اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

پنج تکنولوژی امنیتی نوظهور جهت مقابله با تهدیدات سایبری

مقابله با تهدیدات سایبری

رقابت برای حفاظت از داده‌ها و سارقان داده همچون بازی موش‌وگربه شده است. به محض این که هکرهای کلاه سفید رفتار مخرب و آسیب‌زای ناشی از هکرهای کلاه سیاه را از بین می‌برند، رفتار مخرب دیگری از مهاجمان رخ می‌دهد. به چه نحو می‌توان مقابله با تهدیدات سایبری وجرایم ناشی از آن به نفع مبارزان حافظ امنیت داده تمام شود؟ در ادامه پنج تکنولوژی امنیتی نوظهور معرفی شده است که می‌تواند در مقابله با تهدیدات سایبری کمک‌کننده باشد.

احراز هویت سخت‌افزاری

عدم کفایت نام کاربری و رمز عبور بر همه روشن است و واضح است که احراز هویت باید به شکل امن‌تری صورت گیرد. یک روش این است که احراز هویت در سخت‌افزار کاربر، تلفیق شود. شرکت Intel به کمک راهکار Authenticate در پردازشگر جدید نسل ششم Core vPro خود در این راستا حرکت می‌کند.  این راهکار می‌تواند انواعی از فاکتورهای ارتقایافتة سخت‌افزار را همزمان ترکیب کند تا هویت کاربر ارزیابی شود.

در اقدامات قبلی از Intel استفاده شده تا بخشی از Chipset به عملکردهای امنیتی اختصاص داده شود و به این ترتیب یک دستگاه بخشی از فرایند احراز هویت باشد. برای آن که احراز هویتی به خوبی صورت گیرد، سه چیز از سوی کاربر مورد نیاز است: این که کاربر چه می‌داند، مثلا: رمز عبور؛ این که کاربر کیست، مثلا: نام کاربری؛ و این که کاربر چه در اختیار دارد، مثلا: Token. در خصوص Authenticate، دستگاه می‌شود آن چیزی که در اختیار کاربر است، یعنی مورد سوم.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

به گفتة اسکات کراوفورد (Scott Crawford)، مدیر پژوهش برای اطلاعات امنیتی در 451 Research، چنین پدیده‌ای جدید نیست و در گذشته، مثلا در مورد جوازدهی به تکنولوژی‌ها و Tokenها نیز شاهد آن بوده‌ایم.

احراز هویت سخت‌افزار ممکن است برای اینترنت اشیاء (Internet of Things) یا به اختصار IoT اهمیتی ویژه پیدا کند، چرا که در این مورد شبکه می‌خواهد اطمینان حاصل کند آنچه درصدد دسترسی به شبکه است، باید به آن دسترسی داشته باشد.

با این حال، کراوفورد اشاره می‌کند که فوری‌ترین کاربرد این تکنولوژی، احراز هویت Endpoint با استفاده از Intel Chipset در محیط‌های سنتی IT نظیر لپ‌تاپ، دسکتاپ و موبایل است.

آنالیز رفتار کاربر

به محض این که نام کاربری و رمز عبور شخصی فاش شود، هرکسی که آن‌ها را داشته باشد می‌تواند به راحتی وارد شبکه شده و دست به هر رفتار آسیب‌زا و مخربی بزند. اگر مدیران امنیت، آنالیز رفتار کاربر (User Behavior Analytics) یا به اختصار UBA را به کار گرفته باشند، پس از فاش شدن رمزعبور و رفتارهای مخرب مهاجم یک هشدار برای آن‌ها ارسال خواهد شد. این تکنولوژی از Big Data Analytics استفاده می‌کند تا رفتار غیرمتعارف کاربر را شناسایی کند.

به گفته‌ی کراوفورد، توجه بسیاری در سازمان جلب این تکنولوژی شده است.

«فعالیت کاربر، نخستین نگرانی متخصصان امنیت است.»

او همچنین بیان می‌دارد که این تکنولوژی نقطة کور را در امنیت سازمان نشان می‌دهد: «پس از این که مهاجم به سازمان نفوذ می‌کند، چه اتفاقی می‌افتد؟ یکی از نخستین اقدامات او، دزدیدن اطلاعات اعتباری کاربران سازمان است. حال این سوال مطرح می‌شود که: آیا می‌توان بین فعالیت کاربر مجاز و فعالیت مهاجمی که به سازمان نفوذ کرده و اطلاعات اعتباری کاربر مجاز را دزدیده و اکنون در پی اهداف دیگری است، تفاوت قائل شد؟»

مزیت امنیتی PIN در Windows Hello نسبت به رمز عبور

مشاهده ویدیوهای بیشتر

اگر فعالیتی که با فعالیت کاربر مجاز مغایرت دارد، قابل مشاهده باشد، ممکن است نقاط کور موجود در میانة زنجیرة تهاجم واضح گردد. به گفتة کراوفورد، اگر تهاجم به صورت زنجیره‌ای از نفوذ، حرکت، و سپس ربودن و خروج غیرمجاز اطلاعات حساس باشد، ارتباط میانی در این زنجیره به صورت واضح برای متخصصان امنیت قابل رویت نیست، و به همین دلیل است که امروزه UBA توجه فراوانی را به خود جلب کرده است.

تنها راه شناسایی عامل مخرب توسط UBA، مقایسة رفتار فعلی و رفتار گذشتة کاربر نیست. چنان که استیون گراسمن (Steven Grossman)، معاون پروژه  Bay Dynamics (شرکتی در حوزه‌ی آنالیز تهدید) بیان می‌دارد: «قابلیتی به نام تجزیه و تحلیل همتا یا Peer Analysis وجود دارد. با این قابلیت رفتار فرد با رفتار دیگر افراد دارای مدیر یا بخش یکسان مقایسه می‌شود و این کار می‌تواند نشانگر این باشد که فرد دارد کاری را انجام می‌دهد که نباید انجام دهد و یا شخص دیگری کنترل حساب کاربری او را در دست گرفته است.»

به علاوه، UBA می‌تواند ابزار ارزشمندی برای آموزش روش‌های امنیتی بهتر به کارمندان باشد. گراسمن بیان می‌دارد: «یکی از بزرگترین مشکلات شرکت، کارمندانی هستند که از Policy شرکت پیروی نمی‌کنند. شناسایی این افراد و به حداقل رساندن این خطر با آموزش دادن آن‌ها امری بسیار مهم و اساسی است.»

رمزگذاری و Token کردن

کلید جلوگیری از دست رفتن اطلاعات، تکنولوژی‌هایی همچون رمزگذاری و Tokenization است. این تکنولوژی‌ها می‌توانند از اطلاعات در سطح Field و Subfield محافظت کنند که این امر از چند لحاظ به نفع سازمان است:

  • مهاجمان سایبری نمی‌توانند حتی پس از نفوذ به سازمان از داده‌های سازمانی کسب درآمد نمایند.
  • اطلاعات می‌توانند در امنیت در سراسر فرایندهای توسعه‌یافتة تجاری سازمان جابه‌جا شوند و آنالیز اطلاعات نیز می‌تواند به شکل حفاظت‌شده صورت گیرد تا احتمال خطر و ریسک تا حد زیادی کاهش یابد.
  • سازمان می‌تواند برای حفظ اطلاعات کارت اعتباری (Payment Card Information) یا به اختصار PCI، اطلاعات قابل شناسایی شخصی (Personally Identifiable Information) یا به اختصار PII و اطلاعات حفظ سلامت (Protected Health Information) یا به اختصار PHI، کمک فراوانی در محدودة مقررات امنیتی دریافت کند.

بیشتر بخوانید: ارتقاء امنیت ساختار، بدون استفاده از رمز عبور 

به گفتة کراوفورد، طی چند سال اخیر هزینة فراوانی صرف مسائل امنیتی شده است و با این حال تعداد نقض‌های امنیتی در سال 2015 به طور قابل توجهی از آمار سال گذشته بالاتر رفت، حدودا 451 حمله موفقیت آمیز و نفوذ اتفاق افتاد و این مسئله، توجه فراوانی را به رمزگذاری جلب کرده است.»

با این حال، آن طور که جان پسکاتور (John Pescatore)، مدیر Emerging Security Trends در موسسة SANS، اشاره می‌کند، احراز هویت نقش مهمی در جلوگیری از دست رفتن اطلاعات ایفا می‌کند. «بدون مدیریت متمرکز کلیدها، رمزگذاری قوی امکان‌پذیر نیست و بدون احراز هویت قوی، مدیریت متمرکز کلیدها ناممکن است.»

