بهترین شیوه‌ها برای ایمن‌سازی شبکه در برابر باج‌افزارها

شرکت سوفوس (Sophos)، در مقاله‌ای به بررسی بهترین شیوه‌ها در حفاظت از شبکه در برابر باج‌افزارها (Ransomware) پرداخته است. آن چه در ادامه آمده، چکیده‌ای از مقاله این شرکت صاحب‌نام در حوزه امنیت فناوری اطلاعات است.

باج‌افزارها همچنان یکی از بزرگترین تهدیدات سایبری هستند که عواقب گسترده و اغلب فاجعه‌باری دارند. در یک نظرسنجی شرکت سوفوس، 59% از پاسخ‌دهندگان اعلام کرده‌اند که سازمانشان در سال گذشته میلادی تحت حمله باج‌افزاری قرار گرفته است.

افزایش نرخ حملات در چند سال گذشته احتمالاً از موفقیت مدل باج‌افزار به‌عنوان سرویس (Ransomware-as-a-Service) ناشی می‌شود که باعث شده مهاجمان حتی بدون نیاز به مهارت و تخصص بالا به راحتی اقدام به اجرای حملات مخرب باج‌افزاری کنند.

میانگین هزینه بازیابی در پی حمله باج‌افزاری به 2.73 میلیون دلار رسیده که 50% بیشتر از سال گذشته است. ضمن آن که 34% از کسب‌وکارهای قربانی حملات باج‌افزاری بیش از یک ماه برای بازیابی، زمان صرف کرده‌اند. این مدت زمان طولانی برای بازیابی، نشان‌دهنده پیچیدگی‌های بیشتر حملات و فشار شدید بر تیم‌های امنیتی است؛ جایی که 95% از آن‌ها در انجام کارهای امنیتی ضروری با چالش روبرو هستند.

این روندها بر لزوم وجود دفاع‌های قوی‌تر در برابر باج‌افزارها و استراتژی‌های بازیابی تأکید می‌کنند. در کنار حفاظت از نقاط پایانی، بهینه‌سازی سازوکار امنیت شبکه از مؤثرترین دفاع‌ها در برابر باج‌افزار تلقی می‌شود.

برای فهم بهتر چگونگی حفاظت در برابر حملات باج‌افزاری، ابتدا باید نحوه عملکرد آنها را بررسی کنیم. یک حمله معمول، شامل مراحل زیر می‌شود:

• دسترسی اولیه
• آلوده‌سازی
• ماندگار کردن حضور
• کشف سایر سیستم‌ها
• گسترش دامنه نفوذ
• سرقت داده‌ها و رمزگذاری
• اخاذی و پرداخت

مهاجمان حرفه‌ای اغلب از ابزارهای معتبر مانند VPN و RDP برای دسترسی اولیه استفاده می‌کنند. در 90% از حملات سایبری که توسط تیم پاسخ‌دهی به حوادث سوفوس در سال 2023 بررسی شدند، از RDP استفاده شده بود.

در مقاله سوفوس به سه شیوه برای تقویت دفاع‌های امنیتی شبکه اشاره می‌شود:

• کاهش سطح در معرض خطر (Exposure): هرگونه زیرساخت شبکه‌ای که در معرض اینترنت قرار دارد به طور ذاتی، یک هدف بالقوه برای مهاجمان محسوب می‌شود. بنابراین، این سطح در معرض خطر را به حداقل برسانید.
• بازرسی و حفاظت از ترافیک شبکه: ترافیک شبکه‌ای که وارد شبکه شما می‌شود باید به دقت بررسی و محافظت شود.
• شناسایی و جلوگیری از تهدیداتی که به شبکه وارد شده‌اند: هر تهدیدی که به شبکه وارد می‌شود باید شناسایی و سریعاً به آن پاسخ داده شود.

کاهش سطح در معرض خطر

• یکپارچه‌سازی زیرساخت‌های شبکه: بسیاری از سازمان‌ها دارای یک فایروال برای محافظت از شبکه خود هستند. بسیاری هم از VPN Concentrator یا محصولات گیت‌وی استفاده می‌کنند. این زیرساخت‌ها را کاهش دهید. از فایروالی بهره بگیرید که دسترسی‌های از راه دور را یکپارچه کند.

• به‌روزرسانی فریم‌ویر و نصب آخرین اصلاحیه‌های امنیتی: سازمان‌هایی که نفوذ مهاجمان به شبکه آنها از طریق اکسپلویت آسیب‌پذیری‌های امنیتی صورت گرفته در مقایسه با آن دسته از سازمان‌هایی که مهاجمان با اصالت‌سنجی، موفق به رخنه به شبکه آنها شده‌اند 4 برابر بیشتر هزینه‌های بازیابی را متحمل گردیده‌اند و زمان بازیابی طولانی‌تری را گزارش کرده‌اند.

• اطمینان از امنیت زیرساخت‌ها و طراحی مناسب آنها: از فایروالی استفاده کنید که به‌طور خاص برای مقابله با حملات پیشرفته طراحی شده باشد. فعالسازی ویژگی‌هایی مانند احراز هویت چندعاملی (MFA) و به اصطلاح Containerization کردن سرویس‌ها یا پورتال‌های در معرض اینترنت ضروری است.

• غیرفعال کردن دسترسی به سیستم‌ها از طریق اینترنت: اگر از ابزارهای دسترسی از راه دور نظیر RDP و VPN استفاده می‌کنید، دسترسی آنها را غیرفعال کنید.

• جایگزین کردن دسترسی از راه دور VPN با ZTNA: طراحی Zero trust network access – به اختصار ZTNA – رویکردی مدرن و به مراتب امن‌تر در مقایسه VPN محسوب می‌شود.

• استفاده از رمزهای عبور قدرتمند و اصالت‌سنجی چندعاملی (MFA): اطمینان حاصل کنید که تمامی سیستم‌های متصل به شبکه، حتی آنهایی که در معرض اینترنت نیستند دارای رمز عبور قدرتمند هستند.

بازرسی و حفاظت از ترافیک هنگام ورود به شبکه

• بازرسی ترافیک رمزنگاری‌شده: بیش از 90% ترافیک شبکه رمزنگاری شده است. انتخاب فایروالی که قادر باشد ترافیک رمزنگاری‌شده را با دقت و بدون افت کارایی شبکه بررسی کند، اهمیت زیادی دارد.

• استفاده از سیستم پیشگیری از نفوذ (IPS): اطمینان حاصل کنید که از IPS برای بررسی تمام ترافیک شبکه، از جمله ترافیک داخلی استفاده می‌شود.

• استفاده از حفاظت در برابر تهدیدات روز-صفر: تهدیدات جدیدی که برای اولین بار دیده می‌شوند و هیچ امضای مشخصی ندارند، نیاز به تحلیل مبتنی بر AI یا یادگیری ماشین دارند تا شناسایی شوند.

• بکارگیری سازوکارهای پیشرفته امنیت ایمیل و آموزش: از محصولات امنیت ایمیلی استفاده کنید که قادر به پالایش ایمیل‌های مخرب باشند. آموزش کاربران در نحوه مواجهه با ایمیل‌های مشکوک و فیشینگ نیز بسیار حائز اهمیت است.

شناسایی و متوقف کردن تهدیداتی که وارد شبکه شده‌اند

• بخش‌بندی شبکه: با استفاده از Micro-segmenting گسترش دامنه نفوذ مهاجمان در داخل شبکه را محدود کرده و تهدیدات را زودتر شناسایی کنید.
• شناسایی حمله از طریق چندین شاخص: از اطلاعات تهدید برای شناسایی مهاجمان در زمان واقعی و اشتراک‌گذاری آن اطلاعات با تیم امنیتی خود استفاده کنید.
• پاسخ خودکار به تهدیدات فعال: فایروال و راهکارهای امنیتی شما باید قادر باشند به طور خودکار به تهدیدات فعال پاسخ داده و آن‌ها را قبل از آسیب‌زا شدن متوقف کنند.

راهکار‌های Sophos برای محافظت در برابر باج‌افزارها

Sophos Firewall: این محصول از ویژگی‌های پیشرفته‌ای مانند محافظت در برابر تهدیدات روز-صفر، پاسخ‌دهی به تهدیدات فعال و دسترسی به شبکه با اعتماد صفر (ZTNA) استفاده می‌کند.

Sophos ZTNA: محافظت از دسترسی از راه دور و کاهش خطر حرکت جانبی در شبکه را فراهم می‌کند.

تجهیزات Access Point و سوییچ‌های Sophos: این محصولات به‌طور کامل با Sophos Firewall و بستر امنیت سایبری Sophos یکپارچه هستند.

Sophos Email: حفاظت پیشرفته‌ای را در برابر فیشینگ و تهدیدات مبتنی بر ایمیل فراهم می‌کند.

نتیجه‌گیری

باج‌افزارها به‌طور مداوم در حال تکامل هستند و همچنان تهدیدی مخرب برای سازمان‌ها محسوب می‌شوند. با بکارگیری سازوکارهای صحیح، تلاش مهاجمان در رخنه به شبکه سازمان بی‌حاصل مانده و حتی در صورت نفوذ می‌توان آنها را سریعاً شناسایی و متوقف نمود. رعایت بهترین شیوه‌های امنیت شبکه، آموزش مداوم کارکنان، و نظارت دقیق بر تهدیدات از اهمیت بالایی برخوردار است.

مقاله سوفوس با عنوان Best Practices for Securing Your Network from Ransomware در لینک زیر قابل دریافت و مطالعه است: