شرکت بیمه سایبری آلیانز در گزارشی به بررسی تحولات حوزه باجافزار میپردازد.
"پایگاه رسانه ای گرداب جهت اطلاع و افزایش دانش و سواد فضای مجازی مخاطبان خود و به ویژه دانشجویان، پژوهشگران و تصمیم گیران، ترجمه هایی در این زمنیه منتشر میکند. بدیهی است انتشار این مطالب، لزوما به معنای تایید محتوای آن نیست."
به گزارش گرداب، شرکت بیمه سایبری Allianz Global Corporate & Specialty به بررسی تحولات حوزه باجافزار میپردازد که شرکتها چگونه میتوانند امنیت سایبری و شیوههای فناوری اطلاعاتی خود را با بهداشت سایبری (مجموعه کارهایی که سازمانها و افراد به طور منظم برای حفظ سلامت و امنیت کاربران، دستگاهها، شبکهها و دادهها انجام میدهند) تقویت کنند.
در مدت زمان بحران کووید-۱۹ حادثه دیگری نیز در فضای سایبر رخ داده است. یک ویروس مسری دیجیتال که توسط باجافزار هدایت میشود، به دادهها و سیستمهای شرکتهای مختلف حمله میکند و از آنها درخواست باج میکند. این نوع حملات در سطح جهانی بسیار افزایش یافتهاند که البته افزایش فراوانی و شدت حوادث باجافزار تحت تاثیر عوامل متعددی است، یکی از این عوامل تعداد زیاد الگوهای حمله مانند کمپینهای اخاذی «دوگانه» و «سهگانه» است.
در این گزارش، این شرکت بیمه سایبری پنج روند را در فضای باجافزار شناسایی میکند، اگرچه این روندها دائما در حال تغییر هستند و میتوانند به سرعت بین مجرمان سایبری و شرکتها تغییر کنند:
۱. توسعه باجافزار به عنوان یک سرویس، انجام حملات را برای مجرمان آسانتر کرده است. گروههای هکری مانند REvil و Darkside ابزارهای هک خود را به دیگران میفروشند، اجاره میدهند یا طیف وسیعی از خدمات پشتیبانی را ارائه میدهند. در این صورت، عوامل تهدید مخرب بیشتری فعالیت خواهند کرد.
۲. از اخاذی یک نفره تا مضاعف تا سه گانه، تاکتیکهای «اخاذی مضاعف» رو به افزایش است. مجرمان، رمزگذاری اولیه دادهها و سیستمها یا پشتیبانگیری از آنها را با شکل ثانویه اخاذی مانند تهدید به انتشار دادههای حساس یا شخصی ترکیب میکنند. در چنین سناریویی، شرکتهای آسیبدیده باید احتمال یک وقفه بزرگ تجاری و رخداد نقض داده را مدیریت کنند، که این موضوع میتواند باعث افزایش هزینه نهایی حادثه شود. حوادث «اخاذی سهگانه» میتوانند حملات دیداس (DDoS)، رمزگذاری فایل و سرقت دادهها را ترکیب کنند و فقط یک شرکت را هدف قرار نمیدهند، بلکه به طور بالقوه مشتریان و شرکای تجاری آن را نیز هدف قرار میدهند. به عنوان مثال، از یک کلینیک روان درمانی در فنلاند درخواست باج شد. در عین حال، مبالغ اندکی نیز از بیماران در ازای عدم افشای اطلاعات شخصی آنها گرفته شد.
۳. حملههای زنجیره تامین مهمترین روند بعدی است و دو نوع اصلی دارد؛ آنهایی که ارائهدهندگان نرمافزار/خدمات فناوری اطلاعات را هدف قرار میدهند و از آنها برای انتشار بدافزار استفاده میکنند (به عنوان مثال، حملات Kaseya یا Solarwinds). یا آنهایی که زنجیرههای تامین فیزیکی یا زیرساختهای حیاتی را هدف قرار میدهند، مانند حمله سایبری به خط لوله کولونیال. ارائهدهندگان خدمات احتمالا اهداف اصلی هستند، چون آنها اغلب راهحلهای نرمافزاری را به صدها یا هزاران کسبوکار عرضه میکنند و بنابراین به مجرمان شانس پرداخت بالاتری را میدهند.
۴. روند صعودی باج: در ۱۸ ماه گذشته تقاضای باج افزایش یافته است. به گفته شبکه پالو آلتو، متوسط تقاضای اخاذی در ایالات متحده در نیمه اول سال ۲۰۲۱، ۵.۳ میلیون دلار بود که ۵۱۸ درصد نسبت به میانگین سال ۲۰۲۰ افزایش داشت. بالاترین تقاضا ۵۰ میلیون دلار بود که نسبت به سال قبل افزایش چشمگیری داشت. میانگین مبلغ پرداختی به هکرها حدود ۱۰ برابر کمتر از میانگین تقاضا است، اما این روند صعودی عمومی نگران کننده است.
۵. پرداخت یا عدم پرداخت: پرداخت باج موضوعی بحث برانگیز است. سازمانهای اجرای قانون معمولا توصیه به پرداخت مطالبات اخاذی میکنند تا انگیزه بیشتری برای حملات ایجاد نشود. البته حتی زمانی که یک شرکت تصمیم به پرداخت باج میگیرد، ممکن است خسارت قبلا وارد شده باشد. بازیابی سیستمها و فعال کردن بازیابی کسبوکار، حتی زمانی که یک شرکت کلید رمزگشایی را در اختیار دارد، کار بزرگی است.
محرکهای اصلی ضرر و زیان:
بر اساس تجزیه و تحلیل ادعاهای این شرکت بیمه سایبری، وقفه در کسب و کار و هزینههای بازیابی، بزرگترین محرکهای خسارات سایبری هستند. میانگین کل هزینه بازیابی و از کارافتادگی از یک حمله باجافزار بیش از دو برابر نسبت به سال گذشته افزایش یافته و از حدود ۷۰۰ هزار دلار به ۱.۸۵ میلیون دلار رسیده است.
افزایش حملات باجافزاری در سالهای اخیر باعث تغییر عمده در بازار بیمه سایبری شده است. به گفته کارگزار مارش، نرخ بیمه سایبری در حال افزایش است، در حالی که ظرفیت نیز افزایش یافته است.
بهترین شیوهها:
۱. شناسایی باجافزار:
آیا مجموعه ابزارهای ضد باجافزار در سراسر سازمان مستقر هستند؟
چه اقدامات پیشگیرانهای برای شناسایی تهدیدات باجافزار وجود دارد؟
آیا بیمه نامهها، رویهها، روشهای کنترل دسترسی و کانالهای ارتباطی به طور مکرر برای مقابله با تهدیدات باجافزار بهروزرسانی میشوند؟
آیا قابلیتهای داخلی یا ترتیبات خارجی برای شناسایی گونههای باجافزار وجود دارد؟
۲. برنامهریزی تداوم کسب و کار/طرح واکنش به حوادث:
آیا فرآیندهای واکنش به حادثه باجافزار وجود دارد؟
آیا حوادث قبلی باجافزار وجود داشته است؟ اگر چنین است، چه چیزهایی یاد گرفته شده است؟
آیا تمهیدات از پیش توافق شده با شرکتهای ارائه دهنده خدمات ضد باجافزار وجود دارد؟
آیا آموزش منظم و فرآیند آگاهیبخشی به کاربران در مورد امنیت اطلاعات، فیشینگ (روش تقلبی ارسال ایمیل یا پیام)، کلاهبرداریهای تلفنی و تماسهای جعلی و حملات مهندسی اجتماعی انجام میشود؟
آیا تمرینات مهندسی اجتماعی یا شبیه سازی فیشینگ به صورت مداوم انجام میشود؟
۳. پشتیبانگیری:
آیا پشتیبانگیری منظم انجام میشود؟ از جمله پشتیبانگیری مکرر برای سیستمهای حیاتی برای به حداقل رساندن تاثیر اختلال.
آیا پشتیبانگیری آفلاین نیز انجام میشود؟
آیا پشتیبانگیریها رمزگذاری شدهاند؟ آیا نسخههای پشتیبان در چندین مکان خارج از سایت تکثیر و ذخیره میشوند؟
آیا فرآیندهایی برای بازیابی موفقیتآمیز داراییهای کلیدی در چارچوب Recovery Time Objective وجود دارد؟
آیا پشتیبانگیریها به طور دورهای در مقایسه با دادههای اصلی، برای اطمینان از یکپارچگی بازیابی میشوند؟
۴. نقاط پایانی:
آیا محصولات محافظت از نقطه پایانی (EPP)، راهحلهای تشخیص و پاسخ نقطه پایانی (EDR) در سراسر سازمان در دستگاههای تلفن همراه، تبلتها، لپتاپها، رایانههای رومیزی و ... استفاده میشوند؟
آیا راهحلهای رمز عبور مدیریت مکانی (LAPS) در نقاط پایانی اجرا شده است؟
۵. امنیت ایمیل، وب و اسناد اداری:
آیا چارچوب بیمه نامه فرستنده با دقت اجرا میشود؟
آیا ایمیلها برای جستجوی لینکها و برنامههای مخرب بالقوه پیکربندی شدهاند؟
آیا فیلتر محتوای وب مانع دسترسی به پلتفرمهای رسانههای اجتماعی میشود؟
۶. تقسیم بندی:
آیا تفکیکهای فیزیکی و منطقی در شبکه، از جمله محیط ابری (مجموعهای از سیستمها و فرآیندهایی که با یکدیگر برای ارائه خدمات به گونهای عمل میکنند که با سختافزار یا نرمافزار خاص زیربنایی که برای چنین هدفی استفاده میشود، جدا باشد) انجام میشود؟
آیا تقسیمبندی کوچک و چارچوبهای اعتماد صفر برای کاهش سطح حمله کلی وجود دارد؟
آیا اسکنهای خودکار برای شناسایی آسیبپذیریها اجرا میشوند؟ آیا تستهای نفوذ شخص ثالث به طور منظم انجام میشود؟
آیا سازمان از سیاستهای دسترسی مناسب، اجرای احراز هویت چند عاملی برای دسترسی به دادههای حیاتی، اتصالات شبکه از راه دور و دسترسی کاربران ممتاز، اطمینان حاصل کرده است؟
آیا نظارت مستمر برای تشخیص رفتار غیرمعمول حساب، حسابهای دامنه جدید و هرگونه افزایش امتیاز حساب (سطح مدیر)، افزودههای سرویس جدید و زنجیره غیرمعمول دستورات در یک دوره زمانی کوتاه اجرا میشود؟
۷. ادغام و اکتساب:
قبل از M&A چه فعالیتهایی برای مدیریت ریسک انجام میشود؟
آیا رسیدگیهای امنیتی منظم روی نهادهای تازه ادغام شده برای اطمینان از ارزیابی کنترلهای امنیتی انجام میشود؟
