روش‌های جلوگیری از حملات باج‌افزار (بخش اول)

در این مقاله پیرامون امنیت شبکه گستر سعی خواهیم کرد تا با روش‌های جلوگیری از حملات باج‌افزار به سازمان‌های خصوصی و دولتی کمک کنیم تا با صدمات باج‌افزار مقابله کنند. در ادامه بعد از آشنایی مختصر با باج‌افزار، به فعالیت‌هایی اشاره خواهد شد که به سازمان‌ها کمک می‌کند تا از آلودگی باج‌افزاری و یا نشت آن به سایر سیستم‌ها جلوگیری کنند.

باج‌افزار (Ransomware) چیست؟

باج‌افزار نوعی از بدافزار است که از دسترسی شما به سیستم و یا داده‌های ذخیره شده بر روی آن جلوگیری می‌کند. در حالت‌های مختلف ممکن است کامپیوتر قفل شده، و یا شاید داده‌ها دزدیده، حذف و یا رمزنگاری شوند. برخی از باج‌افزارها سعی خواهند کرد تا از طریق شبکه به سایر ماشین‌ها گسترش یابند. اولین نمونه این نوع از باج‌افزار را در سال 2017 با حمله بدافزار Wannacry به سازمان NHS مشاهده شد.

معمولا از شما خواسته خواهد شد تا از طریق یک آدرس ایمیل ناشناس و یا دنبال کردن یکسری دستورالعمل بر روی یک صفحه وب ناشناس، با نفوذگر برای پرداخت باج تماس بگیرید. برای بازگرداندن  دسترسی به کامپیتر و یا داده‌ها، پرداختی در قالب رمزارز مانند بیت کوین درخواست می‌شود. به هر حال، حتی اگر باج را نیز پرداخت کنید، تضمینی وجود ندارد که به دستگاه و یا فایل‌های خود دسترسی پیدا کنید.

گاها این نوع بدافزار به عنوان باج‌افزار معرفی می شود، اما بعد از پرداخت باج فایل‌های شما رمزگشایی نمی‌شود، و به آن بدافزار پاک کننده (Wiper Malware) گفته می‌شود. به همین دلایل، بسیار حیاتی است که همیشه آخرین نسخه پشتیبان فایل‌ها و داده‌های مهم خود را به صورت غیره برخط (Offline) نگهداری کنید.

آیا باید باج را پرداخت کنید؟

مجریان قانون، به هیچ عنوان به پرداخت باج تشویق و یا توصیه نمی‌کنند، اما همچنین آن را محکوم نیز نخواهند کرد. اگر باج را پرداخت کردید:

• هیچ تضمینی وجود نخواهد داشت که به کامپیوتر و یا داده‌های خود دسترسی پیدا کنید
• کامپیوتر شما همچنان آلوده خواهد ماند
• شما در حال پرداخت هزینه به گروه‌های مجرم هستید
• احتمال آنکه دوباره در آینده مورد هدف قرار بگیرید بسیار بیشتر خواهد بود

استفاده از استراتژی دفاع در عمق

از آنجایی که هیچ راهی وجود ندارد تا سازمان خود را به صورت کامل در مقابل باج‌افزارها محافظت کنید، همانطور که قبلا هم بارها گفته شده است، باید یک رویکرد دفاع در عمق (Defence-in-Depth) را پیش بگیرید. بدین معنا که از چندین لایه دفاعی با روش‌های مختلف مقابله در هر لایه استفاده کنید. به این صورت موقعیت‌های بیشتری برای شناسایی باج‌افزار و سپس متوقف کردن آن قبل از آسیب جدی به سازمان خواهید داشت.

باید همیشه این تفکر را داشته باشید که بدافزار زمانی به سازمان شما نفوذ خواهد کرد، پس شما باید قدم‌هایی بردارید که شدت تاثیر آن را محدود کرده، و سرعت پاسخ دهی خود را افزایش دهید.

اقداماتی که باید انجام شود

اقداماتی وجود دارد که می توانید انجام دهید تا به آمادگی بیشتر، سازمان خود را در مقابل حملات باج‌افزاری تقویت کنید.

اقدام اول: به صورت مداوم نسخه پشتیبان تهیه کنید

نسخه های پشتیبان به روز، موثرترین راه برای بازگشت از یک حمله باج‌افزاری است، برای این منظور باید طبق مراحل زیر پیش بروید:

• به صورت مداوم از فایل‌های مهم خود نسخه پشتیبان تهیه کنید – این موضوع برای هر سازمانی متفاوت خواهد بود، اطمینان حاصل کنید که می‌دانید چگونه فایل‌ها را از یک نسخه پشتیبان بازیابی کرده، و مرتبا نسخه‌های پشتیبان را آزمایش کنید، تا همانطور که انتظار می رود عمل می‌کنند.
• اطمینان داشته باشید که نسخه‌های پشتیبان غیره برخط (Offline) ساخته و آنها را به صورت جداگانه در محل دیگری (به صورت ایده‌آل خارج از سایت اصلی) از شبکه و سیستم های خود نگهداری می‌کنید. یا می‌توانید از یکی از خدمات ابری که برای این منظور طراحی شده اند بهره ببرید، زیرا باج‌افزارها به طور فعال نسخه‌های پشتیبان را برای بالا بردن احتمال پرداخت باج هدف قرار می‌دهند.
• چندین نسخه از فایل‌های خود را با استفاده از راهکارهای مختلف پشتیبانی و محل‌های متفاوت ذخیره سازی، تهیه کنید. نباید به هیچ عنوان به دو نسخه از فایل بر روی یک درایو قابل حمل و همچنین چندین نسخه بر روی یک سرویس ابری تکیه کنید.

سخن آخر:

در بخش دوم، ادامه عملیات‌های مورد نیاز اقدام اول تهیه نسخه پشتیبان (مهمترین و مفصل ترین اقدام) را بررسی و سه اقدام لازم دیگر مانند استفاده از یک آنتی ویروس و ضد بدافزار هوشمند که قابلیت شناسایی باج‌افزارهای گریزنده را داشته باشند، برای مثال راهکار قدرتمندTrellix endpoint security  که توسط شرکت شبکه گستر در ایران ارائه می‌شود، را معرفی خواهیم کرد.

منبع: NCSC