خبرمقالات

تهدیدات ناشناخته سایبری و راهکارهای مقابله با آنها

محصولات امنیتی سنتی معمولاً بر پایه تهدیدات شناخته شده و الگوی دیجیتالی که از آنها تهیه کرده اند، عمل می‌کنند. آنها وقتی با تهدیدی برخورد کنند که در پایگاه داده اطلاعاتی‌شان با عنوان مخرب شناخته شده است، سریعاً آن را مسدود می‌نمایند. برای عبور از فیلتر محصولات امنیتی که تهدیدات شناخته شده را با موفقیت کامل مسدود می‌کنند، مهاجمان می‌بایست چیزی بسازند که تاکنون شناخته نشده و هزینه اجرای یک حمله و همچنین مقابله با آن را افزایش دهند. آنها چگونه این کار را انجام می‌دهند و برای جلوگیری از بروز تهدیدات شناخته شده و ناشناخته چه کاری از دست ما ساخته است؟

در این مطلب از فراست نگاهی به چند سناریوی تهدید و در نهایت راهکارهای مقابله با تهدیدات خواهیم داشت.

تهدیدات بازیافتی (Recycled Threats)

تهدیدات بازیافتی از جنبه اقتصادی یکی از به‌صرفه‌ترین روش‌های حمله به شمار می‌روند. به همین دلیل است که مهاجمان، تهدیدات فعلی را با استفاده از تکنیک‌های نوین، بازیافت (بازتولید) می‌کنند. آنچه منجر به ناشناخته ماندن این تهدیدات بازیافتی می‌شود در حافظه محدود محصولات امنیتی نهفته است. تمام محصولات امنیتی حافظه محدودی دارند و تیم‌های امنیتی می بایست محصولات‌شان را برای محافظت در برابر به‌روزترین تهدیدات امنیتی به صورت مداوم به‌روزرسانی، پیکربندی یا ارتقا دهند؛ به امید آنکه بتوانند عمده حملات ورودی را مسدود نمایند. اگر تهدیدی توسط سامانه امنیتی شناسایی نشود می‌تواند وارد شبکه سازمانی شده و مخاطراتی را رقم بزند.

به منظور محافظت در برابر تهدیدات بازیافتی ناشناخته، داشتن یک حافظه هوشمند برای تشخیص این تهدیدات یک امر حیاتی است. در صورتی که سامانه امنیتی تهدید خاصی را شناسایی کند اقدامات لازم را برای مقابله سریع با آن وضع خواهد کرد.

کد فعلی تغییریافته (Modified Existing Code)

راهکار کد فعلی تغییریافته، هزینه‌ بیشتری را نسبت به روش تهدیدات بازیافتی هم برای مهاجمان و هم سازمان ها در پی دارد. مهاجمان در این روش، تغییرات جزئی را در کد یک تهدید فعلی ایجاد می‌کنند. این تغییرات پس از نفوذ آن تهدید به درون شبکه، به صورت دستی یا خودکار می توانند اعمال شوند. نتیجه انجام چنین کاری ایجاد یک بدافزار چند‌ریختی است. بدافزار نیز به صورت پیوسته و خودکار به آرامی تغییر شکل می دهد. این تغییر شکل‌ها به سرعت انجام می‌شود. اگر یک محصول امنیتی، امضای دیجیتالی تهدید اصلی را در پایگاه داده تهدیدات خود داشته و قادر به تشخیص آن باشد، چنانچه تغییرات محدود و جزئی در کد آن تهدید ایجاد شود، این موضوع تهدید فعلی را به یک تهدید ناشناخته تبدیل خواهد کرد که محصول امنیتی دیگر توانایی تشخیص آن را نخواهد داشت.

بعضی از نرم‌افزارهای امنیتی، تهدیدات را بر اساس کد هش‌شان شناسایی می‌کنند. در این روش، یک رشته کاراکتری کاملاً منحصر به فرد از هر بدافزار تولید می‌شود. از آنجا که وجود دو هش یکسان، عملاً غیرممکن است بدین ترتیب مقدار هش، تنها با یک گونه از مدل های تهدید مطابقت دارد. در نتیجه نرم افزار امنیتی علاوه بر مقابله با مخاطرات قبلاً شناسایی شده قادر به تشخیص گونه های جدید تهدید نیز خواهد بود.

محصولات امنیتی به منظور محافظت بهتر در برابر تهدیدات پیشرفته سایبری نیاز به امضاهای چندریختی دارند. امضاهای چندریختی به جای استفاده از فناوری هش، بر اساس محتوا و الگو‌های ترافیکی ساخته شده و می‌توانند نسخه‌های مختلف یک تهدید شناخته شده را سریعاً شناسایی و سطح حفاظتی لازم را در برابر آن ایجاد کنند. تمرکز روی مدل رفتاری به جای ظاهر کد، شناسایی الگوها در بدافزارهای تغییریافته را امکان‌پذیر می‌سازد.

راهکارهای حفاظتی

  • تدوین و رعایت خط مشی های امنیتی

ایجاد محافظت در برابر تهدیدات جدید، نیازمند تدوین خط‌مشی‌های امنیتی مناسب و رعایت آنها از سوی همه کارکنان سازمان است. این مستندات در زمره بهترین راهکارهای کاربردی و عملی امنیت سایبری محسوب می شوند. به‌ عنوان مثال، استفاده از قطعه‌بندی قدرتمند (Leveraging Segmentation) در ID کاربر یا یک برنامه می‌تواند از انتشار تهدیدات جدید در سازمان شما جلوگیری کرده و دانلود فایل از وب‌سایت‌های ناشناخته جدید و طبقه‌بندی نشده را مسدود نماید.

  • استفاده از هوش جمعی

هیچ سازمانی به تنهایی توانایی دست‌وپنجه نرم کردن با کلیه تهدیدات جدید را ندارد. به همین خاطر توانایی سود بردن از هوش جمعی بسیار دارای اهمیت است. حملات هدفمندی که از تهدیدات ناشناخته و تاکنون دیده نشده بهره می برند می توانند با به‌ کارگیری و اشتراک اطلاعات در سطح جهان و میان متخصصان این حوزه به سرعت شناسایی شوند. هنگامی که یک تهدید جدید در سازمانی شناسایی و تجزیه و تحلیل می‌شود، اطلاعات این تهدید تازه همراه با راهکارهایی که برای محدودسازی بازه انتشار و مقابله با پیامدهای آن ارایه شده، در اختیار همگان قرار می گیرد. تبدیل تهدیدات ناشناخته به تهدیدات شناخته شده و پیشگیری از وقوع آنها، در یک محیط ترکیبی از موفقیت بیشتری برخوردار خواهد بود؛ این موضوع به معنای آن است که اول باید ضمن شناسایی تهدید، اهداف احتمالی بعدی آن را پیش‌بینی کرده و سپس سریعاً یک راهکار محافظتی را به منظور متوقف ساختن حمله در نقطه اولیه اجرا کرد.

  • محافظت خودکار

زمانی که با یک تهدید کاملاً جدید در سازمان خود مواجه می شوید خط مقدم دفاعی شما باید بتواند به سرعت با آن مقابله کرده و از شدت پیامدهای آن تا حد امکان بکاهد. همچنین باید فایل‌ها و نشانی های الکترونیکی (URLهای) ناشناخته را برای انجام تحلیل های بعدی شناسایی کنید. همچنین می بایست متناسب با تهدید شناخته شده، به سرعت تغییرات لازم را ایجاد کرده تا بتوانید از پیش‌روی تهدید جلوگیری نمایید. برای ایجاد اطمینان از اینکه تهدید کاملاً برطرف شده و مجدداً مشکلاتی را برای شما ایجاد نخواهد کرد باید اقدامات پیشگیرانه را به صورت خودکار بر روی کلیه سامانه های امنیتی تان انجام دهید.

 

نتیجه‌گیری

در یک نظرسنجی انجام شده توسط مؤسسه SANS بیان شده که ۴۰ درصد از حملات، عناصری دارند که تاکنون ناشناخته بوده‌اند. توانایی شناسایی تهدیدات ناشناخته و جلوگیری از وقوع حملات، درجه اثرگذاری و کارایی سیستم امنیتی شما را نشان می‌دهد. یک سامانه دفاعی امنیتی کارا، بسیار چابک و باهوش بوده و به سرعت تهدیدات ناشناخته را به تهدیدات شناخته شده تبدیل نموده و سطح حفاظتی لازم را ایجاد می‌کند.

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

چهار × 5 =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.