منع ATO باستخدام Zero Trust على حافة الشبكة

المرحلة 1 من الجدول الزمني لهجوم ATO - الخلايا النائمة

تتمثل المرحلة الأولى من محاولة الاستحواذ المعقدة على الحساب (ATO) في إنشاء حسابات تبدو وكأنها حسابات مستخدم شرعية تمامًا. عادةً ما يتم إنشاء هذه الحسابات المزيفة بواسطة الروبوتات، ولكن يمكن أيضًا إنشاؤها بواسطة البشر إذا كان هدف الهجوم لديه 2FA أو طريقة مصادقة قوية أخرى.

لتجنب الاكتشاف، يتم إنشاء الحساب على مدى أسابيع أو أيام، اعتمادًا على حجم الموقع وعدد الحسابات المزيفة المطلوبة. هذه الحسابات تشبه الخلايا النائمة - فهي تتجنب اكتشاف الاحتيال، وتستلقي ببساطة بعيدًا عن الأنظار، ولا تفعل شيئًا حتى يتم تفعيلها. إذا كانت هذه الحسابات من صنع الإنسان، فسيكون من الصعب جدًا، إن لم يكن من المستحيل تتبعها.

هناك بعض العلامات التحذيرية لإنشاء الحساب. اعتمادًا على الموقع، قد تلاحظ ارتفاعًا في التسجيلات. غالبًا ما تحتوي رسائل البريد الإلكتروني المزيفة على أرقام حيث يسهل أتمتة التسلسل. كما أن هذه الحسابات الخاملة عادةً لا يكون لها أي نشاط على الإطلاق. خلاف ذلك، من الصعب جدًا اكتشافه. سيتم بعد ذلك وضع الحسابات هناك فقط، دون القيام بأي شيء حتى المرحلة الثانية.

تراقب VerifiedVisitors على وجه التحديد مسارات تسجيل الدخول بعناية فائقة. إذا كان إنشاء الحساب باستخدام برامج الروبوت، فيمكن متابعة هذا النشاط وإيقافه مباشرة على حافة الشبكة. هذا يجبر المهاجم المحتمل على إنشاء حسابات يدويًا - بالتأكيد ممكنة، ولكنها عملية شاقة. من المحتمل أن يتم اختيار هدف أسهل، بدلاً من المتابعة يدويًا.

المرحلة 2 من الجدول الزمني لهجوم ATO - الإحماء

المرحلة 2 هي مرحلة الإحماء، عندما يتم الآن تسخين الحسابات النائمة. يضمن تسجيل الدخول الآلي باستخدام بيانات الاعتماد الحقيقية تسجيل دخول صالح ويضمن إمكانية الوصول إلى كل حساب بشكل برمجي. يساعد الإحماء على اختبار الدفاعات من الهجوم. بمجرد التشغيل الآلي، ستقوم الحسابات بتسجيل الدخول في نفس النافذة الزمنية المقيدة. نظرًا لأنهم يختلطون بالحسابات الشرعية ولا يتخذون أي إجراء آخر، فعادةً ما يكون هذا بعيدًا عن الأنظار للكشف.

يحدث هذا عندما يكون من الممكن اكتشاف هذه الحسابات إذا تم إنشاؤها يدويًا. سيحصل VerifiedVisitors على الوصول الآلي لهذه الحسابات. حتى الآن لم يحدث أي ضرر. كل شيء يبدو طبيعيًا. يبدو أنه لم يتم تهديد أي حسابات أو معاملات ولم يبلغ أي مستخدم عن أي خرق. سيقوم VerifiedVisitors بحظر هذه الحسابات وسيفشل الهجوم. إذا لم يكن لديك دفاع قوي، فستنتقل الروبوتات إلى مرحلة التنشيط الفعلية. لماذا يعد الوصول البرمجي إلى بعض الحسابات العشوائية مهمًا؟ ما الذي يحدث حقًا?

المرحلة 3 من الجدول الزمني لهجوم ATO - تمويه الهجوم

المرحلة 3 هو عندما يتم تنشيط الحسابات المزيفة. هناك سببان رئيسيان للتفعيل. الأول هو إخفاء الهجمات الحقيقية التي تحدث في نفس الوقت. تعمل الحسابات المزيفة كتحويل. على سبيل المثال، في هجوم القوة الغاشمة، يمكنك رؤية علامات واضحة على معدل فشل مرتفع جدًا لعمليات تسجيل الدخول. اندمج مع المستخدمين الشرعيين وسيكون من الصعب جدًا اكتشافه. يؤدي مزج عمليات تسجيل الدخول بالقوة الغاشمة إلى تقليل معدل فشل تسجيل الدخول، ولكنه سيظل يُظهر حالات فشل تسجيل دخول أعلى، والتي قد تكون قابلة للاكتشاف. ستقوم نفس الخلايا النائمة بتسجيل الدخول بالضبط في نفس الوقت الذي يحدث فيه الهجوم. ربما استخدم المهاجم هجوم التصيد الاحتيالي مع قائمة ببيانات اعتماد تسجيل الدخول الفعلية، وسيستخدم الحسابات المزيفة لإخفاء هذا الهجوم. ربما تم اكتشاف هجوم التصيد الاحتيالي لبعض المستخدمين. مزج هذا الهجوم يجعل إيقافه أكثر صعوبة.

المرحلة 4 من الجدول الزمني لهجوم ATO - الهجوم الكامل

يمكن الآن تنشيط Sleeper Cells للهجوم الكامل عند الطلب. لماذا؟ ومن الأمثلة الرائعة على ذلك روبوتات التذاكر، والتي تتم برمجتها بعد ذلك لشراء سلع ذات قيمة إعادة بيع عالية، وروبوتات الأحذية الرياضية، وروبوتات المراهنات الرياضية الحية التي تعتمد على الفجوة بين الحدث المباشر والتغطية التلفزيونية التي عادة ما تكون بعد بضع ثوانٍ، للمراهنة.

بمجرد إنشاء الحسابات وتسخينها والاختباء في آلاف الحسابات الشرعية، يصعب جدًا إيقاف هذه الروبوتات. بعد كل شيء، قاموا أيضًا بإجراء المعاملات والدفع بالكامل مقابل الخدمات.

إن الحفاظ على عدم التسامح على حافة الشبكة يمنع الروبوتات من شن هذه الهجمات في المقام الأول.

صورة بواسطة لا توجد مراجعات في أونسبلاش

‍