چالش های امنیتی سال 2020؛ بدافزارها، باج افزارها و بات نت ها در کمین مشاغل

انجمن امنیتی اطلاعات (Information Security Forum) سازمانی بین‌المللی است که بیش از ده هزار کارشناس برجسته امنیتی عضو آن هستند. این سازمان در همایش اخیر خود اعلام کرد با آغاز سال 2020 میلادی شاهد شکل‌گیری روند جدیدی از چالش‌های امنیتی هستیم که هر یک به تنها‌یی می‌توانند امنیت یک سازمان بزرگ را به نابودی بکشند.

کارشناسان امنیتی پیش‌بینی می‌کنند بزرگ‌ترین تهدیدی که سال 2020 دنیای فناوری را با مشکل جدی روبرو می‌کند کلاه‌برداری فیشینگ است که با هدف سرقت اطلاعات شخصی و مالی انجام می‌شوند.
بنابراین سازمان ها در سال ۲۰۲۰، بایستی زیرساخت‌های امنیتی خود را بازنگری کرده و تمامی تجهیزات مورد نیاز خود را جهت افزایش امنیت بروزرسانی و در صورت لزوم خریداری کنند، زیرا حملات شکل خطرناک‌تر و پیچیده‌تری خواهند داشت.

دنیای فناوری‌اطلاعات از جانب انواع مختلفی از حملات تهدید می‌شود، اما هفت مورد زیر ظرفیت بالایی برای آسیب رساندن به شرکت‌ها و کاربران عادی را دارند:

 
• کلاه‌برداری‌های فیشینگ/مهندسی اجتماعی که هدفشان تنها حساب‌های بانکی نیست.
• تکامل مستمر حملات هکری در قالب سرویس یا به عبارت دقیق‌تر پیاده‌سازی حملات هکری در ازای دریافت پول (crime-as-a-service)
• تهدیدات مدیریت نشده حوزه اینترنت اشیا (unmanaged IoT risk)
• پیچیده‌تر شدن مقررات (complexity of regulation)
• زنجیره تامین (supply chain)
• برهم خوردن توازن میان انتظارات و توان امنیتی سازمان‌ها (mismatch between Board expectation and Security capability)
• باج‌افزارهای سفارشی و کیت‌های آماده استفاده

1- حملات فیشینگ / مهندسی اجتماعی

در سال 2019 میلادی، سازمان‌ها، شرکت‌های خصوصی و نهادهای دولتی در کشورهای مختلف قربانی کلاه‌برداری فیشینگ شدند. موسسه Small Business Trends گزارش کرد در سال 2019 نسبت ایمیل‌های فیشینگ به ایمیل‌های عادی 1 به 99 بوده و در برخی موارد نیمی از ایمیل‌های ارسال شده برای کارمندی در یک سازمان بزرگ در یک هفته کاری (تقریبا 4.8 ایمیل) ایمیل فیشینگ بوده‌اند.

سایتInc.com تخمین زده که روزانه بیش از 269 میلیارد ایمیل در سراسر جهان ارسال می‌شود که نزدیک به یک سوم یا به عبارت دقیق‌تر 30% از آن‌ها ایمیل‌های فیشینگ هستند، حملات فیشینگ نوعی حمله مهندسی اجتماعی هستند که حمله‌کننده یک ایمیل، متن یا وب‌سایت تقلبی ایجاد می‌کند تا قربانی را با اطلاعات حساس جعلی فریب دهد. این اطلاعات می‌توانند مشخصات کارت‌های اعتباری، گذرواژه‌هایی که برای ورود به حساب‌های کاربری استفاده می‌شوند، جزییات اظهارنامه‌های مالی و سایر اطلاعات به ظاهر واقعی و حساس باشند.

در میان تمامی تهدیدهای موجود در دنیای سایبری، کلاه‌برداری‌ فیشینگ جزء خطرناک‌ترین حملات است، زیرا تنها یک لغزش کوتاه از سوی کارمند یک سازمان کافی است تا راه ورود هکرها و بدافزارها به یک سازمان هموار شود. از آنجا که کلاه‌بردارهای فیشینگ هزینه چندانی ندارند، کارآمد هستند، به سادگی اجرا می‌شوند و در صورت موفقیت سود کلانی عاید هکرها می‌کنند، انتظار می‌رود در سال 2020 شاهد شدت گرفتن این حملات باشیم.

