روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گرچه شاید هزاران بار راهکارهای امنیتی برای حفاظت از شبکه‌تان توصیه کرده‌ایم اما برخی‌اوقات با وجود اینکه همه جوانب احتیاط رعایت می‌شود باز هم آلودگی به سیستم رخنه می‌کند. این روزها در مقابل چنین حملاتی باید واکنشی بسیار سریع داشت. واکنش شما به رخداد سایبری است که تعیین می‌کند آیا با مانعی بزرگ روبرو شده‌اید یا یک مشکل بسیار جزئی. همچنین اینکه وقتی در پروسه‌ی ریکاوری به سر می‌برید شفاف‌سازی در خصوص تمامی این اقدامات یادتان نرود (هم برای کارمندان و هم برای جهان بیرون سازمان‌تان). افزون بر این، حواستان به هر شواهدی از باج‌افزاری که به سازمان‌تان حمله کرده است باشد؛ زیرا می‌توانید از آن برای بیشتر محافظت کردن خود در برابر حملات آتی استفاده کنید. منظورمان ذخیره کردن لاگ‌ها و سایر ردپاهای بدافزار است که برای بررسی‌های بعدی‌تان به کارتان خواهد آمد.

بخش اول: کشف و ایزوله

اولین گام این است که میزان نفوذ حمله را مشخص کنید. آیا بدافزار کل شبکه را گرفته است؟ آیا بیش از یک اداره یا دپارتمان را درگیر کرده است؟ ابتدا به دنبال کامپیوترها و بخش‌های شبکه که در زیرساخت سازمانی آلوده شده‌اند بگردید و فوراً آن‌ها را از سایر شبکه جداسازی کنید تا تسری محدود شود. اگر شرکت تعداد کامپیوترهای بسیاری ندارد، با آنتی‌ویروس، EDR و لاگ‌های فایروال شروع کنید. به طور جایگزین می‌توانید –برای تعداد بسیار محدودی از پیاده‌سازی‌ها- به طور فیزیکی دستگاه به دستگاه را چک کنید. اگر هم بحث سر تعداد زیادی از کامپیوترهاست که بهتر است لاگ‌ها و ساز و کارهای سیستم SIEM را مورد آنالیز قرار دهید. این کار از مشقت‌های بعدی‌تان کم نخواهد اما به هر حال می‌تواند در ترسیم تصویر بزرگ‌تر به شما کمک کند. بعد از ایزوله کردن دستگاه‌های آلوده از شبکه، دیسک ایمیج‌هایی[1] ساخته و در صورت امکان این دستگاه‌ها را تا پایان تحقیقات رها کنید. (اگر شرکتی نتواند مخارج خرابی کامپیوتر را تقبل کند به هر حال آن دیسک ایمیج‌ها را بسازید و مموری آن را برای تحقیقات ذخیره کنید).

بخش دوم: تحلیل و عمل

بعد از آنکه محیط پیرامون را بررسی کردید، اکنون فهرستی خواهید داشت از دستگاه‌‌هایی که دیسک‌هایشان پر است از فایل‌های رمزگذاری‌شده به همراه تصاویری از آن دیسک‌ها. آن‌ها از شبکه‌اینترنتی جدا هستند و دیگری تهدید محسوب نمی‌شوند. می‌توانید پروسه ریکاوری را همین لحظه شروع کنید اما نخست نگاهی به امنیت شبکه بیاندازید. حال زمان آن رسیده است که باج‌افزار را تحلیل کرده، پی ببرید چطور به سیستم رخنه کرده و چه گروه‌هایی معمولاً از آن استفاده می‌کنند- منظورمان این است که کلید پروسه شکار تهدید[2] را بزنید. باج‌افزار به همین راحتی‌ها سر و کله‌اش پیدا نمی‌شود؛ یک دراپر، RAT، لودر تروجان یا چیزی از این جنس آن را نصب می‌کند. درست باید دست روی همین عامل واسطه بگذارید: برای انجام این کار یک تحقیق داخلی می‌بایست انجام دهید. لاگ‌ها را بجویید تا مشخص شود چه کامپیوتری اول از همه مورد حمله قرار گرفت و چرا آن یک کامپیوتر خاص یارای مقابله با حمله را نداشته است. بر اساس نتایج بررسی، شبکه را از شر بدافزارهای مخفی و پیشرفته خلاص کرده و در صورت امکان عملیات‌های کسب و کار را ریستارت کنید. سپس پی ببرید چه چیزی این روند را متوقف کرده بود. چه آیتمی از امنیت نرم‌افزار از قلم افتاده بود؟ آن گپ‌ها را پر کنید. سپس به کارمندان خود در خصوص آنچه اتفاق افتاده است هشدار دهید، کوتاه و موجز توضیح دهید چطور باید چنین دام‌هایی را شناخته و از آن دوری کنند. و در ادامه به آن‌ها قول دهید در خصوص این امر برایشان جلسات آموزشی مد نظر قرار گرفته شده است. در آخر، آپدیت‌ها و پچ‌هایی را در زمان مناسب نصب نمایید. مدیریت آپدیت و پچ اولویت اصلی ادمین‌های آی‌تی است؛ بدافزار اغلب از طریق آسیب‌پذیری‌هایی به سیستم نفوذ می‌کنند که قرار است برایشان پچ‌هایی بزودی عرضه شود.

بخش سوم: پاکسازی و ریستور

تا اینجای کار تهدید شبکه و نیز حفره امنیتی که بواسطه آن ایجاد شده را مدیریت کرده‌اید. اکنون توجه خود را می‌بایست به کامپیوترهایی معطوف کنید که از کارافتاده‌اند. اگر برای تحقیق دیگر به آن‌ها نیازی نیست، درایوها را فرمت کرده و سپس داده‌ها را از جدیدترین نسخه بک‌آپ ریستور کنید. اگر هم در عین حال هیچ نسخه بک‌آپی ندارید مجبور خواهید بود هرآنچه روی درایوها هست را رمزگشایی کنید. کار را از وبسایت No Ransom کسپرسکی شروع کنید؛ جایی که ممکن است برای باج‌افزاری که با آن مواجه شدید از پیش رمزگشایی وجود داشته باشد- و اگر هم وجود نداشت برای درخواست کمک با ارائه‌دهنده امنیت سایبری خود تماس بگیرید. تحت هر شرایطی فایل‌های رمزگذاری‌شده خود را پاک نکنید. رمزگشاهای جدید هر چند وقت‌یکبار ظاهر می‌شوند و شاید آن روز، همین فردا باشد پس کمی صبر داشته باشید. از همه مهمتر اینکه باج ندهید! با این کار به درآمدزایی بزهکارانه‌ی مجرمان سایبری دامن زده‌اید و در عین حال احتمال اینکه بعد از دریافت باج به شما اطلاعات‌تان را (رمزگشایی‌شده) بازگردانند بسیار کم است. مهاجمین باج‌افزار علاوه بر بلاک کردن داده‌هایتان ممکن است اطلاعات را برای مقاصد بلک‌میل هم استفاده کرده باشند. در آخر، اگر به اخاذان اینترنتی باج دهید انگار برای انجام هر چه بیشتر باج‌گیری تشویقشان کرده‌اید. در برخی موارد مهاجمین تنها بهد از چند ماه باجگیری از شما باز هم سراغتان می‌آیند و این بار بیشتر گوشتان را خواهند برید! به طور کلی فرض را بر این بگذارید که هر داده‌ای از شما ممکن است روزی به دست همگان برسد و نشر داده شود؛ همچنین همیشه خود را برای مواجه با نشت اطلاعاتی آماده کنید. دیر یا زود باید در مورد این رخداد صحبت کنید: چه با کارمندان، چه با ذی‌نفعان، چه با آژانس‌های دولتی و چه با خبرنگاران. صراحت و صداقت بسیار مهم است و در نهایت بابت داشتن این دو خصیصه از شما تقدیر می‌شود.

بخش چهارم: انجام اقدامات پیشگیرانه

یک رخداد سایبری بزرگ همیشه به این معناست که دردسری عظیم با خود به همراه دارد و تنها راه، انجام اقدامات پیشگیرانه است.از پیش جانب احتیاط را رعایت کرده و پیشگیری کنید:

•         راهکار محافظتیِ قابل‌اطمینانی را روی همه اندپوینت‌های شبکه‌های اینترنتی خود (از جمله اسمارت‌فون‌ها) نصب کنید.
•         شبکه تقسیم‌بندی کرده و آن را به فایروال‌هایی که بخوبی تنظیم شده‌اند مجهز نمایید. همچنین بهتر است از فایروال نسل جدید (NGFW) یا محصولی مشابه که به طور خودکار داده‌هایی را در مورد تهدیدهای جدید دریافت می‌کند استفاده کنید.
•         چشم‌انداز محافظتی‌تان ورای آنتی‌ویروس باشد؛ به ابزاری شکار تهدید قدرتمندتری فکر کنید.
•         برای هشدارهای فوری سیستم SIEM (برای شرکت‌های بزرگ) به کار ببندید.
•         طی جلسات معمول تعاملی کارمندان خود را نسبت به امنیت سایبری آگاه کنید.

[1] Disk image: یک فایل بزرگ و یکپارچه است که از روی CD یا DVD، یک دیسکت فلاپی یا حتی یک یا چند درایو از هارددیسک و... به صورت بیت به بیت خوانده شده و روی هارد دیسک (و یا هر رسانه دیگری که این توانایی را فراهم کند) نوشته می‌شود.

[2] threat-hunting

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.