چشم انداز حمله سایبری سال 2017 تا امروز چگونه بوده است و شما برای حفاظت کسب و کارتان باید به چه مسائلی فکر کنید؟
امنیت سایبری، دیگر مقوله ای خاص که فقط بین کارشناسان IT و افسران ارشد امنیتی مورد بحث و گفتگو قرار بگیرد نیست. بلکه موضوعیست که بشکل مداوم در رسانه های خبری مهم جهان با تیترهایی نظیر نشت اطلاعاتی بزرگ یا رخنه وسیع روی پیدا می شود. حجم و شدت در حال افزایش حملات سایبری همه را مجبور کرده است تا امنیت اطلاعات را جدی بگیرند – حتی کسانی که در گذشته دوست نداشتند هیچ کاری با مقوله امنیت داشته باشند.
سال 2016 یکی از بزرگترین سالها از لحاظ امنیت سایبری بود: باج افزار ها به اندازه کافی به مساله اصلی سازمان ها بدل شدند، هکرها در انتخابات ایالات متحده مداخله کردند، یک بات نت روی اینترنت اشیاء باعث قطعی اینترنت در مقیاسی وسیع شد و بعلاوه شاهد نشت های اطلاعاتی بزرگی نظیر ماجرای «اسناد پاناما» و یاهو بودیم.
سوال اینجاست که ما (f-secure) چطور منظره تهدیدات سایبری را رصد کنیم که برای دفاع در برابر این نوع تهدیدات کمکی کرده باشیم؟ ما علاوه بر پیگیری اخبار و گوش فرا دادن به بحث ها و گفتگوهای مطرح شده در فوروم ها و گروه های علاقمند، اطلاعات مورد نیاز را از روشهای دیگری نیز بدست می آوریم که یکی از آنها شبکه honeypot شرکت می باشد.
به زبان ساده، honeypot ها تله هایی سروری هستند که برای جلب نظر مهاجم و پیشنهاد ظاهری ارائه داده های با ارزش به وی استفاده می شوند – در عالم واقع، مکانی که از داده ها میزبانی می کند ایزوله شده و در حال رصد شدن است و به کسانی که honeypot را پیاده سازی کرده اند اجازه می دهند تا اطلاعات مهم درباره حمله، نظیر مبداء حمله و نوع آن را بدست آورند.
f-secure یک شبکه honeypot عظیم و بین المللی را راه اندازی کرده است تا به ما برای پایش منظره کلی تهدیدات جهانی کمک کند. بعلاوه، ما honeypot خود را برای شبکه های خصوصی نیز از طریق راهکار (Rapid Detection Service (RDS نصب می کنیم.
با نگاهی بر داده های جمع آوری شده از honeypot هایمان طی نیمه اول امسال، برایتان خبرهایی داریم: هر قدر 2016 به نظر بد می آمد، 2017 از آن هم بدتر است.
در مقایسه با نیمه دوم 2016، در نیمه اول 2017 سنسورهای هانی پات ما بیش از دو برابر لاگ حمله بیشتر را ثبت کردند. هر چند بخشی از این افزایش می تواند مربوط به ارتقاء تکنولوژی و افزایش چشمگیر تعداد هانی پات در شبکه باشد، اما باز هم افزایشی بدین شکل صعودی فقط می تواند یک معنا داشته باشد: حملات سایبری در حال افزایشند.
با استناد به داده های ما، ترافیک منتج از آدرس های IP که در منطقه جغرافیایی روسیه واقع شده اند حدود نیمی از کل حجم حملات را تشکیل می دهد. درست پشت سر روسیه کشورهای مورد انتظار همیشگی قرار دارند: آمریکا، هلند، آلمان و چین. بلژیک نیز به عنوان مدعی جدید ظاهر شده است. کشورهایی که بیشتر از بقیه هدف حمله بوده اند نیز تقریباً یکسان با کشورهای مهاجم یکسان بودند: بیشترین حملات به سمت آمریکا، هلند، آلمان و بریتانیا سرازیر شده است.
علاوه بر افزایش حجم حملات شان، هکرها مدام روشهای حمله را نیز تکامل می دهند. بعنوان مثال، مهاجمین بشکل فزاینده ای در حال تلاش برای جعل هویت و حضور به عنوان کاربر عادی در شبکه می باشند و بشکلی اثربخش تلاش می کنند تا خودشان را بین ترافیک عادی شبکه مخفی کنند. آنها همچنین همواره در تلاشند تا به کامپیوترهای هدف کانکشن راه دور بزنند و از راه های پر سروصدای قدیمی مانند اسکن پورتها دوری می کنند. آنها به تلاش خود جهت هدف قرار دادن سطوح جدید تهاجم مانند دستگاه های اینترنت اشیاء (ما متوجه شدیم که پورت UPnP شماره 1900 شاهد صعود در ترافیک است)ادامه می دهند و در بکار بستن ابزارهای جدید حمله بسیار سریعند. مانند استفاده از اکسپلویت های لو رفته NSA (سازمان امنیت ملی آمریکا) که در انبار فایل مشهور Shadow Brokers منتشر شده بود (ترافیک به پورت 445 SMB نیز شاهد صعود بود)
بنابراین، همه اینها برای یک شرکت معمولی چه معنایی دارد؟
اولاً، احتمال اینکه شما مورد حمله قرار بگیرید بشدت افزایش یافته است. چه یک تلاش هدفمند برای سرقت اطلاعات، چه موجی از بدافزار که به سمت به سمت اشخاص مختلف سرازیر می شود، شما و سازمان شما اهدافی بالقوه هستید. دنبال فهرستی از کارهایی که باید انجام دهید هستید؟ بفرمایید اینم لیست کارها: مطمئن شوید آخرین ورژن سیستم عامل رو دارید، آپدیت خودکار برنامه ها رو فعال کنید و نرم افزارهای امنیتی رو برای دفاع از سیستم تون نصب کنید. یک پروتکل عملیات امنیت (operations security یا به اختصار OpSec) سفت و سخت و قابل اطمینان بسازید و ممطئن شوید که همه کارمندان از آن تبعیت می کنند تا ریسک اینکه سازمان شما جزو قربانیان تاکتیک های مختلف مهندسی اجتماعی باشید به حداقل خود برسد.
دوماً، مهاجمین روز به روز باهوشتر و بهتر می شوند. احتمال اینکه موردی یا گزینه ای در نرم افزار امنیتی شما اشتباه کار کند (عموماً بخاطر OpSec ضعیف یا خطای انسانی) و کل سازمان را به خطر بیاندازد همیشه وجود دارد. شما باید بشکل مناسب خود را هم برای کشف و هم برای پاسخ دادن به حملات تجهیز کنید. برای این منظور، خود را با مبانی MDR (Managed Detection and Response = کشف و پاسخ مدیریت شده) آشنا کنید، و اگر امکان دارد یک شرکت امنیتی را برای پایش ترافیک شبکه تان استخدام کنید. همچنین ایجاد طرح های موثر و واقع گرایانه در مواردی که سازمان مورد حمله قرار می گیرد تصمیمی هوشمندانه است.
نگهداری امنیت اطلاعات موثر یک مبارزه دائمی و سخت است: شما هیچ وقت کارتان تمام نمی شود. صرف کلی پول و زمان برای آپدیت ماندن با آخرین گرایش های موجود در حملات سایبری و همچنان اجبار به مراقبت روزانه از شبکه و سیستم ها ممکن است خسته کننده یا بی فایده به نظر بیاید. اما بیایید و به ما اعتماد کنید: این وضعیت خیلی بهتر از وضعیت دیگر است. نتایج حاصل از نقض امنیت در مقیاس سازمان معمولاً غیر قابل اندازه گیری و حتی غیرقابل بازگشت است.