چگونه برای مبارزه با حملات باج افزاری آماده شویم؟
باج افزار های مخرب و پرهزینه روزبهروز در حال افزایش هستند. در این مقاله، راهبردهایی برای مقابله با حملات باجافزاری ارائه شده است.
افزایش باجافزارها
حملات باجافزاری با نرخی تهدیدآمیز روبهافزایش هستند. بهنقل از گزارش نیمسالهی Bitdefender در سال ۲۰۲۰، تعداد گزارشهای باجافزاری در سراسر جهان، ۷۱۵ درصد افزایش یافته است. ایالات متحدهی آمریکا ازنظر تعداد حملات در رتبهی اول و بریتانیا در رتبهی دوم قرار دارند.
حملهی باجافزاری باعث رمزنگاری فایلها و دادهها بهگونهای میشود که دیگر نتوانید با آنها کار کنید. برای بازگشت سیستم به حالت عملیاتی عادی، باید کامپیوتر و سیستم خود را کاملا پاکسازی و با بکاپ آن را بازیابی کنید یا از کلید رمزگشایی برای بازکردن قفل فایلها و دادههایتان استفاده کنید. برای دریافت کلید رمزگشایی باید باج بدهید. باجافزار آثار مخربی بر عملکرد کسبوکار میگذارد و حتی میتواند به ازبینرفتن دائمی دادهها منجر شود. باجافزار این مشکلات را بهوجود میآورد:
- ازکارافتادگی کسبوکار
- ازبینرفتن بهرهوری
- ازبینرفتن درآمد
- ازبینرفتن اعتبار
- ازبینرفتن یا نابودی یا انتشار عمومی اطلاعات حساس تجاری
اگر بخواهید باج بدهید، هزینههایتان افزایش مییابند و ممکن است پس از حملهی بدافزارها به قوت خود باقی بمانند. شاید فکر کنید این اتفاق برایتان رخ نمیدهد یا خود را این گونه قانع کنید که بسیار کوچک هستید و هکرها صرفا گزینههای بهتر و بزرگتری را هدف قرار میدهند یا چرا باید خود را بهخاطر شرکتی مثل شما آزار دهند. متأسفانه این تصورات حقیقت ندارند.
همه هدف حمله هستند. از میان روشهای مختلف، ایمیل مکانیزم شمارهی یک انتقال باجافزار است. حملات فیشینگ از فهرست ایمیلهایی با میلیونها ورودی استفاده میکنند. کل آدرسهای ایمیل قربانی در دَه سال گذشته در فضای دارکوب موجود هستند. آدرسهای ایمیل جدید هم روزانه با نفوذ و حمله مواجه و به فهرست یادشده اضافه میشوند. تمام این آدرسها، ایمیلهای فیشینگ را دریافت میکنند و نفوذکنندگان اهمیتی نمیدهند که ایمیلها به چه افرادی متعلق هستند.
تعداد کمی از حملات باجافزاری بهصورت هدفمند اجرا میشوند و درحدود ۹۹ درصد از حملات قربانی را ردیابی یا شناسایی نمیکنند. باجگیرندگان لزوما تکتیراندازهای مخفی نیستند؛ بلکه شکارچیان ماشینی هستند که بدون هدف قربانی میگیرند. آنها ایمیلهای خود را پخش میکنند و سپس منتظر فرصت حمله میمانند.
باج یا بازیابی
مجرمان سایبری یا همان نفوذکنندگان در ازای دریافت باج، کلید رمزگشایی دادهها را به کاربر میدهند. باج معمولا بهصورت رمزارز بیتکوین پرداخت میشود؛ گرچه نفوذگران بر سر رمزارزهای دیگر هم توافق دارند. براساس CoinMarketCap، آمار رمزارزهای فعال به ۷۵۰۰ نوع میرسد.
گرچه معامله براساس بیتکوین نسبتا آسان است، دریافت کیفپول الکترونیکی و طی مراحل لازم ممکن است چند روز بهطول بینجامد. در این دوره، امکان راهاندازی کسبوکار یا حداقل اجرای عملیات بهینه وجود ندارد. حتی اگر باجی پرداخت شود، تضمینی برای بازگشت دادهها وجود ندارد. سمت رمزگشایی باجافزار معمولا ساختار بدی دارد و ممکن است برایتان کار نکند. حتی اگر بتوانید فایلها را رمزگشایی کنید، بازهم با بدافزاهایی مثل روتکیتها و تروجانهای ریموت و کی لاگرها روبهرو میشوید. بنابراین، باجدادن بهویژه براساس رمزارز میتواند بیش از چند روز طول بکشد و سیستمتان حتی پس از رمزگشایی پاک نشود؛ بنابراین، بهتر است سیستم خود را از پشتیبان بازیابی کنید. در کشورهایی مثل بریتانیا و ایالات متحده، بهشدت توصیه میشود باجی نپردازید.
بازیابی از پشتیبان نیز چندان سریع نیست و فقط درصورتی امکانپذیر است که از روال پشتیبانی پایدار استفاده کنید. علاوهبراین، نفوذکنندگانی که پشت باجافزارهای پیچیده قرار دارند، میتوانند به روشهای مختلف پشتیبانها را هم آلوده کنند. حتی ممکن است پس از پاکسازی و بازیابی سرور و کامپیوتر، بازهم آلوده باشید. بااینهمه، پشتیبانگیری بهترین راه است؛ اما باید از پشتیبان خود بهگونهای محافظت کنید که درصورت نیاز، یکپارچگی دادهها را حفظ کنند.
هکرها بیتکوین را بهعنوان باج دریافت میکنند.
پیشگیری بهتر از درمان است
هیچکس در محیط کار بهدنبال حادثه نیست؛ اما از جعبهی کمکهای اولیه غافل نمیشود. بله، پیشگیری در هر شرایطی بهتر از درمان است؛ اما بازهم باید جعبهی کمکهای اولیه را داشته باشید. همین موضوع برای امنیت سایبری صدق میکند. هیچکس نمیخواهد با حملهی باجافزار روبهرو شود و بهتر است اقدامات پیشگیرانهی لازم را انجام داد و برنامهای هم برای عکسالعمل مناسب دربرابر حوادث احتمالی باید داشت. در این وضعیت، به گروهی از افراد نیاز دارید که با برنامه آشنا باشند و آن را تمرین و دنبال کنند.
هدف حملات باجافزاری تمام افراد و سازمانهای بزرگوکوچک هستند
حتی یک لحظه هم نباید از برنامه غافل شوید و براساس روشی هدفمند و هماهنگ، باید به حادثه واکنش نشان دهید؛ زیرا تنها با دنبالکردن برنامه میتوانید به این هدف برسید. تمام افراد بیمهی خودرو دارند و امیدواریم هرگز از آن استفاده نکنند. برنامهی واکنش به حادثه هم بههمینترتیب است. به آن نیاز دارید؛ اما ممکن است در موقعیتی قرار نگیرید که به پیادهسازی آن نیاز باشد. نگهداری از خودرو و اجازه به افراد آموزشدیده برای استفاده از آن، احتمال تصادف را کاهش میدهد. درادامه نکاتی برای کاهش ریسک حادثه و پیادهسازی برنامهی واکنش به حادثه ارائه دادهایم.
آموزش کارکنان
اغلب حملات باجافزاری بهدلیل حملات فیشینگ رخ میدهند. کارمندان خطمقدم ایمیلها هستند؛ چراکه روزانه با ایمیلها و پیوستهای زیادی روبهرو میشوند که گاهی تعداد آنها به صدها ایمیل میرسد. تنها یک ایمیل فیشینگ برای آلودهشدن سیستمها و نفوذ به آنها کافی است. واضح است کارکنان باید آموزش کافی در زمینهی امنیت سایبری دیده باشند و بتوانند ایمیلهای فیشینگ و دیگر تهدیدهای ایمیلی را شناسایی کنند.
این مسئله بهصورت دورهای باید بررسی شود و باجافزارها در فهرست ارزیابی ریسک امنیت سایبری قرار بگیرند و آموزش کارکنان هم یکی از اقدامات پیشگیرانه با هدف مبارزه با حملات باجافزاری در نظر گرفته شوند. یکی از روشها برای کاهش حجم ایمیلها استفاده از سیستم ایمیل داخلی است. تعداد ایمیلهای داخلی کمتر هستند و بدینترتیب، تمرکز بر ایمیلهای خارجی سادهتر خواهد شد. گفتنی است ایمیلهای خارجی معمولا حامل ریسک هستند.
آزمایش آسیبپذیری کارکنان
آموزش درکنار آزمایش نتیجهبخش است. یافتن سرویس آنلاین یا سازمانی امنیتی برای راهاندازی کمپین فیشینگ خوشخیم کار سادهای است. کارمندانی که در تشخیص ایمیلهای فیشینگ بهدرستی عمل نمیکنند، به گذراندن جلسهای آموزشی ملزم میشوند. بدینترتیب، علاوهبر ارزیابی آسیبپذیری کارکنان دربرابر ایمیلهای فیشینگ، میتوان اثربخشی آموزش را هم بررسی کرد.
اصل حداقل امتیاز
مطمئن شوید فرایندها و کاربرها از حداقل حقوق دسترسی برای اجرای عملیات تعریفشده برخوردار هستند. اصل حداقل مزیت آسیبهای بدافزاری را محدود میکند. همچنین، سعی کنید دسترسی به حسابهای ادمین را محدود کنید و مطمئن شوید این حسابها بهجز عملیات ادمین کاربرد دیگری ندارند. افزونبراین، دسترسی به اشتراکگذاریها و سرورها را بهگونهای کنترل کنید که افراد فاقد نقش و مسئولیت، امکان دسترسی به بخشهای حساس را نداشته باشند.
فیلترهای اسپم
فیلترهای اسپم کل ایمیلهای بد را تشخیص نمیدهند؛ اما حداقل میتوانند بخشی از آنها را بهدام بیندازند. آنها بخش زیادی از اسپمهای ایمن، اما آزاردهنده و تکراری را کشف و قرنطینه میکنند. بدینترتیب، حجم ایمیلها کاهش مییابد. کاهش حجم کاه یافتن سوزن را آسان میکند.
محافظت نقطهی انتهایی (End Point)
آنتیویروسها و بستههای ضدبدافزار یا ترکیبی از بستههای محافظتی را باید پیادهسازی و آنها را مرتب تنظیم و بهروزرسانی کرد. کاربران نباید بهروزرسانیهای را نادیده بگیرند یا بهتعویق بیندازند.
بستهی بهروزرسانی
سیستمعاملها و میانافزارها و اپلیکیشنها باید در چرخهی پشتیبانی تولیدکننده قرار داشته باشند و بهصورت مرتبط با بستههای بهروزرسانی رفع باگ و امنیتی بهروز شوند. اگر هرکدام از این برنامهها بستهی بهروزرسانی نداشته باشند، باید استفاده از آنها را متوقف کنید.
معماری شبکه
غیر از شبکههای ساده، شبکههای خود را باید تقسیمبندی و کامپیوترها و تیمهای ضروری را جدا کنید. بدینترتیب، بخشهای حیاتی شبکه از نفوذ در امان میمانند و بهنوعی عایق میشوند. از توپولوژی شبکه با بخشهای تفکیکشده برای محدودکردن توزیع بدافزار استفاده کنید. مدیریت بخش آلوده از کل شبکه آسانتر است.
استراتژیهای بکاپ
پشتیبانها یا بکاپها هستهی اصلی برنامهی تداوم کسبوکار پایدار هستند. برای پشتیبانگیری از طرحی باید استفاده کنید که با بحرانهای پیشبینیشدنی، ازجمله حملات سایبری تطبیق پیدا کند. دستورالعمل قدیمی بکاپ از سه قانون تشکیل شده است:
- تهیهی سه کپی از دادهها: سیستم و دو پشتیبان
- دو پشتیبان باید روی واسطههای مختلف قرار داشته باشند
- یکی از پشتیبانها خارج از سازمان نگهداری شوند
بهبیانساده، داشتن صرفا یک کپی از دادهها برای پشتیبانگیری کافی نیست. این، بهتر از هیچ است؛ اما پشتیبانگیری اهمیت زیادی دارد و تنها راهکاری است که با هر بودجهای میتوانید برای امنیت خود انجام دهید. پشتیبان واقعی با نرمافزار پشتیبانگیری انجام میشود که قابلیت نسخهبندی دارد. با نسخهبندی میتوانند فایل خود را براساس نقطهی مشخصی از زمان بازیابی کنید. برای مثال، میتوانید فایل را در وضعیت دیروز یا هفته یا ماه گذشته بازیابی کنید. براساس ظرفیت و دورهی نگهداری حافظهی بکاپ میتوانید به زمان مدنظر خود در گذشته بازگردید.
با رعایت اصول سهگانهی بکاپ میتواند بهراحتی دادهها را پس از حمله بازیابی کرد.
پشتیبانها به رمزنگاری نیاز دارند. پشتیبانهای مبتنیبر ایمیج، ایمیجی از کل هارددرایو ازجمله عملیات آن تهیه میکنند. تغییرات سیستم لایو را میتوان در هر چند دقیقه به ایمیج بکاپ منتقل کرد؛ درنتیجه بکاپ مانند تصویری آنی و فوری از سیستم عمل میکند. این استراتژی ایمیج بکاپ را به ایمیجی از ماشین مجازی تبدیل میکند. بدینترتیب درصورت وقوع حادثه، میتوان ماشین مجازی را روی سختافزاری جدید راهاندازی کرد و سختافزار سرور جدید را پیادهسازی و بر مشکلات سیستم لایو غلبه کرد.
پشتیبان بهصورت سیستم لایو اجرا میشود و شرکت میتواند به فعالیتهایش ادامه دهد؛ البته گزینهای هم برای پشتیبانگیری خارج از محل وجود دارد. بدینترتیب، میتوانید بکاپ خود را در موقعیتی امن در ساختمانی دیگر نگهداری کنید. با داشتن چند بکاپ که در موقعیتهای مختلف توزیع شدهاند و روی دستگاههای سختافزاری متفاوت ذخیره شدهاند، میتوانید خیال خود را راحت کنید.
اگر نفوذگران بخواهند بکاپها را آلوده کنند، بازهم میتوانند به تمام مراحل مذکور نفوذ کنند. برای مثال، اگر باجافزاری تأخیری ۲۸ روزه داشته باشد و شما در این مدت چندبار از دادههای خود بکاپ گرفته باشید، این باجافزارها در تمام دادهها توزیع میشوند. برای مقابله با این اتفاق، میتوان از بکاپهای تغییرناپذیر استفاده کرد. این بکاپها نوشتنی نیستند؛ درنتیجه هیچ باجافزار یا بدافزاری نمیتواند آنها را آلوده کند. استراتژی پایدار بکاپ از رویکردی لایهای و متنوع استفاده میکند.
- میتوانید بکاپهای نسخهدار را در دستگاههای ذخیرهسازی متصل به شبکه (NAS) پیادهسازی کنید تا بازیابی فایلهای حذف شده آسانتر شود.
- لایهی دوم میتواند بکاپهای مبتنیبر ایمیج باشند که در حافظههای خارج از ساختمان و حافظهی local ذخیره شدهاند. میتوانید سرور خراب را درصورت خرابی کل سرور یا خرابی سختافزار بهسرعت بازیابی کنید.
- با استفاده از بکاپ تغییرناپذیر میتوانید به سیستم بکاپ جامع و یکپارچهای برسید که باجافزارها و بدافزارها نمیتوانند به آن نفوذ کنند.
براساس اندازه و پیچیدگی شبکه، هزینهی بکاپ هم افزایش مییابد؛ اما درمقایسهبا هزینهی خرابیها، کمهزینه است. ازاینرو، به بکاپ بهعنوان هزینه فکر نکنید؛ بلکه آن را سرمایهگذاری روی تداوم کسبوکار خود در نظر بگیرید.
برنامهی واکنش به حادثه
برنامهی واکنش به حادثه ابزاری حیاتی برای تضمین پاسخهای هماهنگ و بهینه به حوادث سایبری است و براساس فعالیتهای سازمان میتواند اجباری باشد. برنامهی واکنش به حادثه معمولا از بخشهای زیر تشکیل شده است که هرکدام باید دقیق و کامل باشند:
- آمادهسازی: در این مرحله، کل نکات ذکرشده همراهبا استراتژیهای دفاعی دیگر قرار دارند. با اجرای برنامه، میتوانید آشنایی تیم خود را افزایش دهید و نواقص و مشکلات را شناسایی کنید. هرچه آمادگی بیشتری داشته باشید، بهتر عمل خواهید کرد.
- شناسایی: در این مرحله، فرایند تشخیص حادثه و شناسایی نوع حادثه اجرا میشود. باید تلاش کنید به این پرسشها پاسخ دهید: چه اتفاقی در حال رخدادن است؟ چه کسی و چه چیزی تحتتأثیر قرار خواهد گرفت؟ حوزهی مشکل کجاست؟
- سد نفوذ: در این مرحله، عامل نفوذ کشف و از گسترش آن جلوگیری میشود. سپس، سیستمهای آلوده قرنطینه میشوند.
- ریشهکنکردن مشکل: در این مرحله، سیستمهای آلوده باید پاکسازی شوند. مطمئن شوید بدافزارها از کل ماشینهای آسیبپذیر حذف شدهاند؛ پس، بستههای بهروزرسانی و مراحل امنیتی لازم را اعمال کنید.
- بازیابی: در این مرحله، باید مشخص کنید کدام سیستمها در اولویت دریافت خدمت هستند. بازیابی از بکاپ و تغییر مشخصات احرازهویت برای تمام حسابها ضروری است. درصورت امکان، با بکاپهای تغییرناپذیر بازیابی را انجام دهید؛ درغیراینصورت، قبل از بازیابی بررسی کنید بکاپها بدافزار نداشته باشند.
- درسها: آلودگی چگونه رخ داد و چگونه از آن جلوگیری کردید؟ آیا آسیبپذیری غیرعمدی بود یا حاصل خطای انسانی؟ چه مراحلی را برای حفظ امنیت خود انجام دادید؟
گزارش مشکل
فراموش نکنید حملهی باجافزاری جرم است و آن را حتما گزارش کنید. در اروپا، حملهی باجافزاری براساس قوانین عمومی محافظت از دادهها یکی از حملات نفوذ دادهای در نظر گرفته میشود؛ حتی اگر هیچ دادهای دزدیده یا نابود نشود، این حملات جرم بهحساب میآیند.
نظرات