مروری بر انواع تهدیدات امنیت سایبری

به زبان ساده یک تهدید سایبری، نشانه ای از تلاش هکر یا مهاجمین مخرب است که در تلاشند با دسترسی احراز هویت نشده به یک شبکه به هدف خود که اجرای حمله است، دست پیدا کنند.
تهدیدات سایبری می توانند واضح مثل ایمیلی از سمت یک ناشناس بوده یا کد مخربی باشد که مخفیانه راهکارهای امنیتی موجود را دور زده و برای مدتها در شبکه و قبل از سرقت داده ها، مستقر بماند. هر چه تیم های امنیتی و کارمندان بیشتر از انواع مختلف تهدیدات سایبری اطلاع داشته باشد می توانند به شکل موثرتری از حملات سایبری پیشگیری کرده و در برابر آنها آمادگی داشته باشند.

بدافزارها – Malware

مخفف malicious software – کد نرم افزاری که با هدف آسیب به سیستم و کاربران آن نوشته شده است.
اغلب حملات سایبری مدرن شامل چند نوع بدافزار هستند. مهاجمان از حملات بدافزاری برای دسترسی بدون احراز هویت، غیرعملیاتی کردن سیستم ها، حذف داده ها، سرقت داده های حساس و حتی پاک کردن فایل های حیاتی برای سیستم عامل، استفاده می کنند.
انواع رایج بدافزارها شامل:
باج افزار: اطلاعات و یا سیستم قربانی را قفل کرده و تهدید می کند که در صورت عدم پرداخت باج آنها را قفل نگه داشته یا به صورت عمومی منتشر می کند. طبق گزارش IBM Security X-force Threat Intelligence Index 2023 حملات باج افزاری 17 درصد از کل حملات سایبری در سال 2022 را به خود اختصاص داده اند.
تروجان: یک کد مخرب است که در پوشش برنامه های مفید یا نرم افزارهای قانونی کاربران را نسبت به دانلود خود ترقیب می کند. برای نمونه remote access Trojan یا RAT یک backdoor مخفیانه یا dropper Trojan در سیستم قربانی ایجاد کرده که از این طریق زمانی که راهی به سیستم قربانی پیدا کند بدافزارهای بیشتری را روی آن نصب می کند.
جاسوس افزار: از مخفیانه ترین بدافزارهاست که اطلاعات حساسی مثل رمزعبور، نام کاربری، اطلاعات بانکی و .. را جمع آوری کرده و بدون اطلاع قربانی آنها را برای مهاجم ارسال می کند.
wormها: برنامه های خود تکثیر هستند که به صورت خودکار و بدون دخالت کاربر در نرم افزارها و دستگاهها گسترش می یابند.

مهندسی اجتماعی و فیشینگ

مهندسی اجتماعی که اغلب از آن به عنوان هک انسانی یاد می شود، به منظور انجام اقدماتی برای افشا اطلاعات محرمانه و به خطر اندختن امنیت فردی یا سازمانی، اهداف را دستکاری می کند.
فیشینگ از شناخته شده ترین و فراگیرترین نوع حملات مهندسی اجتماعی است. فیشینگ از ایمیل های جعلی، پیوست های ایمیل، پیام های متنی یا تماس تلفنی برای ترقیب کاربران نسبت به افشای اطلاعات خصوصی یا حساب کاربری، دانلود بدافزار، انتقال پول و … استفاده می کند و به این دلیل فیشینگ نامیده می‌شوند که مهاجم در واقع با استفاده از «طعمه»، برای دسترسی به یک منطقه ممنوعه «ماهیگیری» می‌کند.
برای اجرای حمله، مهاجم ممکن است پیوندی بفرستد که قربانی را به وبسایتی برده و سپس او را فریب می‌دهد تا بدافزارهایی مانند ویروس‌ها را دانلود کرده یا اطلاعات حساس و شخصی خود را به مهاجم بدهد. در بسیاری از موارد، هدف ممکن است متوجه نباشد که به خطر افتاده و به مهاجم اجازه می‌دهد بدون اینکه کسی به فعالیت مخرب مشکوک شود، به دنبال سایر سیستم ها و افراد در همان سازمان برود.

با تفکر دقیق در مورد انواع ایمیل هایی که دریافت شده و لینک های موجود در آنها، می توان از وقوع حملات فیشینگ جلوگیری کرد. به هدرهای ایمیل دقت کنید و روی هر چیزی که مشکوک به نظر می رسد کلیک نکنید. پارامترهای «Reply-to» و «Return-path» را بررسی کنید. آنها باید به همان دامنه ارائه شده در ایمیل متصل شوند.
انواع رایج حملات فیشینگ :
Spear Phishing: حملات فیشینگ هدفمند که یک فرد خاص را هدف قراره داده و از جزییات حسابهای کاربری او در شبکه های اجتماعی برای کلاهبرداری استفاده می کند.
Whale phishing– همان حملات فیشینگ spear که مدیران شرکتها یا افراد سرشناس را هدف قرار میدهد.
Business email compromise (BEC)– کلاهبرداری ای که در آن مهاجمان در نقش مجری، فروشنده یا همکار مورد اعتماد سازمان اقدام به ترقیب قربانی برای اشتراک گذاری اطلاعات حساس خود، می کند.
نوع دیگری از مهندسی اجتماعی DNS Spoofing است که در آن مهاجم با استفاده از نام دامنه یا وبسایت جعلی که مشابه واقعی آن وجود دارد کاربران را ترقیب می کند تا اطلاعات حساس خود را در سایت وارد کنند. ایمیل های فیشینگ اغلب از نام دامنه های جعل شده در ایمیل فرستنده استفاده می کنند تا آن را موجه تر نشان دهند.
با جعل DNS، یک هکر سوابق DNS را تغییر می دهد تا ترافیک را به یک وب سایت جعلی ارسال کند. زمانی که قربانی در سایت تقلبی قرار می گیرد، ممکن است اطلاعات حساسی را وارد کند که می تواند توسط هکر استفاده یا فروخته شود. هکر همچنین ممکن است یک سایت بی کیفیت با محتوای نامناسب برای یک شرکت رقیب ایجاد کرده و برای آنها دردسر ایجاد کند.
در یک حمله جعل DNS، مهاجم از این واقعیت استفاده می کند که کاربر فکر می کند سایتی که بازدید می کند قانونی است. برای جلوگیری از جعل DNS، مطمئن باشید که سرورهای DNS شما به روز هستند. هدف مهاجمان سوء استفاده از آسیب‌پذیری‌ها در سرورهای DNS است و جدیدترین نسخه‌های نرم‌افزار اغلب حاوی اصلاحاتی هستند که آسیب‌پذیری‌های شناخته شده را رفع می کند.

حملات MITM

حملات Man in the Middle نوعی از حملات سایبری هستند که در آنها مهاجم امکان استراق سمع اطلاعات رد و بدل شده بین دو شخص، دو شبکه یا چند کامپیوتر را دارد. این حمله Man in the middle نامیده می شود چرا که محل قرارگیری مهاجم بین دو بخش در ارتباط باهم است. در واقع مهاجم در حال جاسوسی ارتباطات بین دو بخش است. در این حملات دو بخش درگیر، متوجه مشکلی در ارتباط خود نیستند و بنظر همه چیز عادی است. آنچه نمیدانند این است که شخص سومی به پیام آنها هنگام ارسال و قبل از رسیدن به مقصد دسترسی داشته و یا آن را تغییر داده است. شبکه های وای فای ناامن اغلب محل شکار هکرهایی هستند که به دنبال حملات MITM هستند. از جمله روشهای پیشگیری از این حملات استفاده از راهکار رمزنگاری قوی است.

حملات DoS

حملات denial of service یک حمله سایبری است که یک وبسایت، برنامه یا سیستم را با حجم زیادی از ترافیک جعلی تحت تاثیر قرار داده و استفاده از آن را کند کرده یا آن را از دسترس کاربران خارج می کند. حمله DDoS نیز مشابه حمله DoS بوده با این تفاوت که از شبکه ای از بات نت ها برای فلج کردن یا از کار انداخت سیستم هدف استفاده می کند.
با حمله DoS، سایت هدف مملو از درخواست های جعلی و غیرقانونی می شود. از آنجا که سایت باید به هر درخواست پاسخ دهد، منابع آن صرف پاسخ به این درخواستها می شود. این امر باعث می شود که سایت نتواند به طور معمول به کاربران سرویس دهد و اغلب منجر به خاموش شدن کامل سایت می شود.
حملات DoS و DDoS با انواع دیگر حملات سایبری متفاوت است که هکر را قادر می‌سازد یا به یک سیستم دسترسی پیدا کند یا دسترسی فعلی خود را افزایش دهد. هدف در این نوع حملات صرفا قطع کردن اثربخشی سرویس قربانی است. چنانچه مهاجم توسط یک رقیب تجاری استخدام شده باشد، این اتفاق برای آنها سود مالی نیز خواهد داشت.
حمله DoS همچنین می تواند برای ایجاد آسیب پذیری برای نوع دیگری از حمله استفاده شود. با یک حمله موفقیت آمیز DoS یا DDoS، سیستم اغلب باید آفلاین شود که همین اتفاق می تواند آن را در برابر انواع دیگر حملات آسیب پذیر کند. یکی از راه های رایج برای جلوگیری از حملات DoS استفاده از فایروال است که تشخیص می دهد درخواست های ارسال شده به سایت شما قانونی هستند یا خیر. سپس درخواست‌های جعلی را می‌توان نادیده گرفت و به ترافیک عادی اجازه می‌دهد بدون وقفه جریان داشته باشد.

Zero-day Exploits

این نوع حملات از آسیب پذیری های Zero-day و ناشناخته یا وصله نشده در نرم افزار، سخت افزار یا فریم ور بهره میبرند. از آنجایی که سازنده محصول فرصت و اطلاعی برای انتشار وصله نداشته به این نوع آسیب پذیری ها Zero-day گفته می شود و بنابراین از آنجایی که وصله ای برای آنها وجود ندارد، برای مهاجم موقعیت خوبی برای دسترسی به سیستم آسیب پذیر محسوب می شود.
یکی از شناخته شده ترین این آسیب پذیری ها Log4Shell بود، آسیب پذیری ای در Apache Log4j که به صورت گسترده مورد سواستفاده قرار گرفت. هنگام شناسایی این آسیب پذیری در نوامبر 2021 حدود 10درصد از دارایی های دیجیتال در سراسر جهان، شامل بسیاری از اپلیکیشن های وب، سرویس های ابری و سرورهای فیزیکی آسیب پذیر بودند.

حملات رمزعبور

همانطور که از نامش مشخص است در این حملات مهاجمین سایبری تلاش می کنند که پسورد را حدس زده یا اطلاعات حسابهای کاربری را به سرقت ببرند. بسیاری از حملات پسورد از مهندسی اجتماعی برای گرفتن اطلاعات حساس قربانی استفاده می کنند. مهاجمان همچنین اغلب از روش‌های brute-force برای حدس زدن رمز عبور استفاده می‌کنند. در حملات brute-force از اطلاعات اولیه در مورد فرد یا عنوان شغلی آنها برای حدس زدن رمز عبور استفاده می کند. به عنوان مثال، نام، تاریخ تولد، سالگرد یا سایر جزئیات شخصی اما قابل کشف آنها را می توان در ترکیب های مختلف برای رمزگشایی رمز عبور آنها استفاده کرد. اطلاعاتی که کاربران در رسانه های اجتماعی قرار می دهند نیز می توانند در brute-force استفاده شوند. کارهایی که فرد برای سرگرمی انجام می دهد، سرگرمی های خاص، نام حیوانات خانگی یا نام کودکان گاهی اوقات برای ایجاد رمز عبور استفاده می شود، که حدس زدن آنها را برای مهاجمان نسبتا آسان می کند.
یک هکر همچنین می تواند از حمله dictionary برای تعیین رمز عبور کاربر استفاده کند. حمله dictionary تکنیکی است که از کلمات و عبارات رایج، مانند مواردی که در یک فرهنگ لغت فهرست شده است، استفاده می کند تا رمز عبور هدف را حدس بزند.
یکی از روش های موثر برای جلوگیری از حملات brute-force و dictionary، تنظیم پالیسی lock-out است. این کار دسترسی به دستگاهها، وبسایتها یا برنامه ‌ها را به ‌طور خودکار و پس از تعداد معینی تلاش برای ورود ناموفق، قفل می‌کند. با چنین پالیسی ای، مهاجم پس از چند بار تلاش بلاک می شود. اگر از چنین پالیسی ای استفاده می کنید و متوجه شدید که یک حساب کاربری به دلیل تلاش‌های زیاد برای ورود قفل شده است، حتما رمز عبور مربوطه را تغییر دهید.

حملات IoT

در این حملات، مهاجم از آسیب پذیری ها موجود در دستگاههای IoT مثل تجهیزات خانه هوشمند و سیستم های کنترل صنعتی، بهره برداری کرده و کنترل دستگاه را به دست گرفته، داده ها را به سرقت میبرد و یا از آن به عنوان بخشی از شبکه بات نت برای اهداف مخرب استفاده می کند.

حملات تزریق

در نوع از حمله، هکر کد مخرب را به درون برنامه تزریق کرده یا بدافزاری را برای اجرای دستورات راه دور دانلود می کند، آنها می توانند پایگاه داده را خوانده، تغییر داده و یا اطلاعات وبسایت ها را تغییر دهند.
دو نوع از رایجترین حملات تزریق:
حملات تزریق SQL: یک روش رایج برای استفاده از وب سایت هایی است که برای ارائه خدمات به کاربران خود به پایگاه های داده وابسته هستند. کلاینت ها کامپیوترهایی هستند که اطلاعات را از سرورها دریافت می کنند و یک حمله SQL از یک کوئری SQL که از مشتری به پایگاه داده روی سرور ارسال می شود، استفاده می کند. این فرمان در جایی معمول و عادی مثل صفحه رمز عبور یا لاگین به سیستم تزریق می شود. سپس سروری که پایگاه داده را نگه می دارد، دستور را اجرا کرده و مهاجم به سیستم نفوذ می کند.
اگر تزریق SQL موفقیت آمیز باشد، چندین اتفاق از جمله انتشار داده های حساس یا تغییر یا حذف داده های مهم، می تواند رخ دهد. همچنین یک مهاجم می‌تواند عملیات ادمین را مانند دستور خاموش کردن اجرا کرده که باعث اختلال در عملکرد سیستم شود.
برای محافظت از خود در برابر حمله تزریق SQL، از مدل حداقل امتیاز استفاده کنید. با معماری حداقل امتیاز، تنها کسانی که به طور مطلق نیاز به دسترسی به پایگاه های داده کلیدی دارند، مجاز به ورود هستند. حتی اگر کاربری قدرت یا نفوذی در سازمان داشته باشد، ممکن است اجازه دسترسی به مناطق خاصی از شبکه را نداشته باشد.
به عنوان مثال، مدیر عامل می تواند از دسترسی به بخش هایی از شبکه جلوگیری کند، حتی اگر آنها حق داشته باشند بدانند چه چیزی در در آن بخش وجود دارد. اعمال سیاستی با حداقل امتیاز نه تنها می‌تواند از دسترسی مهاجمان به مناطق حساس جلوگیری کند، بلکه می‌تواند مانع از دسترسی افرادی به مناطق حساس شود که به‌طور تصادفی مجوز ورود به سیستم خود را افشا کرده اند.
حملات XSS: این نوع حملات مشابه با حملات تزریق SQL بوده با این تفاوت که بجای استخراج داده ها از پایگاه داده، کاربرانی را که از یک وبسایت بازدید می کنند، آلوده می کند. XSS با سوء استفاده از یک آسیب‌پذیری در یک وبسایت کار می‌کند که منجر به بازگشت کدهای مخرب جاوا اسکریپت هنگام بازدید کاربران می‌شود. اجرای کد مخرب در داخل مرورگر کاربر رخ می دهد و مهاجم را قادر می سازد تا تعامل قربانی با سایت را به خطر بیندازد.
حملات XSS می‌توانند در زبان‌های برنامه‌نویسی و چارچوب‌های نرم‌افزار مختلف، از جمله اسکریپت ویژوال بیسیک مایکروسافت (VBScript) و ActiveX، Adobe Flash و CSS رخ دهند. با این حال، آنها بیشتر در جاوا اسکریپت رخ می دهند.
یک حمله XSS معمولاً از دو مرحله تشکیل شده است. مرحله اول روشی است که آنها برای تزریق کد مخرب، که به عنوان payload نیز شناخته می شود، به صفحه وب که قربانی بازدید می کند، استفاده می کنند. این تنها در صورتی امکان پذیر است که وب سایت مورد نظر مستقیماً اجازه ورود کاربر را به صفحات خود بدهد. در این صورت، مهاجم کد مخرب را به صفحه تزریق می کند، که پس از بازدید کاربر از سایت مشتری، به عنوان کد منبع در نظر گرفته می شود.
مرحله دوم این است که قربانی به وبسایت مورد نظری که payload تزریق شده است، مراجعه کند. برای دستیابی به این هدف، مهاجمان اغلب از تکنیک های مهندسی اجتماعی استفاده می کنند یا یک حمله فیشینگ را برای هدایت قربانیان به وبسایت مخرب انجام می دهند.

منبع تهدیدات سایبری

منبع تهدیدات سایبری تقریبا به اندازه انواع تهدیدات متنوع است. دانستن انگیزه و تاکتیک های مهاجم برای متوقف کردن آنها ضروری است. از شناخته شده ترین منابع تهدید می توان به موارد زیر اشاره کرد:
مجرمان سایبری
این افراد یا گروهها عمدتا برای منافع مالی مرتکب جرایم سایبری می شوند. جرایمی که آنها دارند شامل حملات باج افزاری و کلاهبرداری فیشینگ است که افراد را فریب داده تا اطلاعات کارتهای اعتباری و حسابهای بانکی آنها را به دست آورده، پولی انتقال داده یا اطلاعات حساس خود را افشا کنند.
هکرها
همه هکرها الزامات مجرمان سایبری نیستند. گروهی از آنها هکرهای اخلاقی نام دارد که با جعل هویت مجرمان سایبری به سازمانها و دولتها کمک می کنند تا سیستم های رایانه ای خود را از نظر آسیب پذیری در برابر حملات آزمایش کنند.
Nation-State Actor
برخی از عوامل تهدید توسط دولت ها با هدف سرقت داده های حساس، جمع آوری اطلاعات محرمانه یا مختل کردن زیرساخت حیاتی دولت های دیگر، تامین مالی می شوند. این فعالیت های مخرب بیشتر شامل جاسوسی یا جنگ سایبری است و شناسایی تهدیدات را پیچیده و چالش برانگیز می کند.
تهدیدات داخلی
برخلاف بسیاری از مجرمان سایبری دیگر، تهدیدات داخلی همیشه ناشی از عوامل مخرب نیستند. بسیاری از افراد داخل شبکه یا سازمان به دلیل خطای انسانی و سهوی به سازمان خود آسیب میزنند، مواردی مثل نصب ناخواسته بدافزار یا گم شدن دستگاهی که سازمان در اختیار آنها قرار داده و دسترسی مهاجم سایبری به آن و … میتواند از این خطاها باشند.
همچنین گاهی ممکن است این تهدیدات داخلی عمدی باشند برای مثال کارمندی ناراضی ممکن است از امتیازات دسترسی خود سوءاستفاده کند. گاهی اوقات، خطرناک ترین مهاجمان از درون یک سازمان می آیند. افرادی که داخل شرکت هستند، خطر ویژه ای دارند زیرا معمولاً به انواع سیستم ها و در برخی موارد، امتیازات مدیریت دسترسی دارند که آنها را قادر می سازد تغییرات اساسی در سیستم یا سیاست های امنیتی آن ایجاد کنند.
علاوه بر این، افراد درون سازمان اغلب درک عمیقی از معماری امنیت سایبری آن و همچنین نحوه واکنش کسب و کار به تهدیدات دارند. این دانش می تواند برای انجام یک حمله مورد استفاده قرار گیرد.
یکی از بهترین راهها برای جلوگیری از تهدیدات داخلی در سازمان‌ها، محدود کردن دسترسی کارکنان به سیستم‌های حساس و تنها به کسانی است که برای انجام وظایف خود به آن‌ها نیاز دارند. همچنین، برای تعداد معدودی که نیاز به دسترسی دارند، از MFA استفاده کنید.
اگرچه MFA ممکن است به تنهایی از همه حملات جلوگیری نکند، اما تشخیص اینکه چه کسی پشت یک حمله یا تلاش برای حمله، قرار دارد را آسان‌تر می‌کند، به ویژه به این دلیل که در وهله اول به افراد نسبتا کمی اجازه دسترسی به مناطق حساس داده می‌شود. در نتیجه، این استراتژی دسترسی محدود می تواند به عنوان یک عامل بازدارنده عمل کند. مجرمان سایبری در سازمان شما می دانند که به دلیل وجود چنین راهکاری، تشخیص دقیق عامل حمله و آسیب آسان است.

از تهدیدات جلوتر باشیم

استفاده از رمزعبورهای قوی، ابزارهای امنیتی ایمیل و آنتی ویروس معتبر همگی اولین خطوط دفاعی در برابر تهدیدات سایبری هستند. سازمانها همچنین برای محافظت در برابر حملات سایبری به فایروال، VPN، احراز هویت چندعاملی و آموزش و راهکارهای امنیتی اندپوینت پیشرفته نیاز دارند. البته سیستم های امنیتی بدون قابلیتهای تشخیص تهدید و پاسخ به حادثه برای شناسایی تهدیدات امنیت سایبری به صورت real time و رفع سریع تهدیدات برای به حداقل رساندن آسیب، کامل نیستند.

منبع:

https://www.ibm.com/