چگونه پیامدهای حمله باج‌افزار به سازمان را کاهش دهیم؟

 بخش اول: کشف و ایزوله
اولین گام این است که میزان نفوذ حمله را مشخص کنید. آیا بدافزار کل شبکه را گرفته است؟ آیا بیش از یک اداره یا دپارتمان را درگیر کرده است؟ ابتدا به دنبال کامپیوترها و بخش‌های شبکه که در زیرساخت سازمانی آلوده شده‌اند بگردید و فوراً آن‌ها را از سایر شبکه جداسازی کنید تا تسری محدود شود. اگر شرکت، تعداد کامپیوترهای بسیاری ندارد، با آنتی‌ویروس،EDR  و لاگ‌های فایروال شروع کنید. به طور جایگزین می‌توانید، برای تعداد بسیار محدودی از پیاده‌سازی‌ها، به طور فیزیکی دستگاه به دستگاه را چک کنید. اگر هم بحث سر تعداد زیادی از کامپیوترهاست، بهتر است لاگ‌ها و ساز و کارهای سیستم SIEM را مورد آنالیز قرار دهید. این کار از مشقت‌های بعدی‌تان کم نخواهد اما به هر حال می‌تواند در ترسیم تصویر بزرگ‌تر به شما کمک کند. بعد از ایزوله کردن دستگاه‌های آلوده از شبکه، دیسک ایمیج‌هایی ساخته و در صورت امکان این دستگاه‌ها را تا پایان تحقیقات رها کنید. 

Disk image یک فایل بزرگ و یکپارچه است که از روی CD یا DVD، یک دیسکت فلاپی یا حتی یک یا چند درایو از هارددیسک و... به صورت بیت به بیت خوانده شده و روی هارد دیسک یا هر رسانه دیگری نوشته می‌شود.

 بخش دوم: تحلیل و عمل
بعد از آنکه محیط پیرامون را بررسی کردید، اکنون فهرستی خواهید داشت از دستگاه‌‌هایی که دیسک‌های‌شان پر است از فایل‌های رمزگذاری‌شده به همراه تصاویری از آن دیسک‌ها. آن‌ها از شبکه‌اینترنتی جدا هستند و دیگری تهدید محسوب نمی‌شوند. می‌توانید پروسه ریکاوری را همین لحظه شروع کنید. اما نخست نگاهی به امنیت شبکه بیندازید. حال زمان آن رسیده است که باج‌افزار را تحلیل کرده، پی ببرید چطور به سیستم رخنه کرده و چه گروه‌هایی معمولاً از آن استفاده می‌کنند؛ یعنی کلید پروسه شکار تهدید (threat-hunting)  را بزنید. 

باج‌افزار به همین راحتی‌ها سر و کله‌اش پیدا نمی‌شود؛ یک دراپر، RAT، لودر تروجان یا چیزی از این جنس آن را نصب می‌کند. درست باید دست روی همین عامل واسطه بگذارید: برای انجام این کار باید یک تحقیق داخلی انجام دهید. لاگ‌ها را بجویید تا مشخص شود چه کامپیوتری اول از همه مورد حمله قرار گرفت و چرا آن کامپیوتر خاص یارای مقابله با حمله را نداشته است. بر اساس نتایج بررسی، شبکه را از شر بدافزارهای مخفی و پیشرفته خلاص کرده و در صورت امکان عملیات‌های کسب و کار را ریستارت کنید.

سپس پی ببرید چه چیزی این روند را متوقف کرده بود. چه آیتمی از امنیت نرم‌افزار از قلم افتاده بود؟ آن شکاف‌ها را پر کنید. سپس به کارمندان خود در خصوص آنچه اتفاق افتاده است هشدار دهید. کوتاه و موجز توضیح دهید چطور باید چنین دام‌هایی را شناخته و از آن دوری کنند. در ادامه به آن‌ها قول بدهید در خصوص این امر برای‌شان جلسات آموزشی مد نظر قرار گرفته است.

در آخر، آپدیت‌ها و پچ‌هایی را در زمان مناسب نصب کنید. مدیریت آپدیت و پچ اولویت اصلی ادمین‌های آی‌تی است؛ بدافزار اغلب از طریق آسیب‌پذیری‌هایی به سیستم نفوذ می‌کنند که قرار است برایشان پچ‌هایی بزودی عرضه شود.

 بخش سوم: پاکسازی و ریستور
تا اینجای کار تهدید شبکه و نیز حفره امنیتی که به‌واسطه آن ایجاد شده را مدیریت کرده‌اید. اکنون باید توجه خود را به کامپیوترهایی معطوف کنید که از کارافتاده‌اند.

اگر برای تحقیق دیگر به آن‌ها نیازی نیست، درایوها را فرمت کرده و سپس داده‌ها را از جدیدترین نسخه بک‌آپ ریستور کنید. اگر هم در عین حال هیچ نسخه بک‌آپی ندارید مجبور خواهید بود هرآنچه روی درایوها هست را رمزگشایی کنید.

 تحت هر شرایطی فایل‌های رمزگذاری‌شده خود را پاک نکنید. رمزگشاهای جدید هر چند وقت‌یکبار ظاهر می‌شوند و شاید آن روز، همین فردا باشد پس کمی صبر داشته باشید. از همه مهمتر اینکه باج ندهید! با این کار به درآمدزایی بزهکارانه‌ی مجرمان سایبری دامن زده‌اید و در عین حال احتمال اینکه بعد از دریافت باج به شما اطلاعات‌تان را (رمزگشایی‌شده) بازگردانند بسیار کم است. مهاجمین باج‌افزار علاوه بر بلاک کردن داده‌هایتان ممکن است اطلاعات را برای مقاصد بلک‌میل هم استفاده کرده باشند. در آخر، اگر به اخاذان اینترنتی باج دهید انگار برای انجام هر چه بیشتر باج‌گیری تشویقشان کرده‌اید. در برخی موارد مهاجمین تنها بهد از چند ماه باجگیری از شما باز هم سراغتان می‌آیند و این بار بیشتر گوشتان را خواهند برید! به طور کلی فرض را بر این بگذارید که هر داده‌ای از شما ممکن است روزی به دست همگان برسد و نشر داده شود؛ همچنین همیشه خود را برای مواجه با نشت اطلاعاتی آماده کنید. دیر یا زود باید در مورد این رخداد صحبت کنید: چه با کارمندان، چه با ذی‌نفعان، چه با آژانس‌های دولتی و چه با خبرنگاران. صراحت و صداقت بسیار مهم است و در نهایت بابت داشتن این دو خصیصه از شما قدردانی می‌شود.

 بخش چهارم: انجام اقدامات پیشگیرانه
یک رخداد سایبری بزرگ همیشه به این معناست که دردسری عظیم با خود به همراه دارد و تنها راه، انجام اقدامات پیشگیرانه است.از پیش جانب احتیاط را رعایت کرده و پیشگیری کنید:

راهکار محافظتیِ قابل‌اطمینانی را روی همه اندپوینت‌های شبکه‌های اینترنتی خود (از جمله اسمارت‌فون‌ها) نصب کنید.

شبکه تقسیم‌بندی کرده و آن را به فایروال‌هایی که بخوبی تنظیم شده‌اند مجهز کنید. همچنین بهتر است از فایروال نسل جدید (NGFW) یا محصولی مشابه که به طور خودکار داده‌هایی را در مورد تهدیدهای جدید دریافت می‌کند استفاده کنید.

چشم‌انداز محافظتی‌تان ورای آنتی‌ویروس باشد؛ به ابزاری شکار تهدید قدرتمندتری فکر کنید.

برای هشدارهای فوری سیستم SIEM (برای شرکت‌های بزرگ) به کار ببندید.

طی جلسات معمول تعاملی کارمندان خود را نسبت به امنیت سایبری آگاه کنید.