چگونه بردار حمله خطرات را کشف و نظارت کنیم؟

مقاله‌ای درباره مفهوم بردار حمله و معرفی بردار مدیریت هوشمند سطح حمله حادث و ذکر نکاتی که به شما برای محافظت از سازمان در برابر حملات سایبری کمک می‌کنند.
تصویر شاخص مقاله کشف و نظارت بردار حمله

در این مقاله می‌خوانیم

گسترش سطوح مستعد حمله

منظور از سطح حمله (Attack Surface) مجموع تمام دروازه‌های دیجیتالی موجود با قابلیت امکان ورود به یک شرک است که شامل همکاران شرکت، خدمات ابری، رویکرد و تنظیمات کار در منزل و …، می‌شود. راه‌حل‌های بردار حمله موجود بر دارایی‌های شناخته‌شده تاریخ‌دار و استاتیک (مانند آدرس‌های IP)، اسامی میزبان‌ها و گواهی‌ها، تمرکز دارند.

با وجود این، دارایی‌های دیجیتال دائما تغییر می‌کنند و لیست‌های لحظه-به-لحظه قابلیت همگام‌ شدن با این سرعت گسترش بردار حمله سازمان را ندارند. اکثر سازمان‌ها، صدها و هزاران دارایی اینترنتی دارند که در معرض خطرند و تنها تعداد بسیار کمی از آن‌ها می‌توانند دارایی‌های خود را شناسایی کنند و تعداد بسیار کمتری قابلیت نظارت بر آن‌ها را دارند.

what is Attack Surface Management

اکثر کسب‌وکارها و سازمان‌های دولتی چند دامنه اصلی و چندین برابر آن‌ها زیردامنه دارند. اما سوال اصلی این است که چه تعداد از دارایی‌هایی آن‌ها آدرس IP دارند و به اینترنت متصل‌اند؟ به این تعداد، سرورهای مجازی، پایگاه‌های داده، سرویس‌ها و فعالیت‌ها در فضای ابری، حسگرهای متصل به اینترنت، دوربین‌های امنیتی، ربات‌ها و سایر دستگاه‌های اینترنت اشیاء را اضافه کنید.

اکثر این ابزارها توسط یک فایروال یا سیستم کنترل دسترسی محافظت می‌شوند. اما برخی از آن‌ها نیز از چنین دیوارهای محافظتی برخوردار نیستند و در معرض دید مهاجمان قرار می‌گیرند و به دریچه‌ای برای ورود آن‌ها به سازمان بدل می‌گردند.

بردار حمله (Attack Vector) چیست و چرا باید آن را شناخت؟

این وضعیت را تجسم کنید

فرض کنید AWS همان شرکتی است که خدمات ابری به شما ارائه می‌دهد. تیم‌های مختلف در حال نصب سرورهای مجازی با سیستم محاسبات ابری Elastic (Amazon EC2)، ذخیره‌سازی نسخه‌های پشتیبان با استفاده از سرویس ذخیره‌سازی آمازون (Amazon S3) و موارد دیگرند.

اگرچه گروه فناوری اطلاعات شما می‌تواند از پیکربندی ایمن این اجزاء مطمئن شود. اما در فضای خارج از منابع AWS، کارمندان شرکت در سایت‌های مختلف، فایل‌هایی را آپلود یا دانلود می‌کنند. یا اینکه، برای آزمایش‌های محاسباتی، در حال تبادل فایل با ارائه‌دهندگان سرویس‌های ابری سطح دوم هستند.

بخصوص، ممکن است کارکنان تکه‌هایی از کد را برای بررسی در اختیار انجمن‌های توسعه دهندگان قرار دهند. همچنین، از سایت‌های نامعتبر برای عرضه و اجرای دموهای مختلف استفاده می‌کنند. این کارکنان، ممکن است بی‌هیچ ذهنیتی و تنها برای تسهیل در روند انجام فعالیت‌های خود به محیط‌های خارج از AWS بروند، یا اینکه بخواهند فعالیتی را انجام دهند و هویت‌شان برملا نشود.

در هر صورت، نتیجه یکسانی حاصل می‌شود. آن‌ها شرایطی را ایجاد کرده‌اند که خط‌مشی‌های سازمان نقض شوند، نقص‌های امنیتی آن برملا گردند، تصاحب دامنه‌های فرعی ممکن شود، کلیدهای محصول لو رفته و اطلاعات جاسازی‌شده شرکت به طور تصادفی در بستر وسیع اینترنت پخش شوند. با شرکت در فعالیت‌های IT حاشیه‌ای، که منجر به ایجاد نقاط کور عظیم در چشم‌انداز امنیتی شرکت می‌شوند، بردار حمله شرکت را وسیع کرده‌اند.

ریسک‌های ناشناخته

چگونه ممکن است که تیم‌های امنیتی از دارایی‌های مربوط به فعالیت‌های اینترنتی اطلاعی نداشته باشند یا از مسائل امنیتی جدی بی‌خبر باشند؟ علت‌های معمول در بروز این اتفاق شامل موارد زیرند:

  • فراموش کردن دامنه‌ها و دارایی‌هایی که خیلی وقت پیش خریداری شده‌اند
  • استفاده از سیستم‌های Shadow IT و فضاهای اینترنتی خارج از سازمان
  • عضویت در برنامه‌های ابری که از کنترل سازمان خارج‌اند
  • پیکربندی اشتباه سرورها مانند باز کردن پورت‌هایی که امکان دسترسی غیرمجاز به شبکه داخلی را فراهم می‌کنند
  • وجود گواهی‌های Hostname و خود-امضا که به آدرس‌های IP داخلی اشاره می‌کنند
  • وقتی سرویس‌های میزبان ابری فاقد کنترل‌های موردنیاز در ایجاد امنیت و نظارت بر سیستم باشند

مدیریت هوشمند بردار حمله، اطلاعات مهمی را درباره شبکه‌ها، سیستم‌هایی که از طریق اینترنت قابل دسترس‌اند و ریسک‌هایی که ایجاد می‌کنند، در اختیار شما قرار می‌دهند. این راهنمای جامع به شما کمک می‌کند تا به پتانسیل‌ها، راه‌حل‌های پیشنهادی آن و خدماتی که به تیم امنیتی ارائه می‌دهد، دسترسی پیدا کنید:

  • در گام اول، تمام دارایی‌های سازمان که اینترنت متصل‌اند را شناسایی کنید
  • دارایی‌های در معرض دید را تجزیه و تحلیل کنید تا مشخص گردد کدام یک از آن‌ها آسیب‌پذیرتر است و مسائل امنیتی متناظر با آن کدامند
  • بردار حمله سازمان را برای شناسایی دامنه‌ها و دارایی‌های جدید و آتی سازمان بازنگری و نظارت کنید

کشف‌ دارایی‌هایی متصل به اینترنت

اولین فعالیت در رویکرد امنیتی هوش بردار حمله، شناسایی دارایی‌هایی از سازمان است که پتانسیل لازم را دارند تا توسط عوامل تهدید و نفوذی مورد سوء استفاده قرار گیرند. در این گام، پایگاه‌های داده و منابع شخص ثالث بررسی می‌شوند و بازنگری کلی از بردار حمله سازمان انجام می‌گیرد. بخصوص، فرایند کشف باید شامل موارد زیر باشد:

  • بررسی دامنه‌های ثبت شده و پایگاه داده‌ WHOIS برای آگاهی از تمام دامنه‌هایی که به نام سازمان ثبت شده‌اند
  • انجام جستجوهای معکوس DNS برای کشف تمام آدرس‌های IP که دامنه‌ها و زیر دامنه‌ها به آن‌ها اشاره کرده‌اند
  • بررسی رجیستری‌های اینترنتی منطقه‌ای (RIR) برای یافتن تمام آدرس‌های IP ثبت‌شده در سازمان
  • یافتن تمام گواهی‌های خود-امضا که به آدرس‌های IP داخلی اشاره دارند

درنهایت، از داده‌های حاصل می‌توان برای ایجاد یک پایگاه داده از تمام پرتفوی دامنه‌ای سازمان استفاده کرد. همچنین، تمام IPهایی که از خارج از سازمان قابل دسترس هستند باید در این پایگاه داده آورده شوند. در اینگونه بررسی‌ها، معمولا صدها و هزاران دامنه ناشناخته، زیردامنه و سیستم‌های متصل کشف می‌شوند.

این فعالیت نسبتا معمولی، به هوشیاری بیشتر سازمان منجر می‌شود. از یافته‌های این بررسی برای تعیین و رسیدگی به علل ریشه‌ای مانند بی احتیاطی گروه‌های توسعه نرم‌افزار یا بازاریابی، فعالیت‌های IT سایه، بررسی ناکافی سیستم‌های فناور یا اطلاعات سازمان‌های خریداری شده و نظارت ناقص محیط‌های ابری استفاده کنید.

پنل‌های مدیریتی

پنل‌های مدیریتی، ادمین‌های وبسایت و اپلیکیشن‌های مختلف را قادر می‌سازند تا وظایف مختلف را به نتیجه برسانند و فعالیت‌های متناظر را تخصیص دهند. با این حال، این کنترل‌پنل‌ها ممکن است خود در معرض خطر باشند و با نفوذ به آن‌ها، عوامل خارجی بتوانند به لایه‌های امنیتی سازمان نیز نفوذ کنند.

به دلیل سهل‌انگاری ادمین‌های تنبل یا پیکربندی ساده، پنل‌های مدیریتی آسیب‌پذیر می‌توانند دریچه‌ای به روی مهاجمان بگشایند و اطلاعات برنامه‌های سازمان را به بیرون از آن نشت دهند. با گسترش بردار حمله، تمام درهای نفوذ باید بسته و پنهان شوند تا از نفوذ مهاجمان به ساختارهای سازمان جلوگیری شود.

به ویژه، با رشد سیاست‌های کار در منزل و تعاملات دیجیتال، کارمندان، مشتریان و شرکاء تجاری به عواملی در ارتقاء سطح آسیب‌پذیری سازمان تبدیل می‌شوند. از مارس 2020 تا کنون، نرخ هک شدن حساب‌های مجازی 378 درصد افزایش یافته که 61 درصد از نفوذهای موفق مربوط به اعتبار کارمندان بوده است.

نمایش پنل ادمین و اهمیت امنیت آن
پنل مدیریتی ادمین‌ها و اهمیت حفظ و ارتقا امنیت آن

تجزیه و تحلیل دارایی‌هایی که در معرض دید قرار دارند

پس از آنکه فهرستی از دارایی‌های اینترنتی خود تهیه کردید، یک بردار حمله می‌تواند به دریافت اطلاعات از این دارایی‌ها، تجزیه و تحلیل آن‌ها و امتیازبندی آن‌ها از نظر میزان آسیب‌پذیریشان بپردازد. با اولویت‌بندی دارایی‌ها از نظر میزان در معرض بودن‌ آن‌ها، کمک شایانی به تیم‌های امنیتی می‌شود و به آن‌ها اجازه طرح سناریوهای محافظتی و پر کردن شکاف‌های امنیتی به ترتیب میزان اهمیت آن‌ها را می‌دهد.

یک راه حل دیگر مدیریت بردار حمله، امکان بررسی سوابق DNS و گواهینامه‌های SSL را است. بخصوص، این بررسی‌ها با تمرکز بر زیرساخت‌های داخلی و آدرس‌های IP انجام می‌شود که ممکن است در آینده توسط مهاجمان مورد سوء استفاده قرار گیرند.

مشکلات پنهان در پیکربندی بردار حمله

یکی از اصلی‌ترین مشکلات، وجود سرورها با پیکربندی غلط، مانند پورت‌های باز و دسترسی‌های از راه دور است که امکان دسترسی غیرمجاز به شبکه‌ها و برنامه‌های سازمان را فراهم می‌کنند. بر اساس تحقیقات مرتبط با نقض داده Verizon 2022، پیکربندی نادرست و اشتباه انسانی، 13 درصد از کل نقض‌های سیستم‌ را به خود اختصاص می‌دهند.

پیکربندی نادرست از جانب توسعه‌دهنده در اشکال مختلفی همچون اجازه دسترسی عمومی به فایل‌های پیکربندی، ارائه تصادفی فایل‌های افشای اطلاعات مانند فایل‌های phpinfo، فعال کردن حالت اشکال‌زدایی برای دسترسی‌های کاربری، خود را نشان می‌دهد. بخصوص، هر عیب جزئی در پیکربندی می‌تواند به میزان قابل‌توجهی دسترسی و اطلاعات را در اختیار کاربران غیرمجاز قرار دهد.

آسیب‌پذیری‌های بالقوه

یکی دیگر از کانون‌های نگرانی، سیستم‌های روبه‌بیرون (Outward-Facing) با ابزارها و اپلیکیشن‌هایی هستند که با بسامد بالایی مورد حمله قرار می‌گیرند. ازجمله این سیستم‌ها می‌توان به وبسایت‌ها با سیستم مدیریت تماس (CMS)، پلتفرم‌های تجارت الکترونیک، سرورهای پایگاه داده و کتابخانه‌های جاوا اسکریپت اشاره کرد.

آسیب‌پذیری‌های جدید معمولا ابزارها و برنامه‌های زیادی را به صورت مستمر تحت تأثیر قرار می‌دهند و راه‌های بالقوه بیشتری را برای عوامل تهدید تعریف می‌کنند. بدون داشتن یک روند به‌روز در ارزیابی بردار حمله، تیم‌ها نمی‌توانند به طور موثر اطلاع‌رسانی کنند و تمام سازمان را در جریان تهدیدات قرار دهند.

بخصوص، راه‌حل‌هایی که هوش بردار حمله ارائه می‌دهند را می‌توان از طریق API با جریان‌های امنیتی موجود ادغام کرد تا تیم‌های امنیتی سازمان دارایی‌های در خطر را سریع‌تر شناسایی کنند و با اطلاع‌رسانی به موقع، یک قدم از مهاجمان جلوتر باشند.

دفاع در محل

از طرفی، یک ارزیابی خوب این امکان را فراهم می‌آورد که شما از کارایی سیستم‌های دفاعی سازمان، مانند فایروال‌های وب اپلیکیشن‌ها، آگاهی یابید. چنین اطلاعاتی به شما این امکان را می‌دهد که منابع دفاعی خود را به خطرات بالقوه‌تر و دارایی‌های آسیب‌پذیرتر تخصیص دهید.

توجه داشته باشید که راه‌حل‌های هوش بردار حمله، جایگزین رویکردهای اسکن آسیب‌پذیری نیستند، بلکه تکمیلی برای آن‌ها خواهند بود. وقتی این راه‌حل‌ها تمام دارایی‌های متصل به اینترنت را تجزیه و تحلیل کردند، سازمان می‌تواند تمرکز خود را بر نقاط آسیب‌پذیر و شیوه‌های مقابله با نفوذهای ممکن بگذارد.

what is vulnerability
آسیب‌پذیری چیست؟

نظارت مستمر بردار حمله

امروزه، سطوح حمله دیجیتال با نرخ سریع‌تری تکامل می‌یابند و دگرگون می‌شوند. شرکت‌ها بیشتر و بیشتر بر دایره عملکردی خود در فضای مجازی، تجارت الکترونیک، رهگیری سفارشات، پشتیبانی مشتریان، زنجیره تأمین، رسانه‌های اجتماعی و پروژه‌های اینترنتی خود می‌افزایند.

به‌ویژه، برنامه‌های ابری پویا، برای اپلیکیشن‌ها فعالیت تعریف می‌کنند. صدها دستگاه جدید با آدرس‌های IP را می‌توان هرلحظه که نیاز باشد خریداری کرد. تمام این فعالیت‌ها بستر را برای بروز مشکلات امنیتی فراهم می‌‌آورند، بخصوص اینکه آن‌ها حفره‌های کور و مسیرهای پنهانی بیشتری را در فعالیت‌های مجازی سازمان ایجاد می‌کنند.

راه‌حل‌های هوش بردار حمله به سازمان‌ها این امکان را می‌دهند که با نظارت بیشتر بر تغییرات و برجسته کردن حضور دارایی‌های تحت تأثیر، مانند انواع زیر، بر هوشیاری سازمان در مقابل تهدیدات خارجی بیافزایند:

  • دامنه‌ و زیردامنه‌هایی که به تازگی ثبت شده‌اند و با سازمان و برند آن ارتباط دارند
  • سرورها و سیستم‌هایی که با نرم‌افزارهای با ریسک بالا سروکار دارند
  • سیستم‌هایی که به شرکت‌های همکار مرتبط‌اند و پیکربندی مناسبی ندارند

چه کسانی می‌توانند از هوش بردار حمله بهره بگیرند؟

هوش سطح حمله برای گروه‌های زیادی از داخل و خارج از دنیای IT ارزشمند است، ازجمله این گروه‌ها موارد زیر شاخص‌اند:

تیم‌های مدیریت آسیب‌پذیری

اولویت‌بندی پچینگ‌ها، شناسایی دارایی‌های تحت تأثیر CVE‌های جدید، پوشش دارایی‌های ناشناخته قبلی

تیم‌های SOC

برای غنی‌سازی هشدارها با داده‌های بردار حمله و اصلاح ساختار دارایی‌های پرخطر

تیم‌های واکنش سریع، شکار تهدیدها

برای داشتن یک دید هکری از کل بردار حمله دیجیتالی سازمان، ازجمله دامنه‌های ناشناخته و فراموش شده، دارایی‌های پرخطر و آدرس‌های IP داخلی که توسط سوابق DNS و گواهی‌های دیجیتال در معرض دید قرار گرفته‌اند

تیم‌های انطباق و مدیریت ریسک شخص ثالث

شناسایی نقض خط مشی‌ها و مشخص کردن نقاط ضعف در محیط‌های IT اشخاص ثالث

تحلیلگران امنیتی

کاهش سطوح حمله با شناسایی و حذف یا کاهش علل ریشه‌ای دارایی‌های مرتبط با فضای اینترنت. به‌طور خلاصه، مدیریت بردار حمله نه تنها به تیم‌های امنیتی کمک می‌کند تا کارایی و تأثیر بیشتری داشته باشند، بلکه می‌تواند به ابتکارات دیجیتال شرکت، انطباق با سیاست‌ها و مدیریت ریسک آن نیز کمک کند.

The organization's security teams use the attack surface management system
سامانه مدیریت بردار حمله به کمک تیم‌های امنیتی می‌آید.
پیمایش به بالا