رفتن به محتوای اصلی
دوشنبه ۱۲ خرداد ۱۳۹۹
.

سيستم جرم‌يابي بين‌المللی؛ مدل جدید دفاع سایبری غربی

سيستم جرم‌يابي بين‌المللی؛ مدل جدید دفاع سایبری غربی

به نظر مي‌رسد آمريکا قصد دارد هرچه بيشتر به سياست شناسايي عوامل و انتساب حملات سايبري جامه عمل بپوشاند. این کشور قصد دارد تا با اين مدل نوین، دامنه اشتراک گذاري اطلاعات را با کشورهاي همپيمان خود گسترش دهد و از اين طريق به همان هدف خود يعني ايجاد يک سيستم جرم‌يابي سايبري بين المللي دست پيدا کند.

به گزارش پاپسا به نقل از ماهنامه پاپسا، در مدل هاي قديمي دفاع سايبري مراحلي از قبيل: پيدا کردن کد حمله، جدا کردن سيستمها و سامانههاي آلودهشده، ايجاد وصلههاي امنيتي بهمنظور خنثيسازي حملات، کاربرد اين وصلهها در سراسر شبکه استفاده ميشد.دولت آمريکا درگذشته از دفاع پيشگيرانه سايبري (Proactive Cyber Defence)  استفاده ميکرد. در حقيقت اين دفاع، تنها جنبه انفعالي دارد و کاربر منتظر ميماند تا حملهاي صورت گيرد و سپس اقدام به دفاع کند. از سال ۲۰۱۱ تا ۲۰۱۸، آمريکا راهبرد دفاع فعال سايبري را پيشنهاد کرد که هنوز هم طرفداراني دارد و پروژهاي نيز از سوي سازمان دارپا براي پيشبرد اين مدل وجود دارد؛ اما از سال ۲۰۱۸، مدل جديدي در راهبرد سايبري آمريکا اتخاذ شد. اين مدل دفاع روبهجلو يا حمله پيشدستانه و همچنين مدل دفاع جمعي يا Federated و Collective است. يکي از علل اتخاذ چنين مدلهايي، شيوع حملات سايبري در سطح بينالمللي و قابليت گسترش آنها است. در اين تحقيق، به بررسي مدلهاي مختلف دفاع سايبري در آمريکا ميپردازيم.

مدل دفاع فعال سايبـري؛

(Active Cyber Defense) 

(راهبرد سال ۲۰۱۱ و ۲۰۱۵ آمريکا)

اين مدل همچنان در آمريکا طرفداراني دارد و قانون امنيت و دفاع فعال سايبري (ACDC)، براي جلوگيري از کلاهبرداري و سوءاستفاده‌هاي رايانهاي در برابر حملات محدود تلافيجويانه مزدوران سايبري در اين کشور تصويب شد. هک متقابل (Hack Back)، (به معناي اجازه براي هک کردن شبکه يا سامانه دشمن که قبلاً به ما حمله کرده) نيز داخل در اين مدل است.

برنامه دفاع فعال سايبري دارپا، براي کمک به عدم تعادل موجود در وضعيت دفاع سايبري آمريکا ايجاد شده است. اين برنامه يک «زمين خانگي» را براي دفاع آماده ميسازد؛ به اين معنا که با ايجاد پلتفرمي، دشمنان را در فضاي سايبري کنترلشده وزارت دفاع درگير ميکند. اين برنامه در سال ۲۰۱۲ ايجاد شد و به دنبال توسعه ظرفيتهاي هماهنگشده و بيدرنگ (Real-time) براي کشف، تحليل و کاهش تهديدات و آسيبپذيريهاي سايبري است. اين برنامه با رويکرد فعال، درصدد توانمندسازي مدافعان سايبري براي خنثيسازي و اختلال در حملات سايبري دشمن، بهمحض وقوع آنها است. ازجمله اقداماتي که در اين مدل صورت ميگيرد، استفاده از سنسورها در شبکههاي مختلف است.

سه مفهوم عمده در دفاع فعال سايبري

تشخيص (detection) و جمع آوري ادله جرم (Forensic): در اين مرحله از روشهايي ممکن است استفاده شود که در پدافند غيرعامل سايبري نيز کاربرد دارد؛ مانند گزارش يک شرکت درباره نفوذ يک بدافزار.

فريب (deception)؛ در اين مرحله، از روشهايي مانند ايجاد هاني پات، قطع ارتباط از سرور فرماندهي و کنترل با رايانه هاي آلوده بهره گيري ميشود که درنتيجه آن، هکر گمان ميکند که ورودش مجاز بوده است.

قطع و پايان دادن حمله (attack termination): مانند جلوگيري از نشت اطلاعات از داخل شبکه، متوقف کردن ارتباط ميان رايانه آلوده و سرور فرماندهي و کنترل، در اختيار گرفتن کنترل رايانهها از راه دور براي متوقف ساختن حملات و راهاندازي حملات DDOS عليه تجهيزاتي که دشمن براي حمله از آنها استفاده ميکند.

البته برخي گزينه هاي دفاع فعال سايبري، مانند «هک متقابل»، غيرقانوني است، زيرا مستلزم دسترسي غيرقانوني يا تغيير اطلاعات روي سرور فرماندهي و کنترل يا رايانه ها هستند.

مدل دفاع روبـه جلـو

(Defend Forward) راهبرد ۲۰۱۸ آمريکا

اين مدل شامل مختل يا متوقف يا معيوب کردن فعاليت هاي مخرب سايبري از منشأ شروع حمله ميشود از طريق نفوذ به شبکه هاي دشمن يا ضد حمله عليه پويش هاي سايبري که ضد منافع نظامي آمريکا هستند. در اين الگو، تشخيص «منشأ حمله» بسيار دشوار است؛ زيرا مهاجمان، زيرساختهاي خود را از طريق پروکسي ها پنهان ميسازند. در اين فرض آمريکا چگونه اقدام خواهد کرد؟

• يک نظر اين است که آمريکا بايد به فکر ايجاد قواعدي باشد که منجر به تشکيل يک ائتلاف از صاحبان صنايع، ارائه دهندگان سرويس هاي اينترنتي و ... ميشود تا از اين طريق نوعي ارزشهاي حاکميتي بر قلمروي ديجيتالي شکل بگيرد. در اين صورت آمريکا ميتواند دشواريهاي ناشي از تشخيص منشأ حمله را رفع کند.

• يک نظر ديگر، استفاده از تحليلهاي شرکتهاي امنيتي است که به رديابي تحرکات دشمنان ميپردازند؛ مانند شرکت فايرآي.

برخي کارشناسان ميگويند اين مدل، به دو شرط، اهميت و ارزش دارد:

اول؛ طول مدت اختلال يا کاهش سطح توانايي اهداف دشمن در آن ديده شود.

دوم؛ ارزش بازدارندگي داشته باشد.

در حقيقت در اين مدل، ارتباط ميان پذيرش آثار جانبي يا تمايل به پذيرش خطرات احتمالي يا پيامدهاي ناخواسته از اجراي اين مدل، در پيادهسازي آن نقش دارند. بهعبارتديگر، ممکن است اجراي اين مدل، نتايج ناخواستهاي را مانند شيوع يک بدافزار در سطح جهاني ازجمله آلودن شدن آمريکا را به همراه داشته باشد. در اين صورت امکان دارد مقامات آمريکايي از اجراي اين مدل، سرباز بزنند يا با استفاده از عمليات پرچم دروغين (False Flag)، خسارات احتمالي و نتايج ناخواسته را به دوش کشورهاي ديگر بيندازند.

البته اين مدل ابهاماتي دارد که اجراي آن را با مشکل مواجه ميسازند. ازجمله دشواري تشخيص منشأ حمله، اشتباه محاسباتي و مبهم بودن.

 

تفاوت مدل دفاع فعال سايبري، با دفاع روبه جلو

مدل دفاعي شناختي

(Cognitive modeling)

گزارش راهبردي دفاعي تا سال ۲۰۴۰ مربوط به «مرکز توسعه، مفاهيم و دکترينها»  وزارت دفاع انگليس نشان ميدهد که پيشرفتهاي مختلف در علوم روباتيک، شناختي و نانوفناوري موجب موفقيت سريع در مبارزه با حملات به سيستمها خواهد شد. مثلاً ترکيب علوم شناختي با فناوريهاي اطلاعات و ارتباطات، سبب انقلاب در عرصه دفاع سايبري ميشود. بهعلاوه گزارش بالا بيان ميکند که تحقيقات روي مهندسي معکوس مغز انسانها، در آينده احتمالاً منجر به توسعه مدلهاي دفاعي عصبي ميشود.

برخي از فناوريهايي که در آينده سبب تحول در عرصه دفاع سايبري ميشوند عبارتاند از:

رايانش کوانتومي

دانش شناختي و رفتارشناسي

شبيه سازي: پيشرفت هاي علوم رياضيات و رفتارشناسي و دانش هاي اجتماعي سبب به وجود آمدن قدرت محاسباتي جامعي در آينده خواهند شد که مدل دفاعي کاملي را براي بهبود الگوهاي تشخيص مهاجمان به وجود ميآورد. هماکنون نيروي زميني آمريکا درصدد رفتارشناسي مهاجمان براي پيشگيري و شناسايي آنها است.

 پايگاههاي داده مجازي: گسترش «وب معنايي» (semantic web) و ساير فناوريهاي نوظهور موجب ذخيرهسازي دادههاي يکپارچه خواهد شد و دادهکاوي سبب افزايش سرعت دسترسي به اطلاعات مرتبط ميگردد.

برخي زيرشاخه هاي مدل دفاعي شناختي

مدل فرآيند محاسباتي امتزاج شده

(embedded computational process)

 به مدل هايي ميگويند که شامل شبيه سازي ادراک و رفتار انسان ميشود که ميتواند به صورت مستقيم با محيط کار ارتباط داشته باشد. اين مدل نيز داراي معماريهاي مختلفي است که در اينجا درباره آنها صحبت نميکنيم. متخصصان در اين مدل شيوه هاي گوناگوني را به کار ميگيرند مثلاً شبيه سازي استفاده از مرورگر، شبيه سازي استفاده از شبکه هاي اجتماعي، نوع چت کردن، فعاليت در ايميلها و ...

مدل شيوه هاي ترسيم نمونه 

(model-tracing techniques)

اين مدل مانند مدل قبلي است، با اين تفاوت که از اين مدل براي افراد خاص و در موارد واقعي استفاده ميشود. مثلاً براي فهم خطاهاي دانش آموزان در مسائل رياضي. اين مدل به پيش بيني خطاها و مسيرهاي احتمالي حمله کمک ميکند.

مدل دفاعي خودکار

در اين مدل با استفاده از يادگيري ماشيني و مدل حملات سايبري دشمن، به تشخيص، تحليل و خنثيسازي عمليات سايبري پرداخته ميشود. ازجمله مراکزي که در اين زمينه براي سازمان دارپا، نيروهاي زميني و دريايي آمريکا سرمايهگذاري کرده است، شرکت BAE Systems است. اين شرکت با عقد قرارداد ۵۲ ميليون دلاري قصد دارد پروژهاي را براي توليد فناوري دفاع سايبري خودکار راه بيندازد. دارپا برنامهاي بهعنوان Cyber- Hunting at Scale دارد که طي آن به توليد فناوريهاي لازم براي تشخيص، تحليل و خنثيسازي حملات سايبري با استفاده از يادگيري ماشيني و مدل حملات ميپردازد.

همچنين يکي از شرکتهاي توسعهدهنده مدل دفاع سايبري خودکار، دارک تريس (Dark Trace) در انگليس است. اين شرکت با بهرهگيري از روشهاي خاص خود درزمينه سيستمهاي امنيتي در برابر حملات سايبري دفاع ميکند و جلوي اين حملات را ميگيرد. اين روشها بر پايه تحقيقات و محاسبات رياضي تحت عنوان «بيزين» است که در دانشگاه کمبريج توسعهيافته است.

شايان ذکر است آمريکا در حال هوشمندسازي مدل دفاعي است.بهعنوانمثال، شرکت «level Effect» بات نتي را به نام «Phalanx» طراحي کرده است که ميتواند بهصورت هوشمند جلوي حملات DDOS را بگيرد.

 

سامانه دفاع سايبري انطباقي يکپارچه در بخشهاي بانکي آمريکا

 

ازجمله بخشهايي که در آمريکا از دفاع سايبري خودکار استفاده ميکنند ميتوان به بخش بانکي اشاره کرد. بانکهاي اين کشور از چارچوبي به نام سامانه دفاع سايبري انطباقي يکپارچه (Integrated Adaptive Cyber Defense System) استفاده ميکنند.

در اين سامانه، با استفاده از اتوماسيون، اثرگذاري عوامل انساني در دفاع، افزايش مييابد. در اين حالت، نقش نيروي انساني به برنامهريزي براي پاسخگويي اختصاص مييابد و دفاع سايبري نيز بهصورت مداوم صورت ميگيرد.

اين سامانه با پشتيباني وزارت امنيت داخلي، وزارت دفاع و سازمان امنيت ملي آمريکا (NSA) با همکاري دانشگاه جان هاپکينز ايجادشده است. اين چارچوب دفاعي شامل مواردي همچون «معماري سازماني» ميشود. اين نوع معماري، رويکردي جامع و يکپارچه است که جنبهها و عناصر مختلف سازمان (سيستم) را با نگاه مهندسي تفکيک و تحليل مينمايد و دربرگيرنده مجموعه مستندات، مدلها، استانداردها و اقدامات اجرايي براي تحول از وضعيت موجود به وضعيت مطلوب با محوريت فناوري اطلاعات است که در قالب يک طرح مشخص اجرا و سپس بهصورت مداوم بهروزرساني ميشود و توسعه مييابد.

هدف از اين سامانه، تغيير تدريجي جدول زماني و تأثير دفاع سايبري از طريق يکپارچهنمودن، خودکارسازي و اشتراک اطلاعات است. 

مدل فدراسيون (Federation)

از مدل مذکور براي بهبود سامانه مانيتورينگ شبکه برق و تعامل متقابل نرمافزارهاي کنترلي، شبکههاي نظامي و بخش بانکي استفاده ميشود. مدل فدراسيون از سوي وزارت انرژي آمريکا براي تداوم ارتباطات در زمان حملات سايبري مانند حمله اختلال سرويس توزيعشده، طراحيشده است. اين مدل، چارچوبي را فراهم ميسازد که بتوان بهموقع به اشتراکگذاري اطلاعات براي بهبود پاسخگويي محلي از آن استفاده کرد. اين مدل بر ۳ رکن استوار است:

 تشخيص: (detection) اشتراک گذاري سياستهاي تشخيص تهديد يا حمله از طريق وب پورتال (به وبسايت هايي که اطلاعات را از منابع مختلف، منتشر ميکنند.)

 توزيع اطلاعات (distributaion) قابل استفاده به صورت فايل XML

 پاسخ: به معناي اشتراکگذاري اطلاعاتي که تنها حاوي ارزشهايي باشد که بتواند سبب ادامه کارها شود مانند:

-   مسدودسازي آدرسهاي آي پي

-   DNS Black Hole: به معناي سرور DNS که اطلاعاتي غلط را مخابره ميکند تا از سوء استفادهنمودن هکر از دامين اصلي جلوگيري گردد.

-  فيلترينگ URL

-  فيلترينگ ايميل: که از طريق پورتال خاصي به نام IronPortal صورت ميگيرد.

درحقيقت در اين مدل، يک تشخيص لوکال، اشتراک گذاري اطلاعات از طريق پورتال ها و درنهايت پاسخگويي به صورت محلي انجام ميشود. بهگونهاي که سيستمهاي موجود در شبکه، در زمان حمله، بهموقع در يک حصار امن قرار داده ميشوند و کاربران سيستمها با استفاده از اطلاعات به اشتراک گذاشتهشده و بهکارگيري روشهاي تحليل عميق، به پاسخگويي اقدام ميکنند و نهايتاً ارتباطات تداوم پيدا ميکنند. تحليل عميق، به فرآيند استفاده از ديتا ماينينگ در استخراج و آناليز و دستهبندي دادهها در يک قالب کاربردي و مفيد براي سازمان اطلاق ميشود. 

 استفاده بخش هاي نظامي در آمريکا و ناتو از مدل فدراسيون

سازمان ناتو و آمريکا براي دفاع از شبکه هاي نظامي خود از اين مدل استفاده ميکنند. مثلاً ناتو پروژهاي به نام «Federated Mission Networking» و آمريکا پروژهاي مشابه به اسم «Mission Partner Enterprise» دارد. آمريکا با برخي از شرکاي خود در آسيا، چنين مدلي را اجرا ميکند. همچنين بخش بانکي، ازجمله بخشهايي است که به اين مدل نيازمند است. در اين مدل، گاه شبکههاي دو کشور که مشترکالمنافع هستند و گاه شبکههاي بين سازمانها، بنگاهها و ... بهصورت Federated پيکربندي ميشوند.

در اينکه در مدل مذکور چه اطلاعاتي بايد به اشتراک گذاشته شود، عقيده واحدي وجود ندارد. برخي نوشتهاند اطلاعاتي که به اشتراک گذاشته ميشوند بستگي به سطح هشداري دارد که از سوي افراد يا سازمانها داده ميشود. در اين مورد، دانشگاهها، دولت و صنايع، اطلاعاتي را در وب پورتال به اشتراک ميگذارند.

شايان ذکر است وزارت امنيت داخلي آمريکا در راهبرد جديد خود، در حال اتخاذ مدل دفاع جمعي است که بر پايه همين اشتراکگذاري اطلاعات است.

توضيح مراحلي از عمليات دفاعي در مدل Federation

اقدامات داخلي در شبکه: اين اقدامات موجب هدر رفتن وقت براي مهاجم ميشود. به اين معنا که در اين مرحله، با ايجاد زمان بيشتر براي مهاجم، مدافع سايبري ميتواند اطلاعات بيشتري را از وي و روش حمله بهدست بياورد.

اقدامات فعال در خارج از شبکه اصلي: شامل اقداماتي در شبکه Federated يا يک شبکه بيطرف و جدا از شبکه کساني ميشود که مشغول دفاع هستند.

اقدامات فعال بهمنظور هدفگيري مستقيم مهاجم: شامل اقداماتي در شبکه يا سيستم مهاجم ميشود. اين اقدامات ممکن است از طريق يک شبکه جدا يا بهوسيله همان شبکه Federated صورت بگيرند و نوعي ضد حمله به شمار ميروند.

آمريکا مرحله اول را عمليات دفاع سايبري به معناي اقدامات داخلي (Defensive Cyber Operations– Internal Measures) و مرحله سوم را عمليات دفاع سايبري به معناي اقدامات پاسخگويي مينامد. (Defensive Cyber Operations – Responsive Actions)

نتيجه گيري

به نظر ميرسد آمريکا قصد دارد با مدل فدراسيون، هرچه بيشتر به سياست شناسايي عوامل و انتساب حملات سايبري جامه عمل بپوشاند. همچنين با اين مدل ميتواند دامنه اشتراکگذاري اطلاعات را با کشورهاي همپيمان خود گسترش دهد و از اين طريق به همان هدف خود يعني ايجاد يک سيستم جرم يابي سايبري بين المللي دست پيدا کند. همانگونه که در راهبرد سايبري وزارت دفاع آمريکا آمده است اين کشور تصميم دارد با همکاري همپيمانانش (خصوصاً سازمان ناتو) به تقويت امنيت سايبري و مبارزه با تهديدات بپردازد. در حقيقت اين مدل يکي از تاکتيک هاي آمريکا براي بازدارندگي سايبري نسبت به شبکه هاي نظامي و بخش مالي، است. با توجه به اينکه هدف اصلي تشکيل سازمان ناتو، نظامي است، ميتواند به همکاريهاي احتمالي آينده آمريکا و اين سازمان در حوزه توسعه مدل دفاعي نامبرده و پاسخگويي به حملات و همچنين شناسايي مجرمان سايبري به صورت بين المللي پي برد؛ زيرا اصول «دفاع جمعي» يا همان «Collective Defense» از راهبردهاي پذيرفته شده در آمريکا و سازمان ناتو است. درنتيجه ميتوان گفت: حملات سايبري به بخش نظامي يا مالي آمريکا احتمالاً شايد منجر به شناسايي هرچه بيشتر مهاجمان و لو رفتن اسامي آنها شود.

منابع:

https://www.darpa mil/program/active-cyber-defense

https://apps.nsa.gov/iaarchive/programs/iad-initiatives/active-cyber-def.‎.‎.‎

https://www.symantec.com/blogs/expert-perspectives/navigating-risky-terr.‎.‎.‎

https://www.belfercenter.org/publication/how-us-can-play-cyber-offense-0 media.defense.gov

https://www.lawfareblog.com/pentagons-new-cyber-strategy-defend-forward

https://www.lawfareblog.com/chinese-perspective-pentagons-cyber-strategy.‎.‎.‎

https://defensesystems.com/articles/2017/06/29/army-cyber.aspx

https://www.computer.org/csdl/proceedings/cycon-u-s/2016/5258/00/0783662.‎.‎.‎

https://www.internet2.edu/presentations/jt2010feb/20100201-pinkerton.pdf

https://www.internet2.edu/presentations/jt2010feb/20100201-pinkerton.pdf

https://www.computer.org/csdl/proceedings/cycon-u-s/2016/5258/00/0783662.‎.‎.‎

https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5967149/

 

تاریخ انتشار: 
شنبه, ۲۴ اسفند, ۱۳۹۸
۴۹