مجموعات Elasticsearch من الإنترنت. هذا هو أفضل نهج لمعظم قواعد البيانات.
تدرب على «الأمان عن طريق الغموض»، حيث لا يتم تشغيل الخدمات المثبتة على المنفذ الافتراضي. لا يؤدي هذا الإجراء إلى حل المشكلة فحسب، بل يقلل بشكل كبير من فرص الاستغلال حتى من خلال الهجمات غير المركزة.
قم بإجراء تقييمات دورية لشبكات الموردين/الشركاء وتأكد من تعيين ضوابط الأمان الخاصة بهم بشكل صحيح. يؤثر التكوين الخاطئ للبنية التحتية المملوكة للقطاع الخاص، بالإضافة إلى الشركاء والبائعين الذين يمتلكون بيانات مهمة، سلبًا على الشركات.
قم بتحليل واختبار كل نقطة دخول محتملة لأي مصدر/وظيفة بيانات مهمة. يتضمن ذلك الأدوات التكميلية المستخدمة لتوسيع إمكانيات التطبيق. يقوم معظم المستخدمين بتثبيت Kibana جنبًا إلى جنب مع Elasticsearch، مما يساعد على تصور فهارس Elasticsearch للبيانات. عادةً ما تُترك لوحات معلومات Kibana دون مصادقة، مما يمنح أي شخص عن غير قصد حق الوصول إلى البيانات المفهرسة.
قم بتشفير البيانات المخزنة، لجعل البيانات غير مجدية للمهاجم، حتى لو كان الوصول إليها ممكنًا.
استخدم أساليب أمان Elasticsearch للمصادقة، بما في ذلك:
- مصادقة مستخدم Active Directory
- مصادقة المستخدم المستندة إلى الملفات
- LDAP
- سامل
- وردي
- كيربيروس

فرض سياسة التحكم في الوصول المستندة إلى الأدوار، للمستخدمين الذين يصلون إلى الكتلة.
قم بتحديث إصدارات Elasticsearch بانتظام، لحماية المجموعة من عمليات الاستغلال المتكررة التي تؤثر على الإصدارات القديمة.
قم بعمل نسخة احتياطية من البيانات المخزنة في مجموعة الإنتاج. هذا لا يقل أهمية عن التدابير الأمنية المعتمدة. حديث حملة الهجوم تم الوصول إلى ما يصل إلى 15000 مجموعة Elasticsearch، وتم مسح محتوياتها باستخدام برنامج نصي آلي.

واجهات برمجة التطبيقات/البوابات الداخلية المكشوفة

تقوم المؤسسات بنشر تطبيقات مختلفة للاستخدام الداخلي. يتضمن ذلك أدوات إدارة الموارد البشرية وتطبيقات تسجيل الحضور وبوابات مشاركة الملفات وما إلى ذلك في حالة انتقال القوى العاملة بأكملها إلى العمل عن بُعد، مثل أوقات مثل الآن، يصبح من الصعب تتبع الوصول إلى هذه التطبيقات واستخدامها. علاوة على ذلك، يُسمح للتطبيقات بشكل متزايد بحركة المرور من الإنترنت، بدلاً من شبكات المكاتب المحلية. ونتيجة لذلك، فإن التطبيقات وواجهات برمجة التطبيقات، التي تفتقر إلى المصادقة أو تستخدم بيانات الاعتماد الافتراضية، تظهر بشكل متزايد على الإنترنت.

في الأسبوعين الماضيين، ظهر على الإنترنت عدد من بوابات الموارد البشرية وتطبيقات الرواتب ولوحات إدارة العملاء المحتملين وواجهات برمجة تطبيقات REST الداخلية وخوادم FTP المشتركة. تتم استضافة معظم التطبيقات ذاتيًا، ويمكن استخدام كلمات المرور الافتراضية للوصول إليها. اكتشفت xviGil مثيلات متعددة من الأدلة التي تحتوي على تقارير المعاملات ووثائق معلومات الموظفين وما إلى ذلك يتم تقديمها دون أي مصادقة.

كيفية منع الكشف عن البيانات من خلال واجهات برمجة التطبيقات/البوابات

يجب على فرق الأمان اختبار هذه التطبيقات بدقة.
راقب باستمرار جميع الخوادم التي تواجه الإنترنت.

هجمات التصيد الاحتيالي والكشف عن بيانات الاعتماد

بفضل تواصل القوى العاملة عن بُعد بشكل أساسي عبر القنوات النصية مثل رسائل البريد الإلكتروني والمحادثات والرسائل النصية القصيرة، أصبح من الأسهل بكثير على حملات التصيد الاحتيالي الاستفادة من القوى العاملة الموزعة. ونتيجة لذلك، ارتفع عدد هجمات التصيد الاحتيالي. قام باحثو الباراكودا لوحظ 3 أنواع رئيسية من هجمات التصيد الاحتيالي في الشهرين الماضيين:

الاحتيال
انتحال هوية العلامة التجارية
تسوية البريد الإلكتروني للأعمال (BEC)

يقع الأفراد فريسة لهجمات التصيد الاحتيالي، خاصة أثناء الوباء، بسبب:

عدم وجود اتصال مباشر
غياب العمليات والاستراتيجيات لحالات مثل هذه
نقص الوعي

نظرًا لأن رسائل البريد الإلكتروني التي تستخدم كلمة COVID تتمتع بمعدلات نقر أعلى الآن، فإن المحتالين يستخدمونها بشكل متزايد كإغراء لنشر المرفقات الضارة. بمجرد تنزيل المرفق وإسقاط حمولة البرامج الضارة، يمكن للجهات الفاعلة في مجال التهديد الوصول إلى ضغطات المفاتيح أو الملفات أو كاميرا الويب أو تثبيت برامج ضارة أو برامج الفدية الأخرى. (قم بالوصول إلى معلومات التهديدات الخاصة بـ CloudSek بشأن عمليات الاحتيال والهجمات التي تحمل عنوان COVID)

Data breach: Phishing mail — البريد الاحتيالي (https://blog.f-secure.com/coronavirus-spam-update-watch-out-for-these-emails/)

كيفية الاستعداد لهجمات التصيد الاحتيالي

كن حذرًا للغاية بشأن أي بريد تتلقاه.
تحقق من مصدر البريد الإلكتروني، قبل النقر على أي روابط أو مرفقات.
حتى إذا كانت الروابط تبدو شرعية، تحقق جيدًا من الملفات الضارة. على سبيل المثال: سيؤدي تمرير مؤشر الماوس فوق المرفق إلى عرض عنوان URL الفعلي الخاص به.

واي فاي غير آمن/لا يوجد VPN

اليوم، يتم توصيل كل القوى العاملة عن بُعد بأجهزتها الشخصية وشبكاتها. لذلك، يجب تأمين اتصال هذه الأجهزة.

كيفية منع الهجمات عبر WiFi

لتجنب هجمات القوة الغاشمة، قم بتعيين كلمات مرور معقدة لجهاز التوجيه. إذا كان جهاز التوجيه طرازًا قديمًا، فقد يستخدم تشفيرًا ضعيفًا للاتصالات، والتي يمكن اختراقها في أي وقت من الأوقات.
قد يكون الموظفون الذين يعملون من المساحات المشتركة مثل النزل متصلين بشبكات wifi المشتركة أيضًا. لذلك، لضمان عدم العبث بالبيانات داخل هذه القنوات غير الآمنة، قم بإعداد VPN. في حالة عدم قيام مؤسستك بتوفير VPN للأعمال، لا تقم بتنزيل شبكات VPN المجانية التي قد تسجل بيانات حركة المرور الخاصة بك.