مایکروسافت اعلام کرد که یک حمله توسط عامل تهدید مستقر در چین که هدف آن ایمیل‌های مشتریان مبتنی بر ابر در محصول Microsoft 365 بوده را مهار کرده است. این حمله حدود ۲۵ سازمان را تحت تأثیر قرار داده است. مایکروسافت این حملات را به گروه تهدیدی بنام Storm-0558 نسبت داده که یک گروه سایبری جاسوسی می باشد و بر جمع‌آوری اطلاعات حساس با نفوذ به سیستم‌های ایمیل با استفاده از توکن‌های احراز هویت جعلی متمرکز می باشد.

به گزارش سرویس بین الملل پایگاه خبری عدل البرز به نقل از  scmagazine ، به گفته مایکروسافت، Storm-0558 در درجه اول سازمان‌های دولتی در اروپای غربی را هدف قرار می دهد و بر روی جاسوسی، سرقت داده‌ها و دسترسی به اطلاعات کاربری تمرکز دارد، اما رسانه‌های خبری گزارش دادند که هر دو وزارت بازرگانی و امور خارجه، از جمله وزیر بازرگانی ایالت متحده، جینا ریموندو، هک شده‌اند.

اکثر متخصصان امنیتی می‌دانند که مایکروسافت امکانات متعددی در زمینه گزارش حسابرسی در مجموعه خدمات خود ارائه می‌کند. این ویژگی‌ها به سازمان‌ها کمک می‌کند تا بر فعالیت کاربر نظارت کنند، رفتار غیرعادی یا بالقوه مضر را شناسایی کنند و الزامات انطباق را برآورده کنند. به عنوان مثال، در مایکروسافت ۳۶۵، یک سرپرست باید به گزارش حسابرسی یکپارچه، که شامل رویدادهای Exchange Online، SharePoint Online، OneDrive for Business، Azure AD، Microsoft Teams و سایر خدمات می شود، دسترسی داشته باشد. همچنین می تواند رویدادهای مختلفی مانند فعالیت های فایل و صفحه، رویدادهای ورود به سیستم و فعالیت های مدیریتی را ضبط و ثبت کند.

دسترسی و شناخت این گزارش ها نیازمند درک فنی مشخصی می باشد. مایکروسافت اسناد گسترده‌ای را برای هدایت کاربران در این فرآیند ارائه می‌دهد و رابط کاربری تا حد امکان بصری طراحی شده است. لاگ‌ (گزارش) های حسابرسی به‌صورت پیش‌فرض فعال نیستند و مدیران باید آنها را به‌صورت دستی فعال کنند. همچنین زمان تأخیر تا ۲۴ ساعت یا بیشتر قبل از ظهور لاگ‌های حسابرسی در نتایج جستجو در مرکز امنیت و انطباق وجود دارد. علاوه بر این، لاگ‌ها برای مدت زمان محدودی نگهداری می‌شوند، مگر اینکه اقدامات بیشتری برای نگهداری بلندمدت آنها انجام شود.

تأثیر یک حمله می‌تواند شدید باشد، زیرا می‌تواند به مهاجم اجازه دهد هویت کاربران قانونی را جعل کند، به داده‌های حساس دسترسی داشته باشد و بدون شناسایی شدن در شبکه سازمان فعالیت کنند. تیم شما با انجام مراحل زیر با این نوع حمله سایبری تحت حمایت دولت می تواند مقابله کند:

جهت شناخت و درک به هوش تهدید تکیه کنید:

 درک نحوه عملکرد عامل تهدید، در این مورد، Storm-0558، بسیار مهم می باشد. تیم باید تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) این عامل را بررسی و درک کند تا فعالیت‌های آینده را پیش‌بینی کند. تیم‌های امنیتی باید از اطلاعات گزارش‌هایی مانند گزارش منتشر شده توسط مایکروسافت برای ایجاد پروفایل‌های خاص برای این عامل تهدید استفاده کنند.

