منذ أكثر من عام بقليل ، احتجز فيروس الفدية WannaCry العديد من البنوك والمكاتب الحكومية والشركات في العالم مقابل فدية. لا يزال محترفو تكنولوجيا المعلومات اليوم يعملون للدفاع ضد هذا التهديد سريع التطور. في النتيجة ، لا أحد يريد أن يُمنع من أنظمته الخاصة حتى يدفع للمتسلل.
هناك العديد من الاستراتيجيات التي تستحق اعتمادها لتقليل المخاطر وزيادة فرص التعافي و الحماية من فيروس الفدية, لكن بداية ما هو فيروس الفدية؟
ما هو فيروس الفدية؟
ما هي طبيعة التهديد الذي نواجهه؟ إنه في الواقع أوسع مما قد يفترضه البعض. فيروس الفدية Ransomware هو مصطلح شامل لأي شكل من أشكال البرامج الضارة التي تتطلب الدفع ، غالبًا بعملة مشفرة مثل Bitcoin ، للتراجع عن الخراب الذي أحدثه الفيروس أو فك تشفير الملفات.
يعد تشفير برامج الفدية أمرًا مألوفًا لدى WannaCry. يستخدم تقنية مفتاح التشفير العام لمنع الوصول إلى البيانات. ثم يعطيك مفتاح فك التشفير مقابل سعر.
تعتبر فيروسات الفدية غير المشفرة أبسط إلى حد ما. غالبًا ما تعرض النوافذ المنبثقة أو صفحات الويب أو أي محتوى مزعج آخر بسرعة تجعل الكمبيوتر الشخصي أو الهاتف المحمول عديم الفائدة. مرة أخرى ، دفع الفدية سيوقف الهجوم.
أخيرًا ، هناك فيروس فدية على شكل برنامج تسلل. يكمن تهديدها في قيام المتسلل بنشر معلومات تم الوصول إليها بشكل غير قانوني. غالبًا ما يكون المستخدمون القلقون بشأن الكشف عن الأسرار التجارية أو المعلومات التجارية السرية أو معلومات العملاء أو البيانات الشخصية المحرجة بصراحة على استعداد للدفع للحفاظ على خصوصيتها.
للأسف ، تعود أيام برامج الفدية غير المشفرة بقوة مع إنترنت الأشياء (IoT) . الأجهزة التي تستحوذ على كل شيء بشكل مطرد من منظمات الحرارة المنزلية إلى أنظمة المراقبة الصناعية تحتوي على القليل جدًا من البيانات نفسها. لكن تعطيل السيارات ذاتية القيادة ، أو أجهزة تنظيم ضربات القلب ، أو شبكة الكهرباء يمكن أن يؤدي إلى دفع الحياة في يوم من الأيام للحصول على فدية. إنه سيناريو الكارثة المستقبلية الذي يحاول المتخصصون الأمنيون جاهدين التغلب عليه.
هل يمكنك التعافي من هجوم برامج الفدية؟
فيروسات الفدية (Ransomware) هي مثال رئيسي على “الأمان الأفضل من الأسف” يمكن عادةً إزالة برامج الفدية البسيطة غير المشفرة ، وبافتراض وجود نسخ احتياطية كافية وغير فاسدة ، فإن الهجوم لا يزيد عن كونه مصدر إزعاج. لكن الأمور تزداد صعوبة مع الفيروسات الأكثر تعقيدًا.
لا يوجد الكثير مما يمكن القيام به بعد وقوع برنامج التسرب. لدى المخترق المعلومات بشكل عام جاهزة للإفراج عنها. من المحتمل أيضًا أن تكون العديد من تهديدات إنترنت الأشياء في الأفق خطيرة أو مهددة للحياة بدرجة كافية بحيث يكون دفع الفدية هو الخيار الأفضل.
يكمن تشفير برامج الفدية في مكان ما في المنتصف في هذا الطيف. إذا تم اكتشاف الفيروس مبكرًا ، فقد يكون من الممكن التدخل قبل حدوث تشفير البيانات. يمكن أن يؤدي قطع الاتصال الفوري عن جميع الشبكات والاتصالات إلى منع الفيروس من الاتصال بخادم الأوامر والتحكم ، أو على الأقل المساعدة في عزل البرامج الضارة.
