قطع اینترنت و تهدید پنهان امنیتی؛ وقتی پچ‌های به‌موقع به زیرساخت نمی‌رسند

فناوری ایران

زهرا صفری

دی 30, 1404
بدون نظر

به گزارش مدیاتی:قطع اینترنت تنها به اختلال در دسترسی کاربران و توقف فعالیت کسب‌وکارهای آنلاین محدود نمی‌شود؛ یکی از مهم‌ترین پیامدهای کمتر دیده‌شده آن، تهدید مستقیم امنیت سایبری زیرساخت‌های کشور است. عدم دسترسی به اینترنت بین‌الملل می‌تواند دریافت به‌موقع پچ‌های امنیتی، به‌روزرسانی‌های حیاتی و اصلاح آسیب‌پذیری‌ها را مختل کند؛ موضوعی که در صورت تداوم، زیرساخت‌های حساس را در برابر حملات سایبری آسیب‌پذیر و حتی زمین‌گیر خواهد کرد.

زنگ خطر برای زیرساخت کشور؛ قطع اینترنت و تأخیر در دریافت پچ‌های امنیتی

سیزده روز از قطع اینترنت می‌گذرد و در این بازه زمانی، بخش قابل‌توجهی از سامانه‌های داخلی و تجهیزات الکترونیکی مورد استفاده مردم، از جمله لپ‌تاپ‌ها و گوشی‌های هوشمند، امکان دریافت به‌روزرسانی‌های امنیتی را از دست داده‌اند. همین موضوع باعث شده این تجهیزات در لحظه اتصال دوباره به اینترنت، با ریسک‌های جدی امنیتی مواجه شوند. نایب‌رئیس کمیسیون افتای نصر تهران با اشاره به تجربه‌های جهانی مانند حمله باج‌افزاری «واناکرای» در سال ۲۰۱۷ به دیجیاتو می‌گوید عدم دریافت به‌موقع پچ‌های امنیتی می‌تواند زیرساخت‌های یک کشور را به‌طور کامل زمین‌گیر کند.

مهدی فرجی، نایب‌رئیس کمیسیون افتای نصر تهران، در این‌باره توضیح می‌دهد که طی بیش از ۱۰ روز گذشته، دسترسی به مخازن و سرویس‌های بین‌المللی به‌طور کامل قطع بوده و در نتیجه، بسیاری از سرورها و تجهیزات داخلی موفق به دریافت پچ‌های امنیتی، به‌روزرسانی سیستم‌عامل‌ها و سیگنیچرهای تجهیزات دفاعی مانند IDS و IPS نشده‌اند. به گفته او، آسیب‌پذیری‌های جدید و حتی رخدادهای «روز صفر» که در این مدت منتشر شده‌اند، روی این سیستم‌ها اعمال نشده و همین مسئله شرایط را در زمان اتصال مجدد به اینترنت بسیار خطرناک می‌کند.

فرجی هشدار می‌دهد که با وصل ناگهانی اینترنت، پیش از آنکه فرصت کافی برای دریافت و نصب به‌روزرسانی‌ها وجود داشته باشد، مهاجمان می‌توانند از طریق اسکن‌های خودکار و ابزارهای اتوماتیک، به‌سرعت نقاط ضعف را شناسایی کرده و مورد سوءاستفاده قرار دهند.

به گفته این کارشناس، تصور رایجی وجود دارد مبنی بر اینکه قطع اینترنت، شبکه‌ها را در یک محیط ایزوله و امن قرار می‌دهد؛ اما واقعیت این است که بدافزارها یا باج‌افزارهایی که پیش‌تر وارد شبکه شده‌اند یا در این مدت از طریق حافظه‌های فیزیکی به شبکه منتقل شده‌اند، می‌توانند با حرکت جانبی در شبکه گسترش پیدا کنند. فرجی در این‌باره می‌گوید:

«وقتی سامانه‌های هوش تهدید و سیگنیچرهای امنیتی به‌روز نیستند، شناسایی بدافزارها بسیار دشوار می‌شود. در چنین شرایطی، لحظه اتصال مجدد به اینترنت، یک پنجره طلایی برای مهاجمان است؛ هم اسکن و بهره‌برداری از آسیب‌پذیری‌ها با سرعت بالا انجام می‌شود و هم دستگاه‌های آلوده می‌توانند با سرورهای فرمان و کنترل ارتباط برقرار کرده و اقداماتی مانند رمزگذاری داده‌ها یا سرقت اطلاعات را در کوتاه‌ترین زمان ممکن اجرا کنند.»

او تأکید می‌کند که شناسایی سرورها و شبکه‌های به‌روزرسانی‌نشده معمولاً به‌صورت خودکار انجام می‌شود و به همین دلیل، پس از وصل شدن اینترنت، ریسک حملات سایبری به‌شدت افزایش می‌یابد.

چه اقداماتی پیش از اتصال مجدد به اینترنت ضروری است

به‌گفته نایب‌رئیس کمیسیون افتای نصر تهران، برای جلوگیری از بروز چنین سناریویی، لازم است پیش از هر اتصال گسترده‌ای، یک برنامه دقیق و کنترل‌شده در سطح شبکه‌های سازمانی اجرا شود. بر اساس توصیه او، دسترسی به اینترنت باید ابتدا به‌صورت محدود و مرحله‌ای برقرار شود و در گام نخست، ابزارهای دفاعی مانند آنتی‌ویروس‌ها، IDS/IPS و فایروال‌ها برای به‌روزرسانی سیگنیچرها و دریافت هوش تهدید به اینترنت متصل شوند.

فرجی همچنین تأکید می‌کند که سرورهای حیاتی از جمله دامین‌کنترلرها، پایگاه‌های داده اصلی و سرویس‌های زیرساختی باید در یک شبکه جداگانه و کنترل‌شده نگه داشته شوند و پچ‌ها و وصله‌های امنیتی به‌صورت امن و حتی دستی روی آن‌ها اعمال شود تا آمادگی لازم برای اتصال کامل به اینترنت فراهم شود.

او بازبینی رول‌های بیش‌ازحد باز فایروال، اجرای صحیح تقسیم‌بندی شبکه (Segmentation) برای محدود کردن حرکت جانبی مهاجمان و تشدید مانیتورینگ ترافیک خروجی جهت شناسایی تلاش برای ارتباط با سرورهای فرمان و کنترل را از دیگر اقدامات ضروری می‌داند. همچنین اطمینان از سلامت نسخه‌های پشتیبان و قابلیت بازیابی آن‌ها و در صورت لزوم، تغییر اعتبارنامه‌ها و کلیدهای حساس، از جمله توصیه‌های کلیدی در این مرحله است.

به اعتقاد فرجی، اجرای هم‌زمان و منظم این اقدامات، می‌تواند پنجره فرصت مهاجمان را تا حد زیادی ببندد و خطر بروز حملات گسترده و اختلال در زیرساخت‌های حیاتی را به‌طور محسوسی کاهش دهد.

او هشدار می‌دهد که حتی در صورت نبود تهدید خارجی، بدافزارهایی که پیش‌تر در شبکه حضور داشته‌اند یا از طریق ابزارهای فیزیکی وارد شده‌اند، در یک محیط ایزوله و بدون نظارت مؤثر، می‌توانند به‌راحتی در شبکه داخلی گسترش پیدا کنند. به گفته او، قطع اینترنت اگرچه ارتباط مستقیم بدافزارها با سرورهای فرمان و کنترل را محدود می‌کند، اما در مقابل، نظارت جهانی و به‌روزرسانی‌های دفاعی را نیز از بین می‌برد و همین مسئله می‌تواند انتشار داخلی بدافزارها را تسهیل کند.

فرجی با اشاره دوباره به تجربه‌هایی مانند حمله واناکرای در سال ۲۰۱۷ تأکید می‌کند که باج‌افزارها در صورت عدم دریافت به‌موقع پچ‌های امنیتی، قادرند کل زیرساخت یک کشور را فلج کنند. به گفته او، خطر اصلی دقیقاً در لحظه اتصال مجدد به اینترنت نهفته است؛ زمانی که میلیون‌ها دستگاه به‌روزرسانی‌نشده به‌طور هم‌زمان آنلاین می‌شوند.

او در پایان خاطرنشان می‌کند که قطع طولانی‌مدت اینترنت، به معنای آنلاین‌شدن ناگهانی میلیون‌ها دستگاه ناتمام و به‌روزرسانی‌نشده است؛ وضعیتی که دو تهدید هم‌زمان را ایجاد می‌کند: نخست، هجوم اسکنرهای خودکار و بات‌نت‌ها برای شناسایی و بهره‌برداری از آسیب‌پذیری‌ها و دوم، فعال‌شدن بدافزارهای نهفته از طریق ارتباط با سرورهای خارجی. به باور این کارشناس، تنها راه کاهش این خطرات، اتصال تدریجی، کنترل‌شده و همراه با به‌روزرسانی و پایش دقیق زیرساخت‌هاست؛ در غیر این صورت، تبعات امنیتی این دوره قطعی می‌تواند بسیار فراتر از خودِ قطع اینترنت باشد.