Penyerang Tidak Memerlukan Kunci. Mereka Sudah Mempunyai Kunci Anda.

Kebanyakan pelanggaran tidak bermula dengan penggodam berhoodie memecahkan kod pada pukul 3 pagi. Ia bermula dengan nama pengguna dan kata laluan anda daripada pelanggaran yang berlaku tiga tahun lalu di laman web yang anda terlupa anda daftarkan.

Bayangkan seorang pencuri yang tidak membuka kunci sepenuhnya kerana kuncinya terletak betul-betul di bawah tikar. Itulah rupa kebanyakan serangan siber pada tahun 2026. Penyerang tidak menulis kod eksotik untuk memecah masuk ke sistem anda. Mereka log masuk dengan kelayakan yang telah digunakan oleh pekerja anda, selalunya kelayakan yang dicuri dari laman web yang sama sekali berbeza beberapa tahun yang lalu dan dijual dengan harga beberapa dolar dalam talian.

Ini penting untuk organisasi anda kerana serangan itu tidak membunyikan penggera seperti pencerobohan. Log masuk yang berjaya dengan nama pengguna dan kata laluan yang sah kelihatan seperti pekerja memulakan hari mereka. Tiada amaran perisian hasad yang diaktifkan. Tiada trafik yang mencurigakan ditandai. Penyerang bercampur, dan itulah yang menjadikannya begitu berkesan.

Mengapa Kata Laluan Curi Berfungsi Dengan Baik

Apabila penyerang mendapat nama pengguna dan kata laluan yang sah, perkara pertama yang dilihat oleh alat keselamatan anda ialah log masuk biasa. Tiada perisian hasad. Tiada muat turun fail yang pelik. Tiada tanda amaran. Penyerang kelihatan seperti pekerja.

Dari situ, penyerang mula meneroka. Mereka mencari akaun lain yang boleh mereka akses dengan kata laluan yang sama atau variasi hampir dengannya. Mereka cuba masuk ke dalam e-mel, storan awan, alat perakaunan atau apa sahaja yang digunakan oleh organisasi anda. Sebaik sahaja mereka menemui tempat berpijak dengan akses yang sedikit lebih banyak, mereka menggunakannya untuk pergi lebih jauh. Bagi kumpulan ransomware, keseluruhan rantaian ini dari log masuk pertama hingga perintah berkurung penuh mengambil masa berjam-jam. Bagi penyerang yang lebih senyap, ia mengambil masa berminggu-minggu dan anda selalunya tidak tahu bahawa mereka pernah berada di sana.

AI Menjadikannya Lebih Pantas dan Lebih Meyakinkan

Serangan asas tidak banyak berubah. Apa yang telah berubah ialah kelajuannya. Penyerang kini menggunakan alatan AI untuk menguji kelayakan yang dicuri merentasi berpuluh-puluh perkhidmatan sekaligus, menulis e-mel pancingan data yang berbunyi seperti ia datang daripada CEO anda dan menjana halaman log masuk palsu yang kelihatan sama dengan yang sebenar.

Dahulu, e-mel pancingan data mudah dikesan: tatabahasa yang salah, alamat penghantar yang pelik, nada yang mendesak. Mesej buatan AI hari ini lebih menarik dan lebih licik dalam penyampaiannya, tetapi masih mengandungi tanda-tanda bahawa ia palsu dan tidak boleh dipercayai. Ia lebih menarik hari ini setelah menggunakan persona dalam talian anda untuk mendraf pelbagai e-mel yang menarik minat anda terhadap diri sendiri, atau minat anda dalam hidup. Akibatnya, adalah sangat penting untuk pasukan anda membina tabiat siber yang baik supaya mereka mempercayai naluri mereka apabila sesuatu terasa janggal.

Berita baiknya ialah pertahanannya juga tidak banyak berubah. Pengesahan berbilang faktor, kata laluan unik yang disimpan dalam pengurus kata laluan dan mengetahui cara mengenali e-mel yang mencurigakan masih merupakan alat paling berkesan yang anda miliki. Ia berfungsi menentang serangan berbantukan AI sama seperti ia berfungsi menentang serangan lama yang kurang canggih. Ingat juga untuk memupuk budaya keselamatan siber di mana orang ramai digalakkan, jika tidak diberi ganjaran, kerana melaporkan potensi isu keselamatan tanpa tuduhan.

Bagaimana Rupa Respons yang Baik

Jika pelanggaran berlaku, cara pasukan anda bertindak balas adalah penting sama seperti alat yang anda miliki. Kebanyakan orang menjangkakan tindak balas insiden adalah lurus: cari masalah, bendungnya, bersihkannya, teruskan. Insiden sebenar hampir tidak pernah berlaku seperti itu. Apabila pekerja melaporkan sesuatu yang tidak kena tentang e-mel atau komputer mereka, masa untuk bertindak balas adalah faktor penting untuk membendung dan mengehadkan kerosakan cagaran.

Semasa pasukan anda menyiasat, mereka akan menemui maklumat baharu yang mengubah apa yang mereka sangka mereka tahu. Satu akaun yang diceroboh bertukar menjadi tiga. Imbasan perisian hasad mendedahkan pintu belakang yang dipasang dua minggu lalu. Skopnya semakin besar apabila anda melihat lebih dekat, dan proses tindak balas yang baik menjelaskannya. Pendekatan Dinamik terhadap Tindak Balas Insiden, atau DAIR, adalah satu rangka kerja yang menganggap perkara ini sebagai perkara biasa. Pasukan anda meneliti masalah, mengandungi apa yang mereka boleh, membersihkan apa yang mereka temui, dan kemudian mengulanginya untuk menyemak sama ada terdapat lebih banyak lagi. Setiap hantaran mengajar anda sesuatu yang baharu.

Komunikasi: Bahagian yang Diremehkan tetapi Penting dalam mana-mana Pelan Respons

Komunikasi adalah apa yang membezakan insiden yang terkawal daripada insiden yang huru-hara. Apabila ketua IT, pengurus pejabat dan pasukan kepimpinan anda mempunyai maklumat yang berbeza, keputusan akan dibuat dan tindakan akan diambil berdasarkan maklumat yang salah atau hilang.

Mulakan dengan mendokumentasikan Pelan Tindak Balas Insiden anda. Di CyberHoot, vCISO kami menggelarnya Pelan Pengurusan Insiden Siber (atau CIMP). Dalam pelan ini, kami menuliskan siapa yang bertanggungjawab untuk apa, siapa yang mereka maklumkan dan bagaimana mereka berkomunikasi semasa insiden aktif. Senarai kenalan yang pendek dan saluran kemas kini yang dikongsi dapat menghilangkan tekaan apabila keadaan menjadi tertekan.

Setelah pelan ditulis, praktikkannya. Latihan tahunan di atas meja akan membimbing pasukan anda melalui senario olok-olok yang realistik, langkah demi langkah, tanpa sebarang kerosakan sebenar. Pasukan anda membincangkan apa yang akan mereka lakukan, siapa yang akan mereka hubungi, dan apa yang akan mereka katakan. Nombor telefon penting tersebut disahkan dan dikemas kini. Amalan seperti itu membina ketepatan dan keyakinan sebenar dalam pasukan Tindak Balas Insiden anda.

Selepas setiap latihan atas meja, adalah sama pentingnya untuk menyemak semula apa yang berjaya, mengemas kini pelan dan menetapkan sebarang tindakan susulan. Pelan Tindak Balas Insiden yang tidak pernah diuji hanyalah dokumen. Pelan yang telah diamalkan oleh pasukan anda adalah barisan pertahanan yang sebenar.

Tiga Perkara Yang Perlu Dilakukan Minggu Ini

Melindungi organisasi anda daripada serangan berasaskan kelayakan memerlukan beberapa persediaan yang bijak. Pertama, aktifkan pengesahan berbilang faktor untuk e-mel, alatan awan dan sebarang akses jauh yang digunakan oleh pasukan anda. Audit juga dan pastikan tiada pengecualian. MFA menghentikan kebanyakan serangan kelayakan sebelum ia pergi ke mana-mana.

Seterusnya, gunakan pengurus kata laluan dan latih kakitangan anda untuk menggunakannya. Pengurus kata laluan membantu pengguna mencipta kata laluan unik untuk setiap akaun, meningkatkan kecekapan dan juga menyekat beberapa serangan pancingan data yang mencuri kelayakan apabila pengguna secara tidak sengaja mengklik pautan vendor palsu.

Akhir sekali, kongsikan kisah perang, kemungkinan besar dan contoh sebenar serangan anda dengan pasukan anda. Latih mereka tentang rupa e-mel yang mencurigakan, rupa permintaan log masuk palsu dan kepada siapa harus melaporkannya apabila sesuatu kelihatan tidak kena.

Tiga langkah ini menutup lebih banyak pintu berbanding kebanyakan alat keselamatan yang mahal. Anda tidak perlu menjadi sempurna. Anda perlu lebih sukar untuk dipecahkan berbanding organisasi seterusnya dalam senarai.

Setiap tabiat baik yang dibina oleh pasukan anda hari ini mengurangkan peluang untuk penyerang esok. Itu patut diraikan. Bersoraklah!

---

Sumber:

• Berita Penggodam: Tiada Eksploitasi Diperlukan: Bagaimana Penyerang Berjalan Melalui Pintu Hadapan melalui Serangan Berasaskan Identiti
• CyberEngage.com: Memikirkan Semula Tindak Balas Insiden: Daripada PICERL kepada DAIR

---

Lindungi perniagaan anda dengan CyberHoot Today!