حمله سایبری چیست؟
حمله سایبری هرگونه تلاش عمدی برای سرقت، افشای، تغییر، غیرفعال کردن یا از بین بردن داده ها، برنامه ها یا سایر دارایی ها از طریق دسترسی غیرمجاز به شبکه، سیستم کامپیوتری یا دستگاه دیجیتال است. عوامل تهدید حملات سایبری را به دلایل مختلف آغاز میکنند، از دزدی کوچک گرفته تا اقدامات جنگی. آنها از تاکتیکهای مختلفی مانند حملات بدافزار، کلاهبرداریهای مهندسی اجتماعی و سرقت رمز عبور برای دسترسی غیرمجاز به سیستمهای هدف خود استفاده میکنند. (تعریف از IBM.COM)
چرا حمله سایبری اتفاق می افتد؟
انگیزه های حملات سایبری می تواند متفاوت باشد
اما سه دسته اصلی وجود دارد:
۱. جنایی
۲. سیاسی
۳. شخصی
انگیزه جنایی و مجرمانه
مهاجمان با انگیزه مجرمانه به دنبال سود مالی از طریق سرقت پولی، سرقت اطلاعات یا اختلال در تجارت هستند. مجرمان سایبری ممکن است حساب بانکی را هک کنند تا مستقیماً پول را سرقت کنند یا از کلاهبرداری های مهندسی اجتماعی برای فریب مردم برای ارسال پول برای آنها استفاده کنند. هکرها ممکن است دادهها را بدزدند و از آن برای سرقت هویت استفاده کنند یا آن را در دارک وب بفروشند یا برای باج نگهداری کنند.
اخاذی یکی دیگر از حربه هایی است که استفاده می شود. هکرها ممکن است از باجافزار، حملات DDoS یا تاکتیکهای دیگر برای گروگان نگهداشتن دادهها یا دستگاهها تا زمانی که شرکت پرداخت کند، استفاده کنند. بر اساس شاخص اطلاعاتی تهدید X-Force، ۲۷ درصد از حملات سایبری با هدف اخاذی از قربانیان خود انجام می شود.
انگیزه شخصی
مهاجمان با انگیزه شخصی، مانند کارمندان ناراضی فعلی یا سابق، در درجه اول به دنبال تلافی برای برخی موارد جزئی هستند. آنها ممکن است پول بگیرند، داده های حساس را سرقت کنند یا سیستم های یک شرکت را مختل کنند.
انگیزه سیاسی
مهاجمان با انگیزه سیاسی اغلب با جنگ سایبری، تروریسم سایبری یا “هکتیویسم” مرتبط هستند. در جنگ سایبری، بازیگران دولت-ملت اغلب سازمانهای دولتی یا زیرساختهای حیاتی دشمنان خود را هدف قرار میدهند. به عنوان مثال، از زمان شروع جنگ روسیه و اوکراین، هر دو کشور حملات سایبری گسترده ای را علیه نهادهای حیاتی تجربه کرده اند. هکرهای فعال که “هکتیویست” نامیده می شوند، ممکن است آسیب زیادی به اهداف خود وارد نکنند. در عوض، آنها معمولاً با اعلام حملات خود به مردم به دنبال توجه به علل خود هستند.
در دوازده ماه گذشته، سازمانها بهطور روزافزون نگران آسیبپذیری خود نسبت به تهدید و حمله سایبری شدهاند؛ این سال یکی از متلاطمترین و پراختلالترین دورههای ثبتشده از لحاظ امنیتی است. دولتها و کسبوکارها دور دنیا در تلاش بودند که در دریای پرتلاطم همهگیری کووید-۱۹ شنا کنند و ما هنوز با «زندگی عادی جدید» فاصلهی زیادی داشتیم. درحالیکه کسبوکارها به سراغ کار از راه دور و و محیط کار هایبرید رفتند، تلاش برای تغییر و تحول دیجیتال بهشدت تسریع شد، اما همان سؤالاتی که در سال ۲۰۲۰ در مورد بلوغ امنیتی وجود داشت در سال ۲۰۲۱ هم مشاهده میشد. برخی از آن سؤالات هنوز هم بیپاسخ ماندهاند و عاملان تهدید بدون اتلاف وقت وضعیت را به نفع خود تغییر دادهاند.
در این مطلب در مورد افزایش تهدیدات و آسیبهای احتمالی از سوی حملات سایبری صحبت میشود و اصولی را برای رویکردهایی که سازمانها و تکنولوژیها باید برای پیشگیری از حملهی بعدی مورداستفاده قرار دهند مطرح میکند.
از Solarwinds تا آسیبپذیری Log4j
در سال ۲۰۲۱، در مقایسه با سال ۲۰۲۰ حملات کلی به شبکههای سازمانی در طول هفته ۵۰ درصد افزایش داشته است و بخش آموزش و پژوهش بزرگترین ضربه را خورده، زیرا هر هفته از سال بهطور متوسط ۱۶۰۵ حمله به این بخش انجام گرفته است.
همانطور که پیشبینی میشد، به نظر میرسد نقض امنیتی مشهور SolarWinds روندی از حملات زنجیرهی تأمین را آغاز کرده است که بدون وقفه ادامه پیدا کردهاند و ظاهراً قصد توقف ندارند. حادثهی SolarWinds با یک بدافزار پیچیده به نام Sunburst آغاز شد که در چندین نسخه از محصول مدیریت منابع فناوری اطلاعات به نام SolarWinds Orion به کار گرفته شده بود؛ این محصول توسط ۳۳۰۰۰ مشتری در سطح دنیا مورداستفاده قرار میگیرد. این بهروزرسانی مخرب به ۱۸۰۰۰ شرکت نیز راه پیدا کرد و سازمانهایی مثل وزارت امنیت میهن ایالات متحده آمریکا و وزارت خزانهداری آمریکا را آلوده ساخت.
در پایان سال ۲۰۲۱، دنیا شاهد یکی از جدیترین آسیبپذیریها روی اینترنت بود و هر ساعت میلیونها حمله انجام میشد تا Log4J را Exploit کند. سال ۲۰۲۱ از نظر امنیت سایبری رکورد زد. در ماه اکتبر، Check Point Research گزارش داد که حملات سایبری در جهان ۴۰ درصد افزایش داشته است و از هر ۶۱ سازمان در جهان، یک مورد تحت تأثیر باجافزار قرار گرفته است.
سرعت رشد حملات سایبری از لحاظ حجم، پیچیدگی و تأثیرگذاری نگرانکننده است. در این عصر از جرایم سایبری قدرتمند، نیاز به حفاظت از سازمانها در مقابل حملات سایبری پیشرفته از هر زمان دیگری حیاتیتر است. شرکتها باید از تکنولوژیهای نوآورانهای استفاده کنند تا تحت حفاظت باقی بمانند.
راههای پیشگیری از حمله سایبری بعدی
تأثیرات حملات سایبری بزرگی مثل SolarWinds و Log4J اجتنابناپذیر نبودند. بسیاری از سازمانها میتوانند با انجام اقدامات لازم و ایجاد تکنولوژیهای مناسب از تأثیرات مخرب حملات سایبری اینچنینی پیشگیری کنند. اکنون نیز سازمانها برای اینکه بتوانند با تهدیدات سایبری بعدی مقابله کنند، باید رویکردی فعال و پیشگیرانه را اتخاذ کرده و از تکنولوژیهای پیشرفتهای استفاده کنند که بتواند حتی از حملات Zero-Day نیز پیشگیری کند.
اگر شرکتها دید خود را به امنیت تغییر دهند و چندین اصل را دنبال کنند، خواهند توانست از حملات سایبری بعدی پیشگیری کنند.
حفظ وضعیت امنیت
- Patching: در مواقع بسیاری حملات سایبری با استفاده از آسیبپذیریهایی نفوذ میکنند که برای آنها Patch ارائه شده اما اعمال نشده است. سازمانها باید اطمینان حاصل کنند که Patchهای امنیتی روی تمام سیستمها و نرمافزارها بهروزرسانی شده باشند.
- بخشبندی: شبکهها باید بخشبندی شوند و فایروالها و IPSهای قدرتمندی بین بخشهای شبکه پیادهسازی شود تا آلودگی در کل شبکه پخش نشود.
- بررسی: پالیسیهای محصولات امنیتی باید بهدقت بررسی شود و لاگها و هشدارهای حوادث باید بهطور مداوم مانیتور شوند.
- ممیزی: ممیزیهای روتین و تست نفوذ باید روی تمام سیستمها انجام شوند.
- اصل حداقل دسترسی: دسترسی کاربر و نرمافزار باید در حداقل حالت ممکن باشد؛ آیا واقعاً نیاز است که تمام کاربران روی PCهای خود دسترسی ادمین Local را داشته باشند؟
پیشگیری به جای شناسایی
Vendorهای امنیت سایبری قدیمی معمولاً ادعا میکنند که حمله سایبری اتفاق میافتند و راهی برای پیشگیری از آنها نیست؛ درنتیجه تنها راهی که داریم سرمایهگذاری روی تکنولوژیهایی است که با استفاده از آنها وقتی حمله به شبکه نفوذ کرده است آن را شناسایی کنیم و آسیبها را در سریعترین زمان ممکن از بین ببریم.
این حرف حقیقت ندارد. نهتنها میتوان جلوی حملات سایبری را گرفت، بلکه همچنین میتوان از آنها پیشگیری کرد؛ این امر شامل حال حملات Zero-Day و بدافزارهای ناشناس نیز میشود. با داشتن تکنولوژیهای مناسب، میتوان بدون اختلال در جریان کسبوکار از اکثریت حملات سایبری، حتی پیشرفتهترین آنها پیشگیری کرد.
واضح است که یک حملهی سایبری، چه هدفمند باشد و چه گسترده، میتواند تأثیر شدیدی روی عملکرد سازمانی، یکپارچگی داده، دسترسی مشتری، اعتبار بلندمدت و البته مسائل مالی داشته باشد. طبیعتاً، حملات سایبری که زیرساختهای حیاتی را هدف قرار میدهند میتوانند روتین یک سازمان و همچنین کل زنجیره تأمین آن را فلج کنند. در سال ۲۰۲۱ ما تعداد بسیار بالایی از حملات سایبری را مشاهده کردیم که منجر به اختلال در زندگی روزمرهی افراد شدند و در برخی از موارد حتی امنیت فیزیکی آنها را تهدید کردند. فارغ از اینکه این تهدیدات انگیزهی مالی یا ایدئولوژیکی داشته باشند، عاملان تهدید دائماً به دنبال اهرم بیشتر و راههای جدیدی برای افزایش فشار روی قربانیان خود هستند.
استفاده از یک معماری یکپارچهی کامل
سازمانهای زیادی سعی میکنند با استفاده از محصولات تکمنظوره از Vendorهای مختلف امنیت خود را تأمین کنند. این رویکرد معمولاً با شکست مواجه میشود زیرا منجر به تکنولوژیهای ازهمگسیختهای میشود که با هم همکاری ندارند و موجب شکافهای امنیتی میشوند.
بهعلاوه، کار با سیستمها و Vendorهای مختلف سربار عظیمی را میسازد. درنتیجهی این رویکرد ناکارآمد، بسیاری از حملات سایبری قابل پیشگیری نیستند و سازمانها مجبور میشوند سرمایهگذاری بیشتری روی راهکارهای لازم پس از آلودگی و اصلاح نقض امنیتی داشته باشند.
برای دستیابی به امنیت جامع، شرکتها باید یک رویکرد چندلایه واحدی را اتخاذ کنند که از تمام عناصر IT از جمله شبکهها، Endpoint، Cloud و موبایل حفاظت کند و همگی معماری پیشگیرانهی یکسان و هوش تهدیدات یکسانی داشته باشند.
پوشش تمام مسیرهای حمله سایبری
نحوهی عملکرد هکرها
ایمیل یا پیام: ممکن است مجرمان سایبری یک ایمیل یا پیام را با ضمیمهی مخرب یا لینک مخربی ارسال کنند.
مرور وب: مجرمان سایبری میتوانند مرورگر کاربر را دچار نقض امنیتی کنند (معمولاً از طریق Kitهای Exploit) یا او را فریب دهند تا خودش فایل مخربی را دانلود و باز کند.
Exploit کردن سیستمها و سرور مجرمان سایبری میتوانند با Exploit کردن آسیبپذیریهای Patchنشده در هر هاست آنلاین آلودگی ایجاد کنند.
برنامههای کاربردی موبایل یکی از متداولترین منابع برای ایجاد نقض امینی در دستگاههای موبایل برنامههای کاربردی هستند.
Storage خارجی: درایورهایی که بهصورت فیزیکی Mount میشوند این امکان را ایجاد میکنند که فایلهای مخرب حتی بدون عبور از شبکه وارد شوند.
فیشینگ: عبارت است از تلاش برای بدست آوردن اطلاعات حساسی مثل نامهای کاربری، رمزهای عبور و جزئیات کارت اعتباری با نشان دادن خود بهعنوان فردی معتمد.
برای دستیابی به پوشش کافی، سازمانها باید به دنبال راهکاری باشند که بتواند تمام مسیرهای حمله را پوشش دهد. راهکاری که پیشگیری را روی تمام مسیرهای حمله از جمله ایمیل، مرور وب، Exploit سیستم، Storage خارجی، برنامههای کاربردی موبایل و غیره فراهم کند.
پیادهسازی پیشرفتهترین تکنولوژیها
تکنیکهای حمله متنوع و دائماً در حال تکامل هستند. سیستمهای IT پیچیده هستند. هیچ تکنولوژی واحدی وجود ندارد که بتواند از تمام تهدیدات و تمام مسیرهای حملات سایبری پیشگیری کند. اما تکنولوژیها و ایدههای فوقالعادهای وجود دارند، از جمله یادگیری ماشین، Sandboxing، شناسایی ناهنجاریها، خلع سلاح محتوا (Content Disarmament) و موارد بیشتر. هر کدام از این تکنولوژیها میتوانند در سناریوهای مختلف بهشدت مفید باشند و انواع فایلها یا مسیرهای حملهی خاصی را پوشش دهند. راهکارهای قدرتمند گسترهی بزرگی از تکنولوژیها و نوآوریها را یکپارچهسازی میکنند تا بتوانند بهطور کارآمدی با حملات مدرن در محیطهای IT مقابله کنند.
بروز نگه داشتن هوش تهدیدات
در مبارزهی دائمی در مقابل بدافزارها، قابلیتهای هوش تهدیدات و پاسخ سریع حیاتی هستند. بهروز نگه داشتن کسبوکار خود با هوش جامع برای متوقف کردن پیشگیرانهی تهدیدات، مدیریت خدمات امنیتی، مانیتورینگ شبکه و پاسخ به حادثه برای پاسخ سریع به حملات سایبری و رفع آنها بسیار حائز اهمیت است.
بدافزارها دائماً در حال تکامل هستند و باعث میشوند که هوش تهدیدات برای هر شرکتی ابزاری حیاتی محسوب شوند. وقتی که سازمانی داراییهای مالی، شخصی، اطلاعاتی یا ملی داشته باشد، رویکردی جامع به امنیت تنها راه حفاظت از سازمان در مقابل مهاجمین امروز است. هوش تهدیدات یکی از کارآمدترین راهکارهای امنیتی پیشگیرانه است که امروز در دسترس قرار دارد.
پیشگیری از حمله سایبری قبل از اینکه اتفاق بیفتند
یکی از بزرگترین چالشهایی که متخصصان امنیتی با آن موجه هستند، حملات Gen V است؛ این حملات عبارتاند از ترکیبی از تهدیدات مختلف، حملات سایبری در مقیاس بزرگ و آسیبپذیریها گسترده.
حفاظت جامع واقعی نیازمند یک رویکرد دارای معماری است که پیش از اینکه حملات رخ دهند، از آنها پیشگیری میکنند. هدف نهایی شکست دادن تمام حملات سایبری روی تمام مسیرهای حمله است. در وضعیت کنونیِ حملات زنجیرهی تأمین بزرگ و مبارزهی دائمی در مقابل بدافزارهایی که اخیراً تکامل پیدا کردهاند، هوش تهدیدات و قابلیتهای پاسخ سریع حیاتی هستند. هوش تهدیدات جامع برای حذف تهدیدات، خدمات امنیت مدیریتشده برای مانیتور کردن شبکه، قابلیتهای پاسخ به حادثه برای پاسخ سریع به حملات سایبری و رفع آنها، همگی برای بهروز نگه داشتن و ادامهی کسبوکار حیاتی هستند. یک معماری امنیتی که زیرساخت حفاظتی جامع و یکپارچهای را تسهیل کند نسبت به زیرساختی که از بخشهایی تشکیل شده باشد که با هم کار نمیکنند، حفاظت جامع و سریعتری را فراهم خواهد کرد.