حملات سایبری: شبکه های تشکیلاتی بزرگ و پیچیده اند و احتمالاً به چندین نقطه پایانی متصل متکی هستند. در حالی که این برای کسب و کار خوب است و حفظ گردش کار را آسان‌تر می‌کند، اما برای امنیت نیز چالشی ایجاد می‌کند. مشکل اینجاست که انعطاف‌پذیری حرکت در شبکه به این معنی است که اگر فردی به قصد تخریب به شبکه شما دسترسی پیدا کند، اغلب بدون اطلاع شما آزادانه به همه جا سرک کشیده و به تمامی اطلاعات دسترسی پیدا می کند و باعث آسیب شود. این تهدیدات امنیتی شبکه ارتباطی سازمان ها را به شدت در معرض دزدی اطلاعات قرار می دهد.

حمله سایبری تلاشی برای دسترسی غیرمجاز به شبکه یک سازمان، با هدف سرقت داده ها یا انجام سایر فعالیت های مخرب است. حمله سایبری زمانی است که یک فرد یا یک سازمان به طور عمدی تلاش می کند تا سیستم اطلاعاتی فرد یا سازمان دیگری را نقض کند. در حالی که معمولا یک هدف اقتصادی وجود دارد،برخی از حملات اخیر تخریب داده ها را هم به عنوان یک هدف نشان می دهند.

حملات سایبری به دو دسته تقسیم می شوند:

۱- غیرفعال(Passive):

مهاجمان به یک شبکه دسترسی پیدا می‌کنند و می‌توانند اطلاعات حساس را رصد یا سرقت کنند، اما دیتا بدون تغییر و دست نخورده باقی می‌مانند.

۲- فعال (Active):

مهاجمان نه تنها به صورت غیرمجاز داده های مورد نظر را به دست می‌آورند، بلکه آن ها را تغییر داده و یا را حذف می‌کنند، رمزگذاری می‌کنند یا به آنها آسیب می‌رسانند.

ما حملات سایبری را ازدیگر انواع حملات متمایز می کنیم:

در یک حمله سایبری، مهاجمان بر روی نفوذ به محیط شبکه شرکت و دسترسی به سیستم های داخلی متمرکز هستند. اغلب اوقات، زمانی که مهاجمان وارد شبکه می شوند، انواع مختلفی از حملات را ترکیب می‌کنند، به عنوان مثال به خطر انداختن یک نقطه پایانی (End Point)،انتشار بدافزار یا سوء استفاده از یک آسیب‌پذیر و در خطر در یک سیستم در شبکه.

• حملات End Point : دسترسی غیرمجاز به دستگاه‌های کاربر، سرورها یا سایر نقاط پایانیی که معمولاً با آلوده کردن آنها به بدافزار، آنها را به خطر می‌اندازد.
• حملات بدافزاری : آلوده کردن منابع IT با بدافزار، به مهاجمان اجازه می دهد تا سیستم ها را به خطر بیاندازند، داده ها را سرقت کنند و به آنان آسیب وارد کنند. این حملات همچنین شامل حملات باج افزار(Ransomware) می شود.
• آسیب‌پذیری‌ها، سوء استفاده‌ها و حملات : بهره‌برداری از نقاط آسیب‌پذیر در نرم‌افزارهای مورد استفاده در سازمان ها برای به دست آوردن دسترسی غیرمجاز و به خطر انداختن یا خرابکاری سیستم‌ها.
• تهدیدهای پایدار پیشرفته : این تهدیدات چند لایه پیچیده هستند که شامل حملات شبکه و همچنین انواع دیگر حملات می شود.

 

انواع متداول حملات سایبری چیست؟

در زیر تهدیدات متداولی که مهاجمان می توانند برای نفوذ به شبکه شما استفاده کنند، آورده شده است.

۱.بدافزار ها

اصطلاح “بدافزار” انواع مختلفی از حملات از جمله نرم افزارهای جاسوسی، ویروس ها و کرم ها را در بر می گیرد. بدافزار از یک نقطه آسیب‌پذیر برای نفوذ به شبکه استفاده می‌کند;برای مثال زمانی که کاربر روی لینک خطرناک یا پیوست ایمیل کلیک می‌کند، که برای نصب نرم‌افزار مخرب در داخل سیستم استفاده می‌شود.

