تقابل هجوم و دفاع در امنیت سایبری

تقابل هجوم و دفاع در امنیت سایبری

۴۷۵

برای ارتقای امنیت ساختمان مجازی کسب‌وکار، چه می‌توانیم بکنیم؟ برای برقراری امنیت در دنیای واقعی چه می‌شود کرد؟ ارتقای پروتکل‌های امنیتی؟ دفاع؟ حمله؟ در دنیای مجازی چطور؟ در دنیای امنیت، چه اقداماتی می‌توان برای ارتقای امنیت سایبری کسب‌وکارهای اینترنتی در برابر رخدادها و حوادث سایبری انجام داد؟

آن‌چه در این بلاگ‌پست خواهید خواند:

• امنیت چیست؟

• راهکارها و اقدام‌های امنیتی چند نوعند؟

• تعریف هجوم و دفاع در امنیت سایبری چگونه است؟

• عملیات دفاعی یا Defensive چیست؟

• متخصصین Defensive چگونه به ارتقای امنیت سامانه‌‌ها کمک می‌کنند؟

• با چند راهکار ارتقای امنیت از نوع اقدام دفاعی بیش‌تر آشنا شویم

• عملیات هجومی یا Offensive چیست؟

• هر کسی که برای نفوذ تلاش کند، یک متخصص Offensive محسوب می‌شود؟

• متخصصین Offensive چگونه به ارتقای امنیت سامانه‌‌ها کمک می‌کنند؟

• با چند راهکار ارتقای امنیت از نوع اقدام دفاعی بیش‌تر آشنا شویم

• مصداقی کوچک از بازی امنیت: Red Team یا تیم قرمز و Blue Team یا تیم آبی

• آغاز این قصه کجاست؟ ابتدا Offense بوده است یا Defense؟

امنیت چیست؟

تعریفی از امنیت وجود دارد که در آن، "حالت فراغت از هر گونه تهدید، حمله و آمادگی برای رویارویی با هر تهدید و حمله" را امنیت (Security) می‌گویند(۱). ما نیاز داریم که از خطرهای موجود، در امان باشیم. در جهان سایبری نیز می‌خواهیم که از رخدادها و حوادث سایبری در امان بمانیم.

راهکارها و اقدام‌های امنیتی در فضای سایبری چند نوعند؟

برای دستیابی به امنیت در فضای سایبری، چه می‌توان کرد؟ پاسخ راحت است :) همان کارهایی که در جهان واقعی برای ارتقای امنیت، می‌توان کرد؛ می‌شود تا حد ممکن دیوار امنیتی را بلند‌تر کرد و لشکری امنیتی نیز تدارک دید، می‌شود دفاع کرد، می‌شود برای محک‌زدن امنیت خود، آگاهی از نقاط ضعف و پیش‌گیری از موردحمله‌ی دیگران قرار گرفتن، گاهی سناریوی حمله‌ای آزمایشی به خود را تدارک دید یا پیش‌بینی کرد و...

اقدام‌ها و راهکارهای امنیتی را به طور معمول در دو دسته قرار می‌دهند:

• اقدام‌های دفاعی یا Defensive

• اقدام‌های هجومی یا Offensive

تعریف هجوم و دفاع در امنیت سایبری چگونه است؟

اگر نگاهی به نقشه‌ی لحظه‌ای حملات سایبری در دنیا بیندازیم، با حجمی انبوه از حملاتی که در هر لحظه در دنیا رخ می‌دهد، روبه‌رو می‌شویم. این اعداد به ما می‌گویند که مراقبت از خود و ارتقای امنیت الزامی به نظر می‌رسد. بر همین اساس، در مقابل هر صفی از لشکر مهاجمان بالقوه و بالفعل، نیازبه دیواری دفاعی‌ست تا از داخل قلعه محافظت کند. هر چه دیوار دفاعی مستحکم‌تر باشد، لشکر مهاجم راه سخت‌تری را برای نفوذ به قلعه‌ی کسب‌وکار پیش رویش خواهد داشت. هر چه لشکر مهاجم نیز چیره‌دست‌تر باشند، استحکامات دفاعی قلعه ناتوان در جلوگیری از نفوذ آن‌ها خواهند بود.