علاوة على ذلك ، يمكن استعادة البيانات كاملة أو شبه كاملة بعد التشفير ، اعتمادًا على عمليات النسخ الاحتياطي المطبقة. إذا خضع حجم كبير من البيانات للتشفير بدون نسخ احتياطي كافٍ ، فإن أدوات الاسترداد توفر أملاً حقيقياً ولكنه محدود للغاية.
يعمل فك التشفير بشكل أفضل مع سلالات برامج الفدية المعروفة – ولكن هذه هي بالتحديد التهديدات التي يجب أن تتجنبها المؤسسة بشكل استباقي. بالنسبة للسلالات الجديدة الأقل استعدادًا لالتقاطها بواسطة برامج مكافحة الفيروسات وبرامج مكافحة برامج الفدية ، توجد خيارات أقل بعد الهجوم. إذا كانت البرامج الضارة تستخدم نفس المفتاح لجميع الملفات المشفرة ، فإن تحليل القوة الغاشمة ضد الأرشيفات غير الفاسدة يمكن أن يحدد المفتاح أحيانًا ، لكنها عملية تستغرق وقتًا طويلاً. وبالمثل ، قد تساعد برامج الطب الشرعي في استعادة الملفات المحذوفة مسبقًا على القرص. ومع ذلك ، في هذه المرحلة ، تفكر معظم الشركات في الدفع مقابل نشر بياناتها.
التحضير لهجوم برامج الفدية قبل حدوثها
خيارات التخفيف بعد الهجوم قليلة. هذا يترك الاستعداد والدفاع كأفضل نهج. كيف هي الأعمال التجارية للقيام بذلك؟
هناك مستويات متعددة من المؤسسة تحتاج إلى المشاركة في تحديد الأولويات واختيار مجموعات الأدوات المناسبة وتنفيذ السياسات وصولاً إلى مستويات الكمبيوتر والموظف. سنلقي نظرة على كل منهم بدوره.
المستوى الأول: حرس الشركات
يعتبر التعامل مع تهديد برامج الفدية على محمل الجد وإدراك أنه سيتطور في السنوات القادمة خطوات أولية نحو حماية أنظمة الشركات. يجب اعتبار برامج الفدية على أنها مشكلة عالية المستوى وتحظى باهتمام كبار موظفي التكنولوجيا. سيشمل ذلك الخطوات التالية:
- تحديد سعر للبيانات : يحتاج العمل التجاري إلى تحديد سعر لبياناته قبل المتسلل. يسمح فهم القيمة النسبية لأنواع مختلفة من البيانات للمؤسسة بتعيين مستوى مقبول من الفشل. لن يكون من الممكن عادة الدفاع عن القلعة بأكملها بنفس الدرجة دون مقاطعة العمليات التجارية أو تعطيل النسخ الاحتياطية. يتعلق تحليل مخاطر مماثل بأجهزة إنترنت الأشياء بناءً على احتمال حدوث ضرر.
- بنية الشبكة : يمكن تصميم البنية التحتية لتكنولوجيا المعلومات للمساعدة في مقاومة انتشار برامج الفدية الضارة. على سبيل المثال ، يجب عزل الأنظمة الحرجة للمهمة إلى أقصى درجة ممكنة. قد ترغب العديد من المؤسسات في إشراك خبراء أمنيين خارجيين للتأكد من حصولهم على البنية الصحيحة.
- أنظمة كشف التسلل : تتحسن منتجات IDS. يمكن لمجموعة متنوعة من الخيارات ، بما في ذلك Snort مفتوحة المصدر ، مراقبة الشبكات على مستوى الحزمة وتحديد أنماط حركة المرور الخبيثة المحتملة. تستحق هذه الأدوات الاستخدام والبحث بشكل أكبر مع تطور حلول التعلم الآلي.
- خطة ما بعد الاقتحام : تتيح أنظمة IDS أو AIDS الاستجابة السريعة للتهديدات المحتملة ، لذا فهي مفيدة. يجب أيضًا تعيين الخطوات التالية مسبقًا. ستخبر الاعتبارات القائمة على القيمة الشركة عندما يحين وقت دفع الفدية لاستعادة العمليات أو استعادة السيطرة على البيانات أو تجنب التأثيرات البشرية المحتملة مع هجمات إنترنت الأشياء.
