اکنون زمان بیداری از منظر امنیت رسیده است. وقتی نوبت به حملات پیشرفته و هدفمند میرسد، آیا سازمان شما واقعا آنقدر محافظت میشود که تصورش را میکنید؟
در پاسخ: احتمالا خیر. حملات پیشرفته و هدفمند پیچیده تر و حرفه ای از گذشته شده اند و سرعت این تهدیدات نیز رو به افزایش است. با استفاده از تکنیکهای فوق العاده موذی و خائنانه، مجرمین سایبری در عبور از سدهای امنیتی سنتی موثرتر عمل کرده و قادر به انتشار انبوه دادهها، سرقت و نقض حقوق مالکیت معنوی (IP) و سرقت اسرار و اطلاعات محرمانه بنگاه اقتصادیتان هستند.
در سالهای اخیر، عملیات تروریسم سایبری و نقشههای هک پیشرفته همچون،(GhostNest)،(Night Dragon) و (Nitro) شرکتهای بین المللی و دولتها را به قصد سرقت دادههای حساس
خدمات شبکهوارد کردن ضرر و زیان مالی و خدشه دار کردن شهرت و اعتبار شرکت هدف قرار داده اند؛ که بدل به پدیده ای جهانی شده است: زمانی گفته میشد نرم افزار جاسوسی (Spyware) در اوایل سال 2012 به عنوان یک سلاح در کشمکشهای سوریه تبدیل شده است، درحالیکه دولت از بد افزار (Malware) برای جاسوسی فعالیتهای مخالفین و آلوده ساختن رایانههایشان به ویروس استفاده میکند.
در مقایسه با تهدیدات پراکنده و گسترده تر گذشته، ماهیت تهدیدات نیز پیشرفته تر، هدفمندتر و مصرانه تر شده است. همانند حمله «عملیات سپیده دم» (Operation Aurora) به گوگل یا انتشار دادههای سیستمهای پرداخت جهانی، بانک جهانی و آر.اس.ای. که حقوق مالکیت معنوی را هدف قرار داده اند، تهدیدات پیشرفته مستمر (APT) از چندین مرحله و مجرا برای نفوذ به شبکه و دسترسی به دادههای ارزشمند بهره میجویند.
بد افزارها نیز میتوانند خود را با استفاده از تکنیکهایی همچون چند شکلی (پلیمورفیسم) یا مبهم سازی کدها (Obfuscation) پنهان کرده یا تغییر قیافه دهند. در واقع، بد افزار نقاط ضعف و آسیب پذیر ناشناخته را از طریق حملات (Zero-Day) هدف قرار میدهد. حملات پیشرفته هدفمند نیز از روشهایی با دههها قدمت ولی فوق العاده خسارت بار همچون (Spear Phishing) استفاده میکنند؛ به عبارت دیگر، دادههای شخصی قربانیان که از طریق پروفایلهای شبکههای اجتماعی عمومی بدست آمده اند در جهت فریبشان و افشای اطلاعات حساس و اطلاعات محرمانه دسترسی به شبکه مورد استفاده قرار میگیرند.
با وجود سرمایه گذاری تخمینی 20 میلیارد دلار سالیانه در امنیت جهانی امنیت فناوری اطلاعات، طبق تحقیقات گارتنِر، شکاف امنیتی هنوز نیز وجود دارد. به عنوان مثال: بر اساس نظرسنجی وضعیت جهانی امنیت اطلاعات توسط مجله CSO در 2012، تهدید از نوع حملات پیشرفته مستمر مخارج امنیتی سازمانشان را تحت شعاع قرار میدهد، ولی تنها 16% گفتند که شرکت
پشتیبانی شبکهسیاست امنیتی متمرکزی برای پرداختن به مسائل پیرامون تهدیدات پیشرفته مستمر دارد.
هزینهها و مخارج تهدیدات پیشرفته مستمر، تبدیل به تعهد مالی چشمگیری شده اند که حد سودآوری سهام داران را شدیدا تحت تاثیر قرار میدهند. مسئله تا جایی جدی است که کمیسیون بورس اوراق بهادار و ارز ایالات متحده راهنمایی جامع پیرامون حوادث سایبری را برای اطلاعات عمومی منتشر ساخته است.
خطر قابل ملاحظه است. برای مثال، بیش از 95% از فعالیتها، روندها، برنامهها یا سیستمها دست کم با 10 رویداد حمله در هفته به ازای هر گیگابیت در ثانیه مواجه میشوند (معدلی برابر حدودا 450 رویداد حمله در هفته به ازای هر گیگابیت در ثانیه). مکانیزمهای امنیتی سنتی دیگر نمیتوانند خود را با حملات چند مرحله ای فوق العاده پویایی همگام سازند که امروزه آنها را بنام حملات پیشرفته هدفمند میشناسیم.
سازگاری با تهدیدات پیشرفته مستمر امروز بدل به کابوس هر مدیر ارشد فناوری اطلاعاتی
نصب شبکهشده است؛ برای مثال، براساس گزارش تحقیقات فارستر (2011)، 71% متخصصین امنیت فناوری اطلاعات که از آنها نظرسنجی به عمل آمده است معتقد بودند «تغییر و نمو ماهیت تهدیدات« عمده ترین چالش پیش رویشان است.
آمادگی امنیتی
اساسا، سازمانها از یک راهبرد امنیتی چند لایه با انواع کنترلهای سطح میزبان و مبتنی بر شبکه استفاده میکنند؛ که به آنها حس امنیت کاذبی میدهد. برای مثال، طبق مطالعه آگاهی از خطرات تهدید کننده دادهها توسط IANS در فوریه 2012، بیش از 46% پاسخ دهندهها گفتند که به یک برنامه امنیتی چند لایه متکی هستند و باور دارند که در حال حاضر به هیچ وجه در خطر نیستند. پیش از آن، تحقیقات فایرآی نشان داده است که بیش از 95% از سازمانها در زیرساختهای اشتراک فایل، ایمیل و وب خود به بدافزارهای پیشرفته آلوده اند.
حملات هدفمند و بدافزارهای پیش رفته به آسانی از سدهای دفاعی سنتی همچون فایروالها، سیستمهای جلوگیری از نفوذ غیر مجاز (IPS)، نرم افزارهای آنتی ویروس و دروازههای وب یا ایمیل عبور میکنند. این چهار کارکرد فناوری ستونهای اصلی چارچوب امنیتی اکثر سازمانها را تشکیل میدهند. البته هر یک به تنهایی یا حتی ترکیب آنها نیز نمیتواند با کارایی مطلوب به نبرد علیه حملات پیشرفته هدفمند به پردازد. بگذارید تا علت آن را برایتان توضیح دهیم.
فایروالها، که از سیستمها و خدماتی محافظت میکنند که عملا نباید برای عموم قابل دسترسی باشند، در برابر حملات بد افزار zero-day و هدفمند کاملا کور هستند. حملات آغازین و بد افزارهای بعدی که امنیت سیستمهای رایانه ای را به خطر میاندازد از پروتکلهای ارتباطاتی استفاده میکنند که شرایط را برای عبور آنها از سد فایروال فراهم میسازند. فایروالهای نسل بعد (NGFW) لایههای قوانین حفظ حریم خصوصی را براساس کاربران و برنامههای کاربردی به سیستم اضافه میکنند و سدهای حفاظتی سنتی همچون، آنتی ویروسها و سیستمهای جلوگیری از نفوذ غیر مجاز را تقویت میکنند؛ با این حال، سد حفاظتی پویایی را شامل نمیشوند که قادر به کشف و مسدود ساختن تهدیدات نسل بعد یا رفتار در حال تغییر سریع حملات باشد.
سیستمهای جلوگیری از نفوذ غیر مجاز (IPS)، در واقع برای آشکارسازی و تحلیل حملات مبتنی بر خدمات
پسیو شبکهدر برنامههای کاربردی سرور و سیستم عامل (OS) بجای حملات از طریق برنامههای کاربردی طرف مشتری (Client) که تسلط چشمگیری بر منظر امنیتی جاری داشته، طراحی و توسعه داده شده اند. این سیستمها از امضاهای (دیجیتال)، بازرسی بستهها، تحلیل (DNS) و الگوریتمهای اکتشافی یا پیچیده استفاده نمیکنند، ولی هنوز هم قادر به کشف حملات zero-day نیستند، بویژه اگر کد بدافزار شدیدا تغییر قیافه داده، پنهان شده یا طی چندین مرحله تحویل شود.
نرم افزار آنتی ویروس، عموما به پایگاههای داده بسیار بزرگ از تهدیدات شناخته شده تکیه دارند که توسط فروشندگان این گونه نرم افزارها نگهداری میشوند. درصورتیکه امضا یک تهدید در فایل سیستمی شناسایی شود، آن فایل قرنطینه یا حذف میشود. البته از آنجاییکه فروشندگان اطلاعاتی راجع به تهدیدات جدید پیش رو ندارند، جلوگیری از آنها نیز لزوما دشوار خواهد بود؛ یا اینکه اغلب فروشندگان نمیتوانند همگام با افزایش حجم نقاط ضعف و آسیب پذیری در انواع ابزارهای کاربردی ضمیمه (Plug-In) مرورگرها حرکت کنند. در ارتباط با فیلترینگ ایمیل های اسپم، سایتهای فیشینگ کلاهبرداری از دامنهها و نشانیهای وب (URL) استفاده میکنند، شیوه لیست سیاه در مقایسه با فعالیتهای مجرمانه از این قبیل خیلی عقب افتاده است.
دروازههای وب، از فهرست نشانیهای وب «شناخته شده بد» استفاده میکنند که از انتقال دادههای وب و وب سایتهایی جلوگیری میکنند که بدافزار شناخته شده اند؛ با این حال، دروازههای وب هیچ سد حفاظتی را در برابر تهدیدات آتی ارائه نمیکنند. فیلترهای وب نیز یک وب سایت را درصورتیکه بد افزار و نقطه ضعف مورد استفاده اش ناشناخته باشد بدون مشکل عبور میدهد.
با همه این حرفها، سدهای دفاعی متداول شبکه هنوز هم لازم هستند، ولی ما را در برابر بدافزارهای پیشرفته، حملات zero-day و حملات پیشرفته مستمر هدفمند محافظت نمیکنند؛ شاید به این خاطر که این سدهای دفاعی براساس دو فناوری حفاظتی پایه – فهرستها و امضاها – طراحی و توسعه یافته اند. در واقع، آنها فقط قادر به پویش اولین حرکت یا حملات در حدود معین بوده و بر امضاها و الگوهای شناخته شده سوء رفتارها برای شناسایی و مسدود ساختن تهدیدات تکیه دارند.
با این حال، جدی ترین و موفق ترین حملات از نقاط ضعف و آسیب پذیری ناشناخته بهره برداری میکنند. درصورتیکه حملات
میکروتیکبه دور از چشم رادار امنیتی باقی بمانند، بدافزار کاملا پنهان باقی میماند و شبکه باز هم در برابر حملات موذیانه کدهای پلیمورف تهدیدات پیشرفته مستمر آسیب پذیرند که سیستمهای دفاعی سنتی را خنثی میکنند. ابزارهای سنتی گاهی درصورتیکه قبلا کدهای بدافزار را ندیده باشند اجازه ورود به آنها میدهند.
تکنیکهای فیلترینگ مبتنی بر الگوریتمهای هیورستیک، بویژه حدسهای آگاهانه بر اساس رفتارها یا همبستگیهای آماری نیز کم هستند. یک سیاست آشکارسازی هیورستیک بسیار فعال میتواند در موارد متعددی اشتباها حملات را آشکار سازد؛ یک سیاست آشکارسازی هیورستیک با فعالیت کم تعداد هشدارهای نادرست را کاهش میدهد ولی در عین حال، ریسک عدم شناسایی رویدادهای حمله بد افزار را افزایش میدهد.
مشاهده پست مشابه : وبلاگ دلیل, وبلاگ اصلی, وبلاگ هک, وبلاگ وبلاگهای, وبلاگ فارسی وبلاگ - weblog
ManageEngine راه حل SIEM خود را تقویت كرد