بررسی رابطه محدودسازی اینترنت با حملات سایبری؛ وصل شدن اینترنت عامل اصلی اختلال بانک‌ها است؟

زهرا وجدانی: هم‌زمان با بروز اختلال در خدمات برخی بانک‌های کشور این پرسش در فضای عمومی و حتی میان برخی کارشناسان مطرح شد که اگر محدودیت اینترنت بین‌الملل ادامه پیدا می‌کرد یا به قطع کامل آن می‌انجامید، آیا باز هم چنین اختلالاتی رخ می‌داد؟ این سوال در روز‌های اخیر بار‌ها در شبکه‌های اجتماعی و رسانه‌ها تکرار شده و برخی نیز مدعی شده‌اند که قطع اینترنت می‌تواند از حملات سایبری به زیرساخت‌های حیاتی جلوگیری کند.

با این حال کارشناسان حوزه امنیت سایبری معتقدند چنین برداشتی اگرچه در نگاه نخست منطقی به نظر می‌رسد اما از منظر فنی تصویر کاملی از واقعیت ارائه نمی‌دهد. به اعتقاد متخصصان اینترنت تنها یکی از مسیر‌های احتمالی اجرای حملات سایبری است و محدودسازی آن الزاما به معنای حذف تمامی تهدید‌ها نیست. در مقابل امنیت زیرساخت‌های حیاتی به مجموعه‌ای از لایه‌های دفاعی، طراحی صحیح سامانه‌ها، مدیریت آسیب‌پذیری‌ها و پایش مستمر وابسته است.

در همین راستا خبرنگار علمی و فناوری خبرگزاری برنا با محمد قلم‌چی، کارشناس ارشد امنیت الکترونیک به گفت‌و‌گو نشست تا ابعاد مختلف این موضوع و برخی برداشت‌های رایج درباره نقش اینترنت در حملات سایبری را از منظر فنی بررسی کرده و پاسخی دقیق و کارشناسی به این پرسش که آیا قطع یا محدودسازی اینترنت بین‌الملل می‌تواند مانع از وقوع حملات سایبری به زیرساخت‌های حیاتی شود یا خیر را ارائه کند.

اینترنت تنها یکی از مسیر‌های حمله

قلم‌چی در ابتدای این گفت‌و‌گو با رد این تصور که قطع اینترنت به‌تنهایی می‌تواند مانع وقوع حملات سایبری شود تاکید می‌کند که یکی از مهم‌ترین سوءبرداشت‌ها در حوزه امنیت سایبری یکسان دانستن اینترنت با تمامی مسیر‌های نفوذ است.

وی می‌گوید: باید ابتدا یک سوءبرداشت رایج را اصلاح کنیم. بسیاری تصور می‌کنند هر حمله سایبری الزاما از طریق اینترنت عمومی انجام می‌شود در حالی که در امنیت سایبری، اینترنت تنها یکی از مسیر‌های احتمالی حمله است، نه همه آن.

به گفته او بسیاری از زیرساخت‌های حیاتی از جمله بانک‌ها بر بستر شبکه‌های اختصاصی، مراکز داده، ارتباطات بین‌سازمانی و سامانه‌های داخلی فعالیت می‌کنند بنابراین اگر مهاجم بتواند از هر یک از این مسیر‌ها به زیرساخت نفوذ کند حتی در شرایطی که اینترنت عمومی نیز به‌طور کامل قطع شده باشد امکان اجرای حمله همچنان وجود خواهد داشت.

قطع اینترنت می‌تواند خود به یک ریسک تبدیل شود

قلم‌چی در ادامه به نکته‌ای اشاره می‌کند که کمتر مورد توجه افکار عمومی قرار می‌گیرد؛ اینکه محدود شدن دسترسی به اینترنت در برخی شرایط حتی می‌تواند پیامد‌های امنیتی تازه‌ای ایجاد کند.

مولف استاندارد‌های امنیت الکترونیک توضیح می‌دهد که یکی از مهم‌ترین الزامات حفظ امنیت سامانه‌های حیاتی دریافت مستمر به‌روزرسانی‌های امنیتی، اصلاح آسیب‌پذیری‌ها و نصب وصله‌های امنیتی جدید است فرآیندی که در صورت اختلال در ارتباطات ممکن است با مشکل مواجه شود.

این کارشناس اظهار می‌‎کند: اگر قطعی اینترنت موجب عدم به‌روزرسانی صحیح سفت‌افزار‌ها و نرم‌افزار‌ها خصوصا وصله‌های امنیتی شود، خود این وضعیت می‌تواند محیط قطع اینترنت را به بهشت هکر‌ها تبدیل کند.

به گفته وی آسیب‌پذیری‌هایی که توسط شرکت‌های تولیدکننده نرم‌افزار شناسایی و اصلاح می‌شوند معمولا پس از انتشار وصله‌های امنیتی برای مهاجمان نیز شناخته‌شده هستند. در چنین شرایطی اگر سامانه‌ای امکان دریافت این اصلاحات را نداشته باشد عملا در برابر ضعف‌هایی قرار می‌گیرد که روش سوءاستفاده از آنها برای مهاجمان مشخص شده است.

کاهش سطح حمله نه ایجاد امنیت کامل

قلم‌چی در ادامه با اشاره به یکی از مفاهیم بنیادی در مهندسی امنیت تاکید می‌کند که محدود شدن اینترنت ممکن است بخشی از مسیر‌های حمله را کاهش دهد اما به هیچ وجه معادل ایجاد امنیت کامل نیست. یعنی کاهش ارتباطات خارجی می‌تواند برخی بردار‌های حمله را محدود کند و زمان واکنش مدافعان را افزایش دهد، اما این موضوع را نباید با ایجاد امنیت کامل اشتباه گرفت.

به گفته وی در مهندسی امنیت مفهومی با عنوان سطح حمله یا Attack Surface وجود دارد که به مجموعه تمامی مسیر‌های احتمالی نفوذ اشاره می‌کند. قطع اینترنت ممکن است تنها بخشی از این سطح را کوچک‌تر کند اما اگر آسیب‌پذیری در سامانه‌های داخلی، تجهیزات مشترک، حساب‌های مدیریتی، زنجیره تامین نرم‌افزار یا حتی فرآیند‌های عملیاتی وجود داشته باشد مهاجم همچنان گزینه‌های متعددی برای ورود در اختیار خواهد داشت.

این کارشناس همچنین هشدار می‌دهد که اگر محدودیت‌های ارتباطی باعث شود سامانه‌ها از دریافت اصلاحات امنیتی محروم شوند در عمل آسیب‌پذیری‌های شناخته‌شده بدون هیچ‌گونه محافظتی در زیرساخت باقی خواهند ماند؛ موضوعی که خود می‌تواند احتمال موفقیت حملات را افزایش دهد.

حملات سایبری فقط از اینترنت آغاز نمی‌شوند

این کارشناس در ادامه با اشاره به یکی دیگر از برداشت‌های نادرست درباره حملات سایبری تاکید می‌کند که بسیاری تصور می‌کنند با قطع شدن اینترنت راه دسترسی مهاجمان به زیرساخت‌های حیاتی نیز به‌طور کامل بسته می‌شود در حالی که تجربه حملات بزرگ سایبری در جهان نشان می‌دهد این تصور با واقعیت‌های فنی همخوانی ندارد.

قلم‌چی در این باره می‌گوید: این گزاره که چون اینترنت قطع شد دیگر هکری نمی‌تواند به بانک‌ها دسترسی پیدا کند از نظر فنی صحیح نیست.

وی ادامه می‌دهد که در سال‌های اخیر بسیاری از حملات بزرگ سایبری جهان اصلا از اینترنت عمومی آغاز نشده‌اند بلکه مهاجمان از مسیر‌های پیچیده‌تر و گاه از مدت‌ها قبل امکان دسترسی به زیرساخت‌های هدف را فراهم کرده‌اند.

به گفته این کارشناس حملات زنجیره تامین، به‌روزرسانی‌های آلوده، تجهیزات سخت‌افزاری دستکاری‌شده، دسترسی شرکت‌های پیمانکار، بدافزار‌هایی که از قبل در شبکه کاشته شده‌اند و حتی سوءاستفاده از عوامل داخلی از جمله سناریو‌هایی هستند که وابستگی مستقیمی به اینترنت عمومی ندارند.

این مدیر توسعه نرم‌افزار‌های بومی امنیت الکترونیک تاکید می‌کند: اگر مهاجم پیش از قطع اینترنت در بخشی از زیرساخت حضور یافته باشد قطع اینترنت لزوما او را از شبکه خارج نمی‌کند. در چنین شرایطی مهاجم می‌تواند فعالیت خود را در همان محیط داخلی ادامه دهد و حتی بدون ارتباط مستقیم با اینترنت بخشی از اهداف خود را دنبال کند. به همین دلیل در ارزیابی رخداد‌های امنیتی متخصصان تنها به وضعیت اتصال یا عدم اتصال اینترنت توجه نمی‌کنند بلکه کل چرخه نفوذ، میزان دسترسی مهاجم و وضعیت اجزای مختلف زیرساخت را مورد بررسی قرار می‌دهند.

اختلال هم‌زمان چند بانک؛ نشانه‌ای از وجود یک نقطه مشترک؟

یکی از مهم‌ترین موضوعاتی که در جریان اختلالات اخیر شبکه بانکی مورد توجه کارشناسان قرار گرفت هم‌زمانی بروز مشکل در چند بانک بود، مسئله‌ای که از نگاه متخصصان امنیت سایبری می‌تواند سرنخ مهمی برای تحلیل منشا حادثه باشد.

قلم‌چی با اشاره به مقاله‌ای که پیش‌تر درباره این موضوع منتشر کرده می‌گوید که وقوع هم‌زمان اختلال در چند بانک بیش از آنکه نشان‌دهنده ضعف مستقل هر بانک باشد احتمال وجود یک مولفه مشترک میان آنها را مطرح می‌کند.

این کارشناس می‌گوید: زمانی که چند سازمان مستقل تقریبا هم‌زمان دچار اختلال می‌شوند نخستین فرض کارشناسی آن است که زیرساخت‌های مشترک، سامانه‌های ارتباطی مشترک، سرویس‌دهندگان مشترک و سایر نقاط تمرکز فناوری مورد بررسی قرار گیرند.

وی تاکید می‌کند که در چنین شرایطی پرسش اصلی این نیست که هر بانک به‌صورت جداگانه چگونه هدف حمله قرار گرفته است بلکه باید بررسی شود چه نقطه مشترکی میان این مجموعه وجود داشته که توانسته زمینه بروز اختلال هم‌زمان را فراهم کند. البته تا زمانی که گزارش رسمی فنی منتشر نشده است نمی‌توان درباره منشا قطعی حادثه اظهار نظر کرد و هرگونه تحلیل صرفا در حد فرضیه‌های کارشناسی است.

نام‌برده خاطرنشان می‎‌کند که چنین بررسی‌هایی می‌تواند مشخص کند آیا منشا اختلال از یک نقطه مشترک بوده یا هر سازمان به‌طور مستقل با حادثه‌ای جداگانه مواجه شده است؛ موضوعی که نقش تعیین‌کننده‌ای در انتخاب راهکار‌های دفاعی و پیشگیرانه خواهد داشت.

آیا قطع اینترنت می‌توانست مانع این اختلالات شود؟

این کارشناس در پاسخ به این پرسش که اگر اینترنت از همان ابتدا قطع می‌شد، آیا احتمال وقوع این اختلالات از بین می‌رفت توضیح می‌دهد: پاسخ به این سوال به منشا واقعی حادثه بستگی دارد. اگر منشا حادثه در همان زیرساخت‌های مشترک یا شبکه‌های داخلی قرار داشته باشد قطع اینترنت لزوما مانع وقوع اختلال نخواهد شد و اختلال می‌توانست همچنان رخ دهد.

قلم‌چی در ادامه می‌گوید که قطع اینترنت شاید اجرای برخی سناریو‌های حمله را دشوارتر کند، اما اگر مسیر نفوذ از قبل ایجاد شده باشد یا مهاجم از بستر‌های دیگری برای دسترسی استفاده کرده باشد، چنین اقدامی به‌تنهایی قادر به جلوگیری از وقوع حادثه نخواهد بود.

این مخترع راهکار‌های امنیت الکترونیک تاکید می‌کند که در امنیت سایبری هیچ متخصصی نمی‌تواند صرفا با اتکا به قطع اینترنت امنیت یک زیرساخت حیاتی را تضمین کند زیرا امنیت پایدار نتیجه مجموعه‌ای از اقدامات فنی، مدیریتی و عملیاتی است که باید به‌صورت هم‌زمان و مستمر اجرا شوند.

وی همچنین تاکید می‌کند امنیت سه ضلع یکپارچگی، دسترس‌پذیری و محرمانگی دارد که تنها وجه محرمانگی آن برای غیرمتخصصان پررنگ شده است. همچنین اختلالات سرویس‌های بانکی به حوزه امنیت سایبری محدود نمی‌شود و تجربه نشان داده اختلال در زیرساخت ارتباطی، ضعف زنجیره تامین و تهدیدات الکترومغناطیسی، میکروالکترونیکی، الکترواکوستیک و یا حتی بی‌توجهی به بازرسی‌های ادواری، اجرای استاندارد‌ها و عدم اخذ یا نادرستی تحلیل نتایج آزمایشگاه‌های تخصصی نتایج جبران ناپذیری به همراه داشته است. 

امنیت سایبری فراتر از محدودسازی ارتباطات

قلم‌چی در ادامه این گفت‌و‌گو با اشاره به مهم‌ترین درس‌های اختلالات اخیر شبکه بانکی تاکید می‌کند که مهم‌ترین خطای تحلیلی یکی دانستن امنیت سایبری با محدودسازی ارتباطات است. به گفته وی تجربه رخداد‌های امنیتی در سال‌های اخیر نشان داده است که ایجاد امنیت پایدار تنها با مسدود کردن بخشی از مسیر‌های ارتباطی امکان‌پذیر نیست و نیازمند نگاهی جامع به معماری زیرساخت‌ها است.

وی اظهار می‌کند: مهم‌ترین درس این است که امنیت سایبری را نباید با محدودسازی ارتباطات اشتباه گرفت. امنیت زمانی معنا پیدا می‌کند که از همان مرحله طراحی و توسعه سامانه‌ها اصول امنیتی در تمامی لایه‌های زیرساخت لحاظ شده باشد؛ موضوعی که در ادبیات تخصصی امنیت اطلاعات با عنوان امنیت از طریق طراحی شناخته می‌شود.

ایجاد لایه‌های متعدد برای مقابله با تهدید‌ها

قلم‌چی یکی از مهم‌ترین اصول حفاظت از زیرساخت‌های حیاتی را بهره‌گیری از معماری دفاع در عمق می‌داند، رویکردی که بر ایجاد چندین لایه حفاظتی مستقل استوار است.

وی توضیح می‌دهد: در این مدل امنیت تنها به یک ابزار یا یک دیوار دفاعی محدود نمی‌شود بلکه مجموعه‌ای از کنترل‌های امنیتی در سطوح مختلف پیاده‌سازی می‌شود تا در صورت عبور مهاجم از یک لایه، لایه‌های بعدی مانع ادامه نفوذ شوند. این رویکرد احتمال موفقیت حملات را به میزان قابل توجهی کاهش می‌دهد و امکان شناسایی و مهار تهدید‌ها را در مراحل مختلف فراهم می‌کند.

هیچ کاربر یا سامانه‌ای ذاتا قابل اعتماد نیست

این کارشناس در ادامه به مفهوم اعتماد صفر (Zero Trust) اشاره می‌کند؛ رویکردی که در سال‌های اخیر به یکی از مهم‌ترین اصول طراحی سامانه‌های امن تبدیل شده است.

قلم‌چی توضیح می‌دهد: در این معماری هیچ کاربر، دستگاه یا سامانه‌ای صرفا به دلیل حضور در شبکه داخلی قابل اعتماد تلقی نمی‌شود و تمامی درخواست‌های دسترسی باید به‌صورت مستمر احراز هویت و ارزیابی شوند. چنین رویکردی باعث می‌شود حتی اگر مهاجم بتواند وارد بخشی از شبکه شود، امکان حرکت آزادانه در سایر بخش‌های زیرساخت را نداشته باشد و دامنه خسارت به حداقل برسد.

پایش مستمر و مدیریت آسیب‌پذیری دو رکن اساسی امنیت

قلم‌چی همچنین بر اهمیت پایش مداوم زیرساخت‌ها و مدیریت مستمر آسیب‌پذیری‌ها تاکید و می‌گوید امنیت سایبری یک وضعیت ثابت نیست بلکه فرآیندی دائمی است که نیازمند ارزیابی، اصلاح و به‌روزرسانی مداوم است.

این کارشناس توضیح می‌دهد که شناسایی مستمر آسیب‌پذیری‌ها، نصب به‌موقع اصلاحیه‌های امنیتی، کنترل دقیق سطح دسترسی کاربران، تحلیل رفتار سامانه‌ها و واکنش سریع به رخداد‌های مشکوک از جمله اقداماتی هستند که نقش مهمی در کاهش احتمال موفقیت حملات دارند.

به اعتقاد وی هر اندازه زمان شناسایی و پاسخ به یک رخداد امنیتی کوتاه‌تر باشد میزان خسارت احتمالی نیز کاهش خواهد یافت.

تاب‌آوری سایبری هدفی فراتر از جلوگیری از حمله

این کارشناس با اشاره به مفهوم تاب‌آوری سایبری اظهار می‌کند که در دنیای امروز دیگر نمی‌توان با اطمینان گفت هیچ حمله‌ای رخ نخواهد داد بلکه هدف اصلی آن است که سازمان‌ها بتوانند حتی در صورت وقوع حمله نیز خدمات حیاتی خود را حفظ کرده و در کوتاه‌ترین زمان ممکن به وضعیت عادی بازگردند.

وی تاکید می‌کند که طراحی سامانه‌های مقاوم، وجود برنامه‌های بازیابی، تهیه نسخه‌های پشتیبان، مانور‌های دوره‌ای و آمادگی تیم‌های فنی از مهم‌ترین مولفه‌های افزایش تاب‌آوری زیرساخت‌های حیاتی به شمار می‌روند.

امنیت حتی در صورت اتصال کامل به اینترنت نیز امکان‌پذیر است

قلم‌چی در ادامه می‌گوید که اگر این لایه‌ها به‌درستی پیاده‌سازی شوند حتی در صورت اتصال کامل به اینترنت نیز می‌توان سطح بالایی از امنیت را حفظ کرد و اگر این اصول رعایت نشده باشند حتی در یک شبکه کاملا ایزوله نیز احتمال وقوع حادثه وجود خواهد داشت.

به گفته وی این موضوع نشان می‌دهد که معیار اصلی ارزیابی امنیت، کیفیت طراحی و مدیریت زیرساخت است نه صرفا میزان دسترسی یا محدودیت ارتباطات.

امنیت پایدار محصول طراحی صحیح است

قلم‌چی در پایان همچنان تاکید می‌کند که این تصور که "با قطع اینترنت دیگر حمله سایبری رخ نمی‌دهد" از منظر علمی و فنی قابل دفاع نیست.

وی اظهار می‌کند که قطع اینترنت ممکن است در برخی شرایط به‌عنوان یک اقدام تاکتیکی کوتاه‌مدت بخشی از ریسک‌ها را کاهش دهد اما در صورتی که همین محدودیت‌ها مانع دریافت به‌روزرسانی‌های امنیتی و اصلاح آسیب‌پذیری‌ها شود، می‌تواند زمینه ایجاد تهدید‌های جدید و جدی‌تر را نیز فراهم کند.

بازنگری در راهبرد امنیت سایبری؛ کلید افزایش تاب‌آوری زیرساخت‌های حیاتی

اختلالات اخیر شبکه بانکی بار دیگر این واقعیت را یادآوری کرد که در دنیای امروز امنیت سایبری بیش از آنکه به "قطع یا وصل بودن اینترنت" وابسته باشد به میزان تاب‌آوری و استحکام معماری زیرساخت‌ها وابسته است.

تجربه‌های جهانی نیز این موضوع را تایید می‌کنند؛ از استاکس‌نت که نشان داد حتی شبکه‌های کاملا ایزوله و بدون اتصال به اینترنت نیز در صورت وجود ضعف‌های امنیتی قابل نفوذ هستند تا حمله SolarWinds و Kaseya که ثابت کردند نفوذ به یک مولفه یا زنجیره تامین مشترک می‌تواند به‌طور هم‌زمان صد‌ها و حتی هزاران سازمان را تحت تاثیر قرار دهد. این رخداد‌ها نشان می‌دهد که در برابر تهدید‌های پیچیده سایبری امنیت پایدار نه با محدودسازی ارتباطات بلکه با طراحی معماری امن، مدیریت مستمر آسیب‌پذیری‌ها، پایش هوشمند، تقویت زنجیره تامین و افزایش تاب‌آوری زیرساخت‌های حیاتی حاصل می‌شود.

اختلالات اخیر نیز صرف‌نظر از منشا نهایی آن یک پیام روشن برای سیاست‌گذاران و متولیان امنیت سایبری کشور دارد اینکه سرمایه‌گذاری بر فناوری‌های دفاعی، ارتقای استاندارد‌های امنیتی و مقاوم‌سازی زیرساخت‌های حیاتی راهبردی ماندگارتر و اثربخش‌تر از اتکا به اقدامات مقطعی است. تجربه کشور‌های مختلف نیز نشان داده است که در دنیای امروز توانایی پیشگیری، شناسایی، مهار و بازیابی سریع از حملات سایبری، شاخص اصلی بلوغ امنیتی یک کشور محسوب می‌شود نه صرفا میزان محدودیت ارتباطات.

با این حال پرسشی که همچنان باقی می‌ماند و شاید مهم‌تر از پاسخ به منشا اختلالات اخیر باشد این است: آیا زمان آن نرسیده است که به جای تمرکز بر محدودسازی ارتباطات، راهبرد امنیت سایبری کشور بر افزایش تاب‌آوری و مقاوم‌سازی زیرساخت‌های حیاتی در برابر پیچیده‌ترین سناریو‌های حمله متمرکز شود؟

انتهای پیام/