چگونه مثل یک هکر فکر کنیم؟

زمان مورد نیاز برای مطالعه: ۹ دقیقه

یکی از راه‌های موثر برای اینکه در تامین امنیت آنلاین موفق باشیم این است که مثل یک هکر فکر کنیم. اما این چگونه ممکن است؟ در ادامه با دیجی‌کالا مگ باشید تا با این مفهوم و عملکرد آن بیشتر آشنا شویم.

هکرها در سال ۲۰۱۴ بیش از ۵۷۵ میلیارد دلار که ۰٫۸ درصد تولید ناخالص جهانی را تشکیل می‌دهد برای اقتصاد دنیا هزینه ایجاد کرده‌اند. این به طور متوسط هزینه‌ای ۶٫۵ میلیون دلاری برای شرکت‌های آمریکایی به حساب می‌آید. این میزان هزینه برای هر کسب و کاری مبلغی بالاست و می‌تواند برای شرکت‌های کوچک و سطح متوسط هزینه‌ای کمرشکن باشد که منجر به ورشکستگی‌شان شود. با این پیش‌زمینه، شرکت‌ها برای حفاظت از خود در فضای سایبری چه باید بکنند. بانک ABN AMRO که یک بانک هلندی‌ست توانسته یک برنامه امنیتی کارا و موفق برای این مساله طرح‌ریزی و اجرا کند.

بانکداری الکترونیک از پیچیده‌ترین حوزه‌ها برای مشاوران و متخصصان امنیت آنلاین است. ABN AMRO به صورت مکرر در حال مواجهه با حمله‌ها -از حمله به حساب‌های کاربری مشتریان گرفته تا حمله DDoS، بدافزارها و باج‌افزارها- مواجه است. حملاتی که روزانه یا در دوره‌های زمانی نامنظم تکرار می‌شوند.

با این پیش‌زمینه، ABN AMRO دپارتمان مجزایی برای حفاظت از امنیت دیجیتال بانک ایجاد کرده که در آن همه چیز از هویت افراد تا مدیریت دسترسی‌ها، توسعه بخش جرم‌یابی، تخمین ریسک، رمزنگاری و مدیریت بحران را در آن بررسی و پیگیری کنند. استراتژی‌هایی که ABN AMRO در این حوزه برای این دپارتمان در نظر گرفته می‌تواند برای بسیاری از شرکت‌ها و موسسات، مفید و کاربردی باشند.

استراتژی ۱ – شما نمی‌توانید نقاط ضعف را به طور کامل تصحیح کنید

مهم‌ترین و ریسک‌پذیرترین چیزی که می‌تواند امنیت یک اپلیکیشن یا سایت را به مخاطره بیاندازد، افراد هستند. افراد می‌توانند کارمندان مجموعه یا مشتریان آن باشند. یکی از بهترین روش‌ها برای جلوگیری از مشکلات احتمالی‌ای که می‌تواند برای مجموعه‌ها و شرکت‌ها در حوزه امنیت مشکل‌ساز شود، کاربران سرویس‌های آنلاین آن هستند؛ و بهترین راهکار برای کاهش این مشکلات، آموزش کاربران، تغییر قوانین و شرایط استفاده، آگاهی‌رسانی به مشتریان و مجبور کردن آنها به تغییر رمزعبور یا ایجاد راهکارهای امنیتی برای ورود چندمرحله‌ای به سیستم‌هاست.

f4b598e8-748d-4e3c-9c11-43c3acf77e39
 

به هر حال در نهایت هکرها همواره در مسیری متفاوت در حال تلاش برای ایجاد راه‌های نفوذ بیشتر خواهند بود. آنها از روش‌هایی مثل فیشینگ، مهندسی اجتماعی و تکنیک‌های متنوع دیگر برای اغفال مشتریان یا کارمندان سیستم تلاش می‌کنند. اما با این وجود ممکن است از میان صدها هزار ایمیلی که آنها برای هدف‌های بالقوه‌شان ارسال می‌کنند تنها یک مورد نسبت به باز کردن ایمیل مربوطه اقدام کند و همین ممکن است راه را برای هکر باز کند. البته این عدد در واقعیت بیشتر است. در واقع حدود ۲۳ درصد ایمیل‌هایی که با قصد فیشینگ برای افراد فرستاده می‌شوند توسط دریافت‌کنندگان باز می‌شوند.

در نهایت ما نمی‌توانیم مشتریان و کارمندان‌مان را با ربات‌هایی آموزش‌دیده عوض کنیم؛ هر چند که حتی در این صورت هم ربات‌ها ممکن است نهایتا با روش‌هایی دیگر هک شوند. اما به جای آن، باید همیشه این نکته را در نظر گرفت که خطر همیشه در کمین است و هر لحظه می‌تواند دامن‌گیر ما شود.

در حال حاضر سرمایه‌گذاری‌های زیادی توسط شرکت‌های کل دنیا برای آموزش و آگاهی‌رسانی کارمندان و مشتریان، در این حوزه انجام می‌شود که البته نهایتا سطح بسیار بالایی از امنیت را برای مجموعه نتیجه نمی‌دهد. اما به هر حال این هزینه‌ی بسیار بهینه‌تری نسبت به امیدوار بودن برای عدم بروز هک‌های مشابه از جانب کاربران خواهد بود و ABN AMRO هم به همین دلیل در صدد آموزش کاربران و مشتریانش در این حوزه است.

استراتژی ۲ – شما نمی‌توانید دژی غیرقابل نفوذ بسازید

در شرایطی ایده‌آل، باید بودجه و کارمندانی نامحدود برای هر شرکت در نظر گرفت که بتوانند دژی محکم در مقابله با حملات سایبری ایجاد کرد. چیزی که در واقعیت غیرممکن است.

اما -با این فرض که ساختن چنین دژی شدنی باشد- فراهم کردن چنین شرایط ایده‌آلی در واقعیت برای بسیاری از استارتاپ‌ها، شرکت‌ها و حتی بانک‌های بزرگ، غیرممکن است. توسعه بخش امنیت سایبری و تامین زیرساخت‌های لازم برای ساخت این دژ هزینه‌ای بالا دارد که تقریبا هیچ شرکتی از پس تامین هزینه‌های آن بر نمی‌آید و در صورت تامین این هزینه هم سایر بخش‌های یک شرکت بودجه کافی برای توسعه خود نخواهند داشت.

24ed7d1

بهترین راهکار این است که به جای تفکر در خصوص ساختن دژ محکم مربوطه این واقعیت پذیرفته شود که ساختن یک اپلیکیشن بدون هیچ‌گونه راه نفوذ، غیرممکن و نشدنی‌ست. بهتر است به جای این کار، به درک مناسبی از مشکلات احتمالی‌ای که می‌تواند پیش بیاید و توسعه امنیت سایبری و رفع اشکالات زیرساختی پرداخت. با این نگاه می‌توان با هزینه‌ای بسیار پایین‌تر، از پس رفع بخش اعظمی از مشکلات عمومی که ممکن است پیش بیاید بر آمد که برای اغلب شرکت‌ها و سازمان‌ها عملی‌تر و کاربردی‌تر خواهد بود.

بانک ABN AMRO هم با پیش گرفتن همین راهکار، به جای هدر دادن بودجه و امکاناتی که در اختیار دارد، تلاش کرده اپلیکیشن بانک را با تمرکز بر روی امنیت و کاربری مطلوب بهسازی کند.

برای مثال ABN AMRO پروسه ورود چند مرحله‌ای را از راهکارهای امنیتی خود حذف کرده. اگر چه به نظر می‌رسد این مساله می‌تواند امنیت کلی سیستم را افزایش دهد‌، اما دپارتمان امنیت متوجه شده این روش، کاربری را برای مشتریان بانک سخت‌تر می‌کند. پس به جای سرمایه‌گذاری روی این بخش، آنها فعالیت‌های مشکوک حساب‌های کاربری مشتریان را در فرایندی جداگانه تحت نظر می‌گیرند تا بتوانند جلوی دسترسی‌های غیرمجاز را بگیرند.

اگر چه به نظر میرسد چنین تفکری برای ساخت یک اپلیکیشن پر از مشکلات و حفره‌های امنیتی است، اما ABN AMRO با بررسی ساعات ورود کاربران و توسعه زیرساخت‌های فنی، تلاش کرده درک بهتری از حفره‌های امنیتی احتمالی داشته باشد تا پیش از بروز مشکل بتواند جلوی تخریب‌هایی که می‌توانند توسط دیگران پیش آیند را بگیرند.

فابین کاستران (Fabien Casteran) رییس بخش مدیریت امنیت بانک ABN AMRO در این مورد اشاره می‌کند که «هکرها همیشه به دنبال راه‌های جایگزین هستند. تصور کنید که برای ورود به یک خانه با یک در بسته و یک پنجره پشتی باز مواجه هستید، اگر یک دزد باشید احتمالا وارد شدن از پنجره باز را به زحمت باز کردن در بسته ترجیح می‌دهید. ما در این ساختار، مشابه یک هکر فکر کرده‌ایم. [اما راهکاری هم برای جلوگیری از ورود از طریق در باز اندیشیده‌ایم.]»

در نتیجه ABN AMRO با ساختاری که ایجاد کرده، می‌داند چه زمانی چیزی اشتباه در حال رخ‌دادن است و برنامه‌ای هم برای پیشگیری از بروز مشکل دارد. با این نگاه، توانسته سطح بالایی از امنیت را برای سرویس خود ایجاد کند که کاربردی نیز باشد.

استراتژی ۳ – هکرها را استخدام کنید

در کل این مطلب، تاکید داریم که باید مثل یک هکر فکر کرد. اما به هر حال بسیاری از افراد امکان فکر کردن مانند یک هکر را ندارند. در واقع سوال اصلی این است که به طور کلی چگونه می‌توان مانند یک هکر فکر و عمل کرد؟

راهکار دیگر این است که به جای اینکه خود را جای هکرها گذاشته و مثل آنها فکر کنید، یک هکر واقعی را در تیم خود داشته باشید تا او این وظیفه را به عهده بگیرد.

thewebsiteww

شاید چنین چیزی مسخره یا حتی خطرناک به نظر برسد، اما واقعیت این است که این حوزه، حوزه‌ای تخصصی‌ست و لازم است افراد حرفه‌ای هم روی آن کار کنند. گروهی از هکرها هستند که به همین منظور تحت عنوان مشاور برای شرکت‌ها کار می‌کنند تا مشکلات امنیتی‌شان را کشف و رفع کنند. حتی گواهینامه‌ای مختص همین منظور برای هکرها وجود دارد که توانایی شخص به عنوان هکر مشاور را تحت استانداردی خاص نشان می‌دهد.

بانک ABN AMRO تیم‌های هکری استخدام کرده که اپلیکیشن‌ها و سایت‌ها را برای یافتن ایرادات و اشکالات امنیتی تست می‌کنند. با وجود اینکه شاید به نظر بسیاری از افراد کل این استراتژی زیر سوال باشد، اما استخدام این هکرها به بهبود روند کارها و امنیت بیشتر خروجی کارها کمک می‌کند. استخدام این هکرها می‌تواند هزینه‌ی بالایی داشته باشد. اما ادامه‌ی این روند کمک می‌کند دید بهتری نسبت به اپلیکیشن‌های خروجی بانک پیدا شود که در کنار بهبود روندهای فنی، روی ترمیم حفره‌های امنیتی نیز به صورت مستقیم کار شود.

 استراتژی ۴ – تحقیق کنید و سپس کارها را به ربات‌ها بسپارید

هکرهای تحت استخدام ABN AMRO الگوهای هک را برای این بانک تغییر داده‌اند. معنی این حرف، این است که این بانک هر روز با مدل‌های پیچیده‌تری از هک مواجه می‌شود و هر روش جدید هک باید با روش جدیدی از دفاع پاسخ داده شود. در نتیجه این مساله، ABN AMRO همیشه باید یک قدم جلوتر باشد و با فکر کردن شبیه یک هکر در اندیشه‌ی رفع مشکلات احتمالی یا جلوگیری از ورود با روش‌های ابداعی تازه توسط هکرها باشد. این بانک سرمایه‌گذاری قابل توجهی در مبحث تحقیق و توسعه برای روش‌های پیشگیری از حمله‌های سایبری انجام داده و در عین حال تنها بانک هلندی‌ست که با کامپیوتر واتسون IBM برای شناسایی بهتر و سریع‌تر کلاهبرداری‌ها و هک‌های اینترنتی علیه مجموعه‌شان، کار می‌کند. بانک ABN AMRO به صورت مداوم در حال همکاری با IBM است تا به الگوریتمی بهینه و کارا بر پایه هوش مصنوعی برسد که توان شناسایی کلاهبرداری‌های اینترنتی را داشته باشد. آنها تا همین بخش کار هم پتنت‌هایی را به همین منظور ثبت کرده‌اند.

با مسیری که ABN AMRO در پیش گرفته، یک قدم جلوتر بودن از هکرها برای بخش تحقیق و توسعه اهمیت زیادی دارد. به طور همزمان، چیزی مثل هوش مصنوعی هم می‌تواند به بهبود روند بازشناسی حمله‌ها و کلاهبرداری‌ها کمک کند و آن را سرعت بخشد. اما درسی که از ABN AMRO می‌توان گرفت این است که با توجه به منابعی که در اختیار است باید همیشه دانست که نقاط ضعفی اپلیکیشن یا سایت شما را تهدید می‌کنند که باید بازشناسی و مرتفع شوند. بهترین دفاع در این مسیر این است که به جای سرمایه‌گذاری بی‌هدف برای افزایش کورکورانه‌ی امنیت اپلیکیشن، به روند شناسایی روش‌های نفوذ پرداخت، و پیش‌گیری از مشکلات را در این مسیر به صورت بهینه‌تر و سریع‌تر پیش برد.

منبع: TheNextWeb


برچسب‌ها :
دیدگاه شما

پرسش امنیتی *-- بارگیری کد امنیتی --

۲ دیدگاه
  1. یوسف

    فلسفه هک یعنی استفاده از چیزی برای انجام کاری که آن چیز برای آن کار ساخته نشده باشد. و معمولا برای رسیدن به هدف، با چارچوب شکنی نیز همراه می باشد. و در این عمل همیشه به خارج از چارچوب فکر کردن اولویت اصلی می باشد. (کالی بویز)
    اگر ما بخواهیم از یک چیز به طوری استفاده کنیم که به طور رسمی برای آن کار تعریف نشده باشد، قطعا باید به خارج از چارچوب های قراردادی که بطور رسمی برای آن چیز تعریف شده اند فکر کنیم که این نیازمند دانستن طرز کارکرد دقیق هدف است. و فهمیدن طرز کارکرد یک چیز، معمولا به مهندسی معکوس کردن آن ختم می شود.

  2. Radikal Hacker

    امنیت هیچ وقت ۱۰۰ در ۱۰۰ نیست .

    Security =! 100

loading...
بازدیدهای اخیر
بر اساس بازدیدهای اخیر شما
تاریخچه بازدیدها
مشاهده همه
دسته‌بندی‌های منتخب برای شما