img

مقابله با تهدیدهای سایبری توسط مدلسازی “عادی” رفتار وب سایت

/
/
/

راهکاری که مجموعه داده های بزرگ، مدلسازی آماری و الگوهای غیر طبیعی را بصورت بلادرنگ به کار برد می تواند حملاتی که به قصد سوء استفاده از نقص های منطقی کسب و کار باشد را خنثی کند.

امروزه سیل داده های دیجیتال – که از صدها میلیون دستگاه سرچشمه می گیرد و حاوی میلیاردها نقل و انتقال و تعاملات آنلاین هستند- اغلب سازمان ها را با اطلاعات خامی روبرو می سازند که بیشتر از حد جذب توسط آنهاست. حتی نگران کننده تر از آن، این است که این سیل اطلاعات وسیله ای برای مجرمان سایبری برای مخفی ساختن فعالیت های بدخواهانه خود در اقیانوس پهناور جریان های قانونی دیجیتال فراهم می سازد. داشتن داده های زیاد مسئله بدی نیست. در حقیقت بیشتر مجریان آی تی و کسب و کار پی برده اند که ارزش زیادی از داده هایی که بطور مداوم توسط کارمندان، مشتریان، محققان بازار و دیگران تولید می شود برای استخراج وجود دارد.
متعاقبا مجموعه “big data” و تجزیه و تحلیل آن به عنوان امیدوارکننده ترین گرایش آی تی ظهور کرده است که شرکت ها را قادر می سازد تا دانش کاری مفیدی از داده های فراگیر “پارازیتی” به دست آورند.

با این وجود بسیاری از این مجریان نمی دانند که مدلسازی و تجزیه و تحلیل آماری مبتنی بر big data می تواند به آنها در مقابله با گونه به سرعت در حال تکثیر تهدیدات سایبری نیز کمک کند.
در حقیقت سازمان های بسیار کمی به طور کامل ماهیت این تهدیدات را که به دنبال سوء‌ استفاده از منطق کسب و کاری است که فرآیندهای کاری و وب سایت آنها بر آن استوار است را دریافته اند.
این حقیقت که بسیاری از سازمان ها ممکن است شکاف هایی در امنیت آی تی خود داشته باشند ممکن است شما را متعجب کند. روی هم رفته پوشیده نیست که داده ها و برنامه های سازمانی نشان دهنده نیروی حیاتی بسیاری از کسب و کارها هستند و شرکت ها در مجموع سالانه میلیاردها دلار برای محافظت از این منابع دیجیتال هزینه می کنند. امنیت آی تی در پی ظهور کلاد کامپیوتینگ و پردازش سیار در میان کارمندان حتی از اهمیت بیشتری نیز برخوردار شده است. هر دوی این گرایش ها می توانند مزایای زیادی داشته باشند ولی در عین حال انواع جدیدی از تهدیدات امنیتی را برای سازمان هایی که می خواهند بر روی آنها سرمایه گذاری کنند نیز به همراه خواهند داشت.

در حقیقت همان مشخصه هایی که باعث می شود تعاملات مبتنی بر کلاد و سیار برای مشتریان و کارمندان ساده و جذاب گردند، برای مجرمان سایبری نیز راه خوبی می گشایند. در ترکیب با این مشکل، حجم گسترده داده هایی را در نظر بگیرید که اکنون در شبکه دیجیتال در جریانند.
برای مثال، طبق گفته سیسکو، ترافیک جهانی بر روی شبکه های موبایل به تنهایی در سال ۲۰۱۳ نزدیک به ۱۸ اگزابایت گزارش شده است.
در همان سال فروش حاصل از تجارت الکترونیکی در ایالات متحده نزدیک به ۲۶۳ میلیارد دلار بوده است. که نمایانگر نزدیک به ۱۷ درصد افزایش نسبت به آنچه در سال ۲۰۱۲ گزارش شده بود می باشد.
در مواجهه با بالارفتن سرسام آور ترافیک دیجیتال و ماتریس تهدیدات همیشه در حال گسترش، شرکت ها راهکارهای پیچیده مدیریت هویت را دوبرابر کرده، فایروال های قدرتمند نصب کرده، بر روی روش های رمزنگاری پیشرفته سرمایه گذاری کرده و تعداد زیادی معیارهای محافظتی دیگر را به کار گرفته اند. با این وجود در حالی که این تکنیک ها ضروری و به شدت موثرند، گاهی اوقات دسترس پذیرند. اگر اینچنین باشد سازمان ها اکنون باید به راهکاری دیگر روی بیاورند:
مدلسازی رفتار آنلاین نرمال کاربران وبسایت یک شرکت و تضعیف نمودن آنی آن دسته از اقداماتی که خارج از این هنجارهای ایجاد شده قرار می گیرد.

آن سوی تاریک دنیای آنلاین داده محور
کمتر از ۲۰ سال پس از ظهور تجارت اینترنتی، تصور دنیایی بدون تجارت الکترونیک، بانکداری الکترونیک و هزارها نوع دیگر از تعاملات مبتنی بر وب غیر ممکن است. وجود وب سایت برای یک شرکت تقریبا همان میزان اهمیت دارد که ساختمان فیزیکی آن شرکت.
مرز جدا کننده میان عملیات محاسباتی و عملیات تجاری تقریبا از بین رفته است زیرا بسیاری از تعاملات کسب و کار اکنون از بنیان دیجیتالی که بر روی آن اجرا می شوند جدایی ناپذیر بوده یا بدون آن غیر ممکن هستند.

با این میزان حجم تعاملات دیجیتال ، مجرمین سایبری فعالیت های خود را در میان فعالیت های قانونی وب و کاربران موبایل به راحتی پنهان می سازند. در یک تحقیق و بررسی در سال ۲۰۱۲، ۷۴ درصد از متخصصان امنیت گفته اند با تشخیص تفاوت میان مشتریان واقعی و مجرمینی که به وب سایت هایشان دسترسی داشته اند دچار مشکل بوده اند. نزدیک به ۶۹ درصد آنها گفته اند که ابزارهای مناسب برای مقابله در برابر سوء استفاده از منطق کسب و کار را نداشته اند.

سوء استفاده از منطق کسب و کار چیست؟
این نوع فعالیت های مجرمانه آنلاین می تواند اشکال مختلفی داشته باشد ولی همه این اشکال یک ویژگی مشترک دارند.
حمله به دنبال راهی برای پنهان سازی و تغییر چهره قصد بدخواهانه خود با مخفی نمودن خود در عملیات عادی و عملکرد یک وبسایت می باشد. اگر موفق شود چنین حملاتی می تواند از کنترل های امنیتی موجود عبور کرده یا حتی از آنها کمک بگیرد و در تمام مدت به صورت تعامل یک مشتری بی خطر خود را بنمایاند.
برای مثال وبسایتی را در نظر بگیرید که یک قانون احراز هویت ایجاد کرده است که به کاربر برای وارد نمودن نام کاربری و رمز عبور صحیح پنج شانس می دهد. پس از پنج تلاش غیر موفقیت آمیز بصورت خودکار دسترسی کابر به وبسایت مسدود می شود. ولی اگر این قانون طوری تنظیم شده باشد که از عمل ورود به جای سرور بر روی مرورگر یک کش ذخیره کند چه؟ در این صورت مهاجم می تواند پشت سر هم مرورگر را بسته و باز کند تا شانس بیشماری برای حدس رمز عبور و نام کاربری صحیح داشته باشد. با شکست در تشخیص این خطای منطقی، اپراتور وبسایت فکر می کند که این قانون پنج شانسی احراز هویت، جلوی کاربران غیر مجاز را از تلاش های مستمر برای ورود خواهد گرفت.
برخی حملات منطقی می توانند مانند مثال حدس رمز فوق، حتی قبل از اینکه مهاجم به وبسایت دسترسی پیدا کند رخ دهند. یکی از متداول ترین این حملات، حمله انکار سرویس ( denial-of-service (DDoS) ) توزیع شده می باشد که برای بانک ها و سایر موسسات مالی بسیار شناخته شده است. حمله DDoS از صدها و هزاران دستگاه محاسباتی کمک می گیرد که با برخی انواع بدافزار همراه هستند. مهاجم که اغلب یک ربات باتنت است دستگاه های حاوی بدافزار را به سمتی هدایت می کند که سایت هدف را با حجم زیادی از ترافیک درگیر کند. حداقل مشکلی که یک حمله DDoS می تواند ایجاد کند این است که وبسایت را به قدری کند گرداند که به طور کامل از کار بیفتد. این حملات می توانند به عنوان پوششی برای شروع حملات دیگر هم مورد استفاده قرار بگیرند مانند تصاحب حساب کاربری یا انتقال فریبکارانه پول، در حالی که اپراتوران سایت به شدت مشغول مقابله با سیل ترافیک DDoS می باشند.

آنچه تخمینش دشوارتر است تاثیر منفی است که در پی مورد حمله قرار گرفتن یک سازمان و به خصوص مشتریان آن، برای سازمان به وجود خواهد آمد.

سازمان های مالی تنها اهداف حملات منطق کسب و کار نیستند. سایت های تجارت الکترونیک نیز می توانند در برابر حملات DDoS و حدس رمز از پا در آیند ولی این سازمان ها جرایم سایبری مربوط به خود را نیز برای مقابله دارند. برای مثال موردی که توسط RAS مشاهده شده بازار آنلاینی است که توسط مجرمانی که در سایت ثبت نام کرده و سپس با استفاده از کارت های اعتباری واقعی خریدهای ساختگی انجام داده بودند، مورد کلاه برداری قرار گرفته است. سپس این مجرمان ادعای ۱۰ درصد تخفیفی را که فروشنده بر روی همه خریدها پیشنهاد کرده بود نمودند و قبل از اینکه این بازار از تکنولوژی RSA استفاده کند که این کلاهبرداری را تشخیص دهد، کلاهبرداران از این تخفیف ها بیش از نیم میلیون دلار به جیب زدند. مجرمان سایبری در این مورد و موردهای دیگر به قدر کافی باهوش بودند که در طول زمان زمینه را برای چنین حمله ای آماده کنند. هیچ مهاجمی از حساب کاربری که یک ساعت از عمرش می گذرد حمله را آغاز نمی کند بلکه اغلب برای تعداد زیادی حساب کاربری در یک سایت در طول زمان ثبت نام می کند و از آنها برای هیچ حمله ای استفاده نمی کند تا مورد سوء ظن قرار نگیرند.
حملات منطق کسب و کار از این نوع و انواع دیگر را اغلب نمی توان با معیارهای امنیتی موجود کشف کرده یا با آنها مقابله کرد ولی خسارت های ناشی از آنها هم از نظر مالی و هم از نظر اعتباری بسیار زیان بار هستند.

پیامدهای کلاهبرداری های آنلاین به موجب ظهور تراکنش ها و تعاملات سیار افزایش می یابد

سازمان های مالی و سایت های تجارت الکترونیک نمایانگر برخی از وسوسه کننده ترین هدف های جرایم و کلاهبرداری های نرم هستند ولی هیچ سازمانی نیست که حضور آنلاین داشته و در برابر تهدیدات امنیتی ایمن باشد. ضرر در فرصت های کاری می تواند چشمگیر باشد و اگر حمله ای وبسایت شرکتی را مختل کند و مجرمان به اطلاعات حساس شرکت دسترسی داشته باشند می تواند عواقب شدید مالی و حقوقی در پی داشته باشد. آنچه تخمینش دشوارتر است تاثیر منفی است که در پی مورد حمله قرار گرفتن یک سازمان و به خصوص مشتریان آن، برای سازمان به وجود خواهد آمد.
در یک برآورد از عواقب بالقوه، تاثیر یک ساعت غیر فعال بودن سایت فروش آنلاین در حراج روز شکر گزاری در ایالات متحده بررسی شده است که نشان می دهد می تواند تا ۳٫۴ میلیون دلار خسارت مالی مربوط به کاهش اعتماد مشتریان و برندها برای فروشندگان در پی داشته باشد.
در تحلیلی دیگر که توسط RSA و Aite Group انجام شد، ضررهای جهانی که در پی تصاحب حساب کاربری به وجود آمده، بالغ بر ۴۵۴ میلیون دلار در سال ۲۰۱۲ گزارش شده است. طبق همین گزارش این ضرر تا سال ۲۰۱۶ به ۷۹۴ میلیون دلار خواهد رسید.
در این طیف از بردارهای حمله، چند حمله نسبت به حملاتی که از تلفن های هوشمند و سایر دستگاه های موبال ایجاد می شوند، چالش برانگیز تر بوده اند. بیش از یک میلیارد تلفن هوشمند در سال ۲۰۱۳ تولید شده است و این دستگاه های سیار تبدیل به پلتفرم های پیش فرض برای بسیاری از مشتریان و کارمندان خواهند شد. در سال ۲۰۱۳ فروش حاصل از تجارت سیار به ۴۲٫۱۳ میلیارد دلار یا در حدود ۱۶ درصد از کل ۲۶۳ میلیارد دلار فروش تجارت الکترونیک در ایالات متحده رسید.
محققان پیش بینی کرده اند که تا سال ۲۰۱۸ فروش موبایل به ۱۳۲٫۶۹ میلیارد دلار که نشان دهنده ۲۷ درصد از ۴۹۱٫۴۴ فروش حاصل از تجارت الکترونیک در ایالات متحده در آن سال خواهد بود می رسد.

با فراگیر شدن کاربران سیار، اپراتوران وب سایت ها دچار سردرگمی شده و مجرمان سایبری با حالت جدید و جالبی از حملات روبرو شده اند. در مقایسه با پی سی ها، احراز هویت تلفن های هوشمند و سایر دستگاه های موبایل توسط روش های امنیتی که سعی در احراز هویت دستگاه های شخصی دارند نسبتا مشکل تر است. دستگاه های موبایل از پروتکل های متفاوتی نسبت به پی سی ها استفاده می کنند و بطور معمول داده هایی را که ذخیره و منتقل می کنند رمزنگاری می نمایند.
با دستگاه های سیار همه چیز مبهم است. اکنون مجرمان نیز می دانند که دستگاه های موبایل متفاوت هستند. آنها می دانند که اگر API موبایلی را پیدا کرده و به آن ضربه بزنند، آن نوع محافظتی که در محیط وب وجود دارد فعال نخواهد شد.
در حقیقت در ردیابی فعالیت یک گروه از مشتریان، RSA پی برد که اگرچه تنها ۲۷ درصد از تعاملات از دستگاه های موبایل انجام شده است، ۳۲ درصد از این تراکنش ها فریب آمیز بوده اند.

تحت کنترل درآوردن big data و مدل سازی آماری برای حافظت طولانی
برای بانک ها، خرده فروشان آنلاین و کسب و کارهای مبتنی بر وب تحت محاصره، میدان تهدیدات سایبری می تواند بسیار وسیع باشد.
روی هم رفته تعداد و تنوع تهدیدات بالقوه که ریشه در منطق کسب و کار دارند نامحدود هستند، حجم ترافیک تراکنش های آنلاین به شدت در حال رشد است و تعداد دستگاه های متصل به وب از هر نوع، هم اکنون به میلیاردها رسیده است. در عین حال بسیاری از سازمان ها به طور روز افزون و گاهی اوقات به طورکامل به مدلهای کسب و کار آنلاین متکی می شوند.
ولی در پیچ و تاب این شرایط، حجم بالای ترافیک داده های انبوه که می تواند تهدیدات فریبکارانه سایبری را بپوشاند، می تواند برای آشکارسازی آنها نیز به کار گرفته شود. شرکتها هم اکنون ابزارهایی برای ردیابی جریان کلیک نشست های وب اشخاص بصورت بلادرنگ را در اختیار دارند ولی این قابلیت به تنهایی نمی تواند به طور فعال تهدیدات بالقوه میان میلیون ها فعالیتی که ممکن است بصورت همزمان در سایت هایشان رخ دهد تشخیص دهد.
آنچه مورد نیاز است قابلیت تشخیص رفتار عادی و غیر تهدید آمیز در هر وبسایت است. تنها با این قابلیت است که سازمان ها می توانند به تشخیص بلافاصله رفتارهای مشکوک و خارج از هنجار امید داشته باشند.

حجم بالای ترافیک داده های انبوه که می تواند تهدیدات فریبکارانه سایبری را بپوشاند، می تواند برای آشکار سازی آنها نیز به کار گرفته شود.

تعیین رفتار نرمال در وب ممکن است به نظر کار راحتی برسد ولی این طور نیست. تصور کنید که هر وبسایتی فرایند کاری مخصوص به خود، کاربرانی از نوع خود و سیاست ها و کنترل های امنیتی مربوط به خود را داشته باشد. این احتمال نیز به شدت وجود دارد که هر سایت محدوده وسیعی از فعالیت ها و ناوبری وبسایت که در محدوده عملیات “نرمال” آن قرار می گیرد نیز داشته باشد. باید به توالی دستیابی به صفحات، سرعت حرکت در سرتاسر سایت، پارامترهایی که در طول یک نشست کاربر به صفحه ارسال می شود و پارامترهایی که هرگز ارسال نمی شود را بررسی نمود. تنها با ردگیری و تجزیه و تحلیل این موارد و صدها متغیر دیگر شرکت ها می توانند به ایجاد مدلهای آماری که بتوانند به دقت محدوده تعاملات معمول را در وب سایت های منحصر به فرد ایشان ترسیم کند امید داشته باشند.

این نوع از تجزیه و تحلیل big data و پروفایل کاربران وب سایت از تجزیه و تحلیل مبتنی بر جمعیت استفاده می کند. زمانی که دید کاملی نسبت به کل جمعیت بازدید کننده داشته باشید می توانید الگوهای نرمال را شناسایی کرده و آنها را در لیست سفید قرار دهید. آنگاه از این الگوهای نرمال می توانید انحرافات را شناسایی نمایید. مجرمین سایبری ممکن است سعی در تطبیق با الگوهای مورد انتظار نمایند برای مثال با برنامه ریزی یک حمله باتنت برای کلیک بر روی لینک صفحات در فواصل تصادفی به منظور تلاش برای انسان نمایاندن خود. اگرچه ممکن است باتنت مورد نظر را برای کار بصورت تصادفی برنامه نویسی کرده باشند ولی همین تصادفی بودن نیز به خودی خود غیر طبیعی به نظر می رسد.

مهار حملات منطق کسب و کار

برای مقابله با حملات سایبری مبتنی بر منطق کسب و کار، سازمان ها باید از علم تجزیه و تحلیل “جمعیت” big data، مدلسازی های آماری پیچیده و لایه اضافی دیگری برای حفاظت بر روی معیارهای امنیتی موجود خود استفاده نمایند. تشخیص تهدیدات مبتنی بر رفتار که کنترل های دیگر قادر به یافتن آن نیستند و کار کردن هماهنگ با این کنترل ها برای ارائه رویکردی متنوع تر و فعال تر برای حفاظت از دارایی ها و اعتبار شرکت مهم است.
راهکارهای کشف تهدیدات مبتنی بر big data می تواند همراه با قوانین تعبیه شده برای کشف سریع ترافیک مشکوک به محض آغاز به مانیتورینگ ترافیک یک سایت منتقل شود. با این وجود، در حالت ایده آل راهکارها خواهند آموخت که رفتار نرمال برای یک وبسایت خاص چیست و به تنظیمات جزئی مدل های خود ادامه خواهند داد. با الگوریتم ها نمونه برداری و مدل سازی مناسب و دسترسی به ترافیک یک وبسایت، یک مدل آماری دقیق از رفتارهایی که شامل فعالیت های متداول و مورد انتظار می باشند به دست می آید –( در حالت ایده آل با استفاده از تجزیه و تحلیل جریان داده ها برای به روز رسانی مدل های آماری در بلادرنگ با هر تک کلیک). در دنیای غرق در ترافیک وب، مقیاس پذیری نیازی ضروری برای هر راهکار امنیتی است که امید به مهار کردن big data دارد. نیاز به یک سیستم به شدت مقیاس پذیر یکی از دلایلی است که ممکن است سازمان ها تصمیم بگیرند به جای تولید یک راهکار کشف جرایم سایبری، یکی خریداری نمایند.

ساخت یک راهکار که بتواند تمام ترافیک وب یک سازمان بزرگ را مانیتور کند کار کوچکی نیست. به علاوه این راهکار باید یک واسط ساده و با کرابری آسان برای نظارت بر ترافیک و واکنش در برابر تهدیدات نیز فراهم کند. یکی دیگر از ملاحظات کلیدی در تصمیم “خرید در مقابل تولید” سرعت بازار است که در آن سازمان ها باید تعادل میان طراحی، ساخت و تست یک راهکار سفارشی و ساخته شده توسط خود در مقایسه با خرید یک محصول آماده تجاری را بسنجند. بنیادی تر از آن سطح تخصص مورد نیاز برای ساخت یک سیستم کشف خطای بلادرنگ پیچیده است. اشخاصی که اغلب این مدل های رفتاری را می سازند دکترای ریاضی دارند و شرکتهایی که به فکر وارد شدن در این رقابت هستند باید از خود بپرسند آیا در این کار واقعا صلاحیت دارند.
EMC/RSA متخصصان خود را به کار گرفته است و ابتکار را در چشم انداز امنیتی همیشه در حال تکامل و متنوع هدایت می کند. RSA Web Threat Detection، بزرگترین راهکار امنیتی شرکت RSA برای تشخیص و مقابله با فعالیت های ناهنجار وب سایت، اکنون روزانه از بیش از ۱۰ میلیارد درخواست وب برای مشتریان RSA محافظت می کند. و از آنجایی که RSA Web Threat Detection به طور مداوم آنچه را که از آن به عنوان رفتار نرمال سایت نام بردیم مانیتور می کند و متعاقبا مدل های خود را تنظیم می نماید، قادر خواهد بود با اشکال آتی حملات منطق کسب و کار نیز همانند حجم وسیعی از حملاتی که هم اکنون روزانه رخ می دهند، مقابله کند.
————————-
هدی ابیضی

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

It is main inner container footer text