تهدیدهای پیشرفته و مستمر (Advanced persistent threat) و برنامه ریزی بلند مدت هکرها
تهدیدهای پیشرفته و مستمر (Advanced persistent threat) و برنامه ریزی بلند مدت هکرها
در کنفرانس امنیتی RSA 2015 کارشناسان امنیتی در مورد روش های خطرناک حملات پیشرفته و مستمر صحبت کردند. گفته میشود که بسیاری از حملات اخیربیانگر آنست که مجرمین تمایل به برنامه ریزی و اجرآ دراز مدت تهدیدهای پیشرفته و مستمر دارند.
کارشناسان میگویند که تاکتیک های مجرمین سایبری و هکرها برای دزدی داده ها در حال تغییر است. در گذشته روال این بود که هکرها به یک سازمان حمله میکردند، داده ها را جمع آوری میکردند و برای دزدی شناسه یا تولید کارت اعتباری تقلبی این اطلاعات را ذخیره میکردند. برخی اطلاعات را برای فاش عملکرد سازمان ها انتشار میدادند.
برای مثال هک کردن سایت شرکت سونی. یکی از آزار و اذیت های مشاهده شده در هک شرکت سونی این بود که مجرمین در طول یک دوره زمانی فعالیت کردند، اطلاعات را دزدیه و انتقال دادند و سپس بخشی از اطلاعات برداشته شده را انتشار دادند. سپس بعد از چند روز اطلاعاتی بیشتری انتشار داده شد. محتوای اطلاعات انتشار داده شده به گونه ای بود که شرکت سونی روز اول در مورد این هک اعلامیه صادر کرد و در روزهای بعد با انتشار و آزاد شدن مطالب دیگر اعلامیه خود را تغییر میداد. این برای عموم مردم باعث سردرگمی و ظاهرآ دروغگویی آن شرکت به نظر میآمد.
کارشناسان معتقدند که این گونه رفتار هکر ها و مجرمین سایبری در آینده ادامه خواهد داشت و یک نوع بازی انتشار اطلاعات با روند کند و اختلال در امور روابط عمومی سازمان ها باشد. برنامه ریزی چنین اقداماتی، چگونگی برخورد با فاش اطلاعات و سیاست کاری را برای سازمان ها دشوار میسازد. همچنین ندانستن حجم، مقدار و نوع داده های دزدیده شده، روش عکس العمل نشان دادن تیم های روابط عمومی سازمان ها را به چالش میکشد.
فعالیت مجرمینی که سیستم های کنترل صنعتی (ICS) را هدف قرار میدهند از لحاظ تکنیک های استفاده شده پیچیده تر شده است و آنها زمان را صرف درک از نزدیک این سیستم های کنترل میکنند و گاهی برتر از خود کارمندانی هستند که مسئول ICS ها میباشند. در گذشته یک روش دفاع این بود که فرض میشد حمله کننده پروسه سازمان را درک نمیکند، ولی حالا طبق شواهد موجود مجرمین زمان کافی در محیط مورد هدف میگذرانند تا با آن آشنایی کامل داشته باشند. روش های حمله به سیستم های کنترل صنعتی نیز پیچیده تر شده اند و به چهار بخش تقسیم میشوند: Spear Phishing، Water Holing، تورجان سازی فایل های ICS و نقض های مستقیم به ICS.
برخی از تهدید های متفاوت امروزه نیز روش رمزنگاری را برای اخاذی به کار گرفته اند. بدافزارهای اخاذی مختلف (SSL validation flaws) مانند Crytpo-ransomware در حال رشد هستند و سازمان ها باید در این مورد بسیار هوشیار باشند. امروز نیاز به حذف یا تخریب اطلاعات نیست. “رمز گذاری درست بر روی داده ها” معادل تخریب اطلاعات است. در بسیاری از سازمان ها با ورود بدافزار اخاذی به سیستم آنان و رمزگذاری فایل ها و نداشتن backup مناسب آن فایل ها، بهترین تصمیم اقتصادی پرداخت مبلغ اخاذی و بازگرداندن اطلاعات است.
در اینجا نیز هکرها درازمدت عمل میکنند چون بدافزار اخاذی که به سرورهای سازمانی وارد میشوند ممکن است ماه ها در سیستم ساکن باشند. این بدافزارها داده ها را در زمان دسترسی رمزگشایی میکنند تا شناسایی نگردند و بعد همان داده ها را از طریق بک آپ های دوره ای (backup cycles) رمزگذاری میکنند تا در زمان فعال شدن کاربر به Backup دسترسی نداشته باشد.
برای مقابله با چنین تهدید هایی، سازمان ها باید به سرعت روش ها و استراتژی های جدید (مانند اجرآ معماری امنیتی جدید، جداسازی داده ها و بخش ها یا segmentation، و داشتن دیواره های آتش مانند محصولات پارس فن آوران خوارزم) اتخاذ کنند و افکار قدیمی خود را بروز کنند. هکر ها نیز فرض خواهند نمود که تمامی موارد امنیتی در سازمان شما بر جا است و بر آن اساس اقدام به نفوذ به شبکه شما خواهند نمود. تمرکز سازمان ها باید بر مانیتورینگ فعال وقایع و داشتن موتورهای هوشمند در سیستم های کنترل باشد.
