من از نزدیک با تیم تحریریه خود در DCK کار میکنم، و اغلب ایدههایی را در مورد اینکه چه چیزی را پوشش دهیم مطرح میکنیم. خیلی وقتها پیش نمیآید که موضوعی از گفتگو قلبم را میشکند.
هنگام بحث در مورد امنیت در مرکز داده، ما اغلب در مورد امنیت فیزیکی، دروازه ها، حصارها و بیومتریک بحث می کنیم. ما همچنین در مورد امنیت سایبری، تقسیمبندی زیرساخت، امنیت شبکه مناسب و جداسازی بحث میکنیم. اما من همیشه تعجب میکنم که چند نفر در اینجا این خردههای طلایی خرد را میگیرند و به کار میبرند.
در پست اخیر در DCK، من به امنیت فیزیکی پرداختم، زیرا برای اولین بار، گزارش AFCOM State of the Data Center در سال 2023 شاهد بود که چندین نوع تهدید فیزیکی انسانی در پنج مورد از بزرگترین تهدیدات علیه زیرساخت های حیاتی ظاهر شدند. امروز، ما روی باج افزارهایی که در صدر آن لیست قرار دارند تمرکز می کنیم.
و من یک راز کوچک را برای شما پر می کنم. این اولین سالی نیست که باج افزار در صدر جدول قرار دارد. باج افزار برای هفتمین سال متوالی و در کمال تعجب هیچ کس این را نمی خواند، در صدر فهرست قرار گرفت. به یاد داشته باشید، هر دستگاه متصل شده یک هدف است، زیرا به داده ها مربوط می شود. وقتی از پاسخدهندگان خواسته شد تا پنج تهدید امنیتی و زیرساختی را برای شرکتهایشان نشان دهند، احتمال بیشتری وجود داشت که پاسخدهندگان به باجافزار (52%)، پس از آن از دست دادن PII (39%) و تهدیدات خارجی (39%) اشاره کنند.
همه این تهدیدات امنیتی می تواند باعث خرابی شود. و این به سرعت پرهزینه می شود. بر اساس تجزیه و تحلیل قطعی 2022 مؤسسه Uptime، عواقب و هزینه خرابی در حال بدتر شدن است، به طوری که 60٪ از خرابی ها در حال حاضر حداقل 100،000 دلار ضرر کل را به همراه دارد. آنها همچنین دریافتند که هنگامی که قطعی های قابل توجهی اتفاق می افتد، بیش از 85٪ از حوادث ناشی از عدم پیروی کارکنان از رویه ها یا نقص در خود فرآیندها است.
اما چه اتفاقی میافتد وقتی که فقط زمان خرابی نباشد؟ اگر یک حمله باج افزار همه چیز را برای شما تمام کند چه اتفاقی می افتد؟
پس از یک حمله ویرانگر باج افزار، این دقیقاً همان چیزی است که برای یک ارائه دهنده ابر دانمارکی رخ داد.
حمله رمزگذاری باج افزار که همه چیز را برای CloudNordic تمام کرد
شب جمعه، 18 آگوست، CloudNordic مجبور شد نامه ای دلخراش برای همه مشتریانش ارسال کند. این مشتریان چه چیزی را از دست دادند؟
CloudNordic در وب سایت خود نوشت: “همه چیز”. “یک نفوذ، CloudNordic را به طور کامل فلج کرده و همچنین مشتریان ما را به شدت تحت تاثیر قرار داده است.” این شرکت موضعی سختگیرانه اتخاذ کرد و از پاسخگویی به درخواست های جنایتکارانه برای باج امتناع کرد. با این حال، عواقبی داشت. “متاسفانه ثابت شده است که بازیابی داده های بیشتر غیرممکن است و اکثر مشتریان ما تمام داده های ما را از دست داده اند. این برای همه افرادی که در حال حاضر با آنها تماس نداشته ایم صدق می کند.”
چگونه این اتفاق افتاد؟
در پست روی وبسایت CloudNordic که از دانمارکی ترجمه شده است، این سازمان اظهار داشت: «هجومکنندگان موفق شدند دیسکهای تمام سرورها و همچنین سیستم پشتیبان اولیه و ثانویه را رمزگذاری کنند که در نتیجه همه دستگاهها از کار افتادند و ما دسترسی به همه دادهها را از دست دادیم. “
در حالی که دقیقاً مشخص نیست که حمله باجافزار چگونه رخ داده است، شرکت اعلام کرد که با انتقال سیستمهای آلوده از یک مرکز داده به مرکز داده دیگر که “متاسفانه برای دسترسی به شبکه داخلی ما که برای مدیریت همه سرورهای ما استفاده میشود، سیمکشی شده بود، تقویت شد.” متأسفانه، CloudNordic نمی دانست که یک سیستم آلوده وجود دارد.
علیرغم اینکه ماشینهایی که جابجا شدهاند هم توسط فایروال و هم با آنتیویروس محافظت میشوند، برخی از ماشینها قبل از انتقال، با عفونتی که به طور فعال در مرکز داده قبلی استفاده نشده بود، آلوده شده بودند و ما هیچ اطلاعی نداشتیم که این یک عفونت بود.”
از آنجا، از طریق شبکه داخلی CloudNordic، “حمله کنندگان به سیستم های مدیریت مرکزی و سیستم های پشتیبان دسترسی پیدا کردند.”
مشتریان داخل Azero نیز پس از ظاهر شدن یک اخطار مشابه در وب سایت آنها تحت تأثیر قرار گرفتند. CloudNordic و Azero متعلق به یک سازمان دانمارکی، Certiqa Holdings هستند. جالب اینجاست که آنها همچنین مالک Netquest هستند، یک ارائه دهنده اطلاعات تهدید برای مخابرات و دولت ها.
از این پست، CloudNordic و Azero تمام تلاش خود را میکنند تا وبسایتهای مشتریان، سیستمهای ایمیل و سایر سیستمهای مهم را بدون اطلاعات مشتری، از ابتدا بازسازی کنند.
دارن ویلیامز، مدیرعامل و موسس BlackFog، گفت: «این نمونه دیگری از باندهای سایبری است که به صورت استراتژیک بر اهداف با ارزشی مانند MSP ها تمرکز می کنند، جایی که می توانند از استخراج داده ها برای اخاذی از چندین سازمان به طور همزمان استفاده کنند و شانس پرداخت باج را افزایش دهند. “این بدان معناست که عواقب پس از حمله احتمالاً در یک دوره طولانی مانند حملات MOVEit آشکار خواهد شد. استخراج داده ها یک تاکتیک رایج است، به طوری که اکنون بیش از 89٪ از تمام حملات شامل نوعی از استخراج داده ها است. استراتژی های مبتنی بر دفاع موجود. دیگر برای مقابله با این حملات مدرن و پیچیده کافی نیستند. متأسفانه، فاجعه ای مانند این اتفاق می افتد تا شرکت ها را مجبور کند که نیاز به رویکردهای پیشگیرانه و رویکردهای مبتنی بر حذف داده ها را تشخیص دهند.”
ما در یک دقیقه در مورد اینکه این پیشگیری چگونه به نظر می رسد صحبت خواهیم کرد. تنها چیزی که در اینجا وجود دارد این است که در حالی که مقادیر بسیار زیادی از داده ها رمزگذاری شده و به طور موثر بی فایده شده اند، هیچ نشانه ای مبنی بر کپی شدن یا انتقال این داده ها از اکوسیستم وجود ندارد.
آمدن به یک مرکز داده در نزدیکی شما … باج افزار
ایده در اینجا این نیست که شما را از ابر یا ارائه دهنده مرکز داده بترسانیم. با این حال، مراکز داده و ارائه دهندگان کولوکیشن باید سیستم های خود را بررسی کنند تا اطمینان حاصل کنند که چنین چیزی هرگز نمی تواند اتفاق بیفتد.
چالش این است که مراکز داده بسیار هدف هستند. در سال 2019، CyrusOne تایید کرد که یک حمله باج افزار را تجربه کرده است. در حالی که این حمله به مشاغل خدمات مدیریت شده در یک مرکز داده نیویورک محدود بود، با این وجود شش مشتری تحت تأثیر قرار گرفتند.
CyrusOne در بیانیهای اعلام کرد: «با کشف این حادثه، CyrusOne پروتکلهای واکنش و تداوم خود را برای تعیین آنچه رخ داده، بازیابی سیستمها و اطلاع مقامات قانونی مربوطه آغاز کرد».
بر اساس گزارش ZDNet، حمله باج افزار توسط نسخه ای از باج افزار REvil که به نام Sodinokibi نیز شناخته می شود، ایجاد شده است.
حدود یک سال پس از CyrusOne، Equinix یک حمله باج افزار علیه سیستم های خود را فاش کرد. این شرکت هیچ جزئیاتی در مورد حادثه باج افزار ارائه نکرد. Bleeping Computer ادعا می کند که یک نسخه از یادداشت باج گیری Equinix را دریافت کرده است. به گزارش این پایگاه خبری، این یادداشت شامل اسکرین شات از پوشه های حاوی فایل های رمزگذاری شده بود. نام پوشه ها نشان می دهد که حاوی اطلاعات حساس زیادی مانند اطلاعات مالی، حقوقی و حقوق و دستمزد هستند.
خبر خوب در اینجا این است که سیستم های مشتری تحت تأثیر قرار نگرفتند، همانطور که در یک پست وبلاگ Equinix بیان شد:
“Equinix در حال حاضر در حال بررسی یک حادثه امنیتی است که ما شناسایی کردیم که شامل باجافزار در برخی از سیستمهای داخلی ما میشود. تیمهای ما اقدام فوری و قاطع برای رسیدگی به این حادثه انجام دادند، به مجریان قانون اطلاع دادند و به بررسی ادامه میدهند. مراکز داده و خدمات ما، از جمله خدمات مدیریت شده، به طور کامل عملیاتی می شود و این حادثه بر توانایی ما برای حمایت از مشتریانمان تأثیری نداشته است.”
جلوگیری از باجافزار میتواند بسیار کمک کند
با جسورتر شدن مهاجمان، آنها به دنبال اهداف بیشتری خواهند رفت. مراکز داده به عنوان نقاط حمله عالی هستند زیرا مشتریان زیادی وجود دارد که یک مهاجم می تواند به دنبال آنها باشد.
بسیاری از روندهای امنیتی به بردار حمله ای اشاره می کنند که ساده و در عین حال موثر است. کمتر از 10٪ از حملات موفق در صنعت ما از نقص های فنی سوء استفاده می کنند. این نوع حملات بسیار هدفمند علیه سیستم های معیوب هستند. حدود 90 درصد دیگر با حملات نرمتری مانند spear-phishing شروع میشود که در آن ایمیلهایی از فرستنده مورد اعتماد ظاهر میشوند و گیرنده را متقاعد میکنند که اطلاعات محرمانه را فاش کند. و با هوش مصنوعی، این حملات بسیار متناوبتر و تشخیص آن دشوار است.
برای محافظت در برابر باجافزار، کارشناسان توصیه میکنند که مدیران امنیت مراکز داده اصول اولیه را در اختیار داشته باشند: کنترلهای دسترسی، حفاظت نقطه پایانی، وصلههای خودکار و سایر عناصر بهداشت اولیه امنیتی. در تجربه من، اطمینان از قوانین شبکه و تقسیم بندی مناسب می تواند راه طولانی را با کاهش ریسک انجام دهد. حفاظت اساسی اضافی؟ آموزش هوشیاری. با توجه به اینکه بیش از 90 درصد از تهدیدات از طریق صندوق ورودی وارد می شوند، کاربران باید در مورد آنچه کلیک می کنند بسیار محتاط باشند. سازمانهای پیشرو واقعاً کاربران خود را با استفاده از ابزارهای spear-phishing آزمایش میکنند تا اطمینان حاصل کنند که نیروی کار آنها تفاوت بین حملات مخرب و منابع قابل اعتماد را میدانند.
علاوه بر این، مراکز داده باید دوباره بررسی کنند که به اندازه کافی بیمه شده اند. خبر خوب این است که بیمه شدن آسانتر شده است. از پست اخیر اینجا در DCK، متوجه شدیم که بازار بیمه سایبری، که توسط حملات باجافزاری دوران همهگیری آسیب دیده، در حال بازگشت است. افزایش قیمت ها تعدیل می شود، حامل های جدید و منابع جدید سرمایه در حال ظهور هستند و شرکت ها می توانند بهتر پوشش دهند.
داده های اولیه کارگزار بیمه Marsh McLennan نشان می دهد که قیمت بیمه سایبری نسبت به سال قبل در ژانویه 10 درصد افزایش یافته است که کسری از افزایش سالانه 110 درصدی گزارش شده در سه ماهه اول سال 2022 است. تام ریگان، رهبر تمرین سایبری مارش، گفت: اگر این روند ادامه یابد، قیمت ها ممکن است کاهش یابد.
حفاظت از باج افزار همچنان در صدر فهرست قرار خواهد گرفت
خطرات ناشی از مجرمان سایبری هنوز بسیار زیاد است. حملات باج افزاری علیه سازمان های صنعتی در سال 2022 نسبت به سال قبل 87 درصد افزایش یافته است، در حالی که وزارت خزانه داری ایالات متحده اعلام کرده است که موسسات مالی نزدیک به 1.2 میلیارد دلار پرداخت های احتمالی مرتبط با باج افزار در سال 2021 را نشان داده اند. نقض های گسترده اخیر در شرکت خدمات مالی ION Trading UK و یک مرکز داده بزرگ آسیایی بر خطر وحشتناک ناشی از هکرها تأکید کرد.
آلن هاوارد، تحلیلگر اصلی در Omdia میگوید: «از میان تمام خطراتی که اپراتورهای مرکز داده و زیرساختهای فناوری اطلاعات با آن مواجه هستند، تعداد کمی از آنها به پیامدهای تضعیف کننده یک حمله باجافزار مؤثر نزدیک میشوند. هاوارد گفت: “این قابل توجه است که بسیاری از شرکت ها آماده هستند تا با وجود داستان های ترسناک معروف، راه سختی را در مورد کاهش عوامل خطر عمده ای که با آن مواجه هستند بیاموزند. من انتظار دارم که هیئت داوران برای مدتی در مورد آینده CloudNordic حضور داشته باشند.”
هدف این پست ترساندن شما نیست. با این حال، اگر یک رهبر زیرساخت هستید، از این لحظه برای تأمل در سیستمهای امنیتی و بهترین شیوههای خود استفاده کنید. اگر یک سیستم یا حجم کاری از یک مرکز داده به مرکز داده دیگر منتقل شود، آیا از یکپارچگی آن سیستم مطمئن هستید؟ چه کسی به آن دسترسی داشت؟ چگونه به داخل منتقل شد؟
ایده اعتماد صفر، جایی که به هیچ چیز اعتماد نمی کنید و همه چیز را تأیید می کنید، به حذف تهدیدات از عملیات اغلب پیش پا افتاده کمک می کند. در نهایت، و بسیار مهمتر، کاربران شما باید مسئولیت مشترکی در مورد امنیت داشته باشند. اعتماد بسیار طول می کشد تا به دست آید اما می تواند در چند ثانیه در یکی از این حملات از بین برود. اصول اولیه امنیتی می تواند راه درازی داشته باشد. هرگز از ممیزی های امنیتی و بهترین شیوه ها راضی نباشید زیرا ردپای داده شما افزایش می یابد. در غیر این صورت، یک حمله باج افزار می تواند همه چیز را برای شما تمام کند.