اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

ده روش کاربردی جهت محافظت سازمان ها در مقابل باج‌افزار

ده روش کاربردی جهت محافظت سازمان ها در مقابل باج‌افزار

در این مستند مواردی که باعث تقویت سپر دفاعی سازمان در برابر باج‌افزارها می‌شود بررسی می‌گردد و به بازیابی آن در زمان بروز مشکل کمک خواهد کرد. حتی تصور نفوذ یک باج‌افزار کافی است تا باعث شود شب‌ها خواب به چشمِ تیم امنیتی و CISOها (مدیر امنیت اطلاعات) نیاید. قربانیان گرفتار دوراهی می‌شوند که به مجرم باج بدهند تا شاید اطلاعات و یا شبکه‌ی آنها را برگردانند یا خودشان با خرج میلیون‌ها دلار باج‌افزار را از بین ببرند. اخیرا در گزارشی آمده است که اگر هزینه پرداختی به باج‌گیرنده را درکنار ضررهای دیگر مانند مدت زمان Downtime، ارزش هر داده و سخت‌افزار ازدست رفته، هزینه اصلاح زیرساخت و مقدار پول و زمان مورد نیاز برای بازگردانی اعتبار نام تجاری، درنظر بگیریم، خسارت متوسط حاصل از یک آلودگی باج‌افزاری نزدیک به 713000 دلار است. همچنین هرچه سیستم‌های حیاتی مدت زمان بیشتری Offline بمانند، رقم این ضرر چندین برابر می‌شود.

به علاوه احتمالا در آینده این هزینه‌ها افزایش‌ پیدا کنند. بطور مثال، در یکی از حملات اخیر طی سال جاری، مهاجمان سایبری تقاضای پرداخت 13 بیتکوین (بیش از 75000 دلار) را برای هر کامپیوتر تحت حمله داشتند بنابراین کاربران با هزینه‌ای خیلی بیشتر از حد معمول باج‌گیری که قبل از آن 13000 دلار بود، توانستند مجددا به داده‌های خود دسترسی پیداکنند.

قربانیان باجافزار

به دلیل موفقیت مالی باج‌افرارها، مجرمان سایبری به آن‌ها جذب می‌شوند و در مقیاس بزرگ، قربانیان سهل‌انگار بی‌شماری گرفتار می‌کنند، دسته‌ی دیگری از مجرمان سایبری نیز به دقت نقشه حمله را طراحی می‌کنند تا اهدافی به‌خصوص که احتمال باج‌گرفتن از آنها بیشتر است را، به دام بیندازند. حتی مجرمان بدون تجربه نیز می‌توانند از طریق پرتال‌های باج‌افزار As-a-Service در دارک وب، وارد جریان می‌شوند. بااین‌حال، فارق از راهکارهای ایجاد شده، در دنیای دیجیتال امروز، به احتمال خیلی زیادی حمله‌ی باج‌افزاری، رخ خواهد داد و مسئله‌ی باقی مانده فقط زمان وقوع آن است. هرچند ممکن است این خبر خیلی ناامیدکننده به نظر برسد، سازمان‌ها روشی کارآمد برای دفاع از خود دربرابر باج‌افزار دارند. در این روش با استفاده از بهترین راهکارها برای پیشگیری از حملات احتمالی آغاز شده و با اقدامات محتاطانه‌ی مناسب، تاثیر هر حمله را به کمترین میزان می‌رساند.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

10 روش جهت مقابله با باجافزار

در ادامه 10 گام حیاتی مطرح می‌شود که هر سازمانی باید آن‌ها را به عنوان تدابیر ضد‌باج‌افزاری اتخاذ کند.

بررسی تمام آسیبپذیریها

بدون اطلاع از اینکه چه چیزی به محافظت نیاز دارد، نمی‌توان از آن محافظت کرد. باید با شناسایی تمام سیستم‌ها، تجهیزات و سرویس‌هایی در محیط شروع‌ کرد که ادامه‌ی فعالیت سازمان و حفظ و نگهداری یک Inventory فعال، وابسته به آنهاست. این روند نه‌ تنها به شناسایی اهداف آسیب‌پذیر کمک می‌کند، بلکه در طراحی مبانی اولیه‌ی سیستم برای بازیابی نیز موثر است.

ارتقا و رفع نقص (Patch) تجهیزات آسیبپذیر

ایجاد و حفظ یک پروتکل ارتقا و رفع نقص منظم یکی از بهترین راهکارهای اساسی است. متاسفانه، تعداد بی‌شماری از سازمان‌ها این‌کار را نمی‌کنند. البته همه‌ی سیستم‌ها نمی‌توانند برای عیب‌یابی و ارتقا آفلاین شوند. درچنین مواردی، نیاز است یا جابه‌جا ‌شوند (به جایی که ممکن باشد) یا با استفاده از کنترل‌های مجاروت (Proximity) محدود شده و نوعی استراتژی جداسازی یا Zero-Trust، محافظت گردند.

بهروزرسانی سیستمهای امنیتی

علاوه بر به‌روز‌رسانی تجهیزات شبکه، لازم است اطمینان حاصل‌ شود که راه‌کار‌های امنیتی طبق آخرین به‌روز‌رسانی خود عمل می‌کنند. این امر برای راه‌کار Secure Email Gateway (SEG) حیاتی است. بیشتر باج‌افزار‌ها از طریق ایمیل وارد سازمان می‌شوند و راه‌کار SEG باید بتواند لینک‌ها و پیوست‌های مخرب را قبل از رسیدن به گیرنده شناسایی و پاک‌ کند. همچنین، یک وب فیلترینگ موثر که یادگیری ماشینی را بکارگیرد، باید بتواند حملات Phishing را متوقف‌کند. به علاوه، نیاز است تدابیر امنیتی شامل مواردی مانند Whitelistهای برنامه‌های کاربردی، کنترل و محدودکردن مزیت‌ها، اجرای Zero-Trust بین سیستم‌های حیاتی، اجباری کردن Policyهای رمز عبور قدرتمند و استفاده از احراز هویت چندمرحله‌ای، باشند.

جداسازی در شبکه

جداسازی در شبکه تضمین می‌کند که سیستم‌های در معرض خطر و بدافزارها تنها در یک بخش خاص از شبکه وجود ‌داشته باشند. این امر شامل ایزوله کردن مالکیت معنوی و جداسازی اطلاعات شناسایی شخصی کارمندان و مشتریان است. به همین ترتیب، سرویس‌های حیاتی مانند سرویس اضطراری و منابع فیزیکی مانند سیستم‌های HVAC، باید در یک شبکه‌ی جداسازی‌شده نگه‌داری شوند.

ایمن نگهداشتن شبکه پس از گسترش

باید اطمینان حاصل شود که راهکارهای امنیتی اتخاذ‌شده در شبکه‌ی اصلی، در شبکه‌ی گسترش‌یافته نیز تکرار شوند، تا از شکاف‌های امنیتی جلوگیری شود. این راهکارها شامل تکنولوژی عملیاتی (OT)، محیط‌های Cloud و شعبات دیگر هستند. همچنین، باید زمانی برای مرور هر اتصالی که از سازمان‌های دیگر صورت‌گرفته (مشتریان، شرکا، فروشندگان) اختصاص یابد. باید اطمینان حاصل شود که این اتصالات تحت تدابیر امنیتی سختی صورت‌گرفته‌اند. سپس باید به شرکایی که در ارتباط با آنها مشکلی پیدا شد هشدار داده شود، مخصوصا مشکلاتی که مربوط به احتمال ردوبدل‌شدن محتوای مخرب باشد.

ایزولهکردن سیستم بازیابی و پشتیبانگیری اطلاعات

برای افزایش امنیت داده‌ها باید از سیستم و اطلاعات سازمان به صورت منظم پشتیبان‌گیری شود و داده‌های پشتیبان‌گیری شده در خارج از سازمان به همان میزان حیاتی است که داده‌های فعلی سازمان اهمیت دارند. همچنین سازمان‌ها باید موارد پشتیبان‌گیری شده را اسکن‌ کنند و به دنبال اثری از بدافزارها بگردند. باید اطمینان حاصل نمود که تمامی سیستم‌ها، تجهیزات و نرم‌افزارها که نیازمند بازیابی کامل‌اند، از شبکه ایزوله شده‌اند تا پس از حمله در دسترس باشند.

اجرای بازیابی آزمایشی

انجام بازیابی‌های آزمایشی به صورت منظم تضمین می‌کند که اطلاعات پشتیبانی گرفته شده آماده و قابل استفاده‌‌اند، تمامی منابع قابل بازگردانی‌اند و تمامی سیستم‌ها مطابق انتظار عمل می‌کنند. همچنین این امر اطمینان حاصل می‌کند که زنجیره‌های فرمان سر جای خود هستند و تمامی اشخاص و تیم‌ها مسئولیت خود را می‌دانند. هر مشکلی که طی تمرین‌ها بوجود آمد، باید ثبت و ضبط شود.

بکارگیری کارشناسان پیمانکار

باید لیستی از کارشناسان و مشاوران مورد اعتماد ایجاد شود که در صورت رخداد نقض امنیتی در دسترس‌ باشند و در روند بازیابی کمک ‌کنند. اگر ممکن بود، باید آن‌ها را در جریان بازیابی‌های آزمایشی قرار داد. نکته مهم این است که: سازمان‌ها باید سریعا گزارش هرگونه مورد باج‌افزار را به نهادهای امنیتی مربوطه کشور گزارش نمایند.

توجه به اخبار باجافزار

باید همواره با پیگیری خبرهای حوزه‌ی هوش تهدیدات، از اخبار مربوط به باج‌افزارها آگاه بود. عادت‌کردن به این امر باعث می‌شود سازمان‌ها بتوانند چگونگی و علت هدف قرارگرفتن این سیستم‌ها را درک کرده و نتایج را در محیط خود اعمال‌کنند.

آموزش کارمندان

بجای آنکه کارکنان ضعیف‌ترین حلقه‌ی زنجیره‌ی امنیتی باشند، نیاز است باید اولین خط دفاع سایبری را تشکیل دهند. به‌دلیل اینکه معمولا باج‌افزار با یک حمله Phishing آغاز میگردد، آموزش کارکنان و آگاه‌ساختن آن‌ها از آخرین روش‌های مجرمان سایبری، ضروری است؛ چه یک شرکت را هدف گرفته باشند، چه یک شخص و چه یک دستگاه موبایل باید به حملات Phishing توجه نمود. علاوه بر اینکه مرور موارد امنیتی باید بطور سالانه و منظم صورت ‌گیرند، بیشتر کارکنان باید در کلاس‌های آموزشی شرکت کنند. آموزش‌های ویدیویی کوتاه 30 تا 60 ثانیه‌ای، بازی‌های شبیه‌ساز Phishing، ایمیل‌های کارکنان اجرایی و پوسترهای آموزنده به حفظ آگاهی کمک می‌کنند. همچنین، اجرای یک حمله آزمایشی Phishing داخلی می‌تواند به شناسایی کارمندانی که به آموزش بیشتر نیاز دارند کمک کند.

همه‌ی سازمان‌ها به گونه‌ای درگیر جرایم سایبری هستند. در نتیجه همواره باید با همتایان صنعتی، مشاوران و شرکای تجاری اصلی مذاکرات لازم را انجام داد، تا تدابیر امنیتی را به اشتراک گذاشته و دیگر شرکا را به استفاده از آن‌ها ترغیب نمایند. این امر نه‌تنها باعث جلوگیری از انتشار آلودگی‌های ناشی از باج‌افزار می‌شود و مسئولیت‌پذیری نسبت به رخداد‌های امنیتی را برای همه به دنبال دارد، بلکه به حفاظت از سازمان کمک می‌کند چراکه هرگونه اختلال در شبکه‌ی یکی از شرکا تاثیر بسزایی در فعالیت دیگر سازمان‌ها خواهد داشت.