10برداشت نادرست امنیتی کارشناسان و مدیران IT  

 

 

اخیرا تیم واکنش سریع شرکت سوفوس  لیستی از متداول ترین سو ء برداشت های امنیتی را که در دوازده ماه گذشته هنگام خنثی سازی و بررسی حملات سایبری در طیف وسیعی از سازمان ها با آن روبرو شده است را تهیه کرده است. متاسفانه این نوع از برداشت ها در کسب و کارهای کوچک و بزرگ در کشور ما نیز به وفور یافت میشود.

سوء برداشت اول:

ما هدف نیستیم.  ما خیلی کوچک هستیم و یا هیچ دارایی با ارزشی جهت سو استفاده رقبا یا دشمنان  نداریم

بسیاری از قربانیان حمله سایبری تصور می کنند که کسب و کار آنها بسیار کوچک است و هیچ  نوع دارایی ارزشمندی ندارند که موجب ترغیب  یک نفوذگر شود . حقیقت این است که با توجه به دارایی های دیجیتال موجود در شرکت به هر حال ، یک هدف هستید. معمولا بیشتر حملات توسط مهاجمان پیشرفته دولتی انجام نمی شود .بلکه توسط فرصت طلبانی انجام میشود که به دنبال طعمه آسان هستند .سازمانهایی با شکاف های امنیتی، پیکربندی های اشتباه در سخت افزارها و آسیب پذیری های نرم افزاری همه و همه طعمه هایی آسان برای هکرهای نوپا خواهند بود.

سوء برداشت 2:

ما به فناوری های پیشرفته امنیتی که در همه جا نصب شده باشد ، نیاز نداریم

برخی از تیم های IT هنوز معتقدند که نرم افزارهای امنیتی نقطه پایانی برای جلوگیری از همه تهدیدها کافی است. مهاجمان از چنین پیش فرض هایی نهایت استفاده را می برند. هرگونه اشتباه در پیکربندی ،احساس عدم نیاز به یک راهکار مدیریت وصله ها، احساس عدم نیاز به فایروال، کمک به سازمان از طریق صرفه جویی در خرید تجهیز امنیتی مناسب… باعث می شود سرورها یک هدف اصلی باشند.

سوء برداشت 3:

ما سیاست های امنیتی قوی  در سازمان داریم

داشتن سیاست های امنیتی برای برنامه ها و کاربران بسیار مهم است. با این حال، با افزودن ویژگی ها و قابلیت های جدید به دستگاه های متصل به شبکه ، آنها باید مرتباً بررسی و به روز شوند. با استفاده از تکنیک هایی مانند تست نفوذ ، برنامه های آزمایشی، برنامه های بازیابی فاجعه (Disaster Recovery) خط مشی ها را تأیید و آزمایش کنید.

سوء برداشت 4:

سرورهای پروتکل از راه دور ریموت دسک تاپ با تغییر پورت هایی که در آن هستند و معرفی احراز هویت چند عاملی می توانند در برابر مهاجمان محافظت شوند.

پورت استاندارد مورد استفاده برای سرویس های RDP 3389 است ، بنابراین بیشتر مهاجمان این پورت را اسکن می کنند تا سرورهای دسترسی از راه دور باز پیدا کنند. با این حال ، اسکن بدون در نظر گرفتن درگاهی که در آن قرار دارند ، هرگونه سرویس باز را شناسایی می کند ، بنابراین تغییر پورت ها به تنهایی محافظت کمی دارند یا هیچ محافظتی ندارند.

سوء برداشت 5:

مسدود کردن آدرس ها از مناطق پرخطر مانند روسیه ، چین و کره شمالی ما را در برابر حملات این مناطق محافظت می کند.

با مسدود کردن IP ها از مناطق خاص فقط از نقاط خاص مشخص شده صدمه ای نخواهد دید ، اما اگر فقط برای حفاظت به این امر اعتماد کنید ، می تواند امنیت کاذب را ایجاد کند. دشمنان زیرساخت های مخرب خود را در بسیاری از کشورها از جمله ایالات متحده آلمان، هلند و سایر مناطق اروپا میزبانی می کنند.

سوء برداشت 6:

نسخه های پشتیبان تهیه شده در سازمان ما، ایمنی در برابر تأثیرات باج افزارها را تضمین می کنند

تهیه و به روز نگه داشتن نسخه پشتیبان از اسناد و اطلاعات در پایدار بودن  کسب و کارها بسیار مهم است. با این حال ، اگر نسخه پشتیبان تهیه شده شما به شبکه متصل باشد ، در معرض حمله مهاجمان قرار دارد و در حمله باج افزار رمزگذاری ، حذف یا غیرقابل استفاده می شوند .شایان ذکر است که محدود کردن تعداد افرادی که به نسخه های پشتیبان شما دسترسی دارند ممکن است به طور قابل توجهی امنیت را افزایش ندهد زیرا مهاجمان مدتی را در شبکه شما صرف جستجوی این افراد و اعتبار دسترسی آنها می کنند. به همین ترتیب، ذخیره پشتیبان گیری در  Cloud  نیز باید با دقت انجام شود . در یک نمونه از حملات ، مهاجمان از طریق حساب کاربری مدیر   ITکه شناسایی و هک شده بود از ارائه دهنده خدمات ابری درخواست حذف تمامی نسخه های پشتیبان را کرده بود.

فرمول استاندارد پشتیبان گیری ایمن که می تواند پس از حمله باج افزار برای بازگرداندن داده ها و سیستم ها مورد استفاده قرار گیرد ، 3: 2: 1 است. تهیه سه نسخه پشتیبان از همه موارد ، با استفاده از دو سیستم مختلف که یکی از آنها آفلاین است.

سوء برداشت 7:

 

کارمندان ما امنیت را درک می کنند

طبق آمارهای گرفته شده متاسفانه تنها فقط  22٪ از سازمان ها معتقدند که در 12 ماه آینده مورد حمله باج افزار قرار خواهند گرفت زیرا جلوگیری از به خطر انداختن امنیت کاربران نهایی دشوار است و مابقی سازمان ها اعتماد بالایی نسبت به کارمندان خود دارند. روش های مهندسی اجتماعی مانند ایمیل های فیشینگ هر روز پیچیده تر و بالطبع غیر قابل تشخیص می شوند. پیام ها اغلب به صورت دستی ، دقیق ، اقناع کننده و با دقت و برای اهداف و افراد مشخصی طراحی میگردند.کارمندان شما باید بدانند که چگونه پیام های مشکوک را تشخیص دهند و هنگام دریافت پیام چه کاری انجام دهند.

سوء برداشت 8:

تیم های پاسخگویی به حوادث می توانند اطلاعات ما را پس از حمله باج افزار بازیابی کنند، لذا نگرانی وجود ندارد

این بسیار بعید است. مهاجمان امروز اشتباهات بسیار کمتری انجام می دهند و روند رمزگذاری  بسیار بهبود یافته است ، بنابراین اعتماد به پاسخ دهندگان برای یافتن روزنه ای که بتواند خسارت را برطرف کند بسیار نادر است. نسخه پشتیبان تهیه خودکار مانند Windows Volume Shadow Copies نیز توسط اکثر باج افزارهای مدرن حذف می شود و همچنین داده های اصلی ذخیره شده روی دیسک را رونویسی می کند و عملا بازیابی اطلاعات ممکن است فقط با پرداخت باج میسر باشد.شاید.

سوء برداشت 9:

امکان پس گرفتن داده ها پس از پرداخت باج وجود دارد

طبق آمار بدست آمده از سازمان هایی که اقدام به پرداخت باج نموده اند، به طور متوسط این سازمان ها  فقط  توانسته اند حدود دو سوم (65٪) از اطلاعات خود را بازیابی کنند. فقط 8٪ تمام اطلاعات خود را پس گرفتند و 29٪ کمتر از نیمی از آنها بازیابی کردند. پرداخت باج حتی اگر گزینه ساده تری به نظر برسد و یا تحت پوشش بیمه نامه سایبری شما باشد – راه حل ساده ای برای روی پا آمدن نیست. علاوه بر این ، بازیابی اطلاعات تنها بخشی از روند بازیابی است – در اکثر موارد ، باج افزارها به طور کامل به سیستم ها آسیب میرساند و موجب از کار افتادن سیستم ها میشوند، لذا  قبل از بازیابی داده ها، نرم افزار و سیستم ها باید از ابتدا نصب پیاده سازی و پیکربندی شوند. بررسی ها در سال 2021 نشان داده است که هزینه های بازیابی به طور متوسط ده برابر تقاضای باج هستند.

سوء برداشت 10:

انتشار باج افزار یعنی پایان حمل، بنابراین اگر اطلاعات را پس بگیریم یا بازیابی کنیم همه چیز تمام است

متأسفانه ، این به ندرت اتفاق می افتد. باج افزار فقط نقطه ای است که مهاجمان می خواهند شما بدانید که آنها آنجا هستند و آنچه انجام داده اند را به شما اعلام میکنند. مهاجمان احتمالا چند هفته قبل از انتشار باج افزار، عملیات کاووش و جستجوی سیستم هایی که ارزش اطلاعاتی بالایی دارند،جستجو و حذف نسخه های پشتیبان، نصب Backdoor ها را شروع کرده اند،پس اگر  انتشار باج افزار را حمله کلی میدانید،منتظر موج دوم حملات باشید.

درباره ما


گروه فناوری اطلاعات برنا در سال 1390 به منظور فعالیت در زمینه فناوری اطلاعات و ارتباطات تاسیس گردید ، و پیشرفت در این عرصه به منظور کسب تجربه و خدمت به پیشرفت تکنولوژی در کشور به همراه مدیران و متخصیصین امور فناوری اطلاعات و ارتباطات پیموده است .

ادامه مطلب

ارتباط با ما


  • تهران ، خیابان بهشتی ، خیابان مفتح شمالی،نبش کوچه هشتم ، ساختمان 390
  • info@Bornait.net
  • Support@Bornait.net
  • 021-91008062

تمامی حقوق وبسایت متعلق به گروه برنا رهپو پردازش می باشد.