دیدگاه: همه تقصیرها را به گردن ضدویروس ها نیندازیم

پس از حملات سایبری ماه گذشته به وزارت نفت و شناسایی ویروس Flame در هفته های اخیر، به بهانه ضعف و کوتاهی شرکت های ضدویروس در تشخیص زودتر این ویروس، این شرکتها مورد انتقاد قرار گرفته اند.

شاید در خبرها خوانده باشید که سازمان نظام صنفی رایانه ای با مشارکت سازمان فناوری اطلاعات، کارگروهی را برای “سامان دهی آنتی ویروس های خارجی” تشکیل داده اند. همین چند روز گذشته نیز، این کارگروه خبر از فراخوان شناسایی شرکت های ارائه دهنده “محصولات و خدمات ضد بدافزارهای خارجی” داده است.

آیا واقعاً به مشکلات و کاستی های پیش روی مان بطور کامل و همه جانبه اندیشیده ایم که اکنون باور داریم با “ساماندهی آنتی ویروس های خارجی”، شاهد تهدید جدیدی از سوی ویروس چهارم بعد از Stuxnet، Duqu و Flame نخواهیم بود و یا صدمه کمتری را تحمل خواهیم کرد؟ آیا راه حل واقعی، راهکارهای صنفی و اداری است یا راهکارهای فنی؟

آیا شرکت های کامپیوتری و از جمله شرکت های ارائه دهنده “ضد بدافزارهای خارجی” تا به حال احراز صلاحیت و طبقه بندی نشده اند؟ و اگر شده اند، چه نتیجه عملی داشته است؟

شاید اگر همانطور که از ابتدا نیز مطرح شده بود، این کارگروه به بحث توانایی ها و قابلیت های نرم افزار های ضدویروس می پرداخت، می توانست کمکی برای کاربران دولتی و خصوصی باشد تا در انتخاب یک ضد ویروس ساده، حداقل فریب تبلیغات و حراج قیمت ها را نخورند.

مگر از یک ضد ویروس چه چیزی را می توان انتظار داشت؟ ضد ویروس ها همیشه در شناسایی ویروس ها، کرم ها و حملات گسترده و انبوه، عملکرد خوبی نشان داده اند. با بکارگیری فناوری های جدید، مانند پردازش و تحلیل ابری (cloud analysis)، فاصله زمانی بین تشخیص یک بدافزار تا تهیه و توزیع فرمول شناسایی آن، روز به روز هم کمتر می شود. ولی ضد ویروس من و شما برای شناسایی تهدیدات آرام و هدفمند، ساخته و تجهیز نشده اند.

تنها حملات سایبری بر علیه دولت ها و کشورها نیستند که می توانند خود را ماه ها و سال ها مخفی نگه دارند. تمام ویروس نویسان و خلافکاران سایبری، قبل از انتشار بدافزار خود، آن را در مقابل ضد ویروس ها محک می زنند تا مطمئن شوند که به آسانی و به سرعت، قابل تشخیص نیستند.

برای شناسایی تهدیدات هدفمند که تنها موسسه یا افراد خاصی را هدف قرار می دهند، ابتدا باید بدانیم که در شبکه ما چه می گذرد. با کنترل و بررسی تمام رویدادها – نه فقط فعالیت های مشکوک و مخرب – امکان شناسایی آلودگی در شبکه فراهم می شود. زنجیره ای از این رویدادهای عادی و مستقل می تواند نشانه ای از یک حرکت مشکوک و مخرب در شبکه باشد.

یک زنجیره کوتاه با تنها سه حلقه می تواند نشانه ای از نفوذ به شبکه باشد: 1) Login موفق  2) فعالیت اینترنتی   3) افزایش فعالیت دیسک سخت

هر کاری که در سطح شبکه انجام شود، در سطح سیستم هم قابل انجام است. با وجود شیوه ها و روش های متعدد حمله و نفوذ، امکان کنترل تمام این عوامل تهدید، دشوار و تقریباً غیر ممکن است. ولی موسسات می توانند فعالیت سیستم و حافظه را تحت کنترل و نظارت داشته باشند تا بدانند چه اتفاقی در حال رخ دادن است. رفتارهای غیر متعارف در حافظه سیستم ها می تواند علامتی برای آلودگی باشد.

همچنین مانند دیواره های آتش، می توان سیاست “رد همه” (Deny all) را درباره نرم افزارهای کاربردی در شبکه بکار گرفت. به این روش “فهرست سفید” یا White Listing گفته می شود. در این روش دفاعی، تنها برنامه های خوب و تایید شده، مجاز به اجرا بر روی سیستم هستند.

با وجود میلیونها گونه مختلف از بدافزارها و کشف روزانه ده ها هزار گونه جدید، کنترل و نظارت بر اجرای چند هزار برنامه که معمولاً روی سیستم ها اجرا می شوند، معقول تر و عملی تر به نظر می رسد. تنها تلاش برای هم پا و هم قدم شدن با بدافزار نویسان و سعی در شناسایی بدافزارهای بیشتر و بیشتر، یک راه حل موفق و موثر نمی تواند باشد.

روش هایی مانند White Listing پیشرفت های چشمگیری در سال های اخیر داشته اند. زمانی نگهداری و به روز رسانی فهرست برنامه ها، کار بسیار دشوار و خسته کننده ای بود. امروز سیستم های White Listing بر اساس سیاست های تعریف شده، عمل می کند.

موضوع این نیست که ضد ویروس ها به درستی و بطور کامل انجام وظیفه نمی کنند. بلکه کاربران انتظار دارند نرم افزاری که برای شناسایی تهدیدات و بدافزارهای رایج و متعارف طراحی و ساخته شده است، قادر باشد تا تهدیدات اختصاصی را هم که اهداف ویژه ای را مورد حمله قرار می دهند، به همان خوبی شناسایی کنند. برای هر کاری باید ابزار مناسب آن کار را استفاده کرد.

برای حفاظت از منزل خود، بر روی در قفل نصب می کنید. ولی قفل تا یک حد خاص می تواند امنیت منزل شما را تامین کند. بجای تکیه صد در صد بر روی قفل، از فناوری های جدیدتر و پیشرفته تر مانند دوربین های مدار بسته و حسگرها، برای دفاع بیشتر و بهتر استفاده می کنید. این همان روشی است که باید در شبکه های سازمانی خود نیز بکار گیریم.

یک محصول امنیتی و یا یک گروه از محصولات امنیتی خاص وجود ندارد که بتواند از عهده تهدیدات پیچیده امروزی برآید. مسئولان امنیتی باید استفاده همزمان از چندین فناوری و شیوه را قبول داشته باشند و در ترویج آن تلاش کنند. کارشناسان امنیتی هم باید تسلط و توان تجزیه و تحلیل رویدادهای شاید ساده و جدا از هم را برای ساخت و تکمیل تصویری کامل و واقعی از اتفاقات و تهدیدات، داشته باشند.

طبیعتاً نمی خواهیم در را به روی همه چیز ببندیم و همانطور که در عمل دیده ایم، امکان فروپاشی دیواره های امنیتی و نفوذ تهدیدات به داخل شبکه ها همواره وجود دارد. موسسات نیاز دارند تا اطلاعات بر اساس اهمیت و حساسیت طبقه بندی شود، مکانیزم های کنترل دسترسی به اطلاعات برقرار باشد، جابجایی و درز اطلاعات دیده بانی شود، رمزگذاری اطلاعات عملیاتی شود و …

برای تمام این کارها، ابزارها و فناوری هایی وجود دارد که یقیناً در یک ضد ویروس خلاصه نمی شود.

پس بیایید، کارگروه هایی تشکیل دهیم که انتخاب و نحوه استفاده از این ابزارهای امنیتی را در کنار ضد ویروس های فعلی، بررسی، مطالعه و ترویج کنند.

بیایید کارگروه هایی تشکیل دهیم تا با بررسی و تجزیه و تحلیل واقعی ویروس های Stuxnet، Duqu و Flame اطلاعات شفاف و روشنی بدست آوریم تا بلکه علاوه بر ضدویروس های فعلی، ابزارها و روش های جدیدی برای مقابله با ویروس چهارم، انتخاب و تهیه شود.

بیایید کارگروه هایی تشکیل دهیم تا به دور از منم منم ها و برداشت های تبلیغاتی به نام شرکت ها و برندهای تجاری، دستور العمل های مشترک برای بخش های دولتی و خصوصی در زمان بحران تدوین کنیم. تجربه های سه ویروس تا به حال باید به خیلی ها آموخته باشد که به تنهایی و با پنهان کاری، نتیجه ای حاصل نخواهد شد. ادعاهای من و شما را، افراد خبره و کارشناس بررسی کرده و شاید در ظاهر حرفی نزنند، ولی مطمئناً کورکورانه قبول نخواهند کرد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *