स्टडी: साइबर अटैक टूल्स का इस्तेमाल करते हैं

Kaspersky की रिपोर्ट: यूरोप में 25 प्रतिशत साइबर हमलों में, साइबर अपराधी अपनी आगे की गतिविधियों के लिए वैध उपकरणों का दुरुपयोग करते हैं। वे ज्यादातर डेटा चोरी करने के लिए कॉर्पोरेट नेटवर्क या रिमोट एक्सेस टूल्स में गेटवे के रूप में प्रोग्राम भेद्यता का उपयोग करते हैं। यूरोप में 11,1 प्रतिशत घटनाएं प्रतिक्रियाएं जर्मनी से आती हैं; स्विट्जरलैंड से 25,9 प्रतिशत।

चाहे वित्तीय संस्थान हों या दूरसंचार, उद्योग, परिवहन और रसद की कंपनियां - सभी क्षेत्रों में यूरोपीय संगठनों को साइबर हमलों से जूझना पड़ता है। लगभग एक चौथाई (24 प्रतिशत) घटना प्रतिक्रियाओं का विश्लेषण पिछले साल दुनिया भर में कास्परस्की ने यूरोप से किया, जो मध्य पूर्व (32,6 प्रतिशत) के बाद दूसरे स्थान पर है। अक्सर, संदिग्ध फ़ाइलें (36,2 प्रतिशत), पहले से ही एन्क्रिप्टेड डेटा (21,3 प्रतिशत) या एंडपॉइंट्स (10,6 प्रतिशत) पर संदिग्ध गतिविधि ने कंपनियों में एक घटना प्रतिक्रिया शुरू की। इसके साथ समस्या: आधी घटनाओं का कुछ हफ्तों के बाद ही पता चलता है, इसलिए नुकसान पहले ही हो चुका होता है। इसके अतिरिक्त, एक चौथाई सुरक्षा घटनाएं वैध प्रबंधन और रिमोट एक्सेस टूल्स से संबंधित हैं, जिन्हें सुरक्षा समाधान हमलों के रूप में पहचानने के लिए संघर्ष करते हैं और वर्क-फ्रॉम-होम युग में लोकप्रिय हैं।

साइबर हमले कभी-कभी देर के चरण में ही स्पष्ट हो जाते हैं

एक ओर, कंपनियां साइबर हमलों को ध्यान देने योग्य नकारात्मक प्रभावों जैसे कि एन्क्रिप्टेड डेटा, धन की हानि या लीक डेटा के साथ-साथ अपने सुरक्षा समाधानों से प्राप्त होने वाली चेतावनियों द्वारा पहचानती हैं। यूरोप में घटना की प्रतिक्रियाओं का विश्लेषण करते हुए, कास्परस्की के विशेषज्ञों ने पाया कि एक तिहाई (35,3 प्रतिशत) से अधिक मामलों में, शोषित कार्यक्रम भेद्यताएं कॉर्पोरेट नेटवर्क का प्रवेश द्वार थीं। निम्नलिखित प्रारंभिक आक्रमण वैक्टरों की पहचान की गई:

• दुर्भावनापूर्ण ईमेल (29,4 प्रतिशत),
• बाहरी डेटा वाहक (11,8 प्रतिशत),
• गलत कॉन्फ़िगरेशन के कारण कमजोरियों का फायदा उठाना (11,8 प्रतिशत),
• लीक एक्सेस डेटा (5,9 प्रतिशत)
• और अंदरूनी सूत्र (5,9 प्रतिशत)

सभी सेक्टर की कंपनियां प्रभावित हैं। कैस्पर्सकी द्वारा विश्लेषण की गई घटना प्रतिक्रियाएं वित्त (25,4 प्रतिशत), दूरसंचार (16,9 प्रतिशत), उद्योग (16,9 प्रतिशत) और परिवहन (13,6 प्रतिशत) के क्षेत्र में संगठनों से आई हैं। हर बारहवीं घटना के बारे में अधिकारियों (8,5 प्रतिशत) से प्रतिक्रिया आई।

प्रबंधन और रिमोट एक्सेस टूल व्यवसायों के लिए जोखिम हैं

एक बार नेटवर्क पर, हमलावरों ने विश्लेषित घटना प्रतिक्रियाओं के 25 प्रतिशत में नुकसान पहुंचाने के लिए वैध उपकरणों का दुरुपयोग किया। ये वास्तव में आईटी और नेटवर्क प्रशासकों द्वारा, अन्य बातों के अलावा, समस्या निवारण और कर्मचारियों को तकनीकी सहायता प्रदान करने के लिए उपयोग किए जाते हैं। हालाँकि, यह साइबर अपराधियों को मैलवेयर का पता लगाने के लिए उपयोग किए जाने वाले विभिन्न सुरक्षा नियंत्रणों को दरकिनार करते हुए एंडपॉइंट्स पर प्रक्रियाओं को चलाने, संवेदनशील जानकारी तक पहुँचने और निकालने की अनुमति देता है।

