اصطلاحات و تهدیدات امنیت سایبری که باید آن ها را بشناسید.

اگر امسال در اولین کنفرانس امنیتی خود شرکت می کنید، ممکن است به دلیل اصطلاحات فنی و کلمات اختصاری که در هر گوشه به گوش تان خواهد خورد، احساس کنید به یک مترجم نیاز دارید.

ما در آرپکو به امنیت سایبری مسلط هستیم و می خواهیم به شما کمک کنیم تا این منظره امنیتی که غالباً گیج کننده است را حس کنید! در این مطلب، ما اصطلاحات اصلی امنیت سایبری که همه باید در سال ۲۰۲۰ بدانند و حتی فراتر از آن را تعریف می کنیم.

معرفی تهدیدهای امنیت سایبری

در این بخش به معرفی انواع تهدیدات امنیت سایبری و نحوه فعالیت این تهدیدات پرداخته ایم .

Backdoor : Backdoor یک نقطه دسترسی است که جهت دسترسی سریع و غیرمستقیم به برنامه یا سیستم طراحی شده و معمولاً برای اهداف مخرب کاربرد دارد. یک Backdoor می تواند توسط حمله ای که از یک آسیب پذیری امنیتی شناخته شده استفاده می کند، نصب شود و بعداً برای دسترسی به یک سیستم مورد بهره وری قرار گیرد.

Botnet : یک Botnet مانند چمدانی پر از “شبکه ربات” است. درواقع مجموعه ای از دستگاه های آلوده می باشد که می تواند برای فعالیت های مشکوک، از رمزگذاری گرفته تا حملات DDoS تا نظرات اسپم خودکار در وبلاگ ها، مورد استفاده قرار بگیرد.

Command-and-control (C2) attacks : حملات دستور و کنترل به شکل ویژه ای خطرناک هستند، زیرا از داخل شبکه شما راه اندازی می شوند. فناوری های امنیتی مانند فایروال ها، برای شناسایی و متوقف کردن فعالیت ها یا پرونده ها ی مخرب از ورود به شبکه شما طراحی شده اند. با این حال، یک حمله دستور و کنترل، زیرکانه تر از یک تهدید استاندارد است. پرونده ای که هیچ گونه رفتار مخربی را نشان ندهد، توسط فایروال شما بی ضرر تلقی خواهد شد و ورود آن به شبکه شما مجاز است. پس از ورود، پرونده برای مدت زمان مشخصی یا پس از راه اندازی از راه دور غیرفعال می ماند. سپس، پرونده به یک دامنه مخرب می رسد و داده های مضری که شبکه شما را آلوده می کنند را بارگیری می کند.

Denial of Service (DoS) Attack : این نوع حمله تمام منابع یک هدف را به طور موثر کاهش داده و یا از بین می برد، به طوری که دیگر قابلیت استفاده یا دستیابی به آن ممکن نیست. حملات DoS برای بدست آوردن وب سایت یا سرور آفلاین، به دلایل پولی، سیاسی یا دلایل دیگر طراحی شده اند. حمله DDoS یا Distribution Denial of Service یک زیر مجموعه از حمله DoS است که با استفاده از دو یا چند میزبان و اغلب از طریق یک botnet انجام می شود.

Drive-by download : بارگیری درایوی، بدافزارهای مخفی در پس زمینه را هنگام بازدید کاربر از یک صفحه وب مخرب، بدون اطلاع و موافقت او، نصب می کند. معمولاً بارگیری های درایوی، از آسیب پذیری های مرورگر یا افزونه مرورگر استفاده می کنند و با فرض اینکه این فعالیت بی خطر است، بارگیری را می پذیرند. استفاده از یک مرورگر ایمن و به روز می تواند از شما در برابر این نوع حمله محافظت کند.

Exploit : اکسپلویت یا همان کد مخرب، حمله ای است که از یک ضعف در سیستم شما استفاده می کند و می تواند در قالب نرم افزار، بیت های داده و حتی مهندسین اجتماعی ظاهر شود (مثل اینکه تظاهر کند شخصی از تیم IT شما است که برای انجام به روزرسانی امنیتی به رمز عبورتان احتیاج دارد). برای به حداقل رساندن سوء استفاده باید نرم افزار خود را به روز کرده و از فنون مهندسی آگاه باشید.

Malware : بدافزار یک اصطلاح عمومی برای هر برنامه نصب شده بر روی یک سیستم با هدف خراب کردن، آسیب رساندن یا غیرفعال کردن آن سیستم است. Razy ، TeslaCry ، NotPetya و Emotet نمونه هایی از آن هستند.

Cryptomining malware : بدافزار CryptoMining یا رمزنگاری، به خودی خود لزوماً مخرب نیست – بسیاری از افراد رمزارز مخصوص به خود را بر روی سیستم های شان دارند. رمزنگاری مخرب یک تهدید مبتنی بر نرم افزار یا مرورگر است که بدافزارها را قادر می سازد منابع سیستم قربانی را برای تولید رمزارزها، در اختیار داشته باشند. بدافزار Cryptomining راهی آسان برای بدافزارها است، تا ضمن ناشناس ماندن و بدون نیاز به استفاده از منابع شان، بتوانند پول نقد تولید کنند. درباره تهدید بدافزارهای مخرب اطلاعات بیشتری کسب کنید.

Ransomware : Ransomware یک بدافزار است که برای رمزگذاری داده های یک قربانی با یک کلید رمزنگاری که فقط برای مهاجمان، شناخته شده است، استفاده می شود. داده ها تا زمانی که قربانی برای رمزگشایی داده ها باج بدهد، غیرقابل استفاده می شوند (معمولاً در رمزنگاری). Ransomware یک تهدید سریع و جدی است – در راهنمای تازه به روز شده ما در مورد دفاع ransomware اطلاعات بیشتری کسب کنید.

rootkits :Rootkit یک کد مخرب است که خود را در سیستم شما پنهان کرده و از شناسایی خود جلوگیری می کند و بدافزارها را قادر می سازد به سراسر سیستم شما دسترسی پیدا کنند. اگر مهاجمان به سیستم شما یک بار دسترسی کامل داشته باشند، می توانند از rootkits برای ادامه دسترسی برای مدت طولانی استفاده کنند.

Spyware: كدی مخرب كه اطلاعاتی راجع به شما و جستجوهای غالب تان، جمع کرده و سپس آن اطلاعات را به شخص ثالث می فرستد.

 Trojan : تروجان یک برنامه به ظاهر بی عیب و نقص است که به عنوان جلوه ای برای مخفی کردن کد مخرب درون خود عمل می کند. تروجان ها می توانند هر کاری، از سرقت داده ها گرفته تا کنترل سیستم از راه دور را انجام دهند،. این برنامه نام خود را از اسب معروف یونانی “”Trojan Horse گرفته که از یک آسیب پذیری مشابه بهره می برد.

Viruses : ویروس غالباً به عنوان اصطلاح پتو مورد استفاده قرار می گیرد. ویروس بخشی از کد است که خود را به پرونده هایی مانند پیوست های ایمیل یا فایل هایی که به صورت آنلاین دانلود می شوند، می چسباند. هنگامی که ویروسی سیستم شما را آلوده می کند، می تواند مشکلات مختلفی را ایجاد نماید، این مشکلات شامل حذف پرونده های سیستم، خراب کردن اطلاعات و هر چیز دیگری است. ویروس های رایانه ای همانند ویروس های دنیای واقعی، در سراسر شبکه ها تکثیر و پخش می شوند.

worms : Worms یا کرم ها نوعی بدافزار هستند که به منظور انتشار در سایر رایانه ها، خود را شبیه سازی و تکثیر می کنند و اقدامات مخرب مختلفی را روی سیستم های آلوده شده انجام می دهند. بر خلاف ویروس، کرم به عنوان یک موجود مستقل وجود دارد و در داخل چیز دیگری پنهان نمی شود.

MitM or Man-in-the-Middle Attack  : یا همان حمله مرد میانی تقریبا همان چیزی است که از اسمش به نظر می رسد. یک مهاجم، پیغام های رد و بدل شده بین دو طرف را بدون اطلاع آن ها قطع و بازپخش کرده و به طور بالقوه ای تغییر می دهد. از MitM می توان برای شکستن رمزنگاری، به خطر انداختن جزئیات حساب یا دستیابی به سیستم با جعل هویت کاربر استفاده کرد.

Phishing : فیشینگ روشی است که از یک ارتباط قانونی (مانند ایمیل از طریق بانک آنلاین شما) جهت سرقت اطلاعات حساس تقلید می کند. مهاجمان مانند ماهیگیران با یک طعمه، سعی در گرفتن اطلاعات شخصی شما با استفاده از ایمیل های جعلی، فرم ها و یا صفحات وب می کنند تا شما را متقاعد سازند این اطلاعات را در اختیار آن ها قرار دهید.

• Spear phishing : نوعی فیشینگ است که با استفاده از اطلاعات عمومی یک فرد خاص، مانند کارت ویزیت یا پروفایل شبکه های اجتماعی، او را مورد هدف قرار می دهد.

• Whale phishing : فیشینگ whale از اسپیر فیشینگ یک قدم فراتر رفته و حمله ای هدفمند علیه یک شخص عالی رتبه، مانند یک مدیرعامل یا یک مقام دولتی است.

Social engineering : مهندسی اجتماعی، یک اصطلاح عمومی است برای هر فعالیتی که یک مهاجم در تلاش است شما را با آشکارسازی اطلاعات تان، اعم از ایمیل، تلفن، فرم وب یا سیستم عامل رسانه های اجتماعی مورد حمله قرار دهد. ما معمولاً درمورد دادن اطلاعاتی مانند پسوردها، اعتبارنامه های حساب، شماره تأمین اجتماعی به شخصی که می توانیم به او اعتماد نماییم، مجدد فکر نمی کنیم. اما واقعا چه کسی در طرف دیگر خط است؟ از خود محافظت کرده و قبل از اشتراک گذاری باز هم فکر کنید. همیشه تأیید درخواست اطلاعات به روشی دیگر، مانند تماس با شماره پشتیبانی رسمی مشتری، کار درست تری است.

Zero-day (0day) : یک حمله روز صفر زمانی است که یک بدافزار از آسیب پذیری یک نرم افزار جدید و ناشناخته ای که Patch نشده، سوء استفاده کرده و به آن حمله می کند. برای مقابله با مهاجمان در برابر این حمله، نیاز به تلاش مداوم است. اما لازم نیست این کار را به تنهایی انجام دهید، می توانید از متخصصان امنیتی سیسکو در Cisco Talos کمک بگیرید.

راه حل مقابله با تهدیدات امنیت سایبری

راه حل های بسیاری برای مقابله با تهدیدات امنیت سایبری وجود دارد که در ادامه به چند نمونه از این راه حل ها اشاره می کنیم.

Anti-malware : ضد بدافزار مجمومه ای از نرم افزارها هستند که به منظور مسدود کردن، ریشه کن کردن و از بین بردن ویروس ها، کرم ها و سایر موارد ناگوار که در این لیست توضیح داده شده، طراحی شده اند. این محصولات، برای اطمینان از اینکه در برابر تهدیدات جدید همچنان مؤثر می باشند، باید مرتباً به روز شوند. آنها می توانند در نقاط مختلف زنجیره شبکه (ایمیل، نقطه انتهایی، مرکز داده، ابر) و یا درون سازمان مستقر شده، یا از طریق ابر تحویل داده شوند.

Cloud access security broker (CASB) : کارگزار امنیت دسترسی به ابر، نرم افزاری است که امکان شناسایی و گزارش برنامه های ابری که، در محیط شما استفاده می شوند را فراهم می کند. این برنامه قابلیت مشاهده برنامه های ابری در حال استفاده، همچنین پروفایل های ریسک آنها و امکان مسدود کردن و یا اجازه برنامه های خاص را فراهم می نماید.

Cloud security : امنیت ابر، زیر مجموعه ای از امنیت اطلاعات و امنیت شبکه می باشد. امنیت ابر یک اصطلاح گسترده است که می تواند شامل سیاست های امنیتی، فناوری ها، برنامه ها و کنترل هایی باشد که برای محافظت از داده های حساس شرکت و کاربر، که در یک فضای ابر عمومی، خصوصی یا ترکیبی نمایش داده می شوند، استفاده می گردد.

DNS-layer security : امنیت لایه DNS، اولین خط دفاع در برابر تهدیدات می باشد. زیرا وضوح DNS ابتدایی ترین قدم برای برقراری اتصال به اینترنت است؛ که قبل از برقراری اتصال، مسیر درخواست ها را به مقاصد مخرب و ناخواسته مسدود می کند. درواقع متوقف کردن تهدیدات بر روی هر پورت یا پروتکل قبل از رسیدن به شبکه یا نقاط پایانی شما، به عهده امنیت لایه DNS می باشد.

Email security : امنیت ایمیل، به فناوری ها، خط مشی ها و شیوه های استفاده شده برای تأمین امنیت دسترسی و محتوای پیام های ایمیل در یک سازمان اشاره دارد. بسیاری از حملات، خواه حملات هدفمند (به یادداشت مربوط به فیشینگ فوق مراجعه کنید) یا پیوستها یا پیوندهای مخرب، از طریق پیام های ایمیل انجام می شوند. یک راه حل امنیتی ایمیلی قوی از شما در برابر حملات، خواه ایمیل در شبکه شما در حال انتقال و یا روی دستگاه کاربر باشد، محافظت می کند.

Encryption : رمزنگاری، فرایند scrambling پیام ها است، به طوری که تا زمانی که توسط گیرنده مورد نظر رمزگشایی نشوند، نمی توانند آنها را بخوانند. انواع مختلفی از رمزنگاری وجود دارد و این یک مؤلفه مهم برای یک استراتژی امنیتی قوی است.

Endpoint security : چنانچه امنیت لایه DNS اولین خط دفاع در برابر تهدیدات باشد، ممکن است شما به امنیت نهایی به عنوان آخرین خط دفاع فکر کنید! نقاط انتهایی می توانند شامل کامپیوترها، لپ تاپ، تبلت ها، تلفن های همراه، تلفن های رومیزی باشند. درواقع هر چیزی با آدرس شبکه، یک مسیر حمله بالقوه است. نرم افزار امنیتی Endpoint ازطریق قابلیت شناسایی تهدید، پیشگیری و اصلاح، جهت محافظت در برابر بدافزارهای File-based، fileless و سایر بدافزارها، می تواند در یک نقطه انتهایی مستقر شود.

Firewall : تصور کنید موارد بد و مخربی در اینترنت هستند که برای متوقف کردن آن ها چیزی وجود ندارد. یک فایروال، دیواری است که بین محیط مورد اعتماد شما و محیط بیرونی آن قرار دارد و دسترسی را بر اساس قوانین امنیتی، کنترل می کند. فایروال می تواند سخت افزاری، نرم افزاری، یک دستگاه امنیتی مستقل یا یک راه حل ارائه شده از ابر باشد.

Next-generation firewall (NGFW) : فایروال های نسل بعدی، راه حل جدیدی در صنعت برای فایروال تکامل یافته هستند که به طور معمول کاملاً با سایر استک های امنیتی که متمرکز بر تهدیدات هستند، یکپارچه شده و مدیریت جامع و یکپارچه سیاست های توابع فایروال، کنترل برنامه ها، جلوگیری از تهدید و محافظت پیشرفته از بدافزارها را از شبکه تا نقطه انتهایی ارائه می دهد.

Security information and event management (SIEM) : اطلاعات امنیتی و مدیریت رویداد، عبارتی است گسترده برای محصولاتی که با مدیریت اطلاعات امنیتی (SIM) و مدیریت رویدادهای امنیتی (SEM)، سروکار دارند. این سیستم ها امکان جمع آوری اطلاعات و رویدادها را برای استفاده تیم های امنیتی در یک “صفحه شیشه ای” فراهم می کنند.

Secure web gateway (SWG) : دروازه امنیتی وب، یک پروکسی است که ترافیک وب شما را جهت شفافیت، کنترل و محافظت بیشتر، ثبت و بازرسی می کند. این پروکسی برای پرونده های ورودی بدافزارها، sandboxing، رمزگشایی کامل یا انتخابیSSL ، فیلتر کردن محتوا و هم چنین امکان مسدود کردن فعالیت های خاص کاربر در برنامه های انتخابی، امکان بازرسی در زمان واقعی را فراهم می کند.

Secure internet gateway (SIG) : دروازه امنیتی اینترنت، یک راه حل ارائه شده توسط ابر است که انواع اتصالات، کنترل محتوا و فن آوری های دسترسی را یکپارچه می کند تا دسترسی ایمن به اینترنت را چه از داخل شبکه و چه از خارج شبکه، در اختیار کاربران قرار دهد. یک SIG، ازطریق ابر، از دسترسی کاربر در هر نقطه و هرجایی محافظت می کند. این عملیات جهت بازرسی و اجرای سیاست، صرف نظر از اینکه کاربران به چه چیزی وصل می شوند یا از کجا ارتباط دارند، با استفاده از مسیریابی ترافیک به سمت دروازه، انجام می شود. از آنجا که یک SIG امنیت را فراتر از لبه های شبکه سنتی گسترش می دهد و نیازی به سخت افزار یا نرم افزار اضافی ندارد، هزاران شرکت آن را به عنوان ابزاری جدید انتخاب کرده اند تا مطمئن باشند کاربران، دستگاه ها، نقاط پایانی و داده ها در برابر تهدیدات به خوبی محافظت می شوند.

Secure access service edge (SASE) : گارتنر یک شبکه و شرکت امنیتی کاملاً جدید با عنوان “لبه سرویس دسترسی ایمن” معرفی کرد. SASE سرویس های شبکه و امنیت را در قالب یک راه حل یکپارچه برای طراحی امنیت قوی از لبه به لبه – در مرکز داده ها، دفاتر راه دور، با کاربران رومینگ و فراتر از آن، گرد هم می آورد. SASE محافظت بهتر و عملکرد سریعتر شبکه را فراهم کند واین کار را از طریق ادغام مجموعه راه حل های نقطه قدرتمند که می تواند در هر نقطه از ابر مستقر شود، انجام می هد. ضمن اینکه هزینه و کار لازم را برای تأمین امنیت شبکه کاهش می دهد.

امنیت سایبری همیشه در حال تحول است و با توجه به سرعت بالای تغییرات، نگه داشتن امنیت سایبری کار سختی خواهد بود. حتماً این پست وبلاگ را علامت گذاری کنید. ما با ظهور تهدیدات و فناوری های جدید، آن را به روز خواهیم کرد.