معرفی راهکار پیشرفته مقابله با تهدیدات نوین سایبری در الکام‌تاکز

نشست بررسی تهدیدات نوین سایبری در بیست و چهارمین نمایشگاه الکامپ و در بخش الکام‌تاکز برگزار شد.

ستاد خبری الکامپ 24- آرین محمد مدیر محصول شرکت رادسکیور در این نشست گفت: حملات هدفمند، به حملات سایبری گفته می‌شود که برای یک منظور خاص در یک سازمان خاص طراحی شده و یک بدافزار عادی نیست که بتوان با آنتی ویروس جلو آن را گرفت.

وی افزود: حملات هدفمند با صبوری زیادی انجام می‌شود و به طور میانگین در این نوع حملات، بدافزار 218 روز در شبکه یک سازمان بدون آن که هیچ ردی از خود به جا بگذارد حضور دارد. این در حالی است که رکورد 12 سال حضور در یک سیستم اطلاعاتی نیز شناسایی شده است.

محمد با بیان این که بزرگ‌ترین نقطه ضعف امنیتی سیستم‌ها، انسان  است گفت: در حملات هدفمند، کارکنان یک سازمان از طریق رسانه ها و شبکه‌های اجتماعی شناسایی شده و سپس با استفاده از مهندسی اجتماعی، فایل حاوی بدافزار برای آنها ارسال می‌شود. برای مثال اکنون که سری جدید فیلم جنگ ستارگان قرار است پخش شود، پوستر آلوده به ویروس این فیلم را برای کارمند شرکت ارسال کرده و از این طریق به سازمان نفوذ می‌کنند.

مدیر محصول شرکت رادسکیور، استاکس‌نت را یکی مثال‌های حملات هدفمند دانست و گفت: این جنگ‌افزار سال 2010 وارد سیستم اتمی ایران شد. و همچنین بد افزار اکویژن که از سال 1999 در ایران حضور داشته در سال 2014 فعال و سپس در سال 2015 شناسایی شد.

وی با بیان این که تنها یک درصد حملات سایبری در دنیا به صورت هدفمند اتفاق می‌افتد افزود: ریسک و میزان آسیب این حملات آنقدر بالاست که استراتژی مدیران امنیت سایبری در دنیا تغییر کرده است و اگر پیش از این به دنبال محافظت از مرزهای ورود به شبکه سازمان بودند، از سال 2016 استراتژی امنیت سایبری تطابق‌پذیر را در پیش گرفته‌اند.

محمد در توضیح این استراتژی این جدید گفت: پیشتر در ورودی‌های شبکه، جلو ورود بدافزارها را می‌گرفتند. اما گاهی یک فایل آلوده بدون آن که هیچ نشانی از بدافزار بودن داشته باشد وارد سیستم شده و یک سال بعد فعال می‌شود. بنابراین سیستم باید با شرایط جدید منطبق شده و عملیات مشکوک داخل خود شبکه را نیز شناسایی کند. برای مثال برخی رفتارها مثل صبط صدا و ارسال فایل به خوبی خود مشکوک نیستند ولی اگر هم‌زمان اتفاق بیفتند، می‌تواند نشان از یک نفوذ باشد.

مدیر محصول رادسکیور با بیان این که در گام نخست برای مقابله با حملات هدفمند باید از هوش تهدیدی جهانی در کنار یادگیری ماشینی (هوش مصنوعی) و شناسایی پیشرفته استفاده کرد  و همچنین باید آگاهی امنیتی عمومی جامعه را بالا برد گفت: وقتی به یک نفر توصیه می‌کنیم که پسوور پیچیده برای ایمیل یا شبکه اجتماعی خود بگذار، او می‌گوید من که چیزی ندارم . اما او متوجه نیست که اولا کارمند یک سازمان است و از طریق او می‌توان سازمان را آلوده کرد و دوما از طریق این فرد می‌توان به دوستان او دست یافت.

وی با بیان این که 90 درصد تهدیدات هرزنامه‌ها، جاسوس‌افزارها و تبلیغ‌افزارها هستند گفت: 9 درصد تهدیدات سایبری را گروهک‌ها و مجرمانی انجام می‌دهند که انگیزه‌های مالی دارند. یک درصد نیز شامل حملات مستمر پیشرفته سایبری یا APTها است.

محمد ادامه داد: امکان خرید یک باج‌افزار از اینترنت وجود دارد و آن بخش 9 درصدی حملات بسیار ارزان شده است. در واقع حتی فرد نیاز نیست دانش سایبری خاصی داشته باشد و کافی است به یک سازمان دسترسی داشته و در سود باج‌گیری با دارنده یک باج‌افزار شریک شود.

مدیرمحصول رادسکیور گفت: این درحالی است که حملات APT پیشتر نیاز به میلیون‌ها دلار پول بود اما با انتشار کدهای جنگ‌افزارهایی مانند فلیم، و ایده گرفتن از این نوع حملات مرز بین این 9 درصد و 1درصد درحال ناپدید شدن است و عملا انجام آن یک حمله هدفند و  حملات بسیار خطرناک نیز ارزان شده است.

وی افزود: حملات هدفمند خطری بسیار جدی هستند و ایران یکی از سه کشوری است که بیش از بقیه قربانی این حملات هدفمند بوده است.

محمد در انتها، با معرفی راهکارهای مقابله با حملات هدفمند گفت: نمونه‌‌ای از راهکارهای فوق پیشرفته، بستر ضد حملات هدفمند کسپرسکی و یا کاتا است. ابزاری بسیار کامل و پیشرفته که همراه با سندباکس فوق پیشرفته کسپرسکی ابزاری بسیار قدرتمند برای شناسایی حملات هدفمند است.

مدیرمحصول رادسکیور با معرفی ابزار EDR گفت: این ابزار نسل جدید ابزاری بسیار حیاتی برای شناسایی حملات و کسب اطلاع کامل از وضعیت سیستم عامل است. و در کنار کاتا به یک سیستم مقابله تمام عیار برای حملات پیشرفته تبدیل می‌شود که پروسه شکار تهدید و پاسخ دهی به رخداد را نیز خودکار می‌کند.