چگونه مثل یک هکر فکر کنیم؟
یکی از راههای موثر برای اینکه در تامین امنیت آنلاین موفق باشیم این است که مثل یک هکر فکر کنیم. اما این چگونه ممکن است؟ در ادامه با دیجیکالا مگ باشید تا با این مفهوم و عملکرد آن بیشتر آشنا شویم.
هکرها در سال ۲۰۱۴ بیش از ۵۷۵ میلیارد دلار که ۰٫۸ درصد تولید ناخالص جهانی را تشکیل میدهد برای اقتصاد دنیا هزینه ایجاد کردهاند. این به طور متوسط هزینهای ۶٫۵ میلیون دلاری برای شرکتهای آمریکایی به حساب میآید. این میزان هزینه برای هر کسب و کاری مبلغی بالاست و میتواند برای شرکتهای کوچک و سطح متوسط هزینهای کمرشکن باشد که منجر به ورشکستگیشان شود. با این پیشزمینه، شرکتها برای حفاظت از خود در فضای سایبری چه باید بکنند. بانک ABN AMRO که یک بانک هلندیست توانسته یک برنامه امنیتی کارا و موفق برای این مساله طرحریزی و اجرا کند.
بانکداری الکترونیک از پیچیدهترین حوزهها برای مشاوران و متخصصان امنیت آنلاین است. ABN AMRO به صورت مکرر در حال مواجهه با حملهها -از حمله به حسابهای کاربری مشتریان گرفته تا حمله DDoS، بدافزارها و باجافزارها- مواجه است. حملاتی که روزانه یا در دورههای زمانی نامنظم تکرار میشوند.
با این پیشزمینه، ABN AMRO دپارتمان مجزایی برای حفاظت از امنیت دیجیتال بانک ایجاد کرده که در آن همه چیز از هویت افراد تا مدیریت دسترسیها، توسعه بخش جرمیابی، تخمین ریسک، رمزنگاری و مدیریت بحران را در آن بررسی و پیگیری کنند. استراتژیهایی که ABN AMRO در این حوزه برای این دپارتمان در نظر گرفته میتواند برای بسیاری از شرکتها و موسسات، مفید و کاربردی باشند.
استراتژی ۱ – شما نمیتوانید نقاط ضعف را به طور کامل تصحیح کنید
مهمترین و ریسکپذیرترین چیزی که میتواند امنیت یک اپلیکیشن یا سایت را به مخاطره بیاندازد، افراد هستند. افراد میتوانند کارمندان مجموعه یا مشتریان آن باشند. یکی از بهترین روشها برای جلوگیری از مشکلات احتمالیای که میتواند برای مجموعهها و شرکتها در حوزه امنیت مشکلساز شود، کاربران سرویسهای آنلاین آن هستند؛ و بهترین راهکار برای کاهش این مشکلات، آموزش کاربران، تغییر قوانین و شرایط استفاده، آگاهیرسانی به مشتریان و مجبور کردن آنها به تغییر رمزعبور یا ایجاد راهکارهای امنیتی برای ورود چندمرحلهای به سیستمهاست.
به هر حال در نهایت هکرها همواره در مسیری متفاوت در حال تلاش برای ایجاد راههای نفوذ بیشتر خواهند بود. آنها از روشهایی مثل فیشینگ، مهندسی اجتماعی و تکنیکهای متنوع دیگر برای اغفال مشتریان یا کارمندان سیستم تلاش میکنند. اما با این وجود ممکن است از میان صدها هزار ایمیلی که آنها برای هدفهای بالقوهشان ارسال میکنند تنها یک مورد نسبت به باز کردن ایمیل مربوطه اقدام کند و همین ممکن است راه را برای هکر باز کند. البته این عدد در واقعیت بیشتر است. در واقع حدود ۲۳ درصد ایمیلهایی که با قصد فیشینگ برای افراد فرستاده میشوند توسط دریافتکنندگان باز میشوند.
در نهایت ما نمیتوانیم مشتریان و کارمندانمان را با رباتهایی آموزشدیده عوض کنیم؛ هر چند که حتی در این صورت هم رباتها ممکن است نهایتا با روشهایی دیگر هک شوند. اما به جای آن، باید همیشه این نکته را در نظر گرفت که خطر همیشه در کمین است و هر لحظه میتواند دامنگیر ما شود.
در حال حاضر سرمایهگذاریهای زیادی توسط شرکتهای کل دنیا برای آموزش و آگاهیرسانی کارمندان و مشتریان، در این حوزه انجام میشود که البته نهایتا سطح بسیار بالایی از امنیت را برای مجموعه نتیجه نمیدهد. اما به هر حال این هزینهی بسیار بهینهتری نسبت به امیدوار بودن برای عدم بروز هکهای مشابه از جانب کاربران خواهد بود و ABN AMRO هم به همین دلیل در صدد آموزش کاربران و مشتریانش در این حوزه است.
استراتژی ۲ – شما نمیتوانید دژی غیرقابل نفوذ بسازید
در شرایطی ایدهآل، باید بودجه و کارمندانی نامحدود برای هر شرکت در نظر گرفت که بتوانند دژی محکم در مقابله با حملات سایبری ایجاد کرد. چیزی که در واقعیت غیرممکن است.
اما -با این فرض که ساختن چنین دژی شدنی باشد- فراهم کردن چنین شرایط ایدهآلی در واقعیت برای بسیاری از استارتاپها، شرکتها و حتی بانکهای بزرگ، غیرممکن است. توسعه بخش امنیت سایبری و تامین زیرساختهای لازم برای ساخت این دژ هزینهای بالا دارد که تقریبا هیچ شرکتی از پس تامین هزینههای آن بر نمیآید و در صورت تامین این هزینه هم سایر بخشهای یک شرکت بودجه کافی برای توسعه خود نخواهند داشت.
بهترین راهکار این است که به جای تفکر در خصوص ساختن دژ محکم مربوطه این واقعیت پذیرفته شود که ساختن یک اپلیکیشن بدون هیچگونه راه نفوذ، غیرممکن و نشدنیست. بهتر است به جای این کار، به درک مناسبی از مشکلات احتمالیای که میتواند پیش بیاید و توسعه امنیت سایبری و رفع اشکالات زیرساختی پرداخت. با این نگاه میتوان با هزینهای بسیار پایینتر، از پس رفع بخش اعظمی از مشکلات عمومی که ممکن است پیش بیاید بر آمد که برای اغلب شرکتها و سازمانها عملیتر و کاربردیتر خواهد بود.
بانک ABN AMRO هم با پیش گرفتن همین راهکار، به جای هدر دادن بودجه و امکاناتی که در اختیار دارد، تلاش کرده اپلیکیشن بانک را با تمرکز بر روی امنیت و کاربری مطلوب بهسازی کند.
برای مثال ABN AMRO پروسه ورود چند مرحلهای را از راهکارهای امنیتی خود حذف کرده. اگر چه به نظر میرسد این مساله میتواند امنیت کلی سیستم را افزایش دهد، اما دپارتمان امنیت متوجه شده این روش، کاربری را برای مشتریان بانک سختتر میکند. پس به جای سرمایهگذاری روی این بخش، آنها فعالیتهای مشکوک حسابهای کاربری مشتریان را در فرایندی جداگانه تحت نظر میگیرند تا بتوانند جلوی دسترسیهای غیرمجاز را بگیرند.
اگر چه به نظر میرسد چنین تفکری برای ساخت یک اپلیکیشن پر از مشکلات و حفرههای امنیتی است، اما ABN AMRO با بررسی ساعات ورود کاربران و توسعه زیرساختهای فنی، تلاش کرده درک بهتری از حفرههای امنیتی احتمالی داشته باشد تا پیش از بروز مشکل بتواند جلوی تخریبهایی که میتوانند توسط دیگران پیش آیند را بگیرند.
فابین کاستران (Fabien Casteran) رییس بخش مدیریت امنیت بانک ABN AMRO در این مورد اشاره میکند که «هکرها همیشه به دنبال راههای جایگزین هستند. تصور کنید که برای ورود به یک خانه با یک در بسته و یک پنجره پشتی باز مواجه هستید، اگر یک دزد باشید احتمالا وارد شدن از پنجره باز را به زحمت باز کردن در بسته ترجیح میدهید. ما در این ساختار، مشابه یک هکر فکر کردهایم. [اما راهکاری هم برای جلوگیری از ورود از طریق در باز اندیشیدهایم.]»
در نتیجه ABN AMRO با ساختاری که ایجاد کرده، میداند چه زمانی چیزی اشتباه در حال رخدادن است و برنامهای هم برای پیشگیری از بروز مشکل دارد. با این نگاه، توانسته سطح بالایی از امنیت را برای سرویس خود ایجاد کند که کاربردی نیز باشد.
استراتژی ۳ – هکرها را استخدام کنید
در کل این مطلب، تاکید داریم که باید مثل یک هکر فکر کرد. اما به هر حال بسیاری از افراد امکان فکر کردن مانند یک هکر را ندارند. در واقع سوال اصلی این است که به طور کلی چگونه میتوان مانند یک هکر فکر و عمل کرد؟
راهکار دیگر این است که به جای اینکه خود را جای هکرها گذاشته و مثل آنها فکر کنید، یک هکر واقعی را در تیم خود داشته باشید تا او این وظیفه را به عهده بگیرد.
