6 سوالی که مهاجمان قبل از انتخاب هدف از خود می‌پرسند

David (moose) Wolpoff، مدیر ارشد فناوری اطلاعات و بنیان‌گذار شرکت Randori در مورد اینکه هکرها چگونه اهداف خود را انتخاب می‌کنند و همچنین درک “منطق هکرها” چگونه می‌تواند به اولویت بندی روش‌های دفاعی کمک کند، اینگونه توضیح می‌دهد.

در ده سال گذشته، ما شاهد یک مهاجرت گسترده به سرویس‌ها و زیرساخت‌های ابری بوده‌ایم. سال گذشته نیز گسترش بیماری همه‌گیر COVID-19 و افزایش دورکاری باعث شد تا سرعت مهاجرت به سرویس‌های ابری افزایش چشمگیری داشته باشد. این موضوع، تیم‌های دفاعی (blue team) را نیز با چالش‌های اساسی روبرو کرده و آنها را وادار به چابکی بیشتر برای محافظت در برابر تهدیدات و حملات کرده است. در سال گذشته در حالی که کارشناسان امنیت و سازمان‌ها خود را برای پشتیبانی از محیط‌های مبتنی بر ابر وفق می‌دادند، این حملات علیه سیستم‌های ابری بود که رشد 250 درصدی را داشت. (اصطلاح blue team و red team به گروه‌هایی گفته می‌شود که برای شبیه سازی حملات و دفاع در برابر آنها اقدام می‌کنند).

با وجود اینکه تعداد دارایی‌ها و منابع سازمان در زیرساخت‌های ابری می‌تواند چالش‌های زیادی برای کارشناسان حوزه امنیت ایجاد کند، اما تصور اینکه دارایی‌های بیشتر، کار را برای یک مهاجم آسان می‌کند غالبا اشتباه است. زیرا مهاجمان زمان کافی برای بررسی عمیق همه دارایی‌های یک سازمان را ندارند. همان‌طور که خواسته‌های زیادی از تیم‌های امنیتی برای مقابله با تهدیدات و حملات وجود دارد، مهاجمان نیز برای انجام حملات خود محدودیت‌های زیادی دارند. ازجمله اینکه موضوع زمان برای آنها بسیار ارزشمند بوده و معمولا با بودجه محدودی کار می‌کنند.

David (moose) Wolpoff به عنوان شخصی که توسط صدها مدیر ارشد امنیت (CISO) برای همکاری با تیم دفاع یا همان blue team استخدام شده است، می‌گوید که کارشناسان امنیت برای شناسایی تهدیدات و حملات علیه دارایی‌های سازمان اکثرا در میان تعداد زیادی ازهشدارهای امنیتی به دنبال سیگنال‌های درست می‌گردند. این تیم‌ها معمولا از ده‌ها برنامه امنیتی، مجموعه‌ای از چک لیست‌ها و فرایندها برای اجرای استراتژی‌های دفاعی خود استفاده می‌کنند. با این وجود، هنوز فاصله زیادی بین نحوه دفاع یک blue teamer و نحوه حمله یک مهاجم وجود دارد. درک منطق هکر اولین قدم محکم برای رمزگشایی سیگنال‌های مهم و بستن شکاف‌های امنیتی است. دیدگاه مهاجم در مورد چگونگی ارزیابی منابع برای بهره‌برداری(exploit) در جریان حمله با پاسخ دادن به شش سوال آغاز می‌شود. و اگر این منطق در سازمان به کار گرفته شود، استراتژی امنیتی سازمان به کلی تغییر می‌کند، و این موضوع منجر به افزایش کارایی و کاهش ریسک می‌شود.

سوال اول: چه اطلاعات مفیدی می‌توانم بیرون از سازمان در مورد سیستم هدف بدست بیاورم؟

هر هدفی در جریان یک حمله معمولا داستانی برای گفتن دارد و این داستان برای اهداف مختلف متفاوت است. هرچه مهاجم اطلاعات بیشتری در مورد فناوری مورد استفاده یا در مورد شخصی در یک سازمان جمع‌آوری کند، با اطمینان بیشتری می‌تواند مرحله بعدی حمله را برنامه ریزی کرده و به یک شبکه حمله کند. اکثرا شفاف‌سازی در مورد جزئیات یک حمله نشان می‌دهد که یک مهاجم چگونه می‌تواند جزئیات یک حمله را از بیرون بدست بیاورد. به عنوان مثال، بسته به نوع سرویس و نحوه استقرار آن، یک وب سرور مورد هدف می‌تواند هیچ اطلاعاتی در مورد شناسه سرور یا نام خاص سرور (“Apache” یا “Apache 2.4.33”) به مهاجمان ارایه ندهد. زیرا اگر مهاجمی بتواند نسخه دقیق سرویس مورد استفاده و پیکربندی آن را مشاهده کند، می‌تواند بهره برداری(exploit) و حملات دقیق‌تری بر روی آن انجام دهد وشانس موفقیت خود را به حداکثر و شانس ردیابی را به حداقل برسانند.

سوال دوم: این دارایی چقدر ارزشمند می‌باشد؟

هر قدمی که یک هکر برمی‌دارد، تلاش، وقت، هزینه و ریسک است. پس بهترین گزینه انتخاب هدف‌هایی است که از نتیجه آن مطمئن هستیم. برخی از اهداف دارای احتمال بیشتری برای به نتیجه رسیدن می‌باشند و اکثرا پلی برای رسیدن به اهداف مهم‌تر می‌باشند. بنابراین، مهاجمان قبل از هر گونه اقدامی با حساسیت بر روی ارزیابی اهدافی تمرکز می‌کنند که با احتمال بالایی آنها را به هدفشان نزدیک‌تر می‌کنند. تجهیزات امنیتی مانند VPN‌ها و فایروال‌ها یا راه‌حل‌های پشتیبانی از راه دور، ابزارهایی کلیدی برای مهاجمان در رسیدن به اهدافشان می‌باشند. نفوذ به هر کدام از این ابزارها می‌تواند مسیری را به شبکه فراهم کند که منجر به دسترسی به منابع بیشتری شود. به همین دلیل، نفوذ به سیستم‌های احراز هویت و سیستم‌های نگهداری مجوزهای کاربران می‌توانند دسترسی‌های بیشتری در اختیار مهاجم قرار دهند. به همین دلیل، مهاجمان اکثرا به دنبال نفوذ به ابزارها و منابعی هستند که بهترین موقعیت و دسترسی را فراهم کند. در نتیجه دارای‌هایی که در معرض دید هستند و از اطلاعات مهم محافظت نمی‌کنند و یا به دسترسی منجر نمی‌شوند برای هکرها ارزش کمتری دارند.

سوال سوم: آیا دارایی آسیب‌پذیری قابل بهره‌برداری دارد؟

برخلاف تصور عموم، داشتن بالاترین درجه CVSS (Common Vulnerability Scoring System) در لیست CVE (Common Vulnerabilities and Exposures) برای یک آسیب‌پذیری به معنی مورد توجه قرارگرفتن آن توسط یک مهاجم نیست. زیرا در حال حاضر تعداد زیادی از آسیب پذیری‌های “خطرناک با قابلیت انتشار بالا” وجود دارند که در واقعیت قابل بهره برداری (exploit) نمی‌باشند. حتی بیشتر باگ‌ها نیز فقط در شرایط خاص دارای قابلیت بهره‌برداری می‌باشند. بعضی از آنها ممکن است از نظر تئوری کاملاً قابل بهره برداری باشد، اما کسی تا به الان این کار را نجام نداده است. مهاجمان باید میزان هزینه و احتمال ارزشمند بودن یک دارایی را در نظر بگیرند. و اگر شواهدی دال بر مفید بودن دارایی وجود داشته باشد، این شاخص خوبی برای تصمیم‌گیری برای حمله خواهد بود. از طرفی اگر تحقیقات و تجزیه و تحلیل کافی در مورد یک آسیب پذیری خاص وجود داشته باشد، به همان اندازه بهره‌برداری ممکن است کارساز باشد. برای مهاجمان زمان ارزشمند می‌باشد و از آنجایی که شناسایی یا ایجاد بهره‌برداری‌ها زمان‌بر می‌باشد، بنابراین یک هکر باید علاوه بر استفاده از ابزارهایی عمومی از ابزاری‌هایی که توانایی ساخت یا خرید آن را دارند نیز استفاده کنند. در بیشتر موراد برای نفوذ به یک دارایی خاص، مهاجمان اکثرا بهره‌برداری‌هایی (exploit) که قبلا نوشته شده‌اند را خریداری می‌کنند.

سوال چهارم: این دارایی چه میزان می‌تواند میزبان خوبی برای حملات بعدی به شبکه و دارایی‌های دیگر باشد؟

تعریف مهاجمان از “میزبان خوب” جایی است که ماندن آنها در آنجا را بدون شناسایی امکان‌پذیر می‌کند. دارایی‌هایی که بدافزارها و ابزارهای محرک بر روی آن فعالیت می‌کنند، معمولا تعداد ابزار دفاعی کمتری بر روی خود دارند و در واقع همان اهدافی هستند که تیم‌های آبی نمی‌توانند بر روی آنها ابزارهای دفاعی نصب کنند. مهاجمان می‌دانند که در صورت نفوذ به این اهداف می‌توانند با کمترین نگرانی از شناسایی شدن به فعالیت‌های خود ادامه دهند. بنابراین از هر تکنولوژی که به اندازه کافی محافظت و نظارت شود -از جمله نقاط پایانی- میزبان خوبی برای مهاجمان نخواهند بود. تلفن‌های رومیزی، ابزارهای VPN و سایر دستگاه‌های سخت‌افزاری محافظت نشده که از نظر فیزیکی به شبکه متصل می‌باشند و از محیط‌های اجرایی شناخته شده‌ای استفاده می‌کنند، می‌توانند میزبان خوبی برای مهاجمان باشند. بسیاری از تجهیزاتی که از لینوکس به عنوان سیستم عامل خود استفاده می‌کنند و دارای یک فضای کاربری کامل و ابزارهای شناخته شده و پیش فرض می‌باشند معمولا اهدافی دارای پتانسیل بالایی برای نفوذ و بهره برداری (exploit) می‌باشند.

سوال پنجم: مدت زمان لازم برای توسعه یک Exploit برای نفوذ چقدر می‌باشد؟

دانستن اینکه می‌خواهید به یک هدف خاصی حمله کنید با در اختیار داشتن برخی ازبهره برداری‌ها(exploit) یا تکنیک‌ها برای انجام چنین کاری، یکی نیستند. یک هکر هنگام مشاهده‌ی یک هدف خاص باید هزینه‌ها واحتمال موفقیت خود را در یک بهره‌برداری(exploit ) جدید ارزیابی کند. تحقیقات در مورد یک آسیب‌پذیری فقط برای یافتن چیزهایی برای برطرف کردن (patch) آن نیست. بلکه هکرها از این تحقیقات برای بهره برداری (exploit) استفاده می‌کنند. هزینه یک تحقیق، همراه با هزینه آزمایش، بخشی از ارزیابی ارزش حمله به یک هدف است. ابزارهای مستند، خوب تحقیق شده یا متن باز که به راحتی می‌توان آنها را بدست آورد و آزمایش کرد، اهداف ساده‌تری هستند. سیستم‌عامل‌های گران قیمت و سری (معمولاً سخت‌افزارهایی مانند سیستم‌های VoIP یا تجهیزات امنیتی کاملا گران قیمت) خواستار مهارت‌ها و منابع ویژه‌ای برای حمله هستند. هرگونه موانع ورود، انگیزه‌های دشمنان را برای هدف قرار دادن ابزارها یا خدمات ویژه سیستم‌عامل محدود می‌کند.

سوال ششم: میزان کاربردی بودن و بازگشت سرمایه یک بهره‌برداری (Exploit) چقدر است؟

یکی از تغییرات شگرف از طرز تفکر دفاعی به منطق هکرها، درک مدل‌های کسب و کاری آنهاست. مهاجمان برای بهره‌برداری از آسیب‌پذیری‌ها و ساخت ابزارهای خود تحقیق کرده و وقت و سرمایه انسانی هزینه می‌کنند. به همین دلیل آنها بالاترین نرخ بازگشت سرمایه را انتظار دارند. بنابراین این احتمال وجود دارد که سازمان شما نیز جزء سازمان‌هایی باشد که هکرها به آن علاقه دارند. زیرا اکثرا هکرها می‌خواهد هزینه‌های خود را به طور همزمان بر روی تعداد زیادی از قربانیان پخش کنند. مهاجمان برای پی بردن به پتانسیل ایجاد و استفاده از یک بهره‌برداری علیه تعداد زیادی هدف، کاربردی بودن آن را ارزیابی می‌کنند. با توجه به محدودیت‌های هکرها از نظر منابع، آنها اکثرا بهره برداری‌های خود را برای فناوری‌های پرکاربرد ایجاد می‌کنند که پتانسیل درآمد بالایی برای آنها داشته باشد. به یاد دارید وقتی که Mac‌ها غیرقابل هک بودند؟ در آن زمان، سیستم‌های مایکروسافتی سهم بیشتری در بازار داشتند، بنابراین بهره‌برداری از ویندوز سودآوری بیشتری داشت. درست زمانی که ویندوز به هدف سخت‌تری برای نفوذ تبدیل شد و سیستم عامل Mac در شرکت‌ها توسعه یافت، این موضوع نیز تغییر کرد. همچنین آسیب پذیری‌های iOS نیز بسیار گرانتر از باگ‌های اندروید بودند. اما قدرت بازار است که باعث می‌شود آسیب پذیری‌های iOS متداول‌تر و کم هزینه باشند.

مهاجمان هرگز حملات خود را براساس شدت باگ انجام نمی‌دهند. بلکه مولفه‌های زیادی درطراحی یک اقدام برای حمله وجود دارد. بنابراین، هرگز نباید توالی از اقدامات که جزئی از یک حمله می‌باشند را فراموش کنیم. مهاجمان در حالی که سعی در دستیابی به هدف خود دارند و تجارت خود را اداره می‌کنند، باید منابع خود را نیز مدیریت کنند. این ایده که مهاجمان نیز برای حمله هزینه فایده می‌کنند، ایده‌ای است که مدافعان باید در دفاع از کسب و کار خود بدانند. اینکه بتوانیم از همه چیز، در همه جا و در مقابل همه دشمنان دفاع کنیم، همیشه امکان پذیر نیست. به همین دلیل نفوذ به شبکه و دارای‌های سازمان اجتناب ناپذیر است. در واقع نام بازی در مدیریت ریسک، قرار دادن شرط های دفاعی به بهترین روش ممکن برای بهینه سازی نتیجه کسب و کار است. تفکر به عنوان یک مهاجم بیشترمی‌تواند اولویت‌بندی‌ها را شکل دهد. و دارایی‌هایی که برای دشمنان ارزشمند و وسوسه برانگیز هستند را برجسته کند، و این باعث می‌شود که بنگاه‌های اقتصادی گاهی اوقات تصمیم بگیرند که هزینه برای harden کردن واقعی یک هدف صرفاً کارساز نیست.