بردار حمله (Attack vector) چیست؟

بردار حمله (Attack Vector) روشی یا ترکیبی از روشهایی است که مجرمین سایبری برای نفوذ یا رخنه به شبکه قربانی از آن استفاده میکنند.
این مجرمان معمولاَ مجموعهای از بردارهای حمله را توسعه میدهند که به طور معمول برای انجام حملات خود از آنها استفاده میکنند. این بردارهای حمله با گذشت زمان و استفاده مکرر، میتوانند به نوعی “امضا” مجازی برای مجرمین سایبری یا گروههای سازمانیافته جرائم سایبری تبدیل شوند و به تحلیلگران اطلاعات تهدید، شرکتهای ارائه دهنده خدمات امنیت سایبری، نیروهای انتظامی و سازمانهای دولتی این امکان را میدهند که هویت مهاجمان مختلف را شناسایی کنند.
شناسایی و ردیابی بردارهای حمله مهاجم میتواند به سازمانها کمک کند تا بهتر از حملات هدفمند موجود یا آینده دفاع کنند. علاوه بر این، دانستن اینکه چه کسی پشت یک حمله است؛ که بخشی از آن با استفاده از امضا یک بردار حمله مشخص میشود، میتواند به سازمان در درک تواناییهای مهاجم و انجام اقدامات برای محافظت از کسب و کار و داراییهای آن در آینده کمک کند.
کلمات کلیدی که در این مقاله بررسی خواهیم کرد: بردار حمله (Attack Vector)، سطح حمله (Attack Surface)، بردار تهدید (Threat Vector)، عامل تهدید (Threat Actor)
سطح حمله (Attack Surface)
سطح حمله مجموعهای از تمام مواجهههای بالقوه با ریسک امنیتی در محیط یک سازمان است. به عبارت دیگر، این مجموعه شامل تمام آسیبپذیریهای بالقوه (شناخته شده و ناشناخته) و کنترلها در سراسر سختافزار، نرمافزار، اجزای شبکه و افراد است.
سطوح حمله را میتوان به سه نوع اصلی طبقهبندی کرد:
سطح حمله دیجیتال: کل شبکه و محیط نرمافزاری یک سازمان را در بر میگیرد. این میتواند شامل برنامههای کاربردی، کد، پورتها و سایر نقاط ورود و خروج باشد.
سطح حمله فیزیکی: تمامی زیرساختهای یک سازمان مانند سیستمهای دسکتاپ، لپتاپها، دستگاههای تلفن همراه، سرورها، دروازههای دسترسی، زیرساختهای مخابراتی و حتی برق.
سطح حمله مهندسی اجتماعی: حملاتی که از ذهن انسان سوء استفاده میکنند، اغلب در فیشینگ، تظاهر (اسمزینگ)، وی شینگ (پیام صوتی) و سایر تکنیکهای فریب دهنده برای گمراه کردن انسان استفاده میشوند.
بردار تهدید (Threat Vector)
بردار تهدید اصطلاحی است که برای توصیف روشی که یک مجرم سایبری برای به دست آوردن دسترسی اولیه به شبکه یا زیرساخت قربانی استفاده می کند، به کار می رود. بردار تهدید اغلب به جای واژه بردار حمله به کار می رود.
عامل تهدید (Threat Actor)
عامل تهدید، که همچنین با عنوان کنشگر مخرب یا دشمن دیجیتال شناخته می شود، هر فرد یا سازمانی است که به طور عمدی در فضای دیجیتال ایجاد آسیب می کند. آنها از نقاط ضعف موجود در رایانهها، شبکهها و سیستمها برای انجام حملات مخرب علیه افراد یا سازمان ها سوء استفاده می کنند.
اصطلاح “عامل تهدید” شامل مجرمین سایبری می شود، اما دامنه وسیع تری دارد. ایدئولوژیست هایی مانند هکتیویست ها (فعالین هکر)، تروریست ها، نفوذیها و حتی ترولهای اینترنتی همگی به عنوان عامل تهدید شناخته می شوند.
چگونه بردارهای حمله مورد سوء استفاده قرار می گیرند؟
بردارهای تهدید به طور کلی در دو دسته قرار می گیرند:
- بردارهای حمله غیرفعال (passive attack vectors)
- بردارهای حمله فعال (active attack vectors)
بردارهای حمله غیرفعال
یک بردار حمله غیرفعال، تکنیک حمله ای است که در آن مهاجم سیستم قربانی را برای یافتن هرگونه آسیب پذیری مانند پورت باز، پیکربندی اشتباه یا نرم افزار بدون وصله که بتواند از آن برای نفوذ به سیستم سوء استفاده کند، اسکن می کند.
در یک حمله غیرفعال، مهاجمان معمولاً به دنبال آسیب رساندن به سیستم یا مختل کردن عملیات تجاری نیستند. بلکه هدف آنها دستیابی به داده ها و سایر اطلاعات حساس است.
از آنجا که بردارهای حمله غیرفعال معمولاً سیستم را مختل نمی کنند یا محیط را به هیچ وجه تغییر نمی دهند، تشخیص اینکه حمله ای در حال انجام است و اقدامات لازم برای محافظت از کسب و کار در برابر آسیب های بیشتر دشوار است.
نمونه هایی از بردارهای حمله غیرفعال شامل اسکن پورت، شنود، استراق سمع (مانند حملات Man-in-the-Middle) و بسیاری از حملات مهندسی اجتماعی است.
بردارهای حمله فعال
بردار حمله فعال، تکنیک حملهای است که توسط مهاجم برای تغییر سیستم یا برهم زدن کارکرد آن به کار میرود.
مانند حملات غیرفعال، بسیاری از مهاجمان که از بردارهای حمله فعال استفاده میکنند، در تلاش برای دستیابی به دادههای حساس هستند. با این حال، بر خلاف حملات غیرفعال، مجرمینی که در یک حمله فعال شرکت میکنند ممکن است فقط برای ایجاد آشفتگی و هرج و مرج در محیط فناوری اطلاعات قربانی این کار را انجام دهند.
نمونههایی از بردارهای حمله فعال شامل بدافزار، باجافزار، حملات توزیعشده منع سرویس (DDoS)، سرقت اعتبارنامه و سایر تکنیکهای رایج است.
۱۰ نوع رایج از بردارهای حمله
حملات مهندسی اجتماعی
مهندسی اجتماعی زمانی اتفاق میافتد که مهاجمی روی یک انسان تمرکز کند و از قدرت احساسات مانند عشق، ترس یا طمع برای فریب فرد برای انجام یک اقدام مورد نظر استفاده کند. به طور معمول، هدف یک حمله مهندسی اجتماعی به دست آوردن اطلاعاتی است که می تواند برای انجام یک حمله پیچیده تر، دسترسی به داده های حساس یا اعتبارنامه های کاربر استفاده شود، یا یک “پیروزی سریع” در سطح نسبتاً پایین به دست آورد، مانند تشویق یک کارمند به خرید و به اشتراک گذاشتن کارت های هدیه دیجیتال با مهاجم.
حملات مهندسی اجتماعی برای متخصصان امنیت سایبری نگران کننده است زیرا، صرف نظر از اینکه پشته امنیتی چقدر قوی باشد و سیاستها چقدر دقیق باشند، همچنان ممکن است کاربری فریب داده شود تا اعتبارنامههای خود را به یک عامل مخرب بدهد. پس از ورود، عامل مخرب می تواند از آن اعتبارنامههای دزدیده شده برای خود را به جای کاربر مجاز جا بزند، بنابراین توانایی حرکت جانبی، یادگیری اینکه کدام دفاعها وجود دارد، نصب درهای پشتی، سرقت هویت و البته سرقت دادهها را به دست آورد.
نمونههای رایج مهندسی اجتماعی عبارتند از فیشینگ، تظاهر و فریب.
اعتبارنامههای به خطر افتاده و ضعیف
یک بردار حمله رایج دیگر شامل استفاده از اعتبارنامههای به خطر افتاده یا ضعیف است. در حملات مبتنی بر اعتبارنامه، مهاجمان از روشهای مختلفی برای سرقت، شکستن، حدس زدن یا تصاحب شناسه سیستم، رمز عبور یا هر دو کاربر برای دسترسی به سیستم یا انجام فعالیت با جعل هویت آن کاربر استفاده میکنند.
به دست آوردن اعتبارنامه به مهاجمان این امکان را میدهد که خود را به جای صاحب حساب جا بزنند و به عنوان شخصی که دسترسی مجاز دارد، مانند کارمند، پیمانکار یا تامین کننده شخص ثالث ظاهر شوند. از آنجایی که مهاجم به نظر یک کاربر مجاز است، تشخیص این نوع حمله برای سیستم های دفاعی چالش برانگیز است.
برخی از نمونههای حملات مبتنی بر اعتبارنامه عبارتند از:
سرقت اعتبارنامه: اقدام به سرقت اطلاعات شخصی مانند نام کاربری، رمز عبور و اطلاعات مالی به منظور دسترسی به یک حساب کاربری یا سیستم آنلاین.
حمله (Pass-the-Hash): حملهای است که در آن مهاجمی یک اعتبارنامه کاربری “هششده” را میدزدد و از آن برای ایجاد یک جلسه کاربری جدید در همان شبکه استفاده میکند. برخلاف سایر حملات سرقت اعتبارنامه، حمله عبور از هش نیازی ندارد که مهاجم رمز عبور را برای دسترسی به سیستم بداند یا آن را بشکند. بلکه از یک نسخه ذخیره شده از رمز عبور برای شروع یک جلسه جدید استفاده می کند.
Password spraying: زمانی که مهاجمی از یک رمز عبور رایج (مثلاً password123) در برابر چندین حساب کاربری برای دستیابی به سیستم به صورت شانسی استفاده می کند.
تهدیدهای داخلی (Insider Threats)
تهدید داخلی یک ریسک امنیت سایبری است که از درون سازمان نشأت می گیرد؛ معمولا توسط یک کارمند فعلی یا سابق یا فرد دیگری که دسترسی مستقیم به شبکه شرکت، دادههای حساس و مالکیت معنوی و همچنین دانش فرآیندهای تجاری، خط مشی های شرکت یا سایر اطلاعاتی که به انجام چنین حمله ای کمک می کند، دارد. همه بازیگران تهدید داخلی عمدی عمل نمی کنند؛ برخی ممکن است به هدف تبدیل شده باشند و دارایی های دیجیتال آنها برای استفاده توسط عوامل تهدید خارجی به خطر افتاده باشد.
پیکربندیهای اشتباه امنیتی و آسیب پذیریها (Security Misconfigurations and Vulnerabilities)
Misconfigurations امنیتی هر گونه خطا یا آسیب پذیری موجود در پیکربندی کد است که به مهاجمان اجازه دسترسی به دادههای حساس را می دهد و منجر به نقض دادهها یا به خطر افتادن کامل سیستم می شود.
برخی از رایج ترین Misconfigurations امنیتی، مربوط به Active Directory (AD) هستند که آسیب پذیریهایی در دامنه Active Directory هستند. این Misconfigurationsهای امنیتی رایج، از به دست آوردن امتیازات سطح بالا توسط مهاجمان تا مشکلاتی که ناشی از اجرای سرویسها روی هاستهایی با چندین مدیر است، متغییر است.
باج افزار (Ransomware)
باج افزار نوعی بدافزار است که دادههای قربانی را رمزگذاری می کند و مهاجم برای بازیابی دسترسی به فایلها یا شبکه کاربر، باج مطالبه می کند. به طور معمول، قربانی پس از پرداخت برای بازیابی دسترسی به فایل های خود، یک کلید رمزگشایی دریافت می کند. اگر باج پرداخت نشود، عامل تهدید ممکن است دادهها را در وب سایت های افشای داده (DLS) منتشر کند یا دسترسی به فایلها را برای همیشه مسدود کند.
باج افزار به یکی از برجسته ترین انواع بدافزار تبدیل شده است که طیف گسترده ای از بخشها از جمله بخشهای دولتی، آموزشی، مالی و مراقبت های بهداشتی را هدف قرار می دهد و هر ساله میلیون ها دلار در سراسر جهان اخاذی می شود.
بدافزار (Malware)
بدافزار (نرم افزار مخرب) برنامه یا کدی است که برای ایجاد آسیب عمدی به رایانه، شبکه یا سرور ایجاد می شود. مجرمین سایبری بدافزار را برای نفوذ پنهانی به یک سیستم کامپیوتری برای نقض یا نابودی داده های حساس و سیستم های کامپیوتری توسعه می دهند.
انواع رایج بدافزار شامل ویروس ها، باج افزار، کی لاگرها، تروجان ها، کرم ها، جاسوس افزار، تبلیغات مخرب، scareware، درهای پشتی و بدافزارهای موبایل می شود.
حمله های Man-in-the-middle (MITM)
حمله Man-in-the-middle نوعی حمله سایبری است که در آن مهاجم به مکالمه بین دو هدف گوش می دهد. مهاجم ممکن است سعی کند به مکالمه بین دو نفر، دو سیستم یا یک نفر و یک سیستم “گوش دهد”.
هدف از حمله MITM جمع آوری اطلاعات شخصی، رمز عبور یا جزئیات بانکی یا متقاعد کردن قربانی به انجام اقداماتی مانند تغییر اعتبار ورود، تکمیل تراکنش یا آغاز انتقال وجوه است.
ربودن جلسه (Session Hijacking)
ربودن جلسه تکنیک حمله سایبری است که در آن مهاجم با به دست آوردن شناسه جلسه، جلسه کاربری یک کاربر قانونی را به دست می گیرد. پس از اینکه مجرم کنترل جلسه را به دست گرفت، می تواند خود را به جای کاربر به خطر افتاده جا بزند و به هر سیستم یا دارایی که کاربر برای آن امتیاز دارد دسترسی پیدا کند.
حملات Brute-Force
حملات Brute-Force از رویکرد آزمون و خطا برای حدس زدن سیستماتیک اطلاعات ورود، اعتبارنامهها و کلیدهای رمزگذاری استفاده میکند. مهاجم ترکیبی از نام کاربری و رمز عبور را تا زمان یافتن ترکیب صحیح ارسال میکند.
در صورت موفقیت، مهاجم میتواند به عنوان کاربر مجاز وارد سیستم شود و تا زمانی که شناسایی شود در سیستم باقی بماند. مهاجم از این زمان برای حرکت جانبی در شبکه، نصب درهای پشتی، کسب دانش در مورد سیستم برای استفاده در حملات بعدی و سرقت دادهها استفاده میکند.
حملات توزیعشدهای منع سرویس (DDoS)
حمله توزیعشدهای منع سرویس (DDoS) حملهای مخرب و هدفمند است که با انبوهی از درخواستهای جعلی، یک شبکه را تحت تاثیر قرار میدهد تا عملیات تجاری را مختل کند. هنگامی که سازمانی با این نوع حمله مواجه میشود، کاربران قادر به انجام وظایف عادی و ضروری مانند دسترسی به ایمیل، وبسایتها، حسابهای آنلاین یا سایر منابعی که توسط رایانه یا شبکهای به خطر افتاده کنترل میشوند، نیستند.
در حالی که اکثر حملات DDoS منجر به از دست رفتن دادهها نمیشوند و معمولاً بدون پرداخت باج حل میشوند، اما زمان، هزینه و سایر منابع سازمان را برای بازیابی عملیات تجاری حیاتی به هدر میدهند.
چگونه بردارهای حمله را ایمن کنیم؟
بردارهای حمله طیف وسیعی دارند و هر کدام از یک آسیبپذیری خاص مانند فرد، نرمافزار بدون وصله، سرویس با پیکربندی اشتباه یا رمز عبور ضعیف سوء استفاده میکنند. هیچ مکانیزم دفاعی واحدی وجود ندارد که سازمان را از همه انواع حملات محافظت کند. علاوه بر این، مهم است که تشخیص دهیم بسیاری از بردارهای حمله، افراد را هدف قرار میدهند، به این معنی که بسیاری از ابزارهای امنیتی، به هر اندازه که پیشرفته باشند، در محافظت از سازمان در برابر چنین تکنیکهایی کاربرد محدودی خواهند داشت.
ترکیب بردارهای حمله دیجیتال و شخصی به همین دلیل است که اتخاذ رویکردی جامع به امنیت و ترکیب اقدامات امنیتی پیشگیرانه، دفاعی، پیشدستانه و واکنشی برای بهترین محافظت از سازمان و داراییهای آن برای سازمانها بسیار مهم است. در اینجا فهرستی از بهترین شیوهها برای توسعه و استقرار یک استراتژی امنیتی جامع را ارائه میدهیم:
۱. ایجاد یک برنامه آموزشی قوی امنیت سایبری برای کارمندان
کارمندان در خط مقدم امنیت شما هستند. اطمینان حاصل کنید که آنها از شیوههای امنیتی مناسب؛ مانند استفاده از رمز عبور قوی، اتصال فقط به Wi-Fi امن و مراقبت مداوم برای حملات فریبنده، در تمام دستگاههای خود استفاده میکنند. جلسات آموزشی منظم و جامعی در مورد آگاهی امنیتی برای آنها برگزار کنید تا اطمینان حاصل شود که آنها از چشمانداز تهدید در حال تکامل آگاه هستند و اقدامات لازم را برای محافظت از خود و شرکت در برابر تمام اشکال ریسکهای سایبری انجام میدهند.
۲. پیکربندی سیستم عامل را بررسی کنید و تمام نرمافزارها را بهروز نگه دارید.
هکرها دائماً به دنبال یافتن حفرهها و درهای پشتی برای سوء استفاده هستند. با بهروزرسانی مداوم سیستمهای خود، شما قرار گرفتن در معرض خطرات شناختهشده را به حداقل میرسانید و بردارهای حملهای را که از پیکربندیهای اشتباه و سایر آسیبپذیریهای فناوری اطلاعات به عنوان مسیر استفاده میکنند، محدود میکنید.
۳. اولویت بندی محافظت از Cloud
مهاجمان به طور تهاجمی زیرساختهای ابری را هدف قرار میدهند. تعداد موارد سوءاستفاده مشاهده شده از ابر افزایش یافته است و مهاجمان از طیف وسیعی از تکنیکها، تاکتیکها و رویهها (TTPs) مانند پیکربندی اشتباه، سرقت اعتبارنامه و غیره برای به خطر انداختن دادهها و برنامههای مهم کسب و کار در ابر استفاده میکنند. توقف نقضهای امنیتی ابری نیازمند قابلیتهای (agentless) برای محافظت در برابر پیکربندی اشتباه، حملات مبتنی بر کنترلگر و هویت، به همراه امنیت زمان اجرا که از کارهای ابری محافظت میکند، است.
۴. به طور مداوم محیط را برای فعالیتهای مخرب و نشانگرهای حمله (IOA) نظارت کنید.
یک سیستم تشخیص و پاسخ نقطه پایانی (EDR) را برای نظارت بر همه نقاط نهایی فعال کنید و رویدادهای خام را برای تشخیص خودکار فعالیتهای مخرب که توسط روشهای پیشگیری شناسایی نشدهاند، ضبط کنید.
۵. ادغام هوش تهدید در استراتژی امنیتی
سیستمها را به صورت لحظهای نظارت کنید و با آخرین اطلاعات تهدید به روز باشید تا مجموعه دشمنانی که ممکن است سازمان شما را هدف قرار دهند، شناسایی کنید. دادهها در مورد اقدام بعدی یک بازیگر تهدید برای پیشفرض سازی و ممانعت از حملات آینده حیاتی است.
۶. محافظت در برابر حملات مبتنی بر هویت
امکان مشاهده کامل و لحظهای از Active Directory (AD)، هم در محل و هم در ابر را فعال کنید و shadow administrators، حسابهای قدیمی، اعتبارنامههای اشتراکی و سایر مسیرهای حمله AD را شناسایی کنید.
امنیت اکتیو دایرکتوری را تقویت کنید و با نظارت بر ترافیک احراز هویت و رفتار کاربر و اجرای سیاستهای امنیتی قوی برای شناسایی پیشگیرانه ناهنجاریها، خطرات را کاهش دهید.
نظارت مداوم برای ضعف اعتبارنامه، انحراف دسترسی (Access Deviations) و به خطر افتادن رمز عبور با امتیاز ریسک پویا (dynamic risk scores) برای هر کاربر و حساب کاربری فعال کنید.
۷. امنیت احراز هویت چند عاملی (MFA) را گسترش دهید
نقاط نهایی مدیریت نشده را با دسترسی مشروط مبتنی بر ریسک محافظت کنید و با استفاده از آنالیز اختصاصی رفتار کاربر و ترافیک احراز هویت، محافظت احراز هویت چند عاملی (MFA) را به برنامهها و ابزارهای قدیمی گسترش دهید.
سیاستهای ثابت مبتنی بر ریسک را برای مسدود کردن، مجاز کردن، حسابرسی یا افزایش خودکار احراز هویت برای هر هویت اجرا کنید
۸. ایجاد مبنایی (baseline) از فعالیت کاربر
فعالیت و رفتار کاربر را در تمام گزارشهای داده مرتبط، از جمله دسترسی، احراز هویت و نقطه انتهایی، را پایش کنید.
از این دادهها برای ایجاد یک خط مبنای (baseline) فعالیت برای هر کاربر، گروه کاربری، عملکرد، عنوان و دستگاهی استفاده کنید که بتواند در شناسایی فعالیت غیرعادی یا مشکوک کمک کند.
یک امتیاز ریسک سفارشی به هر کاربر و نقطه پایانی اختصاص دهید تا دید بیشتری برای تیم امنیت سایبری فراهم شود.
۹. از تجزیه و تحلیل رفتار و هوش مصنوعی برای شناسایی تهدیدات استفاده کنید
از ابزارهای تحلیلی و مبتنی بر هوش مصنوعی برای نظارت بر رفتار کاربران و دستگاه ها به صورت بلادرنگ استفاده کنید.
هشدارها را با امتیاز ریسک مقایسه کنید تا زمینه بیشتری برای رویداد فراهم شود و اولویت بندی تلاش های پاسخ را انجام دهید.
۱۰. تمرین باعث مهارت می شود
مانورهای تیم قرمز/تیم آبی را اجرا کنید. در حالی که فناوری به وضوح در مبارزه برای شناسایی و توقف نفوذها حیاتی است، تیمهای امنیت حلقهی حیاتی زنجیره برای توقف نقضها هستند. برای تیمهای امنیتی، تمرین باعث مهارت میشود. محیطی را ایجاد کنید که بهطور معمول تمرینهای شبیهسازی و تیمسازی قرمز/آبی را انجام دهد تا شکافها را شناسایی کند و نقاط ضعف را در شیوهها و پاسخهای امنیت سایبری خود از بین ببرد. و تیمهای امنیتی نباید تنها گروهی باشند که تمرین میکنند؛ برنامههای آگاهی رسانی امنیتی کاربر را برای مقابله با تهدید مداوم فریبکاری و تکنیکهای مهندسی اجتماعی مرتبط آغاز کنید.
مطالب زیر را حتما بخوانید
-
آشنایی کامل با دوره SEC-100 شرکت OffSec: گام نخست در امنیت سایبری
29 بازدید
-
بررسی جامع Mythic C2: فریمورک قدرتمند برای تست نفوذ و عملیات تیم قرمز
32 بازدید
-
TheHive: پلتفرم مدیریت حوادث امنیتی برای تیمهای واکنش به تهدیدات سایبری
25 بازدید
-
AS-REP Roasting: تحلیل حمله به پروتکل Kerberos و راهکارهای مقابله
51 بازدید
-
آشنایی با سایت VulnHub و معرفی بهترین ماشینها برای یادگیری امنیت سایبری
107 بازدید
-
مثلث امنیت CIA: اصول اساسی حفاظت از اطلاعات در دنیای دیجیتال
224 بازدید