10 اشتباه رایج امنیتی

روابط عمومی

3 سال پیش

تیم تحقیقاتی شرکت سوفوس (Sophos, Ltd) فهرستی از رایج‌ترین اشتباهات امنیتی موجود در طیف وسیعی از سازمان‌ها که در 12 ماه گذشته هنگام بررسی و خنثی‌سازی حملات سایبری با آنها مواجه شده‌اند را ارائه کرده‌ است.

در ادامه، فهرستی از ده اشتباه رایج امنیتی که بر اساس تجربیات و مشاهدات تیم پاسخ به رویداد شرکت سوفوس هنگام مقابله با حملات با آن مواجه شده‌اند، مورد بررسی قرار می‌گیرد:

اشتباه شماره 1. ما هدف نیستیم. ما بسیار کوچک هستیم و/یا هیچ دارایی ارزشمندی برای مهاجم نداریم.

بنا بر گزارش سوفوس، بسیاری از قربانیان حملات سایبری تصور می‌کنند که آنها بسیار کوچک هستند، یا فاقد هرگونه دارایی‌ ارزشمند و جذاب برای مهاجمان هستند. حقیقت این است که اینطور نیست؛ اگر سازمانی توانایی پردازش و حضور دیجیتالی دارد، یکی از اهداف جذاب برای حمله مهاجمان است. با وجود عناوین رسانه‌ای، اکثر حملات توسط مهاجمان با پشتوانه دولتی انجام نمی‌شود. آنها توسط فرصت‌طلبانی که به دنبال طعمه آسان هستند، صورت می‌گیرند مانند سازمان‌هایی که باگ، شکاف امنیتی یا تنظیماتی نادرست دارند و تبهکاران سایبری می‌توانند به راحتی از آنها سوءاستفاده کنند.

اگر سازمانی معتقد است که برای مهاجمان جذاب نیست و مورد هدف آن‌ها قرار نمی‌گیرد، احتمالاً به دنبال کشف فعالیت مشکوک در شبکه خود نیست (مانند حضور Mimikatz) که یک برنامه منبع باز است و به کاربران امکان مشاهده و ذخیره اطلاعات اصالت‌سنجی را بر روی کنترلر دامنه (Domain Controller) می‌دهد. این امر موجب می‌شود که نشانه‌های اولیه حمله توسط سازمان قابل شناسایی و تشخیص نباشد.

اشتباه شماره 2. ما نیازی به فناوری‌های امنیتی و حفاظتی پیشرفته‌ که همه جا نصب کرده‌اند، نداریم.

برخی از مدیران فناوری اطلاعات هنوز معتقدند که نرم‌افزارهای امنیتی نقطه پایانی برای جلوگیری از تمام انواع تهدیدات کافی است یا نیازی به ایمن‌سازی سرورهای خود ندارند. مهاجمان نیز از چنین فرضیاتی نهایت استفاده را می‌برند. هرگونه اشتباه در پیکربندی، اعمال وصله‌ها یا تمهیدات حفاظتی (ایمن‌سازی)، سرورها را برخلاف گذشته به یک هدف اصلی تبدیل می‌کند نه یک هدف ثانویه.

تعداد و انواع حملاتی که در آن سعی می‌شود که توسط تیم‌های امنیتی فناوری اطلاعات شناسایی نشوند و نرم‌افزارهای نقاط پایانی را دور بزنند یا غیرفعال کنند، روز‌به‌روز بیشتر می‌شوند. به عنوان مثال می‌توان به حملاتی اشاره کرد که از مهندسی اجتماعی سوء‌استفاده کرده و با بکارگیری نقاط آسیب‌پذیری متعدد، کدهای بدافزاری بسیاری را بسته‌بندی و مبهم‌سازی نموده و مستقیماً به حافظه تزریق می‌کنند. حملات بدافزاری بدون‌فایل (Fileless) همچون بارگذاری فایل DLL و حملاتی که علاوه بر تکنیک‌های متداول و مورد استفاده توسط راهبران امنیتی، از ابزارهای دسترسی از راه دور مجاز همچون Cobalt Strike استفاده می‌کنند. تکنولوژی‌های اولیه ضدویروس برای تشخیص و مسدود‌سازی چنین فعالیت‌هایی دائماً در حال تلاش هستند.

به طور مشابه، این فرض که نقاط پایانی محافظت شده می‌توانند مانع از ورود مهاجمان به سرورهای محافظت نشده شوند، کاملاً اشتباه است. با توجه به رویدادهایی که اخیراً محققان سوفوس مشاهده و بررسی کرده‌اند، سرورها اکنون هدف شماره یک حملات مهاجمان هستند و تبهکاران سایبری به راحتی می‌توانند با استفاده از اطلاعات اصالت‌سنجی به سرقت رفته، مسیر مستقیم را جهت نفوذ به آن‌ها پیدا کنند. اکثر مهاجمان راه نفوذ به سیستم‌های تحت Linux را نیز می‌دانند. در واقع، مهاجمان غالباً پس از هک سیستم‌های تحت Linux، از طریق نصب درب پشتی از آنها به عنوان مسیری امن جهت دسترسی و گسترش در شبکه هدف استفاده می‌کنند.

اگر سازمانی فقط متکی به سیستم‌های امنیتی و حفاظتی ساده و ابتدایی باشد و فاقد هرگونه ابزارهای پیشرفته و یکپارچه همچون راهکارهای مبتنی بر رفتار و تشخیص بر پایه هوش‌مصنوعی باشد و در عین حال یک مرکز حفاظتی شبانه‌روزی تحت هدایت انسان (24×7 SOC) نداشته باشد، مهاجمان سرانجام از سد دفاعی آن سازمان عبور خواهند کرد.

نکته آخر و مهم این است که هرچند پیشگیری از حملات هدف هر سازمانی است اما تشخیص به موقع حملات نیز بسیار ضروری است.

اشتباه شماره 3. ما سیاست‌های امنیتی (حفاظتی) قوی داریم.

داشتن سیاست‌های امنیتی برای برنامه‌های کاربردی و کاربران بسیار حیاتی است. با این حال، با اضافه شدن ویژگی‌ها و قابلیت‌های جدید به دستگاه‌های متصل به شبکه، سیستم‎های حفاظتی نیز باید به طور مداوم بررسی و به‌روز شوند. با استفاده از تکنیک‌هایی مانند تست نفوذ (Penetration testing)، سناریوها و اجراهای آزمایشی (Tabletop exercises and trial runs)، برنامه‌های بازیابی رویداد و سیاست‌های سازمان تأیید و آزمایش شوند.

اشتباه شماره 4. دسترسی های از راه دور (Remote Desktop Protocol) را می‌توان با تغییر درگاه‌هایی که روی آن‌ها قرار دارند و با بکارگیری احراز هویت چند عاملی (Multi-Factor Authentication) در برابر مهاجمان محافظت کرد.

درگاه استانداردی که برای خدمات RDP مورد استفاده قرار می‌گیرد، 3389 است. بنابراین اکثر مهاجمان درگاه مذکور را به منظور یافتن سرورهای دسترسی از راه دور باز، پویش می‌کنند. با این حال، این پویش هرگونه سرویس باز را بدون در نظر گرفتن درگاهی که در آن قرار دارند شناسایی می‌کند. لذا تغییر درگاه‌ها به خودی خود هیچ گونه حفاظتی را تامین نمی‌کند یا حفاظت بسیار کمی را ارائه می‌دهد.

