تامین امنیت سازمان در برابر تهدیدات آنلاین و هکرهایی که به دنبال کشف آسیب پذیریهای سازمان شما هستند، وظیفهای حیاتی است که مدیران باید برای محافظت از سازمان و دادههای حساس انجام دهند. بهارات بوشان، مدیر بازرگانی شرکت Stellar Data Recovery، ده روش را توصیه کرده که میتواند کار شما را برای افزایش سطح امنیت Exchange Server آسانتر کند.
حملات سایبری به سرورهای Microsoft Exchange اتفاق جدیدی نیست. در سال گذشته همه ما شاهد حمله هافنیوم بودیم که بیش از 30,000 سرور Exchange را در سراسر جهان به خطر انداخت. پس از هافنیوم، حملات بسیاری با حمایت دولتی و انگیزه مالی با استفاده از آسیبپذیریهای Proxy RCE و دور زدن احراز هویت، شروع به تهدید سرورهای Exchange کردند تا به شبکه سازمانها نفوذ کرده و دادههای تجاری و محرمانه را به قصد باجگیری به سرقت برده یا رمزگذاری کنند. اگرچه مایکروسافت مرتباً بهروزرسانیهای امنیتی را برای رفع آسیبپذیریهای کشف شده منتشر میکند، اما لازم است مدیران نیز اقداماتی را برای افزایش سطح امنیت سرورهای خود انجام دهند. همچنین سیستم های پیام رسان Exchange در برابر حملات مهندسی اجتماعی مانند Phishing ،Spoofing و Spamming نیز آسیب پذیر هستند. در این مقاله ده توصیه امنیتی برتر برای محافظت از سرورهای Exchange و سازمان شما در برابر تهدیدات و حملات سایبری آورده شده است.
1. نصب به روزرسانیهای Exchange
آسیب پذیریهای Exchange Server راههای جدیدی را به روی مهاجمان باز میکند که میتوانند از آنها برای به خطر انداختن شبکه سازمان شما استفاده کنند. با این حال شما میتوانید به محض انتشار بهروزرسانیهای تجمعی (Cumulative Updates) آنها را نصب کرده و آسیبپذیریها را اصلاح کنید و سرور خود را در برابر مهاجمان ایمن کنید. به گزارش Shodan، بیش از 60,000 سرور Exchange هنوز وصله نشدهاند و با وجود آسیب پذیریهای RCE در معرض خطر هستند. بهروزرسانی Exchange Server و Windows Server OS و سایر افزونهها و نرم افزارهایی که استفاده می کنید، حیاتی ترین بخش ایمن سازی سازمان و سرورهای شما در برابر تهدیدات و حملات سایبری است.
2. اطلاع رسانی و آموزش به کاربران
کارمندان یا کاربران شما میتوانند قویترین و یا ضعیفترین عامل سازمان شما در برابر حملات آنلاین و سرقت اطلاعات باشند. به عنوان مثال، کارمندانی که لپتاپهای خود را بدون مراقبت رها میکنند، از هات اسپاتهای عمومی برای کار استفاده میکنند، اطلاعات حساس سازمان را بدون رمزگذاری روی هارد دیسک ذخیره میکنند، از رمزهای عبور ضعیف و تکراری استفاده میکنند، فرصتهایی را به مهاجمان میدهند تا به شبکه سازمان شما نفوذ کنند و سرورهای Exchange را به خطر بیاندازند. بنابراین، آموزش نیروی کار و اطلاعرسانی به آنها درباره تهدیدات سایبری و رعایت نکات امنیتی، بسیار موثر خواهد بود. علاوه بر این، شما باید سیاست ها و قوانینی را برای مرور اینترنت، شبکه های اجتماعی، ایمیل و دستگاه های تلفن همراه اجرا کنید.
3. استفاده از نرم افزار امنیتی Exchange-aware
ویروسها و بدافزارها که بیشتر آنها از ایمیلهای ناخواسته (Spam) میآیند میتوانند سرور Exchange شما را آلوده کنند. اگر چه سیستم عامل سرورهای Exchange دارای نرمافزار Windows Defender برای محافظت در برابر ویروسها و بدافزارها هستند، میتوانید از نرمافزار امنیتی Exchange-aware دیگری نیز روی سرور خود استفاده کنید تا ایمیلهای دریافتی و ارسالی را از نظر وجود ویروس، بدافزار، لینکها و پیوستهای مخرب و سایر تهدیدات اسکن کند.
4. فعال کردن احراز هویت Kerberos
به طور پیش فرض، Microsoft Exchange Server از طریق پروتکل احراز هویت NTLM به کلاینتهای Outlook متصل میشود که در مقایسه با احراز هویت Kerberos از امنیت کمتری برخوردار است. احراز هویت NTLM بصورت Challenge-Response کار میکند، درحالی که Kerberos از احراز هویت Ticket-Base استفاده میکند که کامپیوترهای ویندوزی برای اتصال با Active Directory از آن استفاده میکنند. علاوه بر این، احراز هویت NTLM کند است و بار بیشتری را به سرور تحمیل می کند. با فعال کردن پروتکل احراز هویت Kerberos، می توانید امنیت سرور خود را تقویت کنید.
5. استفاده از رمز عبور قوی
استفاده از رمزهای عبور ضعیف مانند yourname@123 یا رمز عبور محل کارتان که چندین بار در وبسایتهای مختلف و رسانههای اجتماعی استفاده شده است، خطرات امنیتی بسیاری را به همراه دارد. چنین گذرواژههایی بهراحتی با Brute-Force کرک میشوند یا در صورت هک شدن وبسایت ممکن است به بیرون درز کنند. بنابراین، کاربران باید از رمزهای عبور منحصر به فرد و پیچیده استفاده کنند. بهعنوان ادمین میتوانید از طریق اعمال پالیسی رمز عبور، کاربران را وادار کنید تا رمزهای عبور پیچیده با ترکیبی از حروف (بزرگ + کوچک)، اعداد و کاراکترهای خاص انتخاب کنند. همچنین برای جلوگیری از دسترسی غیرمجاز، این پالیسیها باید از استفاده مجدد کاربران از رمزهای عبور خود جلوگیری کند و آنها را مجبور کند پسوردهای خود را پس از یک دوره معین (مثلا 45 یا 60 روز) تغییر دهند.
6. احراز هویت چند عاملی
علاوه بر رمز عبور قوی و پیچیده، باید احراز هویت چند مرحلهای را از طریق رمز عبور یکبار مصرف (OTP) یا برنامههای احراز هویت فعال کنید. حتی اگر رمز عبور لو رفته یا از طریق یک حمله فیشینگ به سرقت رفته باشد، این امر از دسترسی غیرمجاز به حسابهای کاربری و Mail Box های Exchange Server جلوگیری میکند.
7. VPN برای دسترسی از راه دور امن
دسترسی به شبکه یک سازمان از طریق پورتهای باز میتواند بسیار خطرناک باشد. به خصوص هنگامی که بخواهید از طریق WLANهای عمومی به شبکه سازمان متصل شوید ممکن است رمز عبور یا اطلاعات مهم شما مورد سرقت قرار بگیرد. بنابراین شما باید یک شبکه خصوصی مجازی (VPN) را برای دسترسی به دادهها و یا انجام هرگونه وظایف اداری پیادهسازی و استفاده کنید.
8. فعال سازی RBAC برای کنترل دسترسی
کنترل دسترسی مبتنی بر نقش (RBAC) یک مدل مجوز است که شما میتوانید از آن برای اعطای دسترسی به ادمینها و کاربران در Exchange استفاده کنید. در این روش شما دسترسیها را براساس نقشی که کاربر در سازمان دارد و باتوجه به وظایف و مسئولیتهایش اعطا میکنید. همچنین بررسی دسترسی کاربران ادمین بسیار مهم است. برای این کار، میتوانید دسترسیهای موقتی را که بر اساس وظایف به کاربر اعطا میکنید را پس از اتمام کار لغو کنید.
9. استفاده از فایروال
اگر در سرور خود با یک مشکل موقتی مواجه شوید، مقالات آنلاین زیادی پیدا میکنید که میگویند فایروال را غیرفعال کنید. اما انجام این کار میتواند سازمان شما را در معرض خطر بیشتری قرار دهد. بهصورت پیش فرض، Exchange Server از فایروال پیشرفته Windows Defender برای اجازه دادن یا مسدود کردن ترافیک سرور استفاده می کند اما شما میتوانید از یک فایروال Exchange-aware دیگر برای مبارزه با تهدیدات امنیت سایبری استفاده کنید. همچنین برای فیلتر کردن پیامها بر اساس آدرسهای IP خاص، لازم است نظارت منظمی روی لیست آدرسهای مجاز و غیرمجاز داشته باشید.
10. اجرای اسکریپت HealthChecker
HealthChecker یک اسکریپت PowerShell است که توسط مایکروسافت ارائه شده، این اسکریپت کمک میکند وضعیت امنیت سرور خود را بررسی کرده و مشکلات سلامت سرور را که می تواند بر عملکرد آن تأثیر بگذارد پیدا کنید. همچنین آسیبپذیریهای سرور شما را شناسایی و لینکهای مربوطه را برای رفع مشکلات ارائه میکند، همچنین بهروزرسانیها را برای نصب روی سرور دانلود میکند. توصیه میشود که اسکریپت HealthChecker را به طور منظم اجرا کنید. همچنین باید اسکریپت را قبل و بعد از بهروز رسانی سرور یا انجام هر کاری اجرا کنید. این کار تضمین میکند که سرور وصله شده، سالم است و عملکرد صحیحی دارد.
صحبت آخر
علاوه بر تقویت امنیت سرور، شما باید بهطور منظم بکآپ های تأیید شده و برچسب گذاری شدهای نیز داشته باشید. این بکآپ ها زمانی مفید واقع میشوند که سرور در معرض خطر قرار گرفته و پایگاهداده آن پس از خرابی سختافزاری، نرمافزاری یا یک حمله مخرب آسیب میبیند یا از بین میرود. برای Exchange از بکآپ ویندوز سرور یا هر نرمافزار Exchange-aware دیگری برای ایجاد بکآپ های مبتنی بر VSS استفاده کنید. یکی از راهکارهایی که برای پشتیبان گیری میتوانید دنبال کنید، قانون ۳-۲-۱ است که در آن سه نسخه از دادههای شما در دو رسانه مختلف و یک نسخه نیز به صورت امن در محل دیگری خارج از سازمان به منظور Disaster Recovery نگهداری میشود.علاوه بر این، شما می توانید یک نرم افزار بازیابی Exchange EDB را نیز داشته باشید زیرا به شما کمک میکند در زمانی که نسخه پشتیبان در دسترس نیست، خراب و یا منسوخ شده و یا در زمان ریکاوری با خطا مواجه میشود، Mailboxها را از پایگاه داده آسیب دیده بازیابی کند.