Attack Vector چیست؟

Attack Vector یا threat vector که در برگردان پارسی، بردار حمله یا بردار تهدید گفته می‌شود راهی برای ورود مهاجمان به یک شبکه یا سیستم است.

بردارهای حمله مشترک شامل حملات مهندسی اجتماعی، سرقت اعتبار، سوء‌استفاده از آسیب‌پذیری و ضعف امنیت در برابر تهدیدهای داخلی است.

Attack Vector چگونه عمل می‌کند؟

Attack Vector یا بردار حمله، مسیر یا روشی است که توسط یک “هکر” برای دسترسی غیرقانونی به یک شبکه یا کامپیوتر با هدف سوءاستفاده از آسیب‌پذیری‌های سیستم به کار می‌رود.

هکرها از بردارهای حمله (Attack Vector)های متعددی برای راه‌اندازی حملاتی استفاده می‌کنند که از نقاط ضعف سیستم، بهره برده باعث نقض اطلاعات می‌شوند یا ID ورود به سیستم را هک می‌کنند.

چنین روش‌هایی شامل به‌اشتراک‌گذاری بدافزارها و ویروس‌ها، پیوست‌های ایمیل مخرب و لینک‌های وب، پنجره‌های پاپ‌اپ و پیام‌های فوری است که به‌راحتی یک کارمند یا کاربر را فریب‌داده، اطلاعات سیستمی‌اش را به سرقت می‌برد. بسیاری از حملات Attack Vector، با انگیزۀ مالی، رخ می‌دهند. به‌عبارت‌بهتر، مهاجمان، پول افراد و سازمان‌ها یا داده‌ها و اطلاعات شناسایی شخصی (PII= Personal Identifiable Information) را می‌دزدند و صاحب اطلاعات را به پرداخت هزینه در ازای برگشت اطلاعات‌ش مجبور می‌کنند. (حملۀ باج‌افزاری).

پ.ن: PII= Personal Identifiable Information به اطلاعاتی اشاره دارد که توسط یک شرکت یا سازمان برای شناسایی شخص، برقراری تماس با آن‌ها یا ردیابی آن‌ها استفاده می‌شود. اصطلاح “PII” اغلب در مفاهیم قانونی به‌کار می‌رود. به‌ویژه هنگامی که پای اطلاعات امنیتی در میان باشد.

هکرهایی که به یک شبکه نفوذ می‌کنند طیف گسترده‌ای را شامل می‌شوند. به‌عنوان مثال:

• کارمندان ناراضی که قبلاَ با سازمان یا شرکت، همکاری داشتند؛
• گروه‌های سازمان‌یافته با انگیزۀ سیاسی؛
• هک‌تیویست‌ها؛
• گروه‌های هک حرفه‌ای؛
• یا گروه‌های تحت حمایت دولت.

پ.ن: Hacktivism چیست؟! هکتیویسم زمانی اتفاق میفتد که فعالان سیاسی یا اجتماعی از فن‌آوری رایانه‌ای برای توجیه و دفاع از کار خود در سرقت اطلاعات، بهره می‌برند. در بیشتر موارد، هکتیویسم بر اهداف دولتی یا شرکتی متمرکز است؛ اما این مفهوم می‌تواند هر نهاد مهم مانند گروه‌های مذهبی، فروشندگان مواد مخدر، تروریست‌ها یا پدوفیل‌ها را نیز شامل شود. به‌مفهوم عام‌تر، “هکتیویسم” ترکیبی از سرقت اطلاعات با اهداف کنش‌‎گری اجتماعی در اعتراض به یک سیاست یا رفتار نهادهای دولتی یا سیستم حاکم است.

تفاوت Attack Vector و Attack Surface

شکی در این نیست که Attack Vector و Attack Surface هردو جزو حمله‌های سایبری به شمار می‌آیند. اما این دو نوع حمله با هم تفاوت‌هایی دارند.

همان‌طور که در بالا اشاره کردیم Attack Vector با استفاده از بردار حمله، راه‌اندازی می‌شود. این کار می‌تواند از طریق بدافزار یا حمله فیشینگ رخ دهد که هدف آن، سرقت اطلاعات کاربری و دسترسی غیرمجاز به داده‌ها یا منابع شرکت است. مهندسی اجتماعی راه دیگری برای حمله است.

 attack surface یا سطح حمله، کل منطقۀ شبکه‌ای است که مهاجم می‌تواند از آن برای راه‌اندازی بردارهای حملۀ سایبری و استخراج داده یا دسترسی به سیستم‌های یک سازمان استفاده کند. دستگاه‌ها و افراد، بخشی از سطح حمله یک سازمان هستند؛ زیرا آسیب‌پذیری‌های آن‌ها، مانند “رمزهای عبور ضعیف” یا “نرم‌افزار اصلاح‌نشده” می‌تواند خوراک مناسبی برای سوءاستفادۀ مهاجمان سایبری باشد.

چگونه هکرها از Attack Vector سود می‌برند؟

هکرها از چندین بردار تهدید برای سوء استفاده از سیستم‌های آسیب‌پذیر، حمله به دستگاه‌ها و شبکه‌ها و سرقت داده‌های افراد، بهره می‌برند. دو نوع اصلی Attack Vector، عبارت است از:passive attacks  و active attacks

Passive attack

حمله غیرفعال زمانی اتفاق می‌افتد که یک مهاجم، برای به دست آوردن یا جمع‌آوری اطلاعات در مورد هدف خود سیستمی را از نظر پورت‌های باز یا آسیب‌پذیری‌ها، رصد می‌کند. شناسایی حملات غیرفعال ممکن است دشوار باشد؛ زیرا منجر به تغییر داده‌ها یا منابع سیستم نمی شود. در اصل، هکر، به جای این‌که به سیستم‌های یک سازمان آسیب برساند محرمانه‌بودن داده‌های آنها را تهدید می‌کند.

Active attack

در این نوع حمله، هکر قصد دارد منابع سیستم یک سازمان را مختل کند؛ یا به آن آسیب برساند؛ و یا بر فعالیت منظم آن‌ها تأثیر سوء بگذارد. این مورد، معمولاً شامل این موارد است:

• حمله‌هایی با سوءاستفاده از آسیب‌پذیری‌های سیستم؛ مانند حملات (DoS=Denial of Service)؛
• هدف قراردادن رمزهای عبور ضعیف کاربران؛
• حمله از طریق بدافزار؛
• و حملات فیشینگ.

 Attack Vectorهای متداول

1. Compromised credentials

این نوع حملات، مربوط به اعتبارنامه‌های ضعیف و در معرض خطر است که بیش‌ترین طعمۀ حاضری برای سوءاستفاده از بردارهای حمله‌اند.

از آن‌جایی که مردم، هم‌چنان از رمزهای عبور ضعیف برای محافظت از حساب‌ها و پروفایل‌های آنلاین خود استفاده می‌کنند بنابراین باید توقع داشت که چنین حملاتی، به‌وفور اتفاق افتد.

Compromised credentials که در پارسی، “اعتبار به خطر افتاده” نامیده می‌شود زمانی رخ می‌دهد که اطلاعاتی مانند نام کاربری یا رمز عبور در دسترس شخص ثالثی مانند برنامه‌های تلفن همراه و وب‌سایت‌ها قرار می‌گیرد یا در آن‌جا به اشتراک گذاشته می‌شود.

راهکار:

• از رمزهای عبور قوی استفاده کنید.
• سازمان‌ها، باید از تکیه بر رمزهای عبور یک‌دست و آسان، صرف‌نظر کنند و احراز هویت چند عاملی (MFA) را برای تأیید هویت کاربران به کار ببرند.
• آموزش امنیت سایبری به کارمندان برای اطمینان از درک خطرات امنیتی که ممکن است در کمین‌شان باشد و اطلاع‌رسانی درخصوص نشانه‌های حملۀ سایبری.

2. Malware

Malware یا بدافزار، شامل باج‌افزارها، جاسوس‌افزارها، تروجان‌ها و ویروس‌ها می‌شود. مجرمان سایبری از بدافزار به‌عنوان یک “بردار تهدید” یا Attack Vector استفاده می‌کنند تا به آنها کمک کند به شبکه‌ها و دستگاه‌های شرکتی دسترسی پیدا کنند؛ سپس داده‌ها را به سرقت می‌برند یا به سیستم‌ها آسیب می‌رسانند.

راهکار

• افزایش آگاهی و درک علائم حمله.
• افزایش میزان امنیت سیستم به کمک فایروال‌ها و آنتی‌ویروس‌ها.
• توجه به هشدارهای امنیتی و گزارش کوچک‎ترین تغییر مشهود در سیستم به متخصصان امنیت شبکه.

3. Phishing

فیشینگ، یک ایمیل، سرویس پیام کوتاه (SMS) یا Attack Vector مبتنی بر تلفن است که مهاجم را به عنوان یک فرستنده قابل اعتماد نشان می‌دهد تا هدف، فریب خورده، داده‌های حساس‌اش مانند ID ورود به سیستم یا جزئیات بانکی را به‌راحتی در اختیار هکرها قرار دهد؛ بدون آن‌که متوجه باشد این افراد، مجرم یا سارق اینترنتی هستند.

راهکار:

• استفاده از فیلترهای هرزنامه از سوی سازمان؛
• راه‌اندازی MFA= احراز هویت چندعاملی؛
• اطمینان از اصلاح و به‌روزرسانی نرم‌افزار و مسدود کردن وب‌سایت‌های مخرب؛
• برگزاری کلاس‌های آموزش و آشنایی با خطرهای امنیتی؛
• پرهیز از کلیک روی پیوندها در ایمیل سازمانی یا پیامک‌هایی با سرشناسۀ شرکت یا سازمان و اطمینان از هویت واقعی پیام پیش از هر اقدامی.

با این حال، بهترین راه برای دفاع در برابر فیشینگ این است که: فرض کنیم هر ایمیل، بخشی از یک حمله فیشینگ است.

3. Insider threats

تهدیدهای داخلی یا Insider threats به حمله‌هایی اشاره دارد که از داخل سازمان و از طریق کارمندانی رخ می‌دهد که اطلاعات محرمانه را در اختیار مهاجمان قرار می‌دهند.

البته، این کار، کاملاً با قصد و غرض قبلی است و هیچ‌گونه تصادفی در کار نیست. به‌عبارت بهتر، لفظ طعمه‌های ناآگاه یا مجرمانِ بی‌خبر درمورد این دسته از افراد، صادق نیست؛ عبارتی که برای کارمندان گرفتار آمده در حملۀ فیشینگ، مصداق دارد. کارکنان ناراضی یا کارمندان اخراج‌شده، بیش‌ترین گروهی‌اند که اطلاعات محرمانۀ شرکت یا سازمان را در اختیار مجرمان سایبری و هکرها قرار می‌دهند.

راهکار

معمولاً شناسایی افراد مخرب برای سازمان‌ها کمی دشوار است؛ اما تاحدامکان باید عوامل امنیتی را در نظر داشت. به‌عنوان مثال:

• محدودکردن دسترسی‌های قانونی برای کارمندان؛
• تعویض ID و شناسه‌های کاربری یا رمزهای دسترسی به سیستم پس از خداحافظی کارمند یا کارمندان؛
• نظارت دوره‌ای بر سیستم‌های در اختیار کارمندان و بررسی میزان آسیب‌پذیری یا امنیت آن‌ها.

4. Missing or weak encryption

این نوع حمله، تکنیکی است که معنای واقعی یک پیام را پنهان می‌کند و از داده‌های دیجیتال با تبدیل آن به کد یا متن رمزی، جلوگیری می‌نماید.حمله‌ای که منجر به انتقال داده‌های حساس در متن ساده می‌شود.

راهکار

• استفاده از روش‌های رمزگذاری قوی، از جمله رمزگذاری استاندارد، رمزگذاری پیشرفته (AES=Advanced Encryption Standard) ؛
• اطمینان از رمزگذاری درست اطلاعات حساس؛
• نظارت بر پروسۀ رمزگذاری درست اطلاعات حین استراحت، پردازش و یا انتقال.

5. Distributed Denial of Service (DDoS)

حمله DDoS زمانی اتفاق می‌افتد که مهاجم، با استفاده از چندین ماشین که به‌عنوان بات‌نت نیز شناخته می‌شود یک سرور را با ترافیک اینترنت مواجه می‌سازد. این امر از دسترسی کاربران به خدمات جلوگیری می‌کند و می‌تواند سایت سازمان را مخدوش نماید.

راهکار

• استفاده از فایروال برای فیلتر کردن و جلوگیری از ترافیک مخرب؛
• استفاده ازVPN و سایر اقدام‌های دفاعی- امنیتی که مانع از ترافیک دروغین اینترنت می‌شود و تعداد درخواست‌هایی که یک سرور می‌تواند دریافت نماید محدود می‌سازد.