حمله باج افزار WannaCry که روز جمعه همه دنیا را فراگرفت و چندین بیمارستان در بریتانیا و دهها هزار کامپیوتر را ویران کرد هنوز هم فعال است و رایانههای شخصی و سرورها درخطر هستند. اثرات این باج افزار بسیار ویرانگر هستند. فایلها قفل میشوند و از دسترس خارج میشوند تا زمانی که مبلغی (معادل بیتکوینی حدود ۳۰۰ دلار) بپردازید. هیچ بانکی حمله باج افزار به سیستمش را تائید نکرده است. سایتهای خبری روز جمعه گزارش دادند که BBVA و Santander در اسپانیا موردحمله قرارگرفتهاند اما سخنگویان هر دو بانک قاطعانه اعلام کردند که نه در اسپانیا و نه در آمریکا این بانکها موردحمله قرار نگرفتهاند.
بااینحال بانکها اولین هدف باج افزار هستند و این مسئله میتواند خطر قابلتوجهی برای کسبوکار بانکها باشد بخصوص اگر یک بانک قربانی این ماجرا شود. برای پی بردن به عمق فاجعه میتوانید تصور کنید ثبت تراکنش در بانکها و یا دسترسی مشتری برای مدت طولانی قفل شده باشد. خبر خوب آن است که هر کامپیوتری که با نرمافزار بهروز شده و بهدرستی Patch شده لود شود و ابزارهای ضد تخریب و ضد سرقت و پشتیبان گیری سرد و گرم انجام شده باشد طبق تئوری باید از حملات باج افزار مصون بماند؛ اما حتی در اکثر شرکتهای امنیتی آگاه، شکافهایی برای رد این فرضیههای امنیتی وجود دارد.
رایانههای رومیزی و لپتاپهای کارمندان راه دور که از VPN شرکت استفاده نمیکنند یا کامپیوترهایی که بهاندازه تجهیزات اصلی امن نگه داشته نشدهاند در معرض خطر هستند. یک کامپیوتر خانگی که دسترسی به شبکه آن به شناسایی هویت دو کاربره ارتقا نیافته بود به هکرها اجازه داد در سال ۲۰۱۴ به ۸۳ میلیون پرونده در جیپیمورگان دست پیدا کنند.
سیستمهایی که توسط اشخاص ثالث ازجمله ارائهکنندگان خدمات بازاریابی و زیرساختها قابلدسترسی هستند، هم آسیبپذیر هستند؛ و ممکن است پروتکلهای امنیتی آنها قوی نباشد.
در برخی موارد باج افزار WannaCry از طریق یک حمله موفق Phishing به شبکه یک شرکت واردشده است. حملات فیشینگ میتواند بهترین فیلترهای فیشینگ را بشکند. بهعنوانمثال جایی هکرها کنترل یک سرور ایمیل قانونی را به دست میگیرند و پیامهای مخرب از آن ارسال میکنند. هیچ فیلتری در این حالت به این پیامها مشکوک نمیشود. بااینحال نرمافزارهایی که لینکها و فایلهای پیوست را به صورت امن باز میکنند در این سناریو باید به کمک فیلترها بیایند.
خطرات patch نشدن
حمله باج افزار WannaCry اهمیت بهروزرسانی و patch نرمافزارها و سیستمعامل ویندوز را نشان میدهد اما در حقیقت بسیاری شرکتها این کار را انجام نمیدهند .WannaCry با استفاده از ابزاری به نام EternalBlue که گفته میشود توسط آژانس امنیت ملی ایالاتمتحده توسعه یافته است، از طریق ضعف در کد سیستمعامل ویندوز به کامپیوتر واردشده و سیستمهای امنیتی را میشکند. این مسئله توسط گروه هکرهای Shadow Broker در آوریل درز کرد. یک ماه قبل، مایکروسافت Patch هایی برای این مسئله و سایر آسیبپذیریهای ویندوز منتشر کرد. بهعبارتدیگر افرادی که آپدیتهای ویندوز را نصب کرده بودند از این حملات مصون ماندند.
روز جمعه مایکروسافت رفتاری غیرمعمول در ارائه آپدیتهای امنیتی برای ویندوز XP، ویندوز ۸ ویندوز Server 2003 داشت هرچند چرخه حمایتی این نسخهها به پایان رسیدهاست.
آستین برگلاس، رئیس دفاع سایبری K2 Intelligence، شرکت مشاور امنیت سایبری و ارائهدهنده خدمات، گفت: «حتی اگر شما فیلترهای خوبی برای اسپم کردن و کارکنان آموزشدیده داشته باشید، بااینحال شما در محیط بزرگی قرار دارید و تا زمانی که چرخه Patch کاملی ندارید در معرض آسیبپذیری از طریق ویندوز مایکروسافت هستید. این مورد ثابت کرده است که سازمانها در ایجاد چرخه patch خود ناتوان هستند. Patch موردنیاز در دسترس قرار گرفته است اما سازمانها از آن استفاده نکردهاند». بهروزرسانی نرمافزار کاری ساده است و وظیفه هر شرکت آگاه به مسائل امنیتی مانند بانکهاست؛ اما کارشناسان میگویند آنقدر که به نظر میرسد این کار ساده نیست.
در بررسی ماه مارس که توسط ۱E از هزار خبره آیتی ایالاتمتحده انجام شد تنها ۹ درصد از شرکتها مهاجرت خود به ویندوز ۱۰ را تکمیل کرده بودند درحالیکه ۳۸ درصد از شرکتها در حال مهاجرت بودند و اکثریت جامعه آماری یعنی ۶۴ درصد گفتند که مهاجرتشان بیش از یک سال طول خواهد کشید.
درهای باز
ارتقا نرمافزار در یک سازمان بزرگ سخت است و معمولاً خروجی با تغییر قابلمشاهده در برابر تلاش انجام شده بسیار ناچیز است. سامیر کراوی، بنیانگذار و مدیر اجرایی ۱E؛ شرکت ارائهکننده خدمات Patch، میگوید: «شرکتها معمولاً مهاجرت را یک پروژه بزرگ میبینند پروژهای که میتوان آن را تا بینهایت عقب انداخت. اگر پروژههای دیگری برای ایجاد ارزش کسبوکار و یا مزیت رقابتی داشته باشید قطعاً آنها را به مهاجرت ویندوز ترجیح میدهید که به شما مزیت رقابتی نمیدهد و تنها نسخه دیگری از ویندوز است». وی همچنین گفت: «ارتقا ویندوز در شرکتهای بزرگ چندین سال به طول میانجامد».
کراوی گفت: «اگر به پروژهای فکر میکنید که یک یا دو سال طول میکشد وقتی نخواهید انجامش بدهید انجامش نمیدهید و یا تا آخرین لحظه ممکن به تعویقش میاندازید. این اتفاقی است که در مهاجرت از ویندوزهای Xp و ۷ به ویندوز ۱۰ میافتد». برخی از بیمارستانهای انگلستان که قربانی WannaCry شدهاند ویندوز ۷ خود را که سال ۲۰۰۹ منتشر شده است ارتقا ندادهاند. وی افزود: «تا زمانی که این تفکر تغییر نکند مردم در همین وضعیت میمانند».
بانکها از حمله باج افزار WannaCry چه درسی باید بگیرند؟
وی همچنین به این مسئله اشاره کرد که کاربران نهایی به این طرز تفکر از Patch عادت کردهاند زیرا اپلیکیشن های موبایلی مدام در حال بهروزرسانی هستند. کرایی افزود: «آیتی نیاز دارد تغییر را بپذیرد. کرایی توصیه میکند هر شرکت ملزم به ارائه گزارش منظم شود که آیا از نرمافزار بهروزشده استفاده میکند یا خیر». او میگوید بدیهی است که CIO باید از این مسئله مطلع باشد. کارشناسان نیز فرآیند خودکار Patch را برای نرمافزارها توصیه میکنند.
ال پاسکوال مدیر تحقیقات Javelin Strategy & Research توصیه میکند مدیریت Patch را به کارمندان واگذار نکنید. او میگوید شرکتها تلاش میکنند با اجازه دادن به کارمندهایشان برای بهروزرسانی نسخههای در دسترس مانع ایجاد وقفه در کسبوکار شوند. بااینکه نقاط آسیبپذیر سریعتر از قبل مسلح میشوند شرکتهایی که patch را پایهگذاری میکنند باید این کار را یکنواخت و بلافاصله انجام دهند و یا حداقل شبانه انجام دهند تا کسبوکار چند ساعت از دسترس خارج شود.
فراتر از بهروزرسانی نرمافزارها و Patch
شیوههای patch برای جلوگیری از باج افزار کافی نیست. حمله بعدی میتواند به نرمافزارهایی باشد که هنوز هیچ Patch ی برایشان ارائه نشده است. دفاع از شرکتها در برابر باج افزار مانند همه تهدیدهای سایبری نیاز به پدافند دفاعی دارد. یکی از مسائل امنیتی که اینجا میتواند کمک کند، دستهبندی است. با این شیوه، میتوان مطمئن شد که اگر مهاجم به سیستم نفوذ کرد تنها تا پشت دستهبندیها میتواند پیشروی کند و به داراییهای حیاتی دست پیدا نمیکند.
برگلاس گفت: «حداقل کاری که میشود انجام داد اطمینان یافتن از این است که کاربران تنها به بخشی از اطلاعات دسترسی دارند که برای کارشان به آن نیاز دارند. دسترسی بیشازحد امکان گسترش حملات را بهسرعت افزایش میدهد». آگاهی کارکنان و آموزش همیشه مهم است. پاسکوال هم میگوید:« شرکتها باید آموزش منظم و رسیدگی به آگاهیها در خصوص فیشینگ داشته باشند. مسئله ثابت در تمامی دستگاهها کاربر است و ضعف آن بستگی مستقیم به افزایش جرم دارد».
تلاش دیگر برای شناسایی فعالیت نرمافزارهای مخرب در این مورد اسکنهای داخلی و خارجی خطرناک برای نقاط آسیبپذیر نرمافزار است.
برگلاس همچنین میگوید: «طرز نگهداری و استفاده تمام شناساگرهای سازش موجود در صفحات دیجیتالی حرفهای وجود دارد که میتوانید با آنها ایمیلها و دومینها و آدرسهای IP مربوط به باج افزارها را بلاک کنید».
پشتیبانگیری سرد و گرم
اگر همه تمهیدات شکست بخورد و باج افزار از پدافند دفاعی یک شرکت عبور کند یک تدبیر ایمن باقی میماند: پشتیبانگیری خوب. اگر یک کامپیوتر خوب پشتیبانگیری شود و آن پشتیبان تحت تأثیر باج افزار قرار نگیرد میتوان بعد از حمله آن را خاموش کرد و نمونه جدید آن در یک قطعه سختافزاری جدید بوت شود؛ اما پشتیبانگیری مؤثر هنوز فراگیر نشده است. برگلاس میگوید:« بسیاری از شرکتها هنوز بهدرستی پشتیبانگیری نمیکنند؛ و سیستمهای مورداستفاده برای تهیه نسخه پشتیبان در زمان واقعی در حمله باج افزار آلوده میشوند».
برگلاس معتقد است وقتی رشته تهاجمی باج افزار بهسرعت در محیط حرکت میکند و تمام زیرساختهای متصل شده را درگیر میکند، اگر پشتیبان شما همیشه گرم باشد به این معنی که همیشه آنلاین باشد میتوانید در اولین روز کاری هفته کامپیوتر خود را روشن کنید و ببینید که پشتیبان شما هم مانند سایر فایلها در حمله رمزگذاری شده است. سازمانهایی که از پشتیبانهای سرد یا غیر آنلاین در زمانهای بخصوص استفاده میکنند شبکهای امنتر در شرایط حمله باج افزار خواهند داشت.