نوشته‌ها

چرا باج افزار تهدیدی برای زیرساخت های حیاتی است

 

افزایش اخیر حملات باج افزاری در مقیاس بزرگ آسیب پذیری های زیرساخت های حیاتی کشور و سهولت نقض سیستم های آنها را برجسته کرده است.

 

تقریباً بیش از یک دهه پیش ، آنچه زیرساخت های حیاتی در نظر گرفته می شد تا حد زیادی محدود به کنترل ترافیک هوایی و تولید و انتقال انرژی بود و مقررات امنیتی به شدت بر این مناطق متمرکز شده است. با این حال ، امروزه به طور فزاینده ای اذعان شده است که زیرساخت ها موارد بیشتری را شامل می شود ، از سیستم های طوفان تا پردازنده های زباله ، ارائه دهندگان مخابرات ، بیمارستان ها ، خدمات مالی ، خطوط لوله و موارد دیگر.

حملات سایبری و باج افزارها بیشتر از تهدید خارجی غیر دیجیتالی برای زیرساخت های حیاتی خطر ایجاد

می کنند و اندازه و مقیاس زیرساخت ارتباط چندانی با دامنه خطر ندارد. باج افزار همان اندازه که یک شبکه تصفیه آب در مرکز شهر اسمال ویل ایالات متحده را تهدید می کند ، همانطور هم برای شبکه انرژی در مقیاس بزرگ یا خط لوله بنزین تهدید محسوب می‌شود.

باج افزار متکی به کلاهبرداری های فیشینگ یا حفره های امنیتی است که می تواند از آن استفاده کند ، از جمله آسیب پذیری های دیجیتالی و انسانی.

با افزایش پیچیدگی تهدیدات سایبری ، می توان انتظار داشت تهدید ارائه شده توسط باج افزارها تکامل یابد و اقدامات انجام شده برای حفاظت از زیرساخت های حیاتی کشور نیز باید تکامل یابد.

برای جلوگیری از خطرات احتمالی باید استانداردهای حفاظت از زیرساخت های حیاتی (CIP) در نظر گرفته شود؛  مانند جداسازی سیستم های مهم از اینترنت و جایگزینی احراز هویت تک عاملی مبتنی بر رمز عبور با اعتبار چند عاملی از جمله گواهینامه های دیجیتال بر اساس زیرساخت کلید عمومی (PKI) ، می تواند انواع دیگری از زیرساخت ها را ایجاد کند.

بسیاری از این صنایع زیرساختی قدیمی متکی به رایانه های بسیار تخصصی هستند که بر روی سیستم عامل های بسیار قدیمی کار می کنند .سیستم هایی که همیشه آنطور که باید حفاظت نشده و نگهداری نمی شوند.

فرض کنید به شما حمله خواهد شد پس باید برنامه ای برای کاهش قرار گرفتن در معرض و سپس اصلاح آن و افزایش حفاظت از سیستم های حیاتی داشته باشید. از خود بپرسید ، اگر مورد حمله قرار بگیرید چگونه آن سیستم ها را بازیابی می کنید؟ از کجا می توانید حفاظت های امنیتی اضافی را از امروز شروع کنید؟

اقدامات احتیاطی موثر عبارتند از:

تقسیم بندی شبکه ، قرار دادن داده ها و سیستم های مهم در پشت دیوار آتش و محدود کردن دسترسی فقط به کارمندانی که مشاغل آنها نیاز به دسترسی دارد.

رمزگذاری فایل ها ، ایمیل ها و پایگاه های داده ، به عنوان مثال با استفاده از گواهینامه های PKI

با انجام اقداماتی در جهت شناسایی و رفع آسیب پذیری در سیستم های خود ، از جمله به روز رسانی نرم افزار ، و با اطمینان از اینکه مهمترین عملکردهای آنها در برابر حملات سایبری و رمزگذاری داده ها به اندازه کافی مورد حفاظت است ، سازمان های زیرساختی می توانند به سرعت در جهت ایمن سازی سیستم های خود مانند سیستم های تحت پوشش CIP کار کنند.

 

مدیر امنیت هویت مایکروسافت از مشتریان درخواست کرد تا احراز هویت چند عاملی را اعمال کرده و مجوزهای حساب کاربری و فروشندگان را تشدید کنند.

به گفته مایکروسافت ، انواع تکنیک های مورد استفاده هکرهای SolarWinds پیچیده بوده اما در بسیاری از موارد معمولی و قابل پیشگیری است.

مایکروسافت برای جلوگیری از حملات بعدی با سطوح پیچیده مشابه ، به سازمان ها توصیه می کند

“ذهنیت اعتماد صفر” را اتخاذ کنند ، که این فرض را رد می کند که همه چیز در یک شبکه فناوری اطلاعات ایمن است. به این معنا که سازمان ها باید صراحتاً امنیت حساب های کاربری ، دستگاه های نقطه پایانی ، شبکه و سایر منابع را تأیید کنند.

