نحوه مقابله با حمله سایبری اخیر به برخی سایتها
طی یکی دو روز گذشته برخی سایتهای دستگاههای اجرایی کشور و سازمانها به دلیل حملهای سایبری از دسترس خارج شدند که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای اقدام به انتشار راهکارهای مقابلهای کرده است.
کد خبر :
677344
خبرگزاری تسنیم: طی دو روز گذشته برخی پورتالها، سایتهای دستگاههای اجرایی و سازمانها بر اثر حملهای سایبری از دسترس خارج شدند و مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای وزارت ارتباطات و فناوری اطلاعات هم این موضوع را در قالب اطلاعیهای، به نوعی تأیید کرد. این مرکز در هشدار و اطلاعیه نخست خود درباره «حملات اخیر به چند وب سایت دستگاههای اجرایی» اعلام کرد «با توجه به اخبار دریافتی و بررسی حوادث امنیتی بر روی تعدادی از وبسایتها و پورتالهای سازمانها و دستگاههای اجرایی در روز یکشنبه مبنی بر از دسترس خارج شدن یا بار پردازشی بسیار زیاد و غیرطبیعی روی سرویسدهندههای وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر(مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) ضمن بررسی موضوع و ارتباط با سازمانهای مورد حمله قرار گرفته، نسبت به پیگیری ابعاد حادثه و همچنین تهدیدات پیشرو، اقدامات لازم و ضروری را به عمل آورد.» این مرکز با احتمال تکرار حوادث مشابه در دیگر سایتها، برای پیشگیری و آمادگی این قبیل حوادث احتمالی مشابه اعلام کرد: - هدف حمله منع سرویس توزیع شده، سیستمهای عامل ویندوز با
سرویسدهندههای وب IIS بوده و تمامی اهداف مورد حمله قرار گرفته تاکنون از شرایط فنی یکسان برخوردار بودهاند. - آناتومی حمله، شامل ارسال زیاد درخواستهای HTTP به سمت وبسرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویسدهندهها شده است. - هدف اولیه این حمله، پهنای باند شبکه نبوده لذا تشخیص اولیه با سیستمهای مانیتورینگ و پایش معمولی به سختی قابل انجام است و با تأخیر تشخیص حاصل میشود. - پیکربندی صحیح سرویسدهندههای وب که میزبان برنامههای کاربردی تحت وب هستند باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستمها و برنامههای کاربردی را تحت تأثیر قرار میدهد. همزمان با این حمله سایبری برخی رسانهها امکان دسترسی به سایتهایی از جمله بانک مرکزی، وزارت کار، شرکتهای ایرانسل و پست را غیرممکن اعلام کردند که البته مسئولان این سایتها همچون تجربه پیشین، در مواجهه با چنین موضوعی اعلام کردند سایتها در حال بروزرسانی فنی بوده است. با این حال مرکز ماهر در اطلاعیههای خود به روشهای پیشگیری و مقابله با چنین حملهای اشاره کرد و به ذکر موارد زیر پرداخت: - استفاده از دیوارههای آتش اختصاصی لایه
کاربرد یا WAF و پیکربندی مؤثر آن به تناسب تعداد کاربران و نیز شرایط برنامه کاربردی هر سازمان. - یکی از نخستین اقدامات امنیتی، مقاومسازی سرویسدهندههای وب در مقابل ارسال درخواستهای سیلآسا برای تشخیص و جلوگیری است؛ برای این منظور لازم است تا به روشهای مختلف نظیر استفاده از ماژولهای امنیتی و قابلیتهای درونی سرویسدهندههای وب IIS موارد لازم به تناسب پیکربندی شود. - از فضاهای اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنید. - یکی از مؤثرترین پیکربندیها برای محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction یا Dynamic IP Restrictions است. - در طراحی و پیکربندی برنامههای کاربردی مختلف هر یک دارای application pools مجزا هستند. - پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویسدهنده برای فیلترسازی درخواستهای ورودی ناخواسته براساس قواعد امنیتی. - پیکربندی فایلهای ثبت وقایع یا ماژول Logging در سرویسدهندهی وب IIS برای بررسی و پاسخگوییهای امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است. - مجزا یا ایزوله کردن نرمافزارهای کاربردی تحت وب
مختلف - ایجاد Worker Processهای منحصر به فرد برای هر یک از نرمافزارهای کاربردی تحت وب مختلف - بروزرسانی سیستمعامل و نصب آخرین وصلههای امنیتی نیز همیشه توصیه میشود. بنابراین انتظار میرود مسئولان امنیتی و فنی سایتهای داخلی، موارد هشدار اعلام شده از سوی مرکز ماهر را جدی گرفته و به سمت ایزوله کردن درگاههای ارتباطی و شبکهای خود بروند.