ITanalyze

با شیوع کووید 19، سازمان‌های سراسر جهان دورکاری را در دستور کار خود قرار دادند. دورکاری مستقیماً روی امنیت سایبری و چشم‌انداز تهدید تأثیر گذاشته است. در کنار حجم بالایی از ترافیک سازمانی، استفاده از سرویس‌های طرف‌سوم برای تبادل داده و کارمندانی که با کامپیوترهای شخصی‌شان (که به طور بالقوه به شبکه‌های وای‌فای ضعیفی نیز متصل می‌شوند) برای مقاصد کاری استفاده می‌کنند، دردسر دیگر برای تیم‌های امنیت اطلاعات، تعداد فزاینده‌ی افرادی است که از ابزارهای دسترسی ریموت استفاده می‌کنند.
یکی از محبوب‌ترین پروتکل‌ها برای دسترسی به ایستگاه‌های کار یا سرورهای ویندوز (در سطح اپلیکیشن) RDP[1] است (پروتکل اختصاصی مایکروسافت). در دوران قرنطینه انواع و اقسام کامپیوترها و سرورها توانستند به صورت ریموت متصل شوند و اکنون شاهد افزایش فعالیت‌های مجرمان سایبری هستیم (که خوب با توجه به حقیقتی که بدان اشاره کردیم دیگر شاید این خبر تعجبی نداشته باشد)؛ مجرمان سایبری همیشه دوست دارند از آب گل‌آلود ماهی بگیرند و حالا با همه‌گیری ویروس کرونا هیچ‌چیز برایشان لذت‌بخش‌تر از سوءاستفاده کردن از چنین شرایطی نیست. آن‌ها می‌توانند دورکاریِ عالم‌گیر را دستاویزی کنند برای حمله به منابع سازمانی و طعمه قرار دادنِ کارمندان ریموت (که بعضاً یا بی‌حواسند یا عجله دارند).
از اوایل مارس سال جاری، تعداد حملات Bruteforce.Generic.RDP تقریباً در سراسر کره زمین رشد نجومی داشته است:
 
حملاتی از این دست اقداماتی هستند برای حمله‌ی فراگیر به نام کاربری و رمزعبور RDP آن هم با امتحان کردن تمامی گزینه‌های ممکن (به صورت نظام‌مند) تا وقتی گزینه درست پیدا شود. این جستجو می‌تواند بر ترکیبی از کاراکترهای تصادفی یا مجموعه‌ای از رمزعبورهای محبوب یا دستکاری‌شده مبتنی باشد. یک حمله موفق به مجرم سایبری دسترسی ریموت به کامپیوتر هدف را در شبکه می‌دهد.

مهاجمین جستجوی فراگیر چندان هم در رویکرد خود دقیق نیستند اما اصولاً عملکردهایی مشابه دارند. در حقیقت می‌توان چنین نتیجه گرفت که در پی گذارِ عظیم از ادارات به خانه، تعداد سرورهای RDP–که پیکربندی ضعیفی دارند- افزایش یافت و از این رو تعداد حملات نیز اکنون رو به فزونی است.
حملات به زیرساخت‌های دسترسی ریموت (و نیز ابزارهای مشارکتی) را بعید می‌دانیم بشود به این زودی‌ها متوقف کرد. بنابراین، اگر در محل کار خود از RDP استفاده می‌کنید مطمئن شوید تمامی اقدامات محافظتی لازمه را انجام داده‌اید:
•    دست‌کم، از رمزعبورهای قوی استفاده کنید.
•    RDP تنها از طریق وی‌پی‌ان سازمانی ممکن شود.
•    از NLA[2] استفاده کنید.
•    در صورت امکان، احراز هویت دوعاملی را فعالسازی کنید.
•    اگر از RDP استفاده نمی‌کنید، آن را غیرفعال کرده و پورت 3389 را ببندید.
•    از راهکار امنیتی مطمئنی استفاده کنید.
اگر از پروتکل دسترسی ریموت مختلفی استفاده می‌کنید، همچنان در امان نیستید:
اواخر سال گذشته، متخصصین کسپرسکی 37 آسیب‌پذیری در کلاینت‌های مختلف پیدا کردند؛ کلاینت‌هایی که از طریق پروتکل VNC (مانند RDP برای دسترسی ریموت به کار گرفته می‌شود) متصل شده بودند.
شرکت‌ها باید به دقت برنامه‌های به کار گرفته‌شده را تحت نظارت قرار داده و آن‌ها را روی تمامی دستگاه‌های سازمانی (مرتباً) آپدیت کنند. این برای بسیاری از شرکت‌های کنونی کار سختی است زیرا گذاری شتاب‌زده به دورکاری خیلی از سازمان‌ها را مجبور کرده به کارمندان خود اجازه دهند در خانه و با کامپیوترهای شخصی‌شان امور اداری را انجام داده و به شبکه‌های اینترنتی خودشان وصل شوند- این کار اغلب فاقد استانداردهای امنیت سایبری در سطح سازمانی است. از این رو توصیه می‌کنیم:
•    اصول اولیه‌ی امنیت دیجیتال را به کارمندان خود آموزش دهید.
•    از رمزعبورهای قوی مختلفی برای دسترسی به منابع مختلف سازمانی استفاده کنید.
•    تمامی نرم‌افزارهای روی دستگاه‌های کارمندان را به آخرین نسخه‌شان آپدیت کنید.
•    در صورت امکان، آن تعداد دستگاه‌هایی را که برای مقاصد کاری از آن‌ها استفاده می‌کنید رمزگذاری کنید.
•    از داده‌های مهم خود بک‌آپ بگیرید.
•    راهکارهای امنیتی را روی تمامی دستگاه‌‌های کارمندان خود نصب کنید؛ همینطور راهکارهای مخصوص ردیابی تجهیزات (در صورت وارد آمدن خسارت به آن‌ها).
 
[1] پروتکل دسترسی از راه دور به دسکتاپ
[2] Network Level Authentication
 
منبع: کسپرسکی آنلاین 
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)