مقابله با تهدیدات و حملات باج افزار با SASE

مقابله با تهدیدات و حملات باج افزار با SASE یکی از مهم ترین وظایف پشتیبانی شبکه است. سلاح اصلی باج افزار حرکت جانبی و نفوذ در داخل شبکه ها برای گرفتن اطلاعات ارزشمند است. SASE می تواند به جلوگیری از این امر کمک کند. این روزها باج افزار در ذهن همه است و این جای تعجب نیست که در سال گذشته شاهد افزایش شدید موارد نفوذ بودیم که منجر به آلودگی باج افزارها شد. چیزی که ممکن است تعجب آور باشد این است که باج افزار برای مدت بسیار طولانی وجود داشته است. اولین شیوع باج افزار در سال 1989 مشاهده شد. این باج افزار Trojan AIDS یا PC Cyborg Trojan نامیده شد و از طریق فلاپی دیسک های آلوده منتشر شد.

مقابله با باج افزارها

بسیاری بر این باورند که مسئله باج‌افزار «اگر» نیست، بلکه یک سؤال مربوط به زمان است، و با توجه به فهرست گسترده سازمان‌های قربانی تنها در سال گذشته، بحث درباره این مفهوم دشوار است. یکی از مثال‌های زیادی که باید به آن اشاره کرد، عفونت باج‌افزاری است که Quanta Incorporation، سازنده قطعات سخت‌افزاری رایانه‌های اپل را تحت تأثیر قرار داد. گروه باج افزار REvil به Quanta نفوذ کرد، فایل های آنها را رمزگذاری کرد و 50 میلیون دلار باج خواست. با این حال، شرکت از پرداخت آن خودداری کرد. بنابراین REvil با درخواست باج به اپل روی آورد که اپل نیز از پرداخت آن خودداری کرد. اعتقاد بر این است که در نتیجه داده‌هایی که استخراج شد، طرح‌واره‌هایی برای انتشار آینده لپ‌تاپ‌های اپل در اینترنت منتشر شد، اما در نهایت این اطلاعات توسط سازمان‌های مجری قانون حذف شد.

دفاع در برابر باج‌افزار

دفاع در برابر باج‌افزار بسیار دشوار است، زیرا هر گونه باج‌افزار روش خاص خود را برای نفوذ به شبکه، حرکت در داخل شبکه، دستیابی به منابع و استخراج داده‌ها دارد. اما در سطح بسیار بالا، پنج مرحله اصلی در چرخه حیات باج افزار وجود دارد. یکی مرحله نفوذ اولیه است، جایی که باج افزار سعی می کند جای پایی در جایی در شبکه یا در یک یا چند ماشین پیدا کند. پس از موفقیت، باج‌افزار ممکن است به مرحله بعدی رفته و سعی کند امتیازات را افزایش دهد و اعتبارنامه‌هایی را جمع‌آوری کند که می‌تواند از آن برای حرکت جانبی در یک شبکه استفاده کند. علاوه بر این، ممکن است تلاش برای شناسایی شبکه برای یافتن دارایی‌هایی که با ارزش‌ترین هستند، مرحله سوم در چرخه حیات باج‌افزار باشد. مرحله چهارم ارتباط با یک سرور فرمان و کنترل برای دریافت دستورات بیشتر و دانلود ابزارهای بیشتر است که به مهاجمان کمک می کند تا به عمق شبکه برسند و بیشتر سوء استفاده کنند، به عنوان مثال، کنترل کننده دامنه را در اختیار بگیرند یا دسترسی درب پشتی را روی روترها نصب کنند. به نظارت بر ترافیک یا تغییر مسیر آن کمک کنید. مرحله آخری که همه ما با آن آشنا هستیم – استخراج و رمزگذاری فایل ها – که مهاجمان را قادر می سازد باج های خود را مطالبه کنند.

مراحل حمله باج افزار

توجه به این نکته ضروری است که لازم نیست یک حمله مراحل را به ترتیبی که ذکر کردم دنبال کند. به عنوان مثال، پس از مرحله اول، که به خطر افتادن اولیه یک ماشین است، بدافزار ممکن است با یک سرور فرمان و کنترل که در مرحله 4 فهرست شده است تماس بگیرد تا مرحله بعدی حمله را دانلود کند. این می تواند یک سوء استفاده برای افزایش امتیاز باشد، یا اگر افزایش امتیاز به دست آمده باشد، می تواند بارگیری مرحله بعدی بارگذاری باشد که حاوی بدافزار واقعی (باج افزار، cryptominer، روت کیت و غیره) است.

برای نشان دادن گستردگی این موضوع، آسیب‌پذیری اخیر Log4j در سرتاسر جهان خبرساز شد، زیرا میلیون‌ها دستگاه تحت تأثیر این آسیب‌پذیری قرار گرفتند. و بهره برداری از آن بسیار پیش پا افتاده است. در واقع، یک نوع باج افزار جدید به نام Khonsari شروع به استفاده از این اکسپلویت برای نفوذ به ماشین ها و سپس استقرار باج افزار کرده است. علاوه بر این، ProxyLogon به زنجیره ای از آسیب پذیری ها در سرورهای مایکروسافت اکسچنج اشاره دارد و این سرورهای مبادله همیشه در معرض دید قرار می گیرند و ایمیل های آلوده را دریافت می کنند. باج‌افزار معروف DearCry از اکسپلویت ProxyLogon برای نفوذ به سازمان‌ها با استفاده از این آسیب‌پذیری در سرورهای Exchange برای استقرار باج‌افزار استفاده کرد. راه دیگری که می تواند باج افزار پخش شود از طریق درایوهای USB آلوده است. یک مثال خوب باج افزار Try2Cry است.

دسترسی به دارایی های مهم

هنگامی که بدافزار در شبکه جای پای خود را پیدا کرد، سعی می کند دارایی های مهم را شناسایی کرده و به آنها دسترسی پیدا کند. اگر به مرحله افزایش امتیاز برود و موفقیت آمیز باشد، حداکثر امتیاز را روی همه آن ماشین ها خواهد داشت. کاری که باج‌افزار می‌تواند انجام دهد این است که از یک سری ابزارهای بهره‌برداری استفاده کند که ممکن است در باج‌افزار یا بدافزار تعبیه شده باشند یا ممکن است به راحتی در خود ماشین‌های ویندوز در دسترس باشند. به عنوان مثال، از آنجایی که PowerShell در همه دستگاه‌های ویندوز 10 در دسترس است، باج‌افزار می‌تواند از آن استفاده کند و از مجموعه‌ای از ابزارها، تکنیک‌ها یا رویه‌ها، که در غیر این صورت به عنوان TTP شناخته می‌شود، برای حرکت جانبی در سراسر شبکه و کنترل دستگاه‌های دیگر استفاده کند.

آلوده شدن به باج افزار

اکنون، پایان بازی باج افزار را در نظر بگیرید، که در واقع می تواند دوگانه باشد. هنگامی که یک سازمان به باج افزار آلوده می شود، بیشتر اوقات، فایل ها رمزگذاری شده و برای باج نگهداری می شوند. اما تهدید دوم از جانب باج افزار در مورد استخراج داده ها در حال ظهور است. در این مثال، قبل از اینکه باج‌افزار فایل‌های یک سازمان را رمزگذاری کند، فایل‌ها را از رایانه‌های آلوده استخراج می‌کند که می‌تواند منجر به اخاذی مضاعف شود. هنگامی که یک شبکه به باج افزار آلوده می شود، معمولاً از سازمان درخواست می شود که باج بپردازد تا فایل ها رمزگشایی شده را بازگردانند. در حالی که ممکن است یک سازمان با رمزگشایی فایل‌هایش موافقت کند، اما مشکل این است که فایل‌های اصلی استخراج شده‌اند، که ممکن است حاوی اطلاعات محرمانه، داده‌های شخصی، اطلاعات کارت اعتباری یا طرح‌هایی برای برخی از پروژه‌های آینده باشد. اپراتور باج‌افزار می‌تواند دوباره از سازمان اخاذی کند تا از انتشار محتوا در دامنه عمومی جلوگیری کند.

به محض آلوده شدن، سازمان ها در اختیار سارقان سایبری قرار می گیرند. در برخی موارد، با وجود پرداخت باج، ابزار رمزگشایی ارائه نمی شود. و همانطور که دیدیم، داده های محرمانه همیشه می توانند در حوزه عمومی منتشر شوند. خوشبختانه، فناوری نوآورانه جدید در دسترس است و ثابت شده است که امنیت و دید شبکه را بهبود می بخشد و می تواند در نبرد با باج افزار کمک کند.

SASE چگونه می تواند کمک کند

یک رویکرد نوآورانه که امنیت پیشرفته و شبکه را در یک راه حل ادغام می کند لبه سرویس دسترسی امن (SASE) نامیده می شود که به تیم های فناوری اطلاعات اجازه می دهد تا زیرساخت شبکه قوی تر، قابل اعتمادتر و قابل اعتمادتری ایجاد کنند تا کارآمدتر و ایمن تر عمل کنند و بهترین خدمات را به کاربران ارائه دهند. راه حل های پیشرفته SASE از سازمان ها با یکپارچه سازی دقیق سرویس های امنیتی مانند VPN، Secure SD-WAN، حفاظت محاسبات لبه، فایروال نسل بعدی، فایروال نسل بعدی به عنوان سرویس، دروازه وب امن (SWG) و دسترسی به شبکه Zero Trust (ZTNA) محافظت می کند. ) در حالی که امنیت متنی را بر اساس کاربر، نقش، دستگاه، برنامه کاربردی، مکان، وضعیت امنیتی دستگاه و محتوا فراهم می کند.

راه‌حل‌های پیشرفته SASE

راه‌حل‌های پیشرفته SASE قابلیت‌های امنیتی فراوانی را برای کمک به سازمان‌ها برای مقابله با تهدید مداوم باج‌افزار ارائه می‌کنند. به عنوان مثال، تجزیه و تحلیل استاتیک و ابزارهای تجزیه و تحلیل پویا، سازمان ها را قادر می سازد تا کشف کنند که آیا چیزی مشکوک در مورد یک فایل وجود دارد یا اینکه حاوی کد مخربی است یا خیر. SASE این قابلیت ها را به عنوان بخشی از عملکرد موتور IPS یا فایروال به عنوان سرویس (FaaS) ارائه می دهد. هنگامی که یک فایل از ماشین کاربر خارج می شود و وارد دروازه SASE Edge و وارد شبکه داخلی می شود، راه حل تجزیه و تحلیل محتوای فایل آن به صورت ایستا فایل را تجزیه و تحلیل می کند تا مشخص کند که آیا حاوی چیزهای مخربی است یا خیر.

تجزیه و تحلیل ترافیک شبکه

تجزیه و تحلیل ترافیک شبکه، تجزیه و تحلیل و تشخیص ناهنجاری به سازمان ها کمک می کند تا تعیین کنند که آیا چیزی مانند حرکت جانبی در داخل شبکه اتفاق می افتد یا خیر. این راه حل های تشخیص ناهنجاری ترافیک شبکه به عنوان یک قابلیت SASE، تعیین می کند که آیا هر نوع فعالیت غیرعادی شبکه وجود دارد که می تواند به عنوان باج افزار احتمالی علامت گذاری شود.

SASE IPS و سایر نظارت‌های شبکه را ارائه می‌کند که از امضا یا اکتشاف برای شناسایی آخرین تهدیدات و ناهنجاری‌های شبکه، از جمله حرکت جانبی، که باج‌افزار برای انتشار در شبکه استفاده می‌کند، استفاده می‌کند. همچنین قابلیت مشاهده و تجزیه و تحلیل شبکه را ارائه می دهد تا به سازمان کمک کند تا شبکه خود و تقسیم بندی درون شبکه را به وضوح درک کند، تا سیاست های امنیتی و مجوزهای خاصی را بر اساس پویایی شبکه اعمال کند.

شبکه‌سازی Zero Trust

SASE همچنین شبکه‌سازی Zero Trust و اصل حداقل امتیاز را فعال می‌کند که به کاربران فقط امتیازات لازم برای انجام وظایف خود در آن دستگاه را می‌دهد و خط‌مشی‌های شبکه مناسبی را برای کاربران، ایستگاه‌های کاری و لپ‌تاپ تنظیم می‌کند تا دسترسی و حمله گسترده باج‌افزار را محدود کند. . سلاح اصلی باج افزار حرکت جانبی و نفوذ در داخل شبکه ها برای گرفتن اطلاعات ارزشمند است. SASE به جلوگیری از این امر کمک می کند.

نمایه اطلاعات میزبان SASE (HIP) سلامت مشتری SASE را که به دروازه SASE متصل می شود اسکن می کند. بررسی پارامترهای متعددی برای تعیین وضعیت سلامت مشتری وجود دارد، از جمله سطح وصله، نسخه سیستم عامل، وجود یک موتور AV به روز با امضا، تنظیمات رجیستری، نظارت بر فرآیندها و خدمات در حال اجرا و غیره. بر اساس نتایج اسکن، دروازه SASE می تواند سیاست هایی مانند جلوگیری از دسترسی هاست یا انتقال آن به شبکه قرنطینه را اعمال کند.

راه‌حل‌های پیشرفته SASE

در نهایت، راه‌حل‌های پیشرفته SASE یک ویژگی اعتبار URL را ارائه می‌کنند که در صورت تماس هر فرآیندی در مشتری SASE با یک دامنه مخرب، نظارت و گزارش می‌دهد.

وقتی صحبت از باج افزار به میان می آید، سازمان ها می توانند روی اینکه تحت حمله یا تهدید دائمی حمله قرار می گیرند حساب کنند. در حالی که نمی دانیم چه زمانی حمله باج افزار بزرگ بعدی رخ خواهد داد، اما می دانیم اقدامات پیشگیرانه ای وجود دارد که سازمان ها می توانند برای محافظت از داده های ارزشمند خود انجام دهند. علاوه بر اقدامات مهمی مانند فناوری‌های فریب و تکنیک‌های پشتیبان، SASE مجموعه‌ای از قابلیت‌های امنیتی را ارائه می‌دهد که به خوبی برای محدود کردن حمله باج‌افزارها مناسب است و در عین حال عملکرد و خدمات شبکه سالم را تضمین می‌کند.