جزئیات حمله به سایتهای ایرانی
دنیای اقتصاد: عصر روز یکشنبه، تعدادی از وبسایتها و پرتالهای سازمانها و دستگاههای اجرایی بر اثر حوادث امنیتی، از دسترس خارج شدند یا با بار پردازشی بسیار زیاد و غیرطبیعی روی سرویسدهندههای وب خود رو به رو بودند که تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرایی کرد. بر اساس اعلام مرکز ماهر، هدف حمله، منع سرویس توزیع شده، سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بودهاست و تمامی اهداف مورد حمله قرار گرفته تاکنون از شرایط فنی یکسان برخوردار بودهاند.
دنیای اقتصاد: عصر روز یکشنبه، تعدادی از وبسایتها و پرتالهای سازمانها و دستگاههای اجرایی بر اثر حوادث امنیتی، از دسترس خارج شدند یا با بار پردازشی بسیار زیاد و غیرطبیعی روی سرویسدهندههای وب خود رو به رو بودند که تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرایی کرد. بر اساس اعلام مرکز ماهر، هدف حمله، منع سرویس توزیع شده، سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بودهاست و تمامی اهداف مورد حمله قرار گرفته تاکنون از شرایط فنی یکسان برخوردار بودهاند. آناتومی حمله، شامل ارسال زیاد درخواستهای HTTP به سمت وبسرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویسدهندهها شده و به اعتقاد کارشناسان، هدف اولیه این حمله پهنای باند شبکه نبوده، بنابراین تشخیص اولیه با سیستمهای مانیتورینگ و پایش معمولی به سختی قابل انجام است و با تاخیر تشخیص حاصل میشود. بر همین اساس، پیکربندی صحیح سرویسدهندههای وب که میزبان برنامههای کاربردی تحت وب میباشند، باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستمها و برنامههای کاربردی را تحت تاثیر قرار میدهد.
روشهای پیشگیری و مقابله
بر اساس این گزارش و با توجه به اعلام مرکز ماهر، استفاده از دیوارههای آتش اختصاصی لایه کاربرد یا WAF و پیکربندی موثر آن به تناسب تعداد کاربران و نیز شرایط برنامه کاربردی هر سازمان از جمله روشهای موثر برای مقابله با این دست از حملات است. یکی از اولین اقدامهای امنیتی، مقاومسازی سرویسدهندههای وب در مقابل ارسال درخواستهای سیلآسا برای تشخیص و جلوگیری است، برای این منظور لازم است تا به روشهای مختلف نظیر استفاده از ماژولهای امنیتی و قابلیتهای درونی سرویسدهندههای وب IIS موارد لازم به تناسب پیکربندی شود. یکی از موثرترین پیکربندیها برای محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction یا Dynamic IP Restrictions است. در طراحی و پیکربندی برنامههای کاربردی مختلف هر یک دارای application pools مجزا باشند و از فضاهای اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنید. این گزارش حاکی است، پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویسدهنده، برای فیلترسازی درخواستهای ورودی ناخواسته بر اساس قواعد امنیتی و همچنین پیکربندی فایلهای ثبت وقایع یا ماژول Logging در سرویسدهنده وب IIS، برای بررسی و پاسخگوییهای امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است. مجزا کردن یا ایزوله کردن نرمافزارهای کاربردی تحت وب مختلف، ایجاد Worker Processهای منحصر به فرد برای هر یک از نرمافزارهای کاربردی تحت وب مختلف و همچنین بهروز رسانی سیستمعامل و نصب آخرین وصلههای امنیتی نیز از دیگر توصیههایی است که در جهت پیشگیری و مقابله با این حملات میتواند اثرگذار باشد.
ارسال نظر