گردانندگان تهدیدات سایبری بهطور معمول از پیکربندیهای امنیتی نادرست، سیاستهای امنیتی ضعیف و کنترلهای ناکافی سایبری در سازمانها جهت راهیابی به شبکه اهداف خود بهرهجویی میکنند. 27 اردیبهشت 1401، آژانسهای امنیت سایبری آمریکا، کانادا، نیوزلند، هلند و انگلستان در توصیهنامهای مشترک، فهرستی از متدوالترین تکنیکهای مهاجمان در رخنه اولیه به شبکه و خطاهای رایج قربانیان را منتشر کردند.
فهرست نهادهایی که در تهیه توصیهنامه مذکور مشارکت داشتهاند به شرح زیر است:
- US Cybersecurity and Infrastructure Security Agency
- US Federal Bureau of Investigation
- US National Security Agency
- Canadian Centre for Cyber Security
- New Zealand National Cyber Security Centre
- New Zealand CERT NZ
- Netherlands National Cyber Security Centre
- United Kingdom National Cyber Security Centre
در این مطلب چکیدهای از این توصیهنامه ارائه شده است.
بر اساس استاندارد MITRE ATT&CK، «دسترسی اولیه» یا Initial Access تاکتیک مهاجم برای دسترسی یافتن به شبکه قربانی است. بر طبق توصیهنامه 27 اردیبهشت، تکنیکهایی که معمولاً مهاجمان در جریان این تاکتیک از آنها استفاده میکنند به شرح زیر است:
- بهرهجویی از ضعف امنیتی برنامهای از سازمان که بر روی اینترنت در دسترس قرار گرفته است (Exploit Public-Facing Application).
- سوءاستفاده از سازوکارهای دسترسی از راه دور [نظیر Windows Remote Management و VNC] که برای فراهم کردن دسترسی ریموت کارکنان و پیمانکاران به شبکه توسط سازمان پیادهسازی شدهاند (External Remote Services).
- فیشینگ (Phishing).
- بهرهجویی از سازمانهای ثالثی که بهنحوی به سازمان قربانی دسترسی دارند (Trusted Relationship).
-
بهرهبرداری از حسابهای کاربری معتبر سازمان که مهاجم به گذرواژه آنها دست پیدا کرده بوده است (Valid Accounts).
همچنین، در اغلب موارد، کنترلهای ناکافی، پیکربندیهای نادرست و سیاستهای امنیتی ضعیف زیر کار را برای دستیابی مهاجمان به شبکه سازمان تسهیل میکند:
- عدم پیادهسازی سازوکار اصالتسنجی چندمرحلهای (MFA)
- تخصیص نادرست دسترسی و وجود خطا در فهرستهای به اصطلاح Access Control List
- بهروز نبودن نرمافزارها و اعمال نشدن کامل اصلاحیههای امنیتی
- استفاده از پیکربندیها، نامهای کاربری یا گذرواژههای پیشفرض
- عدم کنترل یا کنترل ناکافی بسترهای VPN برای جلوگیری از دسترسیهای غیرمجاز
- پیاده نشدن سیاست پیچیده و قوی بودن گذرواژه
- بکار نبستن سازوکار حفاظتی برای بسترهای رایانش ابری
- قابل دسترس بودن برخی درگاهها و سرویسهای با پیکربندی ناصحیح بر روی اینترنت
- ناموفق بودن در برابر تهدیدات فیشینگ
- ضعیف بودن راهکار Detection and Response بر روی نقاط پایانی
جزییات بیشتر در نسخه اصلی توصیهنامه قابل دسترس است. مطالعه آن به تمامی راهبران و مسئولان امنیت توصیه میشود.