به بهانه حملات سایبری اخیر به زیر ساخت ها و سازمان های دولتی جهت افزایش امنیت شبکه های سازمانی و جلوگیری از حملات مشابه توصیه میشود راه کارهای زیر مد نظر قرار بگیرد.

جداسازی بخش‌های مختلف (VLAN) و غیر مربوط شبکه از یکدیگر و جلوگیری از برقراری هرگونه ارتباط غیر ضروری بین این بخش‌ها و جداسازی شبکه (Air Gap Network) جهت ایمن‌سازی بخش‌های حیاتی شبکه

در رابطه با این موضوع، با ذکر دو مثال از دو مورد از حوادث روی داده، اهمیت موضوع را توضیح می‌دهیم.در مورد اول، سازمان مورد نفوذ قرار گرفته، دارای شبکه‌ای بدون جداسازی و به اصطلاح flat بود که پس از نفوذ، تمامی زیر ساخت آن تحت تاثیر قرار گرفته و سایت‌ها داده‌های مختلف آن از دسترس خارج گردید.

اما در یک حمله کاملا مشابه به سازمانی دیگر، به واسطه جداسازی اصولی شبکه از یکدیگر، تنها سروری که به صورت مستقیم از اینترنت در دسترس و آسیب پذیر بود، مورد نفوذ قرار گرفته و نفوذگران امکان حمله به سایر بخش‌ها و سرورها و از کار انداختن کل شبکه را نداشتند.

در مورد اول شبکه سازمان مربوطه برای بیش از یک هفته از دسترس خارج شده بود در حالی که در مورد دوم، علاوه براینکه در کمتر از ۲۴ ساعت شبکه به حالت پایدار بازیابی گردید، عملیات فارنزیک بسیار راحت‌تر و در بررسی همان سرور مورد نفوذ قرار گرفته، آی‌پی مورد استفاده نفوذگر کشف و مسدود گردید.

انتظار می‌رود که در هر شبکه، حداقل تقسیم‌بندی سرورها به سه دسته قابل دسترس از خارج شبکه، داخلی با دسترسی به خارج شبکه، و داخلی بدون دسترسی تقسیم گردد.

همچنین، کلاینت‌ها نیز حداقل به دو بخش ادمین و غیر ادمین تقسیم شود و کلاینت‌های غیر ادمین دسترسی به پورت‌های حساس سرورها و سایر کلاینت‌ها نداشته باشند، و کلاینت‌های ادمین (و در صورت امکان سایر کلاینت‌ها) نیز دسترسی مستقیم به اینترنت نداشته باشند. البته طبیعتا این تقسیم‌بندی بسیار حداقلی است و باید در هر شبکه تا حد امکان برحسب سطح ریسک و نوع کاربرد تقسیم‌بندی بسیار جدی‌تری انجام شود.

 غیرفعال‌سازی سرویس‌های غیرضروری

با غیر فعال نمودن سرویس‌های غیرضروری (برای مثال غیر فعال سازی سرویس پرینتر بر روی وب سرورها، دامین کنترلرها و …)، در صورت انتشار آسیب‌پذیری‌های بحرانی نظیر PrintNightmare بدون نیاز به نصب وصله‌های امنیتی، در برابر آنها ایمن خواهید بود. بنابراین، سرویس‌های بلااستفاده را تشخیص داده و آنها را غیرفعال کنید.

 محدود کردن ارتباطات اینترنتی سرورها به آی‌پی‌ها و پورت‌های خاص

با توجه به تجاربی که از حوادث روی داده به دست آمده است، ارتباطات مجاز اینترنتی سرور‌هایی نظیر سرور آنتی‌ویروس (به طور خاص اگر این ارتباط با یک آی‌پی خارج از ایران برقرار می‌شود)، سرور WSUS و … تنها بایستی به آی‌پی و پورت‌های مجاز محدود شده باشد. سایر سرورهایی که نیاز به دسترسی به اینترنت ندارند نیز باید محدود گردند.

تعیین سیاست‌های لازم جهت استفاده از رمزهای عبور دارای پیچیدگی، غیر قابل حدس و غیر تکراری و تعویض آن در بازه‌های زمانی کمتر از ۳ ماه

اهمیت این مورد نیازی به توضیحات اضافه نداشته و کاملا مشخص است. در بسیاری از موارد مشاهده شده است که بر روی تحهیزات بسیار حیاتی سازمان‌های مورد نفوذ قرار گرفته، پسوردی بسیار ساده، قابل حدس و یا استفاده شده بر روی تجهیزات در معرض خطر و آسیب‌پذیرتر، استفاده شده است که نفوذگران با وجود ناتوانی در به دست آوردن پسورد سیستم هدف به صورت مستقیم، دستگاه‌های آسیب‌پذیرتر را مورد حمله قرار داده و در ادامه با استفاده از همان رمز عبور، اقدام به برقراری ارتباط با بخش حیاتی زیر ساخت شبکه کرده‌اند.

به عنوان مثالی دیگر در اهمیت این موضوع، در موارد متعددی مشخص شد که حملات، با استفاده از اکانت‌های دارای دسترسی ادمین که وجود آنها فراموش شده و پسوردی ضعیف داشته‌اند، صورت گرفته است.

تهیه مستندات دقیق از معماری شبکه

در اهمیت تهیه مستندات، لازم به ذکر است که فرض اینکه به هر میزان شبکه پیچیده‌تر باشد، تلاش نفوذگر جهت از کار انداختن آن سخت‌تر می‌شود، بسیار اشتباه است. پیچیدگی شبکه به نفوذگر اجازه می‌دهد راه‌های بیشتری برای دور زدن مکانیزم‌های امنیتی و بخش‌های مغفول مانده شبکه پیدا کند. در حالی که، با وجود نداشتن یک مستند دقیق از شبکه، تنها راه‌اندازی مجدد آن پس از بروز حادثه سخت و حتی غیر قابل انجام می‌گردد.

تهیه پشتیبان (Backup) از اطلاعات به صورت غیر برخط و تست پشتیبان‌های تهیه شده جهت اطمینان از امکان بازیابی و قابل استفاده بودن هر یک از آنها

از دست دادن اطلاعات در کمین هر سازمانی است که به دلایل خرابکاری‌های عمدی مانند هک و نفوذ یا آلودگی بدافزاری، و غیرعمدی مانند حوادث طبیعی و خرابی سخت‌افزاری کاملا اجتناب ناپذیر می‌باشد.

در برخی حملات سایبری گذشته، نفوذگران با داشتن اطلاعات کامل از نحوه و محل ذخیر‌ه‌سازی بکاپ‌ها، یک شب قبل از حادثه به سامانه بکاپ متصل شده و کلیه بکاپ‌ها را به صورت غیرقابل بازگشت تخریب نموده بودند.

بدیهی است بازیابی فرایند کاری بدون دسترسی به بکاپ‌ها کاری بسیار دشوار و در حد ناممکن می‌باشد، موضوعی که فقط با نگهداری بکاپ به صورت آفلاین ( به عنوان مثال Tape یا تجهیزی که پس از بکاپگیری به صورت فیزیکی از شبکه جدا شود )قابل جلوگیری است.

نکته مهم دیگر اطمینان از صحت بکاپ‌ها و امکان بازیابی آنهاست که باید به صورت دوره‌ای تست گردد.

استفاده از سرور مجزا جهت ذخیره سازی Audit لاگ‌ها و تحلیل رخدادهای ثبت شده به صورت بر خط

این مورد هم در پیشگیری و هم در زمان بازیابی از حادثه و علت‌یابی بسیار مفید می‌باشد. در مرحله اول با ذخیره این لاگ‌ها به صورت مجزا، امکان تحلیل عمیق این لاگ‌ها وجود داشته و به وسیله آن می‌توان تهدیدات مخفی داخل شبکه را شناسایی و در مراحل اولیه خنثی نمود.

همانطور که گفته شد، اغلب حملات رخ داده، با تعریف پالیسی روی اکتیودایرکتوری انجام شده‌اند و حتی در برخی موارد دسترسی طولانی مدت (بیش از شش ماه تا یک سال) به اکتیودایرکتوری وجود داشته و نفوذگر بدون آنکه کسی متوجه شود مدت‌ها روی اکتیودایرکتوری پالیسی تعریف می‌کرده است.

البته در حملات اخیر سرعت خرابکاری افزایش یافته و بین یک ماه تا دو هفته بعد از دسترسی اولیه، خرابکاری و تخریب اطلاعات انجام می‌گیرد که نشان می‌دهد زمان کمتری برای نظارت بر رخدادها جهت تشخیص و واکنش به نفوذ وجود دارد.

جهت مطالعه لیست کامل توصیه‌های امن‌سازی، دعوت می‌کنیم مقاله توصیه‌نامه امنیتی پادویش در مقابله با باج‌افزارها و سایر تهدیدات سایبری را در پایگاه دانش امن‌پرداز مطالعه بفرمایید👇