جداسازی بخشهای مختلف (VLAN) و غیر مربوط شبکه از یکدیگر و جلوگیری از برقراری هرگونه ارتباط غیر ضروری بین این بخشها و جداسازی شبکه (Air Gap Network) جهت ایمنسازی بخشهای حیاتی شبکه
در رابطه با این موضوع، با ذکر دو مثال از دو مورد از حوادث روی داده، اهمیت موضوع را توضیح میدهیم.در مورد اول، سازمان مورد نفوذ قرار گرفته، دارای شبکهای بدون جداسازی و به اصطلاح flat بود که پس از نفوذ، تمامی زیر ساخت آن تحت تاثیر قرار گرفته و سایتها دادههای مختلف آن از دسترس خارج گردید.
اما در یک حمله کاملا مشابه به سازمانی دیگر، به واسطه جداسازی اصولی شبکه از یکدیگر، تنها سروری که به صورت مستقیم از اینترنت در دسترس و آسیب پذیر بود، مورد نفوذ قرار گرفته و نفوذگران امکان حمله به سایر بخشها و سرورها و از کار انداختن کل شبکه را نداشتند.
در مورد اول شبکه سازمان مربوطه برای بیش از یک هفته از دسترس خارج شده بود در حالی که در مورد دوم، علاوه براینکه در کمتر از ۲۴ ساعت شبکه به حالت پایدار بازیابی گردید، عملیات فارنزیک بسیار راحتتر و در بررسی همان سرور مورد نفوذ قرار گرفته، آیپی مورد استفاده نفوذگر کشف و مسدود گردید.
انتظار میرود که در هر شبکه، حداقل تقسیمبندی سرورها به سه دسته قابل دسترس از خارج شبکه، داخلی با دسترسی به خارج شبکه، و داخلی بدون دسترسی تقسیم گردد.
همچنین، کلاینتها نیز حداقل به دو بخش ادمین و غیر ادمین تقسیم شود و کلاینتهای غیر ادمین دسترسی به پورتهای حساس سرورها و سایر کلاینتها نداشته باشند، و کلاینتهای ادمین (و در صورت امکان سایر کلاینتها) نیز دسترسی مستقیم به اینترنت نداشته باشند. البته طبیعتا این تقسیمبندی بسیار حداقلی است و باید در هر شبکه تا حد امکان برحسب سطح ریسک و نوع کاربرد تقسیمبندی بسیار جدیتری انجام شود.
غیرفعالسازی سرویسهای غیرضروری
با غیر فعال نمودن سرویسهای غیرضروری (برای مثال غیر فعال سازی سرویس پرینتر بر روی وب سرورها، دامین کنترلرها و …)، در صورت انتشار آسیبپذیریهای بحرانی نظیر PrintNightmare بدون نیاز به نصب وصلههای امنیتی، در برابر آنها ایمن خواهید بود. بنابراین، سرویسهای بلااستفاده را تشخیص داده و آنها را غیرفعال کنید.
محدود کردن ارتباطات اینترنتی سرورها به آیپیها و پورتهای خاص
با توجه به تجاربی که از حوادث روی داده به دست آمده است، ارتباطات مجاز اینترنتی سرورهایی نظیر سرور آنتیویروس (به طور خاص اگر این ارتباط با یک آیپی خارج از ایران برقرار میشود)، سرور WSUS و … تنها بایستی به آیپی و پورتهای مجاز محدود شده باشد. سایر سرورهایی که نیاز به دسترسی به اینترنت ندارند نیز باید محدود گردند.
تعیین سیاستهای لازم جهت استفاده از رمزهای عبور دارای پیچیدگی، غیر قابل حدس و غیر تکراری و تعویض آن در بازههای زمانی کمتر از ۳ ماه
اهمیت این مورد نیازی به توضیحات اضافه نداشته و کاملا مشخص است. در بسیاری از موارد مشاهده شده است که بر روی تحهیزات بسیار حیاتی سازمانهای مورد نفوذ قرار گرفته، پسوردی بسیار ساده، قابل حدس و یا استفاده شده بر روی تجهیزات در معرض خطر و آسیبپذیرتر، استفاده شده است که نفوذگران با وجود ناتوانی در به دست آوردن پسورد سیستم هدف به صورت مستقیم، دستگاههای آسیبپذیرتر را مورد حمله قرار داده و در ادامه با استفاده از همان رمز عبور، اقدام به برقراری ارتباط با بخش حیاتی زیر ساخت شبکه کردهاند.
به عنوان مثالی دیگر در اهمیت این موضوع، در موارد متعددی مشخص شد که حملات، با استفاده از اکانتهای دارای دسترسی ادمین که وجود آنها فراموش شده و پسوردی ضعیف داشتهاند، صورت گرفته است.
تهیه مستندات دقیق از معماری شبکه
در اهمیت تهیه مستندات، لازم به ذکر است که فرض اینکه به هر میزان شبکه پیچیدهتر باشد، تلاش نفوذگر جهت از کار انداختن آن سختتر میشود، بسیار اشتباه است. پیچیدگی شبکه به نفوذگر اجازه میدهد راههای بیشتری برای دور زدن مکانیزمهای امنیتی و بخشهای مغفول مانده شبکه پیدا کند. در حالی که، با وجود نداشتن یک مستند دقیق از شبکه، تنها راهاندازی مجدد آن پس از بروز حادثه سخت و حتی غیر قابل انجام میگردد.
تهیه پشتیبان (Backup) از اطلاعات به صورت غیر برخط و تست پشتیبانهای تهیه شده جهت اطمینان از امکان بازیابی و قابل استفاده بودن هر یک از آنها
از دست دادن اطلاعات در کمین هر سازمانی است که به دلایل خرابکاریهای عمدی مانند هک و نفوذ یا آلودگی بدافزاری، و غیرعمدی مانند حوادث طبیعی و خرابی سختافزاری کاملا اجتناب ناپذیر میباشد.
در برخی حملات سایبری گذشته، نفوذگران با داشتن اطلاعات کامل از نحوه و محل ذخیرهسازی بکاپها، یک شب قبل از حادثه به سامانه بکاپ متصل شده و کلیه بکاپها را به صورت غیرقابل بازگشت تخریب نموده بودند.
بدیهی است بازیابی فرایند کاری بدون دسترسی به بکاپها کاری بسیار دشوار و در حد ناممکن میباشد، موضوعی که فقط با نگهداری بکاپ به صورت آفلاین ( به عنوان مثال Tape یا تجهیزی که پس از بکاپگیری به صورت فیزیکی از شبکه جدا شود )قابل جلوگیری است.
نکته مهم دیگر اطمینان از صحت بکاپها و امکان بازیابی آنهاست که باید به صورت دورهای تست گردد.
استفاده از سرور مجزا جهت ذخیره سازی Audit لاگها و تحلیل رخدادهای ثبت شده به صورت بر خط
این مورد هم در پیشگیری و هم در زمان بازیابی از حادثه و علتیابی بسیار مفید میباشد. در مرحله اول با ذخیره این لاگها به صورت مجزا، امکان تحلیل عمیق این لاگها وجود داشته و به وسیله آن میتوان تهدیدات مخفی داخل شبکه را شناسایی و در مراحل اولیه خنثی نمود.
همانطور که گفته شد، اغلب حملات رخ داده، با تعریف پالیسی روی اکتیودایرکتوری انجام شدهاند و حتی در برخی موارد دسترسی طولانی مدت (بیش از شش ماه تا یک سال) به اکتیودایرکتوری وجود داشته و نفوذگر بدون آنکه کسی متوجه شود مدتها روی اکتیودایرکتوری پالیسی تعریف میکرده است.
البته در حملات اخیر سرعت خرابکاری افزایش یافته و بین یک ماه تا دو هفته بعد از دسترسی اولیه، خرابکاری و تخریب اطلاعات انجام میگیرد که نشان میدهد زمان کمتری برای نظارت بر رخدادها جهت تشخیص و واکنش به نفوذ وجود دارد.