چهار استراتژی امنیت سایبری

خبرنامه دانشجویان ایران: ما همواره به‌دنبال جدیدترین ابزارهای امنیتی برای غلبه بر تهدیدات سایبری هستیم. حاضریم هزینه‌های زیادی را متحمل شویم به امید آن‌که از سامانه‌ها و تجهیزات خود در برابر تهاجمات خارجی محافظت کنیم. اما شاید به یک نکته ظریف دقت نکرده‌ایم. یکی از بهترین راهکارهایی که امنیت ما را بهبود می‌بخشد این است که همانند یک هکر فکر کنیم. اما سوال اصلی این است که آیا اساسا این چنین تفکری در قالب یک رویکرد تدافعی قابل پیاده‌سازی است؟

به گزارش سرویس فناوری اطلاعات «خبرنامه دانشجویان ایران»؛ در ظاهر چنین به‌نظر می‌رسد که این رویکرد قابل اجرا نیست، با این وجود به نظر می‌رسد بانک ABN AMRO موفق شده است به این نظریه جامع عمل بپوشاند. این شرکت چهار استراتژی امنیتی خود را که در این زمینه پیاده‌سازی کرده و بر مبنای آن توانسته است در مقابل طیف بسیار گسترده‌ای از حملات ایستادگی کند تشریح کرده است. ما در این مقاله به این استراتژی‌ها نگاهی خواهیم داشت.

گزارش‌های منتشر شده نشان می‌دهند که هکرها در سال 2014 میلادی بیش از 575 میلیارد دلار که معادل 8/0درصد از تولید ناخالص جهانی را شامل می‌شود، به صنایع و سازمان‌های مختلف خسارت وارد کرده‌اند. آمارهایی که سال گذشته میلادی منتشر شدند نشان دادند که شرکت‌های آمریکایی از بابت رخنه‌های داده‌ای به طور متوسط 6.5 میلیون دلار خسارت دیده‌اند. از حملات هکری انفرادی گرفته تا نقص‌های بالقوه داده‌ای که همواره شرکت‌ها را در معرض تهدید قرار می‌دهند، در تمامی موارد ضرر و زیان‌های مالی مستقیم و غیر مستقیم متوجه شرکت‌ها است. حالت اول که مشخص است، وجوه نقدی ممکن است از حساب شرکت‌ها به سرقت رود. اما در حالت غیر‌مستقیم این رخنه‌های داده‌ای باعث می‌شود تا کاربرانی که اطلاعات آن‌ها در معرض خطر قرار گرفته است اعتماد خود را به آن شرکت از دست بدهند و در نتیجه به سراغ شرکت‌های دیگری بروند. به این شکل بخش دیگری از سرمایه‌های مالی و معنوی شرکت‌ها از دست خواهد رفت. در بعضی موارد میزان خسارت وارد شده به اندازه‌ای سنگین است که عمدتاً شرکت‌های کوچک یا متوسط که به واسطه یک رخنه هکری صدمه دیده‌اند دیگر قادر به ادامه حیات خود نخواهند بود. حال سوال اصلی این است که چگونه می‌توانیم از شرکت خود در برابر این چنین تهدیداتی محافظت به عمل آوریم. ABN ARMO یکی از برجسته‌ترین بانک‌های هلندی است که موفق شده است یک استراتژی امنیت سایبری قدرتمند را در این ارتباط طراحی کرده و آن‌را به مرحله اجرا در‌آورد.

امروزه فعالیت‌های مختلفی به واسطه اینترنت و فضای آنلاین انجام می‌شوند. مدیران سایت‌ها و مدیران شرکت‌هایی که فعالیت‌های آن‌ها کاملا آنلاین است؛ همواره این دغدغه را دارند که مبادا در معرض تهدید هکری قرار بگیرند. اما بدون اغراق زمانی که صحبت از بانک‌داری الکترونیکی به میان می‌آید کمتر مدیری با صراحت می‌تواند اعلام دارد که قادر است با خیال راحت این چنین کسب‌وکاری را مدیریت کند. بانک‌داری الکترونیکی یکی از پیچیده‌ترین مشاغلی است که مشاوران و کارشناسان حوزه امنیت آنلاین با آن روبرو هستند. ABN AMRO گزارش کرده است که به طور پیوسته در معرض انواع مختلفی از حملات قرار دارد. حملاتی که حساب‌های کاربری را نشانه رفته‌اند، حملات منع سرویس انکار شده‌ای که به‌منظور از کار انداختن فعالیت‌های این بانک سازمان‌دهی می‌شوند، بدافزارهایی که برای سرقت اطلاعات مورد استفاده قرار می‌گیرند و باج‌افزارهایی که برای به گروگان گرفتن اطلاعات کارمندان و مدیران ارشد مورد استفاده قرار می‌گیرند همگی این بانک را نشانه رفته‌اند. این حملات در بازه‌های زمانی نامنظم یا به طور پیوسته در حال به چالش کشیدن امنیت این بانک هستند. اما ABN AMRO برای غلبه بر این حملات دست به ابتکار جالبی زده است. این بانک یک دپارتمان CSIO کامل را برای محافظت از داده‌های دیجیتالی خود طراحی کرده است. این دپارتمان از هویت افراد گرفته تا مدیریت دسترسی‌ها، توسعه قابلیت‌های تشخیص تقلب‌، ارزیابی ریسک‌ها، رمزگذاری، مدیریت امنیت فروش و مدیریت بحران را تحت نظارت گرفته و همواره در حال بررسی فاکتورهایی است که به آن‌ها اشاره شد. بدون شک استراتژی‌هایی که از سوی این بانک مورد استفاده قرار گرفته است می‌تواند برای هر کسب‌وکاری مفید باشد. این استراتژی‌ها به ما نشان می‌دهند که چگونه باید راهکارهای دفاعی خود را به منظور پیاده‌سازی یک استراتژی امنیت سایبری موثر پیاده‌سازی کنیم. بر همین اساس در این مقاله به این استراتژی‌ها نگاهی خواهیم داشت.

استراتژی شماره 1
ترمیم کامل نقاط ضعف امکان‌پذیر نیست
به نظر شما کدامیک از موارد زیر جزء ضعیف‌ترین مولفه‌های یک برنامه امنیتی به شمار می‌رود؟

A. Cross-Site Scripting (تزریق اسکریپت از طریق سایت)
B. Insecure Cryptographic Storage (به کارگیری کلید رمزنگاری ساده یا عدم رمزنگاری اطلاعات کلیدی)
C. The small thermal exhaust port which leads directly to the reactor system (یک فرضیه خیالی)
D. Humans (کاربران یا کارکنان )

اگر پاسخ شما گزینه سوم است، به احتمال زیاد بیش از اندازه سری فیلم‌‌های جنگ ستارگان را مشاهده کرده‌اید. اگر پاسخ شما گزینه اول یا دوم است نشان می‌دهد شما یک فرد خسته‌کننده هستید. اما اگر پاسخ شما گزینه چهارم است به شما تبریک می‌گویم. درست حدس زده‌اید. عامل انسانی همواره یکی از ریسک‌پذیرترین فاکتورهایی است که در هر برنامه‌ای ممکن است وجود داشته باشد. عامل انسانی می‌تواند کارمند یا مشتری یک سازمان باشد. راهکارهای متعددی پیش روی سازمان‌ها قرار دارد که به واسطه آن‌ها می‌توانند مخاطرات امنیتی مبتنی بر عامل انسانی را به حداقل برسانند. آموزش کارکنان، به‌روزرسانی سیاست‌های مرتبط با کارکنان، آگاه ساختن کاربران و مجبور ساختن آن‌ها به تغییر گذرواژه یا پیاده‌سازی سطوح مختلفی از احراز هویت همچون احراز هویت دو عاملی از جمله این راهکارها به شمار می‌روند. در نهایت، باید به این نکته توجه داشته باشید که هکرها همواره در تلاش هستند از طریق کانال‌های مختلفی ریسک‌های امنیتی شرکت‌ها را پیدا کرده و از طریق آن‌ها به شرکت‌ها  نفوذ کنند. هکرها در تلاش هستند از تکنیک‌های مختلفی همچون حملات فیشینگ، مهندسی اجتماعی و روش‌های دیگر برای فریب کاربران یا کارمندان یک شرکت استفاده کنند. در پایان تمامی این بازی‌ها تنها یک عدد باقی می‌ماند. آمارهای ارائه شده از سوی کسپرسکی نشان می‌دهد 37.3 میلیون کاربر بسته امنیتی این شرکت، حملات فیشینگ را در سال 2015 تجربه کرده‌اند. موسسه‌ای همچون ABN AMRO ممکن است این توانایی را داشته باشد تا به شکلی کاملاً موثر فرآیند اطلاع‌رسانی و آموزش 90 درصدی کاربران و کارمندان خود را با موفقیت به سرانجام برساند، اما واقعیت این است که هکرها صدها هزار ایمیل فیشینگ و طیف متنوع‌تری از حملات را برای اهدافشان ارسال می‌کنند. در این میان اگر فقط یک نفر وسوسه شود که ایمیل دریافتی را باز کرده و روی محتوای درون آن کلیک کند، آن‌گاه قفل درب‌های موردنیاز هکرها به روی آن‌ها گشوده خواهد شد.

آمارها نشان می‌دهند نزدیک به 23 درصد ایمیل‌های فیشینگ که برای افراد مختلف ارسال می‌شود کاربران را اغوا می‌سازند که آن ‌را باز کنند. درسی که از این استراتژی می‌گیریم این است که ما نمی‌توانیم روبات‌هایی که به دقت برنامه‌ریزی شده‌اند را با کاربران یا کارمندان خود جایگزین کنیم، حتی اگر شانس انجام این‌کار را داشته باشیم بازهم ممکن است آن‌ها هک شوند. پس به جای این‌کار باید این نکته را همیشه در نظر داشته باشیم که تهدیدات امنیتی در هر فرصتی حتی زمانی که تصور می‌کنیم در امنیت قرار داریم ممکن است ما را در معرض خطر قرار دهند. ارزشمند است، روی منابعی سرمایه‌گذاری‌ کنیم که  بتوانند آموزش‌های جامعی را به کارمندان ارائه کرده و سطح آگاهی کاربران را افزایش دهند. هر چند این رویکرد ممکن است نتایج چشم‌گیری که انتظار داریم را عاید ما نکند اما ابتدایی‌ترین لایه دفاعی را به وجود آورده و بدون شک بهتر از آن است که به این خیال باشیم که همواره کارمندان و مشتریان خوبی در اختیار داریم.

استراتژی شماره 2
 نیازی نیست یک قلعه فوق‌سری همچون فورت نوکس طراحی کنید
در یک دنیای مطلوب هر شرکتی می‌تواند با بودجه‌ای نامحدود و کارکنان نامحدود یک برنامه دفاعی مستحکم را برای خود طراحی کرده و یک قلعه فوق‌سری همچون فورت نوکس را در دنیای دیجیتال برای رویارویی با هر رخنه داده‌ایی به وجود آورد. اما در عمل هیچ‌گاه این رویا به حقیقت نخواهد پیوست. مشابه این رویکرد در دنیای واقعی و به ویژه برای شرکت‌هایی که تازه کار خود را آغاز کرده‌اند و حتی بزرگ‌ترین بانک‌ها که در اغلب مواقع با توجه به بودجه و کارمندان بسیار  محدود در حال توسعه زیرساخت‌های امنیتی خود هستند به سختی قابل اجرا است. از طرفی اختصاص بودجه بیش از اندازه به بخش امنیت باعث می‌شود تا کسب‌وکارها از اهداف اصلی خود که همانا توسعه محصول است دور شوند.

راهکارهای متعددی پیش روی سازمان‌ها قرار دارد که به واسطه آن‌ها می‌توانند مخاطرات امنیتی مبتنی بر عامل انسانی را به حداقل برسانند

حال به سوال اصلی این استراتژی می‌رسیم: یک شرکت چه کاری باید انجام دهد؟ گزینه‌های پیش رو به شرح زیر هستند:

الف. تلاش کنیم یک دژ فورت ناکس طراحی کنیم! همه بودجه محدود خود را صرف محافظت از برنامه کاربردی خود کنیم. برنامه‌ای که هیچ‌کس قادر نخواهد بود از آن استفاده کند، به سبب آن‌که تمامی بودجه خود را به جای آن‌که صرف محصول کنیم صرف امنیت کرده‌ایم.

ب. این حقیقت را قبول کنیم که هکرها در نهایت پیروز خواهند شد و خود را در تاریکی قرار دهیم و پیمانی با هکرها منعقد کنیم. همه داده‌ها و دارایی‌هایی که تاکنون از آن‌ها محافظت کرده‌ایم را در اختیار هکرها قرار دهیم.

پ.  یا از فکر ساختن یک دژ مستحکم صرف‌نظر کنیم و به جای آن این واقعیت را قبول کنیم که تقریبا طراحی برنامه‌ای که خالی از هرگونه آسیب‌پذیری باشد، امکان‌پذیر نیست. در نتیجه تلاش خود را صرف درک آسیب‌پذیری‌ها کرده و ببینیم آن‌ها واقعا چه هستند و زیرساخت‌های امنیتی و شناسایی متناسب با آن‌ها را طراحی کنیم.

ABN AMRO گزینه آخر را پیشنهاد کرده است. به جای آن‌که تمامی منابع خود را صرف ساخت و طراحی یک برنامه عظیم‌الجثه و غیرقابل استفاده کرده و به این شکل منابع با ارزش را هدر دهیم، برنامه (بانک‌داری) هدفمندی را طراحی کنیم که تمرکزش بر دو فاکتور امنیت و قابل استفاده بودن استوار باشد. به طور مثال، ABN AMRO فرآیند مکانیزم احراز هویت چند مرحله‌ای را حذف کرده است. هر چند این‌گونه به نظر می‌رسد که این مکانیزم برنامه‌ها را به شکل قابل قبولی ایمن می‌کند، اما این بانک اعلام کرده است: «مشتریان آن‌گونه که ما می‌پنداریم از این مکانیزم استفاده نمی‌کنند.» آن‌ها به جای این رویکرد تصمیم گرفته‌اند منابع خود را صرف شناسایی فعالیت‌های جعلی کنند که پیرامون حساب‌های مشتریان قرار دارد. فلسفه‌ای که در پس این رویکرد وجود دارد این است که این شانس را داریم تا هرگونه فعالیت هکری که به منظور دستیابی غیرمجاز به حساب‌های کاربری رخ می‌دهد را شناسایی کنیم. در حالی که این رویکرد در نهایت منجر به ساخت یک برنامه کاربردی می‌شود که مملو از آسیب‌پذیری‌ها خواهد بود، اما ABN AMRO برای این حفره‌های امنیتی راهکار ویژه‌ای در نظر گرفته است. این راهکار بر ساعات ورود کاربران و توسعه زیرساخت‌ها متمرکز است تا این نکته را کشف کند که آسیب‌پذیری‌ها در چه مکان‌هایی (و چه بازه‌های زمانی) وجود دارند و در نتیجه حملاتی که از جانب این بخش‌ها ممکن است رخ دهد را شناسایی کرده و پیش از آن‌که رخنه‌ها یک خسارت واقعی را به وجود آورند آن‌ها را متوقف سازد. فابین کاستران، مدیر بخش امنیتی بانک ABN AMRO در این ارتباط گفته است: «هکرها همواره به دنبال مسیرهای سهل‌الوصول هستند. تصور کنید شما در مقابل یک در بسته و یک پنجره پشتی خانه که قفل نیست، قرار دارید. به عنوان یک سارق ترجیح می‌دهید از طریق پنجره‌ای که قفل نیست به درون خانه وارد شوید. ما در این رویکرد همانند یک هکر عمل کردیم.» ABN AMRO می‌داند چه عواملی بالاترین نرخ اشتباه را از آن خود می‌کنند و چه چیزی ممکن است به اشتباه مورد استفاده قرار گیرد. با سرمایه‌گذاری روی این چنین مواردی آن‌ها موفق شده‌اند سطح بسیار بالایی از امنیت و سطح بالایی از سرویس‌های تشخیص‌دهنده را پیاده‌سازی کند.

استراتژی شماره 3
هکرها را استخدام کنید
توصیه اصلی این مقاله در رابطه با این موضوع است که همانند یک هکر فکر کنید. اما واقعیت این است که بسیاری از ما اصلا هکر نیستیم. اما چگونه می‌توانیم همانند یک هکر فکر کنیم؟ نیازی به انجام این‌کار ندارید. به جای این‌کار می‌توانید یک هکر را استخدام کرده و در ادامه فرآیند هک کردن برنامه خود را آغاز کنید. این رویکرد به‌نظر می‌رسد کمی نامتعارف باشد، اما باید این موضوع را قبول کنید که درباره یک حوزه کاری کاملا حرفه‌ای صحبت می‌کنیم. حوزه‌ای که در آن دقیقاً به یک کارشناس خبره نیاز دارید.

هکرها همواره به دنبال مسیرهای سهل‌الوصول هستند. تصور کنید شما در مقابل یک در بسته و یک پنجره پشتی خانه که قفل نیست، قرار دارید. به عنوان یک سارق ترجیح می‌دهید از طریق پنجره‌ای که قفل نیست به درون خانه وارد شوید. ما در این رویکرد همانند یک هکر عمل کردیم

در دنیای پر رمز و راز هکرها، افرادی هستند که در قامت مشاوران امنیتی به استخدام شرکت‌ها در می‌آیند و در قبال آزمایش امنیت یک شرکت هزینه آن‌را دریافت کند. این گروه از افراد حتی گواهینامه‌های هک اخلاقی را نیز در اختیار دارند که نشان می‌دهد این افراد قادر هستند امنیت سامانه‌های کامپیوتری را با استفاده از تکنیک‌های نفوذ مورد بررسی قرار دهند. برای این منظور آن‌ها امتحان CEH 312-50 را پشت سر می‌گذارند. این گواهی از سوی شورای مشاوران بین‌المللی تجارت الکترونیک ارائه می‌شود. ABN AMRO تیمی از این هکرهای با اخلاق را به منظور آزمایش برنامه‌های کاربردی خود و پیدا کردن نقاط ضعف‌ استخدام کرده است. در حالی که بسیاری بر این باور هستند که این استراتژی اعتبار لازم را ندارد و بسیاری از کسب‌وکارها به واسطه آن‌که این افراد مبالغ زیادی را به عنوان دستمزد خود دریافت می‌کنند، منابع لازم برای استخدام هکرهای با اخلاق را در اختیار ندارند؛ اما این استراتژی یک پیام بسیار مهم را برای ما مخابره می‌کند. بسیار مهم است که برای آزمایش نرم‌افزار خود از نقطه‌نظرات یک هکر کمک بگیرید. نه این‌که تنها نقطه نظرات کارشناسان حرفه‌ای دنیای فناوری اطلاعات را به منظور پیدا کردن آسیب‌پذیری‌ها مورد استفاده قرار دهید.

استراتژی شماره 4
 ابتدا تحقیق کنید و بعد روبات‌هایی را بسازید تا کارهایی را برای شما انجام دهند  
هکرها الگوی حملاتی که روزانه ABN AMRO را تحت‌الشعاع خود قرار می‌دهند را از طریق کانال‌های مختلفی تغییر می‌دهند. (به این کار حمله تغییر مسیر سفارشی گفته می‌شود.) این بدان معنا است که ABN AMRO هر روزه با گونه جدیدی از حملات روبرو می‌شود. این رویکرد به ما اعلام می‌دارد که هر تکنیک هک راهکار دفاعی جدیدی را به مبارزه می‌طلبد. در نتیجه ABN AMRO همواره باید یک قدم جلوتر از هکرها قرار داشته باشد. برای اینکار کافی نیست که همانند یک هکر فکر کنید، بلکه باید همانند بهترین هکر فکر کنید. این بانک به منظور پیشگیری از بروز حملات سایبری سرمایه‌گذاری‌های سنگینی را در ارتباط با تحقیق، پژوهش و توسعه انجام داده است. در حالی که آن‌ها این گنجینه با ارزش را در اختیار دارند، در همین حال تنها بانک هلندی هستند که با واتسون آی‌بی‌ام در زمینه شناسایی سریع‌تر و بهتر کلاه‌برداری‌ها در تعامل هستند. ABN AMRO به منظور بهبود الگوریتم‌ها و انطباق بیشتر هوش مصنوعی در زمینه کشف تقلب‌ها حتی زمانی که هکرها الگوی حملات خود را تغییر می‌دهند با آی‌بی‌ام در حال همکاری است. ماحصل این پژوهش‌ها ثبت گواهی اختراعی است که در رابطه با سبک خاصی از الگوریتم‌های تشخیص تقلب ساخته شده است.

چه درسی از رویکرد استراتژیک ABN AMRO می‌توان گرفت؟
بدون شک تحقیق و پژوهش را می‌توان کلید موفقیت این شرکت در زمینه پیاده‌سازی استراتژی‌های کارآمد امنیتی دانست. در همین حال هوش مصنوعی به خوبی نشان داده است که در آینده کلید مقابله با تهدیدات امنیتی در اختیار این فناوری قرار دارد. اما از رویکرد بانک ABN AMRO چه درسی می‌توان گرفت؟ در جواب باید بگوییم مهم نیست منابع مالی عظیم یا محدودی در اختیار دارید. مهم این است که به این نکته توجه داشته باشید که نرم‌افزارها همواره آسیب‌پذیری‌هایی دارند که ممکن است مورد سوء استفاده هکرها قرار گیرند. بهترین دفاع در برابر تهدیدات سایبری این نیست که تنها به توسعه زیرساخت‌های امنیتی فکر کنیم، بلکه باید زمان و پول خود را صرف فهمیدن این مسئله کنیم که آسیب‌پذیری‌ها در کجا قرار دارند، چگونه به وجود می‌آیند و چگونه می‌توانیم مانع به وجود آمدن آن‌ها شویم.

منبع: شبکه