غفلت امنیتی، همچنان ساده‌ترین مسیر نفوذ هکرها

به گزارش کارگروه بین‌الملل سایبربان؛ آزمایش‌های مجاز انجام شده اخیر نشان می‌دهد که رمزهای عبور ضعیف، شبکه‌های پیکربندی نادرست و سرویس‌های در معرض خطر، همچنان نقاط ورود رایجی برای هکرها هستند.

به گفته محققان، حتی ساده‌ترین اشتباهات امنیتی می‌تواند شرکت‌ها را در معرض حملات سایبری قرار دهد، به طوری که هکرهای اخلاقی می‌توانند در عرض چند ساعت به برخی از سیستم‌های شرکتی نفوذ کنند.

هکرهای اخلاقی، که به عنوان هکرهای کلاه سفید یا آزمایش‌کنندگان نفوذ نیز شناخته می‌شوند، مجاز به شبیه‌سازی حملات سایبری در دنیای واقعی هستند تا نقاط ضعف را قبل از اینکه مجرمان بتوانند از آنها سوءاستفاده کنند، کشف کنند.

آزمایش‌های مجاز انجام شده اخیراً برای شرکت‌های مالزیایی نشان می‌دهد که رمزهای عبور ضعیف، شبکه‌های پیکربندی نادرست و سرویس‌های در معرض خطر، همچنان نقاط ورود رایجی برای مهاجمان هستند.

بسیاری از نقض‌ها هنوز از اشتباهات امنیتی اولیه به جای تکنیک‌های پیشرفته هک ناشی می‌شوند.

این یافته‌ها نتیجه تمرین‌های هک کلاه سفید قانونی تأیید شده که برای تقلید از رفتار واقعی مهاجم در یک محیط کنترل شده طراحی شده‌اند.

یوری زاهارین (Yuri Zaharin)، مدیر «Exclusive Networks» در مالزی و داتوک آلن سی (Datuk Alan See)، مدیرعامل «Firmus»، در بیانیه‌ای مشترک گفتند که دسترسی اولیه گاهی اوقات می‌تواند ظرف ۴۸ ساعت پس از آزمایش نفوذ حاصل شود. آنها معتقدند که تست نفوذ مجاز از یک فرآیند ساختاریافته برای شبیه‌سازی حملات سایبری پیروی می‌کند.

این دو محقق اظهار داشتند:

«در یک تعامل شامل یک شرکت بزرگ، ما توانستیم ظرف ۲۴ ساعت با استفاده از اعتبارنامه‌های پیش‌فرض در صفحه مدیریت، به عنوان مدیر وارد پورتال رسمی آنها شویم. این می‌تواند به همین راحتی باشد. مردم اغلب فکر می‌کنند که مهاجمان از روش‌های بسیار پیشرفته مبتنی بر هوش مصنوعی استفاده می‌کنند. در حالی که این اتفاق در برخی موارد می‌افتد، اغلب واقعیت ندارد. اکثر مسائلی که ما توسط مهاجمان قابل سوءاستفاده می‌دانیم، به این دلیل است که بهداشت امنیتی اولیه رعایت نمی‌شود. به عنوان مثال، استفاده از رمزهای عبور ضعیف و عدم فعال کردن احراز هویت چند عاملی.»

آنها خاطرنشان کردند:

«ما با شناسایی برای درک محیط هدف شروع می‌کنیم، سپس سعی می‌کنیم نقاط ضعفی مانند سرویس‌های در معرض خطر، پیکربندی‌های نادرست یا مشکلات اعتبارنامه را شناسایی کنیم. از آنجا، ما شبیه‌سازی می‌کنیم که چگونه یک مهاجم سعی می‌کند به شبکه دسترسی یابد و در آن حرکت کند.»

یوری و سی افزودند که تیم‌ها از چارچوب‌های تست تثبیت‌شده و ترکیبی از ابزارهای تجاری و متن‌باز استفاده می‌کنند که بسیاری از آنها در دسترس عموم هستند.

خود ابزارها مخفی نیستند. تفاوت به هدف بستگی دارد. هکرهای اخلاقی از آنها برای شناسایی و گزارش نقاط ضعف استفاده می‌کنند تا سازمان‌ها بتوانند آنها را برطرف کنند، در حالی که عوامل مخرب از روش‌های مشابهی برای سوءاستفاده از آن شکاف‌ها استفاده می‌کنند.

آنها هر دو موافق بودند که بهداشت سایبری ضعیف می‌تواند عواقب شدیدی داشته باشد.

یوری و سی تصریح کردند:

«در یک مورد مربوط به باج‌افزار که ما رسیدگی کردیم، سازمان به مدت 3 هفته از کار افتاد و متحمل خساراتی بالغ بر میلیون‌ها رینگیت برای رفع و احیای محیط شد.»

در یک تحقیق پزشکی قانونی دیگر که مربوط به یک شرکت ساخت و ساز و توسعه املاک بود، یک طراحی شبکه معیوب به مهاجمان اجازه داد تا دسترسی را به یک نفوذ کامل افزایش دهند.

این شرکت سیستم‌های حیاتی را در یک شبکه داخلی قرار داده بود، به طوری که رایانه‌های اداری و سرورها در یک محیط مشترک بودند و در عین حال امکان دسترسی از راه دور به دسکتاپ مستقیماً از طریق اینترنت را فراهم می‌کردند.

مهاجمان با اسکن پورت‌های سرویس، این نقطه ضعف را پیدا و شروع به سوءاستفاده از سرویس کردند؛ آنها در نهایت به سرور نفوذ کردند، به سیستم‌های دیگر منتقل و باعث شدند که فضای ذخیره‌سازی و فایل‌های سازمان به سرقت رفته و سپس حذف شوند.

در حالی که برخی سازمان‌ها پس از آزمایش نفوذ به سرعت عمل می‌کنند، برخی دیگر اقدامات اصلاحی را ماه‌ها، گاهی اوقات تا پس از وقوع نقض، به تأخیر می‌اندازند.

در این بیانیه آمده است که تصور غلط رایج در بین مدیران این است که آزمایش نفوذ سالانه کافی است.

به گفته محققان، آزمایش نفوذ فقط یک ارزیابی مقطعی است. سیستم‌ها همچنان در حال تغییر هستند و خطرات جدیدی می‌توانند ایجاد شوند.