از منظر امنیت سایبری، بدترین بُعد اتخاذ استراتژی دورکاری از دست دادن کنترل روی محیطهای شبکه لوکال ایستگاههای کار بوده است. خصوصاً تأکیدمان روی روترهای خانگی کارمندان است که جایگزین زیرساخت معمول (که همیشه تحت نظارت و کنترل متخصصین آیتی بود) شدهاند. محققین چارل ون در والت و ویکوس راس در کنفرانس RSA 2021 طی گزارشی تحت عنوان «همه LAN شما متعلق به ماست. مدیریت تهدیدهای واقعی برای دورکاران» به روشهایی پرداختند که مجرمان سایبری با استفاده از آنها میتوانند از طریق روترها به کامپیوترهای کاری حمله کنند.
چرا روترهای خانگیِ کارمندان، مشکل اصلی به حساب میآید؟
حتی اگر خطمشیهای امنیت سازمانی بتواند آپدیت هر سیستم عامل کامپیوتر کاری و نیز هر تنظیمات مربوطه دیگر را پوشش دهد، باز هم روترهای خانگی همچنان از کنترل ادمین سیستم سازمانی خارجند. نظر به محیطهای دورکاری، IT نمیتواند متوجه شود چه دستگاههای دیگری به شبکه وصلند و اینکه آیا سفتافزار روتر آپدیت است، پسورد آن قوی است یا نه (یا اینکه متوجه شود آیا کاربر اصلاً پسورد پیشفرض کارخانه را تغییر داده است یا نه). این عدم کنترل تنها بخش کار است که ایراد دارد. تعداد زیادی از روترهای خانگی و SOHO آسیبپذیریهای شناختهشدهای دارند که مجرمان سایبری میتوانند آنها را برای کنترل کامل داشتن روی دستگاه اکسپلویت کرده و همین میتواند به باتنتهای عظیم اینترنت اشیاء همچون Mirai ختم شود که دهها و حتی صدها هزار روتر سرقتشده را با مقاصد مختلف ترکیب میکنند. از این روست که باید به یاد داشت هر روتر در اصل یک کامپیوتر کوچک است که برخی توزیع لینوکس را در خود اجرا میکند. مجرمان سایبری میتوانند با استفاده از یک روتر سرقتشده به خیلی چیزها برسند. در زیر نمونههایی خواهید دید از گزارشات که محققین مذکور تهیه کردند:
سرقت کانکشن ویپیان
ابزار اصلی که شرکتها برای جبران محیطهای شبکهای غیرقابل اعتماد دورکاران استفاده میکنند، ویپیان است (همان شبکه خصوصی مجازی). ویپیانها کانال رمزگذاریشدهای را ارائه میدهند که از طریق آن دادهه بین کامپیوتر و زیرساخت شرکت سفر میکنند. بسیاری از شرکتها از ویپیان در حالت تونلزنی تقسیمبندیشده استفاده میکنند- ترافیک به سرورهای شرکت مانند کانکشن RDP (پروتکل دسکتاپ ریموت) از طریق vpn انتقال داده میشود و همه ترافیکهای دیگر از طریق همان شبکه عمومی رمزگذارینشده- که خوب معمولاً هم ایرادی ندارد. با این حال، مجرم سایبری که روتر را تحت کنترل خود درآورده میتواند روت DHCP (پروتکل تنظیمات پویای میزبان) بسازد و ترافیک RDP را به سرور خود ریدایرکت کند. گرچه آنها را قدمی به رمزگشایی ویپیان نزدیک نمیکنند اما آنها میتوانند لاگین اسکرین جعلی بسازند و از همین طریق اطلاعات محرمانه کانکشن RDP را دستکاری کنند. اسکمرهای باجافزار عاشق استفاده از RDP هستند.
لود کردن سیستمعامل خارجی
سناریوی زیرکانهی دیگر برای حمله به روتر سرقتشده، اکسپلویتِ قابلیت PXE (محیط از پیش بوتشدهی اجرا) است. آداپتورهای شبکه مدرن از PXE برای لود کردن کامپیوترها با سیستمعامل آن هم از طریق شبکه استفاده میکنند. به طور معمول، این قابلیت غیرفعال است اما برخی از شرکتها از آن -بعنوان مثال- برای ریستور کردن ریموت سیستمعامل (اگر خراب شود) استفاده میکنند. مجرم سایبری که کنترل سرور DHCP را روی یک روتر در اختیار دارد میتواند به آداپتور شبکه ایستگاه کار آدرس سیستمی را بدهد که برای کنترل ریموت دستکاری شده است. کارمندان هم بخصوص اگر حواسشان به نوتیفیکیشهای نصب آپدیت برود هرگز بویی از این مسئله نخواهند برد.
راهکارهای امنیتی
به منظور محافظت از کامپیوترهای کارمندان خود در برابر حملات فوق و گزینههای مشابه دیگر اقدامات زیر توصیه میشود:
- به جای مدل تونلزنی تقسیمبندیشده از تونلزنی اجباری استفاده کنید. بسیاری از راهکارهای ویپیان سازمانی این امکان را در اختیارتان قرار میدهند، البته با یک سر استثنائات (عبور پیشفرض از همه ترافیکها از طریق کانال رمزگذاریشده با منابع خاص به اجازه دورزنی ویپیان را دارند).
- Preboot Execution Environment را در تنظیمات BIOS غیرفعال کنید.
- با استفاده از رمزگذاری تمام دیسک (برای مثال با BitLocker در ویندوز) تماماً هارد درایو کامپیوتر را رمزگذاری کنید.
تمرکز روی امنیت روترهای کارکنان برای افزایش سطح امنیت هر زیرساخت سازمانی که شامل دورکاری یا حالت هیبریدی میشود بسیار اهمیت دارد و در واقع حیاتی است. در برخی شرکتها، کارمندان بخش پشتیبانی فنی به کارمندان در خصوص تنظیمات بهینه برای روتر خانگیشان مشاوره میدهند. سایر شرکتها نیز روترهای از پیشتنظیمشدهای را برای کارمندان دورکار خود صادر میکنند تا کارمندان بتوانند تنها از طریق آن روترها به منابع سازمانی وصل شوند. افزون بر این، آموزش به کارمندان برای مبارزه با تهدیدهای مدرن برای امنیت شبکهای همیشه امری الزامیست.
