6 سوالی که مهاجمان قبل از انتخاب هدف از خود میپرسند
David (moose) Wolpoff، مدیر ارشد فناوری اطلاعات و بنیانگذار شرکت Randori در مورد اینکه هکرها چگونه اهداف خود را انتخاب میکنند و همچنین درک “منطق هکرها” چگونه میتواند به اولویت بندی روشهای دفاعی کمک کند، اینگونه توضیح میدهد.
در ده سال گذشته، ما شاهد یک مهاجرت گسترده به سرویسها و زیرساختهای ابری بودهایم. سال گذشته نیز گسترش بیماری همهگیر COVID-19 و افزایش دورکاری باعث شد تا سرعت مهاجرت به سرویسهای ابری افزایش چشمگیری داشته باشد. این موضوع، تیمهای دفاعی (blue team) را نیز با چالشهای اساسی روبرو کرده و آنها را وادار به چابکی بیشتر برای محافظت در برابر تهدیدات و حملات کرده است. در سال گذشته در حالی که کارشناسان امنیت و سازمانها خود را برای پشتیبانی از محیطهای مبتنی بر ابر وفق میدادند، این حملات علیه سیستمهای ابری بود که رشد 250 درصدی را داشت. (اصطلاح blue team و red team به گروههایی گفته میشود که برای شبیه سازی حملات و دفاع در برابر آنها اقدام میکنند).
با وجود اینکه تعداد داراییها و منابع سازمان در زیرساختهای ابری میتواند چالشهای زیادی برای کارشناسان حوزه امنیت ایجاد کند، اما تصور اینکه داراییهای بیشتر، کار را برای یک مهاجم آسان میکند غالبا اشتباه است. زیرا مهاجمان زمان کافی برای بررسی عمیق همه داراییهای یک سازمان را ندارند. همانطور که خواستههای زیادی از تیمهای امنیتی برای مقابله با تهدیدات و حملات وجود دارد، مهاجمان نیز برای انجام حملات خود محدودیتهای زیادی دارند. ازجمله اینکه موضوع زمان برای آنها بسیار ارزشمند بوده و معمولا با بودجه محدودی کار میکنند.
David (moose) Wolpoff به عنوان شخصی که توسط صدها مدیر ارشد امنیت (CISO) برای همکاری با تیم دفاع یا همان blue team استخدام شده است، میگوید که کارشناسان امنیت برای شناسایی تهدیدات و حملات علیه داراییهای سازمان اکثرا در میان تعداد زیادی ازهشدارهای امنیتی به دنبال سیگنالهای درست میگردند. این تیمها معمولا از دهها برنامه امنیتی، مجموعهای از چک لیستها و فرایندها برای اجرای استراتژیهای دفاعی خود استفاده میکنند. با این وجود، هنوز فاصله زیادی بین نحوه دفاع یک blue teamer و نحوه حمله یک مهاجم وجود دارد. درک منطق هکر اولین قدم محکم برای رمزگشایی سیگنالهای مهم و بستن شکافهای امنیتی است. دیدگاه مهاجم در مورد چگونگی ارزیابی منابع برای بهرهبرداری(exploit) در جریان حمله با پاسخ دادن به شش سوال آغاز میشود. و اگر این منطق در سازمان به کار گرفته شود، استراتژی امنیتی سازمان به کلی تغییر میکند، و این موضوع منجر به افزایش کارایی و کاهش ریسک میشود.
سوال اول: چه اطلاعات مفیدی میتوانم بیرون از سازمان در مورد سیستم هدف بدست بیاورم؟
هر هدفی در جریان یک حمله معمولا داستانی برای گفتن دارد و این داستان برای اهداف مختلف متفاوت است. هرچه مهاجم اطلاعات بیشتری در مورد فناوری مورد استفاده یا در مورد شخصی در یک سازمان جمعآوری کند، با اطمینان بیشتری میتواند مرحله بعدی حمله را برنامه ریزی کرده و به یک شبکه حمله کند. اکثرا شفافسازی در مورد جزئیات یک حمله نشان میدهد که یک مهاجم چگونه میتواند جزئیات یک حمله را از بیرون بدست بیاورد. به عنوان مثال، بسته به نوع سرویس و نحوه استقرار آن، یک وب سرور مورد هدف میتواند هیچ اطلاعاتی در مورد شناسه سرور یا نام خاص سرور (“Apache” یا “Apache 2.4.33”) به مهاجمان ارایه ندهد. زیرا اگر مهاجمی بتواند نسخه دقیق سرویس مورد استفاده و پیکربندی آن را مشاهده کند، میتواند بهره برداری(exploit) و حملات دقیقتری بر روی آن انجام دهد وشانس موفقیت خود را به حداکثر و شانس ردیابی را به حداقل برسانند.
سوال دوم: این دارایی چقدر ارزشمند میباشد؟
هر قدمی که یک هکر برمیدارد، تلاش، وقت، هزینه و ریسک است. پس بهترین گزینه انتخاب هدفهایی است که از نتیجه آن مطمئن هستیم. برخی از اهداف دارای احتمال بیشتری برای به نتیجه رسیدن میباشند و اکثرا پلی برای رسیدن به اهداف مهمتر میباشند. بنابراین، مهاجمان قبل از هر گونه اقدامی با حساسیت بر روی ارزیابی اهدافی تمرکز میکنند كه با احتمال بالایی آنها را به هدفشان نزدیکتر میكنند. تجهیزات امنیتی مانند VPNها و فایروالها یا راهحلهای پشتیبانی از راه دور، ابزارهایی کلیدی برای مهاجمان در رسیدن به اهدافشان میباشند. نفوذ به هر کدام از این ابزارها میتواند مسیری را به شبکه فراهم کند که منجر به دسترسی به منابع بیشتری شود. به همین دلیل، نفوذ به سیستمهای احراز هویت و سیستمهای نگهداری مجوزهای کاربران میتوانند دسترسیهای بیشتری در اختیار مهاجم قرار دهند. به همین دلیل، مهاجمان اکثرا به دنبال نفوذ به ابزارها و منابعی هستند که بهترین موقعیت و دسترسی را فراهم کند. در نتیجه دارایهایی که در معرض دید هستند و از اطلاعات مهم محافظت نمیکنند و یا به دسترسی منجر نمیشوند برای هکرها ارزش کمتری دارند.
سوال سوم: آیا دارایی آسیبپذیری قابل بهرهبرداری دارد؟
برخلاف تصور عموم، داشتن بالاترین درجه CVSS (Common Vulnerability Scoring System) در لیست CVE (Common Vulnerabilities and Exposures) برای یک آسیبپذیری به معنی مورد توجه قرارگرفتن آن توسط یک مهاجم نیست. زیرا در حال حاضر تعداد زیادی از آسیب پذیریهای “خطرناک با قابلیت انتشار بالا” وجود دارند که در واقعیت قابل بهره برداری (exploit) نمیباشند. حتی بیشتر باگها نیز فقط در شرایط خاص دارای قابلیت بهرهبرداری میباشند. بعضی از آنها ممکن است از نظر تئوری کاملاً قابل بهره برداری باشد، اما کسی تا به الان این کار را نجام نداده است. مهاجمان باید میزان هزینه و احتمال ارزشمند بودن یک دارایی را در نظر بگیرند. و اگر شواهدی دال بر مفید بودن دارایی وجود داشته باشد، این شاخص خوبی برای تصمیمگیری برای حمله خواهد بود. از طرفی اگر تحقیقات و تجزیه و تحلیل کافی در مورد یک آسیب پذیری خاص وجود داشته باشد، به همان اندازه بهرهبرداری ممکن است کارساز باشد. برای مهاجمان زمان ارزشمند میباشد و از آنجایی که شناسایی یا ایجاد بهرهبرداریها زمانبر میباشد، بنابراین یک هکر باید علاوه بر استفاده از ابزارهایی عمومی از ابزاریهایی که توانایی ساخت یا خرید آن را دارند نیز استفاده کنند. در بیشتر موراد برای نفوذ به یک دارایی خاص، مهاجمان اکثرا بهرهبرداریهایی (exploit) که قبلا نوشته شدهاند را خریداری میکنند.
سوال چهارم: این دارایی چه میزان میتواند میزبان خوبی برای حملات بعدی به شبکه و داراییهای دیگر باشد؟
تعریف مهاجمان از “میزبان خوب” جایی است که ماندن آنها در آنجا را بدون شناسایی امکانپذیر میکند. داراییهایی که بدافزارها و ابزارهای محرک بر روی آن فعالیت میکنند، معمولا تعداد ابزار دفاعی کمتری بر روی خود دارند و در واقع همان اهدافی هستند که تیمهای آبی نمیتوانند بر روی آنها ابزارهای دفاعی نصب کنند. مهاجمان میدانند که در صورت نفوذ به این اهداف میتوانند با کمترین نگرانی از شناسایی شدن به فعالیتهای خود ادامه دهند. بنابراین از هر تکنولوژی که به اندازه کافی محافظت و نظارت شود -از جمله نقاط پایانی- میزبان خوبی برای مهاجمان نخواهند بود. تلفنهای رومیزی، ابزارهای VPN و سایر دستگاههای سختافزاری محافظت نشده که از نظر فیزیکی به شبکه متصل میباشند و از محیطهای اجرایی شناخته شدهای استفاده میکنند، میتوانند میزبان خوبی برای مهاجمان باشند. بسیاری از تجهیزاتی که از لینوکس به عنوان سیستم عامل خود استفاده میکنند و دارای یک فضای کاربری کامل و ابزارهای شناخته شده و پیش فرض میباشند معمولا اهدافی دارای پتانسیل بالایی برای نفوذ و بهره برداری (exploit) میباشند.
سوال پنجم: مدت زمان لازم برای توسعه یک Exploit برای نفوذ چقدر میباشد؟
دانستن اینکه میخواهید به یک هدف خاصی حمله کنید با در اختیار داشتن برخی ازبهره برداریها(exploit) یا تکنیکها برای انجام چنین کاری، یکی نیستند. یک هکر هنگام مشاهدهی یک هدف خاص باید هزینهها واحتمال موفقیت خود را در یک بهرهبرداری(exploit ) جدید ارزیابی کند. تحقیقات در مورد یک آسیبپذیری فقط برای یافتن چیزهایی برای برطرف کردن (patch) آن نیست. بلکه هکرها از این تحقیقات برای بهره برداری (exploit) استفاده میکنند. هزینه یک تحقیق، همراه با هزینه آزمایش، بخشی از ارزیابی ارزش حمله به یک هدف است. ابزارهای مستند، خوب تحقیق شده یا متن باز که به راحتی میتوان آنها را بدست آورد و آزمایش کرد، اهداف سادهتری هستند. سیستمعاملهای گران قیمت و سری (معمولاً سختافزارهایی مانند سیستمهای VoIP یا تجهیزات امنیتی کاملا گران قیمت) خواستار مهارتها و منابع ویژهای برای حمله هستند. هرگونه موانع ورود، انگیزههای دشمنان را برای هدف قرار دادن ابزارها یا خدمات ویژه سیستمعامل محدود میکند.
سوال ششم: میزان کاربردی بودن و بازگشت سرمایه یک بهرهبرداری (Exploit) چقدر است؟
یکی از تغییرات شگرف از طرز تفکر دفاعی به منطق هکرها، درک مدلهای کسب و کاری آنهاست. مهاجمان برای بهرهبرداری از آسیبپذیریها و ساخت ابزارهای خود تحقیق کرده و وقت و سرمایه انسانی هزینه میکنند. به همین دلیل آنها بالاترین نرخ بازگشت سرمایه را انتظار دارند. بنابراین این احتمال وجود دارد که سازمان شما نیز جزء سازمانهایی باشد که هکرها به آن علاقه دارند. زیرا اکثرا هکرها میخواهد هزینههای خود را به طور همزمان بر روی تعداد زیادی از قربانیان پخش کنند. مهاجمان برای پی بردن به پتانسیل ایجاد و استفاده از یک بهرهبرداری علیه تعداد زیادی هدف، کاربردی بودن آن را ارزیابی میکنند. با توجه به محدودیتهای هکرها از نظر منابع، آنها اکثرا بهره برداریهای خود را برای فناوریهای پرکاربرد ایجاد میکنند که پتانسیل درآمد بالایی برای آنها داشته باشد. به یاد دارید وقتی که Macها غیرقابل هک بودند؟ در آن زمان، سیستمهای مایکروسافتی سهم بیشتری در بازار داشتند، بنابراین بهرهبرداری از ویندوز سودآوری بیشتری داشت. درست زمانی که ویندوز به هدف سختتری برای نفوذ تبدیل شد و سیستم عامل Mac در شرکتها توسعه یافت، این موضوع نیز تغییر کرد. همچنین آسیب پذیریهای iOS نیز بسیار گرانتر از باگهای اندروید بودند. اما قدرت بازار است که باعث میشود آسیب پذیریهای iOS متداولتر و کم هزینه باشند.
مهاجمان هرگز حملات خود را براساس شدت باگ انجام نمیدهند. بلکه مولفههای زیادی درطراحی یک اقدام برای حمله وجود دارد. بنابراین، هرگز نباید توالی از اقدامات که جزئی از یک حمله میباشند را فراموش کنیم. مهاجمان در حالی که سعی در دستیابی به هدف خود دارند و تجارت خود را اداره میکنند، باید منابع خود را نیز مدیریت کنند. این ایده که مهاجمان نیز برای حمله هزینه فایده میکنند، ایدهای است که مدافعان باید در دفاع از کسب و کار خود بدانند. اینکه بتوانیم از همه چیز، در همه جا و در مقابل همه دشمنان دفاع کنیم، همیشه امکان پذیر نیست. به همین دلیل نفوذ به شبکه و دارایهای سازمان اجتناب ناپذیر است. در واقع نام بازی در مدیریت ریسک، قرار دادن شرط های دفاعی به بهترین روش ممکن برای بهینه سازی نتیجه کسب و کار است. تفکر به عنوان یک مهاجم بیشترمیتواند اولویتبندیها را شکل دهد. و داراییهایی که برای دشمنان ارزشمند و وسوسه برانگیز هستند را برجسته کند، و این باعث میشود که بنگاههای اقتصادی گاهی اوقات تصمیم بگیرند که هزینه برای harden کردن واقعی یک هدف صرفاً کارساز نیست.
دیدگاهتان را بنویسید