بررسی آسیب‌های ناشی از قطعی اینترنت: عدم دریافت به موقع وصله‌های امنیتی می‌تواند زیرساخت‌های کشور را فلج کند

دیجیاتو در گفت‌وگو با مهدی فرجی، خطرات قطع اینترنت از نظر امنیت سایبری را بررسی کرد.

سیزده روز از قطع اینترنت می‌گذرد و در این مدت، بسیاری از سامانه‌های داخلی و تجهیزات الکترونیکی دست مردم مثل لپ‌تاپ و گوشی فرصت دریافت به‌روزرسانی‌های امنیتی را از دست داده‌اند. همین امر نیز این تجهیزات را در معرض ریسک بزرگی هنگام اتصال اینترنت قرار داده است. نایب رئیس کمیسیون افتا نصر تهران با اشاره به تجربه‌های جهانی مثل حمله واناکرای در سال ۲۰۱۷ به دیجیاتو می‌گوید چنین باج‌افزارهایی در صورت عدم دریافت به موقع پچ‌های امنیتی می‌توانند کل زیرساخت یک کشور را زمین‌گیر کنند.

مهدی فرجی، نایب رئیس کمیسیون افتا نصر تهران می‌گوید در بیش از ده روز اخیر، دسترسی به مخازن و سرویس‌های بین‌المللی قطع بوده، به همین دلیل بسیاری از سرورها و تجهیزات داخلی نتوانسته‌اند پچ‌های امنیتی، به‌روزرسانی‌های سیستم‌عامل‌ها، سیگنیچرهای تجهیزات امنیتی از جمله IDS/IPS را دریافت کنند. در نتیجه آسیب‌پذیری‌های جدید و حتی موارد روز صفر (Zero Day) که در این بازه منتشر شده‌اند، برای این دستگاه‌ها اعمال نشده و با وصل ناگهانی اینترنت، قبل از اینکه زمان کافی برای دریافت آنلاین این بروزرسانی‌ها وجود داشته باشد، مهاجمان می‌توانند از طریق اسکن‌های اتوماتیک و ابزارهای خودکار به سرعت این نقاط ضعف را شناسایی و از آن‌ها بهره‌برداری کنند.

این تصور وجود دارد که با توجه به قطع اینترنت در محیط ایزوله‌ای هستیم که تهدیدها را از بین می‌برد، اما بدافزارها یا باج‌افزارهایی که قبلا به داخل شبکه وارد شده‌اند یا طی این مدت توسط ذخیره سازهای فیزیکی به محیط منتقل شده‌اند، می‌توانند اصطلاحاً با حرکت جانبی خود در شبکه منتشر شوند. فرجی با بیان این نکته به دیجیاتو می‌گوید:

«چون سامانه‌های هوش، تهدید و سیگنیچرهای آنها به‌روز نیستند، شناسایی‌شان دشوار می‌شود و لذا لحظه اتصال مجدد به اینترنت، پنجره فرصت طلایی مهاجمان است؛ چون هم اسکن و اکسپلویت سریع رخ می‌دهد و هم دستگاه‌های آلوده به باج افزارها می‌توانند با سرورهای کنترل ارتباط برقرار کرده و عملیاتی مثل رمزنگاری داده‌ها یا سرقت اطلاعات را فعال کرده و در حداقل زمان به هدف خود برسند.»

او توضیح می‌دهد معمولاً شناسایی شبکه‌ها و سرورهای آپدیت‌نشده و ضعیف متصل به اینترنت، جهت کشف آسیب‌پذیری‌ها به صورت اتوماتیک انجام می‌شود، با این اوصاف بعد از وصل شدن شبکه اینترنت ریسک حملات سایبری به شدت افزایش پیدا می‌کند.

چه اقداماتی باید پیش از اتصال به اینترنت انجام شود؟

برای جلوگیری از این سناریو، نایب رئیس کمیسیون افتا نصر تهران می‌گوید ضروری است که پیش از هر وصل گسترده‌ای، یک برنامه کنترل‌شده درسطح شبکه سازمان اجرا شود. طبق توصیه این کارشناس، ابتدا باید دسترسی اینترنت را به‌صورت محدود و کنترل‌شده در داخل سازمان‌ها انجام داد، ابزارهای دفاعی مثل آنتی‌ویروس‌ها، IDS/IPS و فایروال‌ها را با اولویت برای همگام‌سازی سیگنیچرها و هوش تهدید در قدم اول به اینترنت متصل کرد و سپس سرورهای حیاتی مثل دامین‌کنترلر، دیتابیس‌های اصلی و سرویس‌های زیرساختی را در شبکه‌ای جدا و کنترل‌شده نگه داشت. پچ‌ها و وصله‌های حیاتی را به‌صورت امن و دستی روی این سرورها اعمال کرد تا آماده اتصال کامل به اینترنت باشند.

باید رول‌های بیش‌ازحد باز فایروال را بازبینی کنید و تقسیم‌بندی شبکه (segmentation) را به‌گونه‌ای اجرا کنید که حرکت افقی مهاجم و بد افزارها محدود شود. هم‌زمان، مانیتورینگ خروجی جهت تشخیص و شناسایی سریع تلاش برای برقراری ارتباط با c2 سرورها را تشدید کنید.همچنین از سالم بودن و قابلیت بازیابی پشتیبان‌ها اطمینان حاصل نموده و پس از پاک‌سازی و اعمال وصله‌ها، در صورت لزوم اعتبارنامه‌ها و کلیدهای حساس را تجدید کنید.

فرجی معتقد است اجرای این اقدامات ساده، اما منظم و هم‌زمان، می‌تواند پنجره طلایی فرصت برای مهاجمان را بسته و خطر بروز حملات گسترده و اختلال در زیرساخت‌های حیاتی را به‌طور چشم‌گیری کاهش دهد.

او هشدار می‌دهد که در چنین شرایطی، حتی اگر تهدیدی از خارج وارد شبکه نشود، بدافزارهایی که از قبل در شبکه حضور داشته‌اند یا از طریق ابزارهای فیزیکی وارد شده‌اند، می‌توانند در یک محیط ایزوله و بدون نظارت مؤثر، به‌راحتی در شبکه داخلی گسترش پیدا کنند:

قطع اینترنت اگرچه دسترسی مستقیم بدافزارها به سرورهای فرمان و کنترل را محدود می‌کند، اما هم‌زمان نظارت جهانی و به‌روزرسانی دفاعی را نیز از بین می‌برد و همین موضوع می‌تواند انتشار داخلی بدافزارها را ساده‌تر و خطرناک‌تر کند.

فرجی با اشاره به تجربه‌های جهانی مثل حمله واناکرای در سال ۲۰۱۷ می‌گوید چنین باج‌افزارهایی در صورت عدم دریافت به موقع پچ‌های امنیتی می‌توانند کل زیرساخت یک کشور را زمین‌گیر کنند.

به گفته این کارشناس، خطر اصلی، لحظه اتصال مجدد به اینترنت است؛ زمانی که میلیون‌ها دستگاه به‌روزرسانی‌نشده ناگهان آنلاین می‌شوند و هم‌زمان می‌توانند هدف اسکن‌های خودکار مهاجمان قرار بگیرند یا بدافزارهای نهفته در شبکه داخلی، ارتباط خود را با سرورهای خارجی برقرار کرده و فعال شوند.

طبق گفته‌های فرجی، قطع طولانی اینترنت یعنی میلیون‌ها دستگاه ناتمام که وصل نشده‌اند یک‌باره آنلاین می‌شوند و دو خطر هم‌زمان تهدید را به‌وجود می‌آورد، اولاً اسکنرهای خودکار و بات‌نت‌ها به‌محض اتصال، به سرعت نقاط ضعف شناخته‌شده را شناسایی و اکسپلویت می‌کنند، یعنی احتمال انفجار حملات و موج شدید ترافیک مخرب بسیار بالاست و ثانیاً بدافزارهای نهفته در شبکه یا دستگاه‌هایی که پیش‌تر آلوده شده‌اند می‌توانند هم‌زمان با سرورهای فرمان‌وکنترل ارتباط برقرار کنند و عملیاتی مثل رمزگذاری یا سرقت اطلاعات را فعال کنند.

او در پایان تأکید می‌کند که تنها راه کاهش این ریسک، اتصال مرحله‌ای، کنترل‌شده و همراه با به‌روزرسانی و پایش دقیق زیرساخت‌هاست؛ در غیر این صورت، تبعات امنیتی این دوره قطعی می‌تواند خیلی فراتر از خودِ قطع اینترنت باشد.