တတ်နိုင်ရင် ငါ့ကို အရူးလုပ်ပါ- လူမှုနည်းပညာဆိုင်ရာ စမ်းသပ်မှုတစ်ခု ပြုလုပ်ခြင်း၏ အင်္ဂါရပ်များ

ဒီအခြေအနေကို စိတ်ကူးကြည့်ပါ။ ချမ်းအေးသောအောက်တိုဘာနံနက်ခင်း၊ ရုရှားနိုင်ငံ၏ဒေသတစ်ခု၏ဗဟိုချက်ရှိဒီဇိုင်းတက္ကသိုလ်။ HR ဌာနမှ တစ်စုံတစ်ယောက်သည် အင်စတီကျု၏ ဝဘ်ဆိုဒ်ရှိ လစ်လပ်နေသော စာမျက်နှာတစ်ခုသို့ သွားပြီး လွန်ခဲ့သော ရက်အနည်းငယ်က တင်ထားသော ကြောင်တစ်ကောင်၏ ဓာတ်ပုံကို မြင်လိုက်ရသည်။ မနက်ခင်းဟာ ပျင်းရိငြီးငွေ့စရာ မြန်မြန်ဆန်ဆန် ကုန်ဆုံးသွားပါတယ်...

ဤဆောင်းပါးတွင်၊ Group-IB ရှိ စာရင်းစစ်နှင့် အတိုင်ပင်ခံဌာန၏ နည်းပညာဆိုင်ရာ အကြီးအကဲ Pavel Suprunyuk သည် လက်တွေ့ကျသော လုံခြုံရေးအကဲဖြတ်သည့် ပရောဂျက်များတွင် လူမှုနည်းပညာဆိုင်ရာ တိုက်ခိုက်မှုများ ဖြစ်ပွားသည့်နေရာ၊ မည်သို့သော ပုံမှန်မဟုတ်သော ပုံစံများ ရရှိနိုင်ကြောင်းနှင့် ထိုကဲ့သို့သော တိုက်ခိုက်မှုများကို မည်သို့ကာကွယ်ရမည်ကို ဆွေးနွေးထားသည်။ ဆောင်းပါးသည် သုံးသပ်ချက်သဘောသဘာဝဖြစ်သည်၊ သို့သော် စာဖတ်သူများကို စိတ်ဝင်စားပါက Group-IB မှ ကျွမ်းကျင်သူများက မှတ်ချက်များတွင် မေးခွန်းများကို အလွယ်တကူ ဖြေကြားပေးမည်ဖြစ်ပါသည်။

အပိုင်း ၁။ ဘာကြောင့် ဒီလောက်လေးနက်တာလဲ။

ငါတို့ကြောင်ဆီပြန်ကြရအောင်။ အချိန်အတန်ကြာပြီးနောက်၊ HR ဌာနသည် ဓာတ်ပုံကို ဖျက်လိုက်သည် (အမည်ရင်းများကို မဖော်ပြစေရန် ဤနေရာနှင့် အောက်ဖော်ပြပါ screenshots များကို တစ်စိတ်တစ်ပိုင်း ပြန်လည်ပြုပြင်ထားသည်)၊ သို့သော် ၎င်းသည် ဇွတ်ပြန်လာသည်၊ ၎င်းကို ထပ်မံဖျက်လိုက်ကာ နောက်ထပ်အကြိမ်များစွာ ဖြစ်ပွားသည်။ HR ဌာနသည် ကြောင်တွင် အလေးအနက်ထားရန် ရည်ရွယ်ချက်ရှိကြောင်း၊ သူ မထွက်ခွာချင်ကြောင်း နားလည်ထားပြီး ဆိုက်ကို ဖန်တီးပြီး နားလည်ပေးသူတစ်ဦးဖြစ်သည့် ဝဘ်ပရိုဂရမ်မာတစ်ဦးထံမှ အကူအညီတောင်းခံကာ ၎င်းတို့က ၎င်းကို စီမံခန့်ခွဲပေးလျက်ရှိသည်။ ပရိုဂရမ်မာသည် ဆိုက်သို့သွားကာ စိတ်အနှောက်အယှက်ဖြစ်စေသောကြောင်ကို နောက်တစ်ကြိမ် ဖျက်လိုက်သည်၊ ၎င်းကို HR ဌာနကိုယ်စား တင်ထားသည်ကို တွေ့ရှိပြီးနောက် HR ဌာန၏ စကားဝှက်သည် အချို့သောအွန်လိုင်းမှ လူဆိုးများထံ ပေါက်ကြားသွားသည်ဟု ယူဆကာ ၎င်းကို ပြောင်းလဲလိုက်သည်။ ကြောင်က ပြန်မပေါ်တော့ဘူး။

တကယ်က ဘာဖြစ်သွားတာလဲ။ အင်စတီကျုတွင်ပါဝင်သောကုမ္ပဏီများအုပ်စုနှင့်ဆက်စပ်၍ Group-IB မှအထူးပညာရှင်များသည် Red Teaming နှင့်နီးစပ်သည့်ပုံစံဖြင့် ထိုးဖောက်စမ်းသပ်မှုကို ပြုလုပ်ခဲ့သည် (တစ်နည်းအားဖြင့်ဆိုရသော်၊ ၎င်းသည် အဆင့်အမြင့်ဆုံးနည်းလမ်းများနှင့် ကိရိယာများကိုအသုံးပြု၍ သင့်ကုမ္ပဏီအား ပစ်မှတ်ထားတိုက်ခိုက်ခြင်းကို တုပခြင်းဖြစ်ပါသည်။ ဟက်ကာအဖွဲ့များ၏လက်နက်တိုက်။) Red Teaming အကြောင်း အသေးစိတ် ဆွေးနွေးခဲ့ပါတယ်။ ဒီမှာ. ထိုသို့သောစမ်းသပ်မှုကို ပြုလုပ်သောအခါ၊ လူမှုရေးအင်ဂျင်နီယာအပါအဝင် အလွန်ကျယ်ပြန့်သော ကြိုတင်သဘောတူထားသောတိုက်ခိုက်မှုများကို အသုံးပြုနိုင်ကြောင်း သိထားရန် အရေးကြီးပါသည်။ ကြောင်ကို နေရာချထားခြင်းသည် ဖြစ်ပျက်နေသည့် အန္တိမပန်းတိုင်မဟုတ်ကြောင်း ထင်ရှားပါသည်။ ပြီးတော့ အောက်ပါအတိုင်း ရှိခဲ့တယ်၊

• အင်စတီကျု၏ဝဘ်ဆိုဒ်ကို အင်စတီကျု၏ကွန်ရက်အတွင်းရှိ ဆာဗာတစ်ခုပေါ်တွင် လက်ခံကျင်းပခဲ့ခြင်းဖြစ်ပြီး ပြင်ပကုမ္ပဏီဆာဗာများတွင်မဟုတ်ဘဲ၊
• HR ဌာနအကောင့် (ဆိုက်၏အမြစ်ရှိ အီးမေးလ်မှတ်တမ်းဖိုင်) တွင် ပေါက်ကြားမှုတစ်ခု တွေ့ရှိခဲ့သည်။ ဤအကောင့်ဖြင့် ဆိုက်ကို စီမံခန့်ခွဲရန် မဖြစ်နိုင်သော်လည်း အလုပ်စာမျက်နှာများကို တည်းဖြတ်နိုင်သည်၊
• စာမျက်နှာများကို ပြောင်းလဲခြင်းဖြင့်၊ သင်သည် သင်၏ script များကို JavaScript တွင် ထားနိုင်သည်။ အများအားဖြင့် ၎င်းတို့သည် စာမျက်နှာများကို အပြန်အလှန်အကျိုးသက်ရောက်မှုများ ပြုလုပ်ကြသော်လည်း ဤအခြေအနေတွင်၊ တူညီသော script များသည် ပရိုဂရမ်မာနှင့် HR ဌာနကို ခွဲခြားထားသည့် ဧည့်သည်၏ဘရောက်ဆာမှ ခိုးယူနိုင်ပြီး၊ ရိုးရှင်းသောလည်ပတ်သူမှ ပရိုဂရမ်မာသည် ဆိုက်ပေါ်ရှိ session identifier ဖြစ်သည်။ ကြောင်သည် တိုက်ခိုက်မှုအစပျိုးပြီး အာရုံစူးစိုက်မှုကို ဆွဲဆောင်နိုင်သော ရုပ်ပုံဖြစ်သည်။ HTML ဝဘ်ဆိုဒ် အမှတ်အသားပြုဘာသာစကားတွင်၊ ၎င်းသည် ဤပုံစံအတိုင်းဖြစ်သည်- အကယ်၍ သင့်ပုံအား တင်ထားပါက၊ JavaScript ကို လုပ်ဆောင်ပြီးဖြစ်ကာ၊ သင့်ဘရောက်ဆာနှင့် IP လိပ်စာနှင့်ပတ်သက်သော ဒေတာများနှင့်အတူ သင်၏ session ID သည် ခိုးယူခံရပြီးဖြစ်သည်။
• ခိုးယူခံရသော အက်ဒမင်ဆက်ရှင် ID ဖြင့်၊ ၎င်းသည် ဆိုက်သို့ အပြည့်အဝဝင်ရောက်ခွင့်၊ PHP တွင် စီမံလုပ်ဆောင်နိုင်သော စာမျက်နှာများကို လက်ခံရရှိရန် ဖြစ်နိုင်ပြီး ထို့ကြောင့် ဆာဗာလည်ပတ်မှုစနစ်သို့ ဝင်ရောက်ခွင့်ရရှိကာ၊ ထို့နောက်တွင် အရေးကြီးသော အလယ်အလတ်ပန်းတိုင်ဖြစ်သည့် ဒေသဆိုင်ရာ ကွန်ရက်ကိုယ်တိုင်သို့၊ ပရောဂျက်။

တိုက်ခိုက်မှုသည် တစ်စိတ်တစ်ပိုင်း အောင်မြင်ခဲ့သည်- စီမံခန့်ခွဲသူ၏ စက်ရှင် ID ခိုးယူခဲ့သော်လည်း IP လိပ်စာနှင့် ချိတ်ဆက်ထားသည်။ ကျွန်ုပ်တို့သည် ဤအရာအား နားမလည်နိုင်ခဲ့ပါ၊ ကျွန်ုပ်တို့၏ ဝဘ်ဆိုဒ်ဆိုင်ရာ အထူးအခွင့်အရေးများကို စီမံခန့်ခွဲသူအခွင့်အရေးများကို မမြှင့်တင်နိုင်သော်လည်း ကျွန်ုပ်တို့၏ စိတ်ခံစားချက်ကို မြှင့်တင်ပေးခဲ့ပါသည်။ နောက်ဆုံးရလဒ်ကို ကွန်ရက်ပတ်ပတ်လည်၏ အခြားအပိုင်းတွင် ရရှိခဲ့သည်။

အပိုင်း ၂။ ငါမင်းကို စာရေးနေတယ် - ဘာကျန်သေးလဲ။ ငါလည်း မင်းရဲ့ရုံးခန်းထဲမှာ ဖုန်းခေါ်ပြီး flash drive တွေချပစ်လိုက်တယ်။

ကြောင်နှင့် အခြေအနေတွင် ဖြစ်ပျက်ခဲ့သည်မှာ အလွန်ရှေးရိုးဆန်သော မဟုတ်သော်လည်း လူမှုရေးအင်ဂျင်နီယာ၏ ဥပမာတစ်ခုဖြစ်သည်။ တကယ်တော့၊ ဒီဇာတ်လမ်းမှာ နောက်ထပ် အဖြစ်အပျက်တွေ ရှိသေးတယ်- ကြောင်တစ်ကောင်၊ အဖွဲ့အစည်းတစ်ခု၊ ဝန်ထမ်းဌာနတစ်ခု၊ ပရိုဂရမ်မာတစ်ယောက် ရှိတယ်၊ ဒါပေမယ့် "ကိုယ်စားလှယ်လောင်းများ" လို့ ယူဆရတဲ့ ဝန်ထမ်းဌာနကို ကိုယ်တိုင်ရော ကိုယ်တိုင်ကိုယ်ကျ ရေးခဲ့တဲ့ အီးမေးလ်တွေလည်း ပါပါတယ်။ ဝဘ်ဆိုက်စာမျက်နှာသို့ သွားရန် သူတို့ကို နှိုးဆော်ရန်အတွက် ပရိုဂရမ်မာထံ။

စာတွေပြောနေတာ။ သာမန် အီးမေးလ်၊ လူမှုရေး အင်ဂျင်နီယာ လုပ်ငန်းများ ဆောင်ရွက်ရာတွင် အဓိက မော်တော်ယာဉ် ဖြစ်ကောင်းဖြစ်နိုင်သည်မှာ ဆယ်စုနှစ် နှစ်စုကြာမျှ ၎င်း၏ ဆက်စပ်မှုကို ဆုံးရှုံးသွားခဲ့ပြီး တစ်ခါတစ်ရံတွင် ပုံမှန်မဟုတ်သော အကျိုးဆက်များကို ဖြစ်ပေါ်စေပါသည်။

ကျွန်ုပ်တို့သည် အလွန်ထင်ရှားနေသောကြောင့် ကျွန်ုပ်တို့၏အဖြစ်အပျက်များတွင် အောက်ပါပုံပြင်များကို မကြာခဏပြောပြလေ့ရှိသည်။

အများအားဖြင့်၊ လူမှုအင်ဂျင်နီယာပရောဂျက်များ၏ ရလဒ်များအပေါ်အခြေခံ၍ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့သိထားသည့်အတိုင်း ခြောက်သွေ့ပြီး ငြီးငွေ့ဖွယ်ကောင်းသော ကိန်းဂဏန်းစာရင်းများကို ပြုစုပါသည်။ လက်ခံသူများ၏ ရာခိုင်နှုန်းများစွာသည် ပူးတွဲပါဖိုင်ကို စာကိုဖွင့်လိုက်သောကြောင့် အများအပြားသည် လင့်ခ်ကိုလိုက်ခဲ့ကြသော်လည်း ၎င်းတို့သုံးဦးသည် ၎င်းတို့၏အသုံးပြုသူအမည်နှင့် စကားဝှက်ကို အမှန်တကယ်ထည့်သွင်းထားသည်။ ပရောဂျက်တစ်ခုတွင်၊ ထည့်သွင်းထားသော စကားဝှက်များ၏ 100% ကျော်ကို လက်ခံရရှိခဲ့သည် - ဆိုလိုသည်မှာ ကျွန်ုပ်တို့ပေးပို့သည်ထက် ပိုမိုထွက်လာပါသည်။

ဤကဲ့သို့ဖြစ်သွားသည်- "မေးလ်ဝန်ဆောင်မှုတွင် အပြောင်းအလဲများကို အရေးပေါ်စမ်းသပ်ရန်" တောင်းဆိုချက်ဖြင့် နိုင်ငံပိုင်ကော်ပိုရေးရှင်းတစ်ခု၏ CISO မှ ဖြားယောင်းသောစာတစ်စောင် ပေးပို့ခဲ့သည်။ အဆိုပါစာသည် နည်းပညာဆိုင်ရာ ပံ့ပိုးကူညီမှုပေးသည့် ဌာနကြီးတစ်ခု၏ အကြီးအကဲထံသို့ ပေးပို့ခဲ့သည်။ မန်နေဂျာသည် အထက်အာဏာပိုင်များထံမှ ညွှန်ကြားချက်များကို ထမ်းဆောင်ရာတွင် အလွန်ပင် လုံ့လဝီရိယရှိပြီး လက်အောက်ငယ်သားအားလုံးထံ ပေးပို့ခဲ့သည်။ ခေါ်ဆိုရေးစင်တာကိုယ်တိုင်က အတော်လေး ကျယ်ပါတယ်။ ယေဘူယျအားဖြင့်၊ တစ်စုံတစ်ဦးသည် ၎င်းတို့၏လုပ်ဖော်ကိုင်ဖက်များထံ “စိတ်ဝင်စားဖွယ်” ဖြားယောင်းသောအီးမေးလ်များကို ပေးပို့ပြီး ၎င်းတို့ကိုလည်း ဖမ်းမိသွားသည့် အခြေအနေများသည် အလွန်အဖြစ်များပါသည်။ ကျွန်ုပ်တို့အတွက်၊ ဤသည်မှာ စာရေးခြင်း၏ အရည်အသွေးအပေါ် အကောင်းဆုံးတုံ့ပြန်ချက်ဖြစ်သည်။

ခဏအကြာတွင် သူတို့သည် ကျွန်ုပ်တို့အကြောင်း သိလာကြသည် (စာတစ်စောင်ကို အပေးအယူရှိသော စာတိုက်ပုံးထဲတွင် ယူထားသည်)။

ဖောက်သည်၏မေးလ်စနစ်တွင် နည်းပညာပိုင်းဆိုင်ရာ ချို့ယွင်းချက်များစွာကို အသုံးချကာ တိုက်ခိုက်မှု၏အောင်မြင်ရခြင်းမှာ စာပို့မှုတွင် အသုံးချခံရခြင်းကြောင့်ဖြစ်သည်။ အင်တာနက်မှပင် ခွင့်ပြုချက်မရှိဘဲ အဖွဲ့အစည်း၏ပေးပို့သူတိုင်း၏ကိုယ်စား မည်သည့်စာများ ပေးပို့နိုင်သည်ကို ဤကဲ့သို့သောပုံစံဖြင့် ဖွဲ့စည်းထားပါသည်။ ဆိုလိုသည်မှာ သင်သည် CISO တစ်ဦး သို့မဟုတ် နည်းပညာဆိုင်ရာ ပံ့ပိုးကူညီမှု အကြီးအကဲ သို့မဟုတ် အခြားသူတစ်ဦးအဖြစ် ဟန်ဆောင်နိုင်သည်။ ထို့အပြင်၊ “၎င်း၏” ဒိုမိန်းမှ စာလုံးများကို စောင့်ကြည့်ကာ မေးလ်အင်တာဖေ့စ်သည် လိပ်စာစာအုပ်မှ ဓာတ်ပုံတစ်ပုံကို ဂရုတစိုက်ထည့်သွင်းကာ ပေးပို့သူအား သဘာဝကျစေပါသည်။

