مقابله با تهدیدات و حملات باج افزار با SASE یکی از مهم ترین وظایف پشتیبانی شبکه است. سلاح اصلی باج افزار حرکت جانبی و نفوذ در داخل شبکه ها برای گرفتن اطلاعات ارزشمند است. SASE می تواند به جلوگیری از این امر کمک کند. این روزها باج افزار در ذهن همه است و این جای تعجب نیست که در سال گذشته شاهد افزایش شدید موارد نفوذ بودیم که منجر به آلودگی باج افزارها شد. چیزی که ممکن است تعجب آور باشد این است که باج افزار برای مدت بسیار طولانی وجود داشته است. اولین شیوع باج افزار در سال 1989 مشاهده شد. این باج افزار Trojan AIDS یا PC Cyborg Trojan نامیده شد و از طریق فلاپی دیسک های آلوده منتشر شد.
مقابله با باج افزارها
بسیاری بر این باورند که مسئله باجافزار «اگر» نیست، بلکه یک سؤال مربوط به زمان است، و با توجه به فهرست گسترده سازمانهای قربانی تنها در سال گذشته، بحث درباره این مفهوم دشوار است. یکی از مثالهای زیادی که باید به آن اشاره کرد، عفونت باجافزاری است که Quanta Incorporation، سازنده قطعات سختافزاری رایانههای اپل را تحت تأثیر قرار داد. گروه باج افزار REvil به Quanta نفوذ کرد، فایل های آنها را رمزگذاری کرد و 50 میلیون دلار باج خواست. با این حال، شرکت از پرداخت آن خودداری کرد. بنابراین REvil با درخواست باج به اپل روی آورد که اپل نیز از پرداخت آن خودداری کرد. اعتقاد بر این است که در نتیجه دادههایی که استخراج شد، طرحوارههایی برای انتشار آینده لپتاپهای اپل در اینترنت منتشر شد، اما در نهایت این اطلاعات توسط سازمانهای مجری قانون حذف شد.
دفاع در برابر باجافزار
دفاع در برابر باجافزار بسیار دشوار است، زیرا هر گونه باجافزار روش خاص خود را برای نفوذ به شبکه، حرکت در داخل شبکه، دستیابی به منابع و استخراج دادهها دارد. اما در سطح بسیار بالا، پنج مرحله اصلی در چرخه حیات باج افزار وجود دارد. یکی مرحله نفوذ اولیه است، جایی که باج افزار سعی می کند جای پایی در جایی در شبکه یا در یک یا چند ماشین پیدا کند. پس از موفقیت، باجافزار ممکن است به مرحله بعدی رفته و سعی کند امتیازات را افزایش دهد و اعتبارنامههایی را جمعآوری کند که میتواند از آن برای حرکت جانبی در یک شبکه استفاده کند. علاوه بر این، ممکن است تلاش برای شناسایی شبکه برای یافتن داراییهایی که با ارزشترین هستند، مرحله سوم در چرخه حیات باجافزار باشد. مرحله چهارم ارتباط با یک سرور فرمان و کنترل برای دریافت دستورات بیشتر و دانلود ابزارهای بیشتر است که به مهاجمان کمک می کند تا به عمق شبکه برسند و بیشتر سوء استفاده کنند، به عنوان مثال، کنترل کننده دامنه را در اختیار بگیرند یا دسترسی درب پشتی را روی روترها نصب کنند. به نظارت بر ترافیک یا تغییر مسیر آن کمک کنید. مرحله آخری که همه ما با آن آشنا هستیم – استخراج و رمزگذاری فایل ها – که مهاجمان را قادر می سازد باج های خود را مطالبه کنند.
مراحل حمله باج افزار
توجه به این نکته ضروری است که لازم نیست یک حمله مراحل را به ترتیبی که ذکر کردم دنبال کند. به عنوان مثال، پس از مرحله اول، که به خطر افتادن اولیه یک ماشین است، بدافزار ممکن است با یک سرور فرمان و کنترل که در مرحله 4 فهرست شده است تماس بگیرد تا مرحله بعدی حمله را دانلود کند. این می تواند یک سوء استفاده برای افزایش امتیاز باشد، یا اگر افزایش امتیاز به دست آمده باشد، می تواند بارگیری مرحله بعدی بارگذاری باشد که حاوی بدافزار واقعی (باج افزار، cryptominer، روت کیت و غیره) است.
برای نشان دادن گستردگی این موضوع، آسیبپذیری اخیر Log4j در سرتاسر جهان خبرساز شد، زیرا میلیونها دستگاه تحت تأثیر این آسیبپذیری قرار گرفتند. و بهره برداری از آن بسیار پیش پا افتاده است. در واقع، یک نوع باج افزار جدید به نام Khonsari شروع به استفاده از این اکسپلویت برای نفوذ به ماشین ها و سپس استقرار باج افزار کرده است. علاوه بر این، ProxyLogon به زنجیره ای از آسیب پذیری ها در سرورهای مایکروسافت اکسچنج اشاره دارد و این سرورهای مبادله همیشه در معرض دید قرار می گیرند و ایمیل های آلوده را دریافت می کنند. باجافزار معروف DearCry از اکسپلویت ProxyLogon برای نفوذ به سازمانها با استفاده از این آسیبپذیری در سرورهای Exchange برای استقرار باجافزار استفاده کرد. راه دیگری که می تواند باج افزار پخش شود از طریق درایوهای USB آلوده است. یک مثال خوب باج افزار Try2Cry است.
دسترسی به دارایی های مهم
هنگامی که بدافزار در شبکه جای پای خود را پیدا کرد، سعی می کند دارایی های مهم را شناسایی کرده و به آنها دسترسی پیدا کند. اگر به مرحله افزایش امتیاز برود و موفقیت آمیز باشد، حداکثر امتیاز را روی همه آن ماشین ها خواهد داشت. کاری که باجافزار میتواند انجام دهد این است که از یک سری ابزارهای بهرهبرداری استفاده کند که ممکن است در باجافزار یا بدافزار تعبیه شده باشند یا ممکن است به راحتی در خود ماشینهای ویندوز در دسترس باشند. به عنوان مثال، از آنجایی که PowerShell در همه دستگاههای ویندوز 10 در دسترس است، باجافزار میتواند از آن استفاده کند و از مجموعهای از ابزارها، تکنیکها یا رویهها، که در غیر این صورت به عنوان TTP شناخته میشود، برای حرکت جانبی در سراسر شبکه و کنترل دستگاههای دیگر استفاده کند.
آلوده شدن به باج افزار
اکنون، پایان بازی باج افزار را در نظر بگیرید، که در واقع می تواند دوگانه باشد. هنگامی که یک سازمان به باج افزار آلوده می شود، بیشتر اوقات، فایل ها رمزگذاری شده و برای باج نگهداری می شوند. اما تهدید دوم از جانب باج افزار در مورد استخراج داده ها در حال ظهور است. در این مثال، قبل از اینکه باجافزار فایلهای یک سازمان را رمزگذاری کند، فایلها را از رایانههای آلوده استخراج میکند که میتواند منجر به اخاذی مضاعف شود. هنگامی که یک شبکه به باج افزار آلوده می شود، معمولاً از سازمان درخواست می شود که باج بپردازد تا فایل ها رمزگشایی شده را بازگردانند. در حالی که ممکن است یک سازمان با رمزگشایی فایلهایش موافقت کند، اما مشکل این است که فایلهای اصلی استخراج شدهاند، که ممکن است حاوی اطلاعات محرمانه، دادههای شخصی، اطلاعات کارت اعتباری یا طرحهایی برای برخی از پروژههای آینده باشد. اپراتور باجافزار میتواند دوباره از سازمان اخاذی کند تا از انتشار محتوا در دامنه عمومی جلوگیری کند.
به محض آلوده شدن، سازمان ها در اختیار سارقان سایبری قرار می گیرند. در برخی موارد، با وجود پرداخت باج، ابزار رمزگشایی ارائه نمی شود. و همانطور که دیدیم، داده های محرمانه همیشه می توانند در حوزه عمومی منتشر شوند. خوشبختانه، فناوری نوآورانه جدید در دسترس است و ثابت شده است که امنیت و دید شبکه را بهبود می بخشد و می تواند در نبرد با باج افزار کمک کند.
SASE چگونه می تواند کمک کند
یک رویکرد نوآورانه که امنیت پیشرفته و شبکه را در یک راه حل ادغام می کند لبه سرویس دسترسی امن (SASE) نامیده می شود که به تیم های فناوری اطلاعات اجازه می دهد تا زیرساخت شبکه قوی تر، قابل اعتمادتر و قابل اعتمادتری ایجاد کنند تا کارآمدتر و ایمن تر عمل کنند و بهترین خدمات را به کاربران ارائه دهند. راه حل های پیشرفته SASE از سازمان ها با یکپارچه سازی دقیق سرویس های امنیتی مانند VPN، Secure SD-WAN، حفاظت محاسبات لبه، فایروال نسل بعدی، فایروال نسل بعدی به عنوان سرویس، دروازه وب امن (SWG) و دسترسی به شبکه Zero Trust (ZTNA) محافظت می کند. ) در حالی که امنیت متنی را بر اساس کاربر، نقش، دستگاه، برنامه کاربردی، مکان، وضعیت امنیتی دستگاه و محتوا فراهم می کند.
راهحلهای پیشرفته SASE
راهحلهای پیشرفته SASE قابلیتهای امنیتی فراوانی را برای کمک به سازمانها برای مقابله با تهدید مداوم باجافزار ارائه میکنند. به عنوان مثال، تجزیه و تحلیل استاتیک و ابزارهای تجزیه و تحلیل پویا، سازمان ها را قادر می سازد تا کشف کنند که آیا چیزی مشکوک در مورد یک فایل وجود دارد یا اینکه حاوی کد مخربی است یا خیر. SASE این قابلیت ها را به عنوان بخشی از عملکرد موتور IPS یا فایروال به عنوان سرویس (FaaS) ارائه می دهد. هنگامی که یک فایل از ماشین کاربر خارج می شود و وارد دروازه SASE Edge و وارد شبکه داخلی می شود، راه حل تجزیه و تحلیل محتوای فایل آن به صورت ایستا فایل را تجزیه و تحلیل می کند تا مشخص کند که آیا حاوی چیزهای مخربی است یا خیر.
تجزیه و تحلیل ترافیک شبکه
تجزیه و تحلیل ترافیک شبکه، تجزیه و تحلیل و تشخیص ناهنجاری به سازمان ها کمک می کند تا تعیین کنند که آیا چیزی مانند حرکت جانبی در داخل شبکه اتفاق می افتد یا خیر. این راه حل های تشخیص ناهنجاری ترافیک شبکه به عنوان یک قابلیت SASE، تعیین می کند که آیا هر نوع فعالیت غیرعادی شبکه وجود دارد که می تواند به عنوان باج افزار احتمالی علامت گذاری شود.
SASE IPS و سایر نظارتهای شبکه را ارائه میکند که از امضا یا اکتشاف برای شناسایی آخرین تهدیدات و ناهنجاریهای شبکه، از جمله حرکت جانبی، که باجافزار برای انتشار در شبکه استفاده میکند، استفاده میکند. همچنین قابلیت مشاهده و تجزیه و تحلیل شبکه را ارائه می دهد تا به سازمان کمک کند تا شبکه خود و تقسیم بندی درون شبکه را به وضوح درک کند، تا سیاست های امنیتی و مجوزهای خاصی را بر اساس پویایی شبکه اعمال کند.
شبکهسازی Zero Trust
SASE همچنین شبکهسازی Zero Trust و اصل حداقل امتیاز را فعال میکند که به کاربران فقط امتیازات لازم برای انجام وظایف خود در آن دستگاه را میدهد و خطمشیهای شبکه مناسبی را برای کاربران، ایستگاههای کاری و لپتاپ تنظیم میکند تا دسترسی و حمله گسترده باجافزار را محدود کند. . سلاح اصلی باج افزار حرکت جانبی و نفوذ در داخل شبکه ها برای گرفتن اطلاعات ارزشمند است. SASE به جلوگیری از این امر کمک می کند.
نمایه اطلاعات میزبان SASE (HIP) سلامت مشتری SASE را که به دروازه SASE متصل می شود اسکن می کند. بررسی پارامترهای متعددی برای تعیین وضعیت سلامت مشتری وجود دارد، از جمله سطح وصله، نسخه سیستم عامل، وجود یک موتور AV به روز با امضا، تنظیمات رجیستری، نظارت بر فرآیندها و خدمات در حال اجرا و غیره. بر اساس نتایج اسکن، دروازه SASE می تواند سیاست هایی مانند جلوگیری از دسترسی هاست یا انتقال آن به شبکه قرنطینه را اعمال کند.
راهحلهای پیشرفته SASE
در نهایت، راهحلهای پیشرفته SASE یک ویژگی اعتبار URL را ارائه میکنند که در صورت تماس هر فرآیندی در مشتری SASE با یک دامنه مخرب، نظارت و گزارش میدهد.
وقتی صحبت از باج افزار به میان می آید، سازمان ها می توانند روی اینکه تحت حمله یا تهدید دائمی حمله قرار می گیرند حساب کنند. در حالی که نمی دانیم چه زمانی حمله باج افزار بزرگ بعدی رخ خواهد داد، اما می دانیم اقدامات پیشگیرانه ای وجود دارد که سازمان ها می توانند برای محافظت از داده های ارزشمند خود انجام دهند. علاوه بر اقدامات مهمی مانند فناوریهای فریب و تکنیکهای پشتیبان، SASE مجموعهای از قابلیتهای امنیتی را ارائه میدهد که به خوبی برای محدود کردن حمله باجافزارها مناسب است و در عین حال عملکرد و خدمات شبکه سالم را تضمین میکند.
نظر خود را به اشتراک بگذارید