مقابله با حملات سایبری برای تمامی شرکت ها و سازمان ها به ویژه سازمان های دولتی از اهمیت بسیار زیادی برخوردار است. آنها باید در صورت مواجه با حملات، علاوه بر حفظ زیرساختهای اصلی خود به تداوم سرویس های کلیدی شان ادامه دهند.
از سوی دیگر مهاجمان سایبری، فرصت طلب بوده و همواره به دنبال نقاط ضعف سیستم ها و سامانه ها هستند تا بتوانند مخاطراتی را برای کاربران و سازمان ها رقم بزنند. آنها معمولاً از یک مرجع اطلاعاتی که دربرگیرنده اکسپلویتها می باشد و امکان استفاده از آن بر ضد سازمان های مختلف وجود دارد، استفاده میکنند.
مهاجمان تلاش میکنند با اجرای حملات سایبری مختلف به اهداف بدخواهانه خویش رسیده، در سیستمها اختلال ایجاد کرده و از هر اطلاعاتی که به دست میآورند، نهایت سوءاستفاده را ببرند. یکی از مهمترین ابزارهای مورد استفاده آنها برای رسیدن به این اهداف باجافزارها هستند.
بر اساس تحلیلی که به تازگی صورت گرفته، در سال 2020 میلادی صنعت باجافزار به یک صنعت چند میلیارد دلاری تبدیل شده است. یکی از نقاط عطفی که عوامل اجرای باجافزار به آن دست یافته اند، ارایه «باجافزار به عنوان سرویس» است تا به این ترتیب بر تعداد مشتریان خود افزوده و با هدف قرار دادن سازمانها و شرکتهای بیشتر، درآمدشان را افزایش دهند.
مهاجمان برای دستیابی به اهداف خود از سه روش آسان استفاده میکنند. در این مطلب از فراست، به نحوه مقابله با این سه روش حمله بر ضد سیستمهای فناوری اطلاعات سازمانها میپردازیم.
1. امن سازی دسترسی از راه دور
مهمترین روش مورد استفاده مهاجمان، دسترسی به شبکه سازمانی از طریق سیستمهای متصل به دنیای بیرونی است که وصلههای امنیتی بر روی آنها نصب نشده اند. مجرمان سایبری مدام در حال پویش اینترنت هستند تا آسیب پذیریهای موجود در سیستمها را شناسایی کنند. کارشناسان امنیتی توصیه میکنند برای مقابله با آسیبپذیریها نصب وصلههای امنیتی بر روی سیستمهایی که با دنیای بیرون در ارتباط هستند، جزو اولویتهای اصلی مدیران امنیت سازمانها باشد.
کارمندان بخشهای امنیتی سازمانها برای انجام این کار باید نکات زیر را در نظر داشته باشند:
- سیستمهایی که با شبکه های بیرونی در ارتباط هستند را از طریق جستجوی آدرسهای اینترنتی (IP) سازمان پیدا کنند.
- دسترسی عمومی به پروتکل دسترسی از راه دور به دسکتاپ (RDP[1])، پوسته امن (SSH[2]) و پروتکل انتقال فایل (FTP[3]) را غیرفعال کنند.
- از نصب وصلههای امنیتی بر روی سیستمها و تجهیزاتی همچون فایروالها، سرورها و درگاههای ایمیل اطمینان حاصل کنند.
- پویش آسیبپذیری[4] را بر روی سیستمهایی که با دنیای بیرونی در ارتباط هستند، به صورت مداوم انجام دهند.
- برای دسترسی از راه دور، احراز هویت چندعاملی را فعال کنند.
2. امنسازی ایمیل
معمولاً حوادث باجافزاری با ارسال ایمیل به یک کاربر خاص آغاز میشوند. از این رو ایمیل به یکی از روشهای محبوب برای اجرای حملات سایبری توسط مهاجمان تبدیل شده است. اگرچه آموزش و اطلاع رسانی کارمندان سازمان از اهمیت ویژهای برخوردار است اما راهکار امنتر، جلوگیری از رسیدن ایمیلهای مخرب به صندوق ورودی ایمیل آنها میباشد. درگاه ایمیل میتواند نقش یک مانع حفاظتی را بین ایمیلهای رسیده از اینترنت و صندوق ورودی کاربران در شبکه داشته باشد.
