جزئیات حمله به چند وبسایت دولتی
فتم خردادماه، برخی وبسایتها و پرتالهای سازمانها و دستگاههای اجرایی از دسترس خارج شد.سازمان فناوری اطلاعات ایران با اعلام کنترل حملات، جزئیات این حمله سایبری ر ا تشریح کرد.
براساس اعلام سازمان فناوری اطلاعات ایران، تعدادی از وبسایتها و پورتالهای سازمانها و دستگاههای اجرایی بر اثر حوادث امنیتی، از دسترس خارج شدند و یا با بار پردازشی بسیار زیاد و غیرطبیعی روی سرویسدهندههای وب خود روبهرو بودند که تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرایی کرد.
طبق اعلام مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، هدف حمله، منع سرویس توزیعشده، سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بوده است و تمامی اهداف موردحمله قرارگرفته تاکنون، از شرایط فنی یکسان برخوردار بودهاند.
آناتومی حمله، شامل ارسال زیاد درخواستهای HTTP به سمت وب سرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویسدهندهها شده و به اعتقاد کارشناسان، هدف اولیه این حمله پهنای باند شبکه نبوده است، لذا تشخیص اولیه با سیستمهای مانیتورینگ و پایش معمولی، بهسختی قابل انجام است و با تأخیر تشخیص حاصل میشود.
بر همین اساس، پیکربندی صحیح سرویسدهندههای وب که میزبان برنامههای کاربردی تحت وب هستند، باید بهدقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستمها و برنامههای کاربردی را تحت تأثیر قرار میدهد.
روشهای پیشگیری و مقابله
براساس این گزارش و با توجه به اعلام مرکز ماهر، استفاده از دیوارههای آتش اختصاصی لایه کاربرد یا WAF و پیکربندی مؤثر آن بهتناسب تعداد کاربران و نیز شرایط برنامه کاربردی هر سازمان ازجمله روشهای مؤثر برای مقابله با این دست از حملات است.
یکی از اولین اقدامهای امنیتی، مقاومسازی سرویسدهندههای وب در مقابل ارسال درخواستهای سیلآسا جهت تشخیص و جلوگیری است؛ برای این منظور لازم است تا به روشهای مختلف نظیر استفاده از ماژولهای امنیتی و قابلیتهای درونی سرویسدهندههای وب IIS موارد لازم بهتناسب پیکربندی شود.
یکی از مؤثرترین پیکربندیها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions است.
ازاینرو باید در طراحی و پیکربندی برنامههای کاربردی مختلف هریک دارای application pools مجزا باشند و از فضاهای اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنند.
پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویسدهنده، جهت فیلترسازی درخواستهای ورودی ناخواسته براساس قواعد امنیتی و همچنین پیکربندی فایلهای ثبت وقایع یا ماژول Logging در سرویسدهنده وب IIS، جهت بررسی و پاسخگوییهای امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است.
مجزا کردن یا ایزوله کردن نرمافزارهای کاربردی تحت وب مختلف، ایجاد Worker Processهای منحصربهفرد برای هریک از نرمافزارهای کاربردی تحت وب مختلف و همچنین بهروزرسانی سیستمعامل و نصب آخرین وصلههای امنیتی نیز از دیگر توصیههایی است که در جهت پیشگیری و مقابله با این حملات میتواند اثرگذار باشد.
در این خصوص مرکز ماهر نیز در اطلاعیهای تأکید کرد: با توجه به اخبار دریافتی و بررسی حوادث امنیتی روی تعدادی از وبسایتها و پورتالهای سازمانها و دستگاههای اجرایی در روز یکشنبه ۷ خردادماه، مبنی بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی روی سرویسدهندههای وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع و ارتباط با سازمانهای موردحمله قرارگرفته، نسبت به پیگیری ابعاد حادثه و همچنین تهدیدات پیش رو، اقدامات لازم و ضروری را به عملآورده است.
از آنجائی که تکرار حوادث مشابه در دیگر سایتها نیز وجود دارد لذا جهت پیشگیری و آمادگی برای حوادث احتمالی مشابه، مستندات و اطلاعات تکمیلی در پرتال مرکز ماهر به نشانی https://certcc.ir/ موجود است.
- ۹۶/۰۳/۱۲
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.