هفت چالش امنیتی سال 2020
هفت چالش امنیتی سال 2020
اگر تصور میکنید ۲۰۱۹، سال اوج گرفتن حملات امنیتی، فیشینگ و بدافزارها بود، بهتر است کمی صبر کنید تا سال 2020 را ببینید. انجمن امنیتی اطلاعات (ISF) سرنام (Information Security Forum) سازمانی بینالمللی است که بیش از ده هزار کارشناس برجسته امنیتی عضو آن هستند.
این سازمان در همایش اخیر خود اعلام کرد با آغاز سال 2020 میلادی شاهد شکلگیری روند جدیدی از چالشهای امنیتی هستیم که هر یک به تنهایی میتوانند یک سازمان بزرگ را به ورطه نابودی بکشند. کارشناسان امنیتی پیشبینی میکنند بزرگترین تهدیدی که سال آینده دنیای فناوری را با مشکل جدی روبرو میکند کلاهبرداری فیشینگ است که با هدف سرقت اطلاعات شخصی و مالی انجام میشوند.
در سال ۲۰۲۰، سازمانها نیازمند بازنگری در زیرساختهای امنیتی خود هستند، زیرا حملات شکل خطرناکتر و پیچیدهتری خواهند داشت. دنیای فناوریاطلاعات از جانب انواع مختلفی از حملات تهدید میشود، اما هفت بردار زیر ظرفیت بالایی برای آسیب رساندن به شرکتها و کاربران عادی را دارند:
کلاهبرداریهای فیشینگ/مهندسی اجتماعی که هدفشان تنها حسابهای بانکی نیست.
تکامل مستمر حملات هکری در قالب سرویس یا به عبارت دقیقتر پیادهسازی حملات هکری در ازای دریافت پول (crime-as-a-service)
تهدیدات مدیریت نشده حوزه اینترنت اشیا (unmanaged IoT risk).
پیچیدهتر شدن مقررات (complexity of regulation)
زنجیره تامین (supply chain)
برهم خوردن توازن میان انتظارات و توان امنیتی سازمانها (mismatch between Board expectation and Security capability)
باجافزارهای سفارشی و کیتهای آماده استفاده
اولین تهدید، حملات فیشینگ / مهندسی اجتماعی
در سال 2019 میلادی، سازمانها، شرکتهای خصوصی و نهادهای دولتی در کشورهای مختلف قربانی کلاهبرداری فیشینگ شدند. موسسه Small Business Trends گزارش کرد در سال 2019 نسبت ایمیلهای فیشینگ به ایمیلهای عادی 1 به 99 بوده و در برخی موارد نیمی از ایمیلهای ارسال شده برای کارمندی در یک سازمان بزرگ در یک هفته کاری (تقریبا 4.8 ایمیل) ایمیل فیشینگ بودهاند.
حال تصور کنید چه تعداد ایمیل در یک روز در سراسر جهان ارسال میشوند. سایتInc.com تخمین زده که روزانه بیش از 269 میلیارد ایمیل در سراسر جهان ارسال میشود که نزدیک به یک سوم یا به عبارت دقیقتر 30% از آنها ایمیلهای فیشینگ هستند. حملات فیشینگ نوعی حمله مهندسی اجتماعی هستند که حملهکننده یک ایمیل، متن یا وبسایت تقلبی ایجاد میکند تا قربانی را با اطلاعات حساس جعلی فریب دهد.
این اطلاعات میتوانند مشخصات کارتهای اعتباری، گذرواژههایی که برای ورود به حسابهای کاربری استفاده میشوند، جزییات اظهارنامههای مالی و سایر اطلاعات به ظاهر واقعی و حساس باشند. در میان تمامی تهدیدهای موجود در دنیای سایبری، کلاهبرداری فیشینگ جزء خطرناکترین حملات است، زیرا تنها یک لغزش کوتاه از سوی کارمند یک سازمان کافی است تا راه ورود هکرها و بدافزارها به یک سازمان هموار شود.
در نمونههای جدیتر هکرها ایمیلهای فیشینگ را برای کارمندان رده بالای یک سازمان ارسال میکنند و سعی میکنند آنها را فریب دهند تا مجوزهای حساس را به دست آورند. مجوزهایی که ممکن است برای خراب کردن زیرساختهای یک کسبوکار یا خراب کردن اطلاعات پایگاههای داده استفاده شوند.
به دلیل اینکه کلاهبردارهای فیشینگ هزینه چندانی ندارند، کارآمد هستند، به سادگی اجرا میشوند و در صورت موفقیت سود کلانی عاید هکرها میکنند انتظار میرود در سال 2020 شاهد شدت گرفتن این حملات باشیم.
دومین تهدید، حوزه اینترنت اشیا
سازمانها به شکل فزایندهای در حال استفاده از دستگاههای اینترنت اشیا هستند، اما اکثر تجهیزات غیر ایمن هستند. تجهیزات اینترنت اشیا از دو ناحیه مهم با تهدید جدی امنیتی روبرو هستند.
اولین تهدید از جانب دستگاههای هوشمند خانگی است. بدون اغراق باید بگوییم که برخی از تولیدکنندگان فعال در زمینه ساخت تجهیزات اینترنت اشیا خانگی توجه چندانی به مبحث امنیت ندارند. دستگاههایی که امکان تغییر گذرواژه پیشفرض روی تعدادی از آنها وجود ندارد و مصرفکنندگان بدون توجه به این موضوع از آنها استفاده میکنند.
بهطور مثال، دوربینهای مداربستهای که ویژه نظارت بر کودکان طراحی شده را تصور کنید که ممکن است از سوی مجرمان سایبری هک شود. دومین تهدید در ارتباط با زیرساختهای حیاتی است که دستگاههای اینترنت اشیا بر مبنای آنها کار میکنند، اما فاقد شفافیت لازم هستند. امروزه بسیاری از کارخانهها و صنایع از دستگاهها و مولفههای توکار (Embeded) استفاده میکنند که فاقد امنیت کافی هستند. بیشتر تولیدکنندگان، محصولات را بر اساس اطلاعات خاص خود طراحی میکند که همین مسئله باعث شده تا سطح آگاهی شرکتها در ارتباط با رخنههای امنیتی کاهش پیدا کند.
موسسه FireEye در گزارش سالانه خود چالشهای امنیتی پیش روی اینترنت اشیا را اینگونه توصیف کرد: «Reaper جدیدترین باتنت حوزه اینترنت اشیا، بدافزاری مخرب است که میتواند آسیبپذیریهای دستگاههای اینترنت اشیا را شناسایی کند و از آنها برای پیادهسازی انواع مختلفی از حملات هکری بهرهبرداری کند. در چنین شرایطی میلیونها دستگاه اینترنت اشیا برای انجام یک حمله بزرگ در مقیاس کلان همچون حمله منع سرویس انکار شده (DDoS) که باعث اختلال در عملکرد وبسایتها، بازیهای آنلاین و خدمات اینترنت میشوند به کار گرفته میشوند.
یک بردار حمله اینترنت اشیا نوع خاصی از حملات سایبری است که از دستگاههای هوشمند متصل به اینترنت همچون بلندگوهای وایفای، دستیاران صوتی، ساعتهای هوشمند و هر نوع وسیله هوشمندی که قابلیت اتصال به اینترنت را دارد استفاده میکند تا ضربه مهلکی به یک شبکه وارد کند.» عدم شفافیت در اکوسیستم اینترنت اشیا به سرعت در حال فراگیر شدن است. مشکل دیگری که پیرامون تجهیزات اینترنت اشیا قرار دارد نشتی اطلاعات است.
هنوز قانون جامع و کاملی تصویب نشده تا تولیدکنندگان را مقید کند بر مبنای الگوی خاصی اقدام به جمعآوری اطلاعاتی کنند که توسط حسگرها جمعآوری میشود. به همین دلیل هر تولیدکنندهای ممکن است بر مبنای دیدگاه خاص خود اقدام به جمعآوری اطلاعات از مشتریانش کند.
چنین اقدامی یک شکاف امنیتی در زیرساختهای یک شبکه به وجود میآورد. تهدید مهم دیگری که باید به آن رسیدگی شود در ارتباط با سامانههای کنترل صنعتی است که ممکن است باعث مرگ کارگران یا نقص عضو آنها شود. چگونه میتوانیم به شکلی ایمن از دستگاههای کنترل صنعتی اینترنت اشیا استفاده کنیم در حالی که به درستی نمیدانیم این دستگاهها چگونه کار میکنند؟ از دید تولیدکنندگان تنها دانستن این موضوع که الگوی مصرف شما چگونه است برای ساخت دستگاهها کافی است، در حالی که ممکن است با دستگاهی کار کنید که در زمان اتصال به اینترنت و زمانی که کارخانه تعطیل است ناگهان شروع به کار کند.
سومین تهدید، اعمال مجرمانه در قالب سرویس
سال گذشته، انجمن امنیتی اطلاعات (ISF) پیشبینی کرده بود اعمال مجرمانه در قالب سرویس (CaaS) سرنام Crimeware-as-a-Service فراگیر میشوند و سندیکاهای جنایتکاران بر مبنای سلسله مراتبی پیچیده با یکدیگر مشارکت و همکاری خواهند کرد، مشابه کاری که سازمانهای بزرگ بخش خصوصی انجام میدهند. این انجمن در سال جاری گفت: «پیشبینی سال گذشته در سال 2018 به واقعیت تبدیل شد. در سال 2018 شاهد افزایش چشمگیر جرایم اینترنتی بودیم.
رویکردی که در آن هکرها از مشتریان خود مبلغی دریافت میکردند تا کاری همچون یک حمله هکری انجام دهند. پیشبینی میکنیم روند یاد شده در سال 2020 ادامه پیدا کند و شاهد ظهور سازمانهای مجرمانه بیشتری باشیم. سازمانهایی که حیطه کاری آنها در مقیاس جهانی است.
الگوی CaaS در سال 2020 چه تفاوتی با سال 2019 خواهد داشت؟ در سال 2019 هکرهای نیمهحرفهای و آماتور بدون دانش فنی زیاد ابزارها و سرویسهای موردنیاز برای پیادهسازی حملات را خریداری میکردند. هکرهای نیمهحرفهای و آماتور نمیتوانند بدون تهیه ابزارهای هکری هیچ حملهای را پیادهسازی کنند، اما هکرها از رویکردهای سنتی خود که تنها هدف قرار دادن سازمانهای بزرگ است به تدریج دور میشوند و به سراغ سرقت مالکیت معنوی و بانکهای بزرگ میروند. اکنون بدافزارهای استخراجکننده رمزارزها یکی از محبوبترین گونههای بدافزاری هستند.
چهارمین تهدید، زنجیره تامین
چند سالی است ISF درباره آسیبپذیری زنجیره تامین هشدار میدهد و اعلام میدارد حجم بالایی از اطلاعات ارزشمند و حساس با تامینکنندگان بهاشتراک قرار میگیرد. زمانیکه این اطلاعات بهاشتراک قرار میگیرد، نظارت و کنترل مستقیم روی اطلاعات از میان میرود و خطر فاش شدن اطلاعات مربوط به اعتبارنامهها زیاد میشود و در نهایت یکپارچگی و محرمانگی اطلاعات از میان خواهد رفت.
مهم نیست حوزه کاری شما چیست، تمامی کسبوکارهای کوچک و بزرگ زنجیره تامینی در کسبوکار خود دارند. چالش بزرگی که پیشرو داریم این است که چگونه باید متوجه شویم اطلاعات ما در چرخه تولید یک محصول به چه مکانهایی انتقال پیدا میکند و چگونه میتوانیم یکپارچگی اطلاعات را حفظ کنیم؟ برای حل این مشکل باید آسیبپذیرترین نقاط زنجیره تامین را به شکل پیوسته بررسی کنیم تا بتوانیم مشکل نشتی اطلاعات را شناسایی کنیم، سازمانها باید به شکل جدی به مبحث مدیریت ریسک اطلاعات در زنجیره تامین دقت کنند.
پنجمین تهدید، پیچیدگی بیش از اندازه مقررات
هیچ چیز بدتر از آن نیست که نظارت مستمر با پیچیدگی زیاد همراه باشد. در شرایطی که پیچیدگیها با هدف بهبود امنیت به وجود میآیند، اما پیچیدگی بیش از اندازه باعث میشود تمرکز کارشناسان بر منابع اطلاعاتی کمتر شود و در عمل نتوانند در شرایط بحرانی تصمیمات درستی اتخاذ کنند.
بهطور مثال، مقررات حفاظت از اطلاعات عمومی (GDPR) سرنام General Data Protection Regulation با هدف محافظت از اطلاعات عمومی کاربران به تصویب رسید. قانون فوق لایه پیچیده دیگری به بخش مدیریت بحران داراییهای سازمانی اضافه کرد که به اعتقاد کارشناسان امنیتی به جای آنکه کمک کننده باشد تنها همه چیز را پیچیدهتر میکند. این مشکل تنها در ارتباط با انطباق نیست. قانون یاد شده به کاربران کمک میکند در هر زمان و مکانی بتوانند وضعیت دادههای شخصی خود را بررسی کنند و مدیریت دقیقتری بر اطلاعات شخصی اعمال کنند، اما در عمل شاهد هستیم که برخی از سهامداران سازمانها هنوز به درستی نمیدانند کارکرد دقیق این قانون چیست.
هرچه مقررات پیچیدهتری تصویب شوند فرآیند نظارت سختتر میشود و کار دستگاههای قضایی در این زمینه دشوارتر میشود. این قوانین به ویژه در ارتباط با شرکتهای بینالمللی و فراملیتی که حوزه کاری آنها در مقیاس جهانی است باعث میشود مسئولیت بیشتری متوجه آنها شود.
ششمین تهدید، عدم توازن میان انتظارات مدیران و سطح توانایی دپارتمانهای امنیتی
در حالی که مدیران دپارتمانهای امنیت و فناوریاطلاعات در ارتباط با بحث امنیت نگران هستند و هر زمان حملهای رخ دهد نگاهها به سمت آنها نشانه میرود، با این حال، مدیران امنیتی در برخی از شرکتها به درستی نمیدانند تیم امنیتی تحت سرپرستی آنها دقیقا باید چه کاری انجام دهد یا بدتر آنکه تیم قادر به انجام چه کارهایی است.
اغلب شرکتها درباره امنیت زنجیره تامین اطلاع کافی ندارند و همین موضوع باعث شده تا کسبوکارهای مرتبط با اینترنت به راحتی تهدید شوند. متاسفانه هکرها در این زمینه یک گام جلوتر هستند و به خوبی میدانند زمانی که آلودگی در سطح زنجیره تامین به وجود آید فرآیند شناسایی مبدا آلودگی مشکل است و این شرکت اصلی است که مقصر شناخته میشود.
بهترین راهکار برای حل مشکل فوق این است که کارگروه امنیتی به جای آنکه در قالب یک مجموعه مجزا کار کند به شکل ادغام شده و یکپارچه با دیگر واحدها کار کند.
به عبارت دقیقتر، طراحی چارت سازمانی باید به گونهای باشد که عملا موجودیتی به نام گروههای امنیتی وجود نداشته باشد و امنیت در همه لایههای سازمانی گنجانده شده باشد و دپارتمان امنیتی بر عملکرد این کارگروها نظارت کند. به اعتقاد کارشناسان امنیتی عدم شناخت این عوامل باعث میشود سال آینده میلادی شاهد روند روبهرشد نفوذها باشیم، بهطوریکه دورنمای امنیت به جای آنکه بهتر شود متاسفانه بدتر خواهد شد.
هفتمین تهدید، باجافزارها
حملات باجافزاری سال گذشته میلادی روند کاهشی داشته و دستکم کاربران خانگی کمتر در معرض این حملات قرار گرفتهاند. سایت ITPro میگوید: «میزان کشف حملات باجافزاری در مشاغل مختلف از رقم 2.8 میلیون در سه ماهه اول سال 2018 به رقم 9.5 میلیون در سه ماهه اول سال 2019 افزایش یافته که تقریبا یک رشد 34٪ در تشخیص این حملات را نشان میدهد.
به بیان دیگر مکانیزمهای دفاعی شرکتها به خوبی توانستند این حملات را شناسایی کنند و مانع پیادهسازی موفقیتآمیز آنها شوند.» یکی از دلایلی که باعث شده تا مشاغل بیشتر از شهروندان عادی هدف هکرها قرار گیرند، انگیزه مالی است. سازمانها در مواجه شدن با یک حمله باجافزاری دلایل بیشتری دارند تا باج مربوطه را پرداخت کنند.
دلیل دیگری که سایت ITPro به آن اشاره میکند، سقوط قیمت بیتکوین است که باعث شده حملات معدنکاوی با هدف استخراج رمزارزها شدت پیدا کند، زیرا این حملات سود بیشتری عاید افراد میکنند و دردسر کمتری دارند.
به همین دلیل مجرمان روی بردارهای مختلفی از این حملات متمرکز میشوند. با این حال، هکرها در سال 2020 سعی میکنند تغییراتی در حملات باجافزاری به وجود آورند تا یکبار دیگر حملات باجافزاری به یک منبع پرسود تبدیل شوند.