یکی از مفاهیمی که شکارچیان تهدید لازم است بدانند،  راهبرد دفاع فعال سایبری یا Cyber Active Defence  در برنامه امنیت سایبری سازمان است. علیرغم رویکردهای سنتی و غیر فعال در امنیت، رویکردهای دفاعی فعال به شیوه ای موثر تر عمل کرده و توانایی توقف نمودن مهاجمان را در گاهم های اولیه حمله را دارند. در این نوشته به بررسی مفهوم دفاع فعال، تفاوت آن با رویکرد غیر فعال و فرآیند آن می پردازیم

 

درک دفاع فعال سایبری

دفاع فعال سایبری(Active cyber defense) یا امنیت تطبیقی(Adaptive security)، زیر حوزه ای از دفاع سایبری است که بر تجمیع و خودکارسازی مکانیزم ها و راهکارهای مختلف امنیتی برای پاسخ به موقع به رخدادهای سایبری تمرکز دارد. دفاع سایبری فعال از مجموعه ای از کارکردهای منطقی تشکیل شده است که با دریافت جزئیاتی از زیرساخت شبکه، شناسایی فرآیندهای سازمان و عملیات مهاجمان سایبری اقدام به مقابله تهدیدات سایبری می کند.

یکی حوزه های داغی که دفاع فعال سایبری در آن حضور دارد، شکار تهدیدات سایبری و چرخه پاسخگویی به حوادث است. ایده دفاع فعال سایبری برای پوشش شکاف امنیتی موجود در شیوه های خودکار و غیرفعال امنیت وجود آمده است. از رویکردهای دفاع فعال می توان برای مصرف اطلاعات هوشمندی تهدید، پاسخگویی رخداد موثر و شکار تهدید استفاده نمود.

برخی این شیوه پاسخ گویی به حوادث سایبری رو با روش hackback(هک متقابل) اشتباه می گیرند و به طور مستقیم اقدام به نفوذ به عامل تهدید می کنند. گرچه شیوه هک متقابل رو می توانیم یکی از دیدگاه های دفاع فعال در نظر گرفت، اما شیوه های دیگر در دفاع فعال رایج تر هستند. این سوء برداشت پرپایه درک نادرست از هدف دفاع فعال ایجاد می شود. در ذهن خیلی از افراد دفاع فعال نوعی روش هک متقابل و انقام گیری است. دلایل منطقی وجود دارد که چرا شما باید این طرز فکر را فراموش کنید.

اول باید دانست در حملات شبکه های سایبری، شناسایی هویت مهاجم کار بسیار سختی است، در نتیجه احتمال اشتباه در شناسایی عامل حمله و ایجاد حملات ناخواسته وجود خواهد داشت. دوم، پاسخگویی مناسب برای سازمان های تدافعی کار دشواری است. سوم، منافع اقدام تلافی جویانه معمولا محدود و کوتاه مدت است. چهارم، در بسیاری کشورها اقدام به نفوذ هدف بدون کسب مجوز لازم یا تایید نهاد قانونی(دادگاه یا نهاداجرایی یا نهاد نظامی) جرم محسوب می شود و غیر ممکن است.

دوم اینکه دفاع فعال به جز هک متقابل، فواید دیگری هم دارد. مهم ترین آن : «تلاش برای مختل کردن گام/فعالیت حمله مهاجم». مانند یک کارآگاه که منتظر بروز اشتباه از سوی مجرم برای به دام انداختن وی است؛ در دفاع فعال نیز، مدافعان امنیت با اقدامات مختلف موجب اشتباه مهاجم شده و فرصتی برای افشای ماهیت یا حمله وی ایجاد می کنند. این عمیات باعث می شود مهاجم سریعتر دچار اشتباه شود.

کارشناسان امنیت در فرآیند دفاع فعال سایبری بر روی مواردی نظیر پایش حوادث و پاسخگویی، آزمون نفوذ، تحلیل بدافزار، هوشمندی امنیتی(TI)، حکمیت/مخاطره/تطابق با مقررات امنیت(GRC) تمرکز دارند.

 

دفاع فعال و دفاع غیرفعال

در مقابل فناوری های مبتنی بر رویکرد دفاع فعال، سازوکارها و فناوری های دفاع غیرفعال وجود دارند. در دفاع غیرفعال مبتنی بر این تفکر است که اطلاعات دور از دسترس افراد غیرمجاز و مهاجمان باشد اما اقدامی برای پیشگیری و ممانعت از آن انجام نمی شود. غیر فعال آن دسته از ابزارها و سامانه های هستند که به معماری شبکه اضافه می شوند و برخی از دیدگاه های امنیتی را بدون نیاز به تعامل انسان فراهم می کنند. راه حل های دفاع غیرفعال عموما بر محور کسب و کار عمل می کنند ولی مناسب نیازهای بلند مدت سازمان ها نیستند. این راه حل ها بر آسیب پذیری ها، اکسپلویت آن ها و وضعیت هایی که مورد خطر قرارگرفتن دارایی ها را نشان می دهد تمرکز دارند. برای مثال هنگام مواجهه با بدافزاری مانند NotPetya، در رویکرد دفاع فعال برنامه های مخربی که منشاء وجود آلودگی هستند ایزوله می شوند.

دیوارآتش ها، سامانه های تشخیص نفود و راهکارهای امنیت ماشین های انتهایی مانند سامانه پیشگیری از نشت اطلاعات(DLP) و نرم افزارهای ضدبدافزار در این دسته قرار می گیرند. این راهکارها به راحتی با تغییر کوچکی در شیوه حمله مهاجم یا بدافزار مورد استفاده قابل دور زدن هستند.

دفاع غیر فعال سایبری

برای پوشش شکاف امنیتی ناشی از این رویکرد، نیاز به رویکردی مستحکم تر و پشتیبانی مداوم از فرآیندهای امنیتی غیرفعال وجود دارد.

 

پیاده سازی رویکرد فعال در امنیت شبکه علاوه بر امکان دستیابی به بهترین شیوه دفاعی، همچنین روشی به صرفه هزینه و اقتصادی برای پیاده سازی امنیت سایبری است. رویکرد دفاع فعال روشی بهتر برای مدیریت عملیات امنیت و افزایش هزینه حمله مهاجمان علیه سازمان است. در بخش بعدی به بررسی چرخه حیات دفاع سایبری و فناوری های مورد استفاده در آن می پردازیم

 

 


مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *