روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بسیاری از کسب و کارها از محیط کلودی استفاده میکنند که شامل کلودِ خصوصیِ درونسازمانی و منابع کلود عمومی شود- یک کلودِ ترکیبی. با این حال، وقتی صحبت از امنیت سایبری به میان میآید شرکتها بیشتر مایلند روی حفاظت محیطهای فیزیکی یا مجازی تمرکز کنند و دیگر چندان توجهی به آن بخش از زیرساخت خود که ریشه در کلودهای عمومی دارد نمیکنند. برخی از آنها مطمئنند که ارائهدهندگان کلود میبایست مسئولیت چنین محافظتی را بر عهده گیرند. برخی دیگر معتقدند کلودهای عمومی از پیش طراحیشان چنین بوده که همیشه امن و مطمئن هستند (و به هیچ حفاظت اضافیای نیاز ندارند). اما هر دوی این نظریهها اشتباه است: کلودهای عمومی درست مانند سایر زیرساختهای شما در معرض اکسپلویتِ آسیبپذیریِ نرمافزار، سمی شدن آپدیتها، اکسپلویتِ کانکشن اینترنت و دستکاری شدن اطلاعات اکانت قرار دارند. میپرسید چرا؟ در ادامه با ما همراه شوید تا علت را بگوییم.
آسیبپذیریهای RDP و SSH
RDP پروتکل دسترسی از راه دور به دسکتاپ است و از اول طراحیاش اینطوری بوده که احراز هویت دوعاملی را پشتیبانی نمیکند. RDP برای پیشبرد حملات جستجوی فراگیر، هدف بسیاری از ابزارهای مختلف بوده است. برخی از آنها تمرکزشان را روی تعدادی نام کاربری پیشفرضِ متداول (مانند Administrator) میگذارند و چند هزار حدس در مورد نام کاربری میزنند تا بالاخره یکی درست دربیاید. عدهای هم سعی میکنند با استفاده از رایجترین نامهای خانوادگی و رمزعبورهای معمول، نام منحصر به فرد لاگینِ ادمینها را حدس بزنند. الگوریتمهای جستجوی فراگیر میتوانند (با یک فاصله زمانی بین مجموعهای از جستجوها) تعداد جستوجوها را محدود و رندومسازی کنند تا بدینترتیب جلوی تشخیص خودکار گرفته شود. روش دیگر حمله جستجوی فراگیرِ لاگین SSM-User است که اغلب در سرویسهای وبیِ آمازون (AWS) برنامهنویسی میشود.
تلاشهای مشابهی در بخش جستجوی فراگیر همیشه هدف خود را سرویسهای SSH قرار میدهند و هرچند SSH نسبت به RDP سطح حفاظتی بهتری را ارائه میدهد (مثلاً احراز هویت دو عاملی) اما سرویسی که تنظیماتش بیدقت انجام شده باشد میتواند خیلی سریع به عامل پایدار و آلوده دسترسی دهد. 12 درصد کل حملههای وارد آمده به هانیپات[1]های کسپرسکی را حملات جستجوی فراگیر روی SSH و RDP تشکیل میدهد (در طول نیمهی اول سال 2019).
آسیبپذیری در نرمافزارهای طرفسوم
کلودهای عمومی میتوانند در معرض آسیبپذیریها قرار گیرند و البته قرار هم میگیرند. در ادامه نمونههایی آوردهایم از اینکه چطور یک آسیبپذیری در نرمافزار طرفسوم میتواند به مهاجم این فرصت را دهد تا کد را روی خودِ نمونه اجرا کند.
در تاریخ 3 ژوئن 2019، آسیبپذیریای در Exim -سرور ایمیل محبوب که بیشتر در کلودهای عمومی از آن استفاده میشود- کشف شد. این آسیبپذیری، اجرای کد ریموت را ممکن میساخت. اگر سرور در قالب روت اجرا میشد (که اغلب اوقات همینطور است) کد مخربِ معرفیشده به سرور میتوانست با تمام مزایای روت اجرا شود. آسیبپذیری دیگرِ Exim که جولای 2019 شناسایی شد، همچنین اجرای کد ریموت را در قالب روت موجب میشد.
نمونهی دیگر برمیگردد به هک وبسایت رسمی Linux Mint سال 2016 که در نهایت منجر به تغییر توزیعهای لینوکسی شد. آنها دیگر در خود بدافزاری با بکدر IRC و قابلیت DDOS جای داده بودند. این بدافزار همچنین میتوانست برای دراپ کردن پیلودها در دستگاههای آلوده استفاده گردد. سایر موارد گزارششده شامل ماژولهای آلودهی node.js، کانتینرهای عفونی در Docker Hub و غیره میشدند.
نحوهی کاهش ریسک
وقتی حرف از نفوذ به زیرساخت میشود مجرمان سایبری در پیدا کردن ترفندهای مختلف و ابداعات بکر نظیر ندارند؛ خصوصاً وقتی کلی زیرساخت وجود داشته باشد که همه شبیه هم و مشکلاتشان نیز با یکدیگر مشابه باشد. تنها نقطهی قوت مجرمان سایبری در این بخش این فکر غلط است که این زیرساختها از اساس، مطمئن طراحی شدهاند (که اینطور نیست). به منظور کاهش و مدیریت ریسک (به طور مؤثرتر) سعی کنید از سیستمعاملهای خود روی نمونههای کلودیتان و دستگاههای مجازی محافظت کنید. صرفِ استفاده از آنتیویروسهای پایه و حفاظت ضد بدافزار کفایت نمیکند. اقدامات برتر صنعتی حکم میکند هر سیستمعاملی در زیرساخت نیازمند حفاظتی جامع و چندلایه است و ارائهدهندگان کلود عمومی نیز دقیقاً همین توصیهها را میکنند. درست همینجاست که یک راهحل امنیتی مثل Kaspersky Hybrid Cloud Security (امنیت کلود ترکیبیِ کسپرسکی) وارد عمل میشود. راهحل ما با استفاده از لایههای مختلفی از فناوریهای امنیتی همچون سختگردانیِ سیستم[2]، جلوگیری از اکسپلویت، نظارت یکپارچگیِ فایل، بلاکر حمله به شبکه، ضدبدافزار ایستایی و رفتاری و غیره از انواع گوناگونی از ورکلدهایی که روی پلتفرمهای مختلف اجرا میشوند محافظت میکند.
[1]یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکرها و کشف و جمعآوری فعالیتهای غیرمجاز در شبکههای رایانهای بر روی شبکه قرار میگیرد.
[2] system hardening
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.