باج افزار نرمافزاری مخرب است که دسترسی به یک سیستم کامپیوتری یا دادههای آن را مسدود میکند تا قربانی مبلغی مشخص را به حساب مهاجم واریز کند. در سال 2022، 493.33 میلیون حملهی باج افزار در سراسر جهان رخ داده است که باج افزار را به یکی از جدی ترین تهدیدات سایبری، که کسب و کارها امروزه با آن مواجه هستند، تبدیل میکند. در این مقاله، در مورد حملات رایجِ باج افزار و چگونگی دفاع در برابر آنها بحث خواهیم کرد. اگر نگران باجافزارها هستید، میتوانید با استفاده از Veeam Ransomware Protection از دادههای خود محافظت کنید.
منظور از باجافزار چیست؟ باجافزار، تهدیدی رو به رشد برای کسب و کارهای مدرن
حملات باجافزار در حال حاضر به قدری رایج شدهاند که اکثر مردم در حال حاضر حداقل یک ایدهی اولیه از اینکه باجافزار چیست دارند؛ اما ممکن است به طور کامل متوجه نباشند که این حملات چگونه کار میکند یا چرا اینقدر جدی هستند. بر اساس گزارش هزینههای اقتصادی و اجتماعی جرم و جنایت، هزینه کلی جرم و جنایات سایبری در انگلستان به تنهایی میلیاردها دلار می باشد. در سطح جهانی، هزینهی حملات باجافزار، به طور خاص، تا سال 2031 به 265 میلیارد دلار خواهد رسید.
برخی از قربانیان باجافزار به اندازه کافی خوش شانس هستند که بتوانند دادههای خود را رمزگشایی کنند، اما انواع زیادی از باجافزار وجود دارد که کسی نیست که بتواند آنها را رمزگشایی کند، و این به بدان معنا است که سازمانها باید نسخهی پشتیبان را برای ترمیم پس از حمله بازیابی کنند. اگر آنها نسخهی پشتیبان نداشته باشند، یا نسخههای پشتیبان آنها نیز مورد حمله قرار گرفته باشد، هزینهی از دست دادن دادهها و زمان برای کسب و کار ممکن است بسیار زیاد باشد. گزارش روندهای باجافزار در سال 2023 نشان میدهد که حملات باجافزار چقدر میتواند برای برخی سازمانها جدی باشد.
ارزیابی میزان آسیبپذیری امنیت سازمان نسبت به باجافزار با راهکار اسپلانک
ویدیوهای بیشتر درباره ی باجافزار
دفاع در برابر باجافزار
دفاع در برابر باجافزار امری است که به استراتژیهای مختلف نیاز دارد. این کار با بهترین شیوههای امنیت سایبری آغاز میشود و شامل استفاده از استراتژیها و فناوریهای متمرکزتر برای شناسایی و پاسخ به حملات باجافزار، از جمله حملات در حال انجام، میباشد.
فایروالهای سنتی و نرمافزارهای آنتی ویروس میتوانند از برخی حملات جلوگیری کنند، و از طرفی هم آموزش به همهی کارمندان دربارهی چگونگی تشخیص ایمیلهای فیشینگ، وبسایتهای مخرب و فایلهای اجرایی بالقوهی خطرناک، ممکن است راهی بسیار طولانی برای جلوگیری از حملات باشد. با این حال، ابزارهای دفاعی مدرن برای مقابله با باجافزار میتوانند یک گام فراتر از آن بروند و فعالیت شبکه و سیستم فایل را برای شناسایی نشانههای حمله، مانند: الگوهای ارتباطی غیرمعمول یا فعالیتهای دسترسی و رمزگذاری فایل، را بررسی کنند.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
مدیران شبکه میتوانند تعدادی ابزار امنیتی و IT را برای دفاع در برابر باج افزار اعمال کنند. حفاظت از Endpointها، سیستمهای تشخیص نفوذ IDS یا Intrusion detection systems و سیستمهای پیشگیری از نفوذ یا IPS یا intrusion prevention systems را میتوان با تکنیکهای تجزیه و تحلیل مبتنی بر رفتار ترکیب کرد تا حملات به سرعت شناسایی شده و هرگونه آسیب کاهش یابد.
بعید است که هر یک از این استراتژیها، به تنهایی، برای ایمن کردن سیستم IT سازمانی در برابر باج افزار کافی باشد. با ترکیب تکنیکهای دفاعی، اسکن غیرعامل و اقدامات دفاعی پیشگیرانه، میتوان سطح حمله را کاهش داد و احتمال موفقیت هر اقدام اصلاحی را، در صورت وقوع حمله، افزایش داد.
اجزای کلیدی دفاع در برابر باجافزار
دفاع موثر در برابر باجافزار نیازمند یک رویکرد چند جانبه است.
امنیت و نظارت بر شبکه
فایروالها و سیستمهای تشخیص نفوذ یا IDS اولین خط دفاعی در برابر انواع حملات هستند، و فقط مخصوص باجافزارها نیستند. فایروال فعالیت شبکهی ورودی و خروجی را اسکن میکند و اتصالاتی را که غیرمجاز میداند مسدود میکند. از جمله فعالیتهای غیرمجاز میتواند اسکن پورت باشد، یعنی جایی که مهاجم سعی میکند به طور تصادفی به پورتها متصل شود تا بفهمد چه سرویسهایی روی سرور اجرا میشوند. در غیر این صورت، ممکن است یک مهاجم تلاش کند تا با استفاده از نیرویی بیرحمانه وارد یک سرور شود یا به سادگی با ارسال تعداد زیادی درخواست پشت سر هم، یک حملهی محرومسازی از سرویس را بر روی یک سرور انجام دهد.
بیشتر بخوانید: حملات باج افزاری چیست؟ عوامل مقابله و حذف باج افزار
سیستمهای تشخیص نفوذ شبیه فایروالها هستند چراکه فعالیتهای مخرب را نیز شناسایی میکنند. سپس این ابزارها بر اساس مجموعهای از قوانین از پیش تعریف شده اقدام میکنند. برای مثال، آنها ممکن است ابزارهای دیگری را برای اجرا یا هشدار دادن به مدیرِ سیستم فعال کنند تا آنها بتوانند مشکل را تجزیه و تحلیل کرده و به صورت دستی مداخله کنند.
دفاع در برابر باجافزار یک مسابقهی تسلیحاتی است و صرفاً نمیتوان بر قوانین ثابت و تعاریف بدافزار تکیه کرد. حتی اسکن ویروسهای اکتشافی، شناسایی همهی کدهای مخرب را تضمین نمیکند. بنابراین، مهم است که برای شناسایی تغییرات در فعالیتهای سیستمهای خود از نظارت و تحلیل رفتاری بهصورت بیدرنگ استفاده کنید. این نوع نظارت، احتمال شناسایی فعالیتهای مشکوک را افزایش میدهد.
برای مثال، نظارت بیدرنگ میتواند مراقب تعداد زیادی از فایلها باشد که در مدت زمان کوتاهی قابل دسترسی یا تغییر هستند. این نظارت همچنین میتواند فایلهایی را که برای مدت طولانی استفاده نشده و بهطور ناگهانی باز میشوند را تشخیص دهد. حتی اگر مشخص شود که این فعالیت مربوط به باجافزار نیست، ممکن است مربوط به یک مشکل امنیتی دیگر، مانند تهدید داخلی باشد.
واکنش به حادثه و بازیابی
ابزارهای امنیتی تنها بخشی از معادله هستند، حتی با وجود ابزارهای پیچیده، همچنان خطر وقوع یک رخنهی امنیتی وجود دارد و داشتن یک برنامهی پاسخ روشن و مؤثر به حادثه برای به حداقل رساندن آسیب، در صورت حمله، حیاتی است.
یک برنامهی پاسخ به حادثهی باجافزار شامل چندین مرحله است:
- مشخص کنید که کدام سیستمها تحت تاثیر قرار میگیرند؛
- در صورت امکان دستگاهها را از شبکه جدا کنید؛
- در صورت لزوم تجهیزات آسیب دیده را خاموش کنید؛
- گزارشهای سیستم را بررسی و مشخص کنید که حمله چگونه اتفاق افتاده است؛
- باجافزار را شناسایی و مشخص کنید که آیا بدافزار دیگری در سیستم وجود دارد یا خیر.
بسته به ماهیت حمله، مراحلی که طی می شود ممکن است متفاوت باشد. مدیران باید هزینهی بالقوهی روشن ماندن دستگاههای آلوده را در مقابل خاموش کردن سیستم و از دست دادن هر گونه شواهدی که در حافظهی فرار ذخیره شده است، را بسنجند.
بیشتر بخوانید: منظور از استراتژی دفاع در عمق یا Defense in Depth در برابر باج افزار چیست – قسمت اول
اگر نسخههای پشتیبان اخیر در دسترس هستند و میدانید که این نسخهها محفوظ و ایزوله و از باجافزار جدا هستند، ممکن است منطقی باشد که سیستمهای آلوده را روشن بگذارید اما از اتصالات Wi-Fi یا LAN جدا شوید تا آنها را تجزیه و تحلیل کنید.
بازیابی اطلاعات تنها بخشی از معادله میباشد، در حالت ایدهآل، حمله به سرعت مهار میشود تا از گسترش آن جلوگیری شود. اما در بسیاری از موارد، باجافزار از طریق چیزی مانند حملهی فیشینگ هدفمند، از طریق لپتاپ کارمند به شبکه دسترسی پیدا میکند و نرمافزار مخرب، از آنجا، به درایوهای شبکه و سایر سیستمها پخش میشود و به دنبال هر چیزی میگردد که اجازه دسترسی و نوشتن روی آن را داشته باشد.
شناسایی سریع حمله به این معنی است که بدافزار زمان کمتری برای انتشار و آلوده کردن درایوها داشته باشد. بسته به سیستمی که در ابتدا آلوده شده و اینکه امتیازات دسترسی به فایل، در شبکه، چقدر درست پیکربندی شده است، آسیب ممکن است فقط به دستگاه کاربر و چند اشتراکِ غیر مهم شبکه محدود شود.
