چگونه مهاجمان زنجیره کشتار سایبری را دور میزنند
بیش از یک دهه پیش ایده زنجیره کشتار سایبری برای اولین بار توسط لاکهید مارتین طراحی شد. ایده کلی این طرح به این صورت است که مهاجمان پس از گذراندن مراحل شناسایی و یافتن آسیبپذیریها، بدافزار را به سیستمهای قربانی تزریق میکنند. سپس به یک سرور فرماندهی و کنترل متصل شده و به صورت عرضی در شبکه حرکت میکنند تا به اهداف ارزشمند دسترسی یابند. در نهایت نیز دادههای به سرقت رفته را از شبکه استخراج میکنند.
اگرچه ظاهراً این ایده امکان شناسایی مهاجمان در هر نقطهای از فرایند حمله و خنثیسازی آن را فراهم میکند ولی در عمل بسیاری از حملات را نادیده گرفته و طی گذر زمان کارایی آن نیز افول یافته است. بنا به گفته Michael Salihoglu مشاور امنیت سایبری در شرکت حسابداری، مشاوره و فناوری Crowe: «زنجیره کشتار سایبری روش بسیار مناسبی برای تفکیک مراحل کلاسیک رخنههای سایبری بود». مدافعان با بکارگیری این ابزار میتوانستند استراتژیهایی را برای توقف حمله در هر نقطه از زنجیره طراحی کنند.
Salihoglu میگوید: «به صورت کلی این روش برای دنیای مدرن چندان کارآمد نیست و کاستیهای زیادی دارد». برای مثال زنجیره کشتار سایبری برای کمک به سازمانها جهت دفاع در برابر رخنههای تک مرحلهای جدید (مثل باکتهای باز آمازون S3، حملات جستجوی فراگیر توزیع شده یا حمله بر ضد اشخاص ثالث) که در آنها دید چندان زیادی نسبت به آنچه مهاجم انجام میدهد، وجود ندارد کارآمد نیست.
استراتژیهای امروزی مثل دفاع در عمق و اعتماد صفر دارای قابلیتهای بیشتری برای کمک به سازمانها جهت مقابله با تهدیدات هستند.
چرا زنجیره کشتار سایبری کارایی خود را از دست داده است؟
در بسیاری از انواع حمله، بعضی از مراحل اجرا نمیشوند. برای مثال حملات باجافزاری شامل نصب بدافزار و حرکت عرضی در شبکه هستند و مرحله استخراج داده را رد میکنند مگر اینکه هکرها در پی اخاذی دوم باشند.
همچنین یک API ناامن میتواند به مهاجمان کمک کند تا همه دادههای در دسترس API را استخراج کنند. امروزه این روش به یکی از مسیرهای حمله پرکاربرد تبدیل شده است.
مهاجمان میتوانند از اقتصاد مجرمان سایبری نیز برای رد کردن یکسری مراحل استفاده کنند. آنها میتوانند اعتبارنامههای کاربری به سرقت رفته را در بازار سیاه خریده و از این اعتبارنامهها برای دسترسی به زیرساختهای شرکتی استفاده کنند. برای مثال هکرها، اعتبارنامههای آمازون یا کوبرنتیز را جهت اجرای عملیات استخراج رمز ارزها بکار میگیرند.
سرقت دادهها از باکتهای ذخیره اطلاعات آمازون که از ایمنی چندان بالایی برخوردار نیستند جزو حملات رایج تک مرحلهای محسوب میشوند. مدتی پیش کل پایگاه داده فروشگاه لباس مردانه Bonobos به سرقت رفت. این شرکت یک فایل پشتیبان بر روی بستر ابر داشت و متأسفانه آن را به خوبی ایمنسازی نکرده بود. بنا به گفته Trevin Edgeworth مدیر تمرینهای تیم قرمز شرکت Bishop Fox در این حادثه: «بیش از 70 گیگابایت از اطلاعات خصوصی مشتریان در اثر اجرای این حمله افشا شد».
Edgeworth میگوید: «این دادهها از طریق اینترنت در دسترس بودند. در این حمله هکرها سایر مراحل زنجیره کشتار سایبری مثل مسلحسازی، تحویل، نصب یا فرماندهی و کنترل را اجرا نکردند». در حالی که زنجیره کشتار سایبری برای یک مجموعه حمله محدود از جمله حملاتی که شامل ایجاد، تحویل و نصب بدافزار هستند بهینهسازی شده بود.
بر اساس گزارشی که توسط Ermetic منتشر شد، بیش از 70 درصد از محیطهای آمازونی که توسط محققان مورد نمونهبرداری قرار گرفتهاند دارای سیستمهایی در معرض تماس با اینترنت و همچنین دادههای محرمانه مثل اطلاعات هویتی هستند. در صورت نفوذ به چنین سیستمهایی و افشای این اطلاعات، امکان استفاده از آنها برای اجرای حملات باجافزاری وجود داشت. به عبارتی مدل کسبوکار رو به رشد مجرمان سایبری یکی از دلایل مهم کاهش کارایی زنجیره کشتار سایبری است.
Dave Burg مدیر امنیت سایبری شرکت EY Americas میگوید: «امروزه هکرها از روشهای پیشرفته و توسعهیافته برای اجرای حملاتشان استفاده میکنند. مدل کسبوکار آنها پیمانهایتر شده و دیگر به صورت ادغام عمودی[1] نیست». همچنین هر گروه از مجرمان سایبری متمرکز بر یک حوزه تخصص میشوند و نتایج تلاشهایشان را به سایر مجرمان میفروشند. در نهایت آنها حمله پیچیدهای را اجرا میکنند که از چند بخش گسترده تشکیل شده است. پیشگیری از اجرای هر مرحله از حمله نیز کار چندان راحتی نیست.
حملات زنجیره تأمین چه نقشی در منسوخ شدن زنجیره کشتار سایبری دارند
Burg میگوید: «امروزه بخش مهمی از فعالیتهای حمله بر روی اشخاص ثالث اجرا میگردد. همانگونه که در بسیاری از موارد (مثل نفوذ امنیتی که توسط فروشنده سیستم تهویه مطبوع شرکت Target در سال 2013 میلادی بر علیه این شرکت انجام شده و حملات اخیر سولارویندز) مشاهده کردیم، مهاجمان میتوانند برای دسترسی به یک سازمان، یک شرکت ثالث را هدف بگیرند».
چنین رخنهای میتواند به صورت کامل در یک محیط ثالث رخ دهد. برای مثال ممکن است یک ارایهدهنده سرویس شخص ثالث به دادههای مالی، رکوردهای کارمندان، آیپیهای حساس یا اطلاعات مشتریان دسترسی داشته باشد. Burg میگوید: «اگر صرفاً به این دلیل که شخص ثالث هستند دید کاملی نسبت به شرکتهای شخص ثالث همکار نداشته باشید دارای نقاط کور بسیار زیادی خواهید بود».
حمله به شرکتهای شخص ثالث پدیده جدیدی نیست اما به دلیل افزایش استفاده از APIها، نرمافزارهای ابر و سایر ادغامها و یکپارچهسازیها رشد چشمگیری داشته است. در حوزه کسبوکارها قابلیت اتصال دادهها و سرویسهای بین مرزهای شرکتی مختلف یک ویژگی مهم و کارآمد است. بنا به گفته Burg: «امروزه تعداد بیشماری به هم پیوستگی متقابل داریم اما ممکن است به حفاظت از آنها فکر نکنیم. تشخیص این به هم پیوستگیهای فناوری، شیوه حفاظت از اطلاعات در حال حرکت و در حال سکون از اهمیت بسیار زیادی برخوردار است».
تفکر مهاجمان حالت گراف دارد نه زنجیرهای
ممکن است در پیش گرفتن رویکرد سنتی زنجیره کشتار سایبری منجر به ایجاد این دیدگاه اشتباه شود که مهاجمان برای تحقق اهدافشان یکسری گامهای خاص را طی میکنند اما Trenton Ivey مشاور ارشد عملیات ویژه بخش ضد تهدید Secureworks معتقد است که این دیدگاه دور از واقعیت است. او میگوید: «مهاجمان از قوانین پیروی نمیکنند؛ آنها سعی میکنند از هر ابزاری استفاده کنند. آنها در صورت برخورد به مانع تلاش میکنند آن را دور بزنند».
ممکن است این افراد به دنبال دادهها یا در پی دستیابی به هدفی کاملاً متفاوت باشند. یک حمله سایبری موفق به جای طی کردن مسیری خطی از مرحله شناسایی تا هدفگیری، معمولاً حالت درختی یا نمودار گراف با یکسری یال و رأس را دارد. یالها مسیرهایی هستند که مهاجم از نودی به نودی دیگر طی میکنند.
بنا به گفته Ivey: «کلید موفقیت این است که متمرکز بر یک مسیر حمله خاص نشویم بلکه همه یالها را شناسایی نموده و یالهای غیرضروری را حذف کنیم».
به روزرسانی زنجیره کشتار سایبری
یکی از پاسخها به ضعف روش زنجیره کشتار سایبری، فریم ورک MITRE ATT&CK است که شامل جزئیات بسیار زیاد و بیش از 200 فعالیتی میباشد که ممکن است توسط مهاجمان انجام شوند. بنا به گفته Ivey: «این فریم ورک روش بسیار خوبی برای در نظر گرفتن اقدامات مختلف قابل انجام توسط یک مهاجم است و بسیاری از گزینههای رایج در اختیار مهاجمان را نشان میدهد و مدافعان را ملزم مینماید که متفاوت فکر کنند». Ivey معتقد است که این فریم ورک یک راهکار بسیار کاربردی است.
Salihoglu میگوید: «همه از فریم ورک MITRE استفاده میکنند. این فریم ورک مرجعی از همه روشهایی است که مهاجمان برای حمله به شبکه شما از آنها استفاده میکنند و بسیار قدرتمند است». این مرجع شامل بسیاری از روشهای حملهای است که تشخیص آنها با روش سنتی زنجیره کشتار امکانپذیر نمیباشد. برای مثال میتوانیم به حملات محرومسازی از سرویس و نفوذ به زنجیره تأمین اشاره کنیم.
Salihoglu میگوید: «این روش هم بی نقص نیست و مهاجمان همواره روشهای جدیدی برای حمله ابداع میکنند. رخنههای اطلاعاتی معمولاً ناشی از عدم اجرای موفق تکنیکهای دفاعی مطرح شده در فریم ورک MITRE ATT&CK هستند. اگر به هر آنچه در این فریم ورک ذکر شده، واکنش نشان دهید، بعید است که حتی با وجود یک آسیبپذیری روز صفر مهاجمان بتوانند آسیب چشمگیری ایجاد کنند».
یکی دیگر از مدلهای جدید زنجیره کشتار سایبری، زنجیره کشتار یکپارچه است. این زنجیره ترکیبی از عناصر مختلف زنجیره کشتار سایبری مارتین لاکهید و فریم ورک MITRE ATT&CK محسوب میشود. زنجیره کشتار یکپارچه توسط Paul Pols بر اساس تحقیقاتی که او در زمینه مدلسازی از حملات Fancy Bear داشت، شکل گرفت.
زنجیره کشتار یکپارچه عمق بیشتری نسبت به زنجیره کشتار سنتی دارد اما بر خلاف مدل مارتین لاکهید به ترتیب اجرای گامهای مختلف نیز توجه میکند. در نتیجه بنا به گفته Mike Saxton مدیر شکار تهدید فدرال، جرم شناسی دیجیتال و واکنش به حوادث در Booz Allen Hamilton: «این روش بسیار کارآمد است چون تاکتیکها را به تکنیک و تکنیکهای اصلی را به تکنیکهای فرعی تجزیه میکند. این روش همواره در حال بازبینی، به روزرسانی و همچنین شامل فنون تشخیص و مقابلهای است که به تیمهای سایبری جهت پیشی گرفتن از مهاجمان کمک مینمایند».
اعتماد صفر و توانایی آن برای مقابله با روشهای حمله جدید
با در نظر گرفتن جنبه تطبیق، روش اعتماد صفر از جمله راهکارهای رایج و پرکاربرد برای مقابله با حملات سایبری و مخاطرات امنیتی است. بنا به گفته Salihoglu: «اعتماد صفر جزو اصطلاحات پرکاربرد امروزی بوده و تصور میشود که راه حل همه مشکلات را دربر میگیرد».
Salihoglu میگوید: «این ایده از لحاظ تئوری فوقالعاده است ولی تحقق آن در عمل چندان ساده نیست. با این حال حرکت به سمت فلسفه اعتماد صفر به شرکتها کمک میکند از ذهنیت قلعه مانند قدیمی که پایه و اساس زنجیره کشتار سایبری است، خارج شوند».
در چنین رویکردی زمانی که شخصی وارد محیط شبکه سازمانی میشود، تقریباً به کل شبکه سازمان دسترسی آزاد دارد. Salihoglu میگوید: «در حقیقت شما یک شهروند محسوب میشوید و هر آنچه بخواهید را میتوانید انجام دهید. این روش یک پوسته سخت با هستهای بسیار نرم دارد».
اعتماد صفر این ذهنیت را تغییر میدهد. به نحوی که در حال حاضر هر برنامه کاربردی و هر منبع دادهای دارای قلعه خودش است. اعتماد صفر یک راهکار دفاعی واضح در برابر حملات زنجیره کشتار بوده و باعث میشود کار مهاجمان برای نفوذ اولیه، حرکت عرضی در شبکه و دسترسی به منابع ارزشمند آن بسیار سختتر شود. Salihoglu معتقد است که این روش برای ایمنسازی شبکههای سازمانی بسیار مفید است.
استفاده از زنجیره کشتار برای نفوذ به ذهن مهاجمان
Tom Gorup معاون بخش امنیت و عملیات پشتیبانی شرکت Alert Logic میگوید: «زنجیره کشتار سنتی نباید به صورت کامل حذف شود. چنین رویکردی میتواند مزایای بسیار زیادی برای مدلسازی تهدید داشته باشد».
برای مثال فرض کنید شرکتی دادههای حساسی را در یک باکت S3 دارد. یک مهاجم چگونه میتواند اطلاعاتی را درباره این باکت کسب کند یا اینکه به آن نفوذ کرده و دادههایش را از آن استخراج نماید. بنا به گفته Tom Gorup: «با درک زنجیره کشتار میتوانید این فرایند را طی کنید. باید برای تشخیص منشأ ریسکها و نقطه ضعفهای بالقوه از مدلسازی تهدید استفاده کنید. همچنین باید زنجیره کشتار را به عنوان سناریویی برای تشخیص شیوه پیش بردن این مراحل توسط مهاجمان بکار بگیرید.
سپس با اجرای تدابیر امنیتی لازم از نفوذ و پیشروی مهاجمان پیشگیری میکنید. برای مثال فرض کنید مهاجمان با بررسی شیوه کدنویسی یک برنامه کاربردی، به اعتبارنامههای کاربری دست یابند. یک راهکار برای رفع چنین مشکلی این است که هرگز در برنامه کاربردی مدنظر از کدنویسی سخت اعتبارنامههای کاربری استفاده نشود.
Graham Myers مدیر ارشد امنیت سایبری شرکت Capgemini میگوید: «مهاجم همچنان باید مرکز فرماندهی و کنترل را تشکیل داده و اقداماتی مثل حرکت عرضی و استخراج دادهها را انجام دهد. به نظر میرسد که زنجیره کشتار سایبری قابل اعمال نیست بهویژه وقتی تعداد زیادی از حملات از طریق یک شخص ثالث صورت میگیرند ولی این زنجیره همواره یک فریم ورک معتبر برای تحلیل این تهدیدها محسوب میشود». تیمهای امنیت سایبری باید مدلهای خودشان را توسعه دهند. همچنین آنها نباید احتمال نفوذ به شرکتهای تأمین کننده یا لو رفتن کدها را در آن نادیده بگیرند.
[1] در ادغام عمودی یک سازمان فرایند تولید و همچنین کلیه کسبوکارهایی که در این فرایند نقش دارند را تحت کنترل خود میگیرد.
منبع: csoonline