به عقیده کارشناسان افتا، این بی‌توجهی‌ها موجب شده تا برخی سازمان‌ها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند، بر دسترسی‌های از راه دور خود کنترل مناسبی نداشته باشند و آسیب‌پذیری‌های اعلام شده را به‌موقع به‌روزرسانی نکنند. نتایج بررسی‌های کارشناسان امنیت سایبری افتا نشان می‌دهد که مهاجمان توانسته‌اند به برخی از مدیریت سیستم‌ها، دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند.

 حمله یک ماه قبل رخ داده است

به ‌گفته این کارشناسان نفوذ به سامانه‌های وزارت راه‌وشهرسازی و شرکت راه‌آهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکرها آن را حدود ۷ روز قبل از حادثه سایبری آماده کرده‌اند.

بر اساس نظر کارشناسان افتا، مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستم‌ها و کلمات عبور کاربران را یا حذف کرده یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و نیز حالت بازیابی را در برخی سیستم‌ها غیرفعال کرده بودند.

بررسی کارشناسان امنیت سایبری افتا نشان می‌دهد که به‌دلیل زمان‌بر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختارهای دیتا بسنده کرده‌اند. مهاجم یا مهاجمان سایبری در صورتی‌که در حمله سایبری خود، کنترل سیستم را به‌دست گیرند، همه زیرساخت‌های IP را تخریب و بیشترین ضربه را وارد می‌کنند که خوشبختانه در حملات اخیر به دلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.

 مسائل امنیتی رعایت نشده بود

کارشناسان امنیت سایبری مرکز افتا، همچنین گفتند: رعایت نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.

مهاجم یا مهاجمان سایبری از آسیب‌پذیری‌های خطرناکی که در سیستم‌های عامل ویندوز کشف و از طریق مرکز افتا به دستگاه‌های دارای زیرساخت حیاتی کشور برای ترمیم آنها در کوتاه‌ترین زمان، اطلاع‌رسانی دقیق شده بود، در برخی فرآیند نفوذ، بهره‌برداری کرده‌اند. تغییر امتیازات و دسترسی‌های موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستم‌های وزارت راه‌وشهرسازی و شرکت راه‌آهن بوده است.  مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمان‌های زیرساختی می‌خواهد تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را به روی Firmware، پورت‌های مدیریتی سرورها و تجهیزات ILO و IPMI سیستم‌های خود اعمال کنند.

 برای جلوگیری از حملات چه باید کرد؟

لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیب‌پذیرها و وصله‌های فوری آنها و جمع‌آوری و پایش لاگ و رویدادهای امنیتی مربوط به سامانه‌ها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیرساخت برشمرده شده است.  به‌روزرسانی مستمر آنتی‌ویروس سرور و کلاینت‌ها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بین‌المللی، جداسازی شبکه‌های سامانه‌های زیرساختی از سایر شبکه‌های غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری برشمرده شده است.  کارشناسان مرکز مدیریت راهبردی افتا، همچنین تغییر مستمر و دقیق گذرواژه همه حساب‌های کاربری دارای سطح دسترسی بالا در سامانه‌ها و تجهیزات شبکه، بازبینی دسترسی سطح ادمین‌های شبکه، غیرفعال‌سازی پورت‌های بلااستفاده و سرویس‌های غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانه‌های حیاتی را از اقدام‌های پیشگیرانه برای نفوذ به سیستم‌های سازمانی برمی‌شمارند.

مرکز مدیریت راهبردی افتا تاکید کرده است: کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیرساخت موظفند، از دیتاهای سازمان خود، به‌طور منظم نسخه‌های پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.

این مطلب برایم مفید است
3 نفر این پست را پسندیده اند