پلتفرمهای مدرن مدیریت زیرساخت مرکز داده (DCIM) و سایر ابزارهای جدید قدرت بیشتری را در دست مدیران تأسیسات قرار میدهند.
در نتیجه، مراکز داده سریعتر، مقیاس پذیرتر و کارآمدتر می شوند. اما با این کار خطر حملات سایبری علیه زیرساخت های فیزیکی بیشتر می شود.
در اوایل سال جاری، محققان شرکت امنیت سایبری Cyble بیش از 20000 نمونه از سیستم های مدیریت زیرساخت مرکز داده را در معرض اینترنت پیدا کردند.
مهاجمانی که میتوانند به سیستمهای DCIM دسترسی پیدا کنند، میتوانند سیستمهای خنککننده را دستکاری کنند، برای مثال، که میتواند باعث داغ شدن بیش از حد سرورها و آسیب دیدن آنها شود. آنها همچنین می توانند فرآیندهای پشتیبان گیری را مختل کنند یا فایل های پشتیبان مخرب را آپلود کنند. اگر سیستم های منبع تغذیه بدون وقفه دارای داشبوردهای قابل دسترسی از طریق اینترنت باشند، مهاجمان می توانند UPS را خاموش کنند.
کریس کاروسو، CISO در Cyxtera Technologies، مرکز داده جهانی و ارائهدهنده مکانیابی، گفت: «وقتی صحبت از زیرساختهای مرکز داده به میان میآید، رویکرد ما این است – اگر متصل باشد، یک آسیبپذیری بالقوه است.
کاروسو گفت و فقط سیستمهای خودش نیست که مراکز داده باید مراقب آن باشند.
او خاطرنشان کرد: «ارائهدهندگان همچنین باید با فروشندگان شخص ثالث همکاری نزدیک داشته باشند تا اطمینان حاصل کنند که این شرکا تمام تلاش خود را برای محافظت از سیستمها و شبکههای خود انجام میدهند.»
او گفت که همچنین برای مدیران مهم است که از آخرین تحولات در امنیت سایبری مطلع باشند، زیرا “چشم انداز تهدید همیشه در حال تغییر است.”
او گفت که مدیران مراکز داده می توانند اطلاعات تهدیدات را از منابع مختلف از جمله آژانس امنیت سایبری و امنیت زیرساخت (CISA) دریافت کنند.
تهدید جدید برف پاک کن ها
حمله روسیه به اوکراین موج جدیدی از تهدیدات به نام برف پاک کن را به وجود آورده است.
به گفته محققان امنیتی در ESET، حملاتی مانند HermeticWiper و IsaacWiper وانمود میکنند که باجافزار هستند، اما پس از آن به جای رمزگشایی فایلها هنگام پرداخت باج، همه چیز از بین میرود.
شاون تیلور، معاون دفاع از تهدیدات در Forescout Technologies، یک شرکت امنیت سایبری، گفت: «این نوع تهدیدات اغلب بر روی سرورها و رایانههای یک مرکز داده متمرکز میشوند، اما بسیاری از انواع دیگر دستگاههایی که مراکز داده به آنها تکیه میکنند ممکن است تحت تأثیر قرار گیرند. آنها شامل سیستمهای برق اضطراری، کنترلکنندههای HVAC و دستگاههای امنیتی فیزیکی مانند نشانخوانها و دوربینهای IP هستند.
او افزود که این نوع دستگاه ها به دلیل نقص های اساسی در پشته های ارتباطی که این دستگاه ها برای انجام عملکرد خود به آن ها تکیه می کنند، می توانند بسیار آسیب پذیر باشند.
داشبورد اطلاعات سایبری جهانی وندره آزمایشگاه Forescout نشان میدهد که سیستمهای UPS یکی از خطرناکترین دستگاههای امروزی هستند.
در واقع، همین هفته گذشته CISA هشداری مشترک با وزارت انرژی صادر کرد و نسبت به حمله عوامل تهدید به دستگاه های UPS متصل به اینترنت، اغلب از طریق نام کاربری و رمز عبور بدون تغییر، هشدار داد.
برای محافظت در برابر چنین حملاتی، CISA بررسی محیط مرکز داده برای UPS و سیستمهای مشابه و حذف رابطهای مدیریتی از اینترنت را توصیه میکند.
اگر دستگاه باید در دسترس باشد، آژانس توصیه میکند که مراکز داده کنترلهای جبرانکننده را مستقر کنند. به عنوان مثال، دستگاه ها را می توان در پشت یک شبکه خصوصی مجازی قرار داد. CISA همچنین پیشنهاد می کند که مراکز داده استفاده از احراز هویت چند عاملی را اعمال کنند و از رمزهای عبور یا عبارت عبور قوی و طولانی استفاده کنند.
این آژانس همچنین توصیه می کند بررسی کنید که آیا نام کاربری و رمز عبور همچنان روی پیش فرض کارخانه تنظیم شده است یا خیر. ظاهراً این یک چیز رایج است.
تیلور گفت، اما بسیاری از دستگاه ها و اجزای دیگر نیز وجود دارند که می توانند از طریق وب در دسترس باشند، از جمله سیستم های تهویه مطبوع و امنیت فیزیکی.
او گفت که اغلب، این دسترسی وجود دارد تا فروشندگان و تولیدکنندگان بتوانند از راه دور آنها را پشتیبانی یا وصله کنند. مراکز داده باید همیشه بدانند که کدام یک از سیستم های آنها در معرض اینترنت است.
زیرساخت های فیزیکی اغلب نقطه کوری برای امنیت سایبری است
تیمهای امنیت سایبری مرکز داده معمولاً بر امنیت شبکهها، سرورها و سایر زیرساختهای فناوری تمرکز میکنند.
ناصر فتاح، رئیس کمیته راهبری آمریکای شمالی در Shared Assessments، کنسرسیومی از شرکتهایی که ابزارها و گواهینامههایی را برای مدیریت ریسک شخص ثالث ارائه میکنند، گفت که این دامنه باید گسترش یابد.
وی گفت: «این فهرست کلی مرکز داده باید همه جانبه باشد، از جمله برق، تهویه مطبوع، سیستم اطفاء حریق، یو پی اس، دوربین مدار بسته و غیره، زیرا این راه حل ها ممکن است به یک شکل به شبکه فناوری اطلاعات و داده متصل شوند. یا دیگری، که می تواند به یک نقطه دسترسی غیرمجاز تبدیل شود.”
وی افزود: امروزه مراکز داده از دستگاه های هوشمند و متصل برای همه چیز از پایش دما گرفته تا نظارت استفاده می کنند که می توان از همه آنها برای ایجاد اختلال و قطع استفاده کرد.
فتاح گفت: «برای تشدید مسائل، اغلب دستگاههای اینترنت اشیا در چرخه وصله قرار نمیگیرند و آنها را در برابر سوءاستفادهها آسیبپذیر میکند.
چارلز اورت، مدیر حمایت سایبری در Deep Instinct، یک فروشنده امنیت سایبری، گفت: در واقع، بسیاری از دستگاه های اینترنت اشیا حتی سیستم عامل قابل ارتقاء ندارند. “یا ارتقاء داده نشده و یا به نفع جایگزینی آن با یک دستگاه یا سخت افزار جدید توسط سازندگان انجام نشده است.”
او گفت که این بدان معنی است که دستگاه های IoT به سرعت منسوخ می شوند و خطرات و نقص های امنیتی با افزایش سن افزایش می یابد.
Everette افزود: «این دستگاهها معمولاً برای حملات سایبری مختلف ربوده شده و به سلاح تبدیل میشوند. “من شخصاً مواردی را دیده ام که به فروشندگان شخص ثالث برای ارائه خدمات تعمیر و نگهداری یا کمک های فنی به این دستگاه ها دسترسی داده شده است و به دلیل امنیت نادرست و تقسیم بندی شبکه، سهوا به آنها امکان دسترسی به محیط های تولید محافظت شده حیاتی داده شده است. ما حتی در جایی دیده ایم که فروشندگان شخص ثالث در کجا قرار دارند. دسترسی به نظارت از طریق یک دستگاه جداگانه از طریق رادیو، ماهواره یا تلفن همراه داشته باشید، که سپس امکان دسترسی درب پشتی را به این محیطهای محافظت شده فراهم میکند.”
او گفت که این نوع سناریوها بهشت جنایتکاران سایبری را ایجاد می کنند. درب به معنای واقعی کلمه کاملاً باز مانده است.
در واقع، طبق نظرسنجی امنیت سایبری SANS 2021 OT/ICS تابستان گذشته، 70 درصد از پاسخ دهندگان خطر را برای محیط OT خود بالا یا شدید ارزیابی کردند که این میزان در سال 2019 51 درصد بود.
بزرگترین خطرات OT و ICS؟ باج افزار و سایر جرایم با انگیزه مالی و به دنبال آن حملات حمایت شده از سوی دولت.
علاوه بر این، فقدان دید در محیطهای OT و ICS به این معنی است که 48 درصد از پاسخدهندگان حتی نمیدانند که آیا در سال گذشته دچار یک حادثه امنیت سایبری شدهاند یا خیر – در مقایسه با 42 درصد در سال 2019.
بر اساس این نظرسنجی، بزرگترین چالش امنیت سایبری، دشواری ادغام فناوریهای قدیمی OT با سیستمهای IT مدرن بود.
بزرگترین عامل حمله اولیه، خدمات از راه دور خارجی با 37 درصد بود، پس از آن بهره برداری از برنامه های عمومی با 33 درصد و دستگاه های قابل دسترسی به اینترنت با 29 درصد.
پیوست های Spearphishing با 27 درصد در جایگاه چهارم قرار گرفتند.
اما پیشرفت هایی حاصل شده است. بر اساس این نظرسنجی، اکنون 51 درصد از سازشها ظرف 24 ساعت شناسایی میشوند که این رقم در سال 2019، 36 درصد بوده است.