کد خبر: ۴۳۱

وقتی سایت پشتیبان هم قربانی حمله می‌شود؛ چرا دیگر داشتن DR به‌تنهایی کافی نیست؟

DR

مدیر امنیت شرکت پرداخت الکترونیک سداد با اشاره به رخدادهای اخیر، بر ضرورت حرکت از Disaster Recovery به Cyber Recovery تأکید کرد؛ رویکردی که امروز به یکی از مهم‌ترین الزامات تاب‌آوری سایبری سازمان‌ها تبدیل شده است.

هانا حیدری
خبرنگار:
هانا حیدری

با گسترش وابستگی سازمان‌ها به زیرساخت‌های دیجیتال، حفاظت از داده‌ها و تداوم خدمات به یکی از مهم‌ترین اولویت‌های فناوری اطلاعات تبدیل شده است. تحول تهدیدات سایبری نیز نشان داده که رویکردهای سنتی بازیابی، دیگر به‌تنهایی پاسخگوی نیازهای امروز نیستند.

Disaster Recovery  با Cyber Recovery چه تفاوتی دارد؟

در سال‌های گذشته، بسیاری از سازمان‌ها برای تضمین تداوم کسب‌وکار، یک Disaster Recovery Site یا سایت بازیابی بحران راه‌اندازی می‌کردند. هدف از این زیرساخت، ادامه فعالیت سازمان در زمان وقوع حوادثی مانند آتش‌سوزی، سیل، زلزله، قطعی برق یا خرابی تجهیزات بود. در این معماری، داده‌ها معمولاً به‌صورت مداوم میان سایت اصلی و سایت پشتیبان همگام‌سازی می‌شوند تا در صورت بروز حادثه، سرویس‌ها با کمترین زمان توقف دوباره در دسترس قرار گیرند.

اما حملات سایبری طی سال‌های اخیر معادلات را تغییر داده‌اند. مهاجمان دیگر تنها به تخریب یک سرور یا رمزگذاری فایل‌ها بسنده نمی‌کنند؛ آن‌ها تلاش می‌کنند کنترل Active Directory، سامانه‌های مدیریت هویت، تجهیزات ذخیره‌سازی، ماشین‌های مجازی و حتی سامانه‌های پشتیبان را نیز در اختیار بگیرند. در چنین شرایطی، اگر سایت پشتیبان همان وابستگی‌های مدیریتی و امنیتی سایت اصلی را داشته باشد، آلودگی می‌تواند هم‌زمان به آن نیز منتقل شود.

به همین دلیل، مفهوم Cyber Recovery شکل گرفت. در این رویکرد، هدف تنها تداوم سرویس نیست، بلکه بازیابی ایمن پس از یک حمله سایبری است. نسخه‌های پشتیبان باید از محیط عملیاتی ایزوله باشند، امکان تغییر یا حذف آن‌ها وجود نداشته باشد و پیش از بازیابی نیز از نظر آلودگی بررسی شوند.

اسماعیل باقری‌اصل، مدیر امنیت شرکت پرداخت الکترونیک سداد، در پستی در صفحه شخصی خود در لینکدین، با اشاره به تجربه حملات سایبری اخیر نوشت:

«رخدادهای اخیر بار دیگر یک واقعیت مهم را یادآوری کرد: Disaster Recovery (DR) به‌تنهایی معادل Cyber Resilience نیست.

در بسیاری از سازمان‌ها، سایت پشتیبان به‌گونه‌ای طراحی شده است که تقریباً تمام اجزای آن با سایت اصلی در ارتباط دائم هستند؛ از Active Directory و سامانه‌های مدیریتی گرفته تا Replication پایگاه‌های داده و سامانه‌های ذخیره‌سازی. این وابستگی‌ها اگرچه زمان بازیابی را کاهش می‌دهند، اما در زمان حمله می‌توانند همان مسیر انتقال آلودگی نیز باشند.

اگر مهاجم به زیرساخت مدیریتی دسترسی پیدا کند، احتمال دارد هم‌زمان محیط عملیاتی، سامانه‌های پشتیبان و حتی نسخه‌های Backup را نیز تحت تأثیر قرار دهد. در چنین شرایطی، داشتن یک DR Site دیگر مزیت محسوب نمی‌شود؛ زیرا محیط بازیابی نیز آلوده است.»

او در ادامه، با اشاره به ضرورت استفاده از نسخه‌های پشتیبان Immutable، پیاده‌سازی Air Gap، ایجاد Cyber Recovery Vault، اجرای راهبرد 3-2-1-1-0، مدیریت مستقل هویت و دسترسی، اعتبارسنجی نسخه‌های پشتیبان و انجام تمرین‌های دوره‌ای بازیابی، تأکید کرد که امروز پرسش اصلی سازمان‌ها دیگر این نیست که «آیا سایت DR دارند یا خیر»، بلکه این است که اگر مهاجم کنترل کامل زیرساخت را در اختیار بگیرد، آیا همچنان یک نسخه سالم و قابل اعتماد برای بازیابی در اختیار خواهند داشت؟

تجربه  Change Healthcare؛ وقتی بازیابی به چند ماه زمان نیاز دارد

یکی از مهم‌ترین نمونه‌های سال‌های اخیر، حمله باج‌افزاری به شرکت آمریکایی Change Healthcare در فوریه ۲۰۲۴ بود؛ شرکتی که نقش مهمی در پردازش پرداخت‌ها و تبادل اطلاعات حوزه سلامت آمریکا دارد.

گروه باج‌افزاری ALPHV/BlackCat با سوءاستفاده از یک حساب کاربری فاقد احراز هویت چندمرحله‌ای (MFA)، وارد شبکه این شرکت شد و بخش بزرگی از زیرساخت فناوری اطلاعات آن را از دسترس خارج کرد. نتیجه این حمله، اختلال گسترده در پردازش نسخه‌های الکترونیکی و پرداخت مطالبات بیمارستان‌ها، داروخانه‌ها و شرکت‌های بیمه بود؛ اختلالی که میلیون‌ها بیمار را تحت تأثیر قرار داد.

خبرگزاری رویترز  این شرکت در گزارشی اعلام کرد بازگرداندن کامل خدمات ممکن است ماه‌ها زمان ببرد، زیرا تنها راه‌اندازی مجدد سامانه‌ها کافی نبود و تمام زیرساخت باید از نظر آلودگی، صحت داده‌ها و امنیت بررسی می‌شد.

MGM Resorts؛ حمله‌ای که از Active Directory آغاز شد

نمونه دیگری  که اهمیت استقلال زیرساخت بازیابی را نشان داد، حمله سایبری به شرکت MGM Resorts در سال ۲۰۲۳ بود.

مهاجمان با استفاده از مهندسی اجتماعی موفق شدند به حساب‌های دارای دسترسی مدیریتی نفوذ کنند و سپس کنترل بخش مهمی از زیرساخت فناوری اطلاعات این شرکت را در اختیار بگیرند. در نتیجه، سامانه رزرو هتل‌ها، کلیدهای دیجیتال اتاق‌ها، دستگاه‌های خودپرداز، سامانه پرداخت و بسیاری از خدمات آنلاین برای چندین روز با اختلال روبه‌رو شدند.

این حادثه نشان داد که اگر مهاجم کنترل سامانه‌های هویتی و مدیریتی را به دست بگیرد، حتی وجود زیرساخت پشتیبان نیز به معنای امکان بازیابی سریع خدمات نخواهد بود.

چرا نهادهای بین‌المللی بر Cyber Recovery تأکید می‌کنند؟

افزایش حملات باج‌افزاری باعث شده است نهادهایی مانند CISA و NIST دستورالعمل‌های خود را به‌روزرسانی کنند و سازمان‌ها را به سمت معماری‌های Cyber Recovery سوق دهند.

بر اساس راهنمای CISA، سازمان‌ها باید نسخه‌های پشتیبان را در محیطی جدا از شبکه عملیاتی نگهداری کنند، از نسخه‌های غیرقابل تغییر (Immutable Backup) استفاده کنند، احراز هویت چندمرحله‌ای را برای حساب‌های مدیریتی فعال کنند و به‌طور منظم فرایند بازیابی اطلاعات را در شرایط واقعی آزمایش کنند.

همچنین NIST توصیه می‌کند سازمان‌ها علاوه بر تهیه نسخه پشتیبان، سلامت نسخه‌های ذخیره‌شده را نیز به‌طور مستمر بررسی کنند؛ زیرا اگر نسخه پشتیبان پیش از بازیابی آلوده شده باشد، بازیابی نه‌تنها به بازگشت خدمات کمکی نمی‌کند، بلکه می‌تواند آلودگی را دوباره به شبکه بازگرداند.

Replication  همیشه به معنای بازیابی امن نیست

یکی از مهم‌ترین نکاتی که کارشناسان امنیت سایبری بر آن تأکید می‌کنند، تفاوت میان Replication و Recovery است.

در بسیاری از سازمان‌ها، داده‌ها به‌صورت لحظه‌ای میان سایت اصلی و سایت پشتیبان همگام‌سازی می‌شوند. این روش برای مقابله با خرابی تجهیزات بسیار مؤثر است، اما اگر داده‌ها رمزگذاری، حذف یا آلوده شوند، همان تغییرات می‌تواند به سایت پشتیبان نیز منتقل شود.

به همین دلیل، بسیاری از تولیدکنندگان راهکارهای امنیتی مانند Dell، Microsoft و Veeam، استفاده از مخازن ایزوله، نسخه‌های Immutable و Cyber Recovery Vault را به‌عنوان یکی از الزامات معماری‌های نوین بازیابی معرفی کرده‌اند.

آینده امنیت سایبری؛ از بازیابی بحران تا تاب‌آوری سایبری

تحولات سال‌های اخیر نشان می‌دهد سازمان‌ها باید نگاه خود به مقوله بازیابی اطلاعات را تغییر دهند. در گذشته، داشتن یک سایت DR برای بسیاری از سازمان‌ها نشانه آمادگی در برابر بحران بود؛ اما امروز، با پیچیده‌تر شدن حملات سایبری، این زیرساخت تنها زمانی مؤثر خواهد بود که به‌صورت مستقل، ایزوله و مقاوم در برابر نفوذ مهاجمان طراحی شده باشد.

از همین منظر، یادداشت اسماعیل باقری‌اصل را می‌توان هشداری درباره ضرورت تغییر رویکرد در مدیریت بحران سایبری دانست؛ تغییری که در آن هدف دیگر تنها راه‌اندازی دوباره سرویس‌ها نیست، بلکه بازیابی مطمئن داده‌ها و زیرساخت پس از یک حمله سایبری است. تجربه حملاتی مانند Change Healthcare و MGM Resorts نیز نشان می‌دهد که در عصر باج‌افزارها، پرسش اصلی دیگر «آیا سایت پشتیبان داریم؟» نیست، بلکه این است که «آیا نسخه‌ای سالم، ایزوله و قابل اعتماد برای بازیابی در اختیار داریم؟»

 

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث