مدل امنیتی مبتنی بر زنجیره حمله

زنجیر کامل حمله: قبل، حین و بعد از حمله

زمان، زمان استفاده از مدل‌های جدید امنیتی است

در حال حاضر دامنه حملات هیچ شباهتی به ۱۰ سال پیش ندارد. حملاتی که قبلا باعث ایجاد خسارات قابل جبران می‌شدند جای خود را به حملات سایبری پیچیده و دارای حامی مالی داده‌اند که می‌توانند خسارت شدیدتری به منابع سازمان‌ها و زیرساخت‌های ملی وارد کنند. امروزه نه تنها شناسایی این حملات دشوارتر شده بلکه آنها می‌توانند برای مدت زمان طولانی در شبکه‌ها باقی بمانند و از منابع شبکه برای حملات بعدی خود استفاده کنند.

راهکارهای دفاعی سنتی که منحصرا بر روی شناسایی و جلوگیری نقطه‌ای و لحظه‌ای متکی هستند دیگر برای شناسایی حملات پیشرفته، کاربردی نمی‌باشند. بنابراین زمان آن رسیده است تا از یک مدل امنیتی جدید که کل زنجیره حمله یعنی قبل، حین و بعد حمله را پوشش می‌دهد برای شناسایی حملات استفاده کنیم.

تبدیل شدن هک به یک صنعت پول‌ساز

۲۵ سال پیش بود که اولین ویروس کامپیوتری ظهور پیدا کرد. شاید در ابتدا این موضوع بدین شکل درک نشده بود که این ظهور آغازی برای صنعت هک می‌باشد. تقریبا حدود ۱۰ سالی ویروس‌ها به عنوان متد اصلی برای انجام حمله دوام آوردند و بعدها سیستم‌های دفاعی خود را برای مقابله با آنها مطابقت دادند. ولی این مهاجمان هستند که به دلیل انگیزه‌هایی مانند پول، شهرت و همچنین دانش بدست آمده از کشف و تبلیغ آسیب‌پذیری‌ها، همچنان به نوآوری‌های خود در این حوزه ادامه می‌دهند. در واقع آنچه منجر به تمایز در چرخه‌ی تهدیدات شده، اصطلاحاً “یک مسابقه تسلیحاتی” است. در واقع در یک جنگ تسلیحاتی مهاجمان بایستی تقریبا هر ۵ سال یک بار تهدیدات جدیدی را با استفاده از میکرو ویروس‌ها، کرم‌ها و روت کیت‌ها ایجاد کنند. در مقابل کارشناسان امنیت بایستی برای حفاظت از شبکه خود دست به نوآوری زده و به فناوری‌های جدید روی بیاورند.

تغییرات فناوری

اینکه ما تغییر در چرخه‌های مربوط به حملات در گذر زمان را به تغییرات عمده فناوری مرتبط بدانیم کاملا درست است. زیرا این تغییرات فناوری است که اکثرا باعث ایجاد بردارهای جدید حملات می‌شود. برای مثال ویروس‌ها در شکل ابتدایی خود فقط سیستم عامل‌ها را مورد هدف قرار می‌دادند و از طریق sneaker net منتشر می‌شدند. میکرو ویروس‌ها نیز از اشتراک فایل‌ها توسط کاربران بهره می‌بردند. کرم‌ها نیز برای انتقال از دستگاهی به دستگاه دیگر معمولا از شبکه‌ سازمان‌ها و فعالیت‌های اینترنتی کاربران برای انتشار خود استفاده می‌کنند. همچنین نرم افزارهای جاسوسی و روت کیت‌ها هم بیشتر با پیدایش برنامه‌ها، دستگاه‌ها و جوامع آنلاین ظهور پیدا کردند. ولی در حال حاضر آنچه به وضوح روشن است این است که ما با بدافزارها، حملات و تهدیدات هدفمندتر و پیشرفته‌تری (APT) نسبت به گذشته روبرو هستیم. بنابراین می‌توان گفت آنچه این دوران را از گذشته متمایز می‌کند، انگیزه‌ها و ابزارهایی است که پشت این حملات وجود دارد.

صنعت هک بلای جان سازمان‌ها

صنعتی شدن هک باعث ایجاد یک اقتصاد غیرقانونی با سرعت رشد بالا، موثر و کارآمد شده است که اکثرا از حمله به زیرساخت‌های فناوری اطلاعات سود می‌برد. در حال حاضر بازار خرید و فروش سازمان یافته Exploitها بسیار سودآور و شکوفا شده است. و وجود بازار آزاد نیز کمک کرده تا این Expliotها به سرعت منجر به سرقت، اخلال و تخریب شوند. از طرفی هکرها نیز متوجه شده‌اند که می‌توانند به سرعت از این راه پول زیادی کسب کنند، به همین دلیل کار خود را استانداردتر، مکانیزه‌تر و دارای فرآیند کرده‌اند. مهاجمان به راحتی می‌توانند ماهیت ثابت فن‌آوری‌های امنیتی کلاسیک و استقرار متفاوت آنها را درک و از شکاف‌ها و آسیب‌پذیری‌های آنها برای نفوذ استفاده کنند. حتی بسیاری ازهکرها، فرآیندهای مختلف تولید نرم افزار از جمله آزمایش تضمین کیفیت یا تست نفوذ در برابر فن‌آوری‌های امنیتی قبل از انتشار را نیز دنبال می‌کنند، تا مطمئن شوند که همچنان حفاظت‌های امنیتی معمول را می‌توانند دور بزنند.

بررسی زنجیره کامل حمله: قبل، حین و بعد حمله

امروزه بیشتر ابزارهای امنیتی بر روی ایجاد شفافیت در شبکه و مسدود کردن بدافزار در نقاط ورودی تمرکز دارند. بعضی از این راهکارها، فایل‌ها را فقط یک بار در زمان ورود به شبکه اسکن می‌کنند تا در صورت آلوده بودن از ورود آنها جلوگیری شود. ولی براساس اطلاعات موجود از حملات، اکثر آنها در زمان و مکان مشخصی روی نمی‌دهند. بنابراین در هر لحظه و زمانی امکان حمله وجود دارد و این موضوع سازمان‌ها را نیازمند انجام بررسی مداوم در سراسر شبکه می‌کند. در حال حاضر مهاجمان از روش‌هایی مانند port hopping، روش‌های encapsulation، حملات روز صفر، روش‌های فرار از ابزارهای تشخیص کنترل و فرمان (C&C)، تکنیک‌های sleep، ترافیک رمزگذاری شده، تهدیدات ترکیبی و فرار از sandbox استفاده می‌کنند تا از شناسایی اولیه جلوگیری کنند. اگر آلوده بودن فایلی با استفاده از راهکارهای تشخیص نقطه‌ای شناسایی نشود و این فایل پس از ورود به شبکه سازمان تکامل یافته و مخرب شود، فن‌آوری‌های تشخیص نقطه‌ای لحظه‌ای قادر به شناسایی آن نخواهند بود. روش‌های امنیتی نباید فقط بر روی قدرت تشخیص تمرکز کنند بلکه باید توانایی خود را برای کاهش تأثیراث حمله در زمان وقوع آن نیز داشته باشند. سازمان‌ها به طور کلی بایستی مدل امنیتی خود را مورد بازبینی قرار داده و با استفاده از اطلاعات بدست آمده از کل شبکه و زنجیره کامل حملات به شفافیت کامل و کنترل دست پیدا کنند.

قبل از حمله

برای اینکه بتوانیم از سازمان خود در برابر مهاجمانی که از ماهیت و محتوای ارتباطات ما اطلاع دارند محافظت کنیم نیازمند راهکارهایی یکپارچه و ماهیت محور می‌باشیم. برای توانمندی در برابر هر حمله‌ای، سازمان‌ها نیازمند دید شفافی از شبکه خود، شامل هاست‌های مجازی و فیزیکی، سیستم عامل‌ها، برنامه‌های کاربردی، سرویس‌ها، پروتکل‌ها، کاربران، محتوا و رفتار شبکه می‌باشند تا نسبت به مهاجمان از برتری اطلاعاتی برخوردار باشند. سازمان‌ها باید ریسک‌های موجود در زیرساخت‌ ارتباطی خود را براساس میزان ارزش دارایی‌های خود برآورد نمایند. اگر ما درک درستی از چیزی که قرار است محافظت کنیم نداشته باشیم، قطعا آمادگی لازم برای انتخاب و استفاده از تکنولوژی‌های امنیتی مناسب برای دفاع را نخواهیم داشت. شفافیت و داشتن دید کامل شامل داشتن دید نسبت به کلیه نقاط پایانی، mail gatewayها و درگاه‌های وب، محیط‌های مجازی و دستگاه‌های تلفن همراه و همچنین مراکز داده می‌شود. این دید زمانی کابردی و موثر خواهد بود که هشدارهای قابل اجرا ایجاد کند تا مدافعان بتوانند آگاهانه تصمیم بگیرند.

حین حمله

حملات پیشرفته اکثرا در یک لحظه مشخص رخ نمی‌دهند، بلکه آنها فعالیت‌های مستمری هستند که برای محافظت در برابر آنها نیازمند امنیت پایدار و مستمر می‌باشیم. براساس معماری تکنولوژی‌های امنیتی سنتی، آنها فقط قابلیت شناسایی یک حمله در یک لحظه را دارند. بنابراین راهکارهایی با این ویژگی در برابر حملات پیشرفته جوابگو نمی‌باشد. بنابراین برای مقابله با حملات پیشرفته سازمان‌ها نیازمند امنیتی مبتنی بر آگاهی است. امنیتی که بتواند داده‌ها را از سراسر شبکه جمع آوری و همبسته کند تا محتوا و آگاهی لازم برای شناسایی حملات فعال را فراهم نماید. این رویکرد، امنیت را از یک عملیات در یک مقطع زمانی به یک تجزیه و تحلیل مداوم و تصمیم ساز تبدیل می‌کند. در این رویکرد اگر فایلی از نقاط وردی شبکه عبور کند که تصور شود ایمن است و بعداً رفتارهای مخرب از خود نشان دهد، با استفاده از دید شفافی که این راهکار از کل شبکه فراهم می‌کند، سازمان می‌تواند اقدام مناسبی در مورد آن انجام دهد.

بعد از حمله

برای رسیدگی کامل به زنجیره حمله، سازمان‌ها به مدل امنیتی گذشته نگر نیاز دارند. امنیت گذشته نگر یک چالش big data و توانایی است که تعداد کمی قادر به ارائه آن هستند. با داشتن زیرساختی که به طور مداوم داده‌ها را جمع آوری و تجزیه و تحلیل و اطلاعات امنیتی ایجاد کند، تیم‌های امنیتی می‌توانند به صورت کاملا اتوماتیک، نشانه‌های سازش (Indicators of Compromise) را شناسایی کنند. این راهکار کمک می‌کند تا بدافزاری‌هایی که به اندازه کافی پیشرفته هستند و می‌توانند در مواجه با راهکارهای شناسایی، رفتار خود را تغییر دهند به راحتی شناسایی شوند. پس با استفاده از این روش آلودگی‌هایی که ممکن است هفته‌ها یا ماه‌ها قابل شناسایی نباشند، به راحتی شناسایی، محدود، مهار و اصلاح می‌شوند. این مدل امنیتی تهدید محور به سازمان‌ها این اجازه را می‌دهد تا در زنجیره کامل حمله تمام بردارهای حمله را در هر زمانی، تمام وقت و به صورت بلادرنگ مورد بررسی قرار دهند.

استفاده از مدل امنیتی جدید

برای فعال کردن مدل امنیتی جدید، سیسکو معتقد است که فناوری‌های مدرن امنیتی باید بر حول محور سه ضرورت استراتژیک تمرکز داشته باشند. یعنی مدل امنیتی مورد استفاده باید مبتنی بر قابلیت شفافیت، تهدید محور و مبتنی بر سیستم عامل باشند.

شفافیت محور

مدیران امنیت برای مقابله با حملات و تهدیدات احتمالی باید بتوانند دید کاملی نسبت به آنچه در شبکه اتفاق می‌افتد داشته باشند. برای ایجاد این قابلیت، سازمان‌ها نیازمند استفاده از ترکیبی از دو دید عرضی و عمقی می‌باشند. دید عرضی، توانایی دیدن و جمع‌آوری داده‌ها از تمام بردارهای احتمالی حمله در سراسر شبکه، نقاط پایانی، دروازه‌های ایمیل و درگاه‌های وب، دستگاه‌های تلفن همراه، محیط‌های مجازی و ابر برای به دست آوردن دانش در مورد محیط‌ها و تهدیدات می‌باشد. دید عمقی نیز توانایی همبستگی این اطلاعات، استفاده از هوش برای درک محتوا و تصمیم‌گیری بهتر و اقدام به صورت دستی یا خودکار را فراهم می‌کند.

تهدید محور

امروزه شبکه‌ها به جایی که کارمندان و داده‌ها وجود دارند و هرجایی که می‌توان به داده‌ها دسترسی داشت گسترش یافته است. علیرغم تمام تلاش‌ها، همگام شدن با بردارهای حملات که دائماً در حال تکامل هستند، به چالشی بزرگ برای متخصصان امنیتی و فرصتی برای مهاجمان تبدیل شده است. با وجود اینکه سیاست‌ها و کنترل‌های امنیتی برای کاهش دامنه حملات کارساز می‌باشند، اما این تهدیدات هستند که همچنان راهی برای ورود پیدا می‌کنند. بنابراین تکنولوژی‌های امنیتی باید همچنان بر روی شناسایی، درک و جلوگیری از تهدیدات تمرکز داشته باشدد. تهدید محور بودن یک مدل امنیتی به معنای فکر کردن مانند یک مهاجم، استفاده از شفافیت و محتوا برای درک و انطباق با تغییرات در محیط و سپس استفاده از راهکارهای حفاظتی و امنیتی برای اقدام و جلوگیری از تهدیدات است. بدلیل وجود بدافزار پیشرفته و حملات روز صفر، این یک راهکار ضروریست که برای بهبود کارایی خود نیازمند تجزیه و تحلیل مداوم و اطلاعات امنیتی بلادرنگ دارد.

مبتنی بر بسترهای نرم افزاری

در حال حاضر مسئله امنیت فقط یک مشکل شبکه‌ای نیست. این مدل امنیتی در واقع یک سیستم یکپارچه‌ از سیستم عامل‌های چابک و باز می‌باشد که کلیه تجهیزات شبکه، دستگاه‌ها و سرویس‌ها و زیرساخت‌های ابری را پوشش می‌دهد. این سیستم عامل‌ها باید قابل توسعه باشند، برای مقیاس بزرگ ساخته شده باشند و برای اعمال سیاست‌های یکپارچه و کنترل های‌مداوم دارای قابلیت مدیریت مرکزی باشند. به بیان ساده، آنها باید به اندازه حملاتی که ما با آنها مبارزه می‌کنیم فراگیر باشند. این موضوع به منزله تغییر از استقرار تجهیزات امنیتی ساده به سمت یکپارچه سازی یک بستر واقعی از خدمات و برنامه‌های کاربردی مقیاس‌پذیر با قابلیت نصب آسان است. یک رویکرد مبتنی بر پلتفرم نه تنها باعث افزایش اثربخشی امنیت از بین شکاف‌های امنیتی ایجاد شده در آنها می‌شود، بلکه باعث تسریع در زمان تشخیص و ساده سازی اجرای آن نیز می‌شود.

پوشش کامل زنجیره حمله

برای غلبه بر چالش‌های امنیتی و دست‌یابی به حفاظتی بهتر، سازمان‌ها به راه‌حل‌هایی نیاز دارند که کل زنجیره حمله را در بر بگیرد و براساس اصول بالا یعنی مبتنی بر شفافیت، تهدید محور و مبتنی بر سیستم عامل، طراحی شده باشند. سیسکو یک مجموعه جامع از راه‌حل‌های امنیت سایبری تهدید محور را ارائه می‌دهد که می‌توانیم با استفاده از آنها کل دامنه حملات را پوشش دهیم.

این راه‌حل‌های خاص و مبتنی بر سیستم عامل، در واقع جامع‌ترین گزینه‌ها برای شناسایی و اصلاح بردارهای حمله را ارائه می‌دهند. آنها علاوه بر ارائه حفاظت لازم در همه مراحل حمله، می‌توانند در یک راه‌حل جامع و به صورت یک سیستم امنیتی کلی ادغام شوند.

• قبل از حمله: این مرحله شامل هر دونسل از فایروال‌ها، راهکارهای کنترل دسترسی و سرویس‌های احرازهویت برای کشف تهدیدات و اعمال سیاست‌های سختگیرانه می‌باشد که برای جلوگیری از حملات در لبه شبکه سازمان‌ها استفاده می‌شوند.
• حین حمله: سیستم‌های جلوگیری از نفوذ نسل جدید و راه‌حل‌های امنیت ایمیل و درگاه‌های وب، توانایی ما را برای شناسایی، مسدود کردن و دفاع در برابر حملات بالقوه و بالفعل افزایش می‌دهد.
• پس از حمله: سازمان‌ها می‌توانند از راهکارهایی مانند Cisco Advanced Malware Protection و تجزیه و تحلیل رفتار شبکه استفاده کرده و به سرعت دامنه حملات را مشخص و به طور موثری آنها را مهار و اصلاح و از این طریق آسیب‌ها را به حداقل برسانند.