اشتباهات رایج امنیتی در واحد فناوری اطلاعات
در این مقاله به 10 اشتباه رایج امنتی که توسط سوفوس منتشر شده است پرداخته ایم.
تیم تحقیقاتی شرکت سوفوس (Sophos, Ltd) فهرستی از اشتباهات رایج امنیتی موجود در طیف وسیعی از سازمانها که در ۱۲ ماه گذشته هنگام بررسی و خنثیسازی حملات سایبری با آنها مواجه شدهاند را ارائه کرده است.
در این مقاله به لیستی از اشتباهات رایج امنیتی (شامل 10 اشتباه رایج) واحدهای فناوری اطلاعات و ارتباطات که براساس داده ها و مشاهدات تیم پشتیبانی به رویدادهای این شرکت در زمان مقابله با حملات سایبری مواجه شده اند، را مورد بررسی خواهیم کرد.
مورد اول: ما هدف نیستیم. ما بسیار کوچک هستیم و/یا هیچ دارایی ارزشمندی برای مهاجم نداریم.
این دیالوگ در بسیاری از واحد های فناوری اطلاعات به عنوان یکی از ثابت ترین دیالوگ های امنیتی بین کارمندان سازمان ها بکار برده می شود.
بسیاری از قربانیان حملات سایبری تصور میکنند که آنها بسیار کوچک هستند، یا فاقد هرگونه دارایی ارزشمند و جذاب برای مهاجمان هستند. حقیقت این است که اینطور نیست؛
اگر سازمانی توانایی پردازش و حضور دیجیتالی دارد، یکی از اهداف جذاب برای حمله مهاجمان است. با وجود عناوین رسانهای، اکثر حملات توسط مهاجمان با پشتوانه دولتی انجام نمیشود. آنها توسط فرصتطلبانی که به دنبال طعمه آسان هستند، صورت میگیرند مانند سازمانهایی که باگ، شکاف امنیتی یا تنظیماتی نادرست دارند و تبهکاران سایبری میتوانند به راحتی از آنها سوءاستفاده کنند.
اگر سازمانی معتقد است که برای مهاجمان جذاب نیست و مورد هدف آنها قرار نمیگیرد، احتمالاً به دنبال کشف فعالیت مشکوک در شبکه خود نیست (مانند حضور Mimikatz) که یک برنامه منبع باز است و به کاربران امکان مشاهده و ذخیره اطلاعات اصالتسنجی را بر روی کنترلر دامنه (Domain Controller) میدهد. این امر موجب میشود که نشانههای اولیه حمله توسط سازمان قابل شناسایی و تشخیص نباشد.
گفتنیست این مورد یکی از بزرگترین و جدی ترین اشتباهات رایج امنیتی است که در گوشه به گوشه سازمان ها دیده می شود.
مورد دوم: ما نیازی به فناوریهای امنیتی و حفاظتی پیشرفته که همه جا نصب کردهاند، نداریم.
یک جمله خطرناک که بیشتر از سوی مدیران ارشد سازمان ها رایج شده است.
برخی از مدیران فناوری اطلاعات هنوز معتقدند که نرمافزارهای امنیتی نقطه پایانی برای جلوگیری از تمام انواع تهدیدات کافی است یا نیازی به ایمنسازی سرورهای خود ندارند. مهاجمان نیز از چنین فرضیاتی نهایت استفاده را میبرند. هرگونه اشتباه در پیکربندی، اعمال وصلهها یا تمهیدات حفاظتی (ایمنسازی)، سرورها را برخلاف گذشته به یک هدف اصلی تبدیل میکند نه یک هدف ثانویه.
تعداد و انواع حملاتی که در آن سعی میشود که توسط تیمهای امنیتی فناوری اطلاعات شناسایی نشوند و نرمافزارهای نقاط پایانی را دور بزنند یا غیرفعال کنند، روزبهروز بیشتر میشوند. به عنوان مثال میتوان به حملاتی اشاره کرد که از مهندسی اجتماعی سوءاستفاده کرده و با بکارگیری نقاط آسیبپذیری متعدد، کدهای بدافزاری بسیاری را بستهبندی و مبهمسازی نموده و مستقیماً به حافظه تزریق میکنند.