علاوه بر این، اگرچه احراز هویت چند‌عاملی بسیار مهم است اما تنها در صورتی که این خط‌مشی برای همه کاربران و دستگاه‌ها اعمال شود، امنیت را افزایش می‌دهد. فعالیت RDP نیز باید در محدوده حفاظتی یک شبکه خصوصی مجازی (VPN) بکارگرفته شود و در صورتی که مهاجمان از قبل در شبکه وجود داشته باشند، MFA نمی‌تواند به طور کامل از یک سازمان محافظت کند. ترجیحاً اگر استفاده از آن ضروری باشد، باید استفاده از RDP در داخل و خارج، محدود یا غیرفعال شود.

اشتباه شماره 5. مسدود‌کردن نشانی‌های IP مناطق پرخطری همچون روسیه، چین و کره شمالی از ما در برابر حملات صورت گرفته از آن مناطق جغرافیایی محافظت می‌کند.

مسدودکردن نشانی‌های IP مناطق خاص بعید است که آسیبی به همراه داشته باشد اما اگر فقط برای افزایش امنیت به این موضوع اتکا شود می‌تواند احساس امنیت کاذب ایجاد کند. کشورهای دیگری نیز همچون ایالات متحده، هلند و بقیه اروپا میزبان زیرساخت‌های بدافزاری مهاجمان هستند.

اشتباه شماره 6. نسخه پشتیبان تهیه شده، سازمان را در برابر عواقب حمله باج‌افزاری مصون نگه می‌دارد.

داشتن نسخه پشتیبان به‌روز از اسناد و مدارک اهمیت بسیاری دارد. با این حال، اگر نسخه پشتیبان‌ شما به شبکه متصل باشد، در دسترس مهاجمان قرار دارد و ممکن است در حمله باج‌افزاری مورد رمزگذاری، حذف یا غیرفعال شدن قرار گیرد. شایان ذکر است که حتی محدود کردن تعداد افرادی که به نسخه پشتیبان سازمان دسترسی دارند نیز ممکن است امنیت را به میزان قابل توجهی افزایش ندهد زیرا مهاجمان در شبکه به دنبال این افراد و دسترسی به اطلاعات اصالت‌سنجی آن‌ها خواهند بود.

به طور مشابه، ذخیره نسخه پشتیبان در فضای ابری نیز باید با احتیاط انجام شود. اخیراً در یکی از حملات، تیم تحقیقاتی سوفوس مشاهده نمودند که مهاجمان بعد از سرقت اطلاعات اصالت‌سنجی مدیر فناوری اطلاعات به ارائه‌دهنده خدمات ابری ایمیل ارسال کردند و از آنها درخواست نمودند که همه نسخه‌های پشتیبان را حذف کنند و آن‌ها نیز نسخه پشتیبان را حذف کردند.

فرمول استاندارد تهیه نسخه پشتیبان که می‌توان برای بازیابی داده‌ها و سیستم‌ها پس از حمله باج‌افزاری مورد استفاده قرار گیرد پیروی از قاعده 1-2-3 است. بر طبق این قاعده، به طور دوره‌ای از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.

آخرین نکته احتیاطی این است که پشتیبان‌گیری آفلاین در محل، اطلاعات شما را در برابر حملات باج‌افزارهایی که هدفشان اخاذی است، محافظت نمی‌کند. تبهکاران سایبری پس از سرقت فایل‌ها تهدید می‌کنند که داده‌های شما را رمزگذاری و/یا منتشر خواهند کرد.

اشتباه شماره 7. کارکنان سازمان‌ها امنیت را درک می‌کنند.

براساس گزارش سوفوس از باج‌افزارها در سال 2021 که جزئیات آن در نشانی زیر منتشر شده‌ است، 22 درصد از سازمان‌ها معتقدند که در 12 ماه آینده مورد حمله باج‌افزارها قرار خواهند گرفت زیرا پیشگیری از به خطر انداختن امنیت توسط کاربران نهایی دشوارتر است.

https://secure2.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-state-of-ransomware-2021-wp.pdf

تشخیص تاکتیک‌های مهندسی اجتماعی همچون ایمیل‌های فیشینگ مشکل‌تر شده است. پیام‌ها غالباً دستی و بصورت دقیق نوشته می‌شوند. از این رو متقاعدکننده هستند و با دقت هدف‌گذاری می‌شوند. کارکنان سازمان‌ها باید بدانند که چگونه پیام‌های مشکوک را تشخیص داده و هنگام دریافت چنین پیام‌هایی چه کنند. آنها باید بدانند که به چه کسی اطلاع دهند تا سایر کارکنان نیز در حالت آماده باش قرار گیرند.

اشتباه شماره 8. تیم‌های واکنش به رویداد می‌توانند داده‌های سازمان را پس از حمله باج‌افزاری بازیابی کنند.

این بسیار بعید است. امروزه مهاجمان اشتباهات بسیار کمتری مرتکب می‌شوند و فرایند رمزگذاری خود را بهبود داده‌اند، بنابراین اتکا به تیم پاسخ به رویداد جهت یافتن روزنه‌ای که بتواند آسیب را برطرف کند بسیار نادر است.

علاوه بر بازنویسی داده‌های اصلی ذخیره شده روی دیسک، اکثر باج‌افزارهای مدرن، پشتیبان‌گیری خودکار مانند Windows Volume Shadow Copies را نیز حذف می‌کنند که این امر موجب می‌شود تنها راه بازیابی از طریق پرداخت باج باشد.

اشتباه شماره 9. پس از حمله باج‌افزاری و پرداخت باج توسط سازمان، مهاجمان داده‌های سازمان را پس می‌دهند.

براساس گزارش سوفوس از باج‌افزارها در سال 2021، سازمانی که باج مطالبه شده را پرداخت می‌کند، به طور متوسط تنها حدود 3/2 (65 درصد) از داده‌های خود را دریافت می‌کند. فقط 8 درصد از سازمان‌ها همه اطلاعات خود را پس گرفتند و 29 درصد کمتر از نیمی از اطلاعات سرقت شده را دریافت کردند. پرداخت باج حتی زمانی که به نظر می‌رسد گزینه ساده‌تری است و یا تنها گزینه تحت پوشش بیمه‌نامه سایبری سازمان است، راه حل مناسبی برای رهایی ازمشکل نیست.

علاوه بر این، بازیابی داده‌ها تنها بخشی از فرایند ترمیم و پاکسازی باج‌افزار است. در بیشتر موارد باج‌افزار، کامپیوترها را کاملاً غیرفعال و قفل می‌کند به گونه‌ای که قبل از بازیابی داده‌ها، ابتدا باید نرم افزارها و سیستم‌ها از ابتدا بازسازی شوند. گزارش سال 2021 نشان می‌دهد که به طور متوسط هزینه‌های بازیابی ده برابر بیشتر از باج مطالبه شده است.

اشتباه شماره 10. انتشار باج افزار کل حمله است، اگر سازمان از انتشار باج‌افزار در امان باشد، مشکلی وجود ندارد.

متأسفانه این مورد به ندرت اتفاق می‌افتد. مهاجمان می‌خواهند از طریق انتشار باج‌افزار راهبران سازمان را از حضور خود در شبکه سازمان مطلع و آنچه که انجام داده‌اند، مطلع کنند.

به احتمال زیاد همانطور که در لینک زیر اشاره شده است، مهاجمان اگر از چند هفته قبل در شبکه یک سازمان نباشند، چند روز قبل از انتشار باج‌افزاردر شبکه بوده‌اند و به کاوش، غیرفعالسازی، حذف نسخه‌های پشتیبان، یافتن سیستم‎های حاوی اطلاعات با ارزش و حیاتی و یا برنامه‌های کاربردی به منظور رمزگذاری، حذف اطلاعات و نصب کدهای بدافزاری همچون درب‌های پشتی پرداخته‌اند. حضور و ماندگاری در شبکه‌های قربانی به مهاجمان اجازه می‌دهد در صورت تمایل حمله دوم خود را انجام دهند.

https://news.sophos.com/en-us/2021/05/18/the-active-adversary-playbook-2021/