تشدید اخیر که شامل ایالات متحده و ایران است ، واقعیت مهمی را برجسته می کند: تنش های ژئوپلیتیکی اغلب به فضای مجازی گسترش می یابد. بازیگران تهدید سایبری وابسته به یا همدردی با ایران ، تلاش های خود را تشدید می کنند و خطرات نه تنها برای سازمان های مستقر در ایالات متحده بلکه برای شرکت های کشورهای متفقین ، به ویژه کسانی که دارای روابط زیرساختی دیپلماتیک ، نظامی یا مهم هستند ، افزایش می دهد. وزارت امنیت میهن ایالات متحده (DHS) با تأمل در این منظر تهدید ارتقاء یافته ، اخیراً صادر کرده است بولتن سیستم مشاوره ملی تروریسمبا تأکید بر افزایش خطر ابتلا به عملیات سایبری تلافی جویانه. در حالی که آتش بس به عنوان انتشار وجود دارد ، وضعیت بسیار روان است. تاریخ نشان می دهد که فعالیت های مخرب سایبری می تواند فراتر از حل و فصل درگیری جنبشی باشد ، و این امر باعث می شود که سازمانها هوشیار و آماده باشند.
نقاط فلش ژئوپلیتیکی مدتهاست که کاتالیزورهایی برای کمپین های پیشرفته و پایدار سایبری بوده است. با گذشت سالها ، ما مشاهده کرده ایم که چگونه بازیگران ملت-دولت-به ویژه کسانی که با ایران هماهنگ هستند-به طور جدی به فضای مجازی برای دنبال کردن اهداف سیاسی و استراتژیک ، با استفاده از تاکتیک هایی مانند بدافزارهای مخرب ، نفوذ هدفمند و ضد اطلاعات ، روی می آورد. در پاسخ به استاکسنت در سال 2010 ، ایران موج پایدار از حملات سایبری را که فراتر از ایالات متحده بود ، برای تأثیرگذاری کشورها در سراسر خاورمیانه ، اروپا و آسیا آغاز کرد. اینها شامل حملات مخرب مانند بدافزار برف پاک کن شمون در برابر سعودی آرامکو در سال 2012 ، و همچنین عملیات جاسوسی که توسط گروه هایی مانند APT33 ، APT34 (OilRig) و APT35 (بچه گربه جذاب) انجام شده است. اهداف آنها شامل شرکت های انرژی ، دانشگاه ها ، سازمان های دولتی و سازمان های مرتبط با ناتو در سراسر انگلیس ، فرانسه ، آلمان و هلند است. آنچه که قصاص فوری در عملیات بلند مدت تکامل یافت ، متمرکز بر جمع آوری اطلاعات ، برداشت اعتبار و نفوذ زنجیره تأمین بود.
چرا سازمان های جهانی باید هوشیار باشند
اعتصابات اخیر ایالات متحده به تأسیسات هسته ای ایران-که به عنوان عملیات Midnight Hammer شناخته شده است-در دوره ای از خطر سایبری افزایش یافته است و باعث می شود که هم بازیگران هکتیویستی و هم تحت حمایت دولت ، بر سازمانهای هماهنگ با ما و منافع متفقین تمرکز کنند. این حملات می تواند از فعالیت مختل کننده و جلب توجه تا عملیات خفا در نظر گرفته شده برای دستیابی به دسترسی طولانی مدت یا دخالت در سیستم ها در طول زمان باشد.
تهدیدهای سایبری ژئوپلیتیکی به ندرت در مرزها موجود است. متفقین و کشورهایی که میزبان تاسیسات نظامی یا دیپلماتیک ایالات متحده ، به ویژه در اروپا ، خاورمیانه و هند و اقیانوس آرام هستند ، باید به ویژه در برابر تهدیدات دیجیتال هوشیار باشند. از نظر تاریخی ، گروه های تهدید سایبری ایرانی تمایل و توانایی فعالیت در سطح جهانی ، به طور غیرقانونی بر بخش هایی مانند انرژی ، امور مالی ، مراقبت های بهداشتی ، دولت ، ارتباطات از راه دور و تولید را نشان داده اند.
به عنوان مثال ، اواخر سال 2023 “سایبر 3Ngers“کمپین کنترل کننده های منطق قابل برنامه ریزی (PLC) و رابط های و ماشین های انسانی (HMIS) ، با سوء استفاده از آسیب پذیری ها برای مختل کردن عملیات بحرانی زیرساخت ها.
تهدیدهای سایبری و اقدامات تلافی جویانه
سازمانها در سطح جهان باید در پاسخ به تشدید تنش های ژئوپلیتیکی ، چندین شکل از تهدیدهای سایبری را پیش بینی کنند. حملات مخرب مخرب ، مانند بدافزار برف پاک کن که برای پاک کردن یا فاسد شدن داده ها طراحی شده است ، از نظر تاریخی باعث اختلال شدید عملیاتی و وقفه های طولانی مدت تجارت شده است. توهین های هدفمند با هدف بخش های بحرانی زیرساخت ها ، از جمله انرژی ، مراقبت های بهداشتی ، دفاع و دولت ، انتظار می رود که اغلب شامل جاسوسی ، خرابکاری و بهره برداری از آسیب پذیری های شناخته شده یا برداشت اعتبار است.
ما همچنین می توانیم انتظار داشته باشیم که تلاش های اطلاعاتی هماهنگ و کمپین های فیشینگ-که اغلب توسط محتوای تولید شده توسط AI تقویت شده است-در گمراه کردن مردم ، از بین بردن اعتماد و حواس پرتی های حواس پرتی. این تلاش ها برای دستکاری ادراک ، تحریک سردرگمی و تحریک وحشت طراحی شده است. به موازات ، اقدامات فرصت طلبانه مانند حملات DDOS یا نقص وب سایت به احتمال زیاد ادامه خواهد یافت ، و به عنوان تلاش های نمادین برای تقویت تبلیغات و توانایی سیگنال خدمت می کند.
سه مرحله فوری برای کاهش خطر
با توجه به تهدیدات فوری ، سازمان ها باید قاطعانه عمل کنند. این سه مرحله مهم است که می توانید در حال حاضر برای کاهش خطر خود انجام دهید:
1. سطح حمله خود را در محیط های آن و OT کاهش دهید. یک رویکرد دسترسی به شبکه اعتماد صفر (ZTNA) را اتخاذ کنید ، دسترسی غیر ضروری به اینترنت را حذف کنید ، حداقل امتیاز را پیاده سازی کنید ، اعتبار پیش فرض را از بین ببرید ، احراز هویت چند عاملی (MFA) و احراز هویت TLS متقابل را در صورت امکان ، و زیرساخت های مهم بخش برای جلوگیری از حرکت جانبی. برای محیط های فناوری عملیاتی ، سازمان ها باید اتخاذ یک چارچوب امنیت سایبری ICS/OT را در نظر بگیرند که شامل به دنبال کنترل های مهم توصیه شده توسط SANS:
- برنامه های پاسخ به حادثه خاص ICS: توسعه برنامه های پاسخ آگاه از عملیات متمرکز بر حفظ یکپارچگی سیستم و بازیابی. این تمرینات باید سناریوهای خطر ، تجزیه و تحلیل علت ریشه و استمرار عملیات را در اولویت قرار دهد.
- معماری قابل دفاع: عملکرد دید ، جمع آوری ورود به سیستم ، تقسیم بندی و ارتباط ایمن بین سیستم ها را برای کاهش ریسک از طریق طراحی اجرا کنید.
- دید و نظارت شبکه ICS: از ابزارهای آگاه از پروتکل استفاده کنید و تعامل سیستم را برای تشخیص آسیب پذیری ها و تقویت آمادگی بازیابی کنترل کنید.
- دسترسی از راه دور ایمن: کنترل های دسترسی از راه دور را تقویت کنید تا از حرکت جانبی به محیط های OT ، به ویژه از آن یا شبکه های شخص ثالث جلوگیری کنید.
- مدیریت آسیب پذیری مبتنی بر ریسک: آسیب پذیری هایی را که بیشترین ریسک عملیاتی را دارند و اطمینان از تصمیمات امنیتی مبتنی بر تأثیر سیستم است ، در اولویت قرار دهید.
2. پچ آسیب پذیری های شناخته شده – اما تشخیص دهید که کافی نیست. در اولویت های نقص هایی که به طور فعال توسط بازیگران تهدید ، به ویژه در سیستم های VPN ، فایروال ها و سیستم های OT مورد سوء استفاده قرار می گیرند ، اولویت بندی کنید. با این حال ، وصله به تنهایی کافی نیست ، زیرا بسیاری از مهاجمان از آسیب پذیری های صفر روز استفاده می کنند. سازمان ها باید دفاع های لایه ای و نظارت مداوم را برای شناسایی سوء استفاده از اقدامات ، حتی در محیط های بدون استفاده ، پیاده سازی کنند.
3. بر روی تشخیص فعال و نظارت بر اطلاعات متمرکز شوید. دید جامع ، تشخیص رفتاری و نظارت مداوم – به ویژه سیستم های حساس و بحرانی – ضروری هستند. هوش تهدید متنی باید اولویت بندی را آگاه کند و به مدافعان کمک کند تا رفتار مهاجم را پیش بینی کنند و تصمیمات سریعتر و مؤثرتری بگیرند.
حفظ آمادگی در منظره تهدید در حال تغییر
گرگ قطب شمال به طور جدی در نظارت و تجزیه و تحلیل چشم انداز تهدید در حال تحول فعالیت می کند. تیم های مرکز عملیات امنیتی جهانی ما (SOC) به طور مداوم تحولات را ردیابی می کنند ، تهدیدها را ارزیابی می کنند و راهنمایی های به موقع و مفصلی را از طریق ارائه می دهند بولتن های امنیتی و سایر ارتباطات مستقیم
برای کسانی که به دنبال تعمیق درک خود در مورد چگونگی تأثیر تنش های ژئوپلیتیکی بر تهدیدهای سایبری و چگونگی آماده سازی و پاسخگویی به بهترین وجهی هستند. LinkedIn Live ما میزبان بودیم ، جایی که آخرین به روزرسانی ها را در مورد این وضعیت پوشش دادیم ، و مراحل عملی اضافی را ارائه داد که سازمان ها می توانند برای سخت کردن دفاع خود و سازگاری با این محیط تهدید پویا انجام دهند.