راه پرداخت
رسانه فناوری‌های مالی ایران

دیوارها را بلندتر کنید

firewall-security-amniat-way2pay-92-04-08

هادی سنجانی؛ گره‌خوردن زندگی روزمره با فناوری‌های ارتباطی و اطلاعاتی تا حدی است که تصور عدم وجود آن را سخت می‌نماید. بسیاری از دغدغه‌های مردم برای انجام امور جاری با استفاده از بستر مهیاشده توسط فناوری‌ رفع شده است. امروزه بسیاری از فعالیت‌ها شامل و نه محدود به خدمات دولت الکترونیکی، اطلاع‌رسانی، امور مالی، خدمات آموزشی و خدمات بهداشتی و درمانی با استفاده از بستر ارتباطی و اطلاعاتی به انجام می‌رسند. در سطحی دیگر بسیاری از زیرساخت‌های حساس ملی مانند صنایع نفت و گاز، در چرخه‌ تولید خود به صورت گسترده از فناوری‌های ارتباطی و اطلاعاتی استفاده می‌کنند. این استفاده روزافزون از فناوری هرچند مزایای بسیار زیادی را دربرداشته است اما زوایای پنهان‌مانده از دید عوام و خواص آن می‌تواند پاشنه‌ آشیل برای تهدید منافع ملی باشد.

با توجه به ضریب نفوذ بالای فناوری در زندگی امروزه، پرواضح است که ایجاد و استفاده از زیرساخت‌ها و راهکارهای کارآمد برای محافظت از این بسترها و همچنین استفاده‌کنندگان آنها ضروری و حیاتی است.

زمانی این مهم آشکارتر می‌شود که نگاهی به روند روبه‌رشد حمله‌های سایبری در دنیا و بالاخص در ایران داشته باشیم. این حمله‌ها در دو دسته‌ عمده حمله‌های داخلی و خارجی هر کدام خسارات بسیاری را در سطوح مختلف به مردم و دولت وارد کرده‌اند. در حوزه‌ داخلی می‌توان به حمله‌هایی با هدف نفوذ و ایجاد اختلال در سیستم‌های بانکداری الکترونیکی اشاره کرد که خساراتی جدی به مراکز ارائه‌کننده چنین خدماتی تحمیل کرده است و علاوه بر آن مشترکان مراکز بانکی هم متحمل خسارت‌های مالی شده‌اند. از طرف دیگر حمله‌های خارجی تهدیدی به مراتب جدی‌تر محسوب می‌شوند چراکه علاوه بر خساراتی که در ابعاد وسیع وارد می‌کنند قادرند تبدیل به ابزاری برای فشار در مقاطع زمانی حساس شوند.

.

مروری بر رخداد‌های امنیتی مهم

رخدادهای امنیتی زیادی در سال‌های گذشته گریبانگیر فضای دیجیتال در کشور ما شده‌اند. بسیاری از آنها پس از کشف و رفع، به فراموشی سپرده شده‌اند تا عدم توجه جدی به چرایی و چگونگی به وقوع پیوستن آنها مانع واکاوی و رسیدگی موثر در راستای ممانعت از به وقوع پیوستن مجدد آن رخدادها شود. به سختی می‌توان آمار درستی از میزان چنین رخدادهایی به دست آورد چراکه سازمان‌ها با ترس کاهش اعتبار ناشی از علنی شدن مورد حمله‌ قرار گرفتن، مانع اطلاع‌رسانی در این زمینه می‌شوند فارغ از اینکه تا چه اندازه سازمان‌ها مجاز به ممانعت از انتشار این اطلاعات هستند، عدم اطلاع‌رسانی و ارجاع چنین مواردی به مراجع ذی‌صلاح، امکان درک صحیح از شرایط را از برنامه‌ریزان در سطح کشور می‌گیرد. به عبارت دیگر تصمیم‌گیران برای اتخاذ تصمیمات صحیح در سطح کلان، نیاز به اطلاعات صحیح و جامع دارند و در همین راستا، همکاری موثر و سازنده‌ تمام سازمان‌های کوچک و بزرگ، دولتی و خصوصی، کمک بسزایی در امر تصمیم‌سازی و در نهایت تصمیم‌گیری صحیح و اصولی خواهد کرد.

علاوه بر این، همه‌ساله در ایران حمله‌های سایبری خسارت‌های قابل توجهی به سازمان‌ها وارد می‌کنند. سیستم‌های بانکی بارها مورد حمله و نفوذ قرار گرفته‌اند و هرچند اطلاعات رسمی کمی در این زمینه وجود دارد اما می‌توان گفت بسیاری از حمله‌ها موفق بوده و بعد از آنکه حمله‌کننده به نتیجه مطلوب رسیده است، کشف و رفع شده‌اند. در حوزه‌های غیربانکی نیز شرایط مشابهی حاکم است. برای نمونه اپراتورهای تلفن همراه نیز به عنوان هدفی جذاب برای هر دو گروه حمله‌کنندگان داخلی و خارجی، مورد هجوم حمله‌های سایبری قرار گرفته‌اند. شاید ملموس‌تر باشد اگر موارد مشخصی را بررسی و نتایج آن را مرور کنیم.

.

حوزه‌ مالی

شرکت انیاک که با بانک‌های متعددی در زمینه پرداخت الکترونیکی همکاری می‌کند در سال ۹۱ با مشکلی خبرساز روبه‌رو شد. فردی با افشای بخشی از اطلاعات سه میلیون کارت‌ بانکی، مدعی وجود نقص امنیتی جدی در سیستم‌های این شرکت شد. اما تبعات گسترده‌ این خبر و برخورد ویژه با آن شاید چیزی بود که کمتر کسی انتظار آن را داشت. جدا از اینکه ریشه‌ مشکل کجا و واکنش اصولی به آن چه بوده است، حرکتی که بعد از آن با ورود بانک مرکزی و دیگر مراجع قانونی شکل گرفت، هزینه‌ قابل توجهی را بر انیاک و دیگر PSPها تحمیل کرد. این هزینه‌ای بود که PSPها باید از نخستین گام‌های راه‌اندازی کسب و کارشان، به صورت تدریجی صرف ایجاد و حفظ امنیت آن می‌کردند.

به عنوان نمونه‌ دیگری از تهدیدات مرتبط با حوزه‌ مالی می‌توان از بدافزار Narilam نام برد. این بدافزار طی چند ماه گذشته بر سر زبان‌ها افتاد در حالی که بر اساس تحلیل‌های موجود خیلی پیش از این (خرداد ۸۹) کشف شده بود . بر اساس اطلاعات موجود این بدافزار با هدف قرار دادن نرم‌افزارهای مالی مشخص (شامل نرم‌افزارهای امین، شهد و مالیران مربوط به شرکت طراح سیستم) به تخریب اطلاعات پایگاه داده‌‌های این نرم‌افزارها می‌پردازد. عملکرد این بدافزار به گونه‌ای است که نشان از تسلط نویسنده‌ این بدافزار بر ساختار این نرم‌افزارها و هدفمند بودن این حمله دارد.

.

حوزه‌ انرژی

سال ۹۱ سالی پرماجرا برای این حوزه بوده است. در این سال صنایع مرتبط با این حوزه مانند صنایع نفت، گاز و تاسسیات هسته‌ای ایران هدف بدافزارهای مختلفی قرار گرفتند. بدافزارهایی که با نام‌های Stuxnet، Duqu، Wiper، Flameو Gauss آنها را می‌شناسیم (نامگذاری‌شده توسط مراکزی که به تحلیل این بدافزار‌ها پرداخته‌اند). تحلیل‌های زیادی در مورد این بدافزارها وجود دارد که ارتباط آنها را با یکدیگر تایید و علاوه بر آن پیچیدگی آنها را در سطحی ارزیابی می‌کند که بیانگر وجود یک حمله‌ برنامه‌ریزی شده است (برای نمونه CrySyS Labبیان می‌کند flame پیچیده‌ترین بدافزاری است که تاکنون تحلیل کرده و اعتقاد دارد پیچیده‌ترین بدافزاری بوده که تاکنون کشف شده است)، آنچنان که بسیاری از گمانه‌زنی‌ها در خصوص منبع این بدافزار حاکی از نقش یک یا چند دولت در تولید آن است. با نگاهی به آمار مربوط به توزیع آلودگی به برخی از این بدافزارها در کشورهای مختلف (نمودار ۱ و نمودار ۲) می‌توان دو نتیجه‌ کلی گرفت:

  1. ایران به صورت مشخص یکی از اهداف اصلی این بدافزارها بوده است که با توجه به شرایط کنونی و تعارضات روزافزون دنیای غرب با ایران، دور از ذهن نیست.
  2. ایران در زمینه محافظت از دارایی‌های مرتبط با فناوری‌های ارتباطی و اطلاعاتی سرمایه‌گذاری لازم را نکرده و به تبع آن آمادگی کافی برای مواجهه‌ با آنها را ندارد.

هر کدام از نتایج فوق به تنهایی می‌توانند انگیزه‌ کافی و محرکی برای نگاه و تمرکز بیشتر و جدی‌تر به موضوع امنیت در فضای سایبری کشور باشند.

.

فناوری‌های نوین، تهدید‌های نوین

با توجه به مطالب بیان‌شده، در سال‌های اخیر، میزان حمله‌های وارده به سازمان‌های متولی زیرساخت‌های حیاتی ملی و بانکی در ایران افزایش پیدا کرده است. این حمله‌ها در اغلب موارد عملکرد سازمان‌ها را مختل کرده و باعث سرقت اطلاعات محرمانه، از بین رفتن جامعیت داده‌ها و از دسترس خارج شدن سرویس‌های سازمان‌ها می‌شوند. تبعات این حمله‌ها احساس نیاز روزافزون به ایجاد زیرساخت‌های امنیتی ویژه برای بالا بردن سطح امنیت است. در این راستا و با در نظر داشتن این نیازمندی در کشور، ایجاد و استقرار زیرساخت‌های امنیتی و پیاده‌سازی راهکارهای امنیتی به سازمان‌ها کمک می‌کند تا با استفاده از یک تیم متخصص، آمادگی مواجهه با رخدادهای امنیتی با سطح پیچیدگی بالا را داشته باشند و در صورت وقوع چنین رخدادهایی در حداقل زمان و با کمترین خسارت وارده جهت برطرف کردن آن اقدام کنند.

به تجربه ثابت شده است در اغلب موارد مادامی که درگیر بحرانی نشده‌ایم به سراغ پیشگیری نمی‌رویم. با کمی جست‌وجو می‌توان نوشتار‌های زیادی در باب تهدید‌های ناشی از به‌کارگیری گسترده فناوری‌ یافت. شاید قدمت این نوشتارها در بسیاری موارد بیشتر از خود فناوری مورد بحث باشد. متون علمی و تخیلی بسیاری موجودند که از تسخیر یا به نابودی کشاندن بشر توسط فناوری‌های تولیدشده به دست خود او سخن گفته‌اند. علاوه بر این دسته از متون، کم نیستند کتاب‌‌هایی که با انگیزه‌ آگاهی‌رسانی در خصوص خطرهای عدم توجه به امنیت در فضای سایبری به بررسی حمله‌های سایبری به وقوع پیوسته پرداخته‌اند.

با وجود متونی اینچنین و امکان استفاده از تجربه‌های سایر کشورها در سیر تکاملی استفاده از فناوری، شاید هیچ‌گاه توجه شایانی در سطح کشور ما به موضوع امنیت نشده است و هرچند سیر صعودی رسیدگی به دغدغه‌های امنیت سایبری در دو سال گذشته به واسطه‌ حمله‌های سایبری کشف‌شده قابل توجه بوده است اما کافی نبوده و نیازمند برنامه‌ریزی بلندمدت و تدوین استراتژی در زمینه امنیت فضای سایبری در سطح کشور است.

رویکرد چندساله‌ اخیر مراجع مختلف متولی این امور به گونه‌ای بوده است که سعی در پوشش مسائل مربوط به امنیت فضای سایبری داشته‌اند اما به نظر می‌رسد آنچنان که باید فضای شفاف، رویکرد مشخص و ضمانت اجرایی لازم وجود نداشته و تهدید‌های ملی ناشی از حمله‌های سایبری می‌تواند در مقاطع حساس زمانی، مانند انتخابات ریاست جمهوری‌، تهدیدی به مراتب خطرناک‌تر باشد. حمله‌های سایبری در این ایام به زیرساخت‌های ارتباطی مانند اپراتورها، سایت‌های خبری و همچنین سایت‌های وب وزارتخانه‌های متولی اطلاع‌رسانی، می‌تواند اهداف جذابی برای نفوذگران داخلی و خارجی باشد.

.

معرفی CSIRT

استقرار CSIRT در سازمان‌ها به عنوان یک زیرساخت امنیتی شامل نیروی انسانی ماهر، فناوری‌های امنیتی و روال‌های مرتبط، به سازمان‌ها اجازه می‌دهد در برابر حمله‌های سایبری، آسیب‌پذیری کمتری داشته باشند و در صورت وقوع رخداد، خسارت وارده به سازمان را به حداقل میزان ممکن برسانند. در سازمان‌هایی که چنین زیرساختی فراهم باشد، هر نوع رخداد امنیتی به این مرکز گزارش می‌شود که خودبه‌خود باعث کاهش سربار بخش‌های غیرمرتبط و همچنین احاطه‌ بهتر یک تیم متمرکز برای واکنش به رخدادها می‌شود. علاوه بر این با سازوکار‌هایی پیش‌بینی‌شده برای رسیدگی به فارنزیک دیجیتال در این مراکز می‌توان مشکلات قضایی را نیز از طریق مراجع قضایی به درستی پیگیری کرد و به نتیجه رساند.

.

تاریخچه‌

عبارتCERT Computer Emergency Response Team) ) برای اولین بار در دانشگاهCarnegie Mellon و پس از انتشار کرم Morris در ARPANET که موفق شد نیمی از این شبکه نوپا را در آن زمان فلج کند، به وجود آمد. وظیفه‌ این گروه ایجاد هماهنگی برای واکنش مناسب به رخدادهای شبکه‌‌ای و تامین امنیت هنگام وقوع حوادثی از این دست بود. در حال حاضرCERT یک نشان تجاری ثبت‌شده برای دانشگاه (computer Security Incident Response Team) نیز معنای مشابهی دارد و معمولا به جای CERT به کار برده می‌شود، اما باید توجه داشت CERT نشان تجاری ثبت‌شده‌ دانشگاه Carnegie Mellon است و این دو عبارت نباید به جای یکدیگر به کار برده شوند.

در ایران نیز این نوع مراکز با تعریفی مشابه، با پشتیبانی مرکز تحقیقات مخابرات در سال ۱۳۸۶ با نام آپا شروع به کار کردند:

آپا مخفف آگاهی‌رسانی، پشتیبانی و امداد رایانه‌ای است که نامی بومی معادل CERT یا CSIRT است. طرح آپا به منظور ارتقای دانش فنی کشور و توسعه دانش مدیریت حوادث امنیتی از سال ۱۳۸۴ در پژوهشکده امنیت ارتباطات و فناوری اطلاعات مرکز تحقیقات مخابرات ایران شروع و بهره‌برداری آن اواخر سال ۱۳۸۶ آغاز شده است. ماموریت آپا که در پژوهشکده امنیت ارتباطات و فناوری اطلاعات مرکز تحقیقات مخابرات ایران راه‌اندازی شده است بیشتر جنبه پژوهشی‌تخصصی در حوزه مدیریت پاسخ به حوادث را مد نظر قرار داده و با ایجاد چندین مرکز آپای تخصصی در دانشگاه‌های کشور هم به مساله فرهنگ‌سازی، ترویج و تربیت نیروی انسانی متخصص در حوزه پاسخ به حوادث توجه دارد و هم انتقال دانش و فناوری این حوزه را در داخل کشور و برای شروع این جریان، هدف خود قرار داده است. (https://www.emsrt.ir)

با فاصله‌ کمی در سال ۱۳۸۷ سازمان فناوری اطلاعات اقدام به راه‌اندازی مرکز ماهر به عنوان مرکز هماهنگ‌کننده‌ کرد و علاوه بر آن تلاش کرد تا مراکز CSIRT با نام بومی‌شده گوهر: گروه واکنش هماهنگ رخداد در سازمان‌های دولتی راه‌اندازی شوند.

شرکت فناوری اطلاعات ایران مطابق با وظایف حاکمیتی و اسناد بالادستی (سند افتا و اساسنامه خود) و به منظور ایجاد ساختار مناسب جهت پاسخگویی، ایجاد هماهنگی‌های لازم مدیریت رخدادهای رایانه‌ای اقدام به ایجاد و راه‌اندازی مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخداد رایانه‌ای) کرده است. (https://www.itc.ir)

علاوه بر این مراکز دیگری مانند مهار و کاشف نیز در حوزه‌های مشخص تعریف و در جهت راه‌اندازی آنها گام برداشته شده است:

بانک مرکزی جمهوری اسلامی ایران به منظور لزوم حفظ و ارتقای امنیت نظام پرداخت و بانکداری الکترونیکی و مواجهه درست با تهدیدات درونی و بیرونی نظام بانکی کشور، مرکز کنترل امنیت شبکه و فوریت‌های بانکی (کاشف) را‌ ایجاد کرد. آذر ۱۳۹۱ https://www.cbi.ir/showitem/9971.aspx))

.

ساختارهای مختلف CSIRT

ساختارهای مختلفی برای تشکیل تیم CSIRT در یک سازمان وجود دارد. این تیم می‌تواند به روش‌های زیر ساختاربندی شود:

تیم امنیتی: در این مدل هیچ گروه مشخصی مسوولیت مستقیم مدیریت رخداد را بر عهده ندارد، بلکه از پرسنل بر اساس نیازهایی که به وجود می‌آید استفاده می‌شود.

CSIRT داخلی توزیع‌شده: این تیم‌ها در محل‌های جغرافیایی و سازمانی مختلف توزیع شده‌اند. مدیر تیم، وظیفه‌‌ هماهنگ کردن اعضای گروه را بر عهده دارد. این اعضا در حقیقت افرادی در سازمان‌ها هستند که تخصص‌های مختلفی در زمینه تکنولوژی‌ها، سیستم‌عامل‌ها و برنامه‌های گوناگون دارند و به تناسب و در زمان مورد نیاز از آنها استفاده می‌شود. این افراد در بقیه اوقات، کار معمول خود را انجام می‌دهند.

CSIRT داخلی متمرکز: تیمی است که در یک محل مشخص از سازمان قرار دارد و مسوول مستقیم مدیریت رخداد است.

CSIRTداخلی ترکیبی توزیع‌شده و متمرکز: این مدل ترکیبی از دو مدل قبلی محسوب می‌شود. در این مدل، یک گروه متمرکز برای مدیریت رخداد وجود دارد ولی از سایر کارکنان نیز در محل‌های استراتژیک به صورت توزیع‌شده استفاده می‌شود.

CSIRTهماهنگ‌کننده: در این مدل که یک مدل متمرکز محسوب می‌شود CSIRT مسوول هماهنگ کردن عملیات مدیریت رخداد سازمان‌ها یا بخش‌های مختلف است. به عنوان نمونه می‌توان از شاخه‌های مختلف یک سازمان یا سازمان‌های مختلف یک استان نام برد.

پیش از استقرار مرکز CSIRT در سازمان، به دلیل عدم وجود یک سیستم یکپارچه و متمرکز، رخدادها یا تشخیص داده نشده یا با تاخیر قابل توجهی تشخیص داده می‌شوند و از آنجایی که معمولا سطح آگاهی در مورد مسائل امنیتی در سازمان با سطح ایده‌آل فاصله دارد، کارکنان هنگام روبه‌رو شدن با یک اتفاق غیرمعمول سعی در رفع انفرادی رخداد یا چشم‌پوشی از آن می‌کنند. این رویکرد در بسیاری از موارد نه‌تنها مشکلی را حل نمی‌کند بلکه باعث می‌شود مهاجم به هدف خود دست پیدا کرده و حمله را به انجام برساند و مدت‌ها شناسایی‌نشده باقی بماند.

پس از استقرارCSIRT ، هر رویداد غیرمعمول به این تیم گزارش یا از طریق سامانه‌های پیشرفته به کارگرفته‌شده توسط CSIRT شناسایی می‌شود و در نتیجه وقوع یک رخداد در کمترین زمان ممکن کشف شده و اقدامات لازم برای رسیدگی به رخداد و جلوگیری از رخدادهای مشابه در آینده انجام می‌شود. این رویه باعث می‌شود خسارات وارده به سازمان به حداقل میزان ممکن تقلیل پیدا ‌کند. علاوه بر این، کاهش سربار بخش‌های مختلف سازمان که به هر نوعی ممکن است درگیر رخدادهای امنیتی شوند نیز ارزش افزوده‌ وجود CSIRT در سازمان به شمار می‌رود.

.

جمع‌بندی

از آنجایی که ماهیت مراکز CSIRT به گونه‌ای است که همکاری نزدیکی بین آنها می‌طلبد، هرچه تعداد سازمان‌هایی که دارای مراکز CSIRT عملیاتی هستند بیشتر شود، توان مقابله با حمله‌های سایبری پیچیده و گسترده در سطح ملی افزایش می‌یابد. به عبارت دیگر این مراکز با همکاری و تبادل اطلاعات در مورد رخدادهای امنیتی قادرند بار حمله‌ها را بین خود تقسیم کرده و در واکنش به رخدادهای امنیتی هم‌افزایی قابل توجهی داشته باشند. ساختاری را تصور کنید که در آن تمام بانک‌ها مرکز CSIRT داشته باشند و توسط یک CSIRT مرکزی هماهنگ می‌شوند، مشابه‌ آن تمام وزارتخانه‌ها و دیگر سازمان‌های بزرگ کشور چنین ساختاری داشته باشند. تمام این مراکز CSIRT می‌توانند تحت یک ساختار مش با یکدیگر همکاری و تبادل اطلاعات داشته باشند در حالی که در مواقع لازم تحت یک ساختار سلسله مراتبی برای واکنش به رخدادهای امنیتی با سطح پیچیدگی بالا و گسترده در سطح کشور توسط CSIRTهای هماهنگ‌کننده، به واکنش موثر و سریع بپردازند.

منبع: ماهنامه پیوست؛ شماره سوم

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.