حمله سایبری به وب‌سایت‌های سازمان‌ها و دستگاه‌های اجرایی ایران

- روز یکشنبه، ۷ خرداد، تعدادی از وب‌سایت‌ها و پرتال‌های سازمان‌ها و دستگاه‌های اجرایی در ایران مورد حملات سایبری قرار گرفتند.
- خبرهای غیر رسمی اعلام شد که سایت‌هایی از جمله سایت بانک مرکزی، شرکت پست و ایرانسل از دسترس خارج شدند.

عصر روز یکشنبه، ۷ خرداد، تعدادی از وب‌سایت‌ها و پرتال‌های سازمان‌ها و دستگاه‌های اجرایی در ایران مورد حملات سایبری قرار گرفتند.

سازمان فناوری اطلاعات ایران روز دوشنبه با اعلام این خبر جزئیات حمله سایبری روز یکشنبه را تشریح کرد. این در حالی بود که در اخبار غیر رسمی روز یکشنبه اعلام شد که سایت‌هایی از جمله سایت بانک مرکزی، شرکت پست و ایرانسل از دسترس خارج شده‌اند. اما این اخبار رد و اعلام شد سایت به دلیل به‌روز رسانی فنی از دسترس خارج شده است یا سایت از دسترس خارج نشده است.

بر اساس اعلام سازمان فناوری اطلاعات ایران، عصر روز گذشته، تعدادی از وب‌سایت‌ها و پرتال‌های سازمان‌ها و دستگاه‌های اجرایی بر اثر حوادث امنیتی، از دسترس خارج شدند و یا با بار پردازشی بسیار زیاد و غیر طبیعی روی سرویس دهنده‌های وب خود روبرو بودند که تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرا کرد.

طبق اعلام مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، هدف حمله، منع سرویس توزیع شده، سیستم‌های عامل ویندوز با سرویس‌دهنده‌های وب IIS بوده است و تمامی اهداف مورد حمله قرار گرفته تاکنون، از شرایط فنی یکسان برخوردار بوده‌اند.

آناتومی حمله، شامل ارسال زیاد درخواست‌های HTTP به سمت وب‌سرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویس‌دهنده‌ها شده و به اعتقاد کارشناسان، هدف اولیه این حمله پهنای باند شبکه نبوده است، لذا تشخیص اولیه با سیستم‌های مانیتورینگ و پایش معمولی، به سختی قابل انجام است و با تأخیر تشخیص حاصل می‌شود.

ساعاتی پس از این حمله، مرکز ماهر نیز در اطلاعیه‌ای تاکید کرد: «با توجه به اخبار دریافتی و بررسی حوادث امنیتی روی تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی در روز یکشنبه، ۷ خردادماه، مبنی بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع و ارتباط با سازمان‌های مورد حمله قرار گرفته، نسبت به پیگیری ابعاد حادثه و همچنین تهدیدات پیش رو، اقدامات لازم و ضروری را به عمل آورده است.»

مرکز ماهر همچنین در مورد مقابله با چنین حملاتی پیشنهاداتی را مطرح کرده است از جمله آنکه استفاده از دیواره‌های آتش اختصاصی لایه کاربرد یا WAF و پیکربندی مؤثر آن به تناسب تعداد کاربران و نیز شرایط برنامه‌ی کاربردی هر سازمان از جمله روش‌های مؤثر برای مقابله با این دست از حملات است.

به گزارش مرکز ماهر، یکی از اولین اقدام‌های امنیتی، مقاوم‌سازی سرویس‌دهنده وب در مقابل ارسال درخواست‌های سیل آسا جهت تشخیص و جلوگیری می‌باشد، برای این منظور لازم است تا به روش‌های مختلف نظیر استفاده از ماژول‌های امنیتی و قابلیت‌های درونی سرویس دهنده‌های وب IIS موارد لازم به تناسب پیکربندی شود.

یکی از موثرترین پیکربندی‌ها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions است.

در طراحی و پیکربندی برنامه‌های کاربردی مختلف هر یک دارای application pools مجزا باشند و از فضاهایی اشتراکی اجتناب گردد و در صورت استفاده، موارد امنیتی مرتبط را رعایت نمایید.

این گزارش حاکی است، پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویس‌دهنده، جهت فیلترسازی درخواست‌های ورودی ناخواسته بر اساس قواعد امنیتی و همچنین پیکربندی فایل‌های ثبت وقایع یا ماژول Logging در سرویس‌دهنده‌ی وب IIS، جهت بررسی و پاسخگویی‌های امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است.

مجزا کردن یا ایزوله کردن نرم افزارهای کاربردی مختلف، ایجاد Worker Processهای منحصر به فرد برای هر یک از نرم افزارهای کاربردی تحت وب مختلف و همچنین به روز رسانی سیستم عامل و نصب آخرین واصله های امنیتی نیز از دیگر توصیه‌هایی است که در جهت پیشگیری و مقابله با این حملات می‌تواند موثر باشد.

لینک کوتاه شده این نوشته:
https://kayhan.london/fa/?p=76824

دیدگاه خود را درباره این مطلب با ما و دیگران در میان بگذارید: