شایگان

در روزهای پایان سال 97  ، شبکه‌های شرکت‌ها و سازمان‌های سراسر کشور، با حجم بسیار زیاد و بی‌سابقه‌ای از حملات باج‌افزاری و تحرکات هک و نفوذ مواجه شدند. بیشتر این حملات از طریق سرویس ریموت ودر برخی موارد حتی VPNها و ابزارهای ریموت انجام گرفته‌اند.

از این جهت پادویش با اعلام هشدار جدی وضعیت زرد امنیتی، توجه عموم کاربران بخصوص مدیران محترم شبکه‌ها و مسئولین فاوا را به نکات ایمنی و امنیتی زیر معطوف می‌دارد. ( پشتیبانی شبکه ، فیبرنوری ، کابل کشی )

با جدیت در پیگیری و توجه به رعایت مسائل امنیتی، انتظار می رود آمادگی بیشتری برای مقابله با این حملات در شبکه‌ها به وجود آمده و از این حملات در امان بمانند.

 

 

در ادامه نکات مهم برای یادآوری بیان شده است:

۱. تهیه پشتیبان به‌روز از اطلاعات حیاتی

وجود یک پشتیبان به روز، که به صورت آفلاین نگهداری شودراه اول در بازگرداندن سیستم‌ها به وضعیت عادی بعد از حمله است. بنابراین توصیه می‌شود که یکبار دیگر کل سیستم‌های حیاتی خود را مرور کنید و از اطلاعات آن‌ها پشتیبان گیری کرده و پشتیبان‌ها را به صورت آفلاین نگهداری نمایید. دقت داشته باشید که با گرفتن نسخه پشتیبان، امکان بازیابی پشتیبان‌ها را تست نمایید تا بعداً دچار مشکل نشوید. ( مجازی سازی)
علاوه بر سیستم‌های اطلاعاتی و عملیاتی، گرفتن پشتیبان از تجهیزات شبکه شامل روترها، سوییچ‌ها، فایروال، و سایر سیستم‌های مهم مانند اکتیودایرکتوری نیز فراموش نشود.

۲. غیرفعال کردن فوری  راه‌های ارتباطی  از طریق ریموت که باعث کاهش درجه خطر تا حد ممکن می شود.
تقریبا در تمامی حملات اخیر هکرها از سرویس ریموت دسکتاپ (Remote Desktop) ویندوز برای نفوذ اولیه خود به سیستم استفاده کرده‌اند. همچنین نفوذ از طریق VPN یا ابزارهای ریموت کلاینتی (مانند AnyDesk و ابزارهای مشابه) نیز متداول است. بنابراین بهتر است به طور موقتی این راه‌ها را غیرفعال کنید یا حداقل آن‌ها را با پسوردها و پالیسی‌های سختگیرانه‌تر (مانند محدودیت آی‌پی) محدود کنید.
همچنین مراقب ابزارهای ریموت کلاینتی مانند AnyDesk و نمونه‌های مشابه را که ممکن است روی یک سرور یا کلاینت باز مانده باشند ، باشید.( Voip )

۳.  بررسی سیاست‌های شبکه و محدودسازی تا حد امکان
در وضعیت زرد نیاز هست که یکبار دیگر سیاست‌های امنیت شبکه را مرور نمایید و از اینکه این سیاست‌ها از اصل حداقل دسترسی پیروی می‌کنند اطمینان حاصل کنید. پورت‌های باز اضافی و غیرضروری را ببندید. تا حد امکان سرویس‌های غیرضروری را نیز غیرفعال نمایید.
 در مقابله با باج‌افزار، فراموش نکنید که فولدرهای اشتراکی را ببندید یا دسترسی کاربران را به حالت فقط خواندنی محدود نمایید.

۴. فعال کردن سیستم‌های لاگبرداری و Auditing
اگر خدای نکرده حمله‌ای رخ دهد، برای بررسی منشاء حمله (جهت کشف نقاط نفوذ و جلوگیری از وقوع مجدد) و میزان تخریب و پیشروی حمله (جهت بازگرداندن سرویس‌ها و حذف درب‌های پشتی) به انواع لاگ‌های Audit نیاز خواهید داشت.

