هفت چالش امنیتی سال ۲۰۲۰ چیست؟

اگر تصور می‌کنید ۲۰۱۹، سال اوج گرفتن حملات امنیتی، فیشینگ و بدافزارها بود، بهتر است کمی صبر کنید تا سال 2020 را ببینید. انجمن امنیتی اطلاعات (ISF) سرنام (Information Security Forum) سازمانی بین‌المللی است که بیش از ده هزار کارشناس برجسته امنیتی عضو آن هستند. این سازمان در همایش اخیر خود اعلام کرد با آغاز سال 2020 میلادی شاهد شکل‌گیری روند جدیدی از چالش‌های امنیتی هستیم که هر یک به تنها‌یی می‌توانند یک سازمان بزرگ را به ورطه نابودی بکشند.

به گزارش خبرنگار فناوری اطلاعات «خبرنامه دانشجویان ایران»؛ کارشناسان امنیتی پیش‌بینی می‌کنند بزرگ‌ترین تهدیدی که سال آینده دنیای فناوری را با مشکل جدی روبرو می‌کند کلاه‌برداری فیشینگ است که با هدف سرقت اطلاعات شخصی و مالی انجام می‌شوند.

در سال ۲۰۲۰، سازمان‌ها نیازمند بازنگری در زیرساخت‌های امنیتی خود هستند، زیرا حملات شکل خطرناک‌تر و پیچیده‌تری خواهند داشت. دنیای فناوری‌اطلاعات از جانب انواع مختلفی از حملات تهدید می‌شود، اما هفت بردار زیر ظرفیت بالایی برای آسیب رساندن به شرکت‌ها و کاربران عادی را دارند:

کلاه‌برداری‌های فیشینگ/مهندسی اجتماعی که هدفشان تنها حساب‌های بانکی نیست.
تکامل مستمر حملات هکری در قالب سرویس یا به عبارت دقیق‌تر پیاده‌سازی حملات هکری در ازای دریافت پول (crime-as-a-service).
تهدیدات مدیریت نشده حوزه اینترنت اشیا (unmanaged IoT risk).
پیچیده‌تر شدن مقررات (complexity of regulation).زنجیره تامین (supply chain).
برهم خوردن توازن میان انتظارات و توان امنیتی سازمان‌ها (mismatch between Board expectation and Security capability).
باج‌افزارهای سفارشی و کیت‌های آماده استفاده.

1) حملات فیشینگ / مهندسی اجتماعی
در سال 2019 میلادی، سازمان‌ها، شرکت‌های خصوصی و نهادهای دولتی در کشورهای مختلف قربانی کلاه‌برداری فیشینگ شدند. موسسه Small Business Trends گزارش کرد در سال 2019 نسبت ایمیل‌های فیشینگ به ایمیل‌های عادی 1 به 99 بوده و در برخی موارد نیمی از ایمیل‌های ارسال شده برای کارمندی در یک سازمان بزرگ در یک هفته کاری (تقریبا 4.8 ایمیل) ایمیل فیشینگ بوده‌اند. حال تصور کنید چه تعداد ایمیل در یک روز در سراسر جهان ارسال می‌شوند. سایتInc.com تخمین زده که روزانه بیش از 269 میلیارد ایمیل در سراسر جهان ارسال می‌شود که نزدیک به یک سوم یا به عبارت دقیق‌تر 30% از آن‌ها ایمیل‌های فیشینگ هستند. حملات فیشینگ نوعی حمله مهندسی اجتماعی هستند که حمله‌کننده یک ایمیل، متن یا وب‌سایت تقلبی ایجاد می‌کند تا قربانی را با اطلاعات حساس جعلی فریب دهد. این اطلاعات می‌توانند مشخصات کارت‌های اعتباری، گذرواژه‌هایی که برای ورود به حساب‌های کاربری استفاده می‌شوند، جزییات اظهارنامه‌های مالی و سایر اطلاعات به ظاهر واقعی و حساس باشند. در میان تمامی تهدیدهای موجود در دنیای سایبری، کلاه‌برداری‌ فیشینگ جزء خطرناک‌ترین حملات است، زیرا تنها یک لغزش کوتاه از سوی کارمند یک سازمان کافی است تا راه ورود هکرها و بدافزارها به یک سازمان هموار شود. در نمونه‌های جدی‌تر هکرها ایمیل‌های فیشینگ را برای کارمندان رده بالای یک سازمان ارسال می‌کنند و سعی می‌کنند آن‌ها را فریب دهند تا مجوزهای حساس را به دست آورند. مجوزهایی که ممکن است برای خراب کردن زیرساخت‌های یک کسب‌وکار یا خراب کردن اطلاعات پایگاه‌های داده‌ استفاده شوند. به دلیل این‌که کلاه‌بردارهای فیشینگ هزینه چندانی ندارند، کارآمد هستند، به سادگی اجرا می‌شوند و در صورت موفقیت سود کلانی عاید هکرها می‌کنند انتظار می‌رود در سال 2020 شاهد شدت گرفتن این حملات باشیم.

2) حوزه اینترنت اشیا
سازمان‌ها به شکل فزاینده‌ای در حال استفاده از دستگاه‌های اینترنت اشیا هستند، اما اکثر تجهیزات غیر ایمن هستند. تجهیزات اینترنت اشیا از دو ناحیه مهم با تهدید جدی امنیتی روبرو هستند. اولین تهدید از جانب دستگاه‌های هوشمند خانگی است. بدون اغراق باید بگوییم که برخی از تولیدکنندگان فعال در زمینه ساخت تجهیزات اینترنت اشیا خانگی توجه چندانی به مبحث امنیت ندارند. دستگاه‌هایی که امکان تغییر گذرواژه پیش‌فرض روی تعدادی از آن‌ها وجود ندارد و مصرف‌کنندگان بدون توجه به این موضوع از آن‌ها استفاده می‌کنند. به‌طور مثال، دوربین‌های مداربسته‌ای که ویژه نظارت بر کودکان طراحی شده را تصور کنید که ممکن است از سوی مجرمان سایبری هک شود. دومین تهدید در ارتباط با زیرساخت‌های حیاتی است که دستگاه‌های اینترنت اشیا بر مبنای آن‌ها کار می‌کنند، اما فاقد شفافیت لازم هستند. امروزه بسیاری از کارخانه‌ها و صنایع از دستگاه‌ها و مولفه‌های توکار (Embeded) استفاده می‌کنند که فاقد امنیت کافی هستند. بیشتر تولیدکنندگان، محصولات را بر اساس اطلاعات خاص خود طراحی می‌کند که همین مسئله باعث شده تا سطح آگاهی شرکت‌ها در ارتباط با رخنه‌های امنیتی کاهش پیدا کند. موسسه FireEye در گزارش سالانه خود چالش‌های امنیتی پیش ‌روی اینترنت اشیا را این‌گونه توصیف کرد: «Reaper جدیدترین بات‌نت حوزه اینترنت اشیا، بدافزاری مخرب است که می‌تواند آسیب‌پذیری‌های دستگاه‌های اینترنت اشیا را شناسایی کند و از آن‌ها برای پیاده‌سازی انواع مختلفی از حملات هکری بهره‌برداری کند. در چنین شرایطی میلیون‌ها دستگاه اینترنت اشیا برای انجام یک حمله بزرگ در مقیاس کلان همچون حمله منع سرویس انکار شده (DDoS) که باعث اختلال در عملکرد وب‌سایت‌ها، بازی‌های آنلاین و خدمات اینترنت می‌شوند به کار گرفته می‌شوند. یک بردار حمله اینترنت اشیا نوع خاصی از حملات سایبری است که از دستگاه‌های هوشمند متصل به اینترنت همچون بلندگوهای وای‌فای، دستیاران صوتی، ساعت‌های هوشمند و هر نوع وسیله هوشمندی که قابلیت اتصال به اینترنت را دارد استفاده می‌کند تا ضربه مهلکی به یک شبکه وارد کند.» عدم شفافیت در اکوسیستم اینترنت اشیا به سرعت در حال فرا‌گیر شدن است. مشکل دیگری که پیرامون تجهیزات اینترنت اشیا قرار دارد نشتی اطلاعات است. هنوز قانون جامع و کاملی تصویب نشده تا تولیدکنندگان را مقید کند بر مبنای الگوی خاصی اقدام به جمع‌آوری اطلاعاتی کنند که توسط حس‌گرها جمع‌آوری می‌شود. به همین دلیل هر تولیدکننده‌ای ممکن است بر مبنای دیدگاه خاص خود اقدام به جمع‌آوری اطلاعات از مشتریانش ‌کند. چنین اقدامی یک شکاف امنیتی در زیرساخت‌های یک شبکه به وجود می‌آورد. تهدید مهم دیگری که باید به آن رسیدگی شود در ارتباط با سامانه‌های کنترل صنعتی است که ممکن است باعث مرگ کارگران یا نقص عضو آن‌ها شود. چگونه می‌توانیم به شکلی ایمن از دستگاه‌های کنترل صنعتی اینترنت اشیا استفاده کنیم در حالی که به درستی نمی‌دانیم این دستگاه‌ها چگونه کار می‌کنند؟ از دید تولیدکنندگان تنها دانستن این موضوع که الگوی مصرف شما چگونه است برای ساخت دستگاه‌ها کافی است، در حالی که ممکن است با دستگاهی کار کنید که در زمان اتصال به اینترنت و زمانی که کارخانه تعطیل است ناگهان شروع به کار کند.

3) اعمال مجرمانه در قالب سرویس
سال گذشته، انجمن امنیتی اطلاعات (ISF) پیش‌بینی کرده بود اعمال مجرمانه در قالب سرویس (CaaS) سرنام Crimeware-as-a-Service فراگیر می‌شوند و سندیکاهای جنایتکاران بر مبنای سلسله مراتبی پیچیده با یکدیگر مشارکت و همکاری خواهند کرد، مشابه کاری که سازمان‌های بزرگ بخش خصوصی انجام می‌دهند. این انجمن در سال جاری گفت: «پیش‌بینی سال گذشته در سال 2018 به واقعیت تبدیل شد. در سال 2018 شاهد افزایش چشم‌گیر جرایم اینترنتی بودیم. رویکردی که در آن هکرها از مشتریان خود مبلغی دریافت می‌کردند تا کاری همچون یک حمله هکری انجام دهند. پیش‌بینی می‌کنیم روند یاد شده در سال 2020 ادامه پیدا کند و شاهد ظهور سازمان‌های مجرمانه بیشتری باشیم. سازمان‌هایی که حیطه کاری آن‌ها در مقیاس جهانی است. الگوی CaaS در سال 2020 چه تفاوتی با سال 2019 خواهد داشت؟ در سال 2019 هکرهای نیمه‌حرفه‌ای و آماتور بدون دانش فنی زیاد ابزارها و سرویس‌های موردنیاز برای پیاده‌سازی حملات را خریداری می‌کردند. هکرهای نیمه‌حرفه‌ای و آماتور نمی‌توانند بدون تهیه ابزارهای هکری هیچ حمله‌ای را پیاده‌سازی کنند، اما هکرها از رویکردهای سنتی خود که تنها هدف قرار دادن سازمان‌های بزرگ است به تدریج دور می‌شوند و به سراغ سرقت مالکیت معنوی و بانک‌های بزرگ می‌روند. اکنون بدافزارهای استخراج‌کننده رمزارزها یکی از محبوب‌ترین گونه‌های بدافزاری هستند.

4) زنجیره تامین
چند سالی است ISF درباره آسیب‌پذیری زنجیره تامین هشدار می‌دهد و اعلام می‌دارد حجم بالایی از اطلاعات ارزشمند و حساس با تامین‌کنندگان به‌اشتراک قرار می‌گیرد. زمانی‌که این اطلاعات به‌ا‌شتراک قرار می‌گیرد، نظارت و کنترل مستقیم روی اطلاعات از میان می‌رود و خطر فاش شدن اطلاعات مربوط به اعتبارنامه‌ها زیاد می‌شود و در نهایت یکپارچگی و محرمانگی اطلاعات از میان خواهد رفت. مهم نیست حوزه‌ کاری شما چیست، تمامی کسب‌وکارهای کوچک و بزرگ زنجیره تامینی در کسب‌وکار خود دارند. چالش‌ بزرگی که پیش‌رو داریم این است که چگونه باید متوجه شویم اطلاعات ما در چرخه تولید یک محصول به چه مکان‌هایی انتقال پیدا می‌کند و چگونه می‌توانیم یکپارچگی اطلاعات را حفظ کنیم؟ برای حل این مشکل باید آسیب‌پذیرترین نقاط زنجیره تامین را به شکل پیوسته بررسی کنیم تا بتوانیم مشکل نشتی اطلاعات را شناسایی کنیم. سازمان‌ها باید به شکل جدی به مبحث مدیریت ریسک اطلاعات در زنجیره تامین دقت کنند.

5) پیچیدگی بیش از اندازه مقررات
هیچ چیز بدتر از آن نیست که نظارت مستمر با پیچیدگی زیاد همراه باشد. در شرایطی که پیچیدگی‌ها با هدف بهبود امنیت به وجود می‌آیند، اما پیچیدگی بیش از اندازه باعث می‌شود تمرکز کارشناسان بر منابع اطلاعاتی کمتر شود و در عمل نتوانند در شرایط بحرانی تصمیمات درستی اتخاذ کنند. به‌طور مثال، مقررات حفاظت از اطلاعات عمومی (GDPR) سرنام General Data Protection Regulation با هدف محافظت از اطلاعات عمومی کاربران به تصویب رسید. قانون فوق لایه پیچیده دیگری به بخش مدیریت بحران دارایی‌های سازمانی اضافه کرد که به اعتقاد کارشناسان امنیتی به جای آن‌که کمک کننده باشد تنها همه چیز را پیچیده‌تر می‌کند. این مشکل تنها در ارتباط با انطباق نیست. قانون یاد شده به کاربران کمک می‌کند در هر زمان و مکانی بتوانند وضعیت داده‌های شخصی خود را بررسی کنند و مدیریت دقیق‌تری بر اطلاعات شخصی اعمال کنند، اما در عمل شاهد هستیم که برخی از سهام‌داران سازمان‌ها هنوز به درستی نمی‌دانند کارکرد دقیق این قانون چیست. هرچه مقررات پیچیده‌تری تصویب شوند فرآیند نظارت سخت‌تر می‌شود و کار دستگاه‌های قضایی در این زمینه دشوارتر می‌شود. این قوانین به ویژه در ارتباط با شرکت‌های بین‌المللی و فراملیتی که حوزه کاری آن‌ها در مقیاس جهانی است باعث می‌شود مسئولیت بیشتری متوجه آن‌ها شود.

6) عدم توازن میان انتظارات مدیران و سطح توانایی‌ دپارتمان‌های امنیتی
در حالی که مدیران دپارتمان‌های امنیت و فناوری‌اطلاعات در ارتباط با بحث امنیت نگران هستند و هر زمان حمله‌ای رخ دهد نگاه‌ها به سمت آن‌ها نشانه می‌رود، با این حال، مدیران امنیتی در برخی از شرکت‌ها به درستی نمی‌دانند تیم امنیتی تحت سرپرستی آن‌ها دقیقا باید چه کاری انجام دهد یا بدتر آن‌که تیم قادر به انجام چه کارهایی است. اغلب شرکت‌ها درباره امنیت زنجیره تامین اطلاع کافی ندارند و همین موضوع باعث شده تا کسب‌وکارهای مرتبط با اینترنت به راحتی تهدید شوند. متاسفانه هکرها در این زمینه یک گام جلوتر هستند و به خوبی می‌دانند زمانی که آلودگی در سطح زنجیره تامین به وجود آید فرآیند شناسایی مبدا آلودگی مشکل است و این شرکت اصلی است که مقصر شناخته می‌شود. بهترین راهکار برای حل مشکل فوق این است که کارگروه امنیتی به جای آن‌که در قالب یک مجموعه مجزا کار کند به شکل ادغام شده و یکپارچه با دیگر واحدها کار کند. به عبارت دقیق‌تر، طراحی چارت سازمانی باید به گونه‌ای باشد که عملا موجودیتی به نام گروه‌های امنیتی وجود نداشته باشد و امنیت در همه لایه‌های سازمانی گنجانده شده باشد و دپارتمان امنیتی بر عملکرد این کارگروها نظارت کند. به اعتقاد کارشناسان امنیتی عدم شناخت این عوامل باعث می‌شود سال آینده میلادی شاهد روند روبه‌رشد نفوذها باشیم، به‌طوری‌که دورنمای امنیت به جای آن‌که بهتر شود متاسفانه بدتر خواهد شد.

7) باج‌افزارها
حملات باج‌افزاری سال گذشته میلادی روند کاهشی داشته و دست‌کم کاربران خانگی کمتر در معرض این حملات قرار گرفته‌اند. سایت ITPro می‌گوید: «میزان کشف حملات باج‌افزاری در مشاغل مختلف از رقم 2.8 میلیون در سه ماهه اول سال 2018 به رقم 9.5 میلیون در سه ماهه اول سال 2019 افزایش یافته که تقریبا یک رشد 34٪ در تشخیص‌ این حملات را نشان می‌دهد. به بیان‌ دیگر مکانیزم‌های دفاعی شرکت‌ها به خوبی توانستند این حملات را شناسایی کنند و مانع پیاده‌سازی موفقیت‌آمیز آن‌ها شوند.» یکی از دلایلی که باعث شده تا مشاغل بیشتر از شهروندان عادی هدف هکرها قرار گیرند، انگیزه مالی است. سازمان‌ها در مواجه شدن با یک حمله باج‌افزاری دلایل بیشتری دارند تا باج مربوطه را پرداخت کنند. دلیل دیگری که سایت ITPro به آن اشاره می‌کند، سقوط قیمت بیت‌کوین است که باعث شده حملات معدن‌کاوی با هدف استخراج رمزارزها شدت پیدا کند، زیرا این حملات سود بیشتری عاید افراد می‌کنند و دردسر کمتری دارند. به همین دلیل مجرمان روی بردارهای مختلفی از این حملات متمرکز می‌شوند. با این حال، هکرها در سال 2020 سعی می‌کنند تغییراتی در حملات باج‌افزاری به وجود آورند تا یکبار دیگر حملات باج‌افزاری به یک منبع پرسود تبدیل شوند.

منبع: compuquip computerworld