.png)
چند واقعیت شوکهکننده و تلخ راجع به امنیت و هک سامانهها
در دنیای امنیت سایبری و هکها، چه اتفاقهایی میافتد؟ چه واقعیتهایی وجود دارند که گاهی تعجبآورند؟ در هکهای مختلفی که رخ میدهد، چه نکاتی نهفته است که میتوانند تبدیل به درسآموختههایی برای ما شوند؟
در این بلاگپست میخواهیم که به چندی از این واقعیتها بپردازیم.
آنچه در این بلاگپست خواهید خواند:
نقاط آسیب پذیر غافلگیرکننده
آسیب پذیری در نقاط غیراصلی سامانه
تابآوری سازمان درمقابل حملات APT
هک سامانهها از نقاطی مشابه؛ از ضربهها و ثمرات عدم اشتراک دانش
نقاط آسیب پذیر غافلگیرکننده
اکثر اوقات با تکنیکها و آسیب پذیریهای خیلی شناختهشده به راحتی میتوان به سازمانها نفوذ کرد. چون تمرکز تیم امنیت معمولا محدود به نقاط حساس میشود. بسیاری از اوقات دسترسیهای ثانویه و بهظاهر بدیهی از قلم میافتند. بارها شاهد سازمانهایی بودهایم که درهای ضدسرقت بسیار محکمی گذاشتهاند و هزینههای بسیار زیادی هم برای آنها کردهاند، اما پنجرهی آنها آسیب پذیر بوده است. به عنوان مثال؛ دسترسی به دیتابیس بدون محدودیت از طریق API ممکن شده است. مسلم است که نفوذگر انتخاب اولش نیست که از درب ضدسرقت وارد شود. بلکه بادقت مشاهده میکند، جزئیات را بررسی میکند و راحتترین راه ورود را پیدا میکند. تجربهی ما نشان داده است که در خیلی از مواقع نشت دادهها و هکها از راههای بسیار سخت نبودهاند، بلکه از راههای پیشپاافتاده و سادهای صورت گرفتهاند که از دید مدیران سازمان مخفی و مغفول مانده و یا کمتر به آنها توجه شده است. این بدین معنا نیست که توجه به این نقاط ارزشمندتر است و باید فقط به این نقاط توجه کرد. بلکه به این معناست که نباید از توجه به این نقاط غافل ماند.
پیشنهاد خواندنی: نقاط آسیب پذیر رایج در سامانهی کسبوکارها
آسیب پذیری در نقاط غیراصلی سامانه
تجربیات و آمار نیز تایید میکند که سازمانها بیشتر از نقاط غیراصلی سامانهشان مورد نفوذ قرار میگیرند و نه از طریق قسمتهای اصلی مانند فرم لاگین! درست است که ممکن است فرم لاگین سازمان نیز آسیب پذیر باشد ( که به عنوان مثال دسترسی Account take over را به نفوذگر بدهد) در عین حال، در بسیاری از موارد نقاط دیگری نیز هستند که میتوانند همان انتظار و یا سطح بالاتری از دسترسی را برای نفوذگر تامین کنند.
مهدی مرادلو، شکارچی آسیب پذیری، از تجربهی خود چنین میگوید:
"یکی از مسئلههای مهمی که به نظرم وجود دارد، این است که در کمپینها برروی امنیت لندینگ پیجها زیاد کار نمیشود. لندینگ پیجهایی که مثلا برای کمپینهای نوروز یا شب یلدا میگذارند را من میتوانم بگویم که، به احتمال بالای ۹۰٪ برروی آنها آسیب پذیری وجود دارد! چون برنامهنویس باید سریع هندل کند؛ در تایم کوتاهی قرار است کدش را بنویسد، دیپلوی کند و بالا بیاورد! این سرعتی که معمولا در فرآیند اجرا پیش میآید، و اینکه تایم کوتاهی هم قرار است مورد استفاده قرار بگیرند، باعث میشود که حساسیتهای امنیتی لازم در آنها رعایت نشود و اکثرا آسیبپذیر باشند. مثلا من وقتی میخواهم برروی هدفی کار کنم، گاهی میروم و کمپینهای قدیمیشان را چک میکنم تا ببینم آسیب پذیریای وجود دارد که به من دسترسی دهد؟"
پیشنهاد خواندنی: گپوگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)
تجربه به ما نشان داده است که بسیاری از سازمانها به دنبال به کارگرفتن روشهای پرهزینه میروند و معمولا سعی میکنند از تجهیزات بسیار گران و روشهای بسیار پیچیده برای تقویت امنیت استفاده کنند. حتی شاهد آن بودهایم که برخی از سازمانها به دنبال استفاده از هوش مصنوعی برای امنیت هستند. در اغلب مواقع، این رویکرد و این نگاه پیچیده فقط صورتمسئله را پیچیدهتر میکند.
تابآوری سازمان درمقابل حملات APT
یک واقعیت تلخ وجود دارد اینکه در حملات بسیار پیشرفتهی APT تقریبا همه قربانی خواهند بود. در آن زمان بحث سر این خواهد بود که سازمان چقدر تابآوری دارد. به بیان دیگر مسئله این است:
چه میزان آسیب پذیری های بدیهی در سازمان وجود ندارد؟ و به چه میزان توانستهایم با روشهای مهندسی اطلاعات از داراییهای سازمان مراقبت کنیم. به دفعات شاهد بودهایم که اطلاعاتی که ضرورتی نداشته به صورت یکپارچه در یک دیتا بیس ذخیره میشوند و این موضوع خطر آسیب پذیری و بالابردن هزینه بعد از هک را به شدت افزایش میدهد.
اینکه نیروی انسانی سازمان چه میزان برای مواجهه با این شرایط آماده هستند، آموزش دیده اند در این زمینه بسیار اهمیت دارد. اینکه چه میزان از پیش روال و رویه هایی برای زمان بحران طراحی شده و به بیانی دیگر هر کسی مسئولیت خودش را در زمان بحران می داند در این زمینه بسیار تعیین کننده است.
هک سامانهها از نقاطی مشابه؛ از ضربهها و ثمرات عدم اشتراک دانش
ارغوان کامیار؛ شکارچی آسیب پذیری:
به نظر من، ما در حوزهی امنیت سایبری، حلقههای گمشدهای داریم این حلقهها کم و بیش در شرکت ها و سازمانهای مختلف دیده می شود. یک حلقهی گمشده به نظرم، "اشتراک دانش" است. عدم اشتراک دانش خیلی ضربه میزند. منی که دارم در این حوزه کار میکنم، شرکتها و سازمانهای مختلفی را به چشم میبینم که هک میشوند و هیچ اقدامی درراستای اشتراک دانش باهم ندارند. هیچ اطلاعات فنی و مفیدی از حملهها و هکها منتشر نمیشوند. همین باعث میشود که بارها جاهای دیگری نیز از همان روش دوباره آسیب ببینند و خسارتهای سنگینی زده شود.
پیشنهاد خواندنی: گپوگفتی با شکارچی راورو؛ ارغوان کامیار (spark)
علی امینی؛ متخصص امنیتی دنیای صفرویکها:
"روزی که حادثهی هک پمپبنزینها اتفاق افتاد و خب یک سری شعارهای سیاسی نوشته بودند، من حقیقتا ناراحت شدم! باخودم گفتم: " خدایا، وضعیت امنیت سایبری اینقدر بد است که شش ماه پیش وزارت راه و شهرسازی را هک کردند، بعد سازمان زندانها را و حالا هم این پمپ بنزینها را! این یعنی فاجعه! " من از یک بندهخدایی که در جریان این حملات بود، پیگیر اخبار بیشتر شدم. از چیزی که بهم گفت، خیلی تعجب کردم. گفت حملهای که به پمپبنزینها شد، جنسش مشابه حملهای بود که به وزارت راه و شهرسازی شده بود. یعنی از همان آسیب پذیری، از همان راه استفاده کردهاند و نفوذ کردهاند! خب این یعنی فاجعه! یعنی از یه سوراخ چندبار گزیده شدن! "
پیشنهاد خواندنی: گپوگفتی با متخصص امنیت دنیای صفرویکها؛ علی امینی
سخن آخر:
گفتنیهایی که در این بلاگپست به آنها پرداختیم، میتوانند حکم تلنگری را برای هر کسبوکاری داشته باشند و بهانهای برای بازنگری وضعیت امنیت سایبری سامانهی کسبوکار شوند. با این امید که در راستای ارتقای امنیت سایبری مفید واقع شوند.
بلاگپستهای مرتبط:
چرا کسبوکارهای ایران امنیت اطلاعات را جدی نمیگیرند؟