Cyber Reconnaissance چیست؟

Cyber Reconnaissance ، که اغلب به عنوان تجسس سایبری یا جمع‌آوری اطلاعات سایبری نیز شناخته می‌شود، فرآیند جمع‌آوری اطلاعات در مورد اهداف احتمالی، آسیب‌پذیری‌ها و بردارهای حمله است. در واقع Cyber Reconnaissance یک مرحله مهم در چرخه حیات حملات سایبری می باشد که در آن عوامل تهدید به دنبال جمع‌آوری داده‌هایی در مورد قربانیان مورد نظر خود هستند. داده هایی چون معماری شبکه قربانی، تنظیمات نرم‌افزار، نمایه‌های کارکنان و اقدامات امنیتی اعمال شده . سپس از این اطلاعات برای برنامه ریزی و اجرای حملات سایبری با دقت و اثربخشی بیشتر استفاده می شود.

انجام شناسایی یا Reconnaissance ، عوامل تهدید را قادر می‌سازد تا نقاط ضعف دفاعی سازمان را پیدا و بر این اساس استراتژی‌های حمله خود را تنظیم کند . در نتیجه احتمال شکست حمله را کاهش دهند.با پیچیده ترشدن تهدیدات سایبری ، تجسس سایبری به یک مؤلفه اساسی برای درک چگونگی عملکرد عوامل تهدید در چشم انداز تهدید فعلی تبدیل شده است.

همینطور شناسایی یا Reconnaissance یکی از مراحل تست نفوذ می باشد. گردآوری بیشترین اطلاعات ممکن در رابطه با سامانه هدف از منابع عمومی و خصوصی برای تعیین استراتژی حمله. برای این کار می‌توان از جستجوهای اینترنتی، بازیابی اطلاعات ثبت دامنه، مهندسی اجتماعی، اسکن غیر مداخله‌ای شبکه و حتی زباله‌گردی استفاده کرد.

شناسایی سایبری به جمع‌آوری مخفیانه داده‌ها به صورت آنلاین اشاره دارد. این جمع‌آوری اطلاعات هم با نیت خوب و هم با نیت بد قابل انجام است. افراد بدخواه روش‌های مختلفی را برای جمع‌آوری اطلاعات در مورد قربانیان احتمالی حمله و یافتن نقاط ضعف قابل سوء استفاده بکار می‌برند.

تاریخچه شناسایی سایبری

شناسایی سایبری، اغلب مرحله اولیه یک حمله سایبری، فرآیند سیستماتیک جمع‌آوری اطلاعات در مورد اهداف، آسیب‌پذیری‌ها و دارایی‌های بالقوه در حوزه دیجیتال است. جمع‌آوری جامع داده‌ها، عوامل تهدید را قادر می‌سازد تا درک دقیق از اهداف خود جهت بهره‌برداری در آینده ایجاد کنند.

مفهوم اصطلاح شناسایی سایبری به روزهای اولیه شبکه های کامپیوتری برمی گردد، در ابتدا برای اهداف قانونی مانند تجزیه و تحلیل سیستم و مدیریت شبکه به کار گرفته شد. با گسترش شبکه ها و پیشرفت اقدامات امنیتی، مجرمان سایبری به پتانسیل این تمرین برای فعالیت های مخرب خود پی بردند. با گذشت زمان، شناسایی سایبری به یک عمل پیچیده تبدیل شد که اغلب با کمک ابزارهای خودکار و تاکتیک‌های مهندسی اجتماعی انجام می‌شد.

اکنون، شناسایی سایبری به جزء جدایی ناپذیر جنگ سایبری، جاسوسی و جرایم سایبری تبدیل شده است. بازیگران مخرب، چه نهادهای تحت حمایت دولت باشند و چه بازیگران مستقل، از تکنیک‌های مختلفی برای جمع‌آوری اطلاعات درباره اهداف بالقوه استفاده می‌کنند. اطلاعات ارزشمند شامل نام دامنه، آدرس IP، آدرس ایمیل، نام کارکنان، نسخه‌های نرم‌افزار، تنظیمات امنیتی و حتی اطلاعات شخصی موجود در پلتفرم‌های رسانه‌های اجتماعی است. تمام این نقاط داده برای شناسایی آسیب‌پذیری‌ها، برنامه‌ریزی استراتژی‌های حمله و ایجاد طرح‌های فیشینگ یا مهندسی اجتماعی متقاعدکننده استفاده می‌شوند.

با انجام شناسایی کامل، عوامل تهدید می توانند حملات هدفمند و بسیار مؤثری را انجام دهند .

نحوه کار شناسایی سایبری

در مراحل اولیه زنجیره کشتار سایبری (Cyber kill chain) ، شناسایی سایبری نقشی اساسی در کمک به عوامل مخرب برای برنامه ریزی ، اجرای دقیق و موثر حملات سایبری ایفا می کند. معمولاً شناسایی می تواند در حالت های زیر باشد :

شناسایی غیرفعال یا Passive Reconnaissance :

شناسایی غیرفعال شامل جمع آوری داده ها در مورد یک هدف بدون درگیری فعال با سیستم های آن است. این مرحله اغلب با جمع‌آوری اطلاعات منبع باز (OSINT) با استفاده از اطلاعات در دسترس عموم از وب‌سایت‌ها، رسانه‌های اجتماعی، آگهی‌های شغلی و سایر منابع آنلاین شروع می‌شود. ابزارهایی مانند Shodan و Censys اینترنت را برای یافتن پورت‌های باز، خدمات و بنرها اسکن می‌کنند و اطلاعات ارزشمندی در مورد ردپای دیجیتال هدف ارائه می‌دهند. ابزارهای شناسایی DNS مانند Dig و NSLookup برای جمع آوری اطلاعات در مورد نام دامنه، آدرس IP و رکوردهای DNS استفاده می شوند. شناسایی غیرفعال می‌تواند معماری شبکه، فناوری‌های در حال استفاده و آسیب‌پذیری‌های بالقوه سازمان را آشکار کند.

در این روش شناسایی هکر بدون ارتباط و تعامل با هدف مورد نظر می تواند اطلاعاتی را درباره آن بدست آورد مانند جستجو در اینترنت و شبکه های اجتماعی درباره سازمان مورد نظر،استفاده از سایت های که کار جمع آوری اطلاعات را انجام می دهند،آشغال گردی،مهندسی اجتماعی و…

شناسایی فعال یا Active Reconnaissance :

شناسایی فعال شامل بررسی مستقیم سیستم ها و شبکه های هدف می شود. تکنیک های رایج عبارتند از:

اسکن پورت یا Port Scanning :

ابزارهایی مانند Nmap، Masscan و ZMap برای اسکن شبکه های هدف، شناسایی پورت های باز و کشف سرویس های در حال اجرا بر روی آن پورت ها استفاده می شوند. این اطلاعات به مهاجمان کمک می کند تا سطح حمله و نقاط ورود احتمالی را درک کنند.

پورت اسکن چیست؟ چگونه از حملات اسکن پورت جلوگیری کنیم؟

اسکن آسیب‌پذیری یا Vulnerability Scanning :

اسکنرهای آسیب‌پذیری، مانند Nessus و OpenVAS، برای شناسایی نقاط ضعف در نرم‌افزار و پیکربندی‌های هدف استفاده می‌شوند. این مرحله برای شناسایی و ارزیابی آسیب‌پذیری‌هایی که می‌توانند مورد سوء استفاده قرار گیرند، بسیار مهم است.

Enumeration :

مهاجمان اغلب از ابزارهایی مانند SMBenum، SNMPwalk یا ابزارهای شمارش LDAP برای استخراج داده‌های ارزشمند مانند حساب‌های کاربری، اشتراک‌های شبکه و پیکربندی‌های سیستم از سیستم‌های هدف استفاده می‌کنند.

فرآیند استخراج نام یوزرها، نام سیستم ها، منابع شبکه، Share ها و سرویس ها از یک سیستم را Enumeration گویند. در مرحله Enumeration هکر کانکشن های فعال به سیستم برقرار میکند و درخواست های مستقیم برای بدست اوردن اطلاعات بیشتر درباره هدف ارسال میکند.

مهندسی اجتماعی یا Social Engineering :

مهندسی اجتماعی یک جنبه ضروری از شناسایی سایبری است. تکنیک های مهندسی اجتماعی شامل دستکاری افراد برای افشای اطلاعات حساس می باشد. مهاجمان ممکن است از تکنیک‌هایی مانند فیشینگ، بهانه‌سازی یا طعمه‌گذاری برای فریب کارمندان برای افشای اعتبار، داده‌های محرمانه یا دسترسی به شبکه استفاده کنند. مهندسی اجتماعی اغلب شناسایی فنی را تکمیل می کند، زیرا اطلاعات جمع آوری شده از این تاکتیک ها می تواند در طرح حمله ادغام شود.

تجمیع داده ها یا Data Aggregation :

با گردآوری داده های جمع آوری شده از منابع مختلف ، شناسایی سایبری به اوج خود می رسد. داده هایی چون آدرس‌های IP، نام‌های دامنه، آدرس‌های ایمیل، اطلاعات کارکنان، نسخه‌های نرم‌افزار، تنظیمات شبکه و موارد دیگر . این داده‌های تلفیقی پایه‌ای برای مراحل بعدی حمله سایبری می‌شود و به مهاجمان کمک می‌کند تا استراتژی‌های خود را تنظیم کنند و احتمال نقض موفقیت‌آمیز را افزایش دهند.

استفاده از داده های شناسایی یا Utilizing Reconnaissance Data :

پس از تجمیع داده ها، انتخاب بردارهای حمله و استراتژی ها با استفاده از این اطلاعات تعیین می شود. به عنوان مثال، اگر یک نسخه نرم افزار آسیب پذیر شناسایی شود، مهاجمان ممکن است به دنبال اکسپلویت های شناخته شده بگردند یا برای هدف قرار دادن آن آسیب پذیری خاص، اکسپلویت های سفارشی ایجاد کنند. اگر یک هدف بالقوه کارمند شناسایی شود، ایمیل‌های فیشینگ شخصی‌سازی شده ممکن است ساخته شوند تا آنها را به کلیک روی پیوندهای مخرب یا دانلود پیوست‌های آلوده فریب دهند.

چگونه کسب و کارها می توانند از خود در برابر شناسایی سایبری محافظت کنند .

درک چشم انداز در حال تکامل شناسایی سایبری برای حفاظت از دارایی های دیجیتال و اطمینان از انعطاف پذیری سیستم های به هم پیوسته امروزی حیاتی است. برای مقابله با خطرات ناشی از شناسایی سایبری، سازمان ها باید اقدامات پیشگیرانه امنیت سایبری را اتخاذ کنند. این اقدامات دفاعی عبارتند از:

نظارت بر شبکه : استفاده از سیستم‌های تشخیص نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) برای شناسایی و پاسخگویی به فعالیت‌های غیرعادی شبکه.
آموزش آگاهی از امنیت : آموزش کارکنان در مورد تاکتیک های مهندسی اجتماعی و نحوه شناسایی و گزارش تلاش های فیشینگ.
فایروال ها و کنترل های دسترسی : پیکربندی مناسب فایروال ها و کنترل و محدود کردن دسترسی به سیستم های حیاتی.
مدیریت پچ :به‌طور منظم وصله‌ها و به‌روزرسانی‌های امنیتی را برای از بین بردن آسیب‌پذیری‌های شناخته شده اعمال می‌کنید.
نظارت بر دارک وب : نظارت بر وب تاریک برای وجود داده‌ها و اعتبارنامه‌های به سرقت رفته برای شناسایی نقض‌های احتمالی.
هوش تهدید پیشرفته:شرکت‌ها در سرویس‌های اطلاعاتی تهدید سرمایه‌گذاری می‌کنند تا وب تاریک و سایر منابع را برای اطلاعات در مورد تهدیدات و آسیب‌پذیری‌های بالقوه نظارت کنند.
رمزگذاری داده ها و اقدامات حفظ حریم خصوصی: رمزگذاری برای محافظت از داده ها در هنگام انتقال و در حالت استراحت استفاده می شود و احتمال نشت اطلاعات حساس را کاهش می دهد.
دفاع مشترک: به اشتراک گذاری اطلاعات تهدید و همکاری با همتایان صنعت و سازمان های مجری قانون، قابلیت های دفاع جمعی را افزایش می دهد.