مدل‌های مختلف دفاع سایبری در آمریکا

در مدل‌های قدیمی دفاع سایبری مراحلی از قبیل، پیدا کردن کد حمله، جدا کردن سیستم‌ها و سامانه‌های آلوده‌شده، ایجاد وصله‌های امنیتی به‌منظور خنثی‌سازی حملات، استفاده از این وصله‌ها در سراسر شبکه استفاده می‌شد.دولت آمریکا درگذشته از دفاع پیشگیرانه سایبری (Proactive Cyber Defence) استفاده می‌کرد. در حقیقت این دفاع، تنها جنبه انفعالی دارد و کاربر منتظر می‌ماند تا حمله‌ای صورت گیرد و سپس اقدام به دفاع کند. از سال 2011 تا 2018، آمریکا راهبرد دفاع فعال سایبری را پیشنهاد کرد که هنوز هم طرفدارانی را دارد و در پروژه‌ای نیز توسط سازمان دارپا برای پیشبرد این مدل وجود دارد؛ اما از سال 2018، مدل جدیدی در راهبرد سایبری آمریکا اتخاذ شد. این مدل دفاع روبه‌جلو یا حمله پیشدستانه و همچنین مدل دفاع جمعی یا Federated و Collective است. یکی از علل اتخاذ چنین مدل‌هایی، شیوع حملات سایبری در سطح بین‌المللی و قابلیت گسترش آن‌ها است. در این تحقیق، به بررسی مدل‌های مختلف دفاع سایبری در آمریکا می‌پردازیم.

مدل دفاع فعال سایبری؛ (Active Cyber Defense) (راهبرد سال 2011 و 2015 آمریکا)

این مدل همچنان در آمریکا طرفدارانی دارد و قانون امنیت و دفاع فعال سایبری (ACDC)، برای جلوگیری از کلاه‌برداری و سوءاستفاده‌های رایانه‌ای در برابر حملات محدود تلافی‌جویانه مزدوران سایبری در این کشور تصویب شد. هک متقابل (Hack Back)، (به معنای اجازه برای هک کردن شبکه یا سامانه دشمن که قبلاً به ما حمله کرده) نیز داخل در این مدل است.

برنامه دفاع فعال سایبری دارپا، برای کمک به عدم تعادل موجود در وضعیت دفاع سایبری آمریکا ایجادشده است. این برنامه یک «زمین خانگی» را برای دفاع آماده می‌سازد؛ به این معنا که با ایجاد پلتفرمی، دشمنان را در فضای سایبری کنترل‌شده وزارت دفاع درگیر می‌کند. این برنامه در سال 2012 ایجاد شد و به دنبال توسعه ظرفیت‌های هماهنگ شده، بی‌درنگ (Real-time) برای کشف، تحلیل و کاهش تهدیدات و آسیب‌پذیری‌های سایبری است. این برنامه با رویکرد فعال، درصدد توانمندسازی مدافعان سایبری برای خنثی‌سازی و اختلال در حملات سایبری دشمن، به‌محض وقوع آن‌ها است. ازجمله اقداماتی که در این مدل صورت می‌گیرد، استفاده از سنسورها در شبکه‌های مختلف است.

سه مفهوم عمده در دفاع فعال سایبری

تشخیص (detection) و جمع‌آوری ادله جرم (Forensic): در این مرحله از روش‌هایی ممکن است استفاده شود که در پدافند غیرعامل سایبری نیز کاربرد دارد؛ مانند گزارش یک شرکت درباره نفوذ یک بدافزار.

فریب (deception)؛ در این مرحله از روش‌هایی مانند ایجاد هانی پات، قطع ارتباط از سرور فرماندهی و کنترل با رایانه‌های آلوده که درنتیجه آن، هکر گمان می‌کند که ورودش مجاز بوده است.

قطع و پایان دادن حمله (attack termination): مانند جلوگیری از نشت اطلاعات از داخل شبکه، متوقف کردن ارتباط میان رایانه آلوده و سرور فرماندهی و کنترل، در اختیار گرفتن کنترل رایانه‌ها از راه دور برای متوقف ساختن حملات و راه‌اندازی حملات DDOS علیه تجهیزاتی که دشمن برای حمله از آن‌ها استفاده می‌کند.

البته برخی گزینه‌های دفاع فعال سایبری، مانند «هک متقابل»، غیرقانونی هستند، زیرا مستلزم دسترسی غیرقانونی یا تغییر اطلاعات روی سرور فرماندهی و کنترل یا رایانه‌هاست.

مدل دفاع روبه‌جلو (Defend Forward) (راهبرد 2018 آمریکا)

این مدل شامل اختلال یا از متوقف یا معیوب کردن فعالیت‌های مخرب سایبری از منشأ شروع حمله از طریق نفوذ به شبکه‌های دشمن یا ضد حمله علیه پویش‌های سایبری که ضد منافع نظامی آمریکا هستند. در این مدل، تشخیص «منشأ حمله» بسیار دشوار است؛ زیرا مهاجمان، زیرساخت‌های خود را از طریق پراکسی‌ها پنهان می‌سازد. در این فرض امریکا چگونه اقدام خواهد کرد؟

یک نظر این است که آمریکا باید به فکر ایجاد قواعدی که منجر به تشکیل یک ائتلاف از صاحبان صنایع، ارائه‌دهندگان سرویس‌های اینترنتی و ... شود باشد تا از این طریق نوعی ارزش‌های حاکمیتی بر قلمروی دیجیتالی شکل بگیرد. در این صورت آمریکا می‌تواند دشواری‌های ناشی از تشخیص منشأ حمله را رفع کند.
ک نظر دیگر استفاده از تحلیل‌های شرکت‌های امنیتی است که به ردیابی تحرکات دشمنان می‌پردازند؛ مانند شرکت فایرآی.

برخی کارشناسان می‌گویند این مدل، به دو شرط دارای اهمیت و ارزش است:

یک؛ طول مدت اختلال یا کاهش سطح توانایی اهداف دشمن
دوم؛ ارزش بازدارندگی داشته باشد.

در حقیقت در این مدل، ارتباط میان پذیرش آثار جانبی یا تمایل به پذیرش خطرهای احتمالی یا پیامدهای ناخواسته از اجرای این مدل، در پیاده‌سازی آن نقش دارند. به‌عبارت‌دیگر، ممکن است اجرای این مدل، نتایج ناخواسته مانند شیوع یک بدافزار در سطح جهانی ازجمله آلودن شدن آمریکا را به همراه داشته باشد. در این صورت امکان دارد مقامات آمریکایی از اجرای این مدل، سرباز بزنند یا با استفاده از عملیات پرچم دروغین (False Flag)، خسارات احتمالی و نتایج ناخواسته را به دوش کشورهای دیگر بیندازند.

البته این مدل دارای ابهاماتی است که اجرای آن را با مشکل مواجه می‌سازد. ازجمله دشواری تشخیص منشأ حمله، اشتباه محاسباتی، مبهم بودن.

تفاوت مدل دفاع فعال سایبری با دفاع روبه‌جلو

مدل دفاعی شناختی (Cognitive modeling)

گزارش راهبردی دفاعی تا سال 2040 مربوط به «مرکز دکترین، محتوا و توسعه» وزارت دفاع انگلیس نشان می‌دهد پیشرفت های مختلف در علوم روباتیک، شناختی، نانوفناوری موجب پیشرفت سریع در مبارزه با حملات به سیستم‌ها خواهد شد. مثلاً ترکیب علوم شناختی با فناوری‌های اطلاعات و ارتباطات، سبب انقلاب در عرصه دفاع سایبری می‌شود. به‌علاوه گزارش فوق بیان می‌کند تحقیقات روی مهندسی معکوس مغز انسان‌ها، در آینده احتمالاً منجر به توسعه مدل‌های دفاعی عصبی می‌شود.

برخی از فناوری‌هایی که در آینده سبب تحول در عرصه دفاع سایبری می‌شوند عبارت‌اند از:

رایانش کوانتومی
دانش شناختی و رفتارشناسی
شبیه‌سازی: پیشرفت‌های علوم ریاضیات و رفتارشناسی و دانش‌های اجتماعی سبب به وجود آمدن قدرت محاسباتی جامعی در آینده خواهد شد که مدل دفاعی کاملی را برای بهبود الگوهای تشخیص مهاجمان به وجود می‌آورد. هم‌اکنون نیروی زمینی آمریکا درصدد رفتارشناسی مهاجمان برای پیشگیری و شناسایی آن‌ها است.
پایگاه‌های داده مجازی: گسترش «وب معنایی» (semantic web) و سایر فناوری‌های نوظهور موجب ذخیره‌سازی داده‌های یکپارچه خواهد شد و داده‌کاوی سبب افزایش سرعت دسترسی به اطلاعات مرتبط می‌شود.

برخی زیرشاخه‌های مدل دفاعی شناختی

مدل embedded computational process

به مدل‌هایی می‌گویند که شامل شبیه‌سازی ادراک و رفتار انسان می‌شود که می‌تواند به‌صورت مستقیم با محیط کار ارتباط داشته باشد. این مدل نیز دارای معماری‌های مختلفی است که در اینجا درباره آن‌ها صحبت نمی‌کنیم. متخصصان در این مدل شیوه‌های گوناگونی را به کار می‌گیرند مثلاً شبیه‌سازی استفاده از مرورگر، شبیه‌سازی استفاده از شبکه‌های اجتماعی، نوع چت کردن، فعالیت در ایمیل‌ها و...

model-tracing techniques

این مدل مانند مدل قبلی است، با این تفاوت که از این مدل برای افراد خاص و در موارد واقعی استفاده می‌شود. مثلاً برای فهم خطاهای دانش آموزان در مسائل ریاضی. این مدل به‌پیش بینی خطاها و مسیرهای احتمالی حمله کمک می‌کند.

مدل دفاعی خودکار

در این مدل با استفاده از یادگیری ماشینی و مدل حملات سایبری دشمن، به تشخیص، تحلیل و خنثی‌سازی عملیات سایبری پرداخته می‌شود. ازجمله مراکزی که در این زمینه برای سازمان دارپا، نیروهای زمینی و دریایی آمریکا سرمایه‌گذاری کرده است، شرکت BAE Systems است. این شرکت با عقد قرارداد 52 میلیون دلاری قصد دارد پروژه‌ای را برای تولید فناوری دفاع سایبری خودکار راه بیندازد. دارپا برنامه‌ای به‌عنوان Cyber- Hunting at Scale دارد که طی آن به تولید فناوری‌های لازم برای تشخیص، تحلیل و خنثی‌سازی حملات سایبری با استفاده از یادگیری ماشینی و مدل حملات می‌پردازد.

همچنین یکی از شرکت‌های توسعه‌دهنده مدل دفاع سایبری خودکار، دارک تریس (Dark Trace) در انگلیس است. این شرکت با بهره‌گیری از روش‌های خاص خود درزمینه‌ی سیستم‌های امنیتی در برابر حملات سایبری دفاع می‌کند و جلوی این حملات را می‌گیرد. این روش‌ها بر پایه‌ی تحقیقات و محاسبات ریاضی تحت عنوان «بیزین» است که در دانشگاه کمبریج توسعه‌یافته است.

شایان ذکر است آمریکا در حال هوشمند سازی مدل دفاعی است؛ به‌عنوان‌مثال، شرکت «level Effect» بات نتی را به نام «Phalanx» طراحی کرده است که می‌تواند به‌صورت هوشمند جلوی حملات DDOS را بگیرد.

سامانه دفاع سایبری انطباقی یکپارچه در بخش‌های بانکی آمریکا

ازجمله بخش‌هایی که در امریکا از دفاع سایبری خودکار استفاده می‌کنند می‌توان به بخش بانکی نام اشاره کرد. بانک‌های این کشور از چارچوبی به نام سامانه دفاع سایبری انطباقی یکپارچه (Integrated Adaptive Cyber Defense System) استفاده می‌کنند.

در این سامانه، با استفاده از اتوماسیون، اثرگذاری عوامل انسانی در دفاع، افزایش می‌یابد. در این حالت، نقش نیروی انسانی به برنامه‌ریزی برای پاسخگویی اختصاص می‌یابد و دفاع سایبری نیز به‌صورت مداوم صورت می‌گیرد.

این سامانه با پشتیبانی وزارت امنیت داخلی، وزارت دفاع و سازمان امنیت ملی آمریکا (NSA) با همکاری دانشگاه جان هاپکینز ایجادشده است. این چارچوب دفاعی مواردی همچون «معماری سازمانی» می‌شود. این نوع معماری، رویکردی جامع و یکپارچه است که جنبه‌ها و عناصر مختلف سازمان (سیستم) را با نگاه مهندسی تفکیک و تحلیل می‌نماید و شامل مجموعه مستندات، مدل‌ها، استانداردها و اقدامات اجرایی برای تحول از وضعیت موجود به وضعیت مطلوب با محوریت فناوری اطلاعات است که در قالب یک طرح مشخص اجراشده و سپس به‌صورت مداوم توسعه و به‌روزرسانی می‌شود.

هدف از این سامانه، تغییر تدریجی جدول زمانی و تأثیر دفاع سایبری از طریق یکپارچه‌سازی، خودکارسازی و اشتراک اطلاعات است.

مدل فدراسیون (Federation)

از مدل مذکور برای بهبود سامانه مانیتورینگ شبکه برق و تعامل متقابل نرم‌افزارهای کنترلی، شبکه‌های نظامی، بخش بانکی استفاده می‌شود. مدل فدراسیون از سوی وزارت انرژی آمریکا برای تداوم ارتباطات در زمان حملات سایبری مانند حمله اختلال سرویس توزیع‌شده، طراحی‌شده است. این مدل، چارچوبی را فراهم می‌سازد که بتوان به‌موقع به اشتراک‌گذاری اطلاعات برای بهبود پاسخگویی لوکال از آن استفاده کرد. این مدل بر 3 رکن استوار است:

تشخیص: (detection) اشتراک‌گذاری سیاست‌های تشخیص تهدید یا حمله از طریق وب پورتال (به وب‌سایت‌هایی که گفته می‌شود که اطلاعاتی را از منابع مختلف، قرار می‌دهند.)
توزیع اطلاعات (distributaion) قابل‌استفاده به‌صورت فایل XML
پاسخ: به معنای اشتراک‌گذاری اطلاعاتی که تنها حاوی ارزش‌هایی باشد که بتواند سبب ادامه کارها شود مانند:

- مسدودسازی آدرس‌های آی.پی
- DNS Black Hole: به معنای سرور DNS که اطلاعاتی غلط را مخابره می‌کند تا از سو استفاده هکر از دامین اصلی جلوگیری شود.
- فیلترینگ URL
- فیلترینگ ایمیل: که از طریق پورتال خاصی به نام IronPortal صورت می‌گیرد.

در حقیقت در این مدل، یک تشخیص لوکال، اشتراک‌گذاری اطلاعات از طریق پورتال‌ها و درنهایت پاسخگویی و تصمیم برای نحوه پاسخگویی به‌صورت لوکال انجام می‌شود. به‌گونه‌ای که سیستم‌های موجود در شبکه، در زمان حمله، به‌موقع در یک حصار امن قرار داده می‌شوند و کاربران سیستم‌ها با استفاده از اطلاعات به اشتراک گذاشته‌شده و به‌کارگیری روش‌های تحلیل عمیق، به پاسخگویی اقدام می‌کنند و نهایتاً ارتباطات تداوم پیدا می‌کند. تحلیل عمیق به فر آینده استفاده از دیتا ماینینگ در استخراج، آنالیز و دسته‌بندی داده‌ها در یک قالب کاربردی و مفید برای سازمان اطلاق می‌شود.

در مدل فدراسیون، مرحله تشخیص و توزیع اطلاعات و تصمیم برای پاسخگویی به شکل لوکال صورت می گیرد.

