چگونگی محافظت از SOC در مقابل حملات مهندسی اجتماعی
اخبار داغ فناوری اطلاعات و امنیت شبکهتعداد حملات سایبری از نظر کمی و میزان پیچیدگی، در چند سال اخیر به سرعت افزایش یافته است. پاندمی و گسترش ویروس کرونا فضای کاری را به شکل به محسوسی به سمت کار از خانه سوق داده است که منتج به افزایش قابل توجه حملات سایبری شده است. در کنار راه حل های امنیتی که برای نهادها و سازمانها در نظر گرفته شده است، تقریبا تمامی نهادها در هر ابعاد و هر زمینه کاری که فعال هستند، قربانی این دست حملات شده اند. این نوع تهدید، نهادها را مجبور به سرمایه گذاری در زمینه دفاع سایبری کرده است و داشتن قابلیت SOC به عنوان یک ضرورت مهم برای پاسخ به تهدیدات جاری و پیش رو مطرح شده است.
یک مرکز عملیاتی امنیتی (SOC)، تیمی است که مسئول نظارت مداوم و ارزیابی ساختار دفاعی یک سازمان یا نهاد و افزون بر آن، مقابله با نشت و درز اطلاعات و ارائه راهکار و پیشنهاد برای اقدام متقابل جهت کاهش تهدیدهای فعلی و آینده میباشد. یک SOC میتواند درون سازمانی بوده یا خارج از مجموعه و توسط یک مجموعه تامین کننده امنیت (MSSP) فراهم شود.
در ادامه به چگونگی محافظت از تیم SOC در برابر حملات مهندسی اجتماعی اشاره شده است. مانند گروه های ATP، مجرمان اینترنتی خبره، قبل از اجرای حمله اصلی، اقدام به گردآوری اطلاعات نسبت به هدف خود مینمایند. فرض کنیم که مهاجمین موفق شده اند با ترفندهای مهندسی اجتماعی، اطلاعات را از طریق یکی از اعضای اصلی SOC بدست بیاورند. این حالت میتواند باعث ایجاد یک حفره امنیتی در سیستم دفاعی سازمان و نهاد آن شخص هدف ایجاد نماید که منتج به بروز مشکلات امنیتی برای آن نهاد و نشت و درز اطلاعات گردد.
استراتژی های لازم برای جلوگیری از حملات مهندسی اجتماعی:
حملات مهندسی اجتماعی (SE) بخصوص ایمیل های فیشینگ در بالاترین رده تهدیدات پیش روی نهادها قرار میگیرند. به گزارش وب سایت سکیوریتی بولوارد، 95% از کل حملات، که شبکه سازمان ها را هدف قرار میدهند، توسط حملات فیشینگ به وقوع میپیوندند و 30% ایمیل های فیشینگ ارسالی توسط کاربری که هدف حمله واقع شده باز میشوند؛ در حالی که 12% این کاربران بر روی یک آدرس اینترنتی آلوده که در داخل ایمیل درج شده کلیک میکنند.
در ادامه یکسری از نکات ضروری امنیت سایبری که با اجرای آنها میتوان از وقوع حملات مهندسی اجتماعی جلوگیری کرد، ارائه شده است:
- از انتشار آنلاین اطلاعات حساسی که میتواند بر علیه اعضای SOC استفاده شود، بپرهیزید. به طور مثال، OSINT میتواند به نوعی تجهیز شود که محتوای حساس نشر یافته آنلاین در مورد هر ماهیتی را پیدا کند. بعد از پیدا کردن این اطلاعات حساس، یک سازمان میتواند آنها را پیش از آنکه عوامل تهدید کننده از آن بهره برداری کنند، حذف نمایند.
- افرادی که برای امنیت سایبری آموزش دیده اند، بهترین لایه دفاعی در مقابل این دست حملات هستند. افراد، ضعیفترین پیوند در این زنجیره دیجیتال فرض میشوند و بهره برداری از تمایل آنها به جلب اعتماد، همچنان موثرترین روش استفاده شده توسط مجرمان سایبری برای ورود به شبکه سازمانی هدف است. برای نمونه، با وجود استفاده از راه حل های امنیتی همچون ضد نرم افزارها و نرم افزار تشخیص و جلوگیری از نفوذ، اگر یک فرد ناآگاه بر روی یک لینک آلوده در محتوای یک ایمیل کلیک نماید، این عمل میتواند کلیه فضای شبکه آی تی آن مجموعه را به خطر بی اندازد.
