پیرو مطالب قبلی در خصوص انواع تهدیدات سایبری سازمانی و همچنین اخبار متعدد در مورد آسیب پذیری و حمله روز صفر یا Zero-day لازم دیدیم یکبار دیگر به طور کامل به تعریف این حملات، چگونگی وقوع و نحوه مقابله با آنها بپردازیم. برای خواندن این مطلب تنها 8 دقیقه زمان لازم است.
Zero-day یا روز صفر اصطلاحی است که به آسیب پذیری های امنیتی تازه کشف شده ای اشاره دارد و هکرها می توانند با بهره برداری از آنها به سیستمی حمله کنند. واژه Zero-day به این موضوع برمیگردد که توسعه دهنده یا سازنده یک محصول از وجود آسیب پذیری در محصول خود بی خبر است یا به تازگی در جریان وجود یک آسیب پذیری در محصول قرار گرفته و قبل از اینکه فرصتی برای وصله و رفع آن حفره امنیتی داشته باشد، مهاجمان از آن بهره برداری نموده اند.
کلمات آسیب پذیری، بهره برداری و حمله معمولا در کنار zero-day استفاده می شوند:
آسیب پذیری zero-day : آسیب پذیری ای در نرم افزار بوده که قبل از اطلاع سازنده توسط مهاجم کشف می شود. با توجه به اینکه سازنده از وجود آسیب پذیری اطلاعی نداشته پس مسلما وصله ای برای رفع آن وجود ندارد و امکان انجام حمله موفق با استفاده از آنها میسر است.
بهره برداری از zero-day: روشی است که هکرها برای حمله به سیستم هایی با آسیب پذیری ناشناس، استفاده می کنند.
حمله zero-day : به کارگیری وبهره برداری از zero-day که باعث آسیب یا سرقت اطلاعات در یک سیستم دارای آسیب پذیری می گردد.
حمله روز صفر یا zero-day چه بوده و چطور کار می کنند؟
نرم افزارها اغلب دارای آسیب پذیری های امنیتی هستند که مهاجمان می توانند از آنها به منظور آلودگی و آسیب زدن استفاده کنند. سازندگان نرم افزار همیشه به دنبال آسیب پذیری ها بوده اند تا بتوانند آنها را در به روز رسانی های بعدی وصله نمایند.
با این حال گاهی هکرها یا مهاجمان قبل از سازنده نرم افزار به وجود یک آسیب پذیری پی می برند و تا زمانی که آسیب پذیری باز باشد مهاجم می تواند کدهایی برای بهره برداری از سیستم قربانی نوشته و نصب کند. این کدها، به عنوان کد اکسپلویت یا بهره برداری شناخته می شوند.
کد بهره برداری می تواند کاربر نرم افزار را به یک قربانی تبدیل کند، برای مثال در سرقت اطلاعات هویتی یا سایر جرایم سایبری. زمانی که مهاجم یک آسیب پذیری zero-day شناسایی می کند، لازم است که راهی برای دسترسی به سیستم آسیب پذیر داشته باشند.
آنها اغلب این کار را از طریق ایمیل های مهندسی اجتماعی یا سایر روش های مشابه انجام می دهند. اینگونه پیامها سعی دارند تا کاربر را به انجام کاری مثل باز کردن یک فایل، بازدید از وبسایت مخرب و … وادار کنند. با انجام این کار، بدافزار مورد نظر مهاجم دانلود می شود و از این طریق مهاجم می تواند از فایل های کاربر سوء استفاده کرده یا اطلاعات هویتی او را به سرقت ببرد.
زمانی که آسیب پذیری ای شناسایی می شود، توسعه دهندگان سعی بر وصله کردن آن برای توقف حملات خواهند داشت. اما همیشه کشف یک آسیب پذیری ساده نیست و گاهی چند روز، چند هفته یا حتی چندماه قبل از اینکه توسعه دهنده آن را شناسایی کند، در حملات استفاده می شود. حتی زمانی که وصله Zero-day منتشر می شود، تمامی کاربران به سرعت نسبت به نصب آن اقدامی نمی کنند. در سالهای اخیر هکرها در بهره برداری از آسیب پذیری ها قبل از شناسایی و وصله سریعتر شده اند.
اکسپلویت می تواند در محیط dark web فروخته شود. زمانی که یک اکسپلویت کشف و وصله می شود، دیگر تهدید zero-day تلقی نخواهد شد.
مراحل یک حمله روز صفر یا Zero-day
حمله روز صفر یا zero-day بسیار خطرناک است زیرا تنها افراد مطلع از آنها، مهاجمان هستند. هنگامی که مجرمان به یک شبکه نفوذ کردند، می توانند بلافاصله حمله کرده یا منتظر مناسبترین زمان برای حمله بمانند.
جدول زمانی بهره برداری روز صفر توسط محققین امنیتی از معرفی آسیب پذیری تا وصله امنیتی به هفت مرحله جداگانه تقسیم شده است. که به شرح زیر است:
مرحله 1: معرفی آسیب پذیری
معرفی آسیب پذیری: یک توسعه نرم افزاری تولید می کند که بدون اینکه متوجه شود دارای کدهای آسیب پذیر است.
مرحله 2: انتشار اکسپلویت
انتشار اکسپلویت: یک مهاجم، آسیب پذیری را قبل از سازنده پیدا کرده و تلاش می کند تا قبل از وصله شدن از آن بهره برداری کند. هکرها یک کد اکسپلویت برای آن ایجاد کرده و تا زمان باز بودن یک آسیب پذیری از آن استفاده می کنند.
مرحله 3: کشف آسیب پذیری
کشف آسیب پذیری: شرکت سازنده از وجود آسیب پذیری مطلع شده اما هنوز وصله ای برای آن در دسترس نیست.
مرحله 4: افشای آسیب پذیری
افشای آسیب پذیری: شرکت سازنده یا محققین امنیتی به صورت عمومی آسیب پذیری را افشا کرده که به کاربران نسبت به وجود آن هشدار دهند و مسلما مهاجمان نیز از آن مطلع می شوند.
مرحله 5: انتشار امضای آنتی ویروس ها
انتشار امضای آنتی ویروس ها: چنانچه مهاجمان با یک بدافزار آسیب پذیری را هدف قرار دهند سازنده های آنتی ویروس می توانند به سرعت پایگاه داده signature خود را آپدیت کرده و آن را تعریف کنند تا شناسایی آن ممکن شود. با این حال چنانچه مهاجم از روشهای دیگری برای بهره برداری از آسیب پذیری استفاده کند، همچنان خطر وجود دارد.
مرحله 6: انتشار وصله امنیتی
انتشار وصله امنیتی: شرکت سازنده به صورت عمومی وصله ها و به روز رسانی های جدید را جهت رفع آسیب پذیری منتشر می کند. مدت زمان مورد نیاز برای اینکار بستگی به پیچیدگی و شدت آسیب پذیری دارد.
مرحله 7: به روز رسانی های نرم افزارها
انتشار وصله امنیتی کافی نیست، زیرا استقرار آن ممکن است زمان بر باشد. به همین دلیل لازم است سازمانها و کاربران تنظیمات به روز رسانی های خودکار نرم افزارها را فعال کنند تا از منتشر شدن آپدیت های جدید مطلع شوند.
سیستم ها به طور کلی در طول فرآیند از مرحله 1 تا 7 آسیب پذیر هستند، اما حمله روز صفر یا zero-day فقط بین مراحل 2 تا 4 می تواند رخ دهد. اگر آسیب پذیری ای محافظت نشده باقی بماند، حملات بیشتری نیز رخ می دهد. حملات روز صفر به ندرت، سریعا و تا قبل از یک آسیب قابل توجه شناسایی و پیشگیری می شوند. گاهی ممکن است روزها یا حتی ماهها و سالها زمان ببرد تا شرکت سازنده متوجه وجود یک آسیب پذیری و سپس رفع آن شود.
چه کسانی حمله روز صفر یا Zero-day را انجام میدهند؟
افرادی که این حملات را انجام میدهند در دسته های مختلفی قرار می گیرند، برای مثال:
مجرمان سایبری-هکرهایی با انگیزه های مالی هستند.
هکتیویستها– هکرهایی با انگیزه های سیاسی یا اجتماعی که میخواهند حملات قابل مشاهده باشند و توجهات را به علت آن جلب کنند.
جاسوسها-هکرهایی که برای به دست آوردن اطلاعات یک شرکت، در آن به جاسوسی می پردازند.
جنگ سایبری-کشورها یا سیاست مداران به زیر ساخت سایبری کشور دیگری حمله کرده یا جاسوسی می کنند.
چه کسانی هدف بهره برداری ها و حمله روز صفر یا Zero-day هستند؟
یک حمله روز صفر یا Zero-day می تواند از آسیب پذیری های موجود در سیستم های زیر بهره برداری کند:
- سیستم عامل ها
- مرورگرهای وب
- برنامه های آفیس
- کامپوننت های منبع باز
- سخت افزار و firmware
- اینترنت اشیا
- نرم افزارهای کاربردی
قربانیان بالقوه:
- افرادی که از سیستم های آسیب پذیر استفاده می کنند، مثل مرورگر یا سیستم عامل و هکر می تواند از آسیب پذیری های امنیتی برای به خطر انداخت دستگاهها و ایجاد botnet استفاده کند.
- افرادی که به اطلاعات تجاری ارزشمند مثل مالکیت معنوی، دسترسی دارند.
- دستگاههای سخت افزاری، firmware و اینترنت اشیا
- سازمانها و کسب و کارهای بزرگ
- سازمانهای دولتی
- اهداف سیاسی یا تهدیدات امنیت ملی
حمله می تواند کاملا هدفمند باشد یا اینکه بدون هدف خاصی و صرفا روی سیستم های دارای آسیب پذیری رخ دهد در هر صورت کاربران زیادی میتوانند در معرض اینگونه حملات قرار بگیرند.
چطور یک حمله روز صفر یا zero-day را شناسایی کنیم؟
با توجه به اینکه آسیب پذیری های zero-day می توانند اشکال مختلفی داشته باشد، مثل رمزنگاری داده های از دست رفته، از دست دادن احراز هویت، الگوریتم های شکست، باگها، مشکلات امنیتی پسوردها و … شناسایی آنها می تواند چالشی باشد. با توجه به ماهیت این نوع آسیبپذیریها، اطلاعات دقیق درباره بهره برداری های Zero-day تنها پس از کشف بهره برداری در دسترس خواهند بود.
سازمانهایی که هدف حمله بهره برداری Zero-day قرار می گیرند، ممکن است با ترافیک غیر منتظره یا فعالیت اسکن مخرب از جانب یک کلاینت یا سرویس روبرو شوند. برخی از تکنیک های شناسایی zero-day شامل موارد زیر است:
استفاده از پایگاه داده بدافزاری موجود. همچنین این پایگاه داده ها به سرعت به روز می شوند و می توانند مرجع خوبی باشند.
از سوی دیگر برخی از تکنیک ها بر جستجوی بدافزار Zero-day براساس چگونگی تعامل با سیستم هدف تمرکز دارند. بجای اینکه کد فایل های ورودی را بررسی کنند، این تکنیکها به تعاملی که آنها با نرم افزارهای موجود داشته، دقت کرده و سعی بر شناسایی آنها دارند.
به طور فزاینده ای از machine learning برای شناسایی داده ها از بهره برداریهای ثبت شده قبلی استفاده می شود تا خط تمایز رفتار امن سیستم براساس اطلاعات تعاملهای گذشته و فعلی آن، مشخص شود. هرچه میزان اطلاعات بیشتری در دسترس باشد، نتایج تشخیص معتبرتر خواهد بود.
اغلب از ترکیب تکنیک های مختلف برای شناسایی استفاده می شود.
نحوه پیشگیری و کاهش حمله روز صفر یا Zero-day
از آنجایی که طبق تعریف حملات روز صفر یا Zero day، برای آسیب پذیری Zero-day هنوز وصله ای منتشر نشده، روشهای دیگری وجود دارد که به سازمان ها کمک می کند تا از این حملات پیشگیری کرده یا خطر آنها را کاهش دهد.
حفاظت در برابر حملات روز صفر یا Zero-day
اسکن آسیب پذیری ها
راهکارهایی که امکان اسکن و شناسایی آسیب پذیری ها را دارند می توانند حملات به کد نرم افزار را شبیه سازی کرده، کدها را بررسی کنند و سعی کنند مشکلات جدیدی که در آپدیت نرم افزار معرفی می شوند را شناسایی نمایند و با روشهایی مانند vulnerability shield آنها را پوشش دهد. با این حال ممکن است تمامی آسیب پذیری ها شناسایی نشود پس لازم است سازمان/شرکتها روی نتایج اسکن و بازبینی کدهای اکسپلویت به سرعت عمل کرده و از سوءاستفاده ها احتمالی جلوگیری نمایند.
مدیریت وصله ها-patch management
نصب آپدیت و وصله ها در سریعترین زمان ممکن بعد از شناسایی یک آسیب پذیری می تواند خطر حمله را کاهش دهد. با این حال در مواردی مهاجم قبل از آپدیت نسبت به بهره برداری از یک آسیب پذیری اقدام میکند اما در صورت داشتن چنین راهکاری می توانید بلافاصله بعد از آماده شدن یک وصله آن را نصب نمایید. در زمان بین آماده سازی یک وصله توسط شرکت سازنده، بالاترین خطر وقوع حملات روز صفر یا zero-day وجود دارد.
اعتبار سنجی ورودی ها
با اعتبار سنجی ورودی یا داده ها می توان آزمایش مناسب هر ورودی ارائه شده توسط یک برنامه کاربردی یا کاربر را برای جلوگیری از ورود داده های نادرست به یک سیستم انجام داد. یکی دیگر از راهکارهای کاهش حمله روز صفر یا zero-day استفاده از تجهیزات لبه شبکه برای بررسی ترافیک ورودی و فیلتر کردن ورودی های مخربی است که می توانند آسیب پذیری های امنیتی را مورد هدف قرار دهد.
zero-day initiative
این مورد برنامه ای است که به محققان امنیتی در برابر افشای آسیب پذیری ها بجای فروش در محیط دارک وب، پاداش میدهد. هدف از این کار ایجاد جامعه ای از محققین است که مشکلات نرم افزاری را قبل از مهاجمان سایبری کشف کنند. علاوه بر این بسیاری از شرکت های سازنده برنامه هایی برای پاداش باگ داشته که به افرادی که گزارش آسیب پذیری ای بدهند، تعلق می گیرد.
کاهش آسیب پذیری های zero-day
به منظور هوشیاری در برابر حمله روز صفر یا zero-day سازمانها باید استراتژی داشته باشند.
آگاه ماندن
از آخرین خطرات و چشم انداز تهدیدات مطلع باشید این اولین قدم برای پیشگیری از حملات روز صفر است. (بدین منظور پیشنهاد میشود کانال اطلاع رسانی شرکت پانا را دنبال نمایید تا از به روزترین آسیب پذیری ها و تهدیدات و اخبار امنیت فناوری اطلاعات مطلع شوید). لازم است کارکنان آموزش دیده و رفتار امن را تمرین کرده و تنظیمات امنیتی را برای مرورگرها و سیستم های خود جدی بگیرند.
آموزش کاربران
بسیاری از حملات zero-day با تکیه بر خطاهای انسانی رخ میدهد. آموزش رفتارها و عادت های امن به کارمندان و کاربران، باعث امنیت شده و از سازمان در برابر اینگونه حملات بهره برداری و تهدیدات دیجیتالی حفاظت می کند.
به روز رسانی های سیستم
به این دلیل که سازنده ها وصله های امنیتی را به منظور رفع آسیب پذیری های جدید شناسایی شده، منتشر می کنند، انجام آپدیت ها و به روز بودن امنیت بیشتری در پی خواهد داشت.
از به روز بودن سیستم ها مطمئن باشید این قدم از اساسی ترین اقدمات برای حفاظت از سازمان در برابر خطرات و حملات روز صفر یا zero-day است. از نصب بودن آخرین قابلیت ها، آپدیت درایورها، رفع باگ ها، حذف نسخه های منسوخ شده و پر کردن حفره های امنیتی بالقوه، مطمئن شوید.
استفاده از نرم افزارهای امنیتی جامع
استفاده از یک راهکار آنتی ویروس جامع، (XDR) کمک می کند تا از سیستم های خود حفاظت کرده و تهدیدات شناخته شده و ناشناخته را بلاک نمایید.
حذف نرم افزارهای غیر ضروری
فقط از نرم افزارهای ضروری استفاده کنید. هرچه نرم افزارهای بیشتری داشته باشید، در معرض آسیب پذیری های بیشتری خواهید بود. می توانید خطرات شبکه خود را صرفا با استفاده از نرم افزارهای ضروری و موردنیاز خود، کاهش دهید.
استفاده از فایروال
فایروالها در حفاظت از شبکه در حمله روز صفر یا zero-day نقش اساسی می توانند داشته باشند. می توان با پیکربندی آن به گونه ای که فقط تراکنش های ضروری مجاز باشند، از داشتن حداکثر محافظت اطمینان حاصل کنید.
در کنار شما هستیم.
چنانچه حملات روز صفر Zero-day دغدغه شماست و به دنبال راهکاری جامع برای پیشگیری از این نوع حملات هستید، شرکت مهندسی پانا در کنار شما خواهد بود و با توجه به نیاز و دغدغه شما بهترین راهکار را ارائه میدهد. همکاران ما با افتخار آماده مشاوره و پاسخگویی به شما هستند، با ما تماس بگیرید.
منبع:
