روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ تیمهای امنیت اطلاعات همهچیز را در مورد حملات سایبری روی سرورها و کامپیوترهای دسکتاپی میدانند و اقدامات محافظتی هم شناختهشدهاند و هم بخوبی توسعه داده شدند. اما وقتی حرف از دستگاههای کمتر دیدهشده –مانند روترها، پرینترها، تجهیزات پزشکی و دوربینهای نظارت تصویری- به میان میآید ماجرا کمی پیچیده میشود. اینها با این وجود در کنار سرورها و ایستگاههای کار اغلب به شبکه کلی سازمان وصل هستند. این سوال که کدامیک از این دستگاهها باید در اولویت کار تیم امنیت اطلاعات قرار گیرند و اینکه کدام عوامل ریسک در هر مورد، مهم است سوژهی گزارش «ریسکیترین دستگاههای کانکتد در سال 2024» است. نویسندگان این گزارش بیش از 19 میلیون دستگاه را تحلیل کردند: کامپیوترهای کاری، سرورها، دستگاههای اینترنت اشیاء و تجهیزات دارویی تخصصی. برای هر دستگاه مُجزا، بر اساس آسیبپذیریهای شناختهشده و قابل اکسپلویت، پورتهای بازی که از اینترنت قابلدسترسیاند و نیز ترافیک مخرب ارسالشده از یا به دستگاه یک سطح ریسک محاسبه شده است. همچنین اهمیت دستگاه نسبت به سازمان مربوطهاش و پیامدهای بحرانی بالقوهی دستکاری نیز مورد توجه قرار گرفت. در ادامه دستگاههایی را آوردهایم که محققین دریافتند اغلب در معرض ریسک بالا هستند:
نقاط دسترسی وایرلس، روترها و فایروالها
دو مکان برتر در لیست ریسکیترین دستگاهها در شبکههای اداری –با اختلاف زیاد- دستگاههای شبکهای هستند. روترها معمولاً با اینترنت، قابلدسترسیاند و بسیاری از آنها پورتهای مدیریتی باز و سرویسهایی دارد که عاملین تهدید خیلی راحت میتوانند آنها را اکسپلویت کنند: SSH, Telnet, SMB و نیز سرویسهای مدیریتی بسیار تخصصی. در سالهای اخیر، مهاجمین یاد گرفتهاند در این کلاس تجهیزات، آسیبپذیریها را اکسپلویت کنند؛ خصوصاً در رابطهای مدیریتیاش. این روی فایروالها هم صدق میکند؛ خصوصاً چون این دو قابلیت اغلب برای کسب و کارهای کوچک و متوسط ادغام میشوند. نقاط دسترسی حتی از روترها هم تنظیمات ناامنتری دارند اما این تهدید با این حقیقت که دستکاریشان به مجاورت به دستگاه نیاز دارد آنقدرها امکانپذیر نیست. بردار اولیه حمله معمولاً شبکهی وایفای مهمان است و یا یک شبکه اختصاصی برای دستگاههای موبایل.
پرینترها
گرچه اکسپلویت پرینتر توسط هکرها آنقدرها شایع نیست اما چنین کیسهایی همیشه برجسته هستند. عوامل ریسک مربوط به پرینترها به شرح زیر است:
- آنها اغلب مستقیم به شبکه اداری وصلند و در آن واحد به سرورهای مرکزی تولیدکننده هم متصلند (یعنی به همان اینترنت).
- آنها اغلب در پیکربندی استانداردی با پسوردهای پیشفرض عمل میکنند و همین به مهاجمین بالقوه اجازه میدهد تا بدون اینکه مجبور باشند هیچ آسیبپذیریای را اکسپلویت کنند (از میان موارد دیگر) دست به مشاهده، حذف و یا افزودن کار پرینت بزنند.
- آنها معمولاٌ ابزارهای امنیت اطلاعات ندارد و اغلب به لیست مجاز فایروال توسط ادمینهای شبکه اضافه میشوند تا قابلیت دسترسی از همه کامپیوترها در سازمان تضمین شود.
- آپدیتهای نرمافزار ظاهر کندتری دارند و نصب توسط کاربران حتی کندتر نیز هست- پس آسیبپذیریهای خطرناک در نرمافزارهای پرینتر میتوانند سالها قابل اکسپلویت باقی بمانند. طبقهبندی پرینترها نه تنها شامل MFPها که همچنین شامل دستگاههای به شدت تخصصی مانند پرینترهای برچسب و رسید نیز میشود. دومی اغلب مستقیم به ترمینالهای POS و کامپیوترهای مزیتدار که کارشان پردازش دادههای مهم مالی است وصل است.
- پرینترها تارگت اصلی و مورد علاقه هکتیویستها و گروههای باجافزاری هستند زیرا هکی که هزاران کپی نامه تهدیدآمیز را پرینت میکند همیشه تأثیرگذار خواهد بود.
دستگاههای VoIP و دوربینهای نظارت IP
مانند پرینترها، دستگاههایی که در این طبقهبندیها قرار دارند به ندرت بهروز میشوند، اغلب از اینترنت قابلدسترسیاند، ابزارهای امنیت داده درونسازهای ندارند و مرتباً با تنظیمات ناامن پیشفرض استفاده میشوند. جدا از ریسکهای دستکاری دستگاه و حرکت جانی هکرها در کل شبکه که برای همه فناوریها شایع است، ریسکهای منحصر به فردی وجود دارد. این ریسکها ناشی از مهاجمینی است که داراییهای محافظتشده و تسهیلات را جاسوسی، تماسهای VoIP را استراغ سمع یا از تلفن VoIP برای مقاصد کلاهبردارانهی جعل سازمان مورد حمله استفاده میکنند. اکسپلویت آسیبپذیریها حتی الزامی هم ندارد: یک اشتباه تنظیماتی یا پسورد پیشفرض کفایت خواهد کرد.
توزیعکننده اتوماتیک دارو و پمپهای تزریق
توزیعکنندههای خودکار دارو و پمپهای تزریق دیجیتال در ردیف اول قرار دارند و به خطر افتادن آنها میتواند به طور جدی بیمارستانها را مختل کرده و با جان بیمارها بازی کند. به گفته محققین، موارد پرخطر زمانی رخ میدهد که چنین دستگاههایی از اتصالات خارجی محافظت نشده باشند: در اواخر سال 2022، 183 رابط مدیریتی در دسترس عموم برای چنین دستگاه هایی کشف شد. و در اواخر سال 2023، این تعداد به 225 افزایش یافت. برای بروز یک حادثه حیاتی که بر مراقبت از بیمار تأثیر میگذارد، به خطر انداختن عمیق دستگاه مورد نظر اغلب ضروری نیست - انکار سرویس یا قطع ارتباط از شبکه مخابراتی کاملاً کافی است. حملات واقعی به مراکز درمانی توسط گروه باج افزار LockBit چنین موقعیت هایی را برانگیخته است. خطر دیگر تغییر مخرب دوز داروست که به دلیل آسیبپذیریهای متعدد دستگاه و تنظیمات ناامن امکانپذیر است. در برخی از موسسات، حتی یک بیمار میتواند به سادگی با اتصال به وای فای بیمارستان، تغییرات را انجام دهد.
راهکارهای امنیتی
- تمام خدمات غیرضروری روی تجهیزات را غیرفعال و دسترسی به موارد ضروری را محدود کنید. پنلهای کنترل و پورتالهای خدمات فقط باید از رایانههای مدیریتی در زیرشبکه داخلی قابل دسترسی باشند. این قانون برای سخت افزار شبکه و هر تجهیزاتی که از طریق اینترنت قابل دسترسی است بسیار مهم است.
- با جداسازی دفتر، تولید و شبکه های اداری، شبکه را تقسیم بندی کنید. اطمینان حاصل کنید که دستگاههای IoT و سایر منابع مجزا از اینترنت یا شبکه اداری در دسترس همه کارمندان قابل دسترسی نیستند.
- از رمزهای عبور قوی و منحصر به فرد برای هر مدیر، در صورت امکان با احراز هویت چند عاملی کار کنید. از رمزهای عبور منحصربه فرد برای هر کاربر و حتما از MFA برای دسترسی به منابع و تجهیزات حیاتی استفاده کنید.
- اگر دستگاه فاقد پشتیبانی برای احراز هویت و MFA به اندازه کافی قوی است، میتوانید آن را در یک زیر شبکه جداگانه ایزوله و کنترل دسترسی MFA را در سطح تجهیزات شبکه معرفی کنید.
- به روز رسانی سریع سیستم عامل و نرم افزار برای تجهیزات شبکه را در اولویت قرار دهید.
- تنظیمات شبکه و امنیت تجهیزات را با جزئیات مطالعه کنید. اگر تنظیمات پیشفرض از امنیت کافی برخوردار نیستند، تغییر دهید. اکانت های پیش فرض داخلی و دسترسی بدون رمز عبور را غیرفعال کنید.
- کتابچه راهنمای روتر را، در صورت وجود، برای راههای بهبود امنیت (سخت کردن) مطالعه کنید. اگر در دسترس نیست، توصیههایی را از سازمان های معتبر بین المللی دریافت کنید.
- هنگام خرید چاپگرها، لوازم جانبی چند منظوره[1] و دستگاههای مشابه، ویژگیهای استاندارد برای بهبود امنیت چاپگر را بررسی کنید. برخی از مدل های شرکتی عملکرد چاپ امن رمزگذاری شده را ارائه میدهند. برخی از آنها قادر به به روز رسانی سیستم عامل خویش به طور خودکار هستند و برخی میتوانند رویدادها را به سیستم SIEM برای نظارت جامع infosec صادر کنند.
- یک سیستم امنیتی همه جانبه، از جمله EDR، و نظارت جامع شبکه مبتنی بر SIEM را در سازمان خود پیاده کنید.
[1] multi-function peripherals
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.