چطور می‌توان پیامدهای حمله‌ی باج‌افزار به سازمان را کاهش داد؟

03 اسفند 1399 چطور می‌توان پیامدهای حمله‌ی باج‌افزار به سازمان را کاهش داد؟

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گرچه شاید هزاران بار راهکارهای امنیتی برای حفاظت از شبکه‌تان توصیه کرده‌ایم اما برخی‌اوقات با وجود اینکه همه جوانب احتیاط رعایت می‌شود باز هم آلودگی به سیستم رخنه می‌کند. این روزها در مقابل چنین حملاتی باید واکنشی بسیار سریع داشت. واکنش شما به رخداد سایبری است که تعیین می‌کند آیا با مانعی بزرگ روبرو شده‌اید یا یک مشکل بسیار جزئی. همچنین اینکه وقتی در پروسه‌ی ریکاوری به سر می‌برید شفاف‌سازی در خصوص تمامی این اقدامات یادتان نرود (هم برای کارمندان و هم برای جهان بیرون سازمان‌تان). افزون بر این، حواستان به هر شواهدی از باج‌افزاری که به سازمان‌تان حمله کرده است باشد؛ زیرا می‌توانید از آن برای بیشتر محافظت کردن خود در برابر حملات آتی استفاده کنید. منظورمان ذخیره کردن لاگ‌ها و سایر ردپاهای بدافزار است که برای بررسی‌های بعدی‌تان به کارتان خواهد آمد.

بخش اول: کشف و ایزوله

اولین گام این است که میزان نفوذ حمله را مشخص کنید. آیا بدافزار کل شبکه را گرفته است؟ آیا بیش از یک اداره یا دپارتمان را درگیر کرده است؟ ابتدا به دنبال کامپیوترها و بخش‌های شبکه که در زیرساخت سازمانی آلوده شده‌اند بگردید و فوراً آن‌ها را از سایر شبکه جداسازی کنید تا تسری محدود شود. اگر شرکت تعداد کامپیوترهای بسیاری ندارد، با آنتی‌ویروس، EDR و لاگ‌های فایروال شروع کنید. به طور جایگزین می‌توانید –برای تعداد بسیار محدودی از پیاده‌سازی‌ها- به طور فیزیکی دستگاه به دستگاه را چک کنید. اگر هم بحث سر تعداد زیادی از کامپیوترهاست که بهتر است لاگ‌ها و ساز و کارهای سیستم SIEM را مورد آنالیز قرار دهید. این کار از مشقت‌های بعدی‌تان کم نخواهد اما به هر حال می‌تواند در ترسیم تصویر بزرگ‌تر به شما کمک کند. بعد از ایزوله کردن دستگاه‌های آلوده از شبکه، دیسک ایمیج‌هایی[1] ساخته و در صورت امکان این دستگاه‌ها را تا پایان تحقیقات رها کنید. (اگر شرکتی نتواند مخارج خرابی کامپیوتر را تقبل کند به هر حال آن دیسک ایمیج‌ها را بسازید و مموری آن را برای تحقیقات ذخیره کنید).

بخش دوم: تحلیل و عمل

بعد از آنکه محیط پیرامون را بررسی کردید، اکنون فهرستی خواهید داشت از دستگاه‌‌هایی که دیسک‌هایشان پر است از فایل‌های رمزگذاری‌شده به همراه تصاویری از آن دیسک‌ها. آن‌ها از شبکه‌اینترنتی جدا هستند و دیگری تهدید محسوب نمی‌شوند. می‌توانید پروسه ریکاوری را همین لحظه شروع کنید اما نخست نگاهی به امنیت شبکه بیاندازید. حال زمان آن رسیده است که باج‌افزار را تحلیل کرده، پی ببرید چطور به سیستم رخنه کرده و چه گروه‌هایی معمولاً از آن استفاده می‌کنند- منظورمان این است که کلید پروسه شکار تهدید[2] را بزنید. باج‌افزار به همین راحتی‌ها سر و کله‌اش پیدا نمی‌شود؛ یک دراپر، RAT، لودر تروجان یا چیزی از این جنس آن را نصب می‌کند. درست باید دست روی همین عامل واسطه بگذارید: برای انجام این کار یک تحقیق داخلی می‌بایست انجام دهید. لاگ‌ها را بجویید تا مشخص شود چه کامپیوتری اول از همه مورد حمله قرار گرفت و چرا آن یک کامپیوتر خاص یارای مقابله با حمله را نداشته است. بر اساس نتایج بررسی، شبکه را از شر بدافزارهای مخفی و پیشرفته خلاص کرده و در صورت امکان عملیات‌های کسب و کار را ریستارت کنید. سپس پی ببرید چه چیزی این روند را متوقف کرده بود. چه آیتمی از امنیت نرم‌افزار از قلم افتاده بود؟ آن گپ‌ها را پر کنید. سپس به کارمندان خود در خصوص آنچه اتفاق افتاده است هشدار دهید، کوتاه و موجز توضیح دهید چطور باید چنین دام‌هایی را شناخته و از آن دوری کنند. و در ادامه به آن‌ها قول دهید در خصوص این امر برایشان جلسات آموزشی مد نظر قرار گرفته شده است. در آخر، آپدیت‌ها و پچ‌هایی را در زمان مناسب نصب نمایید. مدیریت آپدیت و پچ اولویت اصلی ادمین‌های آی‌تی است؛ بدافزار اغلب از طریق آسیب‌پذیری‌هایی به سیستم نفوذ می‌کنند که قرار است برایشان پچ‌هایی بزودی عرضه شود.

بخش سوم: پاکسازی و ریستور

تا اینجای کار تهدید شبکه و نیز حفره امنیتی که بواسطه آن ایجاد شده را مدیریت کرده‌اید. اکنون توجه خود را می‌بایست به کامپیوترهایی معطوف کنید که از کارافتاده‌اند. اگر برای تحقیق دیگر به آن‌ها نیازی نیست، درایوها را فرمت کرده و سپس داده‌ها را از جدیدترین نسخه بک‌آپ ریستور کنید. اگر هم در عین حال هیچ نسخه بک‌آپی ندارید مجبور خواهید بود هرآنچه روی درایوها هست را رمزگشایی کنید. کار را از وبسایت No Ransom کسپرسکی شروع کنید؛ جایی که ممکن است برای باج‌افزاری که با آن مواجه شدید از پیش رمزگشایی وجود داشته باشد- و اگر هم وجود نداشت برای درخواست کمک با ارائه‌دهنده امنیت سایبری خود تماس بگیرید. تحت هر شرایطی فایل‌های رمزگذاری‌شده خود را پاک نکنید. رمزگشاهای جدید هر چند وقت‌یکبار ظاهر می‌شوند و شاید آن روز، همین فردا باشد پس کمی صبر داشته باشید. از همه مهمتر اینکه باج ندهید! با این کار به درآمدزایی بزهکارانه‌ی مجرمان سایبری دامن زده‌اید و در عین حال احتمال اینکه بعد از دریافت باج به شما اطلاعات‌تان را (رمزگشایی‌شده) بازگردانند بسیار کم است. مهاجمین باج‌افزار علاوه بر بلاک کردن داده‌هایتان ممکن است اطلاعات را برای مقاصد بلک‌میل هم استفاده کرده باشند. در آخر، اگر به اخاذان اینترنتی باج دهید انگار برای انجام هر چه بیشتر باج‌گیری تشویقشان کرده‌اید. در برخی موارد مهاجمین تنها بهد از چند ماه باجگیری از شما باز هم سراغتان می‌آیند و این بار بیشتر گوشتان را خواهند برید! به طور کلی فرض را بر این بگذارید که هر داده‌ای از شما ممکن است روزی به دست همگان برسد و نشر داده شود؛ همچنین همیشه خود را برای مواجه با نشت اطلاعاتی آماده کنید. دیر یا زود باید در مورد این رخداد صحبت کنید: چه با کارمندان، چه با ذی‌نفعان، چه با آژانس‌های دولتی و چه با خبرنگاران. صراحت و صداقت بسیار مهم است و در نهایت بابت داشتن این دو خصیصه از شما تقدیر می‌شود.

بخش چهارم: انجام اقدامات پیشگیرانه

یک رخداد سایبری بزرگ همیشه به این معناست که دردسری عظیم با خود به همراه دارد و تنها راه، انجام اقدامات پیشگیرانه است.از پیش جانب احتیاط را رعایت کرده و پیشگیری کنید:

  •         راهکار محافظتیِ قابل‌اطمینانی را روی همه اندپوینت‌های شبکه‌های اینترنتی خود (از جمله اسمارت‌فون‌ها) نصب کنید.
  •         شبکه تقسیم‌بندی کرده و آن را به فایروال‌هایی که بخوبی تنظیم شده‌اند مجهز نمایید. همچنین بهتر است از فایروال نسل جدید (NGFW) یا محصولی مشابه که به طور خودکار داده‌هایی را در مورد تهدیدهای جدید دریافت می‌کند استفاده کنید.
  •         چشم‌انداز محافظتی‌تان ورای آنتی‌ویروس باشد؛ به ابزاری شکار تهدید قدرتمندتری فکر کنید.
  •         برای هشدارهای فوری سیستم SIEM (برای شرکت‌های بزرگ) به کار ببندید.
  •         طی جلسات معمول تعاملی کارمندان خود را نسبت به امنیت سایبری آگاه کنید.

 

 

[1] Disk image: یک فایل بزرگ و یکپارچه است که از روی CD یا DVD، یک دیسکت فلاپی یا حتی یک یا چند درایو از هارددیسک و... به صورت بیت به بیت خوانده شده و روی هارد دیسک (و یا هر رسانه دیگری که این توانایی را فراهم کند) نوشته می‌شود.

[2] threat-hunting


منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد