بردار حمله (Attack vector) چیست؟

1403/01/14
ارسال شده توسط
امنیت سایبری ، تیم آبی ، تیم قرمز
1.37k بازدید
بردار حمله Attack vector چیست
زمان مطالعه: 10 دقیقه

بردار حمله (Attack Vector) روشی یا ترکیبی از روش‌هایی است که مجرمین سایبری برای نفوذ یا رخنه به شبکه قربانی از آن استفاده می‌کنند.

این مجرمان معمولاَ مجموعه‌ای از بردارهای حمله را توسعه می‌دهند که به طور معمول برای انجام حملات خود از آن‌ها استفاده می‌کنند. این بردارهای حمله با گذشت زمان و استفاده مکرر، می‌توانند به نوعی “امضا” مجازی برای مجرمین سایبری یا گروه‌های سازمان‌یافته جرائم سایبری تبدیل شوند و به تحلیلگران اطلاعات تهدید، شرکت‌های ارائه دهنده خدمات امنیت سایبری، نیروهای انتظامی و سازمان‌های دولتی این امکان را می‌دهند که هویت مهاجمان مختلف را شناسایی کنند.

شناسایی و ردیابی بردارهای حمله مهاجم می‌تواند به سازمان‌ها کمک کند تا بهتر از حملات هدفمند موجود یا آینده دفاع کنند. علاوه بر این، دانستن اینکه چه کسی پشت یک حمله است؛ که بخشی از آن با استفاده از امضا یک بردار حمله مشخص می‌شود، می‌تواند به سازمان در درک توانایی‌های مهاجم و انجام اقدامات برای محافظت از کسب و کار و دارایی‌های آن در آینده کمک کند.

کلمات کلیدی که در این مقاله بررسی خواهیم کرد: بردار حمله (Attack Vector)، سطح حمله (Attack Surface)، بردار تهدید (Threat Vector)، عامل تهدید (Threat Actor)

سطح حمله (Attack Surface)

سطح حمله مجموعه‌ای از تمام مواجهه‌های بالقوه با ریسک امنیتی در محیط یک سازمان است. به عبارت دیگر، این مجموعه شامل تمام آسیب‌پذیری‌های بالقوه (شناخته شده و ناشناخته) و کنترل‌ها در سراسر سخت‌افزار، نرم‌افزار، اجزای شبکه و افراد است.

سطوح حمله را می‌توان به سه نوع اصلی طبقه‌بندی کرد:

سطح حمله دیجیتال: کل شبکه و محیط نرم‌افزاری یک سازمان را در بر می‌گیرد. این می‌تواند شامل برنامه‌های کاربردی، کد، پورت‌ها و سایر نقاط ورود و خروج باشد.

سطح حمله فیزیکی: تمامی زیرساخت‌های یک سازمان مانند سیستم‌های دسکتاپ، لپ‌تاپ‌ها، دستگاه‌های تلفن همراه، سرورها، دروازه‌های دسترسی، زیرساخت‌های مخابراتی و حتی برق.

سطح حمله مهندسی اجتماعی: حملاتی که از ذهن انسان سوء استفاده می‌کنند، اغلب در فیشینگ، تظاهر (اسمزینگ)، وی شینگ (پیام صوتی) و سایر تکنیک‌های فریب دهنده برای گمراه کردن انسان استفاده می‌شوند.

بردار تهدید (Threat Vector)

بردار تهدید اصطلاحی است که برای توصیف روشی که یک مجرم سایبری برای به دست آوردن دسترسی اولیه به شبکه یا زیرساخت قربانی استفاده می کند، به کار می رود. بردار تهدید اغلب به جای واژه بردار حمله به کار می رود.

عامل تهدید (Threat Actor)

عامل تهدید، که همچنین با عنوان کنشگر مخرب یا دشمن دیجیتال شناخته می شود، هر فرد یا سازمانی است که به طور عمدی در فضای دیجیتال ایجاد آسیب می کند. آنها از نقاط ضعف موجود در رایانه‌ها، شبکه‌ها و سیستم‌ها برای انجام حملات مخرب علیه افراد یا سازمان ها سوء استفاده می کنند.

اصطلاح “عامل تهدید” شامل مجرمین سایبری می شود، اما دامنه وسیع تری دارد. ایدئولوژیست هایی مانند هکتیویست ها (فعالین هکر)، تروریست ها، نفوذی‌ها و حتی ترول‌های اینترنتی همگی به عنوان عامل تهدید شناخته می شوند.

چگونه بردارهای حمله مورد سوء استفاده قرار می گیرند؟

بردارهای تهدید به طور کلی در دو دسته قرار می گیرند:

  • بردارهای حمله غیرفعال (passive attack vectors)
  • بردارهای حمله فعال (active attack vectors)

بردارهای حمله غیرفعال

یک بردار حمله غیرفعال، تکنیک حمله ای است که در آن مهاجم سیستم قربانی را برای یافتن هرگونه آسیب پذیری مانند پورت باز، پیکربندی اشتباه یا نرم افزار بدون وصله که بتواند از آن برای نفوذ به سیستم سوء استفاده کند، اسکن می کند.

در یک حمله غیرفعال، مهاجمان معمولاً به دنبال آسیب رساندن به سیستم یا مختل کردن عملیات تجاری نیستند. بلکه هدف آنها دستیابی به داده ها و سایر اطلاعات حساس است.

از آنجا که بردارهای حمله غیرفعال معمولاً سیستم را مختل نمی کنند یا محیط را به هیچ وجه تغییر نمی دهند، تشخیص اینکه حمله ای در حال انجام است و اقدامات لازم برای محافظت از کسب و کار در برابر آسیب های بیشتر دشوار است.

نمونه هایی از بردارهای حمله غیرفعال شامل اسکن پورت، شنود، استراق سمع (مانند حملات Man-in-the-Middle) و بسیاری از حملات مهندسی اجتماعی است.

بردارهای حمله فعال

بردار حمله فعال، تکنیک حمله‌ای است که توسط مهاجم برای تغییر سیستم یا برهم زدن کارکرد آن به کار می‌رود.

مانند حملات غیرفعال، بسیاری از مهاجمان که از بردارهای حمله فعال استفاده می‌کنند، در تلاش برای دستیابی به داده‌های حساس هستند. با این حال، بر خلاف حملات غیرفعال، مجرمینی که در یک حمله فعال شرکت می‌کنند ممکن است فقط برای ایجاد آشفتگی و هرج و مرج در محیط فناوری اطلاعات قربانی این کار را انجام دهند.

نمونه‌هایی از بردارهای حمله فعال شامل بدافزار، باج‌افزار، حملات توزیع‌شده‌ منع سرویس (DDoS)، سرقت اعتبارنامه و سایر تکنیک‌های رایج است.

۱۰ نوع رایج از بردارهای حمله

۱۰ نوع رایج از بردارهای حمله

حملات مهندسی اجتماعی

مهندسی اجتماعی زمانی اتفاق می‌افتد که مهاجمی روی یک انسان تمرکز کند و از قدرت احساسات مانند عشق، ترس یا طمع برای فریب فرد برای انجام یک اقدام مورد نظر استفاده کند. به طور معمول، هدف یک حمله مهندسی اجتماعی به دست آوردن اطلاعاتی است که می تواند برای انجام یک حمله پیچیده تر، دسترسی به داده های حساس یا اعتبارنامه های کاربر استفاده شود، یا یک “پیروزی سریع” در سطح نسبتاً پایین به دست آورد، مانند تشویق یک کارمند به خرید و به اشتراک گذاشتن کارت های هدیه دیجیتال با مهاجم.

حملات مهندسی اجتماعی برای متخصصان امنیت سایبری نگران کننده است زیرا، صرف نظر از اینکه پشته امنیتی چقدر قوی باشد و سیاست‌ها چقدر دقیق باشند، همچنان ممکن است کاربری فریب داده شود تا اعتبارنامه‌های خود را به یک عامل مخرب بدهد. پس از ورود، عامل مخرب می تواند از آن اعتبارنامه‌های دزدیده شده برای خود را به جای کاربر مجاز جا بزند، بنابراین توانایی حرکت جانبی، یادگیری اینکه کدام دفاع‌ها وجود دارد، نصب درهای پشتی، سرقت هویت و البته سرقت داده‌ها را به دست آورد.

نمونه‌های رایج مهندسی اجتماعی عبارتند از فیشینگ، تظاهر و فریب.

اعتبارنامه‌های به خطر افتاده و ضعیف

یک بردار حمله رایج دیگر شامل استفاده از اعتبارنامه‌های به خطر افتاده یا ضعیف است. در حملات مبتنی بر اعتبارنامه، مهاجمان از روش‌های مختلفی برای سرقت، شکستن، حدس زدن یا تصاحب شناسه سیستم، رمز عبور یا هر دو کاربر برای دسترسی به سیستم یا انجام فعالیت با جعل هویت آن کاربر استفاده می‌کنند.

به دست آوردن اعتبارنامه به مهاجمان این امکان را می‌دهد که خود را به جای صاحب حساب جا بزنند و به عنوان شخصی که دسترسی مجاز دارد، مانند کارمند، پیمانکار یا تامین کننده شخص ثالث ظاهر شوند. از آنجایی که مهاجم به نظر یک کاربر مجاز است، تشخیص این نوع حمله برای سیستم های دفاعی چالش برانگیز است.

برخی از نمونه‌های حملات مبتنی بر اعتبارنامه عبارتند از:

سرقت اعتبارنامه: اقدام به سرقت اطلاعات شخصی مانند نام کاربری، رمز عبور و اطلاعات مالی به منظور دسترسی به یک حساب کاربری یا سیستم آنلاین.

حمله (Pass-the-Hash): حمله‌ای است که در آن مهاجمی یک اعتبارنامه کاربری “هش‌شده” را می‌دزدد و از آن برای ایجاد یک جلسه کاربری جدید در همان شبکه استفاده می‌کند. برخلاف سایر حملات سرقت اعتبارنامه، حمله عبور از هش نیازی ندارد که مهاجم رمز عبور را برای دسترسی به سیستم بداند یا آن را بشکند. بلکه از یک نسخه ذخیره شده از رمز عبور برای شروع یک جلسه جدید استفاده می کند.

Password spraying: زمانی که مهاجمی از یک رمز عبور رایج (مثلاً password123) در برابر چندین حساب کاربری برای دستیابی به سیستم به صورت شانسی استفاده می کند.

تهدیدهای داخلی (Insider Threats)

تهدید داخلی یک ریسک امنیت سایبری است که از درون سازمان نشأت می گیرد؛ معمولا توسط یک کارمند فعلی یا سابق یا فرد دیگری که دسترسی مستقیم به شبکه شرکت، داده‌های حساس و مالکیت معنوی و همچنین دانش فرآیندهای تجاری، خط مشی های شرکت یا سایر اطلاعاتی که به انجام چنین حمله ای کمک می کند، دارد. همه بازیگران تهدید داخلی عمدی عمل نمی کنند؛ برخی ممکن است به هدف تبدیل شده باشند و دارایی های دیجیتال آنها برای استفاده توسط عوامل تهدید خارجی به خطر افتاده باشد.

پیکربندی‌های اشتباه امنیتی و آسیب پذیری‌ها (Security Misconfigurations and Vulnerabilities)

Misconfigurations امنیتی هر گونه خطا یا آسیب پذیری موجود در پیکربندی کد است که به مهاجمان اجازه دسترسی به داده‌های حساس را می دهد و منجر به نقض داده‌ها یا به خطر افتادن کامل سیستم می شود.

برخی از رایج ترین Misconfigurations امنیتی، مربوط به Active Directory (AD) هستند که آسیب پذیری‌هایی در دامنه Active Directory هستند. این Misconfigurationsهای امنیتی رایج، از به دست آوردن امتیازات سطح بالا توسط مهاجمان تا مشکلاتی که ناشی از اجرای سرویس‌ها روی هاست‌هایی با چندین مدیر است، متغییر است.

باج افزار (Ransomware)

باج افزار نوعی بدافزار است که داده‌های قربانی را رمزگذاری می کند و مهاجم برای بازیابی دسترسی به فایل‌ها یا شبکه کاربر، باج مطالبه می کند. به طور معمول، قربانی پس از پرداخت برای بازیابی دسترسی به فایل های خود، یک کلید رمزگشایی دریافت می کند. اگر باج پرداخت نشود، عامل تهدید ممکن است داده‌ها را در وب سایت های افشای داده (DLS) منتشر کند یا دسترسی به فایل‌ها را برای همیشه مسدود کند.

باج افزار به یکی از برجسته ترین انواع بدافزار تبدیل شده است که طیف گسترده ای از بخش‌ها از جمله بخش‌های دولتی، آموزشی، مالی و مراقبت های بهداشتی را هدف قرار می دهد و هر ساله میلیون ها دلار در سراسر جهان اخاذی می شود.

بدافزار (Malware)

بدافزار (نرم افزار مخرب) برنامه یا کدی است که برای ایجاد آسیب عمدی به رایانه، شبکه یا سرور ایجاد می شود. مجرمین سایبری بدافزار را برای نفوذ پنهانی به یک سیستم کامپیوتری برای نقض یا نابودی داده های حساس و سیستم های کامپیوتری توسعه می دهند.

انواع رایج بدافزار شامل ویروس ها، باج افزار، کی لاگرها، تروجان ها، کرم ها، جاسوس افزار، تبلیغات مخرب، scareware، درهای پشتی و بدافزارهای موبایل می شود.

حمله های Man-in-the-middle (MITM)

حمله Man-in-the-middle نوعی حمله سایبری است که در آن مهاجم به مکالمه بین دو هدف گوش می دهد. مهاجم ممکن است سعی کند به مکالمه بین دو نفر، دو سیستم یا یک نفر و یک سیستم “گوش دهد”.

هدف از حمله MITM جمع آوری اطلاعات شخصی، رمز عبور یا جزئیات بانکی یا متقاعد کردن قربانی به انجام اقداماتی مانند تغییر اعتبار ورود، تکمیل تراکنش یا آغاز انتقال وجوه است.

ربودن جلسه (Session Hijacking)

ربودن جلسه تکنیک حمله سایبری است که در آن مهاجم با به دست آوردن شناسه جلسه، جلسه کاربری یک کاربر قانونی را به دست می گیرد. پس از اینکه مجرم کنترل جلسه را به دست گرفت، می تواند خود را به جای کاربر به خطر افتاده جا بزند و به هر سیستم یا دارایی که کاربر برای آن امتیاز دارد دسترسی پیدا کند.

حملات Brute-Force

حملات Brute-Force از رویکرد آزمون و خطا برای حدس زدن سیستماتیک اطلاعات ورود، اعتبارنامه‌ها و کلیدهای رمزگذاری استفاده می‌کند. مهاجم ترکیبی از نام کاربری و رمز عبور را تا زمان یافتن ترکیب صحیح ارسال می‌کند.

در صورت موفقیت، مهاجم می‌تواند به عنوان کاربر مجاز وارد سیستم شود و تا زمانی که شناسایی شود در سیستم باقی بماند. مهاجم از این زمان برای حرکت جانبی در شبکه، نصب درهای پشتی، کسب دانش در مورد سیستم برای استفاده در حملات بعدی و سرقت داده‌ها استفاده می‌کند.

حملات توزیع‌شده‌ای منع سرویس (DDoS)

حمله توزیع‌شده‌ای منع سرویس‌ (DDoS) حمله‌ای مخرب و هدفمند است که با انبوهی از درخواست‌های جعلی، یک شبکه را تحت‌ تاثیر قرار می‌دهد تا عملیات تجاری را مختل کند. هنگامی که سازمانی با این نوع حمله مواجه می‌شود، کاربران قادر به انجام وظایف عادی و ضروری مانند دسترسی به ایمیل، وب‌سایت‌ها، حساب‌های آنلاین یا سایر منابعی که توسط رایانه یا شبکه‌ای به خطر افتاده کنترل می‌شوند، نیستند.

در حالی که اکثر حملات DDoS منجر به از دست رفتن داده‌ها نمی‌شوند و معمولاً بدون پرداخت باج حل می‌شوند، اما زمان، هزینه و سایر منابع سازمان را برای بازیابی عملیات تجاری حیاتی به هدر می‌دهند.

چگونه بردارهای حمله را ایمن کنیم؟

بردارهای حمله طیف وسیعی دارند و هر کدام از یک آسیب‌پذیری خاص مانند فرد، نرم‌افزار بدون وصله، سرویس با پیکربندی اشتباه یا رمز عبور ضعیف سوء استفاده می‌کنند. هیچ مکانیزم دفاعی واحدی وجود ندارد که سازمان را از همه انواع حملات محافظت کند. علاوه بر این، مهم است که تشخیص دهیم بسیاری از بردارهای حمله، افراد را هدف قرار می‌دهند، به این معنی که بسیاری از ابزارهای امنیتی، به هر ‌اندازه که پیشرفته باشند، در محافظت از سازمان در برابر چنین تکنیک‌هایی کاربرد محدودی خواهند داشت.

ترکیب بردارهای حمله دیجیتال و شخصی به همین دلیل است که اتخاذ رویکردی جامع به امنیت و ترکیب اقدامات امنیتی پیشگیرانه، دفاعی، پیش‌دستانه و واکنشی برای بهترین محافظت از سازمان و دارایی‌های آن برای سازمان‌ها بسیار مهم است. در اینجا فهرستی از بهترین شیوه‌ها برای توسعه و استقرار یک استراتژی امنیتی جامع را ارائه می‌دهیم:

۱. ایجاد یک برنامه آموزشی قوی امنیت سایبری برای کارمندان

کارمندان در خط مقدم امنیت شما هستند. اطمینان حاصل کنید که آنها از شیوه‌های امنیتی مناسب؛ مانند استفاده از رمز عبور قوی، اتصال فقط به Wi-Fi امن و مراقبت مداوم برای حملات فریبنده، در تمام دستگاه‌های خود استفاده می‌کنند. جلسات آموزشی منظم و جامعی در مورد آگاهی امنیتی برای آنها برگزار کنید تا اطمینان حاصل شود که آنها از چشم‌انداز تهدید در حال تکامل آگاه هستند و اقدامات لازم را برای محافظت از خود و شرکت در برابر تمام اشکال ریسک‌های سایبری انجام می‌دهند.

۲. پیکربندی سیستم عامل را بررسی کنید و تمام نرم‌افزارها را به‌روز نگه دارید.

هکرها دائماً به دنبال یافتن حفره‌ها و درهای پشتی برای سوء استفاده هستند. با به‌روزرسانی مداوم سیستم‌های خود، شما قرار گرفتن در معرض خطرات شناخته‌شده را به حداقل می‌رسانید و بردارهای حمله‌ای را که از پیکربندی‌های اشتباه و سایر آسیب‌پذیری‌های فناوری اطلاعات به عنوان مسیر استفاده می‌کنند، محدود می‌کنید.

۳. اولویت بندی محافظت از Cloud

مهاجمان به طور تهاجمی زیرساخت‌های ابری را هدف قرار می‌دهند. تعداد موارد سوءاستفاده مشاهده شده از ابر افزایش یافته است و مهاجمان از طیف وسیعی از تکنیک‌ها، تاکتیک‌ها و رویه‌ها (TTPs) مانند پیکربندی اشتباه، سرقت اعتبارنامه و غیره برای به خطر انداختن داده‌ها و برنامه‌های مهم کسب و کار در ابر استفاده می‌کنند. توقف نقض‌های امنیتی ابری نیازمند قابلیت‌های (agentless) برای محافظت در برابر پیکربندی اشتباه، حملات مبتنی بر کنترل‌گر و هویت، به همراه امنیت زمان اجرا که از کارهای ابری محافظت می‌کند، است.

۴.  به طور مداوم محیط را برای فعالیت‌های مخرب و نشانگرهای حمله (IOA) نظارت کنید.

یک سیستم تشخیص و پاسخ نقطه پایانی (EDR) را برای نظارت بر همه نقاط نهایی فعال کنید و رویدادهای خام را برای تشخیص خودکار فعالیت‌های مخرب که توسط روش‌های پیشگیری شناسایی نشده‌اند، ضبط کنید.

۵. ادغام هوش تهدید در استراتژی امنیتی

سیستم‌ها را به صورت لحظه‌ای نظارت کنید و با آخرین اطلاعات تهدید به روز باشید تا مجموعه دشمنانی که ممکن است سازمان شما را هدف قرار دهند، شناسایی کنید. داده‌ها در مورد اقدام بعدی یک بازیگر تهدید برای پیش‌فرض سازی و ممانعت از حملات آینده حیاتی است.

۶. محافظت در برابر حملات مبتنی بر هویت

امکان مشاهده کامل و لحظه‌ای از Active Directory (AD)، هم در محل و هم در ابر را فعال کنید و shadow administrators، حساب‌های قدیمی، اعتبارنامه‌های اشتراکی و سایر مسیرهای حمله AD را شناسایی کنید.

امنیت اکتیو دایرکتوری را تقویت کنید و با نظارت بر ترافیک احراز هویت و رفتار کاربر و اجرای سیاست‌های امنیتی قوی برای شناسایی پیشگیرانه ناهنجاری‌ها، خطرات را کاهش دهید.

نظارت مداوم برای ضعف اعتبارنامه، انحراف دسترسی (Access Deviations) و به خطر افتادن رمز عبور با امتیاز ریسک پویا (dynamic risk scores) برای هر کاربر و حساب کاربری فعال کنید.

۷. امنیت احراز هویت چند عاملی (MFA) را گسترش دهید

نقاط نهایی مدیریت نشده را با دسترسی مشروط مبتنی بر ریسک محافظت کنید و با استفاده از آنالیز اختصاصی رفتار کاربر و ترافیک احراز هویت، محافظت احراز هویت چند عاملی (MFA) را به برنامه‌ها و ابزارهای قدیمی گسترش دهید.

سیاست‌های ثابت مبتنی بر ریسک را برای مسدود کردن، مجاز کردن، حسابرسی یا افزایش خودکار احراز هویت برای هر هویت اجرا کنید

۸. ایجاد مبنایی (baseline) از فعالیت کاربر

فعالیت و رفتار کاربر را در تمام گزارش‌های داده مرتبط، از جمله دسترسی، احراز هویت و نقطه انتهایی، را پایش کنید.

از این داده‌ها برای ایجاد یک خط مبنای (baseline) فعالیت برای هر کاربر، گروه کاربری، عملکرد، عنوان و دستگاهی استفاده کنید که بتواند در شناسایی فعالیت غیرعادی یا مشکوک کمک کند.

یک امتیاز ریسک سفارشی به هر کاربر و نقطه پایانی اختصاص دهید تا دید بیشتری برای تیم امنیت سایبری فراهم شود.

۹. از تجزیه و تحلیل رفتار و هوش مصنوعی برای شناسایی تهدیدات استفاده کنید

از ابزارهای تحلیلی و مبتنی بر هوش مصنوعی برای نظارت بر رفتار کاربران و دستگاه ها به صورت بلادرنگ استفاده کنید.

هشدارها را با امتیاز ریسک مقایسه کنید تا زمینه بیشتری برای رویداد فراهم شود و اولویت بندی تلاش های پاسخ را انجام دهید.

۱۰. تمرین باعث مهارت می شود

مانورهای تیم قرمز/تیم آبی را اجرا کنید. در حالی که فناوری به وضوح در مبارزه برای شناسایی و توقف نفوذها حیاتی است، تیم‌های امنیت حلقه‌ی حیاتی زنجیره برای توقف نقض‌ها هستند. برای تیم‌های امنیتی، تمرین باعث مهارت می‌شود. محیطی را ایجاد کنید که به‌طور معمول تمرین‌های شبیه‌سازی و تیم‌سازی قرمز/آبی را انجام دهد تا شکاف‌ها را شناسایی کند و نقاط ضعف را در شیوه‌ها و پاسخ‌های امنیت سایبری خود از بین ببرد. و تیم‌های امنیتی نباید تنها گروهی باشند که تمرین می‌کنند؛ برنامه‌های آگاهی رسانی امنیتی کاربر را برای مقابله با تهدید مداوم فریبکاری و تکنیک‌های مهندسی اجتماعی مرتبط آغاز کنید.

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید