چهار فاكتور برای جلوگيری از جاسوسی سايبری

IRCAR201212159
تاريخ: 5/10/91

بدافزارها به سرعت در حال تغيير هستند و انواع جديد كدهاي خرابكار مانند استاكس‌نت، دوكو و فليم نشان دهنده اين موضوع هستند.
دسته ديگري از بدافزارها كه اخيرا زياد ظاهر شده‌اند، بدافزارهايي مانند ACAD/Medre.A هستند كه براي جاسوسي صنعتي مورد استفاده قرار مي‌گيرند و در آينده نيز بيشتر و بيشتر مشاهده خواهند شد. البته اين مسأله جديدي نيست، چنين وضعيتي قبلا نيز رخ داده است. ولي از آنجايي كه با توجه به جريان اطلاعات در رسانه‌ها در مورد بدافزارهاي حمايت شده توسط دولت‌ها، مردم به طور كلي نسبت به امنيت آگاه‌تر شده‌اند، اكنون اين ناهنجاري‌ها به شكل قاعده‌مندتري مورد توجه قرار گرفته و بيشتر كشف مي‌شوند.

اما براي محافظت از يك سازمان يا شركت در برابر اين حملات هدفمند چه مي‌توان كرد؟
نخست بايد توجه كرد كه حملات هدفمند معمولا توسط معيارهاي معمول امنيتي قابل مشاهده نيستند و حتي توسط به‌روزترين ضد بدافزارها نيز تشخيص داده نمي‌شوند. البته اين قطعا به معناي توقف استفاده از نرم‌افزار ضد بدافزار نيست، چرا كه اين نرم‌افزارها يك خط دفاعي مهم براي شناسايي و حذف تهديدات هستند. همچنين نرم‌افزارهاي ضد بدافزار روز به روز هوشمندتر مي‌شوند و ممكن است نسخه‌هاي جديد آنها قادر به تشخيص تهديدات بر اساس تشخيص رفتاري باشند، ولي حتي اگر اينطور نباشد، زماني كه پايگاه داده امضاهاي ويروس‌ها به‌روز مي‌گردد، ممكن است ناگهان متوجه شويد كه شبكه شما آلوده شده است. حتي اگر سيستم شما مورد سوء استفاده قرار گرفته و داده‌ها نشت پيدا كرده باشند، با استفاده از اين نرم‌افزارها حداقل شما متوجه مي‌شويد كه دچار مشكل شده‌ايد و مي‌توانيد شروع به ترميم خرابي و استفاده از پروتكل‌هاي بهبود نماييد.
اغلب اين حملات با استفاده از اطلاعاتي از درون سازمان ساخته شده‌اند كه به مهاجمان اجازه مي‌دهد ضربه خود را بهتر وارد نمايند. به همين دليل براي محافظت بهتر از سازمان و دارايي‌هاي آن در مقابل اين حملات جاسوسي سايبري كه سعي در سرقت دارايي‌هاي معنوي سازمان شما دارند، بايد پيش‌بيني‌هاي لازم را به عمل آورده و گام‌هاي مورد نياز را به كار بنديد.

1. خط مشي داده‌ها:
   شما بايد مراقب باشيد كه چه كساني مجوز دسترسي به اطلاعات حساس را دارا هستند. در بسياري از موارد داده‌هاي حاوي دارايي‌هاي معنوي سازمان، بر روي شبكه در اختيار بسياري از افراد قرار دارد و به راحتي در دسترس است.
2.  از سيستم خود استفاده كنيد:
   اين روش ممكن است يك روش ارزان قيمت به نظر برسد، ولي در نهايت ممكن است بيش از ارزش خود براي شما دردسر درست كند. شما نمي‌دانيد كه اين سيستم كجا بوده است، چه نوع نرم‌افزارهايي بر روي آن نصب شده‌اند و غيره. اگر از اين روش استفاده مي‌كنيد، حداقل بايد نصب نرم‌افزار مديريت/نگهداري را اجبار نماييد. همچنين اطمينان حاصل كنيد كه يك نوع مكانيزم كنترل سيستم وجود دارد كه از نشت داده‌ها جلوگيري مي‌كند. به اين ترتيب كه وقتي اين داده‌ها بعدا بر روي سيستم ديگري در محيط شركت مورد استفاده قرار مي‌گيرد، به سادگي بازگشايي مي‌شود. اما زماني كه بر روي سيستمي كه داراي مكانيزم كنترل سيستم و متعلق به شركت نيست قرار مي‌گيرد، غير قابل استفاده مي‌شود.
3. از زيرساخت‌هاي حياتي خود محافظت كنيد:
   شبكه دارايي‌هاي معنوي سازمان را از شبكه شركت جدا كنيد و مجوز دسترسي به اين شبكه را فقط به افرادي بدهيد كه واقعا به آن نياز دارند. اينكه چه كساني مجوز كار بر روي اين شبكه را دارا هستند و دسترسي فيزيكي به محل‌هايي دارند كه مي‌توانند به اين شبكه دسترسي داشته باشند، بايد تصميم‌گيري شده و به روشني تعيين گردد. اما حتي اگر توصيه‌هاي واضح امنيتي براي كارمنداني كه به اين محيط‌ها دسترسي دارند ارائه داده و آنها را به خوبي كنترل نماييد، آيا اطمينان داريد كه كارمندان شركت‌هاي پيمانكار شما كه به اين محيط‌ها رفت و آمد دارند نيز توسط شركت خود مورد نظارت قرار مي‌گيرند؟ يا اينكه از نماينده شركت توليد كننده سخت‌افزار مورد استفاده خود كه براي نگهداري و تعمير آن به شركت شما مي‌‎آيد، مطمئن هستيد؟ يا بر لپ‌تاپي كه اين فرد براي بررسي كار سخت‌افزار شما به آن متصل مي‌كند، نظارت داريد؟
4. رفتارهاي غيرمنتظره را مورد نظارت قرار دهيد:
   انجام اين مورد از همه موارد قبل سخت‌تر است، چراكه در حقيقت شما نمي‌دانيد بايد منتظر چه چيزي باشيد. در يك مورد اخير (ACAD/Medre.A) كه مشكوك به جاسوسي صنعتي است، اين بدافزار كپي‌هايي از طرح‌ها و اسناد صنعتي را از طريق SMTP براي ايميلي در چين ارسال مي‌كرد. توجه داشته باشيد كه هيچ دليلي وجود ندارد كه هيچ كدي به جز عامل انتقال ايميل (Mail Transfer Agent) شركت، داراي قابليت ارسال ايميل باشد. با تنظيمات صحيح فايروال (و سيستم هشدار)، اين انتقالات بايد مورد توجه قرار گرفته و از آن جلوگيري شود. ده‌ها هزار طرح صنعتي لو رفته به روشني نشان مي‌دهد كه پياده‌سازي معيارهاي اوليه نظارت در بسياري از سازمان‌ها صحيح نيست. در شرايط ديگر، ارتباطات مداوم بر روي پورت‌هايي كه چندان معمول نيستند با يك (يا يك مجموعه كوچك) آدرس آي‌پي يكتا نيز مي‌تواند نشان‌دهنده اتفاقي غير عادي باشد.

هيچ راهنماي واقعي وجود ندارد كه به شما نشان دهد چگونه از خود در برابر حملات هدفمندي كه سعي در سرقت دارايي‌هاي معنوي سازمان شما دارند محافظت نماييد. و واقعيت اين است كه در جايي كه اين حملات در مقياس كوچك باشند، مي‌توانند براي مدت‌هاي طولاني جلب توجه نكرده يا اينكه به طور كلي كشف نگردند. اگر مي‌خواهيد امنيت خود را حفظ كنيد و دارايي‌هاي معنوي سازمان خود را دور از دسترس هكرها قرار دهيد، آگاه و هشيار بودن، مشاهده وب‌سايت‌هاي شركت‌هاي امنيتي، مطالعه درباره نحوه عملكرد تهديدات جديد و حصول اطمينان از به كار گيري راهكارهاي محافظتي در برابر آنها، يك الزام است.