مهندس مرتضي مهرآيين، مديرعامل شرکت فاواموج تشريح کرد:
منظور از تهديد پيشرفته ي مستمر (Advanced Persistent Threat) روشهاي پيشرفته و معمولاً مخفي براي بدست آوردن مستمر اطلاعات در مورد فرد يا گروهي از افراد از جمله دولت هاي خارجي است. در حوزه امنيت اطلاعات، مجموعهاي از تهديدات است که در يک الگوي دراز مدتِ حملات نفوذيِ پيچيده عليه دولتها، شرکتها و شخصيتهاي سياسي استفاده ميشود. متن زير مصاحبه ما با مهندس مرتضي مهرآيين، مديرعامل شرکت فاواموج است که در راستاي مقابله با اين تهديدات و ساير بخش هاي حوزه ي امنيت اطلاعات و فناوري ارتباطات فعاليت دارند:
زمان تحول- جناب آقاي مهرآيين، اهداف حملات APT چيست؟
در دنياي کنوني اطلاعات بسيار با ارزشي توسط اشخاص، شرکت ها و کشورها توليد و نگه داري مي شوند و همواره اين اطلاعات، هدف حمله افراد گوناگون و گروه هاي خاص بوده است. اين حملات مي توانند به منظور جاسوسي سايبري و يا خرابکاري باشند. معمولاً اين حملات از تکنولوژي هايي استفاده مي کنند که حساسيتي براي شبکه و فايروالهاي موجود ايجاد نکنند.
جهت گيري APT ها به سمت صنايع بزرگ، مراکز مالي و يا اهداف دولتي است و هدف از اين حملات، عمدتاً نابود سازي اطلاعات، تغيير مسير اطلاعات و سرقت از اطلاعات با ارزش دولت ها و شرکت ها مي باشد. براي مثال حمله به تأسيسات مهم کشورمان توسط ويروس Stuxnet با همين اهداف بوده است.
ماهيت اين نوع حملات به گونه اي است که مي تواند براي ماه ها و سال ها به طول بيانجامد تا در زمان مناسب به نتيجه دلخواه خود برسد. APT در اصل يک هک ساده نمي باشد (که فقط به يک وب سايت و يا يک شبکه نفوذ شود و حتي يک جرم تعريف شده به صورت قطعي نيست که شخص براي سود خود اين کار را انجام دهد). بلکه هدف بسيار بالاتر است و دستيابي و برتري جويي در صحنه بين المللي به عنوان هدف اصلي اين حملات، مطرح گرديده است.
زمان تحول-APT از چه تاريخي شکل گرفته است؟
APT در دهه اول قرن 21 با حمله کشور چين به داده هاي نظامي آمريکا و همچنين در سال 2009 با حمله به شرکت گوگل و در سال 2011 در حمله به شرکت RSA مفهومي جدي و مهم تر پيدا کرد.
امروزه بيشتر اهداف اين حملات از ميان نهادهاي دولتي، نهادهاي نظامي، و شرکتها و صنايع نظامي، مانند هواپيما سازي، موشک سازي، و شرکت هاي پيشرو در زمينه IT انتخاب مي شوند. همچنين سرقت اطلاعات مهم مانند بايگاني ايميلها و مجموعه مستندات آرشيو شده، اسرار تجاري و پايگاه هاي داده، جزء اهداف مهم اين گونه حملات به شمار مي آيند.
زمان تحول- آيا در اين حملات از روش مشخصي استفاده مي شود ؟
اکثر اين حملات با استفاده از روش Spear Phishing و حملات گسترده Zero-day malware رخ مي دهد.
Spear Phishing با روش ارسال ايميل به کارمندان انتخاب شده در درون سازمانها اتفاق مي افتد. هکرها سعي مي کنند ايميل ها را از مبادي معتبر ارسال کنند تا حساسيتي براي دريافت کنندگان ايجاد نشود و در صورت کليک کردن بر روي لينک هاي موجود بر روي ميل و با توجه به ظواهر قانوني آن به برنامه مخرب اجازه ورود به کامپيوتر داده مي شود. همچنين در روش Zero-day malware ويروسها و تروجانها که تاکنون توسط آنتي ويروسها شناخته نشده اند يک حفره امنيتي در کامپيوترها ايجاد مي کنند و شبکه اي از Botnet ها تشکيل مي شود تا در زمان مناسب بتوان از آنها استفاده نمود.
در نمونه اي از اين حمله ها که در تاريخ 17 مارچ سال 2009 به شرکت RSA انجام شد، هکرها توانستند توسط يک ايميل که در فولدر Junk يکي از کارمندان اين شرکت قرار داشت به اطلاعات مورد نظر خود دست پيدا کنند. اين حمله که توسط يک فايل Excel که ضميمه يک ايميل بود ايجاد گرديد، باعث بروز يک رخنه از نوعZero-day malware شد که با ايجاد يک Back Door و با استفاده از حفره اي که در نرم افزار Adobe وجود داشت، هکرها توانستند اطلاعات مربوط به Secure ID ها را مورد سرقت قرار دهند.
زمان تحول- يعني تمام اين حمله توسط يک ايميل سازماندهي شده است؟!
بر طبق شنيده ها يک کد مخرب بر روي کامپيوتر کارمند مورد نظر، باعث نصب نرم افزاري به نام Poison Ivy بر روي سيستم عامل کاربر شد که کنترل کامل کامپيوتر را به دست گرفت. از اين طريق، يک حمله APT به سمت اشخاص ديگر شکل گرفته، و در نتيجه سارقين به سرورهاي مهم دسترسي پيدا کرده و با استفاده از پروتکل هاي انتقال کليدها و فايل هاي رمز گشايي، آنها را منتقل کردند.
زمان تحول- آيا راهکار مناسبي براي جلوگيري از اين حملات وجود دارد؟
به دليل پيچيدگي حملات APT و به اين دليل که از روش هاي بسيار متنوعي جهت اين گونه عمليات ها استفاده مي شود، راهکار مناسب براي جلوگيري از اين حملات، در ابتدا مي بايست به درستي اين گونه رفتارها را تحليل نمايد. در حقيقت به يک سيستم Monitoring بسيار دقيق نياز است تا کوچکترين تغييرات را نيز شناسايي و آناليز نموده و عدم رعايت سياست هاي امنيتي از سوي کاربران و سرورها را تشخيص دهد.
به دليل اين که هکرها در اين گونه حملات سعي مي کند ردي از خود برجاي نگذارند، لذا راهکار مناسب بايد قادر به تشخيص کوچکترين تغييرات باشد.
نخستين و مهم ترين راهکار، داشتن آنتي ويروس هاي به روز و کارآمد است که تمامي حملات جديد را شناسايي نموده و به موقع بروز رساني شود.
دومين و در حقيقت، راهکار اصلي که بسيار اهميت دارد وجود يک سيستم مانيتورينگ و آناليزور قوي مي باشد که بتواند حملات Zero-day malware که جديد بوده و توسط آنتي ويروس ها شناسايي نمي شوند را تشخيص دهد و جلوي آن ها را بگيرد.
زمان تحول- شرکت فاواموج در اين زمينه چه پيشنهادي دارد؟
به اين منظور محصول Blind spotter شرکت Balabit معرفي گرديده است که اين امکان را دارد تا به صورت بلادرنگ، شبکه را مورد بررسي قرار دهد و به راحتي مي تواند رخنه و افشاي اطلاعات و همچنين حملات APT را تشخيص دهد.
اين محصول، رفتار کاربران را مورد بررسي قرار مي دهد و اگر نکته ي مشکوک و غير عادي را تشخيص دهد، بلافاصله به صورت خودکار واکنش نشان مي دهد.
اين راهکار شرکت بالابيت مي تواند به چندين روش، رفتار هاي سايبري و انتقال اطلاعات را پردازش نموده و براي هر کاربر يک پروفايل ويژه تشکيل دهد تا در صورت بروز هرگونه رفتار غيرعادي و مشاهده ي کوچکترين تغيير بدون دليل، واکنش مناسبي نشان دهد. عملاً با استفاده از اين محصول به جاي ايجاد محدوديت، در رفتار سايبري کاربران، نظارت دقيق تري صورت خواهد گرفت و به اين ترتيب حفاظت مناسب و بدون خطا از اطلاعات مهم به ارمغان آورد.
هم اکنون تيم فني شرکت فاواموج، اين راهکار مهم را در سطح کاملاً حرفه اي در سازمان ها و مشتريان ولي نعمت خود ارائه و اجرا مي نمايد.
زمان تحول- از اين که براي توضيح دقيق اين مسأله وقت خودتون را در اختيار ما و خوانندگان محترم اين نشريه قرار داديد تشکر مي کنم.
ما هم از شما و همه ي دوستاني که در اعتلاي ايران آباد و توسعه ي فناوري هاي نوين در کشور تلاش مي کنند قدرداني نموده و سپاسگزارم.