ما همواره بهدنبال جدیدترین ابزارهای امنیتی برای غلبه بر تهدیدات سایبری هستیم.
به گزارش پایداری ملی، ما همواره بهدنبال جدیدترین ابزارهای امنیتی برای غلبه بر تهدیدات سایبری هستیم. حاضریم هزینههای زیادی را متحمل شویم به امید آنکه از سامانهها و تجهیزات خود در برابر تهاجمات خارجی محافظت کنیم. اما شاید به یک نکته ظریف دقت نکردهایم. یکی از بهترین راهکارهایی که امنیت ما را بهبود میبخشد این است که همانند یک هکر فکر کنیم. اما سوال اصلی این است که آیا اساسا این چنین تفکری در قالب یک رویکرد تدافعی قابل پیادهسازی است؟
در ظاهر چنین بهنظر میرسد که این رویکرد قابل اجرا نیست، با این وجود به نظر میرسد بانک ABN AMRO موفق شده است به این نظریه جامع عمل بپوشاند. این شرکت چهار استراتژی امنیتی خود را که در این زمینه پیادهسازی کرده و بر مبنای آن توانسته است در مقابل طیف بسیار گستردهای از حملات ایستادگی کند تشریح کرده است. ما در این مقاله به این استراتژیها نگاهی خواهیم داشت.
گزارشهای منتشر شده نشان میدهند که هکرها در سال 2014 میلادی بیش از 575 میلیارد دلار که معادل 8/0درصد از تولید ناخالص جهانی را شامل میشود،
به صنایع و سازمانهای مختلف خسارت وارد کردهاند. آمارهایی که سال گذشته میلادی منتشر شدند نشان دادند که شرکتهای آمریکایی از بابت رخنههای دادهای به طور متوسط 6.5 میلیون دلار خسارت دیدهاند. از حملات هکری انفرادی گرفته تا نقصهای بالقوه دادهای که همواره شرکتها را در معرض تهدید قرار میدهند، در تمامی موارد ضرر و زیانهای مالی مستقیم و غیر مستقیم متوجه شرکتها است. حالت اول که مشخص است،
وجوه نقدی ممکن است از حساب شرکتها به سرقت رود. اما در حالت غیرمستقیم این رخنههای دادهای باعث میشود تا کاربرانی که اطلاعات آنها در معرض خطر قرار گرفته است اعتماد خود را به آن شرکت از دست بدهند و در نتیجه به سراغ شرکتهای دیگری بروند. به این شکل بخش دیگری از سرمایههای مالی و معنوی شرکتها از دست خواهد رفت.
در بعضی موارد میزان خسارت وارد شده به اندازهای سنگین است که عمدتاً شرکتهای کوچک یا متوسط که به واسطه یک رخنه هکری صدمه دیدهاند دیگر قادر به ادامه حیات خود نخواهند بود.
حال سوال اصلی این است که چگامروزه فعالیتهای مختلفی به واسطه اینترنت و فضای آنلاین انجام میشوند. مدیران سایتها و مدیران شرکتهایی که فعالیتهای آنها کاملا آنلاین است؛ همواره این دغدغه را دارند که مبادا در معرض تهدید هکری قرار بگیرند. اما بدون اغراق زمانی که صحبت از بانکداری الکترونیکی به میان میآید کمتر مدیری با صراحت میتواند اعلام دارد که قادر است با خیال راحت این چنین کسبوکاری را مدیریت کند.
بانکداری الکترونیکی یکی از پیچیدهترین مشاغلی است که مشاوران و کارشناسان حوزه امنیت آنلاین با آن روبرو هستند. ABN AMRO گزارش کرده است که به طور پیوسته در معرض انواع مختلفی از حملات قرار دارد. حملاتی که حسابهای کاربری را نشانه رفتهاند، حملات منع سرویس انکار شدهای که بهمنظور از کار انداختن فعالیتهای این بانک سازماندهی میشوند،
بدافزارهایی که برای سرقت اطلاعات مورد استفاده قرار میگیرند و باجافزارهایی که برای به گروگان گرفتن اطلاعات کارمندان و مدیران ارشد مورد استفاده قرار میگیرند همگی این بانک را نشانه رفتهاند. این حملات در بازههای زمانی نامنظم یا به طور پیوسته در حال به چالش کشیدن امنیت این بانک هستند. اما ABN AMRO برای غلبه بر این حملات دست به ابتکار جالبی زده است.
این بانک یک دپارتمان CSIO کامل را برای محافظت از دادههای دیجیتالی خود طراحی کرده است. این دپارتمان از هویت افراد گرفته تا مدیریت دسترسیها، توسعه قابلیتهای تشخیص تقلب، ارزیابی ریسکها، رمزگذاری، مدیریت امنیت فروش و مدیریت بحران را تحت نظارت گرفته و همواره در حال بررسی فاکتورهایی است که به آنها اشاره شد. بدون شک استراتژیهایی که از سوی این بانک مورد استفاده قرار گرفته است میتواند برای هر کسبوکاری مفید باشد. این استراتژیها به ما نشان میدهند که چگونه باید راهکارهای دفاعی خود را به منظور پیادهسازی یک استراتژی امنیت سایبری موثر پیادهسازی کنیم. بر همین اساس در این مقاله به این استراتژیها نگاهی خواهیم داشت.
استراتژی شماره 1
ترمیم کامل نقاط ضعف امکانپذیر نیست
به نظر شما کدامیک از موارد زیر جزء ضعیفترین مولفههای یک برنامه امنیتی به شمار میرود؟
A. Cross-Site Scripting (تزریق اسکریپت از طریق سایت)
B. Insecure Cryptographic Storage (به کارگیری کلید رمزنگاری ساده یا عدم رمزنگاری اطلاعات کلیدی)
C. The small thermal exhaust port which leads directly to the reactor system (یک فرضیه خیالی)
D. Humans (کاربران یا کارکنان )
اگر پاسخ شما گزینه سوم است، به احتمال زیاد بیش از اندازه سری فیلمهای جنگ ستارگان را مشاهده کردهاید. اگر پاسخ شما گزینه اول یا دوم است نشان میدهد شما یک فرد خستهکننده هستید. اما اگر پاسخ شما گزینه چهارم است به شما تبریک میگویم. درست حدس زدهاید. عامل انسانی همواره یکی از ریسکپذیرترین فاکتورهایی است که در هر برنامهای ممکن است وجود داشته باشد.
عامل انسانی میتواند کارمند یا مشتری یک سازمان باشد. راهکارهای متعددی پیش روی سازمانها قرار دارد که به واسطه آنها میتوانند مخاطرات امنیتی مبتنی بر عامل انسانی را به حداقل برسانند. آموزش کارکنان، بهروزرسانی سیاستهای مرتبط با کارکنان، آگاه ساختن کاربران و مجبور ساختن آنها به تغییر گذرواژه یا پیادهسازی سطوح مختلفی از احراز هویت همچون احراز هویت دو عاملی از جمله این راهکارها به شمار میروند. در نهایت، باید به این نکته توجه داشته باشید که هکرها همواره در تلاش هستند از طریق کانالهای مختلفی ریسکهای امنیتی شرکتها را پیدا کرده و از طریق آنها به شرکتها نفوذ کنند.
هکرها در تلاش هستند از تکنیکهای مختلفی همچون حملات فیشینگ، مهندسی اجتماعی و روشهای دیگر برای فریب کاربران یا کارمندان یک شرکت استفاده کنند. در پایان تمامی این بازیها تنها یک عدد باقی میماند. آمارهای ارائه شده از سوی کسپرسکی نشان میدهد 37.3 میلیون کاربر بسته امنیتی این شرکت، حملات فیشینگ را در سال 2015 تجربه کردهاند.
موسسهای همچون ABN AMRO ممکن است این توانایی را داشته باشد تا به شکلی کاملاً موثر فرآیند اطلاعرسانی و آموزش 90 درصدی کاربران و کارمندان خود را با موفقیت به سرانجام برساند، اما واقعیت این است که هکرها صدها هزار ایمیل فیشینگ و طیف متنوعتری از حملات را برای اهدافشان ارسال میکنند. در این میان اگر فقط یک نفر وسوسه شود که ایمیل دریافتی را باز کرده و روی محتوای درون آن کلیک کند، آنگاه قفل دربهای موردنیاز هکرها به روی آنها گشوده خواهد شد.