- نفرات باید با دقت نسبت به بررسی آدرس ایمیل ارسال کننده اقدام نمایند تا هرگونه تلاش پنهانی موجود را کشف نمایند. به طور مثال فیشرها ممکن است از دامنه (@gooogle.com) به جای (Google.com) در زمان ارسال ایمیل استفاده نمایند تا با وانمود کردن به اصالت مشابه با Google، مخاطب را در راستای جلب اعتماد به ارسال کننده ایمیل ترغیب نمایند.
- برای ارسال یا دریافت ایمیل ها از رمزگذاری ایمیل استفاده کنید تا از هرگونه اطلاعات حساس مانند اطلاعات شخصی، اطلاعات فنی درباره سیستم دفاعی امنیتی سازمان و مکاتبات داخلی محافظت نمایید. رمزگذاری همچنین این اطمینان را میدهد که داده های رد و بدل شده از طریق ایمیل، در فرایند جابجایی، دستخوش تغییر نمیشوند.
- مضاف بر کلیه نرم افزارهای نصب شده، سیستم های عملیاتی تجهیزات رایانه ای همه اعضای تیم SOC و همچنین موارد امنیتی نصب شده برای آنها (مانند آنتی ویروس و غیره) باید به روز باشند.
- از یک DNS امن برای جلوگیری از هرگونه بدافزار و حملات آلوده اینترنتی استفاده نمایید. به مثال، یک سرویس DNS امن در صورت مشاهده سایت فیشینگ توسط کاربر، میتواند ارتباط را قطع نماید. از موارد سرویسهای DNS امن میتوان به Comodo Secure DNS و Dyn Internet Guide اشاره نمود.
- از SPF یا Sender Policy Framework استفاده نمایید. SPF یک تکنیک شناسایی ایمیل است که جلوی هر عامل آلوده ای که با نام دامنه شما اقدام به ارسال پیام کند، ممانعت به عمل می آورد. از پروتکل های مشابه میتوان به DMARC و DKIM اشاره نمود.
- از راهکارهای ضد هرزنامه بهره ببرید. راهکارهای ضد هرزنامه به آن سازمان و نهاد کمک میکنند که محل ذخیره ایمیل اعضای مجموعه را از هرگونه اسپم و سایر ایمیل های آلوده دور نگاه دارد. از معروفترین نرم افزارهای ضد هرزنامه میتوان به مواردی همچون SolarWinds MSP Mail Assure، SpamTitan و Mailwasher اشاره کرد.
- از فناوری های مختلف دفاع سایبری همچون فایروال ها، آنتی ویروس، مدیریت patch و پروتکل های مدیریت دسترسی بهره ببرید.
- فایل هایی را که نمیشناسید، دانلود نکنید. اگر ایمیل دارای پیوستی به دستتان رسید، قبل از دانلود فایل پیوست و ذخیره آن در سیستم خود، آدرس ایمیل فرستنده را به دقت بررسی نمایید.
- اطلاعات محرمانه را از طریق ایمیل و یا پیامرسان های فضای مجازی ارسال ننمایید. اگر لازم است که فایل یا اطلاعات حساسی را از طریق ایمیل ارسال کنید، حتما نسبت به رمزنگاری آن با نرم افزارهای ویژه رمزنگاری اقدام نمایید.
در مجموع حملات مهندسی اجتماعی، بخصوص در زمان پاندمی بیماری کرونا افزایش یافته اند. به همین علت ضروری است که کلیه اعضای تیم SOC موارد ایمنی و ملاحظات ذکر شده در این مقاله را جهت حفظ ایمنی نهاد و مجموعه متبوع، به کار ببندند.
برچسب ها: MSSP, SOC, نشت اطلاعات, phishing, فضای مجازی, فیشینگ, امنیت سایبری, آسیب پذیری