افزایش تعداد و تنوع دستگاههای متصل به اینترنت مسالهای خوشایند برای مهاجمان سایبری است؛ چرا که آنها قادرند به راحتی از دستگاههایی مانند چاپگرها و دوربینها، که هرگز برای جلوگیری از حملات پیچیده طراحی نشدهاند، برای اهداف خود استفاده کنند. در نتیجه این واقعیت، شرکتها و افراد نیز باید به طور یکسان در مورد میزان امن بودن شبکه خود بازنگری کنند.
همچنین، با توجه به افزایش میزان حوادث، نیاز بیشتری نیز به یک روش برای دستهبندی خطرات وارده به کسبوکارها و مشتریان احساس میشود. آسیبپذیریها یا Vulnerabilities، اکسپلویتها یا Exploits و تهدیدها یا Threats، سه مورد از رایجترین اصطلاحات در زمان بحث درباره حملات سایبری هستند که جهت آشنایی علاقمندان، در ادامه این مطلب، شرح مختصری از هر یک از این اصطلاحات و معنی آنها برحسب میزان خطر ارائه میشود.
آسیبپذیری چیست
اشتباهات همواره رخ میدهند، حتی در مراحل ساخت و کدگذاری فناوری. به آنچه از اشتباهات به جا میماند، باگ[۱] گفته میشود. باگها به طور ذاتی مضر نیستند (به جز در راستای عملکرد بالقوه فناوری)، اما برخی از آنها میتوانند توسط افراد خرابکار مورد سوءاستفاده قرار گیرند که به این گونه باگها، آسیبپذیری گفته میشود. با استفاده از آسیبپذیریها میتوان از نرمافزارها برای انجام اعمالی مانند جمعآوری اطلاعات درباره مکانیزمهای دفاعی موجود در مقابل حملات سایبری، که با مقاصد اصلی آنها مغایر است، استفاده کرد.
یک باگ پس از تعیین به عنوان یک آسیبپذیری، توسط سازمان MITRE به عنوان یک CVE یا آسیبپذیری و تهدید رایج[۲] ثبت شده و یک امتیاز CVSS[۳] به آن اختصاص مییابد که این امتیاز نشاندهنده میزان ریسک بالقوهای است که آسیبپذیری موردنظر میتواند به یک سازمان وارد کند. از لیست این CVEها به عنوان مرجعی برای اسکنرهای آسیبپذیری استفاده میشود.
به طور کلی، یک اسکنر آسیبپذیری محیط را اسکن کرده و با پایگاه داده یا لیستی از آسیبپذیریهای شناخته شده مقایسه میکند؛ هر چه اسکنر اطلاعات بیشتری داشته باشد، عملکرد آن دقیقتر خواهد بود. پس از تهیه گزارشی از آسیبپذیریها توسط تیم، توسعهدهندگان میتوانند از تست نفوذ به عنوان ابزاری برای کشف محل نقاط ضعف استفاده کنند تا مشکل برطرف شده و از اشتباهات مشابه در آینده جلوگیری شود. در صورت بهکارگیری مداوم و مکرر فرایند اسکن، وجوه مشترک بین آسیبپذیریها مشخص شده و درک بهتری از سیستم حاصل خواهد شد.
نمونههایی از آسیبپذیریهای امنیتی
یک آسیبپذیری امنیتی یک نقطهضعف، نقص یا خطای یافتهشده در یک سیستم امنیتی است که ممکن است توسط یک تهدیدگر برای به مخاطره انداختن یک شبکه امن به کار گرفته شود.
آسیبپذیریهای امنیتی زیادی وجود دارند که در ادامه به توصیف برخی از رایجترین موارد پرداخته شده است:
- نقض احراز هویت[۴]: در صورت بهمخاطره افتادن Credentialهای احراز هویت، ممکن است Sessionها و هویتهای کاربران تحت کنترل افراد خرابکار قرار گرفته و آنها خود را به عنوان کاربران اصلی جا بزنند.
