شرکت CrowdStrike که یکی از بزرگترین ارائهدهندگان راهکارهای پیشرفته امنیت سایبری در جهان است، اعلام کرد که یکی از کارکنان خود را به دلیل افشای اطلاعات داخلی و همکاری با یک گروه هکری اخراج کرده است. این اتفاق بار دیگر توجه جهانیان را به مسئله خطرناک و رو به رشد تهدیدات داخلی (Insider Threat) جلب کرده است.
بر اساس گزارش CyberSecurityNews، این کارمند بهطور عمدی اسکرینشاتهایی از داشبوردهای داخلی CrowdStrike را برای گروه هکری موسوم به Scattered Lapsus$ Hunters ارسال کرده بود. این گروه هکری ترکیبی از چند مجموعه شناختهشده از جمله Scattered Spider، ShinyHunters و LAPSUS$ است؛ گروههایی که در سالهای اخیر بارها به سازمانهای حساس حمله کردهاند.
جزییات مهم رسوایی امنیتی CrowdStrike
CrowdStrike پس از بررسیهای دقیق اعلام کرد که هکرها هیچگونه نفوذ فنی به سیستمها نداشتهاند و این حادثه یک رخنه داخلی بوده است. یعنی شخص داخل سازمان اطلاعاتی را به شکل دستی (عکسبرداری از صفحهنمایش) در اختیار مهاجمان قرار داده است.
طبق گزارشها، مهاجمان به این کارمند پیشنهاد مبلغی حدود ۲۵,۰۰۰ دلار داده بودند تا دسترسیهای بیشتری از محیط داخلی CrowdStrike و داشبوردهای مرتبط با مشتریان را در اختیار آنها قرار دهد.
سخنگویCrowdStrike اعلام کرد:
«این حادثه هرگز به یک رخنه فنی تبدیل نشد. سیستمها ایمن باقی ماندند و مشتریان در تمام مدت محافظت شدند.»
CrowdStrike همچنین تأیید کرد که دسترسیهای فرد متخلف بلافاصله پس از شناسایی رفتار مشکوک غیرفعال شده و وی از شرکت اخراج شده است. علاوه بر این، موضوع جهت اقدام قانونی به مراجع رسمی گزارش شده است.
چرا این حادثه مهم است؟
این رخداد یکی از نمونههای کلاسیک تهدیدات داخلی است؛ تهدیداتی که حتی مجهزترین سازمانهای امنیتی نیز از آنها مصون نیستند.
سه نکته مهم در این حادثه وجود دارد:
۱. تهدیدات داخلی خطرناکتر از نفوذ خارجی هستند
چون فرد داخل سازمان معمولاً به سیستمها، داشبوردها و اطلاعات حساس دسترسی دارد.
۲. انگیزه مالی بزرگترین عامل همکاری کارکنان با هکرهاست
پیشنهاد مبالغی مانند ۲۵ هزار دلار برای کارمندان ناراضی یا کمدرآمد بسیار وسوسهکننده است و این مسئله باید در سیاستهای امنیتی سازمانها لحاظ شود.
۳. گروههای هکری سطح بالا بهدنبال خرید دسترسی هستند
هکرهای مدرن همیشه نیاز به “هک کردن” سیستم ندارند؛ گاهی تنها کافی است یک کارمند پیدا کنند که حاضر به همکاری باشد.
اقدامات CrowdStrike بعد از کشف حادثه
CrowdStrike پس از این حادثه چند اقدام کلیدی انجام داد:
-
مسدودسازی فوری دسترسیهای کارمند متخلف
-
ریلتایم بررسی لاگها و فعالیتهای داخلی
-
تحلیل کامل دامنه اطلاعات فاششده
-
گزارش رسمی به نهادهای قضایی
-
بازنگری سیاستهای مدیریت کارکنان و امنیت داخلی
-
تقویت برنامه نظارت بر فعالیتهای داخلی و تشخیص رفتارهای پرخطر
این رویکرد نشاندهنده بلوغ CrowdStrike در مدیریت بحرانهای امنیتی و جلوگیری از آسیب احتمالی به مشتریان است.
تاثیر حادثه بر صنعت امنیت سایبری
این حادثه بار دیگر ثابت کرد که:
-
امنیت سایبری فقط با ابزارهای پیشرفته حل نمیشود
-
رفتار انسان همچنان بزرگترین نقطه ضعف امنیتی است
-
شرکتها باید علاوه بر فایروال و SOC، روی مدیریت ریسک داخلی نیز سرمایهگذاری کنند
تهدیدات داخلی در حال رشد هستند، زیرا مهاجمان دریافتهاند که “خریدن یک کارمند” ارزانتر و سریعتر از هک کردن یک زیرساخت عظیم امنیتی است.
سوال متداول (FAQ)
1. آیا این حادثه یک حمله سایبری واقعی بود؟
CrowdStrike اعلام کرد که حادثه یک نفوذ فنی نبود و تنها از طریق اسکرینشاتهایی که فرد داخلی ارسال کرده بود، رخ داده است.
2. گروه هکری Scattered Lapsus$ Hunters چه نوع گروهی است؟
این گروه ترکیبی از چند مجموعه خطرناک مانند LAPSUS$، ShinyHunters و Scattered Spider است که سابقه حمله به سازمانهای بزرگ جهانی را دارند.
3. چرا کارمند CrowdStrike این اطلاعات را فاش کرد؟
گزارشها نشان میدهد که هکرها به او مبلغ ۲۵ هزار دلار پیشنهاد داده بودند تا اطلاعات داخلی را در اختیار آنها قرار دهد.
4. آیا این حادثه به مشتریان CrowdStrike آسیب رساند؟
خیر. CrowdStrike تأکید کرده که سیستمها آسیب ندیدهاند و مشتریان تحت تأثیر قرار نگرفتهاند.
5. CrowdStrike چه اقداماتی بعد از حادثه انجام داد؟
انجام تحقیقات کامل، اخراج کارمند، قطع دسترسی، اطلاع به مقامات و تقویت سیاستهای امنیت داخلی.
6. شرکتها چگونه میتوانند از این نوع حملات جلوگیری کنند؟
-
پیادهسازی برنامه مدیریت Insider Risk
-
نظارت مداوم بر فعالیتهای مشکوک
-
محدودسازی دسترسی بر اساس نیاز واقعی
-
آموزش جدی درباره مهندسی اجتماعی و خرید نفوذ
-
استفاده از ابزارهای هوشمند رفتارشناسی
دیدگاه ها بسته هستند