امروز یکی از آن روزهایی است که تیمهای امنیتی آرزو میکردند قهوه قویتری داشتند. چشمانداز تهدیدات با موجی از آسیبپذیریهای روز-صفر (Zero-Day) تعریف میشود که با سرعتی بیامان در حال بهرهبرداری هستند و در کنار آن، تحلیل عمیقی از یک گروه جاسوسی پیشرفته داریم که با صبر و حوصله و ابزارهای پیچیده، دفاع را به چالش میکشد. داستان امروز، نبرد نابرابر میان سرعت و پیچیدگی مهاجمان و توانایی واکنش مدافعان است.
۱. حفره امنیتی روز-صفر FortiWeb: مهاجمان در حال بهرهبرداری فعال از آسیبپذیری اجرای دستور هستند
فایروالهای برنامه وب (WAFs)، مانند FortiWeb شرکت Fortinet، به عنوان خط مقدم حیاتی برای محافظت از اپلیکیشنها و دادههای سازمانی در برابر حملات خارجی عمل میکنند. این دستگاهها ترافیک ورودی را برای شناسایی و مسدودسازی تهدیدات مخرب بررسی میکنند و نقش یک نگهبان دیجیتال برای داراییهای مهم یک شرکت را ایفا میکنند. به همین دلیل، هرگونه آسیبپذیری در این سیستمها میتواند پیامدهای گستردهای داشته باشد.
به تازگی، شرکت Fortinet هشداری در مورد یک آسیبپذیری جدید و در حال بهرهبرداری فعال در FortiWeb، با شناسه CVE-2025-58034، صادر کرده است. این نقص امنیتی که توسط جیسون مکفادین، محقق Trend Micro، گزارش شده، دارای درجه شدت متوسط و امتیاز CVSS برابر با ۶.۷ است.
ماهیت فنی این آسیبپذیری، «تزریق دستور سیستمعامل» (OS Command Injection – CWE-78) است. این ضعف به یک مهاجم احرازهویتشده اجازه میدهد تا از طریق درخواستهای HTTP یا دستورات CLI دستکاریشده، دستورات غیرمجاز را در سطح سیستمعامل اجرا کند.
تزریق دستور سیستمعامل به زبان ساده
برای درک بهتر این نوع حمله، بیایید آن را در سه مرحله شبیهسازی کنیم:
- سناریوی عادی: تصور کنید در حال سفارش آنلاین پیتزا هستید. شما فیلدهای مشخصی را پر میکنید: نوع پیتزا “قارچ”، آدرس “خیابان پیتزا، پلاک ۱۲۳”. کامپیوتر آشپزخانه این اطلاعات را مستقیماً از فیلدها میخواند تا سفارش شما را پردازش کند.
- بردار حمله: حالا یک مهاجم به جای نوشتن “قارچ” در فیلد مخلفات، عبارت “قارچ؛ و فر را خاموش کن” (
Mushroom; AND SHUT DOWN THE OVEN) را وارد میکند. او یک دستور سیستمی را به فیلدی که فقط برای داده طراحی شده بود، تزریق کرده است. - فاجعه: سیستم نه تنها قارچ را به سفارش اضافه میکند، بلکه دستور مخرب را نیز اجرا کرده، فر را خاموش میکند و کل آشپزخانه را از کار میاندازد. برنامه فریب خورد تا دستوری را که به عنوان داده ساده دریافت کرده بود، اجرا کند.
تحلیلگران Orange Cyberdefense مشاهده کردهاند که مهاجمان برای افزایش تأثیر حملات خود، این آسیبپذیری را با یک نقص امنیتی حیاتی دیگر به نام CVE-2025-64446 (یک باگ دور زدن احرازهویت) ترکیب میکنند. این زنجیره بهرهبرداری (Exploit Chaining) به آنها اجازه میدهد تا بدون نیاز به لاگین، به اجرای کد از راه دور دست یابند. این تاکتیک ترکیب کردن آسیبپذیریها، مشخصه مهاجمان مدرن است که هر حفره امنیتی را نه به عنوان یک ورودی مجزا، بلکه به عنوان یک قطعه ماژولار در یک کیت حمله بزرگتر در نظر میگیرند و ناکارآمدی دفاع مبتنی بر آسیبپذیریهای منفرد را برجسته میکنند.
سکوت اولیه Fortinet در مورد این آسیبپذیریها، انتقاداتی را به همراه داشته است.
“وقتی فروشندگان محبوب فناوری در مورد اطلاعرسانی مشکلات امنیتی جدید کوتاهی میکنند، در واقع در حال ارسال دعوتنامه برای مهاجمان هستند، در حالی که همان اطلاعات را از مدافعان پنهان نگه میدارند.” – VulnCheck
آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) آسیبپذیری CVE-2025-58034 را به کاتالوگ آسیبپذیریهای شناختهشده در حال بهرهبرداری (KEV) خود اضافه کرده است. به کاربران اکیداً توصیه میشود که فوراً دستگاههای خود را به نسخههای اصلاحشده 8.0.2, 7.6.6, 7.4.11, 7.2.12, 7.0.12 یا بالاتر ارتقا دهند. این بهروزرسانی فوری، سریعترین واکنش “با سرعت ماشین” است که یک سازمان میتواند در سطح لبه شبکه خود انجام دهد.
آناتومی حمله
یک مهاجم را تصور کنید که اینترنت را برای یافتن دستگاههای FortiWeb آسیبپذیر اسکن میکند. ابتدا، با استفاده از CVE-2025-64446، صفحه ورود را دور زده و یک حساب کاربری مدیر جعلی برای خود ایجاد میکند. سپس، با استفاده از این جلسه احراز هویت شده، از CVE-2025-58034 برای اجرای دستورات در سطح سیستمعامل زیرین دستگاه بهرهبرداری میکند. در این مرحله، مهاجم میتواند یک در پشتی (Backdoor) دائمی در شبکه شرکت ایجاد کرده و کنترل کامل را به دست بگیرد.
“بذار خلاصه بگم 👇”
یک حفره خطرناک در فایروال وب Fortinet توسط هکرها به صورت فعال استفاده میشود، به خصوص وقتی با یک باگ دیگر برای دور زدن لاگین ترکیب شود. آپدیت فوری ضروری است.
منابع این بخش:
۲. گوگل کروم زیر آتش: آسیبپذیری روز-صفر جدیدی در موتور V8 فعالانه مورد حمله قرار گرفته است
مرورگر وب، دروازه اصلی ما به اینترنت است و امنیت آن برای محافظت از کاربران در برابر تهدیدات آنلاین حیاتی است. اجزای اصلی یک مرورگر، مانند موتور جاوا اسکریپت آن، اهداف بسیار ارزشمندی برای مهاجمانی هستند که به دنبال نفوذ به دستگاههای کاربران میباشند.
گوگل یک بهروزرسانی امنیتی اضطراری برای مرورگر کروم منتشر کرده تا یک آسیبپذیری روز-صفر جدید را که به صورت فعال در حملات مورد استفاده قرار گرفته، برطرف کند. این حفره امنیتی با شناسه CVE-2025-13223 ردیابی میشود.
این آسیبپذیری که شدت آن بالا ارزیابی شده، یک ضعف از نوع “سردرگمی نوع” (Type Confusion) در موتور V8 جاوا اسکریپت و WebAssembly کروم است و امتیاز CVSS آن ۸.۸ میباشد. مهاجم میتواند با فریب کاربر برای باز کردن یک صفحه وب دستکاریشده (crafted HTML page)، این آسیبپذیری را فعال کرده و به طور بالقوه باعث خرابی حافظه (heap corruption) و اجرای کد دلخواه بر روی سیستم قربانی شود.
سردرگمی نوع (Type Confusion) به زبان ساده
برای درک این مفهوم، بیایید آن را در سه مرحله مجسم کنیم:
- سناریوی عادی: به یک کارمند بایگانی گفته میشود که منتظر بستهای حاوی اسناد کاغذی باشد. او یک رویه مشخص و امن برای کار با کاغذ دارد: آن را میخواند و بایگانی میکند.
- بردار حمله: یک مهاجم بستهای ارسال میکند که روی آن برچسب “اسناد” خورده، اما در واقع حاوی قطعات یک ماشین کوچک و جداشده است. کارمند بایگانی با اعتماد به برچسب، با آن مانند کاغذ رفتار میکند.
- فاجعه: هنگامی که کارمند سعی میکند قطعات ماشین را “بخواند و بایگانی کند”، ناآگاهانه دستورالعملهایی را دنبال میکند که باعث مونتاژ و فعال شدن دستگاه میشود و آن دستگاه یک عمل مخرب را در داخل اتاق بایگانی انجام میدهد. سیستم فریب خورد تا مجموعه دستورات اشتباهی را روی یک شی خطرناک اجرا کند، زیرا به یک برچسب گمراهکننده اعتماد کرده بود.
این هفتمین آسیبپذیری روز-صفر کروم است که در سال ۲۰۲۵ اصلاح میشود و سومین باگ از نوع Type Confusion در موتور V8 است که امسال به صورت فعال مورد بهرهبرداری قرار گرفته است. این آسیبپذیری توسط کلمنت لوسین از گروه تحلیل تهدیدات گوگل (TAG) کشف و گزارش شده است.
“گوگل آگاه است که یک اکسپلویت برای CVE-2025-13223 در دنیای واقعی وجود دارد.”
به کاربران توصیه میشود که فوراً مرورگر کروم خود را به نسخههای اصلاحشده (142.0.7444.175/.176 برای ویندوز، 142.0.7444.176 برای مک، و 142.0.7444.175 برای لینوکس) بهروزرسانی کرده و برای اعمال تغییرات، مرورگر را مجدداً راهاندازی کنند. این بهروزرسانی فوری، حیاتیترین واکنش “با سرعت ماشین” است که کاربران میتوانند برای محافظت از نقاط پایانی خود انجام دهند. کاربران سایر مرورگرهای مبتنی بر کرومیوم (مانند مایکروسافت اج و Brave) نیز باید منتظر وصلههای مربوطه باشند و آنها را در اسرع وقت نصب کنند.
“بذار خلاصه بگم 👇”
یه باگ جدی تو موتور کروم پیدا شده که هکرها دارن ازش استفاده میکنن. فقط با باز کردن یه سایت آلوده ممکنه هک بشید. همین الان کروم رو آپدیت کنید.
منابع این بخش:
۳. تحلیل گروه جاسوسی UNC1549 وابسته به ایران: ابزارهای سفارشی و هدفگیری صنایع هوافضا
تهدیدات پیشرفته و مستمر (APTs)، به ویژه گروههای تحت حمایت دولتها، چالشهای منحصر به فردی را برای دنیای امنیت ایجاد میکنند. اهداف بلندمدت این گروهها اغلب شامل جاسوسی و سرقت اطلاعات حساس از بخشهای حیاتی مانند صنایع هوافضا و دفاعی است.
گروه UNC1549 (یو-اِن-سی-۱۵۴۹)، که گمان میرود یک گروه جاسوسی وابسته به ایران باشد، از اواسط سال ۲۰۲۴ توسط شرکت Mandiant در حال ردیابی است. این گروه کمپینهای هدفمندی را علیه صنایع هوافضا، هوانوردی و دفاعی اجرا کرده است.
این گروه برای نفوذ اولیه از یک رویکرد دوگانه استفاده میکند: از یک سو، کمپینهای فیشینگ (spear-phishing) پیچیدهای را با طعمههایی مرتبط با فرصتهای شغلی اجرا میکند و از سوی دیگر، با به خطر انداختن تأمینکنندگان و شرکای تجاری، از روابط مبتنی بر اعتماد سوءاستفاده کرده و کنترلهای امنیتی اصلی هدف نهایی را دور میزند.
پس از نفوذ، UNC1549 از بدافزارهای سفارشی مانند TWOSTROKE (تو-اِسترُک)، DEEPROOT (دیپ-روت) و GHOSTLINE (گُست-لاین) برای حفظ دسترسی خود استفاده میکند. نکته قابل توجه در مورد مهارت فنی این گروه این است که هر بدافزاری که پس از نفوذ اولیه استفاده شده، دارای یک هش منحصر به فرد بوده است تا از شناسایی مبتنی بر امضا فرار کند.
سرقت ترتیب جستجوی DLL یا (DLL Search Order Hijacking) به زبان ساده
این تکنیک که به آن DLL Side-Loading هم میگویند، به این صورت عمل میکند:
- سناریوی عادی: تصور کنید از دستیار خود میخواهید که “فرم-الف.dll” را از کابینت بایگانی رسمی شرکت که در دفتر اصلی قرار دارد (پوشه System ویندوز) برای شما بیاورد. او دقیقاً میداند که فرم قانونی کجاست.
- بردار حمله: یک مهاجم یک نسخه جعلی و مخرب از “فرم-الف.dll” را قبل از درخواست شما، روی میز شخصیتان قرار میدهد. وقتی شما فرم را درخواست میکنید، دستیارتان ابتدا فرم روی میز شما را میبیند و با تصور اینکه این کار راحتتر است، همان را به شما میدهد به جای اینکه به کابینت اصلی برود.
- فاجعه: شما شروع به استفاده از فرم مخرب میکنید که ظاهری کاملاً شبیه به نسخه اصلی دارد، اما در پسزمینه به طور مخفیانه دستورات مخربی را اجرا میکند و به مهاجم کنترل میدهد. یک برنامه قابل اعتماد فریب خورد تا یک کتابخانه مخرب را فقط به خاطر موقعیت مکانی آن بارگذاری کند.
برای ارتقای سطح دسترسی، این گروه به طور گسترده از حملات DCSync برای استخراج هشهای رمز عبور NTLM از کنترلکنندههای دامنه (Domain Controllers) استفاده میکند. آنها برای این کار از ابزار سفارشی خود به نام DCSYNCER.SLICK (دی-سی-سینکِر-دات-اسلیک) که بر اساس کد منبع Mimikatz ساخته شده، بهره میبرند.
کمپین UNC1549 با تمرکز بر پیشبینی اقدامات بازرسان و تضمین ماندگاری طولانیمدت پس از شناسایی، متمایز میشود. آنها بکدورهایی را نصب میکنند که ماهها به صورت خاموش باقی میمانند و تنها زمانی فعال میشوند که بخواهند پس از تلاش قربانی برای پاکسازی، دوباره به شبکه دسترسی پیدا کنند.
برای مثال، تصور کنید یک مهندس در یک شرکت هوافضای اروپایی یک ایمیل فیشینگ متقاعدکننده در مورد همکاری از طرف شرکتی که به نظر یک شریک تجاری میرسد، دریافت میکند. پس از کلیک، UNC1549 یک جای پا در شبکه پیدا میکند. سپس با استفاده از یک ابزار سفارشی، حمله DCSync را انجام داده، اعتبارنامه یک مدیر دامنه را سرقت میکند و به آرامی شروع به استخراج طرحهای حساس هواپیما در طی چندین ماه از طریق تونلهای SSH معکوس رمزگذاریشده میکند که با ترافیک عادی شبکه ترکیب میشوند.
در مثالی دیگر، یک مهاجم از گروه UNC1549، یک تأمینکننده کوچک یک پیمانکار دفاعی بزرگ را به خطر میاندازد. با استفاده از اعتبارنامههای قانونی آن تأمینکننده، به محیط Citrix VDI پیمانکار اصلی دسترسی پیدا میکند. از آنجا، با انجام یک “VDI breakout”، به شبکه زیربنایی نفوذ میکند. سپس با استفاده از تکنیک DLL Search Order Hijacking، در پشتی TWOSTROKE را مستقر میکند که ماهها به صورت خاموش فعال باقی میماند. پس از اینکه تصور میشود حادثه اولیه مهار شده است، مهاجمان در پشتی را دوباره فعال کرده و با استفاده از ابزار سفارشی DCSYNCER.SLICK یک حمله DCSync انجام میدهند تا هشهای NTLM مدیران دامنه را سرقت کنند.
برای مقابله با چنین تهدیداتی، سازمانها باید فراتر از دفاع پیرامونی فکر کنند. تقویت نظارت بر روابط با تأمینکنندگان شخص ثالث، پیادهسازی اصول Zero Trust، و نظارت دقیق بر تکنیکهایی مانند DLL Hijacking و استفاده غیرعادی از ابزارهای سیستمی حیاتی است.
“بذار خلاصه بگم 👇”
یک گروه هکری پیشرفته وابسته به ایران، شرکتهای هوافضا را با حمله به تأمینکنندگان آنها هدف قرار میدهد و با بدافزارهای سفارشی و تکنیکهای پنهانکاری، برای مدت طولانی اطلاعات سرقت میکند.
منابع این بخش:
۴. بازار باجافزار در نقطه شکست: بازگشت LockBit و تکهتکه شدن گروهها
باجافزار یک تهدید یکپارچه نیست، بلکه یک بازار جنایی پویا و بسیار رقابتی است که به طور مداوم در پاسخ به فشارهای نهادهای مجری قانون و فرصتهای اقتصادی تکامل مییابد.
بر اساس گزارش Check Point Research برای سه ماهه سوم سال ۲۰۲۵، یک رکورد بیسابقه با ۸۵ گروه باجافزار و اخاذی فعال مشاهده شده است که نشاندهنده یک اکوسیستم بسیار غیرمتمرکز و تکهتکه شده است.
در سه ماهه سوم ۲۰۲۵، Check Point Research یک رکورد ۸۵ گروه باجافزار و اخاذی فعال را ثبت کرد که بالاترین تعداد مشاهده شده تا به امروز است. این گروهها ۱,۵۹۰ قربانی جدید را در سایتهای نشت اطلاعات خود افشا کردند.
این روند تکهتکه شدن عمدتاً ناشی از عملیاتهای موفق نهادهای مجری قانون علیه گروههای بزرگ باجافزار به عنوان سرویس (RaaS) است. این عملیاتها باعث شده است که وابستگان (affiliates) سابق این گروهها، دهها گروه کوچک، مستقل و کوتاهمدت راهاندازی کنند. این پراکندگی، ردیابی مبتنی بر اسناد و شهرت را برای مدافعان بسیار دشوارتر میکند و با ایجاد حجم عظیمی از “نویز” برای تیمهای اطلاعاتی، تشخیص تهدیدات معتبر از موارد گذرا را سختتر میکند – که این دقیقاً همان پارادوکس دادهای است که در ابتدا به آن اشاره شد.
با این حال، بازگشت قابل توجه گروه LockBit (لاک-بیت) در سپتامبر ۲۰۲۵ با نسخه LockBit 5.0، که شامل نسخههای بهروز شده برای ویندوز، لینوکس و ESXi است، میتواند نشاندهنده یک تمرکز مجدد بالقوه در این بازار باشد. ظهور مجدد LockBit اهمیت ویژهای دارد، زیرا “برند” معتبر و شهرت آن در ارائه کلیدهای رمزگشایی، اعتباری را ارائه میدهد که گروههای کوچک فاقد آن هستند. این امر باعث میشود قربانیان با احتمال بیشتری باج را پرداخت کنند.
در این بازار رقابتی، گروههای جدیدی مانند DragonForce (دِرَگِن-فُرس) استراتژیهای بازاریابی به سبک شرکتهای بزرگ را اتخاذ کردهاند. این گروه با اعلام عمومی اتحاد با گروههای دیگر و ارائه “خدمات حسابرسی داده” (که یک عبارت جنایی خلاقانه برای اخاذی است) سعی در ایجاد تصویری از قدرت و قابلیت اطمینان دارد.
مدافعان باید فوراً تمرکز خود را تغییر دهند. ردیابی نامهای تجاری یک استراتژی منسوخ است. تنها رویکرد مؤثر اکنون نظارت بر تحرک وابستگان، همپوشانی زیرساختها و محرکهای اقتصادی است که این بازار آشفته را پایدار نگه میدارند.