در امنیت سایبری، نیروهای دفاعی که وظیفه‌ی دفاع و ایجاد استحکامات در برابر خطرها را به عهده دارند، به‌عنوان متخصص Defensive یا دفاعی مشهورند.

نیروهای هجومی که در لشکر مهاجم حضور دارند نیز به‌عنوان متخصص Offensive یا هجومی شناخته می‌شوند. نیروهای مهاجم حمله‌هایی را برای نفوذ به داخل قلعه‌ی کسب‌وکار طراحی می‌کنند.

عملیات‌هایی که هر کدام از این دو گروه انجام می‌دهند نیز به‌عنوان عملیات‌های هجومی و دفاعی یا Offensive و Defensive شناخته می‌شوند.

عملیات دفاعی یا Defensive چیست؟

به نگهبانی برای دفاع از سیستم‌ها اقدام دفاعی یا Defensive گفته می‌شود. متخصصان امنیتی دفاعی کسانی هستند که سیستم‌ها، شبکه‌ها و سیاست‌های امنیتی کسب‌وکار را به گونه‌ای طراحی می‌کنند که از امن‌بودن داده‌های کسب‌وکار اطمینان کافی حاصل شود.

defensive security

متخصصین Defensive چگونه به ارتقای امنیت سامانه‌ها کمک می‌کنند؟

متخصصان امنیتی دفاعی افرادی هستند که:

• سامانه‌ها را به روشی که امنیت را در اولویت قرار دهد و از نفوذ جلوگیری کند، راه‌اندازی می‌کنند.

• سامانه‌ها را برای حملات محتمل آینده رصد می‌کنند.

• پروتکل‌های امنیتی را برای کاهش تاثیر حملات محتمل آینده و بازگرداندن سامانه‌های مورد نفوذ در سامانه‌ها مستقر می‌کنند.

• هانی‌پات‌هایی را برای ردیابی بدافزارها و مهاجمین در سامانه راه‌اندازی می‌کنند.

• مانورهای امنیتی ترکیبی از امنیت فیزیکی، دیجیتالی را طراحی و اجرا می‌کنند تا خطر آسیب به سامانه‌های کسب‌وکار را به حداقل برسانند.

با چند راهکار ارتقای امنیت از نوع اقدام دفاعی بیش‌تر آشنا شویم:

تیم آبی یا Blue Team:

در راهکار تیم آبی، گروهی از متخصصان امنیتی با همکاری یک‌دیگر، ابزارهای رصد ترافیک زیرساخت شبکه‌ی کسب‌وکار را راه‌اندازی می‌کنند و یا به بررسی میزان آمادگی سامانه در مقابل حمله‌های احتمالی آینده می‌پردازند تا هر چه زودتر و پیش از حمله‌ي احتمالی نیروهای تیم قرمز، آمادگی دفاع در برابر آن‌ها وجود داشته باشد.

کدنویسی امن یا Secure Coding:

آن‌چه که یک سامانه‌ی آنلاین را شکل می‌دهد کدمنبع آن است. بنابراین رعایت استانداردهای امنیتی در کدنویسی سبب می‌شود که از بسیاری از نقایص نرم‌افزاری و امنیتی به طور خودکار جلوگیری شود.

به‌روزرسانی منظم کتاب‌خانه‌ها:

در سامانه‌های آنلاین امروزی، از کتاب‌خانه‌های مختلف و زیادی برای سامانه استفاده می‌شود که معمولا متن‌باز هستند. این کتاب‌خانه‌ها برای جلوگیری از بروز مشکلات امنیتی معمولا به طور منظم و حتی زمانی که آسیب‌پذیری از آن‌ها کشف می‌شود، به روز‌رسانی ارائه می‌کنند تا نقایص رفع شود. مدیران فنی باید به موقع این به روزرسانی‌ها را بر روی سامانه‌ي خود نصب کنند تا نقص کتاب‌خانه‌ي فعلی رفع شود.

البته مواردی که ذکر کردیم همه‌ي مواردی نیستند که می‌توانند به عنوان اقدام دفاعی شناخته شوند و این موارد صرفا اقدامات شاخصی هستند که در صورتی که انجام شوند امنیت کسب‌وکار را ارتقا می‌دهند.

در «کتابچه‌ی برنامه‌نویسی امن» می‌توانید با برخی از نکات امنیتی لازم برای نوشتن کدهایی امن، آشنا شوید. در «چک‌لیست اصول امنیتی دورکاری» نیز می‌توانید درباره‌ی اصول امنیتی لازم برای دورکاری‌های خود بیش‌تر بدانید.

عملیات هجومی یا Offensive چیست؟

به تلاش برای یافتن نقص امنیتی در سرویس‌های برای ورود به سیستم‌ها و بهره‌جویی یا اکسپلویت آسیب‌پذیری‌ها، عمل هجومی یا Offensive گفته می‌شود.

هر کسی که برای نفوذ تلاش کند، یک متخصص Offensive محسوب می‌شود؟

بله، هر اقدامی که رنگ‌وبوی حمله داشته باشد، یک اقدام "Offensive" محسوب می‌شود و فاعل آن یک "متخصص Offensive". معیار این دسته‌بندی در فضای سایبری، ماهیت عملکرد است. تفاوتی نمی‌کند که مهاجم، دوست باشد یا دشمن، خودی باشد یا غریبه، در پی سرقت داده‌های کاربران و آسیب‌رسانی به سیستم کسب‌وکارها باشد یا به دنبال کشف حفره‌های امنیتی جهت ارتقای امنیت سامانه.

معرفی 9 دسته هکر که احتمالا تاکنون نمی‌شناختید!

متخصصین Offensive چگونه به ارتقای امنیت سامانه‌‌ها کمک می‌کنند؟

برخی اقدام‌های امنیتی که از نوع هجومی یا Offensive هستند و توسط متخصصین هجومی انجام می‌شود، عبارتند از:

• به ارزیابی امنیتی سامانه می‌پردازند تا آسیب‌پذیری‌ها، باگ‌ها و حفره‌های امنیتی را کشف کنند و جهت رفع به کسب‌وکار ارائه دهند.

• آن‌ها از این طریق تلاش می‌کنند تا راه‌های ممکن برای نفوذ برای هکرهای کلاه‌سیاه را بیابند و کمک به رفع آن نمایند.

• این حمله‌ها را با هدف ارتقای امنیت کسب‌وکار انجام می‌دهند.

با چند راهکار ارتقای امنیت از نوع اقدام هجومی بیش‌تر آشنا شویم:

تست نفوذ یا Penetration Testing:

در راهکار تست نفوذ، گروهی متشکل از متخصصان امنیتی با استفاده از ابزارهای لازم و به صورت دستی به ارزیابی امنیتی سامانه می‌پردازند و نتیجه‌ی آسیب‌پذیری‌های کشف‌شده را در قالب یک گزارش ارائه می‌کنند.

تیم قرمز یا Red Team:

در راهکار تیم قرمز گروهی از متخصصان امنیتی با همکاری یک‌دیگر با مشخص‌کردن یک هدف کلی، تمام ابزار و توانایی‌های خود را برای رسیدن به آن هدف به کار می‌بندند و در نهایت روند عملیات خود را در قالب یک گزارش تشریح می‌کنند و راهکارهای رفع نقایص موجود را ذکر می‌کنند. مانند دسترسی به پایگاه‌داده‌ی سامانه یا فریب کارکنان کسب‌وکار و نفوذ به سامانه.

سیاست افشای آسیب‌پذیری یا VDP:

در راهکار VDP کسب‌وکار سازوکاری را تدارک می‌بیند که هر متخصص امنیتی که متوجه نقایص امنیتی در سامانه‌ی کسب‌وکار شد، بتواند از آن طریق به اطلاع کسب‌وکار برساند.

باگ‌بانتی یا BugBounty:

در راهکار باگ‌بانتی، جمع زیادی از متخصصان امنیتی به صورت مجزا اهدافی از یک سامانه را که توسط کسب‌وکار تعیین شده است مورد ارزیابی قرار می‌دهند و نتیجه‌ی کشف هر آسیب‌پذیری را در قالب یک گزارش آسیب‌پذیری ارائه می‌کنند.

البته مواردی که ذکر کردیم همه‌ي مواردی نیستند که می‌توانند به عنوان اقدام هجومی شناخته شوند و این موارد صرفا اقدامات شاخصی هستند که در صورتی که انجام شوند نقاط ضعف امنیت کسب‌وکار کشف می‌شود و امنیت کسب‌وکار را ارتقا می‌دهند.

در بلاگ‌پست‌های «VDP؛ صندوق پیشنهادها و انتقادات امنیتی»، «باگ‌بانتی؛ به‌صرفه‌ترین راه ارتقای امنیت»، «باگ‌بانتی چه نیست؟» و «تست‌نفوذ یا باگ‌بانتی؛ مسئله این است...» می‌توانید درباره‌ی هر یک از این راهکارهای ارتقای امنیت بیش‌تر بخوانید.

مصداقی کوچک از بازی امنیت: تیم قرمز و تیم آبی

داستان تیم قرمز و تیم آبی مانند یک جنگ واقعی است که در آن دو گروه در دو جبهه‌ی متفاوت و در مقابل هم، اما برای هدفی واحد می‌جنگند؛ برای کشف آسیب‌پذیری‌های یک سامانه و ارتقای امنیت آن. هر ارتشی برای حفظ آمادگی خود و تمرین جنگ، مانور نظامی برگزار می‌کند که در آن گروهی مدافع هستند و گروهی مهاجم. در دنیای امنیت سایبری نیز تیم قرمز نقش مهاجم و تیم آبی نقش مدافع را ایفا می‌کند. تا در این بین آسیب‌پذیری‌های فنی یا انسانی یک کسب‌وکار ارزیابی و رفع شوند.

blue team red team

آغاز این قصه کجاست؟ ابتدا Offense بوده است یا Defense؟

پاسخ به این سوال تاحدودی مانند پاسخ "ابتدا مرغ بوده است یا تخم‌مرغ؟" سخت به نظر می‌آید :) اما هر اقدام دفاعی را می‌توان اقدامی در جهت جلوگیری از خطرها و حمله‌های بالقوه دانست، حال آن خطر می‌تواند خطری باشد که متخصصین هجومی دیگران را از آن آگاه می‌کنند، یا خطری که پیشینیان از آن باخبر شده‌اند و متخصصین دفاعی را برای امن‌تر شدن، به اقدام‌های امنیتی در جهت جلوگیری از بروز آن‌ها وصیت کرده‌اند. :)

offense defense

سخن آخر

اقدام هجومی یا دفاعی، هر دو، راهکارهایی هستند که می‌توان در جهت ارتقای امنیت سامانه‌ها از آن‌ها بهره برد. عملیات هجومی مبتنی بر تفکر حمله‌ای ست و عملیات دفاعی مبتنی بر تفکر دفاعی. اما کدام تفکر کامل‌تر به نظر می‌آید؟ هیچ‌کدام! این دو در کنار یک‌دیگر، مدل کامل‌تری می‌سازند. به همین دلیل است که در مباحث امنیتی توصیه می‌شود که از انواع و اقسام روش‌ها در جهت ارتقای امنیت، استفاده شود.

شما برای ارتقای امنیت کسب‌وکار خود، چه اقداماتی کرده‌اید؟

بیش‌تر بخوانید: یک گام به امنیت واقعی نزدیک‌تر شوید!

منابع:

(۱) دانش‌نامه‌ی سیاسی، آشوری، داریوش ص ۳۸، چاپ سوم

https://kingslanduniversity.com/offensive-vs-defensive-security