يبدأ التعافي من هجمات برامج الفدية بأمان أفضل لنقاط النهاية
غالبًا ما تنجح هجمات برامج الفدية لأن نقاط النهاية مفرطة التكوين باستخدام عناصر تحكم تجعل الأجهزة غير محمية.
اليوم، تعارض تعارضات البرامج بين عناصر التحكم في نقطة النهاية شبكات المؤسسات، والتي تسارعت من خلال معدلات الانحلال المتسارعة لوكلاء نقطة النهاية.
وجد تقرير مخاطر نقطة النهاية لعام 2021 الخاص بـ Absolute Software أن كل نقطة نهاية بها 11.7 عنصر تحكم أمان مثبتة، تتحلل بمرور الوقت وتنشئ عدة نواقل هجوم محتملة.
بناءً على مدى ربح برنامج الفدية، تضاعف عصابات المجرمين الإلكترونيين ومجموعات التهديد المستمر المتقدمة من إنشاء حمولات برامج الفدية واستراتيجيات هجوم نقطة النهاية التي تتجنب الاكتشاف.
وجد Chainalysis أنه تم دفع 692 مليون دولار من مدفوعات برامج الفدية خلال عام 2020، أي ما يقرب من ضعف تقديراتهم الأصلية.
وجد أحدث مؤشر لشركة Ivanti أن هناك قفزة بنسبة 7.6٪ في عدد الثغرات الأمنية المرتبطة ببرامج الفدية في الربع الأول من عام 2022، مقارنة بنهاية عام 2021.
على الصعيد العالمي، ارتفعت نقاط الضعف المرتبطة ببرامج الفدية في غضون عامين من 57 إلى 310 استنادًا إلى تحديث مؤشر Ivanti للربع الأول من عام 2022.
وجد تقرير التهديد العالمي لعام 2022 الصادر عن CrowdStrike أن حوادث برامج الفدية قد قفزت بنسبة 82٪ في عام واحد فقط.
تستمر هجمات البرمجة النصية التي تهدف إلى اختراق نقاط النهاية في التسارع بوتيرة قياسية، مما يعزز سبب جعل CISOs وCIOs لأمن نقطة النهاية أولوية قصوى هذا العام.
كيف تعمل هجمات رانسوم وير
تبحث عصابات مجرمي الإنترنت باستمرار عن الثغرات ونقاط الضعف لاستغلالها في نقاط الضعف الشائعة والتعرض لنقاط النهاية.
إنهم يعاملونهم مثل تعامل فريق المبيعات مع العملاء المحتملين. هدفهم هو هزيمة دفاع نقطة النهاية والحصول على حمولاتهم المثبتة دون أن يتم اكتشافها على شبكات المؤسسة.
بمجرد دخولهم إلى الشبكة، غالبًا ما يستغرق مجرمو الإنترنت شهورًا للاختراق ثم التنقل بشكل جانبي عبر شبكة المؤسسة.
يتم بعد ذلك تحويل نقاط النهاية المخترقة إلى نقاط توزيع لبرامج الفدية، مما يؤدي إلى شن المزيد من الهجمات عبر المؤسسة.
تبدأ معظم هجمات برامج الفدية من نقاط النهاية غير الآمنة أو التي يسهل اختراقها وتتبع المراحل الست التالية:
المرحلة 1: هجمات متعددة الأوجه
من خلال الجمع بين التصيد الاحتيالي والهندسة الاجتماعية وسرقة الهوية واختراقات الاجتماعات الافتراضية، يتطلع مجرمو الإنترنت إلى حث أعضاء إحدى المؤسسات على توفير بيانات اعتماد وصول مميزة يمكنهم استخدامها لهزيمة دفاعات أمان نقطة النهاية.
أو حاول حث الضحايا على زيارة مواقع الويب المصممة لاختراق الأنظمة من خلال الهجمات القائمة على المتصفح.
أثبتت شبكات VPN أنها أقل فعالية ضد هذه المرحلة الأولى من الهجوم. يكتسب عزل المستعرض عن بُعد (RBI) اعتمادًا عبر المؤسسات لأنه يثبت أنه أكثر فاعلية من الشبكات الظاهرية الخاصة.
انضم كل من Forcepoint و McAfee و Zscaler مؤخرًا إلى رواد RBI Authentic8 و Ericom في السوق.
مع ذلك، فإن Ericom هو الحل الوحيد الذي تم تصميم حله لمواجهة التحديات التقنية العديدة التي ينطوي عليها تأمين الاجتماعات الافتراضية على مستوى العالم.
تقدمت Ericom أيضًا بطلب للحصول على براءات اختراع لابتكاراتها في هذا المجال.
المرحلة 2: تسوية نقاط النهاية
يخرق مجرمو الإنترنت نقاط النهاية غير المحمية، بما في ذلك تلك التي تم تكوينها بشكل مفرط بحيث تجعلها تعارضات البرامج الداخلية الخاصة بهم عرضة للخطر.
يتم تثبيت الحمولات على شبكات المؤسسة مع إيلاء اهتمام خاص لجعلها غير قابلة للكشف.
يسعى منشئو برامج الفدية في عام 2022 إلى جعل الحمولات وملفاتهم القابلة للتنفيذ خفية قدر الإمكان لوضعها على الشبكات مع تجنب إنشاء أي بصمة رقمية.
المرحلة 3: بدء المراقبة الخفية
يستكشف مجرمو الإنترنت بصبر شبكات المؤسسات خلال هذه المرحلة من هجوم برامج الفدية.
من الشائع أن ينتظر مجرمو الإنترنت شهورًا قبل التحقيق عبر الشبكة، على أمل ألا يتم اكتشافهم من خلال أنظمة تتبع الشذوذ أو مراقبة الشبكة.
خلال هذه المرحلة، يبدأ مجرمو الإنترنت في تحديد الأنظمة والأصول التي سيقومون بتشفيرها لاحقًا في الهجوم.
المرحلة 4: تحقيق السيطرة على الأجهزة الطرفية والأنظمة الأساسية
الهدف من هذه المرحلة من هجوم برامج الفدية هو التحكم في نقاط النهاية وتجهيزها لشن المزيد من الهجمات.
بمجرد أن تصبح نقاط النهاية تحت سيطرة المهاجمين الإلكترونيين، فإن هدفهم هو تحويل نقاط النهاية إلى نقاط توزيع لمزيد من الحمولات عبر الشبكة.
المرحلة 5: القيام بحركات جانبية عدوانية وتسليح نقاط النهاية
عادة ما مرت بضعة أشهر منذ الاختراق الأولي ويتحرك مجرمو الإنترنت بشكل جانبي عبر شبكات المؤسسة. كما أنهم يستخدمون نقاط النهاية كسلاح لتكون بمثابة نقاط توزيع لبرامج الفدية عبر المؤسسة.
المرحلة 6: التشفير والابتزاز
تبدأ المرحلة الأخيرة لهجوم برنامج الفدية من نقطة النهاية مع تشفير الأصول والأنظمة بأكملها. عند هذه النقطة، تم اختراق أنظمة الكشف والاستجابة (EDR) وبدأت نقاط النهاية المصابة في نشر برامج الفدية عبر الشبكة.
أخيرًا، يطالب مجرمو الإنترنت بالابتزاز وغالبًا ما ينشرون بيانات سرية علانية لإثبات أنهم يسيطرون على أنظمة الشركة.
لا تعمل الدفاعات الفردية ضد برامج الفدية
لا يمكن التعامل مع هجمات برامج الفدية على أنها هجمات منعزلة بعد الآن عندما يُحتمل أن تؤدي إلى تدمير مؤسسة بشكل دائم.
من الأمثلة على مدى خطورة الهجوم المحتمل حدوثه في وقت سابق من هذا الشهر عندما أُجبرت كلية لينكولن على إيقاف العمليات نهائيًا بسبب هجوم فدية.
نتيجة لذلك، تقدم Lincoln College حكاية تحذيرية توضح سبب احتياج أي استراتيجية للأمن السيبراني لبرامج الفدية إلى تأمين جميع مكدسات التكنولوجيا ومواقع التشغيل والفرق البعيدة.
يجب أن تكون حماية نقطة النهاية (EPP) وأنظمة EDR بمثابة حجر الزاوية في أي استراتيجية دفاعية لبرامج الفدية. يوفر تنفيذ كلاهما الرؤية والتحكم وصولاً إلى مستوى أصول نقاط النهاية.
تحتوي غالبية تقارير EDR على تدفقات عمل للاستجابة للحوادث ويمكنها تحديد النشاط الضار والتصرف ضده بسرعة.
تحتاج البنوك والخدمات المالية والوكالات الحكومية وشركات الاستثمار العالمية إلى التفكير في تشغيل برامج EDR التجريبية القائمة على السحابة والتي تتضمن تحليل حركة مرور الشبكة إذا لم تكن تستخدم بالفعل هذه المنصات للحماية من برامج الفدية.
من الذي يقوم بإيقاف برامج الفدية عند نقطة النهاية؟
يتيح الجمع بين الرؤية في الوقت الفعلي والتحكم في نقاط النهاية وصولاً إلى مستوى إدارة الأصول للمؤسسات الفوز في سباق تسلح برامج الفدية.
ابحث عن بائعي EPP وEDR ونقاط النهاية الرائدين للقيام بدفعة قوية على خرائط الطريق الخاصة بهم لاحتواء برامج الفدية باستخدام نهج قائم على دورة الحياة.
بالإضافة إلى ذلك، يقدم بعض موفري حلول EPP بوالص تأمين إلكتروني لبرامج الفدية لإثبات الثقة في دفاعات برامج الفدية الخاصة بهم.
يشمل البائعون الرائدون الذين يقدمون رؤية نقطة النهاية في الوقت الفعلي والتحكم وإدارة الأصول بهدف إحباط هجمات برامج الفدية ما يلي:
- تعتمد Absolute’s Ransomware Response على خبرة الشركة في رؤية نقطة النهاية والتحكم والمرونة، بما في ذلك سجل حافل بالإنجازات في تقديم نقاط نهاية ذاتية الإصلاح. ما هو فريد في نهج Absolute هو كيف يوفر حلها لفرق الأمان المرونة في تحديد أسس السلامة الإلكترونية والمرونة وتقييم الجاهزية الاستراتيجية عبر نقاط النهاية أثناء مراقبة وضع أمان الجهاز والبيانات الحساسة.
يمكنهم تسريع عملية استرداد الجهاز والحد من إعادة إصابة الأجهزة بعد هجوم فدية، وتجميد نقاط النهاية للحد من انتشار الهجوم. يمكن لـ Absolute أيضًا الإصلاح الذاتي لنقاط النهاية المتأثرة ببرامج الفدية من خلال الاعتماد على منصة المرونة الخاصة بها، والذي تم تضمينه في المصنع في البرامج الثابتة بواسطة 28 مصنعًا للأجهزة اليوم. يمكنهم أيضًا توفير رؤية في الوقت الفعلي والتحكم في أي جهاز على شبكة أم لا، إلى جانب بيانات إدارة الأصول التفصيلية. - يستخدم FireEye Endpoint Security محركات حماية متعددة ووحدات عملاء قابلة للنشر مصممة لتحديد هجمات برامج الفدية والبرامج الضارة وإيقافها عند نقطة النهاية. يتم تمييز FireEye عن موفري الأجهزة الطرفية الآخرين في مدى فعالية الجمع بين إمكانات الحماية القائمة على التوقيع والقائمة على التعلم الآلي والقائمة على السلوك.
بالإضافة إلى ذلك، تشتهر FireEye في جميع أنحاء الصناعة بامتلاكها مجموعة واسعة من القدرات الأمنية التي تمكنها من التعاون في نتائج استخبارات التهديدات، حتى يتمكن عملاؤها من توفير استجابة متكاملة للحوادث. - يعتمد Sophos Intercept X على تقنيات الذكاء الاصطناعي للتعلم العميق جنبًا إلى جنب مع تقنية مكافحة الاستغلال ومكافحة برامج الفدية والتحكم للتنبؤ بهجمات برامج الفدية وتحديدها. يعتمد Intercept X على سلسلة شاملة من التقنيات لتوفير حماية قوية لنقطة النهاية. تم تصميمه أيضًا لتوفير مستوى من المرونة من خلال التراجع عن التغييرات التي تم إجراؤها أثناء هجوم فدية تهرب في البداية من الحماية من نظامهم الأساسي.
يتضمن الجيل التالي من برامج مكافحة الفيروسات من Intercept X تقنية مكافحة برامج الفدية التي تكتشف عمليات التشفير الضارة وتغلقها قبل الانتشار عبر شبكة مؤسسة. - تتمتع Sophos أيضًا بخبرة في منع هجمات برامج الفدية المستندة إلى الملفات وسجلات التمهيد الرئيسية.
من المعروف في مجتمع الأمن السيبراني أن وكيل Intercept X له بصمة أكبر من معظم عملاء أمان نقطة النهاية الآخرين، وهو ما يمثل مشكلة بالنسبة للمؤسسات ذات القوى العاملة الافتراضية الكبيرة. - تصبح هذه مشكلة عند الحاجة إلى تسليم التحديثات عبر اتصالات الإنترنت ذات السرعة المنخفضة أو النطاق الترددي.
يمكن أن تمنع حماية نقاط النهاية هجمات برامج الفدية
يستهدف مجرمو الإنترنت نقاط النهاية كجزء من هجمات برامج الفدية الخاصة بهم لأنها نقطة التوزيع المثالية للحمولات الإضافية عبر شبكة المؤسسة.
لذلك، يجب أن يبدأ إيقاف هجمات برامج الفدية بنقاط نهاية أكثر مرونة توفر رؤية وتحكم أكبر.
لحسن الحظ، تحدث وتيرة متسارعة للابتكار في أمن الأجهزة الطرفية ومنصات EPP وEDR.
تضاعف Absolute وCrowdStrike وFireEye وMcAfee وSophos وغيرهم من جهود البحث والتطوير لإحباط هجمات برامج الفدية التي تنشأ عند نقطة النهاية.
المصدر: venturebeat
شاهد ايضا:
