حمله باج افزار WannaCry که روز جمعه همه دنیا را فراگرفت و چندین بیمارستان در بریتانیا و ده‌ها هزار کامپیوتر را ویران کرد هنوز هم فعال است و رایانه‌های شخصی و سرورها درخطر هستند. اثرات این باج افزار بسیار ویرانگر هستند. فایل‌ها قفل می‌شوند و از دسترس خارج می‌شوند تا زمانی که مبلغی (معادل بیت‌کوینی حدود ۳۰۰ دلار) بپردازید. هیچ بانکی حمله باج افزار به سیستمش را تائید نکرده است. سایت‌های خبری روز جمعه گزارش دادند که BBVA و Santander در اسپانیا موردحمله قرارگرفته‌اند اما سخنگویان هر دو بانک قاطعانه اعلام کردند که نه در اسپانیا و نه در آمریکا این بانک‌ها موردحمله قرار نگرفته‌اند.

 

بااین‌حال بانک‌ها اولین هدف باج افزار هستند و این مسئله می‌تواند خطر قابل‌توجهی برای کسب‌وکار بانک‌ها باشد بخصوص اگر یک بانک قربانی این ماجرا شود. برای پی بردن به عمق فاجعه می‌توانید تصور کنید ثبت تراکنش در بانک‌ها و یا دسترسی مشتری برای مدت طولانی قفل شده باشد. خبر خوب آن است که هر کامپیوتری که با نرم‌افزار به‌روز شده و به‌درستی Patch شده لود شود و ابزارهای ضد تخریب و ضد سرقت و پشتیبان گیری سرد و گرم انجام شده باشد طبق تئوری باید از حملات باج افزار مصون بماند؛ اما حتی در اکثر شرکت‌های امنیتی آگاه، شکاف‌هایی برای رد این فرضیه‌های امنیتی وجود دارد.

 

رایانه‌های رومیزی و لپ‌تاپ‌های کارمندان راه دور که از VPN شرکت استفاده نمی‌کنند یا کامپیوترهایی که به‌اندازه تجهیزات اصلی امن نگه داشته نشده‌اند در معرض خطر هستند. یک کامپیوتر خانگی که دسترسی به شبکه آن به شناسایی هویت دو کاربره ارتقا نیافته بود به هکرها اجازه داد در سال ۲۰۱۴ به ۸۳ میلیون پرونده در جی‌پی‌مورگان دست پیدا کنند.

 

سیستم‌هایی که توسط اشخاص ثالث ازجمله ارائه‌کنندگان خدمات بازاریابی و زیرساخت‌ها قابل‌دسترسی هستند، هم آسیب‌پذیر هستند؛ و ممکن است پروتکل‌های امنیتی آن‌ها قوی نباشد.

 

در برخی موارد باج افزار WannaCry از طریق یک حمله موفق Phishing به شبکه یک شرکت واردشده است. حملات فیشینگ می‌تواند بهترین فیلترهای فیشینگ را بشکند. به‌عنوان‌مثال جایی هکرها کنترل یک سرور ایمیل قانونی را به دست می‌گیرند و پیام‌های مخرب از آن ارسال می‌کنند. هیچ فیلتری در این حالت به این پیام‌ها مشکوک نمی‌شود. بااین‌حال نرم‌افزارهایی که لینک‌ها و فایل‌های پیوست را به صورت امن باز می‌کنند در این سناریو باید به کمک فیلترها بیایند.

 

خطرات patch نشدن

حمله باج افزار WannaCry اهمیت به‌روزرسانی و patch نرم‌افزارها و سیستم‌عامل ویندوز را نشان می‌دهد اما در حقیقت بسیاری شرکت‌ها این کار را انجام نمی‌دهند .WannaCry با استفاده از ابزاری به نام EternalBlue که گفته می‌شود توسط آژانس امنیت ملی ایالات‌متحده توسعه یافته است، از طریق ضعف در کد سیستم‌عامل ویندوز به کامپیوتر واردشده و سیستم‌های امنیتی را می‌شکند. این مسئله توسط گروه هکرهای Shadow Broker در آوریل درز کرد. یک ماه قبل، مایکروسافت Patch هایی برای این مسئله و سایر آسیب‌پذیری‌های ویندوز منتشر کرد. به‌عبارت‌دیگر افرادی که آپدیت‌های ویندوز را نصب کرده بودند از این حملات مصون ماندند.

 

روز جمعه مایکروسافت رفتاری غیرمعمول در ارائه آپدیت‌های امنیتی برای ویندوز XP، ویندوز ۸ ویندوز Server 2003 داشت هرچند چرخه حمایتی این نسخه‌ها به پایان رسیده‌است.

 

آستین برگلاس، رئیس دفاع سایبری K2 Intelligence، شرکت مشاور امنیت سایبری و ارائه‌دهنده خدمات، گفت: «حتی اگر شما فیلترهای خوبی برای اسپم کردن و کارکنان آموزش‌دیده داشته باشید، بااین‌حال شما در محیط بزرگی قرار دارید و تا زمانی که چرخه Patch کاملی ندارید در معرض آسیب‌پذیری از طریق ویندوز مایکروسافت هستید. این مورد ثابت کرده است که سازمان‌ها در ایجاد چرخه patch خود ناتوان هستند. Patch موردنیاز در دسترس قرار گرفته است اما سازمان‌ها از آن استفاده نکرده‌اند». به‌روزرسانی نرم‌افزار کاری ساده است و وظیفه هر شرکت آگاه به مسائل امنیتی مانند بانک‌هاست؛ اما کارشناسان می‌گویند آن‌قدر که به نظر می‌رسد این کار ساده نیست.

 

در بررسی ماه مارس که توسط ۱E از هزار خبره آی‌تی ایالات‌متحده انجام شد تنها ۹ درصد از شرکت‌ها مهاجرت خود به ویندوز ۱۰ را تکمیل کرده بودند درحالی‌که ۳۸ درصد از شرکت‌ها در حال مهاجرت بودند و اکثریت جامعه آماری یعنی ۶۴ درصد گفتند که مهاجرتشان بیش از یک سال طول خواهد کشید.

 

درهای باز

ارتقا نرم‌افزار در یک سازمان بزرگ سخت است و معمولاً خروجی با تغییر قابل‌مشاهده در برابر تلاش انجام شده بسیار ناچیز است. سامیر کراوی، بنیان‌گذار و مدیر اجرایی ۱E؛ شرکت ارائه‌کننده خدمات Patch، می‌گوید: «شرکت‌ها معمولاً مهاجرت را یک پروژه بزرگ می‌بینند پروژه‌ای که می‌توان آن را تا بی‌نهایت عقب انداخت. اگر پروژه‌های دیگری برای ایجاد ارزش کسب‌وکار و یا مزیت رقابتی داشته باشید قطعاً آن‌ها را به مهاجرت ویندوز ترجیح می‌دهید که به شما مزیت رقابتی نمی‌دهد و تنها نسخه دیگری از ویندوز است». وی همچنین گفت: «ارتقا ویندوز در شرکت‌های بزرگ چندین سال به طول می‌انجامد».

 

کراوی گفت: «اگر به پروژه‌ای فکر می‌کنید که یک یا دو سال طول می‌کشد وقتی نخواهید انجامش بدهید انجامش نمی‌دهید و یا تا آخرین لحظه ممکن به تعویقش می‌اندازید. این اتفاقی است که در مهاجرت از ویندوزهای Xp و ۷ به ویندوز ۱۰ می‌افتد». برخی از بیمارستان‌های انگلستان که قربانی WannaCry شده‌اند ویندوز ۷ خود را که سال ۲۰۰۹ منتشر شده است ارتقا نداده‌اند. وی افزود: «تا زمانی که این تفکر تغییر نکند مردم در همین وضعیت می‌مانند».

 

بانک‌ها از حمله باج افزار WannaCry چه درسی باید بگیرند؟

وی همچنین به این مسئله اشاره کرد که کاربران نهایی به این طرز تفکر از Patch عادت کرده‌اند زیرا اپلیکیشن های موبایلی مدام در حال به‌روزرسانی هستند. کرایی افزود: «آی‌تی نیاز دارد تغییر را بپذیرد. کرایی توصیه می‌کند هر شرکت ملزم به ارائه گزارش منظم شود که آیا از نرم‌افزار به‌روزشده استفاده می‌کند یا خیر». او می‌گوید بدیهی است که CIO باید از این مسئله مطلع باشد. کارشناسان نیز فرآیند خودکار Patch را برای نرم‌افزارها توصیه می‌کنند.

 

ال پاسکوال مدیر تحقیقات Javelin Strategy & Research  توصیه می‌کند مدیریت Patch را به کارمندان واگذار نکنید. او می‌گوید شرکت‌ها تلاش می‌کنند با اجازه دادن به کارمندهایشان برای به‌روزرسانی نسخه‌های در دسترس مانع ایجاد وقفه در کسب‌وکار شوند. بااینکه نقاط آسیب‌پذیر سریع‌تر از قبل مسلح می‌شوند شرکت‌هایی که patch را پایه‌گذاری می‌کنند باید این کار را یکنواخت و بلافاصله انجام دهند و یا حداقل شبانه انجام دهند تا کسب‌وکار چند ساعت از دسترس خارج شود.

 

فراتر از به‌روزرسانی نرم‌افزارها و Patch

شیوه‌های patch برای جلوگیری از باج افزار کافی نیست. حمله بعدی می‌تواند به نرم‌افزارهایی باشد که هنوز هیچ Patch ی برایشان ارائه نشده است. دفاع از شرکت‌ها در برابر باج افزار مانند همه تهدیدهای سایبری نیاز به پدافند دفاعی دارد. یکی از مسائل امنیتی که اینجا می‌تواند کمک کند، دسته‌بندی است. با این شیوه، می‌توان مطمئن شد که اگر مهاجم به سیستم نفوذ کرد تنها تا پشت دسته‌بندی‌ها می‌تواند پیش‌روی کند و به دارایی‌های حیاتی دست پیدا نمی‌کند.

 

برگلاس گفت: «حداقل کاری که می‌شود انجام داد اطمینان یافتن از این است که کاربران تنها به بخشی از اطلاعات دسترسی دارند که برای کارشان به آن نیاز دارند. دسترسی بیش‌ازحد امکان گسترش حملات را به‌سرعت افزایش می‌دهد». آگاهی کارکنان و آموزش همیشه مهم است. پاسکوال هم می‌گوید:« شرکت‌ها باید آموزش منظم و رسیدگی به آگاهی‌ها در خصوص فیشینگ داشته باشند. مسئله ثابت در تمامی دستگاه‌ها کاربر است و ضعف آن بستگی مستقیم به افزایش جرم دارد».

 

تلاش دیگر برای شناسایی فعالیت نرم‌افزارهای مخرب در این مورد اسکن‌های داخلی و خارجی خطرناک برای نقاط آسیب‌پذیر نرم‌افزار است.

 

برگلاس همچنین می‌گوید: «طرز نگهداری و استفاده تمام شناساگرهای سازش موجود در صفحات دیجیتالی حرفه‌ای وجود دارد که می‌توانید با آن‌ها ایمیل‌ها و دومین‌ها و آدرس‌های IP مربوط به باج افزارها را بلاک کنید».

 

پشتیبان‌گیری سرد و گرم

اگر همه تمهیدات شکست بخورد و باج افزار از پدافند دفاعی یک شرکت عبور کند یک تدبیر ایمن باقی می‌ماند: پشتیبان‌گیری خوب. اگر یک کامپیوتر خوب پشتیبان‌گیری شود و آن پشتیبان تحت تأثیر باج افزار قرار نگیرد می‌توان بعد از حمله آن را خاموش کرد و نمونه جدید آن در یک قطعه سخت‌افزاری جدید بوت شود؛ اما پشتیبان‌گیری مؤثر هنوز فراگیر نشده است. برگلاس می‌گوید:« بسیاری از شرکت‌ها هنوز به‌درستی پشتیبان‌گیری نمی‌کنند؛ و سیستم‌های مورداستفاده برای تهیه نسخه پشتیبان در زمان واقعی در حمله باج افزار آلوده می‌شوند».

 

برگلاس معتقد است وقتی رشته تهاجمی باج افزار به‌سرعت در محیط حرکت می‌کند و تمام زیرساخت‌های متصل شده را درگیر می‌کند، اگر پشتیبان شما همیشه گرم باشد به این معنی که همیشه آنلاین باشد می‌توانید در اولین روز کاری هفته کامپیوتر خود را روشن کنید و ببینید که پشتیبان شما هم مانند سایر فایل‌ها در حمله رمزگذاری شده است. سازمان‌هایی که از پشتیبان‌های سرد یا غیر آنلاین در زمان‌های بخصوص استفاده می‌کنند شبکه‌ای امن‌تر در شرایط حمله باج افزار خواهند داشت.