31 - 05 - 2017
مشخصات آسیبدیدگان پنهان است
گروه فناوری- در پی حملات سایبری و از دسترس خارج شدن برخی وبسایتهای دستگاههای دولتی که در سایتهای غیررسمی خبر آن گسترش مییافت، منابع رسمی و حتی صاحبان سایتها از وقوع این حملات سر باز میزدند و خبرهای پیرامون را تکذیب میکردند اما در نهایت سازمان فناوری اطلاعات ایران با تایید حمله سایبری صورت گرفته به این وبسایتها، از کنترل این حملات خبر داد.
هنوز آماری از میزان خسارت ناشی از این حملات منتشر نشده است و مراکز مطلع همچون مرکز ماهر نیز از اعلام سایتهای آسیبدیده سکوت را ترجیح دادهاند. تجربههای گذشته نشان میدهد به کمی زمان نیاز است تا این سکوت با انتشار لیست سایتهای مورد حمله از سوی گروههای فعال در حوزه امنیت شکسته شود.
عصر روز یکشنبه تعدادی از وبسایتها و پورتالهای سازمانها و دستگاههای اجرایی که بر اثر حوادث امنیتی، از دسترس خارج شدند با بار پردازشی بسیار زیاد و غیرطبیعی روی سرویسدهندههای وب خود روبهرو بودند.
در اخبار غیررسمی اعلام شد که سایتهایی از جمله سایت بانک مرکزی، شرکت پست و ایرانسل از دسترس خارج شدهاند. اما این اخبار رد و اعلام شد سایت به دلیل بهروزرسانی فنی از دسترس خارج شده است یا سایت از دسترس خارج نشده است.
در حالی که اخبار غیررسمی همچنان رد میشد، وزارت ارتباطات رسما از دسترس خارج شدن برخی سایتها را تایید کرد.
تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر (مدیریت امداد و هماهنگی حملات رخدادهای رایانهای) با تایید اخبار مربوط به این حملات اعلام کرد که حملات کنترل شده است.
مرکز ماهر با بررسی حملات اعلام کرده است: هدف حمله، منع سرویس توزیع شده، سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بوده است و تمامی اهداف مورد حمله قرار گرفته تاکنون از شرایط فنی یکسانی برخوردار بودهاند.
کارشناسان این مرکز معتقدند هدف اولیه این حملات، پهنای باند شبکه نبوده است به همین دلیل تشخیص اولیه با سامانههای مانیتورینگ و پایش معمولی بهسختی قابل تشخیص بود. در نهایت تشخیص این حملات با تاخیر انجام شده است.
روش این حملات به صورت ارسال زیاد درخواستهایHTTP به سمت وبسرورها با حجم و تعداد بالاست که باعث ایجاد پردازش سنگین روی سرویسدهندهها شده است.بر همین اساس، پیکربندی صحیح سرویسدهندههای وب که میزبان برنامههای کاربردی تحت وب است باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستمها و برنامههای کاربردی را تحتتاثیر قرار میدهد.
روشهای پیشگیری و مقابله
براساس این گزارش و با توجه به اعلام مرکز ماهر، استفاده از دیوارههای آتش اختصاصی لایه کاربرد یا WAF و پیکربندی موثر آن به تناسب تعداد کاربران و نیز شرایط برنامه کاربردی هر سازمان از جمله روشهای موثر برای مقابله با این دست از حملات است.یکی از اولین اقدامهای امنیتی، مقاومسازی سرویسدهندههای وب در مقابل ارسال درخواستهای سیلآسا جهت تشخیص و جلوگیری است. برای این منظور لازم است به روشهای مختلف نظیر استفاده از ماژولهای امنیتی و قابلیتهای درونی سرویسدهندههای وب IIS موارد لازم به تناسب پیکربندی شوند.یکی از موثرترین پیکربندیها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت
IP Restriction یا Dynamic IP Restrictions است.
در طراحی و پیکربندی برنامههای کاربردی مختلف باید هر یک دارای application pools مجزا باشند و از فضاهایی اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنید.
این گزارش حاکی است پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویسدهنده، جهت فیلترسازی درخواستهای ورودی ناخواسته براساس قواعد امنیتی و همچنین پیکربندی فایلهای ثبت وقایع یا ماژول Logging در سرویسدهنده وب IIS، جهت بررسی و پاسخگوییهای امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است.
مجزا یا ایزوله کردن نرمافزارهای کاربردی تحت وب مختلف، ایجاد Worker Processهای منحصربهفرد برای هر یک از نرمافزارهای کاربردی تحت وب مختلف و همچنین بهروزرسانی سیستمعامل و نصب آخرین وصلههای امنیتی نیز از دیگر توصیههایی است که در جهت پیشگیری و مقابله با این حملات میتواند اثرگذار باشد.
لطفاً براي ارسال دیدگاه، ابتدا وارد حساب كاربري خود بشويد