روشهای بکاپ گیری برای محافظت در برابر باج افزار جدید

در این مقاله قصد داریم تا پنج روش برتر را برای تهیه نسخه بکاپ ارائه دهیم تا سازمان شما در برابر باج افزار جدید محافظت شود.

ویروس باج افزار سریعترین تهدید به جرایم اینترنتی است. به گفته تأمین کننده امنیت Trustwave، حملات باج افزار در سال گذشته از سرقت اطلاعات کارت پرداخت پیشی گرفته است.

در همین حال، تحقیقات Sophos نشان داده است که نیمی از سازمانها در سال 2019 توسط باج افزار مورد حمله قرار گرفتند و تقریباً در 75٪ موارد، مهاجمان قادر به رمزگذاری داده‌ها بودند.

اکثر سازمانها داده‌های خود را بازیابی میکنند، اما بیشتر از دو برابر سازمانهایی که غرامت (باج) را پرداخت میکنند، این کار را از طریق تهیه نسخه بکاپ انجام میدهند و هزینه آنها کمتر از نصف کسانی است که باج پرداخت کرده اند.

بنابراین، نکته اصلی برای جلوگیری از مطالبات باج افزار، تهیه نسخه بکاپ قوی و آزمایش شده است.

این بدان معناست که اطمینان حاصل کنید که بکاپ گیری‌های خوب و تمیز بطور منظم انجام میشوند و دقیق و جامع هستند. همچنین سیاستهای بکاپ گیری و عملکرد باید مرتباً بررسی و آزمایش شود.

در طی چند سال گذشته، حملات باج افزار بیشتر متمرکز شده و بطور بالقوه مخرب تر شده‌اند.

سازمانهای امنیت سایبری حملات کمتری را مشاهده میکنند، اما به گفته Sophos، آنچه که آنها مشاهده میکنند تغییر جهت “باج افزارهای نرم افزاری دسکتاپ” به حملات هدفمند به سمت مشاغل است.

هدف هرچه باشد، انواع باج افزارها دارای سه قسمت اصلی هستند:

• حمله اولیه یا تحویل بار مخرب
• رمزگذاری داده های قربانی
• ارتباط با مهاجم

بدافزار از مسیرهای مختلفی برای حمله به سازمانها استفاده میکند و مهندسی اجتماعی در این میان نقشی اساسی دارد:

حدود یک سوم حملات باج افزار از طریق دانلود فایلهای مخرب توسط کاربران از طریق لینک‌های مخرب انجام میشود.

اما باج افزار همچنین از طریق حملات مستقیم به سرورها، پیوستهای بدافزار به ایمیل و از طریق منابع ابری گسترش می یابد.

همچنین، طبق مرکز ملی امنیت سایبری، اکنون حجم فزاینده‌ای از باج افزار از طریق سرویسهای پروتکل دسکتاپ از راه دور (RDP) یا دستگاههای دسترسی از راه دور وصله دار قابل دسترسی است.

ابزارهای امنیتی، از جمله فیلتر کردن نامه، اسکن بدافزار، فایروالها و نظارت بر شبکه، و همچنین وصله و محدود کردن دسترسی کاربران شبکه، میتوانند به شما کمک کنند.

اما موثرترین محافظت، یک سیستم بکاپ قوی برای محافظت از داده‌ها است.

استفاده از نسخه بکاپ برای محافظت در برابر باج افزار جدید: پنج روش اصلی

1. سیاستهای بکاپ گیری را مرور و بروز کنید

بهترین دفاع در برابر بدافزار اینست که بتوانید از داده‌ها نسخه بکاپ تهیه کنید و بتوانید بازیابی اطلاعات باج افزار را بدرستی انجام دهید.

حتی وقتی سازمانی باج میدهد، هیچ تضمینی وجود ندارد که مهاجمان کلید رمزگشایی باج افزار را تحویل دهند.

بازیابی از اطلاعات بکاپ گرفته شده با اطمینان تر و ارزانتر است و شامل انتقال پول به مجرمان نیست.

با اینحال، نسخه‌های بکاپ فقط در صورتیکه قوی و جامع باشند، کار خواهند کرد. CIO ها باید حسابرسی کاملی از تمام مکان های داده‌های کسب و کار را سفارش دهند.

از دست دادن داده‌های مهم در برنامه بکاپ گیری، چه در سیستمهای محلی و چه در فضای ابری، بسیار آسان است.

اکنون با توجه به حرکت به سمت کار از راه دور در طی بیماری همه‌گیر Covid-19، این امر به ویژه مهم است.

سوالاتی که باید بپرسید عبارتند از:

• آیا سیستمهای کاربر نهایی بکاپ گیری میشوند؟
• آیا طرح بکاپ، فروشگاههای داده ابری موقت یا متمرکز بر مصرف کننده را پوشش میدهد؟

فضای ذخیره سازی ابری باید در برابر خرابی فیزیکی انعطاف پذیر باشد، اما این از باج افزارهایی که فایلها را آلوده میکند محافظت نمیکند.

بهترین روش بکاپ گیری، قانون 3-2-1 است:

سه نسخه از داده ها را تهیه کنید، در دو شکل مختلف رسانه ذخیره کنید و یک نسخه را خارج از سایت نگه دارید.

برای محافظت در برابر باج افزار، بکاپ گیری خارج از سایت باید از شبکه کسب و کار جدا شود.

2. ذخیره سازی ابری

ذخیره سازی ابری یک فناوری جذاب برای ذخیره بکاپ گیری طولانی مدت از داده‌ها است و در بعضی از مناطق جایگزین مدیاهای بکاپ فیزیکی مانند دیسکهای نوری، دیسکهای سخت قابل حمل و نوار شده است.

فضای ذخیره سازی ابری از داده‌ها در برابر اختلال فیزیکی، مانند خرابی سخت افزار یا برق، یا آتش سوزی و سیل محافظت میکند، اما بطور خودکار از باج افزار جدید محافظت نمیکند.

ذخیره سازی ابر از دو جبهه آسیب پذیر است: از طریق اتصال به شبکه‌های مشتری، و از آنجاکه زیرساخت مشترک است.

فرد مور، تحلیلگر راهبردهای اطلاعات هوریسون، هشدار میدهد که ارائه دهندگان ابر خود در معرض خطر حملات باج افزار هستند.

وی میگوید: “مهاجمان در حال حاضر خدمات ابری را بطور خاص هدف قرار میدهند زیرا برای دسترسی به داده‌های ابری به رمز عبور احتیاج ندارند. آنها براحتی مدارک را میدزدند و بکاپ‌های ابری سازمان را با استفاده از شخص در وسط حمله رمزگذاری میکنند.”

راه حل اینست که CISO ها بکاپ گیری ابری را با نوار یا سایر مدیاهای بکاپ تکمیل کنند.

Cloud میتواند کپی خارج از سایت باشد، اما نگهداشتن مجموعه داده دیگری روی نوار، و آفلاین نگهداشتن این نوارها، مطمئن ترین راه برای “air gap” داده‌های ناشی از حمله باج افزار جدید است.

3. بکاپ گیری منظم انجام دهید و سیاستهای حفظ را مرور کنید

ناگفته نماند که سازمانها باید بطور منظم از داده های خود بکاپ تهیه کنند.

باز هم، CIO ها باید سیاستهای مربوط به تعداد دفعات بکاپ گیری را بررسی کنند، به خصوص اینکه چند بار بکاپ داده‌ها در مکانهای خارج از سایت (از جمله ابر) و رسانه‌های مکانیکی جدا شده مانند نوار، تهیه میشود. ممکن است نیاز به بکاپ گیری مکرر باشد.

تیمهای فناوری اطلاعات همچنین باید مدت زمان نگه داشتن نسخه بکاپ را بررسی کنند، بویژه رسانه‌های air-gapped.

باج افزار Ransomware غالباً از تاخیرهای زمانی برای جلوگیری از شناسایی یا “حلقه‌های حمله“ برای هدف قرار دادن سیستمهای به ظاهر تمیز استفاده میکند.

ممکن است سازمانها برای پیدا کردن نسخه‌های پاک، نیاز به نگهداری طولانی‌تر و احتمالاً نسخه های بیشتر، چندین نسخه بکاپ تهیه کنند.

همچنین تهیه بکاپ جداگانه برای سیستمهای مهم تجاری نیز باید بهبود کار را آسان کند.

4- اطمینان حاصل کنید که بکاپ گیری تمیز و قوی است

اطمینان از خالی بودن بکاپ از نرم افزارهای مخرب (بد افزار) سخت است، اما سازمانها باید در حد توان خود اطمینان حاصل کنند که نسخه بکاپ آنها آلوده نیست.

همینطور سیاستهای سختگیرانه خلا هوا- از جمله آفلاین کردن رسانه‌ها در اسرع وقت- ابزارهای بروز شناسایی بدافزار و وصله‌های سیستم نیز ضروری هستند.

برای محافظت بیشتر، شرکتها باید در نظر داشته باشند که یکبار رسانه‌های مختلف (worm) مانند دیسک‌های نوری یا نوار پیکربندی شده بعنوان worm را بخوانند.

اکنون برخی از تأمین کنندگان فضای ذخیره‌سازی ابری با قالب worm را به بازار عرضه میکنند.

کنترل دسترسی به داده‌ها یک محافظ دیگر است.

با استفاده از ابزارهایی مانند دسترسی کنترل شده پوشه ویندوز 10 و محدود کردن دسترسی کاربر به ذخایر مهم داده میتوان در وهله اول گسترش باج افزار را متوقف کرد و به بکاپ گیری‌ها امنیت بخشید.

5. تست و برنامه ریزی کنید

همه برنامه‌های بکاپ گیری و بازیابی باید آزمایش شوند. این برای محاسبه زمان بازیابی- و تعیین اینکه آیا داده‌ها اصلاً قابل بازیابی هستند – بسیار مهم است.

استفاده از رسانه‌های خارج از سایت و هوا بهترین روش است، اما:

• بازیابی سیستمها چه مدت طول میکشد؟
• کدام سیستمها برای بازیابی در اولویت هستند؟
• و آیا شرکتها برای بازیابی نیاز به شبکه‌های جداگانه و تمیز دارند؟

CIO ها باید تمام مراحل برنامه بهبود را آزمایش کنند، در حالت ایده‌آل با استفاده از رسانه‌های تکراری.

بدترین سناریو اینست که یک تمرین بازیابی، بکاپ گیری‌های موجود و تمیز را آلوده کند.

مراحل کلیدی برای محافظت در برابر باج افزار جدید

• حداقل سه نسخه از اطلاعات شرکت خود را نگه دارید.
• دو نسخه بکاپ را در دستگاههای مختلف یا رسانه‌های ذخیره سازی ذخیره کنید.
• حداقل یک نسخه بکاپ را خارج از سایت و آفلاین نگه دارید یا غیر از این از لحاظ فیزیکی غیرقابل دسترسی است.
• اصول را درست دریافت کنید: بطور منظم از داده ها پشتیبان تهیه کنید.
• نرم افزار هوشمند و یکپارچه امنیت سایبری را نصب کنید.
• از استفاده از سرویسهای آسیب پذیر دسترسی از راه دور دسکتاپ خودداری کنید.
• اغلب وصله بزنید.
• به کارمندان آموزش دهید که از نظر فیشینگ و ایمیلهای مشکوک و موارد دیگر باید به دنبال چه مواردی باشند.