“بذار خلاصه بگم 👇”
دنیای باجافزارها با تعداد زیادی گروههای کوچک و پراکنده شلوغ شده، اما غول این حوزه یعنی LockBit، با قدرت برگشته است. این یعنی تیمهای امنیتی باید همزمان مراقب خلافکارهای خردهپا و باندهای بزرگ و سازمانیافته باشند.
منابع این بخش:
۵. شمشیر دو لبه هوش مصنوعی: از کشف آسیبپذیری توسط Big Sleep تا ساخت بدافزارهای هوشمند
هوش مصنوعی دیگر یک کلمه باب روز نیست؛ بلکه یک مسابقه تسلیحاتی جدید در فضای سایبری است. این ابزار قدرتمند هم توسط مهاجمان برای افزایش سرعت و پیچیدگی حملات و هم توسط مدافعان برای تقویت دفاع به کار گرفته میشود. این نبرد بر سر سرعت و مقیاس است و برنده کسی است که بتواند زودتر به مقیاس غالب دست یابد.
در اینجا دو روی سکه هوش مصنوعی را بررسی میکنیم:
- هوش مصنوعی برای دفاع: به نقل از The Hacker News، عامل هوش مصنوعی گوگل به نام Big Sleep (بِگ اِس-لیپ)، پنج آسیبپذیری جدید در WebKit مرورگر سافاری اپل کشف کرده است. همچنین، ابتکار Private AI Compute گوگل یک گام بزرگ به سوی پردازش پرسوجوهای هوش مصنوعی با حفظ حریم خصوصی در سطح دستگاه است.
- هوش مصنوعی برای حمله: بر اساس پیشبینیهای سال ۲۰۲۵ Fortinet و گزارش Morphisec، مهاجمان از هوش مصنوعی برای ساخت فریبهای فیشینگ بسیار متقاعدکننده، شبیهسازی صدا برای حملات تلفنی (vishing) و حتی کمک به تولید کدهای بدافزاری ماژولار استفاده میکنند.
چرا این موضوع اهمیت دارد؟
درگیری اصلی در این مسابقه تسلیحاتی، نبرد بر سر مقیاس (Scale) است. هوش مصنوعی دفاعی مانند Big Sleep، کشف آسیبپذیری را مقیاسپذیر میکند و میتواند هزاران خط کد را در زمانی کوتاه برای یافتن باگها بررسی کند. در مقابل، هوش مصنوعی تهاجمی، مهندسی اجتماعی را مقیاسپذیر میکند و به مهاجمان اجازه میدهد تا هزاران ایمیل فیشینگ کاملاً شخصیسازیشده بسازند. این جنگ بر سر این است که چه کسی میتواند ابتدا به مقیاس غالب دست یابد: مدافعان در پیدا کردن حفرهها یا مهاجمان در بهرهبرداری از انسانها.
سناریو
یک کمپین فیشینگ مبتنی بر هوش مصنوعی (تهاجمی) یک ایمیل کاملاً شخصیسازیشده برای یک توسعهدهنده ارسال میکند و او را فریب میدهد تا اعتبارنامههای خود را فاش کند. این اعتبارنامهها برای دسترسی به شبکه شرکت استفاده میشود. در همین حال، درون همان شرکت، یک هوش مصنوعی دفاعی در مرکز عملیات امنیت (SOC)، مانند Prophet Security، الگوهای ورود غیرعادی را تحلیل کرده، فوراً فعالیت را به عنوان مشکوک علامتگذاری میکند و یک پاسخ خودکار برای قفل کردن حساب را فعال میکند—همه اینها قبل از اینکه یک تحلیلگر انسانی حتی اولین هشدار را ببیند.
“بذار خلاصه بگم 👇”
هوش مصنوعی هم دکتره هم بیمار. یه طرف گوگل با AI داره باگ پیدا میکنه، طرف دیگه هکرها دارن باهاش ایمیلهای فیشینگ حرفهای میسازن و حمله میکنن.
