Cyber Reconnaissance چیست؟
Cyber Reconnaissance ، که اغلب به عنوان تجسس سایبری یا جمعآوری اطلاعات سایبری نیز شناخته میشود، فرآیند جمعآوری اطلاعات در مورد اهداف احتمالی، آسیبپذیریها و بردارهای حمله است. در واقع Cyber Reconnaissance یک مرحله مهم در چرخه حیات حملات سایبری می باشد که در آن عوامل تهدید به دنبال جمعآوری دادههایی در مورد قربانیان مورد نظر خود هستند. داده هایی چون معماری شبکه قربانی، تنظیمات نرمافزار، نمایههای کارکنان و اقدامات امنیتی اعمال شده . سپس از این اطلاعات برای برنامه ریزی و اجرای حملات سایبری با دقت و اثربخشی بیشتر استفاده می شود.
انجام شناسایی یا Reconnaissance ، عوامل تهدید را قادر میسازد تا نقاط ضعف دفاعی سازمان را پیدا و بر این اساس استراتژیهای حمله خود را تنظیم کند . در نتیجه احتمال شکست حمله را کاهش دهند.با پیچیده ترشدن تهدیدات سایبری ، تجسس سایبری به یک مؤلفه اساسی برای درک چگونگی عملکرد عوامل تهدید در چشم انداز تهدید فعلی تبدیل شده است.
همینطور شناسایی یا Reconnaissance یکی از مراحل تست نفوذ می باشد. گردآوری بیشترین اطلاعات ممکن در رابطه با سامانه هدف از منابع عمومی و خصوصی برای تعیین استراتژی حمله. برای این کار میتوان از جستجوهای اینترنتی، بازیابی اطلاعات ثبت دامنه، مهندسی اجتماعی، اسکن غیر مداخلهای شبکه و حتی زبالهگردی استفاده کرد.
شناسایی سایبری به جمعآوری مخفیانه دادهها به صورت آنلاین اشاره دارد. این جمعآوری اطلاعات هم با نیت خوب و هم با نیت بد قابل انجام است. افراد بدخواه روشهای مختلفی را برای جمعآوری اطلاعات در مورد قربانیان احتمالی حمله و یافتن نقاط ضعف قابل سوء استفاده بکار میبرند.
تاریخچه شناسایی سایبری
شناسایی سایبری، اغلب مرحله اولیه یک حمله سایبری، فرآیند سیستماتیک جمعآوری اطلاعات در مورد اهداف، آسیبپذیریها و داراییهای بالقوه در حوزه دیجیتال است. جمعآوری جامع دادهها، عوامل تهدید را قادر میسازد تا درک دقیق از اهداف خود جهت بهرهبرداری در آینده ایجاد کنند.
مفهوم اصطلاح شناسایی سایبری به روزهای اولیه شبکه های کامپیوتری برمی گردد، در ابتدا برای اهداف قانونی مانند تجزیه و تحلیل سیستم و مدیریت شبکه به کار گرفته شد. با گسترش شبکه ها و پیشرفت اقدامات امنیتی، مجرمان سایبری به پتانسیل این تمرین برای فعالیت های مخرب خود پی بردند. با گذشت زمان، شناسایی سایبری به یک عمل پیچیده تبدیل شد که اغلب با کمک ابزارهای خودکار و تاکتیکهای مهندسی اجتماعی انجام میشد.
اکنون، شناسایی سایبری به جزء جدایی ناپذیر جنگ سایبری، جاسوسی و جرایم سایبری تبدیل شده است. بازیگران مخرب، چه نهادهای تحت حمایت دولت باشند و چه بازیگران مستقل، از تکنیکهای مختلفی برای جمعآوری اطلاعات درباره اهداف بالقوه استفاده میکنند. اطلاعات ارزشمند شامل نام دامنه، آدرس IP، آدرس ایمیل، نام کارکنان، نسخههای نرمافزار، تنظیمات امنیتی و حتی اطلاعات شخصی موجود در پلتفرمهای رسانههای اجتماعی است. تمام این نقاط داده برای شناسایی آسیبپذیریها، برنامهریزی استراتژیهای حمله و ایجاد طرحهای فیشینگ یا مهندسی اجتماعی متقاعدکننده استفاده میشوند.
