نحوه مقابله با حمله سایبری اخیر به برخی سایت‌ها

طی یکی دو روز گذشته برخی سایتهای دستگاه‌های اجرایی کشور و سازمانها به دلیل حمله‌ای سایبری از دسترس خارج شدند که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای اقدام به انتشار راهکارهای مقابله‌ای کرده است.

کد خبر : 677344
خبرگزاری تسنیم: طی دو روز گذشته برخی پورتالها، سایتهای دستگاه‌های اجرایی و سازمانها بر اثر حمله‌ای سایبری از دسترس خارج شدند و مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای وزارت ارتباطات و فناوری اطلاعات هم این موضوع را در قالب اطلاعیه‌ای، به نوعی تأیید کرد. این مرکز در هشدار و اطلاعیه نخست خود درباره «حملات اخیر به چند وب سایت دستگاه‌های اجرایی» اعلام کرد «با توجه به اخبار دریافتی و بررسی حوادث امنیتی بر روی تعدادی از وب‌سایتها و پورتالهای سازمانها و دستگاه‌های اجرایی در روز یکشنبه مبنی بر از دسترس خارج شدن یا بار پردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر(مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) ضمن بررسی موضوع و ارتباط با سازمانهای مورد حمله قرار گرفته، نسبت به پیگیری ابعاد حادثه‌ و همچنین تهدیدات پیش‌رو، اقدامات لازم و ضروری را به عمل آورد.» این مرکز با احتمال تکرار حوادث مشابه در دیگر سایتها، برای پیشگیری و آمادگی این قبیل حوادث احتمالی مشابه اعلام کرد: - هدف حمله منع سرویس توزیع شده، سیستمهای عامل ویندوز با سرویس‌‌دهنده‌های وب IIS بوده و تمامی اهداف مورد حمله قرار گرفته تاکنون از شرایط فنی یکسان برخوردار بوده‌اند. - آناتومی حمله، شامل ارسال زیاد درخواستهای HTTP به سمت وب‌سرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویس‌دهنده‌ها شده است. - هدف اولیه این حمله، پهنای باند شبکه نبوده لذا تشخیص اولیه با سیستمهای مانیتورینگ و پایش معمولی به سختی قابل انجام است و با تأخیر تشخیص حاصل می‌شود. - پیکربندی صحیح سرویس‌دهنده‌های وب که میزبان برنامه‌های کاربردی تحت وب هستند باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستمها و برنامه‌های کاربردی را تحت تأثیر قرار می‌دهد. همزمان با این حمله سایبری برخی رسانه‌ها امکان دسترسی به سایتهایی از جمله بانک مرکزی، وزارت کار، شرکتهای ایرانسل و پست را غیرممکن اعلام کردند که البته مسئولان این سایتها همچون تجربه پیشین، در مواجهه با چنین موضوعی اعلام کردند سایتها در حال بروزرسانی فنی بوده است. با این حال مرکز ماهر در اطلاعیه‌های خود به روشهای پیشگیری و مقابله با چنین حمله‌ای اشاره کرد و به ذکر موارد زیر پرداخت: - استفاده از دیواره‌های آتش اختصاصی لایه کاربرد یا WAF و پیکربندی مؤثر آن به تناسب تعداد کاربران و نیز شرایط برنامه کاربردی هر سازمان. - یکی از نخستین اقدامات امنیتی، مقاوم‌سازی سرویس‌دهنده‌های وب در مقابل ارسال درخواستهای سیل‌آسا برای تشخیص و جلوگیری است؛ برای این منظور لازم است تا به روشهای مختلف نظیر استفاده از ماژولهای امنیتی و قابلیتهای درونی سرویس‌دهنده‌های وب IIS موارد لازم به تناسب پیکربندی شود. - از فضاهای اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنید. - یکی از مؤثرترین پیکربندی‌ها برای محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction یا Dynamic IP Restrictions است. - در طراحی و پیکربندی برنامه‌های کاربردی مختلف هر یک دارای application pools مجزا هستند. - پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویس‌دهنده برای فیلترسازی درخواستهای ورودی ناخواسته براساس قواعد امنیتی. - پیکربندی فایلهای ثبت وقایع یا ماژول Logging در سرویس‌دهنده‌ی وب IIS برای بررسی و پاسخگوییهای امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است. - مجزا یا ایزوله کردن نرم‌افزارهای کاربردی تحت وب مختلف - ایجاد Worker Processهای منحصر به فرد برای هر یک از نرم‌افزارهای کاربردی تحت وب مختلف - بروزرسانی سیستم‌عامل و نصب آخرین وصله‌های امنیتی نیز همیشه توصیه می‌شود. بنابراین انتظار می‌رود مسئولان امنیتی و فنی سایتهای داخلی، موارد هشدار اعلام شده از سوی مرکز ماهر را جدی گرفته و به سمت ایزوله کردن درگاه‌های ارتباطی و شبکه‌ای خود بروند.
لینک کوتاه :

با دوستان خود به اشتراک بگذارید: