کمیته رکن چهارم – عوامل تهدید به سرعت در حال تکامل هستند و حملات مدرن پیچیدهتر از قبل شدهاند. بیاموزید که چرا هوش و گزارشهای انسانی و هوش مصنوعی ضروری هستند.
در این کمپینها، مهاجمان تغییرات جزئی در همان ایمیل ایجاد میکنند – به عنوان مثال در خط موضوع یا نام فرستنده – همانطور که سیستمهای امنیتی را بررسی میکنند تا ببینند چه چیزی ممکن است از بین برود.
حملات چند شکلی معمولاً با یک کمپین هدفمند شروع میشوند که برای گرفتن اعتبار کاربر طراحی شده است. هنگامی که چند کاربر اول طعمه را میگیرند، مهاجم از اعتبار آنها برای هدف قرار دادن سایر کاربران استفاده میکند. مجدداً، تغییر پویا در حمله مانع از غربالگری پیامها توسط کنترلهای خودکار – معمولاً دروازههای ایمیل امن (SEG) میشود.
چرا حملات چند شکلی موفق هستند؟
کمپینی که فاقد یکنواختی است شبیه یک کمپین نیست و بهروز نگه داشتن قوانین در دروازه را برای اپراتورهای امنیتی دشوار میکند. برای بسیاری از تیمهای امنیت سایبری که فاقد پهنای باند هستند، یافتن دامنه کامل یک حمله چند شکلی به قرنطینه چالشبرانگیز و زمانبر است.
حتی بدتر از آن، حملات چند شکلی نه تنها مؤثر هستند، بلکه به لطف کیتهای خودکار و ارزانقیمت فروخته شده در بازار سیاه، راهاندازی آنها بسیار آسان است.
به همین دلیل است که گزارشهای انسانی، بهعلاوه هوش مصنوعی و اطلاعات تهدید برای یک استراتژی جامع دفاعی فیشینگ مورد نیاز هستند.
خطرات در سراسر جهان زیاد است
هزینه نقض دادهها در سال ۲۰۲۱، ۴.۲۴ میلیون دلار بود که ۱۰ درصد از میانگین این هزینه در سال ۲۰۱۹ که میزان آن ۳.۸۶ میلیون دلار بود، افزایش داشت.
میانگین زمان شکست – نفوذ اولیه به حرکت جانبی – ۱.۳۸ ساعت است.
متوسط زمان اقامت جهانی مهاجم ۲۴ روز است.
دستیابی به پلی مورفیسم از طریق منطق برنامهنویسی ساده در کیتهای فیشینگ آسان است. با استفاده از قالبها و فهرستهای کلمات، مهاجمان میتوانند بهسرعت ایمیلهای مشابه، اما کمی متفاوت را به صورت انبوه تولید کنند. با این حال، مهاجمان پیشرفته غالب در چشمانداز فیشینگ، روش بهتری برای ایجاد ایمیلهای منحصربهفرد پیدا کردهاند.
Emotet، QakBot و دیگران مدتی است که از ایمیلهای سرقت شده در مقیاس گسترده استفاده میکنند. علاوهبر داشتن موضوعات منحصربهفرد، ایمیلهای فیشینگ معمولی آنها دارای بدنههای منحصربهفردی هستند که دائماً درهمسازیهای بار و URLهای محموله را تغییر میدهند.
بدون ردیابی دقیق تمام ویژگیهای این باتنتها، شناسایی ایمیلهایی که بخشی از یک کمپین هستند در بهترین حالت دشوار است.
در ادامه با پنج بینش برتر که به شما کمک میکند تا دفاع فیشینگ خود را در برابر حملات چند شکلی ارتقا دهید، آشنا شوید.
۱- همه تهدیدهای فیشینگ توسط فناوری مسدود نمیشوند
کنترلهای محیطی اکثر ایمیلهای فیشینگ را متوقف میکنند. از این گذشته، فناوری امنیتی برای جلوگیری از تهدیدات در حجم طراحی شده است. اما وقتی مهاجمان از فناوری برای فریب دادن فناوری شما استفاده میکنند چه اتفاقی میافتد؟
در اینجا به یک مثال توجه کنید.
آزمایشگاه مؤسسه ملی فناوری ایالات متحده (NIST) اطلاعیهای را در مورد تهدیدی منتشر کرد.
محققان یک حمله Proof of Concept به نام ProofPudding ایجاد کردند تا نشان دهند چگونه میتوان از الگوریتم یادگیری ماشینی برای یافتن نقاط ضعف در SEG Proofpoint استفاده کرد. Proofpoint سرصفحههای ایمیل را اضافه کرد که حاوی اطلاعات حساسی در مورد الگوریتمهای آنها بود. با ارسال انتخابی انواع ایمیلها به دروازه، محققان قادر بودند تعیین کنند که کدام تغییرات و یا کلمات کلیدی خاص از طریق دروازه مسدود یا مجاز میشوند.
به عبارت دیگر، در حالی که SEG بسیاری از هزاران ایمیل فیشینگ را که میدید متوقف میکرد، فاقد بینش دانستن اینکه یک مهاجم تنظیمات را انجام داده بود، نداشت. کاری را که برای انجام آن برنامهریزی شده بود، بارها و بارها و بارها انجام داد، اما به او دستور داده نشد که به دنبال سایر شاخصهای دردسرساز بگردد.
۲- شهود انسان یک عنصر کلیدی است
برخلاف ماشینها، انسانها – هم کاربران آموزش دیده و هم تیمهای امنیتی حرفهای – مجهز به شهود هستند. آنها میدانند یا میتوانند آموزش ببینند که در هنگام نگاه کردن به ایمیلها به دل خود اعتماد کنند. شهود انسان در زنجیره کشتار سایبری بسیار مهم است، به ویژه هنگامی که حملات فیشینگ چند شکلی رخ میدهد.
یک زنجیره کشتن معمولاً دارای چندین پیوند است که از شناسایی مهاجم تا اقدام بر روی اهداف را در بر میگیرد. مدافعان میخواهند از تحویل ایمیل باقی بمانند، نقطهای که در آن نقض به یک امکان تبدیل میشود. وقتی ایمیلهای مخرب از آن نقطه عبور میکنند، همانطور که برخی به ناچار انجام میدهند، تیمهای امنیتی نیاز به دید دارند تا بتوانند سریع پاسخ دهند.
۳- بهترین آموزش آگاهی از تهدیدهای مربوطه تقلید میکند
در حالت ایده آل، آموزش آگاهی بر تهدیدهایی متمرکز میشود که از SEG شما فرار میکنند. برخی از شرکتها بر اساس اطلاعات موجود، تهدیدهایی را که فکر میکنند احتمالاً ببینند، شبیهسازی میکنند.
اگر تیمهای امنیتی شما یا سایر شرکتها، یک فیش اعتباری را که از فاکتور جعلی استفاده میکند، اصلاح کردهاند، کاندیدای خوبی برای تمرین بعدی هستند و اگر آن ایمیل شکل خود را تغییر داد، موضوعها، فرستندهها یا هر عنصر دیگری را تغییر داد، آموزش به جلوگیری از حمله چند شکل بعدی کمک میکند.
۴- تشخیص کاربر عالی است، اما گزارش دادن بهتر است
گزارش ایمیل پیوند مهمی بین آگاهی و واکنش است. در واقع، این اولین گام در واکنش است، اولین اقدامی که یک انسان انجام میدهد. گزارشدهی واقعاً یک رفتار آموختهشده است، نوعی شرطیسازی که حافظه عضلانی ایجاد میکند تا کاربران قبل از بالا بردن دستشان دو بار فکر نکنند.
۵- در حالی که انسان ها کلید تشخیص هستند، اتوماسیون سرعت پاسخگویی را افزایش میدهد
وقتی ایمیل های فیشینگ به صندوق ورودی میرسند، ساعت در حال تیک تیک کردن است. به طور متوسط، تنها ۸۲ ثانیه طول میکشد تا کاربران شروع به کلیک روی یک کمپین فیشینگ کنند. برای متوقف کردن حمله به اتوماسیون برای سرعت بخشیدن به واکنش به تهدید نیاز دارید.
هنگامی که تیمهای امنیتی سعی میکنند به صورت دستی به گزارشهای ایمیل پاسخ دهند، معمولاً عقب میمانند. ایمیلهای زیادی وجود دارد که اکثر آنها بیضرر هستند. اتوماسیون میتواند نویز را کاهش دهد و تهدیدات واقعی را شناسایی کند، به علاوه آنها را اولویتبندی کند تا تحلیلگران بتوانند زمان محدود خود را بودجهبندی کنند.
در بهترین حالت، به لطف کاربران آموزش دیده و اتوماسیون پیشرفته، SOC شما یک ایمیل فیشینگ را در تعداد انگشتشماری صندوق ورودی شناسایی کرده است، اما چه کسی دیگر ایمیل فیشینگ را دریافت کرد؟ مجدداً، برای جستجوی سریع همه صندوقهای ورودی و قرنطینه کردن تهدید قبل از وارد شدن آسیب پایدار به اتوماسیون تکیه خواهید کرد.