خرید و فروش اطلاعات اصالت سنجی سیستم های رایانه ای
به گزارش وبلاگ قطب نما به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، خرید و فروش اطلاعات اصالت سنجی (Credential) دسترسی های از راه دور، مدتهاست که بخشی از اکوسیستم وب تاریک (Dark Web) شده است.
بر اساس گزارشی که شرکت دیجیتال شدوز (Digital Shadows Ltd) منتشر نموده سرقت و فروش دسترسی به شبکه سازمان ها در سال 2020 و در پی فراگیری دورکاری کارکنان افزایشی چشم گیر داشته است.
هک شبکه ها و فروش دسترسی به آنها، توسط افرادی که از آنها با عنوان دلال های دسترسی اولیه (Initial Access Broker) یاد می گردد صورت می گیرد. این افراد با هک سرور یا سامانه سازمان مورد نظر، پس از دستیابی به اطلاعات لازم جهت رخنه به آنها، اقدام به فروش دسترسی فراهم شده به سایر تبهکاران سایبری می نمایند.
دیجیتال شدوز میانگین قیمت یک دسترسی اولیه را 7100 دلار گزارش نموده است. این مبلغ بسته به سازمان، نوع و سطح دسترسی و تعداد دستگاه های قابل دسترس به وسیله آن می تواند متفاوت باشد.
دسترسی به وسیله پروتکل کنترل از راه دور (Remote Desktop Protocol) یا RDP با 17 درصد، بیشترین سهم از دسترسی های اولیه فروخته شده در سال 2020 را به خود اختصاص داده است.
RDP با میانگین قیمت 9800 دلار صندلی گران ترین روش را نیز کسب نموده است.
رخنه به شبکه قربانی به وسیله RDP یکی از متداول ترین روش های استفاده شده توسط گردانندگان باج افزاری است که قربانیان خود را به صورت کاملاً هدفمند انتخاب می نمایند. در جریان بعضی از این حملات صدها هزار دلار و بعضاً میلیون ها دلار از قربانی اخاذی می گردد که مبلغ 10 هزار دلار صرف شده برای خرید دسترسی در برابر آن مبالغ هنگفت اصلاً به چشم نمی آید.
رصد بعضی از پایگاه های اینترنتی که در آنها دسترسی های RDP به فروش می رسد نشان می دهد که بخش های آموزش، بهداشت و درمان، فناوری، صنعت و ارتباطات اصلی ترین اهداف حملات مبتنی بر RDP هستند. سازمان های فعال در هر یک از این حوزه ها می توانند هدفی پرسود از نگاه باج گیران سایبری باشند.
با وجودی که به نظر می رسد سوءاستفاده گسترده مهاجمان از RDP همچنان ادامه داشته باشد، موارد زیر از جمله اقدامات مؤثر در ایمن سازی این پروتکل است:
- دسترسی به RDP در بستر اینترنت مسدود گردد. سرورهای با RDP باز به سادگی به وسیله جستجوگرهایی همچون Shodan قابل شناسایی هستند.
- از تغییر درگاه (Port) پیش فرض RDP اطمینان حاصل گردد.
- از پروتکل TCP به جای UDP استفاده گردد.
- از اصالت سنجی موسوم به Network Level Authentication - به اختصار NLA - استفاده گردد.
- اطمینان حاصل گردد که سیاست های مدیریت رمز عبور از جمله الزام پیچیده و غیرتکراری بودن آنها شامل حساب های کاربری RDP نیز می گردد تا احتمال هک شدن آنها در جریان حملات Brute-force به حداقل برسد.
- حتی الامکان از اصالت سنجی های دوعاملی (2FA) جهت دسترسی به RDP استفاده گردد.
- دسترسی به RDP محدود به نشانی های IP مجاز و حساب های کاربری خاص گردد.
- ارتباطات RDP به وسیله SSH یا IPSec امن گردد.
- سطح دسترسی کاربران محلی و تحت دامنه در حداقل ممکن تنظیم گردد. استفاده از سامانه های کنترل دسترسی نقش-محور (Role-based Access Control - به اختصار RBAC) توصیه می گردد.
- از اعمال سریع اصلاحیه های (Patch) عرضه شده اطمینان حاصل گردد.
- در نامگذاری ها کوشش گردد که اطلاعات سازمان افشا نگردد.
منبع: خبرگزاری مهر