وقتی باجافزار از فایروال عبور میکند؛ چرا برنامه بازیابی بخشی از امنیت شبکه است؟
وقتی باجافزار از فایروال عبور میکند؛ چرا برنامه بازیابی بخشی از امنیت شبکه است؟
در بسیاری از سازمانها، مفهوم امنیت شبکه هنوز با خرید فایروال، آنتیویروس و چند ابزار کنترلی خلاصه میشود. مدیران تصور میکنند اگر تجهیزات امنیتی مناسبی در مرز شبکه نصب شده باشد، خطر اصلی برطرف شده است. این نگاه شاید در ظاهر منطقی به نظر برسد، اما در دنیای واقعی امنیت اطلاعات، هیچ ابزار امنیتی نمیتواند احتمال نفوذ را به صفر برساند.
حملات امروزی فقط از یک مسیر وارد شبکه نمیشوند. ایمیل آلوده، حساب کاربری سرقتشده، آسیبپذیری نرمافزارها، دسترسی راه دور ناامن، دستگاه شخصی کاربر، سرویس ابری اشتباه پیکربندیشده یا حتی یک حساب مدیریتی قدیمی میتواند به نقطه ورود مهاجم تبدیل شود.
سؤال مهم برای یک سازمان حرفهای فقط این نیست که:
«چگونه جلوی حمله را بگیریم؟»
سؤال مهمتر این است:
«اگر یکی از لایههای دفاعی شکست خورد، آیا میتوانیم بدون پرداخت باج و بدون توقف طولانی کسبوکار، اطلاعات و سرویسها را برگردانیم؟»
اینجاست که مفهوم بازیابی اطلاعات از یک موضوع صرفاً فنی خارج میشود و به بخشی از معماری امنیت سایبری تبدیل میگردد.
چرا فایروال بهتنهایی کافی نیست؟
فایروال یکی از مهمترین اجزای زیرساخت امنیت شبکه است، اما وظیفه آن مشخص و محدود است. فایروال میتواند ترافیک را کنترل کند، دسترسیهای غیرمجاز را مسدود سازد، ارتباطات مشکوک را شناسایی کند و در مدلهای پیشرفتهتر، قابلیتهایی مانند IPS، کنترل برنامهها، فیلترینگ وب و تحلیل تهدید را ارائه دهد.
با این حال، فایروال معادل مصونیت کامل نیست.
فرض کنید کاربری در واحد مالی سازمان یک فایل آلوده را باز میکند یا اطلاعات ورود او از طریق یک صفحه فیشینگ سرقت میشود. مهاجم ممکن است با استفاده از اعتبارنامه واقعی وارد سرویس سازمان شود. در چنین شرایطی، تشخیص حمله بسیار پیچیدهتر از مسدودسازی یک IP ناشناس است.
سناریوی دیگری را در نظر بگیرید. یکی از نرمافزارهای داخلی شرکت دارای آسیبپذیری امنیتی است و مهاجم پیش از نصب بهروزرسانی امنیتی، از آن سوءاستفاده میکند. حتی در شبکهای که از تجهیزات امنیتی حرفهای استفاده میکند، هنوز باید برای چنین سناریویی برنامه وجود داشته باشد.
در معماری امنیتی بالغ، فرض اصلی این نیست که «هیچ حملهای موفق نمیشود». فرض اصلی این است که ممکن است یکی از لایهها در مقطعی شکست بخورد و سیستم باید توان ادامه فعالیت و بازیابی را داشته باشد.
امنیت واقعی از چند لایه تشکیل میشود
معماری امنیتی حرفهای را میتوان در چهار مرحله اصلی خلاصه کرد:
پیشگیری از حمله، شناسایی رفتار مشکوک، محدود کردن دامنه آسیب و بازیابی سرویسها.
بسیاری از شرکتها بخش عمده بودجه خود را صرف مرحله اول میکنند، اما برای مرحله چهارم برنامه جدی ندارند. همین مسئله باعث میشود یک حمله که میتوانست یک رخداد قابلکنترل باشد، به توقف کامل عملیات سازمان تبدیل شود.
فرض کنید فایلسرور یک شرکت آلوده شده است. اگر بکاپ سالم و قابلبازیابی وجود نداشته باشد، حتی پس از شناسایی و حذف بدافزار، مشکل اصلی حل نشده است. اطلاعات رمزگذاری شدهاند و شرکت دیگر به فایلهای خود دسترسی ندارد.
در مقابل، اگر نسخههای مستقل و قابلاعتماد از اطلاعات وجود داشته باشد، سازمان میتواند سیستم آلوده را ایزوله کند، منشأ حمله را بررسی کند و سپس سرویسها را از نسخه سالم بازیابی نماید.
این تفاوت میان یک سازمان آسیبپذیر و یک سازمان دارای تابآوری سایبری است.
تفاوت Backup، Snapshot و Replication چیست؟
یکی از خطاهای رایج در پروژههای زیرساخت، یکی دانستن همه روشهای حفاظت از اطلاعات است. در حالی که Backup، Snapshot و Replication اهداف متفاوتی دارند و نباید جایگزین یکدیگر در نظر گرفته شوند.
Backup
بکاپ یک نسخه مستقل از اطلاعات است که برای بازیابی در صورت حذف، خرابی، حمله یا خطای انسانی استفاده میشود.
یک بکاپ مناسب باید از سیستم اصلی جدا باشد و مهاجم نتواند بهسادگی به همان روشی که اطلاعات اصلی را تخریب کرده، نسخه پشتیبان را نیز حذف یا رمزگذاری کند.
Snapshot
Snapshot تصویری از وضعیت اطلاعات در یک زمان مشخص است. این فناوری برای بازگرداندن سریع فایلها یا Volume به وضعیت قبلی بسیار کاربردی است.
اما Snapshot همیشه جایگزین Backup نیست. اگر زیرساخت اصلی ذخیرهسازی دچار خرابی جدی شود یا مهاجم دسترسی مدیریتی کامل پیدا کند، Snapshotهای همان سیستم ممکن است در معرض خطر قرار گیرند.
Replication
Replication اطلاعات را از یک سیستم به سیستم دیگر منتقل میکند و برای تداوم سرویس و بازیابی سریع بسیار مفید است.
اما یک نکته بسیار مهم وجود دارد: اگر فایلهای خراب یا رمزگذاریشده بدون کنترل به مقصد Replicate شوند، مشکل نیز ممکن است به سایت دوم منتقل شود.
به همین دلیل، معماری حرفهای معمولاً ترکیبی از Backup، Snapshot، Replication و نسخههای محافظتشده خارج از دسترس مستقیم سیستم اصلی است.
خطر بکاپی که همیشه آنلاین است
یکی از اشتباهات جدی سازمانها این است که تصور میکنند داشتن یک NAS یا هارد اکسترنال متصل به شبکه به معنی داشتن بکاپ امن است.
اگر نسخه پشتیبان همیشه به همان شبکه، همان Domain یا همان حسابهای مدیریتی دسترسی داشته باشد، در صورت نفوذ مهاجم ممکن است همان نسخه پشتیبان نیز هدف قرار گیرد.
مهاجمان حرفهای در بسیاری از حملات، ابتدا بهدنبال سیستمهای بکاپ میگردند. دلیل این کار مشخص است: تا زمانی که سازمان نسخه سالمی از اطلاعات داشته باشد، احتمال پرداخت باج کاهش پیدا میکند.
به همین دلیل باید میان «وجود بکاپ» و «وجود بکاپ قابلبازیابی» تفاوت قائل شد.
ممکن است یک شرکت هر شب از اطلاعات خود بکاپ بگیرد، اما در روز بحران متوجه شود:
بکاپها ناقص هستند،
نسخههای اخیر نیز آلوده شدهاند،
فضای ذخیرهسازی خراب شده است،
دسترسی به بکاپ با همان حسابهای آلودهشده انجام میشود،
یا هیچکس فرایند Restore را آزمایش نکرده است.
در این شرایط، گزارش موفق بودن Job بکاپ تقریباً هیچ ارزشی ندارد.
RPO و RTO؛ دو عددی که مدیران باید بدانند
بحث بکاپ فقط موضوع واحد IT نیست. مدیران ارشد سازمان نیز باید دو مفهوم ساده اما حیاتی را بدانند: RPO و RTO.
RPO
RPO مشخص میکند سازمان حداکثر چه مقدار از اطلاعات اخیر خود را میتواند از دست بدهد.
برای مثال، اگر RPO برابر یک ساعت باشد، سیستم بکاپ باید طوری طراحی شود که در بدترین حالت حداکثر اطلاعات یک ساعت اخیر از بین برود.
اما اگر سازمان فقط روزی یک بار بکاپ میگیرد، در یک حادثه ممکن است تا ۲۴ ساعت داده کاری خود را از دست بدهد.
RTO
RTO مشخص میکند یک سرویس در صورت حادثه، حداکثر چه مدت میتواند از دسترس خارج باشد.
برای یک کسبوکار کوچک، شاید قطع بودن یک فایلسرور برای چند ساعت قابلتحمل باشد. اما برای کارخانه، بیمارستان، مرکز تماس یا فروشگاه آنلاین، توقف طولانی میتواند هزینه بسیار سنگینی ایجاد کند.
مشکل این است که بسیاری از سازمانها تجهیزات بکاپ میخرند بدون اینکه ابتدا RPO و RTO را مشخص کنند.
نتیجه چنین رویکردی معمولاً خرید تجهیزات نامتناسب یا طراحی معماری ناقص است.
سناریوی واقعی: وقتی فایلسرور سازمان از دسترس خارج میشود
فرض کنید یک شرکت با ۱۵۰ کاربر، اطلاعات مالی، قراردادها، فایلهای پروژه و اسناد مشتریان را روی یک فایلسرور مرکزی نگهداری میکند.
صبح شنبه کاربران گزارش میدهند که فایلها باز نمیشوند. تیم IT بررسی میکند و مشخص میشود بخش زیادی از اطلاعات رمزگذاری شده است.
در این لحظه، کیفیت واقعی معماری سازمان مشخص میشود.
در سازمان اول، تنها یک NAS متصل به Domain وجود دارد و Job بکاپ هر شب اجرا میشود. مهاجم پس از دسترسی به حساب مدیریتی، فایلهای اصلی و نسخههای بکاپ را رمزگذاری کرده است.
در سازمان دوم، چند لایه محافظتی وجود دارد. Snapshotهای محافظتشده، بکاپ مستقل، نسخه خارج از سایت و سیاستهای دسترسی جداگانه تعریف شدهاند. تیم IT سیستم آلوده را ایزوله میکند و اطلاعات از آخرین نقطه سالم بازیابی میشوند.
هر دو شرکت ممکن است از فایروال حرفهای استفاده کرده باشند، اما نتیجه بحران کاملاً متفاوت است.
تفاوت اصلی در وجود یا عدم وجود برنامه بازیابی است.
چرا معماری امنیت و ذخیرهسازی باید با هم طراحی شوند؟
در بسیاری از پروژهها، فایروال را یک شرکت تأمین میکند، سرور را مجموعه دیگری نصب میکند و سیستم ذخیرهسازی نیز بدون هماهنگی با معماری امنیتی خریداری میشود.
این رویکرد جزیرهای باعث ایجاد شکاف میشود.
برای مثال، تیم امنیت ممکن است شبکه را Segment کرده باشد، اما سرور بکاپ همچنان از تمام VLANها قابلدسترسی باشد. یا NAS دارای Snapshot باشد، اما حسابهای مدیریتی آن با همان اطلاعات ورود Domain مدیریت شوند.
در یک معماری صحیح باید مشخص شود:
چه سیستمهایی به اطلاعات دسترسی دارند،
بکاپ از چه مسیری منتقل میشود،
چه کاربرانی اجازه حذف نسخهها را دارند،
آیا مدیر Domain میتواند سیستم بکاپ را نیز مدیریت کند،
آیا نسخهای خارج از سایت وجود دارد،
آیا Snapshotها قابلحذف توسط حسابهای معمول مدیریتی هستند،
و در روز حادثه چه کسی مسئول تصمیمگیری برای Restore است.
در یک تحلیل درباره ارتباط امنیت شبکه و بکاپ قابل بازیابی نیز به همین مسئله پرداخته شده است که معماری امنیتی بدون درنظرگرفتن NAS، Snapshot و برنامه بازیابی، تصویر کاملی از حفاظت اطلاعات ارائه نمیدهد:
نکته اصلی این است که امنیت شبکه و زیرساخت ذخیرهسازی دو پروژه جدا از هم نیستند. وقتی اطلاعات حیاتی سازمان در مرکز حمله قرار دارد، طراحی امنیت و بازیابی باید بهصورت یکپارچه انجام شود.
تست Restore مهمتر از گزارش Backup Successful است
یکی از واقعیتهای تلخ در مدیریت زیرساخت این است که بسیاری از سازمانها تا روز بحران، هیچوقت بازیابی کامل اطلاعات را آزمایش نکردهاند.
نرمافزار بکاپ گزارش میدهد عملیات با موفقیت انجام شده است و تیم IT تصور میکند همه چیز آماده است. اما ممکن است در زمان Restore مشکلاتی ظاهر شوند:
نسخه بکاپ ناقص باشد،
فایل خاصی بهدرستی ذخیره نشده باشد،
زمان بازیابی بسیار طولانیتر از حد انتظار باشد،
زیرساخت مقصد ظرفیت لازم را نداشته باشد،
یا مستندات دسترسی ناقص باشند.
به همین دلیل، تست Restore باید بخشی از برنامه عملیاتی سازمان باشد.
این تست لازم نیست همیشه به معنی بازگردانی کامل تمام زیرساخت باشد. میتوان بهصورت دورهای یک فایل، یک ماشین مجازی یا یک سرویس مشخص را در محیط آزمایشی بازیابی کرد و صحت فرایند را بررسی نمود.
هدف این است که اولین تجربه Restore سازمان در روز حمله باجافزاری نباشد.
بکاپ خارج از سایت چرا اهمیت دارد؟
یکی از اصول مهم برنامه بازیابی این است که تمام نسخههای اطلاعات در یک مکان قرار نداشته باشند.
سناریو فقط حمله سایبری نیست. آتشسوزی، آسیب فیزیکی، سرقت تجهیزات، خطای انسانی یا خرابی جدی سختافزار نیز میتواند هم سیستم اصلی و هم بکاپ محلی را تحت تأثیر قرار دهد.
برای همین، بسیاری از سازمانها بخشی از اطلاعات خود را به سایت دوم، دیتاسنتر دیگر یا فضای ذخیرهسازی ابری منتقل میکنند.
اما Offsite Backup نیز باید با برنامه انجام شود. صرف انتقال فایلها کافی نیست.
باید مشخص شود:
اطلاعات با چه سرعتی منتقل میشوند،
آیا ارتباط رمزگذاری شده است،
چه نسخههایی در مقصد نگهداری میشوند،
دسترسی مدیریتی چگونه کنترل میشود،
و Restore از سایت دوم چه مدت زمان میبرد.
یک معماری خوب فقط به انتقال اطلاعات فکر نمیکند؛ به بازگشت اطلاعات نیز فکر میکند.
نقش NAS در برنامه بازیابی اطلاعات
NAS در سازمانها دیگر فقط یک فضای اشتراک فایل ساده نیست. سیستمهای ذخیرهسازی حرفهای میتوانند بخشی مهم از معماری Backup و Disaster Recovery باشند.
بسته به مدل و طراحی زیرساخت، NAS میتواند برای موارد مختلف استفاده شود:
نگهداری بکاپ سرورها،
ذخیره Snapshot،
Replication به سایت دوم،
آرشیو اطلاعات،
پشتیبانگیری از ماشینهای مجازی،
و ایجاد لایه جداگانه برای بازیابی سریع.
با این حال، خرید NAS بدون طراحی صحیح نیز مشکل را حل نمیکند.
انتخاب تعداد Bay، نوع RAID، ظرفیت هارد، سرعت شبکه، مقدار Cache، نوع فایلسیستم، سیاست Snapshot و محل نگهداری نسخه دوم همگی باید بر اساس نیاز واقعی سازمان تعیین شوند.
یک شرکت کوچک با ۲۰ کاربر نیاز متفاوتی با یک سازمان چندشعبهای یا مجموعه دارای زیرساخت مجازیسازی دارد.
اشتباهات متداول در برنامه بکاپ سازمانی
برخی اشتباهات بارها در سازمانها تکرار میشوند.
اولین اشتباه این است که تنها یک نسخه از اطلاعات وجود دارد و همان نسخه Backup نامیده میشود.
دومین اشتباه این است که بکاپ در همان سیستم اصلی ذخیره میشود.
سومین اشتباه، استفاده از حسابهای مدیریتی مشترک برای سرورهای اصلی و سیستم بکاپ است.
چهارمین اشتباه، نبود نسخه خارج از سایت است.
پنجمین اشتباه، نداشتن سیاست نگهداری نسخههاست.
و شاید مهمترین اشتباه، تست نکردن Restore باشد.
سازمانی که نمیداند اطلاعات خود را با چه سرعتی میتواند برگرداند، در واقع برنامه بازیابی ندارد؛ فقط امیدوار است بکاپ کار کند.
چکلیست ساده آمادگی در برابر حمله باجافزاری
قبل از هر بحران، مدیران فناوری اطلاعات باید بتوانند به چند سؤال ساده پاسخ دهند.
آخرین بکاپ سالم کجاست؟
چه کسی میتواند آن را حذف کند؟
اگر حساب مدیر Domain هک شود، آیا بکاپ نیز در خطر است؟
آخرین بار چه زمانی Restore آزمایش شده است؟
بازیابی فایلسرور اصلی چقدر زمان میبرد؟
اگر ساختمان اصلی در دسترس نباشد، نسخه دیگری از اطلاعات وجود دارد؟
آیا کاربران به تمام منابع شبکه دسترسی دارند یا Segment بندی انجام شده است؟
آیا تجهیزات امنیتی و سیستم ذخیرهسازی توسط یک معماری هماهنگ محافظت میشوند؟
اگر پاسخ این پرسشها مشخص نیست، سازمان هنوز در برابر یک بحران واقعی آماده نیست.
جمعبندی
امنیت سایبری فقط ساختن دیوار بلندتر نیست.
فایروال، Endpoint Security، کنترل دسترسی و سیستمهای تشخیص تهدید برای کاهش احتمال حمله ضروری هستند، اما معماری امنیتی زمانی کامل میشود که سازمان برای روز شکست یکی از این لایهها نیز برنامه داشته باشد.
باجافزار زمانی به یک بحران جدی تبدیل میشود که سازمان نتواند اطلاعات خود را بازیابی کند.
بنابراین، برنامه امنیت حرفهای باید سه هدف همزمان داشته باشد:
کاهش احتمال نفوذ،
محدود کردن دامنه آسیب،
و بازگرداندن سریع اطلاعات و سرویسها.
سازمانی که فقط روی جلوگیری از حمله سرمایهگذاری میکند اما برنامهای برای Recovery ندارد، بخشی از مهمترین واقعیت امنیت اطلاعات را نادیده گرفته است.
در نهایت، پرسش حرفهای این نیست که «آیا ممکن است روزی مورد حمله قرار بگیریم؟»
پرسش درست این است:
«اگر فردا صبح بخشی از اطلاعات سازمان در دسترس نباشد، دقیقاً از کجا، با چه نسخهای و در چه مدت زمانی آن را بازیابی خواهیم کرد؟»
پاسخ شفاف به همین سؤال، تفاوت میان داشتن چند ابزار امنیتی و داشتن یک معماری واقعی برای تابآوری سایبری است.
آیا شما به دنبال کسب اطلاعات بیشتر در مورد "وقتی باجافزار از فایروال عبور میکند؛ چرا برنامه بازیابی بخشی از امنیت شبکه است؟" هستید؟ با کلیک بر روی تکنولوژی, کسب و کار ایرانی، به دنبال مطالب مرتبط با این موضوع هستید؟ با کلیک بر روی دسته بندی های مرتبط، محتواهای دیگری را کشف کنید. همچنین، ممکن است در این دسته بندی، سریال ها، فیلم ها، کتاب ها و مقالات مفیدی نیز برای شما قرار داشته باشند. بنابراین، همین حالا برای کشف دنیای جذاب و گسترده ی محتواهای مرتبط با "وقتی باجافزار از فایروال عبور میکند؛ چرا برنامه بازیابی بخشی از امنیت شبکه است؟"، کلیک کنید.