مرکز ماهر: حملات به سایت های عمومی و دولتی مهار و کنترل شده است
عصر دیروز تعدادی از وبسایتها و پورتالهای سازمانها و دستگاههای اجرایی به دلایلی از دسترس خارج شده یا با بار پردازشی بسیار بالا و غیر طبیعی روی سرویسدهندههای وب خود روبهرو بودند. تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرا کرده است تا این حملات را کنترل کند.
هدف حملهی منع سرویس توزیعشدهی (DoS)، نسخههای سیستم عامل ویندوز با خدمات دهندهی وب IIS بوده است. نکتهی جالب اینکه تمام اهداف مورد تهاجم در شب گذشته، تاکنون از شرایط فنی یکسان برخوردار بودند.
روش این حملات شامل ارسال زیاد درخواستهای HTTP به سمت وبسرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویسدهندهها میشود.
کارشناسان این مرکز معتقدند هدف اولیه این حملات، پهنای باند شبکه نبوده است؛ به همین دلیل تشخیص اولیه با سامانههای مانیتورینگ و پایش معمولی بهسختی قابل تشخیص بود. در نهایت تشخیص این حملات با تأخیر انجام شده است.
پیکربندی صحیح سرویسدهندههای وب که میزبان برنامههای کاربردی تحت وب هستند، باید بهدقت انجام شود. همچنین رعایت نکات ایمنی در این پیکربندیها، امنیت کل سیستمها و برنامههای کاربردی را تحت تأثیر قرار خواهد داد.
استفاده از فایروالهای اختصاصی لایه کاربرد (WAF)، پیکربندی مؤثر آن به تناسب تعداد کاربران و شرایط برنامهی کاربردی هر سازمان از راهها و روشهای مؤثر برای مقابله با این گونه از حملات است.
بر اساس اعلام مرکز امنیتی ماهر از زیرمجموعههای سازمان فناوری اطلاعات ایران، یکی از اولین اقدامات امنیتی، مقاومسازی سرویسدهندههای وب در مقابل ارسال درخواستهای سیلآسا جهت تشخیص و جلوگیری از اینگونه حملات است. بدین منظور لازم اس به روشهای مختلف نظیر استفاده از ماژولهای امنیتی و قابلیتهای درونی سرویسدهندههای وب IIS، موارد لازم بهتناسب پیکربندی شود.
یکی از مؤثرترین پیکربندیها برای محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction یا Dynamic IP Restrictions است.
توصیه مرکز ماهر این است که در طراحی و پیکربندی برنامههای کاربردی مختلف هر یک دارای Application pools مجزا باشند و از فضاهایی اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنند.
پیکربندی و استفاده از قابلیت امنیتی Request filtering در سرویسدهندهها، جهت فیلترسازی درخواستهای ورودی ناخواسته بر اساس قواعد امنیتی و همچنین پیکربندی فایلهای ثبت وقایع یا ماژول Logging در سرویسدهندهی وب IIS، جهت بررسی و پاسخگوییهای امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی، لازم و ضروری است.
جداسازی یا ایزوله کردن نرمافزارهای کاربردی تحت وب مختلف، ایجاد Worker Process-های منحصربهفرد برای هر یک از نرمافزارهای کاربردی تحت وب و بهروزرسانی سیستمعامل و نصب آخرین وصلههای امنیتی از دیگر توصیههایی هستند که در جهت پیشگیری و مقابله با این حملات میتوانند اثرگذار باشند.