مجرمان سایبری امروزه تنها به دنبال افراد عادی نیستند. آنها در پی مهندسان DevOps یا به عبارت دیگر، متخصصان زیرساخت های مهم و داده های ارزشمند می باشند.
90 درصد نقض اطلاعات با فیشینگ شروع می شود. این مقاله حاوی اطلاعاتی در خصوص آگاهی از فیشینگ (Phishing Awareness) بوده که مهندسین DevOps را قادر می سازد تا در برابر این تهدید ایمن باشند.
تصویر(1)
چرا آگاهی از فیشینگ ضروری است؟
حمله سایبری فیشینگ از مهندسی اجتماعی برای به دام انداختن قربانیان جهت افشای اطلاعات حساس استفاده می کند. فیشینگ به ظاهر ساده است اما یک تهدید چند وجهی بوده که از روش های مختلفی مانند ارسال ایمیل های هدفمند (spear phishing)، پیامک (smishing)، تماس های تلفنی (vishing) و تعاملات رسانه های اجتماعی (angler phishing) استفاده می نماید.
موفقیت حملات فیشینگ به نحوه استفاده از علم روانشناسی انسان بستگی دارد. مجرمان سایبری پیام های فریبنده ای ارسال می کنند که باعث واکنش های احساسی (فوریت، ترس، کنجکاوی) در افراد می شود و قربانیان را به نادیده گرفتن منطق و افشای ناخواسته اطلاعاتشان سوق می دهد. یک حمله فیشینگ گاهی می تواند قوی ترین دفاع را نیز بی اثر کند. کلیک روی یک لینک مخرب یا اعتماد به درخواستی که ظاهرا معتبر است، می تواند دریچه ای روی پیامدهای مخرب از جمله دسترسی به دادههای حساس، سوابق مشتری، اطلاعات مالی و غیره باز کند.
آگاهی از فیشینگ تنها در مورد شناسایی ایمیل های مشکوک نیست بلکه در خصوص درک اصولی و فنی این حملات نیز می باشد.
7 روش آگاهی از فیشینگ
با درک آسیب پذیری های فنی که مهاجمان از آنها استفاده می کنند، مهندسان DevOps می توانند به جای هدف یک حمله فیشینگ، مدافعی در مقابل آن باشند. در ادامه رویکردهای آموزشی مناسب که برای از بین بردن حملات فیشینگ طراحی شده اند را مشاهده خواهید کرد:
1. کمپین های فیشینگ شبیه سازی شده به همراه بازخورد فنی
کمپینهای فیشینگ شبیه سازی شده سنتی روی کلیک کاربر متمرکز هستند اما برای مهندسان DevOps، بخش اصلی یادگیری در آناتومی حمله نهفته است. با ارائه بازخورد مفصل درباره ساختار ایمیل فیشینگ شامل تجزیه و تحلیل هدرها، شناسایی دامنه های جعلی و بررسی کد داخلی می توان درک عمیق تری از نحوه عملکرد این تهدیدات ایجاد کرد. این امر نهایتا باعث افزایش کنترل امنیتی اطلاعات در سازمان می شود.
این رویکرد به مهندسان DevOps کمک می کند تا ساختار و تکنیک های حملات را بهتر درک کرده و در نتیجه قادر به شناسایی و محافظت از زیرساخت ها و داده های مهم باشند. بنابراین، این رویکرد فراتر از کلیک کردن کاربران است و به ارتقای امنیت سازمانی کمک میکند.
تصویر(2)
علاوه بر این، می توانید از این شبیه سازی ها برای جلوگیری از بروز آسیب پذیری های فنی در زیرساخت سازمان خود نیز استفاده کنید. به عنوان مثال، اگر ضعف نرم افزاری آشکار باشد، می توانید یک ایمیل فیشینگ شبیه سازی شده ایجاد کرده و حمله ای که آن آسیب پذیری را هدف قرار می دهد تکرار نمایید. این نکته یک محیط امن و کنترل شده برای مهندسان DevOps فراهم می کند تا تهدیدات دنیای واقعی را قبل از وقوع، شناسایی و کاهش دهند. با تجزیه و تحلیل عوامل فنی حمله، مهندسان شواهد قوی تری برای شناسایی ناهنجاری ها و اهداف مخرب در حملات فیشینگ آتی به دست می آورند.
