- عنوان کتاب: Learning Ransomware Response & Recovery -Stopping Ransomware One Restore at a Time
- نویسنده: Preston W. Curtis, Saylor Michael
- حوزه: باجافزار
- سال انتشار: 2026
- تعداد صفحه: 522
- زبان اصلی: انگلیسی
- نوع فایل: pdf
- حجم فایل: 10.6 مگابایت
درست روزی که من (کرتیس) ویرایش نهایی این کتاب را برای تحویل به ویراستار فوقالعادهام، سارا، تمام کردم، دنیای فناوری از هم پاشید و فکر کردم شروع این کتاب میتواند داستان فوقالعادهای باشد. اگرچه به نظر نمیرسد مربوط به باجافزار باشد، اما نشان میدهد که چقدر روی فناوری حساب کردهایم و چگونه کسبوکارها نمیدانند وقتی فناوریای که روی آن حساب میکنند کار نمیکند، چه باید بکنند. اولین چیزی که دخترم، ماریسا، در 20 اکتبر 2025 متوجه شد این بود که نتفلیکس کار نمیکند. ماریسا، همسرش هانتر، و نوهام لیلی نشستند تا با هم چیزی تماشا کنند، اما پخش نشد. آنها با خودشان فکر کردند: «عجیبه». او برای کار به یک کلینیک رفت و برخی از بیمارانش که به من میگویند «متخصصان فناوری» هستند، به او گفتند که قطعی برق زیادی وجود دارد. او با خودش فکر کرد: «خب، این هیچ ربطی به من ندارد.» اما بعداً متوجه شد که نمیتواند به برخی از سوابق بیمارش دسترسی پیدا کند. او مجبور شد برای سوابق به کاغذ و قلم متوسل شود. او با خودش فکر کرد: «این خیلی آزاردهنده است.» بعد متوجه شد که بیمارانش نمیتوانند از برخی از سرویسهای پخش آنلاین خود استفاده کنند. عجیب است. وقتی به خانه رسید، فهمید که لیلی نمیتواند تکالیف کلاس آنلاین خود را انجام دهد. چه اتفاقی دارد میافتد؟ او به من گفت که آخرین مشکل زمانی بود که نمیتوانست چراغهای اتاق خوابش را روشن کند. ظاهراً او با اتصال چراغها به – همانطور که حدس زدید – الکسا، مشکلی را حل کرد. و الکسا از کار افتاده بود. در همان روز، یکی از دوستانم در بیمارستانی بود که کاملاً آفلاین بود و رستورانی که من مرتباً به آن سر میزنم (Hello, Beach Break Cafe در Oceanside!) نیز با مشکلاتی مواجه شد. سیستم POS آنها کار میکرد، اما آنها نمیتوانستند انعام را وارد کنند. همه اینها به این دلیل بود که DNS در DynamoDB در منطقه US-East-1 AWS کار نمیکرد. فشاری را که آن افراد در آن روز متحمل شدند تصور کنید و تصمیم بگیرید که حداقل برای زمانی که این اتفاق به دلیل باجافزار برای شما میافتد، برنامهای داشته باشید. ایده اولیه این کتاب را تقریباً سه سال پیش برای اوریلی فرستادم، وقتی دیدم در محل کارم چه اتفاقی دارد میافتد. من برای Druva، یک ارائهدهنده پشتیبانگیری و بازیابی اطلاعات مبتنی بر SaaS، کار میکردم و هر دوشنبه صبح، فعالیت بازیابی هفته قبل را بررسی میکردیم. این نوع جلسات باید روتین و خستهکننده باشد. اما اینطور نبود. هفته به هفته، شاهد افزایش تعداد بازیابیهای باجافزاری بودم. نه از آن بازیابیهای معمولی که مدام تکرار میکردند «وای، من یک فایل را حذف کردم». این مشتریان بهطور کامل توسط باجافزاری رمزگذاری شده بودند و مجبور بودند همه چیز را بازیابی کنند. خوشبختانه، آنها همیشه میتوانستند دادههای خود را بازیابی کنند، اما تعداد بازیابیها از یک یا دو مورد در ماه به دو یا سه مورد بازیابی باجافزاری در هفته رسید! اینها مشتریان ما بودند. آنها خوششانس بودند زیرا Druva بهطور پیشفرض پشتیبانهای شما را به روشی که در فصل 6 توصیه میکنم (مثلاً اعتبارنامههای جداگانه، کپی جدا از شبکه، ذخیرهسازی تغییرناپذیر) ایمن میکند. اما حتی در آن زمان، ما شروع به دیدن چیزی کردیم که خونم را به جوش آورد: عاملان تهدید باهوشتر میشدند. آنها به وضوح دادههای پشتیبان را هدف قرار میدادند. چیزی که قبلاً برای مهاجمان یک فکر ثانویه بود، به هدف شماره یک تبدیل شده بود. هرگز یکی از مشتریانم را فراموش نمیکنم که مهاجمان سعی در حذف نسخههای پشتیبان او داشتند. شواهد زیادی از این تلاشها وجود داشت و خوشبختانه همه آنها متوقف شده بودند. اما نمیتوانستم از این فکر دست بردارم که اگر موفق میشدند، چه؟ آن زمان بود که محافظت از نسخههای پشتیبان مشتریانمان در برابر باجافزار را اولویت شماره یک خود قرار دادم. به پلتفرمهای جدید یا ویژگیهای اضافی اهمیتی نمیدادم. فقط میخواستم نسخههای پشتیبان مشتریانمان را تا حد امکان ایمن کنم. (خبر خوب این است که من تنها نبودم؛ فقط این امکان را داشتم که به تنهایی روی این موضوع تمرکز کنم.) و داستانهای بیرون از درووا هم همینطور ادامه داشت. من در مورد حملههای زیادی خوانده بودم که موضوع مشترک آنها همیشه یکسان بود: “نسخههای پشتیبان قبل از حمله رمزگذاری یا حذف شده بودند.” نمیتوانم بگویم که خواندن این حرف چقدر قلبم را به درد آورد. اما چیزی که واقعاً مرا به خود جلب کرد این بود: حدود ۹۰٪ از این حملات را میشد از همان ابتدا متوقف کرد. نه با یک پلتفرم امنیتی میلیون دلاری. نه با لشکری از تحلیلگران SOC. فقط با رعایت اصول اولیه بهداشت سایبری که هر فرد متخصص در حوزه فناوری اطلاعات از قبل میداند که باید انجام دهد.
On the very day I (Curtis) finished my final edit of this book to hand over to my amazing editor, Sara, the tech world fell apart, and I thought it would make a great story to open this book. While it doesn’t appear to be ransomware related, it does show just how much we have all come to count on technology and how businesses don’t know what to do when the tech they count on simply doesn’t work. The first thing my daughter, Marissa, noticed on October 20, 2025, was that Netflix wasn’t working. Marissa, her husband Hunter, and my granddaughter Lily sat down to watch something together, and it just wouldn’t play. “That’s odd,” they thought. She went to work at a clinic, and some of her patients that she tells me are “tech people” told her there was a big outage. She thought, “Well, that has nothing to do with me.” But later she noticed that she couldn’t access some of her patient records. She had to resort to paper and pen for records. “That’s super annoying,” she thought. Then she noticed that her patients couldn’t use some of their streaming services. Weird. When she got home, she found out that Lily couldn’t do her online classwork. What is happening? The final straw, she told me, was when she couldn’t turn on her bedroom lights. Apparently, she solved a problem by hooking them up to—you guessed it—Alexa. And Alexa was down. On the same day, a friend of mine was in a hospital that was completely offline, and a restaurant that I’m a regular at (Hello, Beach Break Cafe in Oceanside!) had issues as well. Their POS system worked, but they couldn’t enter tips. All of this because DNS wasn’t working on DynamoDB in the US-East-1 region of AWS. Imagine the pressure those folks were under that day and resolve to at least have a plan for when this happens to you because of ransomware. I sent the initial idea for this book to O’Reilly almost three years ago, when I saw what was happening where I worked at the time. I was working for Druva, a SaaS-based backup and disaster recovery provider, and every Monday morning, we’d review the previous week’s restore activity. It’s the kind of meeting that should be routine and boring. Except it wasn’t. Week after week, I watched the ransomware restore numbers climb. Not the normal “Oops, I deleted a file” restores. These customers had been fully encrypted by ransomware and had to restore everything. Thankfully, they were always able to recover their data, but the numbers went from one or two a month to two or three ransomware restores a week! These were our customers. They were the lucky ones because Druva by default secures your backups the way I recommend in Chapter 6 (e.g., separate credentials, air-gapped copy, immutable storage). But even then, we started seeing something that made my blood run cold: threat actors were getting smarter. They were clearly targeting the backup data. What used to be an afterthought for attackers had become target number one. I’ll never forget one customer whose attackers attempted to delete their backups. There was plenty of evidence of the attempts, and thankfully they had all been stopped. But I just couldn’t help wondering, what if they had succeeded? That’s when I started making protecting our customers’ backups against ransomware my number one priority. I didn’t care about new platforms or additional features. I just wanted to make our customers’ backups as secure as possible. (The good news is I wasn’t alone; it’s just that I had the luxury of being singularly focused on this.) And the stories outside Druva kept coming as well. I’d read about attack after attack where the common thread was always the same: “Backups were encrypted or deleted prior to the attack.” I can’t tell you how much it hurts my heart to read that. But here’s what really got me: about 90% of these attacks could have been stopped at the very beginning. Not with some million-dollar security platform. Not with an army of SOC analysts. Just by following basic cyber hygiene practices that every IT person already knows they should be doing.
این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:
Download: Learning Ransomware Response & Recovery
نظرات کاربران