حوادث پرسروصدای اخیر نشان میدهند که امروز باجافزار همچنان تهدید شماره یک برای سازمانها است. سال گذشته، گزارشی منتشر شد مبنی بر اینکه تعداد درگیری با باجافزارها نسبت به سال ۲۰۱۹، ۱۵۰ درصد افزایش داشته است. به نظر نمیرسد که امسال هم این روند کاهش پیدا کند. مقالات مختلفی به سؤالات موضوعی در مورد بهترین روش برای رسیدگی و پاسخ به حادثه منتشر شدهاند. بسیاری از این مقالات تاکتیکی هستند و مثلاً به این میپردازند که آیا باید باج را پرداخت کرد یا خیر.
- باجافزارها بهعنوان یکی از تهدیدات پیشرو حوزهی مهمی برای آمادهسازی پاسخ به حادثه هستند.
- ارزیابیهای آمادگی برای حادثه را میتوان بهصورت مجزا یا همراه با یکدیگر مورداستفاده قرار داد تا آمادگی برای باجافزار ارزیابی گردد.
- آمادهسازی پاسخ به حادثه برای باجافزار یا تهدیدات دیگر از یک رویکرد برنامهریزیشده بهره میبرد که با توجه به میزان بلوغ و اهداف کنونی یک سازمان تنظیم میشود.
اپراتورهای باجافزار به دنبال سواستفاده از ضعف شبکه سیستمی موجود هستند. معمولاً سازمانها در آمادهسازی برای باجافزار، دو رویکرد را پیش میگیرند. اولین (و بدترین) رویکرد این است که روی آخرین تکنولوژیها سرمایهگذاری میکنند و انتظار دارند که همهچیز حل شود. دومین رویکرد این است که متوجه باشند پیشگیری ۱۰۰ درصدی غیرممکن است و یک رویکرد فعال و آیندهنگر را پیش بگیرند. این رویکرد شامل درک بهتر محیط IT، داراییهای حیاتی که نیاز به حفاظت دارند و میزان قرار گرفتن در معرض یک حملهی باجافزار احتمالی است. استراتژی مناسب این است که قبل از اینکه دیر شود، روی تمام این عناصر تسلط بدست آید.
ارزیابیهای ریسک باجافزار
بهاینترتیب، قدم اول برای آمادگی یک سازمان در مقابل باجافزارها این است که یک ارزیابی با آگاهی از تهدیدات یا تجزیهوتحلیل ریسک باجافزار را انجام دهند. هدف از این مقاله این است که یک ارزیابی جامع را از کنترلهای امنیتی، فرایندها و تکنولوژیها در حوزههای امنیتی کلیدی یک سازمان فراهم کند. یافتههای مربوط به ریسک بهصورت درجهبندیشده و پیشنهادات ارائه شده، یک نمای کلی را فراهم میکنند که نقشهای را برای اقدامات اصلاحی ارائه داده و یک رویکرد کاربردیتر و اولویتبندیشدهتر را در مورد سرمایهگذاریها روی تکنولوژی شکل میدهد و همچنین به ایجاد یک فرایند مدیریت ریسک امنیت اطلاعات کمک میکند.
ارزیابیهای فنی
تکمیل کردن ارزیابی ریسک با ارزیابی فنی کمک میکند که حوزههای بیشتری از ریسک آشکار شود و حوزههایی که معمولاً توسط تهدیدات باجافزار اکسپلویت میشوند تست گردند.
سازمانها معمولاً یکی از تستهای زیر یا همهی آنها را انجام میدهند.
- یک ارزیابی امنیتی Active Directory بینشهایی را فراهم میکند که برای رفع نقاط ضعف در پیکربندیهای اشتباه Active Directory مورد نیاز است که معمولاً عاملان تهدید برای توزیع باجافزار از آنها استفاده میکنند.
- یک ارزیابی شکار تهدیدات نیز میتواند درکی مبنایی از تهدیداتی که در محیط وجود دارند را فراهم کند.
- تست مقاومت نسبت به باجافزار یا تست شبیهسازی باجافزار در این مورد کاربرد دارد. این تست فراتر از اسکن خودکار عمل میکند و با استفاده یک از رویکرد کاربردی که با استفاده از سالها تجربهی تهاجمی و آخرین پژوهشهای موجود در مورد تهدیدات مدلسازی شده است، از مهاجمین تقلید کند. در برخی از موارد، پس از نقض امنیتی و با اجازهی مشتری، تیم انجامدهندهی تست یک قدم فراتر میرود و کد باجافزار تقلیدی را اجرا میکند و تا یک شبیهسازی زنده انجام دهد و پاسخ تیم آبی یک سازمان را تست کند. در این حالت، پیشپیادهسازی باجافزار در دنیای واقعی شبیهسازی میشود تا شکافها در کنترل در مقابل تاکتیکها، تکنیکها و رویههای واقعی شناسایی گردد.
برای یک برنامهی پاسخ به رخداد جامع، باید یک سؤال پرسیده شود: آیا بهاندازهی کافی تمرین کردهایم؟
برنامهریزی پاسخ به حادثه و اقدامات مربوطه
درنهایت، در طول یک حادثه هر ثانیه مهم است، کلید یک پاسخ کارآمد و بهموقع، آمادهسازی فعال و پیشگیرانه برای پاسخ به حادثه است. تحول در پاسخ به حادثه سایبری برای آمادگی و قابلیت خودترمیمی مسیری است که با برنامهریزی، بررسی منظم و تکامل برنامه و فرایندهای کنونی پاسخ به حادثه آغاز میشود.
آمادهسازی برای پاسخ به حادثه با برنامهریزی و مستندسازی آغاز شده در جلسات گروهی ادامه پیدا میکند. داشتن یک هدف مشخص، مثل رسیدن به آمادگی در مقابل باجافزار، برای برنامهریزی برای یک جلسهی گروهی کارآمد ضروری است. جلسات گروهی یک قدم اولیه و با تأثیرگذاری اندک برای اجرای یک برنامه هستند.
بااینکه بسامد جلسات برای ایجاد آمادگی مهم هستند، توجه به اینکه جلسات گروهی فقط یکی از تمرینات آمادهسازی برای پاسخ به حادثه هستند که میتوانند مورداستفاده قرار گیرند نیز مهم است. هر زمان که ممکن باشد، یک برنامهی پاسخ به حادثهی قدرتمند باید چندین تمرین مختلف را که از شبیهسازیهای تقلید از باجافزار بهره میبرند، با هم ترکیب کند؛ این تمرینات شامل موارد زیر هستند:
- تمرینات کاربردی
- تمرینات در مقیاس کامل یا تیم بنفش (که از شبیهسازیهای زنده که بالاتر به آنها اشاره شد، بهره میبرند)
تمرین باعث تکامل میشود. اگر به میزان کافی با ورودیهای درست تمرین کنید، اکثر تصمیماتی که باید در طول یک حادثه بگیرید، از قبل گرفته شدهاند، زیرا از قبل برای شرایط حادثه آماده شدهاید.
رویکرد برنامهدار به آمادهسازی برای پاسخ به حادثه
هیچ برنامهی ایستا یا ارزیابی یا تمرین واحدی برای اینکه از چشمانداز تهدیدات عقب نیفتیم، کافی نیست. باید بهطور هدفمند و با برنامه فکر کرد تا یک برنامهی فعال و پیشگیرانه ساخته شود که به آمادگی برای حوادث کمک کند. سیستمهای دفاعی موجود یک سازمان، بلوغ امنیتی، اهداف و نیازهای آن، همگی باید در شکل آمادهسازی پاسخ به حادثه تعیینکننده باشند. اندازهگیری تمام این عناصر کار بزرگی است. به همین دلیل است که بسیاری از سازمانها ترجیح میدهند از متخصصان خارجی کمک بگیرند. سازمانها باید به دنبال متخصصانی بگردند که رویکردی مشاورهمحور دارند و خدمات آمادگی را فراهم میکنند تا برنامهای ساخته شود که شامل ارزیابی، برنامهریزی برای پاسخ به حادثهی سایبری و اقدامات مربوطه باشد.
پیشگیری از سه مسیر حملهی باجافزار که بیش از همه مورداستفاده قرار میگیرند
- چندین کنترل امنیتی ابتدایی میتوانند تا حد زیادی ریسک حملات باجافزار را کاهش دهند
- این کنترلها متداول هستند و برای پیشگیری از حملات باجافزار بسیار کارآمدند
- سازمانها نباید صبر کنند تا به آنها حمله شود و بعد دست به اقدام بزنند
به نظر میرسد که هر هفته در مورد قربانی باجافزار جدیدی میشنویم. اما قربانیان زیادی هم هستند که در موردشان نمیشنویم. عاملان تهدید باجافزار از هر زمان دیگری، پرکارتر شدهاند و به دنبال آسانترین راه درآمد هستند. حتی اگر شرکتی در یک صنعت نادیده گرفتهشده باشد یا دادههایی نداشته باشد که به نظر برای هکرها جالب برسد، همچنان میتواند هدف قرار گیرد.
در بسیاری از حملات باجافزار، شباهتهای زیادی در تاکتیکهای عاملان تهدید برای بدست آوردن دسترسی و حرکت جانبی (Lateral Movement)، توزیع باجافزار و نهایتاً استفاده از آن دیده میشود. درنتیجه پیشنهاداتی که برای ایمنسازی شبکهها در مقابل این حملات ارائه خواهند شد، دارای استاندارد اثباتشدهای برای حفاظت در مقابل باجافزار ارائه هستند.
مسیر دسترسی اولیه
سه روش متداولی که میبینیم عاملان تهدید برای کسب دسترسی به شبکه قربانی از آنها استفاده میکنند، عبارتاند از:
- سوءاستفاده از اطلاعات اعتباری – لاگین کردن به یک Gateway دسترسی از راه دور، از طریق اطلاعات اعتباری که به سرقت رفتهاند یا حدس زده شدهاند.
- آلودگی به بدافزار – نصب بدافزار روی یک Host از طریق یک کمپین فیشینگ یا راههای دیگر
- اسکن و اکسپلویت – اکسپلویت کردن یک آسیبپذیری روی سروری که رو به اینترنت باشد
اگر بتوان این روشها را شناسایی و از آنها پیشگیری کرد، ریسک ادامه فعالیت مهاجمان در برابر شما بهشدت کاهش پیدا میکند. اگر مهاجم نتواند وارد شود، دیگر چه کاری از دستش برمیآید؟ هرچقدر زودتر بتوانید فعالیت غیرمجاز را متوقف کنید، احتمال توقف حمله بیشتر خواهد بود.
مهاجمین معمولاً راهی را انتخاب میکنند که آسانترین درآمد را داشته باشد
در اکثر مواقع، این یعنی حدس زدن اطلاعات اعتباری و لاگین کردن. حتماً باید به اهمیت احراز هویت چندمرحلهای در Gatewayهای دسترسی از راه دور توجه شود. حضور احراز هویت چندمرحلهای معمولاً برای اینکه مهاجم منحرف شده و مجبور شود روی سازمانی با ایمنی کمتر تمرکز کند، کافی است.
دوما، بسیاری از آلودگیها به بدافزار که در ابتدا مورداستفاده قرار میگیرند، فقط در حافظه حضور دارند و به همین دلیل توسط آنتیویروسهای قدیمی شناسایی نمیشوند. Cobalt Strike، ابزاری برای شبیهسازی مهاجمین و تست تیم قرمز، مثالی از همین مورد است. این ابزار توسط تستکنندگان نفوذ برای ایجاد نقض امنیتی در شبکه مورداستفاده قرار میگیرد، چون کارآمد است. اما یک ابزار خوب با قابلیتهای شناسایی Endpoint و پاسخ میتواند به شما مزایایی را نسبت به مهاجمین بدهد.
نهایتاً مدیریت آسیبپذیری بهترین راه برای حفاظت از خود در مقابل روش حملهی اسکن و اکسپلویت است. مدتها است که مدیریت آسیبپذیری یک اقدام بسیار زمانبر و دستی بوده است، اما تکنولوژی این موضوع را تغییر داده است. مثلاً راهکارهای شناسایی آسیبپذیری و پاسخ به آن از هوش مصنوعی و فرایندهای تجزیهوتحلیل استفاده میکنند تا بسیاری از فرایند دستی مدیریت آسیبپذیری را خودکارسازی کنند.
فعالیتهای مهاجم پس از ورود به شبکه
بعدازاینکه یک عامل تهدید در شبکهی قربانی حضور پیدا میکند، فعالیتهایی که انجام خواهد داد تا حد زیادی قابل پیشبینی است.
معمولاً میبینیم که آنها:
- در شبکه عملیات شناسایی را انجام میدهند
- حرکت جانبی میکنند
- سطح دسترسی خود را به ادمین دامین ارتقا میدهند
- دادهها را استخراج کرده و پشتیبانگیریها را از بین میبرند
- باجافزارهایی را توزیع کرده و مورداستفاده قرار میدهند.
در مواقع بسیاری، مهاجمین باجافزار این فعالیتها را با استفاده از روشی به نام «living off the land» انجام میدهند، یعنی از همان ابزاری استفاده میکنند که شما برای مدیریت شبکه از آنها استفاده میکنید. گاهی اوقات مهاجمین طوری از این ابزارها استفاده میکنند که با روش ادمینها متفاوت است، مثلاً رمزگذاری دستورات PowerShell. شناسایی و بلاک کردن ابزار مخرب و استفادهی مخرب از ابزار مجاز دقیقاً کار ابزاری است که مسئولیت شناسایی Endpoint و پاسخ را برعهده دارد.
این رفتار معمولاً نشاندهندهی این است که باجافزاری در راه است. تیم پاسخ به حادثه کار را شروع میکند تا به قربانیان کمک کند
عاملان تهدید را در زمان مناسب بیرون کنند. تقویت امنیت Active Directory نیز یکی از کنترلهای دیگری است میتوانند نفوذ به شبکه را دشوارتر کند. بدون داشتن سطح دسترسی بالا، انجام فعالیتهای مخرب در زنجیره کشتار (Kill Chain) دشوارتر است.
نهایتاً دیده شده است که عاملان مخربی که شبکهی یک قربانی را دچار نقض امنیتی کردهاند، پس از کشف اینکه نمیتوانند پشتیبانگیریهای قربانی را نابود کنند، توجه خود را به سمت دیگری منعطف میکنند. اگر شما بخواهید درآمد داشته باشید، آیا وقت خود را با شرکتی تلف میکنید که بدون پرداخت پول به شما، راهی برای بازیابی داده دارد؟ احتمالاً خیر. پس ذخیرهی پشتیبانگیریها بهصورت آفلاین کار سودمندی است.