घटना की प्रतिक्रियाओं का विश्लेषण करते हुए, कास्परस्की विशेषज्ञ 18 अलग-अलग वैध उपकरणों की पहचान करने में सक्षम थे जिनका हमलावरों द्वारा दुर्भावनापूर्ण उद्देश्यों के लिए दुरुपयोग किया गया था। यूरोप में विश्लेषण किए गए मामलों में से आधे (50 प्रतिशत) ने शक्तिशाली प्रबंधन उपकरण पॉवरशेल का उपयोग किया, जिसका उपयोग सूचना एकत्र करने से लेकर मैलवेयर चलाने तक कई उद्देश्यों के लिए किया जा सकता है, और PsExec, दूरस्थ समापन बिंदुओं पर प्रक्रियाओं को शुरू करने के लिए उपयोग किया जाता है। सॉफ्टपरफेक्ट नेटवर्क स्कैनर, 37,5 प्रतिशत हमलों में नेटवर्क वातावरण के बारे में जानकारी प्राप्त करने के लिए उपयोग किया जाता है।

वैध सॉफ्टवेयर हमलों को अस्पष्ट करता है

कास्परस्काई में ग्लोबल इमरजेंसी रिस्पांस टीम के प्रमुख कॉन्स्टेंटिन सैप्रोनोव बताते हैं, "जब तक संभव हो किसी समझौता किए गए नेटवर्क पर पता लगाने से बचने और अदृश्य रहने के लिए, हमलावर अक्सर सामान्य उपयोगकर्ता गतिविधियों, व्यवस्थापक कार्यों और सिस्टम डायग्नोस्टिक्स के लिए डिज़ाइन किए गए सॉफ़्टवेयर का उपयोग करते हैं।" "ये उपकरण हमलावरों को कॉर्पोरेट नेटवर्क के बारे में जानकारी इकट्ठा करने और इधर-उधर जाने, सॉफ़्टवेयर और हार्डवेयर सेटिंग्स बदलने, या यहां तक ​​कि दुर्भावनापूर्ण कार्य करने की अनुमति देते हैं - वे ग्राहक डेटा को एन्क्रिप्ट करने के लिए वैध सॉफ़्टवेयर का उपयोग कर सकते हैं। वैध सॉफ्टवेयर हमलावरों को सुरक्षा विश्लेषकों के रडार के नीचे रहने में मदद कर सकता है, क्योंकि वे अक्सर नुकसान होने के बाद ही हमले का पता लगाते हैं। कई कारणों से इन उपकरणों को बाहर करना संभव नहीं है। हालांकि, ठीक से तैनात लॉगिंग और मॉनिटरिंग सिस्टम नेटवर्क पर संदिग्ध गतिविधि और शुरुआती चरणों में परिष्कृत हमलों का पता लगाने में मदद करते हैं।

ऐसे हमलों का समय पर पता लगाने और प्रतिक्रिया देने के लिए उद्यमों को एमडीआर सेवा के साथ एंडपॉइंट डिटेक्शन और प्रतिक्रिया समाधान को लागू करने पर विचार करना चाहिए। MITER ATT&CK® राउंड 2 मूल्यांकन [2], जिसने Kaspersky EDR और Kaspersky प्रबंधित सुरक्षा सेवा जैसे विभिन्न समाधानों का मूल्यांकन किया, संगठनों को उनकी आवश्यकताओं को पूरा करने वाले EDR उत्पादों का चयन करने में मदद कर सकता है। एटीटी एंड सीके मूल्यांकन के परिणाम एक व्यापक समाधान के महत्व को प्रदर्शित करते हैं जो पूरी तरह से स्वचालित, बहुस्तरीय सुरक्षा उत्पाद और मैन्युअल खतरे-शिकार सेवा को जोड़ता है।

व्यापार के लिए Kaspersky सुरक्षा युक्तियाँ

• बाहरी आईपी पतों से दूरस्थ प्रबंधन उपकरणों तक पहुंच प्रतिबंधित करें और सुनिश्चित करें कि रिमोट कंट्रोल इंटरफेस सीमित संख्या में एंडपॉइंट्स से ही पहुंच योग्य हैं।
• सभी आईटी प्रणालियों और बहु-कारक प्रमाणीकरण के उपयोग के लिए एक सख्त पासवर्ड नीति लागू करें।
• कर्मचारियों को सीमित विशेषाधिकार प्रदान करें और केवल उन लोगों को उच्च-विशेषाधिकार प्रदान करें जिन्हें अपना काम करने के लिए इसकी आवश्यकता है।
• सभी विंडोज़, लिनक्स और मैकोज़ एंडपॉइंट्स पर व्यापार के लिए कैस्परस्की एंडपॉइंट सुरक्षा [3] जैसे समर्पित सुरक्षा समाधान की स्थापना। यह ज्ञात और अज्ञात साइबर खतरों से सुरक्षा को सक्षम बनाता है और प्रत्येक ऑपरेटिंग सिस्टम के लिए साइबर सुरक्षा नियंत्रण विकल्पों की एक श्रृंखला प्रदान करता है।
• एसओसी टीमों को थ्रेट इंटेलिजेंस [4] के माध्यम से नवीनतम थ्रेट इंटेलिजेंस तक पहुंच प्रदान करें, ताकि यह थ्रेट एक्टर्स के टूल, तकनीक और रणनीति पर अद्यतित रहे।
• सभी प्रासंगिक व्यावसायिक डेटा के बैकअप का नियमित निर्माण। इस तरह, महत्वपूर्ण डेटा जिसे एन्क्रिप्ट किया गया है और रैंसमवेयर द्वारा अनुपयोगी बना दिया गया है, उसे जल्दी से बहाल किया जा सकता है।

कास्परस्की की घटना प्रतिक्रिया विश्लेषक रिपोर्ट से अतिरिक्त जानकारी ऑनलाइन उपलब्ध है।

Kaspersky.com पर और जानें

 

---

Kaspersky के बारे में

Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी

---

 

विषय से संबंधित लेख