همانطور که مدیر امنیت مایکروسافت ، الکس واینرت ، در یک پست وبلاگ خاطرنشان کرد ، سه بردار اصلی حمله ، حساب های کاربری به خطر افتاده ، حساب های فروشنده و نرم افزار فروشندگان به خطر افتاده است.

هزاران شرکت تحت تأثیر نقض SolarWinds قرار گرفتند که در اواسط دسامبر فاش شد. هکرها که با نام UNC2452/Dark Halo شناخته می شوند ، محیط ساخت نرم افزار SolarWinds ‘Orion را هدف قرار دادند و وقتی برنامه ای از کد منبع به یک فایل اجرایی دودویی که توسط مشتریان مستقر شده است ، فرآیند را دستکاری کردند.

فروشنده امنیتی آمریکایی Malwarebytes  افشا کرد که تحت تأثیر همین هکرها قرار گرفته است ، اما نه از طریق به روز رسانی های خراب Orion. هکرها در عوض با سوء استفاده از برنامه های کاربردی با دسترسی ممتاز به Office 365 و زیرساخت Azure ، Malwarebytes را نقض کردند که با این کار “دسترسی به زیرمجموعه محدود” ایمیل های داخلی Malwarebytes داده شد.

به گفته واینرت ، مهاجمان از شکاف های “تأیید صریح” در هر یک از بردارهای اصلی حمله استفاده کردند.

هم چنین اشاره کرد: “در مواردی که حساب های کاربری به خطر می افتد ، تکنیک های شناخته شده مانند اسپری رمز عبور ، فیشینگ یا بدافزار برای به خطر انداختن اعتبار کاربران مورد استفاده قرار می گیرد و به مهاجم دسترسی مهمی به شبکه مشتری می دهد.”

او استدلال می کند سیستم های هویت مبتنی بر ابر مانند Azure Active Directory (Azure AD) از سیستم های هویت داخلی امن تر هستند زیرا این سیستم ها فاقد محافظت از ابر هستند مانند حفاظت از رمز عبور

Azure AD برای از بین بردن رمزهای عبور ضعیف ، پیشرفت های اخیر در تشخیص اسپری رمز عبور ، و هوش مصنوعی پیشرفته برای جلوگیری از سازش حساب.

در مواردی که هکر موفق شد ، واینرت خاطرنشان می کند که حسابهای فروشندگان دارای امتیاز ویژه فاقد حفاظت اضافی مانند احراز هویت چند عاملی (MFA) ، محدودیت های محدوده IP ، انطباق دستگاه یا بررسی دسترسی هستند. مایکروسافت دریافته است که 99.9 درصد از حساب های آسیب دیده ای که هر ماه دنبال می کند از MFA استفاده نمی کنند.

MFA یک کنترل مهم است ، زیرا می توان از حساب های دارای امتیاز بالا برای جعل نشانه های SAML برای دسترسی به منابع ابری استفاده کرد. همانطور که NSA در هشدار خود پس از افشای هک SolarWinds خاطرنشان کرد: “اگر بازیگران سایبری مخرب نتوانند کلید امضای غیرمجاز را بدست آورند ، سعی می کنند امتیازات اداری کافی را در مستاجر ابر برای افزودن یک رابطه اعتماد اعتماد گواهی بدست آورند. برای جعل نشانه های SAML. ”

در صورت وجود مجوزهای سختگیرانه در حساب ها و دستگاه های کاربر ، این روش حمله نیز می تواند خنثی شود.

واینرت خاطرنشان می کند: “حتی در بدترین حالت جعل رمز SAML ، مجوزهای بیش از حد کاربر و از دست رفتن محدودیت های خط مشی دستگاه و شبکه به حملات اجازه پیشرفت می دهد.”

“اولین اصل Zero Trust تأیید صریح است.

با استفاده از Solorigate – نامی که مایکروسافت برای بدافزار SolarWinds استفاده می کند – مهاجمان “از تکالیف نقش گسترده ، مجوزهایی که فراتر از الزامات نقش بودند ، استفاده کردند و در برخی موارد حساب ها و برنامه هایی را که باید هیچ گونه مجوزی نداشتند رها کردند.”

واینرت اذعان کرد که هک SolarWinds “یک حمله واقعاً مهم و پیشرفته” بود ، اما تکنیک هایی که آنها استفاده می کردند می تواند به طور قابل توجهی در خطر کاهش یابد یا با این بهترین شیوه ها کاهش یابد.

مشارکت تیم قرمز مزایایی نسبت به سایر روش ها و فناوری ها در بهبود وضعیت امنیتی یک سازمان دارد.

تیم قرمز می تواند توانایی ها و نقایص دارایی های مختلف امنیتی یک سازمان را شناسایی کند و ارزیابی منحصر به فردی از آمادگی یک سازمان برای مقاومت در برابر تلاش های یک هکر مخرب ارائه می دهد.

درک این نکته مهم است که این ارزیابی به خوبی هکرهای انجام دهنده آن است و ارزیابی کنندگان به اندازه دامنه و قواعد تعامل با آنها محدود یا دارای قدرت هستند. در همه مواردی که با شرایط مناسب در نظر گرفته می شوند ، تیم قرمز در مقایسه با رفع واکنش های امنیتی ، پس از رفع آنها ، بازده هزینه بالاتری در بهبود وضعیت امنیتی ایجاد می کند.

تیم قرمز را می‌توان به عنوان یک ابزار تیز در نظر گرفت زیرا در دست های غیر آموزش دیده یا غیراخلاقی می تواند بسیار خطرناک باشد. در جایی که بسیاری از فن آوری های امنیتی حول مفهوم واکنش ساخته شده اند ، تیم قرمز به یک سازمان اجازه می دهد تا قبل از شروع مصالحه ، نه بعد از آن ، مسائل امنیتی را دنبال کند. ممکن است ادعا شود که فعالیتهایی مانند اسکن آسیب پذیری و مدیریت خوب  نیز پیشگیرانه است اما توجه به این نکته مهم است:

اگرچه این اتفاق اساس واکنش به یک رویداد امنیتی در داخل یک سازمان نیست ، اما هر دو ، واکنش به رویدادهای امنیتی در جای دیگر است که جزئیاتی را برای آسیب پذیری های جدید ارائه می دهد تا بتوان آنها را اسکن یا برطرف کرد.

 برخی دیگر تیم قرمز را یک ابزار ماهیتی فعال می دانند که هدف آن شناسایی شاخص های سازش از سوی بازیگران موجود در سازمان است که ممکن است متجاوز شناخته شده باشند یا نباشند.

منبع : کتاب Professional Red Teaming از Jacob G.Oakley

همه روزه اخبار جدیدی در مورد نشت اطلاعات ، تهدیدات کامپیوتری و سو استفاده کاربران منتشر می شود این گونه اشتباهات غالبا به دلیل عدم کنترل و نظارت برسیستم های کامپیوتری رخ می دهد در گذشته بسیاری از حملات با هدف تخریب اتفاق افتاده اند. اما با گذشت زمان و ورود به عصر اطلاعات و ارتباطات هدف حملات نیز تغییر کرده است . امروزه تلاش مهاجمین در راستای دستیابی به اطلاعات سازمانی است . بسیاری از گزارشگران و مشاوران هزینه های امنیتی را تا میلیاردها دلار برآورد کرده اند . با توجه به افزایش کاربران سیستم های اطلاعاتی دسترسی آسان به اطلاعات و رشد و فرایند کاربران مطلع تعداد سو استفاده ها از فن آوری و انواع تهدیدها افزایش یافته است گسترش این نوع حملات لزوم تشکیل تیم امنیتی و یک نرم افزار امنیتی کاملا بومی و مستقل  را پیش از پیش مشخص می نماید.

سامانه ی جلوگیری از نشت اطلاعات (DLP) چیست؟

DLP کوتاه شده ی عبارت Data Loss Prevention و به معنای سامانه ی جلوگیری از نشت اطلاعات می باشد. در سامانه ی جلوگیری از نشت اطلاعات (DLP) اطلاعات حساس به وسیله ی محیط های ابری و دستگاه های قابل حمل مانند موبایل، تبلت، لپتاپ از محیط شبکه خارج میشوند و در نتیجه سارقان با حمله به شبکه ی شما نمی توانند به این اطلاعات مهم دسترسی پیدا کنند. در ادامه به بررسی دقیق تر ویژگی های DLP و مزایای استفاده از آن خواهیم پرداخت.

مزایای DLP :

  • شما میتوانید به وسیله ی موبایل، تبلت و لپتاپ خود در هر زمان و هر مکان که هستید به اطلاعات خود دسترسی پیدا کنید.
  • میتوانید اطلاعات کاربران داخلی و خارجی شبکه خود را مانیتور کرده و در هر زمان آن ها را مشاهده و بررسی نمایید.
  • DLP امنیت شبکه شما را افزایش داده و مانع از به سرقت رفتن اطلاعات مهم شما میشود.
  • امکان برقراری ارتباط بین اعضای شبکه به صورت امن.
  • امکان استفاده از بیش از 60 سیاست امنیتی آماده و ساخت سیاست امنیتی جدید مخصوص سازمانتان.
  • امکان مدیریت و رسیدگی به رخداد های سرور با استفاده از یک کنسول تحت وب.

اجزا تشکیل دهنده

  • سرور گزارش گیری و رویداد نگاری
  • سرور مدیریت کلید های رمز نگاری
  • سرور پایگاه داده
  • سرور SFTP
  • کنسول مدیریت و راهبردی
  • عامل کلاینتی

امکانات امنیتی

  • تعیین سطح دسترسی به منابع اطلاعاتی بر اساس نقش افراد، سطح حساسیت داده و خط مشی امنیتی سازمان
  • امکان تعریف و اعمال سیاست های گروهی در محیط های workgroup / domain
  • کنترل تمام درگاه های سخت افزاری سیستم های انتهایی
  • اعمال انواع سیاست های امنیتی بر روی دیسک ها، برنامه کاربردی و فایل ها
  • رمزنگاری انواع فایل ها و دستگاه ها به صورت نامحسوس و الگوریتم رمز نگاری خاص بومی و غیرقابل بازگشت با استفاده از ویژگی application protection
  • رمز نگاری فایل های ارسالی و دریافتی توسط ایمیل و کنترل ایمیل ها بر اساس نوع و پسوند فایل های پیوست شده
  • تعیین / تعریف انواع الگوریتم رمز نگاری خاص برای هر گروه
  • تعیین مجوز رمزگشایی برای کاربران
  • تهیه پشتیبان از کلیه فایل های موجود بر روی دستگاه ها پیش و پس از رمز نگاری
  • کنترل و ردیابی چاپگرها با توجه به سطوح دسترسی مختلف ، نام چاپگر ، برنامه های کاربردی مرتبط کاربران ، زمان چاپ ، ip ، mac و …
  • قابلیت نشانه گذاری و ردیابی
  • انتقال کلیه داده ها بین کلاینت ها و سرور / سرور ها با پروتکل SSL
  • قابلیت استفاده از سیاست های امنیتی آماده
  • قابلیت ساخت سیاست امنیتی جدید متناسب با نیاز های سازمان خود در سامانه جلوگیری از نشت اطلاعات (DLP)

امکانات مدیریتی سامانه جلوگیری از نشت اطلاعات DLP

  • امکان گزارش گیری از نوع و نام چاپگر ، زمان چاپ ، تعدادصفحات چاپ شده ، کاربر و …
  • تعریف لیست سیاه و سفید از چاپگر ها، انواع دستگاه های ذخیره سازی و دیگر سخت افزار ها، انواع برنامه های کاربردی
  • تهیه خودکار فهرستی از دارایی های نرم افزاری و سخت افزاری سازمان و فهرستی از سخت افزار های مجاز و ثبت تغییرات آن ها
  • ثبت و جستجوی سیستم ها بر اساس تاریخ ، زمان و محدودیت آن ها
  • تولید گزارشات کامل از فایل های ارسالی و دریافتی در سامانه ایمیل
  • اعمال تنظیمات شبکه بر روی کلاینت ها
  • مدیریت وصله ها، سرویس ها، درایورها و اشتراک گذاری داده ها
  • کنترل انتقال اطلاعات در شبکه
  • دسته بندی نرم افزار ها بر اساس دسترسی به شبکه اینترنت
  • ثبت ترافیک آپلود و دانلود شبکه به تفکیک اینترانت و اینترنت و بر اساس UDP ، TCP و ICMP
  • مدیریت کنترل کلیه تنظیمات شبکه ، IP و PROXY
  • تهیه و نمایش گزارشات جامع و بلادرنگ از URL ها و تهیه فهرست های سیاه و سفید از صفحات وب
  • امکان تعریف چندین مدیر در سطوح و لایه های کاربردی مختلف
  • ارسال پیام های اخطار و هشدار در صورت نقض سیاست ها به مدیر از طریق ایمیل ، پیام کوتاه ، پیام صوتی اجرای یک برنامه و …
  • امکان ارسال پیام های سفارشی به کاربران مطابق با سیاست های اعمالی به کاربران
  • گزارش نقاط آسیب پذیری کلاینت ها
  • دسترسی به کامپیوتر ها و کاربران گروه ها و امکان دسترسی راه دور به کلاینت ها از طریق کنسول مرکزی
  • تعیین محدوده زمانی مجاز برای روشن کردن و ورود به سیستم و تعیین میزان مجاز استفاده از منابع سیستم برای هر نرم افزار
  • امکان گرفتن عکس از صفحه نمایش کاربر در زمان مشخص و براساس یک رویداد خاص
  • مشاهده و اعمال تغییرات بر روی انواع کلاینت ها
  • مدیریت و شروع به کار دوباره و حالت خواب سیستم ها
  • کنترل و نظارت بر فعالیت کاربران در سرتاسر فرایند تولید انتقال پردازش و تغییر محتوای داده
  • اعمال سیاست های هشداری و نظارتی براساس تغییرات سخت افزاری و نرم افزاری