آخر هفته، زمان طلایی برای باجافزارها
بیش از نیمی از سازمانهایی که طی سال گذشته با حادثه باجافزار مواجه شدهاند، در طول آخر هفته یا تعطیلات مورد حمله قرار گرفتهاند.
بیش از نیمی از سازمانهایی که طی سال گذشته با حادثه باجافزار مواجه شدهاند، در طول آخر هفته یا تعطیلات مورد حمله قرار گرفتهاند. این بازهها معمولاً با کمبود نیرو، کندی در بررسی رخدادها و نظارت کمتر روی سیستمهای هویتی همراه هستند. نفوذگران میدانند که کاهش توجه، به آنها اجازه میدهد قبل از فعال شدن هشدارها، عمیقتر نفوذ کنند.
روندهای ریسک باجافزار
براساس گزارشی از Semperis، ۶۰درصد از حوادث پس از ادغام، تملک، بازسازی یا تغییرات مشابه در ساختار داخلی سازمان رخ داده است. رایجترین عامل محرک، تلاشهای M&A (ادغام و تملک) بوده است. زمانی که محیطهای هویتی در حال یکپارچهسازی هستند، ناسازگاریها ظاهر میشوند. مهاجمان این نقاط ضعف را پیدا کرده و سریع عمل میکنند.
نتایج جهانی با توجه به منطقه و بخش صنعتی متفاوت است، اما الگو یکسان است: گروههای تهدید، زمانهایی را ترجیح میدهند که تیمهای داخلی مشغول، حواسپرت یا در حال بازسازی سیستمهای حیاتی هستند.
سه چهارم پاسخدهندگان، یک SOC (مرکز عملیات امنیتی) داخلی دارند. نیروها در آخر هفته و تعطیلات به شدت کاهش مییابند. ۷۸درصد پوشش SOC را حداقل تا نصف کاهش میدهند و ۶درصد SOC را بدون نیرو رها میکنند.
رایجترین دلیل کاهش پوشش، حمایت از تعادل بین کار و زندگی است. دلیل دیگر، تعطیل بودن سازمان خارج از هفته کاری است. گروه کوچکی هم معتقد است در این ساعات احتمال حمله کم است. اما این فرضیه در حال کاهش است و نشان میدهد که برخی سازمانها به سمت رویکرد «فرض نفوذ رخ داده» حرکت میکنند.
این الگوهای نیروی انسانی، درهایی باز میکنند که مهاجمان به خوبی میشناسند. هشداردهی خودکار، نظارت برونسپاریشده و فرآیندهای اولویتبندی کمک میکنند. اما هیچچیز جای خالی داشتن کسی برای نظارت بر سیستمهای هویتی در ساعات غیرکاری را نمیگیرد.
شناسایی قوی، بازیابی عقبتر
امنیت هویتی به بخش استاندارد دفاع در برابر باجافزار تبدیل شده است. ۹۰درصد پاسخدهندگان استراتژی تشخیص و پاسخ به تهدیدات هویتی دارند. بیشتر آنها اسکن آسیبپذیری در پلتفرمهای هویتی انجام میدهند که خطر سوءاستفاده از اعتبارنامهها را کاهش میدهد.
اما شکاف در مرحله پیگیری است. تنها ۴۵درصد روشهایی برای رفع نقاط ضعف کشفشده دارند. بدون اصلاح، صرف دیدن تهدیدها نمیتواند مهاجمان را متوقف کند. نفوذگران تنها به یک مسیر آسیبپذیر نیاز دارند و اگر اصلاحات انجام نشود، آن مسیر باز میماند.
برنامهریزی برای بازیابی نیز روند مشابهی دارد. دو سوم سازمانها بازیابی Active Directory را در برنامههای بحران لحاظ کردهاند، اما تعداد کمتری فرآیند بازیابی سیستمهای هویتی ابری را دارند. ۶۳درصد بازیابی هویتی را خودکار کردهاند. بازسازی دستی کند است و معمولاً مدت زمان توقف خدمات را طولانیتر میکند. تجربه گذشته نشان داده سرعت بازیابی هویت تعیینکننده زمان بازگشت کسبوکار به حالت عادی است.
پیچیدگی هویت در ادغامها ریسک را افزایش میدهد
زمانی که دو سازمان با هم ترکیب میشوند، مدیران معمولاً روی شرایط کسبوکار و همترازی هزینهها تمرکز میکنند و طراحی هویت را بعداً بررسی میکنند. در طول یکپارچهسازی دامنهها و تغییرات اعتماد، ناسازگاریها ظاهر میشوند، از جمله حسابهای قدیمی، کنترلهای ضعیف و مسیرهای دسترسی نامشخص.
برنامهریزی هویت در مراحل اولیه تراکنشها میتواند این مشکلات را کاهش دهد. نگاه به هویت بهعنوان بخشی از دِیودیلیجنس (ارزیابی پیش از ادغام) به جای یک مرحله ادغام نهایی، مشکلات را پیش از تثبیت در محیط ترکیبشده آشکار میکند.
تیمها در حال بررسی ابزارهای مبتنی بر هوش مصنوعی برای کاهش فشار روی تحلیلگران SOC هستند. این ابزارها میتوانند در کارهای اولویتبندی و همبستگی کمک کنند، اما جایگزین نیروی انسانی در دورههای پرخطر نمیشوند. مدیران امنیتی باید بفهمند چه جاهایی اتوماسیون مفید است و کجا نمیتواند شکاف پوشش را پر کند. همچنین عوامل هوش مصنوعی هویتهای ماشینی جدیدی ایجاد میکنند که باید ایمن شوند.
