در چند ماهی که از آغاز سال 2021 گذشته است شاهد اجرای حجم انبوهی از حملات سایبری بر ضد سازمانهای بزرگ همچون حملات باجافزاری در بزرگترین خط لوله سوخت آمریکا و سیستم مراقبت بهداشتی ایرلند بودهایم.
سایت Infosecurity با ایان من (Ian Mann) که یکی از کارشناسان برجسته امنیت سایبری است و سابقه کار در سازمانها و جایگاههای مهم را داشته (از جمله مشاور نهاد اطلاعاتی بریتانیا، GCHQ) در رابطه با حملات سایبری اخیر گفتگو کرده است. ایان هم اکنون مدیرعامل سازمان مدیریت خدمات امنیت سایبری ECSC (که در سال 2020 تأسیس شد) است و به همین دلیل می تواند دیدگاههای ارزشمندی درباره چشمانداز تهدیدات سایبری ارایه کند.
ایان همچنین نویسنده تعدادی از کتابهای مهم و برجسته در حوزه مهندسی اجتماعی همچون هک انسان و ماجراهای یک مهندسی اجتماعی میباشد. در این مصاحبه ایان دیدگاه خود را درباره حملات سایبری، راهکارهای مورد استفاده هکرها و نحوه واکنش سازمانها به این حملات بیان کرده است.
در سالهای اخیر، رویکردهای مهاجمان سایبری چه تغییری داشته است؟
در حال حاضر کارمندان همچنان از سرویسهای غیرامن مثل پروتکل ریموت دسکتاپ برای دسترسی به اینترنت استفاده نموده و در نحوه استفاده از فایروالها مرتکب خطاهای ساده و ابتدایی میشوند. با این وجود آنچه تغییر کرده این است که چنین اشتباهاتی معمولاً به سرویسهای ابر نسبت داده شده و شبکههای امن داخلی را در دسترس هکرها قرار میدهند.
راهکارهای اصلی مجرمان سایبری در این زمینه شامل موارد زیر هستند:
- شناسایی یک اشتباه فنی که از سوی تیم فناوری اطلاعات سر زده است.
- سوءاستفاده از عامل انسانی (مثل تشویق کارمندان به کلیک بر روی یک لینک در ایمیلی فیشینگ).
واکنش سازمانها به این تهدیدات از لحاظ کیفی چگونه است؟
تقریباً امکان پیشگیری از تمام حملات سایبری که در سالهای اخیر به وقوع پیوسته اند، وجود داشته اما متأسفانه عملکرد سازمانها در جلوگیری از این حملات بسیار ضعیف بوده است. اگرچه در بیشتر سازمانها تعداد زیادی از کارمندان در حوزه امنیت سایبری و فناوریهای جدید مشغول به فعالیت هستند ولی این افراد درگیر انجام کارهایی هستند که تأثیر مهمی در پیشگیری از نفوذهای امنیتی ندارند.
علاوه بر امکان کار کردن با فناوریهای جدید و اجرای گرایشهای نو در سازمانها، انجام کارها به صورت اصولی نیز از جمله اقدامات مهم برای دستیابی به امنیت سایبری در سازمانها است. برای مثال اگر در یک سازمان (به خصوص سازمانهای بزرگ) امکان ورود به یک سیستم از طریق اینترنت و بدون نیاز به گذراندن مراحل احراز هویت چندمرحلهای وجود داشته باشد، کارشناسان امنیتی سازمان باید این مشکل را در اسرع وقت رفع کنند.
در سالهای اخیر شرکت ECSC در واکنش به تغییر چشمانداز تهدیدات سایبری چه اقداماتی انجام داده است؟
اگرچه سالانه قابلیتهای واکنش به حادثه، ارزیابی و سرویسهای مشاوره کلی ما رشد و تکامل مییابند با این حال، مهمترین تغییرات در بخشهای تشخیص و واکنش مدیریت شده صورت گرفته است.
بعضی از مشتریان ما هنوز خواستار استفاده از ابزارهای حفاظتی تخصصی مثل فایروال برنامههای کاربری تحت وبی هستند که به خوبی پیکربندی شده باشند اما مهمترین حوزه رشد، بخش سرویسهای نظارت و تشخیص شبانهروزی است. افراد، این واقعیت را به رسمیت شناختهاند که با وجود سازوکارهای حفاظتی جدید، به هر حال احتمال نفوذ و اشتباه وجود دارد. وقتی چنین اتفاقی رخ میدهد، استفاده از یک سیستم تشخیص و واکنش کارآمد و سریع میتواند مانع از جدی شدن مسأله و ایجاد پیامدهای سنگین برای کسبوکار و حرفه افراد شود.
ما از سرمایه جذب شده در رویداد عرضه اولیه سهام خودمان در سال 2016 برای توسعه مرکز عملیات امنیتیمان استفاده کردیم. ما کاملاً باور داریم که شما به یک راهکار عملیاتی کارآمد برای نظارت شبانهروزی بر هکرها نیاز دارید. بنابر تجربه ما این کار را نمیتوان فقط با استفاده از نیروی انسانی انجام داد.
به نظر شما در 10 سال آینده فناوریهای جدید چه تأثیری بر حوزه امنیت سایبری خواهند داشت؟
حرکت به سمت فناوری ابر همچنان منجر به ایجاد نفوذهای امنیتی خواهد شد چون بالاخره خطا و اشتباه رخ میدهد و معمولاً برای کاهش هزینهها از به کار بردن نرمافزارهای حفاظت و مدیریت امنیتی خودداری میشود.
در اروپا، همچنان مقررات عمومی حفاظت از دادههای کاربران (GDPR) با جریمههای چند میلیون پوندی توجه همه را به خود جلب خواهد کرد. یکی از جنبههای این قانون که هنوز توجه زیادی به آن نشده، مسئولیت مستقیم شرکتهای شخص ثالث است و به همین دلیل من پیشبینی میکنم که در این زمینه شاهد جریمههای سنگینی خواهیم بود.
همچنین به نظر من در آیندهای نه چندان دور، موشکافی و نظارت بیشتری بر سازمانهای بزرگ حوزه فناوری اطلاعات در سطح جهان انجام خواهد شد به خصوص به دلیل وقوع نفوذهایی که هم بر این شرکتها و هم بر مشتریانشان تأثیرگذار هستند. توصیه من به سازمانها این است که در رویکرد برونسپاری خودشان از اعتماد صفر استفاده کنند؛ البته نه فقط به عنوان برچسبی که برای فروش هر چه بیشتر فناوریهای داخلی با مزایای محدود، از آن استفاده میشود. هوش مصنوعی هم کماکان به ارایه خدمات جدید ادامه خواهد داد به خصوص در حوزههایی که تشخیص بر اساس کلان دادهها در آنها اهمیت ویژهای دارد.
لطفاً درباره کارهای فعلی که در بخش آزمایشگاه شرکت ECSC انجام میشود، با ما صحبت کنید.
پیشرفتهای ما در حوزه فناوریهای هوش مصنوعی معمولاً با یادگیری ماشینی توصیف میشوند ولی یکسری پروژههای تحقیقاتی درباره استفاده از قدرت شبکههای عصبی هم داریم. این شبکهها شیوه عملکرد مغز انسان را شبیهسازی نموده و میتوانند خروجیهایی ایجاد کنند که ممکن است انتظار آنها را نداشته باشید.
برای مثال، ما روی یک شبکه عصبی کار کردیم که کار تحلیلگر مرکز عملیات امنیتی را شبیهسازی میکند تا حوزههایی که نیاز به تحقیق و بررسی بیشتر دارند را شناسایی و معرفی کند. این سیستم به نوعی شبیه یک ناظر است و نقاطی که نیاز به تحقیق و بررسی بیشتر دارند، شناسایی کرده و پیشنهاد میدهد. در این جا این ناظر یک هوش مصنوعی است که از کارهای قبلی تحلیلگران درس میگیرد.
امیدوارم منظور من را اشتباه متوجه نشده باشید. هر شخصی که ادعا کند هوش مصنوعی جایگزین انسانها میشود یا دروغ گفته یا درک درستی از امنیت سایبری ندارد. هوش مصنوعی در مرحله مهمی قرار دارد و میتواند به ما برای شناسایی نفوذهای سایبری که پیش از این امکان تشخیص آنها وجود نداشت، کمک کند.
منبع: infosecurity-magazine