بازیابی فعال حملات باج‌افزاری: پنج مرحله برای موفقیت

باج‌افزارها از جمله چالش‌ها و مخاطرات امنیتی هستند که همواره سازمان‌ها و کلیه کسب‌وکارهای کوچک و بزرگ را مورد هدف قرار می‌دهند. در حال حاضر مجرمان سایبری با استفاده از روش‌ها و ابزارهای حمله پیچیده و پیشرفته به شرکت‌ها و حتی سیستم‌های کاربران ساده نفوذ کرده و آنها را ملزم به پرداخت باج می‌نمایند.

البته کسب‌وکارها می‌توانند با اجرای رویکردی صحیح و کارآمد پیامدهای ناشی از حملات باج‌افزاری و آسیب‌های ایجاد شده توسط آنها را کاهش دهند. برای مثال بکارگیری یک استراتژی بازیابی فعال که به صورت پیوسته بر روی سیستم‌ها نظارت دارد و به محض وقوع حمله واکنش‌های لازم را اجرا می‌کند از جمله راهکارهای مقابله با حملات باج‌افزاری و مخاطرات امنیتی است.

وضعیت فعلی باج‌افزارها

بنا بر آمار و نتایج تحقیقات صورت گرفته حملات باج‌افزاری در بین ژوئن ۲۰۲۰ و جولای ۲۰۲۱ رشد ۱۰۷۰ درصدی داشته‌ و تنوع آنها نیز به شدت رو به افزایش است. باج‌افزارهای جدید می‌توانند بیش از ۱۵۰ نوع فایل را مورد هدف و حمله قرار دهند. از طرفی مجرمان سایبری نیز در حال تلاش برای بهره‌برداری بیشتر از شرایط کنونی و انجام اقدامات سریع جهت نفوذ به سیستم‌ها، دسترسی به اطلاعات حساس و داده‌های محرمانه و قفل کردن آنها هستند.

برای مثال در اوایل سال ۲۰۲۱ میلادی شاهد افزایش حملات باج‌افزاری مرتبط با واکسیناسیون کووید ۱۹ و سوءاستفاده از ترس افراد و کاربران عادی بودیم. همچنین حمله اخیر صورت گرفته بر علیه شرکت خط لوله Colonial منجر به از کار افتادگی گسترده عملیات این شرکت شد.

در چنین شرایطی ممکن است کاربران عادی احساس ناامنی نموده و تسلیم شوند ولی بسیاری از سازمان‌ها همواره در حال تلاش برای انجام عملیات واکنشی در برابر تهدیدات و مخاطرات امنیتی و کاهش شدت پیامدهای ناشی از آنها هستند.

حملات سایبری

اقدام مناسب با روش بازیابی فعال

حملات باج‌افزاری مشابه ورود غیرمجاز به منازل هستند. اگر مهاجمان انگیزه کافی جهت سرقت داشته باشند در نهایت راهی برای ورود پیدا خواهند کرد ولی صاحب‌خانه‌ها تحت هیچ شرایطی نباید تسلیم شوند. آنها باید با انجام اقداماتی مثل نصب دوربین‌های مداربسته و سیستم‌های هشدار و همچنین اطلاع‌رسانی به پلیس در صورت هرگونه ورود غیرمجازی تأثیر چنین نفوذهایی را کاهش داده و به مرور زمان مانع از انجام آنها شوند.

سازمان‌ها نیز می‌توانند با طراحی و اجرای برنامه‌ها و راهکارهای حفاظتی و نظارت پیوسته بر روی سیستم‌ها از وقوع بسیاری از حملات باج‌افزاری جلوگیری نمایند.

در ادامه پنج اقدام مهم برای بازیابی شرایط پس از وقوع حملات باج‌افزاری به حالت اولیه را مورد بررسی قرار می‌دهیم.

اجرای رویکرد اعتماد صفر

در مدل اعتماد صفر از نگرش «اعتماد نکنید، اعتبارسنجی کنید» برای کاهش مخاطرات ناشی از حملات باج‌افزاری استفاده می‌شود. در این رویکرد همه کاربران، کارمندان و مشتریان یک سازمان ملزم به استفاده از احراز هویت چند مرحله‌ای بوده و الگوهای رفتاری آنها باید توسط تیم‌های امنیتی شناسایی و تحلیل شود. از آنجا که نصب پی‌لودهای باج‌افزاری مستلزم دسترسی به سیستم است، افزایش تعداد مراحل احراز هویت منجر به کاهش امکان نفوذهای غیرمجاز و در نتیجه وقوع حملات باج‌افزاری می‌شود.

Zero Trust Security

پیاده‌سازی طرح پشتیبان‌گیری قوی

تهیه نسخه‌های پشتیبان از جمله راهکارهای کاربردی برای دسترسی به داده‌ها پس از حذف و تخریب آنها یا بروز نقص فنی در سرویس‌ها است. امروزه راهکارهای پشتیبان‌گیری مبتنی بر فناوری ابر بسیار سریع و ایمن بوده و نقش مهمی در بازیابی شرایط به حالت عادی پس از وقوع حملات باج‌افزاری دارند. تهیه نسخه‌های پشتیبان امنی که در مکان‌های جغرافیایی مختلف توزیع شده‌اند نیز ضروری است. به این ترتیب سازمان‌ها حتی در صورت عدم دسترسی به نسخه اصلی داده‌ها، همچنان می‌توانند از نسخه‌های پشتیبان استفاده کنند.

توجه به گرایشات نوظهور در حملات باج‌افزاری

مهاجمان سایبری همواره در حال تلاش برای طراحی روش‌های حمله و همچنین دور زدن سازوکارهای حفاظتی امروزی هستند. برای مثال باج‌افزار Yanluowang علاوه بر دریافت باج برای رمزگشایی اطلاعات قفل شده سازمان‌ها، آنها را تهدید به افشای این اطلاعات نموده و به این بهانه از شرکت‌ها اخاذی می‌کند. به زودی چنین باج‌افزارهایی که از ترکیب ابزارهای سالم و متن باز استفاده می‌کنند تبدیل به یکی از دغدغه‌های مهم سازمان‌ها می‌شوند.

از طرفی استفاده سازمان‌ها از ابزارهای امنیتی معمولاً ایستا و ثابت بوده و همچنین از سیستم‌های سنتی که دارای تعامل‌پذیری محدود هستند برای مقابله با حملات پویای گسترده و پشرفته استفاده می‌کنند. اگر سازمان‌ها خواهان مصونیت از مخاطرات و تهدیدات سایبری هستند باید از راهکارهای امنیتی کارآمد مثل لبه سرویس دسترسی امن یا همان SASE (مخففSecure Access Service Edge) که مبتنی بر ابر بوده و قابلیت ایجاد امنیت در محیط‌های عظیم را دارند استفاده کنند.

ایجاد فریم‌ورک واکنش به حادثه ([۱]IR)

اگرچه در صورت وقوع حملات باج‌افزاری، فریم‌ورک‌ها و طرح‌های واکنش به حادثه تأثیر بسزایی در کاهش زمان تشخیص حادثه، مشخص کردن محل بروز مشکل، رفع تهدیدات و در نتیجه افزایش سرعت دارند ولی حدود ۶۰ درصد از مدیران اجرایی و همچنین ۷۰ درصد از کسب‌وکارهای کوچک در یک نظرسنجی اعلام کرده‌اند که هیچ برنامه از پیش تعیین شده‌ای برای واکنش به حادثه ندارند.

سازمان‌ها باید تیم‌های IR را که متشکل از کارمندان فناوری اطلاعات هستند ایجاد نموده و یکسری وظایف مشخص را در صورت وقوع حمله بر عهده آنها بگذارند. یک تیم پشتیبان نیز باید تمرین‌های منظمی را با هدف افزایش دقت و سرعت واکنش و همچنین بهبود روند انجام کارها و ایجاد آمادگی لازم در کارمندان، در اختیار آنها قرار دهد. این آمادگی تأثیر چشمگیری در ترس و وحشتی که معمولاً در هنگام وقوع حملات باج‌افزاری شکل می‌گیرد، دارد. براساس آمار و نتایج موجود به صورت میانگین کسب‌وکارهایی که دارای طرح‌های واکنش به حادثه هستند حدود ۳ میلیون دلار صرف مقابله با پیامدهای رخنه می‌کنند در حالی که این رقم برای سایر شرکت‌ها حدود ۵ میلیون دلار است.

اولویت دادن به افراد

افراد از جمله کارمندان، سهامداران و مشتریان در معرض مستقیم آسیب‌های ناشی از حملات باج‌افزاری قرار دارند. در نتیجه دسترس‌پذیری داده‌ها و قابلیت اطمینان سرویس‌ها در طی اجرای حمله باید از جمله اولویت‌های اصلی در طرح‌های بازیابی فعال باشد.

انجام چنین کاری مستلزم استفاده از ابزارهای جدید است. این ابزارها می‌توانند فایروال‌های نسل جدید یا سیستم‌های تشخیص تهدید مبتنی بر روش هوش مصنوعی باشند. فایروال‌های امروزی قابلیت ارزیابی و تحلیل تهدیدات به صورت بلادرنگ را داشته و همزمان می‌توانند دسترسی کاربران مورد اعتماد به داده‌های حیاتی را حفظ کنند. طرح بازیابی فعال معادل سرپا نگه داشتن سیستم‌ها و حفظ دسترسی‌ها در هنگام وقوع حملات سایبری است. می‌توانید این کار را با تقسیم‌بندی منطقی شبکه در ترکیب با کنترل‌های نظارتی و امنیت بلادرنگ انجام دهید.

سیستم‌های تشخیص تهدید و فایروال‌ها

پیاده‌سازی طرح بازیابی از حمله فعال

هدف نهایی مهاجمان باج‌افزاری معمولاً دریافت باج از قربانیان است. سازمان‌ها باید از یک استراتژی بازیابی فعال برای خنثی‌سازی اهداف مهاجمان و کاهش پیامدهای ناشی از وقوع حملات باج‌افزاری استفاده کنند. چنین استراتژی معمولاً باید شامل رویکرد اعتماد صفر، طرح پشتیبان‌گیری قوی، توجه به گرایشات روز، ایجاد فریم‌ورک‌های واکنش به حادثه و اولویت به افراد است. به این ترتیب سازمان‌ها می‌توانند زمان از کار افتادگی را به حداقل رسانده و آسیب‌ها را تا جایی که ممکن است کاهش دهند.

 

[۱] incident response

 

منبع: securityintelligence

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0