تهدیدات در خدمات مالی

تهدیدات در خدمات مالی

تهدیدات در خدمات مالی

همواره موسسات مالی یک هدف جالب برای مهاجمان به سیستم های الکترونیکی بوده است . اطلاعات موجود در موسسات مالی معمولا در زیرساخت های در سطح ملی و جهانی قرار دارند و افشا آن ها می تواند ضرر هنگفتی را به سازمان ها وارد نماید . در این پست به دنبال ارزیابی از این نوع تهدیدات در سال ۲۰۱۶ می باشیم .
بیشترین حملات در سال ۲۰۱۶ که در آن انگیزه های مالی وجود داشت به موسسات مالی و اعتباری صورت پذیرفت . این حملات دارای انواع مختلفی از حملات از جمله اخاذی ، تروجان های بانکی ، ایمیل های جعلی و استفاده از برنامه های باج گیر می باشد .در شکل ۱ دسته بندی این حملات به طور کامل نشان داده شده است . در ادامه به بررسی این حملات می پردازیم .
شکل 1 مربوط به حملات مالی

شکل ۱ مربوط به حملات مالی

حملات DDOS :
روش های اخاذی مالی در سال ۲۰۱۶ گسترش زیادی پیدا کرده اند که شامل باج افزارها(Ransomware) و حملات DDOS می شوند . در چند سال گذشته روش های اخاذی مبتنی بر DDOS بر روی سیستم های مالی تاثیرات منفی زیادی را گذاشته است .
یک حمله DDOS معمولا بر ساختار یک وب سایت و یا شرکت های میزبان تاثیر می گذارد . تهدیدات افشاشدن اطلاعات می تواند باعث ایجاد حملات DDOS فراوانی شوند .
باج افزارها (Ransomware) :
در طول سال ۲۰۱۶ باج افزارها با استفاده از آسیب پذیری سرورها ، به ذخیره سازی و رمز کردن اطلاعات حساس موسسات مالی و مشتریان آنان پرداخته اند . باج افزارها برای رسیدن به اهداف خود از ایمیل های اسپم آلوده بهره می برند .
باج افزارها در سال ۲۰۱۷ به عنوان بزرگترین تهدید امنیتی مطرح خواهند شد اما در مقابل روش های قوی تری برای مقابله با آنان نیز مطرح خواهد شد . موفقیت باج افزارها تا حد زیادی بستگی به روش های ذخیره سازی اطلاعات توسط مدیران فناوری اطلاعات در سازمان ها دارد . اگر مدیران فناوری اطلاعات به ذخیره سازی ایمن اطلاعات بپردازند ، مهاجمان نمی توانند به آسانی به رمز کردن اطلاعات بپردازند . از طرفی دیگر مدیران فناوری اطلاعات سازمان ها باید محدودیت های زیادی را برای دسترس پذیری به اطلاعات بگذارند تا بدین شکل بتوانند جلوی دسترسی های غیرمجاز را تا حدود زیادی بگیرند .
نفوذهای هدفمند (Targeted Intrusion) :
در طول سال ۲۰۱۶ ، نفوذهای زیادی در شبکه به هدف تاثیر بر خدمات مالی صورت پذیرفته است که باعث بوجود آمدن سرقت های بزرگ مالی گردیده است . این نفوذها به هدف ایجاد جعل و سرقت اطلاعات حساس ، استقرار بد افزارها در PoS ها و نفوذ به سیستم خودپردازها (ATM) صورت پذیرفته است . هم چنین در این سال حملات زیادی به سیستم های SWIFT صورت پذیرفته است که باعث تحت تاثیر قرار گرفتن ۱۵ بانک و موسسه مالی بزرگ گردیده است . در این حملات مهاجمین از Keylogger برای ایجاد هویت های جعلی در سیستم SWIFT استفاده می کنند . هم چنین مجموع سرقت از سیستم های عابربانک در سال ۲۰۱۶ چیزی در حدود ۱۷٫۵ میلیون دلار اعلام گردیده است که معمولا از طریق ایجاد نرم افزارهای مخرب سفارشی به وقوع پیوسته اند .
نفوذ در ایمیل های تجاری :
در طول سال ۲۰۱۶ ما شاهد بودیم که مهاجمین با استفاده از نفوذ در ایمیل های تجاری بخش های خدمات مالی را مورد هجوم خود قرار دادند . در این مدت تاکتیک های استفاده شده توسط مهاجمان به طور قابل توجهی تغییر نکرده است و آن ها همچنان از این شیوه برای مقاصد خرابکارانه خود بهره می برند . طبق برآوردها از مه سال ۲۰۱۳ تا مه سال ۲۰۱۶ چیزی در حدود ۱۵۶۰۰ سازمان مورد هدف قرار گرفته اند که خسارتی در حدود یک میلیارد دلار در برداشته است .
تروجان های بانکی :
درسال ۲۰۱۶ ، انواع تروجان های بانکی که هدف آن ها برداشت آنلاین از حساب های بانکی را بود شاهد بوده ایم . یک بدافزار به نام Drye در ماه فوریه در مسکو شروع به فعالیت نمود و بعد از مدتی جایگزین یک بدافزار دیگر به نام Trickbot گردید که هدف آن ها حساب های رو به رشد مشتریان بود . تروجان های بانکی امکان نفوذ از طریق ایمیل های اسپم را دارند . به ویژه فایل های مایکروسافت که حاوی ماکروهای مخرب هستند می توانند به عنوان بستری مناسب برای این تروجان ها محسوب شوند .
حملات با انگیزه های غیر مالی :
  • هک گرایی (Hacktirism) : در حملات زیادی که در سال ۲۰۱۶ مطرح شدند اهداف مالی چندانی وجود نداشتند بلکه مهاجمان هدف خود را ضد استبدادی ، ضد فساد ، دین ، تخریب های زیست محیطی و یا مبارزه با نقض حقوق بشر عنوان کرده اند . این نوع حملات بیشتر از نوع DDOS می باشند و هدف آن ها افشا اطلاعات یا نابود کردن اطلاعات مهم بوده است . انگیزه اصلی در این نوع حملات ، اختلال عملکرد موسسات مالی می باشد . این اختلال باعث می شود که این موسسات نتوانند بودجه شرکت های تابعه خود را فراهم کنند و عملکرد آن ها در بخش های سیاسی ، اقتصادی و اجتماعی در شبکه های اجتماعی به نقد کشیده می شود و چالش های متعددی برای این موسسات پدید می آید .
  • حملات داخلی (Ideologically – motivated insiders) : در سال ۲۰۱۶ گزارش های از نشت اطلاعات در موسسات مالی وجود داشت که بیشترین علت آن کارکنان ، مدیران سیستم و پیمانکاران وابسته بودند . این کارکنان و مدیران بعد از اخراج یا تعدیل نیرو به افشای اسناد ، مدارک مالی و وکالتنامه های مشتریان پرداختند و بدین شکل سعی در کاهش اعتبار و اطمینان به این موسسات نموده اند .
  • جمع آوری اطلاعات :امروزه کمپین های جاسوسی اطلاعات(Cyber-Espionage) زیادی شناسایی شده اند که صنعت خدمات مالی را هدف قرار داده اند . هدف آنان جمع آوری اطلاعات مالی از گروه ها و صنایع مختلف برای مقاصد ثانویه می باشد . آن ها به دنبال سو استفاده از این اطلاعات در شبکه ها و زیرساخت های امنیتی دیگر می باشند . این گروه ها با رهگیری منابع مالی سازمان های گوناگون به شناسایی اهداف و استراتژی این سازمان ها می پردازند و برنامه های بلند مدت ان سازمان ها را تخریب می کنند . مهاجمین استحکامات ضروری در کشورهای مختلف را آماج حملات مرگبار خود قرار می دهند و برای رسیدن به این هدف به جمع آوری مستمر اطلاعات می پردازند . جمع آوری اطلاعات می تواند مزایای سیاسی ، نظامی ، اقتصادی و اجتماعی زیادی را برای گروه های هدف فراهم آورد . داشتن اطلاعات دقیق و محرمانه می تواند در تصمیم گیری های سیاسی و اقتصادی مورد استفاده قرار گیرد .پ
درسال ۲۰۱۷ هم چنان تهدیدات گوناگونی را درسیستم های مالی شاهد خواهیم بود . تروجان های بانکی در سال ۲۰۱۶ بیشترین سودآوری را برای مهاجمین داشتند . بنابراین احتمالا در سال ۲۰۱۷ تروجان های بانکی رشد فزآینده ای را تجربه خواهند کرد . در سال ۲۰۱۷ نفوذ در شبکه ، تلاش برای نفوذ به ایمیل های تجاری و حملات مستقیم به مشتریان جز اهداف اصلی مهاجمین خواهد بود . بنابراین باید توان سایبری سازمان ها بر روی این قسمت ها متمرکز شود .

نویسنده و گردآورنده : مسعود معاونی
منبع را از اینجا دانلود کنید .

https://telegram.me/moaveni_ir

https://telegram.me/moaveni_ir

مدیریت ریسک دیجیتال

مدیریت ریسک دیجیتال

امروزه ردپاهای دیجیتالی (digital footprint) در سازمان ها در حال افزایش است و این باعث گردیده است تا افراد بدون آن که بدانند ، اطلاعات حساس خود را به مهاجمین بدخواه واگذار کنند و سازمان ها را با مشکل نشت اطلاعات مواجه کنند . متاسفانه راه حل های امنیتی سنتی اغلب نمی توانند به راحتی این خطرات را مرتفع کنند . در این پست به دنبال معرفی مدیریت ریسک دیجیتال به عنوان راهکاری برای نظارت مداوم بر فعالیت های سایبری سازمان ها می باشیم .
هم اکنون ما در یک دنیای پیچیده زندگی می کنیم که روش های کسب و کار در آن به شدت تغییر کرده است .وجود رسانه های اجتماعی مختلف ، گوشی های تلفن هوشمند ، محاسبات و سرویس های ابری باعث افزایش سرعت ارتباطات گردیده است و به طور همزمان هزینه های محاسباتی و ارتباطی  به شدت کاهش یافته است . این موضوع باعث گردیده است که راه های جدیدی برای ارائه انواع خدمات ارائه گردد اما هم زمان خطرات و چالش های جدیدی ایجاد گردیده است .
یکی از این خطرات مهم ردپاهای دیجیتالی (digital footprint) می باشند که کاملا پویا بوده و به طور مداوم در حال توسعه هستند و در طیف گسترده ای از منابع آنلاین سازمان ها در حال رشد هستند و باعث می شوند که اطلاعات حساس سازمان ها و افراد و شرکای تجاری به خطر بیفتد . افشا این اطلاعات حساس می تواند زنجیره تامین یک سازمان را به خطر بیندازد و پیامدهای مالی زیادی را به وجود بیاورد . راه های زیادی برای نشت اطلاعات از ردپاهای دیجیتالی وجود دارد، از جمله این راه ها می توان به ایمیل های شخصی افراد شاغل در سازمان ها اشاره کرد .
یکی از چالش های که امروزه مدیران با آن مواجه هستند این است که بتوانند به یک راه حل جدید و قابل اعتماد برای شناسایی و مقابله با ردپاهای دیجیتالی بپردازند . اکثر ردپاهای دیجیتالی برای یک سازمان چندان خطری ندارند تنها یک دسته از آن ها که به سایه های دیجیتالی (Digital Shadow) مشهورند می توانند به مهاجمین فرصت های زیادی را برای سوء استفاده بدهند .
سایه های دیجیتالی می توانند در روش های مختلفی استفاده شوند از جمله این روش ها می توان به موارد زیر اشاره کرد :
  • فروش اطلاعات محرمانه یک سازمان به افراد ذی نفع
  • افشا و اشتراک گذاری کلیدهای خصوصی رمزنگاری
  • ارائه مدارک احرازهویتی دیجیتال به افراد غیر مجاز
  • افشای اطلاعات حیاتی و مشخصات شخصی و خانوادگی پرسنل و مدیران عالی اجرایی (نقض حریم خصوصی)
  • طبقه بندی و شناسایی برنامه های سازمان ها
  • تحلیل رفتارهای سازمانی و پیش بینی آن ها
  • ارائه دسترسی عمومی به سیستم های خصوصی
  • تخریب زیرساخت های پرکاربرد و ضروری در کسب وکارها
