تهدیدات سایبری و پاسخ به آن/ مبارزه با حملات پیشرفته و جاسوسی سایبری
نسبت به تائید صحت هویت جدیت به خرج دهید: . ایجاد هزینه برای اقدامات APT ها. از فناوریهای جدید بهره بگیرید. اطلاعات مربوط به تهدیدات را کنار هم بگذارید
پايگاه خبري تحليلي «پارس»- اشراف-«جیمز اندرو لوئیس» که مدیریت برنامه فناوریهای راهبردی مرکز مطالعات راهبردی و بینالملل را بر عهده دارد، در گزارشی به تشریح روند تکامل تهدیدات سایبری پرداخته و پیشنهادهایی را برای بهبود وضعیت راهبردهای دفاعی مطرح کرده است. به عقیده اندرو لوئیس، تنها راه ارتقا وضعیت کنونی، حرکت به سمت روشهای پویا و استفاده از فناوریهای نوین است.
واضح است که ظهور اینترنت نحوه تعاملات، تجارت و انتشار و تبادل اطلاعات را دگرگون کرده است. از اینترنت میتوان تحت عنوان «موتور خلاقیت» یاد کرد، اما همین موتور میتواند موجب شود تا تهدیدات سایبری با سرعت بیشتر از روشهای دفاع سایبری پیشرفت کنند. از آنجا که تهدیدات سایبری ماهیتی پیچیده و دائماً در حال رشد دارند، شبکههای دفاعی برای آنکه بتوانند همپای آنها رشد کنند، با دشواری مواجه هستند.
طراحی اصلی و اولیه اینترنت بر پایه ارتباطات پایدار و نه امنیت صورت گرفته است. این موضوع همچنان به همین شکل مانده و تغییری در این واقعیت ایجاد نشده است. در نگاهی کلی میتوان گفت اغلب سامانههای متصل به اینترنت، آسیبپذیر بوده، روشهای دفاعی موجود (پدافندهای مبتنی بر ایجاد فهرستهای سیاه بر اساس امضای الکترونیک) تاریخمصرف خود را از دست داده و اکثر راهبردهای امنیت سایبری کنونی ناکافی به نظر میآیند و فاصله میان توان تهاجمی و توان تدافعی رو به روز بیشتر میشود. در حقیقت امنیت نتوانسته همپای تهدیدات رشد کرده و تکامل یابد.
حملاتی که این روزها صورت میگیرد، دقیقاً نظیر کسانی این حملات را ترتیب میدهند، بسیار پیچیده هستند. مجرمین سایبری به طور مداوم بدافزارهای خاص خود را طراحی میکنند تا بر روشهای دفاع سایبری غلبه کنند (طراحی بدافزاری هم که اخیراً به شرکت «تارگت» حمله کرد، طوری بود که بتواند از اعلام خطر اغلب برنامههای آنتیویروس جلوگیری کند). این عملیات «سنجش» که با هدف جلوگیری از شناسایی صورت میگیرد، اقدامی معمول است که به صورت روزمره انجام میشود و ابزارهای انجام این اقدامات به سادگی در بازار سیاه جرائم اینترنتی در دسترس است. در مقابل، اغلب کاربران اینترنت اطلاعات اندکی از موارد امنیتی دارند. عوامل مختلفی نظیر وجود مهاجمین فرصتطلب و با انگیزههای خاص، تمهیدات ضعیف امنیتی، تهدیدات داخلی و ناتوانی دولت و بخش خصوصی در سیاستگذاری و تعریف قوانین مربوط به امنیت سایبری، دستبهدست هم داده تا شبکههای مجازی بسیار آسیبپذیر باشند.
فضای مجازی اکنون به محیطی تبدیل شده که مردم بیش از آنکه از آن برای انتقال اطلاعات استفاده کنند، آن را برای ذخیره موارد باارزش به کار میگیرند و این روندی است که روزبهروز در حال گسترش است. فضای مجازی محیطی است با ارتباطات داخلی به شدت فراگیر که به صورت مداوم در حال تغییر هستند و همین امر دستیابی به برتریهای امنیت ایستا را ناممکن میکند. فضای سایبری فضایی است منبعث از تمام دامنههایی که از آن پشتیبانی میکند، اما در عین حال ویژگیهایی منحصربهفرد دارد که دفاع از آن را دشوار میکند.
* تهدیدات امنیتی فضای سایبری هر روز در حال افزایش است
مهمترین منبع تهدید در فضای مجازی، گروههایی هستند که با در اختیار داشتند منابع مالی، مأموریت یافتهاند تا آنقدر به شبکههای یک شرکت یا دولت حمله کنند که بتوانند به آن نفوذ کرده و به موارد مدنظرشان دست پیدا کنند. به این مهاجمین در اصطلاح «تهدید دائمی پیشرفته» (APT) اطلاق میشود. APT ها معمولاً به خوبی تغذیه مالی شده، عموماً با دولتها ارتباط داشته و ابزارها و مهارتهای پیچیده انجام هک را در اختیار دارند که دائماً هم در حال بهبود هستند. حرفهترین APT ها عموماً در خانههای امن و محلهایی مستقر هستند که خطر بازداشت یا تحت تعقیب قرار گرفتن آنها را تهدید نمیکند. از همه مهمتر، APT راههایی را برای فرار از سامانههای معمول دفاع سایبری مبتنی بر «انطباق الگو» برای شناسایی و سد راه تهدیدات، یافتهاند.
ترکیب ضعف امنیتی شبکهها و خلاقیت و تحرک مهاجمین منجر شده تا حملات سایبری روند رو به رشدی داشته باشند. تنها در چند ماه اخیر، شرکتها و بانکهای بزرگ همگی از حملات سایبری رنج بردهاند (این فقط مواردی است که ما از آن اطلاع داریم). در سال ۲۰۱۲، سامانه «فایر آی» (FireEye) بیش از ۱۲ میلیون ارتباط بین سرورهای فرمان و کنترل و مجموعههای آلوده را رصد کرد. هریک از این ارتباطها نشاندهنده یک نفوذ به شبکه هستند. حملات سایبری همچنین به طور مداوم از لحاظ پیچیدگی هم در حال رشد هستند. مهاجمین اکنون از حملات چندمرحلهای استفاده میکنند که گاهی تا چند ماه به طول میانجامد یا اینکه از الگوهای تازهای برای حمله استفاده میکنند (مثلاً بدافزار را در یک سایت پرطرفدار که کاربران شرکت هدف احتمالاً از آن استفاده میکنند، قرار میدهند). روزانه ۹ هزار سایت جدید برای به دام انداختن کاربران ناآگاه ایجاد میشود.
حمله به شرکت «تارگت» نمونه خوبی است که پیچیدگی حملات سایبری را روشن میکند. در این حمله، مهاجمین توانستند با استفاده از یک نقطه ضعف در شبکه خود «تارگت»، بدافزاری را در آن جایگذاری کنند. این بدافزار از طریق همین شبکه منتشر شد و به پایانههای فروش که مشتریان در سرتاسر کشور در آنها از کارتهای اعتباری خود استفاده میکردند، رسید. استفاده از پایانههای فروش موجب شد تا بدافزار بتواند سامانههای دفاعی و کنترلهای داخلی شبکه «تارگت» را دور بزند. با وجود آنکه اطلاعات کارتهای اعتباری بعد از کشیده شدن رمزگذاری میشوند، اما این بدافزار طوری طراحی شده بود که اطلاعات را در مرحله بین کشیده شدن کارت و رمزگذاری ثبت کرده و برای مهاجمین ارسال میکرد. مهارت ترکیبی برنامهنویسی و اطلاع مهاجمین از روند عملیات تجاری موجب شد تا این برنامه بتواند بر شبکههای دفاعی مناسب این شرکت، غلبه کند.
APT ها همچنین میتوانند متخصص حملات موسوم به «روز صفر» باشند که در آن از نقاط ضعفی استفاده میشود که سامانههای دفاعی از آنها بیاطلاع بوده و برای مقابله با حملات از این نقاط، آمادگی ندارند. حملات «روز صفر» اکنون بازار بسیار پررونقی دارد، به طوری که محققین بسیاری از کشورها نقاط آسیبپذیر را شناسایی کرده و اطلاعات مربوط به آنها را به مجرمین سایبری، دولتها یا حتی شرکتهای تولیدکننده نرمافزار، برای فروش عرضه میکنند. ابزارهای حملات روز صفر در دسترس بوده و به APT ها اجازه میدهند تا با استفاده از ابزارهای نرمافزاری جدید و غیرقابلشناسایی به حافظه و IP های یک شبکه دستبرد زده یا آن شبکه را مختل کنند.
استخراج IP در شبکهها همچنان اصلیترین هدفی است که APT ها دنبال میکنند و مهاجمین این گروهها تقریباً شرکتهای هیچ صنعتی را از گزند حملات خود بینصیب نگذاشتهاند. برخی حملات حتی تا سه سال هم به طول میانجامد و مهاجمین در تمام این مدت تمام اطلاعات ارزشمند را استخراج میکنند. برخی دیگر از حملات بیشتر شبه به «قاپزنی» هستند، که مهاجمین در عرض تنها چند دقیقه اطلاعات باارزش را به دست میآورند.
APT ها از اطلاعات یک کارخانه برای ضربه زدن به همان مجموعه بهره میگیرند. به عنوان مثال، یکی از گروههای مجرم سایبری توانست به لیست بازرسی از شرکتهای فعال در صنعت کارتهای اعتباری دسترسی پیدا کند، که مشخص میکرد وضعیت امنیتی شرکتهای مختلف از لحاظ امنیت مبادلات کارتهای اعتباری در چه سطحی است. این فهرستهای بازرسی، نقاط ضعف سامانههای دفاعی شرکتهای مختلف را مشخص کرده بود که هکرها از آنها برای افزایش کارایی و بهبود حملات خود از آنها استفاده میکنند.
این حملات که از آنها تحت عنوان حملات «بالادستی» یاد میشود، هر روز در حال فراگیرتر شدن هستند. در این حملات، هکرها به سراغ شرکتهایی میروند که دیگر شرکتها محصولات آنها نظیر «لایه سوکت امن» (SSL) به منظور امن کردن مبادلات استفاده میشود، را برای افزایش امنیت شبکههای خود به کار میگیرند. آنها سپس با استفاده از فناوریای که به آن دستبرد زدهاند، به دهها یا گاها صدها شرکت یا کاربری که از آن فناوری استفاده میکنند، هجوم میبرند. گویی به یک کلیدسازی دستبرد زده و سپس با استفاده از شاهکلید ربودهشده، قفل صدها در را باز کنند. یکی از معروفترین این حملات، حمله به شرکت «آر. اس.ای»، تولیدکننده بزرگ نرمافزارهای رمزنگار، است. در این حمله، «آر. اس.ای» خود هدف اصلی نبود، بلکه مهاجمین APT به این شرکت نفوذ کردند تا به فناوری تائید هویتی که در مؤسسات مالی، شرکتهای دفاعی و دیگر فعالیتهای مهم از آن استفاده میشد، دست یابند. در حملات بالادستی، استفاده هکرها از شناسه دیجیتالی که با شناسه محصول اصلی غیرقابل تمیز است، موجب میشود تا امنیت به کلی از بین برود.
دیگر روش حملات سایبری، روش موسوم به «فیشینگ هدفمند» است. در این روش از ایمیلهای آلوده به بدافزار برای فریب کاربران و نفوذ به سامانههای آنها استفاده میشود. ایمیلها معمولاً به نظر قابلاعتماد میرسند و عموماً ویدئو یا یک فایل اکسل نیز به آن ضمیمه شده است. به محض آنکه کاربر برای دریافت فایل ضمیمه روی آن کلیک کند، بدافزار دانلود شده و وارد شبکه میشود. در یکی از موارد موفق حملات «فیشینگ»، برای مدیران یک نهاد ایمیلهایی تحت عنوان وسوسهبرانگیز «لیست پاداشهای سال آینده» ارسال شد.
در یک مورد دیگر، باز کردن یک فایل ویدئویی با پسوند «.mpeg» که به ایمیل ضمیمه شده بود، باعث میشد تا نرمافزار موسوم به «key logger» روی دستگاهها کپی شود که قادر بود تکتک کلیدهایی را که کاربر روی کیبورد میفشارد، را ثبت کرده و برای مهاجمین بفرستد. هکرها با استفاده از همین اطلاعات به شناسه هویتیای که کاربران از آن برای ورود به شبکه شرکت استفاده میکردند، دست مییافتند. مهاجمین سپس با همین شناسههای هویتی معتبر، وارد شبکه شده و بدافزار مدنظر خود را برای تخلیه اطلاعات مشخص از شبکه، روی آن نصب میکردند. تنها با همین روش خاص، تاکنون به بیش از ۱۵۰ شرکت علمی و فناوری حمله شده است.
این حملات میتوانند در چند حمله، چند موج یا بخش به بخش صورت گیرند. APT ها در ابتدا به دنبال کد برنامهای یا اطلاعات نرمافزاری هستند که به آنها اجازه دهد به شبکههای شرکت دسترسی پیدا کنند. به محض آنکه توانستند به دسترسیهای مدنظر برسند، برنامه خود را که به دنبال سرقت IP های ارزشمند است، در شبکه جاسازی کرده و آن را فعال میکنند. لازم به ذکر است که معمولاً در حملات سایبری تکوینی (که به صورت چند مرحله و تکاملی هستند)، مهاجمین باید خیلی بدشانس یا غیرحرفهای باشند که گیر افتاده یا حتی شناسایی شوند. اغلب پیشرفتهترین مهاجمین، ناشناخته باقی میمانند.
از بین مجموع حملات APT که ما از آنها مطلع میشویم، ریشه بیش از ۹۰ درصدشان به چین میرسد. گروههای APT چینی بر سرقت IP ها و دیگر اطلاعات محرمانه تجاری متمرکز هستند. آنها در بهرهبرداری از اطلاعات ارزشمند شبکههای دیگر، در جهان پیشرو هستند. زمانی بحث امنیت IP ها و اطلاعات محرمانه تجاری مطرح است، تغییر رویکرد چین میتواند نقشی اساسی در پازل امنیت سایبری ایفا کند. گروههای چینی فعالانه صنایع گوناگون از جمله هوا و فضا، داروسازی، شیمی، خودروسازی و رسانههای سرتاسر جهان را هدف قرار میدهند. این حملات گاهی اوقات رسانهای میشود، اما معمولاً از چشم جامعه به دور میماند.
APT ها پیش از معمولاً تنها شرکتهای دارای IP های ارزشمند را هدف قرار میدادند. در حالی که این گروهها همچنان چنین شرکتهایی را هدف قرار میدهند، دامنه حملات آنها گسترش یافته و همه شرکتهای دارای اطلاعات مفید، IP یا سرمایه را نیز در برگرفته است. قربانیان این حملات تقریباً در همهجا و هر صنعتی، از شرکتهای کوچک گرفته تا مجموعههای بزرگ و در هر کشوری هستند.
با این حال، تهدیدات امنیت سایبری تنها به چین محدود نمیشود. APT های روسی در مقایسه با چینیها بسیار پیچیدهتر بوده و روشهای مورد استفاده آنها فوقالعاده ممتاز است. به عنوان نمونه، هکرهای روس با طور گستردهای از رمزنگاری استفاده میکنند. آنها با رمزنگاری بدافزار، حذف آن از شبکهها را دشوارتر کرده و ضمناً بر اقداماتی که برای شناسایی هکرهای چینی صورت گرفته، فائق میآیند.
اگر گروههای APT چینی تمرکز خود را روی سرقت IP ها گذاشتهاند، همتایان روس و اروپای شرقیشان، بیشتر بر جرائم مالی متمرکزند. قربانیان این گروه را هم در تقریباً تمام صنایع مختلف میتوان یافت. این گروهها مشخصاً مدیران مالی و ممیزهای حسابهای شرکتها را هدف قرار میدهند تا به اطلاعات خصوصی در مورد وضعیت مالی، سود یا طرحهای شرکتها دست یابند. این هکرها به دنبال اطلاعاتی خاص مربوط به شرکتهای سهامی هستند تا از این اطلاعات برای معامله یا تأثیرگذاری بر قیمت سهام شرکت استفاده کنند. یکی از موارد نگرانکننده این است که هکرهای روس از این روش برای دستکاری در بازار سهام به نحوی که قابلتشخیص نباشد، استفاده میکنند.
«دیوید دیوالت» از شرکت «فایر آی»: «اگر شما ذخیرهای از IP ها دارید، بدانید جزو اهداف هستید. ما این را در بیمارستانها و مراکز درمانی دیدهایم. ما این را به وضوح در بانکداری مشاهده میکنیم. ما این را در اندیشکدهها میبینیم. این را در شرکتهای تولیدی شاهدیم. ما این موضوع را در بخش انرژی مشاهده میکنیم. تقریباً در تمام بخشهای همه کشورها ما شاهدیم که حملاتی برای نفوذ و سرقت IP ها، اطلاعات و سرمایه، صورت میگیرد. بنابراین، این امر به موضوعی جهانی بدل شده است.»
* رویکردهای دفاعی باید همپای مهاجمین رشد کنند
APT ها فرصتطلب و خلاق هستند. اگر یک نهاد به خوبی محافظت شده باشد، آنها به دنبال شرکای تجاری، حسابداران یا شرکتهای حقوقی خارج از این نهاد که توان دفاعی کمتری دارند، میروند و از شبکههای آنها به عنوان راهی جایگزین برای نفوذ و دست یافتن به اطلاعاتی که میخواهند، استفاده میکنند. شبکههای شرکتها معمولاً از مسیر شرکتهای ارائهدهنده دامنه یا خدماتدهنده به شبکه، مورد هدف قرارگرفته و ضربه میخورند. به عنوان نمونه، «ارتش الکترونیک سوریه» برای نفوذ به «نیویورکتایمز» از مسیر شرکت خدماتدهنده به سایت، استفاده کرد. شرکتهای حقوقی هم اهداف خوبی برای دست یافتن به اطلاعات محرمانه شرکتها از جمله مجوزها، شرکا یا داراییها، هستند.
تهدید APT ها تنها به اطلاعات منحصر نبوده و میتواند به تغییرات فیزیکی نیز منجر شود. انجام تخریبهای فیزیکی در مقایسه به سرقت ساده اطلاعات، نیازمند حجم بسیار بیشتری از پیچیدگیهای برنامهنویسی و اطلاعات در مورد هدف است. این حملات همچنین در مقایسه با ابزارهایی که در حال حاضر برای حملات معمول استفاده میشوند، به ابزارهایی بسیار گرانقیمتتر نیاز دارند. با این حال، اکنون تعداد کشورهایی که به چنین مهارتهایی دستیافتهاند، رو به افزایش است. در حالی که ایجاد اثرات فیزیکی به دلیل منابع و مهارتهای بیشتری که نیاز دارند، همچنان کاری دشوار است، اما اکنون تعداد فزایندهای از گروهها به مهارت لازم برای انجام حملات مختلکننده یا تخریبگر که میتواند ایمنی عمومی یا امنیت ملی را در معرض خطر قرار دهد، دستیافته یا در حال دست یافتن هستند.
دفاع سایبری نتوانسته به اندازه APT ها پیشرفت کند
APT ها منابع، پشتکار و مهارتهای لازم برای طراحی حملات پیچیده و فائق آمدن بر سامانههای دفاعی و جلوگیری از شناخته شدن را دارند. شبکه بسیاری از شرکتها در حالی مورد حمله و دستبرد قرارگرفته که حتی خود آن شرکت نیز از این موضوع بیاطلاع است. APT ها با بهرهگیری از هماهنگی ضعیف و اجرای ناقص تمهیدات اولیه امنیت سایبری در شرکتها، به تهدیدی جدی برای امنیت سایبری بدل شدهاند. تمهیدات ضعیف دفاعی بدان معنی است که APT ها میتوانند بدون آنکه قربانی بفهمد، همواره با یک الگوی مشخص با موفقیت به شبکه نفوذ کرده و به اطلاعات آن دستبرد بزنند.
ما داریم در مورد یک «پرل هاربر» سایبری صحبت میکنیم. در واقع بهتر از آن تحت عنوان یک «خط دفاعی ماژینو» سایبری یاد کنیم. «خط دفاعی ماژینو» استحکاماتی بود که فرانسویها هزینه زیادی برای ایجاد آن کردند، اما آلمان نازی به سادگی توانست در جنگ جهانی دوم از آن عبور کند. بسیاری از ساختارهای امنیتی دفاعی کنونی نیز مشترکات زیادی با «خط ماژینو» دارند. آنها سفتوسخت، انعطافناپذیر و بیشازحد پیچیده هستند. افزایش لایههای ایستا و مشابه هم، به هیچ وجه به معنی افزایش امنیت نیست. یک معماری دفاعی مبتنی بر رویکردهای ایستا که از امضای دیجیتال و استانداردهای انطباقی استفاده میکند، چیزی است که هکرها میتوانند هر بار بر آن غلبه کنند.
اغلب شرکتها وقتی میفهمند مورد حمله قرارگرفتهاند که ماهها از آن حمله گذشته و عموماً هم یک شرکت ثالث است که آنها را از این موضوع مطلع میکند. بخش اعظم حملات موفق تنها به تکنیکهای ابتدایی نیاز دارند و اغلب آنها را میتوان تنها با استفاده هماهنگ و مداوم از تمهیدات نسبتاً ابتدایی پیشگیرانه، متوقف کرد. یکی از دلایلی که جرائم سایبری تا این حد گسترش یافته، این است که مهاجمین برای انجام یک حمله موفق، لازم نیست چندان تلاشی انجام دهند.
* باید به سمت روشهای دفاعی پویا حرکت کرد
اغلب سامانههای دفاعی کنونی «نقطهمحور» هستند و شرکتها تنها از خود دفاع میکنند. این در حالی است که در رویکرد پدافند پویا، روشهای مورد استفاده هم کلینگر است، به این معنی که تمام مجموعه از حمله شرکای تجاری و تأمینکنندگان مواد اولیه را مدنظر داشته، و پویا بوده و دقیقاً همپای تهدیدات، روندی تکاملی دارند. اغلب روشهای پدافندی چندلایه ایستا که توسط بسیاری از شرکتها و با استفاده از برنامههای مختلف به کار گرفته شدهاند، نمیتوانند در برابر روشهای مبتنی بر مهندسی اجتماعی نظیر «فیشینگ هدفاند» و «حملات روز صفر» مؤثر باشند. یک ساختار امنیتی چندلایه معمولی که لایههای آن از روشهای متداول انطباق الگو یا امضای دیجیتال استفاده میکنند، نظیر سامانههای شناسایی و ممانعت، فایروالها و دروازههای دیجیتال، تنها به ایجاد یک حس غلط امنیت، منجر میشوند.
اطلاعات «فایر آی» و دیگر شرکتها نشان میدهد که APT ها ممکن است به شبکههای بیش از ۹۵ درصد شرکتها و دولتها نفوذ کرده باشند. مدل استفاده از آنتیویروس برای رسیدن به امنیت سایبری، اکنون به شدت تحتفشار است. زمانی شرکتهای تولیدکننده آنتیویروس اولین بار ایجاد شدند، باید تنها به دنبال الگوها یا نشانههایی بودند که نشاندهنده بروز حمله است، و با ایجاد یک امضای دیجیتال، فایلها را برای شناسایی حمله رصد کنند. این شرکتها در طول سالهای طولانی الگوهای بیشتری تولید و فایلهای بیشتری را رصد کردهاند. استفاده از مشخصههای دیجیتال و ایجاد فهرستهای سیاه به آن معنی است که ما بیش از ۶۰ میلیون شناسه تهدیدات سایبری را در هر سیستم قرار دادهایم؛ با این حال حملات همچنان با سرعت خیرهکننده، به پیش میروند.
در گذشته، بلافاصله چند روز بعد از آنکه بدافزاری ظاهر میشد، مشخصهای برای شناسایی و مسدود کردن آن از سوی شرکتها تولید میشد. اما در چند سال اخیر، سرعت ظهور بدافزارهای جدید و تعداد بالای حملاتی که انجام میدهند موجب شده تا آنتیویروسها در موضع ضعف قرار گیرند. مهاجمین میتوانند با دسترسی به لیست مشخصههای یک شرکت به طور کامل سپر دفاعی آن شرکت را دور بزنند.
عدم وجود مدیریت هماهنگ هم دیگر مسئلهای است که دفاع در برابر APT ها را دشوارتر میکند. مدیریت هماهنگ در واقع قوانین و تفاهماتی است که بر اقدامات هماهنگ بیم شرکتها و دولتها علیه APT ها حاکم است. مدیریت هماهنگ ضعیف موجب میشود تا دولتها و نهادها در همکاری برای مقابله با APT ها با دشواری بیشتری روبرو شوند. در چنین فضایی است که حتی حملات غیرپیچیده و ابتدایی هم میتوانند موفق باشند. نبود هماهنگی بین مدافعین، موضوعی است که از نبود مدیریت هماهنگ نشأت میگیرد. در واقع مدیریت هماهنگ با ایجاد ساختارهای لازم برای همکاریهای دفاعی، زمینه را برای یک رویکرد جامع در امنیت سایبری فراهم میکند. ناتوانی در ایجاد یک ساختار مدیریت هماهنگ بین شرکتها و دولت منجر به این معنی است که به عنوان حجم بالایی از حملات شناسایی نشده و امکان پیشگیری و مبارزه با آن فراهم نمیشود. در صورتی که شبکه لایههای دفاعی کافی را نداشته باشد، در آن صورت نبود هماهنگی مناسب جزو اصلیترین مشکلات امنیت سایبری خواهد بود.
پاسخ به تهدید APT ها
چیزی که به طور خلاصه میتوان گفت، این است که رقبای APT ما افرادی هستند ماهر و خلاق که در برابر خطوط دفاعیای قرارگرفتهاند که برای مهارشان بسیار ضعیف هستند. سالهاست که این وضعیت ادامه یافته، اما نباید اجازه داد این وضعیت به امری دائمی بدل شود. با وجود آنکه هیچ راهحل قطعی برای دستیابی به امنیت سایبری کامل وجود ندارد، اما میتوان با ایجاد همک
اری و هماهنگی در سطوح بینالمللی، ملی و شرکتی، میزان تهدید APT ها را کاهش داده و امنیت سایبری را بالا برد. راهکارهایی که ما پیشنهاد میکنیم، در ۵ ردیف دستهبندی میشود: رویهها، تبعات، فناوری، مدیریت و نیروی انسانی.
اقدامات پیشگیرانه سایبری نقطه شروع است: هیچ شرکت یا آژانسی نمیتواند بدون آنکه در ابتدا برخی اصول اولیه مراقبتی را رعایت کند، از پس تهدیدات سایبری برآید. بسیاری از حملات را میتوان با اجرای برای تمهیدات ساده امنیتی، ناکام گذاشت. یک نمونه خوب برای تمهیدات اولیه، بسته موسوم به راهبردهای ۳۵ گانه کاهش تهدید استرالیا است. یک نمونه دیگر، بسته موسوم به «۲۰ تمهید امنیتی مؤثر در دفاع سایبری» موسسه SANS است. این راهبردهای مقابله با ریسک میتواند به شرکتها کمک کند که از پس اغلب تهدیدات سایبری شناخته شده برآمده و در عین حال هزینههای دفاعی خود را کاهش دهند. راهبردهای کاهشی همچنین میتوانند به پایین آمدن تهدیدات داخلی سازمانها نیز کمک کنند. گزارش «چارچوب امنیت سایبری» موسسه ملی استاندارد و فناوری که به دستور اجرایی فوریه ۲۰۱۳ رئیسجمهور اوباما و با هدف تهیه لیستی از تمام اقداماتی که شرکتها میتوانند برای بالا بردن امنیت شبکههایشان انجام دهند، ایجاد شد. این لیست موقعیتی را فراهم میکند تا تمهیدات اولیه به پایهای برای امنیت سایبری بدل شوند.
این تمیهدات اولیه امنیتی باید همراه با نظارت و مراقبت مداوم به اجرا گذاشته شوند. به عنوان مثال اقدامات سادهای چون کسب اطمینان از اینکه تمام نرمافزارهای نصبشده روی دستگاهها، از لحاظ امنیتی به روز شدهاند. چک کردن مداوم موارد دفاعی موجب میشود تا نقاط ضعف پیش از آنکه مهاجمین بتوانند از آن استفاده کنند، شناسایی شوند. میزان کارایی کنترلها و تمهیدات امنیتی به میزان توانایی کاربر برای استفاده بهینه از آنها بستگی دارد. متخصصان امنیت اطلاعات اغلب به این نتیجه میرسند که در بسیاری از موارد، موفقیت حملات بیش از آنکه نتیجه استفاده مهاجمین از روشهای پیچیده باشد، ناشی از اجرای نادرست تمهیدات امنیتی از سوی قربانی بوده است. در مجموع، باید گفت حتی پیچیدهترین راهبردهای دفاعی هم اگر به درستی از سوی کاربر مورد نظارت قرار نگرفته و به اجرای مناسبشان بیتوجهی شود، در برابر حملات مغلوب میشوند.
* برای افزایش امنیت، باید از روشهای سنتی فاصله گرفت
نسبت به تائید صحت هویت جدیت به خرج دهید:وقت آن رسیده که روش معمول تائید هویت کنار گذاشته شود. شرکتها باید به استفاده از شیوه «نام کاربری/ کلمه عبور» برای تأمین امنیت موارد باارزش، پایان دهند. برنامههایی که رمز عبور را شکسته یا حدس میزنند، به وفور در بازار سیاه جرائم سایبری یافت میشوند و APT ها نیز به ابزارهای حتی پیشرفتهتر و پیچیدهتر دسترسی دارند. بسیاری از حملات مهاجمین، به دلیل ضعیف بودن رمز عبور است که با موفقیت همراه میشود. از این رو، به روشهای پیشرفتهتری برای تائید هویت نیاز است. البته این امر همواره به دلیل بالا رفتن هزینهها و همچنین دشوارتر شدن دسترسی کارکنان با مخالفتهایی همراه است؛ درست همانطور که بیشتر کردن قفلهای درها با مخالفت مواجه میشود. اگر شرکتی همچنان به استفاده از روش قدیمی «نام کاربردی/کلمه عبور» برای محافظت از اطلاعات باارزش ادامه دهد، انگار درهای شرکت را بدون قفل و نگهبان، به حال خود رها کرده است.
ایجاد هزینه برای اقدامات APT ها: وقتی بحث تعیین شناسایی مسئول حملات مطرح است، میبینیم که ما پیشرفتهای زیادی را داشتهایم، حتی از ۵ سال قبل تا الان. اکنون در بسیاری از موارد (و البته نه در همه آنها) میتوانیم بگویم که چه کسی عامل حمله بوده است. همین امر به ما اجازه میدهد تا در رویکرد خود برای یافتن راهکارهای جلوگیری از تهدیدات سایبری، متمرکزتر عمل کنیم. داشتن توانایی مشخص کردن عامل حمله، این فرصت را فراهم میکند تا جرایمی برای مهاجمین در نظر گرفته شود و نتیجتاً هر حمله تبعاتی مشخص را برای عوامل آن داشته باشد. وقتی در حال حاضر تقریباً هیچ جریمه و تنبیهی برای ایجاد بدافزارها وجود ندارد، چرا مهاجمین باید از اعمال خود دست بردارند؟ قطعاً باید جریمهها یا تبعاتی دیگر برای مهاجمین وجود داشته باشد.
استفاده از رویکردهای حقوقی برای هزینهدار کردن اعمال APT ها، یکی از مواردی است که تاکنون به ندرت به آن پرداخته شده است. شاید برای یک شرکت مقدور نباشد که مهاجمین را تحت پیگرد قرار دهد، اما مقامات کشری میتوانند با استفاده از ابزارهای ایجاد شده برای تروریسم، منع گسترش و جرائم برون مرزی برای مقابله با APT ها استفاده کنند. خودداری از ارائه ویزا، محدود کردن تراکنشهای مالی و همچنین تحت پیگرد قرار دادن افراد دخیل یا منتفع از جاسوسی سایبری از جمله این ابزارهاست. اینها ابزارهایی هستند که امتحان خود را پس داده و میتوان از آنها برای مقابله با گروههای شناختهشده APT استفاده کرد.
هیاهویی که در مورد جاسوسی آژانس امنیت ملی آمریکا به راه افتاده، از ارزش اقدامات قانونی نمیکاهد. بسیاری از کشورها در جهان دست به جاسوسی سایبری میزنند. این کشورها نمیخواهند آژانس امنیت ملی آمریکا را به دادگاه بکشانند، چراکه این کار بدعتی تازه بنا میگذارد که بعدها میتواند آژانسهای اطلاعاتی خود آنها را نیز گرفتار کند. حتی اگر همه APT ها هم ارتباط نزدیکی با دولت کشورهای میزبان داشته باشند، اما آنها همچنان شخصیتهای حقیقیای هستند که هم بر اساس قوانین فردی مرتکب جرم شده و هم بر خلاف جاسوسی، حتی بر اساس قوانین ملی خود نیز که مخالف سرقت اطلاعات مالی و IP است، مرتکب تخلف شدهاند. وقتی بحث جرائم اینترنتی در میان است، جهان باید به امان دادن به APT ها پایان دهد.
یک روش دیگر ایجاد هزینه و تبعات برای مهاجمین که البته مشکلاتی دارد، اما اخیراً به صورتی جدی مورد بحث و توجه قرارگرفته، انجام حملات تلافیجویانه به مهاجمین است. به این روش برخی اوقات، دفاع فعال گفته میشود. به طور کلی، آنچه که یک شرکت برای محافظت از خود در شبکهاش انجام میدهد، نظیر قرار دادن اطلاعات غلط در شبکه داخلی، تلهگذاری و یا ایجاد توانایی ردگیری و کنترل استفاده از IP همگی مواردی است که جزو سیاستهای داخلی آن شرکت یا قوانین کشور به شمار میآید و دینی برای آن نهاد ایجاد نمیکند. اما، اگر یک شرکت برای تلافی حملات از خود از شبکهاش خارج شده و به خصوص وارد شبکهای در خارج از کشور شود، خود را در معرض تهدید قوانین بینالمللی قرار داده و ممکن است مدیون شناخته شود. علاوه بر این، از آنجا که ایالات متحده تلاش کرده تا روسیه و چین را به همکاری در زمینه اجرای قوانین مبارزه با جرائم سایبری تشویق کند، به سختی میتواند در برابر درخواستهای خارجی برای همکاری در زمینه تحقیق در مورد جرائم سایبری آمریکاییهایی که حملات تلافیجویانه انجام دادهاند، ایستادگی کند. همچنین اقدامات تلافیجویانه که افراد رأساً دست به آن میزنند، در صورت خارج شدن از کنترل و ضرر زدن به شخص ثالثی که خطایی مرتکب نشده بوده، به صورتی جدی با ریسک مدیون شدن فرد مواجه است. بسیاری از شرکتها به شدت وسوسه میشوند تا دست به حملات تلافیجویانه بزنند، اما آنها پیش از هر اقدامی باید به دقت به تبعات لو رفتن احتمالی خود فکر کند و بعد این ریسک را بپذیرند.
بهترین راه برای کنترل تقاضا برای حملات تلافیجویانه، این است که دولتها سیاستهای قاطعانهتری برای مقابله و برخورد با APT ها در پیش بگیرند. این بدان معنی نیست که دولتها به هم اعلام جنگ کنند، بلکه به این معنی است که به طور کامل از مجموعه ابزارهای دیپلماتیک، تجاری و قانونیای که در اختیار دارند، در راستای ایجاد تبعات واقعی برای مهاجمین استفاده کنند؛ آن هم در محیطی که تبعات حملات به طور سنتی آنقدر محدود است که تقریباً به چشم نمیآیند. جایگزین این روش هم این است که برخوردی منفعلانه داشته و اجازه دهیم افراد قربانی شوند.
از فناوریهای جدید بهره بگیرید: در بازار فناوریهای موثری در زمینه امنیت سایبری وجود دارد، اما پیشرفتهایی که اخیراً صورت گرفته، شانس کاهش فاصله میان توان تهاجمی و دفاعی را افزایش داده است. روشهایی چون کلانداده، رایانش ابری و نرمافزار به عنوان سرویس (SaaS) میتوانند دیگر در حد یک شعار باقی نمانند. فناوریهایی که پشت این روشهاست، نوع جدیدی از دفاع سایبری را معرفی میکند. استفاده از سامانههای مجازی برای بررسی فایلها پیش از آنکه به شبکه هدف منتقل شوند، روش جدید و امیدوارکنندهای برای استفاده از فناوری است. روشهای بسیار دیگری هم وجود دارد که میتواند به ما در فاصله گرفته از روشهای منفعلانه کمک کنند. ایجاد استانداردهایی برای رویارویی با تهدیدات پیشرفته و گسترش همکاریهای داخلی بین سرویسدهندگان مختلف، میتواند فناوری پیشرفتهای را ایجاد کند که تاکنون هرگز دیده نشده است.
لازمه کاهش میزان تهدیدات، بررسی دقیق معماری اینترنت، کاربریها و برنامههاست تا بتوان نقاط ضعف آنها را شناسایی کرد. در حال حاضر، نقاط ضعف به طرز شرمآوری آشکار و متعدد هستند، که دلیل اصلی این امر عموماً ضعف در توسعه و انجام عملیات سنجش است. برای تغییر این روند، لازم است تا در طرز فکر تولیدکنندگان نرمافزار، تغییر ایجاد شود. یکی از موضوعاتی که باید مورد بحث قرار گیرد، این است که آیا برای رسیدن به امنیت بهتر نیاز است که چارچوبی قابلاتکاتر برای شرکتهای دخیل در تولید و فروش نرمافزار، تعریف شود یا خیر.
اطلاعات مربوط به تهدیدات را کنار هم بگذارید: در حال حاضر، شرکتهای بزرگ و کوچک هریک تنها از بخشی از اطلاعات مربوط به پازل امنیت سایبری دسترسی دارند. اکنون «آگاهی وضعی» ما در مورد تهدیدات سایبری بسیار ناقص و از هم گسیخته است. اطلاعات ما در مقایسه با اطلاعاتی که مجموعههای مختلف در مورد تهدیدات سایبری دارند، بسیار محدود است. اگر ما بتوانیم تمام اطلاعاتی را که شرکتها و آژانسهای مختلف در اختیار دارند، کنار هم بگذاریم، دانش ما نسبت به APT ها و به تبع آن توانمان برای دفاع از خود در برابر آنها به میزان بسیار زیادی افزایش مییابد.
در حال حاضر همکاری میان شرکتها با هم و با دولتها در زمینه امنیت سایبری با موانع قانونی، تجاری و معاملاتی مواجه است. موضوعات مربوط به عدم اطمینان، تلاش برای حفظ اطلاعات یا برند، محدودیت به اشتراکگذاری اطلاعات با خارج از کارخانه و نمونههای دیگری از نگرانیها، از جمله موانع در مسیر این همکاریها هستند. با وجود آنکه ایالات متحده مکانیزمهای متعددی برای افزایش این همکاریها ایجاد کرده، اما همچنان این موضوعات به عنوان مانعی در برابر همکاری و به اشتراکگذاری اطلاعات در زمینه تهدیدات سایبری، پابرجا هستند. حذف این مشکلات، نیازمند قانونگذاریهای جدید از سوی کنگره است. هرچند این اتفاق در سال ۲۰۱۴ رخ نمیدهد، اما به نظر میرسد با روند رو به رشد ریسک و ضرر، نیاز به تصویب چنین قوانینی بیش از پیش در کنگره احساس میشود.
اما در سطح دولت، لازم است تا مسئولیتها و وظایف آژانسهای مختلف فدرال به نحوی تعریف شود که مشخص کند هریک از اطلاعات امنیت سایبری که به اشتراک گذاشته شدهاند، در چه مواردی قابل استفاده و در چه مواردی غیرقابل استفاده هستند، به نحوی که از حریم شخصی نیز محافظت شود. استفاده محدود و کنترل دقیق بر اطلاعات امنیت سایبری امری ضروری است. لازمه آنکه فرایند به اشتراکگذاری اطلاعات در بخظین برای امنیت سایبری ناکارآمد هستند.
یک راه برای آنکه از پویایی روش دفاعی اطمینان حاصل شود، این است که امنیت سایبری به یک سمت در هیئت مدیره ترجیحاً به عنوان بخشی از کمیته مدیریت ریسک، تبدیل شود. کمیتههای مدیریت ریسک به ندرت رویکردهای ایستا را برای مدیریت ریسکهای مالی و تبادلات ارضی میپذیرند. همین وضعیت باید در زمینه نظارت بر روندهای مربوط به امنیت سایبری نیز به وجود آید.
* نشانههایی برای خوشبینی وجود دارد؛ نه همین حالا، اما به زودی
هرچند مسئله امنیت سایبری و APT ها را نیز نظیر هر جرم دیگری، نمیتوان به طور کامل حل کرد، اما میتوان آن را تحت کنترل درآورد. قرار نیست فضای سایبری «غرب وحشی» باشد. تحقیق پیش رو نشان میدهد که میتوان اقداماتی را برای مقابله با تهدیدات، ترتیب داد. هرچند چالش قابل توجهی وجود دارد، اما گزارشهای مداومی که از حملات متعدد هکرها منتشر میشود، موجب شده تا کارخانه و کشورها به جایی برسند که تشنه یافتن یک راهحل باشند.
رسیدن به توافق برای انجام همکاریهای بینالمللی، امری دشوار و زمانبر است. اما اشخاص و شرکتها میتوانند مسئولیت اجرای تمهیدات امنیتی را بر عهده بگیرند. تولیدکنندگان نرمافزار میتوانند موارد امنیتی را در قالب محصولات و برنامههای جدید ارائه کنند. انتقال و فاصله گرفتن از روشهای ایستای مبتنی بر انطابق شناسه، برای رسیدن به یک معماری امنیتی مؤثر در آینده، امری ضروری است. پر بیراه نیست اگر بگوییم که وقتی اینترنت به وجود آمد، هیچکس نمیدانست چطور باید امنیت آن را تأمین کرد (یا حتی به این واقعیت پی نبرده بودند که این فضا باید امن بماند). با افزایش تهدیدات، آن وضعیت تغییر کرد و حالا روشهای مؤثر مقابله با تهدید هرچند هنوز به طور کامل اجرایی نشدهاند، اما دستکم مورد شناسایی قرارگرفتهاند.
تهدید APT ها همچنان چه از نظر گستردگی و چه از نظر پیچیدگی، به رشد و تکامل ادامه میدهد، اما راههایی برای مدیریت و کاهش این تهدید وجود دارد. نباید اجازه داد بازیگران بدخواه، اینترنت را در معرض خطر بیشتری قرار دهند. رویهها، تبعات، فناوری، مدیریت و نیروهای قویتر میتوانند امکان مدیریت بخش اعظم تهدیدات سایبری را فراهم کنند. تهدیدات مزمن همچنان به قوت خود باقی میمانند، اما با چنین تمهیداتی میتوان میزان اثرگذاری آنها در سالهای آتی را مدیریت کرد.
ارسال نظر