شاید چنین چیزی مسخره یا حتی خطرناک به نظر برسد، اما واقعیت این است که این حوزه، حوزهای تخصصیست و لازم است افراد حرفهای هم روی آن کار کنند. گروهی از هکرها هستند که به همین منظور تحت عنوان مشاور برای شرکتها کار میکنند تا مشکلات امنیتیشان را کشف و رفع کنند. حتی گواهینامهای مختص همین منظور برای هکرها وجود دارد که توانایی شخص به عنوان هکر مشاور را تحت استانداردی خاص نشان میدهد.
بانک ABN AMRO تیمهای هکری استخدام کرده که اپلیکیشنها و سایتها را برای یافتن ایرادات و اشکالات امنیتی تست میکنند. با وجود اینکه شاید به نظر بسیاری از افراد کل این استراتژی زیر سوال باشد، اما استخدام این هکرها به بهبود روند کارها و امنیت بیشتر خروجی کارها کمک میکند. استخدام این هکرها میتواند هزینهی بالایی داشته باشد. اما ادامهی این روند کمک میکند دید بهتری نسبت به اپلیکیشنهای خروجی بانک پیدا شود که در کنار بهبود روندهای فنی، روی ترمیم حفرههای امنیتی نیز به صورت مستقیم کار شود.
استراتژی ۴ – تحقیق کنید و سپس کارها را به رباتها بسپارید
هکرهای تحت استخدام ABN AMRO الگوهای هک را برای این بانک تغییر دادهاند. معنی این حرف، این است که این بانک هر روز با مدلهای پیچیدهتری از هک مواجه میشود و هر روش جدید هک باید با روش جدیدی از دفاع پاسخ داده شود. در نتیجه این مساله، ABN AMRO همیشه باید یک قدم جلوتر باشد و با فکر کردن شبیه یک هکر در اندیشهی رفع مشکلات احتمالی یا جلوگیری از ورود با روشهای ابداعی تازه توسط هکرها باشد. این بانک سرمایهگذاری قابل توجهی در مبحث تحقیق و توسعه برای روشهای پیشگیری از حملههای سایبری انجام داده و در عین حال تنها بانک هلندیست که با کامپیوتر واتسون IBM برای شناسایی بهتر و سریعتر کلاهبرداریها و هکهای اینترنتی علیه مجموعهشان، کار میکند. بانک ABN AMRO به صورت مداوم در حال همکاری با IBM است تا به الگوریتمی بهینه و کارا بر پایه هوش مصنوعی برسد که توان شناسایی کلاهبرداریهای اینترنتی را داشته باشد. آنها تا همین بخش کار هم پتنتهایی را به همین منظور ثبت کردهاند.
با مسیری که ABN AMRO در پیش گرفته، یک قدم جلوتر بودن از هکرها برای بخش تحقیق و توسعه اهمیت زیادی دارد. به طور همزمان، چیزی مثل هوش مصنوعی هم میتواند به بهبود روند بازشناسی حملهها و کلاهبرداریها کمک کند و آن را سرعت بخشد. اما درسی که از ABN AMRO میتوان گرفت این است که با توجه به منابعی که در اختیار است باید همیشه دانست که نقاط ضعفی اپلیکیشن یا سایت شما را تهدید میکنند که باید بازشناسی و مرتفع شوند. بهترین دفاع در این مسیر این است که به جای سرمایهگذاری بیهدف برای افزایش کورکورانهی امنیت اپلیکیشن، به روند شناسایی روشهای نفوذ پرداخت، و پیشگیری از مشکلات را در این مسیر به صورت بهینهتر و سریعتر پیش برد.
فلسفه هک یعنی استفاده از چیزی برای انجام کاری که آن چیز برای آن کار ساخته نشده باشد. و معمولا برای رسیدن به هدف، با چارچوب شکنی نیز همراه می باشد. و در این عمل همیشه به خارج از چارچوب فکر کردن اولویت اصلی می باشد. (کالی بویز)
اگر ما بخواهیم از یک چیز به طوری استفاده کنیم که به طور رسمی برای آن کار تعریف نشده باشد، قطعا باید به خارج از چارچوب های قراردادی که بطور رسمی برای آن چیز تعریف شده اند فکر کنیم که این نیازمند دانستن طرز کارکرد دقیق هدف است. و فهمیدن طرز کارکرد یک چیز، معمولا به مهندسی معکوس کردن آن ختم می شود.
امنیت هیچ وقت ۱۰۰ در ۱۰۰ نیست .
Security =! 100