منابع این بخش:
۶. پارادوکس دیدهبانی و نبرد با زمان: چرا تیمهای امنیتی در دریای هشدارها غرق میشوند؟
چالش عملیات امنیت مدرن در یک پارادوکس خلاصه میشود: با وجود جمعآوری دادههای بیشتر از همیشه، تیمهای امنیتی احساس امنیت کمتری میکنند. آنها با خستگی ناشی از هشدارهای بیپایان و سرعت باورنکردنی مهاجمان امروزی در یک نبرد دائمی هستند، نبردی که مهاجمان با پنهان شدن در میان نویزها در حال برنده شدن آن هستند.
دو مقاله کلیدی از Recorded Future و The Hacker News هسته اصلی این مشکل را تشریح میکنند:
- “پارادوکس دیدهبانی” (Visibility Paradox): دادههای بیشتر اغلب به معنای نویز بیشتر است. طبق آمار، ۶۳٪ از هشدارهای روزانه، اولویت پایین دارند یا مثبت کاذب هستند.
- شکاف سرعت: مهاجمان اکنون آسیبپذیریهای جدید را ظرف ۴۸ ساعت پس از افشا، به سلاح تبدیل میکنند، در حالی که مدافعان در چرخههای دستی وصلهکاری گیر کردهاند.
چرا این موضوع اهمیت دارد؟
مهاجمان با “پنهان شدن در معرض دید” از این وضعیت سوءاستفاده میکنند و از تکنیکهایی استفاده میکنند که با ترافیک عادی شبکه ترکیب میشوند تا در میان انبوه دادهها گم شوند. این یک استراتژی هوشمندانه برای بهرهبرداری از شکاف سرعت و پیچیدگی است.
«استفاده از پروتکل لایه کاربردی (T1071) برای عملیات فرماندهی و کنترل، که به صورت ترافیک شبکه معمولی پنهان شده است، بین سالهای ۲۰۲۳ و ۲۰۲۴ بیش از ۲۵۰ درصد افزایش یافته است.»
تنها راه مقابله با این وضعیت، “امنیت با سرعت ماشین” است—استفاده از اتوماسیون، شکار تهدید مبتنی بر هوش، و اصلاح مبتنی بر سیاست برای پر کردن شکاف بین تشخیص و پاسخ.
آناتومی حمله
SIEM یک شرکت روزانه هزاران هشدار تولید میکند. یک مهاجم با استفاده از یک آسیبپذیری تازه افشاشده، یک سرور را به خطر میاندازد. ترافیک C2 او از DNS-over-HTTPS استفاده میکند که شبیه ترافیک وب عادی به نظر میرسد و هشدارهای با شدت پایین تولید میکند که در میان نویز گم میشوند. یک تحلیلگر انسانی که غرق در هشدارهای حیاتی است، این سیگنالها را برای روزها نادیده میگیرد. در یک SOC بالغتر، یک playbook شکار تهدید خودکار، که با هوش آنی غنی شده، هشدارهای با شدت پایین را با آسیبپذیری جدید و TTPهای شناختهشده یک گروه تهدید فعال مرتبط میسازد و به طور خودکار آن را در عرض چند دقیقه به عنوان یک حادثه حیاتی ارتقا میدهد.
“بذار خلاصه بگم 👇”
تیمهای امنیتی دارن تو حجم زیاد دادهها و هشدارهای الکی غرق میشن، در حالی که هکرها در کمتر از دو روز از باگهای جدید سوءاستفاده میکنن. راه حلش اینه که دفاع هم مثل حمله، ماشینی و خودکار بشه.
منابع این بخش:
جمعبندی
از آسیبپذیریهای روز-صفر در نرمافزارهای روزمره گرفته تا جاسوسیهای پیچیده دولتی و بازار آشفته باجافزارها، سرعت تهدیدات به شکل چشمگیری در حال افزایش است. برای بقا در این محیط، سازمانها باید به سمت استراتژیهای دفاعی خودکار و مبتنی بر هوش حرکت کنند که بتوانند با سرعت مهاجمان عمل کنند؛ مفهومی که میتوان آن را “امنیت با سرعت ماشین” نامید.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec