اكنون زمان بيداري از منظر امنيت رسيده است. وقتي نوبت به حملات پيشرفته و هدفمند ميرسد، آيا سازمان شما واقعا آنقدر محافظت ميشود كه تصورش را ميكنيد؟
در پاسخ: احتمالا خير. حملات پيشرفته و هدفمند پيچيده تر و حرفه اي از گذشته شده اند و سرعت اين تهديدات نيز رو به افزايش است. با استفاده از تكنيكهاي فوق العاده موذي و خائنانه، مجرمين سايبري در عبور از سدهاي امنيتي سنتي موثرتر عمل كرده و قادر به انتشار انبوه دادهها، سرقت و نقض حقوق مالكيت معنوي (IP) و سرقت اسرار و اطلاعات محرمانه بنگاه اقتصاديتان هستند.
در سالهاي اخير، عمليات تروريسم سايبري و نقشههاي هك پيشرفته همچون،(GhostNest)،(Night Dragon) و (Nitro) شركتهاي بين المللي و دولتها را به قصد سرقت دادههاي حساس خدمات شبكه وارد كردن ضرر و زيان مالي و خدشه دار كردن شهرت و اعتبار شركت هدف قرار داده اند؛ كه بدل به پديده اي جهاني شده است: زماني گفته ميشد نرم افزار جاسوسي (Spyware) در اوايل سال 2012 به عنوان يك سلاح در كشمكشهاي سوريه تبديل شده است، درحاليكه دولت از بد افزار (Malware) براي جاسوسي فعاليتهاي مخالفين و آلوده ساختن رايانههايشان به ويروس استفاده ميكند.
در مقايسه با تهديدات پراكنده و گسترده تر گذشته، ماهيت تهديدات نيز پيشرفته تر، هدفمندتر و مصرانه تر شده است. همانند حمله «عمليات سپيده دم» (Operation Aurora) به گوگل يا انتشار دادههاي سيستمهاي پرداخت جهاني، بانك جهاني و آر.اس.اي. كه حقوق مالكيت معنوي را هدف قرار داده اند، تهديدات پيشرفته مستمر (APT) از چندين مرحله و مجرا براي نفوذ به شبكه و دسترسي به دادههاي ارزشمند بهره ميجويند.
بد افزارها نيز ميتوانند خود را با استفاده از تكنيكهايي همچون چند شكلي (پليمورفيسم) يا مبهم سازي كدها (Obfuscation) پنهان كرده يا تغيير قيافه دهند. در واقع، بد افزار نقاط ضعف و آسيب پذير ناشناخته را از طريق حملات (Zero-Day) هدف قرار ميدهد. حملات پيشرفته هدفمند نيز از روشهايي با دههها قدمت ولي فوق العاده خسارت بار همچون (Spear Phishing) استفاده ميكنند؛ به عبارت ديگر، دادههاي شخصي قربانيان كه از طريق پروفايلهاي شبكههاي اجتماعي عمومي بدست آمده اند در جهت فريبشان و افشاي اطلاعات حساس و اطلاعات محرمانه دسترسي به شبكه مورد استفاده قرار ميگيرند.
با وجود سرمايه گذاري تخميني 20 ميليارد دلار ساليانه در امنيت جهاني امنيت فناوري اطلاعات، طبق تحقيقات گارتنِر، شكاف امنيتي هنوز نيز وجود دارد. به عنوان مثال: بر اساس نظرسنجي وضعيت جهاني امنيت اطلاعات توسط مجله CSO در 2012، تهديد از نوع حملات پيشرفته مستمر مخارج امنيتي سازمانشان را تحت شعاع قرار ميدهد، ولي تنها 16% گفتند كه شركت پشتيباني شبكه سياست امنيتي متمركزي براي پرداختن به مسائل پيرامون تهديدات پيشرفته مستمر دارد.
هزينهها و مخارج تهديدات پيشرفته مستمر، تبديل به تعهد مالي چشمگيري شده اند كه حد سودآوري سهام داران را شديدا تحت تاثير قرار ميدهند. مسئله تا جايي جدي است كه كميسيون بورس اوراق بهادار و ارز ايالات متحده راهنمايي جامع پيرامون حوادث سايبري را براي اطلاعات عمومي منتشر ساخته است.
خطر قابل ملاحظه است. براي مثال، بيش از 95% از فعاليتها، روندها، برنامهها يا سيستمها دست كم با 10 رويداد حمله در هفته به ازاي هر گيگابيت در ثانيه مواجه ميشوند (معدلي برابر حدودا 450 رويداد حمله در هفته به ازاي هر گيگابيت در ثانيه). مكانيزمهاي امنيتي سنتي ديگر نميتوانند خود را با حملات چند مرحله اي فوق العاده پويايي همگام سازند كه امروزه آنها را بنام حملات پيشرفته هدفمند ميشناسيم.
سازگاري با تهديدات پيشرفته مستمر امروز بدل به كابوس هر مدير ارشد فناوري اطلاعاتي نصب شبكه شده است؛ براي مثال، براساس گزارش تحقيقات فارستر (2011)، 71% متخصصين امنيت فناوري اطلاعات كه از آنها نظرسنجي به عمل آمده است معتقد بودند «تغيير و نمو ماهيت تهديدات« عمده ترين چالش پيش رويشان است.
آمادگي امنيتي
اساسا، سازمانها از يك راهبرد امنيتي چند لايه با انواع كنترلهاي سطح ميزبان و مبتني بر شبكه استفاده ميكنند؛ كه به آنها حس امنيت كاذبي ميدهد. براي مثال، طبق مطالعه آگاهي از خطرات تهديد كننده دادهها توسط IANS در فوريه 2012، بيش از 46% پاسخ دهندهها گفتند كه به يك برنامه امنيتي چند لايه متكي هستند و باور دارند كه در حال حاضر به هيچ وجه در خطر نيستند. پيش از آن، تحقيقات فايرآي نشان داده است كه بيش از 95% از سازمانها در زيرساختهاي اشتراك فايل، ايميل و وب خود به بدافزارهاي پيشرفته آلوده اند.
حملات هدفمند و بدافزارهاي پيش رفته به آساني از سدهاي دفاعي سنتي همچون فايروالها، سيستمهاي جلوگيري از نفوذ غير مجاز (IPS)، نرم افزارهاي آنتي ويروس و دروازههاي وب يا ايميل عبور ميكنند. اين چهار كاركرد فناوري ستونهاي اصلي چارچوب امنيتي اكثر سازمانها را تشكيل ميدهند. البته هر يك به تنهايي يا حتي تركيب آنها نيز نميتواند با كارايي مطلوب به نبرد عليه حملات پيشرفته هدفمند به پردازد. بگذاريد تا علت آن را برايتان توضيح دهيم.
فايروالها، كه از سيستمها و خدماتي محافظت ميكنند كه عملا نبايد براي عموم قابل دسترسي باشند، در برابر حملات بد افزار zero-day و هدفمند كاملا كور هستند. حملات آغازين و بد افزارهاي بعدي كه امنيت سيستمهاي رايانه اي را به خطر مياندازد از پروتكلهاي ارتباطاتي استفاده ميكنند كه شرايط را براي عبور آنها از سد فايروال فراهم ميسازند. فايروالهاي نسل بعد (NGFW) لايههاي قوانين حفظ حريم خصوصي را براساس كاربران و برنامههاي كاربردي به سيستم اضافه ميكنند و سدهاي حفاظتي سنتي همچون، آنتي ويروسها و سيستمهاي جلوگيري از نفوذ غير مجاز را تقويت ميكنند؛ با اين حال، سد حفاظتي پويايي را شامل نميشوند كه قادر به كشف و مسدود ساختن تهديدات نسل بعد يا رفتار در حال تغيير سريع حملات باشد.
سيستمهاي جلوگيري از نفوذ غير مجاز (IPS)، در واقع براي آشكارسازي و تحليل حملات مبتني بر خدمات پسيو شبكه در برنامههاي كاربردي سرور و سيستم عامل (OS) بجاي حملات از طريق برنامههاي كاربردي طرف مشتري (Client) كه تسلط چشمگيري بر منظر امنيتي جاري داشته، طراحي و توسعه داده شده اند. اين سيستمها از امضاهاي (ديجيتال)، بازرسي بستهها، تحليل (DNS) و الگوريتمهاي اكتشافي يا پيچيده استفاده نميكنند، ولي هنوز هم قادر به كشف حملات zero-day نيستند، بويژه اگر كد بدافزار شديدا تغيير قيافه داده، پنهان شده يا طي چندين مرحله تحويل شود.
نرم افزار آنتي ويروس، عموما به پايگاههاي داده بسيار بزرگ از تهديدات شناخته شده تكيه دارند كه توسط فروشندگان اين گونه نرم افزارها نگهداري ميشوند. درصورتيكه امضا يك تهديد در فايل سيستمي شناسايي شود، آن فايل قرنطينه يا حذف ميشود. البته از آنجاييكه فروشندگان اطلاعاتي راجع به تهديدات جديد پيش رو ندارند، جلوگيري از آنها نيز لزوما دشوار خواهد بود؛ يا اينكه اغلب فروشندگان نميتوانند همگام با افزايش حجم نقاط ضعف و آسيب پذيري در انواع ابزارهاي كاربردي ضميمه (Plug-In) مرورگرها حركت كنند. در ارتباط با فيلترينگ ايميل هاي اسپم، سايتهاي فيشينگ كلاهبرداري از دامنهها و نشانيهاي وب (URL) استفاده ميكنند، شيوه ليست سياه در مقايسه با فعاليتهاي مجرمانه از اين قبيل خيلي عقب افتاده است.
دروازههاي وب، از فهرست نشانيهاي وب «شناخته شده بد» استفاده ميكنند كه از انتقال دادههاي وب و وب سايتهايي جلوگيري ميكنند كه بدافزار شناخته شده اند؛ با اين حال، دروازههاي وب هيچ سد حفاظتي را در برابر تهديدات آتي ارائه نميكنند. فيلترهاي وب نيز يك وب سايت را درصورتيكه بد افزار و نقطه ضعف مورد استفاده اش ناشناخته باشد بدون مشكل عبور ميدهد.
با همه اين حرفها، سدهاي دفاعي متداول شبكه هنوز هم لازم هستند، ولي ما را در برابر بدافزارهاي پيشرفته، حملات zero-day و حملات پيشرفته مستمر هدفمند محافظت نميكنند؛ شايد به اين خاطر كه اين سدهاي دفاعي براساس دو فناوري حفاظتي پايه – فهرستها و امضاها – طراحي و توسعه يافته اند. در واقع، آنها فقط قادر به پويش اولين حركت يا حملات در حدود معين بوده و بر امضاها و الگوهاي شناخته شده سوء رفتارها براي شناسايي و مسدود ساختن تهديدات تكيه دارند.
با اين حال، جدي ترين و موفق ترين حملات از نقاط ضعف و آسيب پذيري ناشناخته بهره برداري ميكنند. درصورتيكه حملات ميكروتيك به دور از چشم رادار امنيتي باقي بمانند، بدافزار كاملا پنهان باقي ميماند و شبكه باز هم در برابر حملات موذيانه كدهاي پليمورف تهديدات پيشرفته مستمر آسيب پذيرند كه سيستمهاي دفاعي سنتي را خنثي ميكنند. ابزارهاي سنتي گاهي درصورتيكه قبلا كدهاي بدافزار را نديده باشند اجازه ورود به آنها ميدهند.
تكنيكهاي فيلترينگ مبتني بر الگوريتمهاي هيورستيك، بويژه حدسهاي آگاهانه بر اساس رفتارها يا همبستگيهاي آماري نيز كم هستند. يك سياست آشكارسازي هيورستيك بسيار فعال ميتواند در موارد متعددي اشتباها حملات را آشكار سازد؛ يك سياست آشكارسازي هيورستيك با فعاليت كم تعداد هشدارهاي نادرست را كاهش ميدهد ولي در عين حال، ريسك عدم شناسايي رويدادهاي حمله بد افزار را افزايش ميدهد.
- چهارشنبه ۱۹ اردیبهشت ۹۷ ۱۵:۳۱
- ۱۱۱ بازديد
- ۰ نظر