در اینجا، در عملیات جهانی بازیابی امنیت مایکروسافت CRSP، ما با مشتریانی کار می کنیم که رویدادهای امنیتی مخرب را برای بازیابی اعتماد به سیستم های هویت و حذف کنترل مهاجم تجربه کرده اند. در طول سال ۲۰۲۰ ، این تیم به بسیاری از حوادث مربوط به باج افزار و استقرار ابزارهای رمزنگاری پاسخ داد. باج افزار تهدیدی فزاینده برای سازمانها و کاربران خانگی است ، زیرا این یک مدل تجاری کم هزینه و با بازدهی بالا است. این حملات پیچیده نیستند ، آنها به ابزارها و نرم افزارهایی تکیه میکنند که سالهاست وجود داشته و هنوز قابل اصلاح نیستند و هنوز کار می کنند.

در این پست ، ما امیدواریم که کاربردی ترین و مقرون به صرفه ترین روش های عدم نیاز به خدمات را با شما به اشتراک بگذاریم.

امنیت اولیه خود را به روز کرده و حفظ کنید

یک داستان قدیمی درباره دو کوهنورد در بیابان وجود دارد که می بینند خرس به سمت آنها می آید. یکی شروع به دویدن می کند و دوستش می گوید: “شما هرگز از یک خرس پیشی نمی گیرید.” اولین کوهنورد پاسخ می دهد: “مجبور نیستم ، فقط باید از تو پیشی بگیرم.”

موضوع پشت این داستان در چشم انداز تهدید امنیت سایبری فعلی منعکس می شود. این خبر مملو از داستانهای حملات سایبری است که بیشتر آنها “بسیار پیچیده” توصیف شده اند. با این حال ، حقیقت این است که بیشتر حوادث سایبری پیچیده نیستند. اکثر مهاجمان از وضع مالی خوبی برخوردار نیستند یا بسیاری از مهاجمان به خوبی از بودجه کشور، تامین نمی شوند. آنها فقط مجرمانی هستند که سعی در کسب درآمد دارند. سود مستقیم مالی محرک اصلی حملات سایبری در سال ۲۰۲۰ است. این امر به ویژه هنگامی صادق است که قربانیان شرکت های کوچک تا متوسط و بخش های غیر انتفاعی مانند مدارس و موسسات خیریه باشند. یک راه آسان برای بهبود وضعیت امنیتی خود ، وصله سریع و کارآمد است.

در اوایل سال ۲۰۲۰ ، تیم تشخیص و پاسخ مایکروسافت (DART) توسط یک سازمان بخش دولتی در استرالیا برای بررسی حمله سایبری مشارکت کرد. تحقیقات DART مشخص کرد که مهاجم از آدرس IP خارجی سرچشمه گرفته است. تحقیقات Incident Response (IR) نشان داد که دشمن حمله خود را با اسکن کردن زیرساخت های اینترنتی برای پورت های در معرض حمله آغاز کرد. در این نمونه ، یک اتصال دسکتاپ از راه دور مستقیماً به اینترنت باز شد تا فروشنده نرم افزار بتواند پشتیبانی کند. گذرواژه مدیریتی ضعیفی به کار برده شد. با دسترسی مدیریتی به سرور در معرض دید ، آنها با استفاده از ابزارهای هک رایج در دسترس و با استفاده از ابزارهای هک معمولی ، به طور قابل توجهی نویز را شناسایی کردند. مهاجمان به سرعت به صورت جانبی در سراسر شبکه حرکت کردند و به دامنه کنترل کننده ها رسیدند.

پس از تحقیقات DART ، تیم CRSP برای بازیابی محیط از طریق اعتماد مجدد به سیستم های هویت ، تقویت دفاع و از بین بردن کنترل دشمن تلاش کرد. اگرچه از اهمیت بالایی برخوردار است و منابع خوبی دارد ، بخش دولتی یک سازمان کوچک با حدود ۵۰۰ کارمند بود و متأسفانه در سالهای اخیر از اقدامات امنیتی عقب افتاده بود.

از حمله اولیه نیروی وحشیانه ، مهاجم در عرض چند ساعت به تسلط بر دامنه دست یافت. در این حمله ، دشمن با استقرار ابزارهای رمزنگاری در همه سرورها و ایستگاه های کاری ، انگیزه مالی خود را نشان داد. همانطور که در آخر هفته بود ، این حمله برای مدتی کشف نشد.

هیچ نشانه ای مبنی بر اینکه هدف حمله به طور خاص سازمان بوده است وجود نداشت ، اما به نظر می رسید که انگیزه مهاجم صرفاً مالی است. رمزنگاری یک محموله کم خطر و کم بازده است و نیازی به انتخاب صریح قربانی برای پرداخت آن ندارد. پاداش ها کمتر اما فوری است و برای حملات کم ارزش با حجم بالا مناسب است.

درسهای این حادثه عبارتند از: اگر بتوانید کار را از حد متوسط دشوارتر کنید ، مهاجمان کم مهارت اغلب سریع تسلیم می شوند و به سمت هدف بعدی حرکت می کنند. اساساً از دوست خود پیشی بگیرید ، نه خرس. تمرکز بر اصلاح اصول اولیه تا حد زیادی به حفاظت از اکثر شرکت های کوچک و متوسط کمک می کند. در زیر هفت حوزه (کاملاً جامع) وجود دارد که می تواند به سرعت شما را به یک هدف سخت تر تبدیل کند-و همه مواردی است که ما هنگام همکاری با مشتریان در پروژه های واکنشی به کار می بریم.

  1. همه چیز را سریعتر وصله کنید

هدف از پوشش کامل وصله ظرف ۴۸ ساعت ، وضعیت امنیتی شما را به میزان قابل توجهی بهبود می بخشد. سرورهای خود را در اسرع وقت و با تمرکز بر سیستم های Tier 0 مانند Domain Controllers و Microsoft Azure Active Directory Connect وصله کنید.

وصله برنامه ها به همان اندازه مهم است ، به ویژه برنامه های بهره وری تجاری مانند مشتریان ایمیل ، سرویس گیرندگان VPN و مرورگرهای وب. به روز رسانی خودکار مرورگرهای وب خود را در Edge ، Chrome ، Firefox یا سایر موارد فعال کنید. مرورگرهای قدیمی اطلاعات کاربر و دستگاه را در معرض خطر قرار می دهند. استفاده از ابر و Windows Update for Business می تواند به طور خودکار وصله  کند و برای رفع برخی از مشکلات مربوط به تعمیر و نگهداری هنگام توزیع نیروی کار سازمان شما ، به ویژه با توزیع نیروی کار سبک همه گیر ، کمک کند.

ما به عنوان بخشی از بازیابی سازش تلاش می کنیم تا مطمئن شویم مشتریان ما می توانند مهمترین دارایی های خود را در عرض چند ساعت وصله کنند ، این امر معمولاً شامل پیاده سازی سریع مراحل وصله و چرخه های آزمایش برای بارهای مهم است. ما مزایای زیادی را در جدا نگه داشتن سیستم های وصله برای حجم کاری اصلی خود مشاهده می کنیم ، مانند اجرای یک ابزار مدیریت به روز رسانی اختصاصی فقط برای کنترل کننده های دامنه.

  1. به طور فعال از دستگاه های خود محافظت کنید

یک دستگاه ویندوز به روز و پیکربندی شده که از Microsoft Defender برای Endpoint یا راه حل تشخیص و پاسخ گسترده دیگر (XDR) استفاده می کند ، باید اولین خط دفاعی شما باشد. همراه با سیستم مدیریت رویداد امنیتی (SIEM) برای سیستم های تجاری مهم و کلیدی شما ، این امر به شما کمک می کند تا از دارایی های مهم آگاه شوید. اطمینان حاصل کنید که افراد به دنبال هشدارها و ردیابی فعالیت ها هستند.

پس از صرف زمان با مشتریان خود ، دوست داریم مطمئن شویم که هر چیزی که در سیستم های تجاری مهم آنها اتفاق می افتد به خوبی تحت نظارت و مدیریت است. این که بتوانید به هر چیزی که ممکن است در این محیط رخ دهد واکنش نشان دهید برای حفظ اطمینان مداوم در یک محیط حیاتی است.

  1. قرار گرفتن در معرض را کاهش دهید.

بازکردن هرگونه سرویس در اینترنت با خطرات ذاتی همراه است. یک خطر این است که هر چیزی که به اینترنت متصل است به طور مرتب و منظم اسکن شود. همانطور که در HAFNIUM اخیر مشاهده کردیم ، از هر چیزی که آسیب پذیر تشخیص داده شود ، چند دقیقه پس از آنلاین شدن به طور بالقوه مورد سوء استفاده قرار می گیرد.

علاوه بر این ، منابع عمومی خدمات در دسترس به صورت آنلاین وجود دارد. این نتایج نه تنها برای هکرهایی که به دنبال بهره برداری از منابع هستند جالب توجه است بلکه می تواند برای کسانی که به دنبال افزایش موقعیت امنیتی خود هستند مفید باشد.

فایروالی که دسترسی به آدرس های منبع تعریف شده را محدود می کند ، خطر را تا حدی کاهش می دهد ، همانطور که آنها را در پشت اتصال VPN قرار می دهد ، به ویژه آنهایی که نیاز به احراز هویت دو مرحله ای دارند.