استفاده بخش‌های نظامی در آمریکا و ناتو از مدل فدراسیون

سازمان ناتو و آمریکا برای دفاع از شبکه‌های نظامی خود از این مدل استفاده می‌کنند. مثلاً ناتو پروژه‌ای به نام «Federated Mission Networking» و آمریکا پروژه‌ای مشابه به اسم «Mission Partner Enterprise» دارد. آمریکا با برخی از شرکای خود در آسیا، چنین مدلی را اجرا می‌کنند. همچنین بخش بانکی، ازجمله بخش‌هایی است که به این مدل نیازمند است. در این مدل، گاه شبکه‌های دو کشور که مشترک‌المنافع هستند و گاه شبکه‌های بین سازمان‌ها، بنگاه‌ها و ... به‌صورت Federated پیکربندی می‌شود.

در اینکه در مدل مذکور چه اطلاعاتی باید به اشتراک گذاشته شود، عقیده واحدی وجود ندارد. برخی نوشته‌اند اطلاعاتی که به اشتراک گذاشته می‌شوند بستگی به سطح هشداری دارد که از سوی افراد یا سازمان‌ها داده می‌شود. در این مورد، دانشگاه‌ها، دولت و صنایع، اطلاعاتی را در وب پورتال به اشتراک می‌گذارند.

شایان‌ذکر است وزارت امنیت داخلی آمریکا در راهبرد جدید خود، در حال اتخاذ مدل دفاع جمعی است که بر پایه همین اشتراک‌گذاری اطلاعات است.

توضیح مراحلی از عملیات دفاعی در مدل Federation

اقدامات داخلی در شبکه: این اقدامات موجب هدر رفتن وقت برای مهاجم می‌شود. به این معنا که در این مرحله، با ایجاد زمان بیشتر برای مهاجم، مدافع سایبری می‌تواند اطلاعات بیشتری را از او و روش حمله به دست بیاورد.

اقدامات فعال در خارج از شبکه اصلی: شامل اقداماتی در شبکه Federated یا یک شبکه بی‌طرف و جدا از شبکه کسانی می‌شود که مشغول دفاع هستند.

اقدامات فعال به‌منظور هدف‌گیری مستقیم مهاجم: شامل اقداماتی در شبکه یا سیستم مهاجم می‌شود. این اقدامات می‌تواند از طریق یک شبکه جدا یا به‌وسیله همان شبکه Federated صورت بگیرد و نوعی ضد حمله است.

آمریکا مرحله اول را عملیات دفاع سایبری به معنای اقدامات داخلی (Defensive Cyber Operations– Internal Measures) و مرحله سوم را عملیات دفاع سایبری به معنای اقدامات پاسخگویی می‌نامد. (Defensive Cyber Operations – Responsive Actions)

نتیجه‌گیری

به نظر می‌رسد آمریکا قصد دارد با مدل فدراسیون، هرچه بیشتر به سیاست شناسایی عوامل سایبری و انتساب حملات سایبری جامه عمل بپوشاند. همچنین با این مدل می‌تواند دامنه اشتراک‌گذاری اطلاعات را با کشورهای هم‌پیمان خود گسترش دهد و از این طریق به همان هدف خود یعنی ایجاد یک سیستم جرم یابی سایبری بین‌المللی دست پیدا کند. همان‌گونه که در راهبرد سایبری وزارت دفاع آمریکا آمده است این کشور تصمیم دارد با همکاری هم‌پیمانانش (خصوصاً سازمان ناتو) به تقویت امنیت سایبری و مبارزه با تهدیدات بپردازد. در حقیقت این مدل یکی از تاکتیک‌های آمریکا برای بازدارندگی سایبری نسبت به شبکه‌های نظامی و بخش مالی، است. با توجه به اینکه هدف اصلی تشکیل سازمان ناتو، نظامی است، می‌تواند به همکاری‌های احتمالی آینده آمریکا و این سازمان در حوزه توسعه این مدل دفاعی و پاسخگویی به حملات و همچنین شناسایی مجرمان سایبری به‌صورت بین‌المللی پی برد؛ زیرا اصول «دفاع جمعی» یا همان «Collective Defense» از راهبردهای پذیرفته‌شده در آمریکا و سازمان ناتو است. درنتیجه می‌توان گفت حملات سایبری به بخش نظامی یا مالی آمریکا احتمالاً شاید منجر به شناسایی هرچه بیشتر مهاجمان و لو رفتن اسامی آن‌ها شود.