بازیابی فعال حملات باجافزاری: پنج مرحله برای موفقیت
باجافزارها از جمله چالشها و مخاطرات امنیتی هستند که همواره سازمانها و کلیه کسبوکارهای کوچک و بزرگ را مورد هدف قرار میدهند. در حال حاضر مجرمان سایبری با استفاده از روشها و ابزارهای حمله پیچیده و پیشرفته به شرکتها و حتی سیستمهای کاربران ساده نفوذ کرده و آنها را ملزم به پرداخت باج مینمایند.
البته کسبوکارها میتوانند با اجرای رویکردی صحیح و کارآمد پیامدهای ناشی از حملات باجافزاری و آسیبهای ایجاد شده توسط آنها را کاهش دهند. برای مثال بکارگیری یک استراتژی بازیابی فعال که به صورت پیوسته بر روی سیستمها نظارت دارد و به محض وقوع حمله واکنشهای لازم را اجرا میکند از جمله راهکارهای مقابله با حملات باجافزاری و مخاطرات امنیتی است.
وضعیت فعلی باجافزارها
بنا بر آمار و نتایج تحقیقات صورت گرفته حملات باجافزاری در بین ژوئن 2020 و جولای 2021 رشد 1070 درصدی داشته و تنوع آنها نیز به شدت رو به افزایش است. باجافزارهای جدید میتوانند بیش از 150 نوع فایل را مورد هدف و حمله قرار دهند. از طرفی مجرمان سایبری نیز در حال تلاش برای بهرهبرداری بیشتر از شرایط کنونی و انجام اقدامات سریع جهت نفوذ به سیستمها، دسترسی به اطلاعات حساس و دادههای محرمانه و قفل کردن آنها هستند.
برای مثال در اوایل سال 2021 میلادی شاهد افزایش حملات باجافزاری مرتبط با واکسیناسیون کووید 19 و سوءاستفاده از ترس افراد و کاربران عادی بودیم. همچنین حمله اخیر صورت گرفته بر علیه شرکت خط لوله Colonial منجر به از کار افتادگی گسترده عملیات این شرکت شد.
در چنین شرایطی ممکن است کاربران عادی احساس ناامنی نموده و تسلیم شوند ولی بسیاری از سازمانها همواره در حال تلاش برای انجام عملیات واکنشی در برابر تهدیدات و مخاطرات امنیتی و کاهش شدت پیامدهای ناشی از آنها هستند.
اقدام مناسب با روش بازیابی فعال
حملات باجافزاری مشابه ورود غیرمجاز به منازل هستند. اگر مهاجمان انگیزه کافی جهت سرقت داشته باشند در نهایت راهی برای ورود پیدا خواهند کرد ولی صاحبخانهها تحت هیچ شرایطی نباید تسلیم شوند. آنها باید با انجام اقداماتی مثل نصب دوربینهای مداربسته و سیستمهای هشدار و همچنین اطلاعرسانی به پلیس در صورت هرگونه ورود غیرمجازی تأثیر چنین نفوذهایی را کاهش داده و به مرور زمان مانع از انجام آنها شوند.
سازمانها نیز میتوانند با طراحی و اجرای برنامهها و راهکارهای حفاظتی و نظارت پیوسته بر روی سیستمها از وقوع بسیاری از حملات باجافزاری جلوگیری نمایند.
در ادامه پنج اقدام مهم برای بازیابی شرایط پس از وقوع حملات باجافزاری به حالت اولیه را مورد بررسی قرار میدهیم.
اجرای رویکرد اعتماد صفر
در مدل اعتماد صفر از نگرش «اعتماد نکنید، اعتبارسنجی کنید» برای کاهش مخاطرات ناشی از حملات باجافزاری استفاده میشود. در این رویکرد همه کاربران، کارمندان و مشتریان یک سازمان ملزم به استفاده از احراز هویت چند مرحلهای بوده و الگوهای رفتاری آنها باید توسط تیمهای امنیتی شناسایی و تحلیل شود. از آنجا که نصب پیلودهای باجافزاری مستلزم دسترسی به سیستم است، افزایش تعداد مراحل احراز هویت منجر به کاهش امکان نفوذهای غیرمجاز و در نتیجه وقوع حملات باجافزاری میشود.
پیادهسازی طرح پشتیبانگیری قوی
تهیه نسخههای پشتیبان از جمله راهکارهای کاربردی برای دسترسی به دادهها پس از حذف و تخریب آنها یا بروز نقص فنی در سرویسها است. امروزه راهکارهای پشتیبانگیری مبتنی بر فناوری ابر بسیار سریع و ایمن بوده و نقش مهمی در بازیابی شرایط به حالت عادی پس از وقوع حملات باجافزاری دارند. تهیه نسخههای پشتیبان امنی که در مکانهای جغرافیایی مختلف توزیع شدهاند نیز ضروری است. به این ترتیب سازمانها حتی در صورت عدم دسترسی به نسخه اصلی دادهها، همچنان میتوانند از نسخههای پشتیبان استفاده کنند.
توجه به گرایشات نوظهور در حملات باجافزاری
مهاجمان سایبری همواره در حال تلاش برای طراحی روشهای حمله و همچنین دور زدن سازوکارهای حفاظتی امروزی هستند. برای مثال باجافزار Yanluowang علاوه بر دریافت باج برای رمزگشایی اطلاعات قفل شده سازمانها، آنها را تهدید به افشای این اطلاعات نموده و به این بهانه از شرکتها اخاذی میکند. به زودی چنین باجافزارهایی که از ترکیب ابزارهای سالم و متن باز استفاده میکنند تبدیل به یکی از دغدغههای مهم سازمانها میشوند.
از طرفی استفاده سازمانها از ابزارهای امنیتی معمولاً ایستا و ثابت بوده و همچنین از سیستمهای سنتی که دارای تعاملپذیری محدود هستند برای مقابله با حملات پویای گسترده و پشرفته استفاده میکنند. اگر سازمانها خواهان مصونیت از مخاطرات و تهدیدات سایبری هستند باید از راهکارهای امنیتی کارآمد مثل لبه سرویس دسترسی امن یا همان SASE (مخففSecure Access Service Edge) که مبتنی بر ابر بوده و قابلیت ایجاد امنیت در محیطهای عظیم را دارند استفاده کنند.
ایجاد فریمورک واکنش به حادثه ([1]IR)
اگرچه در صورت وقوع حملات باجافزاری، فریمورکها و طرحهای واکنش به حادثه تأثیر بسزایی در کاهش زمان تشخیص حادثه، مشخص کردن محل بروز مشکل، رفع تهدیدات و در نتیجه افزایش سرعت دارند ولی حدود 60 درصد از مدیران اجرایی و همچنین 70 درصد از کسبوکارهای کوچک در یک نظرسنجی اعلام کردهاند که هیچ برنامه از پیش تعیین شدهای برای واکنش به حادثه ندارند.
سازمانها باید تیمهای IR را که متشکل از کارمندان فناوری اطلاعات هستند ایجاد نموده و یکسری وظایف مشخص را در صورت وقوع حمله بر عهده آنها بگذارند. یک تیم پشتیبان نیز باید تمرینهای منظمی را با هدف افزایش دقت و سرعت واکنش و همچنین بهبود روند انجام کارها و ایجاد آمادگی لازم در کارمندان، در اختیار آنها قرار دهد. این آمادگی تأثیر چشمگیری در ترس و وحشتی که معمولاً در هنگام وقوع حملات باجافزاری شکل میگیرد، دارد. براساس آمار و نتایج موجود به صورت میانگین کسبوکارهایی که دارای طرحهای واکنش به حادثه هستند حدود 3 میلیون دلار صرف مقابله با پیامدهای رخنه میکنند در حالی که این رقم برای سایر شرکتها حدود 5 میلیون دلار است.
اولویت دادن به افراد
افراد از جمله کارمندان، سهامداران و مشتریان در معرض مستقیم آسیبهای ناشی از حملات باجافزاری قرار دارند. در نتیجه دسترسپذیری دادهها و قابلیت اطمینان سرویسها در طی اجرای حمله باید از جمله اولویتهای اصلی در طرحهای بازیابی فعال باشد.
انجام چنین کاری مستلزم استفاده از ابزارهای جدید است. این ابزارها میتوانند فایروالهای نسل جدید یا سیستمهای تشخیص تهدید مبتنی بر روش هوش مصنوعی باشند. فایروالهای امروزی قابلیت ارزیابی و تحلیل تهدیدات به صورت بلادرنگ را داشته و همزمان میتوانند دسترسی کاربران مورد اعتماد به دادههای حیاتی را حفظ کنند. طرح بازیابی فعال معادل سرپا نگه داشتن سیستمها و حفظ دسترسیها در هنگام وقوع حملات سایبری است. میتوانید این کار را با تقسیمبندی منطقی شبکه در ترکیب با کنترلهای نظارتی و امنیت بلادرنگ انجام دهید.
پیادهسازی طرح بازیابی از حمله فعال
هدف نهایی مهاجمان باجافزاری معمولاً دریافت باج از قربانیان است. سازمانها باید از یک استراتژی بازیابی فعال برای خنثیسازی اهداف مهاجمان و کاهش پیامدهای ناشی از وقوع حملات باجافزاری استفاده کنند. چنین استراتژی معمولاً باید شامل رویکرد اعتماد صفر، طرح پشتیبانگیری قوی، توجه به گرایشات روز، ایجاد فریمورکهای واکنش به حادثه و اولویت به افراد است. به این ترتیب سازمانها میتوانند زمان از کار افتادگی را به حداقل رسانده و آسیبها را تا جایی که ممکن است کاهش دهند.
[1] incident response
منبع: securityintelligence
