نوشته‌ها

چشم انداز تهدیدات سایبری

امروزه به هم پیوستگی زیرساخت های دیجیتالی نهادهای مختلف از قبیل سازمان ها، کسب و کارها، دولت ها، افراد و … باعث شده است که این فضا با چالشی جهانی از سوی حملات سایبری روبرو شود. دامنه و گستردگی این حملات که از یک بدافزار ساده گرفته تا حملات مداوم پیشرفته و هدفمند به گونه ای است که اطلاعات حساس افراد و زیرساخت های حیاتی سازمان ها و کشورها را با تهدید جدی مواجه کرده است. به علت همبستگی بین نهادها و موجودیت های مختلف در جهان این تهدیدات به طور قراردادی و تکنیکی به عنوان”تهدیدات سایبری جهانی” شناخته می شوند. این تهدیدات دامنه وسیعی از جرایم سایبری را در برمی گیرد و همواره خسارات جدی را به سازمان ها و افراد وارد می کند. تهدیدات در بیشتر مواقع به طور ذاتی مخرب و تهاجمی است. قربانیان ممکن است دارایی های  فکری و مالکیت معنوی خود را از دست بدهند یا حساب های بانکی آنها افشا شود، یا به طور ناخواسته باعث انتشار ویروس به رایانه های دیگر شبکه شوند. در سطح بالاتر هکرها اطلاعات محرمانه کسب وکارها را بدست آورده و حتی زیرساخت های حیاتی کشورها را تهدید و از کار می اندازند.

روش های متداول حمله

در زیر فهرست و خلاصه ای از روش های حمله سایبری ارائه شده است که در سال های اخیر متدوال و فراگیر شده و به طور حتمی این تهدیدات برای سازمان هایی که در بخش های مختلف نظامی، دولتی، عمومی و خصوصی فعالیت می کنند، قابل وقوع است.

الف- تهدید مداوم پیشرفته (Advanced Persistent Threat)

تهدید مداوم پیشرفته که به اختصار APT نامیده می شود، شامل تلاش های پیچیده تر و متمرکزی است که بوسیله گروهی از هکرهای هماهنگ اجرا می شود و بر روی هدف واحدی تمرکز دارند. هدف آن نفوذ به سامانه های حساس، تا حد امکان غیرقابل کشف بودن برای مدت طولانی و پایین ترین سطح از ردیابی موفق است. بدین منظور APT ها به یک رویکرد مطلوب برای سازمان هایی تبدیل شده است که به دنبال اجرای جاسوسی هوشمند و هماهنگ سایبری هستند. حملات APT عموما برای کسب اطلاعات حساس و طبقه بندی شده از شرکت ها و سازمان های صاحب تکنولوژی و مهم که دارایی های اطلاعاتی ارزشمندی دارند، صورت می گیرد.

به منظور مقابله با این حملات باید دانست که یک فناوری یا فرآیند واحد نمی تواند آن را متوقف کند و روش های امنیتی سنتی نیز توان مقابله با آنها را نیز ندارد.

این در حالی است که بسیاری از سازمان ها نسبت به این تهدید آسیب پذیرند زیرا آنها در گذشته نتوانسته اند به میزان کافی در خصوص امنیت سرمایه گذاری نمایند و امنیت موجود قدرت دفاعی کافی و مناسب را ندارد. لذا روش های جدید و مراقبتی بالاتری نیاز است.

به منظور دفاع در مقابل APT لایه های دفاعی مختلف، دانشی از تهدید، مهارت های پیشرفته برای کشف و واکنش در مقابل آن نیاز است. بدین منظور روش های دفاعی سایبری جدید از جمله مانیتورینگ پایدار مداوم (Continuous Persistent Monitoring) پدید آمدند. در اجرای این روش، سامانه های مانیتورینگ کارا و اثربخش در هسته دفاع سایبری قرار دارد.

ب- انکار سرویس توزیع شده (Distributed Denial of Service)

حملات انکار سرویس توزیع شده یا به اختصار DDoS، حملاتی است که شامل حجم انبوهی از بسته های شبکه با مقدار داده ای بالا بوده و منظور از آن از کار انداختن خدمات ارائه شده توسط سیستم هدف است. در این حمله، از کار افتادن سرویس بیش از سرقت اطلاعات مدنظر است. اگرچه این حمله نسبت به سایر حملات از چالش های تکنیکی کمتری برخوردار است اما نمی توان اثربخشی آن را در ضرر و زیان رساندن دست کم گرفت. این حمله باعث می شود که درخواست های مشروع و مجاز از دست برود یا حداقل، خدمات بسیار آهسته و کند به درخواست کننده برسد.

به عنوان نمونه یک حمله DDoS موفق دسترسی به اینترنت را قطع می کند اما تاثیری بر روی سیستم های رایانه ای داخل سازمان ندارد. اگر یک سازمان از بهینه روش های امنیتی پیروی کند، شبکه ها و سامانه های پرداخت مالی و تجاری خود را به سادگی در معرض اینترنت و آسیب پذیر رها نمی کند.

براساس آمار منتشره موسسه Verizon حملات DDoS از سال ۲۰۱۰ تا ۲۰۱۴ به طور چشم گیری رشد داشته است.

به منظور مقابله با این حملات باید سرور ها و خدمات را برای افراد و IPهایی که به آن نیاز دارند، فعال و در دسترس قرار داد و فضای IP مشخصی را برای دسترسی به سرورها درنظر گرفت. باید از تیم عملیاتی باتجربه و قوی برای شناسایی و مقابله با این حملات استفاده کرد. داشتن طرح مقابله با DDoS، حسگرهای شناسایی و لینک های موازی بسیار ضروری است. سامانه مانیتورینگ، تشخیص نفوذ و فایروال از جمله سامانه های پرکاربرد در جلوگیری از این تهدید است.

پ- بدافزار چند پلتفرمی (Cross-Platform Malware)

باید بدانیم که بدافزارها فقط به سیستم عامل ویندوز منحصر نمی شود. انگیزه های اقتصادی که امروزه موجب ایجاد بدافزارهای چند پلتفرمی برای جرایم سایبری شده، رو به افزایش است و باعث شده بدافزارها بتوانند روی چندین سیستم عامل مختلف از جمله ویندوز، لینوکس، IOS و… کار کنند. این مساله حملات بدافزارهای چند پلتفرمی را افزایش داده است.

برای مقابله با این حملات استفاده از مکانیزم های مقابله با بدافزارها از جمله آنتی ویروس روی تمامی رایانه ها، ابزارهای دیجیتالی و موبایل و استفاده نکردن از منابع ناامن و کم اعتبار از جمله مشاهده سایت های نامعتبر، غیرفعال کردن java در مرورگرها، بازنکردن ایمیل های ناشناخته، متصل نکردن فلش های با ریسک بالا به رایانه سازمانی بسیار ضروری است.

ت- بدافزار دگرگون شده و چند ریختی (Metamorphic and Polymorphic Malware)

این نوع از بدافزارها دائما درحال تغییر هستند و بنابراین هر نسخه ای از آن با قبلی متفاوت است. بدافزارهای دگرگون شده و چند ریختی یکی از خطرناکترین و بزرگترین تهدیدات برای سازمان ها در جهان محسوب می شوند زیرا به راحتی می توانند مکانیزم های شناسایی و برنامه های آنتی ویروس را فریب دهند و از آنها عبور کنند. شایان ذکر است که نوشتن و تولید بدافزارهای دگرگون شده چندریختی بسیار مشکل و سخت است زیرا نیازمند تکنیک های پیچیده ای مانند تغییر نام، تغییر کد، توسعه کد، کاهش کد و درج کد اضافی و زاید است. این مساله باعث شده که هکرهای کمتری در حوزه پشتیبانی و توسعه این بدافزارها فعالیت کنند.

طبق آمار منتشره توسط موسسه Verizon در سال ۲۰۱۴، ۶۷% از بدافزارها در ساعات اولیه انتشار شناسایی می شوند، ۳۰% از آنها بین چندین روز یا چند هفته ولی ۱۳% پیچیده و خطرناک آن بیش از چندین ماه طول می کشد تا کشف و شناسایی شوند.

مقابله با این کدها بسیار سخت بوده چراکه آنتی ویروس های مبتنی بر امضا در شناسایی آن عاجزند. اما آنتی ویروس های قوی و دارای موتورهای ویروس یابی هوشمند می توانند تا حدودی کمک کننده باشند. استفاده از مرورگرهای به روز، رعایت ملاحظات امنیتی در هنگام استفاده از اینترنت و انتقال فایل ها در جلوگیری از انتشار و آلوده شدن به آن بسیار تاثیرگذار است.

ث- فیشینگ (Phishing)

این روش عموما از طریق ایمیل انجام می شود و ایده ایمیل به این دلیل است که در حقیقت ایمیل یک ابزار ارتباطی غیرانحصاری است به این معنی که بین دو عاملی حتی همدیگر را نمی شناسند و از هویت همدیگر با اطلاع نیستند، می تواند منتقل شود. این در حالی است که افراد عموما انتظار دارند که افرادی با آنها تماس داشته باشند که آنها را می شناسند ولی بیشتر آنها دوست ندارند که ارتباطات خود را فیلتر کنند چرا که ماهیت ذاتی ایمیل از بین می رود.

این مساله باعث می شود که روزنه ای بوجود آید تا هکرها بتوانند از همین خصوصیت غیرانحصاری بودن ارتباطات سوء استفاده کنند. پروتکل ایمیل هیچ عامل مجازشناسی برای آدرس های ارسال کننده را ندارد و همین روزنه به هکرها کمک می کند تا از هر آدرس ایمیلی به قربانیان خود ایمیل ارسال کنند.

اگرچه ابزارهایی مانند پی جی پی (Pretty Good Privacy) جهت رمزنگاری ایمیل یا چارچوب سیاست فرستنده (Sender Policy Framework) به منظور اعتبارسنجی ایمیل، برای مهار این تهدید تلاش می کنند اما اثربخشی لازم به خاطر اضافه شدن مراحل انجام کار و کاهش مقبولیت و سادگی را در بین کاربران عادی ندارد. لذا برای مقابله با این تهدیدات علاوه بر ابزارها و فناوری های شناسایی کننده و مقابله با فیشینگ و هشدار دهنده سایت های جعلی، آموزش و آگاهی افراد، بازنکردن ایمیل های ناشناخته و فریب نخوردن در مقابل مطالب گمراه کننده و وسوسه انگیز و باز نکردن مستقیم سایت هایی که لینک آنها در ایمیل آمده است، می تواند موثر باشد.

مرجع

Mukaram, A. (2014, June 3). Retrieved from Recorded Future: https://www.recordedfuture.com/cyber-threat-landscape-basics