تعدادي از وبسايتها و پورتالهاي سازمانها و دستگاههاي اجرايي بر اثر حوادث امنيتي، از دسترس خارج شدند که تيم عملياتي و پاسخگويي به حوادث امنيتي مرکز ماهرآن را کنترل کرد.
وايمکس نيوز- بر اساس اعلام مرکز ماهر، عصر روز يک شنبه، تعدادي از وبسايتها و پورتالهاي سازمانها و دستگاههاي اجرايي بر اثر حوادث امنيتي، از دسترس خارج شدند و يا بار پردازشي بسيار زياد و غيرطبيعي بر روي سرويسدهندههاي وب خود رو به رو بودند که تيم عملياتي و پاسخگويي به حوادث امنيتي مرکز ماهر، ضمن بررسي موضوع اقدامات لازم و ضروري را اجرايي کرد.
هدف حمله، منع سرويس توزيع شده، سيستمهاي عامل ويندوز با سرويسدهندههاي وب IIS بودهاست و تمامي اهداف مورد حمله قرار گرفته تاکنون از شرايط فني يکسان برخوردار بودهاند.
همچنين آناتومي حمله، شامل ارسال زياد درخواستهاي HTTP به سمت وبسرورها با حجم و تعداد بالا است ، که باعث ايجاد پردازش سنگين بر روي سرويسدهندهها شده و به اعتقاد کارشناسان، هدف اوليه اين حمله پهناي باند شبکه نبوده، لذا تشخيص اوليه با سيستمهاي مانيتورينگ و پايش معمولي به سختي قابل انجام است و با تاخير تشخيص حاصل مي شود.
بر همين اساس، پيکربندي صحيح سرويسدهندههاي وب که ميزبان برنامههاي کاربردي تحت وب ميباشند، بايد به دقت صورت پذيرد و رعايت نکات امنيتي در آنها، امنيت کل سيستمها و برنامههاي کاربردي را تحت تاثير قرار ميدهد.
روشهاي پيشگيري و مقابله
بر اساس اين گزارش و با توجه به اعلام مرکز ماهر، استفاده از ديوارههاي آتش اختصاصي لايه کاربرد يا WAF و پيکربندي موثر آن به تناسب تعداد کاربران و نيز شرايط برنامهي کاربردي هر سازمان از جمله روش هاي موثر براي مقابله با اين دست از حملات است.
يکي از اولين اقدامهاي امنيتي، مقاومسازي سرويسدهندههاي وب در مقابل ارسال درخواستهاي سيلآسا جهت تشخيص و جلوگيري ميباشد، براي اين منظور لازم است تا به روشهاي مختلف نظير استفاده از ماژولهاي امنيتي و قابليتهاي دروني سرويسدهندههاي وب IIS موارد لازم به تناسب پيکربندي شود.
يکي از موثرترين پيکربنديها جهت محافظت و جلوگيري از حملات منع سرويس، پيکربندي قابليت IP Restriction و يا Dynamic IP Restrictions است.
در طراحي و پيکربندي برنامههاي کاربردي مختلف هر يک داراي application pools مجزا باشند و از فضاهايي اشتراکي اجتناب گردد و در صورت استفاده، موارد امنيتي مرتبط را رعايت نماييد.
اين گزارش حاکي است، پيکربندي و استفاده از قابليت امنيتي Request Filtering در سرويسدهنده، جهت فيلترسازي درخواستهاي ورودي ناخواسته بر اساس قواعد امنيتي و همچنين پيکربندي فايلهاي ثبت وقايع يا ماژول Logging در سرويسدهندهي وب IIS، جهت بررسي و پاسخگوييهاي امنيتي و رسيدگي قانوني و حقوقي به حوادث امنيتي لازم و ضروري است.
مجزا کردن يا ايزوله کردن نرم افزارهاي کاربردي تحت وب مختلف، ايجاد Worker Processهاي منحصر به فرد براي هر يک از نرم افزارهاي کاربردي تحت وب مختلف و همچنين بهروز رساني سيستمعامل و نصب آخرين وصلههاي امنيتي نيز از ديگر توصيه هايي است که در اين جهت پيشگيري و مقابله با اين حملات مي تواند اثرگذار باشد.
علاقمندان، براي دريافت مستندات و اطلاعات تکميلي ميتوانند به پرتال مرکز ماهر www.certcc.ir مراجعه کنند.