کنترل حملات اخیر به چند وب سایت ایرانی
با توجه به اخبار دریافتی و بررسی حوادث امنیتی بر روی تعدادی از وبسایتها و پورتالهای سازمانها و دستگاههای اجرایی در روز یکشنبه مورخ 7 خردادماه مبنی بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی بر روی سرویسدهندههای وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر از کنترل این حملات خبر داد.
به گزارش سیتنا، مرکز ماهر در خصوص حملات اخیر به چند وب سایت، اطلاعیهای صادر کرد که به شرح ذیل است:
با توجه به اخبار دریافتی و بررسی حوادث امنیتی بر روی تعدادی از وبسایتها و پورتالهای سازمانها و دستگاههای اجرایی در روز یکشنبه مورخ 7 خردادماه مبنی بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی بر روی سرویسدهندههای وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع و ارتباط با سازمانهای مورد حمله قرار گرفته، نسبت به پیگیری ابعاد حادثه و همچنین تهدیدات پیش رو، اقدامات لازم و ضروری را به عمل آورده است.
از آنجائیکه تکرار حوادث مشابه در دیگر سایت ها نیز وجود دارد؛ لذا جهت پیشگیری و آمادگی برای حوادث احتمالی مشابه، برخی از نتایج بدست آمده تاکنون به شرح زیر اعلام می گردد:
- هدف حمله منع سرویس توزیع شده، سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بودهاست و تمامی اهداف مورد حمله قرار گرفته تاکنون از شرایط فنی یکسان برخوردار بودهاند.
- آناتومی حمله، شامل ارسال زیاد درخواستهای HTTP به سمت وبسرورها با حجم و تعداد بالا میباشد، که باعث ایجاد پردازش سنگین بر روی سرویسدهندهها گردیدهاست.
- هدف اولیه این حمله پهنای باند شبکه نبوده، لذا تشخیص اولیه با سیستمهای مانیتورینگ و پایش معمولی به سختی قابل انجام است و با تاخیر تشخیص حاصل میگردد.
- پیکربندی صحیح سرویسدهندههای وب که میزبان برنامههای کاربردی تحت وب میباشند، باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستمها و برنامههای کاربردی را تحت تاثیر قرار میدهد.
روشهای پیشگیری و مقابله:
- استفاده از دیوارههای آتش اختصاصی لایه کاربرد یا WAF و پیکربندی موثر آن به تناسب تعداد کاربران و نیز شرایط برنامهی کاربردی هر سازمان.
- یکی از اولین اقدامهای امنیتی، مقاومسازی سرویسدهندههای وب در مقابل ارسال درخواستهای سیلآسا جهت تشخیص و جلوگیری میباشد، برای این منظور لازم است تا به روشهای مختلف نظیر استفاده از ماژولهای امنیتی و قابلیتهای درونی سرویسدهندههای وب IIS موارد لازم به تناسب پیکربندی گردد.
- از فضاهایی اشتراکی اجتناب گردد و در صورت استفاده، موارد امنیتی مرتبط را رعایت نمایید.
- یکی از موثرترین پیکربندیها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions میباشد.
- در طراحی و پیکربندی برنامههای کاربردی مختلف هر یک دارای application pools مجزا باشند.
- پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویسدهنده، جهت فیلترسازی درخواستهای ورودی ناخواسته بر اساس قواعد امنیتی
- پیکربندی فایلهای ثبت وقایع یا ماژول Logging در سرویسدهندهی وب IIS، جهت بررسی و پاسخگوییهای امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری میباشد.
- مجزا کردن یا ایزوله کردن نرم افزارهای کاربردی تحت وب مختلف
- ایجاد Worker Processهای منحصر به فرد برای هر یک از نرم افزارهای کاربردی تحت وب مختلف
- بهروز رسانی سیستمعامل و نصب آخرین وصلههای امنیتی نیز همیشه توصیه میگردد.
انتهای پیام
افزودن دیدگاه جدید