جزئیات حمله به چند وب‌سایت دولتی

فتم خردادماه، برخی وب‌سایت‌ها و پرتال‌های سازمان‌ها و دستگاه‌های اجرایی از دسترس خارج شد.سازمان فناوری اطلاعات ایران با اعلام کنترل حملات، جزئیات این حمله سایبری ر ا تشریح کرد.

براساس اعلام سازمان فناوری اطلاعات ایران، تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی بر اثر حوادث امنیتی، از دسترس خارج شدند و یا با بار پردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب خود روبه‌رو بودند که تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرایی کرد.
طبق اعلام مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، هدف حمله، منع سرویس توزیع‌شده، سیستم‌های عامل ویندوز با سرویس‌دهنده‌های وب IIS بوده ‌است و تمامی اهداف موردحمله قرارگرفته تاکنون، از شرایط فنی یکسان برخوردار بوده‌اند.
آناتومی حمله، شامل ارسال زیاد درخواست‌های HTTP به سمت وب سرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویس‌دهنده‌ها شده و به اعتقاد کارشناسان، هدف اولیه این حمله پهنای باند شبکه نبوده است، لذا تشخیص اولیه با سیستم‌های مانیتورینگ و پایش معمولی، به‌سختی قابل انجام است و با تأخیر تشخیص حاصل می‌شود.
بر همین اساس، پیکربندی صحیح سرویس‌دهنده‌های وب که میزبان برنامه‌های کاربردی تحت وب هستند، باید به‌دقت صورت پذیرد و رعایت نکات امنیتی در آن‌ها، امنیت کل سیستم‌ها و برنامه‌های کاربردی را تحت تأثیر قرار می‌دهد.

روش‌های پیشگیری و مقابله
براساس این گزارش و با توجه به اعلام مرکز ماهر، استفاده از دیواره‌های آتش اختصاصی لایه کاربرد یا WAF و پیکربندی مؤثر آن به‌تناسب تعداد کاربران و نیز شرایط برنامه‌ کاربردی هر سازمان ازجمله روش‌های مؤثر برای مقابله با این دست از حملات است.
یکی از اولین اقدام‌های امنیتی، مقاوم‌سازی سرویس‌دهنده‌های وب در مقابل ارسال درخواست‌های سیل‌آسا جهت تشخیص و جلوگیری است؛ برای این منظور لازم است تا به روش‌های مختلف نظیر استفاده از ماژول‌های امنیتی و قابلیت‌های درونی سرویس‌دهنده‌های وب IIS موارد لازم به‌تناسب پیکربندی شود.
یکی از مؤثرترین پیکربندی‌ها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions است.
ازاین‌رو باید در طراحی و پیکربندی برنامه‌های کاربردی مختلف هریک دارای  application pools مجزا باشند و از فضاهای اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنند.
پیکربندی و استفاده از قابلیت امنیتی  Request Filtering در سرویس‌دهنده، جهت فیلترسازی درخواست‌های ورودی ناخواسته براساس قواعد امنیتی و همچنین پیکربندی فایل‌های ثبت وقایع یا ماژول Logging در سرویس‌دهنده‌ وب IIS، جهت بررسی و پاسخگویی‌های امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است.
مجزا کردن یا ایزوله کردن نرم‌افزارهای کاربردی تحت وب مختلف، ایجاد Worker Processهای منحصربه‌فرد برای هریک از نرم‌افزارهای کاربردی تحت وب مختلف و همچنین به‌روزرسانی سیستم‌عامل و نصب آخرین وصله‌های امنیتی نیز از دیگر توصیه‌هایی است که در جهت پیشگیری و مقابله با این حملات می‌تواند اثرگذار باشد.
در این خصوص مرکز ماهر نیز در اطلاعیه‌ای تأکید کرد: با توجه به اخبار دریافتی و بررسی حوادث امنیتی روی تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی در روز یکشنبه ۷ خردادماه، مبنی بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع و ارتباط با سازمان‌های موردحمله قرارگرفته، نسبت به پیگیری ابعاد حادثه‌ و همچنین تهدیدات پیش رو، اقدامات لازم و ضروری را به عمل‌آورده است.
از آنجائی که تکرار حوادث مشابه در دیگر سایت‌ها نیز وجود دارد لذا جهت پیشگیری و آمادگی برای حوادث احتمالی مشابه، مستندات و اطلاعات تکمیلی در پرتال مرکز ماهر به نشانی https://certcc.ir/ موجود است.