در طول دهه گذشته جهان شاهد افزایش شدید تعداد بدافزارها و به تبع آن حملات سایبری بوده است. در مقایسه با بدافزارهای سنتی که عمدتاً با هدف جلب توجه کاربران به مهارت ویروسنویس توسعه داده میشدند، بسیاری از بدافزارهای امروزی اهدافی دیگر و متأسفانه خرابکارانهتر را دنبال میکنند.
شبکههای مخرب Botnet، رایجترین روش مورد استفاده خرابکاران سایبری امروزی برای حمله به سازمانها و شرکتها میباشند. شبکههایی از روباتهای تسخیر شده و تحت سیطره یک Botmaster که حملات از کاراندازی سرویس، سرقت اطلاعات، نصب برنامههای مخرب، ارسال هرزنامهها و بسیاری از کارهای دیگر را با فرمان ویروسنویس انجام میدهند. Aurora و ShadyRAT نمونههایی از حملاتی میباشند که از طریق شبکههای Botnet صورت پذیرفتند.
اما اینکه چه انگیزه ای نفوذگران را به انجام این کارهای مخرب تشویق میکند میتواند دلایل متعددی داشته باشد. ابتدا بهتر است نگاهی داشته باشیم به موارد زیر:
- افزایش شمار کاربران اینترنت در جهان و از جمله در ایران – ضریب نفوذ اینترنت در ایران: 46.9
- وابستگی کاربران و سازمانها به روشهای ارتباطی اینترنتی همچون ایمیل – تنها Gmail بعنوان یکی از سرویسدهندگان رایگان ایمیل دارای 425 میلیون کاربر فعال است
- استفاده روزافزون از سیستم های دیجیتال متصل به اینترنت همچون گوشیهای هوشمند و تبلت ها – پیشبینی میشود تعداد کاربران گوشیهای هوشمند تا سال 2015 به 2.8 میلیارد نفر برسد؛ گوشیهایی با قابلیت اتصال دائم به اینترنت
- نفوذ شبکههای اجتماعی – تنها Facebook بعنوان یکی از شبکههای اجتماعی دارای بیش از 800 میلیون کاربر فعال است
حجم عظیم اطلاعاتی که بر روی این شبکه جهانی ردوبدل و بر روی سرورهای متصل به آن ذخیره میشود اینترنت را تبدیل به گنجینهای از دادههای حیاتی، شخصی و محرمانه کرده است. همین موضوع کافی است که خرابکاران چه بصورت مستقل و چه بصورت سازمانیافته، روزها وقت خود را صرف ایجاد بدافزار و حمله به اهدافی کنند که بدخواهان آن اهداف حاضرند در ازای سرقت اطلاعات و یا از کار اندازی سرویسهای آن، پول هنگفتی را نثار خرابکاران کنند.
حملات سایبری نهتنها دادههای سازمان را تهدید میکنند بلکه با توجه به وابستگی امور به سیستمهای کامپیوتری هر گونه اختلال و کندی در عملکرد این سیستمها میتواند تأثیر منفی بسزایی در تولید و در نتیجه اعتبار سازمان داشته باشد.
از سویی دیگر حضور دائمی تهدیداتی که تنها نهادهایی خاص مانند سازمانهای دولتی را با اهداف گوناگون از جاسوسی گرفته تا مختل کردن شبکههای انرژی و زیرساختهای بانکی را دنبال میکنند دولتها را بیش از پیش نگران کرده است. با توجه به ساختارهای متفاوت و منحصربفرد، اینگونه حملات میتوانند تا مدتهای بسیار طولانی از دید قربانی مخفی بمانند. شاید برای بسیاری از خوانندگان نیازی به ذکر نام بدافزارهای Stuxnet که تجهیرات نیروگاههای اتمی کشور و Flame که کشورهای خاورمیانه را هدف قرار داده بود، نباشد.
حال جای این سوال باقی میماند که نرمافزارهای امنیتی چطور میتوانند سیستمها را در مقابل بدافزارهای سفارشیشده امروزی محافظت کنند. آن هم در شبکههایی که انواع و اقسام سختافزارهای آن مانند کامیپوترها، لپتاپها، گوشیهای هوشمند، تبلت ها و … دائماً به اینترنت متصل هستند. گذشتن تعداد بدافزارها از مرز 75 میلیون عدد در سال 2011 گواهی بر این ادعاست که تنها اکتفا به روشهای ویروسیابی سنتی و مبتنی بر امضا نمیتواند کاربر و سازمانها را در مقابل بدافزارهای امروزی ایمن کند.
علاوه بر آن، هر چند که ویروسیابی بر اساس امضا و مشخصه های خاص هر ویروس برای کشف و پاکسازی بدافزارها کاملاً موفق و در عین حال امن است اما دارای ایرادات زیر نیز میباشد:
- منفعل است: برای پوشش آلودگیها این کارشناسان هستند – و نه نرمافزار – که ترافیک شبکهها را رصد و تحلیل میکنند و با استفاده از مهندسی معکوس به آلودگی اصلی دست مییابند.
- ثابت است: الگوی شبکههای آلوده که در حملات مشاهده میشوند دائماً در حال تغییر و تحول است و با توجه به تعداد زیاد آنها، روشهای سنتی قادر به مقابله با آنها نمیباشد.
- در مقابل حملات ناشناخته و جدید کاملاً ناتوان است.
- محدوده شناسایی هر امضا یا فرمول، محدود به همان ویروس خاص است که فرمول برای آن تهیه شده.
در سلسله مقالات بعدی به روشهای مورد استفاده و راهحلهای پیشنهادی شرکتهای McAfee و Bitdefender برای کشف و شناسایی بدافزارها و حملات امروزی خواهیم پرداخت.