دفاع فعال چیست و آیا باید از دفاع فعال استفاده کرد؟

0 634
Telegram_GEEKBOY

یک جستجوی ساده در مورد شرکت‌های فعال در زمینه‌ی «دفاع فعال» نشان می‌دهد که این مبحث به موضوعی داغ در زمینه‌ی امنیت اینترنت تبدیل شده است. اما دفاع فعال دقیقاً به چه معنی است؟ جواب به این سؤال هم سخت، هم بحث برانگیز است؛ زیرا از عبارت دفاع فعال برای اشاره به فعالیت‌های مختلفی استفاده می‌شود که با افزایش روزافزون حملات علیه دولت‌ها و کسب‌وکارها، رایج شده‌اند.


یکی از دلایلی که باعث بحث برانگیز بودن دفاع فعال می‌شود، این دیدگاه است که افراد باید در جهت مقابله، به نفوذگران «نفوذ کنند». اما راه‌های بیشتر و بهتری برای دفاع از منابع و تجهیزات شرکت‌ها و دولت‌ها وجود دارد که هیچ‌کدام شامل حملات متقابل و تلافی‌جویانه به مجرمان نمی‌شود.

دفاع فعال چیست و آیا باید از دفاع فعال استفاده کرد؟

دفاع فعال از فعالیت‌هایی تشکیل می‌شود که در داخل و یا خارج شبکه‌ی هدف صورت می‌گیرند. این فعالیت‌ها را می‌توان به سه دسته‌ی کلی تقسیم کرد:

  1. انتساب
  2. پیشگیری
  3. تلافی

انتساب: چه کسی حمله را انجام می‌دهد و چگونه؟

انتساب یعنی جمع‌آوری داده در مورد تکنیک‌ها، بردارها و منشاءهای دقیق حمله، برای بهبود فناوری‌های دفاعی واکنشی. بهبود دفاع موجود معمولاً با اضافه کردن شناساگرهای حمله‌ی خاص به نرم‌افزار فیلترینگ و یا قرار دادن وبگاه‌های مبدأ یا منشاء ترافیک مخرب در فهرست سیاه صورت می‌پذیرد. سپس می‌توان این اطلاعات را با محققان امنیتی (با تامین‌کنندگان نرم‌افزار امنیتی مورد استفاده‌ی شما) و مقامات مجری قانون به اشتراک گذاشت تا به حفاظت بقیه افراد جامعه نیز کمک کند.شایان ذکر است که انتساب به معنی شناسایی با اطمینان یک فرد خراب‌کار نیست زیرا معمولاً مهاجمان از شیوه‌هایی برای انحراف و از میان بردن ردپای خود استفاده می‌کنند تا شناسایی دقیق آن‌ها مشکل شود. بهتر است شناسایی افراد مهاجم را به مجریان قانون بسپارید زیرا آن‌ها می‌توانند داده‌های مورد نیاز را از منابع مختلف جمع‌آوری کرده و با استفاده از اختیارات قضایی خود افراد عامل حملات را شناسایی کنند.

پیشگیری: برای توقف حملات چه می‌توانید انجام دهید؟

پیشگیری بخشی است که در آن امکان انجام بیشترین اقدامات در جهت اختلال و یا پیشگری از حملات مهاجمان وجود دارد. با ناکام گذاشتن تلاش‌های یک مهاجم در جهت به دست آوردن تصویر دقیقی از محیط کسب و کار و شبکه‌ی شما، می‌توان از برخی حملات، پیش آنکه حتی شروع شوند، جلوگیری کرد. حملات فعال را نیز می‌توان با منحرف کردن مهاجمان از منابع حیاتی، و یا با استفاده از دفاع‌های ویژه‌ی آن نوع حمله، مختل کرد.

مهاجمان قبل از شروع یک حمله، ابتدا باید اهداف مناسب خود را بیابند. مهاجمان هرآنچه بتوانند در مورد شبکه‌ی مشا اطلاعات جمع‌آوری می‌کنند تا ببیند شما هدف مناسبی برای آن‌ها هستید یا خیر. در بهترین حالت آن‌ها به دنبال هدفی هستند که به خوبی محافظت نشده و دارای داده‌های حیاتی باشد. پیشگیری فعالانه از حملات در این مرحله، به معنی جلوگیری دسترسی یا تأمین داده‌های غلط در بخش‌های راهبردی است.

به یاد داشته باشید که ارائه‌ی اطلاعات غلط به مهاجمیان (مانند اطلاعات مالی) می‌تواند از لحاظ حقوقی مشکل‌ساز شود و انتشار این اطلاعات غلط می‌تواند باعث ارزش‌گذاری غلط سهام شرکت شده و اعتبار آن را خدشه‌دار سازد. اما می‌توانید به راحتی آدرس‌های رایانامه‌ی جعلی را منتشر کنید که نرم‌افزارهای جمع‌آوری آدرس و مهاجمان برای هدف قرار دادن کارمندان از آن‌ها استفاده می‌کنند.

استفاده از تاکتیک‌های اختلال نیازمند درک صحیحی از شبکه‌ی شرکت است تا بتوان میان ترافیک عادی و ترافیک جعلی موجود در شبکه تمایز قائل شد. زمانی که درک درستی از ترافیک عادی شبکه به دست آمد، می‌توان ترافیک مشکوک را جداسازی کرد و از آن برای پیشگیری از دسترسی بیشتر در آینده استفاده کرد. برخی از سازندگان بدافزار نیز با استفاده از تکنیک، متوجه محیطی که بدافزار در آن در حال اجرا است شده و در صورتی که بدافزار در یک رایانه‌ی آزمایشی اجرا شده باشد، رفتار مخرب از خود بروز نداده و یا فعالیت‌های خود را به کل متوقف می‌سازد.

دو مورد از محبوب‌ترین ابزارها برای پیشگیری و اختلال، Tarpit و Honeypot است. هر دوی این ابزارها برای متوقف ساختن محدود یک حمله استفاده می‌شوند اما ساختاری متفاوت دارند.

Honeypot با ظاهرسازی به صورت یک رایانه با حفاظت ضعیف، مهاجم را به داخل کشیده و مهاجم تلاش می‌کند با استفاده از آن وارد شبکه شده و یا بدافزاری بر روی آن نصب کند که در تمام محیط منتشر شود. این شیوه نه تنها مهاجم را فریب می‌دهد، بلکه به جمع‌آوری داده و به دست آوردن نمونه‌ای از کد مخرب جهت مقابله با آن در سایر رایانه‌ها نیز کمک می‌کند.

Tar pit نیز با ایجاد وقفه‌ی عمدی در پاسخ به اتصالات ورودی اولیه، در کار مهاجم تأخیر ایجاد می‌کند. ایده‌ی این شیوه این است که ترافیک معتبر با ایجاد یک وقفه‌ی کوتاه دچار مشکل نمی‌شود، اما مهاجمی که به ایجاد حجم زیادی از ترافیک ناخواسته می‌پردازد، با این وقفه‌ها دچار مشکل شده و این وقفه به شناسایی و انسداد حمله توسط مسئولین سامانه کمک خواهد کرد.

پس از بررسی تکنیک‌های پیشگیری، اکنون نوبت دفاع فعال از طریق تلافی است. تلافی کردن حمله در دفاع فعال، «نفوذ متقابل» نامیده شده و معادل سایبری چوب در لانه‌ی زنبور کردن است.

این کار به اندازه‌ای باعث اتلاف منابع می‌شود که بررسی آن ارزشی ندارد. تنها در صورتی که شبکه‌ی شما ضدگلوله است دست به این کار بزنید، در غیر این صورت مشکلات بی‌شماری گریبان شما را خواهد گرفت. ممکن است مهاجمان انگیزه و منابع بسیار بیشتری جهت حمله به شبکه‌ی شما داشته باشند و در این صورت، تحریک آن‌ها عاقلانه نیست. همچنین، تشخیص دقیق اینکه حمله توسط چه کسی انجام شده بسیار بسیار دشوار است: ممکن است شما به اشتباه به کسی حمله کنید که خود قربانی ناخواسته‌ی حمله به شبکه‌ی شما بوده است.

استفاده‌ی مؤثر از دفاع فعال

اکنون که مشخص کردیم دفاع فعال چیست، می‌توانیم در مورد استفاده‌ی مؤثر از آن جهت دفاع از شبکه صحبت کنیم. اگر انواع مختلف دفاع فعال را در یک جدول در نظر بگیرید، می‌توان بیشترین بازدهی به ازای سرمایه‌گذاری را یافت.

داخلی خارجی
انتساب بله شاید
پیشگیری بله شاید
تلافی خیر خیر

در میان اقداماتی که می‌توان در راستای دفاع فعال انجام داد، هرچه در شبکه‌ی خود باقی بمانید، هزینه‌هاکمتر، اقدامات ساده‌تر و نتیجه‌ها بهتر خواهند بود؛ و از جهت دیگر، هر وقت که به یک رایانه در شبکه‌ای دیگر وارد شده و یا در آن تغییرات ایجاد کنید، احتمالاً از لحاظ حقوقی دچار مشکل شده و نتیجه‌ی وقت و هزینه‌ای که سرمایه‌گذاری کرده‌اید نیز ناچیز خواهد بود.

حتی اگر بتوانید یک رایانه‌ی خاص را به عنوان عامل قطعی حمله شناسایی کنید، اشتباه مهاجم توجیه کننده‌ی عمل اشتباه شما نخواهد بود، همچنین انجام حمله‌ی متقابل، به گونه‌ای که رایانه‌های افراد بی‌گناه و بی‌تاثیر در حمله، تحت تثیر حمله‌ی شما قرار نگیرند، بسیار دشوار است. علاوه بر آن، شاید رایانه‌ای که شناسایی کرده‌اید، خود قربانی حمله‌ای دیگر توسط مهاجم اصلی شده و از آن برای حمله به شبکه‌ی شما استفاده شده، در نتیجه، حمله‌ی متقابل، باعث حملاتی متعدد میان افراد مختلف شده و در این میان، مهاجم بدون هیچ مشکلی به کار خود ادامه خواهد داد.

جمع‌آوری اطلاعات درمورد فعالیت‌های در حال انجام در شبکه‌ی شما، به خودی خود مشکلی ندارد؛ خواه این داده‌ها در مورد کارمندان یا نفوذگران باشد، قانون با آن مشکلی ندارد. در هنگام شناسایی مهاجم نیز می‌توان این داده‌ها را با مجریان قانون به اشتراک گذاشت و علاوه بر حفاظت از شبکه‌ی شما، به باقی شرکت‌ها نیز در مواجهه با آن تهدید کمک کرد. جمع‌آوری داده از منابع خارج از شبکه‌ی شما نیز زمانی قانونی است که این داده‌ها یا به طور عمومی در دسترس بوده و یا مالک آن داده‌ها توافق کرده باشد که داده‌ها را با شما به اشتراک بگذارد.

زمانی که جهت شناسایی مهاجم به جمع‌آوری داده می‌پردازید، ابتدا باید بدانید ترافیک عادی در شبکه‌ی شما چگونه است. برای درک این موضوع باید بتوانید به چند سؤال پاسخ دهید. مثلا:

  • معمولاً افراد در چه ساعتی از روز از شبکه‌ی شما استفاده می‌کنند؟
  • این افراد از چه شهر‌هایی به شبکه‌ی شما دسترسی دارند؟
  • مقصد‌های کاربران چیست؟
  • چه رفتارها و انواع ترافیکی قابل‌قبول هستند؟
  • چه کسی باید به چه منابعی دسترسی داشته باشد؟

زمانی که به این سؤالات پاسخ دادید، و ترافیک معتبر تعیین شد، می‌توانید از آن برای شناسایی ترافیک مشکوک، سپس مسدود کردن و یا منحرف کردن آن استفاده کنید.

استقرار و استفاده از Honeypot و Tar Pit نیز بسیار آسان بوده و منابع رایگانی وجود دارند که در این امر شما را یاری خواهند کرد. این ابزارها جلوی ورود مهاجم را نمی‌گیرند، اما او را بخش‌هایی از شبکه‌ی شما هدایت می‌کنند که بتوان رفتار و تاکتیک‌های او را مطالعه کرده و از نتایج به دست آمده جهت محافظت از منابع ارزشمند شبکه استفاده کرد.

چرا باید از دفاع فعال استفاده کرد

حال که دفاع فعال را تعریف کردیم و بهترین شیوه‌ی پیاده‌سازی آن را نیز دانستیم، ممکن است این سؤال برای شما ایجاد شود که چرا باید زحمت استفاده از آن را بر خود همورا کنیم؟ بسیاری از شرکت‌ها اکنون خود را محاصره‌ی مهاجمان یافته‌اندد و متوجه شده‌اند که راه‌های سنتی دفاع توان کافی جهت محافظت از آن‌ها را دارا نیست. استفاده از راهبردهای فعال‌تر می‌تواند پاسخ‌گویی امنیتی شما را بهبود داده و دید بهتری بر اوضاع امنیتی شبکه به دست دهد؛ و در صورت داشتن متخصصین لازم، می‌توان از این داده‌های به دست آمده برای بهبود بیشتر امنیت استفاده کرد.

این تکنیک‌ها، تجهیزات دفاعی نیستند که یک‌بار آن‌ها را تنظیم کرده و برای همیشه آن‌ها را به حال خود رها کنید، بلکه آن‌ها منابع ارزشمندی از داده هستند که می‌توان از آن‌ها برای تنظیم بهینه‌ی تجهیزات امنیتی برای مقابله با تهدیدهای خاص شبکه‌ی شما استفاده نمود. اگر از این داده‌ها استفاده نکنید، تنها چیزی که به دست می‌آورید، دیدی بهتر از دزدهایی هستند که در شبکه‌ی شما در حال رفت و آمد و سرقت پرونده‌های شما هستند. تنها شما هستید که می‌توانید تصمیم بگیرید آیا نتیجه‌ی به دست آمده ارزش زمان و هزینه‌ی صرف شده را داراست یا خیر.

منبع: news.asis

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.