هک و نفوذ صنعتي شده است

هک و نفوذ صنعتي شده است

براي تضمين آينده امنيت سايبري چه بايد کرد؟

تغيير تمايل به سمت سيار بودن ابزارها، رايانش ابري و اينترنت همه‌چيز (IoE) فرصت‌هاي نابرابري را براي کسب‌وکارها، مشتري‌ها و نيز هکرها ايجاد کرده است. شبکه‌هاي مدرن از ديوارهاي سنت‌گرايي عبور مي‌کنند و مراکز داده، endpoint ها، موبايل و ابر را شامل مي‌شوند. اين شبکه‌ها و اجزاء آن‌ها دائماً در حال تغيير و دگرگوني هستند و مسير حمله‌هاي جديد را براي ابزارهاي سيار، اپليکيشن‌هاي سيار و مبتني بر وب، هايپرويزر، رسانه اجتماعي، مرورگرها، اپليکيشن‌هاي هوشمند و حتي وسايل نقليه هموار مي‌کنند.

حملات سايبري که روزبه‌روز پيچيده‌تر مي‌شوند زاييده دستاوردهاي اقتصادي و سياسي هستند. در اين عرصه تهديدکننده و رو به تغيير، متخصصان امنيتي رودرروي ورطه‌اي قرارگرفته‌اند که مملو از مهاجمان مسلح و باانگيزه و يا از سوي ديگر صنعتي‌سازي هک است. حملات داراي پيچيدگي‌هاي کمتر مانند بلاستر يا اسلام‌تر در چند سال گذشته، امروزه به اسپم و حملات سايبري و بدافزارهاي پيشرفته با سطح پيچيدگي‌هاي بالا تبديل‌شده‌اند. درگذشته، يک نفوذ ساده به وب‌سايت براي از کار انداختن آن يا يک کرم مخرب خطرات کاملاً معمولي بودند. بااين‌حال، مهاجمان باانگيزه کنوني کاملاً نظام‌اند عمل مي‌کند و از روش‌هاي سيستماتيک براي فعال کردن بدافزارها، اسپم، فيشينگ پيشرفته و ساير حملات سايبري با نيات و اهداف استراتژيک بهره مي‌برند. صنعتي‌سازي هک به اقتصاد تبهکاري سرعت، کارآمدي و تأثيرگذاري بيشتري بخشيده است به‌طوري‌که هرروز از حمله به زيرساخت‌هاي صنعتي ما منتفع مي‌شوند. آژانس‌هاي فدرال و شرکت‌هاي نظارتي خصوصي در اين نقطه اتفاق‌نظر دارند که امروزه حملات سايبري بيشتر و مخرب‌تر از قبل شده‌اند. اکنون ديگر اتفاق افتادن اين حملات مسئله اصلي نيست بلکه زمان و مدت آن مهم است. گزارش‌هاي سيسکو حاکي از متوقف کردن 320 ميليون حمله سايبري به‌طور ميانگين در هر روز است. يا بيش از 3700 حمله در هر ثانيه. سيسکو همچنين دريافته است که 75 درصد همه حملات تنها يک دقيقه مانده به خروج اطلاعات صورت مي‌گيرند اما شناسايي آن‌ها زمان بيشتري به طول مي‌انجامد. بيش از نيمي از تمام حملات قبل از شناسايي شدن تا ماه‌ها - حتي سال‌ها- در ابزارهاي شما جا خوش مي‌کنند. شايد ترميم يک رخنه امنيتي هفته‌ها يا ماه‌ها به طول بيانجامد.

در بازه زماني قبل از کشف حملات موفق، اين احتمال وجود دارد که تمام دارايي‌هاي معنوي ارزشمند، اسرار داخلي، اطلاعات کارکنان و مشتري‌هاي حساس قرباني شوند و حتي شهرت، منابع و ارزش‌هاي آن در خطري جدي قرار گيرند. بنا بر بررسي‌هاي موسسه پونمون، در سال 2014 ميانگين هزينه و خسارت نشت اطلاعات يک سازمان 3.5 ميليون دلار برآورد شد. البته اين مقدار، هزينه‌هاي تخصيصي به مدافعان که سرشان را زير اين گيوتين قرار داده‌اند شامل نمي‌شود.

  مسابقه تسليحاتي در امنيت سايبري

صنعتي سازي هک درواقع محصول دگرگوني طبيعي هکرهاست که انواع جديدي از رخنه گري را به وجود آورده‌اند و مدافعاني در آن‌سو که به‌سرعت به ابداع روش‌هاي مقابله پرداخته‌اند. انگيزه‌ها و پايداري هکرها همراه با درک آن‌ها از تکنولوژي‌هاي کلاسيک امنيتي، اپليکيشين هاي مربوط به آن‌ها و نحوه نفوذ در رخنه بين آن‌ها افزايش‌يافته است. ازآنجاکه روزبه‌روز بر پيچيدگي‌هاي فضاي IT افزوده مي‌شود سوءاستفاده‌هايي ازاين‌دست نيز از قافله پيچيدگي عقب نمانده‌اند. با توجه به اينکه پاي پول‌هاي قابل‌توجهي در ميان است، هک کردن استانداردتر، مکانيزه‌تر و سودآورتر از قبل شده است.

در اوايل دهه 1990، ويروس‌ها در درجه اول سيستم‌هاي عامل را هدف قرار مي‌دادند. يک دهه بعد کرم‌هاي خود تکثير پا به عرصه وجود گذاشتند که از طريق شبکه‌هاي سازماني در سرتاسر اينترنت از يک ماشين به ماشين ديگر حرکت مي‌کردند. جاسوس‌افزارها و روت کيت‌ها (rootkit) نرم‌افزارهاي مخربي هستند که براي ايجاد دسترسي قانوني به کامپيوترها و راه‌اندازي مخفيانه آن‌ها پديد آمدند. روش‌هايي مانند هاپينگ پورت و پروتکل، تونلينگ رمزگذاري شده، دراپرها، گريز sandbox، تهديدات و تکنيک‌هاي درهم‌آميخته که از مهندسي اجتماعي استفاده مي‌کردند هرروز بيش از روز قبل روش‌هاي پيچيده نفوذ در شبکه‌ها را به اثبات مي‌رساندند. گزارش سالانه امنيتي سيسکو در سال 2015 اين نتيجه‌گيري را داشت که هکرها در سوءاستفاده از شکاف امنيتي و پنهان کردن اقدامات خرابکارانه حرفه‌اي‌تر از قبل شده‌اند. اسپم اسنوشو، اسپير فيشينگ و کمپين‌هاي malvertising تنها چند نمونه محدود از روش‌هاي جديدي هستند که هکرها در آن‌ها کاربرد زيرکانه تکنولوژي و زيرساخت IT را با درک مفصلي از رفتارشناسي کاربران کنار هم قرار مي‌دهند تا از اين طريق به هدف مدنظر خود دست‌يافته و مأموريتشان را به آخر برسانند.

نتيجه اين‌گونه تحولات در تهديدات سايبري و تلاش مدافعان براي ناکام گذاشتن آن‌ها، يک جنگ تسليحاتي درزمينه امنيت سايبري را رقم‌زده که هر دو طرف به‌شدت درگير آن شده‌اند و بسياري از سازمان‌ها نيز دراين‌بين در رويارويي با هکرها ناکام مي‌مانند. چرا؟ زيرا اغلب سازمان‌ها به تکيه بر ابزارهاي امنيتي ابتدايي که رد شدن از آن‌ها و انجام اقدامات خرابکارانه فقط به يک بازي براي هکرها شبيه است ادامه مي‌دهند. اما حملات پيشرفته در يک زمان خاص روي نمي‌دهند و تکنولوژي‌هاي امنيتي قادر به شناسايي حملات احتمالي نيستند و ازآنجاکه هيچ آرامشي پايدار نيست بحران‌هاي رو به دگرگوني ابزارها و تکنيک‌هاي مراقبت مداوم را مي‌طلبند. تبهکاران سايبري تا مدت‌زماني زيادي شناسايي نشده باقي مي‌مانند کم‌کم سيستم را به خود مبتلا مي‌کنند و از تکنولوژي‌ها و روش‌هايي براي رسيدن به نشانگان نامحسوس سازش (IoCs) استفاده مي‌کنند. بلاک کردن سنتي و روش‌هاي مبتني بر بازدارندگي (مانند آنتي‌ويروس) و مکانيسم‌هاي امضا و مبتني بر خط‌مشي (مانند فايروال) به خاطر کاستي‌هاي دفاعي نيازمند اجراي يک خط‌مشي امنيتي مؤثر هستند که تهديدات پيشرفته را نشانه‌گيري مي‌کند. درنتيجه اغلب سازمان‌ها براي شناسايي و رويارويي با رخنه گري داراي تجهيزات مطلوبي نيستند و وقتي‌که اين حوادث گريزناپذير اتفاق مي‌افتند به طولاني‌تر شدن «زمان سکني» هکرها و افزايش نشت اطلاعات منجر مي‌شود.

 

  حملات زنجيره‌اي

به کمک صنعتي سازي هک، تکنيک‌هاي هکرها به نحو چشمگيري پيچيده شده است و اغلب اوج‌گيري يک حمله زمان زيادي به طول مي‌انجامد که طي آن يکسري مراحلي که تحت نام «حملات زنجيره‌اي» شناخته مي‌شوند و درواقع نسخه‌اي از «زنجيره کشنده سايبر» هستند اتفاق مي‌افتد. براي گروه‌هاي هک دنباله روي از روندهاي توسعه نرم‌افزاري مانند QA (تضمين کيفيت) و آزمايش کردن محصولاتشان در برابر تکنولوژي‌هاي سايبري پيش از رها کردن وحشيانه آن‌ها و خلع سلاح مدافعان کار غيرمعمولي نيست.

مدت‌ها قبل از اينکه آن‌ها حمله واقعي خود را آغاز کنند به زيرساخت IT سازمان هدف وارد مي‌شوند و با استفاده از بدافزارهاي نظارتي يک عمليات جاسوسي هدايت‌شده را انجام مي‌دهند. زماني که آن‌ها از قدرتمندي خود در مقابل آن‌ها اطمينان حاصل کردند شروع به خلق يک بدافزار بخصوص مي‌کنند و دپارتمان‌ها، اپليکيشن‌ها، کاربران، همکاران و رونده‌اي‌هاي امنيتي بخصوصي را هدف مي‌گيرند. به‌منظور تضمين کارآمدي بدافزارها، خالقان بدافزارها، يک فضاي آزمايشي را براي تمرين در مقابل ابزارهاي امنيتي به وجود مي‌آورند. برخي از آن‌ها تضمين مي‌کنند که بدافزارهايشان تا هفته‌ها يا ماه‌ها غيرقابل‌شناسايي باقي مي‌ماند.

تنها در اين زمان است که هکرها حملات خود را به اجرا مي‌گذارند. آن‌ها با افزايش تعداد حملات بدون اينکه مورد شناسايي قرار گيرند حتي سرورهاي فرمان و کنترل داخل شبکه را به‌منظور کنترل بدافزار خودتنظيم مي‌کنند. برخي اوقات هدف از حمله جمع‌آوري داده و در موارد ديگر تخريب آن‌ها است. زماني که مأموريت کامل شد هکرها مدارک و ردپاها را پاک مي‌کنند اما يک سر شاخه نفوذي براي حملات بعدي خود باقي مي‌گذارند.

 

  الگوي عملياتي امنيتي با محوريت تهديد

يک سازمان براي محافظت از خود چه کاري بايد انجام دهد؟ در ابتدا لازم است که آن‌ها ماهيت ابزارها و فضاهاي مدرن شبکه را بپذيرند و نسبت به طرز تفکر هکرها شناخت پيدا کنند. آن‌ها بايد فرض را بر اين بگذارند که هميشه در معرض خرابکاري هکرها هستند و بايد «دائماً در حالت آماده‌باش» به سر ببرند. همان‌طور که در گزارش امنيتي سالانه سيسکو در سال 2015 ذکرشده است خط‌مشي‌هاي BYOD (آوردن ابزارهاي شخصي به محل کار)، رايانش ابري، تدارکات سيار، بهبود زمينه فعاليت ابزارها و کاربران مرتبط باهم و تقويت خط‌مشي‌هاي امنيتي به ضروريات مهم سازمان‌ها تبديل‌شده‌اند. کارشناسان امنيتي سيسکو پيش‌بيني مي‌کنند که CISO ها بيش‌ازپيش به سمت راهکارهاي نظارت امنيتي، دسترسي، endpoint پيچيده براي مديريت شبکه درهم‌تنيده ارتباطات ميان خدمات ابري و شبکه‌هاي ابزارهاي کاربران متمايل شوند. علاوه بر اين، سازمان‌ها بايد يک الگوي امنيتي عملياتي با محوريت تهديد که به‌جاي خط‌مشي و کنترل بر خود تهديد متمرکز است را به کار ببندند. سازمان‌ها بايد قبل از وقوع حمله الگوي امنيتي خود در سرتاسر شبکه بسط يافته و زنجيره کامل حمله را در مدت‌زمان پيشرفت حمله و پس از دسترسي آن به شبکه موردبررسي قرار دهند. آن‌ها بايد بتوانند در هر زمان و يا به‌بيان‌ديگر هميشه آماده رويارويي با حملات باشند.

صنعتي سازي هک قرار نيست کوتاه بيايد. با تداوم توسعه اينترنت همه‌چيز (IoE) سيسکو برآورد مي‌کند که 50 ميليارد ابزار تا پايان اين دهه به يکديگر متصل شوند. در اين دنياي جديد مملو از جسارت ارتباطات همه‌جا حاضر، امنيت اطلاعات براي توانمندسازي سازمان‌ها براي هر چه بيشتر منتفع شدن از اين ارتباطات بسيار بنيادين و مهم است و بايد در اولويت قرار گيرد. گروه Small Wonder Gartner پيش‌بيني مي‌کند که اين تاخت‌وتازها در دنياي امنيت اطلاعات 62 ميليارد دلار در سال 2012 و تا سال 2016 86 ميليارد دلار هزينه در پي داشته باشد.

علي‌رغم صنعتي سازي هک، سازمان‌ها نيز در موضع ضعف قرار ندارند. تکنولوژي پيشرفت کرده است و بنابراين مدافعان در مقابله با حملات سريع‌تر، کارآمدتر و تأثيرگذارتر شده‌اند. امروزه آن‌ها براي تأمين امنيت خود در برابر تهديدات در هر جايي که خود را نشان بدهند به کنترل‌هاي ديناميک از شبکه تا endpoint تا ابر دسترسي دارند.