رسانه های اجتماعی ، امنیت ، مهندسی اجتماعی

دیدگاه متفاوت در مقابله با باج افزارها

مقدمه

امروزه کمتر سازمان و نهاد سرویس‌رسانی در سراسر دنیا وجود دارد که مورد حملات و یا تهدیدات ناشی از حملات سایبری باج‌افزارها قرار نگرفته باشد. این امر ارتباط مستقیمی با میزان اهمیت اطلاعات و گستردگی آن دارد، به خصوص با افزایش روبه رشد تولید و ذخیره‌سازی اطلاعات که در نتیجه گسترش استفاده از الگوهای پردازش ابری، کلان داده‌ها و توسعه شبکه‌های اجتماعی در قالب توسعه کمی و کیفی مراکز داده نسل سوم شکل گرفته است، سازمان‌های بیشتری را در معرض خطر قرار داده است. از این‌رو، حفظ و تامین امنیت اطلاعات ارزشمند ذخیره شده تبدیل به مهم‌ترین چالش سازمان‌ها برای تداوم کسب و کار و ارایه خدمات شده است.

آمارهای منتشر شده در این خصوص در نشریات تخصصی، نشان ازحجم زیاد آسیب‌پذیری و ریسک بالای از دسترس خارج شدن اطلاعات براثر نفوذ عوامل بیگانه در درون شبکه‌های اطلاعاتی و تخریب اطلاعات را می‌دهد.

بنابراین اقدام برای جلوگیری از ابتلا به این باج‌افزارها و یا رهایی از آنها در دستور کار تمامی کارگروه‌های امنیتی سازمان‌های خدمات‌رسان برخط از جمله تسکا قرار دارد. مهم‌ترین اصل در مبارزه با Ransomwareها آشنایی با ماهیت آنها و نحوه عملکردشان بر روی سیستم‌های قربانی می‌باشد.

باج‌افزار چیست و چگونه کار می‌کند؟

باج‌افزارها درحقیقت بد افزارهایی هستند که به گونه‌ای طراحی شده‌اند تا دسترسی کاربران را به اطلاعات ذخیره شده خود بر روی سیستم‌ها منع کنند. اینگونه از بد افزارها عموما بارمزنگاری اطلاعات با کلیدهای مخصوص عمل می‌کنند. طبق بروزترین مطالعات صورت گرفته در حال حاضر باج‌افزارها ملموس‌ترین نوع بدافزارهای رایج می‌باشند.

حال سوال اصلی اینجاست: باج افزارها چگونه عمل می‌کنند؟ برای پاسخ به این سوال بهتر است نگاهی به چرخه حیات این بدافزارها بیندازیم.

چرخه حیات باج افزارها شامل مراحل:

  • ایجاد باج‌افزار
  • نفوذ به شبکه هدف و گسترش در سطح سیستم‌های قربانی
  • شناسایی فایل‌های حاوی اطلاعات ارزشمند
  • رمزگذاری اطلاعات با کلیدهای متخاصم
  • اعلام و درخواست باج به جهت رمزگشایی اطلاعات از دسترس خارج شده می‌باشد.

درگام نخست این چرخه، معمولا سیستم‌های قربانی از طریق ارسال ایمیل‌های مشکوک حاوی لینک کدهای مخرب مورد حمله قرار می‌گیرند. روش دیگر نفوذ سرقت اطلاعات دسترسی کاربران (مخصوصا به جهت استفاده از پروتکل‌های RDP) با روش مهندسی اجتماعی است. پس از نفوذ به شبکه هدف، فاز شناسایی و رمزگذاری اطلاعات شروع می‌شود. معمولا باج افزارها برروی سیستم عامل نصب شده و به صورت مخفی شروع به شناسایی فایل‌ها می‌نمایند. در ادامه اقدام به رمزگذاری اطلاعات با کلید Attacker Controlled می‌نمایند و در آخرین مرحله فایل‌های رمزنگاری شده جایگزین فایل‌های اصلی می‌شود. تفاوت گونه‌های باج افزارها در این بخش شکل می‌گیرد. گونه‌های پیشرفته‌تر باج افزارها درحین رمز نگاری اطلاعات، نسخه‌های پشتیبان و Shadow Copyهای مربوط به اطلاعات را نیز شناسایی و حذف می‌کنند تا از عدم قابلیت بازگردانی اطلاعات مطمئن شوند.

در نهایت پروسه اعلام و درخواست باج برای رمزگشایی اجرا می‌گردد.

روش‌های مقابله با باج‌افزارها

بهترین درمان پیشگیری است. درخصوص مقابله با Ransomwareها این جمله تکراری بسیار مصداق دارد. هرچند روش‌های مقابله با باج‌افزارها به دو دسته کنش گرایانه و واکنش گرایانه دسته‌بندی می‌گردند اما توصیه اکید کارشناسان امنیت اطلاعات آرن برای اقدامات پیشگیرانه می‌باشد. از جمله مهمترین اقدامات پیشگیرانه می‌توان به

  • آموزش و ارتقای سطح دانش مدیران سیستم و کاربران سازمان در خصوص خطرات باج افزارها و روش‌های کارکرد آن‌ها
  • تهیه نسخه‌های پشتیبان اطلاعات براساس راه‌کارهای تداوم کسب و کار مبتنی بر سیاست‌گذاری‌های چرخه حیات داده
  • بروزرسانی مداوم سرویس‌های زیرساختی و نصب وصله‌های نرم‌افزاری تایید شده توسط تولیدکنندگان نرم افزارها
  • پیاده‌سازی مکانیزم‌های دسترسی کاربران بر مبنای سیاست Two Factor Authentication
  • بکارگیری نرم‌افزارهای امنیتی ضد باج‌افزار به منظور شناسایی تهدیدات موجود در سیستم‌ها اشاره کرد.

البته لازم به ذکر است که چالش اصلی سازمان‌ها در برخورد با تهدیدات باج افزارها عدم انسجام آنها برای پیاده‌سازی روش‌های اشاره شده است.

Object Storage یک راهکار خلاقانه برای مقابله با Ransomware

طی سال‌های گذشته، با شتاب‌گیری روند تولید داده‌ها با حجم بالا و مستقل از پایگاه داده‌ها، Object Storage Devices در بخش‌های حساسی همچون نهادهای پولی، بانکی، سازمان‌های خدمات رسان دولتی و مراکز بهداشتی و درمانی به عنوان یک راه کار هوشمند و موثر برای ذخیره‌سازی اطلاعات حساس به کارگرفته شده است. همچنین با گسترش روزافزون خطرات ناشی از باج افزارها، سیستم‌های ذخیره‌سازی مبتنی بر اشیا با ارائه الگوریتم‌های منحصر به فرد که طی آن اجازه اعمال تغییرات برروی اطلاعات ذخیره شده سلب می‌گردد، به عنوان یک راهکار خلاقانه به منظور پیشگیری از خطرات احتمالی باج‌افزارها مطرح شده و مورد استقبال سازمان‌ها قرارگرفته است.

در این الگو در کنار استفاده از Object Storage Devices به عنوان لایه اصلی ذخیره‌سازی، مکانیزم‌های احراز هویت و رمزنگاری اطلاعات (Inflight و At Rest) نیز به عنوان دو بال اصلی محافظت کننده اطلاعات به کار گرفته می‌شوند تا خطرات ناشی از نفوذ و گسترش باج‌افزارها را به حداقل برسانند.

OSD چگونه می‌تواند مقابل باج افزارها عمل کند.

سیستم‌های ذخیره‌سازی مبتنی بر اشیا داده‌ها را به صورت تغییر ناپذیر ذخیره می‌کنند. به عبارت دیگر معماری سیستم‌های OSD به‌گونه‌ای طراحی شده است که قابلیت ایجاد تغییرات در ماهیت فایل‌ها را در محل ذخیره‌سازی نمی‌دهند. این امر درست برخلاف سیستم‌های ذخیره سازی POSIX BASED می‌باشد. با استفاده از این ویژگی بسیاری از باج افزارها برای رمزنگاری اطلاعات (به نوعی ایجاد تغییرات در صفات فایل‌ها) با چالش روبرو می‌شوند.

علاوه بر آن،  این سیستم‌ها از قابلیت Versioning به منظور حفظ تمامیت اطلاعات ذخیره‌سازی شده بهره می‌برند، در حالی که مکانیزم  WORM (Write Once Read Many) به عنوان راهکار اصلی Versioning در سیستم‌های ذخیره‌سازی OSD اولیه مورد استفاده قرار می‌گرفت برخی از شرکت‌های پیشرو در تولید تجهیزات ذخیره‌سازی، اقدام به بکارگیری مکانیزم S3 API Extension (که توسط گروه نرم‌افزاری Amazon به عنوان راهکار ارتقا امنیت اطلاعات در زیرساخت‌های رایانش ابری AWS به بازار فناوری اطلاعات ارائه شد.) به عنوان راهکار توسعه یافته Versioning نمود است.

لازم به ذکر است که در این روش به ازای هرگونه تغییرات بر روی فایل‌ها می‌بایست یک نسخه جدید از اطلاعات ذخیره گردد. در نتیجه به ازای هر پروسه نگاشت اطلاعات جدید نسخه قبلی به صورت Read Only ذخیره می‌گردد. در انتها برخی از تجهیزات با فناوری پیشرفته‌تر در این زمینه مانند ECS شرکت Dell-EMC در نسخه‌های جدید خود قابلیت S3 Object Lock API را نیز به خدمت گرفته‌اند. براساس این مکانیزم در یک بازه زمانی ثابت، امکان بروزرسانی و یا حذف اطلاعات ذخیره‌سازی شده داده نمی‌شود.

نتیجه‌گیری

هرچند که مقابله با حمله باج‌افزارها نیازمند یک سیاست جامع و چندلایه دفاعی می‌باشد، می‌توان این‌گونه نتیجه‌گیری کرد که استفاده از سیستم‌های ذخیره‌سازی مبتنی بر اشیا (OSD) و بهره‌مندی از ویژگی‌های ذاتی آنها برای ذخیره‌سازی اطلاعات باوجود هزینه بالاتر نسبت به سایر سیستم‌های ذخیره ساز موجود می‌تواند به عنوان یک راهکار هوشمندانه و کارآمدتر برای جلوگیری از نفوذ باج‌افزارها مطرح گردد. البته نباید از نقش کلیدی راهکارهای احراز هویت و رمزنگاری در کنار زیرساخت‌های ذخیره‌سازی مبتنی بر اشیا چشم پوشی کرد.

در انتها لازم به اشاره می‌باشد که هیچ راهکاری به تنهایی برای مبارزه علیه نفوذ باج افزارها کافی نبوده و بنابر توصیه پژوهشگران عرصه امنیت اطلاعات، استفاده از OSDها درکنار روش‌های مرسوم اشاره شده و همچنین راهکارهای نرم‌افزاری مانند Ransomware Defenderها قابلیت ارتقا توان دفاعی و عملیاتی سازمان‌ها در برابر خطرات باج‌افزارها را می‌دهد.

نویسنده

arenadminn