کتاب Learning Ransomware Response & Recovery

کتاب Learning Ransomware Response & Recovery: Stopping Ransomware One Restore at a Time (آموزش پاسخگویی و بازیابی از حملات باج‌افزاری: متوقف کردن باج‌افزار، یک بازیابی در هر مرحله) راهنمای عملی و جامع برای مقابله با تهدید روزافزون باج‌افزار (ransomware) است. کتاب Learning Ransomware Response & Recovery برخلاف بسیاری از منابع که فقط بر پیشگیری تمرکز دارند، فرض را بر این می‌گذارد که حمله باج‌افزاری اجتناب‌ناپذیر است و به همین دلیل بر پاسخگویی سریع، مهار آسیب، تحلیل forensic و مهم‌تر از همه بازیابی بدون پرداخت باج تأکید دارد.

در ادامه مقدمه‌ای از کتاب Learning Ransomware Response & Recovery را از زبان نویسنده شرح خواهیم داد.

مقدمه‌ای بر کتاب Learning Ransomware Response & Recovery:

در همان روزی که من (کرتیس) ویرایش نهایی کتاب Learning Ransomware Response & Recovery را تمام کردم و آن را به ویراستار فوق‌العاده‌ام، سارا، تحویل دادم، دنیای فناوری از هم پاشید و فکر کردم این می‌تواند داستان خوبی برای شروع کتاب Learning Ransomware Response & Recovery باشد. اگرچه به نظر نمی‌رسد مستقیماً به باج‌افزار مربوط باشد، اما نشان می‌دهد که ما چقدر به فناوری وابسته شده‌ایم و کسب‌وکارها وقتی فناوری‌ای که به آن تکیه دارند ناگهان از کار می‌افتد، واقعاً نمی‌دانند چه باید بکنند.

اولین چیزی که دخترم ماریسا در ۲۰ اکتبر ۲۰۲۵ متوجه شد این بود که نتفلیکس کار نمی‌کند. ماریسا، همسرش هانتر و نوه‌ام لیلی نشستند تا با هم چیزی تماشا کنند، اما هیچ‌چیز پخش نمی‌شد. با خودشان گفتند: «عجیبه».

ماریسا به کلینیک رفت و برخی از بیمارانی که به من می‌گوید «آدم‌های فنی» هستند، به او گفتند که یک قطعی بزرگ رخ داده است. او فکر کرد: «خب، این به من ربطی ندارد.» اما کمی بعد متوجه شد که نمی‌تواند به برخی از پرونده‌های بیماران دسترسی پیدا کند. مجبور شد به کاغذ و قلم برگردد. با خودش گفت: «این خیلی آزاردهنده است.»

بعد دید که بیمارانش هم نمی‌توانند از برخی سرویس‌های استریمینگ استفاده کنند. عجیب بود. وقتی به خانه برگشت، متوجه شد که لیلی نمی‌تواند تکالیف آنلاین کلاسش را انجام دهد. چه اتفاقی در حال رخ دادن است؟

آخرین قطره که باعث شد به من بگوید، وقتی بود که نتوانست چراغ‌های اتاق خوابش را روشن کند. ظاهراً او این مشکل را با اتصال چراغ‌ها به — حدس زدید — الکسا حل کرده بود. و الکسا هم از کار افتاده بود.

در همان روز، یکی از دوستانم در بیمارستانی بود که کاملاً آفلاین شده بود و رستورانی که مشتری ثابتش هستم (سلام، Beach Break Cafe در Oceanside!) هم مشکل داشت. سیستم POS آنها کار می‌کرد، اما نمی‌توانستند انعام را وارد کنند.

همه این‌ها فقط به این دلیل بود که DNS روی DynamoDB در منطقه US-East-1 سرویس AWS کار نمی‌کرد. تصور کنید چه فشاری آن روز روی آن افراد بود و تصمیم بگیرید که حداقل برای وقتی که این اتفاق برای شما به خاطر باج‌افزار بیفتد، برنامه‌ای داشته باشید.

چرا کتاب Learning Ransomware Response & Recovery را نوشتم:

ایده اولیه کتاب Learning Ransomware Response & Recovery را تقریباً سه سال پیش برای O’Reilly فرستادم، زمانی که آنچه در محل کارم در آن زمان رخ می‌داد را دیدم. من در Druva کار می‌کردم، یک ارائه‌دهنده پشتیبان و بازیابی فاجعه مبتنی بر SaaS، و هر دوشنبه صبح، فعالیت‌های بازیابی هفته قبل را مرور می‌کردیم. این جلساتی بودند که باید روتین و خسته‌کننده می‌بودند. اما نبودند.

هفته پس از هفته، شاهد افزایش تعداد بازیابی‌های مرتبط با باج‌افزار بودم. نه بازیابی‌های معمولی «اوه، یک فایل را اشتباهی حذف کردم»، بلکه مشتریانی که کاملاً توسط باج‌افزار رمزنگاری شده بودند و مجبور بودند همه چیز را بازیابی کنند. خوشبختانه همیشه می‌توانستند داده‌هایشان را بازیابی کنند، اما تعداد از یکی دو مورد در ماه به دو سه مورد بازیابی باج‌افزاری در هفته رسید!

این‌ها مشتریان ما بودند. آنها خوش‌شانس بودند چون Druva به‌صورت پیش‌فرض پشتیبان‌ها را همان‌طور که در فصل ۶ کتاب Learning Ransomware Response & Recovery توصیه می‌کنم ایمن می‌کند (مثلاً اعتبارهای جداگانه، کپی air-gapped، ذخیره‌سازی immutable). اما حتی با این حال، چیزی شروع به دیدن کردم که خون در رگ‌هایم یخ زد: عاملان تهدید باهوش‌تر شده بودند. آنها به وضوح داده‌های پشتیبان را هدف قرار می‌دادند. چیزی که قبلاً برای مهاجمان اهمیتی نداشت، حالا هدف شماره یک شده بود.

هرگز فراموش نمی‌کنم یکی از مشتریانی که مهاجمان سعی کردند پشتیبان‌هایش را حذف کنند. شواهد زیادی از این تلاش‌ها وجود داشت و خوشبختانه همه متوقف شده بودند. اما نمی‌توانستم از خودم بپرسم: اگر موفق می‌شدند چه می‌شد؟

همان موقع بود که حفاظت از پشتیبان‌های مشتریان در برابر باج‌افزار را اولویت شماره یک خودم قرار دادم. دیگر برایم پلتفرم‌های جدید یا ویژگی‌های اضافی مهم نبود. فقط می‌خواستم پشتیبان‌های مشتریانمان تا حد ممکن ایمن باشند. (خبر خوب این است که تنها نبودم؛ فقط من این مزیت را داشتم که به‌طور کامل روی این موضوع متمرکز باشم.)

و داستان‌ها از بیرون Druva هم ادامه داشت. هر بار که درباره حمله‌ای می‌خواندم، یک نخ مشترک همیشه وجود داشت: «پشتیبان‌ها قبل از حمله رمزنگاری یا حذف شده بودند.» نمی‌توانم بگویم چقدر خواندن این جمله قلبم را به درد می‌آورد.

اما چیزی که واقعاً مرا به هم ریخت این بود: حدود ۹۰ درصد این حملات می‌توانستند از همان ابتدا متوقف شوند. نه با یک پلتفرم امنیتی چند میلیون دلاری. نه با ارتش تحلیلگران SOC. فقط با رعایت اصول اولیه بهداشت سایبری که هر متخصص IT می‌داند باید انجام دهد.

بنابراین می‌خواستم کتابی بنویسم که تمام سر و صداها را کنار بزند و بگوید:

• رمزهای عبور منحصربه‌فرد و مناسب برای همه چیز داشته باشید
• احراز هویت چندعاملی (MFA) را روی هر چیزی که مهم است فعال کنید
• سیستم‌هایتان را به‌طور منظم پچ کنید و پچ‌های بحرانی را رصد کنید
• یک کپی از پشتیبان‌هایتان را خارج از سایت (احتمالاً در ابر) نگه دارید
• یک کپی از پشتیبان‌هایتان را روی ذخیره‌سازی واقعاً immutable قرار دهید (تا حتی خودتان هم نتوانید آن را حذف کنید)

همین. اگر همه فقط این پنج کار را انجام دهند، شاهد کاهش چشمگیر حملات موفق باج‌افزاری خواهیم بود. و برای حملاتی که همچنان نفوذ می‌کنند؟ حداقل یک کپی از داده‌هایتان خواهید داشت که نه حذف شده و نه رمزنگاری شده است. فرآیند بازیابی ممکن است زمان‌بر باشد، اما حداقل ممکن خواهد بود.

