چگونه مهاجمان زنجیره کشتار سایبری را دور میزنند

بیش از یک دهه پیش ایده زنجیره کشتار سایبری برای اولین بار توسط لاکهید مارتین طراحی شد. ایده کلی این طرح به این صورت است که مهاجمان پس از گذراندن مراحل شناسایی و یافتن آسیب‌پذیری‌ها، بدافزار را به سیستم‌های قربانی تزریق می‌کنند. سپس به یک سرور فرماندهی و کنترل متصل شده و به صورت عرضی در شبکه حرکت می‌کنند تا به اهداف ارزشمند دسترسی یابند. در نهایت نیز داده‌های به سرقت رفته را از شبکه استخراج می‌کنند.

اگرچه ظاهراً این ایده امکان شناسایی مهاجمان در هر نقطه‌ای از فرایند حمله و خنثی‌سازی آن را فراهم می‌کند ولی در عمل بسیاری از حملات را نادیده گرفته و طی گذر زمان کارایی آن نیز افول یافته است. بنا به گفته Michael Salihoglu مشاور امنیت سایبری در شرکت حسابداری، مشاوره و فناوری Crowe: «زنجیره کشتار سایبری روش بسیار مناسبی برای تفکیک مراحل کلاسیک رخنه‌های سایبری بود». مدافعان با بکارگیری این ابزار می‌توانستند استراتژی‌هایی را برای توقف حمله در هر نقطه از زنجیره طراحی کنند.

Salihoglu می‌گوید: «به صورت کلی این روش برای دنیای مدرن چندان کارآمد نیست و کاستی‌های زیادی دارد». برای مثال زنجیره کشتار سایبری برای کمک به سازمان‌ها جهت دفاع در برابر رخنه‌های تک مرحله‌ای جدید (مثل باکت‌های باز آمازون S3، حملات جستجوی فراگیر توزیع شده یا حمله بر ضد اشخاص ثالث) که در آنها دید چندان زیادی نسبت به آنچه مهاجم انجام می‌دهد، وجود ندارد کارآمد نیست.

استراتژی‌های امروزی مثل دفاع در عمق و اعتماد صفر دارای قابلیت‌های بیشتری برای کمک به سازمان‌ها جهت مقابله با تهدیدات هستند.

چرا زنجیره کشتار سایبری کارایی خود را از دست داده است؟

در بسیاری از انواع حمله، بعضی از مراحل اجرا نمی‌شوند. برای مثال حملات باج‌افزاری شامل نصب بدافزار و حرکت عرضی در شبکه هستند و مرحله استخراج داده را رد می‌کنند مگر اینکه هکرها در پی اخاذی دوم باشند.

همچنین یک API ناامن می‌تواند به مهاجمان کمک کند تا همه داده‌های در دسترس API را استخراج کنند. امروزه این روش به یکی از مسیرهای حمله پرکاربرد تبدیل شده است.

مهاجمان می‌توانند از اقتصاد مجرمان سایبری نیز برای رد کردن یکسری مراحل استفاده کنند. آنها می‌توانند اعتبارنامه‌های کاربری به سرقت رفته را در بازار سیاه خریده و از این اعتبارنامه‌ها برای دسترسی به زیرساخت‌های شرکتی استفاده کنند. برای مثال هکرها، اعتبارنامه‌های آمازون یا کوبرنتیز را جهت اجرای عملیات استخراج رمز ارزها بکار می‌گیرند.

سرقت داده‌ها از باکت‌های ذخیره اطلاعات آمازون که از ایمنی چندان بالایی برخوردار نیستند جزو حملات رایج تک مرحله‌ای محسوب می‌شوند. مدتی پیش کل پایگاه داده فروشگاه لباس مردانه Bonobos به سرقت رفت. این شرکت یک فایل پشتیبان بر روی بستر ابر داشت و متأسفانه آن را به خوبی ایمن‌سازی نکرده بود. بنا به گفته Trevin Edgeworth مدیر تمرین‌های تیم قرمز شرکت Bishop Fox در این حادثه: «بیش از 70 گیگابایت از اطلاعات خصوصی مشتریان در اثر اجرای این حمله افشا شد».

Edgeworth می‌گوید: «این داده‌ها از طریق اینترنت در دسترس بودند. در این حمله هکرها سایر مراحل زنجیره کشتار سایبری مثل مسلح‌سازی، تحویل، نصب یا فرماندهی و کنترل را اجرا نکردند». در حالی که زنجیره کشتار سایبری برای یک مجموعه حمله محدود از جمله حملاتی که شامل ایجاد، تحویل و نصب بدافزار هستند بهینه‌سازی شده بود.

بر اساس گزارشی که توسط Ermetic منتشر شد، بیش از 70 درصد از محیط‌های آمازونی که توسط محققان مورد نمونه‌برداری قرار گرفته‌اند دارای سیستم‌هایی در معرض تماس با اینترنت و همچنین داده‌های محرمانه مثل اطلاعات هویتی هستند. در صورت نفوذ به چنین سیستم‌هایی و افشای این اطلاعات، امکان استفاده از آنها برای اجرای حملات باج‌افزاری وجود داشت. به عبارتی مدل کسب‌وکار رو به رشد مجرمان سایبری یکی از دلایل مهم کاهش کارایی زنجیره کشتار سایبری است.

Dave Burg مدیر امنیت سایبری شرکت EY Americas می‌گوید: «امروزه هکرها از روش‌های پیشرفته و توسعه‌یافته برای اجرای حملاتشان استفاده می‌کنند. مدل کسب‌وکار آنها پیمانه‌ای‌تر شده و دیگر به صورت ادغام عمودی[1] نیست». همچنین هر گروه از مجرمان سایبری متمرکز بر یک حوزه تخصص می‌شوند و نتایج تلاش‌هایشان را به سایر مجرمان می‌فروشند. در نهایت آنها حمله پیچیده‌ای را اجرا می‌کنند که از چند بخش گسترده تشکیل شده است. پیشگیری از اجرای هر مرحله از حمله نیز کار چندان راحتی نیست.

حملات زنجیره تأمین چه نقشی در منسوخ شدن زنجیره کشتار سایبری دارند

Burg می‌گوید: «امروزه بخش مهمی از فعالیت‌های حمله بر روی اشخاص ثالث اجرا می‌گردد. همانگونه که در بسیاری از موارد (مثل نفوذ امنیتی که توسط فروشنده سیستم تهویه مطبوع شرکت  Target در سال 2013 میلادی بر علیه این شرکت انجام شده و حملات اخیر سولارویندز) مشاهده کردیم، مهاجمان می‌توانند برای دسترسی به یک سازمان، یک شرکت ثالث را هدف بگیرند».

چنین رخنه‌ای می‌تواند به صورت کامل در یک محیط ثالث رخ دهد. برای مثال ممکن است یک ارایه‌دهنده سرویس شخص ثالث به داده‌های مالی، رکوردهای کارمندان، آی‌پی‌های حساس یا اطلاعات مشتریان دسترسی داشته باشد. Burg می‌گوید: «اگر صرفاً به این دلیل که شخص ثالث هستند دید کاملی نسبت به شرکت‌های شخص ثالث همکار نداشته باشید دارای نقاط کور بسیار زیادی خواهید بود».

حمله به شرکت‌های شخص ثالث پدیده جدیدی نیست اما به دلیل افزایش استفاده از APIها، نرم‌افزارهای ابر و سایر ادغام‌ها و یکپارچه‌سازی‌ها رشد چشمگیری داشته است. در حوزه کسب‌وکارها قابلیت اتصال داده‌ها و سرویس‌های بین مرزهای شرکتی مختلف یک ویژگی مهم و کارآمد است. بنا به گفته Burg: «امروزه تعداد بی‌شماری به هم پیوستگی متقابل داریم اما ممکن است به حفاظت از آنها فکر نکنیم. تشخیص این به‌ هم پیوستگی‌های فناوری، شیوه حفاظت از اطلاعات در حال حرکت و در حال سکون از اهمیت بسیار زیادی برخوردار است».

تفکر مهاجمان حالت گراف دارد نه زنجیره‌ای

ممکن است در پیش گرفتن رویکرد سنتی زنجیره کشتار سایبری منجر به ایجاد این دیدگاه اشتباه شود که مهاجمان برای تحقق اهدافشان یکسری گام‌های خاص را طی می‌کنند اما Trenton Ivey مشاور ارشد عملیات ویژه بخش ضد تهدید Secureworks معتقد است که این دیدگاه دور از واقعیت است. او می‌گوید: «مهاجمان از قوانین پیروی نمی‌کنند؛ آنها سعی می‌کنند از هر ابزاری استفاده کنند. آنها در صورت برخورد به مانع تلاش می‌کنند آن را دور بزنند».

ممکن است این افراد به دنبال داده‌ها یا در پی دستیابی به هدفی کاملاً متفاوت باشند. یک حمله سایبری موفق به جای طی کردن مسیری خطی از مرحله شناسایی تا هدفگیری، معمولاً حالت درختی یا نمودار گراف با یکسری یال و رأس را دارد. یال‌ها مسیرهایی هستند که مهاجم از نودی به نودی دیگر طی می‌کنند.

بنا به گفته Ivey: «کلید موفقیت این است که متمرکز بر یک مسیر حمله خاص نشویم بلکه همه یال‌ها را شناسایی نموده و یال‌های غیرضروری را حذف کنیم».

به روزرسانی زنجیره کشتار سایبری

یکی از پاسخ‌ها به ضعف روش زنجیره کشتار سایبری، فریم ورک MITRE ATT&CK است که شامل جزئیات بسیار زیاد و بیش از 200 فعالیتی می‌باشد که ممکن است توسط مهاجمان انجام شوند. بنا به گفته Ivey: «این فریم ورک روش بسیار خوبی برای در نظر گرفتن اقدامات مختلف قابل انجام توسط یک مهاجم است و بسیاری از گزینه‌های رایج در اختیار مهاجمان را نشان می‌دهد و مدافعان را ملزم می‌نماید که متفاوت فکر کنند». Ivey معتقد است که این فریم ورک یک راهکار بسیار کاربردی است.

Salihoglu می‌گوید: «همه از فریم ورک MITRE استفاده می‌کنند. این فریم ورک مرجعی از همه روش‌هایی است که مهاجمان برای حمله به شبکه شما از آنها استفاده می‌کنند و بسیار قدرتمند است». این مرجع شامل بسیاری از روش‌های حمله‌ای است که تشخیص آنها با روش سنتی زنجیره کشتار امکان‌پذیر نمی‌باشد. برای مثال می‌توانیم به حملات محروم‌سازی از سرویس و نفوذ به زنجیره تأمین اشاره کنیم.

Salihoglu می‌گوید: «این روش هم بی نقص نیست و مهاجمان همواره روش‌های جدیدی برای حمله ابداع می‌کنند. رخنه‌های اطلاعاتی معمولاً ناشی از عدم اجرای موفق تکنیک‌های دفاعی مطرح شده در فریم ورک MITRE ATT&CK  هستند. اگر به هر آنچه در این فریم ورک ذکر شده، واکنش نشان دهید، بعید است که حتی با وجود یک آسیب‌پذیری روز صفر مهاجمان بتوانند آسیب چشمگیری ایجاد کنند».

یکی دیگر از مدل‌های جدید زنجیره کشتار سایبری، زنجیره کشتار یکپارچه است. این زنجیره ترکیبی از عناصر مختلف زنجیره کشتار سایبری مارتین لاکهید و فریم ورک MITRE ATT&CK محسوب می‌شود. زنجیره کشتار یکپارچه توسط Paul Pols بر اساس تحقیقاتی که او در زمینه مدل‌سازی از حملات Fancy Bear داشت، شکل گرفت.

زنجیره کشتار یکپارچه عمق بیشتری نسبت به زنجیره کشتار سنتی دارد اما بر خلاف مدل مارتین لاکهید به ترتیب اجرای گام‌های مختلف نیز توجه می‌کند. در نتیجه بنا به گفته Mike Saxton مدیر شکار تهدید فدرال، جرم شناسی دیجیتال و واکنش به حوادث در Booz Allen Hamilton: «این روش بسیار کارآمد است چون تاکتیک‌ها را به تکنیک و تکنیک‌های اصلی را به تکنیک‌های فرعی تجزیه می‌کند. این روش همواره در حال بازبینی، به روزرسانی و همچنین شامل فنون تشخیص و مقابله‌ای است که به تیم‌های سایبری جهت پیشی گرفتن از مهاجمان کمک می‌نمایند».

اعتماد صفر و توانایی آن برای مقابله با روش‌های حمله جدید

با در نظر گرفتن جنبه تطبیق، روش اعتماد صفر از جمله راهکارهای رایج و پرکاربرد برای مقابله با حملات سایبری و مخاطرات امنیتی است. بنا به گفته Salihoglu: «اعتماد صفر جزو اصطلاحات پرکاربرد امروزی بوده و تصور می‌شود که راه حل همه مشکلات را دربر می‌گیرد».

Salihoglu می‌گوید: «این ایده از لحاظ تئوری فوق‌العاده است ولی تحقق آن در عمل چندان ساده نیست. با این حال حرکت به سمت فلسفه اعتماد صفر به شرکت‌ها کمک می‌کند از ذهنیت قلعه مانند قدیمی که پایه و اساس زنجیره کشتار سایبری است، خارج شوند».

در چنین رویکردی زمانی که شخصی وارد محیط شبکه سازمانی می‌شود، تقریباً به کل شبکه سازمان دسترسی آزاد دارد. Salihoglu می‌گوید: «در حقیقت شما یک شهروند محسوب می‌شوید و هر آنچه بخواهید را می‌توانید انجام دهید. این روش یک پوسته سخت با هسته‌ای بسیار نرم دارد».

اعتماد صفر این ذهنیت را تغییر می‌دهد. به نحوی که در حال حاضر هر برنامه کاربردی و هر منبع داده‌ای دارای قلعه خودش است. اعتماد صفر یک راهکار دفاعی واضح در برابر حملات زنجیره کشتار بوده و باعث می‌شود کار مهاجمان برای نفوذ اولیه، حرکت عرضی در شبکه و دسترسی به منابع ارزشمند آن بسیار سخت‌تر شود. Salihoglu معتقد است که این روش برای ایمن‌سازی شبکه‌های سازمانی بسیار مفید است.

استفاده از زنجیره کشتار برای نفوذ به ذهن مهاجمان

Tom Gorup معاون بخش امنیت و عملیات پشتیبانی شرکت Alert Logic می‌گوید: «زنجیره کشتار سنتی نباید به صورت کامل حذف شود. چنین رویکردی می‌تواند مزایای بسیار زیادی برای مدلسازی تهدید داشته باشد».

برای مثال فرض کنید شرکتی داده‌های حساسی را در یک باکت S3 دارد. یک مهاجم چگونه می‌تواند اطلاعاتی را درباره این باکت کسب کند یا اینکه به آن نفوذ کرده و داده‌هایش را از آن استخراج نماید. بنا به گفته Tom Gorup: «با درک زنجیره کشتار می‌توانید این فرایند را طی کنید. باید برای تشخیص منشأ ریسک‌ها و نقطه ضعف‌های بالقوه از مدلسازی تهدید استفاده کنید. همچنین باید زنجیره کشتار را به عنوان سناریویی برای تشخیص شیوه پیش بردن این مراحل توسط مهاجمان بکار بگیرید.

سپس با اجرای تدابیر امنیتی لازم از نفوذ و پیشروی مهاجمان پیشگیری می‌کنید. برای مثال فرض کنید مهاجمان با بررسی شیوه کدنویسی یک برنامه کاربردی، به اعتبارنامه‌های کاربری دست یابند. یک راهکار برای رفع چنین مشکلی این است که هرگز در برنامه کاربردی مدنظر از کدنویسی سخت اعتبارنامه‌های کاربری استفاده نشود.

Graham Myers مدیر ارشد امنیت سایبری شرکت Capgemini می‌گوید: «مهاجم همچنان باید مرکز فرماندهی و کنترل را تشکیل داده و اقداماتی مثل حرکت عرضی و استخراج داده‌ها را انجام دهد. به نظر می‌رسد که زنجیره کشتار سایبری قابل اعمال نیست به‌ویژه وقتی تعداد زیادی از حملات از طریق یک شخص ثالث صورت می‌گیرند ولی این زنجیره همواره یک فریم ورک معتبر برای تحلیل این تهدیدها محسوب می‌شود». تیم‌های امنیت سایبری باید مدل‌های خودشان را توسعه دهند. همچنین آنها نباید احتمال نفوذ به شرکت‌های تأمین کننده یا لو رفتن کدها را در آن نادیده بگیرند.

[1] در ادغام عمودی یک سازمان‌ فرایند تولید و همچنین کلیه کسب‌وکارهایی که در این فرایند نقش دارند را تحت کنترل خود می‌گیرد.

منبع: csoonline