رقابت برای حفاظت از دادهها و سارقان داده همچون بازی موشوگربه شده است. به محض این که هکرهای کلاه سفید رفتار مخرب و آسیبزای ناشی از هکرهای کلاه سیاه را از بین میبرند، رفتار مخرب دیگری از مهاجمان رخ میدهد. به چه نحو میتوان مقابله با تهدیدات سایبری وجرایم ناشی از آن به نفع مبارزان حافظ امنیت داده تمام شود؟ در ادامه پنج تکنولوژی امنیتی نوظهور معرفی شده است که میتواند در مقابله با تهدیدات سایبری کمککننده باشد.
احراز هویت سختافزاری
عدم کفایت نام کاربری و رمز عبور بر همه روشن است و واضح است که احراز هویت باید به شکل امنتری صورت گیرد. یک روش این است که احراز هویت در سختافزار کاربر، تلفیق شود. شرکت Intel به کمک راهکار Authenticate در پردازشگر جدید نسل ششم Core vPro خود در این راستا حرکت میکند. این راهکار میتواند انواعی از فاکتورهای ارتقایافتة سختافزار را همزمان ترکیب کند تا هویت کاربر ارزیابی شود.
در اقدامات قبلی از Intel استفاده شده تا بخشی از Chipset به عملکردهای امنیتی اختصاص داده شود و به این ترتیب یک دستگاه بخشی از فرایند احراز هویت باشد. برای آن که احراز هویتی به خوبی صورت گیرد، سه چیز از سوی کاربر مورد نیاز است: این که کاربر چه میداند، مثلا: رمز عبور؛ این که کاربر کیست، مثلا: نام کاربری؛ و این که کاربر چه در اختیار دارد، مثلا: Token. در خصوص Authenticate، دستگاه میشود آن چیزی که در اختیار کاربر است، یعنی مورد سوم.
به گفتة اسکات کراوفورد (Scott Crawford)، مدیر پژوهش برای اطلاعات امنیتی در 451 Research، چنین پدیدهای جدید نیست و در گذشته، مثلا در مورد جوازدهی به تکنولوژیها و Tokenها نیز شاهد آن بودهایم.
احراز هویت سختافزار ممکن است برای اینترنت اشیاء (Internet of Things) یا به اختصار IoT اهمیتی ویژه پیدا کند، چرا که در این مورد شبکه میخواهد اطمینان حاصل کند آنچه درصدد دسترسی به شبکه است، باید به آن دسترسی داشته باشد.
با این حال، کراوفورد اشاره میکند که فوریترین کاربرد این تکنولوژی، احراز هویت Endpoint با استفاده از Intel Chipset در محیطهای سنتی IT نظیر لپتاپ، دسکتاپ و موبایل است.
آنالیز رفتار کاربر
به محض این که نام کاربری و رمز عبور شخصی فاش شود، هرکسی که آنها را داشته باشد میتواند به راحتی وارد شبکه شده و دست به هر رفتار آسیبزا و مخربی بزند. اگر مدیران امنیت، آنالیز رفتار کاربر (User Behavior Analytics) یا به اختصار UBA را به کار گرفته باشند، پس از فاش شدن رمزعبور و رفتارهای مخرب مهاجم یک هشدار برای آنها ارسال خواهد شد. این تکنولوژی از Big Data Analytics استفاده میکند تا رفتار غیرمتعارف کاربر را شناسایی کند.
به گفتهی کراوفورد، توجه بسیاری در سازمان جلب این تکنولوژی شده است.
«فعالیت کاربر، نخستین نگرانی متخصصان امنیت است.»
او همچنین بیان میدارد که این تکنولوژی نقطة کور را در امنیت سازمان نشان میدهد: «پس از این که مهاجم به سازمان نفوذ میکند، چه اتفاقی میافتد؟ یکی از نخستین اقدامات او، دزدیدن اطلاعات اعتباری کاربران سازمان است. حال این سوال مطرح میشود که: آیا میتوان بین فعالیت کاربر مجاز و فعالیت مهاجمی که به سازمان نفوذ کرده و اطلاعات اعتباری کاربر مجاز را دزدیده و اکنون در پی اهداف دیگری است، تفاوت قائل شد؟»
مزیت امنیتی PIN در Windows Hello نسبت به رمز عبور
مشاهده ویدیوهای بیشتر
اگر فعالیتی که با فعالیت کاربر مجاز مغایرت دارد، قابل مشاهده باشد، ممکن است نقاط کور موجود در میانة زنجیرة تهاجم واضح گردد. به گفتة کراوفورد، اگر تهاجم به صورت زنجیرهای از نفوذ، حرکت، و سپس ربودن و خروج غیرمجاز اطلاعات حساس باشد، ارتباط میانی در این زنجیره به صورت واضح برای متخصصان امنیت قابل رویت نیست، و به همین دلیل است که امروزه UBA توجه فراوانی را به خود جلب کرده است.
تنها راه شناسایی عامل مخرب توسط UBA، مقایسة رفتار فعلی و رفتار گذشتة کاربر نیست. چنان که استیون گراسمن (Steven Grossman)، معاون پروژه Bay Dynamics (شرکتی در حوزهی آنالیز تهدید) بیان میدارد: «قابلیتی به نام تجزیه و تحلیل همتا یا Peer Analysis وجود دارد. با این قابلیت رفتار فرد با رفتار دیگر افراد دارای مدیر یا بخش یکسان مقایسه میشود و این کار میتواند نشانگر این باشد که فرد دارد کاری را انجام میدهد که نباید انجام دهد و یا شخص دیگری کنترل حساب کاربری او را در دست گرفته است.»
به علاوه، UBA میتواند ابزار ارزشمندی برای آموزش روشهای امنیتی بهتر به کارمندان باشد. گراسمن بیان میدارد: «یکی از بزرگترین مشکلات شرکت، کارمندانی هستند که از Policy شرکت پیروی نمیکنند. شناسایی این افراد و به حداقل رساندن این خطر با آموزش دادن آنها امری بسیار مهم و اساسی است.»
رمزگذاری و Token کردن
کلید جلوگیری از دست رفتن اطلاعات، تکنولوژیهایی همچون رمزگذاری و Tokenization است. این تکنولوژیها میتوانند از اطلاعات در سطح Field و Subfield محافظت کنند که این امر از چند لحاظ به نفع سازمان است:
- مهاجمان سایبری نمیتوانند حتی پس از نفوذ به سازمان از دادههای سازمانی کسب درآمد نمایند.
- اطلاعات میتوانند در امنیت در سراسر فرایندهای توسعهیافتة تجاری سازمان جابهجا شوند و آنالیز اطلاعات نیز میتواند به شکل حفاظتشده صورت گیرد تا احتمال خطر و ریسک تا حد زیادی کاهش یابد.
- سازمان میتواند برای حفظ اطلاعات کارت اعتباری (Payment Card Information) یا به اختصار PCI، اطلاعات قابل شناسایی شخصی (Personally Identifiable Information) یا به اختصار PII و اطلاعات حفظ سلامت (Protected Health Information) یا به اختصار PHI، کمک فراوانی در محدودة مقررات امنیتی دریافت کند.
بیشتر بخوانید: ارتقاء امنیت ساختار، بدون استفاده از رمز عبور
به گفتة کراوفورد، طی چند سال اخیر هزینة فراوانی صرف مسائل امنیتی شده است و با این حال تعداد نقضهای امنیتی در سال 2015 به طور قابل توجهی از آمار سال گذشته بالاتر رفت، حدودا 451 حمله موفقیت آمیز و نفوذ اتفاق افتاد و این مسئله، توجه فراوانی را به رمزگذاری جلب کرده است.»
با این حال، آن طور که جان پسکاتور (John Pescatore)، مدیر Emerging Security Trends در موسسة SANS، اشاره میکند، احراز هویت نقش مهمی در جلوگیری از دست رفتن اطلاعات ایفا میکند. «بدون مدیریت متمرکز کلیدها، رمزگذاری قوی امکانپذیر نیست و بدون احراز هویت قوی، مدیریت متمرکز کلیدها ناممکن است.»
یادگیری عمیق یا Deep learning
یادگیری عمیق شامل چند تکنولوژی نظیر هوش مصنوعی و یادگیری ماشینی است. کراوفورد میگوید: «این تکنولوژی فارق از عنوانی که بر آن گذاشته میشود، توجه فراوانی را برای اهداف امنیتی به خود جلب کرده است.»
یادگیری عمیق نیز مانند آنالیز رفتار کاربر بر رفتار غیرعادی تمرکز میکند. بر اساس توضیح کراوفورد، تحلیلگر میخواهد بداند که به لحاظ امنیتی، به چه صورت میتوان رفتار مخرب را از رفتار عادی کاربران تشخیص داد.
آن طور که برد مدیاری (Brad Medairy)، معاون ارشد پروژه و Booz Allen شرح میدهند، این سیستم به جای آن که کاربران را در نظر بگیرد، «نهاد»ها را مدنظر قرار میدهد. «تجزیه و تحلیلهای دقیق در سازمان و پیشرفتهای اخیر در مدلهای یادگیری ماشینی بیانگر آن است که اکنون میتوان انواع نهادها را که در سراسر سازمان وجود دارند از کوچکترین سطح ممکن تا بخش کلی سازمان را در نظر بگیریم. برای مثال، یک دیتاسنتر به عنوان یک بخش، همانند یک کاربر، میتواند به گونة بهخصوصی رفتار کند.»
به بیان کریس لاوجوی (Kris Lovejoy)، رئیس کل پروژه Acuity Solutions و سازندة یک پلتفرم پیشرفتة شناسایی بدافزار، «استفاده از یادگیری ماشینی میتواند به تهدیدهای پیشرفته و پایدار برای همیشه پایان دهد. تکنولوژیهای یادگیری ماشینی که دارای قابلیت تشخیص نرمافزار خوب و بد از یکدیگر هستند، موهبت بزرگی برای متخصصان امنیت میباشند؛ به خصوص افرادی که در پی کاهش زمان شناسایی و از بین بردن تهدیدات هستند.»
کراوفورد بیان داشت که انتظار دارد سرمایهگذاری در یادگیری عمیق برای اهداف امنیتی ادامه یابد. با این حال، او افزود که «چالش پیشروی سازمانها این است که شرکتهای فراوانی با رویکردهای مشابه برای مسئلة مذکور در حال ورود به بازار هستند. مقایسه نمودن بین این شرکتها در سال آینده و پس از آن چالشی اساسی برای سازمانهاست.»
ساختار Cloud
به گفتة کراوفورد، «Cloud به تدریج تکنولوژیهای صنعت امنیت را تغییر خواهد داد». او همچنین توضیح داد که همچنان که سازمانهای بیشتری برای آنچه که سابقا به صورت On-Premises IT بود، به Cloud رو میآورند، رویکردهای امنیتی بیشتری در Cloud و برای محصول ایجاد شده در Cloud نمایان میگردند و راهکارهای On-premises به Cloud تبدیل خواهند شد. مواردی چون سختافزار امنیتی، فایروالها و سیستمهای مجازیسازیشدهی شناسایی و جلوگیری از نفوذ نیز به Cloud تبدیل خواهند شد اما این تغییرات ابتدای راه خواهد بود.
کراوفورد بیان میدارد که: «اگر قابلیتهای تامینکنندة زیرساخت به عنوان سرویس در مقیاس گسترده برای همة مشتریانش در نظر گرفته شود، احتمالا دیگر نیازی به استفاده از تمام دفاعهایی که به صورت On-Premise مورد نیاز بودند، نخواهد بود. این تامینکننده آن را در پلتفرم ایجاد خواهد کرد و در نتیجه دیگر لازم نیست مشتری Cloud این کار را انجام دهد.»
پسکاتور افزود که سازمانهای دولتی و خصوصی با استفاده از خدمات IaaS مانند Amazon و Firehost امنیت دیتاسنترهای خود را بالا بردهاند. او همچنین بیان داشت که برنامة GSA FedRAMP نمونة فوقالعادهای از خدمات Cloud تایید شده و دارای امنیت کافی است که امنیت را برای دسترسی به دیتاسنتر نسبتا بزرگ و سازمانهای متوسط امکانپذیر میکند.
این پنج تکنولوژی باید به مدیران امنیت اطلاعات کمک کنند تا قدرت را در دست گیرند.