آمارها نشان میدهند نزدیک به 23 درصد ایمیلهای فیشینگ که برای افراد مختلف ارسال میشود کاربران را اغوا میسازند که آن را باز کنند.
درسی که از این استراتژی میگیریم این است که ما نمیتوانیم روباتهایی که به دقت برنامهریزی شدهاند را با کاربران یا کارمندان خود جایگزین کنیم، حتی اگر شانس انجام اینکار را داشته باشیم بازهم ممکن است آنها هک شوند. پس به جای اینکار باید این نکته را همیشه در نظر داشته باشیم که تهدیدات امنیتی در هر فرصتی حتی زمانی که تصور میکنیم در امنیت قرار داریم ممکن است ما را در معرض خطر قرار دهند. ارزشمند است، روی منابعی سرمایهگذاری کنیم که بتوانند آموزشهای جامعی را به کارمندان ارائه کرده و سطح آگاهی کاربران را افزایش دهند. هر چند این رویکرد ممکن است نتایج چشمگیری که انتظار داریم را عاید ما نکند اما ابتداییترین لایه دفاعی را به وجود آورده و بدون شک بهتر از آن است که به این خیال باشیم که همواره کارمندان و مشتریان خوبی در اختیار داریم.
استراتژی شماره 2
نیازی نیست یک قلعه فوقسری همچون فورت نوکس طراحی کنید
در یک دنیای مطلوب هر شرکتی میتواند با بودجهای نامحدود و کارکنان نامحدود یک برنامه دفاعی مستحکم را برای خود طراحی کرده و یک قلعه فوقسری همچون فورت نوکس را در دنیای دیجیتال برای رویارویی با هر رخنه دادهایی به وجود آورد. اما در عمل هیچگاه این رویا به حقیقت نخواهد پیوست. مشابه این رویکرد در دنیای واقعی و به ویژه برای شرکتهایی که تازه کار خود را آغاز کردهاند و حتی بزرگترین بانکها که در اغلب مواقع با توجه به بودجه و کارمندان بسیار محدود در حال توسعه زیرساختهای امنیتی خود هستند به سختی قابل اجرا است. از طرفی اختصاص بودجه بیش از اندازه به بخش امنیت باعث میشود تا کسبوکارها از اهداف اصلی خود که همانا توسعه محصول است دور شوند.
راهکارهای متعددی پیش روی سازمانها قرار دارد که به واسطه آنها میتوانند مخاطرات امنیتی مبتنی بر عامل انسانی را به حداقل برسانند
حال به سوال اصلی این استراتژی میرسیم: یک شرکت چه کاری باید انجام دهد؟ گزینههای پیش رو به شرح زیر هستند:
الف. تلاش کنیم یک دژ فورت ناکس طراحی کنیم! همه بودجه محدود خود را صرف محافظت از برنامه کاربردی خود کنیم. برنامهای که هیچکس قادر نخواهد بود از آن استفاده کند، به سبب آنکه تمامی بودجه خود را به جای آنکه صرف محصول کنیم صرف امنیت کردهایم.
ب. این حقیقت را قبول کنیم که هکرها در نهایت پیروز خواهند شد و خود را در تاریکی قرار دهیم و پیمانی با هکرها منعقد کنیم. همه دادهها و داراییهایی که تاکنون از آنها محافظت کردهایم را در اختیار هکرها قرار دهیم.
پ. یا از فکر ساختن یک دژ مستحکم صرفنظر کنیم و به جای آن این واقعیت را قبول کنیم که تقریبا طراحی برنامهای که خالی از هرگونه آسیبپذیری باشد، امکانپذیر نیست. در نتیجه تلاش خود را صرف درک آسیبپذیریها کرده و ببینیم آنها واقعا چه هستند و زیرساختهای امنیتی و شناسایی متناسب با آنها را طراحی کنیم.
ABN AMRO گزینه آخر را پیشنهاد کرده است. به جای آنکه تمامی منابع خود را صرف ساخت و طراحی یک برنامه عظیمالجثه و غیرقابل استفاده کرده و به این شکل منابع با ارزش را هدر دهیم، برنامه (بانکداری) هدفمندی را طراحی کنیم که تمرکزش بر دو فاکتور امنیت و قابل استفاده بودن استوار باشد.
