روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ رخدادهای سایبری مهم دلیل خوبی برای ارتقای نه تنها بخش امنیت اطلاعات که همچنین بخش فناوری اطلاعات هستند. مدیریت به تخصیص منابع تمایل دارد و واقعاً خواستار تغییر مثبت است اما در عین حال باید در مورد مقیاس و بودجه واقع‌گرا بود. سوال این است که چه اقداماتی بزرگ‌ترین کمک را به جلوگیری و کاهش اثر رخدادهای جدید می‌کند؟ آماده بودن برای حملات سایبری آتی «مقاومت سایبری» نام دارد و این فقط به معنای تقویت لایه‌های دفاعی نیست. برای یک شرکت، مقاومت سایبری توانایی در ایستادن روبروی حمله سایبری یا سایر رخدادهای سایبری است. این یعنی برخوردار بودن از ابزارهای فنی و سازمانی برای شناسایی، واکنش به رخدادها و نیز گذار از آن‌ها با سلامتی کامل است. سپس باید سازگاری صورت گیرد و از آن‌ها نیز درس‌هایی گرفته شود. این مفهوم در استاندارد ISO/IEC 27001 بیان شده است. یا به قول برخی از سازمان‌ها: چطور یک سازمان می‌تواند جلوی نفوذ باج‌افزارها را بگیرد و اگر باج‌افزاری رخنه کرد چطور می‌شود جلوی ضرر آن را گرفت؟ در این مقاله قصد داریم به این سوالات پاسخ دهیم. با ما همراه بمانید.

از کجا باید شروع کرد؟

فهرست فناوری‌های جلوگیری و کاهش از حمله سایبری ته ندارد. باید با ارزیابی ریسک‌ها و خسارات ناشی از رخدادهای مختلف امنیت سایبری اولویت‌بندی کرد و از محتمل‌ترین حملات از فریم‌ورک ATT&CK پیشگیری نمود. همچنین می‌بایست یکی از چندین راهکارها برای کاهش ریسک‌های مشخص را به کار برد. اما ابتدا باید به چندین گام اولیه توجه داشت: ابتدا توصیه داریم تمرکز روی راهکارهای هسته‌ای‌ باشد که آنقدر اثرگذار خواهند بود که سایر پروژه‌ها تا وقتی این اصول اجرایی نشوند به تعویق خواهند افتاد. همه راهکارهای این فهرست مشخصاً ریسک شایع‌ترین حملات را پایین می‌آورند و اگر نفوذی رخ دهد واکنش به آن و کاهش خسارت ساده‌سازی خواهد شد. پس اگر شرکت شما از این فهرست چیزی کم دارد امروز آن را پیاده‌سازی کنید. نمی‌توانیم تأکید کنیم که این فناوری‌ها روی همه کامپیوترهای شرکت شما باید پیاده شوند. این یعنی همه اندپوینت‌ها شامل همه لپ‌تاپ‌ها و اسمارت‌فون‌های سازمانی و شخصی، همه سرورها و همه ورک‌لودهای مجازی و کانتینری. اما ایراد کار اینجاست: shadow IT. علی‌رغم بهترین تلاش‌ها، شاید متوجه حضور برخی کامپیوترها و سرورها نباشید. پس با تهیه لیست موجودی همه دارایی‌های آی‌تی خود شروع کنید تا مطمئن شوید خط‌مشی های امنیتی همه زیرساخت سازمانی شما را پوشش می‌دهد.

شناسایی و واکنش اندپوینت

همه کامپیوترها شامل سرورها و ماشین‌های مجازی باید EDR را نصب کرده باشند و قابلیت مسدودسازی تهدید رویشان فعال شده باشد. EDR فناوری هسته‌ای محافظتی است که محافظت بدافزار را با نظارت و واکنش برای سیستم‌های امنیت اطلاعات پیچیده‌تر ترکیب می‌کند. مطمئن شوید می‌توانید از همه کامپیوترها تله‌متری دریافت کنید زیرا هر متخصص امنیتی داخلی یا خارجی نیاز خواهد داشت سریعاً رخدادهای احتمالی را تحلیل کند. فروشندگان مهم مانند کسپرسکی به طور خودکار اکثریت تهدیدهای شایع سایبری را بلاک می‌کنند پس مطمئن شوید همه قابلیت‌های بلوکه کردن فعالیت‌های مخرب شناخته‌شده روی همه کامپیوترها تحت یک خط‌مشی یکپارچه فعال است.

احراز هویت چندعاملی

طبق برآوردهای مختلف، بین 60 تا 80 درصد حملات سایبری با سرقت اکانت شروع می‌شوند. برای همین است ناروا است از دسترسی به سیستم‌های کامپیوتری فقط با یک پسورد تنها محافظت کرد. خیلی راحت می‌شود آن را حدس زد، سرقت کرد یا اقدام به جستجوی فراگیر نمود. لاگین کاربر باید با احراز هویت چندعاملی اجرا شود. شایع‌ترین فرم آن دوعامل را به کار می‌بندد (پسورد و کد یکبار مصرف). بنابراین بدان احراز هویت چندعاملی یا دوعاملی می‌گویند. مقرون‌به‌صرفه‌ترین راهکارها بسته به ویژگی‌های سازمان و موقعیت  و سمت کارمند از اپ احرازگر استفاده می‌کنند می‌تواند هر ترکیبی از اپ، توکن یو‌اس‌بی، بیومتریک و غیره باشد. به طور کلی، احراز هویت چندعاملی برای هر سیستم شرکت توصیه می‌شود اما بکارگیری آن باید برای سرویس‌هایی که به طور خارجی در دسترس هستند مانند ایمیل و وی‌پی‌ان اولویت‌بندی شود.

بک‌آپ‌های محافظت‌شده

بک‌آپ‌ها مدت‌هاست از شرکت‌ها صیانت کرده‌اند (در برابر آتش‌سوزی و خرابی های سخت‌افزاری). آن‌ها همچنین جلوی تعدادی از حملات سایبری را نیز می‌گیرند. عاملین باج‌افزار کاملاً نسبت به این موضوع واقفند پس هر حمله باج‌افزاری شامل حذف هدف‌دارِ کپی‌های بک‌آپ از اطلاعات می‌شوند. به همین دلیل یک استراتژی بک‌آپ باید شامل هه سناریوها شود؛ مانند ریکاوری سریع از خرابی یا سایر رخدادهای آی‌تی و نیز ریکاوری تضمینی در صورت حمله باج‌افزاری. همچنین خیلی احتمالش هست که دو بک‌آپ جداگانه نیاز شود. بک‌آپ‌های مقاوم در برابر باج‌افزار آن‌هایی هستند که در رسانه ذخیره می‌شوند؛ رسانه‌هایی که به طور فیزیکی از شبکه جدا هستند (شاید سخت باشند اما قابل اطمینان هستند)؛ همچنین اینها ذخیره‌گاه‌های ابری تغییرناپذیر نیز هستند که در آن‌ها داده‌ها را می‌تواند اضافه کرد اما نمی‌توان جایگزین یا حذف نمود (راحت و قابل‌اطمینان اما بالقوه گران). بعد از ساحت بک‌آپی تغییرناپذیر باید آموز ریکاوری داده صورت داد تا اولاً اطمینان حاصل شود این امر صورت گرفته، دوماً زمان لازم برآورد شود و سوم اینکه زمان لازم برای اینکه تیم به حمله واقعی واکنش نشان دهد تخمین زده شود.

بکارگیری و مدیریت پچ

همه رایانه‌های موجود در شرکت، اعم از دسکتاپ، سرور مجازی یا لپ‌تاپ یک کارمند در سفر کاری، باید دارای ابزارهایی نصب شده باشند که به مدیران اجازه دهد دستگاه را از راه دور مدیریت کنند. اقدامات حیاتی شامل تشخیص رایانه (بررسی در دسترس بودن برنامه های ضروری، بررسی وضعیت شبکه، سلامت VPN، به روز رسانی EDR و غیره)، نصب برنامه‌ها و آپدیت‌ها، آزمایش آسیب پذیری‌ها و غیره است. چنین قابلیت‌هایی هم برای کارهای روزمره و هم در هنگام واکنش به رخداد حیاتی هستند. در عملیات روزانه، آنها از بهداشت سایبری مانند نصب سریع به روز رسانی های امنیتی مهم در همه رایانه ها اطمینان می‌دهند. در طول بروز رخدادها، ممکن است لازم باشد، مثلاً، یک ابزار تخصصی راه اندازی یا یک گواهی نصب شود - و فقط سیستم‌های مدیریتی باید مجاز به انجام این کار در یک بازه زمانی معقول باشند، از جمله برای کارمندان از راه دور. بهترین گزینه برای این کار، سیستم‌های UEM هستند که به شما امکان می‌دهند دستگاه‌های مختلفی از جمله رایانه‌های کاری و شخصی و تلفن‌های هوشمند را مدیریت کنید و سیاست‌های شرکت را در مورد آنها اعمال کنید. شما همچنین می توانید خود را با راهکارهای بسیار تخصصی، مانند مدیریت پچ، VNC/RDP و سایر سیستم ها مسلح کنید.

پسوردهای منحصر به فرد
مدیریت دسترسی ممتاز و شناسایی امنیت یک موضوع بسیار گسترده است. امنیت هویت خوش‌ساخت هم سطح حفاظت شرکت را افزایش می‌دهد و هم زندگی کارمندان را ساده می‌کند. اما پیاده‌سازی کامل می‌تواند پروژه‌ای زمان‌بر باشد، بنابراین تمرکز اولیه باید روی موارد ضروری باشد، اولین مورد این است که اطمینان حاصل شود هر کامپیوتر در شرکت توسط یک رمز عبور مدیر محلی منحصر به فرد محافظت می‌شود. برای اجرای این اقدام از ابزار رایگان LAPS استفاده کنید. این اقدام احتیاطی ساده مانع از حرکت سریع مهاجمان در شبکه می‌شود و کامپیوترها را یک به یک با استفاده از رمز عبور یکسان به خطر می‌اندازد.

کاهش سرویس‌های آسیب‌پذیر

مرتباً آدرس‌های آی‌پی شرکت خود را از اینترنت اسکن کنید تا مطمئن شوید سرورها و سرویس‌هایی که فقط باید روی شبکه لوکال قابل دسترسی باشند در دسترس عموم نیستند. چنانچه سرویسی در اینترنت پدیدار شد سریع نسبت به مسدودسازی دسترسی خارجی‌اش از اینترنت اقدام کنید. اگر به هر دلیلی باید از اینترنت قابل دسترسی باشد آپدیت‌های معمول امنیتی را به کار برده و از آن با احراز هویت دوعاملی محافظت کنید. این اقدامات خصوصاً برای تارگت‌های مورد پسند هکرها مانند کنسول‌های وب مدیریت، RDP, Telnet/SSH, SMB, SNMP و  FTP  مهم هستند. بهتر است فرض کنیم همه سرویس‌ها در اینترنت دیده می‌شوند و باید آسیب‌پذیری آن‌ها را اسکن کرد؛ همینطور پسوردها و سایر نقایص را نیز می‌بایست مرتباً مورد نظارت قرار داد. 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.