ما الذي يمكن أن يعلمه الاختراق العالمي ل CDK Global Breachs لـ Windows ISVs

في 18 يونيو 2024، تعرضت شركة CDK Global، وهي شركة برمجيات كخدمة SaaS تزود ما يقرب من 15,000 وكالة سيارات في أمريكا الشمالية ببرامج المبيعات والخدمة والتمويل والتأمين، لهجوم إلكتروني ضخم نفذته عصابة BlackSuit ransomware التي قامت بتشفير ملفات وأنظمة مهمة. طالبت BlackSuit بفدية من شركة CDK Global مقابل الحصول على بيانات العملاء المشفرة.

في¹⁹ يونيو، أغلقت شركة CDK Global أنظمتها لتكنولوجيا المعلومات وبدأت جهود التعافي من الهجوم. وخلال تلك الجهود، هاجمت BlackSuit شركة CDK Global بهجوم ثانٍ.

أدى إغلاق شركة CDK إلى شلل عملائها من وكلاء السيارات، الذين لم يتمكنوا من تحديد مواعيد المبيعات والخدمة، وتسجيل دخول وخروج عملاء الخدمة وبيع السيارات وتمويلها باستخدام أنظمة CDK. واضطر الوكلاء إلى الانتقال إلى الأنظمة الورقية لما يقرب من أسبوعين من أجل إجراء أي أعمال.

في²¹ يونيو، دفعت شركة CDK Global ما يقرب من 25 مليون دولار بعملة البيتكوين إلى BlackSuit لاستعادة السيطرة على الملفات والأنظمة المشفرة، ولكن الأمر استغرق حتى⁴ يوليو حتى تعود جميع وكالات السيارات للعمل مرة أخرى.

وبالإضافة إلى دفع فدية بقيمة 25 مليون دولار، تواجه CDK Global ما لا يقل عن ثماني دعاوى قضائية من عملاء وكلاء السيارات الذين يطالبون بتعويضات عن الأضرار الناجمة عن الهجوم.

قد لا نعرف بالضبط كيف تمكنت BlackSuit من اختراق أنظمة شركة CDK Global، ولكن العديد من شركات الأمن السيبراني قد حددت في منشورات المدونة السيناريو الأكثر احتمالاً للهجوم.

سيناريو هجوم بلاك سوت المحتمل

وفقًا لخبراء الأمن السيبراني، غالبًا ما يستغل المهاجمون ثغرات أنظمة تكنولوجيا المعلومات في الشركات من خلال نهج تدريجي.

1. خداع الموظفين باستخدام التصيّد الاحتيالي أو الهندسة الاجتماعية لتثبيت برمجيات خبيثة على حواسيبهم أو للكشف عن بيانات اعتماد المستخدم حتى يتمكن المهاجمون من الحصول على موطئ قدم أولي في نظام الشركة المستهدفة.
2. بمجرد الدخول إلى النظام، يقوم المهاجمون بتوسيع موطئ قدمهم للتحرك أفقياً عبر النظام باستخدام تقنيات مثل إغراق بيانات الاعتماد (سرقة بيانات اعتماد المستخدم من نظام التشغيل أو البرنامج) واستغلال الأذونات الضعيفة (على سبيل المثال، حيث يُسمح لمستخدم منخفض الامتيازات بتغيير تكوينات الخدمة) للوصول إلى أنظمة/خوادم إضافية والوصول إلى بيانات حساسة أو أنظمة حرجة تستحق دفع فدية مقابلها.
3. تشمل تقنيات الحركة الجانبية الإضافية استغلال نقاط الضعف في النظام، مثل البرمجيات غير المصححة والبنية التحتية الضعيفة، للوصول إلى البيانات القيّمة.

قامت BlackSuit بتنسيق جهودها لاستغلال نقاط الضعف في شركة CDK، مدعومة بفهم تقني متطور لنوع الأنظمة التي سيواجهونها أثناء الهجوم، وفرص الهجوم الشائعة جدًا التي تنشأ عندما لا تركز الشركة على الأمن السيبراني. وقد مكّنت خبرة مهاجمي BlackSuit وخبرتهم من التعرف على الفرص المختبئة على مرأى من الجميع في أنظمة شركة CDK وبنيتها التحتية واستغلالها على الفور.

{{CTAEMBED_IDENTIFIER}}

ما الذي يمكن أن يتعلمه بائعو Windows ISVs من اختراق CDK العالمي؟

بالإضافة إلى كون الاختراق كارثة مالية لشركة CDK Global، فقد تسبب الاختراق في حدوث اضطرابات على المستوى الوطني في صناعة بيع وخدمة السيارات، وهو بمثابة قصة تحذيرية لأي شركة برمجيات تقدم تطبيقات للعملاء باستخدام نموذج SaaS. في حين أن ضمانات الأمن السيبراني التالية هي أفضل الممارسات القياسية، إلا أنها تستحق التكرار.

تدريب الموظفين: تتمثل الخطوة الأولى في معظم هجمات برامج الفدية الخبيثة في إرسال رسائل بريد إلكتروني تصيدية للموظفين لخداعهم للكشف عن بيانات اعتمادهم. قم بإجراء تدريب دوري لتعليم الموظفين حول مخاطر التصيد الاحتيالي لتقليل فرصة حصول المهاجم على موطئ قدم أولي في أنظمتك بسبب خطأ من أحد الموظفين.

وضع خطة: وضع خطة للاستجابة للحوادث ومراجعتها سنويًا. قم بإجراء "تدريبات على مكافحة الحرائق" عدة مرات في السنة لإعداد الموظفين والإدارة في حالة وقوع حادث. ولا تنسَ تضمين خطة تواصل مع العملاء حتى تتمكن من إدارة توقعات العملاء أثناء الهجوم وبعده.

التحكم في وصول الموظفين: الحفاظ على ضوابط قوية على وصول المستخدمين المصرح لهم إلى الأنظمة الداخلية. الحد من وصول كل موظف إلى الحد الأدنى المطلق الذي يحتاجه للقيام بعمله. بالنسبة للموظفين الذين يحتاجون إلى الوصول إلى الأنظمة الداخلية، تأكد من استخدام كلمات مرور قوية ومصادقة متعددة العوامل. بالإضافة إلى ذلك، قم بمراجعة حسابات المستخدمين بانتظام وأغلق الحسابات القديمة التي لم تعد مستخدمة - كلما كان الحساب أقدم، زادت فرص أن يكون لديه كلمة مرور سهلة التخمين وغير مؤمّنة بواسطة المصادقة متعددة العوامل.

بروتوكولات الأمان المحسّنة: تحديث أنظمة البرمجيات وتصحيحها بانتظام لسد الثغرات المعروفة ومنع استغلالها. 

النسخ الاحتياطي المنتظم للبيانات: قم بعمل نسخ احتياطية منتظمة للبيانات والأنظمة الهامة وخزن النسخ الاحتياطية بشكل آمن خارج الموقع حتى تتمكن من التعافي في حالة وقوع هجوم. يجب أن تتضمن خطة استجابتك للحوادث عملية استرجاع النسخ الاحتياطية بسرعة لتجنب ترك عملائك "في حالة تعطل" لفترة طويلة.

تقييد استخدام بروتوكول مايكروسوفت لسطح المكتب البعيد (RDP): وفقًا لشركة سوفوس Sophos، وهي شركة أمن إلكتروني بريطانية، في 77% من الهجمات التي تتبعتها في 2023 هجمة تم استخدام بروتوكول مايكروسوفت لسطح المكتب البعيد (RDP) للاستفادة من بيانات الاعتماد المخترقة للوصول الداخلي أو الحركة الجانبية داخل النظام. تعتقد Sophos أن بروتوكول RDP لا يزال "أحد أكثر الأدوات التي يُساء استخدامها على نطاق واسع" لأنه يأتي مثبتًا مسبقًا على معظم أنظمة تشغيل Windows® OS، وقبل نظام التشغيل Windows 11، لم يكن مهيئًا مع حماية القوة الغاشمة.

وللحد من المخاطر، تنصح Sophos المؤسسات التي تستخدم RDP (والتي تشمل بائعي البرامج المستقلين الذين يستخدمون نظام التشغيل Windows ISVs لتوصيل التطبيقات إلى العملاء) بالحد من استخدامه بشدة. كيف؟ أولاً، تأكد من أن العملاء الذين يستخدمون Windows 11 لم يقوموا بتعطيل سياسة قفل الحساب؛ ثانياً، تأكد من أن العملاء الذين يستخدمون Windows 10 و8.1 قاموا بتمكين سياسة قفل الحساب على أجهزتهم. أو يمكنك أن تطلب من عملائك تعطيل RDP بين جلسات سطح المكتب البعيد.

أو... التوقف عن استخدام RDP و RDS.

إذا كنت تستخدم RDS و RDP لتوصيل تطبيق Windows الخاص بك إلى العملاء، وتريد التخلص من المخاطر العالية المرتبطة باستخدام RDP دون الحاجة إلى إملاء إعدادات Windows على أجهزة Windows الخاصة بعملائك، فتوقف عن استخدام RDS و RDP.

التوقف عن استخدام RDS و RDP؟ كيف؟

هناك حل واحد لتوصيل تطبيقات Windows إلى العملاء الموجودين في أي مكان يلغي الحاجة إلى استخدام RDS و RDP.

توفر GO-Global® بدائل كاملة لوظائف Microsoft متعددة الجلسات وخدمات سطح المكتب البعيد وبروتوكول سطح المكتب البعيد. تستبدل GO-Global RDP ببروتوكول RapidX (RXP) ، وهو بروتوكول خاص بالنطاق الترددي المنخفض. نظرا لأن RXP مغلق المصدر ، فإنه يوفر دفاعا إضافيا ضد المهاجمين ، مقارنة ببروتوكول RDP مفتوح المصدر.

لمزيد من الأمان، يشتمل GO-Global على المصادقة الثنائية (2FA)، مما يجعل عمليات البحث عن كلمات المرور الغاشمة والقاموس غير مجدية. ويوفر GO-Global + SSO دعم OpenID Connect، والذي يسمح للمؤسسات باستخدام موفري الهوية الحديثين لتمكين تسجيل الدخول الأحادي إلى مضيفي GO-Global Windows.

لطلب عرض تجريبي من GO-Global، انقر هنا؛ للحصول على نسخة تجريبية مجانية من GO-Global لمدة 30 يومًا، انقر هنا.