روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تیم‌های امنیت اطلاعات همه‌چیز را در مورد حملات سایبری روی سرورها و کامپیوترهای دسکتاپی می‌دانند و اقدامات محافظتی هم شناخته‌شده‌اند و هم بخوبی توسعه داده شدند. اما وقتی حرف از دستگاه‌های کمتر دیده‌شده –مانند روترها، پرینترها، تجهیزات پزشکی و دوربین‌های نظارت تصویری- به میان می‌آید ماجرا کمی پیچیده‌ می‌شود. اینها با این وجود در کنار سرورها و ایستگاه‌های کار اغلب به شبکه کلی سازمان وصل هستند. این سوال که کدامیک از این دستگاه‌ها باید در اولویت کار تیم امنیت اطلاعات قرار گیرند و اینکه کدام عوامل ریسک در هر مورد، مهم است سوژه‌ی گزارش «ریسکی‌ترین دستگاه‌های کانکتد در سال 2024» است. نویسندگان این گزارش بیش از 19 میلیون دستگاه را تحلیل کردند: کامپیوترهای کاری، سرورها، دستگاه‌های اینترنت اشیاء و تجهیزات دارویی تخصصی. برای هر دستگاه مُجزا، بر اساس آسیب‌پذیری‌های شناخته‌شده و قابل اکسپلویت، پورت‌های بازی که از اینترنت قابل‌دسترسی‌اند و نیز ترافیک مخرب ارسال‌شده از یا به دستگاه یک سطح ریسک محاسبه شده است. همچنین اهمیت دستگاه نسبت به سازمان مربوطه‌اش و پیامدهای بحرانی بالقوه‌ی دستکاری نیز مورد توجه قرار گرفت. در ادامه دستگاه‌هایی را آورده‌ایم که محققین دریافتند اغلب در معرض ریسک بالا هستند:

نقاط دسترسی وایرلس، روترها و فایروال‌ها

دو مکان برتر در لیست ریسکی‌ترین دستگاه‌ها در شبکه‌های اداری –با اختلاف زیاد- دستگاه‌های شبکه‌ای هستند. روترها معمولاً با اینترنت، قابل‌دسترسی‌اند و بسیاری از آن‌ها پورت‌های مدیریتی باز و سرویس‌هایی دارد که عاملین تهدید خیلی‌ راحت می‌توانند آن‌ها را اکسپلویت کنند: SSH, Telnet, SMB و نیز سرویس‌های مدیریتی بسیار تخصصی. در سال‌های اخیر، مهاجمین یاد گرفته‌اند در این کلاس تجهیزات، آسیب‌پذیری‌ها را اکسپلویت کنند؛ خصوصاً در رابط‌های مدیریتی‌اش. این روی فایروال‌ها هم صدق می‌کند؛ خصوصاً چون این دو قابلیت اغلب برای کسب و کارهای کوچک و متوسط ادغام می‌شوند. نقاط دسترسی حتی از روترها هم تنظیمات ناامن‌تری دارند اما این تهدید با این حقیقت که دستکاری‌شان به مجاورت به دستگاه نیاز دارد آنقدرها امکان‌پذیر نیست. بردار اولیه حمله معمولاً شبکه‌ی وای‌فای مهمان است و یا یک شبکه اختصاصی برای دستگاه‌های موبایل.

پرینترها

گرچه اکسپلویت پرینتر توسط هکرها آنقدرها شایع نیست اما چنین کیس‌هایی همیشه برجسته هستند. عوامل ریسک مربوط به پرینترها به شرح زیر است:

•         آن‌ها اغلب مستقیم به شبکه اداری وصلند و در آن واحد به سرورهای مرکزی تولیدکننده هم متصلند (یعنی به همان اینترنت).
•         آن‌ها اغلب در پیکربندی استانداردی با پسوردهای پیش‌فرض عمل می‌کنند و همین به مهاجمین بالقوه اجازه می‌دهد تا بدون اینکه مجبور باشند هیچ آسیب‌پذیری‌ای را اکسپلویت کنند (از میان موارد دیگر) دست به مشاهده، حذف و یا افزودن کار پرینت بزنند.
•         آن‌‌ها معمولاٌ ابزارهای امنیت اطلاعات ندارد و اغلب به لیست مجاز فایروال توسط ادمین‌های شبکه اضافه می‌شوند تا قابلیت دسترسی از همه کامپیوترها در سازمان تضمین شود.
•         آپدیت‌های نرم‌افزار ظاهر کندتری دارند و نصب توسط کاربران حتی کندتر نیز هست- پس آسیب‌پذیری‌های خطرناک در نرم‌افزارهای پرینتر می‌توانند سال‌ها قابل اکسپلویت باقی بمانند. طبقه‌بندی پرینترها نه تنها شامل MFPها که همچنین شامل دستگاه‌های به شدت تخصصی مانند پرینترهای برچسب و رسید نیز می‌شود. دومی اغلب مستقیم به ترمینال‌های POS و کامپیوترهای مزیت‌دار که کارشان پردازش داده‌های مهم مالی است وصل است.
•         پرینترها تارگت اصلی و مورد علاقه هکتیویست‌ها و گروه‌های باج‌افزاری هستند زیرا هکی که هزاران کپی نامه تهدیدآمیز را پرینت می‌کند همیشه تأثیرگذار خواهد بود.

دستگاه‌های VoIP و دوربین‌های نظارت IP

مانند پرینترها، دستگاه‌هایی که در این طبقه‌بندی‌ها قرار دارند به ندرت به‌روز می‌شوند، اغلب از اینترنت قابل‌دسترسی‌اند، ابزارهای امنیت داده درون‌سازه‌ای ندارند و مرتباً با تنظیمات ناامن پیش‌فرض استفاده می‌شوند. جدا از ریسک‌های دستکاری دستگاه و حرکت جانی هکرها در کل شبکه که برای همه فناوری‌ها شایع است، ریسک‌های منحصر به فردی وجود دارد. این ریسک‌ها ناشی از مهاجمینی است که دارایی‌های محافظت‌شده و تسهیلات را جاسوسی، تماس‌های VoIP را استراغ سمع یا از تلفن VoIP برای مقاصد کلاهبردارانه‌ی جعل سازمان مورد حمله استفاده می‌کنند. اکسپلویت آسیب‌پذیری‌ها حتی الزامی هم ندارد: یک اشتباه تنظیماتی یا پسورد پیش‌فرض کفایت خواهد کرد.

توزیع‌کننده اتوماتیک دارو و پمپ‌های تزریق

توزیع‌کننده‌های خودکار دارو و پمپ‌های تزریق دیجیتال در ردیف اول قرار دارند و به خطر افتادن آنها می‌تواند به طور جدی بیمارستان‌ها را مختل کرده و با جان بیمارها بازی کند. به گفته محققین، موارد پرخطر زمانی رخ می‌دهد که چنین دستگاه‌هایی از اتصالات خارجی محافظت نشده باشند: در اواخر سال 2022، 183 رابط مدیریتی در دسترس عموم برای چنین دستگاه هایی کشف شد. و در اواخر سال 2023، این تعداد به 225 افزایش یافت. برای بروز یک حادثه حیاتی که بر مراقبت از بیمار تأثیر می‌گذارد، به خطر انداختن عمیق دستگاه مورد نظر اغلب ضروری نیست - انکار سرویس یا قطع ارتباط از شبکه مخابراتی کاملاً کافی است. حملات واقعی به مراکز درمانی توسط گروه باج افزار LockBit چنین موقعیت هایی را برانگیخته است. خطر دیگر تغییر مخرب دوز داروست که به دلیل آسیب‌پذیری‌های متعدد دستگاه و تنظیمات ناامن امکان‌پذیر است. در برخی از موسسات، حتی یک بیمار می‌تواند به سادگی با اتصال به وای فای بیمارستان، تغییرات را انجام دهد.

راهکارهای امنیتی

•         تمام خدمات غیرضروری روی تجهیزات را غیرفعال و دسترسی به موارد ضروری را محدود کنید. پنل‌های کنترل و پورتال‌های خدمات فقط باید از رایانه‌های مدیریتی در زیرشبکه داخلی قابل دسترسی باشند. این قانون برای سخت افزار شبکه و هر تجهیزاتی که از طریق اینترنت قابل دسترسی است بسیار مهم است.
•         با جداسازی دفتر، تولید و شبکه های اداری، شبکه را تقسیم بندی کنید. اطمینان حاصل کنید که دستگاه‌های IoT و سایر منابع مجزا از اینترنت یا شبکه اداری در دسترس همه کارمندان قابل دسترسی نیستند.
•         از رمزهای عبور قوی و منحصر به فرد برای هر مدیر، در صورت امکان با احراز هویت چند عاملی کار کنید. از رمزهای عبور منحصربه فرد برای هر کاربر و حتما از MFA برای دسترسی به منابع و تجهیزات حیاتی استفاده کنید.
•         اگر دستگاه فاقد پشتیبانی برای احراز هویت و MFA به اندازه کافی قوی است، می‌توانید آن را در یک زیر شبکه جداگانه ایزوله و کنترل دسترسی MFA را در سطح تجهیزات شبکه معرفی کنید.
•         به روز رسانی سریع سیستم عامل و نرم افزار برای تجهیزات شبکه را در اولویت قرار دهید.
•         تنظیمات شبکه و امنیت تجهیزات را با جزئیات مطالعه کنید. اگر تنظیمات پیش‌فرض از امنیت کافی برخوردار نیستند، تغییر دهید. اکانت های پیش فرض داخلی و دسترسی بدون رمز عبور را غیرفعال کنید.
•         کتابچه راهنمای روتر را، در صورت وجود، برای راه‌های بهبود امنیت (سخت کردن) مطالعه کنید. اگر در دسترس نیست، توصیه‌هایی را از سازمان های معتبر بین المللی دریافت کنید.
•         هنگام خرید چاپگرها، لوازم جانبی چند منظوره[1] و دستگاه‌های مشابه، ویژگی‌های استاندارد برای بهبود امنیت چاپگر را بررسی کنید. برخی از مدل های شرکتی عملکرد چاپ امن رمزگذاری شده را ارائه می‌دهند. برخی از آنها قادر به به روز رسانی سیستم عامل خویش به طور خودکار هستند و برخی می‌توانند رویدادها را به سیستم SIEM برای نظارت جامع infosec صادر کنند.
•         یک سیستم امنیتی همه جانبه، از جمله EDR، و نظارت جامع شبکه مبتنی بر SIEM را در سازمان خود پیاده کنید.

[1]  multi-function peripherals

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.