البته مدیران سازمان ها می توانند از این سایه های دیجیتالی برای طراحی استراتژی های خود و برنامه ریزی های بلند مدت در مقابل حملات آینده استفاده کنند . خطر (RISK) یک مفهومی است که در امنیت سایبری به خوبی تعریف شده است . ریسک را می توان احتمال وقوع یک تهدید تعریف کرد . در مقابل ریسک ، مدیریت ریسک (مدیریت خطر) را می توان به عنوان فرآیندی در شناسایی ریسک ، ارزیابی ریسک و اقداماتی برای کاهش ریسک در سطح قابل قبول دانست . برای رسیدن به هدف مدیریت ریسک باید تهدیدات امنیتی را به خوبی شناخت و به نحوی عمل کرد که همواره توسط افراد درگیر در سیستم خطرات جدی گرفته شود .
برای شناخت تهدیدات امنیتی در یک سیستم نیاز است که هوشمندی لازم را داشته باشیم و علائم و هشدارهای آن را به خوبی بشناسیم . هم چنین تاکتیک و تکنیک های مهاجمین را بتوانیم حدس بزنیم و ابزارهای مناسب در مقابله با آن ها را در اختیار داشته باشیم . برای مقابله با تهدیدات امنیتی همواره باید یک دکترین اطلاعات امنیتی وجود داشته باشد . سازمان ها می توانند با استفاده از آموزه ها و تجربه های قبلی خود ، طرح های را برای شناسایی حملات طراحی کنند .
یکی از مباحث مهم در امنیت سایبری ، نشت اطلاعات می باشد . نشت (افشا) اطلاعات می توند سرنخ های ارزشمندی را برای مهاجمین ایجاد کنند و زمینه های بروز انواع حملات را فراهم بیاورد . ۵ حوزه اصلی را می توان برای نشت اطلاعات عنوان کرد :
  1. کدهای حساس : کدهای حساس و کلیدهای رمزنگاری خصوصی که به اشتباه در اختیار عموم افراد قرار می گیرد و مهاجمان را قادر می سازد تا حملات خود را به راحتی عملی سازند .
  2. معامله بر سر مجوزها : کارکنان قانونی که امکان دسترسی به یک سری اطلاعات را دارند می توانند با مهاجمین بر سر تبادل اطلاعات به توافق برسند . حتی اعتبار کارکنان می تواند از طریق روش های فیشینگ و کارهای خرابکارانه لو برود .
  3. انتشار اسناد خصوصی : شرکا و همکاران تجاری که به برخی از اسناد خصوصی دسترسی دارند می توانند در نقش یک جاسوس قرار گیرند و اطلاعات حساس را به مهاجمین واگذار کنند تا مهاجمین از این طریق به طرح ریزی حملات خود بپردازند .
  4. اطلاعات عمومی : برخی از اطلاعات به صورت عمومی در دسترس هستند . هر چند این اطلاعات به تنهایی ارزشی ندارند اما یک مهاجم می تواند با ترکیب این اطلاعات با برخی اطلاعات دیگر به طراحی یک حمله بپردازد  یا به نقض حریم خصوصی کاربران و موقعیت یابی آن ها بپردازد .
  5. استخراج اطلاعات پایه از شبکه های اجتماعی : بسیاری از افراد اطلاعات حساس خود و یا سازمانی که به آن وابسته هستند را به صورت ناآگاهانه و ناخواسته در شبکه های اجتماعی منتشر می کنند . انتشار چنین اطلاعاتی می تواند در نرم افزارهای مخرب مورد استفاده قرار گیرند و یا مهاجمین از طریق روش های مهندسی اجتماعی به جاسوسی از شرکت ها بپردازند و اطلاعات کلیدی را به رقبا واگذار نمایند .حتی مهاجمان امکان استخراج نقاط ضعف سازمانی در حوزه سایبری و غیر سایبری را دارند و با استفاده از آن می توانند به مدل سازی و تحلیل رفتار یک سازمان در شرایط خاص بپردازند .
تهدیدات سایبری و نشت اطلاعات می تواند موجب آسیب جدی به شهرت یک سازمان شود . بسیاری از سازمان ها تحلیل درستی از سوء استفاده های احتمالی از برندهای تجاری خود به صورت آنلاین ندارند . همین موضوع باعث می شود که تاثیرات منفی بر روی اعتماد مشتریان و حتی کارکنان یک سازمان به وجود بیاید . در این جا به بررسی عوامل موثر بر شهرت سازمان ها می پردازیم :
  • فیشینگ : این حمله در بسیاری از سازمان ها به وقوع می پیوندد و باعث افشا اطلاعات حساس زیادی از مشتریان و سازمان ها می شود . در چنین مواردی مشتریان و حتی کارکنان به اشتباه اطلاعات حساس خود را در سایت های جعلی (Fake) سازمان ها که توسط مهاجمین ایجاد شده است وارد می کنند .
  • دامنه های فاقد اعتبار : استفاده از دامنه های مشابه یا دامنه های با پسوندهای متفاوت توسط مهاجمین باعث می شود تا مشتریان یک سازمان در انتخاب وب سایت اصلی با مشکل مواجه شوند .
  • پروفایل های جعلی : حساب های جعلی در شبکه های اجتماعی با استفاده از برند تجاری یک سازمان می تواند باعث فریب خوردن مشتریان و کاهش اعتبار سازمان گردد .
  • برند های مشابه : برخی از مهاجمان با ساخت برندی مشابه برند اصلی ، سعی در جذب و فریب مشتریان یک سازمانم می کنند . در چنین مواردی مهاجم فقط قصد تخریب برند اصلی را دارد و سعی می کند برای سلب اعتماد از مشتریان برند تقلبی را به بی کیفیت ترین شکل ممکن عرضه کند .
  • نرم افزارهای موبایلی : امروزه نرم افزارهای موبایلی بسیاری ارائه می شوند . ارائه یک اپلیکیشن مخرب موبایلی که به نام یک سازمان خاص انتشار می یابد می تواند بر اطمینان مشتریان آسیب وارد کند و حتی به سرقت اطلاعات حساس کاربران بپردازد .
با توجه به مطالب فوق کاملا واضح است که سازمان ها نمی توانند به تنهایی برای نظارت بر ریسک های دیجیتالی خود اقدام کنند و باید از نهادهای مختلفی بهره ببرند . راهکارهای رایگان زیادی وجود دارند که امکان استفاده از آن برای کاهش ریسک ها وجود دارد . در ادامه به برخی از این راهکارها اشاره می کنیم :
  1. تنظیم Google Alerts برای نظارت بر تهدیدات مورد نظر .
  2. مشارکت در CSIRT و به اشتراک گذاری و کسب اطلاعات مورد نیاز از آن ها .
  3. استفاده از ابزارهای رایگانی هم چون shodan.io برای شناسایی آسیب پذیری های زیرساخت ها .
  4. نظارت بر مجوزهای خارج سازمانی ، hasibeenpwned.com یک منبع عالی برای این امر می باشد .
  5. افزایش آموزش و آگاهای کارکنان ، مخصوصا در تنظیم حریم خصوصی در رسانه های اجتماعی ریال به هدف کاهش خطرات.
  6. تهیه چک لیست های امنیتی و کنترل ارزیابی ریسک ها برای پیشگیری از حملات احتمالی

نویسنده و گردآورنده : مسعود معاونی
منبع : از اینجا دانلود کنید .

https://telegram.me/moaveni_ir

https://telegram.me/moaveni_ir