ITanalyze

کمال باستانی - از زمانی که اینترنت در سال 1990 پایه‌گذاری شد، امنیت سایبری بر اساس این ایده که کامپیوتر می‌تواند توسط یک قرنطینه دیجیتالی محافظت شود، مطرح شد. در حال حاضر، از آنجا که هکرها به‌صورت روتین این دفاع سایبری را ناکارآمد می‌کنند، کارشناسان بحث امنیت سایبری آن‌را را فراتر از بازسازی و بازیابی اساسی مشکلات ناشی از هک و نفوذ می‌دانند. آنها معتقدند باید به جای دور نگه‌داشتن هکرها از منابع شبکه خود، اجازه داد هکرها وارد شوند و سپس نسبت به مقابله با آنها اقدام کرد؛ چراکه امروز کارایی روش‌های دور نگه‌داشتن هکرها سوال‌برانگیز است.

اولین گام برای جا انداختن این دیدگاه، متقاعد کردن کسب‌و‌کارهای محافظه‌کاری است که نمی‌خواهند بر سر خطر ورود هکرها به شبکه‌هایشان ریسک کنند. باید برای عملی‌شدن روش جدید پیشنهادی، این واقعیت پذیرفته شود که عمده سازوکارهای امنیت سایبری که به منظور مقابله با نفوذ هکرها توسعه یافته‌اند در مقابل روش‌های پیچیده و قدرتمند هکرهای امروزی کارایی مناسبی ندارند.

اغلب سازوکارهای سنتی دفاعی امنیت سایبری، نیازمند داشتن بانک اطلاعاتی از ویژگی‌های بدافزارهایی هستند که برای مقابله با آنها توسعه یافته‌اند و در مقابل بدافزارهای ناشناخته توان مقابله کافی ندارند. نکته همین‌جا است. دلیل پیشنهاد تغییر رویکرد در امنیت سایبری توجه به این ناکارآمدی در مقابل تغییرات مستمر تکنیک‌های هک و نفوذ است. در حال حاضر هیچ ضمانتی وجود ندارد که کسی از تهدیدهای سایبری مصون باشد. حتی در بهترین شرایط برقراری امنیت، هکرها برای سال‌ها خود را مخفی نگه داشته و سربزنگاه هدف خود را عملی می‌کنند.

باید توجه داشت که کارشناسان توصیه نمی‌کنند سازمان‌ها استقرار محیط دفاعی مانند نرم‌افزار آنتی‌ویروس یا فایروال را متوقف کنند، بلکه پیشنهاد این است که برای مقابله با هک‌های پیچیده نیاز به یک استراتژی شبیه به تله‌گذاری است. به نظر می‌رسد این رویکرد می‌تواند مانع زیان‌های بزرگ سازمان‌ها شود.

ضعف تکیه به یک فایروال شبیه این است که یک حصار در اطراف یک مجتمع مسکونی ساخته شود، اما نگهبانی برای گشت‌زنی در خیابان داخلی آن مجتمع وجود نداشته باشد.

بنابر اعلام شرکت امنیتی که عهده‌دار بررسی پرونده هک اطلاعات شرکت بیمه آنتم، دومین شرکت بیمه آمریکا را هدف قرار دادند، بود، هکرهایی که اطلاعات شخصی 80 میلیون مشتری این شرکت بیمه را سرقت کردند برای بیش از یک ماه پیش از اینکه تشخیص داده شوند در داخل سیستم نفوذشده حضور داشته‌اند. همچنین در هک معروف شرکت سونی پیکچرز، هکرهایی که به شبکه استودیوهای هالیوود رخنه کرده بودند، تا زمانی‌که کامپیوترهای شرکت از کار بیفتند و کوهی از اطلاعات در اینترنت منتشر شود، شناسایی نشده بودند.

اگر در شرکت سونی پیکچرز راهکاری برای مواجهه با هکرها پس از نفوذ اولیه آنها به شبکه پیش‌بینی شوده بود، چه‌بسا جلو آن حمله سایبری گسترده گرفته می‌شد یا زیان آن به حداقل می‌رسید. مقدار داده‌هایی که طی حملات سایبری اخیر از سیستم‌های سونی کپی و حذف شد‌ند باید به‌عنوان هشداری از وجود بدافزار در سیستم‌ها تلقی می‌شد. اگر با تنظیم کردن آلارم روی رایانه‌های شخصی برای هشدار انتقال میزان قابل توجه داده می‌شد، می‌توانستند از این حمله سایبری تا حدودی جلوگیری کنند.

در صنعت امنیت سایبری چنین رخنه‌های امنیتی بلندمدتی را به‌عنوان تهدیدات سایبری مداوم پیشرفته یا APT طبقه‌بندی می‌کنند. مهم‌ترین ویژگی‌های این رخنه‌های امنیتی حضور طولانی‌مدت هکرها در شبکه قربانی برای کسب حداکثر اطلاعات هدف‌گذاری شده است. چنین حملات سایبری اغلب توسط دولت‌ها و با هدف کسب اطلاعات تجاری و نظامی ارزشمند مورد حمایت مالی قرار می‌گیرند.

نمونه‌های زیادی از حملات سایبری سازمان‌یافته بلند‌مدت وجود دارد. برای مثال طی سال‌های گذشته سازمان‌های دولتی و کسب‌وکارهای کشور کره جنوبی تحت حملات مکرر هکرها قرار گرفتند و ارزیابی‌های انجام‌شده توسط سئول حاکی از آن بود که منشأ این حملات سایبری کره شمالی است. از این‌رو چند شرکت امنیت سایبری این کشور با همگام کردن خود با روند رو به‌رشد جهانی در عرصه امنیت اطلاعات، توسعه سیستم‌های امنیتی را آغاز کردند که به جای اسکن تهدیدات سایبری شناخته‌شده، قادر به تجزیه و تحلیل فعالیت‌ شبکه‌ها و اینترنت باشد و بتواند الگوهای بالقوه مشکوک را تشخیص دهد.

کوون سئوک، مدیرعامل شرکت امنیت سایبری Cuvelia و عضو تیم مقابله با جنگ‌های سایبری دولتی کره جنوبی، معتقد است باید برای متقاعد کردن مدیران سازمان‌ها و کسب‌وکارها به استفاده از رویکردهای مواجهه با هکرها در مراحل پس از نفوذ به جای استفاده از رویکرهای پیشگیری محض تلاش کرد هرچند با توجه به ریسک‌پذیری کم‌اکثر سازمان، نتیجه دادن این تلاش‌ها را در حال حاضر غیرممکن ساخته است.

بنا به گفته کوون سئوک، آخرین محصول نظارتی شرکت Cuvelia ‌از تمام فعالیت‌های شبکه لاگ نگه می‌دارد و فعالیت‌ها را به کاربران مجاز و هکرهای احتمالی انتصاب می‌دهد. هنگامی که شرایط خاصی محقق شود، برنامه هشداری برای تلفن‌های موبایل اعضای تیم پشتیبانی امنیتی ارسال می‌کند. کارشناسان امنیت می‌توانند پشت سیستم بنشینند و فعالیت هکرها را تماشا کنند و واکنش مناسب را انجام دهند. به این ترتیب با ارایه داده‌های جعلی و تله‌گذاشتن برای هکر می‌توان حملات سایبری را کنترل و مدیریت کرد. همچنین فرصت خوبی برای ارزیابی رفتار هکرها در رایانه قربانی فراهم می‌شود.

در یک مورد، یکی از مشتریان محصولات امنیتی Cuvelia به مدت یک ساعت نظاره‌گر فعالیت هکر در شبکه خود بوده است که چگونه هکر اقدام به پویش، نصب ابزارهای نرم‌افزاری ویژه، بازیابی رمزهای عبور و ازکار انداختن ضدویروس کرده است.

برای هکرهای ماهر، معمولا حدود 20 دقیقه طول می‌کشد مراحل اولیه حمله را انجام داده و اجازه دسترسی پنهانی به یک شبکه را به‌دست آورند. به طور معمول تیم امنیتی می‌تواند در عرض چند دقیقه پس از جمع‌آوری اطلاعات در مورد ابزار هکرها حمله متقابل را تدارک ببیند.

با تغییر رویکرد محصولات امنیتی، شبکه به سمت هوشمندی و کشف رفتارهای مشکوک موجب جا افتادن بیش از پیش این نظریه می‌شود که با تکیه بر چنین سیستم‌های امنیتی واهمه مسوولان امنیتی سازمان‌ها از نفوذ اولیه هکرها کمتر خواهد شد. اعتماد به مقابله موثر با نفوذهای هکری و ارزیابی دقیق و رفع نقاط ضعف شبکه مهم‌ترین مزیت‌های استفاده از این سازوکار (راه دادن هکرها به داخل شبکه) است.

منبع: Techlife News(منبع:عصرارتباط)