به تازگی مرکز مطالعات راهبردی و بینالمللی، فهرستی از حوادث سایبری مهمی که از سال 2003 تاکنون رخ دادند را تهیه کرده است. این فهرست که شامل حملاتی بر علیه آژانسهای دولتی، شرکتهای فعال در حوزه فناوریهای پیشرفته و دفاعی، رخنههای خبرساز و حملات زنجیره تأمین یا جرایم اقتصادی با هزینههای چند میلیون دلاری است، روند کلی حملات سایبری در دو دهه اخیر را مشخص کرد.
در ادامه نگاهی به گرایشات اصلی دهه اخیر داشته و بررسی میکنیم که وقایع اخیر چه درسهایی به ما میدهند و چه پیشبینیهایی میتوانیم درباره آینده امنیت دادهها انجام دهیم؟
میزان تکرار و توزیع
در دهه 2010 میلادی، فعالیتهای حوزه امنیت سایبری از هر دو طرف (سرمایهگذاری برای امنیت سایبری و حمله از سوی مهاجمان) شدت گرفت. حملات سایبری پدیده جدیدی نیستند اما حالا فراگیر شدهاند.
پیچیدگی و خلاقیت
حملات سایبری که در گذشته رخ دادند معمولاً شامل مزاحمتهای عمده بودند. اگرچه رویکردهای قدیمی همچنان پابرجا هستند اما امروزه مهاجمان از روشهای نوین برای اجرای حملات هدفمندتر، مخربتر و متمرکز بر برانگیختن احساسات و ترس استفاده میکنند.
تنوع روشها
حملات امروزی دارای اشکال و ابعاد مختلفی هستند از جمله: بدافزار، جاسوسافزار، باجافزار، حملات مرد میانی، ترکیبی (مثل مهندسی اجتماعی)، محرومسازی از سرویس توزیع شده، فیشینگ (از جمله حملات هدفمندی مثل طراحی سناریوهای قبلی و فیشینگ هدفمند)، کریپتوجکینگ و حملات زنجیره تأمین/شخص ثالث. دقت کنید که ابزارهای مورد استفاده برای بهرهوریِ کاری هم نقاط ضعف خاص خود را دارند.
استفاده از گنجینههای اطلاعاتی برای کسب سود
حملات معمولاً پایگاههای داده عظیم شامل رکوردهای شخصی را هدف میگیرند. بسیاری از مهاجمان نیز (به ویژه مهاجمان باجافزاری) انگیزه اقتصادی دارند و به حملات سایبری به چشم یک سرمایهگذاری تجاری کارآمد و بلندمدت نگاه میکنند. با توجه به تداوم جنگ سایبری و هکتیویسم، امنیت سایبری هم برای مهاجمان و هم مدافعان یک کسبوکار است.
مقررات، قوانین و استانداردها
در حال حاضر شاهد فعالیت دولتها، اشخاص ثالث (مثل شرکتهای بیمه) و قانونگذاران صنعتی هستیم که همگی به دنبال ایفای نقش در این حوزه هستند.
تداوم مشکلات قدیمی
با وجود پیشرفت چشمگیر رویکردهای دفاعی، مشکلات قبلی همچنان پابرجا هستند از جمله: پیکربندیهای اشتباه، غفلت در نصب وصلههای امنیتی، مهندسی اجتماعی، فقدان آموزش، پروتکلهای ناقص و سایر مشکلات مشابه. بسیاری از سازمانها همچنان از اصول امنیت سایبری چشمپوشی کرده یا از آنها غفلت میکنند. چنین کسبوکارهایی به راحتی میتوانند مورد هدف و حمله مجرمان سایبری قرار بگیرند.
با توجه به اتفاقات سه تا پنج سال گذشته، دستندرکاران وادار به عمل و حتی افزایش سطح آگاهی در محیط سازمانشان شدند. با توجه به تأثیرات حوادث اخیر، توصیه میشود که تیمهای امنیتی باید راهکارهای نوینی را در راستای کاهش آسیبپذیریها و ادغام ویژگیهای امنیتی در ابزارهای توسعه و بهبود زمان واکنش پیادهسازی کنند.
چرا مهاجمان همچنان موفق هستند؟
در سالهای اخیر شاهد تغییرات عملیاتی مختلفی بودیم. برای مثال در سطح کاربردی دیدیم که تقریباً همه افراد از کامپیوتر و لپتاپ به سمت دستگاههای همراه رفته و در نتیجه اینکه چه کسی الزامات امنیتی را تعیین میکند چندان مورد توجه نیست. در سطح زیرساخت نیز بسیاری از کسبوکارها از سمت مدل درون سازمانی به سمت رایانش لبهای، اینترنت نسل پنجم و فناوری ابر حرکت کردند.
تعداد دستگاههای مستقر هم افزایش چشمگیری یافته است. ده سال پیش شاید هر کدام از افراد فقط یک کامپیوتر یا لپتاپ و یک تلفن همراه داشتیم (نه لزوماً یک گوشی هوشمند). امروزه بسیاری از کاربران دهها دستگاه متصل به اینترنت و وسیله اینترنت اشیا دارند که معمولاً از همان ابتدا با آسیبپذیریهای امنیتی فراوان به دست کاربران میرسند.
اکنون شاهد استقبال از راهکارهای اعتماد صفر هستیم اما پیادهسازیشان کار چندان راحتی نیست. در حوزه تحلیل دادهها، هوش مصنوعی و واکنش به حادثه به پیشرفتهای خوبی رسیدیم اما آیا روند پیشرفت سرمایهگذاریهای امنیتی همگام با سرمایهگذاریهای بهرهوری کسبوکارها است؟ و آیا نیازی به پر کردن این شکاف وجود ندارد؟
در واقع بهای ارتقای بهرهوری کسبوکار، افزایش سطح مخاطرات، کاهش مقاومت داده و اعتماد است و باید به زودی هزینههای آن را بپردازیم.
جلب نظر افراد مسئول نسبت به سرمایهگذاری امنیتی همچنان آسان نیست
اگرچه رویدادهای ژئوپلیتیک و اجتماعی-اقتصادی منجر به سرمایهگذاری سازمانها در حوزه امنیت شده اما بکارگیری روشهای منطقی و صحیح مثل پیادهسازی امنیت از همان مراحل اولیه و طراحی، همچنان چالش پیچیدهای است. برای تحقق این هدف باید مزایای تقویت ایمنی را از منظر تجاری مشخص کنیم.
قوانین و مقررات، انگیزهدهنده هستند. قوانین کمیسیون بورس و اوراق بهادار آمریکا، الزامات GDPR، مقررات ایالتی و الزامات تعیین شده برای زیرساختهای حیاتی، سازمانها را ملزم به سرمایهگذاری میکنند اما مشکل این رویکردها، تلههایی است که ایجاد میکنند. ممکن است طرفهای تحت تأثیر، به دنبال پیادهسازی حداقل الزامات باشند یا این فرایند را تبدیل به یک بازی بازرسی کرده و فعالیتهای امنیتی و واکنش به حادثه را به تمرینی برای رسیدن به کمترین مخرج ممکن تبدیل کنند.
بنابراین انگیزه تجاری برای امنیت اطلاعات همچنان مبهم است مگر اینکه تیم آیتی یا مدیر ارشد امنیت اطلاعات شما آشنایی نشبتاً کاملی با کسبوکار داشته و به صورت واضح اعلام کنند که چرا 10 سال گذشته جزو سالهای راحتی محسوب میشود و سختیهای اصلی را طی10 سال پیش رو خواهیم دید.
برای ایجاد انگیزه تغییر، میتوان از ابتکارات حریم خصوصی و حفاظت از محتوا در سطح فردی به عنوان یک محرک انگیزهدهنده استفاده کرد.
استفاده از لنز حریم خصوصی برای حفاظت از دادهها
خوشبختانه همه چیز در دنیای امنیت سایبری تیره و تار نیست به این شرط که برخی از رفتارها تغییر کنند. ابتدا باید قبول کنیم که انسانهای امروزی غولهای تولید داده هستند. براساس آمار و نتایج تحقیقات، انسانها تا سال 2025، 180 زتابایت داده تولید خواهند کرد. هر زتابایت معادل 1,000,000,000,000,000,000,000 بایت است.
این دادهها متعلق به چه شخص یا نهادی هستند؟ چه اشخاصی آنها را پردازش میکنند؟ چطور میتوانید این دادهها را مدیریت کنید؟ فناوری فقط یک عضو از سه گانه «افراد، فرایندها و فناوری» است و به تدریج حساسیت افراد نسبت به حریم شخصی خودشان بیشتر میشود در نتیجه ممکن است استفاده از خصوصیات بیومتریک برای انجام کارهایی مثل احراز هویت به بنبست برسد اما چاره چیست؟
پیش از هر چیز باید چرخه حیات داده را درک کرد؛ یعنی دادهها چگونه تولید و مدیریت شده و بهترین راه نابودیشان چیست؟ قطعاً عدهای ترجیح میدهند که دادهها را تا حداکثر زمان ممکن حفظ کنند اما حفظ محرمانگی، جامعیت و دسترسپذیری دادهها هم کار چالش برانگیزی است. بنابراین، دادههایی که مورد نیازتان نیستند را حذف کنید.
بعد از آن، از منظر حریم خصوصی به دادهها نگاه کنید. ابتدا باید نگرشتان را تغییر دهید و تصور کنید که دادهها متعلق به دیگران هستند نه خودتان. درک مسئولیتهای خود نسبت به دادههایی که ذخیره میکنید، یک راه کارآمد برای تغییر تحمل ریسک است. بهتر است از خودتان بپرسید که «آیا ذخیره و حفظ این دادهها ضروری است؟»
دنیای آینده، مستلزم مقاومت سایبری است
در سالهای پیش رو، شاهد طراحی و استقرار فناوریهای حفاظتی بیشتری خواهیم بود. برخی از این فناوریها مثل رمزنگاری کوانتوم میتوانند بسیار انقلابی باشند اما صرف نظر از اینکه فناوریهای آینده تا چه حد خوب هستند، وجود هر مخزن داده متمرکزی با ریسک و مسئولیت همراه است. واکنش پیشگیرانه به حوادث و پیادهسازی طرحهای تابآوری هم رو به افزایش است. امروزه سازمانها میدانند که ممکن است نیاز به طی این مسیر به تنهایی وجود دارد.
بنابراین سعی کنید با شروع سال 2023 این ریسک را از خودتان دور کرده و طرح مقاومت را در عملیات خود پیادهسازی کنید. به جای ایجاد یک هدف پرسود برای مهاجمان، سیستمها متحد کرده و ریسک را توزیع کنید. نکته آخر اینکه مسئولیتتان را برای حفاظت از دادههای دیگران نادیده نگیرید چون ممکن است یکی از همین روزها، مهاجمان تصمیم به بهرهبرداری از نقاط ضعفهای شما بگیرند که این اقدام میتواند هزینههای زیادی برای شما در پی داشته باشد.
منبع: securityintelligence
