سه سوالی که هر کارشناس ارشد امنیتی باید بتواند به آن‌ها پاسخ دهد

در پی همکاری با متخصصان فنی و متخصصان امنیت سایبری در سراسر جهان، مکالمات ما اغلب در مورد چند موضوع کلیدی متمرکز می‌شوند. این موضوعات شامل خطر ایجاد شده توسط اینترنت اشیاء، مشکل تشخیص انتقال داده‌های بالقوه‌ی مخرب و عدم دسترسی کلی به فعالیت‌های کاربر و دستگاه هستند. این نگرانی‌ها عمدتا به دلیل شبکه، پیچیده و گسترده است. که این مسئله، وظیفه‌ی نظارت بر تغییرات کم و تهدید‌کننده در رفتار کاربر و دستگاه را پیچیده می‌کند. امروزه شبکه‌هایی که به ابر متصل می‌شوند و ممکن است به سامانه‌های کنترل صنعتی متصل شوند، بسیاری از تجهیزات را در اختیار دارند و اغلب در سراسر جهان قرار دارند. حملات پیشرفته‌ی سایبری و تهدیدهای داخلی، در سر و صداها از بین رفته‌ است. 

 

اگر دستگاه‌های اینترنت اشیاء، ماشین‌های مجازی و شهرهای هوشمند را هم اضافه کنید، تقریبا غیرممکن است که بتوانید از تهدید در حال رشد، جلوگیری کنید. در نتیجه، کارشناسان ارشد امنیتی و گروه‌‎‌های امنیتی با یک مشکل اساسی مواجه هستند. تعداد نقاط کور آن‌ها بیش از اندازه است و قادر به درک تهدیدها نیستند. برای درک مقیاس این چالش، باید سه سوال از گروه امنیتی خود بپرسید. 

 

آیا می‌توانید حساب هر دستگاه در شبکه را داشته ‌باشید؟ حتی قوی‌ترین گروه‌های امنیتی قدیمی هم به طور مداوم تعداد دستگاه‌ها را در شبکه‌ی خود، تا 30 درصد کاهش می‌دهند و بسیاری از شرکت‌ها توانایی تشخیص فعالیت‌های غیرعادی در دستگاه‌های اینترنت اشیاء و دیگر فناوری‌های غیر متعارف را ندارند. این واقعیت در مورد مهاجمان سایبری هم وجود دارد. با هدف قرار دادن دستگاه‌های اینترنت اشیاء آسیب‌پذیر، می‌توانند به طور مخفیانه وارد شبکه‌ها شوند. در غیر این صورت به نظر می‌رسد که قفل شده‌اند. به عنوان مثال، یکی از تهدیدات ناراحت‌کننده‌ای که وجود دارد، یک شرکت معماری است که با استفاده از صفحات هوشمند طراحی شده ‌است. 

 

این دستگاه‌ها بدون اطلاع به گروه امنیتی خود و با استفاده از گواهی‌نامه‌ی ورود پیش‌فرض به وای‌فای دفتر متصل شدند. یک مهاجم خارجی دستگاه‌های هوشمند آسیب‌پذیر را پیدا کرد و از آن‌ها در یک حمله‌ی بزرگ منع سرویس توزیع‌شده استفاده کرد. آسیب‌پذیری‌های اینترنت اشیاء مستند می‌شوند، اما این راه‌حل ساده‌ای نیست. اکثر ابزارهای امنیتی تنها می‌توانند دستگاه‌های خاص و انواع خاص تهدید را نظارت کنند. در نتیجه، دستگاه‌های اینترنت اشیاء اغلب تحت رادار قرار می‌گیرند و به عنوان سنگ پله‌ای به شبکه استفاده می‌شود. 

 

آیا می‌دانید که در چه جایی، چه در داخل و چه در خارج داده‌ها در حال انتقال هستند؟ هنگام نفوذ به کیمته‌ی ملی دموکراتیک در سال 2016، مجرمان گفتند که 80 گیگابایت داده، تقریبا 500 مگابایت در روز، از شبکه خارج کرده‌اند. در عین حال، حتی انتقال‌های بزرگ و غیرمستقیم داده‌ها می‌توانند در اختلالات یک شبکه‌ی شلوغ از بین برود. مهاجم‌های ماهر ممکن است در یک لحظه داده‌ها را به سرقت ببرند و یا با تغییر مقدار بسیار کمی ‌از داده‌ها، به آرامی داده‌های مورد نظر خود را داخل شبکه جاسازی کرده و به عنوان ترافیک عادی مخفی کنند. درک اینکه جریان داده‌ها قانونی هست یا نیست، پیچیده است و نیاز به مفاد بیشتری دارد.

 

شما می‌خواهید زمانی را که دزدان، بانک اطلاعاتی شما را سرقت می‌کنند، بدانید اما نمی‌خواهید هر زمانی که طراح گرافیک یک پرونده‌ی ویدئویی را بارگذاری می‌کند و هشدار می‌دهد را مشاهده کنید. شما می‌خواهید بدانید که آیا یک کارمند به صورت تصادفی پوشه‌های طراحی محصول را به یک قراداد ارسال می‌کند، اما نمی‌خواهید تداخل اتصالی را برقرار کنید که زنجیره‌ی عرضه‌ی شما متکی به آن است. این ما را به مسئله‌ی اساسی یک رویکرد مبنی بر قواعد می‌رساند. هر قانون دارای استثناء است و زیاد شدن تعداد این استثناها می‌تواند سامانه را شکست دهد. گروه‌های امنیتی نیز باید از نتایج مثبت-کاذب اجتناب کنند و فقط فعالیت‌های مشکوک واقعی را بررسی کنند. درک عمیق از جریان داده‌های طبیعی شبکه، در داخل و خارج از سازمان، مورد نیاز است.

 

 آیا نظارت درستی بر نحوه‌ی رفتار کاربران خود دارید؟ تهدیدات خارجی نیازمند توجه بیشتری است. اما تهدیدات داخلی یک خطر جدی امنیتی محسوب می‌شوند. به ویژه هنگامی‌که از کارمندان قابل اعتماد رفتارهای غیرمعمول دیده می‌شود، این خطر بسیار مشهود است. زیرا این افراد نشان‌های ساختمان و گذرواژه‌ی مربوط به شبکه را دارند. یک کارمند که در زمان غیر معمول وارد شبکه می‌شود، تعدادی از پوشه‌ها جمع‌آوری می‌شوند و حجم غیرمعمولی از بارگیری اتفاق می‌افتد. این اقدامات ممکن است ناچیز باشد و به ندرت اتفاق بیفتند. با این حال، می‌توانند به هم مرتبط باشند و به عنوان شاخص‌های ضعیف عمل کنند که تصویری از یک تهدیدِ در حال ظهور را نشان می‌دهد. تهدیدات داخلی لزوما مخرب نیستند. نشت داده‌ها به صورت تصادفی و نقض‌های کوچک سیاست‌های شرکت می‌تواند شرکت‌ها را به طور گسترده‌ای آسیب‌پذیر کند. به عنوان مثال، یک دولت محلی آمریکا اخیرا  کارمندی را شناسایی کرد که از یک وب‌گاه قانونی بازدید و با کلیک بر روی یک تبلیغ، به طور تصادفی یک تروجان بانکی بسیار تهاجمی را بارگیری کرده‌ بود.

 

بدافزار به طور خاص طراحی شده‌است تا از دیواره‌ی آتش سازمانی جلوگیری کند و به طور خودکار اعتبارهای بانکی برخط را سرقت کند. تغییرات در رفتار دستگاه بسیار اندک بود، اما این نشان‌دهنده‌ی تهدید بسیار بزرگ‌تری بود. امروزه چشم‌انداز تهدیدها مرتبا بیشتر و پیچیده‌تر می‌شود و شروع حملات مبتنی بر ماشین، باعث می‌شود که این پیچیدگی و سرعت در سطح دیگری ادامه پیدا کند. در حال حاضر، چیزی به عنوان یک شبکه‌ی امن وجود ندارد و هیچ گروه امنیتی نمی‌تواند به این سه سوال با 100 درصد اطمینان پاسخ دهد. با این حال، این‌ها نقطه‌ی شروعی برای گفتگوی جدید درباره‌ی امنیت سایبری هستند. 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید