تکامل حملات سایبری و افزایش شدت آسیب پذیری های امنیتی سازمان ها را مجبور کرده است که یا با این روند همگام شده و قبل از ایجاد هر گونه آسیب به دارایی های اطلاعاتی خود آنها را متوقف کنند یا این که به ناچار هزینه های بالای حملات سایبری که گاهاً می تواند حتی منجر به آسیب جدی به فرایندهای کسب و کاری سازمان شود را قبول کنند.
بر اساس تحقیق های انجام شده، حملات سایبری آتی متشکل از ابزارهای مستقل از پیش برنامه نویسی شده ای هستند که با هدف آلوده کردن شبکه های سازمانی طراحی شده و تنها در عرض چند دقیقه می توانند اقدام به سرقت اطلاعات یا تخریب داده های سازمان ها کنند. در حال حاضر حتی سازمان هایی که از روش های توصیه شده نیز پیروی می کنند باز هم نیازمند حداقل چند ساعت زمان برای پاسخگویی به حوادث امنیتی هستند.
به همین خاطر، مدافعان سایبری باید سرعت واکنش خود نسبت به آسیب های امنیتی را افزایش دهند. به عنوان مثال، حمله “NotPetya” که از بدافزاری به نام “Petya” استفاده می کرد، ابتدا فرایند به روز رسانی خودکار نرم افزار حسابداری شرکت MEDoc را مختل نموده و سپس به جای آن بدافزاری را نصب کرد که در کل شرکت منتشر شد.
اگر جه نخست، هدف حملات سایبری NotPetya شرکت ها و سازمان های اوکراینی بود اما پس از این که شرکت MEDoc به بدافزار آلوده شد، این آلودگی به شرکت های بزرگ دیگری از جمله “Maersk” که یک شرکت دانمارکی است و در زمینه صنعت نفت فعالیت می کند نیز راه یافت. در شرکت Maersk تنها در مدت زمان بسیار کوتاهی، آلودگی توانست از یک نقطه کوچک به همه رایانه ها سرایت کند. در حالی که اجرای حمله، آلودگی سایر سیستم ها در شبکه، پیدا کردن منابع و استخراج آنها فقط در دو ساعت و نیم انجام شد ولی عملیات پاکسازی رایانه های شرکت از این آلودگی علاوه بر این که هزینه های بسیار زیادی را به شرکت تحمیل کرد، حدوداً 10 روز هم زمان برد. به همین دلیل است که در سازمان های بزرگ، انجام واکنش های سریع و خودکار به رخدادهای سایبری امروزه امری بسیار ضروری به شمار می رود.
منظور از روش ها و راهکارهای توصیه شده که در بالا به آن اشاره شد، استفاده از ابزارهای مستقل برای مقابله با آسیب های امنیتی است که همه فعالیت ها از جمله تشخیص آلودگی در سریع ترین زمان ممکن، تصمیم گیری در خصوص نحوه واکنش به آن، شناسایی و تفکیک سیستم های آلوده، به روز رسانی قوانین فایروال، تقسیم بندی شبکه به منظور کنترل بهتر سازمان را در بر می گیرد. هر چند اعتماد کردن به این ابزارها ممکن است کار سختی باشد اما باید به سطحی از اعتماد و اطمینان رسید تا بتوان به صورت خودکار از فعالیت های کسب و کاری سازمان در مقابل نفوذهای سایبری محافظت کرد.
اولین اقدام در این خصوص نیز تلاش در جهت افزایش آگاهی و درک مدیران سازمان ها از مخاطرات امنیتی است. در نتیجه می توان آنها را به خرید ابزارهای امنیتی خودکار و صرف هزینه در این زمینه متقاعد کرد. مدیر یکی از شرکت های بزرگ گفته است که با توجه به هزینه های مربوط به فایروال ها، سیستم های IPS یا مقابله با نفوذ و همچنین ضدبدافزارها، درصد بسیار بالایی از بودجه امنیتی فعلی صرف پیشگیری از ایجاد صدمه به سازمان ها می شود. بنابراین با توجه به احتمال بالای شکست در اتخاذ چنین رویکردی و به منظور کاهش آسیب های ناشی از حملات سایبری بهتر است سازمان ها توانایی های خود برای تشخیص و واکنش به موقع در هنگام وقوع حملات سایبری را بالا ببرند.
بارگذاری بدافزارها و سرقت داده ها در فایل های تصویری
استگانوگرافی یکی از روش های پنهان کردن داده یا فایل، در فایلی دیگر است که در آن فقط افرادی که از وجود فایل های مخفی باخبر هستند، قادر به استفاده از ابزارهای لازم جهت دستیابی به آنها هستند. یک تیم امنیتی، حملاتی که در آنها تعدادی از ابزارهای حمله، با استفاده از روش استگانوگرافی در فایل های تصویری جایگذاری شده بودند را مورد بررسی قرار داده است.
نتایج تحقیقات این تیم بیانگر آن بوده که مهاجمان، بدافزارها و کدهای مخرب شان را با استفاده از الگوریتم های رمزنگاری بر روی فایل های تصویری پنهان می کنند. این فایل ها ظاهر معمولی داشته و روی یک دامنه مجاز و معتبر میزبانی می شوند. سپس آنها توسط ابزارهای مدیریت و کنترل از راه دور (RAT) بدافزارهایشان را در شبکه های مورد نظر بارگذاری و نصب می کنند.
از آن جا که دانلود فایل های تصویری از یک سرور و دامنه مجاز، منجر به فعال شدن سامانه های نظارت امنیتی نمی شود پس مورد مشکوک و خاصی هم مشاهده نخواهد شد. بنابراین با توجه به این که کل این فرایند به صورت مخفیانه انجام می شود، دور زدن کنترل های امنیتی آسان بوده و تشخیص آن نیز برای سازمان ها کار نسبتاً سختی است.
با استفاده از این روش می توان هر نوع فایلی از جمله بدافزارهایی که مهاجم در مراحل بعدی حمله نیازمند آنها است، قطعه کدهایی که می بایست بر روی سیستم قربانی اجرا شوند یا فرمان هایی که برای پیکربندی مجدد زیرساخت ها مورد استفاده قرار می گیرند را مخفی کرد.
همچنین بر اساس سایر نتایج تحقیقات این تیم امنیتی، در حمله های سایبری خودکار از روش استگانوگرافی برای استخراج داده ها از شبکه نیز استفاده شده است. در واقع داده های به سرقت رفته، در فایل های تصویری کدگذاری شده و سپس در یک پوشه در وب سایت سازمان قرار گرفته اند که مهاجمان به راحتی توانسته اند آنها را دانلود کنند.
منبع: infosecurity-magazine