بهترین روش‌ها برای بهبود امنیت فناوری اطلاعات

بهترین روش‌ها برای بهبود امنیت فناوری اطلاعات
تاریخ انتشار : ۲۹ آذر ۱۴۰۱

شرکت بیمه سایبری آلیانز در گزارشی به بررسی تحولات حوزه باج‌افزار می‌پردازد.

"پایگاه رسانه ای گرداب جهت اطلاع و افزایش دانش و سواد فضای مجازی مخاطبان خود و به ویژه دانشجویان، پژوهشگران و تصمیم گیران، ترجمه هایی در این زمنیه منتشر می‌کند. بدیهی است انتشار این مطالب، لزوما به معنای تایید محتوای آن نیست."

به گزارش گرداب، شرکت بیمه سایبری Allianz Global Corporate & Specialty به بررسی تحولات حوزه باج‌افزار می‌پردازد که شرکت‌ها چگونه می‌توانند امنیت سایبری و شیوه‌های فناوری اطلاعاتی خود را با بهداشت سایبری (مجموعه کار‌هایی که سازمان‌ها و افراد به طور منظم برای حفظ سلامت و امنیت کاربران، دستگاه‌ها، شبکه‌ها و داده‌ها انجام می‌دهند) تقویت کنند.

در مدت زمان بحران کووید-۱۹ حادثه دیگری نیز در فضای سایبر رخ داده است. یک ویروس مسری دیجیتال که توسط باج‌افزار هدایت می‌شود، به داده‌ها و سیستم‌های شرکت‌های مختلف حمله می‌کند و از آن‌ها درخواست باج می‌کند. این نوع حملات در سطح جهانی بسیار افزایش یافته‌اند که البته افزایش فراوانی و شدت حوادث باج‌افزار تحت تاثیر عوامل متعددی است، یکی از این عوامل تعداد زیاد الگو‌های حمله مانند کمپین‌های اخاذی «دوگانه» و «سه‌گانه» است.

در این گزارش، این شرکت بیمه سایبری پنج روند را در فضای باج‌افزار شناسایی می‌کند، اگرچه این روند‌ها دائما در حال تغییر هستند و می‌توانند به سرعت بین مجرمان سایبری و شرکت‌ها تغییر کنند:

۱. توسعه باج‌افزار به عنوان یک سرویس، انجام حملات را برای مجرمان آسان‌تر کرده است. گروه‌های هکری مانند REvil و Darkside ابزار‌های هک خود را به دیگران می‌فروشند، اجاره می‌دهند یا طیف وسیعی از خدمات پشتیبانی را ارائه می‌دهند. در این صورت، عوامل تهدید مخرب بیش‌تری فعالیت خواهند کرد.

۲. از اخاذی یک نفره تا مضاعف تا سه گانه، تاکتیک‌های «اخاذی مضاعف» رو به افزایش است. مجرمان، رمزگذاری اولیه داده‌ها و سیستم‌ها یا پشتیبان‌گیری از آن‌ها را با شکل ثانویه اخاذی مانند تهدید به انتشار داده‌های حساس یا شخصی ترکیب می‌کنند. در چنین سناریویی، شرکت‌های آسیب‌دیده باید احتمال یک وقفه بزرگ تجاری و رخداد نقض داده را مدیریت کنند، که این موضوع می‌تواند باعث افزایش هزینه نهایی حادثه شود. حوادث «اخاذی سه‌گانه» می‌توانند حملات دیداس (DDoS)، رمزگذاری فایل و سرقت داده‌ها را ترکیب کنند و فقط یک شرکت را هدف قرار نمی‌دهند، بلکه به طور بالقوه مشتریان و شرکای تجاری آن را نیز هدف قرار می‌دهند. به عنوان مثال، از یک کلینیک روان درمانی در فنلاند درخواست باج شد. در عین حال، مبالغ اندکی نیز از بیماران در ازای عدم افشای اطلاعات شخصی آن‌ها گرفته شد.

۳. حمله‌های زنجیره تامین مهم‌ترین روند بعدی است و دو نوع اصلی دارد؛ آن‌هایی که ارائه‌دهندگان نرم‌افزار/خدمات فناوری اطلاعات را هدف قرار می‌دهند و از آن‌ها برای انتشار بدافزار استفاده می‌کنند (به عنوان مثال، حملات Kaseya یا Solarwinds). یا آن‌هایی که زنجیره‌های تامین فیزیکی یا زیرساخت‌های حیاتی را هدف قرار می‌دهند، مانند حمله سایبری به خط لوله کولونیال. ارائه‌دهندگان خدمات احتمالا اهداف اصلی هستند، چون آن‌ها اغلب راه‌حل‌های نرم‌افزاری را به صد‌ها یا هزاران کسب‌وکار عرضه می‌کنند و بنابراین به مجرمان شانس پرداخت بالاتری را می‌دهند.

۴. روند صعودی باج: در ۱۸ ماه گذشته تقاضای باج افزایش یافته است. به گفته شبکه پالو آلتو، متوسط تقاضای اخاذی در ایالات متحده در نیمه اول سال ۲۰۲۱، ۵.۳ میلیون دلار بود که ۵۱۸ درصد نسبت به میانگین سال ۲۰۲۰ افزایش داشت. بالاترین تقاضا ۵۰ میلیون دلار بود که نسبت به سال قبل افزایش چشم‌گیری داشت. میانگین مبلغ پرداختی به هکر‌ها حدود ۱۰ برابر کم‌تر از میانگین تقاضا است، اما این روند صعودی عمومی نگران کننده است.

۵. پرداخت یا عدم پرداخت: پرداخت باج موضوعی بحث برانگیز است. سازمان‌های اجرای قانون معمولا توصیه به پرداخت مطالبات اخاذی می‌کنند تا انگیزه بیشتری برای حملات ایجاد نشود. البته حتی زمانی که یک شرکت تصمیم به پرداخت باج می‌گیرد، ممکن است خسارت قبلا وارد شده باشد. بازیابی سیستم‌ها و فعال کردن بازیابی کسب‌وکار، حتی زمانی که یک شرکت کلید رمزگشایی را در اختیار دارد، کار بزرگی است.

محرک‌های اصلی ضرر و زیان:

بر اساس تجزیه و تحلیل ادعا‌های این شرکت بیمه سایبری، وقفه در کسب و کار و هزینه‌های بازیابی، بزرگ‌ترین محرک‌های خسارات سایبری هستند. میانگین کل هزینه بازیابی و از کارافتادگی از یک حمله باج‌افزار بیش از دو برابر نسبت به سال گذشته افزایش یافته و از حدود ۷۰۰ هزار دلار به ۱.۸۵ میلیون دلار رسیده است.
افزایش حملات باج‌افزاری در سال‌های اخیر باعث تغییر عمده در بازار بیمه سایبری شده است. به گفته کارگزار مارش، نرخ بیمه سایبری در حال افزایش است، در حالی که ظرفیت نیز افزایش یافته است.

بهترین شیوه‌ها:

۱. شناسایی باج‌افزار:

آیا مجموعه ابزار‌های ضد باج‌افزار در سراسر سازمان مستقر هستند؟
چه اقدامات پیشگیرانه‌ای برای شناسایی تهدیدات باج‌افزار وجود دارد؟
آیا بیمه نامه‌ها، رویه‌ها، روش‌های کنترل دسترسی و کانال‌های ارتباطی به طور مکرر برای مقابله با تهدیدات باج‌افزار به‌روزرسانی می‌شوند؟
آیا قابلیت‌های داخلی یا ترتیبات خارجی برای شناسایی گونه‌های باج‌افزار وجود دارد؟

۲. برنامه‌ریزی تداوم کسب و کار/طرح واکنش به حوادث:

آیا فرآیند‌های واکنش به حادثه باج‌افزار وجود دارد؟
آیا حوادث قبلی باج‌افزار وجود داشته است؟ اگر چنین است، چه چیز‌هایی یاد گرفته شده است؟
آیا تمهیدات از پیش توافق شده با شرکت‌های ارائه دهنده خدمات ضد باج‌افزار وجود دارد؟
آیا آموزش منظم و فرآیند آگاهی‌بخشی به کاربران در مورد امنیت اطلاعات، فیشینگ (روش تقلبی ارسال ایمیل یا پیام)، کلاهبرداری‌های تلفنی و تماس‌های جعلی و حملات مهندسی اجتماعی انجام می‌شود؟
آیا تمرینات مهندسی اجتماعی یا شبیه سازی فیشینگ به صورت مداوم انجام می‌شود؟

۳. پشتیبان‌گیری:

آیا پشتیبان‌گیری منظم انجام می‌شود؟ از جمله پشتیبان‌گیری مکرر برای سیستم‌های حیاتی برای به حداقل رساندن تاثیر اختلال.
آیا پشتیبان‌گیری آفلاین نیز انجام می‌شود؟
آیا پشتیبان‌گیری‌ها رمزگذاری شده‌اند؟ آیا نسخه‌های پشتیبان در چندین مکان خارج از سایت تکثیر و ذخیره می‌شوند؟
آیا فرآیند‌هایی برای بازیابی موفقیت‌آمیز دارایی‌های کلیدی در چارچوب Recovery Time Objective وجود دارد؟
آیا پشتیبان‌گیری‌ها به طور دوره‌ای در مقایسه با داده‌های اصلی، برای اطمینان از یکپارچگی بازیابی می‌شوند؟

۴. نقاط پایانی:

آیا محصولات محافظت از نقطه پایانی (EPP)، راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR) در سراسر سازمان در دستگاه‌های تلفن همراه، تبلت‌ها، لپ‌تاپ‌ها، رایانه‌های رومیزی و ... استفاده می‌شوند؟
آیا راه‌حل‌های رمز عبور مدیریت مکانی (LAPS) در نقاط پایانی اجرا شده است؟

۵. امنیت ایمیل، وب و اسناد اداری:

آیا چارچوب بیمه نامه فرستنده با دقت اجرا می‌شود؟
آیا ایمیل‌ها برای جستجوی لینک‌ها و برنامه‌های مخرب بالقوه پیکربندی شده‌اند؟
آیا فیلتر محتوای وب مانع دسترسی به پلتفرم‌های رسانه‌های اجتماعی می‌شود؟

۶. تقسیم بندی:

آیا تفکیک‌های فیزیکی و منطقی در شبکه، از جمله محیط ابری (مجموعه‌ای از سیستم‌ها و فرآیند‌هایی که با یک‌دیگر برای ارائه خدمات به گونه‌ای عمل می‌کنند که با سخت‌افزار یا نرم‌افزار خاص زیربنایی که برای چنین هدفی استفاده می‌شود، جدا باشد) انجام می‌شود؟
آیا تقسیم‌بندی کوچک و چارچوب‌های اعتماد صفر برای کاهش سطح حمله کلی وجود دارد؟
آیا اسکن‌های خودکار برای شناسایی آسیب‌پذیری‌ها اجرا می‌شوند؟ آیا تست‌های نفوذ شخص ثالث به طور منظم انجام می‌شود؟
آیا سازمان از سیاست‌های دسترسی مناسب، اجرای احراز هویت چند عاملی برای دسترسی به داده‌های حیاتی، اتصالات شبکه از راه دور و دسترسی کاربران ممتاز، اطمینان حاصل کرده است؟
آیا نظارت مستمر برای تشخیص رفتار غیرمعمول حساب، حساب‌های دامنه جدید و هرگونه افزایش امتیاز حساب (سطح مدیر)، افزوده‌های سرویس جدید و زنجیره غیرمعمول دستورات در یک دوره زمانی کوتاه اجرا می‌شود؟

۷. ادغام و اکتساب:

قبل از M&A چه فعالیت‌هایی برای مدیریت ریسک انجام می‌شود؟
آیا رسیدگی‌های امنیتی منظم روی نهاد‌های تازه ادغام شده برای اطمینان از ارزیابی کنترل‌های امنیتی انجام می‌شود؟