کمیته رکن چهارم – حرکت از استفاده صرف از تشخیص مبتنیبر امضا به سمت تشخیص الگو و رفتار مهاجم بهترین راه برای افزایش ایمنی است.
به گزارش کمیته رکن چهارم،نفوذ سایبری همچنان بدون هیچ انتهایی ادامه دارد و صنعت امنیت بهدنبال روشهای جدیدی برای مقابله با این تهدیدها است. برخی از جناحها ادعا میکنند که به اشتراکگذاری امضاهای بهبودیافته میتواند راهحل اصلی باشد درحالیکه برخی دیگر معتقدند امضاها مردهاند.
درواقع تا زمانی که امضاها بهعنوان یک مؤلفه اصلی برای تشخیص و پیشگیری از تهدیدات و حملات شناختهشده باقی بمانند این روشها برای مقابله با حملات مدرن کافی نخواهدبود.
امضاها بهعنوان پزشکان امنیتی قابلیت تشخیص و جستوجو برای آثار مرتبط با پویشهای قبلاً شناختهشده، پاسخدهی به نفوذهای خارجی و تشخیص سامانههای دیگری که تحت این نفوذ قرار گرفتهاند ارائه میکند.
هرچند تکنیک تهدیدهای مدرن و جدید بهسرعت درحال تغییر است. ارتباطات مهاجمان بهطور رمزنگاری شده صورت میگیرد. بدافزارها برای هر قربانی سفارشی شده و زیرساختهای کمی برای حمله استفاده شده و هر زیرساخت بهکار رفته بهسرعت به چرخه بازمیگردد.
علاوهبر این، تکنیکهای غیربدافزاری همچون استفاده از اعتبارنامههای قانونی و سوءاستفاده از ابزارهای مدیریت قانونی رو به افزایش است. با همه اینها، امضاها برای تشخیص و اصلاح حملات مدرن کافی نیستند.
امضای بهتر و بهاشتراکگذاری قویتر پاسخ این مشکل نیست. صنعت امنیت نیازمند روشهای تشخیص قوی و پیچیدهتر برای مقابله علیه مهاجمان است. ما بهطور همزمان باید نقاط مخفی سطح پایین سامانه عامل را نیز کنترل کنیم تا بتوانیم الگوهای مرتبه-بالاتر از دادههای جمعآوری شده در سطح شبکه داشته و فعالیتهای مشکوک و غیرعادی را تشخیص دهیم. همچنین در کنار آن میتوان از روشهای تشخیص مبتنی بر امضا نیز بهعنوان شانس بیشتری برای تشخیص حمله استفاده کرد.
فرضیه اساسی برای صنعت امنیت امروز این است که نیاز به کار بیشتر وجود دارد. حرکت از استفاده صرف از تشخیص مبتنیبر امضا به سمت تشخیص الگو و رفتار مهاجم بهترین راه برای بیشینه کردن شانس مدافع و کم کردن خطرات و صدمات است.
مرجع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