2. کارگاه های آموزشی تحلیل هدر ایمیل
مهندسان DevOps از هدرهای ایمیل به عنوان ابزاری قدرتمند جهت آگاهی از فیشینگ استفاده می نمایند. این کارگاه ها به آنها کمک می کنند تا اطلاعات پنهان در هدرهای ایمیل را رمزگشایی کرده و جزئیات مهمی در مورد منشاء و اعتبار پیام کسب کنند. علاوه بر این، ترکیب عناصر مختلف اتوماسیون DevOps در فرآیند تجزیه و تحلیل ایمیل می تواند به طور قابل توجهی کارایی و مقیاس پذیری را افزایش دهد.
موضوعات کلیدی در تجزیه و تحلیل هدر ایمیل شامل موارد زیر می شود:
- درک هدرهای ایمیل: آناتومی هدر ایمیل، از جمله فیلدهای Received، Authentication-Results و DKIM-Signature را بیاموزید.
- SPF یا Sender Policy Framework (تایید اعتبار آدرس ایمیل فرستنده): بیاموزید که چگونه SPF سرورهای مجاز به ارسال ایمیل از یک دامنه خاص و فرستنده های جعلی را شناسایی می کند.
- DKIM یا DomainKeys Identified Mail (احراز هویت ایمیل): بررسی کنید که چگونه DKIM یک امضای دیجیتال به ایمیلها اضافه می کند.
- DMARC یا Domain-based Message Authentication, Reporting, and Conformance (تطبیق هویت پیام مبتنی بر دامنه): بررسی نمایید که چگونه DMARC بر اساس SPF و DKIM به صاحبان دامنه دستورالعمل هایی در مورد مدیریت ایمیل های احراز هویت نشده ارائه می دهد.
مهندسان DevOps از طریق تجزیه و تحلیل ایمیل های معتبر و فیشینگ، مهارت هایی برای شناسایی هدرهای جعلی، فرستنده های غیرمجاز و سایر نشانه های آشکار توسعه خواهند داد. با آگاهی از فیشینگ و درک تفاوت های ظریف فنی احراز هویت ایمیل، آنها کاربران قهاری در مبارزه با فیشینگ می شوند.
3. تشخیص مهندسی اجتماعی پیشرفته
حملات فیشینگ تنها در مورد نقض اطلاعات فنی نیستند بلکه ممکن است رفتارهای انسانی را نیز تحت الشعاع قرار دهند. درک تاکتیک های روان شناختی در توسعه استراتژی های سازماندهی امنیتی بسیار مهم است زیرا رویکرد جامع تری را برای شناسایی و پاسخ به تهدید فراهم می کند.
- شناسایی تکنیک های مهندسی اجتماعی: تاکتیک های رایجی مانند جعل هویت، ترفندهای فیشینگ و غیره را بیاموزید تا امکان تشخیص هویت جعلی هکرها وجود داشته باشد.
- تجزیه و تحلیل مثال های دنیای واقعی: ایمیل های فیشینگ واقعی و تلاش های مهندسی اجتماعی را برای شناسایی محرک های روانی و زبان مورد استفاده مهاجمان تجزیه و تحلیل نمایید.
- توسعه اقدامات متقابل: روش های مقاومت در برابر تاکتیک های مهندسی اجتماعی، از جمله تفکر مدیریت بحران، راستی آزمایی و گزارش درخواست های مشکوک به تیمهای امنیتی را بیاموزید.
با درک اصول روانشناختی مهندسی اجتماعی، مهندسان DevOps می توانند اطلاعات بیشتری از تکنیک های مورد استفاده در حملات فیشینگ داشته باشند. این آگاهی از فیشینگ آنها را قادر می سازد تا تصمیمات هوشمندانه تری بگیرند، در مقابل تاکتیک های فریبنده مقاومت کرده و در نهایت موقعیت امنیتی کل سازمان را حفظ کنند.
تصویر(3)
4. هوش متن باز (Open-Source Intelligence) برای شناسایی تهدید
مهندسان DevOps میتوانند از هوش متن باز (OSINT) برای شناسایی و خنثی کردن تهدیدات فیشینگ استفاده کنند. OSINT شامل جمع آوری و تجزیه و تحلیل اطلاعات مهم در مورد حملات احتمالی است. با نظارت بر انجمن ها و کانال های شبکههای اجتماعی، مهندسان میتوانند اطلاعات افشا شده، کیتهای فیشینگ یا دامنه های مورد استفاده در کمپین ها را شناسایی کنند.
5. نگاه فنی به بدافزار
ایمیل های فیشینگ اغلب به عنوان یک ناقل اولیه برای نرم افزار مخرب (بدافزار) عمل می کنند. مهندسان DevOps می توانند خطرات مرتبط با لینک های مشکوک و پیوست ها را بهتر ارزیابی نمایند.
این بخش آموزشی، به جنبه های فنی بدافزار می پردازد و با مروری بر انواع فایلهای رایج مورد استفاده در حملات فیشینگ، مانند فایلهای اجرایی (exe.)، اسکریپتها (js، .vbs.) و ماکروها (docm.) آغاز می شود.
6. شبیه سازی پاسخ به حوادث
پاسخ به یک حمله فیشینگ تنها نیازمند دانش تئوری نیست بلکه تجربه عملی و اقدام سریع و قاطع نیز مهم است. این رویکرد عملی با اصول "Policy as Code" یا اختصارا PaC همسو است، زمانی که تدابیر امنیتی و پروتکل های پاسخ به حوادث کدگذاری و خودکارسازی می شوند، امکان پاسخگویی سریع به تهدیدها فراهم می گردد.
این شبیه سازی ها فراتر از اصول اولیه هستند و شرکت کنندگان را در سناریوهایی مانند موارد زیر درگیر می کنند:
- شناسایی حسابهای در معرض خطر: گزارش های سیستم، الگوهای دسترسی و رویدادهای احراز هویت را تجزیه و تحلیل کرده تا اکانت های در معرض خطر احتمالی را مشخص کنید.
- سیستم های آسیب دیده را ایزوله نمایید: به سرعت دستگاه های آلوده را قرنطینه کنید، اکانت های در معرض خطر را غیرفعال و ترافیک شبکه مخرب را برای جلوگیری از گسترش حمله مسدود نمایید.
- حفظ شواهد: مواردی مانند حافظه ناپایدار، فایل های لاگ و ضبط ترافیک شبکه را برای تجزیه و تحلیل و بررسی های بعدی جمع آوری و حفظ کنید.
- هماهنگی با تیم های امنیتی: با مسئولان امنیتی ارتباط برقرار کرده تا جزئیات فنی درباره حادثه، تاثیرات آن و مراحل کاهش خطر را به شما ارائه دهند.
تصویر(4)
7. تطبیق آموزش مبتنی بر داده
معیارهای کلیدی مانند نرخ کلیک (درصد کارمندانی که روی لینک های فیشینگ کلیک میکنند) و نرخ گزارش آنها، میزان اثربخشی آموزش را مشخص خواهند کرد. این مورد بخش جدایی ناپذیر از هر برنامه امنیت سایبری بوده و می تواند به سازمان ها در حفاظت از دارایی ها، داده ها و اعتبار آنها کمک کند.
جمع بندی
آگاهی از فیشینگ برای مهندسان DevOps نیازمند خروج از رویکردهای کلی و روی آوردن به روش های تخصصی است که مهارت ها و مسئولیت های فنی افراد را هدف قرار میدهد. درک ظرافتهای حملات فیشینگ برای این اهداف با ارزش که از زیرساخت و اطلاعات مهم محافظت می کنند، بسیار مهم می باشد.