بدافزارها و فایل های مخرب داخل یک سیستم کامپیوتری می توانند:

• دسترسی به اجزای حیاتی شبکه را ممنوع کند
• اطلاعات را از هارد دیسک به دست آورد
• سیستم را مختل کرده یا حتی آن را غیرقابل استفاده می کند

متداول ترین انواع بد افزار عبارتند از:

ویروس ها:

ویروس ها با متصل کردن خود به فایل نصبی,برنامه ها و اپلیکیشن ها را آلوده می کنند. ویروس‌ها خود را تکثیر می‌کنند و کدهای دیگر را در سیستم کامپیوتری آلوده می‌کنند. ویروس‌ها همچنین می‌توانند خود را به کدهای اجرایی دیگر متصل کنند یا با ایجاد یک فایل ویروسی با همان نام اما با پسوند exe خود را به یک فایل متصل کنند، بنابراین یک طعمه که حامل ویروس است را ایجاد می کنند.

تروجان ها :

برنامه ای که در داخل یک برنامه مفید با اهداف مخرب پنهان می شود. برخلاف ویروس ها، یک تروجان خود را تکثیر نمی کند و معمولاً برای ایجاد یک درب پشتی استفاده می شود تا توسط مهاجمان مورد سوء استفاده قرار گیرد.

کرم‌ها :

بر خلاف ویروس‌ها، به میزبان حمله نمی‌کنند، زیرا برنامه‌های مستقلی هستند که در شبکه‌ها و رایانه‌ها منتشر می‌شوند. کرم‌ها اغلب از طریق پیوست‌های ایمیل نصب می‌شوند و یک کپی از خود را برای هر مخاطبی در لیست ایمیل رایانه آلوده ارسال می‌کنند. معمولاً برای بارگذاری بیش از حد یک سرور ایمیل و دستیابی به خودداری از خدمات (Denial of Service) استفاده می شود.

باج افزار :

نوعی بدافزار که اجازه دسترسی به کاربر به دیتا را نمی دهد و تهدید به انتشار یا حذف آن می کند مگر اینکه باج پرداخت شود. باج افزار پیشرفته از اخاذی ویروسی رمزنگاری شده استفاده می کند و داده های قربانی را رمزگذاری می کند به طوری که رمزگشایی بدون کلید رمزگشایی غیرممکن است.

جاسوس افزار (Spyware):

نوعی برنامه است که برای جمع آوری اطلاعات در مورد کاربران، سیستم ها یا جستجوهای مرورگر آنها، و ارسال داده ها به یک کاربر راه دور نصب می شود. سپس مهاجم می تواند از اطلاعات برای اهداف باج خواهی استفاده کند یا برنامه های مخرب دیگر را از وب دانلود و نصب کند.

 

۲. دسترسی غیرمجاز

دسترسی غیرمجاز به حملاتی اطلاق می شود که بدون دریافت مجوز به شبکه دسترسی پیدا می کنند. از جمله دلایل حملات دسترسی غیرمجاز می‌توان به گذرواژه‌های ضعیف، عدم محافظت در برابر مهندسی اجتماعی، حساب‌های در معرض خطر قبلی و تهدیدات داخلی اشاره کرد.

۳. حملات انکار سرویس توزیع شده (DDoS):

مهاجمان بات‌نت‌ها، ناوگان بزرگی از دستگاه‌های در معرض خطر,را می‌سازند و از آنها برای هدایت ترافیک نادرست به شبکه یا سرورهای شما استفاده می‌کنند. DDoS می تواند در سطح شبکه رخ دهد، به عنوان مثال با ارسال حجم عظیمی از بسته های SYN/ACC که می تواند سرور را تحت الشعاع قرار دهد، یا در سطح برنامه، به عنوان مثال با زبان پرس و جوهای پیچیده  ,SQL پایگاه داده را به زانو در می آورد.

۴. حملات کد و تزریق SQL:

بسیاری از وب‌سایت‌ها ورودی‌های کاربر را می‌پذیرند و در تأیید و پاکسازی آن ورودی‌ها شکست می‌خورند. سپس مهاجمان می توانند فرمی را پر کنند یا یک تماس API برقرار کنند و به جای مقادیر داده مورد انتظار، کدهای مخرب را ارسال کنند. کد بر روی سرور اجرا می شود و به مهاجمان اجازه می دهد تا آن را به خطر بیاندازند.

این زمانی اتفاق می افتد که مهاجم کد مخرب را با استفاده از زبان پرس و جو سرور (SQL) در سرور وارد می کند و سرور را مجبور می کند اطلاعات محافظت شده را ارائه دهد. این نوع حمله معمولا شامل ارسال کد مخرب در بخش نظرات یا جعبه جستجوی وب سایت محافظت نشده است. شیوه های کدگذاری ایمن مانند استفاده از عبارات آماده شده با پرس و جوهای پارامتری، یک راه موثر برای جلوگیری از تزریق SQL است.

۵. حملات فیشینگ :

 حملات فیشینگ بسیار رایج هستند و شامل ارسال مقادیر انبوه ایمیل‌های جعلی به کاربران غیرقانونی می‌شوند که به نظر می رسد از منبع قابل اعتمادی ارسال شده‌اند. ایمیل‌های جعلی اغلب مشروع به نظر می‌رسند، اما گیرنده را به یک فایل یا اسکریپت مخرب مرتبط می‌کند که برای دسترسی مهاجمان به دستگاه شما برای کنترل یا بازبینی آن، نصب اسکریپت‌ها/فایل‌های مخرب، یا استخراج داده‌هایی مانند اطلاعات کاربر,اطلاعات مالی و موارد دیگر طراحی شده است.

حملات فیشینگ همچنین می‌تواند از طریق شبکه‌های اجتماعی و سایر جوامع آنلاین، از طریق پیام‌های مستقیم سایر کاربران با هدفی پنهان صورت گیرد. فیشرها اغلب از مهندسی اجتماعی و سایر منابع اطلاعات عمومی برای جمع‌آوری اطلاعات در مورد کار، علایق و فعالیت‌های آنان استفاده می‌کنند و به مهاجمان این امکان را می‌دهند که شما را متقاعد کنند.

 

انواع مختلفی از حملات فیشینگ وجود دارد، از جمله:

Spear Phishing:

حملات هدفمندی که به شرکت ها و/یا افراد خاصی انجام می شود.

Whaling :

حملاتی که مدیران ارشد و ذینفعان یک سازمان را هدف قرار می دهند.

Pharming :

ازآلوده کردن محل ذخیره DNS برای گرفتن اعتبار کاربر از طریق صفحه فرود جعلی استفاده می کند.

حملات فیشینگ همچنین می تواند از طریق تماس تلفنی (فیشینگ صوتی) و از طریق پیام متنی (فیشینگ پیامکی) انجام شود.

۶. Man-in-the-Middle (MitM) Attacks:

شامل رهگیری ترافیک بین شبکه کاربر و سایت های خارجی یا داخل شبکه توسط مهاجمان می شود. اگر پروتکل‌های ارتباطی ایمن نباشند یا مهاجمان راهی برای دور زدن این امنیت بیابند، می‌توانند داده‌های در حال انتقال را بدزدند و اعتبار کاربر را دریافت کنند. زمانی که یک مهاجم تراکنش دو طرفه ای را رهگیری می کند,خود را در آن وسط قرار می دهد. از آنجا، مهاجمان سایبری می توانند با قطع ترافیک,داده ها را سرقت و دستکاری کنند.

این نوع حمله معمولاً از آسیب‌پذیری‌های امنیتی در یک شبکه، مانند وای‌فای عمومی ناامن، برای قرار دادن خود بین دستگاه یک بازدید کننده و شبکه سوء استفاده می‌کند. مشکل این نوع حمله این است که شناسایی آن بسیار دشوار است چون قربانی فکر می کند اطلاعات به مقصدی قانونی می رود. حملات فیشینگ یا بدافزار اغلب برای انجام یک حمله MitM مورد استفاده قرار می گیرند.

۷. بهره برداری از روز صفر یا Zero-day Exploit:

Zero-day Exploit به سوء استفاده از آسیب‌پذیری شبکه در زمانی که جدید است و اخیراً اعلام شده است – قبل از انتشار و/یا پیاده‌سازی یک وصله، اشاره دارد. مهاجمان روز صفر در بازه زمانی کوچکی که هیچ راه‌حل/اقدامات پیشگیرانه وجود ندارد، به آسیب‌پذیری آشکار می‌پرند. بنابراین، جلوگیری از حملات روز صفر مستلزم نظارت مستمر، شناسایی پیشگیرانه و شیوه های مدیریت تهدید چابک است.

