متمرکز شدن حملات سایبری جدید، نسبت به قبل

کمیته رکن چهارم – مخاطرات تهدید کننده امنیت داده‌ها، در حال تحول به روشی خطرناک هستند. این حملات، متمرکز بر اطلاعات حساسی همچون اطلاعات مالکیت معنوی و داده‌های مالکان کارت‌های اعتباری – بانکی شده‌اند. شرکت سیمنتک (Symantec) طی چند سال بررسی از طریق طرح شبکه اطلاعات جهانی خودش متوجه شکل گیری این روند شده است. در این مطلب نیز با فراست همراه باشید تا با تهدیدهای ایجاد شده در اثر این تحول برای سازمان‌ها آشنا شوید.

اخیراً در کنفرانس سالیانه سیمنتک شرکت کردم و در آنجا با مدیران فناوری و استراتژی این شرکت گفتگو کردم. بیشتر این صحبت‌ها مربوط به این موضوع بود که سازمان‌ها برای کنترل بهتر امنیت اطلاعات و دستیابی به جایگاه بهتر از نظر پیروی از قوانین، چه کارهایی می توانند انجام دهند. در این مطلب، دیدگاه این اشخاص در خصوص تحول مخاطراتی که امنیت داده‌ها را تهدید می‌کنند، با شما در میان خواهیم گذاشت.

رویکرد سنتی بخش فناوری اطلاعات (IT) در زمینه امنیت اطلاعات، محافظت از زیرساخت‌های مربوط به داده‌ها و همچنین محل قرارگیری این داده‌ها است اما مثل ساختن یک خاکریز در اطراف یک قلعه برای محافظت از آن در برابر مهاجمان، این روش هم برای مقابله با مخاطرات امروزی کافی نیست. سارقان به راحتی می‌توانند از این مانع عبور کرده و به گنجینه‌های قلعه (یا همان داده‌های حساس شرکت‌ها) دسترسی پیدا کنند.

از آنجایی که امروزه اطلاعات مهم همه جا هستند، از رایانه و تلفن همراه گرفته تا سرویس‌های ابری و شبکه‌های اجتماعی؛ بنابراین ما هم باید از رویکردی جدید برای محافظت از داده‌ها و برنامه‌های کاربردی استفاده کنیم. این اقدام، اهمیت ویژه‌ای دارد چون مطالعات نشان داده‌ که بسیاری از تهدیدهای امنیتی تغییر تمرکز پیدا کرده‌اند تا بیشتر، خود اطلاعات را هدف بگیرند و بتوانند حداکثر درآمد را برای مجرمان سایبری ایجاد کنند. بنابراین رویکرد ما نسبت به بحث امنیت هم باید اطلاعات محور باشد و در عین حال سعی کنیم فرایندهای امنیتی را ساده سازی کنیم.

شبکه اطلاعات جهانی شرکت Symantec چندین سال است که بر مخاطرات تهدید کننده امنیت اطلاعات نظارت دارد. این شرکت، با گذشت زمان متوجه تغییر روش هدفگیری حملات سایبری در برابر کسب و کارها و نهادهای دولتی شده است. حالا هکرها به جای اجرای حمله‌های انبوه برای ایجاد وحشت و جمع‌آوری حداکثر میزان اطلاعات، متمرکز بر حملاتی هدفمند برای دستیابی به اطلاعاتی ویژه از سازمان‌هایی خاص شده‌اند.

تکامل حمله ها از نگاه سیمنتک

از نظر Symantec، حمله‌های امروزی که منجر به نشت داده‌ها می‌شوند طی چهار گام زیر صورت می‌گیرند:

گام اول نفوذ: هکر از طریق یکی از نقاط انتهایی شبکه به زیرساخت یک سازمان دسترسی پیدا می‌کند. در سال‌های قبل این کار با استفاده از توزیع گسترده بدافزار صورت می‌گرفت که معمولاً با ابزارهایی مثل ایمیل یا فایل‌های پی‌دی‌اف آلوده انجام می‌شد. هکرها امیدوار بودند که بیش از یک کاربر، فایل یا لینک آلوده را باز کند و به این ترتیب امکان گسترش بدافزار فراهم شود.

امروزه هکرها برای رساندن بدافزارها به نقاط انتهایی شبکه از فنون مهندسی اجتماعی استفاده می‌کنند. این روش، به شدت هدفمند است و معمولاً از طریق سرقت سایبری با استفاده از شبکه‌های اجتماعی همچون فیسبوک انجام می‌شود که هدف آن نیز جمع‌آوری اطلاعات درباره هدف است. در این روش، قبل از حمله تحقیقات زیادی درباره شخص مورد هدف صورت می‌گیرد؛ حمله با مهندسی اجتماعی انجام می‌شود تا قربانی به ایمیل یا ضمیمه‌ای که آلوده به بدافزار شده اعتماد کند تا سارق بتواند به اطلاعات مهمی دست پیدا کند که امکان کسب درآمد از آنها را داشته باشد؛ مثل اطلاعات مالکیت معنوی یا کارت‌های پرداخت.

گام دوم شناسایی: معمولاً در این گام از بدافزارهای منحصر به فردی استفاده می‌شود که توسط بدافزار اولیه توزیع می‌شود و کار آنها پویش شبکه و پیدا کردن اطلاعات مورد نظر در شبکه است. در حمله بر ضد سیستم پرداخت Heartland از همین روش استفاده شد. حمله به Heartland یکی از زیان‌بارترین و بزرگترین رخنه‌های امنیتی تا به امروز محسوب می‌شود. در این حمله، مراحل نفوذ و شناسایی بسیار گسسته بودند؛ بدافزار تقریباً یک سال در شبکه مخفی شده بود و داده‌های خاصی را جستجو می‌کرد. وقتی هکرها آنچه می‌خواستند را پیدا کردند، به سرعت استخراج بیش از ۱۳۰ میلیون رکورد اطلاعاتی را انجام دادند.

فرایندهای شناسایی امروزی بسیار مخفی‌تر و مخرب‌تر از روش‌های مورد استفاده در سال‌های قبل است که در آنها تنها بدافزار در یک شبکه مخفی می‌شد، اطلاعات مورد نیاز را پیدا کرده و سپس سعی می‌کرد پیش از آن که شناسایی شود این اطلاعات را از شبکه خارج کند. احتمال اینکه در این فرایند، اثرات قابل شناسایی ایجاد شود زیاد و تشخیص آنها آسان‌تر بود. در روش‌های هدفمند جدید مثل آنچه در حادثه Heartland مورد استفاده قرار گرفت، بدافزار به صورت مخفیانه جستجوها و بازرسی‌ها را انجام می‌دهد تا دقیقاً همان چیزی که هکرها به دنبال آن هستند را پیدا کند و سپس محل این داده‌ها را برای مراحل بعدی رهگیری می‌کند.

گام سوم، به دست آوردن و گام چهارم استخراج: هر چند مراحل نفوذ و شناسایی، مخفی و تشخیص آنها سخت است اما معمولاً مراحل به دست آوردن داده‌ها و استخراج آنها در شبکه با سرعت انجام می‌شود و نشانه های خاصی هم دارد. عموماً بیشتر سازمان‌ها در همین مرحله متوجه ایجاد رخنه می‌شوند.

طراحان چنین حملاتی می‌دانند که واکنش به رخنه توسط سازمان‌ها زمان می‌برد و دلیل آن وجود لایه‌های مسئولیتی مختلف برای شناسایی رخنه، تحلیل شرایط، واکنش به حادثه و اقدام است. وقتی این مراحل شروع می‌شوند که داده‌ها به سرقت رفته‌اند و دیگر آسیب ایجاد شده است.

بدافزارهای امروزی بسیار پیچیده‌تر شده‌اند و طوری طراحی می‌شوند که چهار گام گفته شده را با موفقیت طی کنند. علاوه بر این، روش مورد استفاده بیشتر سازمان‌ها برای محافظت از اطلاعات خودشان به گونه‌ای است که باعث می‌شود هکرها امکان سوءاستفاده و مخفی کردن بدافزارهای خودشان را داشته باشند. این چالش چهار دلیل دارد:

1. سازگاری و انسجام: بیشتر سازمان‌ها سیاست‌های فناوری اطلاعات را به صورت کارآمد پیاده سازی می‌کنند ولی برای حفظ آنها با گذشت زمان دچار مشکل می‌شوند. به عنوان مثال ممکن است به مرور زمان سرورها و نقاط انتهایی که قبلاً شرایط یکسانی داشتند دارای پیکربندی‌های متفاوتی شوند و وصله‌های امنیتی به موقع بر روی همه آنها نصب نشود. مجرمان سایبری هم از این مشکلات برای جمع‌آوری اطلاعات، به مرور زمان استفاده می‌کنند. به عبارت دیگر بدافزار طوری مخفی می‌شود که اثر بسیار کمی در شبکه از خود به جای بگذارد. در مورد حادثه Heartland، یک بدافزار خاص شناسایی نشد چون ابزارهای امنیتی سنتی و ضدویروس‌ها نتوانسته بودند نمونه بدافزار را به موقع شناسایی کنند.
2. محافظت از اطلاعات: بیشتر سازمان در جریان هستند که اطلاعات حساس یا حیاتی آنها کجا ذخیره می‌شود. آنچه که نمی‌دانند، این است که این اطلاعات در چندین مکان مختلف ذخیره می‌شود. معمولاً کارمندان از این اطلاعات برای انجام کارهای خودشان استفاده کرده و آنها را جای دیگری ذخیره می‌کنند؛ جایی که امنیت کافی را ندارد مثل رایانه شخصی، درایو USB و سایر مکان‌هایی که امنیت لازم را ندارند. در نتیجه، این اطلاعات حساس به غیر از منبع اصلی در محل‌های مختلف هم ذخیره می‌شوند. مجرمان سایبری از این موضوع اطلاع دارند و به همین دلیل بدافزارهای آنها در مرحله شناسایی، زمان زیادی را صرف می‌کنند. معمولاً آنها از همین محل‌ها که محافظت و نظارت کافی بر روی آنها وجود ندارد، استفاده می‌کنند. در بسیاری از مواقع، تیم‌های بررسی نفوذ متوجه شده‌اند که داده‌های به سرقت رفته در اصل یک کپی از داده‌های اصلی بوده‌اند که در محلی ناامن ذخیره شده‌اند.
3. مدیریت سیستم‌ها: خیلی از سازمان‌ها به دلایل مختلف در این مورد دچار مشکل هستند. یکی از مشکلات اصلی نداشتن اطلاعات کافی درباره بخش‌های مختلف شبکه است. بیشتر وقت ها، سیستم‌های ناشناخته‌ای به شبکه متصل می‌شوند که اگر شناسایی نشوند امکان مدیریت آنها وجود ندارد. مشکل مدیریت وصله‌های امنیتی هم از جمله مشکلاتی است که به بدافزارها برای سوءاستفاده از آسیب‌های امنیتی که به موقع رفع نمی‌شوند، کمک می‌کند.
4. امنیت زیرساخت: بیشتر سازمان‌ها از نظر داشتن محصولات امنیتی مناسب و امن سازی زیرساخت‌ها تکامل پیدا کرده‌اند اما تنوع و گوناگونی راهکارهای امنیتی در یک زیرساخت هم می‌تواند باعث فقدان دید کافی نسبت به کل محیط شود. به این ترتیب نمی‌توان در هر لحظه مطلع بود که در هر نقطه چه اتفاقی در جریان است.

در حوزه امنیت اطلاعات معمولاً مشکلات و چالش های مربوط به انسجام، محافظت از اطلاعات، مدیریت سیستم‌ها و زیرساخت شبکه به صورت همزمان و چنان که باید مشاهده نمی‌شود تا به موقع برطرف شوند. بنابراین چالش اصلی، چگونگی دستیابی به دید کامل نسبت به کل شبکه و فعالیت‌های پشتیبان و در عین حال نیز کاهش فاصله تشخیص نفوذ تا مقابله با نفوذ، به همراه تأکید بیشتر بر مدیریت مخاطره و کاهش پیامدهای رخدادها است.

منبع: فراست