نفوذهای سایبری تحت حمایت دولت در حال تبدیل شدن به یک نگرانی فزاینده برای دولت ها و سازمان های استرالیا است. ریچارد مارلز، وزیر دفاع، سال گذشته هشدار داد که کشور شاهد علاقه بیشتر بازیگران دولتی به زیرساخت های حیاتی است.
ناتان ونزلر، استراتژیست ارشد امنیتی در شرکت امنیت سایبری Tenable، گفت که عوامل تهدید تحت حمایت دولت معمولا به طور مخفیانه نفوذ می کنند و گسترش می یابند. ونزلر گفت که سازمان های استرالیایی باید آنها را مانند سایر بازیگران جدی بگیرند وگرنه در طول درگیری های ژئوپلیتیکی با خطر جدی مواجه خواهند شد.
به گفته Wenzler، حمله اخیر توسط دولت توسط گروه Midnight Blizzard با حمایت روسیه علیه مایکروسافت ثابت کرد که این یک افسانه است که سازمان های بزرگ مصون هستند. شرکت ها باید درک کاملی از محیط خود به دست آورند و رویکرد مدیریت ریسک خود را توسعه دهند.
حملات سایبری ایالتی یک نگرانی فزاینده در استرالیا است
فعالیت تهدیدات سایبری تحت حمایت دولت در استرالیا در حال افزایش است. مرکز امنیت سایبری استرالیا دریافت که مجموع گزارشهای جرایم سایبری در سال منتهی به ژوئن 2023 با 23 درصد افزایش به 94000 مورد رسیده است که بخشی از این افزایش را به حملات حمایتشده دولت به زیرساختهای حیاتی نسبت میدهد.
در گزارش ACSC آمده است که بخشی از دلیل این افزایش فعالیتهای تحت حمایت دولت، ایجاد شراکت دفاعی جدید AUKUS بین استرالیا، بریتانیا و ایالات متحده با تمرکز بر زیردریاییهای هستهای و سایر قابلیتهای نظامی پیشرفته است.
ببینید: چرا ناامنی بزرگترین چالش برای استراتژی امنیت سایبری استرالیا است؟
یک گزارش بررسی سال امنیت سایبری از Dragos، که متخصص در امنیت زیرساختهای صنعتی و حیاتی است، نشان داد که یک روند مداوم از دشمنان وجود دارد که سازمانهای صنعتی را در سراسر جهان هدف قرار میدهند، که برخی از آنها به گروههای تحت حمایت دولت مرتبط هستند.
استرالیا علیرغم انزوای جغرافیایی خود از حمله مصون نیست. در واقع، تیم دراگوس اینتل موارد متعددی را مشاهده کرده است که دشمنان مستقیماً سایتهای زیرساختی حیاتی استرالیا را هدف قرار میدهند.»
به گفته مک لارن، اینها شامل «عملیات جاسوسی سایبری استراتژیک» می شود.
طوفان ولت نمونه ای از تهدید برای منافع ژئوپلیتیک استرالیا است
استرالیا و نیوزلند سال گذشته به دیگر شرکای اطلاعاتی Five Eyes پیوستند و از ارتباط بین شبکه هک Volt Typhoon و چین خبر دادند. مشخص شد که ولت تایفون هزاران دستگاه و زیرساخت های حیاتی ایالات متحده را برای جاسوسی و خرابکاری به خطر انداخته است.
Volt Typhoon و گروههای مرتبط با آن با استفاده از تکنیکهای «زندگی خارج از زمین» که معمولاً در صورت گسترش برای متخصصان امنیت سایبری هشدار نمیدهند، بهعنوان یک تهدید بالقوه برای زیرساختها و سازمانهای حیاتی استرالیا شناسایی شدهاند.
کرت هنسن، مدیرعامل Tesserent اخیراً به TechRepublic استرالیا گفت که در صورت بدتر شدن تنش ها و اینکه مدل های تجاری در معرض خطر هستند، محیط ژئوپلیتیک فعلی برای سازمان های تجاری خطراتی ایجاد می کند. هانسن از سازمانها خواست تا در مورد این حملات هوشیار باشند.
معمولاً چگونه و چرا حملات سایبری تحت حمایت دولت اتفاق می افتد
به گفته ونزلر Tenable، یک الگوی رایج که در حملات تحت حمایت دولت دیده می شود، مخفی کاری است. ونزلر گفت، مهاجمان در روشهای حمله خود ساکت هستند و برای نفوذ به یک شبکه، به خطر انداختن یک دستگاه یا سیستم و منتظر فرصتها از رویکرد انتظار و دیدن استفاده میکنند.
هدف آنها معمولاً گسترش است.
ونزلر توضیح داد: “آنها آسیبی ایجاد نمی کنند، آلارم را روشن نمی کنند.” “اما آنها همچنان در حال گسترش هستند. آنها از اولین مکان برای ایجاد مصالحه بیشتر، برای رسیدن به اعتبارنامه ها، برای دسترسی به برنامه ها استفاده خواهند کرد، زیرا بازیگران دولت-ملت به دنبال پاداش مالی نیستند.
به هر حال، این بازیگران میخواهند در صورت بروز تعارض، باعث آسیب شوند.
آنها به دنبال توقف زیرساخت های حیاتی یا عملیات نظامی هستند. آنها با قطع خدماتی مانند آب یا برق به دنبال ایجاد وحشت یا تحت تأثیر قرار دادن شهروندان هستند.
باید با بازیگران دولتی به عنوان مجرمان مالی برخورد جدی کرد
به گفته ونزلر، سازمان های استرالیایی ممکن است حملات سایبری تحت حمایت دولت را به اندازه کافی جدی نگیرند. دلیل اصلی این است که برخلاف مجرمان سایبری سنتی مانند مهاجمان باج افزار، مهاجمان تحت حمایت دولت تاثیر مالی فوری ندارند.
ونزلر گفت: “اما سطح آسیبی که آنها می توانند ایجاد کنند بسیار بیشتر است.” زیان مالی بدیهی است که یک مسئله بزرگ است، اما به این نوع ماهیت روشمند دقیق و دقیق وارد کردن به تک تک چیزهای محیط خود فکر کنید و سپس اگر مجبور شوند، می توانند آن را از بین ببرند.
در حالی که این اغلب به عنوان یک مشکل دولتی تلقی می شود، ونزلر گفت که این بازیگران به دنبال فراتر رفتن از زیرساخت های حیاتی هستند و هر ارائه دهنده خدمات مانند سوپرمارکت ها یا هتل ها مسئولیت هایی در قبال جامعه دارد.
ونزلر گفت: «ما حتی در بخش خصوصی هم نمیتوانیم روی این چیزها ببندیم.
Midnight Blizzard: درسهایی برای متخصصان امنیت سایبری استرالیا
افشای مایکروسافت در ژانویه 2023 در مورد مصالحه توسط تهدید Midnight Blizzard با حمایت دولتی، هشداری است مبنی بر اینکه هیچ سازمانی از حملات تحت حمایت دولت مصون نیست. حتی با وجود منابع و آگاهی بیشتر، شرکتهای بزرگ همچنان در برابر مصالحه آسیبپذیر هستند.
ببینید: روندهای برتر امنیت سایبری برای تسلط بر بازار استرالیا در سال 2024
بسیاری از سازمانها این ایده را دارند که شرکتهای بزرگتر این کار را بهتر انجام میدهند… و فقط آنهایی از ما که کوچکتر هستند باید نگران این موضوع باشیم. ونزلر گفت و اینطور نیست. این یک مثال بسیار واضح از جایی است که چنین چالشهایی ممکن است برای هر کسی اتفاق بیفتد.»
اعتبارنامه ها یک بردار کلیدی برای اثبات تهدیدات هستند
سازش Midnight Blizzard هویت و اعتبار را روشن کرد. ونزلر گفت که تیمهای امنیت سایبری استرالیا باید مدیریت اعتبارنامه را روشن کنند و اطمینان حاصل کنند که هیچ اعتبارنامه فراموش یا ایمن نشده است.
این می تواند یک وضعیت رایج در مورد حساب های خدمات یا حساب های غیر انسانی باشد. Wenzler گفت که این حسابها به برنامهها یا عملکردهای خودکار اختصاص داده میشوند تا کار کنند، اما اغلب از قلم میافتند یا فراموش میشوند، حتی اگر اغلب دارای امتیازات بالاتری هستند.
ونزلر گفت: «آنها اهداف اصلی مهاجمان هستند. اگر بتوانید چنین حسابهایی را دریافت کنید، دسترسی عالی به زیرساختها خواهید داشت و این احتمال وجود دارد که کسی به آن توجه نکند.» شما باید با هویت و حقوق و مجوزهایی که همه چیز دارند مقابله کنید.»
محیط های به هم پیوسته نیازمند رویکردی جامع به امنیت هستند
Wenzler گفت، حمله مایکروسافت همچنین این تصور غلط را آشکار کرد که عملکردهای امنیتی را می توان به عنوان “سیلوی کوچک جدا شده” در نظر گرفت، جایی که تکمیل یک چک لیست از وظایف مانند اصلاح سیستم های ویندوز یا تقویت زیرساخت های ابری تمام چیزی است که برای محافظت از امنیت لازم است.
او گفت: «چالش این است که همه این چیزها به هم مرتبط هستند. این سیستمهای ویندوز میتوانند دسترسی به محیط ابری شما را فراهم کنند و به طور بالقوه میتوانند به زیرساختهای حیاتی شما دسترسی پیدا کنند. یادم می آید که همه این چیزها با هم مرتبط هستند.
چگونه تیمهای سایبری میتوانند با تهدیدات امنیتی مورد حمایت دولت مبارزه کنند
در پی سازش Midnight Blizzard مایکروسافت، Wenzler استدلال کرد که تیمهای سایبری باید اقدامات امنیتی مانند اطمینان از فعال بودن احراز هویت چند عاملی و اجرای بهترین روشها مانند اصل حداقل امتیاز را بررسی کنند تا خطر به خطر افتادن شناسایی را به حداقل برسانند.
با این حال، وی افزود که کلید تلاش برای درک جامع از محیط سازمان، اتخاذ رویکرد مدیریت ریسک بالغ برای امنیت و آمادگی برای درگیر کردن سازمانهای دولتی و مجری قانون برای حمایت در صورت تهدید است.
برای درک محیط به هم پیوسته سازمان خود تلاش کنید
ونزلر گفت که سازمان ها باید از قبل برای درک کامل محیط خود اقدامات لازم را انجام دهند. این به ویژه برای شناسایی فعالیتهایی از تهدیدات حمایتشده توسط دولت مفید بود که از طریق تکنیکهای «زندگی خارج از زمین»، هشدار آشکاری برای تیمهای امنیت سایبری ایجاد نکرد، به این معنی که شناسایی آنها بسیار سختتر بود.
یک رویکرد مدیریت ریسک پیشگیرانه برای عملیات امنیت سایبری اتخاذ کنید
همچنین به سازمانها توصیه میشود از چارچوبهایی مانند NIST و The Essential Eight پیروی کنند، که با گذشت زمان از تمرکز بر ایجاد دیوارها و امیدواری عوامل تهدید بر آنها به توصیههایی در مورد رویکرد مدیریت ریسک فعالتر برای امنیت سایبری تغییر کردهاند.
همانطور که ما این ایده را در نظر می گیریم، امنیت بسیار بیشتر در مورد مدیریت ریسک است تا صرفاً استقرار خدمات فناوری اطلاعات، پس باید شروع به درک این چشم انداز ریسک کنید. این به معنای فعال بودن، درک محیط، درک مشخصات ریسک و استفاده از آن برای تصمیم گیری خوب در مورد اقدامات بعدی است، از جمله اینکه چه کنترل های امنیتی برای شما مناسب است.
آماده باشید تا مجریان قانون را برای حمایت درگیر کنید
در حالی که سازمانها احتمالاً به دنبال حل و فصل یک تهدید دولتی به عنوان یک حادثه امنیتی عادی هستند، ونزلر گفت که مشارکت مجری قانون و سازمانهای دولتی محلی که اطلاعات دقیقی از تهدید دولتی دارند نیز مهم است. این همچنین از سازمان های دیگر حمایت می کند زیرا ممکن است تهدید گسترده تر باشد.
ونزلر گفت که مجری قانون گاهی اوقات منابع اضافی ارائه می دهد. با این حال، او گفت که بسیاری از سازمانهای بخش خصوصی هنوز جزئیات تماس با سازمانهای دولتی و مجری قانون را در طرحهای واکنش به حوادث لحاظ نمیکنند. او گفت که مهم است که قبل از زمان با چه کسی تماس بگیرید، به جای اینکه در هنگام وقوع حادثه به دنبال آنها باشید.