آگاهي وضعيتي، رکن اصلي دفاع فعال سايبري
ايجاد آگاهي وضعيتي فضاي سايبري در نسل آينده سيستمهاي تشخيص و شناسايي حملات سايبري به نوعي نقش اساسي در زمينه دفاع فعال را ايفا مي کند.
با نفوذ، توسعه و گسترش سايبري در صنايع زيرساختي مهم و همچنين در بطن جامعه و زندگي افراد، مخاطرات و تهديدات اين عرصه نيز بهروزتر و پيچيدهتر شده است. تعيين يک موضع دفاعي مناسب براي رويارويي با حملات ناشناخته سايبري نيازمند تبيين و ايجاد يک چارچوب مناسب در زمينه جمعآوري اطلاعات از وضعيت موجود است تا بتواند با شناسايي هدف حملات، رخدادهاي آتي را پيشبيني و درنتيجه از خطرات احتمالي پيشگيري کند. آگاهي وضعيتي يک فرآيند شناختي است که شامل درک شرايط محيط، فهم معناي آنها و تجسم وضعيت آنها در آينده است.
در حال حاضر براي تشخيص و شناسايي حملات بهصورت خودکار و گزارش فوري رويدادهاي ناشي از تهديدات سايبري، از سيستم پايه آشکارسازي مبتني بر حالت، آشکارسازي آنومالي آماري، آناليز ترافيک، الگوي رفتار تهديد و قالب الگوي شناختهشده استفاده ميشود. ازاينجهت، سامانهها در حال جستوجو و شناسايي رفتارهاي غيرعادي ناشي از حملات سايبري هستند و بر اساس تغيير رفتار در طول زمان و مقايسه آن با رفتارهاي قبلي يک رويداد در سيستم عمل ميکنند. با وجود پيشرفتهاي چشمگير در زمينه تشخيص و شناسايي حملات سايبري، هنوز هم بسياري از متختصصان حوزه امنيت سايبري بر اين باورند که سامانههاي تشخيص و شناسايي بلادرنگ از لحاظ فني براي آشکارسازي حملات سايبري پيچيده به اندازه کافي پيشرفت مطلوبي نداشتهاند.
بهکارگيري از ادغام دادهها و اطلاعات حاصل از عاملهاي توزيعشده ناهمگن در سيستمهاي تشخيص و شناسايي حملات سايبري، امکان توسعه سامانه تشخيص و شناسايي حملات سايبري با قابليت اطمينان بالا براي شناسايي، ردگيري و ارزيابي وضعيت فضاي سايبري که تحت تأثير تهديدات پيچيده متعدد هستند را فراهم ميکند.
ايجاد آگاهي وضعيتي فضاي سايبري در نسل آينده سيستمهاي تشخيص و شناسايي حملات سايبري با بهرهگيري از فناوري ادغام دادههاي چند حسگري چارچوب مناسبي براي عملکرد آن ايجاد ميکند. فناوري نامبرده با بهکارگيري مشاهدات توزيعشده، دادههاي حاصل از چندين حسگر و منابع را باهم ترکيب کرده تا بدين طريق بتواند رويدادها، فعاليتها و وضعيتهاي يک فضاي سايبري را با درجه اطمينان بالايي شناسايي کنند. اين موضوع با فرآيندهاي شناختي انسان يعني همانجايي که مغز انسان اطلاعات حسي ناشي از ارگانهاي مختلف بدن را باهم ترکيب کرده تا وضعيتها را ارزيابي، تصميمات مناسبي را اتخاذ و اقدامات بهموقع و مناسبي را به اجرا درآورد مقايسه ميشود.
بر اساس ويژگيهاي حوزه سايبري، هدف ايده آل در اين عرصه فعاليتهاي دفاع سايبري، دستيابي به سامانههاي جديد براي تشخيص، شناسايي و تجسم حملات سايبري است. در اين راستا فعاليتهاي گستردهاي در زمينه آگاهي وضعيتي سايبري لازم است صورت گيرد. ازاينرو، بجاي نگهداري حجم انبوهي از هشدارها، با ادغام آنها آگاهي وضعيتي بهتري از حملات سايبري ايجاد خواهد شد و اهداف اصلي دفاع سايبري اعم از شناسايي حمله، شناسايي روابط ميان حملات و پيشبيني اثرات حمله محقق خواهد شد. بهعبارتديگر، ادغام اطلاعات نقش بسزايي در ارتقا آگاهي وضعيتي و پيشبيني تهديدات سايبري در حجم انبوه دادههاي جمعآوريشده از منابع مختلف دارد.
ايجاد آگاهي وضعيتي سايبري بر اساس ادغام اطلاعات سطح بالا در شبکههاي اطلاعاتي و ارتباطي جنگهاي شبکهمدار ضمن ايجاد دسترسي، يکپارچگي و محرمانگي اطلاعات منجر به بهبود تصميمگيري بهموقع و مناسب در تمامي سطوح فرماندهي ميشود. درنتيجه، با بهبود آگاهي وضعيتي سايبري از طريق ادغام اطلاعات، قادر به تفکيک و تلخيص اطلاعات مفيد در جهت ارائه به فرماندهان خواهيم بود. اين اطلاعات براي کاهش عدم قطعيت و افزايش اعتماد در تصميمگيري کنار هم قرار ميگيرد و موارد غيرمطمئن و درصد عدم اطمينان هر مورد نيز دقيقاً مشخص ميشود تا فرماندهي بتواند با بهرهگيري از آگاهي ايجاد شده تصميمگيري مناسبتري را به اجرا درآورد. باوجود تلاشهاي بسيار در بهکارگيري و توسعه ادغام اطلاعات سطح بالا، اين نوع ادغام نهتنها در حوزه سايبري بلکه در ساير حوزهها نيز در مراحل ابتدايي تحقيقاتي قرار دارد. ازاينرو، استفاده از الگوي ارائهشده، آگاهي وضعيتي سايبري مبتني بر ادغام اطلاعات ميتوان:
1. الگوهاي خاص هر حمله در سيستم را پيشبيني و آسيبپذيريهاي شبکه که براي حملهکنندگان بسيار است را تحليل و بررسي کرد.
2. تهديداتي را که بهمثابه بردار حمله بوده يا الگوهايي که پتانسيل يک حمله ضربهاي را دارند شناسايي کرد.
3. حملات سايبري چندمرحلهاي و هماهنگ را ردگيري کرد و تجسمي از وضعيت آينده اين نوع حملات را ارائه داد.
دفاع فعال سايبري که در بسياري از موارد با دفاع غيرفعال تلاقي و مشترکاتي دارد، از آگاهي وضعيتي براي اشراف بر روند رويدادها بهصورت لحظهاي بهره ميگيرد. دفاع سايبري مشمول يک چرخه چهار گامي است که در آنهمه اين گامها براي دفاع و رفع يک تهديد مي بايست صورت پذيرد. گامهاي اين چرخه شامل شناسايي هوشمندانه تهديد، مانيتورينگ، واکنش و پاسخ به رويداد، ايجاد تغيير و اصلاح محيطي شبکه ميشود.
در گام نخست اين چرخه که شناسايي تهديد ميباشد، سامانههاي تشخيص نفوذ برخط به ما کمک ميکنند تا هرگونه تعرض و حمله شبکه داخلي را رديابي ميکنند. نظارت و بررسي که بهعنوان گام بعدي اين چرخه محسوب ميشود به رصد وضعيت شبکه و ميزان آسيبپذيري يا ميزان نفوذ يک تهديد به لايههاي شبکه ميپردازد. گام سوم که پاسخگويي به حمله ميباشد، به اقداماتي از قبيل مسدودسازي و رفع تهديد يا حمله متقابل اشاره ميکند. در گام نهايي که تغيير و اصلاح محيط شبکه ناميده ميشود به پچينگ و رفع آسيبپذيري موجود در شبکه اشاره ميکند. ازاينرو، براي دستيابي به اين امر مهم لازم است تا با ايجاد واحدي براي آگاهي وضعيتي تهديدات آتي را پيشبيني و براي پيگيري از بروز آنها تصميمهاي لازم را اتخاذ کرد.
ادغام اطلاعاتي سطح بالا پيشتر اشاره شد توسط پژوهشگراني چون گلينتون (Glinton) و همکاران وي بهمنظور پيشبيني حرکت دشمن در آينده استفاده شد که اين عمل با ادغام اطلاعات فعاليتها، دکترين و اطلاعات مربوط به محيط عمليات صورت گرفته بود. سايدين بلد (SidenBladh) و همکاران وي پيشنهادي را بهمنظور ارتقا سطح آگاهي تهديد با مقايسه پيشبيني تهديدهاي مختلف ارائه دادهاند.
يکي از مهمترين تعاريفي که از آگاهي وضعيتي موجود است مربوط به دکتر اريک اندسلي (Eric Endsley ) است. اندسلي آگاهي وضعيتي را در سه سطح آگاهي از وضعيت (perception)، درک وضعيت (comprehension) و تجسم وضعيت (projection) مطرح ميکند.
سطح اول- آگاهي از وضعيت
آگاهي نشانهها يک موضوع حياتي و بسيار مهم به شمار ميرود و بدون آگاهي اوليه از اطلاعات مهم، احتمال شکلگيري تصويري نادرست از يک موضوع بهشدت افزايش مييابد. در اين سطح به اين سؤال پاسخ داده ميشود که واقعيتهاي فعلي چيست؟
سطح دوم- درک وضعيت
آگاهي وضعيتي نهتنها مفهومي فراتر از آگاهي يا توجه صرف به اطلاعات دارد بلکه يکپارچهسازي تکههاي مختلف اطلاعات، تعيين ارتباطات کيان آنها و اهداف کاربر را نيز دربر ميگيرد. اين موضوع درست شبيه به تفاوت ميان سطح بالايي از درک مطلب نسبت به خواندن لغات بهصورت مستقل است. درمجموع اين سطح به اين سؤال پاسخ ميدهد که چه اتفاقي ميافتد.
سطح سوم- تجسم
در بالاترين سطح آگاهي وضعيتي که مبتني بر بالاترين سطح درک از وضعيت است، توانايي آيندهنگري رويدادهاي مربوط به هر وضعيت و کاربر مطرح خواهد بود. اين توانايي براي تجسم رويدادهاي ديناميک جاري به سمت رويدادهاي آتي مورد انتظار، امکان تصميمگيري بهموقع را فراهم ميکند.
سطوح آگاهي وضعيتي براي همه حوزهها يکي تعريف شده و ماهيت آگاهي وضعيتي و سازوکارهاي مورداستفاده براي اکتساب آن نيز ميتواند، بهصورت کلي تعريف شود ولي ميزان نياز به آن در هر حوزه بنا به نوع عمليات، اهميت، حساسيت و عناصر تشکيلدهنده آگاهي وضعيتي با يکديگر متفاوت است. بهطور مثال آگاهي وضعيتي در يک تصميمگيرنده نظامي (يک فرمانده تاکتيکي) با ساير حوزههاي ديگر مانند سايبري متفاوت خواهد بود؛ بنابراين ميتوان گفت آگاهي وضعيتي به تحقق مجموعهاي از فعاليتها در قالب فرآيندهاي يکپارچه و شناسايي فعاليتهاي مشخص بينحوزهاي وابسته است.
اگر فضاي سايبري را بهعنوان عرصه پنجم فضاي نبرد بعد از زمين؛ دريا، هوا و فضا در نظر بگيريم، آگاهي وضعيتي سايبري با آگاهي وضعيتي فيزيکي همپوشاني خواهند داشت؛ زيرا تهديدات و حملات در فضاي سايبري مأموريتهاي دفاعي را تحت تأثير قرار ميدهند. ازاينرو، بسيار مهم است تا آگهي وضعيتي سايبري را با آگاهي وضعيتي فيزيکي يکپارچه کنيم. ترکيب اين دو آگاهي وضعيتي اين امکان را فراهم ميسازد تا آشکارسازي، پيشبيني، ممانعت و پاسخ بهتري در برابر حملات در هر فضايي داشت.
جنگي که در آيندهاي نهچندان دور به وقوع خواهد پيوست جنگ اطلاعاتي است. منظور از جنگ اطلاعاتي جمعآوري و در اختيار داشتن اطلاعات نيست بلکه پردازش اطلاعاتي که بهصورت آشکار در سطح وب و شبکههاي اجتماعي و ديگر بسترهاي انتشار سازي دادهها ميتوان انجام داد تا اين اطلاعات از حالت عمومي (public) به حالت اختصاصي (private) تبديل شود. بهعبارتديگر تبديل دادههاي عمومي به دادههاي منحصربهفرد و اختصاصي مهمترين بخش آگاهي وضعيتي و در درجه بالاتر مهمترين بخش دفاع فعال سايبري است.
نحوه عملکرد مکانيسم جمعآوري و دادهکاوي به اين صورت است که سامانههاي جمعآوري اطلاعات از بستر شبکههاي اجتماعي و مشاوره ديجيتال مارکتينگ ديگر بسترهايي که افراد به انتشار مطالب ميپردازند دادهها را جمع کرده و به بستري تحت عنوان مخزن داده منتقل کرده و در آنجا نگهداري ميکنند.
اطلاعات جمعآوريشده در طي يک فرآيند ابتدائي پردازش مقدماتي ميشوند و سپس مورد تحليل و بررسي قرار ميگيرند. پس از مطالعه و بررسيهاي لازم روي اين اطلاعات ميتوان به مرحله برآورد تهديد (Risk management) رسيد تا خطرات و تهديدات موجود و آتي را پيشبيني کرده و تصميمهاي لازم را اتخاذ کرد. در مرحله نهايي که مهمترين و قله اين اقدامات محسوب ميشود به ترازيابي (alignment) ميرسيم که در اين سطح با شناسايي بازيگران و عاملان تهديد بر اساس اولويتهاي موجود دست به اقدام ميزنيم. اقدامات يادشده در محلي پردازش و اجرا ميشوند که به آن مرکز مديريت آگاهي وضعيتي گفته ميشود.
دفاع تنها زماني مثمر ثمر واقع ميشود که آگاهي وضعيتي مناسبي از بستر فعاليت داشته باشيم و آگاهي وضعيتي نيز زماني محقق ميشود که اطلاعاتي که در اختيار داريم را بهخوبي پردازش و دادهکاوي کنيم. نکته حائز اهميت اينجا است که کشورهاي ابرقدرتي مانند امريکا، چين و روسيه نيز هنوز به موفقيت چنداني در اين زمينه نرسيدهاند.
اين نکته را نيز بايد در نظر داشت که سامانههاي آگاهي وضعيتي سايبري و سامانههاي آگاهي وضعيتي فيزيک تفاوت اساسي با يکديگر دارند. براي مثال، سيستم آگاهي وضعيتي فيزيکي بر مشخصات و ويژگيهاي سختافزاري حسگرها و فنون پردازشي تأکيد دارد. درحاليکه در سيستمهاي آگاهي وضعيتي سايبري در هيچکدام از موارد ذکرشده نقش اساسي ندارند. سيستمهاي آگاهي وضعيتي سايبري بر حسگرهاي سايبري مانند سيستم تشخيص نفوذ؛ حسگرهاي ثبت فايل، سيستمهاي ضدويروس، آشکارسازهاي بدافزار و فايروالها متکي هستند که تمامي آنها رويدادهايي را با سطح انتزاع بالاتري از بستههاي خام شبکه توليد ميکنند. بهعنوانمثال، وضعيت سايبري سرعت استنتاج با دامنه بالاتري را نسبت به وضعيت فيزيکي خواهد داشت و نهايتاً اينکه وضعيت يا حملات سايبري از سيمنتک هاي منحصربهفردي بهره ميگيرند.
رويکرد فعلي در زمينه کسب آگاهي وضعيتي سايبري شامل تحليل آسيبپذيري (با استفاده از گراف حمله)، آشکارسازي نفوذ و همبستگي هشدارها، تحليل روند حمله، تحليلهاي علي و معلولي (پيمايش معکوس يک نفوذ)، تحليل عيوب و جريان اطلاعات، ارزيابي خسارت (با استفاده از گرافهاي وابسته) و پاسخ به نفوذ است. اگرچه اخيراً تحقيقاتي در راستاي نيازهاي شناختي تصميمگيرندگان در حال انجام است ولي هنوز فاصلي زيادي ميان مدل ذهني تحليلگر انساني و ظرفيت وجودي ابزارهاي سايبري وجود دارد. با توصيف ارائهشده در اين بخش ميتوان گفت براي ايجاد يک دفاع سايبري کامل نياز به آگاهي وضعيتي است که حداقل از هفت جنبه زير تشکيل شود:
1. آگاهي از وضعيت کنوني: منشور از آگاهي وضعيتي در اين جنبه همان اطلاع داشتن از وضعيت است که شامل دو بخش تعيين و شناسايي است. منظور از تعيين، معين ساختن نوع حمله است که قاعدتاً بايد به سؤالاتي که چون «منبع حمله کجاست؟»، «مهاجم کيست؟» و «هدف حمله چيست؟» پاسخگو باشد. منظور از شناسايي فقط شناسايي يک حمله صورت گرفته است. درک وضعيت فراتر از آشکارسازي نفوذ است، زيرا سامانههاي مبتني بر آشکارسازي نفوذ متشکل از حسگرهايي هستند که توانايي تعيين و شناسايي حمله را ندارند و فقط بخشي از رويدادهايي را که ممکن است جزئي از يک حمله باشند را تشخيص ميدهند. با اين توصيف ميتوان گفت آشکارسازي نفوذ عنصر اوليه آگاهي از وضعيت است.
2. آگاهي از اثرات حمله (ارزيابي حمله توسط فايروال ايراني ): ارزيابي اثر خود نيز از دو بخش ارزيابي اثر کنوني و ارزيابي اثر آينده تشکيل ميشود. در ارزيابي اثر آينده اين سؤال مطرح ميشود که اگر مهاجم بهطور پيوسته اصرار بر حمله داشته و جذابيت حمله براي وي تغييري نکند ميزان اثرگذاري وي چگونه خواهد بود؟ آناليز آسيبپذيري جنبه گسترده ارزيابي اثر است که در اين حالت تجسم اثر آينده حملات ميسر خواهد شد. علاوه بر آن، ارزيابي اثر آينده شامل ارزيابي تهديد نيز ميشود.
3. آگاهي از اينکه چه وضعيتي حاصل خواهد شد؛ در اين جنبه، ردگيري وضعيت يکي از مهمترين مؤلفهها است.
4. آگاهي از رفتار متخاصم؛ مهمترين مؤلفه اين جنبه از آگاهي وضعيتي، تحليل درک. نيت مهاجم است. اين امر با کنترل و مراقبت رفتاري متخاصم و بررسي آن با وضعيتي که در آن قرار دارد و وضعيتي که ايجاد خواهد شد، صورت ميگيرد.
5. آگاهي از اينکه چرا و چگونه وضعيت کنوني ايجاد شده جنبه دارد که نياز به تحليل علي و معلول دارد.
6. آگاهي از ميزان کيفيت و اعتماد به آيتمهاي اطلاعاتي جمعآوريشده، منجر به دانايي و هوشمندي تصميمات خواهد شد؛ بنابراين سنجههاي کيفي چون صحت، تماميت و تازگي بهعنوان بخشي از جنبه درک وضعيت يا شناسايي وضعيت ضروري است.
7. ارزيابي محتمل و قابلباور از وضعيت کنوني؛ اين جنبه از آگاهي وضعيتي از فناوريهاي متعددي براي تجسم اقدامات و فعاليتهاي مهاجم و تجسم مسيرهاي موردحمله شکل گرفته است. درک نيت، فرصت و توانمندي مهاجم نيز ازجمله محورهاي کليدي جنبه نامبرده است.
ايجاد سامانههاي آگاهي وضعيتي سايبري براي مقابله با انواع حملات سايبري عليالخصوص حملات سايبري چندمرحلهاي که در اين مقاله بهعنوان شي مجازي مطرح بوده براي دولتها از اهميت خاصي برخوردار است؛ چراکه برخلاف برقراري امنيت فضاي فيزيکي که در سيطره قوانين فيزيکي بود و قوانين حاکم بر اين محيط مدتهاي مديدي است که در حال آزمايش و توسعه است، برقراري امنيت در فضاي سايبري از محدوديتها و چالشهاي نوظهور و پويايي برخوردار است؛ بنابراين با استفاده از قوانيني چون ادغام اطلاعات سطح بالا بسياري از چالشها و شکافهاي مطرح شده را که توسط حملات پيوسته (فايروال بومي )متغير سايبري ايجاد شده، ميتوان برطرف کرد. بهعلاوه، براي بهبود آگاهي وضعيتي سايبري ميتوان از ادغام اطلاعات سطح بالا استفاده کرد. درنتيجه، با ادغام تجسمي که از ردهاي حمله به دست ميآيد و تجسمي که از موجوديتهاي در خطر شبکه ارائه شده، بازدهي سامانه همانگونه که در آزمايشهاي صورت گرفته نشان داده شده است، ارتقا يافته است.
منبع : سايبربان