آیا داده های می توانند حملات سایبری را ردگیری کرد؟

جولای 22, 2013

متخصصان امنیت میتوانند با استفاده از دادههای ارزشمندِ حاصل از سیستمهای امنیت سایبری دیدگاهی را كه برای ردگیری حملات سایبری به آن نیاز دارند به دست آورند.

به گزارش شبکه خبری دولت الکترونیک, میشل كوان، مشاور امنیتی فعلی و مدیر سابق یواس-سرت (US-CERT) چنین هشدار میدهد: “زمانه عوض شده است. ما دیگر نمیتوانیم منتظر بنشینیم تا آنتیویروسها به ما هشدار دهند یا بدافزارها با فایروال مواجه شوند.”

كوان در سمیناری كه با حضور متخصصان بلندپایۀ امنیت سایبری دولتی برپا شده بود ریاست هیئتی را به عهده داشت كه سخنرانان آن از مؤسسات گوناگونی آمده بودند: از وزارت كشور امریكا گرفته تا ناتو. همۀ این اعضا نیز بر سر نقش كلاندادهها در هشدار دربارۀ حملات سایبری در زمان وقوع آن اتفاق نظر داشتند.

اما به گفتۀ جی. آر. ریگان، از شركت دلویت توش (Deloitte Touche “سروكار داشتن با دادههایی كه محیط حملات را توصیف میكنند كاری دلهرهآور است. ما حجم عظیمی از دادههای مربوط به رخدادها را گردآوری میكنیم و این حجم دارد بزرگتر از حدی میشود كه انسان قادر به مشاهدۀ الگوی رخدادها شود.”

او خاطرنشان میكند كه یكی از مهمترین پیشرفتها در امنیت سایبری توانایی تصویرسازی برای دادههاست كه این امر مشاهدۀ الگوهایی را میسر میكند كه در غیراینصورت قابلمشاهده نبودند.

ریگان در توضیح چنین میگوید: “سرعت دیدن تصاویر برای ما حدوداً 60هزار برابر بیشتر از خواندن متن است. اكنون ما قادریم نقطۀ حمله را ببینیم.” او میگوید كه مسئولان امنیت میتوانند با تصویر كردن درست دادههای رخدادها الگوهایی را در این حوادث ببینند كه منجر به حمله شده است. این الگوها در غیراینصورت هرگز برای آنها قابلمشاهده نبود. در نتیجه، آنها میتوانند به محض شروع حمله آن را مشاهده كنند.”

ریگان، كه عضو هیئت علمی دانشگاه جانز هاپكینز نیز هست، میگوید كه دادههای رخدادها كه از طریق حسگرهایی در كل مؤسسه گردآوری میشوند میتوانند به كسب اطلاعاتی كمك كنند كه در تحلیلهای امنیت سایبری كاربرد دارند. این تحلیلها برای شناخت حملات در زمان وقوعشان به كار میروند.”

اما برای آنكه قادر به ایجاد تصویرهایی كارآمد باشیم نیاز به دادههای فراوانی است كه به گفتۀ كوان، سر به میلیارد میگذارد. او در توضیح این نكته میگوید كه این میتواند بدان معنی باشد كه برای این كار به 24 ترابایت داده در روز نیاز داریم. اما همۀ این میزان داده را میتوان در فرایندی تحلیلی وارد و الگوهای موردنظر را فوراً از آنها استخراج كرد. به گفتۀ آقای كوان، “الگوهای مذكور به سرعت رشد و تغییر میكنند.”

به گفتۀ كرتیس لوینسن، مشاور دفاع سایبری ناتو، تصویریكردن تمام دادهها آسان نیست. او این سؤال را مطرح میكند: “رویدادهای واقعی كداماند و پارازیتهای پسزمینهای كدام؟” او میافزاید كه گردآوری دادهها كاری پیچیده است زیرا باید این اطلاعات به اشتراك گذاشته شود و به اشتراك گذاشتن آنها مستلزم پاكسازی این دادهها از تمامی اطلاعات شخصیای است كه آنها را قابلشناسایی میكند. تنها در این صورت است كه محققان میتوانند تصاویری به واقع مفید تهیه كنند.

اما گردآوری صرف دادهها، حتی اگر به خوبی نیز به تصویر در آیند، كافی نیست. برای استفاده از تصویرهای مذكور در جلوگیری پیشدستانه از حملات، باید دادهها را با افراد و سازمانهایی به اشتراك گذاشت كه از ابزار لازم برای اقدام ترمیمی برخوردارند. به گفتۀ استیون دنیس، مدیر ابداعات مؤسسۀ طرحهای تحقیقی پیشرفتۀ امنیت داخلی در ایالات متحده، این نوع بهاشتراكگذاری كاری دشوار است. او میگوید: “ما با سرعت به سمت توانایی مشاهدۀ اطلاعات در حركتایم.” وی معتقد است كه به رغم وجود تمام این دادهها، هنوز دقیقاً معلوم نیست آیا چیزی كه با آن سروكار داریم به راستی همان كلانداده است یا چیزی دیگر. او در توضیح، چنین خاطرنشان میكند: “هیچ تعریفی از كلانداده وجود ندارد.”

خبر بد این است كه دادهها بسیارند و در نتیجه، پرداختن به آنها نیز سخت است. در حالی كه هزینههای ذخیرهسازی همچنان رو به كاهش است و قدرت پردازش موردنیاز برای كار كردن بر این دادهها به شدت افزایش یافته است، هنوز هم این كار دشوار است. اما خبر خوب این است كه با زیادتر شدن دادههای گردآمده، استفاده از آنها برای ایجاد تصویرهای لازم در زمانی كه هنوز فرصت برای واكنش هست آسانتر میشود.

متأسفانه، تصویرسازی از كلیت حملات و محیط حمله كاری است كه تازه آغاز شده است. اما معنیاش این نیست كه سازمانهای فعال در زمینۀ امنیت فقط باید منتظر بمانند. همانطور كه آقای كوان میگوید، عملیات امنیتی باید چیزی فراتر از هشدارهای فایروالها و آنتیویروسها باشد. او معتقد است كه باید از دادهها، شیوۀ گردآوری و كاربرد آنها مراقبت كرد.

اما وی علاوه بر اینها بر این باور است كه عملیات امنیتی باید چیزی ورای مراقبت از فرایند تصویرسازی باشد. باید از این موضوع نیز اطمینان حاصل شود كه فعالیتهای انجامشده تأثیری درست دارند و این امر از طریق كاهش رخدادها و عدمتوفیق عملیات هك و نفوذ میسر میشود.

محققان برای پیشبرد روند تصویرسازیهای مؤثر دیگر تنها به دولت یا صنایع خاص تكیه ندارند. ریگان خاطرنشان میكند كه صنعت خدمات مالی نیز برای پیشبرد روند تصویرسازی از دادههایی با حجمهای بسیار بالا تلاشهایی كرده است. صنعت بازیهای كامپیوتری نیز مثالی خوب در این زمینه است. این صنعت خوب میداند كه چگونه باید از پول خود محافظت كند و میتوان از آن چیزهای زیادی آموخت.

مسئولان امنیت هنوز باید دربارۀ كاربرد كلانداده در حفظ دادههای در معرض خطر سرقت خیلی چیزها بیاموزند اما این فرایند پیشرفت زیادی كرده و از مراقبتِ صرف در برابر بدافزارها به سمت دنیای تحلیلهای پیشگیرانه سوق یافته است. این روند میتواند به جلوگیری از همۀ انواع حملات منجر شود.