يُظهر تقرير CrowdStrike الهويات تحت الحصار ، وسرقة البيانات السحابية
الهجمات الإلكترونية التي تستغل الفجوات في البنية التحتية السحابية – لسرقة بيانات الاعتماد والهويات والبيانات – ارتفعت في عام 2022 ، حيث زادت بنسبة 95٪ ، مع الحالات التي تنطوي على جهات تهديدات “واعية للسحابة” تضاعف ثلاث مرات على أساس سنوي. هذا وفقًا لتقرير التهديد العالمي لعام 2023 الصادر عن CrowdStrike.
ويخلص التقرير إلى أن الجهات الفاعلة السيئة تبتعد عن تعطيل تقنيات مكافحة الفيروسات والجدار الناري ، وعن جهود التلاعب بالسجلات ، وتسعى بدلاً من ذلك إلى “تعديل عمليات المصادقة ومهاجمة الهويات”.
اليوم ، الهويات تحت الحصار عبر مشهد تهديدات واسع. لماذا تعتبر الهويات وبيانات اعتماد الوصول المميزة هي الأهداف الأساسية؟ ذلك لأن المهاجمين يريدون أن يصبحوا وسطاء وصول ويبيعون المعلومات المسروقة بالجملة بأسعار مرتفعة على شبكة الإنترنت المظلمة.
يقدم تقرير CrowdStrike نظرة واقعية على مدى سرعة المهاجمين في إعادة اكتشاف أنفسهم كسماسرة وصول ، وكيف تنمو رتبهم. وجد التقرير زيادة بنسبة 20٪ في عدد الخصوم الذين يتابعون حملات سرقة البيانات السحابية والابتزاز ، وأكبر زيادة على الإطلاق في عدد الخصوم – 33 خصومًا جديدًا تم العثور عليهم في عام واحد فقط. يقف مهاجمو العنكبوت المبعثر الغزير والعنكبوت الزلق وراء العديد من الهجمات رفيعة المستوى الأخيرة على شركات الاتصالات والتعامل مع عمليات التعهيد وشركات التكنولوجيا.
تسجل الهجمات أرقام قياسية جديدة في السرعة
يقوم المهاجمون بتحويل أنفسهم رقميًا بشكل أسرع مما تستطيع المؤسسات مواكبة ذلك ، ويعيدون تسليح الثغرات وإعادة استغلالها بسرعة. وجدت CrowdStrike أن الجهات الفاعلة في التهديد تتحايل على التصحيحات وتتجنب التخفيف على مدار العام.
يذكر التقرير أن “فريق CrowdStrike Falcon OverWatch يقيس وقت الاختراق – الوقت الذي يستغرقه الخصم للانتقال بشكل جانبي ، من مضيف مخترق في البداية إلى مضيف آخر داخل بيئة الضحية. انخفض متوسط وقت الاختراق لنشاط التسلل التفاعلي eCrime من 98 دقيقة في عام 2021 إلى 84 دقيقة في عام 2022. “
يحتاج CISOs وفرقهم إلى الاستجابة بسرعة أكبر ، مع تقصير نافذة وقت الاختراق ، لتقليل التكاليف والأضرار الإضافية التي يسببها المهاجمون. تنصح CrowdStrikes فرق الأمن بالالتزام بقاعدة 1-10-60: اكتشاف التهديدات خلال الدقيقة الأولى ، وفهم التهديدات في غضون 10 دقائق ، والاستجابة في غضون 60 دقيقة.
وسطاء الوصول يجعلون الهويات المسروقة من أكثر الكتب مبيعًا
يقوم وسطاء الوصول بإنشاء أعمال مزدهرة على الويب المظلم ، حيث يقومون بتسويق بيانات الاعتماد والهويات المسروقة لمهاجمي برامج الفدية بشكل جماعي. وجد فريق الاستخبارات الذي يحظى بتقدير كبير في CrowdStrike أن الحكومة والخدمات المالية والمؤسسات الصناعية والهندسية لديها أعلى متوسط سعر طلب للوصول. بلغ متوسط سعر الوصول إلى القطاع الأكاديمي 3827 دولارًا ، بينما كان متوسط سعر الحكومة 6151 دولارًا.
نظرًا لأنهم يقدمون صفقات مجمعة على مئات إلى آلاف من الهويات المسروقة وبيانات اعتماد الوصول المميزة ، فإن وسطاء الوصول يستخدمون تقنية “المزاد لمرة واحدة” ، وفقًا لفريق CrowdStrike’s Intelligence Team. يكتب الفريق ، “ظلت طرق الوصول المستخدمة من قبل الوسطاء متسقة نسبيًا منذ عام 2021. يتضمن التكتيك السائد إساءة استخدام بيانات الاعتماد المخترقة التي تم الحصول عليها عن طريق سارقو المعلومات أو شراؤها في متاجر جذوع الأشجار في المنطقة الإجرامية السرية.”
سماسرة الوصول والسمسرة التي أنشأوها هي أعمال تجارية غير مشروعة مزدهرة. وجد التقرير أكثر من 2500 إعلان لوسطاء الوصول يعرضون بيانات اعتماد وهويات مسروقة للبيع. هذه زيادة بنسبة 112٪ عن عام 2021.
قام فريق الاستخبارات في CrowdStrike بتأليف التقرير بناءً على تحليل لتريليونات الأحداث اليومية التي تم جمعها من منصة CrowdStrike Falcon ، وإحصاءات من CrowdStrike Falcon OverWatch.
تعمل النتائج على تضخيم النتائج السابقة من تقرير CrowdStrike’s Falcon OverWatch لصيد التهديدات الذي وجد أن المهاجمين وعصابات المجرمين الإلكترونيين والتهديدات المستمرة المتقدمة (APTs) يتحولون إلى نشاط التسلل الخالي من البرامج الضارة والذي يمثل ما يصل إلى 71٪ من جميع الاكتشافات المفهرسة في الرسم البياني للتهديد CrowdStrike .
هجمات البنية التحتية السحابية تبدأ من نقطة النهاية
تستمر الأدلة في إظهار نمو الحوسبة السحابية كملعب للجهات الفاعلة السيئة. نما استغلال السحابة بنسبة 95٪ ، وتضاعف عدد الحالات التي تنطوي على جهات تهديد “واعية للسحابة” ثلاث مرات تقريبًا على أساس سنوي ، من خلال إجراءات CrowdStrike.
كتب فريق CrowdStrike Intelligence Team ، “هناك أدلة متزايدة على أن الخصوم يزدادون ثقة في الاستفادة من نقاط النهاية التقليدية للتركيز على البنية التحتية السحابية” ، مما يشير إلى تحول في استراتيجيات الهجوم من الماضي. يتابع التقرير ، “العكس صحيح أيضًا: يتم استخدام البنية التحتية السحابية كبوابة لنقاط النهاية التقليدية.”
بمجرد اختراق نقطة النهاية ، غالبًا ما يلاحق المهاجمون قلب مجموعة تقنيات الأمن السيبراني ، بدءًا من الهويات وبيانات اعتماد الوصول المميزة وإزالة الوصول إلى الحساب. غالبًا ما ينتقلون بعد ذلك إلى إتلاف البيانات وحذف الموارد وانقطاع الخدمة أو إتلافها.
يقوم المهاجمون بإعادة تسليح الثغرات الأمنية وإعادة استغلالها ، بدءًا من CVE-2022-29464 ، والتي تتيح تنفيذ التعليمات البرمجية عن بُعد وتحميل الملفات غير المقيد. في نفس اليوم الذي تم فيه الكشف عن الثغرة الأمنية التي تؤثر على العديد من منتجات WSO2 ، كان رمز الاستغلال متاحًا للجمهور. سارع الخصوم إلى الاستفادة من هذه الفرصة.
بدأ صائدو التهديدات من Falcon OverWatch في تحديد حوادث الاستغلال المتعددة التي يستخدم فيها الخصوم تكتيكات وتقنيات وإجراءات (TTPs) موجهة نحو البنية التحتية تتفق مع نشاط الصين – الرابطة. اكتشف فريق Falcon OverWatch أن المهاجمين يتجهون إلى استخدام عمليات اختراق سحابة ناجحة لتحديد أصول تكنولوجيا المعلومات التقليدية وتعريضها للخطر.
يتضاعف CrowdStrike على CNAPP
التكافؤ التنافسي مع المهاجمين بعيد المنال وقصير الأجل في أمان السحابة. يدرك جميع مزودي الأمن السيبراني الرائدين جيدًا مدى سرعة المهاجمين في الابتكار ، من Palo Alto Networks التي تقول مدى قيمة بيانات الهجوم إلى الابتكار إلى مؤسس Mandiant ومديرها التنفيذي الذي حذر من أن المهاجمين سيتفوقون على الأعمال الآمنة من خلال دراستها بلا هوادة لعدة أشهر.
لا تكتمل أي مكالمة مبيعات أو عرض تقديمي تنفيذي إلى CISO بدون دعوة لتحسين إدارة وضع الأمان السحابي ونهج أكثر عملية لإدارة الهوية والوصول (IAM) ، وإدارة استحقاق البنية التحتية السحابية المحسّنة (CIEM) وفرصة دمج مكدسات التكنولوجيا أثناء تحسين الرؤية وخفض التكاليف.
هذه العوامل وغيرها دفعت CrowdStrike إلى التعقب السريع لتوسيع منصة حماية التطبيقات السحابية الأصلية (CNAPP) في الوقت المناسب لحدث العملاء Fal.Con في عام 2022. الشركة ليست وحدها هنا. اتخذ العديد من بائعي الأمن السيبراني الرواد هدفًا طموحًا يتمثل في تحسين قدرات CNAPP الخاصة بهم لمواكبة التعقيد الجديد للمؤسسات للتكوينات متعددة الأوساط السحابية. يشمل البائعون الذين يستخدمون CNAPP في خرائط الطريق الخاصة بهم Aqua Security و CrowdStrike و Lacework و Orca Security و Palo Alto Networks و Rapid7 و Trend Micro.
بالنسبة إلى CrowdStrike ، يعتمد الطريق أمامك على مجموعة متنوعة من الأدوات المبتكرة.
“أحد المجالات التي ابتكرناها هو أنه يمكننا أخذ إشارات ضعيفة من نقاط نهاية مختلفة. وقال جورج كورتز ، المؤسس المشارك والرئيس التنفيذي لشركة CrowdStrike ، للجمهور الرئيسي في حدث Fal.Con السنوي للشركة العام الماضي.
قال: “نحن الآن نوسع ذلك ليشمل شركائنا الخارجيين حتى نتمكن من النظر إلى إشارات ضعيفة أخرى ليس فقط عبر نقاط النهاية ولكن عبر المجالات والتوصل إلى اكتشاف جديد”.
الأمر الجدير بالملاحظة في التطوير هو كيف أضافت فرق CrowdStrike DevOps والفرق الهندسية إمكانات CNAPP جديدة لـ CrowdStrike Cloud Security مع تضمين ميزات CIEM الجديدة وتكامل CrowdStrike Asset Graph. أخبر Amol Kulkarni ، كبير مسؤولي المنتجات والهندسة ، VentureBeat أن CrowdStrike Asset Graph يوفر تصورًا للأصول السحابية وأوضح كيف يمكن لـ CIEM و CNAPP مساعدة فرق الأمن السيبراني على رؤية وتأمين الهويات السحابية والاستحقاقات.
حدد Kulkarni هدفًا يتمثل في تحسين تطبيقات السحابة وتنفيذ استعلامات نقطة في الوقت الفعلي للاستجابة السريعة. وهذا يعني الجمع بين Asset Graph و CIEM لتمكين استعلامات تحليلية أوسع لإدارة الأصول وتحسين الوضع الأمني. في مؤتمر العام الماضي ، أوضح كيف يمكن لمثل هذه الأدوات أن توفر رؤية كاملة للهجمات وتمنع التهديدات تلقائيًا في الوقت الفعلي.
تضمنت أهداف التصميم الرئيسية لـ CrowdStrike فرض الوصول الأقل امتيازًا إلى السحابة وتوفير الكشف المستمر عن تهديدات الهوية ومعالجتها. أخبر سكوت فانينغ ، كبير مديري إدارة المنتجات ، الأمن السحابي في CrowdStrike ، لـ VentureBeat أن الهدف هو منع التهديدات القائمة على الهوية الناتجة عن الاستحقاقات السحابية المهيأة بشكل غير صحيح عبر العديد من موفري الخدمات السحابية العامة.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
اكتشاف المزيد من إشراق التقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.