6 مسئله که قبل از حملات باج افزاری باید در نظر گرفت

شنبه 100/8/22 , 11:36 ص

شکست دادن باج افزارها – 6 مسئله که باید قبل از حمله به آن ها توجه داشت

حمله باج افزاری را با سکته قلبی مقایسه کرده اند. این حمله چیزی است که به لحاظ نظری همه را تهدید می کند ولی وقتی روی می دهد، شوک این تجربه همیشه غافلگیرکننده است.

در ثانیه ها، دقایق و گاهی ساعت های اولیه حمله، سازمان ها به حال خود رها می شوند. این لحظه ای از ضربه است که بسیاری از سازمان ها آن را فلج کننده می دانند، چیزی که حمله کنندگان برای آن برنامه دارند.

این امر باعث می شود اثرات حمله بدتر شود. در نهایت، شمار فزاینده ای از درخواست های کمک به وجود می آید و این درخواست ها، ارزش تجربه های آن شرکت تامین کننده خدماتی را برجسته می کند که شاهد مورد حمله قرار گرفتن شرکت های بسیار دیگر بوده است.

یکی از شرکت هایی که این گونه درخواست های کمک را دریافت می کند، AT&T و واحد کسب و کار خدمات امنیتی آن است. رئیس این شرکت، دارای تجربه مستقیم کمک به قربانیان در اولین روز حمله است. او به کسانی که نگران این تهدید هستند، چه توصیه ای می کند؟

1. آیا برنامه پاسخ به حادثه را تست کرده اید؟

او می گوید «وقتی یک مشتری در زمان یک حمله باج افزاری تماس می گیرد، همیشه وضعیت نابهنجاری است که توانایی مشتری در انجام کسب و کار به طور کامل متوقف شده است. نوعا، این اولین باری است که آن ها دچار توقف کار در چنین سطحی شده اند.»

اولین ضربه به خود تیم IT به عنوان یک واحد عملکردی وارد می شود. در بسیاری از مواقع، تیم IT احساس می کند مقصر حادثه است و این ترس در کل تیم گسترش می یابد.

بنا به تجربه او، مهم ترین مسئله این نیست که برنامه پاسخ به حادثه وجود ندارد، بلکه قبلا به درستی تست نشده است و خود زنجیره فرماندهی ارتباط و تصمیم گیری اولین موردی است که باید تست خود را پس دهد.

بنابراین، باید به صورت منظم برنامه پاسخ به حادثه امنیت سایبری خود را در کنار افراد و تکنولوژی امکان دهنده آن تست کنید. در صورتی که تنها تست شما برگرفته از گفتگویی در یک جلسه ساده و بدون هیچ گونه فشار مختل شدن فعالیت کل سازمان باشد، حس امنیت شما کاذب خواهد بود.

تصمیم گیرنده نهایی در چنین حادثه ای کیست؟ اغلب متوجه می شوید که همزمان چند نفر دست خود را بالا می آورند که نشان دهنده وضعیت مطلوبی نیست. توصیه من این است که تنها یک فرد می تواند مسئول تصمیم گیری باشد.

تنها کنار هم قرار دادن چند فرد از یک MSSP طرف سوم، مشکل را حل نمی کند. آن شرکت نمی تواند به جای شما تصمیم گیری کند.

یکی از مسئولان خود شرکت باید مسئولیت را بر عهده داشته باشد که در حالت ایده آل کسی است که قبلا حمله باج افزاری را دیده باشد. زیرا در صورت لزوم یک نفر باید با تامین کنندگان خارجی، شرکا و نیروهای انتظامی صحبت کند.

2. سی روز لوگ برداری کافی نیست

اولین سوال مد نظر هر قربانی در زمان حمله آن است که آیا حمله کننده هنوز در شبکه است و اگر این طور است، خود را کجا پنهان کرده است.

اولین چیزی که تیم IT به سراغ آن می رود، لوگ ها است که امید دارند بخش هایی از حرکت و رویه ها و تکنیک های ابزار (TTPها) حمله کنندگان را آشکار نماید.

نقص این کار آن است که لوگینگ همیشه در تنظیمات پیش فرض دربردارنده داده های کافی نیست؛ برای مثال، تنها حاوی 30 روز آخر در یک کنترل کننده فهرست فعال (AD) است.

توصیه این است که لوگینگ را حداقل در مورد سرورهای مهم به چند ماه افزایش دهید. تنها در این صورت چنین امکانی وجود خواهد داشت که ریشه نقضی که برای اجتناب از تکرار حادثه لازم است را کشف کنید.

حمله کنندگان می توانند در برخی موارد تا 230 روز در شبکه شما باشند و لوگ های شرکت شما تنها مربوط به 30 روز پیش هستند. این مدت 30 روزه دیگر جواب نمی دهد.

3. دارایی ها کجا هستند؟

چاره جویی بعدی استفاده از پچینگ است که از آن چه به نظر می رسد دشوارتر است. در بسیاری موارد، افراد دارای موجودی دارایی مشخصی نیستند.

در صورتی که ندانید در شبکه شما چیست و موجودی های شما چه زمانی به روز شده است، کار زیادی نمی توان به لحاظ توقف انتشار انجام داد.

برای بازیابی حمله، تنها موجودی معنادار دارای، آنی است که در زمان واقعی عمل کند و هر زمانی که دارایی جدیدی دیده می شود، افزوده گردد. سازمان ها نمی توانند آن چه را که قادر به دیدن یا دانستن نیستند، ایمن نگه دارند، که این مورد نه تنها شامل ابزارهای فیزیکی می شود بلکه اندوختگاه های ابری، ذخیره ها، اپلیکیشن ها و هر نوع سروری را نیز در بر می گیرد.

سال ها است که امکان کشف دارایی زمان واقعی به واسطه موتورهای موجودی دارایی آنلاین وجود دارد و این نشان می دهد که این کار، تکلیف چندان سنگینی نیست.

4. پشتیبان گیری بسیار عالی خواهد بود به شرط آن که تست شده باشد

همه سازمان ها پشتیبان گیری را اجباری می کنند اما همه پشتیبان ها در زمان حمله باج افزاری مفید نیستند.

اولین مشکل آن است که سازمان ها همیشه آن ها را تست نمی کنند. این به معنای در ذهن داشتن مفروضات بدبینانه در مورد وضعیت خود شبکه است.

پشتیبان گیری مسئله ساده ای است، اما باید آن ها را از آن نقطه نظر تست نمایید که با استفاده از آن ها، بدون دسترسی به منابع خاص، قادر به راه اندازی مجدد سیستم باشید.

پشتیبان اصلی سنتی دارای قالب 3-2-1 است که به واسطه آن پشتیبان هایی از انواع مختلف رسانه ها در مکان های مختلف از جمله آفلاین و آنلاین تولید می کنند.

اما در صورتی که یک یا تعداد بیشتری از آن ها به نحوی مختل شده باشد – یک مسئله اتصال نشات گرفته از حمله – استراتژی پشتیبان گیری نقطه ضعف خود را آشکار می کند.

در مواد زیادی سازمان ها فکر می کنند پشتیبان را تست کرده اند اما اغلب آن را به اندازه کافی در شرایط واقعی تست نکرده اند. علاوه بر این، تمرین بازیابی می تواند کشف سایر نقاط ضعف را در پی داشته باشد.

معمولا این گونه نقاط ضعف در ارتباط با کیفیت پشتیبان هستند که به نوبه خود با شکل گیری پشتیبان های بهتر در زمان نیاز به آن ها خواهد شد. ساده ترین راه برای گنجاندن تست های کامل و دقیق آن است که فردی به عنوان مسئول این کار مشخص کنید.

5. پرداخت پول به حمله کنندگان، راه چاره آسانی نخواهد بود

این که باید باج را پرداخت کرد یا خیر از همان حملات ابتدایی در حدود یک دهه پیش، مورد اختلاف بوده است و هنوز پاسخ مشخصی برای آن وجود ندارد. آیا پرداخت باج می تواند به سادگی مشکلات بیشتری را در آینده به دنبال داشته باشد؟

توصیه ما این است که باج را پرداخت نکنید زیرا احتمال این که داده های خود را پس بگیرید، مشخص نیست. مهم تر آن که بدین صورت، امکانات بیشتری برای تهدید خود در اختیار آن ها قرار می دهید. یک نگرانی دیگر این است که تبدیل پرداخت باج به بخشی از استراتژی امنیت سایبری خطر تضعیف اقدامات کنترلی را در پی دارد که با استفاده از آن ها می توانید در همان مرحله اول از نیاز به پرداخت باج اجتناب کنید.

می توانید به جای این کار، همان پول را روی امنیت سایبری خود سرمایه گذاری کنید و خطر افشا را کاهش دهید.

6. دفاع DIY منسوخ شده است

یک مسئله عمده برای بسیاری از سازمان های کوچک تر، هدایت مهارت ها و سرمایه گذاری لازم جهت دفاع از خود بوده است. وقتی نیاز به جراحی داشته باشید به سراغ جراح می روید. اگر فکر می کنید این کار را خودتان می توانید انجام دهید، به خود آسیب خواهید رساند.

انتخاب یک MSSP در بازاری مزدحم، آسان نیست. بهترین کار گشتن به دنبال شریکی است که نه تنها بتواند به شما بگوید مشکل چیست بلکه آن را حل کند. با این حال، از آن جا که وضعیت با ظاهر شدن حملات جدید، تقریبا به سرعت در حال تغییر است، چنین امری مستلزم آن است که تامین کننده قادر باشد نشان دهد از توانایی سرمایه گذاری و نوآوری در طول زمان برخوردار است.