روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هکرها اغلب به دنبال اکانت‌های آزمایشی قدیمی و بلااستفاده می‌گردند یا به طور اتفاقی به فضای ذخیره‌سازی کلود عمومی که شامل داده‌های مهم و کمی فراموش شده می‌شوند، برخورد می‌کنند. گاهی از حمله‌ای ناشی از نقصِ اپ سوءاستفاده می‌کند، حتی اگر آن مشکل دو سال پیش برطرف شده باشد. با خواندن این گزارش‌های نفوذ، الگویی مشترک مشخص می‌شود: حملات از چیزهای قدیمی و فراموش‌شده استفاده کرده‌اند؛ مانند سرویس، سرور یا حساب کاربری. این بخش‌ها از زیرساخت فناوری اطلاعات سازمان گاهی از نظر تیم‌های فناوری و امنیت دور می‌مانند و در نهایت بدون مدیریت، بلااستفاده و فراموش می‌شوند.

این زامبی‌های فناوری اطلاعات خطراتی برای امنیت اطلاعات، رعایت قوانین و مقررات و هزینه‌های اضافی عملیاتی ایجاد می‌کنند. این وضعیت معمولاً بخشی از فناوری اطلاعات سایه‌ای است، با یک تفاوت مهم: هیچ‌کس این منابع را نمی‌خواهد، از آن‌ها خبر ندارد و هیچ سودی هم از آن‌ها نمی‌برد. در این مقاله سعی داریم منابعی را که نیاز به توجه فوری دارند شناسایی کنیم، روش پیدا کردن آن‌ها را توضیح دهیم و نشان دهیم پاسخ مناسب باید چگونه باشد. با ما همراه بمانید.

سرورهای فیزیکی و مجازی

اهمیت: بالا. سرورهای آسیب‌پذیر می‌توانند دروازه‌ای برای حملات سایبری باشند و در عین حال منابع سازمان را مصرف کرده و خطرات مربوط به رعایت قوانین و مقررات ایجاد کنند.

شیوع: زیاد. در زیرساخت‌های بزرگ، سرورهای فیزیکی و مجازی اغلب پس از پروژه‌های مهاجرت، ادغام یا خرید و فروش سازمان‌ها رها می‌شوند. سرورهای آزمایشی که پس از راه‌اندازی پروژه‌ها دیگر استفاده نمی‌شوند و همچنین سرورهای وب پروژه‌های قدیمی که بدون دامنه اجرا می‌شوند، به‌طور مکرر فراموش می‌شوند. مقیاس این مشکل با آمار Let’s Encrypt  روشن می‌شود: در سال ۲۰۲۴، نیمی از درخواست‌های تمدید دامنه از دستگاه‌هایی ارسال شده بود که دیگر به دامنه مربوطه متصل نبودند و در جهان حدود یک میلیون از این دستگاه‌ها وجود دارد.

شناسایی: تیم فناوری اطلاعات باید فرآیند خودکار کشف و تطبیق اطلاعات را اجرا کند که نتایج اسکن شبکه و موجودی فضای کلود را با داده‌های پایگاه مدیریت پیکربندی ترکیب کند. این کار امکان شناسایی به‌موقع اطلاعات قدیمی یا متناقض درباره دارایی‌های فناوری اطلاعات را فراهم نموده و کمک می‌کند دارایی‌های فراموش‌شده پیدا شوند. این داده‌ها باید با اسکن‌های آسیب‌پذیری خارجی که تمام آدرس‌های عمومی سازمان را پوشش می‌دهند، تکمیل شوند.

پاسخ: یک فرآیند رسمی و مستند برای از رده خارج کردن یا بازنشسته کردن سرورها ایجاد کنید. این فرآیند باید شامل تأیید کامل انتقال داده‌ها و تخریب مطمئن داده‌ها روی سرور شود. پس از انجام این مراحل، سرور می‌تواند خاموش، بازیافت یا بازاستفاده شود. تا زمان اتمام تمام مراحل، سرور باید به یک شبکه جدا و قرنطینه شده منتقل گردد .

برای کاهش این مشکل در محیط‌های آزمایشی، یک فرآیند خودکار برای ایجاد و بازنشسته کردن محیط‌های آزمایشی اجرا کنید. محیط آزمایشی باید در ابتدای پروژه ایجاد و پس از مدت مشخص یا پس از دوره‌ای از عدم فعالیت، برچیده شود. امنیت محیط‌های آزمایشی را با جدا کردن کامل آن‌ها از محیط اصلی و ممنوع کردن استفاده از داده‌های واقعی و شناسایی‌پذیر در تست‌ها تقویت کنید.

حساب‌های کاربری، سرویس‌ها و دستگاه‌های فراموش‌شده

اهمیت: حیاتی. حساب‌های غیرفعال و دارای دسترسی‌های ویژه هدف اصلی هکرها هستند که به دنبال تثبیت حضور در شبکه یا گسترش دسترسی خود در زیرساخت‌ها می‌گردند.

شیوع: بسیار زیاد. حساب‌های فنی سرویس‌ها، حساب‌های پیمانکاران و حساب‌های غیرشخصی از رایج‌ترین موارد فراموش‌شده هستند.

شناسایی: تحلیل منظم فهرست کاربران سازمان (در بسیاری از سازمان‌ها فهرست فعال) برای شناسایی همه حساب‌هایی که در بازه زمانی مشخصی فعالیتی نداشته‌اند ضروری است. همچنین بررسی مجوزهای هر حساب و حذف مجوزهای اضافی یا غیرضروری توصیه می‌شود.

پاسخ: پس از هماهنگی با مالک سرویس یا سرپرست کارمند مربوطه، حساب‌های قدیمی باید غیرفعال یا حذف شوند. استفاده از یک سیستم جامع مدیریت هویت و دسترسی می‌تواند راه‌حلی مقیاس‌پذیر باشد که ایجاد، حذف و تعیین مجوز حساب‌ها را با فرآیندهای منابع انسانی یکپارچه می‌کند. برای حساب‌های سرویس، بررسی منظم قدرت گذرواژه‌ها و تاریخ انقضای توکن‌های دسترسی و به‌روزرسانی آن‌ها ضروری است.

مخازن داده فراموش‌شده

اهمیت: حیاتی. داده‌های ضعیف کنترل‌شده در پایگاه‌های داده قابل دسترسی خارجی، فضای ذخیره‌سازی کلود و سطل‌های بازیابی و سرویس‌های اشتراک فایل سازمان — حتی سرویس‌های امن — منبع اصلی بسیاری از نفوذها در سال‌های ۲۰۲۴ تا ۲۰۲۵ بوده‌اند. این داده‌ها معمولاً شامل اسکن اسناد، سوابق پزشکی و اطلاعات شخصی هستند و منجر به جریمه‌های ناشی از عدم رعایت قوانین مانند حفاظت اطلاعات سلامت، قوانین حفاظت داده‌ها و دیگر چارچوب‌های مرتبط می‌شوند.

شیوع: زیاد. داده‌های آرشیوی، نسخه‌های کپی شده توسط پیمانکاران، نسخه‌های قدیمی پایگاه داده از مهاجرت‌های گذشته؛ همه این‌ها اغلب سال‌ها (حتی دهه‌ها) بدون رسیدگی باقی می‌مانند و قابل دسترسی هستند.

شناسایی: با توجه به تنوع انواع داده و روش‌های ذخیره‌سازی، استفاده از ترکیبی از ابزارها ضروری است:

• سیستم‌های داخلی حسابرسی در پلت‌فرم‌های بزرگ
• راهکارهای تخصصی کشف داده و مدیریت امنیت داده
• تحلیل خودکار گزارش‌های موجودی

کنترل داده‌هایی که توسط پیمانکاران در زیرساخت خودشان ایجاد شده‌اند نیازمند قراردادهایی است که دسترسی تیم امنیت سازمان به این ذخایر و استفاده از سرویس‌های هوش تهدید برای شناسایی داده‌های در معرض یا سرقت‌شده را تضمین کند.

پاسخ: تحلیل گزارش‌های دسترسی و یکپارچه کردن مخازن کشف‌شده با ابزارهای حفاظت داده و نظارت بر استفاده از آن‌ها ضروری است. در صورت لزوم، نسخه پشتیبان امن ایجاد کرده و سپس داده‌ها را حذف کنید. در سطح سیاست‌های سازمانی، تعیین دوره نگهداری برای انواع داده و الزام به آرشیو و حذف خودکار پس از پایان دوره اهمیت دارد. همچنین باید فرآیند ثبت سیستم‌های ذخیره‌سازی جدید تعریف شده و وجود داده‌های بدون مالک و بدون محدودیت دسترسی ممنوع شود.

برنامه‌ها و سرویس‌های استفاده‌نشده روی سرورها

اهمیت: متوسط. آسیب‌پذیری در این سرویس‌ها خطر موفقیت حملات سایبری را افزایش می‌دهد، روند اصلاح نقص‌ها را پیچیده می‌کند و منابع سازمان را هدر می‌دهد.

شیوع: بسیار زیاد. سرویس‌ها اغلب به صورت پیش‌فرض هنگام نصب سرور فعال می‌شوند، پس از تست و پیکربندی باقی می‌مانند و مدت طولانی پس از منسوخ شدن فرآیند کسب‌وکار مرتبط، همچنان اجرا می‌شوند.

شناسایی: با انجام ممیزی‌های منظم پیکربندی نرم‌افزارها. برای موثر بودن ممیزی، سرورها باید بر اساس مدل دسترسی نقش‌محور باشند و هر نقش سرور فهرستی از نرم‌افزارهای مورد نیاز داشته باشد. علاوه بر پایگاه مدیریت پیکربندی، مجموعه‌ای از ابزارها در این ممیزی کمک می‌کنند: ابزارهای بررسی انطباق سیاست و سخت‌سازی سیستم، ابزارهای چندمنظوره، اسکنرهای آسیب‌پذیری و تحلیل‌گرهای ترافیک شبکه.

پاسخ: مرور دوره‌ای عملکرد سرورها با صاحبان کسب‌وکار آن‌ها انجام شود. هر برنامه یا سرویس غیرضروری که فعال است باید غیرفعال شود. برای کاهش این مشکل، اصل حداقل امتیاز دسترسی در کل سازمان اعمال شود و از تصاویر پایه سخت‌شده یا قالب‌های سرور استاندارد برای نصب سرور استفاده شود تا هیچ نرم‌افزار اضافی به صورت پیش‌فرض نصب نشود.

رابط‌های برنامه‌نویسی قدیمی

اهمیت: بالا. هکرها اغلب از رابط‌های برنامه‌نویسی برای سرقت حجم زیادی از داده‌های حساس یا دسترسی اولیه به سازمان استفاده می‌کنند. در سال ۲۰۲۴، تعداد حملات مرتبط با این رابط‌ها ۴۱ درصد افزایش یافت و مهاجمان به‌طور خاص به سراغ رابط‌های قدیمی رفتند، زیرا معمولاً محدودیت‌ها و بررسی‌های کمتری روی آن‌ها اعمال می‌شود. نمونه بارز این موضوع، افشای ۲۰۰ میلیون رکورد از شبکه اجتماعی X/Twitter بود.

شیوع: زیاد. وقتی یک سرویس به نسخه جدیدی از رابط منتقل می‌شود، نسخه قدیمی اغلب برای مدت طولانی فعال باقی می‌ماند، به‌خصوص اگر مشتریان یا شرکا هنوز از آن استفاده کنند. این نسخه‌های منسوخ معمولاً دیگر نگهداری نمی‌شوند و آسیب‌پذیری‌های آن‌ها بدون اصلاح باقی می‌ماند.

شناسایی: در سطح فایروال برنامه یا فایروال نسل جدید باید ترافیک به هر رابط را پایش کرد. این کار به شناسایی ناهنجاری‌ها، نشانه‌های سوءاستفاده یا سرقت داده کمک می‌کند و همچنین رابط‌هایی را که ترافیک کمی دارند، مشخص می‌کند.

پاسخ: برای رابط‌های کم‌فعالیت، با ذی‌نفعان کسب‌وکار همکاری کنید تا برنامه بازنشستگی آن‌ها تدوین شود و کاربران باقی‌مانده به نسخه‌های جدید منتقل شوند. برای سازمان‌هایی که تعداد زیادی سرویس دارند، بهترین روش استفاده از پلت‌فرم مدیریت رابط‌ها همراه با سیاست رسمی چرخه عمر رابط است، که شامل معیارهای واضح برای منسوخ کردن و بازنشسته کردن رابط‌های قدیمی شود.

نرم‌افزار با وابستگی‌ها و کتابخانه‌های قدیمی

اهمیت: بالا. این بخش جایی است که آسیب‌پذیری‌های بزرگ و حیاتی مانند Log4Shell پنهان می‌شوند و می‌توانند امنیت سازمان را به خطر بیندازند و مشکلات رعایت قوانین ایجاد کنند.

شیوع: بسیار زیاد، به‌ویژه در سیستم‌های مدیریت سازمانی بزرگ، سیستم‌های اتوماسیون صنعتی و نرم‌افزارهای اختصاصی.

شناسایی: از ترکیبی از سیستم‌های مدیریت آسیب‌پذیری و ابزارهای تحلیل ترکیب نرم‌افزار استفاده کنید. برای توسعه داخلی، استفاده از اسکنرها و سیستم‌های امنیتی جامع که در خط تولید نرم‌افزار یکپارچه شده‌اند، ضروری است تا از ساخت نرم‌افزار با اجزای قدیمی جلوگیری شود.

پاسخ: سیاست‌های سازمان باید تیم‌های فناوری و توسعه را موظف به به‌روزرسانی منظم وابستگی‌های نرم‌افزار کنند. در نرم‌افزار داخلی، تحلیل وابستگی بخشی از فرآیند بررسی کد باشد. برای نرم‌افزارهای طرف‌سوم، بررسی منظم وضعیت و سن وابستگی‌ها ضروری است. برای تامین‌کنندگان خارجی، به‌روزرسانی وابستگی‌ها باید به‌صورت قراردادی مشخص و بر زمان‌بندی پشتیبانی و بودجه پروژه تاثیرگذار باشد. همچنین نگهداری یک فهرست به‌روز از اجزای نرم‌افزار (SBOM) ضروری است.

وب‌سایت‌های فراموش‌شده

اهمیت: متوسط. وب‌سایت‌های فراموش‌شده می‌توانند برای فیشینگ، میزبانی بدافزار یا انجام کلاهبرداری تحت برند سازمان مورد سوءاستفاده قرار بگیرند و به اعتبار آن آسیب برسانند. در موارد جدی‌تر، این سایت‌ها می‌توانند منجر به نفوذ داده‌ها یا تبدیل به سکوی حمله علیه سازمان شوند. بخشی از این مشکل مربوط به دامنه‌های فراموش‌شده‌ای است که یک‌بار استفاده شده و منقضی شده‌اند و تجدید نشده‌اند و اکنون قابل خرید برای هر کسی هستند.

شیوع: زیاد، به‌ویژه سایت‌هایی که برای کمپین‌های کوتاه‌مدت یا فعالیت‌های داخلی یک‌باره ایجاد شده‌اند.

شناسایی: تیم فناوری اطلاعات باید یک فهرست مرکزی از تمام وب‌سایت‌ها و دامنه‌های عمومی داشته باشد و وضعیت هرکدام را به صورت ماهانه یا فصلی با مالک آن‌ها بررسی کند. همچنین می‌توان از اسکنرها یا نظارت DNS برای دنبال کردن دامنه‌ها استفاده کرد. سرویس‌های هوش تهدید نیز می‌توانند وب‌سایت‌های مرتبط با برند سازمان را به‌صورت مستقل شناسایی کنند.

پاسخ: سیاستی برای خاموش کردن وب‌سایت‌ها پس از پایان دوره استفاده فعال تدوین کنید. سیستم ثبت و تجدید خودکار دامنه‌ها نیز کمک می‌کند تا کنترل سازمان روی دامنه‌ها از دست نرود.

دستگاه‌های شبکه استفاده‌نشده

اهمیت: بالا. روترها، فایروال‌ها، دوربین‌های مدار بسته و دستگاه‌های ذخیره‌سازی شبکه که متصل مانده‌اند اما مدیریت یا به‌روزرسانی نمی‌شوند، سکوی مناسب حمله برای هکرها هستند. این دستگاه‌های فراموش‌شده معمولاً دارای آسیب‌پذیری هستند و تقریباً هیچ‌گاه تحت پایش مناسب نیستند، اما موقعیت ویژه‌ای در شبکه دارند که راه را برای نفوذ به سرورها و کامپیوترهای سازمانی هموار می‌کند.

شیوع: متوسط. این دستگاه‌ها معمولاً در جابجایی دفاتر، ارتقای زیرساخت شبکه یا ایجاد محیط کاری موقت فراموش می‌شوند.

شناسایی: از همان ابزارهای موجودی شبکه که در بخش سرورهای فراموش‌شده استفاده شد، همراه با ممیزی‌های فیزیکی منظم استفاده کنید تا اسکن شبکه با تجهیزات واقعی مقایسه شود. اسکن فعال شبکه می‌تواند بخش‌های شبکه بدون پیگیری و اتصالات خارجی غیرمنتظره را شناسایی کند.

پاسخ: دستگاه‌های بدون مالک معمولاً می‌توانند فوراً آفلاین شوند. اما مراقب باشید؛ پاک‌سازی آن‌ها نیازمند دقت مشابه پاک‌سازی سرورها است تا از نشت تنظیمات شبکه، گذرواژه‌ها یا تصاویر ویدئویی جلوگیری شود.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.