loading...
مشاور دیجیتال
مشاور دیجیتال بازدید : 67 دوشنبه 02 دی 1398 نظرات (0)

آگاهي وضعيتي، رکن اصلي دفاع فعال سايبري

ايجاد آگاهي وضعيتي فضاي سايبري در نسل آينده سيستم‌هاي تشخيص و شناسايي حملات سايبري به نوعي نقش اساسي در زمينه دفاع فعال را ايفا مي کند.

با نفوذ، توسعه و گسترش سايبري در صنايع زيرساختي مهم و همچنين در بطن جامعه و زندگي افراد، مخاطرات و تهديدات اين عرصه نيز به‌روزتر و پيچيده‌تر شده است. تعيين يک موضع دفاعي مناسب براي رويارويي با حملات ناشناخته سايبري نيازمند تبيين و ايجاد يک چارچوب مناسب در زمينه جمع‌آوري اطلاعات از وضعيت موجود است تا بتواند با شناسايي هدف حملات، رخدادهاي آتي را پيش‌بيني و درنتيجه از خطرات احتمالي پيشگيري کند. آگاهي وضعيتي يک فرآيند شناختي است که شامل درک شرايط محيط، فهم معناي آن‌ها و تجسم وضعيت آن‌ها در آينده است.

در حال حاضر براي تشخيص و شناسايي حملات به‌صورت خودکار و گزارش فوري رويدادهاي ناشي از تهديدات سايبري، از سيستم پايه آشکارسازي مبتني بر حالت، آشکارسازي آنومالي آماري، آناليز ترافيک، الگوي رفتار تهديد و قالب الگوي شناخته‌شده استفاده مي‌شود. از‌اين‌جهت، سامانه‌ها در حال جست‌و‌جو و شناسايي رفتارهاي غيرعادي ناشي از حملات سايبري هستند و بر اساس تغيير رفتار در طول زمان و مقايسه آن با رفتارهاي قبلي يک رويداد در سيستم عمل مي‌کنند. با وجود پيشرفت‌هاي چشم‌گير در زمينه تشخيص و شناسايي حملات سايبري، هنوز هم بسياري از متختصصان حوزه امنيت سايبري بر اين باورند که سامانه‌هاي تشخيص و شناسايي بلادرنگ از لحاظ فني براي آشکارسازي حملات سايبري پيچيده به اندازه کافي پيشرفت مطلوبي نداشته‌اند.

 

به‌کارگيري از ادغام داده‌ها و اطلاعات حاصل از عامل‌هاي توزيع‌شده ناهمگن در سيستم‌هاي تشخيص و شناسايي حملات سايبري، امکان توسعه سامانه تشخيص و شناسايي حملات سايبري با قابليت اطمينان بالا براي شناسايي، ردگيري و ارزيابي وضعيت فضاي سايبري که تحت تأثير تهديدات پيچيده متعدد هستند را فراهم مي‌کند.

ايجاد آگاهي وضعيتي فضاي سايبري در نسل آينده سيستم‌هاي تشخيص و شناسايي حملات سايبري با بهره‌گيري از فناوري ادغام داده‌هاي چند حسگري چارچوب مناسبي براي عملکرد آن ايجاد مي‌کند. فناوري نام‌برده با به‌کارگيري مشاهدات توزيع‌شده، داده‌هاي حاصل از چندين حسگر و منابع را باهم ترکيب کرده تا بدين طريق بتواند رويدادها، فعاليت‌ها و وضعيت‌هاي يک فضاي سايبري را با درجه اطمينان بالايي شناسايي کنند. اين موضوع با فرآيندهاي شناختي انسان يعني همان‌جايي که مغز انسان اطلاعات حسي ناشي از ارگان‌هاي مختلف بدن را باهم ترکيب کرده تا وضعيت‌ها را ارزيابي، تصميمات مناسبي را اتخاذ و اقدامات به‌موقع و مناسبي را به اجرا درآورد مقايسه مي‌شود.

بر اساس ويژگي‌هاي حوزه سايبري، هدف ايده آل در اين عرصه فعاليت‌هاي دفاع سايبري، دستيابي به سامانه‌هاي جديد براي تشخيص، شناسايي و تجسم حملات سايبري است. در اين راستا فعاليت‌هاي گسترده‌اي در زمينه آگاهي وضعيتي سايبري لازم است صورت گيرد. از‌اين‌رو، بجاي نگهداري حجم انبوهي از هشدارها، با ادغام آن‌ها آگاهي وضعيتي بهتري از حملات سايبري ايجاد خواهد شد و اهداف اصلي دفاع سايبري اعم از شناسايي حمله، شناسايي روابط ميان حملات و پيش‎بيني اثرات حمله محقق خواهد شد. به‌عبارت‌ديگر، ادغام اطلاعات نقش بسزايي در ارتقا آگاهي وضعيتي و پيش‌بيني تهديدات سايبري در حجم انبوه داده‌هاي جمع‌آوري‌شده از منابع مختلف دارد.

ايجاد آگاهي وضعيتي سايبري بر اساس ادغام اطلاعات سطح بالا در شبکه‌هاي اطلاعاتي و ارتباطي جنگ‌هاي شبکه‌مدار ضمن ايجاد دسترسي، يکپارچگي و محرمانگي اطلاعات منجر به بهبود تصميم‌گيري به‌موقع و مناسب در تمامي سطوح فرماندهي مي‌شود. درنتيجه، با بهبود آگاهي وضعيتي سايبري از طريق ادغام اطلاعات، قادر به تفکيک و تلخيص اطلاعات مفيد در جهت ارائه به فرماندهان خواهيم بود. اين اطلاعات براي کاهش عدم قطعيت و افزايش اعتماد در تصميم‎گيري کنار هم قرار مي‌گيرد و موارد غيرمطمئن و درصد عدم اطمينان هر مورد نيز دقيقاً مشخص مي‌شود تا فرماندهي بتواند با بهره‌گيري از آگاهي ايجاد شده تصميم‌گيري مناسب‌تري را به اجرا درآورد. باوجود تلاش‌هاي بسيار در به‌کارگيري و توسعه ادغام اطلاعات سطح بالا، اين نوع ادغام نه‌تنها در حوزه سايبري بلکه در ساير حوزه‌ها نيز در مراحل ابتدايي تحقيقاتي قرار دارد. ازاين‌رو، استفاده از الگوي ارائه‌شده، آگاهي وضعيتي سايبري مبتني بر ادغام اطلاعات مي‌توان:

1.   الگوهاي خاص هر حمله در سيستم را پيش‌بيني و آسيب‌پذيري‌هاي شبکه که براي حمله‌کنندگان بسيار است را تحليل و بررسي کرد.

2.   تهديداتي را که به‌مثابه بردار حمله بوده يا الگوهايي که پتانسيل يک حمله ضربه‌اي را دارند شناسايي کرد.

3.   حملات سايبري چندمرحله‌اي و هماهنگ را ردگيري کرد و تجسمي از وضعيت آينده اين نوع حملات را ارائه داد.

دفاع فعال سايبري که در بسياري از موارد با دفاع غيرفعال تلاقي و مشترکاتي دارد، از آگاهي وضعيتي براي اشراف بر روند رويدادها به‌صورت لحظه‌اي بهره مي‌گيرد. دفاع سايبري مشمول يک چرخه چهار گامي است که در آن‌همه اين گام‌ها براي دفاع و رفع يک تهديد مي بايست صورت پذيرد. گام‌هاي اين چرخه شامل شناسايي هوشمندانه تهديد، مانيتورينگ، واکنش و پاسخ به رويداد، ايجاد تغيير و اصلاح محيطي شبکه مي‌شود.

در گام نخست اين چرخه که شناسايي تهديد مي‌باشد، سامانه‌هاي تشخيص نفوذ برخط به ما کمک مي‌کنند تا هرگونه تعرض و حمله شبکه ‌داخلي را رديابي مي‌کنند. نظارت و بررسي که به‌عنوان گام بعدي اين چرخه محسوب مي‌شود به رصد وضعيت شبکه و ميزان آسيب‌پذيري يا ميزان نفوذ يک تهديد به لايه‌هاي شبکه مي‌پردازد. گام سوم که پاسخگويي به حمله مي‌باشد، به اقداماتي از قبيل مسدودسازي و رفع تهديد يا حمله متقابل اشاره مي‌کند. در گام نهايي که تغيير و اصلاح محيط شبکه ناميده مي‌شود به پچينگ و رفع آسيب‌پذيري موجود در شبکه اشاره مي‌کند. از‌اين‌رو، براي دست‌يابي به اين امر مهم لازم است تا با ايجاد واحدي براي آگاهي وضعيتي تهديدات آتي را پيش‌بيني و براي پيگيري از بروز آن‌ها تصميم‌هاي لازم را اتخاذ کرد.

ادغام اطلاعاتي سطح بالا پيش‌تر اشاره شد توسط پژوهشگراني چون گلينتون (Glinton) و همکاران وي به‌منظور پيش‌بيني حرکت دشمن در آينده استفاده شد که اين عمل با ادغام اطلاعات فعاليت‌ها، دکترين و اطلاعات مربوط به محيط عمليات صورت گرفته بود. سايدين بلد (SidenBladh) و همکاران وي پيشنهادي را به‌منظور ارتقا سطح آگاهي تهديد با مقايسه پيش‌بيني تهديدهاي مختلف ارائه داده‌اند.

يکي از مهم‌ترين تعاريفي که از آگاهي وضعيتي موجود است مربوط به دکتر اريک اندسلي (Eric Endsley ) است. اندسلي آگاهي وضعيتي را در سه سطح آگاهي از وضعيت (perception)، درک وضعيت (comprehension) و تجسم وضعيت (projection) مطرح مي‌کند.

 

سطح اول- آگاهي از وضعيت

آگاهي نشانه‌ها يک موضوع حياتي و بسيار مهم به شمار مي‌رود و بدون آگاهي اوليه از اطلاعات مهم، احتمال شکل‌گيري تصويري نادرست از يک موضوع به‌شدت افزايش مي‌يابد. در اين سطح به اين سؤال پاسخ داده مي‌شود که واقعيت‌هاي فعلي چيست؟

 

سطح دوم- درک وضعيت

آگاهي وضعيتي نه‌تنها مفهومي فراتر از آگاهي يا توجه صرف به اطلاعات دارد بلکه يکپارچه‌سازي تکه‌هاي مختلف اطلاعات، تعيين ارتباطات کيان آن‌ها و اهداف کاربر را نيز دربر مي‌گيرد. اين موضوع درست شبيه به تفاوت ميان سطح بالايي از درک مطلب نسبت به خواندن لغات به‌صورت مستقل است. درمجموع اين سطح به اين سؤال پاسخ مي‌دهد که چه اتفاقي مي‌افتد.

 

سطح سوم- تجسم

در بالاترين سطح آگاهي وضعيتي که مبتني بر بالاترين سطح درک از وضعيت است، توانايي آينده‌نگري رويدادهاي مربوط به هر وضعيت و کاربر مطرح خواهد بود. اين توانايي براي تجسم رويدادهاي ديناميک جاري به سمت رويدادهاي آتي مورد انتظار، امکان تصميم‌گيري به‌موقع را فراهم مي‌کند.

 

سطوح آگاهي وضعيتي براي همه حوزه‌ها يکي تعريف شده و ماهيت آگاهي وضعيتي و سازوکارهاي مورداستفاده براي اکتساب آن نيز مي‌تواند، به‌صورت کلي تعريف شود ولي ميزان نياز به آن در هر حوزه بنا به نوع عمليات، اهميت، حساسيت و عناصر تشکيل‌دهنده آگاهي وضعيتي با يکديگر متفاوت است. به‌طور مثال آگاهي وضعيتي در يک تصميم‌گيرنده نظامي (يک فرمانده تاکتيکي) با ساير حوزه‌هاي ديگر مانند سايبري متفاوت خواهد بود؛ بنابراين مي‌توان گفت آگاهي وضعيتي به تحقق مجموعه‌اي از فعاليت‌ها در قالب فرآيندهاي يکپارچه و شناسايي فعاليت‌هاي مشخص بين‌حوزه‌اي وابسته است.

اگر فضاي سايبري را به‌عنوان عرصه پنجم فضاي نبرد بعد از زمين؛ دريا، هوا و فضا در نظر بگيريم، آگاهي وضعيتي سايبري با آگاهي وضعيتي فيزيکي همپوشاني خواهند داشت؛ زيرا تهديدات و حملات در فضاي سايبري مأموريت‌هاي دفاعي را تحت تأثير قرار مي‌دهند. ازاين‌رو، بسيار مهم است تا آگهي وضعيتي سايبري را با آگاهي وضعيتي فيزيکي يکپارچه کنيم. ترکيب اين دو آگاهي وضعيتي اين امکان را فراهم مي‌سازد تا آشکارسازي، پيش‌بيني، ممانعت و پاسخ‌ بهتري در برابر حملات در هر فضايي داشت.

جنگي که در آينده‌اي نه‌چندان دور به وقوع خواهد پيوست جنگ اطلاعاتي است. منظور از جنگ اطلاعاتي جمع‌آوري و در اختيار داشتن اطلاعات نيست بلکه پردازش اطلاعاتي که به‌صورت آشکار در سطح وب و شبکه‌هاي اجتماعي و ديگر بسترهاي انتشار سازي داده‌ها مي‌توان انجام داد تا اين اطلاعات از حالت عمومي (public) به حالت اختصاصي (private) تبديل شود. به‌عبارت‌ديگر تبديل داده‌هاي عمومي به داده‌هاي منحصربه‌فرد و اختصاصي مهم‌ترين بخش آگاهي وضعيتي و در درجه بالاتر مهم‌ترين بخش دفاع فعال سايبري است.

نحوه عملکرد مکانيسم جمع‌آوري و داده‌کاوي به اين صورت است که سامانه‌هاي جمع‌آوري اطلاعات از بستر شبکه‌هاي اجتماعي و مشاوره ديجيتال مارکتينگ ديگر بسترهايي که افراد به انتشار مطالب مي‌پردازند داده‌ها را جمع کرده و به بستري تحت عنوان مخزن داده منتقل کرده و در آنجا نگهداري مي‌کنند.

اطلاعات جمع‌آوري‌شده در طي يک فرآيند ابتدائي پردازش مقدماتي مي‌شوند و سپس مورد تحليل و بررسي قرار مي‌گيرند. پس از مطالعه و بررسي‌هاي لازم روي اين اطلاعات مي‌توان به مرحله برآورد تهديد (Risk management) رسيد تا خطرات و تهديدات موجود و آتي را پيش‌بيني کرده و تصميم‌هاي لازم را اتخاذ کرد. در مرحله نهايي که مهم‌ترين و قله اين اقدامات محسوب مي‌شود به ترازيابي (alignment) مي‌رسيم که در اين سطح با شناسايي بازيگران و عاملان تهديد بر اساس اولويت‌هاي موجود دست به اقدام مي‌زنيم. اقدامات يادشده در محلي پردازش و اجرا مي‌شوند که به آن مرکز مديريت آگاهي وضعيتي گفته مي‌شود.

دفاع تنها زماني مثمر ثمر واقع مي‌شود که آگاهي وضعيتي مناسبي از بستر فعاليت داشته باشيم و آگاهي وضعيتي نيز زماني محقق مي‌شود که اطلاعاتي که در اختيار داريم را به‌خوبي پردازش و داده‌کاوي کنيم. نکته حائز اهميت اينجا است که کشورهاي ابرقدرتي مانند امريکا، چين و روسيه نيز هنوز به موفقيت چنداني در اين زمينه نرسيده‌اند.

اين نکته را نيز بايد در نظر داشت که سامانه‌هاي آگاهي وضعيتي سايبري و سامانه‌هاي آگاهي وضعيتي فيزيک تفاوت اساسي با يکديگر دارند. براي مثال، سيستم آگاهي وضعيتي فيزيکي بر مشخصات و ويژگي‌هاي سخت‌افزاري حسگرها و فنون پردازشي تأکيد دارد. درحالي‌که در سيستم‌هاي آگاهي وضعيتي سايبري در هيچ‌کدام از موارد ذکرشده نقش اساسي ندارند. سيستم‌هاي آگاهي وضعيتي سايبري بر حسگرهاي سايبري مانند سيستم تشخيص نفوذ؛ حسگرهاي ثبت فايل، سيستم‌هاي ضدويروس، آشکارسازهاي بدافزار و فايروال‌ها متکي هستند که تمامي آن‌ها رويدادهايي را با سطح انتزاع بالاتري از بسته‌هاي خام شبکه توليد مي‌کنند. به‌عنوان‌مثال، وضعيت سايبري سرعت استنتاج با دامنه بالاتري را نسبت به وضعيت فيزيکي خواهد داشت و نهايتاً اينکه وضعيت يا حملات سايبري از سيمنتک هاي منحصربه‌فردي بهره مي‌گيرند.

رويکرد فعلي در زمينه کسب آگاهي وضعيتي سايبري شامل تحليل آسيب‌پذيري (با استفاده از گراف حمله)، آشکارسازي نفوذ و همبستگي هشدارها، تحليل روند حمله، تحليل‌هاي علي و معلولي (پيمايش معکوس يک نفوذ)، تحليل عيوب و جريان اطلاعات، ارزيابي خسارت (با استفاده از گراف‌هاي وابسته) و پاسخ به نفوذ است. اگرچه اخيراً تحقيقاتي در راستاي نيازهاي شناختي تصميم‌گيرندگان در حال انجام است ولي هنوز فاصلي زيادي ميان مدل ذهني تحليلگر انساني و ظرفيت وجودي ابزارهاي سايبري وجود دارد. با توصيف ارائه‌شده در اين بخش مي‌توان گفت براي ايجاد يک دفاع سايبري کامل نياز به آگاهي وضعيتي است که حداقل از هفت جنبه زير تشکيل شود:

1.   آگاهي از وضعيت کنوني: منشور از آگاهي وضعيتي در اين جنبه همان اطلاع داشتن از وضعيت است که شامل دو بخش تعيين و شناسايي است. منظور از تعيين، معين ساختن نوع حمله است که قاعدتاً بايد به سؤالاتي که چون «منبع حمله کجاست؟»، «مهاجم کيست؟» و «هدف حمله چيست؟» پاسخگو باشد. منظور از شناسايي فقط شناسايي يک حمله صورت گرفته است. درک وضعيت فراتر از آشکارسازي نفوذ است، زيرا سامانه‌هاي مبتني بر آشکارسازي نفوذ متشکل از حسگرهايي هستند که توانايي تعيين و شناسايي حمله را ندارند و فقط بخشي از رويدادهايي را که ممکن است جزئي از يک حمله باشند را تشخيص مي‌دهند. با اين توصيف مي‌توان گفت آشکارسازي نفوذ عنصر اوليه آگاهي از وضعيت است.

2.   آگاهي از اثرات حمله (ارزيابي حمله توسط فايروال ايراني ): ارزيابي اثر خود نيز از دو بخش ارزيابي اثر کنوني و ارزيابي اثر آينده تشکيل مي‌شود. در ارزيابي اثر آينده اين سؤال مطرح مي‌شود که اگر مهاجم به‌طور پيوسته اصرار بر حمله داشته و جذابيت حمله براي وي تغييري نکند ميزان اثرگذاري وي چگونه خواهد بود؟ آناليز آسيب‌پذيري جنبه گسترده ارزيابي اثر است که در اين حالت تجسم اثر آينده حملات ميسر خواهد شد. علاوه بر آن، ارزيابي اثر آينده شامل ارزيابي تهديد نيز مي‌شود.

3.   آگاهي از اينکه چه وضعيتي حاصل خواهد شد؛ در اين جنبه، ردگيري وضعيت يکي از مهم‌ترين مؤلفه‌ها است.

4.   آگاهي از رفتار متخاصم؛ مهم‌ترين مؤلفه اين جنبه از آگاهي وضعيتي، تحليل درک. نيت مهاجم است. اين امر با کنترل و مراقبت رفتاري متخاصم و بررسي آن با وضعيتي که در آن قرار دارد و وضعيتي که ايجاد خواهد شد، صورت مي‌گيرد.

5.   آگاهي از اينکه چرا و چگونه وضعيت کنوني ايجاد شده جنبه دارد که نياز به تحليل علي و معلول دارد.

6.   آگاهي از ميزان کيفيت و اعتماد به آيتم‌هاي اطلاعاتي جمع‌آوري‌شده، منجر به دانايي و هوشمندي تصميمات خواهد شد؛ بنابراين سنجه‌هاي کيفي چون صحت، تماميت و تازگي به‌عنوان بخشي از جنبه درک وضعيت يا شناسايي وضعيت ضروري است.

7.   ارزيابي محتمل و قابل‌باور از وضعيت کنوني؛ اين جنبه از آگاهي وضعيتي از فناوري‌هاي متعددي براي تجسم اقدامات و فعاليت‌هاي مهاجم و تجسم مسيرهاي موردحمله شکل گرفته است. درک نيت، فرصت و توانمندي مهاجم نيز ازجمله محورهاي کليدي جنبه نام‌برده است.

ايجاد سامانه‌هاي آگاهي وضعيتي سايبري براي مقابله با انواع حملات سايبري علي‌الخصوص حملات سايبري چندمرحله‌اي که در اين مقاله به‌عنوان شي مجازي مطرح بوده براي دولت‌ها از اهميت خاصي برخوردار است؛ چراکه برخلاف برقراري امنيت فضاي فيزيکي که در سيطره قوانين فيزيکي بود و قوانين حاکم بر اين محيط مدت‌هاي مديدي است که در حال آزمايش و توسعه است، برقراري امنيت در فضاي سايبري از محدوديت‌ها و چالش‌هاي نوظهور و پويايي برخوردار است؛ بنابراين با استفاده از قوانيني چون ادغام اطلاعات سطح بالا بسياري از چالش‌ها و شکاف‌هاي مطرح شده را که توسط حملات پيوسته (فايروال بومي )متغير سايبري ايجاد شده، مي‌توان برطرف کرد. به‌علاوه، براي بهبود آگاهي وضعيتي سايبري مي‌توان از ادغام اطلاعات سطح بالا استفاده کرد. درنتيجه، با ادغام تجسمي که از ردهاي حمله به دست مي‌آيد و تجسمي که از موجوديت‌هاي در خطر شبکه ارائه شده، بازدهي سامانه همان‌گونه که در آزمايش‌هاي صورت گرفته نشان داده شده است، ارتقا يافته است.

منبع : سايبربان

 

 

 
ارسال نظر برای این مطلب

کد امنیتی رفرش
درباره ما
مشاور دیجیتال
اطلاعات کاربری
  • فراموشی رمز عبور؟
    • آرشیو
  • 1401
  • 1398
    • آمار سایت
  • کل مطالب : 17
  • کل نظرات : 0
  • افراد آنلاین : 1
  • تعداد اعضا : 0
  • آی پی امروز : 2
  • آی پی دیروز : 20
  • بازدید امروز : 4
  • باردید دیروز : 46
  • گوگل امروز : 0
  • گوگل دیروز : 0
  • بازدید هفته : 55
  • بازدید ماه : 121
  • بازدید سال : 699
  • بازدید کلی : 2,727

    • صفحه اصلی تالار گفتمان ثبت نام ورود آرشیو تماس با ما
    نیرو گرفته : رزبلاگ