مقالات

پنج نکته ضروری BCDR برای دفاع مؤثر در برابر باج‌افزار

Posted by author-avatar
On ۱۴۰۴/۰۲/۲۰
۰ comments
BCDR

باج‌افزار به یک تهدید فزاینده، بسیار دقیق و به طرز خطرناکی پیچیده تبدیل شده است که قادر به فلج کردن سازمان‌ها با هر اندازه‌ای می باشد. مجرمان سایبری اکنون حتی از ابزارهای مشروع فناوری اطلاعات برای نفوذ به شبکه‌ها و راه‌اندازی حملات باج افزار استفاده می‌کنند. در یک مثال تکان‌دهنده، مایکروسافت اخیراً فاش کرد که چگونه مهاجمان از ابزار کمک از راه دور Quick Assist این شرکت برای استقرار گونه مخرب باج‌افزار Black Basta سوءاستفاده کرده‌اند.

اما چه چیزی این شرایط را بدتر می نماید؟ روش های جدید مانند باج‌افزار به عنوان سرویس (RaaS) موانع اجرایی را کاهش داده و حملات باج‌افزار را شایع‌تر و گسترده‌تر از همیشه می‌کنند. طبق گزارش شرکت سایبرسکیوریتی ونچرز ، پیش‌بینی می‌شود تا سال ۲۰۳۱، هر ۲ ثانیه یک حمله باج‌افزاری جدید رخ داده و خسارات پیش‌بینی‌شده سالانه به رقم نجومی ۲۷۵ میلیارد دلار برسد.

واقعیت این است که هیچ سازمانی در برابر باج ‌افزار مصون نیست و ایجاد یک استراتژی بازیابی قوی، به اندازه تلاش برای جلوگیری از باج افزار مهم است (اگر نگوییم حتی بیشتر). یک استراتژی قوی برای تداوم کسب‌وکار و بازیابی از فاجعه (BCDR) می‌تواند آخرین و مهم‌ترین خط دفاعی شما در هنگام نفوذ باج ‌افزار باشد و به شما این امکان را می‌دهد که به سرعت از حمله جان سالم به در ببرید، فعالیت های خود را از سر بگیرید و از پرداخت باج پیشگیری نمائید. نکته قابل توجه این است که هزینه سرمایه‌گذاری در BCDR در مقایسه با ویرانی‌هایی که مشکلات طولانی مدت یا از دست دادن داده‌ها می‌تواند ایجاد کند، بسیار ناچیز است.

در این مقاله، پنج قابلیت ضروری BCDR را که باید برای بازیابی مؤثر از باج‌افزار داشته باشید، بررسی خواهیم کرد. این استراتژی‌ها می‌توانند تفاوت بین بازیابی سریع و شکست تجاری پس از حمله را رقم بزنند. پس بیایید بررسی کنیم که هر سازمان قبل از اینکه خیلی دیر شود، چه کارهایی می بایست انجام دهد.

از قانون پشتیبان‌گیری ۳-۲-۱ (و سپس کمی بیشتر!) پیروی کنید

قانون پشتیبان‌گیری ۳-۲-۱ مدت‌هاست که استاندارد طلایی بوده است: سه نسخه از داده‌های خود را نگه دارید، آنها را در دو رسانه مختلف ذخیره کنید و یک نسخه را خارج از سایت محلی خود نگه دارید. اما در عصر باج‌افزارها، این دیگر کافی نیست.

کارشناسان اکنون استراتژی ۳-۲-۱-۱-۰ را توصیه می‌کنند. عدد 1 اضافی به معنای یک کپی تغییرناپذیر است – نسخه پشتیبانی که نمی‌توان آن را تغییر داد یا حذف کرد. عدد ۰ نشان‌دهنده‌ی عدم شک و تردید در توانایی شما برای بازیابی، با نقاط بازیابی تأیید شده و آزمایش شده است.

چرا این ارتقا انجام شد؟ باج ‌افزار دیگر فقط سیستم‌های تولیدی را هدف قرار نمی‌دهد. این باج‌ افزار به طور فعال به دنبال پشتیبان‌ها نیز می‌گردند و آنها را رمزگذاری می‌کنند. به همین دلیل است که ایزوله ‌سازی و تغییرناپذیری گام های بسیار کلیدی هستند. ذخیره‌سازی پشتیبان مبتنی بر ابر و بصورت ایزوله، لایه‌های ضروری محافظت را فراهم می‌کند و پشتیبان‌ها را از دسترس تهدیداتی که حتی از Certificate ادمین استفاده می‌کنند، دور نگه می‌دارد.

داشتن چنین پشتیبان‌های تغییرناپذیری تضمین می‌کند که نقاط بازیابی، صرف نظر از هر اتفاقی، دست‌نخورده باقی می‌مانند.وقتی که همه چیز به خطر می‌افتد این پشتیبان ها ذخیره امن شما هستند. به‌علاوه، این سطح از حفاظت از داده‌ها به برآورده شدن استانداردهای رو به رشد بیمه سایبری و الزامات انطباق کمک می‌کند.

نکته‌ی تکمیلی: به دنبال راه‌حل‌هایی باشید که از بر اساس معماری لینوکس ارائه می شوند تا پشتیبان‌گیری‌ها را خارج از سطوح حمله رایج ویندوز، استتار و ایزوله کنند.

پشتیبان‌گیری خودکار و نظارت مداوم

اتوماسیون قدرتمند است، اما بدون نظارت فعال، می‌تواند به بزرگترین نقطه کور شما تبدیل شود. در حالی که برنامه‌ریزی پشتیبان‌گیری و خودکارسازی تأیید، در زمان صرفه‌جویی می‌کند، به همان اندازه مهم است که اطمینان حاصل شود که این پشتیبان‌گیری‌ها واقعاً انجام می‌شوند و قابل استفاده هستند.

از ابزارهای داخلی یا اسکریپت‌های سفارشی برای نظارت بر پشتیبان‌گیری، هشدارها در صورت خرابی و تأیید صحت نقاط بازیابی خود استفاده کنید. آزمایش و اعتبارسنجی منظم نقاط بازیابی تنها راه برای اعتماد به برنامه بازیابی شما است.

نکته‌ی تکمیلی: راهکارهایی را انتخاب کنید که با سیستم‌های تیکت و اتوماسیون ادغام شوند تا به طور خودکار هشدارها و تیکت‌ها را برای هرگونه مشکل ارسال نمایند.

 

از زیرساخت پشتیبان خود در برابر باج‌افزار و تهدیدات داخلی محافظت کنید

زیرساخت پشتیبان گیری شما باید ایزوله، مقاوم‌سازی شده و به شدت کنترل شده تا از دسترسی یا دستکاری غیرمجاز جلوگیری شود. شما می بایست:

  • محیط شبکه پشتیبان خود را ایزوله کنید.
  • سرور پشتیبان خود را در یک شبکه محلی (LAN) امن و بدون دسترسی به اینترنت میزبانی کنید.
  • ارتباطات خروجی از سرور پشتیبان را فقط به شبکه‌ی فروشندگان تأیید شده اجازه دهید. تمام ترافیک خروجی تأیید نشده را با استفاده از فایروال مسدود نمائید.
  • اجازه ارتباط را فقط بین سیستم‌های محافظت‌شده و سرور پشتیبان فراهم کنید.
  • از فایروال‌ها و لیست‌های کنترل دسترسی مبتنی بر پورت (ACL) روی سوئیچ‌های شبکه برای اعمال کنترل دسترسی دقیق استفاده کنید.
  • مکانیزم احراز هویت سختگیرانه‌ و سیستم کنترل‌ دسترسی اعمال کنید.
  • کنترل دسترسی مبتنی بر نقش (RBAC) را با نقش‌های دارای حداقل امتیاز برای تکنسین‌های سطح ۱ پیاده‌سازی کنید.
  • از احراز هویت چند عاملی (MFA) برای همه دسترسی‌ها به کنسول مدیریت پشتیبان‌گیری اطمینان حاصل کنید.
  • گزارش‌های نظارتی را به طور مداوم برای افزایش دسترسی یا تغییرات غیرمجاز نقش‌ها رصد کنید.
  • اطمینان حاصل کنید که گزارش‌های نظارتی تغییرناپذیر هستند.

مرتباً موارد زیر را مرور کنید:

  • رویدادهای مرتبط با امنیت مانند ورود ناموفق به سیستم، افزایش سطح دسترسی، حذف نسخه‌های پشتیبان و حذف دستگاه.
  • اقدامات مدیریتی مانند تغییرات در برنامه‌های پشتیبان‌گیری، تغییرات در تنظیمات نگهداری، ایجاد کاربر جدید و تغییرات در نقش‌های کاربر.
  • نرخ موفقیت/شکست در پشتیبان‌گیری و کپی (تکثیر) پشتیبان و نرخ موفقیت/شکست در تأیید پشتیبان.
  • هشدارهای خودکار را برای نقض سیاست‌ها و رویدادهای امنیتی با شدت بالا، مانند تغییر غیرمجاز در سیاست‌های نگهداری نسخه پشتیبان، پیکربندی کنید.

 

عملیات بازیابی‌ بصورت دائم آزمایش کنید و آنها را در طرح DR خود بگنجانید

پشتیبان‌گیری‌ها هیچ معنایی ندارند اگر نتوانید آن‌ها را به سرعت و به طور کامل بازیابی کنید، و به همین دلیل است که آزمایش منظم ضروری است. تمرین‌های بازیابی باید برنامه‌ریزی شده و در برنامه بازیابی پس از فاجعه (DR) شما گنجانده شوند. هدف، تقویت حافظه، آشکار کردن نقاط ضعف و تأیید این است که برنامه بازیابی شما واقعاً تحت فشار کار می‌کند.

با تعریف هدف زمان بازیابی (RTO) و هدف نقطه بازیابی (RPO) برای هر سیستم شروع کنید. این موارد تعیین می‌کنند که داده‌های قابل بازیابی شما چقدر سریع و به‌روز باشند. آزمایش در برابر این اهداف به شما کمک می‌کند تا اطمینان حاصل کنید که استراتژی شما با انتظارات بیزینس همسو است.

نکته مهم این است که آزمایش را به یک نوع بازیابی محدود نکنید. بازیابی‌های سطح فایل، بازیابی‌های کاملاً فیزیکی و failover های ابری کامل را شبیه‌سازی کنید. سناریوهای مختلف، آسیب‌پذیری‌هایی مانند تأخیرهای زمانی، مشکلات سازگاری یا شکاف‌های زیرساختی را آشکار می‌کند.

نکته تکمیلی: بازیابی چیزی بیش از یک عملیات فنی است. کلیه ذینفعان را در تمام بخش‌ها درگیر کنید تا پروتکل‌های ارتباطی، مسئولیت‌های نقش و تأثیرات مشتری‌مداری را آزمایش کنید. چه کسی با مشتریان صحبت می‌کند؟ چه کسی زنجیره دستورات داخلی را فعال می‌کند؟ وقتی هر ثانیه مهم است، همه باید نقش خود را بدانند!

 

تشخیص زودهنگام تهدیدها با قابلیت مشاهده در سطح پشتیبان‌گیری

وقتی صحبت از باج‌افزار می‌شود، سرعت تشخیص حرف اول را می‌زند. در حالی که ابزارهای نقطه پایانی و شبکه اغلب مورد توجه قرار می‌گیرند، لایه پشتیبان شما نیز یک خط دفاعی قدرتمند است که اغلب نادیده گرفته می‌شود. نظارت بر داده‌های پشتیبان برای یافتن ناهنجاری‌ها می‌تواند علائم اولیه فعالیت باج‌افزار را آشکار کند و قبل از وقوع آسیب گسترده، به شما یک شروع حیاتی بدهد.

قابلیت مشاهده در سطح پشتیبان‌گیری به شما امکان می‌دهد علائم هشداردهنده‌ای مانند رمزگذاری ناگهانی، حذف‌های دسته‌جمعی یا تغییرات غیرعادی فایل را تشخیص دهید. به عنوان مثال، اگر فرآیندی شروع به بازنویسی محتوای فایل با داده‌های تصادفی کند در حالی که تمام Time Stamp ها را دست‌نخورده باقی بگذارد، این یک پرچم قرمز بزرگ است. هیچ برنامه قانونی اینگونه رفتار نمی‌کند. با تشخیص هوشمند در لایه پشتیبان‌گیری، می‌توانید این رفتارها را تشخیص داده و فوراً هشدار دریافت کنید.

این ویژگی جایگزین راهکارهای تشخیص و پاسخ در نقاط پایانی (EDR) یا آنتی‌ویروس (AV) نمی‌شود؛ بلکه آنها را تقویت می‌کند. اولویت‌بندی را سرعت می‌بخشد، به جداسازی سریع‌تر سیستم‌های آسیب‌دیده کمک می‌کند و شعاع کلی تاثیر حمله را کاهش می‌دهد.

برای حداکثر سازی اثربخشی، راه‌حل‌های پشتیبان‌گیری را انتخاب کنید که تشخیص ناهنجاری را بصورت در لحظه ارائه می‌دهند و یکپارچگی با سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM) یا سیستم‌های ثبت وقایع را پشتیبانی می‌کنند. هرچه سریع‌تر تهدید را کشف کنید ، سریع‌تر می‌توانید اقدام کنید – و این می‌تواند تفاوت بین یک اختلال جزئی و یک فاجعه بزرگ باشد.

نکته‌ی تکمیلی: به کاربران نهایی آموزش دهید تا فعالیت‌های مشکوک را تشخیص داده و گزارش دهند

اگر BCDR آخرین خط دفاعی شما باشد، کاربران نهایی شما اولین هستند. مجرمان سایبری امروزه به طور فزاینده‌ای کاربران نهایی را هدف قرار می‌دهند. طبق گزارش دفاع دیجیتال مایکروسافت ۲۰۲۴، عوامل تهدید سعی می‌کنند از طریق روش‌های مختلفی مانند فیشینگ، بدافزار و حملات جستجوی فراگیر/اسپری رمز عبور به اعتبارنامه‌های کاربران دسترسی پیدا کنند. در طول سال گذشته، حدود ۷۰۰۰ حمله رمز عبور در هر ثانیه فقط در Entra ID مسدود شده است.

در واقع، حملات باج‌افزارها اغلب با یک کلیک، معمولاً از طریق ایمیل‌های فیشینگ یا اعتبارنامه‌های لو رفته، آغاز می‌شوند. آموزش منظم امنیتی – به ویژه تمرین‌های شبیه‌سازی شده فیشینگ – به ایجاد آگاهی از پرچم‌های قرمز (Red Flags) و رفتارهای پرخطر کمک می‌کند. تیم خود را به دانش لازم برای تشخیص علائم هشدار دهنده باج‌افزار، تشخیص و پاسخ مناسب مجهز کنید.

گزارش فوری هر چیزی که به نظر نادرست می‌رسد را در سازمان تشویق کنید. فرهنگ توانمندسازی را پرورش دهید، نه سرزنش. وقتی افراد برای صحبت کردن احساس امنیت کنند، احتمال بیشتری دارد که اقدام کنند.

سخن پایانی

نباید از باج‌افزار ترسید؛ باید برای آن برنامه‌ریزی کرد. پنج قابلیت BCDR که در بالا مورد بحث قرار دادیم، شما را برای مقاومت در برابر حتی پیشرفته‌ترین تهدیدات باج‌افزار مجهز می‌کند و تضمین می‌کند که سازمان شما می‌تواند به سرعت، به طور کامل و با اطمینان بازیابی شود.

 

BCDR: Business Continuity and Disaster Recovery *

 

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.