حملات بدافزاری بدونفایل (Fileless) همچون بارگذاری فایل DLL و حملاتی که علاوه بر تکنیکهای متداول و مورد استفاده توسط راهبران امنیتی، از ابزارهای دسترسی از راه دور مجاز همچون Cobalt Strike استفاده میکنند. تکنولوژیهای اولیه ضدویروس برای تشخیص و مسدودسازی چنین فعالیتهایی دائماً در حال تلاش هستند.
به طور مشابه، این فرض که نقاط پایانی محافظت شده میتوانند مانع از ورود مهاجمان به سرورهای محافظت نشده شوند، کاملاً اشتباه است. با توجه به رویدادهایی که اخیراً محققان سوفوس مشاهده و بررسی کردهاند، سرورها اکنون هدف شماره یک حملات مهاجمان هستند و تبهکاران سایبری به راحتی میتوانند با استفاده از اطلاعات اصالتسنجی به سرقت رفته، مسیر مستقیم را جهت نفوذ به آنها پیدا کنند.
اکثر مهاجمان راه نفوذ به سیستمهای تحت Linux را نیز میدانند. در واقع، مهاجمان غالباً پس از هک سیستمهای تحت Linux، از طریق نصب درب پشتی از آنها به عنوان مسیری امن جهت دسترسی و گسترش در شبکه هدف استفاده میکنند.
اگر سازمانی فقط متکی به سیستمهای امنیتی و حفاظتی ساده و ابتدایی باشد و فاقد هرگونه ابزارهای پیشرفته و یکپارچه همچون راهکارهای مبتنی بر رفتار و تشخیص بر پایه هوشمصنوعی باشد و در عین حال یک مرکز حفاظتی شبانهروزی تحت هدایت انسان (۲۴×۷ SOC) نداشته باشد، مهاجمان سرانجام از سد دفاعی آن سازمان عبور خواهند کرد.
نکته آخر و مهم این است که هرچند پیشگیری از حملات هدف هر سازمانی است اما تشخیص به موقع حملات نیز بسیار ضروری است.
مطالعه بیشتر: 10 گام تا رسیدن به امنیت سایبری مناسب
مورد سوم:ما سیاستهای امنیتی (حفاظتی) قوی داریم.
داشتن سیاستهای امنیتی برای برنامههای کاربردی و کاربران بسیار حیاتی است. با این حال، با اضافه شدن ویژگیها و قابلیتهای جدید به دستگاههای متصل به شبکه، سیستمهای حفاظتی نیز باید به طور مداوم بررسی و بهروز شوند.
با استفاده از تکنیکهایی مانند تست نفوذ (Penetration testing)، سناریوها و اجراهای آزمایشی (Tabletop exercises and trial runs)، برنامههای بازیابی رویداد و سیاستهای سازمان تأیید و آزمایش شوند.
مورد چهارم: دسترسی های از راه دور (Remote Desktop Protocol) را میتوان با تغییر درگاههایی که روی آنها قرار دارند و با بکارگیری احراز هویت چند عاملی (Multi-Factor Authentication) در برابر مهاجمان محافظت کرد.
درگاه استانداردی که برای خدمات RDP مورد استفاده قرار میگیرد، ۳۳۸۹ است. بنابراین اکثر مهاجمان درگاه مذکور را به منظور یافتن سرورهای دسترسی از راه دور باز، پویش میکنند. با این حال، این پویش هرگونه سرویس باز را بدون در نظر گرفتن درگاهی که در آن قرار دارند شناسایی میکند. لذا تغییر درگاهها به خودی خود هیچ گونه حفاظتی را تامین نمیکند یا حفاظت بسیار کمی را ارائه میدهد.
علاوه بر این، اگرچه احراز هویت چندعاملی بسیار مهم است اما تنها در صورتی که این خطمشی برای همه کاربران و دستگاهها اعمال شود، امنیت را افزایش میدهد. فعالیت RDP نیز باید در محدوده حفاظتی یک شبکه خصوصی مجازی (VPN) بکارگرفته شود و در صورتی که مهاجمان از قبل در شبکه وجود داشته باشند، MFA نمیتواند به طور کامل از یک سازمان محافظت کند. ترجیحاً اگر استفاده از آن ضروری باشد، باید استفاده از RDP در داخل و خارج، محدود یا غیرفعال شود.
