نماد سایت اتاق خبر شبکه گستر

دفع حملات جدید نیازمند روش های دفاعی جدید هستند

علیرغم وجود ابزارهای امنیتی مختلف، مجرمان سایبری همچنان قادر هستند که هدف های مورد نظر خود را انتخاب کرده و با موفقیت به آنها حمله کنند. حملات اخیر به چند روزنامه آمریکایی یا سلسله حملات سایبری به بانک های آمریکایی، نمونه هایی واقعی و زنده هستند. این افراد خلافکار با تحت نظر گرفتن اهداف خود و شناسایی نقاط ضعف و آسیب پذیر آنها، امکان سوء استفاده موفق از این ضعف ها را فراهم آورده و اقدام به نفوذ به اهداف از پیش تعیین شده خود می کنند.

راه حل چیست؟ ابتدا باید طرز فکر و روش کار مجرمان سایبری را متوجه شویم. اولین اقدام این افراد، شناسایی ساختار شبکه و سیستم ها، نرم افزارهای کاربردی مورد استفاده و تنظیمات امنیتی قربانیان خود است. این، مرحله شناسایی است. با توجه به ارتباطات گسترده سازمان ها و شرکت های بزرگ با بقیه دنیا از طریق اینترنت، به دست آوردن این اطلاعات با ابزارهایی که به آسانی قابل دسترسی است، کار چندان دشواری بشمار نمی آید.

مرحله دوم، تحت نظر گرفتن رفتارها و اقدامات امنیتی (نظیر سیستم به روز رسانی) این شرکت ها و سازمانها است. سپس مجرمان سایبری منتظر کشف و یافتن یک نقطه ضعف می مانند. به عنوان مثال، در حمله و نفوذی که اخیراً به برخی سیستم های خزانه داری کل آمریکا صورت گرفت، از یک نقطه ضعف جدید که فقط چند ساعت قبل خبر کشف آن منتشر شده بود، سوء استفاده گردید.

در بسیاری مواقع مجرمان سایبری زودتر از کاربران محصولات آسیب پذیر از وجود ضعف های امنیتی باخبر می شوند. این کاربران فقط از طریق تولید کننده آن محصول، اطلاعات دریافت می کنند. در حالی که مجرمان سایبری با شبکه های زیرزمینی گسترده ای در ارتباط هستند.

به عنوان مثال، این اتفاق هر ماه درباره اصلاحیه های امنیتی مایکروسافت که در دومین سه شنبه هر ماه میلادی منتشر می شوند، پیش می آید. مجرمان سایبری گوش به زنگ هستند تا به محض انتشار جزئیات اصلاحیه های مایکروسافت و نقاط ضعفی که هر یک از اصلاحیه ها برطرف می کنند، یا خود یا از طریق همکاران مجرم خود، ابزارهای نرم افزاری برای سوء استفاده از این نقاط ضعف کاملاً جدید، تهیه کرده و سریعاً به کار گیرند.

با توجه به تعداد اصلاحیه های ماهانه و انتشار اصلاحیه از سوی تولید کنندگان مختلف، مدیران شبکه اغلب در نصب اصلاحیه ها عقب هستند و به روز رسانی نرم افزارهای آسیب پذیر با تاخیر انجام می شود.

با وجود ابزارهای حاضر و آماده که امکان سوء استفاده از نقاط ضعف کشف شده را به آسانی و سرعت فراهم می کنند، مجرمان سایبری قادر هستند تا قبل از ترمیم نقاط ضعف و بسته شدن درهای رخنه به سیستم های آسیب پذیر، لطمه و خسارت خود را وارد کنند.

پس از رخنه به سیستم های آسیب پذیر و انجام کارهای مورد نظرشان، این افراد برای دسترسی های غیرمجاز بعدی، اغلب اقدام به نصب انواع بدافزارهای جاسوسی و درب مخفی (Back door) می کنند. سوء استفاده از سیستم آسیب پذیر به همین جا ختم نمی شود. در مرحله بعد، این سیستم های تحت کنترل و تسخیر شده، به عنوان پایگاه جدید دیگری برای انجام چرخه مخربی که توضیح داده شد، مورد استفاده قرار می گیرند.

استفاده از محصولات ضد ویروس یک الزام است ولی یک راه حل کامل در برابر حملات و عملیات مخرب امروزی نیست.

همان طور که توضیح داده شد، مرحله اول تمام حملات سایبری، شناسایی نقاط ضعف و سپس سوء استفاده از آنها است. محصولات ضدویروس در مرحله بعد یعنی مرحله حمله، وارد میدان می شوند و سعی می کند تا با عملیات مخرب مقابله کنند.

قبل از اینکه نوبت ضدویروس برسد، باید مراقب نقاط ضعف بود و مانع از سوء استفاده از آنها شد. امروزه نرم افزارهایی در سطح شبکه (Network) و ایستگاه کاری (Host) وجود دارند که با فناوری خاص خود، دقیقاً همین مراقبت و دفاع از نقاط ضعف را انجام می دهند.

به جای تکیه عمده به روش های سنتی که بر اساس مشخصه های خاص هر تهدید، واکنش نشان داده می شود، باید روش های فراگیرتری نظیر مراقبت و دفاع از نقاط ضعف را به کار گرفت. این روش ها مدتهاست که در محصولات سطح شبکه (Network) به کار گرفته می شوند و اکنون به تدریج شاهد به کارگیری آنها در سطح ایستگاه های کاری (Host) هستیم.

زمان آن رسیده که استانداردها را بالا برد. اکنون دیگر نمی توان پذیرفت که با داشتن یک ضدویروس مورد تایید و دارای گواهینامه از موسسات آزمون و ارزیابی، محیط امن و ایمنی خواهیم داشت.

پس از چه محصول (محصولاتی) استفاده کنیم و آن را چگونه مورد آزمون قرار دهیم. ما تامین کنندگان امنیت باید بتوانیم با حملات در همان مرحله شناسایی و سوء استفاده از نقاط ضعف، مقابله کنیم. ولی اگر این اتفاق واقعاً بیفتد، چگونه می توان مطمئن شد که محصولات امنیتی ما کامل و درست عمل می کنند.

اغلب آزمون های امنیتی امروزی محصولات امنیتی را بر اساس نحوه و میزان مقابله با عملیات مخربی که حملات و تهدیدات به وجود می آورند، مورد سنجش قرار می دهند.

این نوع آزمون ها شاید برای سنجش و ارزیابی ضدویروس های تک کاربر شخصی پنج سال قبل مناسب بودند ولی چندان توان محک زدن محصولات جدید امروزی که به روش های دیگر با تهدیدات نوین سایبری مقابله می کنند، را ندارند.

اکثر موسسات ارزیابی حاضر به تغییر شیوه های آزمون فعلی خود نیستند و این اقدام را پیچیده و پر هزینه می دانند. تنها موسسه NSS اخیراً شیوه آزمون خود را تغییر داده و آن را هم جهت با تهدیدات و حملات سایبری امروزی کرده است.

در شیوه آزمون موسسه NSS، ابتدا مجموعه ای از نرم افزارهای رایج نظیر سیستم عامل، نرم افزارهای پرمصرف و رایج مانند Flash، Java، Acrobat و … و مرورگرهایی نظیر IE و Firefox جمع آوری می گردند. سپس نقاط ضعف موجود دراین محصولات شناسایی شده و با ابزارهای مخرب موجود، سعی در سوء استفاده از این نقاط ضعف می شود. درست مانند یک مجرم سایبری که کل شبکه یا ایستگاه های کاری داخل شبکه را مورد هدف قرار می دهد. اکنون در این حالت، عملکرد محصولات امنیتی مورد آزمون و سنجش قرار می گیرند.

اخیراً موسسه NSS گزارش هایی از نتایج آزمون های اولیه به این شیوه جدید منتشر کرده است که در آنها، ترکیب سه محصول McAfee VirusScan، McAfee Host Intrusion Prevention و McAfee Site Advisor رتبه اول را در دو آزمون “جلوگیری از سوء استفاده از نقاط ضعف” (Exploit Prevention) و “ممانعت از عملیات مخرب از طریق نقاط ضعف” (Exploit Evasion) کسب کرده است. جداول و گزارش کامل این آزمون های NSS Labs را می توان از طریق این پیوند دریافت و مطالعه کرد.

ضمن ابراز خرسندی شرکت McAfee از دستیابی به چنین رتبه ای، تردیدی نیست که این مبارزه بی پایان در مراحل نخست خود است. یقیناً شاهد روش های جدید و پیچیده تری از سویی مجرمان سایبری خواهیم بود که لزوم طراحی، ساخت و به کارگیری ابزارهای امنیتی نوین را بیش از پیش افزایش می دهد.

خروج از نسخه موبایل