تامین امنیت سازمان در برابر تهدیدات آنلاین و هکرهایی که به دنبال کشف آسیب پذیری‌های سازمان شما هستند، وظیفه‌ای حیاتی است که مدیران باید برای محافظت از سازمان و داده‌های حساس انجام دهند. بهارات بوشان، مدیر بازرگانی شرکت Stellar Data Recovery، ده روش را توصیه کرده که می‌تواند کار شما را برای افزایش سطح امنیت Exchange Server آسان‌تر کند.

حملات سایبری به سرورهای Microsoft Exchange اتفاق جدیدی نیست. در سال گذشته همه ما شاهد حمله هافنیوم بودیم که بیش از 30,000 سرور Exchange را در سراسر جهان به خطر انداخت. پس از هافنیوم، حملات بسیاری با حمایت‌ دولتی و انگیزه مالی با استفاده از آسیب‌پذیری‌های Proxy RCE و دور زدن احراز هویت، شروع به تهدید سرورهای Exchange کردند تا به شبکه سازمان‌ها نفوذ کرده و داده‌های تجاری و محرمانه را به قصد باج‌گیری به سرقت برده یا رمزگذاری کنند. اگرچه مایکروسافت مرتباً به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری‌های کشف شده منتشر می‌کند، اما لازم است مدیران نیز اقداماتی را برای افزایش سطح امنیت سرورهای خود انجام دهند. همچنین سیستم های پیام رسان Exchange در برابر حملات مهندسی اجتماعی مانند Phishing ،Spoofing و Spamming نیز آسیب پذیر هستند. در این مقاله ده توصیه امنیتی برتر برای محافظت از سرورهای Exchange و سازمان شما در برابر تهدیدات و حملات سایبری آورده شده است.

1. نصب به روزرسانی‌های Exchange

آسیب پذیری‌های Exchange Server راه‌های جدیدی را به روی مهاجمان باز می‌کند که می‌توانند از آن‌ها برای به خطر انداختن شبکه سازمان شما استفاده کنند. با این حال شما می‌توانید به محض انتشار به‌روزرسانی‌های تجمعی (Cumulative Updates) آن‌ها را نصب کرده و آسیب‌پذیری‌ها را اصلاح کنید و سرور خود را در برابر مهاجمان ایمن کنید. به گزارش Shodan، بیش از 60,000 سرور Exchange هنوز وصله نشده‌اند و با وجود آسیب پذیری‌های RCE در معرض خطر هستند. به‌روزرسانی Exchange Server و Windows Server OS و سایر افزونه‌ها و نرم افزارهایی که استفاده می کنید، حیاتی ترین بخش ایمن سازی سازمان و سرورهای شما در برابر تهدیدات و حملات سایبری است.

2. اطلاع رسانی و آموزش به کاربران

کارمندان یا کاربران شما می‌توانند قوی‌ترین و یا ضعیف‌ترین عامل سازمان شما در برابر حملات آنلاین و سرقت اطلاعات باشند. به عنوان مثال، کارمندانی که لپ‌تاپ‌های خود را بدون مراقبت رها می‌کنند، از هات اسپات‌های عمومی برای کار استفاده می‌کنند، اطلاعات حساس سازمان را بدون رمزگذاری روی هارد دیسک ذخیره می‌کنند، از رمزهای عبور ضعیف و تکراری استفاده می‌کنند، فرصت‌هایی را به مهاجمان می‌دهند تا به شبکه سازمان شما نفوذ کنند و سرورهای Exchange را به خطر بیاندازند. بنابراین، آموزش نیروی کار و اطلاع‌رسانی به آن‌ها درباره تهدیدات سایبری و رعایت نکات امنیتی، بسیار موثر خواهد بود. علاوه بر این، شما باید سیاست ها و قوانینی را برای مرور اینترنت، شبکه های اجتماعی، ایمیل و دستگاه های تلفن همراه اجرا کنید.

3. استفاده از نرم افزار امنیتی Exchange-aware

ویروس‌ها و بدافزارها که بیشتر آن‌ها از ایمیل‌های ناخواسته (Spam) می‌آیند می‌توانند سرور Exchange شما را آلوده کنند. اگر چه سیستم عامل سرورهای Exchange دارای نرم‌افزار Windows Defender برای محافظت در برابر ویروس‌ها و بدافزارها هستند، می‌توانید از نرم‌افزار امنیتی Exchange-aware دیگری نیز روی سرور خود استفاده کنید تا ایمیل‌های دریافتی و ارسالی را از نظر وجود ویروس‌، بدافزار، لینک‌ها و پیوست‌های مخرب و سایر تهدیدات اسکن کند.

4. فعال کردن احراز هویت Kerberos

به طور پیش فرض، Microsoft Exchange Server از طریق پروتکل احراز هویت NTLM به کلاینت‌های Outlook متصل می‌شود که در مقایسه با احراز هویت Kerberos از امنیت کمتری برخوردار است. احراز هویت NTLM بصورت Challenge-Response کار می‌کند، درحالی که Kerberos از احراز هویت Ticket-Base استفاده می‌کند که کامپیوترهای ویندوزی برای اتصال با Active Directory از آن استفاده می‌کنند. علاوه بر این، احراز هویت NTLM کند است و بار بیشتری را به سرور تحمیل می کند. با فعال کردن پروتکل احراز هویت Kerberos، می توانید امنیت سرور خود را تقویت کنید.

5. استفاده از رمز عبور قوی

استفاده از رمزهای عبور ضعیف مانند yourname@123 یا رمز عبور محل کارتان که چندین بار در وب‌سایت‌های مختلف و رسانه‌های اجتماعی استفاده شده است، خطرات امنیتی بسیاری را به همراه دارد. چنین گذرواژه‌هایی به‌راحتی با Brute-Force کرک می‌شوند یا در صورت هک شدن وب‌سایت ممکن است به بیرون درز کنند. بنابراین، کاربران باید از رمزهای عبور منحصر به فرد و پیچیده استفاده کنند. به‌عنوان ادمین می‌توانید از طریق اعمال پالیسی رمز عبور،  کاربران را وادار کنید تا رمزهای عبور پیچیده با ترکیبی از حروف (بزرگ + کوچک)، اعداد و کاراکترهای خاص انتخاب کنند. همچنین برای جلوگیری از دسترسی غیرمجاز، این پالیسی‌ها باید از استفاده مجدد کاربران از رمزهای عبور خود جلوگیری کند و آنها را مجبور کند پسوردهای خود را پس از یک دوره معین (مثلا 45 یا 60 روز) تغییر دهند.

6. احراز هویت چند عاملی

علاوه بر رمز عبور قوی و پیچیده، باید احراز هویت چند مرحله‌ای را از طریق رمز عبور یک‌بار مصرف (OTP) یا برنامه‌های احراز هویت فعال کنید.  حتی اگر رمز عبور لو رفته یا از طریق یک حمله فیشینگ به سرقت رفته باشد، این امر از دسترسی غیرمجاز به حساب‌های کاربری و Mail Box های Exchange Server جلوگیری می‌کند.

7. VPN برای دسترسی از راه دور امن

دسترسی به شبکه یک سازمان از طریق پورت‌های باز می‌تواند بسیار خطرناک باشد. به خصوص هنگامی که بخواهید از طریق WLANهای عمومی به شبکه سازمان متصل شوید ممکن است رمز عبور یا اطلاعات مهم شما مورد سرقت قرار بگیرد. بنابراین شما باید یک شبکه خصوصی مجازی (VPN) را برای دسترسی به داده‌ها و یا انجام هرگونه وظایف اداری پیاده‌سازی و استفاده کنید.

8. فعال سازی RBAC برای کنترل دسترسی

کنترل دسترسی مبتنی بر نقش (RBAC) یک مدل مجوز است که شما می‌توانید از آن برای اعطای دسترسی‌ به ادمین‌ها و کاربران در Exchange استفاده کنید. در این روش شما دسترسی‌ها را براساس نقشی که کاربر در سازمان دارد و باتوجه به وظایف و مسئولیت‌هایش اعطا می‌کنید. همچنین بررسی دسترسی کاربران ادمین بسیار مهم است. برای این کار، می‌توانید دسترسی‌های موقتی را که بر اساس وظایف به کاربر اعطا می‌کنید را پس از اتمام کار لغو کنید.

9. استفاده از فایروال

اگر در سرور خود با یک مشکل موقتی مواجه شوید، مقالات آنلاین زیادی پیدا می‌کنید که می‌گویند فایروال را غیرفعال کنید. اما انجام این کار می‌تواند سازمان شما را در معرض خطر بیشتری قرار دهد. به‌صورت پیش فرض، Exchange Server از فایروال پیشرفته Windows Defender برای اجازه دادن یا مسدود کردن ترافیک سرور استفاده می کند اما شما می‌توانید از یک فایروال Exchange-aware دیگر برای مبارزه با تهدیدات امنیت سایبری استفاده کنید. همچنین برای فیلتر کردن پیام‌ها بر اساس آدرس‌های IP خاص، لازم است نظارت منظمی روی لیست آدرس‌های مجاز و غیرمجاز داشته باشید.

10. اجرای اسکریپت HealthChecker

HealthChecker یک اسکریپت PowerShell است که توسط مایکروسافت ارائه شده، این اسکریپت کمک می‌کند وضعیت امنیت سرور خود را بررسی کرده و مشکلات سلامت سرور را که می تواند بر عملکرد آن تأثیر بگذارد پیدا کنید. همچنین آسیب‌پذیری‌های سرور شما را شناسایی و لینک‌های مربوطه را برای رفع مشکلات ارائه می‌کند، همچنین به‌روزرسانی‌ها را برای نصب روی سرور دانلود می‌کند. توصیه می‌شود که اسکریپت HealthChecker را به طور منظم اجرا کنید. همچنین باید اسکریپت را قبل و بعد از به‌روز رسانی سرور یا انجام هر کاری اجرا کنید. این کار تضمین می‌کند که سرور وصله شده، سالم است و عملکرد صحیحی دارد.

صحبت آخر

علاوه بر تقویت امنیت سرور، شما باید به‌طور منظم بک‌آپ های تأیید شده و برچسب گذاری شده‌ای نیز داشته باشید. این بک‌آپ ها زمانی مفید واقع می‌شوند که سرور در معرض خطر قرار گرفته و پایگاه‌داده آن پس از خرابی سخت‌افزاری، نرم‌افزاری یا یک حمله مخرب آسیب می‌بیند یا از بین می‌رود. برای Exchange از بک‌آپ ویندوز سرور یا هر نرم‌افزار Exchange-aware دیگری برای ایجاد بک‌آپ های مبتنی بر VSS استفاده کنید. یکی از راهکارهایی که برای پشتیبان گیری می‌توانید دنبال کنید، قانون ۳-۲-۱ است که در آن سه نسخه از داده‌های شما در دو رسانه مختلف و یک نسخه نیز به صورت امن در محل دیگری خارج از سازمان به منظور Disaster Recovery نگهداری می‌شود.علاوه بر این، شما می توانید یک نرم افزار بازیابی Exchange EDB را نیز داشته باشید زیرا به شما کمک می‌کند در زمانی که نسخه پشتیبان در دسترس نیست، خراب و یا منسوخ شده و یا در زمان ریکاوری با خطا مواجه می‌شود، Mailboxها را از پایگاه داده آسیب دیده بازیابی کند.

https://www.spiceworks.com/it-security/vulnerability-management/guest-article/best-security-practices-exchange-admins-need-to-understand/