روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اگر شما هم مثل خیلی از متخصصین آی‌تی هستید، تهدید یک حمله باج‌افزاری ممکن است حسابی شب‌ها فکرتان را بهم بریزد. البته نگرانی‌تان هم منطقی است: باج‌افزارها بسیارخطرناکند. سازمان‌های هر صنعتی اعم از خصوصی و عمومی می‌توانند بالقوه قربانی باشند (تازه اگر تا همین الان هم قربانی نشده باشند!). در ادامه با ما همراه شوید تا 10 اقدام برتر امنیت سایبری را برای مبارزه با باج‌افزارها خدمتتان معرفی کنیم.

در حقیقت پژوهش اخیر Veritas Technologies اینطور نشان می‌دهد که 2.57 حمله باج‌افزاری متوجه سازمان‌های متوسط شده است و همین باعث شده در همین 12 ماه گذشته خرابی قابل‌ملاحظه‌ای به بار آید؛ 10 درصد حتی اعلام داشته‌اند که کسب و کارشان بیش از 5 بار مورد حمله باج‌افزاری قرار گرفته است. گرچه باج‌افزار می‌تواند به کسب و کار و اعتبار شما ضربه‌ای جدی وارد کند اما ضعیف‌ترین لینک‌های سازمان شما هم به همان اندازه در این خرابی سهمیند. خبر خوب اینکه می‌شود با چند گام ساده و روشن جلوی قربانی شدن را گرفت و احتمال موفقیت حمله باج‌افزار را پایین آورد. در زیر به 10 اقدام برتر امنیت سایبری در مقابل باج‌افزارها اشاره کردیم که در جهان مدرن می‌شود به کارشان بست:

1.      آپگرید سیستم‌ها و آپدیت نرم‌افزارها

استفاده از نرم‌افزارهای رده خارج می‌تواند به مهاجمین اجازه دهد آسیب‌پذیری‌های امنیتی کاهش‌نیافته را اکسپلویت کنند. به منظور کاهش سطح حمله همه زیرساخت‌های خود را آپگرید کرده و نیز مرتباً اپ‌ها و نرم‌افزارهای خود را آپدیت نمایید. همچنین مهم است که اپ بک‌آپ خود را نیز به روز کنید. با فناوری قدیمی به جنگ باج‌افزار نوع جدید و امروزی نروید.

2.      پیاده‌سازی قانون بک‌آپ  3-2-1-1

اگر از داده‌ها، تصاویر سیستم، و تنظیمات خود بک‌آپ بگیرید، همیشه در صورت وقوع حمله باج‌افزاری بستری به روز خواهید داشت برای از سرگیری عملیات‌ها. حتی اقدام بهتر این است که از قانون بک‌آپ 1-1-2-3 استفاده کنید؛ بدین‌ترتیب داده‌های شما پراکنده می‌شود. این یعنی سه یا بیش از سه کپی را در لوکیشن‌های مختلف نگه دارید (استفاده از دو ذخیره‌گاه مختلف و ذخیره یک کپی خارج از مکان همیشگی). با این کار شانس دسترسی مهاجمین را به هر چیزی کاهش خواهید داد. رویکرد 3-2-1 نیز تضمین می‌دهد آسیب‌پذیری در یکی از آن‌ها منجر به دستکاری همه کپی‌های شما نخواهد شد و همچنین اگر حمله‌ای کل مرکز داده‌ها را فرا گرفت گزینه‌هایی در اختیار قرار خواهد داد. بسیاری از سازمان‌ها همچنین اکنون دارند با حفظ دست‌کم یک کپی در ذخیره‌گاه غیرقابل‌تغییر و غیرقابل حذف از قانون 3-2-1-1 تبعیت می‌کنند.

3.      پیاده‌سازی مدل اعتماد صفر[1]

مدل اعتماد صفر ذهنیتی است که تمرکزش روی اعتماد نکردن به هر نوع دستگاه (یا هر کاربری) به صورت پیش‌فرض است؛ حتی اگر داخل شبکه سازمانی باشند. این مدل به جای صرفا ایجاد الزام پسورد (بله حتی اگر بلند و پیچیده باشد) همچنین احراز هویت چندعاملی (MFA) و [2]RBAC را لازم می‌خواند. مدل اعتماد صفر هر فعالیت مخرب را زیر نظر گرفته و داده‌ها را هم موقع فعالیت و هم موقع انفعال رمزگذاری می‌کند و همین باعث می‌شود داده‌های استخراج‌شده غیرقابل ‌استفاده شوند. همچنین اگر دسترسی به بک‌آپ‌ها را محدود کنید رایج‌ترین متود ورود را برای باج‌افزار مسدود خواهید کرد. بسیاری از سازمان‌ها دارند به راهکار امنیتی JIT[3] روی می‌آورند؛ جایی که دسترسی بر پایه نیاز و یا برای بازه زمانی از پیش تعیین‌شده‌ای داده می‌شود. این مخصوص داده‌های حیاتی و مهم کسب وکارهاست.

4.      جداسازی شبکه

مهاجمین عاشق شبکه‌ای واحد، پیوسته و تخت هستند. این یعنی می‌توانند براحتی در کل زیرساخت گشت بزنند. یک راه مؤثر برای جلوگیری از ورود مهاجمین و خصوصاً کاهش سطح حمله‌شان جداسازی شبکه و اصطلاحاً میکروسگمنتیشن[4] است. با این مدل، شبکه‌ها به چند محیط شبکه کوچک‌تر تقسیم می‌شود و دسترسی نیز هم محدود و هم مدیریت خواهد شد؛ خصوصاً در مورد داده‌های مهمتان. همچنین ترفند رایج این است که کارکردهای حیاتی زیرساخت را به بیرون از وب انتقال دهید. افزون بر این به عنوان بخشی از مدل اعتماد صفر شرکت‌تان، فروشنده‌های طرف‌سوم جداسازی را نیز مد نظر قرار دهید زیرا حملات قابل‌توجهی به زنجیره‌های تأمین ناشی از سوءمدیریت فروشنده وجود داشته است. هک  Sunburst و حمله Colonial Pipeline دو نمونه بارز هستند.

5.      میدان دید اندپوینت

بیشتر سازمان‌ها در مورد اندپوینت‌های ریموت از فقدان میدان دید رنج می‌برند. این روزها برای مجران سایبری باب شده که خط مقدم امنیت را رد کنند و آزادانه برای خود بچرخند- آنقدری بی‌نام و نشان آنجا باقی می‌مانند تا نقطه‌ضعف را پیدا کرده و از همانجا فرصت حمله پیدا کنند. مهم است که ابزاهایی را به کار گیرید که میدان دید تمام در کل محیط را به شما ارائه می‌دهند؛ همینطور ناهنجاری‌ها را شناسایی کرده و اگر فعالیت مخربی روی شبکه رصد کنند فوراً آن را گیر انداخته و شما در جریان می‌گذارند. بدین‌ترتیب دیگر راهی برای پنهان‌کاری باج‌افزار وجود نخواهد داشت. این کار به شما کمک خواهد کرد که پیش از اقدام مهاجمین هم تهدیدها و هم آسیب‌پذیری‌ها را کاهش دهید.

6.      ذخیره‌گاه غیرقابل ‌تغییر و غیرقابل حذف

همانطور که پیشتر اشاره کردیم یکی از بهترین روش‌ها برای محافظت از داده‌های خود در برابر باج‌افزارها استفاده از ذخیره‌گاه غیرقابل ‌تغییر و غیرقابل ‌حذف است که تضمین می‌دهد برای بازه زمانی طولانی و مشخصی داده‌ها تغییر نکرده رمزگذاری و یا حذف نشوند. با این حال واژه ذخیره‌گاه غیرقابل‌تغییر این روزها بین فروشندگان بک‌آپ واژه محبوبی شده است. به دنبال ذخیره‌گاه غیرقابل‌تغییری باشید که نه فقط منطقی است که همچنین شامل تغییرناپذیری فیزیکی نیز می شود. همچنین باید از لایه‌های امنیتی درون‌سازه‌ای نیز برخوردار باشد. این صنعت اکنون دارد به دو نوع تغییرناپذیری سوق پیدا می‌کند. یکی در حالت سازمانی[5] است و دیگری در حالت پذیرش[6]- بدین‌معنا که برای اعتبارسنجی هر تغییری به دو جفت چشم نیاز دارید. برای مثال دو چشم اول برای ادمین بک‌آپ است و دو چشم بعدی برای ادمین امنیت. هر دو اینها باید تأیید را بزنند تا هر تغییری میسر شود. حالت پذیرش به تغییرناپذیری به داده‌هایی گفته می‌شود که تحت هیچ شرایطی تغییر پیدا نمی‌کند. هر دو مودها در خود چیزی به نام ساعت پذیرش دارند که کاملاً مستقل از سیستم‌عامل کار می‌کند؛ از این رو اگر ساعت سیستم‌عامل جعل شود روی داده هیچ تأثیری گذاشته نخواهد شد.

7.      ریکاوری سریع

بیشتر مهاجمین باج‌افزار امیدشان به دو چیز است: زمانی برای تزیع شدن مله و پولی (از سمت شما) برای متوقف کردن آن. از حیث تاریخی، ریکاوری می‌تواند هفته‌ها یا حتی ماه‌ها به طول بیانجامد؛ مخصوصاً اگر به شدت دستی باشد و پروسه‌ای باشد وقت‌گیر که از چندین ذی‌نفع در سازمان کار بکشد. اکنون ریکاوری را می‌توان با گزینه‌های منعطف‌تر جایگزین کرد. برای مثال با برپایی مرکز داده روی یک ارائه‌دهنده عمومی کلود. بدین‌ترتیب زمان خرابی کم می‌شود و می‌شود به جای باچ دادن به چاره‌ای دیگر فکر کرد. با این سیستم‌ها ریکاوری را می شود حتی به چند ثانیه کاهش داد.

8.      تست و اعتبارسنجی منظم

ساخت برنامه‌ای جامع برای محافظت داده به این معنا نیست که کارتان تمام شده است. تست کردن تضمین می‌دهد پلن شما وقتی نیازش دارید درست کار خواهد کرد. و گرچه تست اولیه می‌تواند عملکرد درست پلن شما را تماماً تأیید کند اما باید منظم این تست انجام شود زیرا محیط‌های آی‌تی همیشه در نوسانند. مهمتر اینکه هر پلنی فقط تا آخرین باری که تست شدند می‌توانند بی‌نقص باشند و اگر بار بعد تست نشوند هیچ تضمینی وجود نخواهد داشت که بتوانند به سرعت ریکاوری شوند. همچنین مهم است که از راهکارهایی استفاده کنید که تست را در محیطی غیرمخرب، ایزوله یا سندباکس‌شده انجام می‌دهند.

9.      آموزش به کارمندان

درست می‌گویند که کارمندان دروازه‌ی ورود حملات هستند. البته نباید آن‌ها را سرزنش کرد زیرا انسان است و اشتباهاتش. حملات فیشینگ مدرن و مهندسی اجتماعی اکنون آنقدر پیشرفته شدند که اغلب خود متخصصین امنیتی نیز فریب می‌خورند. در عوض تمرکز خود را بگذارید روی آموزش به کارمندان. آموزش اینکه چطور می‌توانند تاکتیک‌های مهندسی اجتماعی و فیشینگ را تشخیص دهند؛ پسوردهای قوی بسازند، به طور امنی وبگردی کنند، همیشه از وی‌پی‌ان‌های امن استفاده کنند و هرگز ار وای‌فای عمومی استفاده ننمایند. همچنین باید کارمندان طوری آموزش ببینند که اگر روزی قربانی هم شدند بلد باشند چطور این رخداد سایبری را مدیریت کنند.

1. دفترچه‌بازی‌های حمله سایبری

تصور کنید اگر همه افراد در سازمان شما بدانند درست موقع حمله باج‌افزاری باید چه کاری انجام دهند. اگر دفترچه‌بازی حمله سایبری که در آن نقش‌ها روشن باشند بسازید این تصور، عینی خواهد شد. در چنین دفترچه‌ای همه مسیرها، برنامه‌ها و پروتکل‌های واکنشی موقع شرایط اضطراری مشخص و واضح ذکر شده است. همچنین توصیه می‌کنیم یک کانال ارتباطی اضطراری هم روی اپ امن متنی درست کنید تا مسئول سازمان بتواند در صورت بروز رخداد سایبری به ارتباط و تعامل بپردازد زیرا در چنین مواقعی اصولاً ایمیل شرکت یا سیستم‌های چت هم آلوده می شود. همچنین خوب است اگر برای ممیزی استراتژی تیم خود از تیم‌های طرف‌سوم کمک بگیرید. با اتخاذ استراتژی انعطاف‌پذیری و چندلایه که شامل 10 گام بالا می‌شود خواهید توانست جلوی مجرمان سایبری را درست سر بزنگاه بگیرید.

[1]  zero-trust model

[2] role-based access control

[3] just-in-time

[4] micro-segmentation

[5] Enterprise mode

[6] Compliance mode

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.