کاربران باید به منظور محافظت در برابر تهدیداتی که به سمت آنها روانه میشوند، توصیههای زیر را جدی بگیرند:
- با استفاده از یک فناوری پویش که امکان باز کردن پیوست ها و لینکها را برای پیدا کردن تهدیدات پیشرفته دارد، ایمیلها را فیلتر کنند.
- اسنادی که با کلمه عبور حفاظت شدهاند را قرنطینه یا مسدود نمایند، چون معمولاً مهاجمان از آنها برای دور زدن سازوکارهای پویشی استفاده میکنند.
- کاربران باید مطمئن شوند که حتی در بهترین حالت ممکن نیز فایلهای پیوست مخرب* توسط درگاه ایمیل آنها مسدود میشوند.
3. امنسازی نسخههای پشتیبان
سومین روش محبوب مورد استفاده مهاجمان هدف گیری، رمزنگاری یا حذف کامل نسخههای پشتیبان است. این موضوع فراتر از هدف گرفتن دادههای اصلی یا در حال تبادل است. مهاجمان با جستجوی شبکه سعی میکنند نسخههای پشتیبان را پیدا کرده و آنها را رمزنگاری کنند. تخریب اطلاعات نسخ پشتیبان از طریق رمزنگاری یا پاک کردن آنها باعث میشود مهاجمان فرصت بیشتری برای درخواست باج داشته باشند زیرا اگر قربانی نتواند اطلاعات را از روی نسخ پشتیبان بازیابی کند، احتمال پرداخت باج افزایش مییابد.
بنابراین کارشناسان امنیتی به کاربران توصیه میکنند که:
- همیشه از هر فایل مهم سه نسخه داشته باشند.
- از فایل های کاری (فایل هایی که به صورت روزانه مورد استفاده قرار میگیرند) یک نسخه اصلی و یک نسخه پشتیبان تهیه کنند.
- این نسخهها باید در جای امنی نگهداشته شوند که البته دسترسی به آنها آسان باشد تا در صورت بروز حوادث بتوان آنها را با سرعت و کارایی بالا بازیابی کرد. همچنین بهتر است که یکی از نسخهها در مکان دیگری به غیر از شبکه سازمانی نگهداری شوند.
رعایت توصیههای بالا برای حفظ اطلاعات در برابر آسیبهای ناشی از بلایای طبیعی مثل سیل و زلزله یا خرابکاری های سایبری ضروری است. در رابطه با فرایند دورکاری کارمندان نیز در صورتی که نسخههای پشتیبان، خارج از شبکه سازمان ذخیره شده باشند لازم است به این توصیه ها توجه بیشتری شود.
بر اساس تحقیقات انجام شده توسط کارشناسان امنیتی، در سال 2021 دسترسی فیزیکی مشکلی جدی محسوب نمیشود چون معمولاً کارمندان در هر جایی که باشند به شبکه دسترسی دارند. در این حالت نیز باید همان قوانین و الزامات همیشگی امنیتی رعایت شوند زیرا در صورت عدم حفاظت از اطلاعات و دادههای حساس، ممکن است مهاجمان به راحتی بتوانند به آنها دسترسی پیدا کنند.
نگاهی به آینده
متأسفانه باجافزارها همچنان رو به رشد و تکامل هستند. از طرف دیگر صنعتی هم که با این تهدید مقابله میکند پیشرفت چشمگیری داشته است. کارشناسان امنیتی امیدوارند که با توجه به رفتار فعلی مهاجمان بتوانند از الگوی رفتاری آنها برای توسعه راهکارهای امنیتی آتی استفاده کنند.
همچنین آنها در رابطه با سیستمهای فناوری اطلاعات دولتی و با توجه به ماهیت در حال تغییر تهدیدات سایبری، به مدیران سازمان ها توصیه میکنند که حتماً یک ابزار تشخیص و واکنشی را بر روی سیستمهای حساس خود یا در داخل شبکه نصب کنند. این ابزار بسیار فراتر از یک ضدویروس بوده و بر اساس تحلیل مداوم سیستمها راههای احتمالی نفوذ به آنها را شناسایی میکند.
[1] Remote Desktop Protocol
[2] Secure Shell
[3] File Transfer Protocol
[4] یک رویکرد سازمانیافته برای آزمون، شناسایی، تحلیل و گزارش مشکلات امنیتی شبکه است.
* لیست فایلهای مخرب را میتوانید در اینجا مشاهده کنید.
منبع: cybersecuritymagazine