مقدمه
تیم تحلیل بدافزار و فارنزیک پادویش با بررسی روزانه شبکههای مختلف در سراسر کشور، و مبتنی بر تجربیات کسب شده از مخاطرات واقعی که سازمانها و شبکهها را تهدید میکنند، توصیههای امنیتی عملی جهت مقابله با تهدیدات سایبری به خصوص باجافزارها را منتشر کرده است.
هدف از این سند، نه ارائه یک راهکار جامع ولی به شدت کلی مانند ISMS است که در تطبیق با هر شبکه نیازمند ساعتها تطبیق و تدوین اسناد مختلف باشد (که این کار در استانداردهای مربوطه به خوبی انجام شده و در جای خود لازم است) و نه ارائه یک لیست بسیار جزئی که برای هر نوع فناوری و زیرساخت ریز چکلیستهای مرتبط را بیان کند که به علت حجم آن قابل استفاده نباشد.
بلکه در این سند تمرکز بر ارائه راهکارهای عملی و قابل اجرا برای مدیران شبکه در امنسازی بزرگترین نقاط ضعف معمول بوده و تلاش شده در یک سطح بینابینی و قابل فهم به موضوعات پرداخته شود.
خلاصه توصیههای امنیتی حیاتی
مهمترین اقدامات عملی امنیتی که باید در هر شبکهای انجام بگیرند تا در برابر شایعترین تهدیدات سایبری بخصوص باجافزارها امن گردند شامل موارد زیر است:
- اطمینان از وجود بکاپهای سالم و بهروز آفلاین به نحوی که به سیستم متصل نباشد.
- نصب ضدویروس، بهروزرسانی و فعال کردن همه مکانیزمهای امنیتی آن در کل سیستمهای شبکه و مرور منظم هشدارها و اتفاقات – (در خصوص نحوه نظارت بر هشدارها بخش بعدی را مطالعه نمایید)
- تعیین اعضا، روال ها، اقدامات و سیاستهای مربوط به فرآیند رسیدگی به رخدادهای سایبری، DRP و BCP
- بهروز کردن سیستم عامل و نرمافزارها در کل سیستمهای شبکه
- به روز کردن میانافزار و سختافزار کلیه تجهیزات و سامانههای زیرساختی (مجازیسازی، سوییچ و …)
- رعایت اصل حداقل دسترسی، به نحوی که هر کاربر کمترین سطح دسترسی مورد نیاز را داشته و هر آدرس و هر سرویس کمترین تعداد پورت ضروری را از کمترین تعداد آیپی ضروری باز داشته باشد.
- بستن پورت ریموت و فولدر اشتراکی از اینترنت و استفاده از VPN مبتنی بر توکن در صورت لزوم
- و سایر مواردی که به تشریح بیشتر در ادامه بحث شدهاند
نظارت بر شبکه از طریق پادویش
موارد زیر مهمترین نکاتی هستند که باید در تنظیمات ضدویروس به آنها دقت نمود و همچنین مهمترین گزارشهایی که حداقل به صورت هفتگی باید بررسی شوند:
- نصب و بروزرسانی به آخرین نسخه آنتیویروس پادویش نسخه امنیت کامل در کل شبکه
- تغییر رمز عبور پیشفرض کنسول مدیریتی پادویش (User Manager > Change Password)
- تعیین رمز عبور برای تنظیمات پادویش (Change Client Settings > Padvish AV > Password) جهت جلوگیری از حذف و یا تغییر تنظیمات ناخواسته
- اطمینان از نصب بودن پادویش بر روی تمامی سیستمها و شناسایی سیستمهای بدون پادویش با استفاده از مکانیزم دیسکاوری کنسول مدیریتی پادویش (Discovered Computers)
- اقدام به اسکن کامل پس از نصب پادویش
- ایجاد تسک دورهای جهت انجام اسکن سریع یا کامل کلاینتها در کنسول مدیریتی پادویش (Perform Task > Virus Scan)
- اطمینان از عملکرد صحیح دادهبان پادویش با بررسی به روز بودن بکاپها در ستون Last Backup در Managed Computers کنسول مدیریتی پادویش
- توجه به وضعیت کلاینتها (رنگ زرد و قرمز) در Managed Computers، بررسی ستون Computer Status Reason جهت کشف علت موضوع و اقدام جهت رفع هشدارهای ثبت شده (تماس با پشتیبانی پادویش در صورت نیاز به راهنمایی)
- اطمینان از فعال بودن مکانیزمهای محافظتی و عدم وجود استثناهای گستردهتر از حد ضرورت در آنتیویروس (محافظت مستمر، محافظت از خود، UMP، فایروال، IPS، ضدباجگیر)
- بررسی روزانه گزارشات مربوط به بدافزارهای شناسایی شده و ضد باجگیر کلاینتها در کنسول مدیریتی پادویش (Client Logs > Threats و Client Logs > AntiCrypto)
- تماس با تیم پشتیبانی پادویش در صورت مشاهده لاگ مبنی بر تشخیص Hacktool یا Ransomware در مرحله قبل (این نوع تشخیص معمولا نشانه ورود نفوذگر در شبکه و علامت یک خطر قریبالوقوع میباشد)
- شناسایی سیستمهای مهاجم در سطح شبکه با استفاده از لاگ Custom Reports > Intrusion Detection: Top Sources Of Network Attacks و نصب پادویش بر روی آنها
اقدامات تکمیلی
اقدامات زیر که به سیاستهای کلی شبکه مربوط میشود به ترتیب اولویت و اهمیت لیست شدهاند و باید در کنار یک ضدویروس خوب و نظارتهای دورهای اعمال شوند تا ریسک حملات به حداقل برسد:
- اطمینان از بسته بودن پورت مستقیم ریموت دسکتاپ (RDP) از طریق اینترنت (در صورت لزوم از VPN مبتنی بر توکن جهت برقراری ارتباطات از راه دور استفاده شود)
- اطمینان از بسته بودن (نصب نبودن) ابزارهای ریموتی مانند AnyDesk و TeamViewer روی سرورها و سیستمها (این نرمافزارها در صورت نیاز به صورت موقت و در حالت interactive استفاده شوند و ترجیحا به صورت password-base دائمی تنظیم نشوند)
- اطمینان از بسته بودن پورتهای حساس ۱۴۳۳ (SQL Server)، ۴۴۵ (Shared Folder) و … از اینترنت
- تعیین اعضا، روال ها، اقدامات و سیاستهای مربوط به فرآیند رسیدگی به رخدادهای سایبری، DRP و BCP
- محدود کردن دسترسی به پورتهای مدیریتی و زیرساختی (سوییچها، تجهیزات شبکه، ILO سرورها، ESX، vCenter و …)
- بررسی مستمر ارتباطات ادمین و VPN به خصوص در خارج ساعات اداری
- تهیه پشتیبان (Backup) از اطلاعات به صورت غیر برخط و تست پشتیبانهای تهیه شده جهت اطمینان از امکان بازیابی و قابل استفاده بودن هر یک از آنها
- بهروزرسانی سیستم عاملها و نرمافزارها (به خصوص سرویسدهندههای ایمیل، وب، دیتابیس و …) به صورت منظم
- بهروزرسانی زیرساخت مجازی (ESX, vCenter) و میانافزار سرورها و تجهیزات شبکه
- اعمال محدودیت جهت دسترسی به پوشههای اشتراکی
- محدود نمودن دسترسی کلاینتها به پورتهای دیتابیس SQL Server و مانند آن
- عدم ذخیرهسازی پسوردهای ادمین در سیستمها
- پیاده سازی راهکار های HA جهت افزایش تحمل پذیری و تاب آوری شبکه در مقابل رخدادهای سهوی و عمدی
- نصب و بهروزرسانی برنامهها تنها از طریق سایتهای رسمی
- فعالسازی نرمافزارها با استفاده از لایسنس قانونی و عدم استفاده از نرمافزارهای قفل شکن ارائه شده توسط سایتهای متفرقه
- رعایت اصل حداقل دسترسی در همه موارد (کمترین دسترسی ضروری در اختیار کاربر قرار بگیرد)
- جداسازی بخشهای مختلف (VLAN) و غیر مربوط شبکه از یکدیگر و جلوگیری از برقراری هرگونه ارتباط غیر ضروری بین این بخشها
- بستن پورتهای غیرضروری (به خصوص پورتهای ۴۴۵ و ۳۳۸۹ برای آدرسهای غیرضروری بسته شوند)
- قطع کردن ارتباط اینترنت سرورهایی که نیاز به اینترنت ندارند یا محدودسازی دسترسی آنها به سایتهای ضروری
- آموزش و هشدار به کاربران در عدم دانلود و اجرای فایلهای مشکوک، و گزارش هشدارهای ضدویروس به محض رویت، به مدیر شبکه
- تغییر کلیه پسوردهای ادمین و بررسی اکانتهای دارای این دسترسی و تغییر نام کاربر Administrator در تمام شبکه و سرورها به نامی که قابل حدس زدن نباشد و همینطور اعمال پسورد های دارای پیچیدگی لازم در تمام اکانتهای ادمین دامین و لوکال سرورها و سایر سیستمها
- عدم استفاده از تنظیمات امنیتی و پسوردهای پیشفرض برای برنامههای نرمافزاری و تجهیزات سخت افزاری
- فعالسازی سیاست قفل کردن حسابکاربری: اگر برای ورود به یک حساب کاربری چندین تلاش ناموفق انجام شود، حسابکاربری موردنظر قفل گردد.
- تعیین سیاستهای لازم جهت استفاده از رمزعبورهای دارای پیچیدگی، غیر قابل حدس و غیر تکراری و تعویض آن در بازههای زمانی کمتر از ۳ ماه
- غیرفعال سازی حساب کاربری ادمین محلی و اعطای حداقل دسترسیهای ممکن به کاربران عادی
- جداسازی شبکه (Air Gap Network) جهت ایمنسازی بخشهای حیاتی شبکه
- انجام تست نفوذ شبکه توسط متخصصان این امر جهت شناخت نقاط ضعف
- استفاده از سرور مجزا جهت ذخیره سازی لاگها و رخدادهای ثبت شده به صورت بر خط
- آموزش به کاربران جهت آشنایی با روشهای نفوذ و حملات مهندسی اجتماعی
- رمزنگاری اطلاعات ارسالی در بستر شبکه
- استفاده از مکانیزم احراز هویت چند مرحلهای (Multi-Step Verification)
- تعیین سیاستهای لازم جهت مشخص نمودن ساعتهای خاموشی
- حفاظت فیزیکی از سرورهای دارای اهمیت در مقابل عوامل انسانی و طبیعی
در صورت وقوع حادثه چه کنیم؟
- حفظ خونسردی و اطلاع فوری به تیم پشتیبانی آنتیویروس پادویش در سریعترین زمان ممکن
- ایزوله نمودن سیستمهایی که تحت تاثیر قرار گرفتهاند (قطع شبکه)
- متوقف کردن (Suspend) در صورت استفاده از ماشین مجازی یا خاموش نمودن سیستمهای آلوده به باجافزار به صورت سختافزاری
- خاموش کردن سیستم نباید با استفاده از روشها نرمافزاری و با استفاده از منوی مربوط به این کار صورت پذیرد زیراکه این کار میتواند باعث اجرای مجدد باجافزار و تخریب بیشتر اطلاعات گردد. توصیه میشود به صورت فیزیکی و با قطع منبع تغذیه اقدام به خاموش کردن سرورها بنمایید.
- دقت نمائید که در حملات باج افزار زمان یک عامل مهم بوده و باید سریعا اقدام کنید، تا علاوه بر جلوگیری از شیوع حمله و کم کردن خسارت، امکان بازگردانی بکاپها نیز وجود داشته باشد.
- تماس با تیمهای فارنزیک یا پشتیبانی آنتیویروس جهت بررسی موضوع