عصر روز یکشنبه، ۷ خرداد، تعدادی از وبسایتها و پرتالهای سازمانها و دستگاههای اجرایی در ایران مورد حملات سایبری قرار گرفتند.
سازمان فناوری اطلاعات ایران روز دوشنبه با اعلام این خبر جزئیات حمله سایبری روز یکشنبه را تشریح کرد. این در حالی بود که در اخبار غیر رسمی روز یکشنبه اعلام شد که سایتهایی از جمله سایت بانک مرکزی، شرکت پست و ایرانسل از دسترس خارج شدهاند. اما این اخبار رد و اعلام شد سایت به دلیل بهروز رسانی فنی از دسترس خارج شده است یا سایت از دسترس خارج نشده است.
بر اساس اعلام سازمان فناوری اطلاعات ایران، عصر روز گذشته، تعدادی از وبسایتها و پرتالهای سازمانها و دستگاههای اجرایی بر اثر حوادث امنیتی، از دسترس خارج شدند و یا با بار پردازشی بسیار زیاد و غیر طبیعی روی سرویس دهندههای وب خود روبرو بودند که تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرا کرد.
طبق اعلام مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، هدف حمله، منع سرویس توزیع شده، سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بوده است و تمامی اهداف مورد حمله قرار گرفته تاکنون، از شرایط فنی یکسان برخوردار بودهاند.
آناتومی حمله، شامل ارسال زیاد درخواستهای HTTP به سمت وبسرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویسدهندهها شده و به اعتقاد کارشناسان، هدف اولیه این حمله پهنای باند شبکه نبوده است، لذا تشخیص اولیه با سیستمهای مانیتورینگ و پایش معمولی، به سختی قابل انجام است و با تأخیر تشخیص حاصل میشود.
ساعاتی پس از این حمله، مرکز ماهر نیز در اطلاعیهای تاکید کرد: «با توجه به اخبار دریافتی و بررسی حوادث امنیتی روی تعدادی از وبسایتها و پورتالهای سازمانها و دستگاههای اجرایی در روز یکشنبه، ۷ خردادماه، مبنی بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی روی سرویسدهندههای وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع و ارتباط با سازمانهای مورد حمله قرار گرفته، نسبت به پیگیری ابعاد حادثه و همچنین تهدیدات پیش رو، اقدامات لازم و ضروری را به عمل آورده است.»
مرکز ماهر همچنین در مورد مقابله با چنین حملاتی پیشنهاداتی را مطرح کرده است از جمله آنکه استفاده از دیوارههای آتش اختصاصی لایه کاربرد یا WAF و پیکربندی مؤثر آن به تناسب تعداد کاربران و نیز شرایط برنامهی کاربردی هر سازمان از جمله روشهای مؤثر برای مقابله با این دست از حملات است.
به گزارش مرکز ماهر، یکی از اولین اقدامهای امنیتی، مقاومسازی سرویسدهنده وب در مقابل ارسال درخواستهای سیل آسا جهت تشخیص و جلوگیری میباشد، برای این منظور لازم است تا به روشهای مختلف نظیر استفاده از ماژولهای امنیتی و قابلیتهای درونی سرویس دهندههای وب IIS موارد لازم به تناسب پیکربندی شود.
یکی از موثرترین پیکربندیها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions است.
در طراحی و پیکربندی برنامههای کاربردی مختلف هر یک دارای application pools مجزا باشند و از فضاهایی اشتراکی اجتناب گردد و در صورت استفاده، موارد امنیتی مرتبط را رعایت نمایید.
این گزارش حاکی است، پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویسدهنده، جهت فیلترسازی درخواستهای ورودی ناخواسته بر اساس قواعد امنیتی و همچنین پیکربندی فایلهای ثبت وقایع یا ماژول Logging در سرویسدهندهی وب IIS، جهت بررسی و پاسخگوییهای امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است.
مجزا کردن یا ایزوله کردن نرم افزارهای کاربردی مختلف، ایجاد Worker Processهای منحصر به فرد برای هر یک از نرم افزارهای کاربردی تحت وب مختلف و همچنین به روز رسانی سیستم عامل و نصب آخرین واصله های امنیتی نیز از دیگر توصیههایی است که در جهت پیشگیری و مقابله با این حملات میتواند موثر باشد.
