ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > ውስብስብ፣ የተጋለጠ፣ ከስር ያልተዋቀረ፡ የሳይበር ማስፈራሪያዎች 2020

ውስብስብ፣ የተጋለጠ፣ ከስር ያልተዋቀረ፡ የሳይበር ማስፈራሪያዎች 2020

ውስብስብ፣ የተጋለጠ፣ ከስር ያልተዋቀረ፡ የሳይበር ማስፈራሪያዎች 2020

ቴክኖሎጂዎች ከዓመት ወደ ዓመት እየጨመሩ እና እየተወሳሰቡ ይሄዳሉ, እና ከነሱ ጋር, የጥቃት ዘዴዎች ይሻሻላሉ. ዘመናዊ እውነታዎች የመስመር ላይ አፕሊኬሽኖችን፣ የደመና አገልግሎቶችን እና ምናባዊ መድረኮችን ይጠይቃሉ፣ ስለዚህ ከድርጅት ፋየርዎል በስተጀርባ መደበቅ እና አፍንጫዎን ወደ “አደገኛው በይነመረብ” ውስጥ ላለማጣበቅ አይቻልም። ይህ ሁሉ ከ IoT/IIoT መስፋፋት ፣የፊንቴክ እድገት እና የርቀት ስራ ታዋቂነት እያደገ ከመምጣቱ በላይ የአደጋውን ገጽታ ለውጦታል። 2020 ስላዘጋጀልን የሳይበር ጥቃቶች እንነጋገር።

የ0 ቀን ተጋላጭነቶች ብዝበዛ ከጥፍጣፎች ልቀት ይበልጣል

የሶፍትዌር ስርዓቶች ውስብስብነት እያደገ ነው, ስለዚህ ስህተቶች መያዛቸው የማይቀር ነው. ገንቢዎች ጥገናዎችን ይለቀቃሉ, ነገር ግን ይህንን ለማድረግ, ችግሩ በመጀመሪያ ሊታወቅ ይገባል, ተዛማጅ ቡድኖችን ጊዜ ያሳልፋሉ - ሙከራዎችን እንዲያደርጉ የሚገደዱ ተመሳሳይ ሞካሪዎች. ግን ብዙ ቡድኖች በጣም አጭር ናቸው. ውጤቱ ተቀባይነት የሌለው ረጅም የፕላስተር መለቀቅ ወይም በከፊል ብቻ የሚሰራ ፕላስተር ነው።

በ2018 ተለቀቀ በማይክሮሶፍት ጄት ሞተር ውስጥ ያለው የ0 ቀን ተጋላጭነት ፕላስተቱ አልተጠናቀቀም።፣ ማለትም እ.ኤ.አ. ችግሩን ሙሉ በሙሉ አላስወገደም.
እ.ኤ.አ. በ 2019 ፣ Cisco ተለቀቀ ስህተቶችን ያላስተካከሉ ለጥቃቶች CVE-2019-1652 እና CVE-2019-1653 በራውተር firmware ውስጥ.
በሴፕቴምበር 2019 ተመራማሪዎች በ Dropbox ለዊንዶውስ ውስጥ የ 0 ቀን ተጋላጭነትን አግኝቷል እና ስለሱ ለገንቢዎች አሳውቋልነገር ግን በ90 ቀናት ውስጥ ስህተቱን አላረሙም።

ብላክሃት እና ኋይትሃት ጠላፊዎች ተጋላጭነትን በመፈለግ ላይ ያተኮሩ ናቸው፣ ስለዚህ ችግርን የማወቅ ቀዳሚ የመሆን ዕድላቸው ከፍተኛ ነው። አንዳንዶቹ በ Bug Bounty ፕሮግራሞች ሽልማቶችን ለማግኘት ይፈልጋሉ፣ ሌሎች ደግሞ በጣም ልዩ የሆኑ ተንኮል አዘል ግቦችን ይከተላሉ።

ተጨማሪ ጥልቅ የውሸት ጥቃቶች

የነርቭ መረቦች እና አርቲፊሻል ኢንተለጀንስ በማደግ ላይ ናቸው, ለማጭበርበር አዳዲስ እድሎችን ይፈጥራሉ. ከታዋቂ ሰዎች ጋር የውሸት የወሲብ ቪዲዮዎችን በመከተል፣ ከፍተኛ የሆነ የቁሳቁስ ጉዳት ያደረሱ ጥቃቶች ታዩ።

በማርች 2019በአንድ የስልክ ጥሪ ወንጀለኞች 243 ዶላር ከኢነርጂ ኩባንያ ሰርቀዋል. "የወላጅ ኩባንያ ኃላፊ" ከሃንጋሪ ወደ ሥራ ተቋራጩ ገንዘብ እንዲያስተላልፍ ለቅርንጫፍ ኃላፊው መመሪያ ሰጥቷል. የዋና ስራ አስኪያጁ ድምጽ በሰው ሰራሽ የማሰብ ችሎታ በመጠቀም ተጭበረበረ።

ጥልቅ የውሸት ቴክኖሎጂ ፈጣን እድገትን ከግምት ውስጥ በማስገባት የሳይበር ተንኮለኞች የውሸት ኦዲዮ እና ቪዲዮን ወደ BEC ጥቃቶች እና የቴክኖሎጂ ድጋፍ ማጭበርበሮችን በማካተት የተጠቃሚዎችን እምነት ለማሳደግ እንጠብቃለን።

የውይይታቸው እና የንግግራቸው ቅጂዎች በነጻ ስለሚገኙ የጥልቅ ውሸት ዋና ኢላማዎች ከፍተኛ አስተዳዳሪዎች ይሆናሉ።

በፊንቴክ በኩል በባንኮች ላይ የሚደረጉ ጥቃቶች

የአውሮፓ የክፍያ አገልግሎት መመሪያ PSD2 መቀበል በባንኮች እና በደንበኞቻቸው ላይ አዳዲስ ጥቃቶችን ለመፈጸም አስችሏል. እነዚህም በፊንቴክ አፕሊኬሽን ተጠቃሚዎች ላይ የሚደረጉ የማስገር ዘመቻዎች፣ DDoS በፊንቴክ ጅምሮች ላይ የሚደረጉ ጥቃቶች እና ከባንክ በተከፈተ ኤፒአይ የመረጃ ስርቆትን ያካትታሉ።

በአገልግሎት ሰጪዎች በኩል የተራቀቁ ጥቃቶች

ኩባንያዎች ስፔሻላይዛቸውን እያጠበቡ፣ ዋና ያልሆኑ ተግባራትን ወደ ውጭ በማውጣት ላይ ናቸው። ሰራተኞቻቸው የሂሳብ አያያዝን በሚቆጣጠሩ፣ የቴክኒክ ድጋፍ በሚሰጡ ወይም ደህንነትን በሚሰጡ የውጭ ምንጮች ላይ እምነትን ያዳብራሉ። በውጤቱም, አንድን ኩባንያ ለማጥቃት, በእሱ አማካኝነት ተንኮል አዘል ኮድ ወደ ዒላማው መሠረተ ልማት ለማስተዋወቅ እና ገንዘብን ወይም መረጃን ለመስረቅ ከአገልግሎት ሰጪዎች አንዱን ማላላት በቂ ነው.

እ.ኤ.አ. በነሀሴ 2019 ሰርጎ ገቦች የመረጃ ማከማቻ እና ምትኬ አገልግሎቶችን በሚሰጡ የሁለት የአይቲ ኩባንያዎች መሠረተ ልማት ውስጥ ገብተዋል እና በዚህ በኩል ራንሰምዌር በዩናይትድ ስቴትስ ውስጥ ባሉ በመቶዎች የሚቆጠሩ የጥርስ ህክምና ቢሮዎችን አስተዋወቀ።
የኒውዮርክ ከተማ ፖሊስ ዲፓርትመንትን የሚያገለግል የአይቲ ኩባንያ የጣት አሻራ ዳታቤዙን ለብዙ ሰዓታት ወድቋል። የተበከለውን የኢንቴል ኤንዩሲ ሚኒ ኮምፒውተርን ከፖሊስ ኔትወርክ ጋር በማገናኘት ነው።

የአቅርቦት ሰንሰለቶች እየረዘሙ ሲሄዱ፣ ትልቁን ጨዋታ ለማጥቃት ሊጠቀሙባቸው የሚችሉ ብዙ ደካማ አገናኞች አሉ።
የአቅርቦት ሰንሰለት ጥቃቶችን የሚያመቻች ሌላው ምክንያት የርቀት ሥራን በስፋት መቀበል ነው. በአደባባይ ዋይ ፋይ ወይም ከቤት ሆነው የሚሰሩ ፍሪላነሮች ቀላል ኢላማዎች ናቸው እና ከበርካታ ከባድ ኩባንያዎች ጋር መስተጋብር መፍጠር ይችላሉ፣ስለዚህ የተበላሹ መሳሪያዎቻቸው የሳይበር ጥቃትን ቀጣይ ደረጃዎችን ለማዘጋጀት እና ለማካሄድ ምቹ ምንጭ ይሆናሉ።

IoT/IIoTን ለስለላ እና ለዝርፊያ በስፋት መጠቀም

ስማርት ቲቪዎችን፣ ስማርት ስፒከሮችን እና የተለያዩ የድምጽ ረዳቶችን ጨምሮ በአይኦቲ መሳሪያዎች ላይ ያለው ፈጣን እድገት በውስጣቸው ከተለዩት በርካታ ተጋላጭነቶች ጋር ተዳምሮ ያልተፈቀደላቸው አጠቃቀም ብዙ እድሎችን ይፈጥራል።
ስማርት መሳሪያዎችን ማበላሸት እና የሰዎችን ንግግር AI በመጠቀም እውቅና መስጠቱ የክትትል ኢላማውን ለመለየት ያስችላል ፣ይህም መሳሪያዎችን ለመዝረፍ ወይም ለድርጅት የስለላ ስብስብ ይለውጣል።

IoT መሳሪያዎች ጥቅም ላይ መዋልን የሚቀጥሉበት ሌላው አቅጣጫ ለተለያዩ ተንኮል-አዘል የሳይበር አገልግሎቶች ቦቶች መፍጠር ነው፡ አይፈለጌ መልእክት ማጥፋት፣ ማንነትን መደበቅ እና መምራት። DDoS ጥቃቶች.
አካላት በተገጠሙ ወሳኝ የመሠረተ ልማት ተቋማት ላይ የሚደረጉ ጥቃቶች ቁጥር ይጨምራል የነገሮች የኢንዱስትሪ በይነመረብ. አላማቸው ለምሳሌ የድርጅቱን ስራ ለማስቆም በሚል ስጋት ቤዛን መዝረፍ ሊሆን ይችላል።

ብዙ ደመናዎች, የበለጠ አደጋዎች

የአይቲ መሠረተ ልማት አውታሮች ወደ ደመናው መሄዳቸው ለጥቃቶች አዳዲስ ኢላማዎች እንዲፈጠሩ ያደርጋል። የደመና አገልጋዮችን በማሰማራት እና በማዋቀር ላይ ያሉ ስህተቶች በተሳካ ሁኔታ በአጥቂዎች ጥቅም ላይ ይውላሉ። በደመና ውስጥ ካሉ አስተማማኝ የመረጃ ቋቶች ቅንጅቶች ጋር የተቆራኙ የፍሳሾች ብዛት በየዓመቱ እያደገ ነው።

በኦክቶበር 2019፣ ElasticSearch አገልጋይ የያዘ 4 ቢሊዮን መዝገቦች ከግል መረጃ ጋር።
በኖቬምበር 2019 መጨረሻ ላይ በማይክሮሶፍት አዙር ደመና ውስጥ ወደ 1 ቢሊዮን የሚጠጉ መዝገቦችን የያዘ የ True Dialog ኩባንያ የመረጃ ቋት በሕዝብ ጎራ ውስጥ ተገኝቷል።የደንበኝነት ተመዝጋቢዎች ሙሉ ስሞች, የኢሜይል አድራሻዎች እና የስልክ ቁጥሮች, እንዲሁም የኤስኤምኤስ መልዕክቶች ጽሁፎችን የያዘ.

በደመና ውስጥ የተከማቸ የመረጃ ፍሰት የኩባንያዎችን መልካም ስም ከመጉዳት ባለፈ ቅጣቶችንና ቅጣቶችን ያስከትላል።

በቂ ያልሆነ የመዳረሻ ገደቦች፣ ደካማ የፈቃድ አስተዳደር እና ጥንቃቄ የጎደለው የምዝግብ ማስታወሻዎች ኩባንያዎች የደመና ኔትወርኮችን ሲያዘጋጁ ከሚሰሯቸው ስህተቶች ጥቂቶቹ ናቸው። የደመና ፍልሰት እየገፋ ሲሄድ፣ የተለያዩ የደህንነት እውቀት ያላቸው የሶስተኛ ወገን አገልግሎት አቅራቢዎች ይበልጥ እየተሳተፉ ይሄዳሉ፣ ይህም ተጨማሪ የጥቃት ቦታዎችን ይሰጣሉ።

የቨርቹዋል ችግሮች መባባስ

የአገልግሎቶች ኮንቴይነር ሶፍትዌሮችን ለማዘጋጀት, ለመጠገን እና ለማሰማራት ቀላል ያደርገዋል, ግን በተመሳሳይ ጊዜ ተጨማሪ አደጋዎችን ይፈጥራል. በታዋቂው የመያዣ ምስሎች ውስጥ ያሉ ድክመቶች እነሱን ለሚጠቀም ማንኛውም ሰው ችግር ሆኖ ይቀጥላል.

ኩባንያዎች በተለያዩ የኮንቴይነር አርክቴክቸር ክፍሎች፣ ከአሂድ ጊዜ ስህተቶች እስከ ኦርኬስትራተሮች ድረስ ያሉ ተጋላጭነቶችን መታገል እና አካባቢዎችን መገንባት አለባቸው። አጥቂዎች የዴቭኦፕስን ሂደት ለማበላሸት ማናቸውንም ድክመቶች ይፈልጉ እና ይጠቀማሉ።

ከቨርችዋል ጋር የተያያዘ ሌላው አዝማሚያ አገልጋይ አልባ ማስላት ነው። ጋርትነር እንደሚለው፣ በ 2020 ከ 20% በላይ ኩባንያዎች ይህንን ቴክኖሎጂ ይጠቀማሉ. እነዚህ የመሳሪያ ስርዓቶች ለሙሉ አገልጋዮች ወይም ኮንቴይነሮች ክፍያን በማስቀረት ለገንቢዎች ኮድን እንደ አገልግሎት የማሄድ ችሎታ ይሰጣሉ። ነገር ግን ወደ አገልጋይ አልባ ኮምፒዩቲንግ መሄድ ከደህንነት ጉዳዮች የመከላከል አቅምን አያመጣም።

አገልጋይ በሌለው አፕሊኬሽኖች ላይ ለሚደረጉ ጥቃቶች የመግቢያ ነጥቦች ጊዜ ያለፈባቸው እና የተበላሹ ቤተ-መጻሕፍት እና በስህተት የተዋቀረ አካባቢ ይሆናሉ። አጥቂዎች ሚስጥራዊ መረጃዎችን ለመሰብሰብ እና የድርጅት ኔትወርኮች ውስጥ ለመግባት ይጠቀሙባቸዋል።

በ 2020 ማስፈራሪያዎችን እንዴት መቋቋም እንደሚቻል

ከጊዜ ወደ ጊዜ እየጨመረ የመጣው የሳይበር ወንጀለኛ ተጽዕኖዎች፣ ኩባንያዎች በሁሉም የመሠረተ ልማት ዘርፎች ላይ አደጋን ለመቀነስ ከደህንነት ባለሙያዎች ጋር ትብብርን ማሳደግ አለባቸው። ይህ ተከላካዮች እና ገንቢዎች ተጨማሪ መረጃ እንዲያገኙ እና ከአውታረ መረብ ጋር የተገናኙ መሳሪያዎችን በተሻለ ሁኔታ እንዲቆጣጠሩ እና ተጋላጭነታቸውን እንዲያስወግዱ ያስችላቸዋል።

በየጊዜው የሚለዋወጠው የአደጋ ገጽታ እንደ የደህንነት ስልቶች ላይ የተመሰረተ ባለ ብዙ ሽፋን ጥበቃን መተግበር ያስፈልገዋል፡-

  • የተሳኩ ጥቃቶችን መለየት እና ውጤቶቻቸውን መቀነስ ፣
  • የሚተዳደር ጥቃትን መለየት እና መከላከል ፣
  • የባህሪ ክትትል፡ አዳዲስ ስጋቶችን በንቃት መከልከል እና ያልተለመደ ባህሪን መለየት፣
  • የመጨረሻ ነጥብ ጥበቃ.

የክህሎት እጥረት እና ዝቅተኛ ጥራት ያለው የሳይበር ደህንነት እውቀት የድርጅቶችን አጠቃላይ የፀጥታ ደረጃ የሚወስን በመሆኑ የሰራተኞችን አስተማማኝ ባህሪ ስልታዊ ስልጠና በመረጃ ደህንነት መስክ ግንዛቤን ከማሳደግ ጋር በማጣመር ሌላው የአመራር ስልታዊ ግብ ሊሆን ይገባል።

ምንጭ: hab.com

አስተያየት ያክሉ