اشتراک مقالات

چک‌لیست امنیتی راهکارهای پشتیبان‌گیری به همراه راهنمای مقابله با حملات باج‌افزاری به سامانه‌های Backup سازمانی – قسمت اول

90 مشاهده 0 4 آبان, 1404

در سال‌های اخیر، سازمان‌ها به‌طور فزاینده‌ای به‌منظور تضمین تداوم کسب‌وکار و بازیابی سریع از بحران‌ها، روی راهکارهای پشتیبان‌گیری Backup و ذخیره‌سازی مطمئن سرمایه‌گذاری کرده‌اند. با این وجود، تهدیدات حوزه ‌باج‌افزاری نیز هم‌زمان با این تکامل زیرساخت‌ها، به شکلی پیشرفته‌تر و هدف‌مندتر عمل می‌کنند: نه فقط رمزگذاری داده‌های تولیدی، بلکه مستقیماً حمله به زیرساخت‌های پشتیبان‌گیری، حذف یا دستکاری بکاپ‌ها، یا استخراج داده‌های بکاپ شده. این مقاله به‌عنوان یک متخصص در حوزه امنیت پشتیبان‌گیری، این شکل جدید از تهدید را تحلیل می‌کند، دلایل آسیب‌پذیری، نمونه‌های فعلی، روندها، و سپس راهکارهای دفاعی را بررسی می‌کند.

لایسنس اسپلانک

زمینه و ماهیت حمله

حمله باج‌افزاری به زیرساخت پشتیبان‌گیری به معنای آن است که مهاجم نه صرفاً داده‌های جاری سازمان را هدف قرار می‌دهد، بلکه به سیستم‌های بکاپ، ذخیره‌سازی نسخه‌های پشتیبان، پایگاه‌های داده‌ای که بکاپ‌ها روی آن قرار دارند، یا واسط‌های مدیریت بکاپ Backup Management Interfaces حمله می‌کند تا توان بازیابی سازمان را تضعیف نماید.
به عبارت دیگر، بکاپ دیگر به‌عنوان «جایگاه امن» دیده نمی‌شود بلکه خود به هدف تبدیل می‌شود.

چرا این‌گونه حملات و اهمیت راهکارهای پشتیبان‌گیری مطرح شده‌اند؟

۱. افزایش وابستگی سازمان‌ها به بکاپ برای بازیابی سریع: وقتی سازمان بداند که نسخه‌های پشتیبان دارد، ممکن است کمتر در برابر باج پرداخت شود؛ مهاجمان این را درک کرده‌اند و بکاپ را هدف قرار می‌دهند تا تهدیدشان اثربخش‌تر شود.
۲. بیشتر شدن قابلیت‌های مهاجمان: گروه‌های باج‌افزاری اکنون مدل‌هایRansomware-as-a-Service یا RaaS دارند، و ابزارهای اتوماسیون شده برای رمزگذاری، استخراج داده، و انتشار تهدیدات دارند.
۳. کشف سریع‌تر حرکت جانبی یا lateral movement در شبکه‌ها: در روندهای جدید، مهاجم می‌تواند فقط ظرف چند ساعت یا حتی کمتر از ورود اولیه، به سیستم بکاپ دست یابد.
۴. دور جدیدی از انکار بازیابی یا Recovery denial  اگر بکاپ قابل استفاده نباشد، حتی اگر داده‌ها رمزگذاری نشوند، سازمان دچار بحران می‌شود. این عامل جدید در حملات دیده شده است.

بیشتر بحوانید: استفاده از راهکارهای پشتیبان‌گیری SaaS برای حفظ اطلاعات سازمان

روندها و شواهد فعلی در سال ۲۰۲۵

افزایش سرعت و پیچیدگی حملات

گزارش‌ها نشان می‌دهد که زمان بین ورود اولیه مهاجم و گسترش به بخش‌های حساس شبکه به‌شدت کاهش یافته است، همچنین تعداد گروه‌های فعال باج‌افزاری در نیمه اول ۲۰۲۵ تا حدود ۹۶ گروه بوده است که نسبت به سال قبل افزایش نشان می‌دهد.
اگر بکاپ یا زیرساخت ذخیره‌سازی در این پنجره سریع مورد دسترسی قرار بگیرد، سازمان فرصت کمی برای شناسایی و واکنش دارد.

هدف‌گیری زیرساخت‌های پشتیبان و راهکارهای پشتیبان‌گیری

یک گزارش در مورد گروه Agenda Ransomware – که در ۵۸ کشور فعال بوده است – تأکید دارد که بخش «Remote Access Platforms» و «Centralised Backup Solutions» هدف اصلی بوده‌اند. این نشان می‌دهد که مهاجمان اکنون مستقیماً به سمت لایه بکاپ حرکت می‌کنند.

برای مشاوره رایگان و یا پیاده سازی راهکارهای پشتیبان گیری و ذخیره سازی با کارشناسان شرکت APK تماس بگیرید.

روند «دوگانه/سه‌گانه‌» باج‌گیری یا Double/Triple Extortion

در این مدل، مهاجم هم داده‌ها را رمزگذاری می‌کند، هم آن‌ها را استخراج می‌کند، و تهدید به انتشار عمومی منجر میشود.

افزایش اهمیت ذخیره‌سازی ایمن یا Immutable Backups و Air-Gap

با توجه به تهدید مستقیم زیرساخت­te پشتیبان، بهترین سازمان‌ها به سمت استفاده از نسخه‌های پشتیبان غیرقابل تغییر یا Immutable و از شبکه اصلی جدا یا  Air-Gap حرکت کرده‌اند. این روند الزامی شده است.

بیشتر بخوانید: استفاده از خدمات پشتیبان‌گیری داده برای حفظ اطلاعات سازمان

چالش‌های فناوری و عملیاتی

  • بسیاری از سازمان‌ها بکاپ می‌گیرند اما تست بازیابی منظم ندارند؛ در نتیجه اگر بکاپ تحت حمله قرار بگیرد، متوجه نمی‌شوند.
  • ابزارهای پشتیبان و ذخیره‌سازی ممکن است خود حاوی آسیب‌پذیری باشند؛ به‌عنوان مثال، استفاده از نرم‌افزارهای منسوخ یا پیکربندی ضعیف که مهاجم بتواند از آن طریق وارد شود.

راهبردهای مهاجمانی که بکاپ را هدف می‌گیرند

در این بخش، مراحل متداول حمله را مرور می‌کنیم تا فهم بهتری داشته باشیم از چگونه و چرا آنها بکاپ‌ها را هدف می‌گیرند:

  1. ورود اولیه یا Initial Access
    از طریق فیشینگ، اکسپلویت‌های نرم‌افزاری، دسترسی از راه دور یاRDP/Remote Access  یا تأمین‌کننده خدمات Third Party؛ گزارش‌ها نشان می‌دهند نقطه شروع اغلب هویت/دسترسی است.
  2. شناخت محیط، جمع‌آوری اعتبارات و حرکت جانبی
    پس از ورود، مهاجم سعی می‌کند به ابزار بکاپ یا مدیریت بکاپ برسد، مثلا سرویس‌های بکاپ، سرورهای ذخیره‌سازی، یا کنسول‌های مدیریت.
  3. دسترسی به زیرساخت بکاپ یا Backup Infrastructure
    اکنون مهاجم ممکن است:
    • بکاپ‌ها را رمزگذاری کند یا حذف نماید
    • تنظیمات بکاپ را تغییر دهد تا امکان بازیابی را از بین ببرد
    • داده‌های پشتیبان را استخراج کند و تهدید به انتشار آن کند
    • مسیر بازیابی را مسدود کند (مثلا از طریق تغییر مجوز دسترسی‌ها، حذف اطلاعات لاگینگ، غیرفعال کردن ایمیل‌ هشدار)
  4. اجرا و تهدید یا رمزگذاری نهایی
    مرحله‌ای که معمولاً سازمان متوجه می‌شود؛ مهاجم یا رمزگذاری کرده و فایل‌های اصلی را مورد هدف قرار داده است، یا بکاپ را تخریب کرده تا بازیابی امکان‌پذیر نباشد. فشار به پرداخت باج زیاد می‌شود.
  5. بازیابی یا پرداخت باج
    در بسیاری از موارد، سازمان‌ها مجبورند یا از نسخه‌های بازیابی شده استفاده کنند (اگر سالم باقی مانده باشند)، یا باج پرداخت کنند. زمانی که بکاپ تخریب شده باشد، گزینه دوم تقریباً یگانه است.

دلایل آسیب‌پذیری زیرساخت پشتیبان

چندین عامل باعث می‌شوند زیرساخت بکاپ آسیب‌پذیرتر از آنچه تصور می‌شود باشد:

  • دسترسی‌های بیش‌از حد :Excessive privileges ابزارهای بکاپ، حساب‌های سرویس، سرورهای ذخیره‌سازی معمولاً دسترسی بالا دارند؛ اگر مهاجم این‌ها را بگیرد، می‌تواند به سرعت کنترل بکاپ را در دست بگیرد.
  • تنظیمات ضعیف/پیش‌فرض: بسیاری از محیط‌ها از پیکربندی پیش‌فرض استفاده کرده‌اند، کنسول‌های بکاپ را به اینترنت باز گذاشته‌اند، یا MFA را فعال نکرده‌اند.
  • عدم به‌روزرسانی نرم‌افزار بکاپ یا ذخیره‌سازی: آسیب‌پذیری‌های شناخته‌شده در این لایه‌ها وجود دارد.
  • نبود ایزولاسیون مناسب بکاپ از شبکه اصلی: اگر بکاپ در همان شبکه اجرایی و بدون ایزولاسیون ذخیره شود، مهاجم پس از ورود به شبکه اصلی می‌تواند به آن برسد.
  • عدم تست بازیابی و نبود راهکار بازیابی جایگزین: اگر بازیابی آزمون نشده باشد، هنگام حمله واقعی خطایابی و بازگردانی دشوار است.
  • نبود لاگینگ و مانیتورینگ مناسب روی ابزارهای بکاپ: فعالیت‌های مشکوک ممکن است دیر کشف شوند یا اصلاً کشف نشوند.

تأثیرات و پیامدها

وقتی زیرساخت بکاپ هدف قرار می‌گیرد، پیامدها فراتر از رمزگذاری داده‌های جاری است:

  • اختلال در بازیابی Recovery failure: سازمان ممکن است نتواند به سرعت یا اصلاً داده‌ها را بازیابی کند، که بر تداوم عملیات تأثیر می‌گذارد.
  • افزایش هزینه‌ها: هزینه Downtime، هزینه پرداخت باج، هزینه بازسازی سیستم‌ها، هزینه مشاوره و تحلیل، بسیار بیشتر خواهد بود.
  • ریسک انتشار داده یا Data Leak: در مدل‌های Extortion، داده‌های بکاپ شده ممکن است استخراج و سپس منتشر شوند، که علاوه بر هزینه، جریمه‌های قانونی را نیز می‌تواند ایجاد کند.
  • آسیب به برند و اعتماد کاربران: اگر بازیابی به‌موقع ممکن نباشد یا داده حساس منتشر شود، اعتماد کاهش می‌یابد.
  • تغییر استراتژی امنیتی و هزینه‌های پس از بحران: ساخت مجدد زیرساخت‌ها، بازبینی کامل راهکار پشتیبان‌گیری، و سرمایه‌گذاری بیشتر در امنیت.

راهکارهای دفاعی برای محافظت از زیرساخت پشتیبان‌گیری

در این بخش، توصیه‌های عملی و فنی را برای محافظت از زیرساخت بکاپ مطرح می‌کنم:

معماری و طراحی

  • از مدل ۳-۲-۱ :۳ نسخه، ۲ رسانه، ۱ نسخه خارج از سایت بهره بگیرید و این مدل را بهبود دهید به ۳-۲-۱-۱ نسخه آفلاین یا Air-Gap و ضمن آن، یکی از رسانه‌ها را Immutable در نظر بگیرید.
  • ذخیره‌سازی بکاپ را از شبکه تولیدات جدا کنید تا حتی در صورت نفوذ به شبکه اصلی، بکاپ دسترسی‌پذیر نباشد.
  • استفاده از فناوری‌های Immutable Storage مثلاً WORM ،object lock در فضای ابری و air-gapped backups  برای جلوگیری از دستکاری بکاپ‌ها.
  • راهکار بازیابی اورژانسی یاDisaster Recovery و سناریوی «تمامی سرویس‌ها از دست رفته‌اند و بکاپ نیز تحت تأثیر حمله قرار گرفته» را طراحی کنید.

سیاست‌ها و فرآیندها در راهکارهای پشتیبان‌گیری

  • حساب‌های سرویس بکاپ دارای دسترسی حداقلی یا least-privilege باشند؛ هیچ حساب سرویس نباید دسترسی بیش از نیاز داشته باشد.
  • احراز هویت چندعاملی یا MFA برای کنسول‌های بکاپ، رابط‌های مدیریت، ذخیره‌سازی را الزامی کنید.
  • فرآیندهای منظم تست بازیابی یا  Recovery Testing را اجرا نمایید؛ حداقل سالانه یا پس از هر تغییر زیرساخت.
  • برنامه بازبینی و بروز رسانی فناوری بکاپ و ذخیره‌سازی یاPatch Management  را داشته باشید و آسیب‌پذیری‌های نرم‌افزار بکاپ را بررسی کنید.
  • مانیتورینگ و لاگینگ دقیق روی کنسول‌های بکاپ، ذخیره‌سازی، شبکه‌های مرتبط، با هشدار برای فعالیت‌های غیرمعمول (مانند حذف نسخه بکاپ، تغییر تنظیمات).
  • تدوین قراردادها و ارزیابی امنیتی برای سرویس‌دهندگان Third-party backups؛ اطمینان از اینکه آن‌ها استانداردهای امنیتی را رعایت می‌کنند.

تکنیک‌ها و ابزارها

  • رمزگذاری نسخه‌های بکاپ In-Transit & At‐Rest
  • بررسی سلامت ذخیره‌سازی: مدیاها، دیسک‌ها، نوارها، SSDها را به‌صورت منظم آزمایش کنید؛ مدیاهای خراب می‌توانند در بازیابی شکست بخورند.
  • عملیات بکاپ را به‌صورت خودکار در گردش‌کارهای n8n یا فرآیندهای CI/CD وصل کنید تا هشدار حذف/تغییر بکاپ ایجاد شود.
  • از راهکارهایی که توان تشخیص رفتار باج‌افزاری را در لایه فایل/مدیا دارند، بهره بگیرید؛ پژوهش‌ها نشان داده‌اند که تشخیص‌های مبتنی بر رفتار می‌توانند کمک کنند.
  • تمرین بازیابی کامل از حالت خرابی یا  Full Disaster Recovery Drillرا در بازه‌های زمانی برنامه‌ریزی‌شده انجام دهید و ظرفیت نیروی انسانی را آماده کنید.

فرهنگ و آگاهی

  • آموزش کارکنان در حوزه امنیت، به‌ویژه درباره فیشینگ، استفاده از MFA، مدیریت دسترسی.
  • برنامه اطلاع‌رسانی درباره نقش بکاپ‌ها در دفاع سازمان؛ اینکه کارمندان بدانند بکاپ فقط تضمین بازیابی نیست بلکه هدف حمله هم هست.
  • برگزاری جلسات پس از حادثه یا Post-Incident Review برای تحلیل ضعف‌های فرآیند بکاپ پس از هر آزمایش یا رخداد.

حمله به زیرساخت‌های پشتیبان‌گیری، تهدیدی جدی و روبه‌افزایش است که سازمان‌ها را در معرض خطر توقف کامل عملیات، از دست رفتن داده یا انتشار ناخواسته آن قرار می‌دهد. با شناخت روندها، دلایل آسیب‌پذیری، و طراحی راهکارهای دفاعی منسجم، می‌توان میزان ریسک را به‌طور معنی‌داری کاهش داد. سرمایه‌گذاری در امنیت بکاپ، دیگر صرفاً هزینه نیست؛ بلکه جزء خطوط اصلی دفاع سایبری در عصر تهدیدات پیشرفته به شمار می‌رود.

 

مقاله های مرتبط:

ارائه چک‌لیست‌های حیاتی امنیت و شبکه در سازمان‌ها به عنوان یک راهنمای تخصصی برای مدیران و تیم‌های IT
بررسی حملات سایبری به زیرساخت‌های حیاتی و ارائه چک‌لیست امنیتی و جدول اجرایی برای مدیران IT
چک‌لیست امنیتی راهکارهای پشتیبان‌گیری به همراه راهنمای مقابله با حملات باج‌افزاری به سامانه‌های Backup سازمانی – قسمت دوم
برچسب ها : Backup Tunnel Next-HopBackup-as-a-Service چیستBackup and Sync چیستbackup چستBackupمفهوم OMS Backup

مطلب مفید بود؟

 
بیشتر بخوانید