تخطي إلى المحتوى
جرب الأمان السحابي من RSA مجانًا

ابدأ الإصدار التجريبي الخاص بك لID Plus الآن.

ابدأ الآن

نحن نشهد الآن بانتظام النتائج المتناقضة لنجاحات دفع القصف بالقنابل الهجمات حيث أصبح هذا التكتيك أسلوبًا شائعًا للهجوم. واليوم، تواجه المؤسسات المزيد من هجمات القصف الفوري للمصادقة متعددة العوامل (MFA)، حيث يكون لدى المهاجم بشكل عام أحد عوامل المصادقة بالفعل، مثل اسم المستخدم/كلمة المرور. يمكن للمهاجم بعد ذلك طلب إشعارات فورية تصل إلى الهاتف الذكي للمستخدم.

تعتمد الهجمات التفجيرية السريعة على إرهاق وزارة الخارجية. على الرغم من أن تلقي إشعار دفع غير متوقع ليس أمرًا طبيعيًا، فقد يوافق المستخدم على الطلب. حتى لو قام المستخدم بالاختيار الصحيح ورفض الطلب في المرة الأولى، فقد تتعبه الرسائل أو تربكه. لا يلزم سوى "سماح" واحد فقط ومن ثم تتم مصادقة المهاجم. واعتماداً على بنية البيئة وغيرها من الضوابط الأمنية المعمول بها، قد يمنح ذلك الجهة التي تقوم بالتهديد إمكانية الوصول إلى تطبيقات الشركة أو شبكاتها أو ملفاتها. لقد قمنا مؤخرًا بتفصيل المواصفات التي آي دي بلس يستخدم للكشف عن هذه الهجمات والحماية منها في مدونة تسمى الحماية من هجمات القصف الموجه من MFA.

يمثل التعامل مع إجهاد المصادقة المصغرة تحدياً أمنياً مثيراً للاهتمام بالنسبة لمعظم المؤسسات. على الرغم من أن هذا النوع من الهجمات لا ينبغي أن يكون حدثاً يومياً، إلا أنه إذا حدث، يجب أن يكون فريقك الأمني على علم به ويستجيب له. فهذا لا يعني فقط أنك تتعرض للهجوم، بل يعني أيضاً أن بعض بيانات الاعتماد مخترقة بالفعل. يندرج التفجير الفوري ضمن فئة الحدوث المنخفض والمخاطر العالية. يوضح هذا المنشور بعض الطرق الأساسية للتعامل مع هذا النوع من الهجمات من منظور فريق العمليات الأمنية.

العنصر البشري

لكي تكون مستعداً لقصف الدفع ومكافحة الإرهاق الناتج عن الضغط، عليك أن تبدأ بالعنصر البشري.

  • توعية المستخدم. يحتاج المستخدمون إلى أن يكونوا أكثر من مجرد واعين: يجب أن يكونوا على علم ويقظة واهتمام. ولكن، في الوقت نفسه، يجب أن يكون تعزيز الوعي بالأمن السيبراني سهلاً بالنسبة لهم وإلا سيفشلون. إن تلقي تدريب توعية أمنية مرة واحدة في السنة قد يلبي احتياجات الامتثال، ويوفر بعض الفائدة، ولكنه لا يكفي لمكافحة هجوم متطور. يجب إخبار المستخدمين أنه إذا لم يبادروا بإجراء اتصال، فيجب أن يعتبروه مشبوهًا. إذا كان لدى المستخدمين الأدوات الصحيحة والتدريب المناسب، فقد تكون لديهم فرصة.
  • تثقيف المستخدم. تأكد من أن المستخدمين النهائيين لديك يعلمون أنه من الممكن أن يحصلوا على طلب دفع إلى مصادقة سيء، وأنه لا ينبغي أن ينقروا تلقائيًا على "موافق" على نفس مربع الحوار الذي شاهدوه 100 مرة. ولكي تصل هذه الرسالة إلى بعض أو معظم المستخدمين، يجب أن يكون لبرنامج الأمان لديك نوع من التواصل المنتظم مع المستخدمين إلى جانب طريقة لاستمرار التواصل - فكر في تنبيه عبر البريد الإلكتروني، أو انشر التنبيه على صفحة مدونة ثابتة يمكن لجميع المستخدمين الوصول إليها، وأضف روابط للتنبيه في وثائق الشركة الأخرى، أو صفحة الهبوط الأمنية الخاصة بك، أو اجعلها موضوعًا لشهر التوعية بالأمن الإلكتروني.
  • موارد المستخدم. تذكّر أنه لتنفيذ هجمات MFA Fatigue وMFA Fatigue Bombing بنجاح، من المرجح أن يكون لدى المهاجم بالفعل بيانات اعتماد المستخدم. سيبدأ المهاجمون الأكثر تقدمًا في التصيد الاحتيالي ويمكنهم إرسال رسائل نصية قصيرة أو تنبيهات واتساب أو مكالمات هاتفية أو رسائل بريد إلكتروني إلى المستخدم لإضافة إرباك إلى إجهاد المصادقة متعددة الأطراف. ولكي يتمكن المستخدمون من التصدي لهذه المحاولات، يجب أن يكونوا واثقين من كيفية الإبلاغ عن أي مشكلة، وأن يفهموا حقًا كيفية تواصل مكتب المساعدة ومكتب الخدمة وفريق الأمن معهم. مرة أخرى، لا يتعلق الوعي هنا بالتدريب السنوي، بل باستمرار التواصل مع المستخدمين والفهم العام لكيفية العثور على الموارد المطلوبة وكيفية عمل الأمور. إذا عرف كل مستخدم أن يتصل بمكتب الخدمة على الفور وكان لدى مكتب الخدمة وثائق محدثة، أو حتى إذا تذكر أحد أعضاء الفريق وجود هذا المورد واستطاع تحديد موقعه، فإن مؤسستك في وضع جيد.
  • إجراءات المستخدم. المستخدم الذي ليس لديه موارد ولم يتم تدريبه هو هدف جيد. هل يعرف المستخدمون أن يطلبوا دائمًا الاتصال بمكتب الخدمة عبر الأدوات المناسبة (Teams، Slack، إلخ) وعدم قبول أي مكالمات هاتفية دون أن يأتي اتصال تم التحقق منه أولاً؟ ضع التوقعات وأعطِ طريقة للتحقق إذا كان المستخدم غير متأكد.

باختصار، يجب عليك طرح هذه الأسئلة حول برنامج الأمان الخاص بك واستخدام الإجابات لتحسين عملياتك حسب الحاجة:

  • هل يعرف المستخدمون ماذا يفعلون إذا تلقوا طلب مصادقة غير متوقع؟
  • هل يمكن للمستخدمين الإبلاغ بسرعة عن مشكلة أمنية؟
  • هل يعرف جميع المستخدمين كيفية الاتصال بمكتب الخدمة الخاص بك؟
  • هل يعرف مكتب الخدمة لديك كيفية الاستجابة لمشكلة أمنية؟
  • هل لدى المستخدمين وسيلة للوصول مباشرة إلى فريق الأمان؟
  • هل يعرف المستخدمون كيف يمكن لمكتب الخدمة أن يتصل بهم بشكل شرعي، وأنه لا ينبغي الوثوق في الاتصالات خارج هذه الآلية؟
  • هل يعرف المستخدمون كيفية التحقق من شرعية جهة اتصال ما؟
الوقاية من خلال العمليات والضوابط الأمنية

الطريقة الأولى لمنع إجهاد MFA هي عدم السماح بحدوث ذلك. يؤدي عدم استخدام كلمات المرور إلى التخلص من ناقل الهجوم الرئيسي: زوج اسم المستخدم وكلمة المرور الذي يمكن أن يستمر لأشهر. فكر في استخدام FIDO كعامل أساسي. ولكن قد لا يكون FIDO عمليًا للجميع حتى الآن - وإذا كان الأمر كذلك، فماذا يجب أن تفعل بدلاً من ذلك؟