المستوى الثاني: إعداد النسخ الاحتياطية والتحقق منها
كما ذكرنا ، يمكن للنسخ الاحتياطية تمكين استعادة البيانات دون دفع فدية في حالة هجوم فدية تشفير. على الرغم من أنهم لا ينشئون وحدهم دفاعًا خادعًا ضد جميع برامج الفدية ، إلا أن النسخ الاحتياطية مهمة بما يكفي لضمان دراسة متأنية.
يجب أن تكون خطة النسخ الاحتياطي للبيانات متنوعة بحيث لا توجد نقطة واحدة للفشل. قم بتخزين نسخ متعددة من البيانات عالية القيمة عبر الإنترنت وغير متصل وغير متصل بالموقع. أصبح الأمر الآن أسهل من أي وقت مضى مع الخدمات السحابية.
يمكن أن يؤدي تبديل امتيازات الوصول إلى البيانات وتعيين أذونات القراءة / الكتابة إلى منع تعديل الملفات أو مسحها. بالإضافة إلى ذلك ، غالبًا ما يتم استهداف لقطات البيانات ، مثل النسخة الاحتياطية لوحدة التخزين (VSS) في Windows ، والمستخدمة للاسترداد بواسطة برامج الفدية الأكثر شدة. يمكن أن يؤدي تعطيل الوصول إلى أداة VSSadmin.exe في Windows – والوصول المماثل في الأنظمة الأخرى – إلى إحباط عملية برامج الفدية هذه.
يجب على الموظفين التحقق باستمرار من سلامة النسخ الاحتياطية ومراجعة السياسات بانتظام. إن مسيرة التكنولوجيا تعني أن مستوى مرغوبًا من النسخ الاحتياطي لم يكن عمليًا قبل عام قد يكون ممكنًا اليوم. بالنسبة إلى البيانات المهمة للمهمة ، تضمن العديد من المؤسسات الآن قياس فقدان البيانات بعد الهجوم بالدقائق وليس ساعات أو أيام.
يمكن أن يكون شريك دعم تكنولوجيا المعلومات التابع لجهة خارجية موردًا قيمًا في تحسين النسخ الاحتياطية وإجراء الصيانة الدورية لضمان عملها. ابحث عن أحد عروض حماية البيانات كخدمة (DPaaS). سيكون أفضل البائعين قادرين على استيعاب نهج الشركة متعدد الجوانب للنسخ الاحتياطي للبيانات ، سواء كان ذلك يشمل المواقع المتطابقة ، أو التعافي من الكوارث أو النسخ الاحتياطي كخدمة (DRaaS أو BaaS) ، أو النسخ الاحتياطية للأشرطة وأنظمة التخزين الأرشيفية ، أو غيرها من الأدوات.
المستوى الثالث: دفاع الشبكة
يجب أن يستخدم فريق الشبكة البرامج الحالية وسياسات الأمان الموصى بها من قبل الصناعة لمنع الحمولات من الإطلاق وانتشار الفيروسات. أولاً ، والأكثر وضوحًا ، يجب أن تكون أدوات الحماية من برامج الفدية في مكانها الصحيح. أدى نمو المشكلة على مدى السنوات القليلة الماضية إلى دفع صناعة الأمان إلى تطوير منتجات مختلفة ، والتي توفر مستوى أساسيًا من الحماية.
من هناك ، تشمل النقاط الرئيسية لاهتمام فريق الشبكة ما يلي:
- التصحيحات : سيساعد التثبيت المنتظم لتصحيحات O / S وتحديثات مكافحة الفيروسات والمكونات الإضافية للمتصفح على تجنب اختراق متغيرات التهديد المعروفة. إذا لزم الأمر ، قم بإشراك شريك دعم للمساعدة.
- جدران الحماية : ابحث في جدران الحماية النشطة ، وتأكد من تكوين جميع جدران الحماية بشكل صحيح. يمكن أن تكون مجموعات الأمان التي تستوعب العديد من جدران الحماية إضافة رائعة للدفاع عن اقتحام الأسهم.
- كلمات المرور : حث المستخدمين بانتظام على تغيير كلمات المرور الخاصة بهم ، واطلب منهم تلبية الحد الأدنى من معايير القوة .
- سياسات تقييد البرامج : كثيرًا ما تستخدم العمليات الضارة مواقع متشابهة ، مثل ProgramData و AppData و Temp و Windows \ System. غالبًا ما يكون من الحكمة منع تشغيل الملفات القابلة للتنفيذ في هذه المواقع.
