حملات منع سرویس توزیع‌شده به برخی سایت‌های دولتی

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

سازمان فناوری اطلاعات تایید کرد که عصر روز گذشته، هفتم خردادماه، برخی وب‌سایت‌ها و پرتال‌های سازمان‌ها و دستگاه‌های اجرایی از دسترس خارج شدند


به دنبال حمله و از دسترس خارج شدن برخی وب‌سایت‌های دستگاه‌های دولتی، سازمان فناوری اطلاعات ایران با تایید حمله سایبری صورت‌گرفته به این وب‌سایت‌ها از کنترل این حملات خبر داد. این اتفاق عصر روز گذشته روی داد.

بر اساس اعلام سازمان فناوری اطلاعات ایران، عصر روز گذشته، تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی بر اثر حوادث امنیتی از دسترس خارج شدند و یا با بار پردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب خود رو‌به‌رو بودند که تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرایی کرد.

طبق اعلام مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای)، هدف حمله، منع سرویس توزیع‌شده، سیستم‌های عامل ویندوز با سرویس‌دهنده‌های وب IIS بوده ‌‌ست و تمامی اهداف مورد حمله قرار گرفته تاکنون از شرایط فنی یکسان برخوردار بوده‌اند.

آناتومی حمله، شامل ارسال زیاد درخواست‌های HTTP به سمت وب‌سرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویس‌دهنده‌ها شده و به اعتقاد کارشناسان، هدف اولیه این حمله پهنای باند شبکه نبوده‌است، لذا تشخیص اولیه با سیستم‌های مانیتورینگ و پایش معمولی به‌سختی قابل انجام است و با تاخیر تشخیص حاصل می‌شود.

برهمین اساس، پیکربندی صحیح سرویس‌دهنده‌های وب که میزبان برنامه‌های کاربردی تحت وب هستند، باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستم‌ها و برنامه‌های کاربردی را تحت تاثیر قرار می‌دهد.

بر اساس این گزارش و با توجه به اعلام مرکز ماهر، استفاده از دیواره‌های آتش اختصاصی لایه کاربرد یا WAF و پیکربندی موثر آن به تناسب تعداد کاربران و نیز شرایط برنامه‌ کاربردی هر سازمان ازجمله روش‌های موثر برای مقابله با این دست از حملات است.

یکی از اولین اقدام‌های امنیتی، مقاوم‌سازی سرویس‌دهنده‌های وب در مقابل ارسال درخواست‌های سیل‌آسا جهت تشخیص و جلوگیری است. برای این منظور لازم است تا به روش‌های مختلف نظیر استفاده از ماژول‌های امنیتی و قابلیت‌های درونی سرویس‌دهنده‌های وب IIS موارد لازم به تناسب پیکربندی شود.

یکی از موثرترین پیکربندی‌ها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions است. از این رو باید در طراحی و پیکربندی برنامه‌های کاربردی مختلف هریک دارای application pools مجزا باشند و از فضاهای اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنند.

پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویس‌دهنده، جهت فیلترسازی درخواست‌های ورودی ناخواسته براساس قواعد امنیتی و همچنین پیکربندی فایل‌های ثبت وقایع یا ماژول Logging در سرویس‌دهنده‌ وب IIS، جهت بررسی و پاسخگویی‌های امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است.

مجزا یا ایزوله کردن نرم‌افزارهای کاربردی تحت وب مختلف، ایجاد Worker Processهای منحصر‌به‌فرد برای هریک از نرم‌افزارهای کاربردی تحت وب مختلف و همچنین به‌روزرسانی سیستم‌عامل و نصب آخرین وصله‌های امنیتی نیز از دیگر توصیه‌هایی است که در جهت پیشگیری و مقابله با این حملات می‌تواند اثرگذار باشد.

در این خصوص مرکز ماهر نیز در اطلاعیه‌ای تاکید کرد: با توجه به اخبار دریافتی و بررسی حوادث امنیتی روی تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی در روز یکشنبه هفتم خردادماه، مبنی‌بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع و ارتباط با سازمان‌های مورد حمله قرار گرفته، نسبت به پیگیری ابعاد حادثه‌ و همچنین تهدیدات پیش رو، اقدامات لازم و ضروری را به‌عمل آورده‌است.

از آنجایی که تکرار حوادث مشابه در دیگر سایت‌ها نیز وجود دارد، لذا بنابر اعلام سازمان فناوری اطلاعات جهت پیشگیری و آمادگی برای حوادث احتمالی مشابه، مستندات و اطلاعات تکمیلی در پرتال مرکز ماهر به نشانی https://certcc.ir/ موجود است.