الإعداد لهجوم برامج فدية ضارة

مكان جيد للبدء هو اعتماد معيار أمان سحابة Microsoft (MCSB) لتأمين بيئة Azure. معيار أمان السحابة من Microsoft هو إطار عمل التحكم في أمان Azure، استنادا إلى أطر التحكم في الأمان المستندة إلى الصناعة مثل NIST SP800-53 و CIS Controls v7.1.

يوفر معيار أمان السحابة من Microsoft إرشادات للمؤسسات حول كيفية تكوين Azure وخدمات Azure وتنفيذ عناصر التحكم في الأمان. يمكن للمؤسسات استخدام Microsoft Defender for Cloud لمراقبة حالة بيئة Azure المباشرة الخاصة بها مع جميع عناصر تحكم MCSB.

وفي نهاية المطاف، يهدف الإطار إلى الحد من مخاطر الأمنان عبر الانترنت وإدارتها على نحو أفضل.

بناء على تجربتنا مع هجمات برامج الفدية الضارة، نجد أن تحديد الأولويات يجب أن يركز على: 1) التحضير، 2) الحد، 3) منع. قد يبدو هذا غير بديهي، لأن معظم الناس يرغبون في منع الهجوم والمضي قدما. لسوء الحظ، يجب أن نفترض الخرق (مبدأ الثقة المعدومة الرئيسي) والتركيز على التخفيف بشكل موثوق من أكبر الأضرار أولا. يعد تحديد الأولويات هذا أمرا بالغ الأهمية بسبب وجود احتمالية عالية لسيناريو أسوأ حالة مع برامج الفدية الضارة. في حين أنها ليست حقيقة سارة للقبول، فإننا نواجه مهاجمين بشريين مبدعين ومتحمسين بارعين في العثور على طريقة للتحكم في بيئات العالم الحقيقي المعقدة التي نعمل فيها. مقابل هذا الواقع، من المهم الاستعداد للأسوأ وتأسيس أطر عمل لاحتواء ومنع قدرة المهاجمين على الحصول على ما يلاحقونه.

في حين أن هذه الأولويات يجب أن تحكم ما يجب القيام به أولا، فإننا نشجع المؤسسات على تنفيذ الخطوات بالتوازي حيثما أمكن، بما في ذلك سحب الفوز السريع إلى الأمام من الخطوة 1 عندما تتمكن من ذلك.

منع مهاجم برامج الفدية الضارة من دخول بيئتك والاستجابة السريعة للحوادث لإزالة وصول المهاجم قبل أن يتمكن من سرقة وتشفير البيانات. يؤدي هذا إلى فشل المهاجمين في وقت سابق وغالبا، ما يقوض ربح هجماتهم. في حين أن الوقاية هي النتيجة المفضلة، إلا أنها رحلة مستمرة وقد لا تكون ممكنة لتحقيق الوقاية بنسبة 100٪ والاستجابة السريعة عبر منظمات العالم الحقيقي (الممتلكات المعقدة متعددة الأنظمة الأساسية ومتعددة السحابات مع مسؤوليات تكنولوجيا المعلومات الموزعة).

لتحقيق ذلك، يجب على المؤسسات تحديد وتنفيذ مكاسب سريعة لتعزيز ضوابط الأمان لمنع الدخول، واكتشاف/طرد المهاجمين بسرعة أثناء تنفيذ برنامج مستدام يساعدهم على البقاء آمنين. توصي Microsoft المؤسسات باتباع المبادئ الواردة في استراتيجية الثقة المعدومة هنا. على وجه التحديد، ضد برامج الفدية الضارة، يجب على المؤسسات تحديد أولويات:

• تحسين النظافة الأمنية من خلال تركيز الجهود على الحد من الأجزاء المعرضة للهجوم إدارة المخاطر والثغرات الأمنية للأصول في الممتلكات الخاصة بهم.
• تنفيذ عناصر التحكم في الحماية والكشف والاستجابة لأصولها الرقمية التي يمكنها تقديم الحماية من التهديدات المتقدمة والسلع الأساسية، وتوفير الرؤية والتنبيه بشأن نشاط المهاجم والاستجابة للتهديدات النشطة.

تأكد من أن لديك عناصر تحكم قوية (منع، اكتشاف، استجابة) للحسابات المتميزة كمسؤولي تكنولوجيا المعلومات والأدوار الأخرى مع التحكم في الأنظمة الحرجة للأعمال. يؤدي هذا إلى إبطاء ومنع المهاجمين أو أي من ذلك من الوصول الكامل إلى مواردك لسرقتها وتشفيرها. إن التخلص من قدرة المهاجمين على استخدام حسابات مسؤول تكنولوجيا المعلومات كاختصار للموارد يقلل بشكل كبير من فرص نجاحهم في مهاجمتك والمطالبة بالدفع / الربح.

يجب أن يكون لدى المؤسسات نسبة أمان مرتفعة للحسابات المتميزة (حماية مشددة ومراقبة عن كثب والاستجابة السريعة للحوادث المتعلقة بهذه الأدوار). يرجى مراجعةخطة التحديث السريع للأمان من Microsoft، والتي تغطي:

• أمان جلسة العمل من طرف إلى طرف (بما في ذلك المصادقة متعددة العوامل (MFA) للمسؤولين)
• حماية ومراقبة أنظمة الهوية
• التخفيف من مخاطر الاجتياز الجانبي
• الاستجابة السريعة للمخاطر

خطط لسيناريو أسوأ الحالات وتوقع حدوثه (على جميع مستويات المؤسسة). يساعد هذا مؤسستك والآخرين في العالم الذي تعتمد عليه:

• يحد من الضرر لأسوأ سيناريو - في حين أن استعادة جميع الأنظمة من النسخ الاحتياطية معطلة للغاية للأعمال، فإن هذا أكثر فعالية وكفاءة من محاولة الاسترداد باستخدام أدوات فك التشفير التي يوفرها المهاجم (منخفضة الجودة) بعد الدفع للحصول على المفتاح. ملاحظة: الدفع هو مسار غير مؤكد - ليس لديك أي ضمان رسمي أو قانوني بأن المفتاح يعمل على جميع الملفات، أو أن الأدوات تعمل بشكل فعال، أو أن المهاجم (الذي قد يكون تابعا للهواة باستخدام مجموعة أدوات محترف) سيعمل بحسن نية.
• الحد من العائد المالي للمهاجمين - إذا كان بإمكان المؤسسة استعادة العمليات التجارية دون دفع مبالغ للمهاجمين، يفشل الهجوم وينتج صفرا من العائد على الاستثمار (ROI) للمهاجمين. وهذا يقلل من احتمالية استهدافهم للمنظمة في المستقبل (ويحرمهم من المزيد من التمويل لمهاجمة الآخرين).

قد لا يزال المهاجمون يحاولون ابتزاز المؤسسة من خلال الكشف عن البيانات أو إساءة استخدام/بيع البيانات المسروقة، ولكن هذا يمنحهم نفوذا أقل مما لو كان لديهم مسار الوصول الوحيد إلى البيانات والأنظمة الخاصة بك.

يجب على المؤسسات، لتحقيق ذلك، ضمان ما يلي:

• تسجيل المخاطر - إضافة برامج الفدية الضارة إلى سجل المخاطر كسيناريوهات عالية الاحتمال وتأثير كبير. تعقب حالة التخفيف من المخاطر عبر دورة تقييم إدارة مخاطر المؤسسية (ERM).
• تعريف أصول الأعمال الحرجة والنسخ الاحتياطي لها - تحديد الأنظمة المطلوبة لعمليات الأعمال الحرجة ونسخها احتياطيا تلقائيا وفقا لجدول زمني منتظم (بما في ذلك النسخ الاحتياطي الصحيح للتبعيات الحرجة مثل Active Directory) وحماية النسخ الاحتياطية من المحو المتعمد والتشفير باستخدام التخزين غير المتصل والتخزين غير القابل للتغيير والخطوات خارج النطاق أو أي من ذلك (المصادقة متعددة العوامل أو رقم التعريف الشخصي (PIN)) قبل تعديل/مسح النسخ الاحتياطية عبر الإنترنت.
• اختبر سيناريو «الاسترداد من الصفر» - قم بالاختبار لضمان استمرارية عملك/الإصلاح بعد كارثة (BC/DR) والذي يمكن أن يجلب بسرعة العمليات التجارية الحرجة عبر الإنترنت من وظائف صفرية (جميع الأنظمة معطلة). إجراء تمارين التدريب للتحقق من صحة العمليات عبر الفريق والإجراءات التقنية، بما في ذلك اتصالات الموظفين والعملاء خارج النطاق (افترض أن جميع رسائل البريد الإلكتروني/الدردشة/إلخ. معطلة).
  من الضروري حماية (أو طباعة) المستندات والأنظمة الداعمة المطلوبة للاسترداد بما في ذلك مستندات إجراء الاستعادة وCMDBs والرسومات التخطيطية للشبكة ومثيلات SolarWinds وما إلى ذلك. المهاجمون يدمرون هذه بشكل منتظم.
• تقليل التعرض المحلي - عن طريق نقل البيانات إلى الخدمات السحابية مع النسخ الاحتياطي التلقائي والتراجع عن الخدمة الذاتية.

يوجد عدد من الأنشطة التي يمكن القيام بها للتحضير لحوادث برامج الفدية الضارة المحتملة.

نظرا لأن معظم متغيرات برامج الفدية الضارة تعتمد على المستخدمين النهائيين لتثبيت برامج الفدية الضارة أو الاتصال بمواقع الويب المخترقة، يجب تثقيف جميع المستخدمين النهائيين حول المخاطر. ويكون هذا عادة جزءا من التدريب السنوي على التوعية الأمنية فضلا عن التدريب المخصص المتاح من خلال أنظمة إدارة التعلم الخاصة بالشركة. كما يجب أن يمتد التدريب على التوعية لعملاء الشركة عبر مداخل الشركة أو القنوات الأخرى المناسبة.

يجب أن يعرف محللو SOC وغيرهم من المشاركين في حوادث برامج الفدية الضارة أساسيات البرامج الضارة وبرامج الفدية الضارة على وجه الخصوص. يجب أن يكونوا على دراية بالمتغيرات/ الأسر الرئيسية من برامج الفدية الضارة، جنبا إلى جنب مع بعض خصائصها النموذجية. يجب أن يكون موظفو مركز اتصال العملاء على علم أيضا بطريقة التعامل مع تقارير برامج الفدية الضارة من المستخدمين النهائيين وعملاء الشركة.

يوجد مجموعة متعددة من الضوابط التقنية التي يجب أن تكون قائمة لحماية واكتشاف والاستجابة لحوادث برامج الفدية الضارة مع التركيز بشدة على الوقاية. كحد أدنى، يجب أن يكون لدى محللي SOC إمكانية الوصول إلى بيانات تتبع الاستخدام التي تم إنشاؤها بواسطة أنظمة مكافحة البرامج الضارة في الشركة، وفهم التدابير الوقائية المطبقة، وفهم البنية التحتية التي تستهدفها برامج الفدية الضارة، والقدرة على مساعدة فرق الشركة على اتخاذ الإجراءات اللازمة.

يجب أن يتضمن ذلك بعض أو جميع الأدوات الأساسية التالية:

• أدوات الكشف والوقاية

  • حزم منتجات مكافحة البرامج الضارة لخادم المؤسسة (مثل Microsoft Defender for Cloud)
  • حلول لمكافحة البرامج الضارة للشبكة (مثل Azure Anti-malware)
  • الأنظمة الأساسية الخاصة بتحليل بيانات الأمان (مثل Azure Monitor وSentinel)
  • أنظمة كشف التسلل والوقاية منه
  • جدار حماية الجيل التالي (NGFW)

• أدوات تحليل البرامج الضارة والاستجابة لها

  • أنظمة تحليل البرامج الضارة التلقائية مع دعم معظم أنظمة تشغيل المستخدم النهائي والخادم الرئيسية للمؤسسة
  • أدوات تحليل البرامج الضارة الثابتة والديناميكية
  • برامج وأجهزة الصور العدلية الرقمية
  • إمكانية الوصول إلى الإنترنت غير التنظيمي (على سبيل المثال، دونجل 4G)
  • للحصول على أقصى قدر من الفعالية، يجب أن يكون لدى محللي SOC وصول واسع النطاق إلى جميع منصات مكافحة البرامج الضارة تقريبا من خلال واجهاتهم الأصلية بالإضافة إلى بيانات تتبع الاستخدام الموحد عن بعد داخل النظام الأساسي لبيانات الأمان. يوفر النظام الأساسي لAzure native Antimalware لخدمات Azure Cloud والأجهزة الظاهرية أدلة خطوة بخطوة حول طريقة تحقيق ذلك.
  • مصادر الإثراء والتحليل الذكي
  • مصادر التحليل الذكي للمخاطر والبرامج الضارة عبر الإنترنت وغير المتصلة (مثل sentinel وAzure Network Watcher)
  • Active directory وأنظمة المصادقة الأخرى (والسجلات ذات الصلة)
  • قواعد بيانات إدارة التكوين الداخلية (CMDBs) التي تحتوي على معلومات جهاز نقطة النهاية

• حماية البيانات

  • تنفيذ حماية البيانات لضمان الاسترداد السريع والموثوق به من هجوم برامج الفدية الضارة بالإضافة إلى حظر بعض التقنيات.
  • تعيين المجلدات المحمية - لجعل تعديل البيانات في هذه المجلدات أكثر صعوبة للتطبيقات غير المصدقة.
  • مراجعة أذونات الوصول - لتقليل المخاطر الناجمة عن الوصول الواسع لتمكين برامج الفدية الضارة
  • اكتشاف أذونات الكتابة/الحذف الواسعة على fileshares وSharePoint والحلول الأخرى
  • تقليل أذونات الوصول الواسعة أثناء تلبية متطلبات التعاون في العمل
  • التدقيق والمراقبة لضمان عدم ظهور أذونات الوصول الواسعة مرة أخرى
  • تأمين النسخ الاحتياطية
  • تأكد من أن الأنظمة الحرجة منسوخة احتياطيًا وحماية النسخ الاحتياطية من مسح/تشفير المهاجم المتعمد.
  • إجراء نسخ احتياطي لجميع الأنظمة الحرجة تلقائيا حسب جدول زمني منتظم
  • ضمان الاسترداد السريع للعمليات التجارية من خلال ممارسة خطة استمرارية الأعمال/الإصلاح بعد كارثة (BC/DR) بصورة منتظمة
  • حماية النسخ الاحتياطية من المحو والتشفير المتعمد
  • الحماية القوية - تتطلب خطوات خارج النطاق (مثل MUA/المصادقة متعددة العوامل) قبل تعديل النسخ الاحتياطية عبر الإنترنت مثل Azure Backup
  • أقوى حماية - اعزل النسخ الاحتياطية عن أحمال العمل عبر الإنترنت/الإنتاج لتعزيز حماية بيانات النسخ الاحتياطي.
  • حماية المستندات الداعمة المطلوبة للاسترداد مثل مستندات إجراء الاستعادة وCMDB والمخططات الخاصة بالشبكة

تأكد من أن مؤسستك تنفذ عدد من الأنشطة تقريبا باتباع خطوات الاستجابة للحوادث والتوجيهات الموضحة في دليل التعامل مع حوادث أمن الكمبيوتر في المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) (المنشور الخاص 800-61r2) للتحضير لحوادث برامج الفدية الضارة المحتملة. تشمل هذه الخطوات:

1. التحضير: تصف هذه المرحلة التدابير المختلفة التي ينبغي اتخاذها قبل وقوع الحادث. ويمكن أن يشمل ذلك كلا من الاستعدادات التقنية (مثل تنفيذ الضوابط الأمنية المناسبة وغيرها من التكنولوجيات) والتحضيرات غير التقنية (مثل إعداد العمليات والإجراءات).
2. المشغلات / الكشف: توضح هذه المرحلة طريقة اكتشاف هذا النوع من الحوادث والمشغلات التي قد تكون متاحة والتي يجب استخدامها لبدء مزيد من التحقيق أو الإعلان عن حادث. يتم فصل هذه بشكل عام إلى مشغلات عالية الثقة ومشغلات منخفضة الثقة.
3. التحقيق / التحليل: تصف هذه المرحلة الأنشطة التي يجب الاضطلاع بها للتحقيق في البيانات المتاحة وتحليلها عندما لا يكون من الواضح أن حدثا ما قد وقع، بهدف إما التأكد من أنه يجب الإعلان عن حادث أو استنتاج أنه لم يحدث حادث.
4. الإعلان عن الحادث: تغطي هذه المرحلة الخطوات التي يجب اتخاذها للإعلان عن حادث، عادة مع رفع تذكرة داخل نظام إدارة الحوادث (إصدار التذاكر) للمؤسسة وتوجيه التذكرة إلى الموظفين المناسبين لمزيد من التقييم والإجراءات.
5. الاحتواء / التخفيف: تغطي هذه المرحلة الخطوات التي يمكن اتخاذها إما من قبل مركز عمليات الأمان (SOC)، أو من قبل الآخرين، لاحتواء أو تخفيف (إيقاف) الحادث من الاستمرار في الحدوث أو الحد من تأثير الحادث باستخدام الأدوات والتقنيات والإجراءات المتوفرة.
6. المعالجة/ الاسترداد: تغطي هذه المرحلة الخطوات التي يمكن اتخاذها لمعالجة أو التعافي من الضرر الذي تسبب فيه الحادث قبل احتوائه والتخفيف من حدته.
7. نشاط ما بعد الحادث: تغطي هذه المرحلة الأنشطة التي يجب تنفيذها بمجرد إغلاق الحادث. ويمكن أن يتضمن ذلك التقاط السرد النهائي المرتبط بالحادث بالإضافة إلى تحديد الدروس المستفادة.

تأكد من وجود العمليات والإجراءات المناسبة. تقود جميع حوادث برامج الفدية الضارة تقريبا إلى الحاجة إلى استعادة الأنظمة المخترقة. لذلك يجب أن تكون عمليات وإجراءات النسخ الاحتياطي والاستعادة المناسبة والمختبرة قائمة لمعظم الأنظمة. يجب أن تكون هناك أيضا استراتيجيات مناسبة للاحتواء مع إجراءات مناسبة لمنع برامج الفدية الضارة من الانتشار مع التعافي من هجمات برامج الفدية الضارة.

تأكد من أن لديك إجراءات موثقة جيدا لإشراك أي دعم من جهة خارجية، خاصة الدعم من موفري خدمة التحليل الذكي للمخاطر وموفري خدمة حلول مكافحة البرامج الضارة ومن موفر تحليل البرامج الضارة. يمكن أن تكون جهات الاتصال هذه مفيدة إن كان متغير برامج الفدية الضارة قد يكون لديه نقاط ضعف معروفة أو قد تتوفر أدوات فك التشفير.

يوفر النظام الأساسي Azure خيارات النسخ الاحتياطي والاسترداد من خلال Azure Backup بالإضافة إلى المضمنة في خدمات البيانات المختلفة وأحمال العمل.

النسخ الاحتياطية المعزولة معAzure Backup

• Azure Virtual Machines
• قواعد البيانات في أجهزة Azure الظاهرية: SQL وSAP HANA
• قاعدة بيانات Azure لـ PostgreSQL
• خوادم Windows المحلية (النسخ الاحتياطي إلى السحابة باستخدام عامل MARS)

قم بتمكين النسخ الاحتياطي (التشغيلي) باستخدام Azure Backup

• ملفات Azure
• Azure Blobs
• أقراص Azure

النسخ الاحتياطية المضمنة من خدمات Azure

• توفر خدمات البيانات مثل Azure Databases (SQL وMySQL وMariaDB وPostgreSQL) وAzure Cosmos DB و ANF إمكانات النسخ الاحتياطي المضمنة

راجع المستند التقني: دفاعات Azure للدليل التقني للهجوم على برامج الفدية الضارة.

مقالات أخرى في السلسلة:

• الحماية من برامج الفدية الضارة في Azure
• الكشف عن هجوم برامج الفدية الضارة والاستجابة له
• ميزات وموارد Azure التي تساعدك في الحماية والكشف والاستجابة