 

بر اساس آخرین بررسی‌های مرکز ماهر، هنوز بیش از ۹۴ درصد روترهای # میکروتیک آسیب‌پذیر به CVE-2019-3924 (اینجا) در کشور بروزرسانی نشده اند. ( پشتیبانی شبکه ، فیبرنوری ، ویپ ، دکل مهاری)
استان تهران با بیش از ۶۴٪، بیشترین تعداد روترهای میکروتیک آسیب‌پذیر را دارد و در رتبه اول قرار دارد. پس از تهران، استان‌های فارس و اصفهان با حدود ۶٪ و ۵٪ در رتبه‌‌های بعدی هستند.(کابل کشی ، مجازی سازی )

 

اکیدا توصیه می گردد دارندگان این روترها، ضمن بروزرسانی سیستم عامل RouterOS، دسترسی به پورت ۸۲۹۱ (winbox) را بصورت عمومی بر بستر اینترنت مسدود نمایند.

سال 2016، محققان دانشگاه ایلینوی 297 # ‫درایو_فلش USB بدون برچسب را در اطراف دانشگاه گذاشتند تا بررسی کنند چه اتفاقی خواهد افتاد. 98% از آن ها را کارکنان و دانشجویان برداشتند و حداقل نیمی از آن ها به کامپیوتر متصل شدند تا کاربران از روی کنجکاوی محتوای آن ها را ببینند. برای یک هکر که تلاش می کند یک شبکه کامپیوتری را آلوده کند، این ها شانس های بسیار خوب و جذابی هستند. (پشتیبانی شبکه ، فیبر نوری ، کابل کشی )
تقریبا حدود بیست سال است که USB ها به وجود آمده اند و کار آن ها ارائه یک راه آسان و ساده برای ذخیره و انتقال فایل های دیجیتال بین کامپیوترهایی است که به طور مستقیم با یکدیگر یا به اینترنت اتصال ندارند. این قابلیت توسط عاملین تهدید مجازی مورد سوءاستفاده قرار داده می شود که معروف ترین آن ها کرم استاکسنت در سال 2010 است. استاکسنت از USB برای تزریق نرم افزارهای مخرب به یک شبکه تاسیسات هسته ای ایران استفاده کرد.
امروزه سرویس های cloud مثل دراپ باکس حجم عظیمی از داده ها را ذخیره می کنند و انتقال می دهند و همچنین آگاهی بیشتری از خطرات مربوط به USB ها وجود دارد. استفاده از آن ها به عنوان یک ابزار تجاری ضروری در حال کاهش است. با این وجود، همچنان سالانه میلیون ها دستگاه USB برای استفاده در خانه ها، کسب و کارها و کمپین های ارتقاء بازاریابی مانند نمایشگاه های تجاری تولید و توزیع می شوند.
USB ها هدفی برای تهدیدهای مجازی هستند. داده های آزمایشگاه کسپراسکی در سال 2017 نشان داده است که هر 12 ماه یا بیشتر، از هر 4 کاربر یک نفر در سراسر جهان تحت تاثیر یک حمله سایبری محلی قرار می گیرد. این ها حملاتی هستند که به طور مستقیم روی کامپیوتر کاربر یافت می شوند و شامل آلودگی هایی هستند که توسط media  قابل جابجایی مانند دستگاه های USB ایجاد می شوند.(دکل مهاری)
این گزارش، چشم انداز فعلی تهدیدهای مجازی برای رسانه های قابل جابجایی، به ویژه USBرا بررسی می‌کند و توصیه ها و پیشنهاداتی را در مورد حفاظت از این دستگاه های کوچک و داده هایی که جابجا می‌کنند ارائه می دهد. همچنین یکی از معروف ترین بدافزارهایی که روش انتشار خود را منحصرا بر پایه دیسک های قابل حمل USB قرار داده است را مورد تحلیل قرار خواهیم داد. نام این کرم Dinihou می باشد( مجازی سازی ، ویپ). ادامه مطلب...