به طور مثال، ABN AMRO فرآیند مکانیزم احراز هویت چند مرحلهای را حذف کرده است. هر چند اینگونه به نظر میرسد که این مکانیزم برنامهها را به شکل قابل قبولی ایمن میکند، اما این بانک اعلام کرده است: «مشتریان آنگونه که ما میپنداریم از این مکانیزم استفاده نمیکنند.» آنها به جای این رویکرد تصمیم گرفتهاند منابع خود را صرف شناسایی فعالیتهای جعلی کنند که پیرامون حسابهای مشتریان قرار دارد.
فلسفهای که در پس این رویکرد وجود دارد این است که این شانس را داریم تا هرگونه فعالیت هکری که به منظور دستیابی غیرمجاز به حسابهای کاربری رخ میدهد را شناسایی کنیم. در حالی که این رویکرد در نهایت منجر به ساخت یک برنامه کاربردی میشود که مملو از آسیبپذیریها خواهد بود، اما ABN AMRO برای این حفرههای امنیتی راهکار ویژهای در نظر گرفته است.
این راهکار بر ساعات ورود کاربران و توسعه زیرساختها متمرکز است تا این نکته را کشف کند که آسیبپذیریها در چه مکانهایی (و چه بازههای زمانی) وجود دارند و در نتیجه حملاتی که از جانب این بخشها ممکن است رخ دهد را شناسایی کرده و پیش از آنکه رخنهها یک خسارت واقعی را به وجود آورند آنها را متوقف سازد. فابین کاستران، مدیر بخش امنیتی بانک ABN AMRO در این ارتباط گفته است: «هکرها همواره به دنبال مسیرهای سهلالوصول هستند. تصور کنید شما در مقابل یک در بسته و یک پنجره پشتی خانه که قفل نیست، قرار دارید. به عنوان یک سارق ترجیح میدهید از طریق پنجرهای که قفل نیست به درون خانه وارد شوید. ما در این رویکرد همانند یک هکر عمل کردیم.» ABN AMRO میداند چه عواملی بالاترین نرخ اشتباه را از آن خود میکنند و چه چیزی ممکن است به اشتباه مورد استفاده قرار گیرد. با سرمایهگذاری روی این چنین مواردی آنها موفق شدهاند سطح بسیار بالایی از امنیت و سطح بالایی از سرویسهای تشخیصدهنده را پیادهسازی کند.
استراتژی شماره 3
هکرها را استخدام کنید
توصیه اصلی این مقاله در رابطه با این موضوع است که همانند یک هکر فکر کنید. اما واقعیت این است که بسیاری از ما اصلا هکر نیستیم. اما چگونه میتوانیم همانند یک هکر فکر کنیم؟ نیازی به انجام اینکار ندارید. به جای اینکار میتوانید یک هکر را استخدام کرده و در ادامه فرآیند هک کردن برنامه خود را آغاز کنید. این رویکرد بهنظر میرسد کمی نامتعارف باشد، اما باید این موضوع را قبول کنید که درباره یک حوزه کاری کاملا حرفهای صحبت میکنیم. حوزهای که در آن دقیقاً به یک کارشناس خبره نیاز دارید.
هکرها همواره به دنبال مسیرهای سهلالوصول هستند. تصور کنید شما در مقابل یک در بسته و یک پنجره پشتی خانه که قفل نیست، قرار دارید. به عنوان یک سارق ترجیح میدهید از طریق پنجرهای که قفل نیست به درون خانه وارد شوید. ما در این رویکرد همانند یک هکر عمل کردیم
در دنیای پر رمز و راز هکرها، افرادی هستند که در قامت مشاوران امنیتی به استخدام شرکتها در میآیند و در قبال آزمایش امنیت یک شرکت هزینه آنرا دریافت کند. این گروه از افراد حتی گواهینامههای هک اخلاقی را نیز در اختیار دارند که نشان میدهد این افراد قادر هستند امنیت سامانههای کامپیوتری را با استفاده از تکنیکهای نفوذ مورد بررسی قرار دهند.
برای این منظور آنها امتحان CEH 312-50 را پشت سر میگذارند. این گواهی از سوی شورای مشاوران بینالمللی تجارت الکترونیک ارائه میشود. ABN AMRO تیمی از این هکرهای با اخلاق را به منظور آزمایش برنامههای کاربردی خود و پیدا کردن نقاط ضعف استخدام کرده است. در حالی که بسیاری بر این باور هستند که این استراتژی اعتبار لازم را ندارد و بسیاری از کسبوکارها به واسطه آنکه این افراد مبالغ زیادی را به عنوان دستمزد خود دریافت میکنند، منابع لازم برای استخدام هکرهای با اخلاق را در اختیار ندارند؛ اما این استراتژی یک پیام بسیار مهم را برای ما مخابره میکند. بسیار مهم است که برای آزمایش نرمافزار خود از نقطهنظرات یک هکر کمک بگیرید. نه اینکه تنها نقطه نظرات کارشناسان حرفهای دنیای فناوری اطلاعات را به منظور پیدا کردن آسیبپذیریها مورد استفاده قرار دهید.
استراتژی شماره 4
ابتدا تحقیق کنید و بعد روباتهایی را بسازید تا کارهایی را برای شما انجام دهند
هکرها الگوی حملاتی که روزانه ABN AMRO را تحتالشعاع خود قرار میدهند را از طریق کانالهای مختلفی تغییر میدهند. (به این کار حمله تغییر مسیر سفارشی گفته میشود.) این بدان معنا است که ABN AMRO هر روزه با گونه جدیدی از حملات روبرو میشود. این رویکرد به ما اعلام میدارد که هر تکنیک هک راهکار دفاعی جدیدی را به مبارزه میطلبد. در نتیجه ABN AMRO همواره باید یک قدم جلوتر از هکرها قرار داشته باشد.
برای اینکار کافی نیست که همانند یک هکر فکر کنید، بلکه باید همانند بهترین هکر فکر کنید. این بانک به منظور پیشگیری از بروز حملات سایبری سرمایهگذاریهای سنگینی را در ارتباط با تحقیق، پژوهش و توسعه انجام داده است.
در حالی که آنها این گنجینه با ارزش را در اختیار دارند، در همین حال تنها بانک هلندی هستند که با واتسون آیبیام در زمینه شناسایی سریعتر و بهتر کلاهبرداریها در تعامل هستند. ABN AMRO به منظور بهبود الگوریتمها و انطباق بیشتر هوش مصنوعی در زمینه کشف تقلبها حتی زمانی که هکرها الگوی حملات خود را تغییر میدهند با آیبیام در حال همکاری است. ماحصل این پژوهشها ثبت گواهی اختراعی است که در رابطه با سبک خاصی از الگوریتمهای تشخیص تقلب ساخته شده است.
چه درسی از رویکرد استراتژیک ABN AMRO میتوان گرفت؟
بدون شک تحقیق و پژوهش را میتوان کلید موفقیت این شرکت در زمینه پیادهسازی استراتژیهای کارآمد امنیتی دانست. در همین حال هوش مصنوعی به خوبی نشان داده است که در آینده کلید مقابله با تهدیدات امنیتی در اختیار این فناوری قرار دارد. اما از رویکرد بانک ABN AMRO چه درسی میتوان گرفت؟ در جواب باید بگوییم مهم نیست منابع مالی عظیم یا محدودی در اختیار دارید. مهم این است که به این نکته توجه داشته باشید که نرمافزارها همواره آسیبپذیریهایی دارند که ممکن است مورد سوء استفاده هکرها قرار گیرند. بهترین دفاع در برابر تهدیدات سایبری این نیست که تنها به توسعه زیرساختهای امنیتی فکر کنیم، بلکه باید زمان و پول خود را صرف فهمیدن این مسئله کنیم که آسیبپذیریها در کجا قرار دارند، چگونه به وجود میآیند و چگونه میتوانیم مانع به وجود آمدن آنها شویم.
نه میتوانیم از شرکت خود در برابر این چنین تهدیداتی محافظت به عمل آوریم. ABN ARMO یکی از برجستهترین بانکهای هلندی است که موفق شده است یک استراتژی امنیت سایبری قدرتمند را در این ارتباط طراحی کرده و آنرا به مرحله اجرا درآورد.