سه اصطلاح کلیدی در امنیت سایبری: آسیب‌پذیری، اکسپلویت (Exploit) و تهدید

افزایش تعداد و تنوع دستگاه‌های متصل به اینترنت مساله‌ای خوشایند برای مهاجمان سایبری است؛ چرا که آن‌ها قادرند به راحتی از دستگاه‌هایی مانند چاپگرها و دوربین‌ها، که هرگز برای جلوگیری از حملات پیچیده طراحی نشده‌اند، برای اهداف خود استفاده کنند. در نتیجه این واقعیت، شرکت‌ها و افراد نیز باید به طور یکسان در مورد میزان امن بودن شبکه خود بازنگری کنند.

همچنین، با توجه به افزایش میزان حوادث، نیاز بیشتری نیز به یک روش برای دسته‌بندی خطرات وارده به کسب‌و‌کارها و مشتریان احساس می‌شود. آسیب‌پذیری‌ها یا Vulnerabilities، اکسپلویت‌ها  یا Exploits و تهدیدها یا Threats، سه مورد از رایج‌ترین اصطلاحات در زمان بحث درباره حملات سایبری هستند که جهت آشنایی علاقمندان، در ادامه این مطلب، شرح مختصری از هر یک از این اصطلاحات و معنی آن‌ها برحسب میزان خطر ارائه می‌شود.

آسیب‌پذیری چیست

اشتباهات همواره رخ می‌دهند، حتی در مراحل ساخت و کدگذاری فناوری. به آن‌چه از اشتباهات به جا می‌ماند، باگ[۱] گفته می‌شود. باگ‌ها به طور ذاتی مضر نیستند (به جز در راستای عملکرد بالقوه فناوری)، اما برخی از آن‌ها می‌توانند توسط افراد خرابکار مورد سوءاستفاده قرار گیرند که به این گونه باگ‌ها، آسیب‌پذیری گفته می‌شود. با استفاده از آسیب‌پذیری‌ها می‌توان از نرم‌افزار‌ها برای انجام اعمالی مانند جمع‌آوری اطلاعات درباره مکانیزم‌های دفاعی موجود در مقابل حملات سایبری، که با مقاصد اصلی آن‌ها مغایر است، استفاده کرد.

یک باگ پس از تعیین به عنوان یک آسیب‌پذیری، توسط سازمان MITRE به عنوان یک CVE یا آسیب‌پذیری و تهدید رایج[۲]  ثبت شده و یک امتیاز CVSS[۳] به آن اختصاص می‌یابد که این امتیاز نشان‌دهنده میزان ریسک بالقوه‌ای است که آسیب‌پذیری موردنظر می‌تواند به یک سازمان وارد کند. از لیست این CVEها به عنوان مرجعی برای اسکنرهای آسیب‌پذیری استفاده می‌شود.

به طور کلی، یک اسکنر آسیب‌پذیری محیط را اسکن کرده و با پایگاه داده یا لیستی از آسیب‌پذیری‌های شناخته شده مقایسه می‌کند؛ هر چه اسکنر اطلاعات بیشتری داشته باشد، عملکرد آن دقیق‌تر خواهد بود. پس از تهیه گزارشی از آسیب‌پذیری‌ها توسط تیم، توسعه‌دهندگان می‌توانند از تست نفوذ به عنوان ابزاری برای کشف محل نقاط ضعف استفاده کنند تا مشکل برطرف شده و از اشتباهات مشابه در آینده جلوگیری شود. در صورت به‌کارگیری مداوم و مکرر فرایند اسکن، وجوه مشترک بین آسیب‌پذیری‌ها مشخص شده و درک بهتری از سیستم حاصل خواهد شد.

نمونه‌هایی از آسیب‌پذیری‌های امنیتی

یک آسیب‌پذیری امنیتی یک نقطه‌ضعف، نقص یا خطای یافته‌شده در یک سیستم امنیتی است که ممکن است توسط یک تهدیدگر برای به مخاطره انداختن یک شبکه امن به کار گرفته شود.

آسیب‌پذیری‌های امنیتی زیادی وجود دارند که در ادامه به توصیف برخی از رایج‌ترین موارد پرداخته شده است:

• نقض احراز هویت[۴]: در صورت به‌مخاطره افتادن Credential‌‌های احراز هویت، ممکن است Session‌ها و هویت‌های کاربران تحت کنترل افراد خرابکار قرار گرفته و آن‌ها خود را به عنوان کاربران اصلی جا بزنند.
• SQL injection: به عنوان یکی از رایج‌ترین انواع آسیب‌پذیری‌های امنیتی، حملات SQL injection تلاش می‌کنند تا با تزریق کد مخرب به یک پایگاه داده، به محتوای آن دسترسی یابند. یک حمله SQL injection موفق می‌تواند به مهاجمان اجازه سرقت داده‌های حساس، جعل هویت و مشارکت در مجموعه‌ای از دیگر فعالیت‌های مخرب را بدهد.
• Cross-Site Scripting: Cross-Site Scripting یا XSS نیز به تزریق کد مخرب در یک وب‌سایت می‌پردازد و از این منظر تا حدودی شبیه به آسیب‌پذیری SQL injection است. با این حال، حملات XSS به جای خود وب‌سایت، کاربران آن را هدف قرار داده و اطلاعات حساس کاربران را در معرض خطر سرقت قرار می‌دهد.
• Cross-Site Request Forgery: حملات Cross-Site Request Forgery یا CSRF به دنبال این هستند تا کاربران احراز هویت شده را به‌گونه‌ای فریب دهند که عملی را انجام دهند که واقعا قصد انجام آن را ندارند. به‌کارگیری CSRF در کنار مهندسی اجتماعی[۵] ممکن است به‌گونه‌ای منجر به فریب کاربران شود که آن‌ها اطلاعات حساس را در اختیار افراد خرابکار قرار دهند.
• پیکربندی امنیتی اشتباه[۶]: هر یک از اجزای یک سیستم امنیتی، که ممکن است به دلیل خطاهای پیکربندی توسط مهاجمان مورد استفاده قرار بگیرند، می‌توانند به عنوان یک پیکربندی امنیتی اشتباه در نظر گرفته شوند.

اکسپلویت چیست

در Playbook مهاجمان، اکسپلویت مرحله بعد از یافتن آسیب‌پذیری است. اکسپلویت‌ها ابزارهایی هستند که از طریق آن‌ها امکان به‌کارگیری یک آسیب‌پذیری برای فعالیت‌های مخرب توسط هکرها وجود داشته و شامل بخش‌هایی از نرم‌افزار، دنباله‌ای از دستورات یا حتی کیت‌های اکسپلویت منبع‌باز[۷] است.

تهدید چیست

منظور از تهدید یک رویداد فرضی است که در آن مهاجم از یک آسیب‌پذیری استفاده کند. با توجه به رویه معمول هکرها برای انجام اقدامات خود، تهدیدها به طور معمول شامل حداقل یک اکسپلویت هستند. یک هکر، پس از ارزیابی شرایط ممکن است از چندین اکسپلویت به طور همزمان برای بدست آوردن بهترین نتیجه استفاده کند.

علی‌رغم اینکه به‌طور مداوم در حال شنیدن اخبار درباره وقوع حملات یا تهدیدات سایبری جدید در دنیا هستیم، اما این اصطلاحات می‌توانند اطلاعات زمینه‌ای بیشتری نسبت به مراحل و خطراتی که متخصصان سایبری به طور روزانه با آن‌ها مواجه هستند، ارائه کنند.

سوال مطرح شده با توجه به توضیحات فوق این است که برای کاهش خطر کلی چه کاری می‌تـوان انجام داد؟ در پاسخ به این سوال می‌توان گفت که برای داشتن یک رویکرد Proactive باید محیط خود را با یک ابزار مدیریت آسیب‌پذیری اسکن نمود. همچنین، برای پاسخگویی به اتفاقات شبکه، راهکار SIEM یک فرایند سیستماتیک است که کنترل فعالیت‌های ناخواسته در شبکه را آسان‌تر می‌کند. علاوه‌براین، ابزارهای SIEM می‌توانند به شرکت‌ها در راه‌اندازی مکانیزم‌های دفاعی قوی و پیش‌نگرانه برای جلوگیری از تهدید‌ها، اکسپلویت‌ها و آسیب‌پذیری‌ها کمک کنند که این مهم در نهایت منجر به ایمن نگه داشتن محیط آن‌ها خواهد شد.

[۱] Bug

[۲] Common vulnerability or exposure

[۳] Common Vulnerability Scoring System

[۴] Broken authentication

[۵] Social engineering

[۶] Security misconfiguration

[۷] Open-source exploit kit