- SQL injection: به عنوان یکی از رایجترین انواع آسیبپذیریهای امنیتی، حملات SQL injection تلاش میکنند تا با تزریق کد مخرب به یک پایگاه داده، به محتوای آن دسترسی یابند. یک حمله SQL injection موفق میتواند به مهاجمان اجازه سرقت دادههای حساس، جعل هویت و مشارکت در مجموعهای از دیگر فعالیتهای مخرب را بدهد.
- Cross-Site Scripting: Cross-Site Scripting یا XSS نیز به تزریق کد مخرب در یک وبسایت میپردازد و از این منظر تا حدودی شبیه به آسیبپذیری SQL injection است. با این حال، حملات XSS به جای خود وبسایت، کاربران آن را هدف قرار داده و اطلاعات حساس کاربران را در معرض خطر سرقت قرار میدهد.
- Cross-Site Request Forgery: حملات Cross-Site Request Forgery یا CSRF به دنبال این هستند تا کاربران احراز هویت شده را بهگونهای فریب دهند که عملی را انجام دهند که واقعا قصد انجام آن را ندارند. بهکارگیری CSRF در کنار مهندسی اجتماعی[۵] ممکن است بهگونهای منجر به فریب کاربران شود که آنها اطلاعات حساس را در اختیار افراد خرابکار قرار دهند.
- پیکربندی امنیتی اشتباه[۶]: هر یک از اجزای یک سیستم امنیتی، که ممکن است به دلیل خطاهای پیکربندی توسط مهاجمان مورد استفاده قرار بگیرند، میتوانند به عنوان یک پیکربندی امنیتی اشتباه در نظر گرفته شوند.
اکسپلویت چیست
در Playbook مهاجمان، اکسپلویت مرحله بعد از یافتن آسیبپذیری است. اکسپلویتها ابزارهایی هستند که از طریق آنها امکان بهکارگیری یک آسیبپذیری برای فعالیتهای مخرب توسط هکرها وجود داشته و شامل بخشهایی از نرمافزار، دنبالهای از دستورات یا حتی کیتهای اکسپلویت منبعباز[۷] است.
تهدید چیست
منظور از تهدید یک رویداد فرضی است که در آن مهاجم از یک آسیبپذیری استفاده کند. با توجه به رویه معمول هکرها برای انجام اقدامات خود، تهدیدها به طور معمول شامل حداقل یک اکسپلویت هستند. یک هکر، پس از ارزیابی شرایط ممکن است از چندین اکسپلویت به طور همزمان برای بدست آوردن بهترین نتیجه استفاده کند.
علیرغم اینکه بهطور مداوم در حال شنیدن اخبار درباره وقوع حملات یا تهدیدات سایبری جدید در دنیا هستیم، اما این اصطلاحات میتوانند اطلاعات زمینهای بیشتری نسبت به مراحل و خطراتی که متخصصان سایبری به طور روزانه با آنها مواجه هستند، ارائه کنند.
سوال مطرح شده با توجه به توضیحات فوق این است که برای کاهش خطر کلی چه کاری میتـوان انجام داد؟ در پاسخ به این سوال میتوان گفت که برای داشتن یک رویکرد Proactive باید محیط خود را با یک ابزار مدیریت آسیبپذیری اسکن نمود. همچنین، برای پاسخگویی به اتفاقات شبکه، راهکار SIEM یک فرایند سیستماتیک است که کنترل فعالیتهای ناخواسته در شبکه را آسانتر میکند. علاوهبراین، ابزارهای SIEM میتوانند به شرکتها در راهاندازی مکانیزمهای دفاعی قوی و پیشنگرانه برای جلوگیری از تهدیدها، اکسپلویتها و آسیبپذیریها کمک کنند که این مهم در نهایت منجر به ایمن نگه داشتن محیط آنها خواهد شد.
[۱] Bug
[۲] Common vulnerability or exposure
[۳] Common Vulnerability Scoring System
[۴] Broken authentication
[۵] Social engineering
[۶] Security misconfiguration
[۷] Open-source exploit kit