بیا یه قصه خیلی تکراری برات بگم! فرض کن یه شرکت متوسط نشسته، طبق روال هر ماه داره تست امنیتی انجام میده (یعنی چک میکنه ببینه آیا سیستمش رو هکی چیزی تهدید میکنه یا نه)، بعد یهو میبینه یه بدافزار قدیمی مثل یه وایروس دزد اطلاعات که اسمش مثلا «Lumma Stealer»ـه، هفتههاست تو شبکهش داره چرخ میزنه و کسی هم نفهمیده! اینجور ماجراها خیلی بیشتر از چیزی که فکر کنی اتفاق میافته.
حتماً تا الان فکر کردی فقط هکرای نابغه با ویروسهای عجیب و تکنولوژی فضایی میتونن سیستمها رو به فنا بدن، نه؟ ولی واقعیت اینه که بیشتر مواقع فقط کافیه یکی یه تنظیم کوچیک رو از قلم بندازه، سیستم آپدیت نباشه، یا یکی روی یه ایمیل مشکوک کلیک کنه که نباید کنه—خیلی ساده، یعنی همین چیزای پیشپا افتاده کار دست شرکتا میده. کلاً لازم نیست حملات خیلی پیشرفته باشه، وقتی کارای ساده رو جدی نمیگیریم، همینا برای نابود کردن شبکه کافیـه!
مثلاً همین Lumma Stealer، خیلی سادهتر از چیزیه که فکرش رو بکنی؛ اول با یه ایمیل قلابی (که بهش میگن phishing یا همون فیشینگ که یعنی ایمیلی که هدفش گول زدن کاربر و دزدیدن اطلاعاته) کاربرا رو گول میزنه که مثلاً یه CAPTCHA تقلبی رو اجرا کنن (CAPTCHA همون چیزیه سر سایتا که ثابت میکنه تو ربات نیستی)، بعد سریع پخش میشه. جدی میگم، اگه فقط دسترسی PowerShell رو محدود کنی (PowerShell یه ابزاره تو ویندوز که به کاربرای حرفهای اجازه میده کارای سیستمی انجام بدن، ولی هکرا هم عاشقشن!) و به کاربرات آموزش ساده بدی، جلوشو میگیری. ولی واقعیت اینه که تو خیلی از شرکتا حتی همین حداقلها هم رعایت نمیشن!
حفرههایی که نباید هنوز داشته باشیم!
خود مدیرای امنیتی هر روز یه لیست کار ساده دارن: سیستمها رو آپدیت کن، دسترسی رو محدود کن، به کارمندات آموزش بده. البته همه هم میدونن، ولی معمولا وقتش رو ندارن یا یادشون میره. در حالی که همه دنبال آخرین ویروس و ابزار خفنان، هکرا همون نقطهضعفای همیشگی رو میزنن. یعنی لازم نیست دنبال اختراع دوباره چرخ باشن، بلکه پیداکردن یه چرخ شل کافیه!
یه نکته بامزه اینه که بدافزارای قدیمی مثل Mirai، Matsu و Klopp دوباره با یه آپدیت ریز برگشتن و کلی دردسر درست میکنن! اینا هیچکدوم روش خاص و عجیب ندارن. فقط به خاطر خستگی و کمتوجهی تیم امنیتیه که راحت از سد دفاع رد میشن.
بزرگترین تهدید واقعی: خستگی تیم امنیت
معمولاً تو امنیت سایبری، همه درباره ریسک، آسیبپذیری (یعنی همون نقطه ضعفهایی که هکر میتونه ازش سو استفاده کنه)، و ابزارای پوشش تهدید حرف میزنن؛ ولی چیزی که بدجور از قلم میافته خستگیه! یعنی وقتی اعضای تیم امنیتی حسابی خسته میشن، دیگه به کارای روتین و مهم نمیرسن، قشنگ همه چی از دستشون در میره و حتی کارای واقعا ضروری میمونه. این ربطی به بیحوصلگی یا تنبلی نداره، بنده خداها وقت و انرژی کافی ندارن!
جالب اینه که حملههای فیشینگ هم هر روز زرنگتر میشن، مخصوصاً الان با AI مولد—Generative AI یعنی هوش مصنوعی که خودش میتونه متن شخصیسازی شده برای گول زدن کاربر درست کنه—دیگه ساخت ایمیل جعلی قوی راحتتر شده. بدافزارای دزد اطلاعات (infostealer رو میگم، همون نرم افزارهایی که ناخواسته رمز و اطلاعات رو میدوزدن) همینطوری دارن حرفهایتر میشن و مثلا خودشون رو شبیه سایت ورود به ایمیل یا درگاه آشنا جا میزنن. خلاصه کاربر خبر نداره داره رمزاشو تقدیم هکر میکنه.
چرا آماده بودن واقعی مهمتر از ابزارای جدید و گرونه؟
یه اشتباهی که خیلیا دارن اینه که فکر میکنن حتی آماده بودن یعنی یه نرمافزار امنیتی جدید بخرن یا یه تیم هکری قوی برای تست استخدام کنن (بهشون میگن red team، یعنی تیمی که کارش شبیهسازی حمله واقعی به سیستم شماست). ولی اصلش این نیست. آمادگی واقعی یعنی مطمئن شیم همین محدودیت دسترسیها، کنترلهای نقطه پایانی (endpoint یعنی دستگاههایی مثل موبایل، لپتاپ و غیره که ته شبکه میشن) و قانونهای دسترسی تو عمل جلوی تهدیدای واقعی رو میگیرن یا نه.
در واقع، اینکه مثلا بدونی الان باجافزار (ransomware، همون ویروسی که سیستمت رو قفل میکنه و پول میخواد تا باز کنه) تو دنیا زیاد شده با اینکه بدونی دقیقاً کدوم تهدیدگرها دارن زیرساخت خودت رو اسکن میکنن، زمین تا آسمون فرق داره. مثل فرق پیشبینی آب و هوای کل کشور با راداری که دقیق نشون میده هوای همین محله تو چه حالیه!
اگه مرتب کنترلها و نقاط ضعفت رو با حملههای واقعاً محتمل بررسی کنی، سه تا مزیت داری: ۱. مشکل رو زودتر میفهمی. ۲. تیم امنیتت اعتماد به نفس بیشتری پیدا میکنه چون میدونه باید چی کار کنه. ۳. دیگه میدونی کدوم کارا واقعاً مهمه و باید براش وقت بذاری، نه اینکه به خاطر شلوغی کارای حیاتی جامونن.
کلاً لازم نیست همه آپدیتای دنیا رو همین الان نصب کنی؛ فقط اونایی رو زودتر نصب کن که هکرهایی که به تو گیر دادن، ازش سو استفاده میکنن؛ مخصوصاً بخشهایی از شبکه که الان زیر ذرهبینن، باید بیشتر روشون حساس باشی!
اصل امنیت اینه که کار کنه، نه اینکه فقط خوشگل و مدرن باشه!
صنعت امنیت سایبری معمولاً عاشق ابزارای جدید و فانتزی و تیم واکنش به حادثه است. ولی واقعیت اینه که پایداری واقعی یعنی یه روتین درست و اساسی. مثلاً کاربرا نمیتونن هر اسکریپت PowerShell رو دلشون خواست اجرا کنن، آپدیتها باید تو وقت درستش انجام بشه نه هر وقت دلمون خواست، آموزشهای ضد فیشینگ باید دائم تکرار بشه نه فقط یه بار برای خالی نبودن عریضه!
شاید این چیزا خیلی هیجانانگیز نباشه، ولی جواب میده. وقتی هکرا دنبال آسونترین راه نفوذ هستن، سادهترین کار رو درست انجام بدی، نصف راه رو رفتی!
نوآوری جدید؟ همون نظم و مسئولیتپذیری قدیمیه!
دنیای امنیت همیشه در حال تغییره. هوش مصنوعی باهوشتر میشه، هکرا هربار تاکتیک جدید یاد میگیرن، بریچ بعدی (“data breach” یعنی نشت اطلاعات) هم احتمالاً همین الان داره رخ میده. پس راه حل نابودی این نیست که باز صدتا ابزار و آلارم جدید سرت بریزی، بلکه باید روی نظم و اصول روتین تمرکز کنی.
تیم امنیت لازم نیست همه کارارو بکنه، فقط باید همین اصول اولیه رو دقیق و ثابت انجام بده: مثلا آپدیت کن، تنظیماتو بررسی کن، تست بگیر، دوباره و دوباره! اگه اینا قوی باشه بقیهش خودش درست میشه.
پس اگه مدیر امنیت یا همون CISO هستی، الان باید از خودت بپرسی: «آیا همین کارای ساده رو درست انجام میدیم و میتونیم اثباتش کنیم؟» از همین امروز شروع کن بررسی وضعیت الان شرکتت: کدوم وصلهها دیر نصب شدن؟ کدوم کنترل امنیتی مدتهاست تست نشده؟ کجا تیم انقدر خسته است که به آتیش کارای مهم نرسیدن؟ جواب این سوالا نه فقط بهت میگه کجا ضعیفی، بلکه بهت آدرس مسیر اقتدار واقعی رو نشون میده.
خلاصه حرفم اینکه: امنیت یه چیز عجیب و غریب نیست، اگه روزمره و منظم انجامش بدی، هکرا خیلی سختتر میتونن بهت آسیب بزنن. پس به جای دنبال نوآوری دویدن، نظم و روتینتو قوی نگه دار و یادت نره خستگی پنهانترین دشمن تیمته!
منبع: +
