انتخاب صفحه
شماره 5033 - سه شنبه 12 آذر 1398
شماره های پیشین:

ضرورت آمادگی در مواجهه با تهدیدات سایبری

بهرام یعقوب زاده آشوریان*

از آغاز عصر ارتباطات تا به امروز که در عصر اطلاعات می‌گذرانیم، حیات و توسعه کسب و کارهای نوین از جمله خدمات بانکداری، تلکام و رسانه، به پویایی و انعطاف پذیری آنها در تطابق و همگامی با تغییرات و توسعه فناوری اطلاعات و ارتباطات وابسته بوده است، به نحوی که امروز پیش نیازهای ارائه انواع خدمات از ارتباطات راه دور گرفته تا خدمات بانکی و از حمل و نقل گرفته تا حوزه رسانه، دیگر محدود به زیر ساخت‌های آنالوگ و حتی دیجیتال ارتباطی تعریف نشده و بسیاری نیازمندی‌های تکنولوژیک وابسته به فناوری اطلاعات و ارتباطات را طلب می‌نماید. این در حالی است که در این فضای مبتنی‌بر فناوری اطلاعات، تهدیدات امنیت سایبری هر روز شکل پیچیده‌تری به خود گرفته و انواع حملات سایبری از بدافزارها و باج‌افزارها، تا حملات منع سرویس (DoS)  و نفوذ و سرقت اطلاعات، خسارات مالی و اعتبار گسترده‌ای را متوجه دارایی‌های اطلاعاتی و الکترونیکی سازمان‌ها و کسب و کارهای فراگیر می‌نمایند. این امر ضرورت توسعه ظرفیت‌ها و توانمندی‌های دفاع سایبری و بکارگیری تمهیدات امنیت فاوا در سازمان و استقرار مکانیزم‌های دفاع در عمق تشخیص و مقابله با رخدادهای امنیت فاوا را بیش از پیش نمایان می‌سازد.
در همین راستا سوابق وقوع رخدادهای امنیتی به زیرساخت‌های حیاتی، صنایع و خدمات مختلف از جمله زیرساخت‌های پژوهشی و اجرایی هسته‌ای، شبکه‌های تلکام و اپراتورهای تلفن همراه، خدمات بانکی و زیرساخت‌های رسانه‌ای کشور نشان می‌دهد که استفاده از راهکارها و تجهیزات امنیتی دفاعی مرسوم مانند دیوارهای آتش(Firewall)  صرفا و مستقلا قادر به پیشگیری از وقوع تهدیدات امنیتی پیچیده نبوده و درنهایت رخدادهای امنیتی راه خود را به درون شبکه‌های امن سازمان‌های ما باز نموده و بعضا به اطلاعات طبقه‌بندی شده دسترسی می‌یابند. به طور کلی حملات سایبری با انگیزه‌های مالی، سیاسی یا شخصی صورت می‌پذیرد و مهاجم با اسکن شبکه هدف، شناسایی و متعاقبا دسترسی به یکی از سیستم‌های آسیب‌پذیر یا محافظت نشده که تحت عنوان قربانی از آن یاد می‌شود، به راحتی وارد شبکه مورد نظر شده و با اقداماتی همچون ارتقای سطح دسترسی، ایجاد دسترسی درب پشتی (Back-door) و نفوذ به سایر سیستم‌ها، اقدامات مخرب خود را در پی می‌گیرد. از جمله حملات سایبری که در فضای مبتنی بر فناوری اطلاعات و ارتباطات هر روزه و هر روز بیش از پیش موجب بروز خسارات مالی و اعتباری به دارایی‌های اطلاعاتی و الکترونیکی سازمان‌ها می‌گردند می‌توان به مواردی همچون حملات منع سرویس(DoS/DDoS)، انواع بدافزارها مانند تروجان‌ها، باج افزارها، جاسوس افزارها و انواع نفوذ به سامانه‌های سازمانی مانند سرورهای ایمیل و برنامه‌های کاربردی تحت وب اشاره کرد. در سال‌های گذشته انواع جاسوس افزارهای مخرب موجب افشای اطلاعات محرمانه ملی و تجاری در میان سازمان‌ها و شرکت‌های کشور شده است. باج افزارها به عنوان یکی از مرسوم‌ترین نوع بدافزارها، هر روزه اطلاعات مهم بسیاری از سرورهای فعال در ادارات و شرکت‌های کشور را رمزنگاری نموده و برای بازگشایی آنها باج خواهی می‌کنند. حملات منع سرویس، عمدتا به سامانه‌های تحت وب مرتبط با خدمات اجتماعی و بعضا تجاری، موجب بروز اختلال در سرویس دهی شده است. نفوذ به پایگاه‌های اطلاعاتی و سرقت اطلاعات از طریق حمله به برنامه‌های کاربردی تحت وب یکی دیگر از حملات سایبری پر مخاطره برای سازمان‌ها به شمار می‌آید و انواع حملات و تهدیدات مرتبط با سرویس‌دهندگان ایمیل، از جمله سرقت اطلاعات شخصی و سازمانی، ایمیل اسپم‌ها، انواع کلاهبرداری‌های ایمیلی، حملات فیشینگ و حملات مهندسی اجتماعی از طریق کارکنان، بعنوان یک چالش مستمر برای دفاع از دارایی‌های شخصی، تجاری و سازمانی تبدیل شده است.
به این ترتیب استقرار مراکز امنیتی پیشرفته به منظور تشخیص و مدیریت رخدادهای امنیت فاوا بعنوان یک ضرورت در شناسایی و مقابله با تهدیدات سایبری مطرح می‌شوند و در راستای شناسایی و کاهش خسارات ناشی از بروز تهدیدات و همچنین ارتقای سطح آمادگی سازمان‌ها در مواجهه با تهدیدات آتی موثر عمل می‌نمایند. مراکز عملیات امنیت (SOC) با جمع‌آوری و همبسته سازی رویدادهای الکترونیکی در گردش، در میان تجهیزات امنیتی، تجهیزات شبکه‌ای و سامانه‌های سرویس دهنده در سازمان، ناهنجاری‌ها و تهدیدات امنیتی را شناسایی نموده و جهت تحلیل و رسیدگی به مرکز واکنش به رخدادهای امنیتی تحت عنوان CSIRT/CERT ارجاع می‌نمایند. مرکز واکنش به رخداد‌های امنیتی به عنوان نقطه تماس متمرکز و متولی رسیدگی به رخدادهای امنیت سایبری در سازمان، تهدیدات و ناهنجاری‌های شناسایی و ارجاع شده از مبادی ورودی مختلف را با بهره گیری از نیروی انسانی متخصص و استفاده از ابزارهای آزمایشگاهی پیشرفته تجزیه و تحلیل نموده و نسبت به ارائه راهکارهای مقتضی سریعا اقدام می‌نماید.
به کار گیری نیروی انسانی متخصص و آموزش دیده در حوزه تحلیل و مقابله با رخدادهای امنیتی و تجزیه و تحلیل رفتار انواع بدافزاها براساس فرایند‌های منسجم در عملیات رسیدگی صورت می‌پذیرد و بهره‌مندی از تجارب انباشته حاصل از سوابق رسیدگی به ناهنجاری‌های امنیتی و استفاده از تجهیزات آزمایشگاهی تخصصی منجر به ریشه یابی آسیب‌پذیری‌ها و کشف علل و عوامل مرتبط با حمله شده و منتج به تدوین و ارائه راهکارهای امنیتی مقتضی و دستورالعمل‌های بازدارنده موثر در سازمان می‌گردد. این امر در میان مدت به کاهش نرخ بروز تهدیدات مشابه در سازمان منجر شده و موجب ارتقای سطح آگاهی و آمادگی امنیتی سازمان در مواجهه با تهدیدات سایبری آتی خواهد بود.
