انتشار شده در تاریخ 1392/07/15 - 18:49

5 درسی که باید از حملات سایبری بیاموزیم

هیچ سازمانی، صرفه‌نظر از میزان بزرگی یا کسب و کار مربوطه، از شر حملات سایبری در امان نیست.

هیچ سازمانی، صرفه‌نظر از میزان بزرگی یا کسب و کار مربوطه، از شر حملات سایبری در امان نیست.
شرکت امنیتی Bit9 اواخر سال گذشته بود که اعلام کرد نفوذگران یکی از گواهی‌های دیجیتالی امضای کد آن را سرقت کرده و با استفاده از آن حملات بدافزاری علیه ۳ مشتری این شرکت را امضا کردند. این وضعیت دردناک و نگران‌کننده‌ای برای چنین شرکت امنیتی است اما Bit9 توانست جزییات حساب‌کاربری برخی از عوامل این حمله و بدافزار مورد استفاده را بیابد.
Harry Sverdlove، یکی از کارشناسان Interop، به بیان ۵ درسی پرداخت که از حملات سایبری امروزی می‌توان آموخت.
درس شماره‌ی ۱: هر شخصی یک هدف سایبری محسوب می‌شود.
شرکت‌های کوچک، تولیدکنندگان و حتی فروشگاه‌ها هم در معرض حمله قرار دارند. لزوماً هر کسی که بر روی برنامه‌ی سلاح‌های اتمی کار می‌کند و یا اطلاعات بسیار باارزشی را داراست، هدف مهمی برای مهاجمان محسوب نمی‌شود. بلکه همه‌ی افراد ممکن است هدف حمله قرار بگیرند.
عوامل جاسوسی‌های سایبری معمولاً از طریق تولیدکنندگان و شرکای تجاری به اهداف نهایی خود دست پیدا می‌کنند. به عنوان مثال حدود ۱ سال و نیم قبل که بدافزار جاسوسی فلیم1 یکی از مشتریان Bit9 را در خاورمیانه هدف قرار داد، این شرکت دریافت که به دلیلِ داشتنِ کسب‌و‌کار در این منطقه دچار آلودگی شده است. به عبارت دیگر این شرکت سکوی پرشِ این حمله تلقی می‌شد.
البته این بدان معنی نیست که شرکت‌های کوچک اطلاعات باارزشی را که به کارِ مهاجمان بیاید، دارا نیستند. به عنوان مثال چندی پیش یک سازنده‌ی لاستیک در تگزاس هدف حمله واقع شد و این حمله مربوط به گروه سایبری پیچیده‌ای بود. به گفته‌ی Sverdlove داشتنِ شیوه‌ی خاصی برای ساخت لاستیک‌، عامل حمله به این شرکت بوده است. بنابراین چنین اطلاعات اختصاصی نیز ممکن است برای جاسوسان و خراب‌کاران سایبری جذاب باشد.
درس شماره‌ی ۲: مهاجمین همواره در حال پیشرفت هستند.
مهاجمان اغلب اطلاعات را با یکدیگر به‌اشتراک می‌گذارند و هر کدی را که توسط انجمن‌های امنیتی منتشر می‌شود، تبدیل به سرمایه می‌کنند. به عنوان مثال بخش‌هایی از کد استاکس‌نت که در پی کشف بدافزار تغییر بازی منتشر شد احتمال موفقیت هر شخصی را افزایش داد.
Sverdlove توضیح داد: «افراد خراب‌کار اطلاعات خود را به‌اشتراک می‌گذارند و گاهی ما این روند را تسهیل می‌کنیم. به عنوان مثال زمانی که به تجزیه و تحلیل کدهای مخرب می‌پردازیم، مهاجمان نیز این نمونه‌ها را همانند مولفه‌های متااسپلویت، که به هنگام یافتنِ آسیب‌پذیری‌های روزصفرم منتشر می‌شود، بارگیری می‌کنند.»
به عنوام مثال متااسپلویت یک ابزار امنیتی فوق‌العاده برای پژوهش‌گران است اما به مهاجمینِ دارای تجربه‌ی کم‌تر هم این امکان را می‌دهد که آن را بارگیری کرده و حملات روزصفرمی را ترتیب دهند.
حملات انسداد سرویس توزیع‌شده به طور نمایی در حال قوی‌تر شدن هستند در حالی که حملات watering hole تبدیل به شیوه‌ی محبوبی برای جاسوسان سایبری شده است. به این ترتیب مهاجمان به جای ارسال رایانامه به کاربر، به سمت هدفِ محتمل‌تر می‌روند؛ یعنی وب‌گاهی را که وی اغلب از آن بازدید می‌کند هدف قرار می‌دهند و منتظر کاربر می‌نشینند.
از آن‌جایی که بسیاری از شرکت‌ها وب‌گاه‌های خود را از کدهایی که بیرون از شرکت تهیه می‌شود، ایجاد می‌کنند، کنترل کم‌تری بر امنیت آن‌ها دارند. همچنین سازمان‌ها قادر نیستند تمامی وب‌گاه‌هایی را که کاربرانشان بازدید می‌کنند، ایمن سازند. از این رو مجرمان سایبری یک قدم جلوتر قرار دارند.
گروه‌های سایبری بزرگ چینی متشکل از بخش‌هایی است که وظایف را در حملات بین خود تقسیم می‌کنند؛ یک گروه وب‌گاه‌ها را به خطر می‌اندازد و اهداف مورد نظر را انتخاب می‌کند و اطلاعات آن را در اختیار گروه دیگری قرار می‌دهد که نفوذ به اطلاعات را بر عهده دارد. به این ترتیب آن‌ها قادرند کمپین‌هایی را که مدت زمان طولانی‌تری دارد به انجام برسانند. البته در این صورت نیز آن‌ها صرفاً یک هدف مشخصی را در ذهن ندارند، بلکه تمامی بخش‌ها را به خطر انداخته و بعداً زمانی که به اطلاعات خاصی از سایر بخش‌ها نیاز داشته باشند، می‌توانند به راحتی آن‌ها را در اختیار گیرند.
درس شماره‌ی ۳: این‌طور فکر کنید که هدف حمله واقع شده‌اید.
به گفته‌ی Sverdlove باید همواره گمان کنید که مورد نفوذ واقع شده‌اید و مهاجمینِ پیشرفته امروزی قادرند شما را کنترل کنند و به اطلاعاتتان دست یابند. از این رو باید تصور کنید که تحت حمله قرار گرفته‌اید و سپس از خود بپرسید که «چگونه می‌توانم بفهمم که مورد حمله قرار گرفته‌ام؟»
Sverdlove بیان کرد که در این شرایط باید برنامه‌ی امنیتی خود را از حالت پیشگیری از حمله به حفاظت در برابر حمله تغییر دهید و دریابید که در محیط شما چه می‌گذرد. به عبارتی باید به دنبال پاسخی برای حمله باشید.
بخشی از برنامه‌ی امنیتی شما باید پیشگیری، تشخیص و سنجش میزان سرعتتان در پاسخ به حمله باشد. به عنوان مثال آیا قصد دارید سریعاً سامانه را پاک‌سازی کنید و یا به یک محیط سندباکس ببرید و عملیات افراد خراب‌کار را زیرنظر بگیرید.
درس شماره‌ی ۴: شیوه‌های امنیتی سنتی مشکلات امروزی را برطرف نمی‌کنند.
شیوه‌های قدیمی مبتنی بر امضا نمی‌توانند مانع از حملات پیچیده شوند. عمدتاً شرکت‌هایی که مورد حمله قرار می‌گیرند تمامی این فناوری‌ها اعم از ضدبدافزار و دیواره‌ی آتش را دارا هستند ولی با این حال مورد نفوذ قرار می‌گیرند.
بنابراین چنین فناوری‌هایی کافی نیستند اما به هر حال وجودِ آن‌ها نیز ضروری است.
درس شماره‌ی ۵: ناامید نشوید.
سازمان‌ها می‌توانند گام‌هایی را برای کاهش خطر حملات هدفمند بردارند. به گفته‌ی کارشناسان کافی است در برخی موارد جزئی دقت کرد؛ به عنوان مثال نباید رایانامه‌ی دوستانه‌ی خود برای امور کاری استفاده کنید. چرا که این اقدام مقدمه‌ی یک حمله‌ی اسپرفیشینگ2 می‌شود.
علاوه بر آن باید همواره سامانه‌عامل و نرم‌افزارهای خود را به‌روز‌ نگاه دارید و سیاست‌هایی را برای برنامه‌های مخاطره‌آمیز مانند جاوا اتخاذ کنید.
در نهایت اینکه سیاست‌هایی را برای انتخاب گذرواژه‌های ایمن تنظیم کنید. به عنوان مثال شرکت Bit9 به طور منظم با استفاده از ابزارهای شکستن گذرواژه‌ی موجود در فضای مجازی به بررسی گذرواژه‌های کاربران می‌پردازد. در صورتی که شکستن گذرواژه‌ها با این ابزار ممکن باشد، به کاربر اطلاع داده می‌شود تا گذرواژه‌ی قوی‌تری را برگزیند.