توصیه‌نامه امنیتی پادویش در مقابله با باج‌افزارها و سایر تهدیدات سایبری

مقدمه

تیم تحلیل بدافزار و فارنزیک پادویش با بررسی روزانه شبکه‌های مختلف در سراسر کشور، و مبتنی بر تجربیات کسب شده از مخاطرات واقعی که سازمان‌ها و شبکه‌ها را تهدید می‌کنند، توصیه‌های امنیتی عملی جهت مقابله با تهدیدات سایبری به خصوص باج‌افزارها را منتشر کرده است.
هدف از این سند، نه ارائه یک راهکار جامع ولی به شدت کلی مانند ISMS است که در تطبیق با هر شبکه نیازمند ساعت‌ها تطبیق و تدوین اسناد مختلف باشد (که این کار در استانداردهای مربوطه به خوبی انجام شده و در جای خود لازم است) و نه ارائه یک لیست بسیار جزئی که برای هر نوع فناوری و زیرساخت ریز چک‌لیست‌های مرتبط را بیان کند که به علت حجم آن قابل استفاده نباشد.
بلکه در این سند تمرکز بر ارائه راهکارهای عملی و قابل اجرا برای مدیران شبکه در امن‌سازی بزرگترین نقاط ضعف معمول بوده و تلاش شده در یک سطح بینابینی و قابل فهم به موضوعات پرداخته شود.

خلاصه توصیه‌های امنیتی حیاتی

مهمترین اقدامات عملی امنیتی که باید در هر شبکه‌ای انجام بگیرند تا در برابر شایعترین تهدیدات سایبری بخصوص باج‌افزارها امن گردند شامل موارد زیر است:

  1. اطمینان از وجود بکاپ‌های سالم و به‌روز آف‌لاین به نحوی که به سیستم متصل نباشد.
  2. نصب ضدویروس، به‌روزرسانی و فعال کردن همه مکانیزم‌های امنیتی آن در کل سیستم‌های شبکه و مرور منظم هشدارها و اتفاقات – (در خصوص نحوه نظارت بر هشدارها بخش بعدی را مطالعه نمایید)
  3. تعیین اعضا، روال ها، اقدامات و  سیاست‌های مربوط به فرآیند رسیدگی به رخدادهای سایبری، DRP و BCP
  4. به‌روز کردن سیستم عامل و نرم‌افزارها در کل سیستم‌های شبکه
  5. به روز کردن میان‌افزار و سخت‌افزار کلیه تجهیزات و سامانه‌های زیرساختی (مجازی‌سازی، سوییچ و …)
  6. رعایت اصل حداقل دسترسی، به نحوی که هر کاربر کمترین سطح دسترسی مورد نیاز را داشته و هر آدرس و هر سرویس کمترین تعداد پورت ضروری را از کمترین تعداد آی‌پی ضروری باز داشته باشد.
  7. بستن پورت ریموت و فولدر اشتراکی از اینترنت و استفاده از VPN مبتنی بر توکن در صورت لزوم
  8. و سایر مواردی که به تشریح بیشتر در ادامه بحث شده‌اند

نظارت بر شبکه از طریق پادویش

موارد زیر مهمترین نکاتی هستند که باید در تنظیمات ضدویروس به آنها دقت نمود و همچنین مهم‌ترین گزارش‌هایی که حداقل به صورت هفتگی باید بررسی شوند:

  1. نصب و بروزرسانی به آخرین نسخه آنتی‌ویروس پادویش نسخه امنیت کامل در کل شبکه
  2. تغییر رمز عبور پیشفرض کنسول مدیریتی پادویش (User Manager > Change Password)
  3. تعیین رمز عبور برای تنظیمات پادویش (Change Client Settings > Padvish AV > Password) جهت جلوگیری از حذف و یا تغییر تنظیمات ناخواسته
  4. اطمینان از نصب بودن پادویش بر روی تمامی سیستم‌ها و شناسایی سیستم‌های بدون پادویش با استفاده از مکانیزم دیسکاوری کنسول مدیریتی پادویش (Discovered Computers)
  5. اقدام به اسکن کامل پس از نصب پادویش
  6. ایجاد تسک دوره‌ای جهت انجام اسکن سریع یا کامل کلاینت‌ها در کنسول مدیریتی پادویش (Perform Task > Virus Scan)
  7. اطمینان از عملکرد صحیح داده‌بان پادویش با بررسی به روز بودن بکاپ‌ها در ستون Last Backup در Managed Computers کنسول مدیریتی پادویش
  8. توجه به وضعیت کلاینت‌ها (رنگ زرد و قرمز) در Managed Computers، بررسی ستون Computer Status Reason جهت کشف علت موضوع و اقدام جهت رفع هشدارهای ثبت شده (تماس با پشتیبانی پادویش در صورت نیاز به راهنمایی)
  9. اطمینان از فعال بودن مکانیزم‌های محافظتی و عدم وجود استثناهای گسترده‌تر از حد ضرورت در آنتی‌ویروس (محافظت مستمر، محافظت از خود، UMP، فایروال، IPS، ضدباج‌گیر)
  10. بررسی روزانه گزارشات مربوط به بدافزارهای شناسایی شده و ضد باجگیر کلاینت‌ها در کنسول مدیریتی پادویش (Client Logs > Threats و Client Logs > AntiCrypto)
  11. تماس با تیم پشتیبانی پادویش در صورت مشاهده لاگ مبنی بر تشخیص Hacktool یا Ransomware در مرحله قبل (این نوع تشخیص معمولا نشانه ورود نفوذگر در شبکه و علامت یک خطر قریب‌الوقوع می‌باشد)
  12. شناسایی سیستم‌های مهاجم در سطح شبکه با استفاده از لاگ Custom Reports > Intrusion Detection: Top Sources Of Network Attacks  و نصب پادویش بر روی آنها

اقدامات تکمیلی

اقدامات زیر که به سیاست‌های کلی شبکه مربوط می‌شود به ترتیب اولویت و اهمیت لیست شده‌اند و باید در کنار یک ضدویروس خوب و نظارت‌های دوره‌ای اعمال شوند تا ریسک حملات به حداقل برسد:

  1. اطمینان از بسته بودن پورت مستقیم ریموت دسکتاپ (RDP) از طریق اینترنت (در صورت لزوم از VPN مبتنی بر توکن جهت برقراری ارتباطات از راه دور استفاده شود)
  2. اطمینان از بسته بودن (نصب نبودن) ابزارهای ریموتی مانند AnyDesk و TeamViewer روی سرورها و سیستم‌ها (این نرم‌افزارها در صورت نیاز به صورت موقت و در حالت interactive استفاده شوند و ترجیحا به صورت password-base دائمی تنظیم نشوند)
  3. اطمینان از بسته بودن پورت‌های حساس ۱۴۳۳ (SQL Server)، ۴۴۵ (Shared Folder) و … از اینترنت
  4. تعیین اعضا، روال ها، اقدامات و  سیاست‌های مربوط به فرآیند رسیدگی به رخدادهای سایبری، DRP و BCP
  5. محدود کردن دسترسی به پورت‌های مدیریتی و زیرساختی (سوییچ‌ها، تجهیزات شبکه، ILO سرورها، ESX، vCenter و …)
  6. بررسی مستمر ارتباطات ادمین و VPN به خصوص در خارج ساعات اداری
  7. تهیه پشتیبان (Backup) از اطلاعات به صورت غیر برخط و تست پشتیبان‌های تهیه شده جهت اطمینان از امکان بازیابی و قابل استفاده بودن هر یک از آن‌ها
  8. به‌روزرسانی سیستم عامل‌ها و نرم‌افزارها (به خصوص سرویس‌دهنده‌های ایمیل، وب، دیتابیس و …) به صورت منظم
  9. به‌روزرسانی زیرساخت مجازی (ESX, vCenter) و میان‌افزار سرورها و تجهیزات شبکه
  10. اعمال محدودیت جهت دسترسی به پوشه‌های اشتراکی
  11. محدود نمودن دسترسی کلاینت‌ها به پورت‌های دیتابیس SQL Server و مانند آن
  12. عدم ذخیره‌سازی پسوردهای ادمین در سیستم‌ها
  13. پیاده سازی راهکار های HA جهت افزایش تحمل پذیری و تاب آوری شبکه در مقابل رخدادهای سهوی و عمدی
  14. نصب و به‌روزرسانی برنامه‌ها تنها از طریق سایت‌های رسمی
  15. فعال‌سازی نرم‌افزارها با استفاده از لایسنس قانونی و عدم استفاده از نرم‌افزارهای قفل شکن ارائه شده توسط سایت‌های متفرقه
  16. رعایت اصل حداقل دسترسی در همه موارد (کمترین دسترسی ضروری در اختیار کاربر قرار بگیرد)
  17. جداسازی بخش‌های مختلف (VLAN) و غیر مربوط شبکه از یکدیگر و جلوگیری از برقراری هرگونه ارتباط غیر ضروری بین این بخش‌ها
  18. بستن پورت‌های غیرضروری (به خصوص پورت‌های ۴۴۵ و ۳۳۸۹ برای آدرس‌های غیرضروری بسته شوند)
  19. قطع کردن ارتباط اینترنت سرورهایی که نیاز به اینترنت ندارند یا محدودسازی دسترسی آنها به سایت‌های ضروری
  20. آموزش و هشدار به کاربران در عدم دانلود و اجرای فایل‌های مشکوک، و گزارش هشدارهای ضدویروس به محض رویت، به مدیر شبکه
  21. تغییر کلیه پسوردهای ادمین و بررسی اکانت‌های دارای این دسترسی و تغییر نام کاربر Administrator در تمام شبکه و سرورها به نامی که قابل حدس زدن نباشد و همینطور اعمال پسورد های دارای پیچیدگی لازم در تمام اکانتهای ادمین دامین و لوکال سرورها و سایر سیستم‌ها
  22. عدم استفاده از تنظیمات امنیتی و پسوردهای پیشفرض برای برنامه‌های نرم‌افزاری و تجهیزات سخت افزاری
  23. فعالسازی سیاست قفل کردن حساب‌کاربری: اگر برای ورود به یک حساب کاربری چندین تلاش ناموفق انجام شود، حساب‌کاربری موردنظر قفل گردد.
  24. تعیین سیاست‌های لازم جهت استفاده از رمزعبورهای دارای پیچیدگی، غیر قابل حدس و غیر تکراری و تعویض آن در بازه‌های زمانی کمتر از ۳ ماه
  25. غیرفعال سازی حساب کاربری ادمین محلی و اعطای حداقل دسترسی‌های ممکن به کاربران عادی
  26. جداسازی شبکه (Air Gap Network) جهت ایمن‌سازی بخش‌های حیاتی شبکه
  27. انجام تست نفوذ شبکه توسط متخصصان این امر جهت شناخت نقاط ضعف
  28. استفاده از سرور مجزا جهت ذخیره سازی لاگ‌ها و رخدادهای ثبت شده به صورت بر خط
  29. آموزش به کاربران جهت آشنایی با روش‌های نفوذ و حملات مهندسی اجتماعی
  30. رمزنگاری اطلاعات ارسالی در بستر شبکه
  31. استفاده از مکانیزم احراز هویت چند مرحله‌ای (Multi-Step Verification)
  32. تعیین سیاست‌های لازم جهت مشخص نمودن ساعت‌های خاموشی
  33. حفاظت فیزیکی از سرورهای دارای اهمیت در مقابل عوامل انسانی و طبیعی

در صورت وقوع حادثه چه کنیم؟

  1. حفظ خونسردی و اطلاع فوری به تیم پشتیبانی آنتی‌ویروس پادویش در سریع‌ترین زمان ممکن
  2. ایزوله نمودن سیستم‌هایی که تحت تاثیر قرار گرفته‌اند (قطع شبکه)
  3. متوقف کردن (Suspend) در صورت استفاده از ماشین مجازی یا خاموش نمودن سیستم‌های آلوده به باج‌افزار به صورت سخت‌افزاری
  4. خاموش کردن سیستم نباید با استفاده از روش‌ها نرم‌افزاری و با استفاده از منوی مربوط به این کار صورت پذیرد زیراکه این کار می‌تواند باعث اجرای مجدد باج‌افزار و تخریب بیشتر اطلاعات گردد. توصیه می‌شود به صورت فیزیکی و با قطع منبع تغذیه اقدام به خاموش کردن سرورها بنمایید.
  5. دقت نمائید که در حملات باج افزار زمان یک عامل مهم بوده و باید سریعا اقدام کنید، تا علاوه بر جلوگیری از شیوع حمله و کم کردن خسارت، امکان بازگردانی بکاپ‌ها نیز وجود داشته باشد.
  6. تماس با تیم‌های فارنزیک یا پشتیبانی آنتی‌ویروس جهت بررسی موضوع