تحليل لاختراق Cisco 2022
نشرت: 2022-09-21في 24 مايو 2022 ، علمت فرق الأمن التابعة لشركة سيسكو بحدوث خرق. تمكن المهاجم من الوصول ، وتصعيد امتيازاته ، وتثبيت الوصول عن بعد وبرامج القرصنة ، واتخاذ خطوات للحفاظ على الوصول إلى الأنظمة. تمكنوا من القيام بكل هذا خطوة واحدة في كل مرة. كما سنرى ، كان من السهل تجنب ذلك.
بينما نحن جميعًا أكثر ذكاءً عند النظر إلى الأشياء بأثر رجعي ، فإن الحقيقة هي أن ما حدث لـ Cisco يمكن أن يحدث لأي شخص يدير بيئة WordPress.
ستنظر هذه المقالة في خطوات المتسللين نحو اختراق ناجح وكيف يمكن لكل مالك ومدير موقع WordPress منع التكرار على مواقع WordPress الخاصة بهم.
من الذي اخترق شركة سيسكو؟
لا يُعرف الكثير عن الشخص أو الأشخاص الذين يقفون وراء انتهاك سيسكو. أظهرت التحقيقات أن IAB (وسيط الوصول الأولي) نفذ الهجوم. كما يوحي الاسم ، تخترق IABs الأنظمة ولكنها لا تشن هجمات. بمجرد نجاح الاختراق ، يقومون بتثبيت برنامج للحفاظ على هذا الوصول. ثم يتم بيع حق الوصول أو منحه لشخص آخر سيستخدم الوصول لتنفيذ الهجوم الفعلي. تشير الدلائل إلى وجود روابط مع ثلاث جهات خبيثة - UNC2447 و Lapsus $ و Yanluowang.
كيف اخترقوا شركة سيسكو
الخطوة 1: كلمات مرور المتصفح
تمكن المهاجم أولاً من الوصول إلى حساب Google الشخصي للموظف. من خلال تسجيل الدخول إلى متصفح Chrome باستخدام بيانات الاعتماد المسروقة ، يمكن للمهاجم الوصول إلى كلمات مرور الموظف حيث تم حفظها في المتصفح وتهيئتها للمزامنة.
التحليلات
قطعت المتصفحات شوطًا طويلاً منذ أيام Netscape و Internet Explorer الخوالي (تم وضع كلا المستعرضين منذ ذلك الحين في سجلات تاريخ الكمبيوتر). إنها أكثر قوة ، وتقدم مجموعة ميزات أكثر ثراءً ، وأكثر أمانًا مما كانت عليه من قبل.
تعد كلمات مرور المتصفح أحد هذه التحسينات - مما يسمح للمستخدمين بحفظ أسماء المستخدمين وكلمات المرور الخاصة بهم مباشرة في المتصفح. على الرغم من أن هذا مناسب جدًا ، إلا أن المتصفحات لا تفرض نوع أفضل ممارسات الأمان التي يقوم بها مديرو كلمات المرور ، مما يجعلها عرضة للقرصنة.
يطلب مديرو كلمات المرور من المستخدمين استخدام كلمة مرور رئيسية يجب أن تكون معقدة بشكل مناسب وتشفير أي كلمات مرور محفوظة - مما يجعل من الصعب سرقتها. سيسمح لك بعض مديري كلمات المرور باستخدام القياسات الحيوية مثل بصمات أصابعك أو وجهك - مما يزيد من الأمان والراحة.
بينما بدأت المتصفحات في اللحاق بالركب فيما يتعلق بأمان كلمات المرور ، فإنها لم تصل بعد إلى مستوى مديري كلمات المرور ، مما يجعلها خيارًا غير مناسب.
هناك مخاطر أمنية محتملة أخرى تتمثل في استخدام كلمات مرور بسيطة. تظهر الأبحاث التي أجرتها NordPass في عام 2021 أنه على الرغم من حملات التوعية الكبيرة ، إلا أن كلمات المرور غير الآمنة بشكل يبعث على السخرية لا تزال منتشرة. في الواقع ، وجد الباحثون أن كلمة المرور "123456" مستخدمة أكثر من 103 مليون مرة ، تليها "123456789" المشكوك فيها بنفس القدر ، والتي سجلت أكثر من 46 مليون حالة. في حال كنت تتساءل ، فإن الكلاسيكيات مثل "password" و "qwerty" و "iloveyou" لا تزال موجودة في القائمة.