အမှန်မှာ၊ ထိုသို့သောတိုက်ခိုက်မှုသည် အထူးရှုပ်ထွေးသောနည်းပညာမဟုတ်ပါ၊ ၎င်းသည် မေးလ်ဆက်တင်များတွင် အလွန်အခြေခံကျသောချို့ယွင်းချက်တစ်ခု၏ အောင်မြင်စွာအသုံးချမှုတစ်ခုဖြစ်သည်။ အထူးပြု IT နှင့် သတင်းအချက်အလက် လုံခြုံရေး ရင်းမြစ်များပေါ်တွင် ပုံမှန် ပြန်လည်သုံးသပ်နေသော်လည်း မည်သို့ပင်ဆိုစေကာမူ ဤပစ္စုပ္ပန်အားလုံးကို ပိုင်ဆိုင်ထားသည့် ကုမ္ပဏီများလည်း ရှိနေသေးသည်။ မည်သူမျှ SMTP မေးလ်ပရိုတိုကော၏ ဝန်ဆောင်မှု ခေါင်းစီးများကို သေချာစစ်ဆေးရန် လိုလားခြင်းမရှိသောကြောင့်၊ ပုံတစ်ခုလုံးကို အမြဲတမ်းပြသလေ့မရှိသည့် မေးလ်အင်တာဖေ့စ်ရှိ သတိပေးသင်္ကေတများကို အသုံးပြု၍ စာလုံးတစ်လုံးကို “အန္တရာယ်” အတွက် စစ်ဆေးလေ့ရှိသည်။

စိတ်ဝင်စားစရာမှာ၊ အလားတူ အားနည်းချက်တစ်ခုသည် အခြားဦးတည်ချက်တွင်လည်း အလုပ်လုပ်သည်- တိုက်ခိုက်သူသည် သင့်ကုမ္ပဏီကိုယ်စား ပြင်ပလက်ခံသူထံသို့ အီးမေးလ်တစ်စောင် ပေးပို့နိုင်သည်။ ဥပမာအားဖြင့်၊ သူသည် သင့်ကိုယ်စား ပုံမှန်ငွေပေးချေမှုအတွက် ပြေစာတစ်ခုကို အတုအယောင်ပြုလုပ်နိုင်ပြီး သင့်အစား အခြားအသေးစိတ်အချက်အလက်များကို ဖော်ပြနိုင်သည်။ လိမ်လည်မှု ဆန့်ကျင်ရေးနှင့် ငွေသားထုတ်သည့် ပြဿနာများအပြင်၊ ၎င်းသည် လူမှုအင်ဂျင်နီယာမှတဆင့် ငွေခိုးယူရန် အလွယ်ကူဆုံးနည်းလမ်းများထဲမှ တစ်ခု ဖြစ်နိုင်သည်။

ဖြားယောင်းခြင်းမှတစ်ဆင့် စကားဝှက်များကို ခိုးယူခြင်းအပြင်၊ ဂန္ထဝင်လူမှုနည်းပညာဆိုင်ရာ တိုက်ခိုက်မှုတစ်ခုသည် အကောင်အထည်ဖော်နိုင်သော ပူးတွဲပါဖိုင်များကို ပေးပို့နေသည်။ အကယ်၍ ခေတ်မီကုမ္ပဏီများတွင် အများအားဖြင့် အများအပြားရှိသည့် လုံခြုံရေးအစီအမံများအားလုံးကို ကျော်လွှားပါက၊ အဝေးထိန်းစနစ်ဖြင့် ဝင်ရောက်ကြည့်ရှုနိုင်သော ချန်နယ်တစ်ခုသည် သားကောင်၏ကွန်ပျူတာသို့ ဖန်တီးမည်ဖြစ်သည်။ တိုက်ခိုက်မှု၏အကျိုးဆက်များကို သရုပ်ပြရန်၊ ရရှိလာသော အဝေးထိန်းခလုတ်ကို အထူးအရေးကြီးသော လျှို့ဝှက်အချက်အလက်များကို ရယူနိုင်ရန်အထိ တီထွင်နိုင်မည်ဖြစ်သည်။ လူတိုင်းကို ထိတ်လန့်စေရန် မီဒီယာအသုံးပြုသည့် တိုက်ခိုက်မှု အများစုသည် ဤကဲ့သို့ စတင်ခဲ့ခြင်းဖြစ်သည်မှာ မှတ်သားစရာပင်။

ကျွန်ုပ်တို့၏စာရင်းစစ်ဌာနတွင် အပျော်သဘောဖြင့် ခန့်မှန်းခြေစာရင်းဇယားများကို တွက်ချက်ပါသည်- အဓိကအားဖြင့် ဖြားယောင်းခြင်းနှင့် အကောင်အထည်ဖော်နိုင်သော ပူးတွဲပါဖိုင်များပေးပို့ခြင်းမှတစ်ဆင့် ကျွန်ုပ်တို့ရရှိထားသော Domain Administrator ဝင်ရောက်ခွင့်ရရှိသည့် ကုမ္ပဏီများ၏ စုစုပေါင်းတန်ဖိုးမှာ အဘယ်နည်း။ ယခုနှစ်တွင် ယူရိုဘီလီယံ ၁၅၀ ခန့်အထိ ရောက်ရှိခဲ့သည်။

ဝဘ်ဆိုဒ်များတွင် ကြောင်များ၏ ဓာတ်ပုံများ ပေးပို့ခြင်းနှင့် လှုံ့ဆော်သော အီးမေးလ်များ ပေးပို့ခြင်းသည် လူမှုအင်ဂျင်နီယာ၏ တစ်ခုတည်းသော နည်းလမ်းမဟုတ်ကြောင်း ရှင်းပါသည်။ ဤဥပမာများတွင် ကျွန်ုပ်တို့သည် တိုက်ခိုက်မှုပုံစံအမျိုးမျိုးနှင့် ၎င်းတို့၏အကျိုးဆက်များကိုပြသရန် ကြိုးစားခဲ့သည်။ စာလုံးများအပြင်၊ ဖြစ်နိုင်ချေရှိသော တိုက်ခိုက်သူသည် လိုအပ်သောအချက်အလက်များကိုရယူရန်၊ ပစ်မှတ်ကုမ္ပဏီ၏ရုံးခန်းတွင် executable files များနှင့်အတူ ဖြန့်ခွဲမီဒီယာ (ဥပမာ၊ flash drives) ကိုခေါ်နိုင်သည်၊ အလုပ်သင်အဖြစ်အလုပ်ရရန်၊ ဒေသဆိုင်ရာကွန်ရက်သို့ ကိုယ်ထိလက်ရောက်ဝင်ရောက်ခွင့်ရရှိနိုင်သည်။ CCTV ကင်မရာတပ်ဆင်သူ၏ အသွင်ဆောင်မှုအောက်တွင်။ ဤအရာများအားလုံးသည် ကျွန်ုပ်တို့၏အောင်မြင်စွာပြီးမြောက်ခဲ့သော ပရောဂျက်များမှ နမူနာများဖြစ်သည်။

အပိုင်း ၃။ သင်ကြားခြင်းသည် အလင်းဖြစ်သော်လည်း ပညာမတတ်သူသည် အမှောင်ဖြစ်သည်။

ကျိုးကြောင်းဆီလျော်သောမေးခွန်းတစ်ခုပေါ်လာသည်- ကောင်းပြီ၊ ကောင်းပြီ၊ လူမှုရေးအင်ဂျင်နီယာရှိသည်၊ ၎င်းသည်အန္တရာယ်ရှိပုံရသည်၊ သို့သော်ဤအရာအားလုံးကိုကုမ္ပဏီများကဘာလုပ်သင့်သနည်း။ Captain Obvious သည် ကယ်တင်ခြင်းသို့ ရောက်ရှိလာသည်- သင်သည် သင့်ကိုယ်သင် ခုခံကာကွယ်ရန် လိုအပ်ပြီး ပြည့်စုံသောပုံစံဖြင့်။ ကာကွယ်ရေး၏ အစိတ်အပိုင်းအချို့သည် သတင်းအချက်အလက်ကာကွယ်မှု၊ စောင့်ကြည့်မှု၊ လုပ်ငန်းစဉ်များ၏ အဖွဲ့အစည်းဆိုင်ရာနှင့် ဥပဒေဆိုင်ရာ ပံ့ပိုးကူညီမှုကဲ့သို့သော နည်းပညာပိုင်းဆိုင်ရာ နည်းလမ်းများဖြစ်သည့် ရှေးရိုးလုံခြုံရေးအစီအမံများကို ရည်ရွယ်ထားမည်ဖြစ်ပြီး၊ ကျွန်ုပ်တို့၏အမြင်အရ၊ အဓိကအပိုင်းသည် ဝန်ထမ်းများနှင့် တိုက်ရိုက်အလုပ်လုပ်ရန် ညွှန်ကြားသင့်ပါသည်။ အညံ့ဆုံးလင့်။ နောက်ဆုံးတွင်၊ သင်သည် နည်းပညာကို မည်မျှ အားကောင်းစေသည် သို့မဟုတ် ကြမ်းတမ်းသော စည်းမျဉ်းများကို ရေးနေပါစေ၊ အရာအားလုံးကို ချိုးဖျက်ရန် နည်းလမ်းအသစ်ကို ရှာဖွေတွေ့ရှိမည့် အသုံးပြုသူ အမြဲရှိနေမည်ဖြစ်သည်။ ထို့အပြင်၊ အထူးသဖြင့် အရည်အချင်းပြည့်မီသော တိုက်ခိုက်သူမှ နှိုးဆော်ခံရပါက အသုံးပြုသူ၏ တီထွင်ဖန်တီးနိုင်မှု ပျံသန်းမှုကို စည်းမျဉ်းများနှင့် နည်းပညာများက လိုက်လျောညီထွေဖြစ်စေမည်မဟုတ်ပါ။

ပထမဦးစွာ၊ အသုံးပြုသူအား လေ့ကျင့်ရန် အရေးကြီးသည်- သူ၏လုပ်ရိုးလုပ်စဉ်အလုပ်တွင်ပင် လူမှုအင်ဂျင်နီယာနှင့်ပတ်သက်သည့် အခြေအနေများ ဖြစ်ပေါ်လာနိုင်ကြောင်း ရှင်းပြပါ။ ကျွန်ုပ်တို့၏ဖောက်သည်များအတွက် ကျွန်ုပ်တို့မကြာခဏလုပ်ဆောင်သည်။ သင်တန်းများ ဒစ်ဂျစ်တယ်တစ်ကိုယ်ရေသန့်ရှင်းရေး - ယေဘုယျအားဖြင့် တိုက်ခိုက်မှုများကို တန်ပြန်ရန် အခြေခံစွမ်းရည်များကို သင်ကြားပေးသည့် ဖြစ်ရပ်တစ်ခု။

အကောင်းဆုံးကာကွယ်မှုအစီအမံများထဲမှတစ်ခုသည် သတင်းအချက်အလက်လုံခြုံရေးစည်းမျဉ်းများကို လုံးဝအလွတ်ကျက်ရန်မဟုတ်၊ သို့သော် အခြေအနေကို အနည်းငယ်ခွဲထားသည့်ပုံစံဖြင့် အကဲဖြတ်ရန် ကျွန်ုပ်ထပ်ဖြည့်နိုင်သည်-

1. ငါ့စကားပြောသူက ဘယ်သူလဲ။
2. သူ၏ အဆိုပြုချက် သို့မဟုတ် တောင်းဆိုချက်သည် မည်သည့်နေရာက လာသနည်း။
3. ဒီတောင်းဆိုချက်မှာ ဘာထူးခြားသလဲ။

ပုံမှန်မဟုတ်သော အက္ခရာဖောင့်အမျိုးအစား သို့မဟုတ် ပေးပို့သူအတွက် ပုံမှန်မဟုတ်သော စကားပုံစံတစ်ခုပင်လျှင် တိုက်ခိုက်မှုတစ်ခုအား ရပ်တန့်စေမည့် သံသယကွင်းဆက်တစ်ခုကို ဖယ်ရှားနိုင်သည်။ သတ်မှတ်ထားသော ညွှန်ကြားချက်များလည်း လိုအပ်သော်လည်း ၎င်းတို့သည် ကွဲပြားစွာ လုပ်ဆောင်နိုင်ပြီး ဖြစ်နိုင်သည့် အခြေအနေအားလုံးကို မသတ်မှတ်နိုင်ပါ။ ဥပမာအားဖြင့်၊ သတင်းအချက်အလက် လုံခြုံရေး စီမံခန့်ခွဲသူများသည် ပြင်ပအဖွဲ့အစည်း အရင်းအမြစ်များပေါ်တွင် သင့်စကားဝှက်ကို သင်ထည့်သွင်း၍မရကြောင်း ၎င်းတို့တွင် ရေးထားသည်။ “သင့်”၊ “ကော်ပိုရိတ်” ကွန်ရက် ရင်းမြစ်က စကားဝှက်တောင်းလျှင် ဘာဖြစ်မလဲ။ သုံးစွဲသူက "ကျွန်ုပ်တို့၏ကုမ္ပဏီသည် အကောင့်တစ်ခုတည်းဖြင့် ဝန်ဆောင်မှုနှစ်ဒါဇင်ရှိပြီး၊ အဘယ်ကြောင့် အခြားတစ်ခုရှိမနေသနည်း" ၎င်းသည် အခြားသော စည်းမျဉ်းတစ်ခုဆီသို့ ဦးတည်သွားသည်- ကောင်းမွန်သောဖွဲ့စည်းတည်ဆောက်ထားသည့် အလုပ်လုပ်ငန်းစဉ်သည် လုံခြုံရေးကိုလည်း တိုက်ရိုက်သက်ရောက်သည်- အိမ်နီးချင်းဌာနသည် သင့်ထံမှ အချက်အလက်များကို စာဖြင့်သာ စာဖြင့်သာ တောင်းဆိုနိုင်ပြီး သင့်မန်နေဂျာမှသာလျှင် "ကုမ္ပဏီ၏ ယုံကြည်စိတ်ချရသော ပါတနာ" မှ ပုဂ္ဂိုလ်တစ်ဦးသည် လုံးဝမဖြစ်နိုင်ပါ။ ဖုန်းဖြင့် တောင်းဆိုနိုင်သည် - ဒါက သင့်အတွက် အဓိပ္ပါယ်မဲ့ဖြစ်ပါလိမ့်မယ်။ ရေးရန် ခေတ်ဆန်သောကြောင့်၊ သင်၏ စကားဝိုင်းသည် ယခုအချိန်တွင် အရာအားလုံးကို လုပ်ဆောင်ရန် တောင်းဆိုပါက အထူးသဖြင့် သတိထားသင့်သည်။ ပုံမှန်အလုပ်တွင်ပင် ဤအခြေအနေသည် မကြာခဏ မကျန်းမာဘဲ ဖြစ်နိုင်ချေရှိသော တိုက်ခိုက်မှုများကို ရင်ဆိုင်ရသောအခါတွင် ၎င်းသည် ပြင်းထန်သော တွန်းအားတစ်ခုဖြစ်သည်။ ရှင်းပြရန်အချိန်မရှိပါ၊ ကျွန်ုပ်၏ဖိုင်ကိုဖွင့်ပါ။

ငွေကြေးနှင့်ပတ်သက်သည့် ပုံစံတစ်မျိုး သို့မဟုတ် အခြားအကြောင်းအရာများဖြင့် လူမှုနည်းပညာဆိုင်ရာတိုက်ခိုက်မှုတစ်ခုအတွက် သုံးစွဲသူများကို ဒဏ္ဍာရီဆန်ဆန် ပစ်မှတ်ထားလေ့ရှိကြောင်း ကျွန်ုပ်တို့သတိပြုမိသည်မှာ- ပရိုမိုးရှင်းများ၊ ဦးစားပေးမှုများ၊ လက်ဆောင်များ၊ အချက်အလက်များအပြင် ပြည်တွင်းမှ အတင်းအဖျင်းနှင့် ခြေပုန်းခုတ်မှုများဖြင့် သတင်းအချက်အလက်များကို သတိပြုမိပါသည်။ တစ်နည်းဆိုရသော်၊ banal “သေစေသောအပြစ်များ” သည် အလုပ်တွင်ရှိသည်- အမြတ်အစွန်း၊ လောဘနှင့် အလွန်အကျွံသိချင်စိတ်တို့ဖြစ်သည်။

လေ့ကျင့်မှုကောင်းများ အမြဲပါဝင်နေသင့်သည်။ ဤနေရာ၌ ထိုးဖောက်စမ်းသပ်မှု ကျွမ်းကျင်သူများက ကယ်ဆယ်နိုင်မည်ဖြစ်သည်။ နောက်မေးခွန်းက ဘာနဲ့ ဘယ်လိုစမ်းသပ်မလဲ။ Group-IB မှကျွန်ုပ်တို့သည်အောက်ပါချဉ်းကပ်နည်းကိုအဆိုပြုသည်- စမ်းသပ်ခြင်း၏အာရုံကိုချက်ချင်းရွေးချယ်ပါ- သုံးစွဲသူများကိုယ်တိုင်၏တိုက်ခိုက်မှုများအတွက်အဆင်သင့်အကဲဖြတ်ရန် သို့မဟုတ် ကုမ္ပဏီတစ်ခုလုံး၏လုံခြုံရေးကိုစစ်ဆေးပါ။ လူမှုရေး အင်ဂျင်နီယာနည်းလမ်းများကို အသုံးပြု၍ စမ်းသပ်ခြင်း၊ စစ်မှန်သော တိုက်ခိုက်မှုများကို ပုံဖော်ခြင်း - ဆိုလိုသည်မှာ တူညီသော ဖြားယောင်းခြင်း ၊ လုပ်ဆောင်နိုင်သော စာရွက်စာတမ်းများ ပေးပို့ခြင်း၊ ခေါ်ဆိုမှုများ နှင့် အခြားသော နည်းပညာများကို အသုံးပြုခြင်း။

ပထမကိစ္စတွင်၊ အဓိကအားဖြင့် ၎င်း၏ IT နှင့် သတင်းအချက်အလက် လုံခြုံရေး အထူးကျွမ်းကျင်သူများနှင့်အတူ ဖောက်သည်ကိုယ်စားလှယ်များနှင့်အတူ တိုက်ခိုက်မှုကို ဂရုတစိုက်ပြင်ဆင်ထားသည်။ ဒဏ္ဍာရီများ၊ ကိရိယာများနှင့် တိုက်ခိုက်ရေးနည်းပညာများသည် တသမတ်တည်းဖြစ်သည်။ ဖောက်သည်ကိုယ်တိုင်က လိုအပ်သော အဆက်အသွယ်များအားလုံးကို ပါ၀င်သည့် တိုက်ခိုက်မှုအတွက် အာရုံစိုက်အုပ်စုများနှင့် အသုံးပြုသူများစာရင်းများကို ပေးဆောင်သည်။ ခြွင်းချက်များကို လုံခြုံရေးအစီအမံများတွင် ဖန်တီးထားသောကြောင့်၊ မက်ဆေ့ချ်များနှင့် စီမံဆောင်ရွက်နိုင်သည့်အရာများသည် လက်ခံသူထံရောက်ရှိရမည်ဖြစ်ပြီး၊ ယင်းသို့သောပရောဂျက်တွင် လူအများ၏တုံ့ပြန်မှုများကိုသာ စိတ်ဝင်စားသောကြောင့်ဖြစ်သည်။ အသုံးပြုသူက တိုက်ခိုက်မှုတစ်ခုဟု ခန့်မှန်းနိုင်သည့်အားဖြင့် တိုက်ခိုက်မှုတွင် အမှတ်အသားများကို ရွေးချယ်နိုင်သည် - ဥပမာအားဖြင့် သင်သည် မက်ဆေ့ချ်များတွင် စာလုံးပေါင်းအမှားအချို့ကို ပြုလုပ်နိုင်သည် သို့မဟုတ် ကော်ပိုရိတ်စတိုင်ကို ကူးယူရာတွင် မှားယွင်းမှုများကို ချန်ထားခဲ့နိုင်သည်။ ပရောဂျက်၏အဆုံးတွင်၊ တူညီသော "ခြောက်သွေ့သောကိန်းဂဏန်းများ" ကို ရရှိသည်- ဖြစ်ရပ်များကို အာရုံစူးစိုက်သည့်အုပ်စုများက မည်မျှအတိုင်းအတာအထိ တုံ့ပြန်ခဲ့ကြသည်။

ဒုတိယအခြေအနေတွင်၊ “black box” နည်းလမ်းကို အသုံးပြု၍ တိုက်ခိုက်မှုကို ကနဦးအသိပညာ သုညဖြင့် လုပ်ဆောင်သည်။ ကျွန်ုပ်တို့သည် ကုမ္ပဏီ၊ ၎င်း၏ဝန်ထမ်းများ၊ ကွန်ရက်ပတ်၀န်းကျင်ဆိုင်ရာ အချက်အလက်များကို လွတ်လပ်စွာစုဆောင်းကာ၊ တိုက်ခိုက်မှုဒဏ္ဍာရီများဖန်တီးရန်၊ နည်းလမ်းများကို ရွေးချယ်ရန်၊ ပစ်မှတ်ကုမ္ပဏီတွင် အသုံးပြုနိုင်သည့် လုံခြုံရေးအစီအမံများကို ရှာဖွေရန်၊ ကိရိယာများကို လိုက်လျောညီထွေဖြစ်အောင် ဖန်တီးကာ အခြေအနေများကို ဖန်တီးပါ။ ကျွန်ုပ်တို့၏ အထူးပညာရှင်များသည် ဂန္ထဝင် ပွင့်လင်းရင်းမြစ်ထောက်လှမ်းရေး (OSINT) နည်းလမ်းများနှင့် Group-IB ၏ကိုယ်ပိုင်ထုတ်ကုန် - Threat Intelligence ကိုအသုံးပြုပြီး ဖြားယောင်းခြင်းအတွက် ပြင်ဆင်သည့်အခါတွင်၊ အမျိုးအစားခွဲထားသောအချက်အလက်များအပါအဝင် အချိန်ကြာမြင့်စွာ ကုမ္ပဏီတစ်ခု၏အချက်အလက်များကို စုစည်းပေးသည့်စနစ်အဖြစ် လုပ်ဆောင်နိုင်ပါသည်။ ဟုတ်ပါတယ်၊ တိုက်ခိုက်မှုဟာ မနှစ်မြို့ဖွယ် အံ့သြစရာတစ်ခုမဖြစ်စေဖို့၊ သူ့ရဲ့အသေးစိတ်အချက်အလက်တွေကိုလည်း ဖောက်သည်နဲ့လည်း သဘောတူပါတယ်။ ပြီးပြည့်စုံသော ထိုးဖောက်စမ်းသပ်မှုတစ်ခုအဖြစ် ပေါ်ထွက်လာသော်လည်း အဆင့်မြင့်လူမှုရေးအင်ဂျင်နီယာကို အခြေခံမည်ဖြစ်သည်။ ဤကိစ္စတွင် ယုတ္တိတန်သောရွေးချယ်မှုမှာ စက်တွင်းစနစ်များတွင် အမြင့်ဆုံးအခွင့်အရေးများရရှိသည်အထိ ကွန်ရက်အတွင်း တိုက်ခိုက်မှုတစ်ခု ဖန်တီးရန်ဖြစ်သည်။ စကားမစပ်၊ အလားတူနည်းဖြင့် ကျွန်ုပ်တို့သည် လူမှုနည်းပညာဆိုင်ရာ တိုက်ခိုက်မှုများကို အသုံးပြုသည်။ အနီရောင်အသင်းနှင့် အချို့သော ထိုးဖောက်စစ်ဆေးမှုများတွင်၊ ရလဒ်အနေဖြင့် ဖောက်သည်သည် လူမှုနည်းပညာဆိုင်ရာ တိုက်ခိုက်မှုအမျိုးအစားအချို့ကို ဆန့်ကျင်သည့် ၎င်းတို့၏လုံခြုံရေးအတွက် လွတ်လပ်ပြီးပြည့်စုံသောအမြင်ကို ရရှိမည်ဖြစ်ပြီး ပြင်ပခြိမ်းခြောက်မှုများအား ခုခံကာကွယ်မှု၏ ထိရောက်မှု (သို့မဟုတ် အပြန်အလှန်အားဖြင့် ထိရောက်မှုမရှိခြင်း) ကို သရုပ်ပြခြင်းတို့ကို ရရှိမည်ဖြစ်သည်။

ဤသင်တန်းကို တစ်နှစ်လျှင် အနည်းဆုံး နှစ်ကြိမ်ပြုလုပ်ရန် အကြံပြုအပ်ပါသည်။ ပထမအချက်မှာ မည်သည့်ကုမ္ပဏီတွင်မဆို ဝန်ထမ်းအလှည့်အပြောင်းများရှိပြီး ယခင်အတွေ့အကြုံများကို ဝန်ထမ်းများမှ တဖြည်းဖြည်း မေ့လျော့သွားပါသည်။ ဒုတိယအနေဖြင့်၊ တိုက်ခိုက်မှုနည်းလမ်းများနှင့် နည်းပညာများသည် အဆက်မပြတ်ပြောင်းလဲနေပြီး ၎င်းသည် လုံခြုံရေးလုပ်ငန်းစဉ်များနှင့် အကာအကွယ်ကိရိယာများကို လိုက်လျောညီထွေဖြစ်အောင်ပြုလုပ်ရန် လိုအပ်ပါသည်။

တိုက်ခိုက်မှုများကို ကာကွယ်ရန် နည်းပညာဆိုင်ရာ အစီအမံများအကြောင်း ပြောဆိုပါက၊ အောက်ဖော်ပြပါ အများစုသည် အကူအညီဖြစ်စေသည်-

• အင်တာနက်ပေါ်ရှိ လွှင့်တင်ထားသော ဝန်ဆောင်မှုများတွင် မဖြစ်မနေ two-factor authentication ရှိနေခြင်း။ 2019 ခုနှစ်တွင် အဆိုပါဝန်ဆောင်မှုများကို Single Sign On စနစ်များမပါဘဲ၊ စကားဝှက် brute force နှင့် လူရာပေါင်းများစွာရှိသော ကုမ္ပဏီတွင် two-factor authentication မပါဘဲ ဖြန့်ချိခြင်းသည် "ငါ့ကိုချိုးဖျက်ရန်" အဖွင့်ခေါ်ဆိုမှုနှင့် တူညီပါသည်။ စနစ်တကျ အကောင်အထည်ဖော်ထားသော အကာအကွယ်သည် ခိုးယူထားသော စကားဝှက်များကို အမြန်အသုံးပြုရန် မဖြစ်နိုင်ဘဲ ဖြားယောင်းတိုက်ခိုက်မှု၏ အကျိုးဆက်များကို ဖယ်ရှားရန် အချိန်ပေးမည်ဖြစ်သည်။
• ဝင်ရောက်ထိန်းချုပ်မှု ထိန်းချုပ်ခြင်း၊ စနစ်များတွင် အသုံးပြုသူအခွင့်အရေးများကို လျှော့ချခြင်းနှင့် အဓိကထုတ်လုပ်သူတိုင်းမှ ထုတ်ပြန်သော လုံခြုံသောထုတ်ကုန်ဖွဲ့စည်းမှုပုံစံများအတွက် လမ်းညွှန်ချက်များကို လိုက်နာခြင်း။ ဤအရာများသည် မကြာခဏဆိုသလို သဘာဝတွင် ရိုးရှင်းသော်လည်း အရှိန်အဟုန်အတွက် လူတိုင်းက အတိုင်းအတာတစ်ခုအထိ သို့မဟုတ် အခြားတစ်ခုမှ လျစ်လျူရှုထားသည့် အစီအမံများကို အကောင်အထည်ဖော်ရန် အလွန်ထိရောက်ပြီး ခက်ခဲသည်။ အချို့မှာ အကာအကွယ်မရှိလျှင် ကယ်တင်နိုင်မည်မဟုတ်ပေ။
• ကောင်းမွန်စွာတည်ဆောက်ထားသော အီးမေးလ်စစ်ထုတ်ခြင်းလိုင်း။ Antispam၊ sandbox များမှတဆင့် dynamic စမ်းသပ်ခြင်းအပါအဝင် အန္တရာယ်ရှိသောကုဒ်အတွက် ပူးတွဲပါဖိုင်များကို စုစုပေါင်းစကင်န်ဖတ်ခြင်း။ ကောင်းစွာပြင်ဆင်ထားသည့် တိုက်ခိုက်မှုတစ်ခုသည် အကောင်အထည်ဖော်နိုင်သော ပူးတွဲပါဖိုင်ကို ဗိုင်းရပ်စ်နှိမ်နင်းရေးကိရိယာများဖြင့် ရှာဖွေတွေ့ရှိမည်မဟုတ်ကြောင်း ဆိုလိုသည်။ ဆန့်ကျင်ဘက်အနေနှင့် sandbox သည် လူတစ်ဦးအသုံးပြုသကဲ့သို့ ဖိုင်များကို အသုံးပြု၍ အရာအားလုံးကို သူ့ဘာသာသူ စမ်းသပ်မည်ဖြစ်သည်။ ရလဒ်အနေဖြင့် သဲပုံးအတွင်းတွင် ပြုလုပ်ထားသော အပြောင်းအလဲများဖြင့် ဖြစ်နိုင်ချေရှိသော အန္တရာယ်ရှိသော အစိတ်အပိုင်းတစ်ခုကို ထုတ်ဖော်ပါမည်။
• ပစ်မှတ်ထားတိုက်ခိုက်ခြင်းမှ အကာအကွယ်ပေးခြင်းကို ဆိုလိုသည်။ မှတ်သားထားပြီးဖြစ်သည့်အတိုင်း၊ ဂန္တဝင်ဗိုင်းရပ်စ်နှိမ်နင်းရေးကိရိယာများသည် ကောင်းမွန်စွာပြင်ဆင်ထားသည့် တိုက်ခိုက်ခံရသည့်အခါတွင် အန္တရာယ်ရှိသောဖိုင်များကို ရှာဖွေတွေ့ရှိမည်မဟုတ်ပါ။ အဆင့်အမြင့်ဆုံးထုတ်ကုန်များသည် ကွန်ရက်ပေါ်တွင် ဖြစ်ပျက်နေသည့် ဖြစ်ရပ်စုစုပေါင်းကို အလိုအလျောက် စောင့်ကြည့်သင့်သည် - တစ်ဦးချင်း host အဆင့်နှင့် ကွန်ရက်အတွင်း သွားလာမှုအဆင့်တွင် နှစ်မျိုးလုံး အလိုအလျောက် စောင့်ကြည့်နေသင့်သည်။ တိုက်ခိုက်မှုများတွင်၊ ဤကဲ့သို့သောဖြစ်ရပ်များကိုသာ အာရုံစိုက်စောင့်ကြည့်ပါက ခြေရာခံနိုင်ပြီး ရပ်တန့်နိုင်သည့် အလွန်ထူးခြားသောဖြစ်ရပ်များ ပေါ်လာပါသည်။

မူရင်းဆောင်းပါး ပုံနှိပ်ထုတ်ဝေ မဂ္ဂဇင်း “သတင်းအချက်အလက် လုံခြုံရေး/ သတင်းလုံခြုံရေး” နံပါတ် ၆၊ ၂၀၁၉။

source: www.habr.com