دیدگاه متفاوت در مقابله با باج افزارها
مقدمه
امروزه کمتر سازمان و نهاد سرویسرسانی در سراسر دنیا وجود دارد که مورد حملات و یا تهدیدات ناشی از حملات سایبری باجافزارها قرار نگرفته باشد. این امر ارتباط مستقیمی با میزان اهمیت اطلاعات و گستردگی آن دارد، به خصوص با افزایش روبه رشد تولید و ذخیرهسازی اطلاعات که در نتیجه گسترش استفاده از الگوهای پردازش ابری، کلان دادهها و توسعه شبکههای اجتماعی در قالب توسعه کمی و کیفی مراکز داده نسل سوم شکل گرفته است، سازمانهای بیشتری را در معرض خطر قرار داده است. از اینرو، حفظ و تامین امنیت اطلاعات ارزشمند ذخیره شده تبدیل به مهمترین چالش سازمانها برای تداوم کسب و کار و ارایه خدمات شده است.
آمارهای منتشر شده در این خصوص در نشریات تخصصی، نشان ازحجم زیاد آسیبپذیری و ریسک بالای از دسترس خارج شدن اطلاعات براثر نفوذ عوامل بیگانه در درون شبکههای اطلاعاتی و تخریب اطلاعات را میدهد.
بنابراین اقدام برای جلوگیری از ابتلا به این باجافزارها و یا رهایی از آنها در دستور کار تمامی کارگروههای امنیتی سازمانهای خدماترسان برخط از جمله تسکا قرار دارد. مهمترین اصل در مبارزه با Ransomwareها آشنایی با ماهیت آنها و نحوه عملکردشان بر روی سیستمهای قربانی میباشد.
باجافزار چیست و چگونه کار میکند؟
باجافزارها درحقیقت بد افزارهایی هستند که به گونهای طراحی شدهاند تا دسترسی کاربران را به اطلاعات ذخیره شده خود بر روی سیستمها منع کنند. اینگونه از بد افزارها عموما بارمزنگاری اطلاعات با کلیدهای مخصوص عمل میکنند. طبق بروزترین مطالعات صورت گرفته در حال حاضر باجافزارها ملموسترین نوع بدافزارهای رایج میباشند.
حال سوال اصلی اینجاست: باج افزارها چگونه عمل میکنند؟ برای پاسخ به این سوال بهتر است نگاهی به چرخه حیات این بدافزارها بیندازیم.
چرخه حیات باج افزارها شامل مراحل:
- ایجاد باجافزار
- نفوذ به شبکه هدف و گسترش در سطح سیستمهای قربانی
- شناسایی فایلهای حاوی اطلاعات ارزشمند
- رمزگذاری اطلاعات با کلیدهای متخاصم
- اعلام و درخواست باج به جهت رمزگشایی اطلاعات از دسترس خارج شده میباشد.
درگام نخست این چرخه، معمولا سیستمهای قربانی از طریق ارسال ایمیلهای مشکوک حاوی لینک کدهای مخرب مورد حمله قرار میگیرند. روش دیگر نفوذ سرقت اطلاعات دسترسی کاربران (مخصوصا به جهت استفاده از پروتکلهای RDP) با روش مهندسی اجتماعی است. پس از نفوذ به شبکه هدف، فاز شناسایی و رمزگذاری اطلاعات شروع میشود. معمولا باج افزارها برروی سیستم عامل نصب شده و به صورت مخفی شروع به شناسایی فایلها مینمایند. در ادامه اقدام به رمزگذاری اطلاعات با کلید Attacker Controlled مینمایند و در آخرین مرحله فایلهای رمزنگاری شده جایگزین فایلهای اصلی میشود. تفاوت گونههای باج افزارها در این بخش شکل میگیرد. گونههای پیشرفتهتر باج افزارها درحین رمز نگاری اطلاعات، نسخههای پشتیبان و Shadow Copyهای مربوط به اطلاعات را نیز شناسایی و حذف میکنند تا از عدم قابلیت بازگردانی اطلاعات مطمئن شوند.
در نهایت پروسه اعلام و درخواست باج برای رمزگشایی اجرا میگردد.
روشهای مقابله با باجافزارها
بهترین درمان پیشگیری است. درخصوص مقابله با Ransomwareها این جمله تکراری بسیار مصداق دارد. هرچند روشهای مقابله با باجافزارها به دو دسته کنش گرایانه و واکنش گرایانه دستهبندی میگردند اما توصیه اکید کارشناسان امنیت اطلاعات آرن برای اقدامات پیشگیرانه میباشد. از جمله مهمترین اقدامات پیشگیرانه میتوان به
- آموزش و ارتقای سطح دانش مدیران سیستم و کاربران سازمان در خصوص خطرات باج افزارها و روشهای کارکرد آنها
- تهیه نسخههای پشتیبان اطلاعات براساس راهکارهای تداوم کسب و کار مبتنی بر سیاستگذاریهای چرخه حیات داده
- بروزرسانی مداوم سرویسهای زیرساختی و نصب وصلههای نرمافزاری تایید شده توسط تولیدکنندگان نرم افزارها
- پیادهسازی مکانیزمهای دسترسی کاربران بر مبنای سیاست Two Factor Authentication
- بکارگیری نرمافزارهای امنیتی ضد باجافزار به منظور شناسایی تهدیدات موجود در سیستمها اشاره کرد.
البته لازم به ذکر است که چالش اصلی سازمانها در برخورد با تهدیدات باج افزارها عدم انسجام آنها برای پیادهسازی روشهای اشاره شده است.
Object Storage یک راهکار خلاقانه برای مقابله با Ransomware
طی سالهای گذشته، با شتابگیری روند تولید دادهها با حجم بالا و مستقل از پایگاه دادهها، Object Storage Devices در بخشهای حساسی همچون نهادهای پولی، بانکی، سازمانهای خدمات رسان دولتی و مراکز بهداشتی و درمانی به عنوان یک راه کار هوشمند و موثر برای ذخیرهسازی اطلاعات حساس به کارگرفته شده است. همچنین با گسترش روزافزون خطرات ناشی از باج افزارها، سیستمهای ذخیرهسازی مبتنی بر اشیا با ارائه الگوریتمهای منحصر به فرد که طی آن اجازه اعمال تغییرات برروی اطلاعات ذخیره شده سلب میگردد، به عنوان یک راهکار خلاقانه به منظور پیشگیری از خطرات احتمالی باجافزارها مطرح شده و مورد استقبال سازمانها قرارگرفته است.
در این الگو در کنار استفاده از Object Storage Devices به عنوان لایه اصلی ذخیرهسازی، مکانیزمهای احراز هویت و رمزنگاری اطلاعات (Inflight و At Rest) نیز به عنوان دو بال اصلی محافظت کننده اطلاعات به کار گرفته میشوند تا خطرات ناشی از نفوذ و گسترش باجافزارها را به حداقل برسانند.
OSD چگونه میتواند مقابل باج افزارها عمل کند.
سیستمهای ذخیرهسازی مبتنی بر اشیا دادهها را به صورت تغییر ناپذیر ذخیره میکنند. به عبارت دیگر معماری سیستمهای OSD بهگونهای طراحی شده است که قابلیت ایجاد تغییرات در ماهیت فایلها را در محل ذخیرهسازی نمیدهند. این امر درست برخلاف سیستمهای ذخیره سازی POSIX BASED میباشد. با استفاده از این ویژگی بسیاری از باج افزارها برای رمزنگاری اطلاعات (به نوعی ایجاد تغییرات در صفات فایلها) با چالش روبرو میشوند.
علاوه بر آن، این سیستمها از قابلیت Versioning به منظور حفظ تمامیت اطلاعات ذخیرهسازی شده بهره میبرند، در حالی که مکانیزم WORM (Write Once Read Many) به عنوان راهکار اصلی Versioning در سیستمهای ذخیرهسازی OSD اولیه مورد استفاده قرار میگرفت برخی از شرکتهای پیشرو در تولید تجهیزات ذخیرهسازی، اقدام به بکارگیری مکانیزم S3 API Extension (که توسط گروه نرمافزاری Amazon به عنوان راهکار ارتقا امنیت اطلاعات در زیرساختهای رایانش ابری AWS به بازار فناوری اطلاعات ارائه شد.) به عنوان راهکار توسعه یافته Versioning نمود است.
لازم به ذکر است که در این روش به ازای هرگونه تغییرات بر روی فایلها میبایست یک نسخه جدید از اطلاعات ذخیره گردد. در نتیجه به ازای هر پروسه نگاشت اطلاعات جدید نسخه قبلی به صورت Read Only ذخیره میگردد. در انتها برخی از تجهیزات با فناوری پیشرفتهتر در این زمینه مانند ECS شرکت Dell-EMC در نسخههای جدید خود قابلیت S3 Object Lock API را نیز به خدمت گرفتهاند. براساس این مکانیزم در یک بازه زمانی ثابت، امکان بروزرسانی و یا حذف اطلاعات ذخیرهسازی شده داده نمیشود.
نتیجهگیری
هرچند که مقابله با حمله باجافزارها نیازمند یک سیاست جامع و چندلایه دفاعی میباشد، میتوان اینگونه نتیجهگیری کرد که استفاده از سیستمهای ذخیرهسازی مبتنی بر اشیا (OSD) و بهرهمندی از ویژگیهای ذاتی آنها برای ذخیرهسازی اطلاعات باوجود هزینه بالاتر نسبت به سایر سیستمهای ذخیره ساز موجود میتواند به عنوان یک راهکار هوشمندانه و کارآمدتر برای جلوگیری از نفوذ باجافزارها مطرح گردد. البته نباید از نقش کلیدی راهکارهای احراز هویت و رمزنگاری در کنار زیرساختهای ذخیرهسازی مبتنی بر اشیا چشم پوشی کرد.
در انتها لازم به اشاره میباشد که هیچ راهکاری به تنهایی برای مبارزه علیه نفوذ باج افزارها کافی نبوده و بنابر توصیه پژوهشگران عرصه امنیت اطلاعات، استفاده از OSDها درکنار روشهای مرسوم اشاره شده و همچنین راهکارهای نرمافزاری مانند Ransomware Defenderها قابلیت ارتقا توان دفاعی و عملیاتی سازمانها در برابر خطرات باجافزارها را میدهد.