حالا که دارم کتاب Learning Ransomware Response & Recovery را تمام می‌کنم، همه این‌ها هنوز هم درست است. و باور دارم همیشه درست خواهد بود.

و جدی می‌گویم — اگر هیچ‌کدام از موارد بالا را انجام نمی‌دهید، همین حالا کتاب Learning Ransomware Response & Recovery را زمین بگذارید و بروید آن‌ها را درست کنید. بقیه بحث‌هایی که در کتاب Learning Ransomware Response & Recovery داریم اگر اصول اولیه را انجام ندهید، چندان فایده‌ای ندارد.

رویکرد متفاوت کتاب Learning Ransomware Response & Recovery

بیشتر کتاب‌های باج‌افزار روی پیشگیری تمرکز دارند — تلاش برای اینکه اصلاً به آن مبتلا نشوید. تعداد کمی هم نحوه پاسخ به حمله را پوشش می‌دهند. اما من هیچ کتابی پیدا نکردم که به‌طور اختصاصی به آماده‌سازی شما برای پاسخ و بازیابی از حمله پرداخته باشد. بنابراین تصمیم گرفتم خودم کتاب Learning Ransomware Response & Recovery را بنویسم.

احتمالاً در آینده به باج‌افزار مبتلا خواهید شد. پس بیایید این واقعیت را بپذیریم و یاد بگیریم چگونه:

• آسیب ناشی از یک حمله را به حداقل برسانیم
• آن را زودتر تشخیص دهیم
• سیستم پشتیبان خود را تقویت کنیم تا آن هم از بین نرود
• یک برنامه پاسخ به حادثه (IRP) و تیم پاسخ به حادثه (IRT) بسازیم
• حافظه عضلانی برای واکنش در بدترین شرایط ایجاد کنیم
• بدانیم چه زمانی باید متخصصان حرفه‌ای را خبر کنیم

آوردن نیروی کمکی

ابتدا فکر می‌کردم مثل همه کتاب‌های قبلی‌ام، کتاب Learning Ransomware Response & Recovery را هم به‌تنهایی بنویسم. اما در مسیر متوجه شدم که خوانندگان خیلی بیشتر از کسی که دانش عمیق در حوزه امنیت سایبری دارد سود خواهند برد. به همین دلیل برای اولین بار تصمیم گرفتم یک نویسنده مشترک بیاورم — و بهترین فرد ممکن را پیدا کردم.

علاوه بر اینکه ارتباط‌دهنده و نویسنده فوق‌العاده‌ای است، دکتر مایک سیلور یک جنگجوی واقعی در میدان است. او یک ارائه‌دهنده خدمات مدیریت امنیت (MSSP) به نام Blackswan Cybersecurity را اداره می‌کند و آنها همان کسانی هستند که در بدترین روزتان به آنها زنگ می‌زنید. آنها تیم آبی هستند — همان کسانی که قبل و در حین حمله می‌خواهید در کنار خود داشته باشید.

او را در پادکست The Backup Wrap-Up داشتیم و مشخص بود که کاملاً می‌داند درباره چه صحبت می‌کند. از او پرسیدم آیا علاقه‌مند است و او با اشتیاق پذیرفت. او به اندازه من که به پشتیبان و بازیابی متعهدم، به امنیت سایبری متعهد است.

او بخش‌های سنگین امنیتی را نوشت، من بخش‌های سنگین پشتیبان را نوشتم، و بعد هر کدام کار دیگری را مرور کردیم. نتیجه یک کتاب بسیار محکم است که هیچ‌کدام از ما به‌تنهایی نمی‌توانستیم بنویسیم و تنها کتابی از این نوع است.

حالا می‌روم که قدردانی‌هایم را بنویسم، پس دیگر درباره مایک صحبت نمی‌کنم.

داستان مایک

من حدود ۳۰ سال در حوزه IT و امنیت سایبری بوده‌ام؛ از تکنسین ساخت PC و میز کمک تا حسابرس IT، مدیر امنیت سایبری و CISO، و همزمان از سال ۱۹۹۹ در کالج‌ها و دانشگاه‌ها امنیت سایبری و علوم کامپیوتر تدریس کرده‌ام. در ۱۵ سال گذشته، تیم‌های پاسخ به حادثه (IRT) را رهبری کرده‌ام و تحقیقات forensic دیجیتال را برای مشتریان در بدترین روزشان انجام داده‌ام. تقریباً با هر نهاد اجرای قانون در تعقیب مجرمان سایبری همکاری کرده‌ام و در سه ویرایش کتابی درباره جرایم سایبری و تروریسم سایبری با باب تیلور مشارکت داشته‌ام.

دیدگاه‌ها و تجربیاتی که از این نقش‌ها و حوادث به دست آورده‌ام، بدون شک محتوای کتاب Learning Ransomware Response & Recovery را شکل داده‌اند. از چیزهایی که امروز باید برای آمادگی در برابر حادثه اجتناب‌ناپذیر در نظر بگیرید، تا توصیف‌ها و داستان‌های واقعی از آنچه وقتی اتفاق می‌افتد باید انتظار داشته باشید — این‌ها نظری/مفهومی نیستند؛ واقعیاتی هستند که باید هرچه سریع‌تر برای سازمان خودتان تطبیق دهید.

ساختار کتاب Learning Ransomware Response & Recovery:

کتاب Learning Ransomware Response & Recovery از چارچوب امنیت سایبری ۲.۰ مؤسسه ملی استاندارد و فناوری (NIST) پیروی می‌کند که امنیت سایبری را به پنج عملکرد عملی تقسیم می‌کند و چرخه دفاعی کامل را تشکیل می‌دهد:

شناسایی (فصل‌های ۱–۲) درک کنید با چه چیزی روبه‌رو هستید و کدام دارایی‌ها در معرض بیشترین خطرند. نکته مهم: سیستم پشتیبان شما حالا هدف اصلی باج‌افزار است.

حفاظت (فصل‌های ۳–۷) دفاع‌های لایه‌لایه بسازید قبل از اینکه حمله رخ دهد. اصول پشتیبان‌گیری، بهداشت سایبری پایه که ۹۰٪ حملات را متوقف می‌کند، محدود کردن شعاع انفجار، تقویت سیستم پشتیبان و برنامه‌ریزی پاسخ به حادثه را پوشش می‌دهیم.

تشخیص (فصل ۸) باج‌افزار را زود تشخیص دهید با استفاده از EDR، SIEM و نظارت بر پشتیبان تا در عرض چند ساعت بفهمید، نه چند ماه.

پاسخ (فصل‌های ۹–۱۴) در بحران بجنگید وقتی باج‌افزار حمله می‌کند. از ۱۲ ساعت اول پرآشوب تا مهار، تحلیل forensic و نابودی دائمی.

بازیابی (فصل‌های ۱۵–۱۶) عملیات را به‌طور روشمند بدون عفونت مجدد بازیابی کنید، سپس تحلیل پس از حادثه انجام دهید تا قوی‌تر از قبل برگردید.

هر بخش روی بخش قبلی بنا می‌شود و یک playbook کامل برای دفاع و بازیابی در برابر باج‌افزار ایجاد می‌کند.

سرفصل‌های کتاب Learning Ransomware Response & Recovery:

• Preface
• Part I. Identify Understanding the Threat Landscape and Your Critical Assets
  • Chapter 1. What Is Ransomware
  • Chapter 2. Your Backup System Is Under Attack
• Part II. Protect Building Your Defenses Before the Attack
  • Chapter 3. Backup and Recovery Basics
  • Chapter 4. Stop Most Ransomware
  • Chapter 5. Minimize the Blast Radius
  • Chapter 6. Get Ready for Battle
  • Chapter 7. Make Your Incident Response Plan
• Part III. Detect Spotting Ransomware Before It’s Too Late
  • Chapter 8. Detection Tools
• Part IV. Respond Fighting Through the Crisis When Ransomware Strikes
  • Chapter 9. The First 12 Hours
  • Chapter 10. The Marathon
  • Chapter 11. Analyzing the Breach
  • Chapter 12. Advanced Analysis and Forensics
  • Chapter 13. Contain the Attack
  • Chapter 14. Eradicate the Threat
• Part V. Recover Rising from the Ashes Stronger Than Before
  • Chapter 15. Restore and Recover
  • Chapter 16. Post-Mortem Analysis
• Index
• About the Authors
• Colophon

جهت دانلود کتاب Learning Ransomware Response & Recovery می‌توانید پس از پرداخت، دریافت کنید.