از سویی دیگر، در فضای تبادل اطلاعات کنونی که در آن مهاجمین در شبکه‌های تاریک(Dark-net)  با یکدیگر در ارتباط بوده و مهارت‌ها و دانش خود را جهت سوء استفاده هرچه بیشتر از آسیب‌پذیری‌های کشف شده و دستیابی به کدهای مخرب روز صفر (Zero Day Attack) افزایش می‌دهند، تعاملات موثر میان مراکز امنیتی و مراکز واکنش به رخداد ملی و بین‌المللی در یک زیرساخت امن و مبتنی بر اعتماد به منظور اشتراک‌گذاری شاخص‌های مرتبط با تهدیدات شناسایی شده و راهکارهای مقابله با این تهدیدات و در نتیجه آمادگی پیش‌دستانه در مواجهه با تهدیدات بالقوه آتی، امری حیاتی به شمار آمده و یکی دیگر از مولفه‌ها و خدمات قابل توجه مراکز واکنش به رخداد در نظر گرفته می‌شود.
در گام بعدی توسعه ظرفیت‌های مقابله با رخداد بصورت اتوماتیک، هوش مصنوعی نیز به کمک تجربه و تخصص انسانی آمده و روش‌های اکتشاف (Heuristic)، رفتار شناسی(Behavioral Analysis)، فراگیری ماشین(Machine Learning)  و داده کاوی (Data Mining)، منجر به ظهور مکانیزم‌ها و ظرفیت‌های شکار تهدید(Threat Hunting)  و هوش تهدید (Cyber Threat intelligence) شده و قابلیت‌های تشخیص بموقع و پیش بینی تهدیدات بالقوه و همچنین روش‌های مقابله موثر و سریع بصورت اتوماتیک یا نیمه اتوماتیک را برای مراکز امنیتی سازمان فراهم می‌آورد. ارتقای سطح آگاهی و آمادگی امنیتی سازمان در مواجهه با تهدیدات سایبری در کنار رشد و بلوغ تکنولوژیک و نیروی متخصص مراکز امنیتی بویژه مرکز واکنش به رخداد، در کنار بهره‌گیری از تعاملات تخصصی با سایر مراکز امنیتی ملی و بین‌المللی در یک فضای تبادل اطلاعات امن و قابل اعتماد، تنها نقطه اتکای سازمان برای کنترل و مقابله با رخدادهای بوقوع پیوسته و آمادگی پیش‌دستانه در مواجهه با تهدیدات آتی
 خواهد بود. 
در این مسیر بکارگیری تجهیزات و مکانیزم‌های واکنش به رخداد نوین از جمله قابلیت‌های هوش مصنوعی و اشتراک گذاری تهدیدات و بهره‌گیری از دانش متخصصان فعال و مستعد، منجر به نتیجه مطلوب و موثر خواهد بود. به این ترتیب مراکز امنیتی پیشرفته در مدیریت رخداد که تحت عنوان مراکز عملیات امنیت (SOC) و مراکز امداد و واکنش به رخدادهای امنیتی (CERT)، به عنوان یک ضرورت نقش خود را در تداوم کسب و کار سازمان‌ها و حفظ امنیت دارایی‌های اطلاعاتی و الکترونیکی و زیرساخت‌های حیاتی کشور ایفا نموده و یک دیوار مقابله‌ای پس از شکست کلیه دیوارهای دفاعی جهت واکنش به موقع و کنترل شرایط و بازگرداندن سرویس دهی به وضعیت مطلوب و امن ایجاد خواهد نمود.
*کارشناس ارشد امنیت اطلاعات 
مدیر فنی طراحی و پیاده‌سازی مراکز واکنش به رخدادهای امنیتی(CERT/CSIRT)
 

لطفا نظر خود را درباره این مطلب بیان نمایید

draggablePen