در قسمت اول مقاله، به بررسی یکی از جدیترین تهدیدات سایبری سالهای اخیر پرداخته شدحملات باجافزاری که مستقیماً زیرساختهای پشتیبانگیری سازمانها را هدف قرار میدهند.
این بخش توضیح میدهد که چرا مهاجمان، به جای رمزگذاری صرف دادههای عملیاتی، به سراغ سامانههای بکاپ و ابزارهای ذخیرهسازی میروند تا توان بازیابی سازمان را از بین ببرند و فشار برای پرداخت باج را افزایش دهند.
در ادامه، در مورد چکلیست امنیتی راهکارهای پشتیبانگیری در سامانههای Backup سازمانی صحبت خواهیم کرد.
چکلیست امنیتی راهکارهای پشتیبانگیری
برای مقابله مؤثر با حملات باجافزاری که زیرساختهای پشتیبانگیری را هدف قرار میدهند، لازم است سازمانها یک چکلیست امنیتی راهکارهای پشتیبانگیریی دقیق برای حفاظت از سامانههای Backup تدوین و اجرا کنند. این چکلیست شامل ارزیابی سطح دسترسی کاربران و مدیران، تفکیک شبکه پشتیبان از شبکه عملیاتی، رمزنگاری دادهها در زمان انتقال و ذخیرهسازی، استفاده از احراز هویت چندمرحلهای، مانیتورینگ مداوم رخدادها و ثبت لاگهای امنیتی است. همچنین، نگهداری نسخههای آفلاین از بکاپها و انجام تستهای دورهای بازیابی اطلاعات، از الزامات حیاتی این ساختار به شمار میرود. رعایت این اصول، تابآوری زیرساخت پشتیبانگیری را در برابر تهدیدات سایبری بهطور چشمگیری افزایش میدهد. در ادامه، چکلیستی آماده برای ارزیابی امنیت زیرساخت بکاپ در سازمان شما آمده است. میتوانید این چکلیست را بهعنوان بخشی از ممیزی داخلی یا ارزیابی ریسک سالانه بهکار ببرید.
| بخش | سوال ارزیابی | وضعیت (✓/✗) | توضیحات / اقدامات لازم |
| طراحی و معماری بکاپ | آیا نسخههای بکاپ مطابق مدل ۳-۲-۱ اجرا شدهاند؟ | ||
| آیا یکی از نسخهها خارج از شبکه اصلی (air-gap) نگهداری میشود؟ | |||
| آیا ذخیرهسازی بکاپ از شبکه تولیدی جدا (segmented) شده است؟ | |||
| آیا از قابلیتهای immutable (عدم حذف/تغییر) استفاده میشود؟ | |||
| دسترسی و احراز هویت | آیا کنسولهای مدیریت بکاپ دارای MFA هستند؟ | ||
| آیا حسابهای سرویس بکاپ دارای حداقل امتیازات هستند؟ | |||
| آیا دسترسی به ذخیرهسازی بکاپ بهصورت جداشده (separate credentials) است؟ | |||
| بهروزرسانی و امنیت نرمافزار | آیا نرمافزار بکاپ (و ذخیرهسازی مرتبط) بهروز است؟ | ||
| آیا آسیبپذیریهای شناختهشده اخیراً بررسی شدهاند؟ | |||
| تست بازیابی | آیا فرآیند تست بازیابی (Recovery Drill) حداقل سالانه اجرا میشود؟ | ||
| آیا سناریوی «بکاپ مورد حمله قرار گرفته» نیز شبیهسازی شده است؟ | |||
| صحت و سلامت بکاپها | آیا گزارشهای سلامت مدیا دیسک، نوار،SSD وجود دارد؟ | ||
| آیا لاگهای حذف یا تغییر بکاپها بررسی میشوند؟ | |||
| مانیتورینگ و لاگینگ | آیا هشدارهای حذف، تغییر، یا رمزگذاری غیرمعمول بکاپها تنظیم شدهاند؟ | ||
| آیا فعالیتهای کنسول بکاپ، ذخیرهسازی، و شبکه بکاپ لاگ میشوند؟ | |||
| سرویسدهندگان ابری | آیا سرویسهای بکاپ ابری دارای ارزیابی امنیتی هستند؟ | ||
| آیا قراردادها SLA شامل تضمین قابلیت بازیابی و امنیت داده است؟ | |||
| آموزش و فرهنگ | آیا آموزش امنیتی برای کارکنان مرتبط با بکاپ اجرا میشود؟ | ||
| آیا تیم IT درک کرده است که بکاپ نیز هدف حمله است؟ |
مطالعه موردی: تحلیل حملات واقعی به زیرساختهای پشتیبانگیری
برای درک بهتر تهدید، چند نمونه مستند از حملات اخیر را بررسی میکنیم که در سالهای ۲۰۲۴ تا ۲۰۲۵ رخ دادهاند و به شکل مستقیم سرویسهای بکاپ را هدف قرار دادهاند.
1. حمله به Veeam Backup & Replication (CVE-2023-27532) و سوءاستفادههای بعدی
در اوایل ۲۰۲۴، یک آسیبپذیری بحرانی در Veeam Backup & Replication کشف شد که به مهاجمان اجازه میداد با استفاده از Credential ذخیرهشده در سیستم، به پایگاه داده و بکاپها دسترسی پیدا کنند. مهاجمها از طریق همین نقص، credentialهای Domain Admin را از پایگاه داده بکاپ استخراج کردند و از آن برای حرکت جانبی در شبکه استفاده نمودند.
تحلیل امنیتی
- بسیاری از سازمانها Credential بکاپ را در سرور Veeam بدون رمزگذاری یا کنترل دسترسی مجزا نگهداری کرده بودند.
- مهاجم، از طریق API سرویس Veeam توانست فایلهای بکاپ را لیست کند و سپس آنها را حذف یا Overwrite نماید.
- در برخی موارد، بکاپهای Offsite نیز از طریق Replication آلوده شدند، چون Replication Job از Credential آلوده استفاده میکرد.
آنچه باید در نظر گرفت
- ذخیره Credentialها در سرور بکاپ باید رمزگذاریشده و محدود به یک محدوده دسترسی خاص باشد.
- Replication Jobها باید با کاربر جداگانه و Credential اختصاصی اجرا شوند.
- استفاده از Air-Gap یا Offline Copy میتواند از انتشار آلودگی جلوگیری کند.
بیشتر بخوانید: چکلیست امنیت سایبری و توصیههای امنیتی مهم برای سازمانها – قسمت اول
حمله Agenda Ransomware به مراکز صنعتی ۲۰۲۵
طبق گزارش IndustrialCyber، گروه Agenda از طریق پلتفرمهای Remote Access و ابزارهای Centralized Backup به محیطهای صنعتی نفوذ کرده است. هدف آنها، سرورهای بکاپ متصل به شبکه OT یاOperational Technology بوده است.
تحلیل امنیتی
- بسیاری از محیطهای صنعتی، برای تسهیل مدیریت، سرور بکاپ مشترک با IT داشتند.
- Agenda با دسترسی به سرور بکاپ مرکزی، Snapshotهای ماشینهای حیاتی را پاک کرد.
- سپس باجخواهی مضاعف انجام داد: تهدید کرد که دادههای بکاپشده OT را منتشر میکند.
انچه باید در نظر گرفته شود
- جداسازی کامل بکاپ IT و OT حیاتی است.
- Snapshotها باید Immutable و خارج از دسترس سرویسدهندگان مدیریتی باشند.
- در شبکههای صنعتی، هرگونه اتصال دوطرفه بین سیستم بکاپ و تجهیزات OT باید حذف یا محدود شود.
حمله به زیرساختهای NAS و Backup Appliance
در چند حمله ثبتشده در سال ۲۰۲۴، گروههای BlackCat و LockBit از طریق Credential ذخیرهشده درApplianceهای ذخیرهسازی مانند QNAP و Synology توانستند بکاپها را رمزگذاری کنند.
بهویژه در سازمانهایی که از Snapshot محلی استفاده میکردند ولی آن را به فضای ابری یا Air-Gap منتقل نمیکردند.
برای مشاوره رایگان و یا پیاده سازی راهکارهای پشتیبان گیری و ذخیره سازی با کارشناسان شرکت APK تماس بگیرید. |
درس آموختهشده
- snapshot داخلی بدون Air-Gap آسیبپذیر است؛ مهاجم به همان NAS نفوذ کرده و Snapshotها را حذف میکند.
- لازم است نسخهای از Snapshot به محیط خارج از شبکه منتقل شود Cloud Copy یا Tape.
- رمزگذاری در لایه NAS کافی نیست؛ حفاظت سطح بکاپ باید چندلایه باشد.
چارچوب دفاع چندلایه برای امنیت زیرساخت بکاپ
در مواجهه با تهدیدی که زیرساخت پشتیبان را هدف گرفته، هیچ راهحل واحدی کافی نیست.
بنابراین باید از چارچوب چندلایه Defense-in-Depth استفاده کرد.
در این چارچوب، دفاعها در چند سطح از جمله معماری، هویت، عملیات، و پایش اعمال میشوند:
لایه اول: ایزولاسیون و معماری امن
- تقسیمبندی شبکه یا Segmentatio:سرورهای بکاپ در VLAN جدا، با ACLهای سختگیرانه، فقط از سرورهای مشخص درخواست بپذیرند.
- Air-gap فیزیکی یا منطقی: حداقل یک نسخه بکاپ به صورت Disconnect با تأخیر یا زمانبندی خاص نگهداری شود.
- Storage Diversity: ترکیب disk-based, tape-based و cloud-based backups برای کاهش نقطه شکست مشترک.
🧩 لایه دوم: کنترل هویت و مجوزها
- MFA اجباری برای ورود به کنسولها، NAS، یا ابزارهای مدیریت.
- حذف Credential ذخیرهشده به صورت Plaintext
- تخصیص Role-based Access Control یا RBAC و تفکیک وظایف بین تیمها Backup Operator ≠ Domain Admin).
🧩 لایه سوم: نظارت و تحلیل رفتاری
- مانیتورینگ لاگها با ارسال آن به SIEM مثلاً Splunk ES.
- تنظیم آستانه هشدار برای حذف Mass-Backup یا تغییر ناگهانیjobها.
- تشخیص رفتارهای غیرعادی (UEBA/UBA) روی فعالیت کاربرانی که به کنسول بکاپ دسترسی دارند.
- تحلیل ترافیک خروجی برای کشف استخراج داده (data exfiltration) از مسیر بکاپ.
بیشتر بخوانید: چکلیست امنیت سایبری و توصیههای امنیتی مهم برای سازمانها – قسمت دوم (پایانی)
🧩 لایه چهارم: محافظت از دادهها
- رمزگذاری دادههای بکاپ (AES-256) هم در حالت در حال انتقال و هم در ذخیره.
- استفاده از WORM (Write-Once-Read-Many) یا object lock در فضای ابری.
- امضای دیجیتال روی فایلهای بکاپ برای کشف Tampering.
- بررسی هش hash integrity check بعد از هر job.
🧩 لایه پنجم: عملیات و واکنش
- مستندسازی فرآیندهای بازیابی از حمله.Ransomware Recovery Playbook
- تعریف Recovery Point Objectiveیا RPO و Recovery Time Objective یا RTOبرای هر سرویس حیاتی.
- اجرای تستهای Table-Top و شبیهسازی بحران برای تیمهای IT و SOC.
- ذخیره نسخهای از کلیدهای رمزگذاری و credential بکاپ در محیط کاملاً جداگانه مثل HSM یا vault.
🧩 لایه ششم: فرهنگ، آموزش و ممیزی
- آموزش تیم پشتیبانی درباره امضاهای رفتاری حملات به بکاپها.
- پیادهسازی ممیزیهای دورهای بر رویPolicyهای Retention و حذف.
- بازبینی log حذف نسخهها یا تغییراتJobها توسط شخص ثالث Security Auditor.
چکلیست امنیتی راهکارهای پشتیبانگیری (پیشرفته)
| بخش | سؤال ارزیابی | وضعیت (✓/✗) | توضیحات / اقدامات لازم |
| SIEM و مانیتورینگ | آیا لاگهای ابزار بکاپ در SIEM مثل Splunk, ELK مجتمع شدهاند؟ | ||
| آیا هشدار حذفJobها یا نسخههای بکاپ تنظیم شده است؟ | |||
| رفتارشناسی کاربران | آیا از UEBA یا anomaly detection برای تشخیص فعالیت غیرمعمول اپراتور استفاده میشود؟ | ||
| رمزگذاری و صحت داده | آیا فایلهای بکاپ دارای hash و امضای دیجیتال هستند؟ | ||
| آیا رمزگذاری در هر دو سطح at-rest و in-transit فعال است؟ | |||
| واکنش به حادثه | آیا Playbook خاص برای “Ransomware targeting backup systems” وجود دارد؟ | ||
| آیا تمرین بازیابی کامل Full Restore در سناریوی حمله باجافزاری اجرا شده است؟ | |||
| آیا فرآیند ایمنسازی credentialها پس از حادثه تعریف شده است؟ | |||
| پیکربندی و Patch | آیا نرمافزار بکاپ و NAS appliance در ۶۰ روز گذشته patch شدهاند؟ | ||
| آیا آسیبپذیریهای اخیر (CVE-2024-xxxx و CVE-2025-xxxx) ارزیابی شدهاند؟ | |||
| Storage Diversity | آیا حداقل دو نوع رسانه ذخیره (Tape/Cloud/Disk) فعال است؟ | ||
| Air-Gap Testing | آیا نسخه Air-Gapped بهطور منظم تست بازیابی شده است؟ | ||
| نقشها و مجوزها | آیا تفکیک وظایف بین Backup Admin، Storage Admin و Security Team وجود دارد؟ | ||
| Audit Trail | آیا تمامی تغییرات در تنظیمات بکاپ audit log دارند و غیرقابل حذفاند؟ |
حمله به زیرساخت پشتیبانگیری به معنای هدف قرار دادن قلب مقاومت سایبری سازمان است.
در دنیای امروزی که باجافزارها بهشدت هوشمندتر و سازمانیافتهتر شدهاند، هیچ نسخه پشتیبانی بدون امنیت، تضمین بازیابی نیست.
سازمانهایی که میخواهند در برابر این تهدید تابآور باشند، باید:
- بکاپ را جزئی از استراتژی دفاع سایبری بدانند، نه صرفاً بخشی از .IT
- امنیت بکاپ را از ذخیرهسازی تا دسترسی و نظارت چندلایه طراحی کنند.
- تست بازیابی را به اندازه بکاپگیری جدی بگیرند.
- بکاپهای Immutable و Air-Gap را به عنوان حداقل الزامات امنیتی بپذیرند.
- رفتارها و الگوهای حذف/تغییر بکاپ را با تحلیل رفتاری و SIEM پایش کنند.
- فرهنگ امنیتی را در کل تیمهای عملیاتی و پشتیبان نهادینه سازند.