آسیب‌پذیری و ارزیابی ریسک را انجام دهید:

منظور از ارزیابی آسیب‌پذیری و ارزیابی ریسک این است که در مورد Storm-0558، که به‌طور اصلی به سازمان‌ها در غرب اروپا و ایالات متحده حمله می‌کند، بررسی انجام داده شود. این بررسی شامل ارزیابی ریسک و احتمال موفقیت حملات این گروه در محیط سازمان شما می باشد. به عبارت دیگر، می‌خواهیم بدانیم که چقدر سازمان شما در معرض خطر قرار دارد و چقدر احتمال وقوع حملات Storm-0558 با استفاده از روش‌ها و راهبردهای تان وجود دارد.

اجرای اقدامات پیشگیرانه:

بر اساس تکنیک های شناخته شده مورد استفاده توسط Storm-0558، مانند جعل توکن های احراز هویت، ما باید مکانیسم های احراز هویت خود را دوباره ارزیابی و تقویت کنیم. این فرایند می تواند شامل اقداماتی مانند تقویت پروتکل های احراز هویت چند عاملی (MFA)، بررسی سیستم های مدیریت کلیدی و اطمینان از به روز بودن وصله های امنیتی باشد.

آموزش آگاهی را ارائه دهید:

اطمینان حاصل کنید که تیم امنیتی و کارکنان مربوطه از این تهدید آگاه هستند و می توانند علائم هشدار دهنده احتمالی را شناسایی کنند. ارائه آموزش های به روز در مورد تهدید جدید، با تاکید بر اهمیت هوشیاری، گزارش فعالیت های مشکوک، و پایبندی به پروتکل های امنیتی تعیین شده ضروری می باشد.

تشویق ارتباطات با ذینفعان:

 رهبری ارشد، اعضای هیئت مدیره و سایر ذینفعان مربوطه را در مورد تهدید و اقدامات انجام شده برای کاهش آن مطلع کنید. ارتباط شفاف و به موقع می تواند به مدیریت انتظارات و کاهش هراس احتمالی یا اطلاعات نادرست کمک کند.

همکاری با آژانس های خارجی:

 درست همانطور که مایکروسافت با CISA همکاری می کند، ایجاد و حفظ روابط با سازمان های دولتی مربوطه، انجمن های صنعتی و شرکت های امنیت سایبری ضروری می باشد. به اشتراک گذاری اطلاعات در مورد تهدیدات و دفاع می تواند به نفع همه طرف های درگیر باشد.

نظارت مستمر را تمرین کنید:

ردیابی مستمر و بهبود تشخیص‌های خودکار برای شاخص‌های تخریب مرتبط با این حمله را پیاده‌سازی کنید. سیستم‌ها را به‌طور منظم نظارت کنید تا نشانه‌های نفوذ را شناسایی و به آنها پاسخ دهید.

انجام تجزیه و تحلیل پس از حادثه:

پس از رسیدگی به تهدید، تجزیه و تحلیل دقیق رویداد را انجام دهید تا بفهمید چه اتفاقی افتاده است، چه کاری به خوبی انجام شده است و تیم در چه جاهایی باید پیشرفت کند. این آموزش ها را در برنامه ها و استراتژی های امنیتی آینده بکار بگیرید.

حملات سایبری تحت حمایت دولت مانند این موارد، پیچیده و مداوم هستند و نیازمند هوشیاری و رویکردی پیشگیرانه برای امنیت سایبری می باشند.

یک تیم امنیتی متوسط باید تحقیقاتی مانند این مورد را به عنوان فرصتی جهت یادگیری در نظر بگیرد، استراتژی‌های خود را دوباره ارزیابی کند، درک خود را از چشم‌انداز تهدید در حال تحول تقویت کند و وضعیت امنیتی خود را بهبود بخشد. هنگامی که اخبار حملات تحت حمایت دولت منتشر می شود، حتی یک تیم امنیتی متوسط نیز باید آن را جدی بگیرد و فعالانه به آن پاسخ دهد. آنها ممکن است منابع لازم برای تجزیه و تحلیل دقیق تهدید را نداشته باشند اما همیشه اقداماتی وجود دارد که کسب و کارها می توانند برای محافظت از سازمان خود انجام دهند.

پایان پیام/