حمله باج افزار مرکز داده که برای شما همه هزینه دارد | دانش مرکز داده

من از نزدیک با تیم تحریریه خود در DCK کار می‌کنم، و اغلب ایده‌هایی را در مورد اینکه چه چیزی را پوشش دهیم مطرح می‌کنیم. خیلی وقت‌ها پیش نمی‌آید که موضوعی از گفتگو قلبم را می‌شکند.

هنگام بحث در مورد امنیت در مرکز داده، ما اغلب در مورد امنیت فیزیکی، دروازه ها، حصارها و بیومتریک بحث می کنیم. ما همچنین در مورد امنیت سایبری، تقسیم‌بندی زیرساخت، امنیت شبکه مناسب و جداسازی بحث می‌کنیم. اما من همیشه تعجب می‌کنم که چند نفر در اینجا این خرده‌های طلایی خرد را می‌گیرند و به کار می‌برند.

مربوط: مراکز داده می توانند با اتخاذ یک رویکرد لایه ای از حملات DoS جلوگیری کنند

در پست اخیر در DCK، من به امنیت فیزیکی پرداختم، زیرا برای اولین بار، گزارش AFCOM State of the Data Center در سال 2023 شاهد بود که چندین نوع تهدید فیزیکی انسانی در پنج مورد از بزرگترین تهدیدات علیه زیرساخت های حیاتی ظاهر شدند. امروز، ما روی باج افزارهایی که در صدر آن لیست قرار دارند تمرکز می کنیم.

و من یک راز کوچک را برای شما پر می کنم. این اولین سالی نیست که باج افزار در صدر جدول قرار دارد. باج افزار برای هفتمین سال متوالی و در کمال تعجب هیچ کس این را نمی خواند، در صدر فهرست قرار گرفت. به یاد داشته باشید، هر دستگاه متصل شده یک هدف است، زیرا به داده ها مربوط می شود. وقتی از پاسخ‌دهندگان خواسته شد تا پنج تهدید امنیتی و زیرساختی را برای شرکت‌هایشان نشان دهند، احتمال بیشتری وجود داشت که پاسخ‌دهندگان به باج‌افزار (52%)، پس از آن از دست دادن PII (39%) و تهدیدات خارجی (39%) اشاره کنند.

مربوط: بحران باج افزار عمیق تر می شود، در حالی که بازیابی اطلاعات متوقف می شود

همه این تهدیدات امنیتی می تواند باعث خرابی شود. و این به سرعت پرهزینه می شود. بر اساس تجزیه و تحلیل قطعی 2022 مؤسسه Uptime، عواقب و هزینه خرابی در حال بدتر شدن است، به طوری که 60٪ از خرابی ها در حال حاضر حداقل 100،000 دلار ضرر کل را به همراه دارد. آنها همچنین دریافتند که هنگامی که قطعی های قابل توجهی اتفاق می افتد، بیش از 85٪ از حوادث ناشی از عدم پیروی کارکنان از رویه ها یا نقص در خود فرآیندها است.

اما چه اتفاقی می‌افتد وقتی که فقط زمان خرابی نباشد؟ اگر یک حمله باج افزار همه چیز را برای شما تمام کند چه اتفاقی می افتد؟

پس از یک حمله ویرانگر باج افزار، این دقیقاً همان چیزی است که برای یک ارائه دهنده ابر دانمارکی رخ داد.

حمله رمزگذاری باج افزار که همه چیز را برای CloudNordic تمام کرد

شب جمعه، 18 آگوست، CloudNordic مجبور شد نامه ای دلخراش برای همه مشتریانش ارسال کند. این مشتریان چه چیزی را از دست دادند؟

CloudNordic در وب سایت خود نوشت: “همه چیز”. “یک نفوذ، CloudNordic را به طور کامل فلج کرده و همچنین مشتریان ما را به شدت تحت تاثیر قرار داده است.” این شرکت موضعی سختگیرانه اتخاذ کرد و از پاسخگویی به درخواست های جنایتکارانه برای باج امتناع کرد. با این حال، عواقبی داشت. “متاسفانه ثابت شده است که بازیابی داده های بیشتر غیرممکن است و اکثر مشتریان ما تمام داده های ما را از دست داده اند. این برای همه افرادی که در حال حاضر با آنها تماس نداشته ایم صدق می کند.”

چگونه این اتفاق افتاد؟

در پست روی وب‌سایت CloudNordic که از دانمارکی ترجمه شده است، این سازمان اظهار داشت: «هجوم‌کنندگان موفق شدند دیسک‌های تمام سرورها و همچنین سیستم پشتیبان اولیه و ثانویه را رمزگذاری کنند که در نتیجه همه دستگاه‌ها از کار افتادند و ما دسترسی به همه داده‌ها را از دست دادیم. “

در حالی که دقیقاً مشخص نیست که حمله باج‌افزار چگونه رخ داده است، شرکت اعلام کرد که با انتقال سیستم‌های آلوده از یک مرکز داده به مرکز داده دیگر که “متاسفانه برای دسترسی به شبکه داخلی ما که برای مدیریت همه سرورهای ما استفاده می‌شود، سیم‌کشی شده بود، تقویت شد.” متأسفانه، CloudNordic نمی دانست که یک سیستم آلوده وجود دارد.

علیرغم اینکه ماشین‌هایی که جابجا شده‌اند هم توسط فایروال و هم با آنتی‌ویروس محافظت می‌شوند، برخی از ماشین‌ها قبل از انتقال، با عفونتی که به طور فعال در مرکز داده قبلی استفاده نشده بود، آلوده شده بودند و ما هیچ اطلاعی نداشتیم که این یک عفونت بود.”

از آنجا، از طریق شبکه داخلی CloudNordic، “حمله کنندگان به سیستم های مدیریت مرکزی و سیستم های پشتیبان دسترسی پیدا کردند.”

مشتریان داخل Azero نیز پس از ظاهر شدن یک اخطار مشابه در وب سایت آنها تحت تأثیر قرار گرفتند. CloudNordic و Azero متعلق به یک سازمان دانمارکی، Certiqa Holdings هستند. جالب اینجاست که آنها همچنین مالک Netquest هستند، یک ارائه دهنده اطلاعات تهدید برای مخابرات و دولت ها.

از این پست، CloudNordic و Azero تمام تلاش خود را می‌کنند تا وب‌سایت‌های مشتریان، سیستم‌های ایمیل و سایر سیستم‌های مهم را بدون اطلاعات مشتری، از ابتدا بازسازی کنند.

دارن ویلیامز، مدیرعامل و موسس BlackFog، گفت: «این نمونه دیگری از باندهای سایبری است که به صورت استراتژیک بر اهداف با ارزشی مانند MSP ها تمرکز می کنند، جایی که می توانند از استخراج داده ها برای اخاذی از چندین سازمان به طور همزمان استفاده کنند و شانس پرداخت باج را افزایش دهند. “این بدان معناست که عواقب پس از حمله احتمالاً در یک دوره طولانی مانند حملات MOVEit آشکار خواهد شد. استخراج داده ها یک تاکتیک رایج است، به طوری که اکنون بیش از 89٪ از تمام حملات شامل نوعی از استخراج داده ها است. استراتژی های مبتنی بر دفاع موجود. دیگر برای مقابله با این حملات مدرن و پیچیده کافی نیستند. متأسفانه، فاجعه ای مانند این اتفاق می افتد تا شرکت ها را مجبور کند که نیاز به رویکردهای پیشگیرانه و رویکردهای مبتنی بر حذف داده ها را تشخیص دهند.”

ما در یک دقیقه در مورد اینکه این پیشگیری چگونه به نظر می رسد صحبت خواهیم کرد. تنها چیزی که در اینجا وجود دارد این است که در حالی که مقادیر بسیار زیادی از داده ها رمزگذاری شده و به طور موثر بی فایده شده اند، هیچ نشانه ای مبنی بر کپی شدن یا انتقال این داده ها از اکوسیستم وجود ندارد.

آمدن به یک مرکز داده در نزدیکی شما … باج افزار

ایده در اینجا این نیست که شما را از ابر یا ارائه دهنده مرکز داده بترسانیم. با این حال، مراکز داده و ارائه دهندگان کولوکیشن باید سیستم های خود را بررسی کنند تا اطمینان حاصل کنند که چنین چیزی هرگز نمی تواند اتفاق بیفتد.

چالش این است که مراکز داده بسیار هدف هستند. در سال 2019، CyrusOne تایید کرد که یک حمله باج افزار را تجربه کرده است. در حالی که این حمله به مشاغل خدمات مدیریت شده در یک مرکز داده نیویورک محدود بود، با این وجود شش مشتری تحت تأثیر قرار گرفتند.

CyrusOne در بیانیه‌ای اعلام کرد: «با کشف این حادثه، CyrusOne پروتکل‌های واکنش و تداوم خود را برای تعیین آنچه رخ داده، بازیابی سیستم‌ها و اطلاع مقامات قانونی مربوطه آغاز کرد».

بر اساس گزارش ZDNet، حمله باج افزار توسط نسخه ای از باج افزار REvil که به نام Sodinokibi نیز شناخته می شود، ایجاد شده است.

حدود یک سال پس از CyrusOne، Equinix یک حمله باج افزار علیه سیستم های خود را فاش کرد. این شرکت هیچ جزئیاتی در مورد حادثه باج افزار ارائه نکرد. Bleeping Computer ادعا می کند که یک نسخه از یادداشت باج گیری Equinix را دریافت کرده است. به گزارش این پایگاه خبری، این یادداشت شامل اسکرین شات از پوشه های حاوی فایل های رمزگذاری شده بود. نام پوشه ها نشان می دهد که حاوی اطلاعات حساس زیادی مانند اطلاعات مالی، حقوقی و حقوق و دستمزد هستند.

خبر خوب در اینجا این است که سیستم های مشتری تحت تأثیر قرار نگرفتند، همانطور که در یک پست وبلاگ Equinix بیان شد:

“Equinix در حال حاضر در حال بررسی یک حادثه امنیتی است که ما شناسایی کردیم که شامل باج‌افزار در برخی از سیستم‌های داخلی ما می‌شود. تیم‌های ما اقدام فوری و قاطع برای رسیدگی به این حادثه انجام دادند، به مجریان قانون اطلاع دادند و به بررسی ادامه می‌دهند. مراکز داده و خدمات ما، از جمله خدمات مدیریت شده، به طور کامل عملیاتی می شود و این حادثه بر توانایی ما برای حمایت از مشتریانمان تأثیری نداشته است.”

جلوگیری از باج‌افزار می‌تواند بسیار کمک کند

با جسورتر شدن مهاجمان، آنها به دنبال اهداف بیشتری خواهند رفت. مراکز داده به عنوان نقاط حمله عالی هستند زیرا مشتریان زیادی وجود دارد که یک مهاجم می تواند به دنبال آنها باشد.

بسیاری از روندهای امنیتی به بردار حمله ای اشاره می کنند که ساده و در عین حال موثر است. کمتر از 10٪ از حملات موفق در صنعت ما از نقص های فنی سوء استفاده می کنند. این نوع حملات بسیار هدفمند علیه سیستم های معیوب هستند. حدود 90 درصد دیگر با حملات نرم‌تری مانند spear-phishing شروع می‌شود که در آن ایمیل‌هایی از فرستنده مورد اعتماد ظاهر می‌شوند و گیرنده را متقاعد می‌کنند که اطلاعات محرمانه را فاش کند. و با هوش مصنوعی، این حملات بسیار متناوب‌تر و تشخیص آن دشوار است.

برای محافظت در برابر باج‌افزار، کارشناسان توصیه می‌کنند که مدیران امنیت مراکز داده اصول اولیه را در اختیار داشته باشند: کنترل‌های دسترسی، حفاظت نقطه پایانی، وصله‌های خودکار و سایر عناصر بهداشت اولیه امنیتی. در تجربه من، اطمینان از قوانین شبکه و تقسیم بندی مناسب می تواند راه طولانی را با کاهش ریسک انجام دهد. حفاظت اساسی اضافی؟ آموزش هوشیاری. با توجه به اینکه بیش از 90 درصد از تهدیدات از طریق صندوق ورودی وارد می شوند، کاربران باید در مورد آنچه کلیک می کنند بسیار محتاط باشند. سازمان‌های پیشرو واقعاً کاربران خود را با استفاده از ابزارهای spear-phishing آزمایش می‌کنند تا اطمینان حاصل کنند که نیروی کار آنها تفاوت بین حملات مخرب و منابع قابل اعتماد را می‌دانند.

علاوه بر این، مراکز داده باید دوباره بررسی کنند که به اندازه کافی بیمه شده اند. خبر خوب این است که بیمه شدن آسانتر شده است. از پست اخیر اینجا در DCK، متوجه شدیم که بازار بیمه سایبری، که توسط حملات باج‌افزاری دوران همه‌گیری آسیب دیده، در حال بازگشت است. افزایش قیمت ها تعدیل می شود، حامل های جدید و منابع جدید سرمایه در حال ظهور هستند و شرکت ها می توانند بهتر پوشش دهند.

داده های اولیه کارگزار بیمه Marsh McLennan نشان می دهد که قیمت بیمه سایبری نسبت به سال قبل در ژانویه 10 درصد افزایش یافته است که کسری از افزایش سالانه 110 درصدی گزارش شده در سه ماهه اول سال 2022 است. تام ریگان، رهبر تمرین سایبری مارش، گفت: اگر این روند ادامه یابد، قیمت ها ممکن است کاهش یابد.

حفاظت از باج افزار همچنان در صدر فهرست قرار خواهد گرفت

خطرات ناشی از مجرمان سایبری هنوز بسیار زیاد است. حملات باج افزاری علیه سازمان های صنعتی در سال 2022 نسبت به سال قبل 87 درصد افزایش یافته است، در حالی که وزارت خزانه داری ایالات متحده اعلام کرده است که موسسات مالی نزدیک به 1.2 میلیارد دلار پرداخت های احتمالی مرتبط با باج افزار در سال 2021 را نشان داده اند. نقض های گسترده اخیر در شرکت خدمات مالی ION Trading UK و یک مرکز داده بزرگ آسیایی بر خطر وحشتناک ناشی از هکرها تأکید کرد.

آلن هاوارد، تحلیلگر اصلی در Omdia می‌گوید: «از میان تمام خطراتی که اپراتورهای مرکز داده و زیرساخت‌های فناوری اطلاعات با آن مواجه هستند، تعداد کمی از آنها به پیامدهای تضعیف کننده یک حمله باج‌افزار مؤثر نزدیک می‌شوند. هاوارد گفت: “این قابل توجه است که بسیاری از شرکت ها آماده هستند تا با وجود داستان های ترسناک معروف، راه سختی را در مورد کاهش عوامل خطر عمده ای که با آن مواجه هستند بیاموزند. من انتظار دارم که هیئت داوران برای مدتی در مورد آینده CloudNordic حضور داشته باشند.”

هدف این پست ترساندن شما نیست. با این حال، اگر یک رهبر زیرساخت هستید، از این لحظه برای تأمل در سیستم‌های امنیتی و بهترین شیوه‌های خود استفاده کنید. اگر یک سیستم یا حجم کاری از یک مرکز داده به مرکز داده دیگر منتقل شود، آیا از یکپارچگی آن سیستم مطمئن هستید؟ چه کسی به آن دسترسی داشت؟ چگونه به داخل منتقل شد؟

ایده اعتماد صفر، جایی که به هیچ چیز اعتماد نمی کنید و همه چیز را تأیید می کنید، به حذف تهدیدات از عملیات اغلب پیش پا افتاده کمک می کند. در نهایت، و بسیار مهمتر، کاربران شما باید مسئولیت مشترکی در مورد امنیت داشته باشند. اعتماد بسیار طول می کشد تا به دست آید اما می تواند در چند ثانیه در یکی از این حملات از بین برود. اصول اولیه امنیتی می تواند راه درازی داشته باشد. هرگز از ممیزی های امنیتی و بهترین شیوه ها راضی نباشید زیرا ردپای داده شما افزایش می یابد. در غیر این صورت، یک حمله باج افزار می تواند همه چیز را برای شما تمام کند.