۸. حمله از طریق رمز عبور :

گذرواژه‌ها گسترده‌ترین روش برای احراز هویت دسترسی به یک سیستم اطلاعاتی امن هستند که آنها را به هدفی جذاب برای مهاجمان سایبری تبدیل می‌کند. با دسترسی به رمز عبور یک فرد، مهاجم می‌تواند به داده‌ها و سیستم‌های محرمانه یا حیاتی، از جمله توانایی دستکاری و کنترل داده‌ها/سیستم‌ها، دسترسی پیدا کند.

مهاجمان از روش‌های بی‌شماری برای شناسایی یک رمز عبور استفاده می‌کنند، از جمله استفاده از مهندسی اجتماعی، دسترسی به پایگاه داده رمز عبور، آزمایش اتصال شبکه برای به دست آوردن رمزهای عبور رمزگذاری نشده یا صرفاً با حدس زدن.

آخرین روش ذکر شده به روشی سیستماتیک اجرا می شود که به عنوان حملهbrute-force”” شناخته می شود. یک حمله brute-force  از برنامه ای استفاده می کند تا انواع و ترکیبات مختلفی از اطلاعات را برای حدس زدن رمز عبور امتحان کند.

یکی دیگر از روش های رایج، حمله دیکشنری است، زمانی که مهاجم از لیستی از رمزهای عبور رایج برای دسترسی به رایانه و شبکه کاربر استفاده می کند. بهترین شیوه های قفل حساب و احراز هویت دو مرحله ای برای جلوگیری از حمله رمز عبور بسیار مفید هستند. ویژگی‌های قفل کردن حساب می‌توانند پس از تعدادی تلاش برای رمز عبور نامعتبر، حساب را مسدود کنند و احراز هویت دو مرحله‌ای یک لایه امنیتی دیگری اضافه می‌کند و کاربر را ملزم می‌کند تا یک کد ثانویه را وارد کند که فقط در دستگاه(های) ۲FA موجود است.

 

 

۹. اسکریپت بین سایتی :

یک حمله اسکریپت بین سایتی اسکریپت های مخرب را به محتوای وب سایت های قابل اعتماد ارسال می کند. کد مخرب به محتوای پویایی که به مرورگر قربانی ارسال می شود می پیوندد. معمولاً این کد مخرب شامل کد جاوا اسکریپت است که توسط مرورگر قربانی اجرا می شود، اما می تواند شاملFlash,HTML ,و XSS باشد .

۱۰. روت کیت ها :

روت‌کیت‌ها در داخل نرم‌افزار قانونی نصب می‌شوند، جایی که می‌توانند کنترل از راه دور و دسترسی در سطح مدیریت بر روی یک سیستم را به دست آورند. سپس مهاجم از روت کیت برای سرقت رمزهای عبور، کلیدها، اعتبارنامه ها و بازیابی داده های حیاتی استفاده می کند.

از آنجایی که روت کیت ها در نرم افزارهای قانونی پنهان می شوند، هنگامی که به برنامه اجازه می دهید تغییراتی را در سیستم عامل خود ایجاد کند، روت کیت خود را در سیستم (هاست، کامپیوتر، سرور و غیره) نصب می کند و تا زمانی که مهاجم آن را فعال نکرده، غیر فعال می ماند. سازوکار روت کیت ها معمولاً از طریق پیوست های ایمیل و دانلود از وب سایت های ناامن پخش می شوند.

۱۱. Internet of Things (IoT) Attacks:

در حالی که اتصال به اینترنت تقریباً در تمام دستگاه‌های قابل تصور، راحتی و سهولت را برای افراد ایجاد می‌کند،تعداد نقاط دسترسی رو به رشد تقریبا نامحدودی را برای مهاجمان به منظور بهره‌برداری و ایجاد ویرانی ایجاد می‌کند. به هم پیوستگی چیزها این امکان را برای مهاجمان فراهم می کند که به یک نقطه ورودی نفوذ کرده و از آن به عنوان دروازه برای سوء استفاده از دستگاه های دیگر در شبکه استفاده کنند.

حملات اینترنت اشیا به دلیل رشد سریع دستگاه های اینترنت اشیا و (به طور کلی) اولویت کم به امنیت جاسازی شده در این دستگاه ها و سیستم عامل های آنها محبوبیت بیشتری پیدا می کنند. در یک مورد حمله اینترنت اشیا، یک رستوران در وگاس مورد حمله قرار گرفت و هکر از طریق یک دماسنج متصل به اینترنت در یکی از مخازن ماهی رستوران وارد شد.

