اطلاع‌رسانیمنتخب سردبیرگزارش‌ها

صحبت‌های میروسلاو ماج (Miroslaw Maj) در مورد امنیت سایبری

امنیت، پروسه‌ای مداوم است نه یک بار مصرف!!!!

به خاطر داشته باشید که مشابه بقیه موارد، امنیت سایبری نیز وابسته به پارامترهای فرهنگی و محیطی است. استراتژی‌ها، ابزارها و تکنیک‌ها برای مبارزه با مشکلات امنیتی، به افرادی که آن را پیاده می‌کنند و یا از آن استفاده می‌کنند بستگی دارند.

با وجود انبوه اخطار و تحقیقاتی که موجود است، هنوز کارهای بسیار زیادی برای مبارزه با تهدیدات امنیتی و تسکین حملات سایبری لازم است.

اگر میگوییم که امنیت، یک فرایند مداوم است، اشتباه نمی‌کنیم!

ما همواره در حال پیدا کردن بهترین روش‌ها برای مبارزه با چالش‌های امنیتی کمپانی‌های بزرگ و کوچک هستیم.

یکی از این روش‌ها استفاده از تجربیات افراد باتجربه و حرفه‌ای در این زمینه است، یعنی آن دسته از افرادی که تجربیات زیادی در محیط‌های متفاوت امنیتی کسب کرده‌اند.

آقای “میروسلاو ماج” از این دست افراد است، او معاون کمپانی CYBERSEC (CYBERSEC Organizing Committee) و رئیس Cybersecurity Foundation در لهستان می‌باشد.

ما با آقای ماج درباره امنیت سایبری در اروپا و معیارهای امنیتی‌ای که با وجود اهمیت نسبی، نادیده گرفته می‌شوند صحبتی داشته‌ایم.

آقای ماج بر یک نکته، تأکید جدی داشتند: و آن‌هم، این بود که همه ما برای کنترل یک حمله سایبری باید آماده باشیم. نه برای یک حمله احتمالی بلکه برای یک حمله واقعی!

 

اکنون به بررسی نظرات آقای ماج می‌پردازیم:

[box type=”note” align=”” class=”” width=””]

بخش امنیتی اروپا چه تفاوتی با آمریکا و آسیا دارد؟

آیا تفاوت جدی‌ای وجود دارد؟

چرا فکر می‌کنید که چنین تفاوت‌هایی در کل وجود دارند یا ندارند؟[/box]

میروسلاو ماج: به عقیده من، بازار اروپا چیزی بین بازار آمریکا و آسیا است.

در آسیا محصولات امنیتی متنوعی از سرتاسر جهان وجود دارد. از طرف دیگر بازار آمریکا بر اساس محصولات و سرویس‌های محلی، کمی تخصصی‌تر و بسته‌تر است. کمپانی‌های آمریکایی برای ارسال محصولاتشان به سراسر جهان، بسیار فعال هستند.

به نظر من این موضوع، نتیجه قدرت امنیت سایبری کمپانی‌های آمریکایی است. در اروپا نیز این موضوع وجود دارد که برخی از کمپانی‌ها محصولاتشان را به بازار معرفی می‌کنند. انگلیس یکی از بهترین مثال‌ها در این زمینه است. امیدوارم که لهستان نیز وارد این مقوله شود، زیرا پتانسیل بالقوه‌ای در این بخش از خود نشان داده است.

[box type=”note” align=”” class=”” width=””]یک استراتژی امنیت سایبری، مستقل از کسب‌وکار عمومی و یا محیط فنی نیست. کمپانی‌ها هنگام برنامه‌ریزی علیه اقدامات مجرمین سایبری، چه عواملی را نادیده می‌گیرند؟[/box]

میروسلاو ماج: به عقیده من، فکر کردن درباره روند رسیدگی به رویدادها در آینده جهت کنترل آن‌ها بسیار مهم است.

سال‌هاست که با جنبه پیشگیرانه امنیت سایبری آشنا شده‌ایم، اما مدیریت بحران نیز در هنگام وقوع حادثه، خود جنبه مهمی برای پیشرفت در زمینه بهبود امنیت سایبری محسوب می‌شود.

در زمینه برنامه‌ریزی دفاعی علیه مجرمین سایبری، کمپانی‌ها باید نحوه عکس‌العمل و مقابله با حمله را یافته و برنامه‌ریزی کنند. آیا آن‌ها قادر به مدیریت همه موضوعات مرتبط با حوادث هستند؟

برای مثال؛ یک بانک را در نظر بگیرید، تا چه حد این بانک می‌تواند عکس‌العملی مؤثر در مقابله با یک حادثه فیشینگ داشته باشد، در زمان از دسترس خارج شدن یک سرور به دلیل بروز حمله، چه اقدام مؤثری می‌تواند انجام دهد و…

در واقع؛ در چنین مواقعی هر کمپانی نیازمند دریافت حمایت و پشتیبانی از جانب دیگر کمپانی‌ها است. به این معنی که آن‌ها باید ارتباطاتشان را با ارائه‌دهندگآن‌هاست و ISPها بهبود ببخشند و همین‌طور پشتیبانی‌هایی از کمپانی‌های پیشرفته مدیریت بحران مثل CERT دریافت کنند.

[box type=”note” align=”” class=”” width=””]درحالی که هشیاری در زمینه امنیت سایبری افزایش یافته، هنوز کارهای بسیار زیادی در این زمینه باید صورت گیرند. کمپانی‌ها و سازمان‌های اروپایی در طی ۵ سال گذشته که شما در لهستان، Cybersecurity Foundation را تأسیس کردید، از نظر امنیت مجازی چه پیشرفت‌هایی کرده‌اند؟[/box]

میروسلاو ماج: هشیاری در زمینه امنیت، رو به رشد است اما به این معنی نیست که کار تمام شده است.

بلکه باید آن را بهبود بخشید و مدیریت کرد. ۵ سال پیش تصمیم گرفتیم که کمپانی Cybersecurity Foundation را توسعه دهیم و با هر دو بخش -خصوصی و عمومی- برای افزایش آگاهی و هشیاری افراد، کار کنیم.

بعد از کار کردن به مدت ۲۰ سال در این زمینه، متوجه شدم که بهترین راه برای ایجاد آگاهی، تلفیق پروسه‌های امنیتی با مجموعه‌ای از اقدامات عملی است.

یک مثال مناسب دراین باره تمرینات سایبری در سطح جهانی بود که در سال ۲۰۱۲ شروع کردیم  Cyber-EXE Poland. تا به اینجای کار، آن را در ۳ بخش اساسی شامل انرژی، بانکداری و ارتباطات سازمان‌دهی کرده‌ایم.

این تمرینات، تجربه‌هایی عالی برای ایجاد آگاهی و هشیاری هستند و ما درک همه این مفاهیم را برای افزایش آگاهی شما در حوزه‌های امنیتی، توصیه می‌کنیم. همین‌طور تمرینات ما برای رسانه‌ها بسیار جالب بود که آن‌ها را نیز در زمینه امنیت سایبری، بسیار علاقه‌مند کرد.

اخیراً متوجه شدیم که تجربیات بدست آمده از Cyber-EXE Poland، در مقدمات المپیک ۲۰۲۰ توکیو مورد استفاده قرار گرفته است.

[box type=”note” align=”” class=”” width=””]طبق تجربیات شما، چالشی که کمپانی‌ها برای رفع آن همیشه ناکام می‌مانند چیست؟[/box]

میروسلاو ماج: بهتر است که سؤال را در دو سطح پاسخ دهیم: چالش برای خود کمپانی‌ها و برای مجموعه کمپانی‌ها.

مورد اول، گزینه‌ای است که در بالاتر توضیح دادم؛ نبود استراتژی و مهارت برای داشتن یک مدیریت بحران مؤثر. همه، این حقیقت را می‌دانند که “نمی‌توانند ۱۰۰ درصد امن باشند”، اما تنها عده کمی راهکارش را می‌دانند. به عنوان مثال یکی از این راهکارها این است که شما باید سازمان و یا تشکیلاتتان را برای رویارویی به یک رخنه موفق، آماده کنید، که متاسفانه دیر یا زود اتفاق خواهد افتاد.

اگر چالش “مجموعه کمپانی‌ها” را موردبحث قرار دهیم، نتیجه می‌گیریم که در حقیقت چالش، “به اشتراک‌گذاری اطلاعات عملی مؤثر است. این لغت کمی عجیب است اما چنین چیزی کاملاً ممکن است.

اما باید بدانیم که چرا ما برای این کار موفق نیستیم؟

به نظر من، بسیاری از ما معتقدیم که این موضوع به خودی خود اتفاق می‌افتد ولی در حقیقت این‌طور نیست و باید پشتیبانی‌هایی صورت گیرند. طبق تجربیات شخصی‌ام، کار به اشتراک‌گذاری اطلاعات، تنها توسط فردی که مسئول این کار باشد صورت می‌گیرد، در واقع فردی که مسئول تسهیل به اشتراک‌گذاری اطلاعات باشد. در حقیقت فردی که می‌داند آن کار را چگونه به‌صورت سازمانی و فنی انجام دهد. مطالعه مفاهیم ISAC (Information Sharing and Analysis Center) و CERT (برای بانکداری و بخش‌های مهم زیرساختی) در حوزه اشتراک اطلاعات، بسیار مفید هستند.

[box type=”note” align=”” class=”” width=””]شما به عنوان یک متخصص، کدام یک از تهدیدات امنیتی را در سال‌های آینده، جدی‌تر می‌دانید و به نظر شما، کمپانی‌ها برای حفاظت در برابر آن‌ها چه اقداماتی باید انجام دهند؟[/box]

میروسلاو ماج: تاریخ نشان می‌دهد که ما به عنوان متخصصین امنیتی برای پیش‌بینی آینده ناتوانیم!

ما نمی‌توانیم پیش‌بینی کنیم که چه اتفاقی خواهد افتاد، مثل کرم کامپیوتری stuxnet که یک تهدید واقعی برای زیرساخت‌های حیاتی بود. گاهی اوقات هم موضوعی را بیش‌ازحدی که هست پیش‌بینی می‌کنیم؛ برای مثال در دهه‌های اخیر، همه سونامی‌ای از تهدیدات را برای موبایل پیش‌بینی می‌کردند، در حالیکه تنها تهدیدات معدودی خود را نشان دادند.

اما به این معنی نیست که احتمالات را در نظر نگیریم؛ با در نظر گرفتن تمامی این موارد، احتمالات، ابزار آگاهی بسیار جذابی هستند. بنابراین در زمینه اکوسیستم دولتی و خصوصی اقدام می‌کنیم، من معتقدم که دامنه پیشروی تهدیدات، به مهارت مجرمین سایبری وابسته است. این موضوع، منجر به تنش‌های بیشتر و بیشتر میان ایالت‌ها و تحمیل ضرر و زیان‌های اقتصادی بیشتر بر آن‌ها خواهد شد.

پاسخ به این سؤال که چگونه از خودمان در برابر تهدیدات سایبری محافظت کنیم، چندان هم ساده نیست. ارائه پیشنهاد‌ها به‌تنهایی نمی‌توانند برای حفاظت، کافی باشند. فهم پروسه چگونگی مدیریت آن، مهم‌تر است. اگر با این روش موافق باشیم، نتیجه می‌گیریم که چیز جدیدی وجود ندارد؛ این یک راهکار قدیمی و مناسب برای مدیریت خطر است.

از نظر بازیگران؛ ما دو اجتماع داریم. چیزی که اهمیت دارد این است که باید دو بخش عمومی و خصوصی در این پروسه با هم همکاری کنند.

در پایان نباید از حقایق، چشم‌پوشی کنیم، این کار نیازمند صرف هزینه است.

به بودجه‌ای که آمریکا، انگلیس و برخی دیگر کشورها برای امنیت سایبری صرف کرده‌اند، نگاه کنید. آن‌ها متوجه این قضیه هستند.

در حقیقت این جنبه‌ها یکی از اصلی‌ترین تاپیک­های انجمن CYBERSEC خواهند بود که امسال در کراکو (Krako)، لهستان برگزار می‌شود. محلی که متخصصین امنیتی، مراسمی برگزار می‌کنند و سعی به پیدا کردن نحوه مدیریت همه این موارد می‌کنند.

سخنرانان از بخش‌های مختلف و کشورهای زیادی دانش خود را به اشتراک می‌گذارند. برگزار کنندگان این گردهمایی، هدف از این تجمع را پیدا کردن نتایج و ارائه گام‌های عملی برای رفع تهدیدات سایبری می‌دانند.

[box type=”note” align=”” class=”” width=””]افزایش پیچیدگی نرم‌افزاری، چه مشکلاتی بوجود می‌آورد؟[/box]

میروسلاو ماج: من متخصص امنیت نرم‌افزاری نیستم، اما رابطه بین تعداد خطوط کد و باگ‌های آن را می‌دانم. البته این مقادیر متفاوت هستند، اما به مقدار کیفیت و امنیتی که توسعه‌دهندگان برای نرم‌افزارشان در نظر می‌گیرند، بستگی دارند.

هر چیزی که اطراف ما است، در حال دیجیتالی شدن است (یا اصطلاحاً برنامه‌نویسی شده است)، بنابراین به خاطر سپردن و به کار بردن تحقیقات و استانداردها برای توسعه کدهای امن، مهم و مهم‌تر می‌شود. مثالی از این تحقیقات، SEI CERT Coding Standards است که در دانشگاه Carnegie Mellon در پیتس بورگ، به عمل آمده است.

[box type=”note” align=”” class=”” width=””]درنهایت، اگر پیشنهادی برای مدیران دارید تا بتوانند کمپانی خود و کارمندانشان را از حملات سایبری محافظت کنند، بفرمایید.[/box]

میروسلاو ماج: به آن‌ها پیشنهاد می‌دهم که با CIO هایشان (مسئول IT) صحبت کنند، چون آن‌ها واقعاً می‌دانند که حملات دیداس(DDOS)  و (APT (Advanced Persistent Threat چقدر خطرناک هستند.

اگر چنین افرادی دارند، باید از آن‌ها بپرسند که چگونه از لو رفتن داده‌ها از کامپیوترهای مهم، شامل موبایل مدیرعامل، یا سرویس‌های آنلاین جلوگیری کنند.

DDOS و APT به عنوان موفق ترین حملات در تمامی زمینه‌های امنیتی هستند؛ محرمانگی، جامعیت و دسترسی به اطلاعات شاهرگ‌های حیاتی هستند که از دست دادن یکی از آن‌ها برای کمپانی‌ها بسیار خطرناک و مرگ‌آور است.

 نکته: APT به حملات تحت شبکه‌ای اطلاق می‌شود که یک شخص احراز هویت نشده می‌تواند برای مدت زمان زیادی به‌صورت ناشناس به شبکه، دسترسی پیدا کند. هدف یک حمله APT سرقت اطلاعات است، نه صرفاً ضربه زدن به سازمان و یا انجام اعمال خراب کارانه. به همین منظور، اغلب هدف این‌گونه حملات معمولاً سازمان‌هایی است که اطلاعات مفیدی در اختیار دارند مانند سازمان دفاع، صنایع تولیدی و مالی. در یک حمله معمولی، حمله‌کننده تلاش می‌کند تا به‌سرعت وارد شده، اطلاعات را سرقت نماید و از شبکه خارج شود تا سیستم‌های تشخیص نفوذ، شانس کمتری برای یافتن این‌گونه حملات داشته باشند. هرچند در این حملات، هدف، ورود و خروج سریع نیست و معمولاً این‌گونه حملات، مانا (Persistent) هستند. بدین منظور حمله‌کننده باید دائماً کدهای فایل مخرب را بازنویسی نماید و از تکنیک‌های پنهان‌سازی پیچیده‌ای استفاده نماید که به همین دلیل به آن‌ها Advanced گفته می‌شود.

نتیجه‌گیری

امروزه هیچ روش مناسب دیگری برای مبارزه با حملات سایبری وجود ندارد، مگر اینکه در مقابل آن‌ها آماده باشیم و آن‌ها را پیش‌بینی کنیم.

نمی‌توان گفت که همه سناریوهای امنیتی قابل پیش‌بینی هستند، اما می‌توان کارمندان و یا حتی خودمان را برای کاهش زمان واکنش در برابر این حملات آماده کنیم و سرعت عملمان را افزایش دهیم.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

14 + 11 =

دکمه بازگشت به بالا