چگونه برای مبارزه با حملات باج افزاری آماده شویم؟
به گزارش وبلاگ فرافایلی، حملات باج افزاری روزبه روز در حال افزایش هستند و هر شخصی می تواند قربانی این حملات باشد؛ اما چه راه هایی برای پیشگیری یا به حداقل رساندن آن ها وجود دارد؟
به گزارش وبلاگ فرافایلی به نقل از زومیت، باج افزارهای مخرب و پرهزینه روزبه روز در حال افزایش هستند. در این مقاله، راهبردهایی برای مقابله با حملات باج افزاری ارائه شده است.
افزایش باج افزارها
حملات باج افزاری با نرخی تهدید آمیز روبه افزایش هستند. به نقل از گزارش نیم ساله Bitdefender در سال 2020، تعداد گزارش های باج افزاری در سراسر دنیا، 715 درصد افزایش یافته است. ایالات متحده آمریکا ازنظر تعداد حملات در رتبه اول و بریتانیا در رتبه دوم قرار دارند.
حمله باج افزاری باعث رمزنگاری فایل ها و داده ها به گونه ای می گردد که دیگر نتوانید با آن ها کار کنید. برای بازگشت سیستم به حالت عملیاتی عادی، باید کامپیوتر و سیستم خود را کاملا پاک سازی و با بکاپ آن را بازیابی کنید یا از کلید رمزگشایی برای بازکردن قفل فایل ها و داده هایتان بهره ببرید. برای دریافت کلید رمزگشایی باید باج بدهید. باج افزار آثار مخربی بر عملکرد کسب و کار می گذارد و حتی می تواند به ازبین رفتن دائمی داده ها منجر گردد. باج افزار این مسائل را به وجود می آورد:
- ازکارافتادگی کسب و کار
- ازبین رفتن بهره وری
- ازبین رفتن درآمد
- ازبین رفتن اعتبار
- ازبین رفتن یا نابودی یا انتشار عمومی اطلاعات حساس تجاری
اگر بخواهید باج بدهید، هزینه هایتان افزایش می یابند و ممکن است پس از حمله بدافزارها به قوت خود باقی بمانند. شاید فکر کنید این اتفاق برایتان رخ نمی دهد یا خود را این گونه قانع کنید که بسیار کوچک هستید و هکرها صرفا گزینه های بهتر و عظیم تری را هدف قرار می دهند یا چرا باید خود را به خاطر شرکتی مثل شما آزار دهند. متأسفانه این تصورات حقیقت ندارند.
همه هدف حمله هستند. از میان روش های مختلف، ایمیل مکانیزم شماره یک انتقال باج افزار است. حملات فیشینگ از فهرست ایمیل هایی با میلیون ها ورودی استفاده می نمایند. کل آدرس های ایمیل قربانی در دَه سال گذشته در فضای دارک وب موجود هستند. آدرس های ایمیل جدید هم روزانه با نفوذ و حمله روبرو و به فهرست یادشده اضافه می شوند. تمام این آدرس ها، ایمیل های فیشینگ را دریافت می نمایند و نفوذنمایندگان اهمیتی نمی دهند که ایمیل ها به چه افرادی متعلق هستند.
تعداد کمی از حملات باج افزاری به صورت هدفمند اجرا می شوند و درحدود 99 درصد از حملات قربانی را ردیابی یا شناسایی نمی نمایند. باج گیرندگان لزوما تک تیراندازهای مخفی نیستند؛ بلکه شکارچیان ماشینی هستند که بدون هدف قربانی می گیرند. آن ها ایمیل های خود را پخش می نمایند و سپس منتظر فرصت حمله می مانند.
باج یا بازیابی
مجرمان سایبری یا همان نفوذنمایندگان در ازای دریافت باج، کلید رمزگشایی داده ها را به کاربر می دهند. باج معمولا به صورت رمزارز بیت کوین پرداخت می گردد؛ گرچه نفوذگران بر سر رمزارزهای دیگر هم توافق دارند. براساس CoinMarketCap، آمار رمزارزهای فعال به 7500 نوع می رسد.
گرچه معامله براساس بیت کوین نسبتا آسان است، دریافت کیف پول الکترونیکی و طی مراحل لازم ممکن است چند روز به طول بینجامد. در این دوره، امکان راه اندازی کسب و کار یا حداقل اجرای عملیات بهینه وجود ندارد. حتی اگر باجی پرداخت گردد، تضمینی برای بازگشت داده ها وجود ندارد. سمت رمزگشایی باج افزار معمولا ساختار بدی دارد و ممکن است برایتان کار نکند. حتی اگر بتوانید فایل ها را رمزگشایی کنید، باز هم با بدافزاهایی مثل روتکیت ها و تروجان های ریموت و کی لاگرها روبه رو می شوید. بنابراین، باج دادن به ویژه بر اساس رمزارز می تواند بیش از چند روز طول بکشد و سیستمتان حتی پس از رمزگشایی پاک نگردد؛ بنابراین، بهتر است سیستم خود را از پشتیبان بازیابی کنید. در کشورهایی مثل بریتانیا و ایالات متحده، به شدت توصیه می گردد باجی نپردازید.
بازیابی از پشتیبان نیز چندان سریع نیست و فقط در صورتی امکان پذیر است که از روال پشتیبانی پایدار بهره ببرید. علاوه بر این، نفوذنمایندگانی که پشت باج افزارهای پیچیده قرار دارند، می توانند به روش های مختلف پشتیبان ها را هم آلوده نمایند. حتی ممکن است پس از پاک سازی و بازیابی سرور و کامپیوتر، باز هم آلوده باشید. بااین همه، پشتیبان گیری بهترین راه است؛ اما باید از پشتیبان خود به گونه ای محافظت کنید که در صورت احتیاج، یکپارچگی داده ها را حفظ نمایند.
هکرها بیت کوین را به عنوان باج دریافت می نمایند.
پیشگیری بهتر از درمان است
هیچ کس در محیط کار به دنبال حادثه نیست؛ اما از جعبه یاری های اولیه غافل نمی گردد. بله، پیشگیری در هر شرایطی بهتر از درمان است؛ اما باز هم باید جعبه یاری های اولیه را داشته باشید. همین موضوع برای امنیت سایبری صدق می نماید. هیچ کس نمی خواهد با حمله باج افزار روبه رو گردد و بهتر است اقدامات پیشگیرانه لازم را انجام داد و برنامه ای هم برای عکس العمل مناسب دربرابر حوادث احتمالی باید داشت. در این شرایط، به گروهی از افراد احتیاج دارید که با برنامه آشنا باشند و آن را تمرین و دنبال نمایند.
هدف حملات باج افزاری تمام افراد و سازمان های عظیم و کوچک هستند
حتی یک لحظه هم نباید از برنامه غافل شوید و براساس روشی هدفمند و هماهنگ، باید به حادثه واکنش نشان دهید؛ زیرا تنها با دنبال کردن برنامه می توانید به این هدف برسید. تمام افراد بیمه خودرو دارند و امیدواریم هرگز از آن استفاده ننمایند. برنامه واکنش به حادثه هم به همین ترتیب است. به آن احتیاج دارید؛ اما ممکن است در موقعیتی قرار نگیرید که به پیاده سازی آن احتیاج باشد. نگه داری از خودرو و اجازه به افراد آموزش دیده برای استفاده از آن، احتمال تصادف را کاهش می دهد. در ادامه نکاتی برای کاهش ریسک حادثه و پیاده سازی برنامه واکنش به حادثه ارائه داده ایم.
آموزش کارکنان
اغلب حملات باج افزاری به دلیل حملات فیشینگ رخ می دهند. کارمندان خط مقدم ایمیل ها هستند؛ چراکه روزانه با ایمیل ها و پیوست های زیادی روبه رو می شوند که گاهی تعداد آن ها به صدها ایمیل می رسد. تنها یک ایمیل فیشینگ برای آلوده شدن سیستم ها و نفوذ به آن ها کافی است. واضح است کارکنان باید آموزش کافی در زمینه امنیت سایبری دیده باشند و بتوانند ایمیل های فیشینگ و دیگر تهدیدهای ایمیلی را شناسایی نمایند.
این مسئله به صورت دوره ای باید آنالیز گردد و باج افزارها در فهرست ارزیابی ریسک امنیت سایبری قرار بگیرند و آموزش کارکنان هم یکی از اقدامات پیشگیرانه با هدف مبارزه با حملات باج افزاری در نظر گرفته شوند. یکی از روش ها برای کاهش حجم ایمیل ها استفاده از سیستم ایمیل داخلی است. تعداد ایمیل های داخلی کمتر هستند و بدین ترتیب، تمرکز بر ایمیل های خارجی ساده تر خواهد شد. لازم به ذکر است ایمیل های خارجی معمولا حامل ریسک هستند.
آزمایش آسیب پذیری کارکنان
آموزش درکنار آزمایش نتیجه بخش است. یافتن سرویس آنلاین یا سازمانی امنیتی برای راه اندازی کمپین فیشینگ خوش خیم کار ساده ای است. کارمندانی که در تشخیص ایمیل های فیشینگ به درستی عمل نمی نمایند، به گذراندن جلسه ای آموزشی ملزم می شوند. بدین ترتیب، علاوه بر ارزیابی آسیب پذیری کارکنان دربرابر ایمیل های فیشینگ، می توان اثربخشی آموزش را هم آنالیز کرد.
اصل حداقل امتیاز
مطمئن شوید فرایندها و کاربرها از حداقل حقوق دسترسی برای اجرای عملیات تعریف شده برخوردار هستند. اصل حداقل مزیت آسیب های بدافزاری را محدود می نماید. همچنین، سعی کنید دسترسی به حساب های ادمین را محدود کنید و مطمئن شوید این حساب ها به جز عملیات ادمین کاربرد دیگری ندارند. افزون براین، دسترسی به اشتراک گذاری ها و سرورها را به گونه ای کنترل کنید که افراد فاقد نقش و مسئولیت، امکان دسترسی به بخش های حساس را نداشته باشند.
فیلترهای اسپم
فیلترهای اسپم کل ایمیل های بد را تشخیص نمی دهند؛ اما حداقل می توانند بخشی از آن ها را به دام بیندازند. آن ها بخش زیادی از اسپم های ایمن، اما آزاردهنده و تکراری را کشف و قرنطینه می نمایند. بدین ترتیب، حجم ایمیل ها کاهش می یابد. کاهش حجم کاه یافتن سوزن را آسان می نماید.
محافظت نقطه انتهایی (End Point)
آنتی ویروس ها و بسته های ضدبدافزار یا ترکیبی از بسته های محافظتی را باید پیاده سازی و آن ها را مرتب تنظیم و به روزرسانی کرد. کاربران نباید به روزرسانی های را نادیده بگیرند یا به تعویق بیندازند.
بسته به روزرسانی
سیستم عامل ها و میان افزارها و اپلیکیشن ها باید در چرخه پشتیبانی فراوری نماینده قرار داشته باشند و به صورت مرتبط با بسته های به روزرسانی برطرف باگ و امنیتی به روز شوند. اگر هر کدام از این برنامه ها بسته به روزرسانی نداشته باشند، باید استفاده از آن ها را متوقف کنید.
معماری شبکه
غیر از شبکه های ساده، شبکه های خود را باید تقسیم بندی و کامپیوترها و تیم های ضروری را جدا کنید. بدین ترتیب، بخش های حیاتی شبکه از نفوذ در امان می مانند و به نوعی عایق می شوند. از توپولوژی شبکه با بخش های تفکیک شده برای محدود کردن توزیع بدافزار بهره ببرید. مدیریت بخش آلوده از کل شبکه آسان تر است.
استراتژی های بکاپ
پشتیبان ها یا بکاپ ها هسته اصلی برنامه تداوم کسب و کار پایدار هستند. برای پشتیبان گیری از طرحی باید بهره ببرید که با بحران های پیش بینی شدنی، از جمله حملات سایبری تطبیق پیدا کند. دستورالعمل قدیمی بکاپ از سه قانون تشکیل شده است:
- تهیه سه کپی از داده ها: سیستم و دو پشتیبان
- دو پشتیبان باید روی واسطه های مختلف قرار داشته باشند
- یکی از پشتیبان ها خارج از سازمان نگه داری شوند
به بیان ساده، داشتن صرفا یک کپی از داده ها برای پشتیبان گیری کافی نیست. این، بهتر از هیچ است؛ اما پشتیبان گیری اهمیت زیادی دارد و تنها راهکاری است که با هر بودجه ای می توانید برای امنیت خود انجام دهید. پشتیبان واقعی با نرم افزار پشتیبان گیری انجام می گردد که قابلیت نسخه بندی دارد. با نسخه بندی می توانند فایل خود را بر اساس نقطه تعیینی از زمان بازیابی کنید. برای مثال، می توانید فایل را در شرایط دیروز یا هفته یا ماه گذشته بازیابی کنید. براساس ظرفیت و دوره نگه داری حافظه بکاپ می توانید به زمان مدنظر خود در گذشته بازگردید.
با رعایت اصول سه گانه بکاپ می تواند به راحتی داده ها را پس از حمله بازیابی کرد.
پشتیبان ها به رمزنگاری احتیاج دارند. پشتیبان های مبتنی بر ایمیج، ایمیجی از کل هارددرایو از جمله عملیات آن تهیه می نمایند. تغییرات سیستم لایو را می توان در هر چند دقیقه به ایمیج بکاپ منتقل کرد؛ درنتیجه بکاپ مانند تصویری آنی و فوری از سیستم عمل می نماید. این استراتژی ایمیج بکاپ را به ایمیجی از ماشین مجازی تبدیل می نماید. بدین ترتیب در صورت وقوع حادثه، می توان ماشین مجازی را روی سخت افزاری جدید راه اندازی کرد و سخت افزار سرور جدید را پیاده سازی و بر مسائل سیستم لایو غلبه کرد.
پشتیبان به صورت سیستم لایو اجرا می گردد و شرکت می تواند به فعالیت هایش ادامه دهد؛ البته گزینه ای هم برای پشتیبان گیری خارج از محل وجود دارد. بدین ترتیب، می توانید بکاپ خود را در موقعیتی امن در ساختمانی دیگر نگه داری کنید. با داشتن چند بکاپ که در موقعیت های مختلف توزیع شده اند و روی دستگاه های سخت افزاری متفاوت ذخیره شده اند، می توانید خیال خود را راحت کنید.
اگر نفوذگران بخواهند بکاپ ها را آلوده نمایند، باز هم می توانند به تمام مراحل مذکور نفوذ نمایند. برای مثال، اگر باج افزاری تأخیری 28 روزه داشته باشد و شما در این مدت چند بار از داده های خود بکاپ گرفته باشید، این باج افزارها در تمام داده ها توزیع می شوند. برای مقابله با این اتفاق، می توان از بکاپ های تغییرناپذیر استفاده کرد. این بکاپ ها نوشتنی نیستند؛ درنتیجه هیچ باج افزار یا بدافزاری نمی تواند آن ها را آلوده کند. استراتژی پایدار بکاپ از رویکردی لایه ای و متنوع استفاده می نماید.
- می توانید بکاپ های نسخه دار را در دستگاه های ذخیره سازی متصل به شبکه (NAS) پیاده سازی کنید تا بازیابی فایل های حذف شده آسان تر گردد.
- لایه دوم می تواند بکاپ های مبتنی بر ایمیج باشند که در حافظه های خارج از ساختمان و حافظه local ذخیره شده اند. می توانید سرور خراب را درصورت خرابی کل سرور یا خرابی سخت افزار به سرعت بازیابی کنید.
- با استفاده از بکاپ تغییرناپذیر می توانید به سیستم بکاپ جامع و یکپارچه ای برسید که باج افزارها و بد افزارها نمی توانند به آن نفوذ نمایند.
براساس اندازه و پیچیدگی شبکه، هزینه بکاپ هم افزایش می یابد؛ اما در مقایسه با هزینه خرابی ها، کم هزینه است. ازاین رو، به بکاپ به عنوان هزینه فکر نکنید؛ بلکه آن را سرمایه گذاری روی تداوم کسب وکار خود در نظر بگیرید.
برنامه واکنش به حادثه
برنامه واکنش به حادثه ابزاری حیاتی برای تضمین پاسخ های هماهنگ و بهینه به حوادث سایبری است و براساس فعالیت های سازمان می تواند اجباری باشد. برنامه واکنش به حادثه معمولا از بخش های زیر تشکیل شده است که هرکدام باید دقیق و کامل باشند:
- آماده سازی: در این مرحله، کل نکات ذکر شده همراه با استراتژی های دفاعی دیگر قرار دارند. با اجرای برنامه، می توانید آشنایی تیم خود را افزایش دهید و نواقص و مسائل را شناسایی کنید. هرچه آمادگی بیشتری داشته باشید، بهتر عمل خواهید کرد.
- شناسایی: در این مرحله، فرایند تشخیص حادثه و شناسایی نوع حادثه اجرا می گردد. باید کوشش کنید به این پرسش ها پاسخ دهید: چه اتفاقی در حال رخ دادن است؟ چه کسی و چه چیزی تحت تأثیر قرار خواهد گرفت؟ حوزه مشکل کجاست؟
- سد نفوذ: در این مرحله، عامل نفوذ کشف و از گسترش آن جلوگیری می گردد. سپس، سیستم های آلوده قرنطینه می شوند.
- ریشه کن کردن مشکل: در این مرحله، سیستم های آلوده باید پاک سازی شوند. مطمئن شوید بدافزارها از کل ماشین های آسیب پذیر حذف شده اند؛ پس، بسته های به روزرسانی و مراحل امنیتی لازم را اعمال کنید.
- بازیابی: در این مرحله، باید تعیین کنید کدام سیستم ها در اولویت دریافت خدمت هستند. بازیابی از بکاپ و تغییر تعیینات احراز هویت برای تمام حساب ها لازم است. در صورت امکان، با بکاپ های تغییرناپذیر بازیابی را انجام دهید؛ در غیر این صورت، قبل از بازیابی آنالیز کنید بکاپ ها بدافزار نداشته باشند.
- درس ها: آلودگی چگونه رخ داد و چگونه از آن جلوگیری کردید؟ آیا آسیب پذیری غیرعمدی بود یا حاصل خطای انسانی؟ چه مراحلی را برای حفظ امنیت خود انجام دادید؟
گزارش مشکل
از قلم نیاندازید حمله باج افزاری جرم است و آن را حتما گزارش کنید. در اروپا، حمله باج افزاری بر اساس قوانین عمومی محافظت از داده ها یکی از حملات نفوذ داده ای در نظر گرفته می گردد؛ حتی اگر هیچ داده ای دزدیده یا نابود نگردد، این حملات جرم به حساب می آیند.
منبع: جام جم آنلاین