كما هو الحال في كثير من الأحيان مع الأمن، فإن أفضل وقاية تقنية هي الدفاع متعدد الطبقات. إليك بعض الأمور التي يجب أخذها بعين الاعتبار. اختر أفضل ما يناسب بيئتك:

  • إذا كنت لا تزال تعتمد على أسماء المستخدمين وكلمات المرور، فتأكد من وجود مخزن لكلمات المرور على الأقل، أو الأفضل من ذلك، حل إدارة المصادقة الكاملة للمصادقة المميزة (PAM) للوصول الأكثر حساسية. تأكد أيضًا من استخدامه بشكل صحيح؛ فقد يكون الوقت قد حان لفحص الصحة
  • إذا كان هناك أي اشتباه في وجود بيانات اعتماد مخترقة، قم بفرض إعادة تعيين كلمة المرور. سيمنع إجراء إعادة التعيين تفجير الدفع في المستقبل.
  • على الرغم من أنه ليس من أفضل الممارسات تغيير كلمات المرور بشكل تعسفي (لعدد من الأسباب)، إلا أن فرض تغيير كلمة المرور يحد من الوقت الذي يمكن فيه استخدام بيانات الاعتماد المخترقة بسهولة في دفع التفجير.
  • راجع تكوين MFA الخاص بك للتأكد من أن أنماط الوصول منطقية. من الممكن تكوين حتى أفضل حلول MFA للسماح بالكثير من الوصول مع تحقق محدود.
  • تنطبق أيضًا أفضل ممارسات كلمات المرور المنطقية. تثقيف المستخدمين لتوضيح سبب عدم مشاركة كلمات المرور بين الخدمات. وبهذه الطريقة في حالة حدوث اختراق، سيؤدي ذلك إلى الحد من مساحة الهجوم من أجل دفع التفجير.
  • إذا كنت تعتمد على مصادقة الدفع أكثر من اللازم أو لحماية البيانات الحساسة للغاية، ففكر في زيادة تكرار طلبات كلمات المرور لمرة واحدة (OTP) باستخدام الرموز المميزة اللينة أو الصلبة. سيشاهد المهاجم طلبات OTP في سيناريو الهجوم ولن تصل إلى المستخدم أبداً.
اكتشاف الطلبات الكاذبة

لاكتشاف طلب مصادقة الدفع الخاطئ برمجيًا، قد تحتاج إلى الكثير من الأشياء للعمل بنجاح. يجب تعيين السجلات من نظام المصادقة الخاص بك على المستوى الصحيح، وإرسالها إلى جامع السجلات المناسب، وتحليلها بشكل صحيح، ويجب أن يكون المحتوى في مكانه الصحيح لتوليد تنبيه مناسب. من هناك، يجب أن يتلقى مركز العمليات الأمنية (SOC) اليقظ على مدار الساعة وطوال أيام الأسبوع هذا التنبيه ويتعرف عليه مع دليل تشغيل محدث حول ما يجب القيام به بعد ذلك. لا يبدو هذا الأمر سهلاً، وهو ليس كذلك. يمكن أن تقلل مجموعة متنوعة من الأدوات والآليات من الجهد المبذول، ولكن النقطة الأساسية هي أنك تحتاج إلى تحديد حدث السجل الذي يهمك، والنظر في العتبات التي تهمك، وتحديد الإجراءات التي تحتاج إلى اتخاذها عند تلقي تنبيه والتحقق من صحة العملية برمتها.

قد ترغب في التفكير في الحصول على تنبيه ذي مغزى لرفض المصادقة دفعة واحدة وضبطها إذا كان ذلك يسبب الكثير من الضوضاء. تذكر، إذا كان المستخدمون لديك مدربين تدريباً جيداً، فقد يعلمونك بوجود مشكلة بسرعة كبيرة. حتى أنهم قد يكونون أسرع من قدرة SIEM على تحليل السجلات، والحصول على التنبيه، ويمكن لمركز العمليات الأمنية اكتشافها والاستجابة لها. من الجيد دائماً أن يكون لديك خطة احتياطية وطبقات متعددة من الأمان والمراقبة.

مراجعة أحداث السجل وسيناريوهات ماذا لو استندت إلى هجوم ما. تحتاج إلى التأكد من تحديد البيانات الصحيحة وتلقيها. تحقق من وجود حدث سجل خاص بالمستخدم الذي يرفض طلب الدفع كأهم عنصر اهتمام. عنصر آخر ذو أهمية هو طلبات مصادقة الدفع المهجورة.

تذكّر أن اكتشاف طلب دفع سيء يعني أنك على الأرجح قد اكتشفت أيضاً اختراقاً لبيانات الاعتماد. لذا، حتى إذا قال المستخدم "لا" لطلب الدفع، فقد تكون بالفعل في خطر ما إذا كان هناك أي مكان في شبكة مؤسستك يمكن أن تسمح مجموعة اسم المستخدم/كلمة المرور بالوصول إليه. إذا كان لديك كشف لطلبات مصادقة الدفع السيئة، فيمكن أن يكون بمثابة آلية للكشف عن بيانات الاعتماد المخترقة.

يمكن لمستخدمي RSA الاطلاع على كيفية استخدام ID Plus للمصادقة المستندة إلى المخاطر وغيرها من الميزات من أجل الكشف عن القصف الفوري والدفاع عنها.

كن آمناً ولا تأسف

تعتمد الاستجابة المناسبة للدفع بالمصادقة على الحد الذي ترتاح له. ولكن حتى مع دفعة واحدة غير متوقعة للمصادقة، يجب أن يتم إسقاط جلسات المستخدم وإجباره على تغيير كلمة المرور الخاصة به. تذكر، يجب أن يكون هذا حدثًا منخفض التكرار. كن آمناً وليس آسفاً. سيؤدي تغيير كلمة المرور أيضًا إلى منع الهجمات المحتملة في المستقبل باستخدام بيانات اعتماد المستخدم المحددة هذه.

على الرغم من أن كلمات المرور بدأت تظهر صلاحيتها، إذا كانت جزءًا من المصادقة المصطنعة في مؤسستك، فقم بتطوير وتوثيق عملية موثوقة لفرض إعادة تعيين كلمة المرور والحصول على موافقة القيادة المسبقة على تغيير كلمة المرور وإلغاء الجلسة عند أي اختراق مشتبه به. كلما طالت مدة وصول المهاجم إلى شبكتك، زاد الضرر الذي يمكن أن يحدثه. عامل وقت الاستجابة. تواصل بسرعة وبشكل استباقي مع المستخدمين أو مديريهم على قناة موثوق بها إذا تلقيت تنبيهاً وحدد آلية الاتصال المناسبة لمؤسستك، مثل رسالة نموذجية عبر البريد الإلكتروني، لإعلام المستخدمين ومديريهم بما حدث وتنبيههم. إن التواصل يقطع شوطاً طويلاً في بناء الثقة التي ستؤتي ثمارها في أي مخاوف أمنية مستقبلية.

ضع في اعتبارك أن الهجوم بالقنابل الاندفاعية هو أحد أنواع الهجمات، ويجب عليك تحديد أولوية أي رد عليه في برنامجك العام المتعلق باحتمالية حدوثه والمخاطر التي تهدد بيئتك. إذا نجح أحد المهاجمين في ذلك، فسيتعين عليك الاعتماد على عناصر التحكم الأمنية الأخرى للحد من الأضرار وضمان قدرتك على التعافي بسرعة.

قد تكون مهتمًا أيضًا ب...

طلب عرض توضيحي

احصل على عرض توضيحي