در بخش اول مقاله ضمن معرفی عوامل تهدید، انواع و ویژگی های آنها نیز توضیح داده شد. در بخش دوم مقاله به مفاهیم و سایر موارد مرتبط پرداخته می شود. برخی از مفاهیم امنیت سایبری که نیاز است به آنها آگاه باشید عبارتند از:
بدافزار یا Malware
بدافزار (Malware) نوعی نرم افزار مخرب می باشد که برای آسیب زدن یا غیرفعال کردن کامپیوترها طراحی شده است. از بدافزار میتوان برای سرقت اطلاعات، کنترل سیستمها یا حمله به سایر رایانهها استفاده نمود. انواع مختلفی از بدافزار مانند ویروسها، کرمها، اسبهای Trojan و باجافزار وجود دارد. بدافزار میتواند از طریق پیوستهای ایمیل، وبسایتهای آلوده یا نرمافزارهای آسیبپذیر منتشر شود.
حمله DOS
DoS نوعی حمله سایبری است که سعی میکند یک سیستم یا شبکه را برای کاربران غیرقابل دسترس نماید. این حملات، وبسایتها یا سرویسهای آنلاین را هدف قرار داده و میتوانند کل سیستمها را از کار بیندازند.
حملات DoS معمولاً سیستم یا شبکه هدف را با ترافیک و درخواستهای زیاد اصطلاحا بمباران می کند تا جایی که هدف موردنظر دیگر نتواند بار را تحمل نماید و از دسترس خارج شود. همچنین میتوان از حمله DOS جهت غیرفعالسازی سیستمها و شبکهها از طریق خراب کردن دادهها، سوءاستفاده از آسیبپذیریها یا لود بیش از حد (overloading) منابع استفاده نمود.
باجافزار (Ransomware)
باجافزار نوعی بدافزار است که فایلها را رمزگذاری یا سیستمها را قفل میکند و دسترسی کاربران به آنها را غیرممکن میسازد. این بدافزار میتواند از طریق پیوستهای ایمیل، وبسایتهای آلوده یا نرمافزارهای آسیبپذیر منتشر شود. باجافزار با انسداد دسترسی یا رمزنگاری اطلاعات، از قربانیان برای برگشت اطلاعات درخواست باج می کند.
این تصور که باجافزار اطلاعات سرقتشده را صرفا رمزگذاری میکند، صحیح نیست. مجرمین سایبری حالا به جای اینکه وقت خود را صرف رمزنگاری اطلاعات نمایند، مستقیما آنها را به سرقت میبرند. به نظر میرسد که رمزنگاری تمام اطلاعات قربانی، برای بسیاری از مجرمین سایبری زمانبر است و احتمال تشخیص حمله توسط کاربر را افزایش می دهد.
دانلود مخفیانه و بدون اجازه (Drive-by Download)
دانلود Drive-by نوعی حمله سایبری است که در آن، بدون اطلاع و اجازه کاربر، بدافزار به سیستم او وارد میشود. این اتفاق معمولا زمانی رخ میدهد که کاربر از یک وبسایت آلوده بازدید کند یا روی لینکی مخرب کلیک نماید. از طریق دانلود Drive-by، میتوان انواع بدافزارها از جمله ویروسها، تروجانها و باجافزار را روی سیستم قربانی نصب کرد.
نمونههایی از عوامل تهدید
همانطور که گفته شد عوامل تهدید انواع مختلفی دارند. عده ای از آنها به صورت تکنفره و پنهانی عمل میکنند، در حالی که برخی دیگر عضو گروههای بزرگتر و سازمانیافته هستند.
با بررسی نمونه حملات سایبری که اخیرا رخ داده است، سازمانها میتوانند درک بهتری از عوامل تهدید و حملات احتمالی داشته باشند. این بررسی به سازمانها کمک میکند تا برای مقابله با چنین حملاتی در آینده، آمادگی بیشتری کسب نمایند.
8220 Gang
گروهی از مجرمان سایبری با نام "8220 Gang" هستند که زیرساختهای ابری شرکتهای بزرگی مثل آمازون (AWS)، مایکروسافت (Azure)، گوگل (Google Cloud) و Aliyun را هدف قرار میدهند. آنها با نفوذ به این زیرساختها، نرمافزارهای مخرب استخراج ارز دیجیتال (ماینر) را روی سیستمهای قربانیان نصب میکنند تا از منابع آنها برای سودجویی شخصی استفاده نمایند.
این گروه چندین سال است که در این زمینه فعالیت می کند. در اواسط سال ۲۰۲۱ با راهاندازی کمپینهای جدید و استفاده از زیرساختهای دائمی، تعداد دستگاههای آلوده تحت کنترل آنها به شدت افزایش یافت. این رقم که در گذشته حدود ۲۰۰۰ دستگاه بود، حالا به بیش از ۳۰,۰۰۰ دستگاه رسیده است.
همانطور که مثال "8220 Gang" نشان میدهد، عوامل تهدید اغلب با تکامل تدریجی و فعالیتهای پنهانی، کمپینهای خود را به اندازهای گسترش می دهند که برچیدن آنها در آینده بسیار دشوار شود.
باجافزار REvil
تصویر(2)
باجافزار REvil با سوءاستفاده از یک حفره امنیتی ناشناخته (حمله روز صفر) در نرمافزار مدیریت از راه دور شرکت کاسیا (Kaseya VSA) که توسط شرکتهای زیادی در زمینه تامین امنیت (MSSP) و مدیریت فناوری اطلاعات (IT) استفاده میشود، به هزاران سیستم نفوذ کرد. این حمله وسیع که یکی از بزرگترین حملات باجافزاری تاریخ است، با پیشنهادی عجیب همراه بود. هکرها در ازای ارائه یک ابزار رمزگشایی که میتوانست تمام فایلهای رمزگذاریشده را برای همه قربانیان بازگرداند، مبلغ هنگفتی معادل ۵۰ میلیون دلار (در ابتدا ۷۰ میلیون دلار درخواست شده بود) را طلب کردند.
حمله سایبری REvil نکات مهمی را آشکار و گوشزد کرد:
1- سودآوری بالای حملات سایبری برای مجرمین
2- لزوم بهکارگیری ابزارهای EDR برای سازمانها
همچنین این حمله نشان داد که اتکا به روشهای امنیتی سنتی دیگر کافی نیست و سازمانها باید برای ارتقای سطح امنیت سایبری خود و مقابله با تهدیدات نوظهور، از ابزارها و راهکارهای پیشرفته استفاده کنند.
Aoqin Dragon
Aoqin Dragon یک گروه هکر چینی است که از سال 2013 به طور فعال در جاسوسی سایبری علیه سازمانهای دولتی، آموزشی و مخابراتی در جنوب شرقی آسیا و استرالیا فعالیت میکند. آنها از روشهای فریبنده مانند اسناد آلوده و درایوهای USB جعلی برای نفوذ به سیستمها و سرقت اطلاعات استفاده می نمایند. Aoqin Dragon به دلیل مهارت و پنهانکاری خود شناخته شده است و برای سالها بدون جلب توجه فعالیت میکرد.
Moshen Dragon
Moshen Dragon، یک گروه هکر چینی است که از سال 2017 در زمینه جاسوسی سایبری فعالیت میکند. آنها عمدتاً به دنبال اطلاعات از شرکتهای مخابراتی در آسیای مرکزی هستند. این گروه از روشهای مختلفی برای حمله به سیستمها، از جمله نصب بدافزار، سرقت اطلاعات ورود و جاسوسی از ترافیک شبکه استفاده میکنند.
Moshen Dragon به دلیل مهارت و توانایی خود در انطباق با روشهای امنیتی، شناخته شده است. آنها از ابزارها و تکنیکهای مختلفی برای دور زدن موانع امنیتی و دسترسی به اطلاعات مورد نظر خود استفاده میکنند. در حال حاضر، Moshen Dragon یکی از فعالترین گروههای هکری در آسیای مرکزی است و برای شرکتهای مخابراتی در این منطقه یک تهدید جدی محسوب میشود.
نحوه جلوگیری و متوقف سازی حملات سایبری
بهترین توصیه برای متخصصان امنیت این است که همیشه فرض کنند عوامل تهدید در شبکه آنها حضور دارند. برای جلوگیری از نفوذ عوامل تهدید، داشتن یک راهکار امنیتی جامع، بسیار مهم است. برخی از راهکار ها عبارتند از:
Endpoint Detection and Response یا EDR
EDR یک راه حل امنیتی است که روی endpoint های شبکه، مانند لپ تاپ ها، دسکتاپ ها و سرورها نصب می شود. این راه حل، فعالیت های مشکوک را در endpoint رصد می کند و در صورت مشاهده هرگونه رفتار غیرعادی، می تواند به طور خودکار اقدام به قرنطینه یا انسداد آن نماید. EDR به سازمان ها کمک می کند تا حملات سایبری را به سرعت شناسایی و به آنها پاسخ دهند، قبل از اینکه آسیب قابل توجهی به داده ها یا سیستم ها وارد شود.
تصویر(3)
Zero Trust Security
مدل امنیتی Zero Trust Security بر این اساس عمل می کند که هیچ کاربر یا دستگاهی به طور پیش فرض قابل اعتماد نیست. در این مدل، همه افراد و دستگاه ها باید قبل از دسترسی به منابع شبکه، احراز هویت شوند. این امر موجب کاهش احتمال نفوذ به شبکه توسط عوامل تهدید می شود زیرا آنها نمی توانند صرفا با استفاده از نام کاربری و رمز عبور سرقت شده، به شبکه دسترسی پیدا کنند.
احراز هویت چند عاملی (Multi-Factor Authentication)
احراز هویت چند عاملی (MFA) یک لایه امنیتی اضافی برای فرآیند ورود به سیستم اضافه می کند. علاوه بر نام کاربری و رمز عبور، کاربران باید اطلاعات دیگری مانند کد تأیید ارسال شده به تلفن همراه یا اثر انگشت خود را نیز ارائه دهند. این ویژگی کار هکرها را دشوارتر می کند زیرا حتی اگر نام کاربری و رمز عبور کاربر را به دست آورند، نمی توانند به حساب کاربری دسترسی پیدا کنند.
دفاع در برابر تهدیدات پیشرفته مداوم (APTs)
تهدیدات پیشرفته مداوم (APTs) حملات سایبری پیچیده ای هستند که توسط گروه های هکری حرفه ای انجام می شوند. این گروه ها اغلب ماه ها یا حتی سال ها برای نفوذ به یک شبکه زمان صرف کرده و از روش های پیشرفته ای جهت پنهان کردن فعالیت خود استفاده می کنند. دفاع در برابر APTs دشوار است اما سازمان ها می توانند با ترکیبی از راه حل های امنیتی، مانند EDR، Zero Trust Security و MFA از سیستم و شبکه خود محافظت نمایند.
نتیجهگیری
عوامل تهدید، افراد یا گروههایی هستند که با انگیزههای مختلفی مانند سود مالی، سرقت داده یا ایجاد اختلال، به سیستمهای رایانهای آسیب میرسانند. انواع مختلفی از عوامل تهدید از جمله Cybercriminals، Nation-States، هکرها، هکتیویستها و.. وجود دارد. برای محافظت از سیستم و شبکه در برابر این تهدیدهای سایبری، انجام اقداماتی مانند استفاده از رمزهای عبور قوی، بروزرسانی نرمافزار، استفاده از برنامه های امنیتی، آگاهی از تهدیدات سایبری و سایر راهکار هایی که در مقاله ذکر شد، ضروری می باشد.