حملات جدید (یک حمله قدیمی که به حمله جدید تبدیل شده)

با وجود اینکه حملات جدید احتمالا بیشترین توجه را به خود جلب می­کنند، ولی فکر نکنید که حملات قدیمی کاملا از بین رفته ­اند.

فلسفه­ جرایم سایبری مانند هر تجارت (کسب و کار) دیگری است. با اینکه نوآوری حیاتی است، تحت کنترل نگه­داشتن هزینه­ ها و درعین حال افزایش بازگشت سرمایه تضمین می­کند که چراغ­های کسب و کار روشن بمانند. همین دلیل باعث شده تا بدافزارهای جدید و حملات روز صفر( Zero-day attacks ) بسیار نادر باشند و توسط پیکربندی مجدد بدافزار و بازگشت منظم حملات قدیمی به شدت کاهش یابند.

این موضوع در آخرین گزارش چشم­ انداز تهدید جهانی شرکت فورتی­ نت برای سه ماه­ه چهارم سال 2018 دوباره نشان داده شده، جایی که گزارش شده بود که اکسپلویت­ هایی که سازمان­ های فردی را هدف قرار دادند_ اغلب انواع بدافزارهای موجود و یا سوء­استفاده از نرم­ افزارهای امنیتی رایگان و متن باز همچنان به سرعت رشد می­کنند: 10 درصد در سه ماه، در حالی که تعداد اکسپلویت­ های منحصر به فردی که تجربه کردند 5 درصد افزایش داشت. این نشان می­دهد علی­رغم اینکه برخی گزارش­ها حاکی از آن است که افراد متخلف از یک روال یکسان به روی قربانیان خود استفاده می­کنند، مجرمان سایبری اینگونه نیستند. همانطور که انتظار دارید، همه­ ی این بدافزارها ( به ویژه بات­نت­ ها ) در حال پیچیده­ تر شدن هستند و شناسایی آن­ها سخت­ تر می­شود.

یافته­ های کلیدی بیشتر

در این گزارش چهار سناریوی کلیدی دیگر وجود دارد که ارزش این را دارند نگاهی دقیق­ تر به آن­ها بیاندازیم:

1. تهدید ابزارهای تبلیغاتی در حال فراگیر شدن:

   در سراسر دنیا، ابزار تبلیغاتی در بالای لیست آلودگی توسط بدافزارها قرار دارند ( بیش از یک چهارم انواع آلودگی­های امریکا ، اقیانوسیه، و تقریبا یک چهارم اروپا) این نوع حملات امروزه نه تنها مایه­ آزردگی می­شوند بلکه به یک جریان اصلی تبدیل شده­ اند و به صورت فزاینده­ ای در اپلیکشن­هایی که در فروشگاه­های مجاز عرضه می­شوند وجود دارند.

2. بدافزارها در حال دسترسی برای عموم هستند:

   بسیاری از کاربران از ابزارهای متن باز و رایگان که به منظور کاربردهایی نظیر تست­ نفوذ، مدیریت وقایع و ثبت گزارش، و تشخیص بدافزار طراحی شده اند و در سایت­هایی نظیر GitHub به اشتراک گذاشته می­شوند. این به محققان در آنالیز اکسپلویت­­­ها، به تیم­های امنیتی در تست سیستم دفاعی خود کمک می­کند. همچنین به آموزش دهنده­ های حوزه­ امنیت زمانی که در آزمایشگاه به دانشجویان خود آموزش می دهند، در استفاده از مثال­های واقعی کمک می­کند. با این وجود به دلیل اینکه این نرم افزارهای متن باز در دسترس عموم قرار دارند، مجرمان سایبری نیز به آن­ها دسترسی دارند. داده­ ها نشان می­دهند که آن­ها به طور فزاینده­ ای از این ابزارها بهره برده و آن­ها را به تهدیدات جدید مانند Ransomware ها تبدیل می­کنند.همین موضوع برای بدافزارهای متن باز، نظیر بات­نت اینترنت اشیاء Mirai نیز صادق است که در سال 2016 راه­ اندازی شد. از آنجایی که توسعه­ دهندگان کدهای آن را در اینترنت قرار دادند، صدها نسخه از آن منتشر شده است.

3. استگانوگرافی در حال بازگشت است:

   استگانوگرافی اطلاعاتی را (مثلا کدهای مخرب)، در فایل دیگری پنهان می_­کند. این یک حمله­ ی قدیمی است که مربوط به دهه­ های قبل است که امروزه اکثرا در مسابقات “پرچم را بدست بیار ( Capture the flag competition )” دیده می­شود. ولی در 3 ماهه­ ی چهارم سال 2018، ما شروع موج دوم آن را دیدیم. نمونه­ های جدید استگانوگرافی پیدا شده توسط محققان حوزه­ تهدید به ما نشان داد اطلاعات مخرب در meme هایی که در شبکه­ های اجتماعی به خصوص تویتر در حال رد و بدل بودن پنهان می­ شده اند. در زمان حمله وقتی که عکس آلوده لود شده و با مرکز فرمان و کنترل خود ارتباط برقرار کرده باشد به بدافزار دستور داده شده که در مطالب مرتبط تویتر به دنبال عکس­های دیگری که حاوی دستورات پنهان مانند اسکرین شات گرفتن و بازگرداندن لیست پروسس­ های در حال اجرا هستند بگردد.

4. امنیت فیزیکی و شبکه IP در حال گسترش دادن چشم­ انداز تهدید هستند: ­

   یک دوم از 12 اکسپلویت­ برتر شناسایی شده در سه ماه­ چهارم دستگاه­ های اینترنت اشیاء را هدف قرار دادند، و چهار تا از آن 12 اکسپلویت مربوط به دوربین­ های امنیتی با قابلیت IP بودند. در یک پیچ و تاب ، مجرمان سایبری به طور فزاینده ­ای در حال هدف قرار دادن دوربین­های امنیتی هستند، چرا که مانند خیلی از دستگاه­های IoT، آن­ها نیز از فقدان پروتکل­ های امنیتی لازم برای محافظت از خود رنج می­برند. بدست آوردن دسترسی دوربین­های IP می­تواند به مجرمان سایبری اجازه دهد که در فعالیت­های محرمانه جاسوسی کنند، یا فعالیت­های مخربی نظیر خاموش کردن دوربین­ ها به منظور دسترسی فیزیکی ساده­ تر به یک منطقه ­محدود شده را انجام دهند. همچنین می­توانند از آن دوربین­ ها به عنوان سکوی پرتاب برای نفوذ به شبکه برای اجرای یک حمله­ DoS توزیع شده، سرقت اطلاعات محرمانه و شروع یک حمله­ ی ransomware و حتی بیشتر از این استفاده کنند. حتی نگران­ کننده تر این است که با ادغام امنیت سایبری و امنیت فیزیکی با هم، دستگاه­های IoT در معرض خطر می­توانند یک بستر برای سیستم­ های حیاتی­ تر مانند زنگ هشدارها و سیستم­ های مهار آتش شوند.

چه باید بکنیم

این یافته­ ها نشان دهنده­ فعالیت­های زیادی ست که از جهات متعددی در حال رخ دادن هستند. برای رویارویی با آن­ها، سازمان­ها باید اقدامات زیر را انجام دهند:

• همانطور که حملات سایبری پیچیده ­تر می­شوند، راه­های دفاعی برای مقابله با آن­ها توسعه داده میشود. یک راه بنیادی برای شروع پیاده ­سازی کنترل دسترسی به شبکه ترکیب شده با تقسیم بندی سراسری شبکه به گونه­ ای هوشمند و با معنا است. علاوه بر این سازمان­ها باید از پیشرفت­های تکنولوژی در حوزه­ هوش مصنوعی و یادگیری ماشین برای مبارزه با حملات جدید استفاده کنند.
• همانطور که مجرمان سایبری خلاق­تر می­شوند، از روش­های مقابله با تهدید هوشمندانه­ و پیشرفته­ ای علیه آن­ها استفاده­ کنید( این شامل استفاده از اطلاعات محققان معتبر در مورد تهدیدات و دانش مربوط با تهدیدات که در تمام المان­ های امنیتی به اشتراک گذاشته شده است می­باشد) تا از عهده­ حجم، سرعت و پیچیدگی تهدیدات برآیید.

• مراقب استگانوگرافی و حملات مشابه از جهات غیر منتظره که می­توانند به سرعت با هم بسیج شوند باشید. متخصصان امنیت سایبری باید با تمرین های امنیت سایبری در برابر این نوع حملات و با اطمینان از اینکه دید شفافی نسبت به تمام سطح حمله، از سایت­ های رسانه­ اجتماعی و دستگاه ­های موبایل که حاوی اطلاعات و برنامه های شخصی هستند گرفته تا هسته­ شبکه، و شعبات دیگر سازمان و افزونه­ های ابری شبکه ، از سازمان محافظت کنند.

نوآورتر بودن از دشمن

افراد بد نیت به پیچیده کردن حملات خود به منظور گسترش بردارهای تهدید ادامه می­دهند ( از بدافزار متن باز مورفین تا تهدیدات جدید، استفاده از اکسپلویت­های استگانوگرافی به شیوه­ های جدید و به حداکثر رساندن ناامنی اینترنت اشیاء) .

به دلیل اینکه مجرمان سایبری هیچگاه از نوآوری دست نمی­کشند، تیم­ های امنیت فناوری اطلاعات نیز نمی­توانند این کار را بکنند. یک استراتژی امنیتی یکپارچه و مجتمع که از ابزارهای ساخته شده برای رفع عوارض شبکه­ های گسترده­ ی امروزی استفاده می­کند و می­تواند با تکامل شبکه بسط پیدا کند را ایجاد کنید. هوش مصنوعی و یادگیری ماشین می­توانند کمک شایانی در تشخیص تهدیدات بکنند، به خصوص در محیط های تحت شبکه­ امروزی و برای اینکه تمهیدات در نظر گرفته شده واقعا موثر باشد، تیم امنیتی باید در زمان واقعی به تحلیل و آنالیز تهدیدات دسترسی داشته باشد. وقتی که این موارد با هم ترکیب شوند، این المان­ها به سازمان­ها کمک می­کنند تا به استراتژی­ ها، حملات پایان ناپذیر و جدید غلبه کنند.