اقدامات ضروری پیش از اتصال مجدد به اینترنت جهانی

پریسا پرویزی

2 هفته پیش

اقدامات قبل از اتصال به اینترنت بین المللی

از ۱۸ دی ۱۴۰۴ (۸ ژانویه ۲۰۲۶) دسترسی ایران به اینترنت بین‌الملل تقریباً به‌طور کامل قطع شد و شبکه صرفاً به سطح ملی محدود گردید. این قطعی طولانی موجب شد بسیاری از سامانه‌های سازمانی و تجهیزات امنیتی در این مدت نتوانند به‌روزرسانی‌های ضروری خود را دریافت کنند. برای مثال، فایروال‌های سوفوس، نرم‌افزارهای ضدویروس بیت‌دیفندر و راهکارهای پیشرفته ترلیکس که نقش ستون فقرات امنیت شبکه‌های سازمانی را دارند، در نبود اینترنت جهانی موفق به دریافت بسته‌های به‌روزرسانی امضاها، پچ‌های سیستم‌عامل و اطلاعات تهدیدات جدید نشدند. این عدم دریافت آپدیت به‌موقع، سطح آسیب‌پذیری زیرساخت دیجیتال کشور را به شکل بی‌سابقه‌ای بالا برده است. در واقع طی این دو هفته قطعی، هر آسیب‌پذیری جدید یا حفره روز صفر که در جهان کشف شده در سامانه‌های داخلی ما همچنان بلااستفاده باقی مانده و ترمیم نشده است.

خطرات امنیتی در لحظه اتصال مجدد

لحظه اتصال مجدد به اینترنت جهانی می‌تواند به‌شدت خطرناک باشد. متخصصان امنیت سایبری هشدار می‌دهند که این «پنجره‌ی طلایی مهاجمان» است. به محض آنلاین شدن ناگهانی میلیون‌ها دستگاه و سرور به‌روزرسانی‌نشده، مهاجمان با ابزارهای اسکن خودکار در اینترنت به سرعت شبکه‌ها را جستجو می‌کنند و نقاط ضعف شناخته‌شده را می‌یابند. بدین ترتیب ممکن است قبل از اینکه مدیران فرصت نصب آپدیت‌های امنیتی را پیدا کنند، نفوذگران حملات خود را عملی سازند. علاوه بر تهدیدات خارجی، نباید از بدافزارهای نهفته داخلی غافل شد. در طی دوره‌ای که شبکه در وضعیت ایزوله بود، ممکن است بدافزارها و باج‌افزارهایی از قبل داخل شبکه‌های سازمانی حضور داشته یا از طریق وسایل فیزیکی (مانند USB) وارد شده باشند. این عوامل مخرب در غیاب اتصال بیرونی و نظارت مناسب، به‌صورت خاموش در شبکه پخش شده‌اند و منتظر اولین ارتباط با سرورهای فرماندهی خود (C2) هستند تا فعال شوند. با وصل شدن اینترنت، چنین بدافزارهایی می‌توانند فوراً ارتباط گرفته و دست به اقدامات مخربی همچون رمزگذاری داده‌ها یا سرقت اطلاعات بزنند.

نمونه تاریخی این سناریو، حمله‌ی باج‌افزار WannaCry در سال ۲۰۱۷ است که در اثر عدم نصب به‌موقع وصله‌های امنیتی، خسارات هنگفتی به بار آورد. این باج‌افزار با سوءاستفاده از یک آسیب‌پذیری وصله‌نشده توانست در مدت کوتاهی صدها هزار سیستم (از جمله بخش‌هایی از زیرساخت سلامت بریتانیا) را آلوده کند و فعالیت آن‌ها را مختل سازد. کارشناسان هشدار می‌دهند در شرایط کنونی نیز اگر سرورها و تجهیزات حیاتی بدون وصله و به‌روزرسانی به اینترنت وصل شوند، وقوع فاجعه‌ای مشابه دور از انتظار نخواهد بود و ممکن است کل زیرساخت حیاتی کشور فلج شود. به عبارت دیگر، خطر حملات سایبری پس از وصل شدن مجدد اینترنت می‌تواند بسیار شدیدتر از خود دوره‌ی قطعی اینترنت باشد.

اقدامات ضروری پیش از اتصال به اینترنت جهانی

برای جلوگیری از سناریوهای فوق، اتصال مرحله‌ای و کنترل‌شده به اینترنت ضروری است. توصیه می‌شود مدیران فناوری اطلاعات سازمان‌ها پیش از وصل مجدد شبکه خود به اینترنت بین‌المللی، گام‌های زیر را به‌صورت منظم اجرا کنند:

اتصال محدود و به‌روزرسانی ابزارهای دفاعی

ابتدا تنها تجهیزات امنیتی سازمان را به صورت موقت و کنترل‌شده آنلاین کنید تا به‌روزرسانی‌های حیاتی را دریافت کنند. این شامل فایروال‌ها (مانند Sophos)، سیستم‌های ضدویروس و EDR (مانند Bitdefender) و سامانه‌های تشخیص/جلوگیری نفوذ یا مدیریت تهدید (نظیر راهکارهای Trellix) می‌شود. اطمینان حاصل کنید که امضای ویروس‌ها، قوانین IPS/IDS و پایگاه داده تهدیدات این ابزارها به آخرین نسخه ارتقا یافته است تا بتوانند حملات شناخته‌شده را بلافاصله دفع کنند. همچنین در صورت نیاز، لایسنس‌ها و گواهی‌های امنیتی این محصولات را که ممکن است در زمان قطعی منقضی شده باشند تمدید نمایید.

ایزوله‌سازی و patch کردن سرورهای حیاتی

سرورهای کلیدی سازمان (مانند Domain Controller، سرورهای پایگاه‌داده، ایمیل سرورها و سایر سرویس‌های زیرساختی) را پیش از هر چیز در یک شبکه جداگانه (قرنطینه) نگه دارید. به‌روزرسانی‌های سیستم‌عامل و نرم‌افزارهای حیاتی را روی این سرورها به صورت آفلاین و دستی اعمال کنید تا از رفع مهم‌ترین آسیب‌پذیری‌ها اطمینان حاصل شود. تنها پس از نصب کامل پچ‌ها و بررسی سلامت این سیستم‌ها، آنها را به شبکه اصلی و اینترنت متصل کنید. این کار باعث می‌شود سرورهای حیاتی در لحظات اولیه اتصال، در برابر اکسپلویت شدن توسط بدافزارها و مهاجمان محافظت شده باشند.

بازبینی قوانین فایروال و قطعه‌بندی شبکه

پیکربندی فایروال‌های سازمان (از جمله دیواره‌آتش سوفوس) را با دقت بازبینی کنید. هر Rule بیش از حد بازی که دسترسی گسترده‌ای به منابع داخلی می‌دهد را محدود یا موقتاً غیرفعال نمایید. از قابلیت‌های فایروال برای پیاده‌سازی Segmentation (قطعه‌بندی شبکه) استفاده کنید تا ارتباط بین بخش‌های مختلف شبکه به حداقل موردنیاز کاهش یابد. این کار جلوی حرکت جانبی مهاجمان یا بدافزارها در صورت نفوذ به یکی از بخش‌ها را می‌گیرد. برای مثال، اطمینان حاصل کنید که شبکه کاربری از شبکه سرورها جداست و دسترسی بین آنها تحت سیاست‌های سخت‌گیرانه‌ای کنترل می‌شود. هر خروجی غیرضروری به اینترنت را نیز مسدود کنید تا تعداد درگاه‌های باز برای سوءاستفاده کاهش یابد.

تشدید پایش و نظارت ترافیک

هم‌زمان با مراحل فوق، نظارت بلادرنگ شبکه و سیستم‌ها را تقویت کنید. لاگ‌های فایروال سوفوس، کنسول مدیریت Bitdefender GravityZone یا پلتفرم‌های مانیتورینگ Trellix را زیر نظر بگیرید تا هرگونه رفتار مشکوک سریعاً شناسایی شود. به‌ویژه ترافیک‌های خروجی را مانیتور کنید تا اگر سیستم آلوده‌ای در داخل شبکه سعی در برقراری ارتباط با سرورهای ناشناس یا مشکوک (خصوصاً سرورهای فرماندهی C2) داشت فوراً آگاه شوید. هشدارهای غیرعادی نظیر تلاش برای برقراری ارتباط روی پورت‌های غیرمعمول، ارسال حجم بالای داده به مقصدهای خارجی یا چندین تلاش لاگین ناموفق می‌تواند نشان‌دهنده وقوع نفوذ باشد. آمادگی داشته باشید که در صورت مشاهده علائم حمله، دستگاه مشکوک را سریعاً از شبکه جدا کرده و فرایند پاک‌سازی را آغاز کنید. استفاده از قابلیت‌های EDR در محصولات Bitdefender یا Trellix برای شکار تهدید (Threat Hunting) می‌تواند در این مرحله بسیار کمک‌کننده باشد.

اطمینان از پشتیبان‌ها و ایمن‌سازی مجدد

پیش از اتصال کامل سازمان به اینترنت، حتماً نسخه‌های پشتیبان (Backup) اطلاعات حیاتی را بررسی کنید. از سالم بودن Backupها و امکان بازیابی صحیح آن‌ها در صورت بروز حادثه اطمینان حاصل نمایید. در کنار آن، پس از پاک‌سازی احتمالی بدافزارها و اعمال همه وصله‌های امنیتی، در صورت لزوم اطلاعات احراز هویت حساس را تجدید کنید. به‌عنوان مثال، رمزهای عبور ادمین‌ها، کلیدهای خصوصی، گواهی‌های دیجیتال یا هرگونه اعتبارنامه‌ی مهم که ممکن است طی دوره‌ی قطعی در معرض خطر قرار گرفته باشند را تغییر دهید. این کار اگرچه زمان‌بر است، اما ریسک سوءاستفاده از مدارک هویتی قدیمی توسط مهاجمان را به‌شدت کاهش می‌دهد. در نهایت مطمئن شوید که یک طرح واکنش به حادثه (IR Plan) آماده اجرا دارید تا اگر علی‌رغم تمام این تدابیر رخنه‌ای صورت گرفت، تیم شما به سرعت وارد عمل شده و خسارات را مهار کند.

نتیجه‌گیری

دوره قطع اینترنت اخیر، زنگ خطری جدی برای مدیران شبکه و امنیت در سازمان‌ها بود. اتصال عجولانه و بدون برنامه‌ریزی تمامی سیستم‌ها به اینترنت می‌تواند عواقب جبران‌ناپذیری به همراه داشته باشد. در مقابل، اجرای اقدامات پیشگیرانه‌ی ساده اما منسجم و هم‌زمان که در این مقاله اشاره شد، می‌تواند پنجره طلایی سوءاستفاده مهاجمان را مسدود کرده و از وقوع حملات گسترده جلوگیری کند. تنها راه کاهش ریسک، بازگردانی مرحله‌ای و مدیریت‌شده‌ی اینترنت همراه با به‌روزرسانی و پایش دقیق زیرساخت‌ها است. با بروزرسانی به‌موقع فایروال‌های سوفوس، راهکارهای امنیتی بیت‌دیفندر و پلتفرم‌های ترلیکس، و رعایت موارد فوق، می‌توان اطمینان حاصل کرد که شبکه سازمانی شما حتی در مواجهه با موج تازه‌ای از تهدیدات سایبری، تا حد امکان امن و مقاوم باقی خواهد ماند.

منابع مقاله

مهدی فرجی، «هشدار امنیتی: قطع اینترنت زیرساخت‌های کشور را در لبه پرتگاه قرار داده است» – زوم‌تک
زوم‌تک از وضعیت قطعی اینترنت دی‌ماه ۱۴۰۴ و تبعات آن
«هشدار کارشناسان: پیش‌بینی موج سنگین حملات سایبری پس از وصل مجدد اینترنت» – خبرآنلاین
دیجیاتو در گفت‌وگو با مهدی فرجی، «بازخوانی آسیب‌های قطع اینترنت: عدم دریافت به موقع پچ‌های امنیتی می‌تواند زیرساخت کشور را زمین‌گیر کند!»