با انجام شناسایی کامل، عوامل تهدید می توانند حملات هدفمند و بسیار مؤثری را انجام دهند .
نحوه کار شناسایی سایبری
در مراحل اولیه زنجیره کشتار سایبری (Cyber kill chain) ، شناسایی سایبری نقشی اساسی در کمک به عوامل مخرب برای برنامه ریزی ، اجرای دقیق و موثر حملات سایبری ایفا می کند. معمولاً شناسایی می تواند در حالت های زیر باشد :
شناسایی غیرفعال یا Passive Reconnaissance :
شناسایی غیرفعال شامل جمع آوری داده ها در مورد یک هدف بدون درگیری فعال با سیستم های آن است. این مرحله اغلب با جمعآوری اطلاعات منبع باز (OSINT) با استفاده از اطلاعات در دسترس عموم از وبسایتها، رسانههای اجتماعی، آگهیهای شغلی و سایر منابع آنلاین شروع میشود. ابزارهایی مانند Shodan و Censys اینترنت را برای یافتن پورتهای باز، خدمات و بنرها اسکن میکنند و اطلاعات ارزشمندی در مورد ردپای دیجیتال هدف ارائه میدهند. ابزارهای شناسایی DNS مانند Dig و NSLookup برای جمع آوری اطلاعات در مورد نام دامنه، آدرس IP و رکوردهای DNS استفاده می شوند. شناسایی غیرفعال میتواند معماری شبکه، فناوریهای در حال استفاده و آسیبپذیریهای بالقوه سازمان را آشکار کند.
در این روش شناسایی هکر بدون ارتباط و تعامل با هدف مورد نظر می تواند اطلاعاتی را درباره آن بدست آورد مانند جستجو در اینترنت و شبکه های اجتماعی درباره سازمان مورد نظر،استفاده از سایت های که کار جمع آوری اطلاعات را انجام می دهند،آشغال گردی،مهندسی اجتماعی و…
شناسایی فعال یا Active Reconnaissance :
شناسایی فعال شامل بررسی مستقیم سیستم ها و شبکه های هدف می شود. تکنیک های رایج عبارتند از:
اسکن پورت یا Port Scanning :
ابزارهایی مانند Nmap، Masscan و ZMap برای اسکن شبکه های هدف، شناسایی پورت های باز و کشف سرویس های در حال اجرا بر روی آن پورت ها استفاده می شوند. این اطلاعات به مهاجمان کمک می کند تا سطح حمله و نقاط ورود احتمالی را درک کنند.
اسکن آسیبپذیری یا Vulnerability Scanning :
اسکنرهای آسیبپذیری، مانند Nessus و OpenVAS، برای شناسایی نقاط ضعف در نرمافزار و پیکربندیهای هدف استفاده میشوند. این مرحله برای شناسایی و ارزیابی آسیبپذیریهایی که میتوانند مورد سوء استفاده قرار گیرند، بسیار مهم است.
Enumeration :
مهاجمان اغلب از ابزارهایی مانند SMBenum، SNMPwalk یا ابزارهای شمارش LDAP برای استخراج دادههای ارزشمند مانند حسابهای کاربری، اشتراکهای شبکه و پیکربندیهای سیستم از سیستمهای هدف استفاده میکنند.
فرآیند استخراج نام یوزرها، نام سیستم ها، منابع شبکه، Share ها و سرویس ها از یک سیستم را Enumeration گویند. در مرحله Enumeration هکر کانکشن های فعال به سیستم برقرار میکند و درخواست های مستقیم برای بدست اوردن اطلاعات بیشتر درباره هدف ارسال میکند.
مهندسی اجتماعی یا Social Engineering :
مهندسی اجتماعی یک جنبه ضروری از شناسایی سایبری است. تکنیک های مهندسی اجتماعی شامل دستکاری افراد برای افشای اطلاعات حساس می باشد. مهاجمان ممکن است از تکنیکهایی مانند فیشینگ، بهانهسازی یا طعمهگذاری برای فریب کارمندان برای افشای اعتبار، دادههای محرمانه یا دسترسی به شبکه استفاده کنند. مهندسی اجتماعی اغلب شناسایی فنی را تکمیل می کند، زیرا اطلاعات جمع آوری شده از این تاکتیک ها می تواند در طرح حمله ادغام شود.
تجمیع داده ها یا Data Aggregation :
با گردآوری داده های جمع آوری شده از منابع مختلف ، شناسایی سایبری به اوج خود می رسد. داده هایی چون آدرسهای IP، نامهای دامنه، آدرسهای ایمیل، اطلاعات کارکنان، نسخههای نرمافزار، تنظیمات شبکه و موارد دیگر . این دادههای تلفیقی پایهای برای مراحل بعدی حمله سایبری میشود و به مهاجمان کمک میکند تا استراتژیهای خود را تنظیم کنند و احتمال نقض موفقیتآمیز را افزایش دهند.
استفاده از داده های شناسایی یا Utilizing Reconnaissance Data :
پس از تجمیع داده ها، انتخاب بردارهای حمله و استراتژی ها با استفاده از این اطلاعات تعیین می شود. به عنوان مثال، اگر یک نسخه نرم افزار آسیب پذیر شناسایی شود، مهاجمان ممکن است به دنبال اکسپلویت های شناخته شده بگردند یا برای هدف قرار دادن آن آسیب پذیری خاص، اکسپلویت های سفارشی ایجاد کنند. اگر یک هدف بالقوه کارمند شناسایی شود، ایمیلهای فیشینگ شخصیسازی شده ممکن است ساخته شوند تا آنها را به کلیک روی پیوندهای مخرب یا دانلود پیوستهای آلوده فریب دهند.
چگونه کسب و کارها می توانند از خود در برابر شناسایی سایبری محافظت کنند .
درک چشم انداز در حال تکامل شناسایی سایبری برای حفاظت از دارایی های دیجیتال و اطمینان از انعطاف پذیری سیستم های به هم پیوسته امروزی حیاتی است. برای مقابله با خطرات ناشی از شناسایی سایبری، سازمان ها باید اقدامات پیشگیرانه امنیت سایبری را اتخاذ کنند. این اقدامات دفاعی عبارتند از:
نظارت بر شبکه : استفاده از سیستمهای تشخیص نفوذ (IDS) و سیستمهای پیشگیری از نفوذ (IPS) برای شناسایی و پاسخگویی به فعالیتهای غیرعادی شبکه.
آموزش آگاهی از امنیت : آموزش کارکنان در مورد تاکتیک های مهندسی اجتماعی و نحوه شناسایی و گزارش تلاش های فیشینگ.
فایروال ها و کنترل های دسترسی : پیکربندی مناسب فایروال ها و کنترل و محدود کردن دسترسی به سیستم های حیاتی.
مدیریت پچ :بهطور منظم وصلهها و بهروزرسانیهای امنیتی را برای از بین بردن آسیبپذیریهای شناخته شده اعمال میکنید.
نظارت بر دارک وب : نظارت بر وب تاریک برای وجود دادهها و اعتبارنامههای به سرقت رفته برای شناسایی نقضهای احتمالی.
هوش تهدید پیشرفته:شرکتها در سرویسهای اطلاعاتی تهدید سرمایهگذاری میکنند تا وب تاریک و سایر منابع را برای اطلاعات در مورد تهدیدات و آسیبپذیریهای بالقوه نظارت کنند.
رمزگذاری داده ها و اقدامات حفظ حریم خصوصی: رمزگذاری برای محافظت از داده ها در هنگام انتقال و در حالت استراحت استفاده می شود و احتمال نشت اطلاعات حساس را کاهش می دهد.
دفاع مشترک: به اشتراک گذاری اطلاعات تهدید و همکاری با همتایان صنعت و سازمان های مجری قانون، قابلیت های دفاع جمعی را افزایش می دهد.