يستغرق اختراق كلمات المرور أقل من ثانية ، مما يجعلها غير آمنة بشكل لا يصدق. ومما يزيد المشكلة تعقيدًا حقيقة أن برنامج تكسير كلمات المرور أصبح أكثر تقدمًا ويمكنه أيضًا حساب استبدال الأحرف الخاصة مثل التبديل إلى @ أو e بـ 3.
الوقاية
يستمتع عدد قليل جدًا من الأشخاص بكتابة كلمات مرور طويلة ومعقدة ، مما يدفع الأشخاص إلى اتباع طرق مختصرة. تدعم الأبحاث هذا التأكيد وهذا هو سبب أهمية مساعدة المستخدمين على استخدام كلمات مرور أفضل.
شجع على تحسين نظافة كلمات المرور.
تعد كلمة المرور القوية إحدى أهم الخطوات التي يمكنك اتخاذها لتقليل المخاطر. يمكن أن تساعدك سياسة كلمة المرور القوية في WordPress على ضمان عدم استخدام المستخدمين لكلمات مرور مثل "123456" ، والتي كما تظهرنا الأبحاث ، لا تزال شائعة جدًا.
باستخدام WPassword ، وهو مكون إضافي لأمان كلمة مرور WordPress ، يمكنك التأكد من اتباع ممارسات كلمة المرور الجيدة إلى T. يمكنك تعيين سياستك الخاصة ، مما يساعدك في تحقيق ملف تعريف السياسة الذي تشعر بالراحة والسعادة تجاهه.
يعد تثبيط المستخدمين عن حفظ كلمات المرور في المستعرضات الخاصة بهم خطوة مهمة أخرى يمكن أن تساعدك (ومستخدميك) في التخفيف من المخاطر. بعد كل شيء ، ليست كلمة مرور WordPress الخاصة بهم فقط هي التي تخاطر بالسرقة - وسائل التواصل الاجتماعي ، والخدمات المصرفية ، وجميع كلمات المرور الأخرى معرضة للخطر بشكل متساوٍ.
أصبح مديرو كلمات المرور سائدين ، مع وجود العديد من الحلول للاختيار من بينها. لا يقتصر دور مديري كلمات المرور على التخلص من المخاطر المرتبطة بحفظ كلمات المرور في المتصفحات فحسب ، بل يمكنهم أيضًا مساعدتك في الوصول إلى كلمات مرور أقوى ، كما أن البعض سينبهك إذا كان هناك تسريب لكلمة المرور.
الخطوة الثانية: الهندسة الاجتماعية
بمجرد تمكن المهاجم من الوصول إلى حساب الموظف ، شرعوا في تسجيل أجهزة 2FA لتجاوز آليات الأمان التي توفرها المصادقة الثنائية. نظرًا لكون المصادقة الثنائية (2FA) قوية جدًا ، أطلق المهاجم هجومًا ذا شقين استفاد من تكتيكات الهندسة الاجتماعية لتجاوز المصادقة الثنائية.
- الشق الأول: إجهاد 2FA - في هجوم التعب 2FA ، يحاول المهاجم تسجيل عدة أجهزة 2FA ، مما يجبر الضحية بشكل فعال على التعامل مع طلبات 2FA متعددة. ينتشر هذا النوع من الهجوم في الغالب في الإشعارات الفورية لأن كل ما يتعين على الضحية فعله هو القبول - سواء كان ذلك من خلال الجهل أو التعب أو غير ذلك.
- الشق الثاني: التصيد الصوتي - التصيد هو نوع من هجمات الهندسة الاجتماعية حيث يتصل المهاجم بالضحية (التصيد الصوتي) ، مدعيًا أنه شخص في موقع سلطة. يتم إساءة استخدام هذه السلطة المزيفة من خلال وضع الضحية في وضع يشعر فيه أنه لا خيار أمامه سوى الامتثال لمطالب المتصل. يمكن أن تشمل هذه المطالب إفشاء المعلومات أو اتخاذ إجراءات معينة ، مثل النقر على روابط محددة.
التحليلات
تظل الهندسة الاجتماعية واحدة من أكثر الأدوات التي يستخدمها المهاجمون لتجاوز الإجراءات الأمنية. في بعض الحالات ، قد يجد المهاجمون أنه من الأسهل خداع الأشخاص بدلاً من التعامل مع نظام الأمان. في هذه الحالة ، كان على المهاجم اللجوء إلى الهندسة الاجتماعية لتجاوز المصادقة الثنائية.
تأتي الهندسة الاجتماعية بأشكال عديدة ، تتطلب سياسة أمنية شاملة لضمان عدم نجاح الهجمات. نظرًا لأن الهندسة الاجتماعية تستهدف الأشخاص ، يمكن لحملات التوعية المستمرة أن تقطع شوطًا طويلاً في تقليل المخاطر وتخفيفها.
تعتمد الهندسة الاجتماعية على عدد من المبادئ ، بما في ذلك التخويف والإلحاح والألفة والدليل الاجتماعي والسلطة والندرة. يتم استخدام هذه المبادئ بشكل ضار لجعل الناس يمتثلون للطلبات التي لم يكونوا لينضموا إليها لولا ذلك.
الوقاية
أضف المصادقة ذات العاملين
كلمات المرور القوية ليست سوى خط الدفاع الأول. 2FA هو جانب مهم آخر من جوانب جيدة على الإنترنت
أمان قادر على إيقاف الغالبية العظمى من الهجمات عبر الإنترنت. 2FA ، يتطلب أي مهاجم محتمل
للوصول أيضًا إلى هاتف مستخدم مسجل - وهو أمر صعب للغاية.
لم يتمكن مهاجمو Cisco أبدًا من تجاوز دفاعات المصادقة الثنائية (2FA) - وبدلاً من ذلك ، اعتمدوا على تكتيكات الخداع لخداعهم.
أنه ضحية في الاستجابة لطلباتهم - مما سمح لهم في النهاية بتجاوز 2FA.
ومع ذلك ، تظل المصادقة الثنائية (2FA) حلاً هائلاً لأمان الحساب عبر الإنترنت ، مما يساعد في إيقاف الهجمات في مساراتها ، أو ، أ
ر على أقل تقدير ، إبطاء لهم. لحسن الحظ ، فإن إضافة المصادقة الثنائية (2FA) إلى موقع WordPress الخاص بك أمر سهل.
استثمر في مستخدميك
يعد تعليم المستخدم أداة قوية يتم تجاهلها في كثير من الأحيان - حتى وقوع حادث. كما يقول المثل القديم ، الوقاية خير من العلاج. أن تكون استباقيًا هو وسيلة أكثر فائدة من إصلاح الضرر.
لديك سياسة ، من بين أمور أخرى ، تطلب من المستخدمين الإبلاغ عن طلبات المصادقة الثنائية (2FA) التي لم يكونوا يتوقعونها وتوضيح أنه حتى إذا قبلوا أي طلب من هذا القبيل عن طريق الخطأ - يجب الإبلاغ عنه. غالبًا ما يخشى المستخدمون التداعيات الناجمة عن مثل هذه الأخطاء ، مما يؤدي إلى عدم الإبلاغ عن مثل هذه الحوادث. افهم أن هذا يمكن أن يحدث لأي شخص - التساهل والتفهم يساعدانك أنت والمستخدمين.
خذ الوقت الكافي لاستعراض السياسة بين الحين والآخر ، وإذا أمكن ، قم بتسجيل المستخدمين في دورات قصيرة للأمن السيبراني مصممة للأفراد.
الخطوة 3: تصعيد الامتياز
بمجرد حصول المهاجم على وصول مبدئي ، قاموا بالتصعيد إلى الامتيازات على مستوى المسؤول ، والتي سمحت لهم بالوصول إلى أنظمة متعددة. هذا ما تم التخلي عنه في النهاية لأنه نبه فريق الاستجابة الأمنية - الذي كان قادرًا على التحقيق معهم وإزالتهم من البيئة.
التحليلات
في تصعيد الامتياز ، يحاول المهاجم الوصول إلى حسابات ذات مجموعة امتيازات أعلى من تلك التي تم اختراقها في البداية. نظرًا لأن الحسابات ذات الصلاحية الأقل لا يتم حمايتها بشكل كبير مثل حسابات السلطة الأعلى ، فمن السهل اختراقها. بمجرد الحصول على الوصول الأولي ، قد يرغب المهاجم في تصعيد الامتيازات للوصول إلى بيانات أكثر حساسية أو إلحاق المزيد من الضرر.
الوقاية
بينما يعد WordPress ، إلى حد كبير ، تطبيقًا آمنًا ، إلا أنه ليس محصنًا ضد الهجمات. يعد تقليل مساحة سطح الهجوم أمرًا ضروريًا لتقليل المخاطر. تسمى عملية تقليل مساحة سطح الهجوم هذه بالتصلب ويمكن إجراؤها على عدة مستويات ، بما في ذلك ؛
تصلب ووردبريس
تصلب PHP
تصلب خادم الويب
تصلب OS (نظام التشغيل)
تصلب MySQL
تعتمد الأنظمة الفرعية التي يمكنك تقويتها على كيفية استضافة WordPress الخاص بك. إذا كانت لديك خطة استضافة WordPress ، فإن مزود الاستضافة الخاص بك ينفذ معظم المهام. من ناحية أخرى ، إذا كنت تدير خادمك الخاص ، فستحتاج إلى تقوية كل نظام فرعي بنفسك.
الخطوة 4: تثبيت الأداة
بمجرد حصول المهاجمين على امتيازات كافية (قبل أن ينهي فريق الاستجابة للحوادث الوصول) ، قاموا بتثبيت أدوات استمرار متنوعة لضمان قدرتهم على الحفاظ على الوصول. كانت هذه الأدوات ستوفر الوصول المستقبلي - سواء خطط المهاجمون لإعادة الزيارة أو بيع الوصول إلى طرف ثالث.
التحليلات
أدوات وطرق الثبات ، المعروفة أيضًا باسم الأبواب الخلفية ، تشكل خطورة مضاعفة لأنها تسمح بالوصول لهجمات مستقبلية. في حالة عدم اكتشافهم ، سيستمرون في تزويد المهاجم بوصول مستمر إلى البيئة. نظرًا لأن معظم هذه الأدوات مصممة لتجنب الاكتشاف ، فإن العثور عليها قد يستغرق القليل من العمل الإضافي.
قد يقوم بائعون مثل Google أيضًا بحظر نطاقك أو عنوان IP الخاص بك ، مما يؤثر سلبًا على تصنيف محرك البحث الخاص بك. قد يكون التعافي من ذلك أكثر صعوبة ، خاصة إذا حدث ضرر كبير قبل ملاحظة الخرق.
تستخدم الأبواب الخلفية في WordPress أيضًا العديد من وظائف PHP ، مما يسهل اكتشافها. هذا لا يعني أن جميع الأبواب الخلفية تستخدم وظائف PHP معينة ولكنها شيء يجب مراعاته.
الوقاية
قد يكون العثور على جميع البرامج الضارة والبرامج التي يتركها المهاجم وراءه أمرًا صعبًا للغاية. يميل معظم مسؤولي WordPress إلى اللجوء إلى نسخة احتياطية سابقة قبل الاختراق الأولي. تقدم العديد من الشركات أيضًا خدمات تنظيف WordPress احترافية. يمكن أن تساعدك بعض المكونات الإضافية في العثور على برامج WordPress الضارة.
إحدى الأدوات التي لا تقدر بثمن والتي يجب أن تستخدمها هي WordPress File Changes Monitor ، وهي أداة مراقبة تكامل الملفات لـ WordPress. يأخذ هذا المكون الإضافي المجاني بشكل أساسي تجزئة لنظام الملفات الخاص بك في كل مرة يتم تشغيله ، ثم يقارنه بالتجزئة السابقة. ستتغير التجزئة تمامًا إذا كان هناك أدنى تغيير في أي من الملفات. سيسمح لك ذلك ببدء تحقيقاتك لتحديد ما إذا كان هناك خرق قد حدث.
WP Activity Log أداة أساسية أخرى يمكن أن تساعدك على تتبع ما يجري تحت الغطاء. باستخدام هذا المكون الإضافي ، ستحتفظ بسجل نشاط WordPress الذي يمنحك رؤى عميقة لأنشطة مستخدم ونظام موقع WordPress الخاص بك ، مما يسمح لك بالتخلص من السلوك المشبوه في وقت مبكر. مع ميزات مثل تكامل المكونات الإضافية لجهات خارجية وتنبيهات البريد الإلكتروني أو الرسائل القصيرة ، ستتمكن من البقاء على اطلاع في جميع الأوقات.
الخطة الأمنية الشاملة هي الخطة الأمنية الوحيدة
يُظهر الهجوم على شركة Cisco أن المتسللين أصبحوا أكثر إبداعًا وتعقيدًا في تنفيذ الهجمات - باستخدام متجهات متعددة لزيادة فرصهم في اختراق ناجح. بينما تظل الإجراءات مثل تثبيت جدار الحماية مهمة ، إلا أنها ليست الحل الفضي الذي تصوره الحكمة التقليدية على أنها كذلك. بدلاً من ذلك ، يلزم اتباع نهج أكثر شمولاً لضمان حماية مواقع WordPress الخاصة بنا على جميع الجبهات.
كما يوضح لنا خرق Cisco ، تعد الطبقات المتعددة ضرورية لضمان تشديد أمان WordPress ؛ ومع ذلك ، يظل العنصر البشري أساسيًا. من نواحٍ عديدة ، يعد المستخدمون أصحاب مصلحة في نجاح أي موقع ويب WordPress ، وبينما يعد تنفيذ سياسات مثل أقل امتياز أمرًا حتميًا ، فإن تعليم المستخدم كذلك.