استفاده از طراحی زیرساخت مناسب برای حذف باج‌افزار – قسمت اول

گروهی از کاربران که از خدمات VMware استفاده می کنند شروع به نصب VMware vSphere کردند، اما این بار هدف کمی با گذشته متفاوت بود: پیکربندی محیط برای مقابله با مهاجمان با استفاده از بهترین راهکار‌های فعلی، با توجه به باج‌افزار و Zero Trust. در چند سال گذشته افزایش شدیدی در حملات ایجادشده است و با تغییر صنعت برای مقابله با این حملات، تاکتیک‌‌های مهاجمین نیز تکامل پیدا کرده است. درحالی‌که سازمان‌ها برای بازیابی سریع از باج‌افزار به راهکارهای پشتیبان‌گیری و Disaster Recovery در جهت حذف باج‌افزار تکیه می‌کنند، مهاجمین نیز از تقاضا برای باج فاصله گرفته‌اند و تمرکز خود را بیشتر روی سرقت دارایی فکری و اخاذی قرار داده‌اند؛ به‌طوری‌که هم از قربانی و هم از کاربر قربانی اخاذی می‌کنند.

در هنگام توسعه الزامات امنیتی برای منابع سیستم IT باید مشخص گردد که این الزامات از منابع مهم در عملکرد سازمان یا منابع حساس به داده بوده، در چه مواردی محرمانه بودن و انسجام داده‌ها از الزامات مهم  محسوب شده و در کدام بخش تداوم عملیات (یا همان دسترس‌پذیری) اولویت می‌یابد. محافظت از منابع مهم در عملکرد سازمان باید در پیکربندی‌هایی با دسترس‌پذیری بالا طراحی گردد.

راهکار پاسخ و حذف باج‌افزار

اما یک راهکار پشتیبان‌گیری برای پاسخ و حذف باج‌افزار کافی نیست. یک دفاع مناسب نیازمند ابزار و تکنیک‌های جدید و همچنین بازگشت به مبانی امنیت است. به‌علاوه، پاسخ به باج‌افزار بستگی به این دارد که کجای «Stack» باشیم. ابزار و تاکتیک‌‌ها برای حفاظت از بارهای کاری معمولاً با ابزار و تاکتیک‌‌های قابل‌دسترسی برای یک Storage Array، فایروال و خود vSphere متفاوت هستند. به همین دلیل VMware سعی دارد راهکارهای مناسبی را برای ساختن و حفاظت از vSphere معرفی کند و همچنین قصد دارد فرایندهای تصمیمات طراحی خود را ثبت نماید. اکثر راهنمایی‌های امنیتی به شکلی آمرانه سعی دارند به کاربر کمک کنند به هدف خود دست پیدا کند. اما این به نفع خواننده نیست، زیرا واقعیت بسیاری از تصمیمات خیلی واضح نیست.

ارزیابی میزان آسیب‌پذیری امنیت سازمان نسبت به باج‌افزار با راهکار اسپلانک

ویدیوهای بیشتر درباره باج افزار

در امنیت همیشه چیزی از دست می‌دهی و چیزی به دست می‌آوری و این به شرایط بستگی دارد. یکی از مثال‌های خوب در این مورد احراز هویت است. متصل کردن زیرساخت کلودبه احراز هویت متمرکز می‌تواند به یک سازمان کمک کند لاگین‌ها و سطوح دسترسی را  مدیریت و مانیتور نماید. اما متصل کردن زیرساخت Cloud به یک احراز هویت متمرکز همچنین ممکن است آن را در معرض خطر حرکت جانبی مهاجمین قرار دهد. چرا باید یک راه را انتخاب کنیم؟ دلیل انتخاب شیوه‌ی ما چیست؟ تفکر در مورد این تصمیمات به مدیران کمک می‌کند که بهتر بتوانند انتخاب‌های خود را درک کنند و تصمیمات دقیق‌تری برای ایمن‌سازی محیط خود اتخاذ نمایند.

باج‌افزار چیست؟ آیا امکان حذف باج‌افزار وجود دارد

باج‌افزار نوعی بدافزار است که داده‌های یک کاربر یا سازمان‌ را از دسترس خارج می‌کند و این کار را معمولاً از طریق رمزگذاری داده‌ها با یک کلید رمزگذاری انجام می‌دهد که فقط هکری که بدافزار را پیاده‌سازی کرده است آن را می‌شناسد. باج‌افزار چیزی نیست که بتوان آن را Patch کرد یا با یک روش مشخص در مقابل آن از خود دفاع کرد. بلکه یک حمله چندجانبه توسط یک اکوسیستم کامل متشکل از افراد باهوش و زیرک است. این مجرمان با صبر و حوصله به دارایی‌های الکترونیکی یک سازمان حمله می‌کنند و قصدشان دریافت پول، سرقت مالکیت معنوی و اخاذی از قربانی اصلی و کاربران قربانی است.

بدافزار معمولاً از طریق دانلودهای مخرب، لینک‌های ایمیل، تبلیغات مخرب، حملات فیشینگ، پیام‌های شبکه‌های اجتماعی و وب‌سایت‌ها وارد می‌شود. همچنین می‌تواند از طریق آسیب‌پذیری‌ها و ضعف‌های Patchنشده در نرم‌افزارها و خدمات عمومی وارد شود. هنگامی‌که محتوای مخرب اجرا شد، مهاجمان از آن Endpoint و آن حساب کاربری که هر دو دچار نقض امنیتی شده‌اند، در سازمان جای پایی پیدا می‌کنند. مهاجمان برای حمله به سایر اهداف از داخل سیستم امنیتی محیط شبکه سازمانی، «پایداری» ایجاد می‌کنند و حرکت جانبی انجام می‌دهد.

بیشتر بخوانید: حملات باج افزاری چیست؟ عوامل مقابله و حذف باج افزار

باج افزار به‌خودی‌خود فرآیند پایانی نقض امنیتی است. وقتی باج‌افزار برای رمزگذاری فایل‌ها روی سیستم‌ها پیاده‌سازی شود، قربانی قطعاً متوجه خواهد شد. باج‌افزار دسترسی کاربر را مسدود می‌کند تا وقتی‌که درخواست برای پرداخت پول که معمولاً به‌صورت پیام‌های هشدار نمایش داده می‌شود پذیرفته گردد. این پیام دریافت باج، معمولاً تهدید می‌کند که دسترسی به داده به‌طور دائم از دست خواهد و یا دارایی‌های فکری یا محتوای خجالت‌آور به‌طور عمومی منتشر خواهد شد. قبل از رمزگذاری فایل‌ها و سیستم‌ها، این سازمان‌های مجرم همچنین داده‌هایی را استخراج کرده و از قربانیان خود به سرقت می‌برد تا مستقیماً آن‌ها را بفروشند یا از کاربران قربانیان نیز اخاذی کنند. در این اخاذی مضاعف، مهاجم تهدید می‌کند که اگر هزینه مدنظرش پرداخت نشود، جزئیات اطلاعات کاربران قربانی را منتشر خواهد کرد. این نوع تهدید به‌طور خاص در مقابل سازمان‌هایی مؤثر است که کاربرانش داده‌های حساس یا محرمانه دارند؛ مثل شرکت‌های حقوقی، شرکت‌های حسابداری و غیره.

رعایت احتیاط پس از حذف باج‌افزار

متأسفانه هیچ تضمینی وجود ندارد که کلیدهای رمزنگاری موردنیاز برای رمزگشایی پس از پرداخت باج توسط مهاجم پس داده شود یا اینکه فرایند رمزگشایی به‌درستی و به‌سرعت اجرا شود. همچنین هیچ تضمینی وجود ندارد که اگر این باج پرداخته شود، مهاجمین داده‌ها را به سرقت نخواهند.

باج‌افزار ممکن است تمام سازمان‌ها ازجمله شرکت‌های بزرگ و کوچک، آژانس‌های دولتی، خدمات سلامت و مؤسسات آموزشی در هر مقیاسی را مورد هدف قرار دهد،. بااینکه این سازمان‌های مجرم از «گونه‌های» باج‌افزار مختلفی استفاده می‌کنند، مسیرهای حمله‌ی متداولی برای نقض امنیتی دارند، مثل تلاش‌های Brute Force RDP، سوءاستفاده از نرم‌افزار وب و آسیب‌پذیری‌های شناخته‌شده که شاید اصلاح‌نشده باشند. دفاع از خود در مقابل باج‌افزار یک تلاش جامع است، که شامل افراد، فرایندها و تکنولوژی‌هایی برای شناسایی و کنترل حملات پیش از اینکه آسیب و اختلال شدیدی ایجاد کنند.

Zero Trust چیست؟

به عبارت ساده، Zero Trust بدین معناست که «به هیچ دستگاه و به هیچ کاربری اعتماد نکنید.» در این رویکرد، به‌طور مداوم در مورد دسترسی هر کاربر و سیستم ارزیابی انجام می‌گردد و تمام هویت‌های کاربر و دستگاه‌ها تأیید Multi-Factor را می‌گذرانند. اما معمولاً خدمات زیرساخت متفاوت هستند، زیرا باید زمانی که هیچ سرویس دیگری قابل‌دسترسی نیست اجرا شده و به یکدیگر متصل شوند. نرم‌افزارهای زیرساخت مثل VMware vSphere به ویژگی‌هایی مثل Secure Boot ،Trusted Platform Modules، تأییدیه و امضای VIB، گواهی Host و غیره نیاز دارند تا در مورد زیرساخت این اطمینان خاطر را ایجاد کنند که در پیکربندی‌های کنونی خود قابل‌اعتماد هستند.

بیشتر بخوانید: منظور از باج‌افزار چیست، اجزای کلیدی دفاع در برابر باج‌افزار کدامند؟ – قسمت دوم(پایانی)

تکنیک‌های Zero Trust را می‌توان به مدیریت زیرساخت اعمال کرد. اگرچه تلخ است، اما سازمان‌ها باید فرض کنند که هم دسکتاپ و هم حساب کاربری در معرض خطر هستند. سازمان‌هایی که این فرض‌ها را در ذهن دارند، بهتر می‌توانند طراحی سیستم را ایمن نمایند که ریشه در تفکر Zero Trust دارد و بهتر می‌توانند نقض‌های امنیتی که رخ می‌دهند را شناسایی و کنترل نمایند.

مفاهیم امنیت اطلاعات

درک مفاهیم امنیت اطلاعات موجب ارتباطات کارآمدی بین سازمان‌ها می‌شود، درک را بین گروه‌های مختلف درون یک سازمان افزایش می‌دهد و با مشخص کردن حوزه‌هایی که باید مدنظر قرار گیرند، طراحی سیستم را بهبود می‌بخشد.

احراز هویت

«چیزی که دارید» شامل اشیا یا برنامه‌های کاربردی در حال اجرا روی آن اشیا است. این مورد از قدیم شامل کلید بوده است، اما فرم‌های مدرن آن همچنین ممکن است شامل Tokenهای USB، کارت‌های هوشمند و برنامه‌های کاربردی ساخت رمز یکبار مصرف روی دستگاه‌ها باشد. این فاکتور نیازمند مالکیت شی در هنگام استفاده است و ممکن است به دلیل از دست رفتن یا آسیب دیدن شی دچار مشکل شود.

احراز هویت چندعاملی روشی است که از تکنیک‌های احراز هویت از بیش از یک عامل استفاده می‌کند. به‌عنوان‌مثال، ترکیب یک رمز عبور با یک برنامه رمز یک‌بارمصرف، یا ترکیب اسکن صورت با یک PIN. این رویکرد به کاهش نقاط ضعف در استفاده از هر عامل کمک می‌کند. استفاده از دو تکنیک از یک عامل واحد، مانند دو رمز عبور یا دو کلید فیزیکی، چندعاملی در نظر گرفته نمی‌شود.

مجوزدهی

فرایند مجوزدهی اقدام به بررسی این است که آیا یک کاربر یا برنامه کاربردی حق انجام فعالیت به‌خصوصی را در یک سیستم دارد یا نه و برای اثبات شناسایی کاربر یا برنامه کاربردی از احراز هویت استفاده می‌کند.

دسترس‌پذیری

اطمینان حاصل کردن از اینکه داده در هنگام نیاز برای افراد مجاز قابل‌دسترسی باشد.

سه‌گانه CIA

مخففی برای اجزای اصلی امنیت اطلاعات که شامل محرمانگی، یکپارچگی و دسترس‌پذیری می‌باشد.

جبران کنترل

کنترل‌های امنیتی و حریم شخصی هستند که به‌عنوان راهکاری جایگزین برای الزامی استفاده می‌شوند با راهکار اصلی قابل‌حل نیست. مجموع کنترل‌های جبرانی باید با نیت و الزامات کنترل امنیتی اصلی تطبیق داشته باشد.

محرمانگی

اطمینان حاصل کردن از اینکه از داده‌ها در مقابل دسترسی افراد غیرمجاز حفاظت می‌گردد.

نقض‌ امنیتی داده

حادثه‌ای که در آن داده توسط یک فرد غیرمجاز مورد دسترسی قرار گرفته، کپی، منتقل، مشاهده یا دزدی می‌شود. این عبارت نشان‌دهنده‌ی نیت نیست؛ عبارت‌های دیگری مثل «نشت داده» و «نشت اطلاعات» نشان می‌دهند که آیا نقض‌ امنیتی داده با قصد قبلی انجام شده است یا خیر.

دفاع عمیق

بنا به گفته‌ی موسسه ملی استاندارد و تکنولوژی ایالات‌متحده، دفاع عمیق به معنای «اعمال چندین اقدام متقابل به‌صورت مرحله‌به‌مرحله برای دستیابی به اهداف امنیتی است روش این نوع دفاع شامل قرار دادن تکنولوژی‌های امنیتی ناهمگون در مسیرهای حمله‌ی متداول است با این هدف که اطمینان حاصل شود حملاتی که از زیر دست یک تکنولوژی درمی‌رود، توسط تکنولوژی دیگری شناسایی گردد.»

شناسایی

توانایی منحصربه‌فرد اثبات اینکه کاربر یک سیستم یا برنامه کاربردی چه کسی است، برای اعمال کنترل دسترسی و ایجاد مسئولیت‌پذیری.

حادثه

تلاش غیرمجاز موفق یا ناموفق برای دسترسی، استفاده، افشا، دستکاری یا تخریب اطلاعات یا تداخل در عملیات سیستم. باید توجه داشت که این امر محدود به افراد نیست و همچنین نیت را مشخص نمی‌کند؛ برای مثال حوادث طبیعی، بلایا و حیوانات هم می‌توانند موجب حادثه شوند.

یکپارچگی

اطمینان حاصل کردن از اینکه داده‌ها در مقابل دستکاری غیرمجاز موردحفاظت قرار گیرند.

حرکت جانبی

روشی برای توصیف تکنیک‌های مورداستفاده مهاجمان، پس از نقض امنیتی یک Endpoint یا سیستم، برای «حرکت» و گسترش دسترسی به سایر سیستم‌ها و برنامه‌های کاربردی در سازمان هدف خود. این امر مهاجم را به اهداف خود مانند دسترسی، تغییر، نفوذ یا از بین بردن اطلاعات حساس نزدیک می‌کند.

در هنگام توسعه الزامات امنیتی برای منابع سیستم IT باید مشخص گردد که این الزامات از منابع مهم در عملکرد سازمان یا منابع حساس به داده بوده، در چه مواردی محرمانه بودن و انسجام داده‌ها از الزامات مهم  محسوب شده و در کدام بخش تداوم عملیات (یا همان دسترس‌پذیری) اولویت می‌یابد. محافظت از منابع مهم در عملکرد سازمان باید در پیکربندی‌هایی با دسترس‌پذیری بالا طراحی گردد.شرکت APK تجربیات ارزنده ایی در طراحی و اجرای امنیت شبکه در سازمان ها و بانک های مختلف را دارد. این شرکت با دانش متخصصان خود در این حوزه توانسته است شبکه هایی با ضریب امنیت بسیار بالا طراحی نماید. 

مقاله های مرتبط: