خطرات «بله» گفتن به باج افزار

Edwin Weijdema، فناوری جهانی، در شرکت نرم افزار حفاظت از داده ها و پشتیبان گیری وییم، در تصویر می نویسد که چگونه در مواجهه با حمله باج افزار “نه” بگوییم.

با بیش از 236 میلیون حمله باج افزار در نیمه اول سال 2022، حجم و شدت حملات در حال افزایش است و اکنون تقریباً هر بخش صنعتی را تحت تأثیر قرار می دهد. این به دلیل هجوم مجرمان باج افزار جدید و تلاش های جسورانه تر برای تضمین پرداخت های باج بیشتر از سوی بازیگران بد موجود است.

اما، در حالی که بسیاری از سازمان‌ها هنگام حمله برای پرداخت باج عجله می‌کنند، این هنوز هیچ تضمینی برای بازگرداندن داده‌هایتان به شما نمی‌دهد. بر اساس تحقیقات اخیر، 52 درصد از سازمان های جهانی با داده های رمزگذاری شده باج را پرداخت کردند و با موفقیت اطلاعات خود را بازیابی کردند، اما از هر چهار شرکت کننده یک نفر نتوانست آن را بازیابی کند. در نتیجه، بحث در مورد پرداخت یا عدم پرداخت همچنان به شدت بحث برانگیز است. در حالی که برخی برای تلاش و بازگشت سریع به آنلاین و از سرگیری عملیات پول پرداخت می کنند، برخی دیگر که برای موارد اجتناب ناپذیر برنامه ریزی کرده اند می توانند بدون پرداخت هزینه بهبود یابند.

با این حال، در عوض، ما به همه سازمان‌ها نیاز داریم که به نقطه‌ای از “بدون ترس” برسند که در آن با علم به اینکه پشتیبان‌گیری از داده‌هایشان به اندازه کافی فشرده است تا اطمینان حاصل شود که زمان بازیابی کم است و از دست دادن داده‌ها صفر است، با خیال راحت از پرداخت خودداری کنند.

قبل از اینکه سازمان‌ها بتوانند به این نقطه از “بدون ترس” برسند، باید اقدامات زیادی را انجام دهند، اما ابتدا باید دلیل پرداخت مطالبات را در نظر بگیرند و خطر “بله” گفتن را درک کنند.

اساساً، آنها می ترسند و سعی می کنند از چندین عواقب مضر اجتناب کنند. آسیب به شهرت و همچنین نگرانی ادارات امنیتی در مورد عواقب شغلی آنها بسیار بزرگ است. این امر سازمان ها را وادار می کند تا پرداخت ها را انجام دهند به این امید که از اخبار دور بمانند و فاجعه به یک راه حل آرام برسد.

نکته جدی‌تر، روش‌های مورد استفاده توسط مجرمان باج‌افزار اغلب باعث می‌شود سازمان‌ها احساس کنند که چاره‌ای ندارند. باندهای باج‌افزار پشتیبان‌ها را هدف قرار می‌دهند و سازمان‌ها را در موقعیت دشواری قرار می‌دهند: حتی اگر از داده‌های خود نسخه پشتیبان تهیه می‌کردند، این بخشی از حمله بود. با نگاهی به ذهن یک مجرم باج‌افزار، می‌توانید ببینید که چرا آنها پشتیبان‌ها را هدف قرار می‌دهند – در نهایت، این داده‌ها با ارزش‌ترین، حساس‌ترین و حیاتی‌ترین داده‌ها هستند که برای پشتیبان‌گیری در اولویت هستند، بنابراین مهاجمان می‌دانند که چه چیزی دریافت مجدد برای عملکرد کسب و کار بسیار مهم است، نه داده هایی که سازمان ها می توانند بدون آن کار کنند.

متأسفانه، همانطور که می دانیم، پرداخت باج به این معنی نیست که داده ها با موفقیت بازیابی می شوند و پرونده بسته می شود. در واقع، در بسیاری از موارد پرداخت باج باعث ایجاد یک واکنش زنجیره ای می شود. اگر باج خواهی های خود را بپردازید، به مهاجمان خود می گویید که هر کاری که از شما بخواهند انجام خواهید داد و این باعث می شود که آنها حتی بیشتر از شما سوء استفاده کنند. از هر چهار سازمان فقط یک مورد متحمل یک حمله شد – در عوض، بازیگران بد برای بیشتر برگشتند، حملات بیشتری را انجام دادند و مطالبات بیشتری را مطرح کردند. این به عنوان اخاذی مضاعف یا سه گانه شناخته می شود.

