10 اشتباه رایج امنیتی
تیم تحقیقاتی شرکت سوفوس (Sophos, Ltd) فهرستی از رایجترین اشتباهات امنیتی موجود در طیف وسیعی از سازمانها که در 12 ماه گذشته هنگام بررسی و خنثیسازی حملات سایبری با آنها مواجه شدهاند را ارائه کرده است.
در ادامه، فهرستی از ده اشتباه رایج امنیتی که بر اساس تجربیات و مشاهدات تیم پاسخ به رویداد شرکت سوفوس هنگام مقابله با حملات با آن مواجه شدهاند، مورد بررسی قرار میگیرد:
- اشتباه شماره 1. ما هدف نیستیم. ما بسیار کوچک هستیم و/یا هیچ دارایی ارزشمندی برای مهاجم نداریم.
بنا بر گزارش سوفوس، بسیاری از قربانیان حملات سایبری تصور میکنند که آنها بسیار کوچک هستند، یا فاقد هرگونه دارایی ارزشمند و جذاب برای مهاجمان هستند. حقیقت این است که اینطور نیست؛ اگر سازمانی توانایی پردازش و حضور دیجیتالی دارد، یکی از اهداف جذاب برای حمله مهاجمان است. با وجود عناوین رسانهای، اکثر حملات توسط مهاجمان با پشتوانه دولتی انجام نمیشود. آنها توسط فرصتطلبانی که به دنبال طعمه آسان هستند، صورت میگیرند مانند سازمانهایی که باگ، شکاف امنیتی یا تنظیماتی نادرست دارند و تبهکاران سایبری میتوانند به راحتی از آنها سوءاستفاده کنند.
اگر سازمانی معتقد است که برای مهاجمان جذاب نیست و مورد هدف آنها قرار نمیگیرد، احتمالاً به دنبال کشف فعالیت مشکوک در شبکه خود نیست (مانند حضور Mimikatz) که یک برنامه منبع باز است و به کاربران امکان مشاهده و ذخیره اطلاعات اصالتسنجی را بر روی کنترلر دامنه (Domain Controller) میدهد. این امر موجب میشود که نشانههای اولیه حمله توسط سازمان قابل شناسایی و تشخیص نباشد.
- اشتباه شماره 2. ما نیازی به فناوریهای امنیتی و حفاظتی پیشرفته که همه جا نصب کردهاند، نداریم.
برخی از مدیران فناوری اطلاعات هنوز معتقدند که نرمافزارهای امنیتی نقطه پایانی برای جلوگیری از تمام انواع تهدیدات کافی است یا نیازی به ایمنسازی سرورهای خود ندارند. مهاجمان نیز از چنین فرضیاتی نهایت استفاده را میبرند. هرگونه اشتباه در پیکربندی، اعمال وصلهها یا تمهیدات حفاظتی (ایمنسازی)، سرورها را برخلاف گذشته به یک هدف اصلی تبدیل میکند نه یک هدف ثانویه.
تعداد و انواع حملاتی که در آن سعی میشود که توسط تیمهای امنیتی فناوری اطلاعات شناسایی نشوند و نرمافزارهای نقاط پایانی را دور بزنند یا غیرفعال کنند، روزبهروز بیشتر میشوند. به عنوان مثال میتوان به حملاتی اشاره کرد که از مهندسی اجتماعی سوءاستفاده کرده و با بکارگیری نقاط آسیبپذیری متعدد، کدهای بدافزاری بسیاری را بستهبندی و مبهمسازی نموده و مستقیماً به حافظه تزریق میکنند. حملات بدافزاری بدونفایل (Fileless) همچون بارگذاری فایل DLL و حملاتی که علاوه بر تکنیکهای متداول و مورد استفاده توسط راهبران امنیتی، از ابزارهای دسترسی از راه دور مجاز همچون Cobalt Strike استفاده میکنند. تکنولوژیهای اولیه ضدویروس برای تشخیص و مسدودسازی چنین فعالیتهایی دائماً در حال تلاش هستند.
به طور مشابه، این فرض که نقاط پایانی محافظت شده میتوانند مانع از ورود مهاجمان به سرورهای محافظت نشده شوند، کاملاً اشتباه است. با توجه به رویدادهایی که اخیراً محققان سوفوس مشاهده و بررسی کردهاند، سرورها اکنون هدف شماره یک حملات مهاجمان هستند و تبهکاران سایبری به راحتی میتوانند با استفاده از اطلاعات اصالتسنجی به سرقت رفته، مسیر مستقیم را جهت نفوذ به آنها پیدا کنند. اکثر مهاجمان راه نفوذ به سیستمهای تحت Linux را نیز میدانند. در واقع، مهاجمان غالباً پس از هک سیستمهای تحت Linux، از طریق نصب درب پشتی از آنها به عنوان مسیری امن جهت دسترسی و گسترش در شبکه هدف استفاده میکنند.
اگر سازمانی فقط متکی به سیستمهای امنیتی و حفاظتی ساده و ابتدایی باشد و فاقد هرگونه ابزارهای پیشرفته و یکپارچه همچون راهکارهای مبتنی بر رفتار و تشخیص بر پایه هوشمصنوعی باشد و در عین حال یک مرکز حفاظتی شبانهروزی تحت هدایت انسان (24×7 SOC) نداشته باشد، مهاجمان سرانجام از سد دفاعی آن سازمان عبور خواهند کرد.
نکته آخر و مهم این است که هرچند پیشگیری از حملات هدف هر سازمانی است اما تشخیص به موقع حملات نیز بسیار ضروری است.
- اشتباه شماره 3. ما سیاستهای امنیتی (حفاظتی) قوی داریم.
داشتن سیاستهای امنیتی برای برنامههای کاربردی و کاربران بسیار حیاتی است. با این حال، با اضافه شدن ویژگیها و قابلیتهای جدید به دستگاههای متصل به شبکه، سیستمهای حفاظتی نیز باید به طور مداوم بررسی و بهروز شوند. با استفاده از تکنیکهایی مانند تست نفوذ (Penetration testing)، سناریوها و اجراهای آزمایشی (Tabletop exercises and trial runs)، برنامههای بازیابی رویداد و سیاستهای سازمان تأیید و آزمایش شوند.
- اشتباه شماره 4. دسترسی های از راه دور (Remote Desktop Protocol) را میتوان با تغییر درگاههایی که روی آنها قرار دارند و با بکارگیری احراز هویت چند عاملی (Multi-Factor Authentication) در برابر مهاجمان محافظت کرد.
درگاه استانداردی که برای خدمات RDP مورد استفاده قرار میگیرد، 3389 است. بنابراین اکثر مهاجمان درگاه مذکور را به منظور یافتن سرورهای دسترسی از راه دور باز، پویش میکنند. با این حال، این پویش هرگونه سرویس باز را بدون در نظر گرفتن درگاهی که در آن قرار دارند شناسایی میکند. لذا تغییر درگاهها به خودی خود هیچ گونه حفاظتی را تامین نمیکند یا حفاظت بسیار کمی را ارائه میدهد.
علاوه بر این، اگرچه احراز هویت چندعاملی بسیار مهم است اما تنها در صورتی که این خطمشی برای همه کاربران و دستگاهها اعمال شود، امنیت را افزایش میدهد. فعالیت RDP نیز باید در محدوده حفاظتی یک شبکه خصوصی مجازی (VPN) بکارگرفته شود و در صورتی که مهاجمان از قبل در شبکه وجود داشته باشند، MFA نمیتواند به طور کامل از یک سازمان محافظت کند. ترجیحاً اگر استفاده از آن ضروری باشد، باید استفاده از RDP در داخل و خارج، محدود یا غیرفعال شود.
- اشتباه شماره 5. مسدودکردن نشانیهای IP مناطق پرخطری همچون روسیه، چین و کره شمالی از ما در برابر حملات صورت گرفته از آن مناطق جغرافیایی محافظت میکند.
مسدودکردن نشانیهای IP مناطق خاص بعید است که آسیبی به همراه داشته باشد اما اگر فقط برای افزایش امنیت به این موضوع اتکا شود میتواند احساس امنیت کاذب ایجاد کند. کشورهای دیگری نیز همچون ایالات متحده، هلند و بقیه اروپا میزبان زیرساختهای بدافزاری مهاجمان هستند.
- اشتباه شماره 6. نسخه پشتیبان تهیه شده، سازمان را در برابر عواقب حمله باجافزاری مصون نگه میدارد.
داشتن نسخه پشتیبان بهروز از اسناد و مدارک اهمیت بسیاری دارد. با این حال، اگر نسخه پشتیبان شما به شبکه متصل باشد، در دسترس مهاجمان قرار دارد و ممکن است در حمله باجافزاری مورد رمزگذاری، حذف یا غیرفعال شدن قرار گیرد. شایان ذکر است که حتی محدود کردن تعداد افرادی که به نسخه پشتیبان سازمان دسترسی دارند نیز ممکن است امنیت را به میزان قابل توجهی افزایش ندهد زیرا مهاجمان در شبکه به دنبال این افراد و دسترسی به اطلاعات اصالتسنجی آنها خواهند بود.
به طور مشابه، ذخیره نسخه پشتیبان در فضای ابری نیز باید با احتیاط انجام شود. اخیراً در یکی از حملات، تیم تحقیقاتی سوفوس مشاهده نمودند که مهاجمان بعد از سرقت اطلاعات اصالتسنجی مدیر فناوری اطلاعات به ارائهدهنده خدمات ابری ایمیل ارسال کردند و از آنها درخواست نمودند که همه نسخههای پشتیبان را حذف کنند و آنها نیز نسخه پشتیبان را حذف کردند.
فرمول استاندارد تهیه نسخه پشتیبان که میتوان برای بازیابی دادهها و سیستمها پس از حمله باجافزاری مورد استفاده قرار گیرد پیروی از قاعده 1-2-3 است. بر طبق این قاعده، به طور دورهای از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
آخرین نکته احتیاطی این است که پشتیبانگیری آفلاین در محل، اطلاعات شما را در برابر حملات باجافزارهایی که هدفشان اخاذی است، محافظت نمیکند. تبهکاران سایبری پس از سرقت فایلها تهدید میکنند که دادههای شما را رمزگذاری و/یا منتشر خواهند کرد.
- اشتباه شماره 7. کارکنان سازمانها امنیت را درک میکنند.
براساس گزارش سوفوس از باجافزارها در سال 2021 که جزئیات آن در نشانی زیر منتشر شده است، 22 درصد از سازمانها معتقدند که در 12 ماه آینده مورد حمله باجافزارها قرار خواهند گرفت زیرا پیشگیری از به خطر انداختن امنیت توسط کاربران نهایی دشوارتر است.
https://secure2.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-2021-wp.pdf
تشخیص تاکتیکهای مهندسی اجتماعی همچون ایمیلهای فیشینگ مشکلتر شده است. پیامها غالباً دستی و بصورت دقیق نوشته میشوند. از این رو متقاعدکننده هستند و با دقت هدفگذاری میشوند. کارکنان سازمانها باید بدانند که چگونه پیامهای مشکوک را تشخیص داده و هنگام دریافت چنین پیامهایی چه کنند. آنها باید بدانند که به چه کسی اطلاع دهند تا سایر کارکنان نیز در حالت آماده باش قرار گیرند.
- اشتباه شماره 8. تیمهای واکنش به رویداد میتوانند دادههای سازمان را پس از حمله باجافزاری بازیابی کنند.
این بسیار بعید است. امروزه مهاجمان اشتباهات بسیار کمتری مرتکب میشوند و فرایند رمزگذاری خود را بهبود دادهاند، بنابراین اتکا به تیم پاسخ به رویداد جهت یافتن روزنهای که بتواند آسیب را برطرف کند بسیار نادر است.
علاوه بر بازنویسی دادههای اصلی ذخیره شده روی دیسک، اکثر باجافزارهای مدرن، پشتیبانگیری خودکار مانند Windows Volume Shadow Copies را نیز حذف میکنند که این امر موجب میشود تنها راه بازیابی از طریق پرداخت باج باشد.
- اشتباه شماره 9. پس از حمله باجافزاری و پرداخت باج توسط سازمان، مهاجمان دادههای سازمان را پس میدهند.
براساس گزارش سوفوس از باجافزارها در سال 2021، سازمانی که باج مطالبه شده را پرداخت میکند، به طور متوسط تنها حدود 3/2 (65 درصد) از دادههای خود را دریافت میکند. فقط 8 درصد از سازمانها همه اطلاعات خود را پس گرفتند و 29 درصد کمتر از نیمی از اطلاعات سرقت شده را دریافت کردند. پرداخت باج حتی زمانی که به نظر میرسد گزینه سادهتری است و یا تنها گزینه تحت پوشش بیمهنامه سایبری سازمان است، راه حل مناسبی برای رهایی ازمشکل نیست.
علاوه بر این، بازیابی دادهها تنها بخشی از فرایند ترمیم و پاکسازی باجافزار است. در بیشتر موارد باجافزار، کامپیوترها را کاملاً غیرفعال و قفل میکند به گونهای که قبل از بازیابی دادهها، ابتدا باید نرم افزارها و سیستمها از ابتدا بازسازی شوند. گزارش سال 2021 نشان میدهد که به طور متوسط هزینههای بازیابی ده برابر بیشتر از باج مطالبه شده است.
- اشتباه شماره 10. انتشار باج افزار کل حمله است، اگر سازمان از انتشار باجافزار در امان باشد، مشکلی وجود ندارد.
متأسفانه این مورد به ندرت اتفاق میافتد. مهاجمان میخواهند از طریق انتشار باجافزار راهبران سازمان را از حضور خود در شبکه سازمان مطلع و آنچه که انجام دادهاند، مطلع کنند.
به احتمال زیاد همانطور که در لینک زیر اشاره شده است، مهاجمان اگر از چند هفته قبل در شبکه یک سازمان نباشند، چند روز قبل از انتشار باجافزاردر شبکه بودهاند و به کاوش، غیرفعالسازی، حذف نسخههای پشتیبان، یافتن سیستمهای حاوی اطلاعات با ارزش و حیاتی و یا برنامههای کاربردی به منظور رمزگذاری، حذف اطلاعات و نصب کدهای بدافزاری همچون دربهای پشتی پرداختهاند. حضور و ماندگاری در شبکههای قربانی به مهاجمان اجازه میدهد در صورت تمایل حمله دوم خود را انجام دهند.
https://news.sophos.com/en-us/2021/05/18/the-active-adversary-playbook-2021/