تعدادي از وب‌سايت‌ها و پورتال‌هاي سازمان‌ها و دستگاه‌هاي اجرايي بر اثر حوادث امنيتي، از دسترس خارج شدند که تيم عملياتي و پاسخگويي به حوادث امنيتي مرکز ماهرآن را کنترل کرد.

وايمکس نيوز- بر اساس اعلام مرکز ماهر،  عصر روز يک شنبه، تعدادي از وب‌سايت‌ها و پورتال‌هاي سازمان‌ها و دستگاه‌هاي اجرايي بر اثر حوادث امنيتي، از دسترس خارج شدند و يا بار پردازشي بسيار زياد و غيرطبيعي بر روي سرويس‌دهنده‌هاي وب خود رو به رو بودند که تيم عملياتي و پاسخگويي به حوادث امنيتي مرکز ماهر، ضمن بررسي موضوع اقدامات لازم و ضروري را اجرايي کرد.

هدف حمله، منع سرويس توزيع شده، سيستم‌هاي عامل ويندوز با سرويس‌‌دهنده‌هاي وب IIS بوده‌است و تمامي اهداف مورد حمله قرار گرفته تاکنون از شرايط فني يکسان برخوردار بوده‌اند.

همچنين آناتومي حمله، شامل ارسال زياد درخواست‌هاي HTTP به سمت وب‌سرورها با حجم و تعداد بالا است ، که باعث ايجاد پردازش سنگين بر روي سرويس‌دهنده‌ها شده و به اعتقاد کارشناسان،  هدف اوليه اين حمله پهناي باند شبکه نبوده، لذا تشخيص اوليه با سيستم‌هاي مانيتورينگ و پايش معمولي به سختي قابل انجام است و با تاخير تشخيص حاصل مي شود.

بر همين اساس، پيکربندي صحيح سرويس‌دهنده‌هاي وب که ميزبان برنامه‌هاي کاربردي تحت وب مي‌باشند، بايد به دقت صورت پذيرد و رعايت نکات امنيتي در آنها، امنيت کل سيستم‌ها و برنامه‌هاي کاربردي را تحت تاثير قرار مي‌دهد.

روش‌هاي پيشگيري و مقابله

بر اساس اين گزارش و با توجه به اعلام مرکز ماهر، استفاده از ديواره‌هاي آتش اختصاصي لايه کاربرد يا WAF و پيکربندي موثر آن به تناسب تعداد کاربران و نيز شرايط برنامه‌ي کاربردي هر سازمان از جمله روش هاي موثر براي مقابله با اين دست از حملات است.

 يکي از اولين اقدام‌هاي امنيتي، مقاوم‌سازي سرويس‌دهنده‌هاي وب در مقابل ارسال درخواست‌هاي سيل‌آسا جهت تشخيص و جلوگيري مي‌باشد، براي اين منظور لازم است تا به روش‌هاي مختلف نظير استفاده از ماژول‌هاي امنيتي و قابليت‌هاي دروني سرويس‌دهنده‌هاي وب IIS موارد لازم به تناسب پيکربندي شود.

 يکي از موثرترين پيکربندي‌ها جهت محافظت و جلوگيري از حملات منع سرويس، پيکربندي قابليت IP Restriction و يا Dynamic IP Restrictions  است.

در طراحي و پيکربندي برنامه‌هاي کاربردي مختلف هر يک داراي application pools مجزا باشند  و از فضاهايي اشتراکي اجتناب گردد و در صورت استفاده، موارد امنيتي مرتبط را رعايت نماييد.

اين گزارش حاکي است، پيکربندي و استفاده از قابليت امنيتي Request Filtering در سرويس‌دهنده، جهت فيلترسازي درخواست‌هاي ورودي ناخواسته بر اساس قواعد امنيتي و همچنين پيکربندي فايل‌هاي ثبت وقايع يا ماژول Logging در سرويس‌دهنده‌ي وب IIS، جهت بررسي و پاسخگويي‌هاي امنيتي و رسيدگي قانوني و حقوقي به حوادث امنيتي لازم و ضروري است.

مجزا کردن يا ايزوله کردن نرم افزارهاي کاربردي تحت وب مختلف،  ايجاد Worker Processهاي منحصر به فرد براي هر يک از نرم افزارهاي کاربردي تحت وب مختلف و همچنين به‌روز رساني سيستم‌عامل و نصب آخرين وصله‌هاي امنيتي نيز از ديگر توصيه هايي است که در اين جهت پيشگيري و مقابله با اين حملات مي تواند اثرگذار باشد.

علاقمندان، براي دريافت مستندات و اطلاعات تکميلي ميتوانند به پرتال مرکز ماهر www.certcc.ir مراجعه کنند.