اخاذی مضاعف گاهی اوقات به عنوان “اخاذی با نام و شرم” نیز شناخته می شود، و این به وضوح نشان می دهد که چرا چنین تهدیدی برای سازمان ها است و چرا آنها به امید اجتناب از آن هزینه می پردازند. این نوع از حملات باج افزار نه تنها شامل سرقت و رمزگذاری داده ها، بلکه انتشار آن نیز می شود. مهاجمان با تهدید به اشتراک گذاری داده های دزدیده شده، برای مثال با رقبای خود، از اهداف خود اخاذی می کنند.

اخاذی سه گانه فشار بیشتری به تاکتیک اخاذی مضاعف می‌افزاید، زیرا در صورت عدم پرداخت به موقع، یک حمله انکار سرویس توزیع شده (DDoS) را تهدید می‌کند. وقتی این اتفاق می‌افتد، سازمان‌ها واقعاً احساس ناامیدی می‌کنند: نه تنها داده‌هایشان استخراج و رمزگذاری شده‌اند، بلکه با انتشار آن‌ها و همچنین تعطیلی کامل کسب‌وکارشان در صورت تحقق حمله DDoS مواجه می‌شوند.

متأسفانه، بیشتر اوقات این چیزی است که هنگام پرداخت مطالبات باج افزار خود اتفاق می افتد و بهترین راه برای جلوگیری از آن این است که مطمئن شوید استراتژی پشتیبان شما به اندازه کافی قوی است که بتوانید نه بگویید.

پشتیبان گیری

پشتیبان شما آخرین خط دفاعی شما در برابر حملات باج افزار است، اما همه پشتیبان ها یکسان ایجاد نمی شوند. تنها داشتن یک نسخه پشتیبان کافی نیست زیرا مخازن پشتیبان در 94 درصد حملات هدف قرار گرفتند و تقریباً 70 درصد از رویدادهای سایبری حداقل برخی از مخازن را تحت تأثیر قرار دادند.

این بدان معناست که تنها در صورتی می‌توانید به درخواست‌های باج‌افزار نه بگویید که از داده‌های مناسب به روش درست محافظت کنید. برای انجام این کار، باید در طبقه بندی داده های خود بسیار دقیق باشید. این روزها، سازمان‌ها داده‌های زیادی تولید می‌کنند و ادامه می‌دهند، به این معنی که دانستن این که چه بخش‌های مهمی هستند و در کجا ساکن هستند، دشوار است. با این حال، برای تقویت استراتژی حفاظت از داده‌های خود، باید مطمئن شوید که از چه داده‌هایی در اختیار دارید و از چه چیزهایی باید نسخه پشتیبان تهیه کنید.

داده‌های طبقه‌بندی‌نشده برچسب‌گذاری یا شناسایی نمی‌شوند، و این نیز تخصیص سطح ریسک به مجموعه‌های داده را دشوارتر می‌کند. اگر قصد دارید از داده های حیاتی ماموریت محافظت کنید، ابتدا باید آن ها را شناسایی کنید. علاوه بر این، برچسب گذاری داده های با اولویت بالا نیز بخش مهمی از بازیابی اطلاعات است. اغلب، کسب و کارها نمی توانند مطمئن باشند که کدام یک از مجموعه داده های آنها در یک حمله نقض شده است، و این نیروی دیگری است که آنها را مجبور به پرداخت باج می کند، زیرا آنها نمی توانند این احتمال را که حساس ترین داده های آنها به خطر افتاده است را رد کنند. ناتوانی در یافتن مجموعه های خاص برای بازیابی.

علاوه بر حصول اطمینان از طبقه‌بندی داده‌ها، ضروری است که از قانون طلایی پشتیبان‌گیری «3-2-1» پیروی کنید، اما با تغییر.

ما این قانون قدیمی را ایجاد کرده‌ایم که بر سه نسخه از هر مجموعه داده اصرار دارد که در حداقل دو رسانه مختلف ذخیره شود و یکی از کپی‌ها در خارج از سایت ذخیره شود. ما چند عدد دیگر را به انتهای این قانون اضافه کرده‌ایم و آن را به “3-2-1-1-0” تبدیل کرده‌ایم. علاوه بر مراحل معمول، ما چند مورد دیگر را غیرقابل مذاکره می بینیم.

اولاً، یک نسخه از داده های پشتیبان باید به صورت آفلاین میزبانی شود، یکی باید دارای فاصله هوایی یا غیرقابل تغییر باشد، و به طور کلی، در مرحله آزمایش باید خطای صفر وجود داشته باشد. ممکن است ذکر این نکته ساده به نظر برسد، اما اغلب نادیده گرفته می‌شود: پشتیبان‌گیری شما تنها در صورتی برای شما مفید است (در صورت حمله، یا به طور کلی‌تر) در صورتی که برای اطمینان از عدم وجود خطا تأیید شود. در غیر این صورت، شما نمی توانید آنطور که برنامه ریزی کرده اید بازیابی کنید. این امر با نظارت روزانه به دست می آید – نسخه های پشتیبان نباید به عنوان چیزی ذخیره شده برای شرایط اضطراری به حال خود رها شوند، آنها باید به عنوان زنده و نیازمند توجه دائمی دیده شوند.

تمرکز بر بهبودی شدن

حملات باج افزار ناگزیر اتفاق خواهند افتاد. موضوع نه «اگر»، بلکه «زمان» است. این بدان معنی است که حتی اگر بر استراتژی پشتیبان خود تسلط داشته باشید، این تنها نیمی از نبرد است.

نیمی دیگر نگران این است که مطمئن شوید که برای بهینه سازی بازیابی داده ها و هدف زمان بازیابی (RTO) آماده هستید. این فرآیندی است که زمان زیادی را جذب می کند. به طور متوسط ​​18 روز طول می کشد تا سازمان ها اصلاح داده های خود را تکمیل کنند، اما برای 15٪ از سازمان ها، این فرآیند می تواند طی چند ماه (یک تا چهار ماه) انجام شود. جدا از اینکه کار فشرده است، این همچنین به این معنی است که عملکرد کسب و کار در این زمان از کار افتادگی قطع می شود. برای جلوگیری از این اتفاق، مهم است که مطمئن شوید زیرساخت مناسبی برای پشتیبانی از بازیابی سریع دارید.

باز هم، این می تواند با یک رویکرد مدرن برای پشتیبان گیری از داده ها کمک کند – اگر از داده های خود به صورت آنلاین و در فضای ابری نسخه پشتیبان تهیه کنید، به خودتان این قابلیت را می دهید که داده ها را از هر دو سرور به طور همزمان بازیابی کنید. نکته مهم این است که شما یک خط دفاع اضافی نیز دارید، زیرا 40 درصد از سرورها دچار قطعی غیرمنتظره شدند. اگر این را در نظر بگیرید و بر اساس آن استراتژی اتخاذ کنید، می‌توانید به سازمان خود قدرت بیشتری بدهید تا به درخواست‌های باج نه بگوید، زیرا مطمئن باشید که چندین نسخه پشتیبان در اختیار دارید.

سازمان‌ها تمایل دارند به بازیابی اطلاعات افزایشی تکیه کنند، زیرا این گزینه اقتصادی‌تر در نظر گرفته می‌شود. با این حال، همانطور که هزینه حملات باج افزار افزایش می یابد، ارزش انجام کارهای مورد نیاز برای پشتیبانی از بازیابی در مقیاس کامل را دارد. این مستلزم طراحی مجدد زیرساخت است به طوری که می تواند سازمان ها را قادر به بازیابی داده ها با سرعت کند، به این معنی که آنها می توانند در یک بازه زمانی بسیار کوتاه تر از 18 روز به تجارت معمول خود بازگردند.

هنگامی که به عواملی که منجر به پرداخت باج افزار می شوند توجه کنید، تولید نیروی مورد نیاز برای امتناع بسیار آسان تر می شود. سازمان‌ها باید ترس خود را پشت سر بگذارند و با یک استراتژی پشتیبان اصلاح‌شده که آرامش خاطر را تضمین می‌کند، توانمند شوند.