وقتی سایت پشتیبان هم قربانی حمله میشود؛ چرا دیگر داشتن DR بهتنهایی کافی نیست؟
مدیر امنیت شرکت پرداخت الکترونیک سداد با اشاره به رخدادهای اخیر، بر ضرورت حرکت از Disaster Recovery به Cyber Recovery تأکید کرد؛ رویکردی که امروز به یکی از مهمترین الزامات تابآوری سایبری سازمانها تبدیل شده است.
با گسترش وابستگی سازمانها به زیرساختهای دیجیتال، حفاظت از دادهها و تداوم خدمات به یکی از مهمترین اولویتهای فناوری اطلاعات تبدیل شده است. تحول تهدیدات سایبری نیز نشان داده که رویکردهای سنتی بازیابی، دیگر بهتنهایی پاسخگوی نیازهای امروز نیستند.
Disaster Recovery با Cyber Recovery چه تفاوتی دارد؟
در سالهای گذشته، بسیاری از سازمانها برای تضمین تداوم کسبوکار، یک Disaster Recovery Site یا سایت بازیابی بحران راهاندازی میکردند. هدف از این زیرساخت، ادامه فعالیت سازمان در زمان وقوع حوادثی مانند آتشسوزی، سیل، زلزله، قطعی برق یا خرابی تجهیزات بود. در این معماری، دادهها معمولاً بهصورت مداوم میان سایت اصلی و سایت پشتیبان همگامسازی میشوند تا در صورت بروز حادثه، سرویسها با کمترین زمان توقف دوباره در دسترس قرار گیرند.
اما حملات سایبری طی سالهای اخیر معادلات را تغییر دادهاند. مهاجمان دیگر تنها به تخریب یک سرور یا رمزگذاری فایلها بسنده نمیکنند؛ آنها تلاش میکنند کنترل Active Directory، سامانههای مدیریت هویت، تجهیزات ذخیرهسازی، ماشینهای مجازی و حتی سامانههای پشتیبان را نیز در اختیار بگیرند. در چنین شرایطی، اگر سایت پشتیبان همان وابستگیهای مدیریتی و امنیتی سایت اصلی را داشته باشد، آلودگی میتواند همزمان به آن نیز منتقل شود.
به همین دلیل، مفهوم Cyber Recovery شکل گرفت. در این رویکرد، هدف تنها تداوم سرویس نیست، بلکه بازیابی ایمن پس از یک حمله سایبری است. نسخههای پشتیبان باید از محیط عملیاتی ایزوله باشند، امکان تغییر یا حذف آنها وجود نداشته باشد و پیش از بازیابی نیز از نظر آلودگی بررسی شوند.
اسماعیل باقریاصل، مدیر امنیت شرکت پرداخت الکترونیک سداد، در پستی در صفحه شخصی خود در لینکدین، با اشاره به تجربه حملات سایبری اخیر نوشت:
«رخدادهای اخیر بار دیگر یک واقعیت مهم را یادآوری کرد: Disaster Recovery (DR) بهتنهایی معادل Cyber Resilience نیست.
در بسیاری از سازمانها، سایت پشتیبان بهگونهای طراحی شده است که تقریباً تمام اجزای آن با سایت اصلی در ارتباط دائم هستند؛ از Active Directory و سامانههای مدیریتی گرفته تا Replication پایگاههای داده و سامانههای ذخیرهسازی. این وابستگیها اگرچه زمان بازیابی را کاهش میدهند، اما در زمان حمله میتوانند همان مسیر انتقال آلودگی نیز باشند.
اگر مهاجم به زیرساخت مدیریتی دسترسی پیدا کند، احتمال دارد همزمان محیط عملیاتی، سامانههای پشتیبان و حتی نسخههای Backup را نیز تحت تأثیر قرار دهد. در چنین شرایطی، داشتن یک DR Site دیگر مزیت محسوب نمیشود؛ زیرا محیط بازیابی نیز آلوده است.»
او در ادامه، با اشاره به ضرورت استفاده از نسخههای پشتیبان Immutable، پیادهسازی Air Gap، ایجاد Cyber Recovery Vault، اجرای راهبرد 3-2-1-1-0، مدیریت مستقل هویت و دسترسی، اعتبارسنجی نسخههای پشتیبان و انجام تمرینهای دورهای بازیابی، تأکید کرد که امروز پرسش اصلی سازمانها دیگر این نیست که «آیا سایت DR دارند یا خیر»، بلکه این است که اگر مهاجم کنترل کامل زیرساخت را در اختیار بگیرد، آیا همچنان یک نسخه سالم و قابل اعتماد برای بازیابی در اختیار خواهند داشت؟
تجربه Change Healthcare؛ وقتی بازیابی به چند ماه زمان نیاز دارد
یکی از مهمترین نمونههای سالهای اخیر، حمله باجافزاری به شرکت آمریکایی Change Healthcare در فوریه ۲۰۲۴ بود؛ شرکتی که نقش مهمی در پردازش پرداختها و تبادل اطلاعات حوزه سلامت آمریکا دارد.
گروه باجافزاری ALPHV/BlackCat با سوءاستفاده از یک حساب کاربری فاقد احراز هویت چندمرحلهای (MFA)، وارد شبکه این شرکت شد و بخش بزرگی از زیرساخت فناوری اطلاعات آن را از دسترس خارج کرد. نتیجه این حمله، اختلال گسترده در پردازش نسخههای الکترونیکی و پرداخت مطالبات بیمارستانها، داروخانهها و شرکتهای بیمه بود؛ اختلالی که میلیونها بیمار را تحت تأثیر قرار داد.
خبرگزاری رویترز این شرکت در گزارشی اعلام کرد بازگرداندن کامل خدمات ممکن است ماهها زمان ببرد، زیرا تنها راهاندازی مجدد سامانهها کافی نبود و تمام زیرساخت باید از نظر آلودگی، صحت دادهها و امنیت بررسی میشد.
MGM Resorts؛ حملهای که از Active Directory آغاز شد
نمونه دیگری که اهمیت استقلال زیرساخت بازیابی را نشان داد، حمله سایبری به شرکت MGM Resorts در سال ۲۰۲۳ بود.
مهاجمان با استفاده از مهندسی اجتماعی موفق شدند به حسابهای دارای دسترسی مدیریتی نفوذ کنند و سپس کنترل بخش مهمی از زیرساخت فناوری اطلاعات این شرکت را در اختیار بگیرند. در نتیجه، سامانه رزرو هتلها، کلیدهای دیجیتال اتاقها، دستگاههای خودپرداز، سامانه پرداخت و بسیاری از خدمات آنلاین برای چندین روز با اختلال روبهرو شدند.
این حادثه نشان داد که اگر مهاجم کنترل سامانههای هویتی و مدیریتی را به دست بگیرد، حتی وجود زیرساخت پشتیبان نیز به معنای امکان بازیابی سریع خدمات نخواهد بود.
چرا نهادهای بینالمللی بر Cyber Recovery تأکید میکنند؟
افزایش حملات باجافزاری باعث شده است نهادهایی مانند CISA و NIST دستورالعملهای خود را بهروزرسانی کنند و سازمانها را به سمت معماریهای Cyber Recovery سوق دهند.
بر اساس راهنمای CISA، سازمانها باید نسخههای پشتیبان را در محیطی جدا از شبکه عملیاتی نگهداری کنند، از نسخههای غیرقابل تغییر (Immutable Backup) استفاده کنند، احراز هویت چندمرحلهای را برای حسابهای مدیریتی فعال کنند و بهطور منظم فرایند بازیابی اطلاعات را در شرایط واقعی آزمایش کنند.
همچنین NIST توصیه میکند سازمانها علاوه بر تهیه نسخه پشتیبان، سلامت نسخههای ذخیرهشده را نیز بهطور مستمر بررسی کنند؛ زیرا اگر نسخه پشتیبان پیش از بازیابی آلوده شده باشد، بازیابی نهتنها به بازگشت خدمات کمکی نمیکند، بلکه میتواند آلودگی را دوباره به شبکه بازگرداند.
Replication همیشه به معنای بازیابی امن نیست
یکی از مهمترین نکاتی که کارشناسان امنیت سایبری بر آن تأکید میکنند، تفاوت میان Replication و Recovery است.
در بسیاری از سازمانها، دادهها بهصورت لحظهای میان سایت اصلی و سایت پشتیبان همگامسازی میشوند. این روش برای مقابله با خرابی تجهیزات بسیار مؤثر است، اما اگر دادهها رمزگذاری، حذف یا آلوده شوند، همان تغییرات میتواند به سایت پشتیبان نیز منتقل شود.
به همین دلیل، بسیاری از تولیدکنندگان راهکارهای امنیتی مانند Dell، Microsoft و Veeam، استفاده از مخازن ایزوله، نسخههای Immutable و Cyber Recovery Vault را بهعنوان یکی از الزامات معماریهای نوین بازیابی معرفی کردهاند.
آینده امنیت سایبری؛ از بازیابی بحران تا تابآوری سایبری
تحولات سالهای اخیر نشان میدهد سازمانها باید نگاه خود به مقوله بازیابی اطلاعات را تغییر دهند. در گذشته، داشتن یک سایت DR برای بسیاری از سازمانها نشانه آمادگی در برابر بحران بود؛ اما امروز، با پیچیدهتر شدن حملات سایبری، این زیرساخت تنها زمانی مؤثر خواهد بود که بهصورت مستقل، ایزوله و مقاوم در برابر نفوذ مهاجمان طراحی شده باشد.
از همین منظر، یادداشت اسماعیل باقریاصل را میتوان هشداری درباره ضرورت تغییر رویکرد در مدیریت بحران سایبری دانست؛ تغییری که در آن هدف دیگر تنها راهاندازی دوباره سرویسها نیست، بلکه بازیابی مطمئن دادهها و زیرساخت پس از یک حمله سایبری است. تجربه حملاتی مانند Change Healthcare و MGM Resorts نیز نشان میدهد که در عصر باجافزارها، پرسش اصلی دیگر «آیا سایت پشتیبان داریم؟» نیست، بلکه این است که «آیا نسخهای سالم، ایزوله و قابل اعتماد برای بازیابی در اختیار داریم؟»