مورد پنجم: مسدودکردن نشانیهای IP مناطق پرخطری همچون روسیه، چین و کره شمالی از ما در برابر حملات صورت گرفته از آن مناطق جغرافیایی محافظت میکند.
مسدودکردن نشانیهای IP مناطق خاص بعید است که آسیبی به همراه داشته باشد اما اگر فقط برای افزایش امنیت به این موضوع اتکا شود میتواند احساس امنیت کاذب ایجاد کند. کشورهای دیگری نیز همچون ایالات متحده، هلند و بقیه اروپا میزبان زیرساختهای بدافزاری مهاجمان هستند.
مورد ششم: نسخه پشتیبان تهیه شده، سازمان را در برابر عواقب حمله باجافزاری مصون نگه میدارد.
داشتن نسخه پشتیبان بهروز از اسناد و مدارک اهمیت بسیاری دارد. با این حال، اگر نسخه پشتیبان شما به شبکه متصل باشد، در دسترس مهاجمان قرار دارد و ممکن است در حمله باجافزاری مورد رمزگذاری، حذف یا غیرفعال شدن قرار گیرد. شایان ذکر است که حتی محدود کردن تعداد افرادی که به نسخه پشتیبان سازمان دسترسی دارند نیز ممکن است امنیت را به میزان قابل توجهی افزایش ندهد زیرا مهاجمان در شبکه به دنبال این افراد و دسترسی به اطلاعات اصالتسنجی آنها خواهند بود.
به طور مشابه، ذخیره نسخه پشتیبان در فضای ابری نیز باید با احتیاط انجام شود. اخیراً در یکی از حملات، تیم تحقیقاتی سوفوس مشاهده نمودند که مهاجمان بعد از سرقت اطلاعات اصالتسنجی مدیر فناوری اطلاعات به ارائهدهنده خدمات ابری ایمیل ارسال کردند و از آنها درخواست نمودند که همه نسخههای پشتیبان را حذف کنند و آنها نیز نسخه پشتیبان را حذف کردند.
مطالعه بیشتر: دستورالعملهایی برای جلوگیری از وقوع حوادث حملات سایبری اخیر
فرمول استاندارد تهیه نسخه پشتیبان که میتوان برای بازیابی دادهها و سیستمها پس از حمله باجافزاری مورد استفاده قرار گیرد پیروی از قاعده ۱-۲-۳ است. بر طبق این قاعده، به طور دورهای از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
آخرین نکته احتیاطی این است که پشتیبانگیری آفلاین در محل، اطلاعات شما را در برابر حملات باجافزارهایی که هدفشان اخاذی است، محافظت نمیکند. تبهکاران سایبری پس از سرقت فایلها تهدید میکنند که دادههای شما را رمزگذاری و/یا منتشر خواهند کرد.
مورد هفت: کارکنان سازمانها امنیت را درک میکنند.
براساس گزارش سوفوس از باجافزارها در سال ۲۰۲۱ که جزئیات آن در نشانی زیر منتشر شده است، ۲۲ درصد از سازمانها معتقدند که در ۱۲ ماه آینده مورد حمله باجافزارها قرار خواهند گرفت زیرا پیشگیری از به خطر انداختن امنیت توسط کاربران نهایی دشوارتر است که این مورد توسط این شرکت از اشتباهات رایج امنیتی اشاره شده است که به سادگی از این مورد عبور کرده و به بحث آموزش نمی پردازند.
https://secure2.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-2021-wp.pdf
تشخیص تاکتیکهای مهندسی اجتماعی همچون ایمیلهای فیشینگ مشکلتر شده است. پیامها غالباً دستی و بصورت دقیق نوشته میشوند. از این رو متقاعدکننده هستند و با دقت هدفگذاری میشوند. کارکنان سازمانها باید بدانند که چگونه پیامهای مشکوک را تشخیص داده و هنگام دریافت چنین پیامهایی چه کنند. آنها باید بدانند که به چه کسی اطلاع دهند تا سایر کارکنان نیز در حالت آماده باش قرار گیرند.
مورد هشت: تیمهای واکنش به رویداد میتوانند دادههای سازمان را پس از حمله باجافزاری بازیابی کنند.
این بسیار بعید است. امروزه مهاجمان اشتباهات بسیار کمتری مرتکب میشوند و فرایند رمزگذاری خود را بهبود دادهاند، بنابراین اتکا به تیم پاسخ به رویداد جهت یافتن روزنهای که بتواند آسیب را برطرف کند بسیار نادر است.
علاوه بر بازنویسی دادههای اصلی ذخیره شده روی دیسک، اکثر باجافزارهای مدرن، پشتیبانگیری خودکار مانند Windows Volume Shadow Copies را نیز حذف میکنند که این امر موجب میشود تنها راه بازیابی از طریق پرداخت باج باشد.
مطالعه بیشتر: دستورالعمل هایی برای جلوگیری از وقوع حوادث مشابه “حملات سایبری اخیر” بخش دوم
مورد نهم: پس از حمله باجافزاری و پرداخت باج توسط سازمان، مهاجمان دادههای سازمان را پس میدهند.
براساس گزارش سوفوس از باجافزارها در سال ۲۰۲۱، سازمانی که باج مطالبه شده را پرداخت میکند، به طور متوسط تنها حدود ۳/۲ (۶۵ درصد) از دادههای خود را دریافت میکند. فقط ۸ درصد از سازمانها همه اطلاعات خود را پس گرفتند و ۲۹ درصد کمتر از نیمی از اطلاعات سرقت شده را دریافت کردند.
پرداخت باج حتی زمانی که به نظر میرسد گزینه سادهتری است و یا تنها گزینه تحت پوشش بیمهنامه سایبری سازمان است، راه حل مناسبی برای رهایی ازمشکل نیست.
علاوه بر این، بازیابی دادهها تنها بخشی از فرایند ترمیم و پاکسازی باجافزار است. در بیشتر موارد باجافزار، کامپیوترها را کاملاً غیرفعال و قفل میکند به گونهای که قبل از بازیابی دادهها، ابتدا باید نرم افزارها و سیستمها از ابتدا بازسازی شوند. گزارش سال ۲۰۲۱ نشان میدهد که به طور متوسط هزینههای بازیابی ده برابر بیشتر از باج مطالبه شده است.
مورد دهم: انتشار باج افزار کل حمله است، اگر سازمان از انتشار باجافزار در امان باشد، مشکلی وجود ندارد.
متأسفانه این مورد به ندرت اتفاق میافتد. مهاجمان میخواهند از طریق انتشار باجافزار راهبران سازمان را از حضور خود در شبکه سازمان مطلع و آنچه که انجام دادهاند، مطلع کنند.
به احتمال زیاد همانطور که در لینک زیر اشاره شده است، مهاجمان اگر از چند هفته قبل در شبکه یک سازمان نباشند، چند روز قبل از انتشار باجافزاردر شبکه بودهاند و به کاوش، غیرفعالسازی، حذف نسخههای پشتیبان، یافتن سیستمهای حاوی اطلاعات با ارزش و حیاتی و یا برنامههای کاربردی به منظور رمزگذاری، حذف اطلاعات و نصب کدهای بدافزاری همچون دربهای پشتی پرداختهاند. حضور و ماندگاری در شبکههای قربانی به مهاجمان اجازه میدهد در صورت تمایل حمله دوم خود را انجام دهند.
نتیجه گیری:
این موارد اشتباهات رایج امنیتی در طول یک سال گذشته سازمان های بزرگ و کوچک فراوانی را درگیر کرده است که پیشنهاد می شود در مرحله اول تمامی افراد سازمان را با موارد امنیتی آشنا سازند و بعد به فکر زیرساخت های امنیتی بیوفتند که مورد بسیار مهم و اساسی به شمار می رود.امیدواریم این نکات اشتباهات رایج امنیتی توانسته باشد نکات خوب و مهمی را برای جلوگیری از حملات سایبری انتقال داده باشد.
منبع اشتباهات رایج امنیتی:
https://news.sophos.com/en-us/2021/05/18/the-active-adversary-playbook-2021/
با تشکر از گروه مهندسی شبکه
پاسخی بگذارید