آماده‌سازی و تمرین برای پاسخ به حادثه سایبری باج‌افزاری

حوادث پرسروصدای اخیر نشان می‌دهند که امروز باج‌افزار همچنان تهدید شماره یک برای سازمان‌ها است. سال گذشته، گزارشی منتشر شد مبنی بر اینکه تعداد درگیری با باج‌افزارها نسبت به سال ۲۰۱۹، ۱۵۰ درصد افزایش داشته است. به نظر نمی‌رسد که امسال هم این روند کاهش پیدا کند. مقالات مختلفی به سؤالات موضوعی در مورد بهترین روش برای رسیدگی و پاسخ به حادثه منتشر شده‌اند. بسیاری از این مقالات تاکتیکی هستند و مثلاً به این می‌پردازند که آیا باید باج را پرداخت کرد یا خیر.

• باج‌افزار‌ها به‌عنوان یکی از تهدیدات پیشرو حوزه‌ی مهمی برای آماده‌سازی پاسخ به حادثه هستند.
• ارزیابی‌های آمادگی برای حادثه را می‌توان به‌صورت مجزا یا همراه با یکدیگر مورداستفاده قرار داد تا آمادگی برای باج‌افزار ارزیابی گردد.
• آماده‌سازی پاسخ به حادثه برای باج‌افزار یا تهدیدات دیگر از یک رویکرد برنامه‌ریزی‌شده بهره می‌برد که با توجه به میزان بلوغ و اهداف کنونی یک سازمان تنظیم می‌شود.

اپراتورهای باج‌افزار به دنبال سواستفاده از ضعف شبکه سیستمی موجود هستند. معمولاً سازمان‌ها در آماده‌سازی برای باج‌افزار، دو رویکرد را پیش می‌گیرند. اولین (و بدترین) رویکرد این است که روی آخرین تکنولوژی‌ها سرمایه‌گذاری می‌کنند و انتظار دارند که همه‌چیز حل شود. دومین رویکرد این است که متوجه باشند پیشگیری ۱۰۰ درصدی غیرممکن است و یک رویکرد فعال و آینده‌نگر را پیش بگیرند. این رویکرد شامل درک بهتر محیط IT، دارایی‌های حیاتی که نیاز به حفاظت دارند و میزان قرار گرفتن در معرض یک حمله‌ی باج‌افزار احتمالی است. استراتژی مناسب این است که قبل از اینکه دیر شود، روی تمام این عناصر تسلط بدست آید.

ارزیابی‌های ریسک باج‌افزار

به‌این‌ترتیب، قدم اول برای آمادگی یک سازمان در مقابل باج‌افزار‌ها این است که یک ارزیابی با آگاهی از تهدیدات یا تجزیه‌و‌تحلیل ریسک باج‌افزار را انجام دهند. هدف از این مقاله این است که یک ارزیابی جامع را از کنترل‌های امنیتی، فرایندها و تکنولوژی‌ها در حوزه‌های امنیتی کلیدی یک سازمان فراهم کند. یافته‌های مربوط به ریسک به‌صورت درجه‌بندی‌شده و پیشنهادات ارائه شده، یک نمای کلی را فراهم می‌کنند که نقشه‌ای را برای اقدامات اصلاحی ارائه داده و یک رویکرد کاربردی‌تر و اولویت‌بندی‌شده‌تر را در مورد سرمایه‌گذاری‌ها روی تکنولوژی شکل می‌دهد و همچنین به ایجاد یک فرایند مدیریت ریسک امنیت اطلاعات کمک می‌کند.

ارزیابی‌های فنی

تکمیل کردن ارزیابی ریسک با ارزیابی‌ فنی کمک می‌کند که حوزه‌های بیشتری از ریسک آشکار شود و حوزه‌هایی که معمولاً توسط تهدیدات باج‌افزار اکسپلویت می‌شوند تست گردند.

 سازمان‌ها معمولاً یکی از تست‌های زیر یا همه‌ی آن‌ها را انجام می‌دهند.

• یک ارزیابی امنیتی Active Directory بینش‌هایی را فراهم می‌کند که برای رفع نقاط ضعف در پیکربندی‌های اشتباه Active Directory مورد نیاز است که معمولاً عاملان تهدید برای توزیع باج‌افزار از آن‌ها استفاده می‌کنند.
• یک ارزیابی شکار تهدیدات نیز می‌تواند درکی مبنایی از تهدیداتی که در محیط وجود دارند را فراهم کند.
• تست مقاومت نسبت به باج‌افزار یا تست شبیه‌سازی باج‌افزار در این مورد کاربرد دارد. این تست فراتر از اسکن خودکار عمل می‌کند و با استفاده یک از رویکرد کاربردی که با استفاده از سال‌ها تجربه‌ی تهاجمی و آخرین پژوهش‌های موجود در مورد تهدیدات مدل‌سازی شده است، از مهاجمین تقلید کند. در برخی از موارد، پس از نقض امنیتی و با اجازه‌ی مشتری، تیم انجام‌دهنده‌ی تست یک قدم فراتر می‌رود و کد باج‌افزار تقلیدی را اجرا می‌کند و تا یک شبیه‌سازی زنده انجام دهد و پاسخ تیم آبی یک سازمان را تست کند. در این حالت، پیش‌پیاده‌سازی باج‌افزار در دنیای واقعی شبیه‌سازی می‌شود تا شکاف‌ها در کنترل در مقابل تاکتیک‌ها، تکنیک‌ها و رویه‌های واقعی شناسایی گردد.

برای یک برنامه‌ی پاسخ به رخداد جامع، باید یک سؤال پرسیده شود: آیا به‌اندازه‌ی کافی تمرین کرده‌ایم؟

برنامه‌ریزی پاسخ به حادثه و اقدامات مربوطه

درنهایت، در طول یک حادثه هر ثانیه مهم است، کلید یک پاسخ کارآمد و به‌موقع، آماده‌سازی فعال و پیشگیرانه برای پاسخ به حادثه است. تحول در پاسخ به حادثه سایبری برای آمادگی و قابلیت خودترمیمی مسیری است که با برنامه‌ریزی، بررسی منظم و تکامل برنامه و فرایندهای کنونی پاسخ به حادثه آغاز می‌شود.

آماده‌سازی برای پاسخ به حادثه با برنامه‌ریزی و مستندسازی آغاز شده در جلسات گروهی ادامه پیدا می‌کند. داشتن یک هدف مشخص، مثل رسیدن به آمادگی در مقابل باج‌افزار، برای برنامه‌ریزی برای یک جلسه‌ی گروهی کارآمد ضروری است. جلسات گروهی یک قدم اولیه و با تأثیرگذاری اندک برای اجرای یک برنامه هستند.

بااینکه بسامد جلسات برای ایجاد آمادگی مهم هستند، توجه به اینکه جلسات گروهی فقط یکی از تمرینات آماده‌سازی برای پاسخ به حادثه هستند که می‌توانند مورداستفاده قرار گیرند نیز مهم است. هر زمان که ممکن باشد، یک برنامه‌ی پاسخ به حادثه‌ی قدرتمند باید چندین تمرین مختلف را که از شبیه‌سازی‌های تقلید از باج‌افزار بهره می‌برند، با هم ترکیب کند؛ این تمرینات شامل موارد زیر هستند:

• تمرینات کاربردی
• تمرینات در مقیاس کامل یا تیم بنفش (که از شبیه‌سازی‌های زنده که بالاتر به آن‌ها اشاره شد، بهره می‌برند)

تمرین باعث تکامل می‌شود. اگر به میزان کافی با ورودی‌های درست تمرین کنید، اکثر تصمیماتی که باید در طول یک حادثه بگیرید، از قبل گرفته شده‌اند، زیرا از قبل برای شرایط حادثه آماده شده‌اید.

رویکرد برنامه‌دار به آماده‌سازی برای پاسخ به حادثه

هیچ برنامه‌ی ایستا یا ارزیابی یا تمرین واحدی برای اینکه از چشم‌انداز تهدیدات عقب نیفتیم، کافی نیست. باید به‌طور هدف‌مند و با برنامه فکر کرد تا یک برنامه‌ی فعال و پیشگیرانه ساخته شود که به آمادگی برای حوادث کمک کند. سیستم‌های دفاعی موجود یک سازمان، بلوغ امنیتی، اهداف و نیازهای آن، همگی باید در شکل آماده‌سازی پاسخ به حادثه تعیین‌کننده باشند. اندازه‌گیری تمام این عناصر کار بزرگی است. به همین دلیل است که بسیاری از سازمان‌ها ترجیح می‌دهند از متخصصان خارجی کمک بگیرند. سازمان‌ها باید به دنبال متخصصانی بگردند که رویکردی مشاوره‌محور دارند و خدمات آمادگی را فراهم می‌کنند تا برنامه‌ای ساخته شود که شامل ارزیابی، برنامه‌ریزی برای پاسخ به حادثه‌ی سایبری و اقدامات مربوطه باشد.

پیشگیری از سه مسیر حمله‌ی باج‌افزار که بیش از همه مورداستفاده قرار می‌گیرند

• چندین کنترل امنیتی ابتدایی می‌توانند تا حد زیادی ریسک حملات باج‌افزار را کاهش دهند
• این کنترل‌ها متداول هستند و برای پیشگیری از حملات باج‌افزار بسیار کارآمدند
• سازمان‌ها نباید صبر کنند تا به آن‌ها حمله شود و بعد دست به اقدام بزنند

به نظر می‌رسد که هر هفته در مورد قربانی باج‌افزار جدیدی می‌شنویم. اما قربانیان زیادی هم هستند که در موردشان نمی‌شنویم. عاملان تهدید باج‌افزار از هر زمان دیگری، پرکارتر شده‌اند و به دنبال آسان‌ترین راه درآمد هستند. حتی اگر شرکتی در یک صنعت نادیده گرفته‌شده باشد یا داده‌هایی نداشته باشد که به نظر برای هکرها جالب برسد، همچنان می‌تواند هدف قرار گیرد.

در بسیاری از حملات باج‌افزار، شباهت‌های زیادی در تاکتیک‌‌های عاملان تهدید برای بدست آوردن دسترسی و حرکت جانبی (Lateral Movement)، توزیع باج‌افزار و نهایتاً استفاده از آن دیده می‌شود. درنتیجه پیشنهاداتی که برای ایمن‌سازی شبکه‌ها در مقابل این حملات ارائه خواهند شد، دارای استاندارد اثبات‌شده‌ای برای حفاظت در مقابل باج‌افزار ارائه هستند.

مسیر دسترسی اولیه

سه روش متداولی که می‌بینیم عاملان تهدید برای کسب دسترسی به شبکه قربانی از آن‌ها استفاده می‌کنند، عبارت‌اند از:

1. سوءاستفاده از اطلاعات اعتباری – لاگین کردن به یک Gateway دسترسی از راه دور، از طریق اطلاعات اعتباری که به سرقت رفته‌اند یا حدس زده شده‌اند.
2. آلودگی به بدافزار – نصب بدافزار روی یک Host از طریق یک کمپین فیشینگ یا راه‌های دیگر
3. اسکن و اکسپلویت – اکسپلویت کردن یک آسیب‌پذیری روی سروری که رو به اینترنت باشد

اگر بتوان این روش‌ها را شناسایی و از آن‌ها پیشگیری کرد، ریسک ادامه فعالیت مهاجمان در برابر شما به‌شدت کاهش پیدا می‌کند. اگر مهاجم نتواند وارد شود، دیگر چه کاری از دستش برمی‌آید؟ هرچقدر زودتر بتوانید فعالیت غیرمجاز را متوقف کنید، احتمال توقف حمله بیشتر خواهد بود.

مهاجمین معمولاً راهی را انتخاب می‌کنند که آسان‌ترین درآمد را داشته باشد

در اکثر مواقع، این یعنی حدس زدن اطلاعات اعتباری و لاگین کردن. حتماً باید به اهمیت احراز هویت چندمرحله‌ای در Gatewayهای دسترسی از راه دور توجه شود. حضور احراز هویت چندمرحله‌ای معمولاً برای اینکه مهاجم منحرف شده و مجبور شود روی سازمانی با ایمنی کمتر تمرکز کند، کافی است.

دوما، بسیاری از آلودگی‌ها به بدافزار که در ابتدا مورداستفاده قرار می‌گیرند، فقط در حافظه حضور دارند و به همین دلیل توسط آنتی‌ویروس‌های قدیمی شناسایی نمی‌شوند. Cobalt Strike، ابزاری برای شبیه‌سازی‌ مهاجمین و تست تیم قرمز، مثالی از همین مورد است. این ابزار توسط تست‌کنندگان نفوذ برای ایجاد نقض امنیتی در شبکه مورداستفاده قرار می‌گیرد، چون کارآمد است. اما یک ابزار خوب با قابلیت‌های شناسایی Endpoint و پاسخ می‌تواند به شما مزایایی را نسبت به مهاجمین بدهد.

نهایتاً مدیریت آسیب‌پذیری بهترین راه برای حفاظت از خود در مقابل روش حمله‌ی اسکن و اکسپلویت است. مدت‌ها است که مدیریت آسیب‌پذیری یک اقدام بسیار زمان‌بر و دستی بوده است، اما تکنولوژی این موضوع را تغییر داده است. مثلاً راهکارهای شناسایی آسیب‌پذیری و پاسخ به آن از هوش مصنوعی و فرایندهای تجزیه‌و‌تحلیل استفاده می‌کنند تا بسیاری از فرایند دستی مدیریت آسیب‌پذیری را خودکارسازی کنند.

فعالیت‌های مهاجم پس از ورود به شبکه

بعدازاینکه یک عامل تهدید در شبکه‌ی قربانی حضور پیدا می‌کند، فعالیت‌هایی که انجام خواهد داد تا حد زیادی قابل پیش‌بینی است.

 معمولاً می‌بینیم که آن‌ها:

1. در شبکه عملیات شناسایی را انجام می‌دهند
2. حرکت جانبی می‌کنند
3. سطح دسترسی خود را به ادمین دامین ارتقا می‌دهند
4. داده‌ها را استخراج کرده و پشتیبان‌گیری‌ها را از بین می‌برند
5. باج‌افزارهایی را توزیع کرده و مورداستفاده قرار می‌دهند.

در مواقع بسیاری، مهاجمین باج‌افزار این فعالیت‌ها را با استفاده از روشی به نام «living off the land» انجام می‌دهند، یعنی از همان ابزاری استفاده می‌کنند که شما برای مدیریت شبکه از آن‌ها استفاده می‌کنید. گاهی اوقات مهاجمین طوری از این ابزارها استفاده می‌کنند که با روش ادمین‌ها متفاوت است، مثلاً رمزگذاری دستورات PowerShell. شناسایی و بلاک کردن ابزار مخرب و استفاده‌ی مخرب از ابزار مجاز دقیقاً کار ابزاری است که مسئولیت شناسایی Endpoint و پاسخ را برعهده دارد.

این رفتار معمولاً نشان‌دهنده‌ی این است که باج‌افزاری در راه است. تیم پاسخ به حادثه کار را شروع می‌کند تا به قربانیان کمک کند

عاملان تهدید را در زمان مناسب بیرون کنند. تقویت امنیت Active Directory نیز یکی از کنترل‌های دیگری است می‌توانند نفوذ به شبکه را دشوارتر کند. بدون داشتن سطح دسترسی بالا، انجام فعالیت‌های مخرب در زنجیره کشتار (Kill Chain) دشوارتر است.

نهایتاً دیده شده است که عاملان مخربی که شبکه‌ی یک قربانی را دچار نقض امنیتی کرده‌اند، پس از کشف اینکه نمی‌توانند پشتیبان‌گیری‌های قربانی را نابود کنند، توجه خود را به سمت دیگری منعطف می‌کنند. اگر شما بخواهید درآمد داشته باشید، آیا وقت خود را با شرکتی تلف می‌کنید که بدون پرداخت پول به شما، راهی برای بازیابی داده دارد؟ احتمالاً خیر. پس ذخیره‌ی پشتیبان‌گیری‌ها به‌صورت آفلاین کار سودمندی است.