حفره 20 میلیارد دلاری امنیت فناوری اطلاعات

چهارشنبه 19 ارديبهشت 1397

15:32

علیرضا

[ ]

اکنون زمان بیداری از منظر امنیت رسیده است. وقتی نوبت به حملات پیشرفته و هدفمند می‌رسد، آیا سازمان شما واقعا آنقدر محافظت می‌شود که تصورش را می‌کنید؟

در پاسخ: احتمالا خیر. حملات پیشرفته و هدفمند پیچیده تر و حرفه ای از گذشته شده اند و سرعت این تهدیدات نیز رو به افزایش است. با استفاده از تکنیک‌ها‌ی فوق العاده موذی و خائنانه، مجرمین سایبری در عبور از سدهای امنیتی سنتی موثرتر عمل کرده و قادر به انتشار انبوه داده‌ها‌، سرقت و نقض حقوق مالکیت معنوی (IP) و سرقت اسرار و اطلاعات محرمانه بنگاه اقتصادیتان هستند.

در سال‌ها‌ی اخیر، عملیات تروریسم سایبری و نقشه‌ها‌ی هک پیشرفته همچون،(GhostNest)،(Night Dragon) و (Nitro) شرکت‌ها‌ی بین المللی و دولت‌ها‌ را به قصد سرقت داده‌ها‌ی حساس خدمات شبکه وارد کردن ضرر و زیان مالی و خدشه دار کردن شهرت و اعتبار شرکت هدف قرار داده اند؛ که بدل به پدیده ای جهانی شده است: زمانی گفته می‌شد نرم افزار جاسوسی (Spyware) در اوایل سال 2012 به عنوان یک سلاح در کشمکش‌ها‌ی سوریه تبدیل شده است، درحالیکه دولت از بد افزار (Malware) برای جاسوسی فعالیت‌ها‌ی مخالفین و آلوده ساختن رایانه‌ها‌یشان به ویروس استفاده می‌کند.

در مقایسه با تهدیدات پراکنده و گسترده تر گذشته، ماهیت تهدیدات نیز پیشرفته تر، هدفمندتر و مصرانه تر شده است. همانند حمله «عملیات سپیده دم» (Operation Aurora) به گوگل یا انتشار داده‌ها‌ی سیستم‌ها‌ی پرداخت جهانی، بانک جهانی و آر.اس.ای. که حقوق مالکیت معنوی را هدف قرار داده اند، تهدیدات پیشرفته مستمر (APT) از چندین مرحله و مجرا برای نفوذ به شبکه و دسترسی به داده‌ها‌ی ارزشمند بهره می‌جویند.

بد افزارها نیز می‌توانند خود را با استفاده از تکنیک‌ها‌یی همچون چند شکلی (پلی‌مورفیسم) یا مبهم سازی کدها (Obfuscation) پنهان کرده یا تغییر قیافه دهند. در واقع، بد افزار نقاط ضعف و آسیب پذیر ناشناخته را از طریق حملات (Zero-Day) هدف قرار می‌دهد. حملات پیشرفته هدفمند نیز از روش‌ها‌یی با دهه‌ها‌ قدمت ولی فوق العاده خسارت بار همچون (Spear Phishing) استفاده می‌کنند؛ به عبارت دیگر، داده‌ها‌ی شخصی قربانیان که از طریق پروفایل‌ها‌ی شبکه‌ها‌ی اجتماعی عمومی بدست آمده اند در جهت فریب‌شان و افشای اطلاعات حساس و اطلاعات محرمانه دسترسی به شبکه مورد استفاده قرار می‌گیرند.

با وجود سرمایه گذاری تخمینی 20 میلیارد دلار سالیانه در امنیت جهانی امنیت فناوری اطلاعات، طبق تحقیقات گارتنِر، شکاف امنیتی هنوز نیز وجود دارد. به عنوان مثال: بر اساس نظرسنجی وضعیت جهانی امنیت اطلاعات توسط مجله CSO در 2012، تهدید از نوع حملات پیشرفته مستمر مخارج امنیتی سازمان‌شان را تحت شعاع قرار می‌دهد، ولی تنها 16% گفتند که شرکت‌ پشتیبانی شبکه سیاست امنیتی متمرکزی برای پرداختن به مسائل پیرامون تهدیدات پیشرفته مستمر دارد.

هزینه‌ها‌ و مخارج تهدیدات پیشرفته مستمر، تبدیل به تعهد مالی چشمگیری شده اند که حد سودآوری سهام داران را شدیدا تحت تاثیر قرار می‌دهند. مسئله تا جایی جدی است که کمیسیون بورس اوراق بهادار و ارز ایالات متحده راهنمایی جامع پیرامون حوادث سایبری را برای اطلاعات عمومی منتشر ساخته است.

خطر قابل ملاحظه است. برای مثال، بیش از 95% از فعالیت‌ها‌، روندها، برنامه‌ها‌ یا سیستم‌ها‌ دست کم با 10 رویداد حمله در هفته به ازای هر گیگابیت در ثانیه مواجه می‌شوند (معدلی برابر حدودا 450 رویداد حمله در هفته به ازای هر گیگابیت در ثانیه). مکانیزم‌ها‌ی امنیتی سنتی دیگر نمی‌توانند خود را با حملات چند مرحله ای فوق العاده پویایی همگام سازند که امروزه آنها را بنام حملات پیشرفته هدفمند می‌شناسیم.

سازگاری با تهدیدات پیشرفته مستمر امروز بدل به کابوس هر مدیر ارشد فناوری اطلاعاتی نصب شبکه شده است؛ برای مثال، براساس گزارش تحقیقات فارستر (2011)، 71% متخصصین امنیت فناوری اطلاعات که از آنها نظرسنجی به عمل آمده است معتقد بودند «تغییر و نمو ماهیت تهدیدات« عمده ترین چالش پیش رویشان است.

آمادگی امنیتی

اساسا، سازمان‌ها‌ از یک راهبرد امنیتی چند لایه با انواع کنترل‌ها‌ی سطح میزبان و مبتنی بر شبکه استفاده می‌کنند؛ که به آنها حس امنیت کاذبی می‌دهد. برای مثال، طبق مطالعه آگاهی از خطرات تهدید کننده داده‌ها‌ توسط IANS در فوریه 2012، بیش از 46% پاسخ دهنده‌ها‌ گفتند که به یک برنامه امنیتی چند لایه متکی هستند و باور دارند که در حال حاضر به هیچ وجه در خطر نیستند. پیش از آن، تحقیقات فایرآی نشان داده است که بیش از 95% از سازمان‌ها‌ در زیرساخت‌ها‌ی اشتراک فایل، ایمیل و وب خود به بدافزارهای پیشرفته آلوده اند.

حملات هدفمند و بدافزارهای پیش رفته به آسانی از سدهای دفاعی سنتی همچون فایروال‌ها‌، سیستم‌ها‌ی جلوگیری از نفوذ غیر مجاز (IPS)، نرم افزارهای آنتی ویروس و دروازه‌ها‌ی وب یا ایمیل عبور می‌کنند. این چهار کارکرد فناوری ستون‌ها‌ی اصلی چارچوب امنیتی اکثر سازمان‌ها‌ را تشکیل می‌دهند. البته هر یک به تنهایی یا حتی ترکیب آنها نیز نمی‌تواند با کارایی مطلوب به نبرد علیه حملات پیشرفته هدفمند به پردازد. بگذارید تا علت آن را برایتان توضیح دهیم.

فایروال‌ها‌، که از سیستم‌ها‌ و خدماتی محافظت می‌کنند که عملا نباید برای عموم قابل دسترسی باشند، در برابر حملات بد افزار zero-day و هدفمند کاملا کور هستند. حملات آغازین و بد افزارهای بعدی که امنیت سیستم‌ها‌ی رایانه ای را به خطر می‌اندازد از پروتکل‌ها‌ی ارتباطاتی استفاده می‌کنند که شرایط را برای عبور آنها از سد فایروال فراهم می‌سازند. فایروال‌ها‌ی نسل بعد (NGFW) لایه‌ها‌ی قوانین حفظ حریم خصوصی را براساس کاربران و برنامه‌ها‌ی کاربردی به سیستم اضافه می‌کنند و سدهای حفاظتی سنتی همچون، آنتی ویروس‌ها‌ و سیستم‌ها‌ی جلوگیری از نفوذ غیر مجاز را تقویت می‌کنند؛ با این حال، سد حفاظتی پویایی را شامل نمی‌شوند که قادر به کشف و مسدود ساختن تهدیدات نسل بعد یا رفتار در حال تغییر سریع حملات باشد.

سیستم‌ها‌ی جلوگیری از نفوذ غیر مجاز (IPS)، در واقع برای آشکارسازی و تحلیل حملات مبتنی بر خدمات پسیو شبکه در برنامه‌ها‌ی کاربردی سرور و سیستم عامل (OS) بجای حملات از طریق برنامه‌ها‌ی کاربردی طرف مشتری (Client) که تسلط چشمگیری بر منظر امنیتی جاری داشته، طراحی و توسعه داده شده اند. این سیستم‌ها‌ از امضاهای (دیجیتال)، بازرسی بسته‌ها‌، تحلیل (DNS) و الگوریتم‌ها‌ی اکتشافی یا پیچیده استفاده نمی‌کنند، ولی هنوز هم قادر به کشف حملات zero-day نیستند، بویژه اگر کد بدافزار شدیدا تغییر قیافه داده، پنهان شده یا طی چندین مرحله تحویل شود.

نرم افزار آنتی ویروس، عموما به پایگاه‌ها‌ی داده بسیار بزرگ از تهدیدات شناخته شده تکیه دارند که توسط فروشندگان این گونه نرم افزارها نگهداری می‌شوند. درصورتیکه امضا یک تهدید در فایل سیستمی شناسایی شود، آن فایل قرنطینه یا حذف می‌شود. البته از آنجاییکه فروشندگان اطلاعاتی راجع به تهدیدات جدید پیش رو ندارند، جلوگیری از آنها نیز لزوما دشوار خواهد بود؛ یا اینکه اغلب فروشندگان نمی‌توانند همگام با افزایش حجم نقاط ضعف و آسیب پذیری در انواع ابزارهای کاربردی ضمیمه (Plug-In) مرورگرها حرکت کنند. در ارتباط با فیلترینگ ایمیل های اسپم، سایت‌ها‌ی فیشینگ کلاهبرداری از دامنه‌ها‌ و نشانی‌ها‌ی وب (URL) استفاده می‌کنند، شیوه لیست سیاه در مقایسه با فعالیت‌ها‌ی مجرمانه از این قبیل خیلی عقب افتاده است.

دروازه‌ها‌ی وب، از فهرست نشانی‌ها‌ی وب «شناخته شده بد» استفاده می‌کنند که از انتقال داده‌ها‌ی وب و وب سایت‌ها‌یی جلوگیری می‌کنند که بدافزار شناخته شده اند؛ با این حال، دروازه‌ها‌ی وب هیچ سد حفاظتی را در برابر تهدیدات آتی ارائه نمی‌کنند. فیلترهای وب نیز یک وب سایت را درصورتیکه بد افزار و نقطه ضعف مورد استفاده اش ناشناخته باشد بدون مشکل عبور می‌دهد.

با همه این حرف‌ها‌، سدهای دفاعی متداول شبکه هنوز هم لازم هستند، ولی ما را در برابر بدافزارهای پیشرفته، حملات zero-day و حملات پیشرفته مستمر هدفمند محافظت نمی‌کنند؛ شاید به این خاطر که این سدهای دفاعی براساس دو فناوری حفاظتی پایه – فهرست‌ها‌ و امضاها – طراحی و توسعه یافته اند. در واقع، آنها فقط قادر به پویش اولین حرکت یا حملات در حدود معین بوده و بر امضاها و الگوهای شناخته شده سوء رفتارها برای شناسایی و مسدود ساختن تهدیدات تکیه دارند.

با این حال، جدی ترین و موفق ترین حملات از نقاط ضعف و آسیب پذیری ناشناخته بهره برداری می‌کنند. درصورتیکه حملات میکروتیک به دور از چشم رادار امنیتی باقی بمانند، بدافزار کاملا پنهان باقی می‌ماند و شبکه باز هم در برابر حملات موذیانه کدهای پلی‌مورف تهدیدات پیشرفته مستمر آسیب پذیرند که سیستم‌ها‌ی دفاعی سنتی را خنثی می‌کنند. ابزارهای سنتی گاهی درصورتیکه قبلا کدهای بدافزار را ندیده باشند اجازه ورود به آنها می‌دهند.

تکنیک‌ها‌ی فیلترینگ مبتنی بر الگوریتم‌ها‌ی هیورستیک، بویژه حدس‌ها‌ی آگاهانه بر اساس رفتارها یا همبستگی‌ها‌ی آماری نیز کم هستند. یک سیاست آشکارسازی هیورستیک بسیار فعال می‌تواند در موارد متعددی اشتباها حملات را آشکار سازد؛ یک سیاست آشکارسازی هیورستیک با فعالیت کم تعداد هشدارهای نادرست را کاهش می‌دهد ولی در عین حال، ریسک عدم شناسایی رویدادهای حمله بد افزار را افزایش می‌دهد.

[ بازدید : 77 ] [ امتیاز : 3 ] [ نظر شما :

]