بهترین روش‌ها برای کمک به جلوگیری از حمله اینترنت اشیا شامل به‌روزرسانی سیستم‌عامل و نگه‌داشتن یک رمز عبور قوی برای هر دستگاه اینترنت اشیا در شبکه شما و تغییر اغلب رمزهای عبور است.

 

بهترین روش برای محافظت از شبکه اینترنت:

• شبکه خود را جدا کنید.

بخش اساسی اجتناب از تهدیدات امنیتی شبکه، تقسیم یک شبکه به مناطق بر اساس الزامات امنیتی است. این کار را می‌توان با استفاده از زیرشبکه‌ها در همان شبکه یا با ایجاد شبکه‌های محلی مجازی (VLAN) انجام داد، که هر کدام مانند یک شبکه کاملاً مجزا رفتار می‌کنند. تقسیم بندی تأثیر بالقوه یک حمله را به یک منطقه محدود می کند و مهاجمان را ملزم می کند که اقدامات خاصی را برای نفوذ و دسترسی به سایر مناطق شبکه انجام دهند.

• تنظیم دسترسی به اینترنت از طریق سرور پروکسی

به کاربران شبکه اجازه ندهید بدون چک شدن به اینترنت دسترسی داشته باشند. تمام درخواست ها را از یک پروکسی شفاف عبور دهید و از آن برای کنترل و نظارت بر رفتار کاربر استفاده کنید. اطمینان حاصل کنید که اتصالات خروجی واقعاً توسط یک انسان انجام می شود و نه یک ربات یا مکانیزم خودکار دیگر. دامنه ها را در لیست سفید قرار دهید تا اطمینان حاصل شود که کاربران شرکتی فقط می توانند به وب سایت هایی دسترسی داشته باشند که شما صریحاً تأیید کرده اید.

• دستگاه های امنیتی را به درستی قرار دهید.

یک فایروال را در هر محل اتصال مناطق شبکه، نه فقط در لبه شبکه، قرار دهید. اگر نمی توانید فایروال های کامل را در همه جا مستقر کنید، از عملکرد فایروال داخلی سوئیچ ها و روترهای خود استفاده کنید. دستگاه های ضد DDoS یا سرویس های ابری را در لبه شبکه مستقر کنید. مکان قرار دادن دستگاه های استراتژیک مانند بار متعادل کننده ها را به دقت در نظر بگیرید – اگر خارج از منطقه غیرنظامی (DMZ) هستند، توسط دستگاه امنیتی شبکه شما محافظت نمی شوند.

• از ترجمه آدرس شبکه استفاده کنید.

ترجمه آدرس شبکه (NAT) به شما امکان می دهد آدرس های IP داخلی را به آدرس های قابل دسترسی در شبکه های عمومی ترجمه کنید. می توانید از آن برای اتصال چندین کامپیوتر به اینترنت با استفاده از یک آدرس IP استفاده کنید. این یک لایه امنیتی اضافی را فراهم می کند، زیرا هر ترافیک ورودی یا خروجی باید از طریق یک دستگاه NAT عبور کند و آدرس های IP کمتری وجود دارد که درک اینکه به کدام هاست متصل می شوند را برای مهاجمان دشوار می کند.

• نظارت بر ترافیک شبکه

اطمینان حاصل کنید که از دید کامل ترافیک شبکه ورودی، خروجی و داخلی، با قابلیت شناسایی خودکار تهدیدات، و درک زمینه و تأثیر آنها برخوردار هستید. داده‌های ابزارهای امنیتی مختلف را ترکیب کنید تا تصویر واضحی از آنچه در شبکه اتفاق می‌افتد به دست آورید، با تشخیص اینکه بسیاری از حملات شامل چندین سیستم فناوری اطلاعات، حساب‌های کاربری و بردارهای تهدید می‌شوند.

• از فناوری فریب استفاده کنید.

هیچ اقدام حفاظتی شبکه ۱۰۰% موفقیت آمیز نیست و مهاجمان در نهایت موفق خواهند شد به شبکه شما نفوذ کنند. این را بدانید و فناوری فریب را در جای خود قرار دهید، که فریب‌هایی را در سراسر شبکه شما ایجاد می‌کند تا مهاجمان را وسوسه حمله کنند و به شما اجازه می‌دهد برنامه‌ها و تکنیک‌های آنها را مشاهده کنید. می‌توانید از فریب‌ها برای شناسایی تهدیدها در تمام مراحل چرخه حیات حمله استفاده کنید: فایل‌های داده، اعتبارنامه‌ها و اتصالات شبکه.