الاسم الساخن الجديد في هجمات برامج الفدية هو Lapsus $. إذا لم تكن قد سمعت عنهم من قبل ، فمن المحتمل أنك سمعت عن بعض الشركات التي هاجموها ، بما في ذلك Nvidia و Samsung و Okta و Microsoft - على سبيل المثال لا الحصر. بالنسبة لغير المطلعين ، Lapsus $ هي مجموعة قرصنة تركز على سرقة البيانات والابتزاز. تستهدف المجموعة الشركات بشكل أساسي ، وقد تكبدت مجموعة مقلقة من الخسائر العالمية الجديرة بالملاحظة.
في كثير من الأحيان ، أساءت LAPSUS $ استخدام نقاط الضعف البشرية داخل الشركات ، مثل تكنولوجيا المعلومات أو دعم العملاء. في حالات أخرى ، قاموا بشراء رموز تسجيل الدخول المخترقة بالفعل من أسواق الويب المظلمة. عادة ، قد يرى بعض المتخصصين في الأمن السيبراني هذه تهديدات منخفضة المستوى. الحقيقة هي أن التطور ليس هو المقياس الوحيد الذي يجعل المتسلل أكثر تهديدا. إنها أيضا جرأتهم.
الشكل 1: Skyhigh Securityاكتشاف الحالات الشاذة التي تشير إلى نشاط مشبوه:
من استخدام تكتيكات الهندسة الاجتماعية ومبادلة بطاقة SIM ، إلى هجمات التصيد الاحتيالي الماكرة والإغراء العلني للموظفين الداخليين ، يستفيد مشغلو Lapsus$ من الموارد المعروضة للحصول على موطئ قدم في شبكة الشركة عبر الوسائل الشائعة ل VPN والبنية التحتية لسطح المكتب الافتراضي (VDI).
هذا يسلط الضوء بوضوح على حقيقة أنه إذا كان البشر يعملون من أجلك ، فأنت عرضة للهندسة الاجتماعية. لا ينبغي معاملة أي شخص على أنه غير قابل للفساد. يتمثل التأثير المباشر للموارد السحابية في أنه يجب عليك تقليل أذونات الوصول التي يمتلكها الأشخاص إلى الحد الأدنى الذي يحتاجون إليه بالفعل من أجل أداء عملهم. نظرا لأن السحابة عادة ما تخزن موارد حساسة للغاية ، فإن تزويد أي شخص قد يتم اختراقه (الجميع تقريبا!) بأذونات مفرطة يمكن أن يتسبب في التعرض غير المبرر لجواهر تاج المؤسسة.
كيف حدثت هذه الانتهاكات؟
باستخدام تقنيات الهندسة الاجتماعية والتلاعب على نطاق واسع ، جمعت مجموعة Lapsus $ قائمة مهيبة من الضحايا على مستوى العالم. ومن المثير للاهتمام أن الحوادث تشترك في نهج مشترك. وتضمنت جميعها استخدام بيانات اعتماد صالحة، وفي النهاية إساءة استخدام أي أذونات تم منحها لتلك الهوية. هذه الهجمات هي تذكير صارخ بأن المصادقة (من أنت؟) والتفويض (ماذا يمكنك أن تفعل؟) أمران حاسمان للوضع الأمني. لم تكن مبادئ أقل امتياز وثقة معدومة قابلة للتطبيق أكثر من أي وقت مضى.
ما الذي يمكن عمله؟
على الرغم من بذل قصارى جهدك للمصادقة والتفويض ، لا يزال من الممكن حدوث خرق على أيدي المطلعين المتحمسين.
يطرح السؤال ، "كيف تحدد ما إذا كانت تصرفات كيان موثوق به ومعتمد ضارة؟" مجموعات الأذونات لديها عادة سيئة من الزحف والنمو بمرور الوقت.
الشكل 2: Skyhigh Securityتسجيل مخاطر المستخدم يسلط الضوء على التهديدات الداخلية المحتملة:
كجزء من Zero Trust Network Access نهج (ZTNA) ، يتم تشجيع المؤسسات على تقسيم شبكاتها ، وتقييم الموقف للأجهزة الطالبة ، وتوفير الوصول إلى التطبيقات والموارد في السياق (باستخدام DLP و Remote Browser Isolation القدرات).
في الحالة المشؤومة للتهديد الداخلي ، يمكن أن تساعد الاكتشافات المستندة إلى الشذوذ وقدرات التحليل السلوكي في اكتشاف وتخفيف السلوكيات غير الطبيعية والتي يحتمل أن تكون خطرة من خلال بناء خط أساس "النشاط الطبيعي" لهذا السياق المحدد ، لتسليط الضوء في النهاية على أي حالات شاذة أو انحرافات لاتخاذ إجراءات سريعة.
الشكل 3: Skyhigh Securityسمات مخاطر المستخدم وأوزان النشاط:
ولكن ، بالطبع ، الأمن هو أكثر من مجرد مجموعة من الضوابط الفنية. يجب على ممارسي الأمن مراجعة الأذونات والعمليات والإجراءات المستخدمة من قبل أصحاب المصلحة والكيانات الموثوقة - الداخلية والطرف الثالث. وقد دفعت الهجمات المذكورة آنفا عالم الأمن إلى الانتباه إلى هذه الأساسيات.