التكنولوجيا والويب

زيادة السرعة والتفاعل والتطور في عوامل التهديد في عام 2023 – TechToday


الصورة: WhataWin

وصل وقت اختراق الخصم – الوقت الذي يستغرقه ممثل التهديد إلى zipline من نقطة الدخول الأولية إلى الشبكة – إلى أدنى مستوى له على الإطلاق بلغ 79 دقيقة ، بانخفاض عن 84 دقيقة في العام الماضي ، مع اقتراب أسرع اختراق لهذا العام بمعدل سبع دقائق.

قال بارام سينغ ، نائب رئيس وحدة مراقبة التهديدات في CrowdStrike ، Falcon OverWatch: “هذا أمر مهم ، لأن جميع كتيبات اللعب الخاصة بك من جانب الدفاع يجب تحديدها من خلال مدى سرعة عمل ممثل التهديد”. “يحتاج جميع أعضاء الفريق الأزرق ، بمن فيهم نحن ، إلى القيام بأشياء مثل التفكير في الأتمتة ومعرفة كيفية إيقاف أسرع ممثل تهديد ، حيث يتحرك أحدهم بشكل جانبي في غضون سبع دقائق.” أظهر تقرير التهديد أيضًا زيادة بنسبة 40٪ على أساس سنوي في التدخلات التفاعلية ، حيث يتفاعل الخصم مع هدف وينفذ ضده. كان القطاع الأكثر استهدافًا هو التكنولوجيا للعام السادس على التوالي ، تليها القطاعات المالية والتجزئة والرعاية الصحية والاتصالات (الشكل أ).

الشكل أ

تعد التكنولوجيا والتمويل والتجزئة من أهم ثلاثة أهداف للهجوم.
تعد التكنولوجيا والتمويل والتجزئة من أهم ثلاثة أهداف للهجوم. الصورة: CrowdStrike

قال سينغ: “إننا ننظر إلى بعض الإحصائيات نفسها عامًا بعد عام ، ونرى أنه بالنسبة لبعض هذه الإحصائيات تتحرك الإبرة وتفضل الجهات الفاعلة في التهديد”.

وجد تقرير CrowdStrike ، باستخدام البيانات من 1 يوليو 2022 إلى 30 يونيو 2023 ، التي حصلت عليها Falcon OverWatch والتي تم الكشف عنها هذا الأسبوع في مؤتمر Black Hat السنوي في لاس فيجاس ، أيضًا ما يلي:

  • تضمنت 62 بالمائة من عمليات التطفل التفاعلية إساءة استخدام الحسابات الصالحة ، بينما كانت هناك زيادة بنسبة 160٪ في محاولات جمع المفاتيح السرية وبيانات الاعتماد الأخرى عبر واجهات برمجة تطبيقات البيانات الوصفية للمثيلات السحابية.
  • كانت هناك زيادة بنسبة 40٪ على أساس سنوي في التدخلات التفاعلية ، حيث كانت التكنولوجيا الأكثر استهدافًا هي التكنولوجيا للعام السادس على التوالي ، تليها المالية والتجزئة والرعاية الصحية والاتصالات.
  • زاد حجم نشاط التسلل التفاعلي ضد صناعة الخدمات المالية بأكثر من 80٪ هذا العام مقابل 2022 ، وهي أكبر قفزة لاحظتها CrowdStrike في صناعة الخدمات المالية.

ذكرت CrowdStrike أيضًا أن كوريا الشمالية كانت جبهة الدولة القومية لأكثر الهجمات عدوانية التي ترعاها الدولة.

كما أن سماسرة الوصول في ارتفاع. أبلغت الشركة عن زيادة بنسبة 147 ٪ في إعلانات وسيط الوصول على الويب المظلم ، بزيادة 35 ٪ عن 6 أشهر الماضية.

وجد CrowdStrike أيضًا أنه للسنة السادسة على التوالي ، كان قطاع التكنولوجيا هو الأكثر استهدافًا ، مع القطاع المالي الثاني ، ليحل محل الاتصالات ، وهو ثالث أكثر القطاعات استهدافًا. كانت مجموعات التهديد الكورية الشمالية ، التي تهدف إلى توليد العملة ، وفقًا للتقرير ، أكثر الخصوم الذين ترعاهم الدولة عدوانية مقابل القطاع المالي.

وجد التقرير أنه في حين أن الخصوم مثل المهاجمين المتحالفين مع كوريا الشمالية يركزون على سرقة العملات المشفرة أو الرموز غير القابلة للتغير (NFTs) ، فإن الصورة الأكبر هي أن برامج الفدية الانتهازية لصيد الألعاب الكبيرة (BGH) وحملات سرقة البيانات تظل التهديد الأساسي للجرائم الإلكترونية للمؤسسات المالية.

يشير التقرير أيضًا إلى اثنين من المهاجمين ، وهما الإيرانيان Kitten و Chinese Panda بوصفهما ممولين لممارستين محددتين: يستغل مستخدمو Kitten نوعًا معينًا من الأصول بينما يهدف خصوم Panda بشكل متزايد إلى اتساع نطاق الهجمات التي يتم فرضها ضد أكبر عدد ممكن من الأهداف (الشكل ب)

الشكل ب

أهم المتسللين في عام 2023 وأهدافهم.
أهم المتسللين في عام 2023 وأهدافهم. الصورة: CrowdStrike

إن اعتماد قطاع التكنولوجيا على البيانات الحساسة واستخدامها يجعله هدفًا لـ BGH لبرامج الفدية وسرقة البيانات. تشمل تهديدات الجرائم الإلكترونية البارزة الأخرى لقطاع التكنولوجيا الخدمات التمكينية ووسطاء الوصول وحملات سرقة المعلومات ، وفقًا لتقرير CrowdStrike.

أشارت الشركة أيضًا إلى بعض السمات المميزة لتكتيكات 2023 من قبل الجهات الفاعلة في التهديد:

  • استغلال البرامج الضعيفة للوصول عبر وسطاء الوصول ، مما يعني أن المؤسسات بحاجة إلى رؤية سطح هجومها الخارجي.
  • تفشي استخدام أدوات المراقبة والإدارة الشرعية عن بُعد للاندماج في ضوضاء المؤسسة وتجنب الكشف.
  • القدرة على التنقل بين أنظمة تشغيل متعددة ، مثل هجوم سلسلة التوريد 3CX بواسطة Labyrinth Chollima ، الذي اكتشفه CloudStrike.

تزداد سخونة “ Kerberoasting ” في عام 2023

خلال العام الماضي ، لاحظت Falcon OverWatch زيادة بنسبة 583٪ في تكتيك يسمى Kerberoasting ، والذي يمنح المهاجمين امتيازات أعلى ويسمح بالحركة الجانبية داخل بيئة الضحية.

Kerberos هو بروتوكول مصادقة يمنح تذاكر للوصول إلى حسابات Active Directory ، وهو بروتوكول يعتمد على معرف فريد. يتضمن Kerberoasting سرقة التذاكر التي تحتوي على أوراق اعتماد مرتبطة بالمعرفات. على الرغم من تشفير بيانات الاعتماد هذه ، إلا أنه يمكن اختراقها في وضع عدم الاتصال.

قال سينغ: “إنها ليست تقنية جديدة ، لكننا نشهد أنها أصبحت جزءًا أكبر من قواعد اللعبة لممثل التهديد”. “بمجرد مهاجمة الضحية الأولية ، قد لا تكون بيانات الاعتماد المسروقة التي استخدمتها للوصول إلى هذا الجهاز كافية للتحرك بشكل جانبي والعمل في مهمتك. يسمح Kerboroasting بتصعيد الامتياز ؛ لأنها طريقة فعالة للتحرك بشكل أفقي ، نشهد هذا الارتفاع الهائل “.


اكتشاف المزيد من إشراق العالم

اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى