کمیته رکن چهارم – در پی همکاری با متخصصان فنی و متخصصان امنیت سایبری در سراسر جهان، مکالمات ما اغلب در مورد چند موضوع کلیدی متمرکز میشوند. این موضوعات شامل خطر ایجاد شده توسط اینترنت اشیاء، مشکل تشخیص انتقال دادههای بالقوهی مخرب و عدم دسترسی کلی به فعالیتهای کاربر و دستگاه هستند. این نگرانیها عمدتا به دلیل شبکه، پیچیده و گسترده است. که این مسئله، وظیفهی نظارت بر تغییرات کم و تهدیدکننده در رفتار کاربر و دستگاه را پیچیده میکند. امروزه شبکههایی که به ابر متصل میشوند و ممکن است به سامانههای کنترل صنعتی متصل شوند، بسیاری از تجهیزات را در اختیار دارند و اغلب در سراسر جهان قرار دارند. حملات پیشرفتهی سایبری و تهدیدهای داخلی، در سر و صداها از بین رفته است.
اگر دستگاههای اینترنت اشیاء، ماشینهای مجازی و شهرهای هوشمند را هم اضافه کنید، تقریبا غیرممکن است که بتوانید از تهدید در حال رشد، جلوگیری کنید. در نتیجه، کارشناسان ارشد امنیتی و گروههای امنیتی با یک مشکل اساسی مواجه هستند. تعداد نقاط کور آنها بیش از اندازه است و قادر به درک تهدیدها نیستند. برای درک مقیاس این چالش، باید سه سوال از گروه امنیتی خود بپرسید.
آیا میتوانید حساب هر دستگاه در شبکه را داشته باشید؟ حتی قویترین گروههای امنیتی قدیمی هم به طور مداوم تعداد دستگاهها را در شبکهی خود، تا ۳۰ درصد کاهش میدهند و بسیاری از شرکتها توانایی تشخیص فعالیتهای غیرعادی در دستگاههای اینترنت اشیاء و دیگر فناوریهای غیر متعارف را ندارند. این واقعیت در مورد مهاجمان سایبری هم وجود دارد. با هدف قرار دادن دستگاههای اینترنت اشیاء آسیبپذیر، میتوانند به طور مخفیانه وارد شبکهها شوند. در غیر این صورت به نظر میرسد که قفل شدهاند. به عنوان مثال، یکی از تهدیدات ناراحتکنندهای که وجود دارد، یک شرکت معماری است که با استفاده از صفحات هوشمند طراحی شده است.
این دستگاهها بدون اطلاع به گروه امنیتی خود و با استفاده از گواهینامهی ورود پیشفرض به وایفای دفتر متصل شدند. یک مهاجم خارجی دستگاههای هوشمند آسیبپذیر را پیدا کرد و از آنها در یک حملهی بزرگ منع سرویس توزیعشده استفاده کرد. آسیبپذیریهای اینترنت اشیاء مستند میشوند، اما این راهحل سادهای نیست. اکثر ابزارهای امنیتی تنها میتوانند دستگاههای خاص و انواع خاص تهدید را نظارت کنند. در نتیجه، دستگاههای اینترنت اشیاء اغلب تحت رادار قرار میگیرند و به عنوان سنگ پلهای به شبکه استفاده میشود.
آیا میدانید که در چه جایی، چه در داخل و چه در خارج دادهها در حال انتقال هستند؟ هنگام نفوذ به کیمتهی ملی دموکراتیک در سال ۲۰۱۶، مجرمان گفتند که ۸۰ گیگابایت داده، تقریبا ۵۰۰ مگابایت در روز، از شبکه خارج کردهاند. در عین حال، حتی انتقالهای بزرگ و غیرمستقیم دادهها میتوانند در اختلالات یک شبکهی شلوغ از بین برود. مهاجمهای ماهر ممکن است در یک لحظه دادهها را به سرقت ببرند و یا با تغییر مقدار بسیار کمی از دادهها، به آرامی دادههای مورد نظر خود را داخل شبکه جاسازی کرده و به عنوان ترافیک عادی مخفی کنند. درک اینکه جریان دادهها قانونی هست یا نیست، پیچیده است و نیاز به مفاد بیشتری دارد.
شما میخواهید زمانی را که دزدان، بانک اطلاعاتی شما را سرقت میکنند، بدانید اما نمیخواهید هر زمانی که طراح گرافیک یک پروندهی ویدئویی را بارگذاری میکند و هشدار میدهد را مشاهده کنید. شما میخواهید بدانید که آیا یک کارمند به صورت تصادفی پوشههای طراحی محصول را به یک قراداد ارسال میکند، اما نمیخواهید تداخل اتصالی را برقرار کنید که زنجیرهی عرضهی شما متکی به آن است. این ما را به مسئلهی اساسی یک رویکرد مبنی بر قواعد میرساند. هر قانون دارای استثناء است و زیاد شدن تعداد این استثناها میتواند سامانه را شکست دهد. گروههای امنیتی نیز باید از نتایج مثبت-کاذب اجتناب کنند و فقط فعالیتهای مشکوک واقعی را بررسی کنند. درک عمیق از جریان دادههای طبیعی شبکه، در داخل و خارج از سازمان، مورد نیاز است.
آیا نظارت درستی بر نحوهی رفتار کاربران خود دارید؟ تهدیدات خارجی نیازمند توجه بیشتری است. اما تهدیدات داخلی یک خطر جدی امنیتی محسوب میشوند. به ویژه هنگامیکه از کارمندان قابل اعتماد رفتارهای غیرمعمول دیده میشود، این خطر بسیار مشهود است. زیرا این افراد نشانهای ساختمان و گذرواژهی مربوط به شبکه را دارند. یک کارمند که در زمان غیر معمول وارد شبکه میشود، تعدادی از پوشهها جمعآوری میشوند و حجم غیرمعمولی از بارگیری اتفاق میافتد. این اقدامات ممکن است ناچیز باشد و به ندرت اتفاق بیفتند. با این حال، میتوانند به هم مرتبط باشند و به عنوان شاخصهای ضعیف عمل کنند که تصویری از یک تهدیدِ در حال ظهور را نشان میدهد. تهدیدات داخلی لزوما مخرب نیستند. نشت دادهها به صورت تصادفی و نقضهای کوچک سیاستهای شرکت میتواند شرکتها را به طور گستردهای آسیبپذیر کند. به عنوان مثال، یک دولت محلی آمریکا اخیرا کارمندی را شناسایی کرد که از یک وبگاه قانونی بازدید و با کلیک بر روی یک تبلیغ، به طور تصادفی یک تروجان بانکی بسیار تهاجمی را بارگیری کرده بود.
بدافزار به طور خاص طراحی شدهاست تا از دیوارهی آتش سازمانی جلوگیری کند و به طور خودکار اعتبارهای بانکی برخط را سرقت کند. تغییرات در رفتار دستگاه بسیار اندک بود، اما این نشاندهندهی تهدید بسیار بزرگتری بود. امروزه چشمانداز تهدیدها مرتبا بیشتر و پیچیدهتر میشود و شروع حملات مبتنی بر ماشین، باعث میشود که این پیچیدگی و سرعت در سطح دیگری ادامه پیدا کند. در حال حاضر، چیزی به عنوان یک شبکهی امن وجود ندارد و هیچ گروه امنیتی نمیتواند به این سه سوال با ۱۰۰ درصد اطمینان پاسخ دهد. با این حال، اینها نقطهی شروعی برای گفتگوی جدید دربارهی امنیت سایبری هستند.
منبع : securityweek