- قوائم الحظر : احتفظ بقائمة محدثة من العناوين الخبيثة المعروفة. تعتبر بوابات TOR (The Onion Router) ، على سبيل المثال ، وسيلة شائعة لتهديدات برامج الفدية للتواصل مع خوادم القيادة والتحكم الخاصة بهم.
- إعدادات مكافحة البريد العشوائي : يمكن أن تؤدي التصفية على خادم البريد إلى حظر أنواع المرفقات المستخدمة غالبًا لنقل الفيروسات ، مثل .exe أو .vbs. أو .scr. قم بفحصها ما لم يكن هناك سبب مقنع للمستخدمين لإرسال أو استقبال هذه الملفات عبر البريد الإلكتروني.
المستوى الرابع: حماية الكمبيوتر والجهاز
أخيرًا ، سيرغب دعم الكمبيوتر الشخصي في ضمان حماية جميع الأجهزة إلى أقصى حد من خلال:
- تعطيل مشاركة الملفات والخدمات عن بُعد ، إذا كان ذلك لن يعيق سير عمل المستخدمين ؛
- إيقاف تشغيل الاتصالات اللاسلكية غير المستخدمة بحيث لا يمكن استغلالها كناقل أولي ؛
- تعطيل وظائف Windows الضعيفة ، مثل Windows Script Host و Windows PowerShell ؛
- تأمين Microsoft Office عن طريق تعطيل وحدات الماكرو و ActiveX وحظر المحتوى الخارجي ، كلما أمكن ذلك ؛
- تثبيت حاصرات النوافذ المنبثقة لإغلاق نقطة دخول أخرى لهجمات طروادة ؛
- تعطيل التشغيل التلقائي لمنع التشغيل التلقائي لملفات برامج الفدية.
يمكن تحسين أمان الأجهزة المحمولة عن طريق تنزيل التطبيقات فقط من مصادر معروفة واستخدام تطبيقات الأمان والحماية من الفيروسات التي تم التحقق منها. يجب أيضًا تكوين أجهزة إنترنت الأشياء بشكل صحيح باستخدام الإعدادات المتاحة والحماية المستندة إلى الشبكة. مع تلقي تهديد أمان إنترنت الأشياء مزيدًا من الاهتمام ، نأمل أن نتوقع المزيد من الحماية المتقدمة على مستوى الجهاز في الأجيال القادمة من هذه المنتجات.
المستوى الخامس: الذكاء البشري
في بعض الأحيان ، لا تكفي أفضل بنية ، وأفضل الأدوات ، واليقظة المستمرة بشأن التحديثات والإعدادات لمنع اختراق الفيروسات. في حالة فشل الدفاعات التقنية ، يمكن أن يكون المستخدمون أنفسهم المصدر النهائي للحماية.
يجب على أقسام تكنولوجيا المعلومات تعليم مجتمعات المستخدمين عادات صحية إلكترونية جيدة ، من خلال جلسات منتظمة لتحديث مهاراتهم وتحديثها. إن جعل المستخدمين على دراية بأنواع التهديدات المختلفة ، مثل هجمات spearphishing – وما يجب فعله ومن يتصلون إذا رأوا شيئًا مريبًا – يمكن أن ينبه قسم تكنولوجيا المعلومات إلى مشكلة ما بينما لا يزال هناك وقت للتدخل بشكل فعال.
استنتاج
الدفاع الجيد عن برامج الفدية ليس ضمانًا ضد هجوم ناجح ، ولكن هذا ليس عذرًا لتجنب الخطوات الأساسية. قم باستثمارات معقولة في الأدوات والتقنيات ، من مكافحة الفيروسات إلى الإيدز. تطوير بروتوكولات أمنية شاملة ومتسقة. واحصل على لعبة الصيانة لتحافظ على تحديث تعريفات الفيروسات والدفاعات الأخرى ، ناهيك عن النسخ الاحتياطية. إذا كان من الصعب على الموظفين الداخليين البقاء على اطلاع ، فابحث عن موفر خارجي للمساعدة.
بعد كل شيء ، حتى صانع العناوين ، WannaCry ، الذي فاجأ العديد من محترفي تكنولوجيا المعلومات ، استفاد من استغلال معروف على نطاق واسع. في معظم الأحيان ، يكفي فحص المشتبه بهم المعتادين لتجنب التعرض للاختراق.