اگر سرورهای شما در Azure یا یک ابر دیگر هستند ، از یک گروه امنیتی شبکه برای محدود کردن دسترسی به IP های خاص استفاده کنید ، یا حتی بهتر است از دسترسی به موقع و Microsoft Azure Bastion استفاده کنید.

در مثال مشتری ما ، پروتکل دسکتاپ از راه دور مستقیماً در اینترنت قرار گرفت ، بدون هیچ گونه کنترل کنترل کننده.

ما با مشتریان خود برای توجیه و کاهش قرار گرفتن در معرض هرگونه خدمات اینترنتی در یک محیط کار می کنیم. ما در کنار شیوه های اجرایی کار می کنیم تا مطمئن شویم که مدیران هنوز می توانند یک سیستم را به طور کامل حفظ کنند اما این کار را با روش امن تری انجام می دهند.

  1. دسترسی ها را کاهش دهید

بیشتر حملات متکی بر دسترسی مهاجم به مدیریت است. اگر بتوانیم حق دسترسی را محدود کنیم ، راه زیادی را برای جلوگیری از حملات زیاد وجود دارد. داشتن گذرواژه مدیریتی محلی مشترک ، حرکت جانبی و افزایش امتیاز را برای مهاجمان یک کار بی اهمیت می کند.

راه حل رمز عبور سرپرست محلی (LAPS )، که حساب های مدیریت محلی را در سیستم ها مدیریت می کند ، نزدیک به شش سال است که در دسترس رایگان است. با این وجود ، در بسیاری از مشارکت ها ، می بینیم که به کار گرفته نشده است. امروز آن را در شبکه خود قرار دهید.

در مثال بخش عمومی ما ، مهاجم توانست اعتبارهای بسیار ممتاز را از سرور برنامه استخراج کند. استقرار مدیریت امتیاز و راه حل های سرپرست به موقع ارزش زیادی را اضافه می کند اما می تواند پیچیده و زمان بر باشد. با مشاهده عضویت در گروه های امنیتی مهم خود ، مانند Domain and Enterprise Administrators ، و کاهش تعداد افرادی که واقعاً به آن احتیاج دارند ، می توان به موفقیت های سریع دست یافت. در همه محیطها به جز بزرگترین محیط ها ، باید بتوانید تعداد مدیران دامنه را در انگشتان یک دست بشمارید.

استفاده از ایستگاه کاری اختصاصی سرپرست برای کارهای با ارزش ، خطر سرقت اطلاعات کاربری مدیر را کاهش می دهد. حتی دقیق ترین افراد گاهی روی پیوند اشتباه کلیک می کنند. ایده خوبی نیست که از حساب مدیریتی خود در همان رایانه ای که ایمیل می خوانید یا در وب گشت و گذار می کنید استفاده کنید ، زیرا خطراتی برای امتیاز شما ایجاد می شود.

از حسابهای خدمات مدیریت شده با گذرواژه های چرخان خودکار استفاده کنید ، اگر فروشنده برنامه به شما بگوید که حساب سرویس آنها باید مدیر باشد ، زمان آن فرا رسیده است که به سختی عقب بروید.

راهنمایی های ما درباره امنیت دسترسی ممتاز را بیشتر بخوانید.

استفاده از دستگاه های سخت شده فقط برای مدیران یک راه عالی و مقرون به صرفه برای افزایش تاکتیکی امنیت شما است. داشتن یک ماشین مستقل بدون ایمیل یا وبگردی ، مشکلاتی را که مهاجمان با آن روبرو می شوند ، افزایش می دهد.

برای مشتریان بخش عمومی ما ، محدودیت استفاده از امتیاز می تواند مهاجم را از انتقال از حرکت اولیه بر روی سرور در معرض دید بقیه محیط بسیار سخت تر کند.

  1. از قدرت ابر استفاده کنید

در نظر بگیرید که هنوز برای اجرای داخلی به چه خدماتی نیاز دارید. اگر نیاز چندانی به انجام این کار ندارید ، به شخص دیگری اجازه دهید. مدل مسئولیت مشترک در ابر به شما این فرصت را می دهد تا میزان مسئولیت خود را کاهش داده و امنیت پلتفرم را به یک ارائه دهنده ابر واگذار کنید. ابر می تواند به طور خودکار در جایی که فناوری اطلاعات سنتی نمی تواند مقیاس بندی کند ، و همین امر را باید در مورد سرویس های امنیتی در ابر نیز بیان کرد.

به آنچه در حال اجرا هستید نگاه کنید و آن را با پلتفرم به عنوان سرویس (PaaS) یا نرم افزار به عنوان سرویس (SaaS) جایگزین کنید.

به عنوان مثال ، سرورهای Exchange محلی محصولی عالی هستند ، اما به نگهداری ، وصله و پیکربندی نیاز دارند. مهاجرت صندوق های پستی به Exchange Online بسیاری از کارها را حذف کرده و با مسدود کردن بیشتر پیوندهای مخرب و فیشینگ قبل از رسیدن به صندوق پستی ، سطح حمله را کاهش می دهد.

اگر بتوانید در درازمدت به یک راه حل مبتنی بر ابر در Azure یا ابر دیگر بروید ، اجرای یک سرور وب امن در محیط شما ممکن است دشوار باشد. این مساله در این مورد مناسب نبود ، اما این یک بردار حمله رایج است.

از ابزارهای امنیتی مدرن مبتنی بر ابر مانند Azure Security Center و Azure Defender استفاده کنید. حتی اگر سرورهای شما در محل یا در یک ابر دیگر ساکن باشند ، باز هم می توان آنها را پیکربندی کرد تا به مرکز امنیتی گزارش دهند و تصویری از وضعیت امنیتی شما را در اختیارتان قرار دهند. استفاده از سیستم SIEM مانند Microsoft Azure Sentinel می تواند دید حملات احتمالی را افزایش دهد.

اگر مشتری مورد حمله ما از راه حل های امنیتی ابری استفاده می کرد ، می دید که این حمله در حال وقوع است.

  1. بدهی فنی خود را پرداخت کنید

اجرای سیستم عامل های قدیمی آسیب پذیری شما را در برابر حملاتی که از آسیب پذیری های طولانی مدت استفاده می کنند افزایش می دهد. در صورت امکان ، از سیستم خارج شده یا ارتقاء سیستم عامل های قدیمی ویندوز استفاده کنید. پروتکل های قدیمی می توانند ریسک را افزایش دهند. فن آوری های به اشتراک گذاری فایل های قدیمی یک بردار حمله شناخته شده برای باج افزار هستند اما هنوز در بسیاری از محیط ها مورد استفاده قرار می گیرند.

در این حادثه ، سیستم های زیادی از جمله Domain Controllers وجود داشت که اخیراً وصله نشده بودند. این امر به مهاجمان در حرکت آنها در سراسر محیط کمک زیادی کرد. به عنوان بخشی از کمک به مشتریان ، ما مهم ترین سیستم ها را بررسی می کنیم و مطمئن می شویم که ما به روزترین پروتکل ها را برای بهبود محیط بیشتر اجرا می کنیم.

  1. به log های خود نگاه کنید و به هشدارها عمل کنید.

به قول معروف “جمع آوری تشخیص نیست”. در بسیاری از تعاملات ، اقدامات مهاجم در گزارشات رویداد روشن و آشکار است. مشکل رایج این است که هیچ کس به طور روزانه به آنها نگاه نمی کند یا نمی فهمد که ظاهر طبیعی چگونه است. تغییرات غیرقابل توضیح در گزارش رویدادها ، مانند حذف یا حفظ تغییرات ، باید مشکوک تلقی شده و مورد بررسی قرار گیرد.

در این حادثه ، اقدامات مهاجم را می توان به راحتی از طریق log های مربوط پس از آن پیگیری کرد. یک سیستم SIEM ، که گزارشات بسیاری از منابع را جمع آوری می کند ، به طور سنتی یک سرمایه گذاری بزرگ و دور از دسترس برای همه شرکت ها به جز شرکت های بزرگ بود. با Azure Sentinel ، اکنون در دسترس همه است-بدون نیاز به زیرساخت های داخلی و بدون نیاز به سرمایه گذاری اولیه. به سادگی ایجنت ها را در سیستم های خود مستقر کنید (مهم نیست که آنها در محل ، Azure یا ابر دیگر هستند).

بیشتر بدانید

هیچ راه حل فناوری جادویی وجود ندارد که شما را به هدف سخت تری برای ضربه زدن تبدیل کند. تیم های Microsoft DART و CSRP گروه کثیری از مردم هستند ، دوستانه و یاری رسان هستند ، اما شما واقعاً مجبور نیستید با ما ملاقات کنید.

یک بازیگر تهدید مصمم و با منابع خوب ، به موقع ، بهترین دفاع سایبری را نقض می کند. به طور خلاصه ، نمی توان از خرس پیشی گرفت ، اما با برداشتن اولین قدم ها برای تبدیل شدن به یک هدف سخت تر ، مهاجمان به سمت اهداف راحت تری حرکت خواهند کرد.

برای کسب اطلاعات بیشتر در مورد راه حل های امنیتی Microsoft ، از وب سایت ما دیدن کنید. وبلاگ Security را نشانه گذاری کنید تا از پوشش تخصصی ما در زمینه مسائل امنیتی مطلع شوید.