یادگیری عمیق یا Deep learning

یادگیری عمیق شامل چند تکنولوژی نظیر هوش مصنوعی و یادگیری ماشینی است. کراوفورد می‌گوید: «این تکنولوژی فارق از عنوانی که بر آن گذاشته می‌شود، توجه فراوانی را برای اهداف امنیتی به خود جلب کرده‌ است.»

یادگیری عمیق نیز مانند آنالیز رفتار کاربر بر رفتار غیرعادی تمرکز می‌کند. بر اساس توضیح کراوفورد، تحلیلگر می‌خواهد بداند که به لحاظ امنیتی، به چه صورت میتوان رفتار مخرب را از رفتار عادی کاربران تشخیص داد.

آن طور که برد مدیاری (Brad Medairy)، معاون ارشد پروژه و Booz Allen شرح می‌دهند، این سیستم به جای آن که کاربران را در نظر بگیرد، «نهاد»ها را مدنظر قرار می‌دهد. «تجزیه و تحلیل‌های دقیق در سازمان و پیشرفت‌های اخیر در مدل‌های یادگیری ماشینی بیانگر آن است که اکنون می‌توان انواع نهاد‌ها را که در سراسر سازمان وجود دارند از کوچکترین سطح ممکن تا بخش کلی سازمان را در نظر بگیریم. برای مثال، یک دیتاسنتر به عنوان یک بخش، همانند یک کاربر، می‌تواند به گونة به‌خصوصی رفتار کند.»

به بیان کریس لاوجوی (Kris Lovejoy)، رئیس کل پروژه Acuity Solutions و سازندة یک پلتفرم پیشرفتة شناسایی بدافزار، «استفاده از یادگیری ماشینی می‌تواند به تهدیدهای پیشرفته و پایدار برای همیشه پایان دهد. تکنولوژی‌های یادگیری ماشینی که دارای قابلیت تشخیص نرم‌افزار خوب و بد از یکدیگر هستند، موهبت بزرگی برای متخصصان امنیت می‌باشند؛ به خصوص افرادی که در پی کاهش زمان شناسایی و از بین بردن تهدیدات هستند.»

کراوفورد بیان داشت که انتظار دارد سرمایه‌گذاری در یادگیری عمیق برای اهداف امنیتی ادامه یابد. با این حال، او افزود که «چالش پیش‌روی سازمان‌ها این است که شرکت‌های فراوانی با رویکردهای مشابه برای مسئلة مذکور در حال ورود به بازار هستند. مقایسه نمودن بین این شرکت‌ها در سال آینده و پس از آن چالشی اساسی برای سازمان‌هاست.»

ساختار Cloud

به گفتة کراوفورد، «Cloud به تدریج تکنولوژی‌های صنعت امنیت را تغییر خواهد داد». او همچنین توضیح داد که همچنان که سازمان‌های بیشتری برای آنچه که سابقا به صورت On-Premises IT بود، به Cloud رو می‌آورند، رویکردهای امنیتی بیشتری در Cloud و برای محصول ایجاد شده در Cloud نمایان می‌گردند و راهکار‌های On-premises به Cloud تبدیل خواهند شد. مواردی چون سخت‌افزار امنیتی، فایروال‌ها و سیستم‌های مجازی‌سازی‌شده‌ی شناسایی و جلوگیری از نفوذ نیز به Cloud تبدیل خواهند شد اما این تغییرات ابتدای راه خواهد بود.

کراوفورد بیان می‌دارد که: «اگر قابلیت‌های تامین‌کنندة زیرساخت به عنوان سرویس در مقیاس گسترده برای همة مشتریانش در نظر گرفته شود، احتمالا دیگر نیازی به استفاده از تمام دفاع‌هایی که به صورت On-Premise مورد نیاز بودند، نخواهد بود. این تامین‌کننده آن را در پلتفرم ایجاد خواهد کرد و در نتیجه دیگر لازم نیست مشتری Cloud این کار را انجام دهد.»

پسکاتور افزود که سازمان‌های دولتی و خصوصی با استفاده از خدمات IaaS مانند Amazon و Firehost امنیت دیتاسنترهای خود را بالا برده‌اند. او همچنین بیان داشت که برنامة GSA FedRAMP نمونة فوق‌العاده‌ای از خدمات Cloud تایید شده و دارای امنیت کافی است که امنیت را برای دسترسی به دیتاسنتر نسبتا بزرگ و سازمان‌های متوسط امکان‌پذیر می‌کند. 

این پنج تکنولوژی باید به مدیران امنیت اطلاعات کمک کنند تا قدرت را در دست گیرند.