2- تهدید در حوزه امنیت اینترنت اشیا

سازمان‌ها به شکل فزاینده‌ای در حال استفاده از دستگاه‌های اینترنت اشیا هستند، اما اکثر تجهیزات غیر ایمن هستند. تجهیزات اینترنت اشیا از دو ناحیه مهم با تهدید جدی امنیتی روبرو هستند. اولین تهدید از جانب دستگاه‌های هوشمند خانگی است چون تولیدکنندگان در این زمینه توجه چندانی به مبحث امنیت ندارند.

به‌طور مثال، دوربین‌های مداربسته‌ای که ویژه نظارت بر کودکان طراحی شده را تصور کنید که ممکن است از سوی مجرمان سایبری هک شود. دومین تهدید در ارتباط با زیرساخت‌های حیاتی است که دستگاه‌های اینترنت اشیا بر مبنای آن‌ها کار می‌کنند، اما فاقد شفافیت لازم هستند.

امروزه بسیاری از کارخانه‌ها و صنایع از دستگاه‌ها و مولفه‌های توکار (Embeded) استفاده می‌کنند که فاقد امنیت کافی هستند. بیشتر تولیدکنندگان، محصولات را بر اساس اطلاعات خاص خود طراحی می‌کند که همین مسئله باعث شده تا سطح آگاهی شرکت‌ها در ارتباط با رخنه‌های امنیتی کاهش پیدا کند.

گزارش موسسه FireEye در مورد چالش امنیتی اینترنت اشیا

موسسه FireEye در گزارش سالانه خود چالش‌های امنیتی پیش ‌روی اینترنت اشیا را این‌گونه توصیف کرد: جدیدترین بات‌نت حوزه اینترنت اشیا، بدافزاری مخرب است که می‌تواند آسیب‌پذیری‌های دستگاه‌های اینترنت اشیا را شناسایی کند و از آن‌ها برای پیاده‌سازی انواع مختلفی از حملات هکری بهره‌برداری کند.

در چنین شرایطی میلیون‌ها دستگاه اینترنت اشیا برای انجام یک حمله بزرگ در مقیاس کلان همچون حمله منع سرویس انکار شده (DDoS) که باعث اختلال در عملکرد وب‌سایت‌ها، بازی‌های آنلاین و خدمات اینترنت می‌شوند به کار گرفته می‌شوند. عدم شفافیت در اکوسیستم اینترنت اشیا به سرعت در حال فرا‌گیر شدن است.

مشکل دیگری که پیرامون تجهیزات اینترنت اشیا قرار دارد نشتی اطلاعات است. هنوز قانون جامع و کاملی تصویب نشده تا تولیدکنندگان را مقید کند بر مبنای الگوی خاصی اقدام به جمع‌آوری اطلاعاتی کنند که توسط حس‌گرها جمع‌آوری می‌شود. به همین دلیل هر تولیدکننده‌ای ممکن است بر مبنای دیدگاه خاص خود اقدام به جمع‌آوری اطلاعات از مشتریانش ‌کند. چنین اقدامی یک شکاف امنیتی در زیرساخت‌های یک شبکه به وجود می‌آورد.

تهدید مهم دیگری که باید به آن رسیدگی شود در ارتباط با سامانه‌های کنترل صنعتی است که ممکن است باعث مرگ کارگران یا نقص عضو آن‌ها شود. چگونه می‌توانیم به شکلی ایمن از دستگاه‌های کنترل صنعتی اینترنت اشیا استفاده کنیم در حالی که به درستی نمی‌دانیم این دستگاه‌ها چگونه کار می‌کنند؟ از دید تولیدکنندگان تنها دانستن این موضوع که الگوی مصرف شما چگونه است برای ساخت دستگاه‌ها کافی است، در حالی که ممکن است با دستگاهی کار کنید که در زمان اتصال به اینترنت و زمانی که کارخانه تعطیل است ناگهان شروع به کار کند.

3- اعمال مجرمانه در قالب سرویس

سال 2019، انجمن امنیتی اطلاعات (ISF) پیش‌بینی کرده بود اعمال مجرمانه در قالب سرویس CaaS فراگیر می‌شوند و سندیکاهای جنایتکاران بر مبنای سلسله مراتبی پیچیده با یکدیگر مشارکت و همکاری خواهند کرد، مشابه کاری که سازمان‌های بزرگ بخش خصوصی انجام می‌دهند. این انجمن در سال جاری گفت: «پیش‌بینی سال گذشته در سال 2018 به واقعیت تبدیل شد. در سال 2018 شاهد افزایش چشم‌گیر جرایم اینترنتی بودیم.

رویکردی که در آن هکرها از مشتریان خود مبلغی دریافت می‌کردند تا کاری همچون یک حمله هکری انجام دهند. پیش‌بینی می‌کنیم روند یاد شده در سال 2020 ادامه پیدا کند و شاهد ظهور سازمان‌های مجرمانه بیشتری باشیم. سازمان‌هایی که حیطه کاری آن‌ها در مقیاس جهانی است.

الگوی CaaS در سال 2020 چه تفاوتی با سال 2019 خواهد داشت؟

در سال 2019 هکرهای نیمه‌حرفه‌ای و آماتور بدون دانش فنی زیاد ابزارها و سرویس‌های موردنیاز برای پیاده‌سازی حملات را خریداری می‌کردند. هکرهای نیمه‌حرفه‌ای و آماتور نمی‌توانند بدون تهیه ابزارهای هکری هیچ حمله‌ای را پیاده‌سازی کنند، اما هکرها از رویکردهای سنتی خود که تنها هدف قرار دادن سازمان‌های بزرگ است به تدریج دور می‌شوند و به سراغ سرقت مالکیت معنوی و بانک‌های بزرگ می‌روند. اکنون بدافزارهای استخراج‌کننده رمزارزها یکی از محبوب‌ترین گونه‌های بدافزاری هستند.

4- زنجیره تامین

چند سالی است ISF درباره آسیب‌پذیری زنجیره تامین هشدار می‌دهد و اعلام می‌دارد حجم بالایی از اطلاعات ارزشمند و حساس با تامین‌کنندگان به‌اشتراک قرار می‌گیرد. زمانی‌که این اطلاعات به‌ا‌شتراک قرار می‌گیرد، نظارت و کنترل مستقیم روی اطلاعات از میان می‌رود و خطر فاش شدن اطلاعات مربوط به اعتبارنامه‌ها زیاد می‌شود و در نهایت یکپارچگی و محرمانگی اطلاعات از میان خواهد رفت. تمامی کسب‌وکارهای کوچک و بزرگ زنجیره تامینی در کسب‌وکار خود دارند.

چالش‌ بزرگی که پیش‌رو داریم این است که چگونه باید متوجه شویم اطلاعات ما در چرخه تولید یک محصول به چه مکان‌هایی انتقال پیدا می‌کند و چگونه می‌توانیم یکپارچگی اطلاعات را حفظ کنیم؟ برای حل این مشکل باید آسیب‌پذیرترین نقاط زنجیره تامین را به شکل پیوسته بررسی کنیم تا بتوانیم مشکل نشتی اطلاعات را شناسایی کنیم. سازمان‌ها باید به شکل جدی به مبحث مدیریت ریسک اطلاعات در زنجیره تامین دقت کنند.

5- پیچیدگی بیش از اندازه مقررات امنیت

هیچ چیز بدتر از آن نیست که نظارت مستمر با پیچیدگی زیاد همراه باشد. در شرایطی که پیچیدگی‌ها با هدف بهبود امنیت به وجود می‌آیند، اما پیچیدگی بیش از اندازه باعث می‌شود تمرکز کارشناسان بر منابع اطلاعاتی کمتر شود و در عمل نتوانند در شرایط بحرانی تصمیمات درستی اتخاذ کنند.

به‌طور مثال، مقررات حفاظت از اطلاعات عمومی General Data Protection Regulation با هدف محافظت از اطلاعات عمومی کاربران به تصویب رسید. قانون فوق لایه پیچیده دیگری به بخش مدیریت بحران دارایی‌های سازمانی اضافه کرد که به اعتقاد کارشناسان امنیتی به جای آن‌که کمک کننده باشد تنها همه چیز را پیچیده‌تر می‌کند.

قانون یاد شده به کاربران کمک می‌کند در هر زمان و مکانی بتوانند وضعیت داده‌های شخصی خود را بررسی کنند و مدیریت دقیق‌تری بر اطلاعات شخصی اعمال کنند، اما در عمل شاهد هستیم که برخی از سهام‌داران سازمان‌ها هنوز به درستی نمی‌دانند کارکرد دقیق این قانون چیست.

6- عدم توازن میان انتظارات مدیران و سطح توانایی‌ دپارتمان‌های امنیت

در حالی که مدیران دپارتمان‌های امنیت و فناوری‌اطلاعات در ارتباط با بحث امنیت نگران هستند و هر زمان حمله‌ای رخ دهد نگاه‌ها به سمت آن‌ها نشانه می‌رود، با این حال، مدیران امنیتی در برخی از شرکت‌ها به درستی نمی‌دانند تیم امنیتی تحت سرپرستی آن‌ها دقیقا باید چه کاری انجام دهد یا بدتر آن‌که تیم قادر به انجام چه کارهایی است.

متاسفانه هکرها در این زمینه یک گام جلوتر هستند و به خوبی می‌دانند زمانی که آلودگی در سطح زنجیره تامین به وجود آید فرآیند شناسایی مبدا آلودگی مشکل است و این شرکت اصلی است که مقصر شناخته می‌شود.

بهترین راهکار برای حل مشکل فوق این است که کارگروه امنیتی به جای آن‌که در قالب یک مجموعه مجزا کار کند به شکل ادغام شده و یکپارچه با دیگر واحدها کار کند. به عبارت دقیق‌تر، طراحی چارت سازمانی باید به گونه‌ای باشد که عملا موجودیتی به نام گروه‌های امنیتی وجود نداشته باشد و امنیت در همه لایه‌های سازمانی گنجانده شده باشد و دپارتمان امنیتی بر عملکرد این کارگروها نظارت کند. به اعتقاد کارشناسان امنیتی عدم شناخت این عوامل باعث می‌شود سال آینده میلادی شاهد روند روبه‌رشد نفوذها باشیم، به‌طوری‌که دورنمای امنیت به جای آن‌که بهتر شود متاسفانه بدتر خواهد شد.

7- باج‌افزارها

حملات باج‌افزاری سال گذشته میلادی روند کاهشی داشته و دست‌کم کاربران خانگی کمتر در معرض این حملات قرار گرفته‌اند.

سایت ITPro می‌گوید: «میزان کشف حملات باج‌افزاری در مشاغل مختلف از رقم 2.8 میلیون در سه ماهه اول سال 2018 به رقم 9.5 میلیون در سه ماهه اول سال 2019 افزایش یافته که تقریبا یک رشد 34٪ در تشخیص‌ این حملات را نشان می‌دهد. به بیان‌ دیگر مکانیزم‌های دفاعی شرکت‌ها در مقوله امنیت به خوبی توانستند این حملات را شناسایی کنند و مانع پیاده‌سازی موفقیت‌آمیز آن‌ها شوند».

سازمان‌ها در مواجه شدن با یک حمله باج‌افزاری دلایل بیشتری دارند تا باج مربوطه را پرداخت کنند. دلیل دیگری که سایت ITPro به آن اشاره می‌کند، سقوط قیمت بیت‌کوین است که باعث شده حملات معدن‌کاوی با هدف استخراج رمزارزها شدت پیدا کند، زیرا این حملات سود بیشتری عاید افراد می‌کنند و دردسر کمتری دارند. با این حال، هکرها در سال 2020 سعی می‌کنند تغییراتی در حملات باج‌افزاری به وجود آورده و با رخنه در امنیت سازمان ها، یکبار دیگر حملات باج‌افزاری به یک منبع پرسود تبدیل شوند.


منبع : شبکه – مگ

مطالب پربازدید:
چالش‌های امنیتـی پیش روی شبکه‌های 5G

 
بهترین نرم افزارهای امنیتی 2019 برای دستگاه‌های متصل به شبکه


پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *