نیست بر لوح دلم جز الف قامت یار

جامعه خبری تحلیلی الف

خطر واقعی وقتی است که همه‌چیز آرام به‌نظر می‌رسد!

محمد اصغری؛ عضو کمیسیون افتا نصر کشور، گروه سیاسی الف،   4050126002 ۱۱ نظر، ۰ در صف انتشار و ۱۲ تکراری یا غیرقابل انتشار

چرا سازمان‌ها در دوره‌های سکوت، بیشتر از همیشه در معرض نفوذ هستند؟

در ذهن عمومی، آتش‌بس مترادف با آرامش است. اما در فضای سایبری، این آرامش می‌تواند گمراه‌کننده باشد.

در بسیاری از رخدادهای مهم سال‌های اخیر، مرحله‌ای وجود دارد که تقریباً هیچ نشانه‌ای از حمله دیده نمی‌شود اما دقیقاً در همان زمان، مهاجم در حال تثبیت حضور خود در شبکه است.
این مرحله، در ادبیات امنیتی با عنوان Pre-positioning شناخته می‌شود: نفوذی که امروز دیده نمی‌شود، اما فردا می‌تواند به یک اختلال گسترده تبدیل شود.

سکوت لاگ‌ها؛ لزوماً نشانه امنیت نیست
یکی از خطاهای رایج در سازمان‌ها، ارزیابی امنیت بر اساس «نبود هشدار» است.
در حالی‌که بسیاری از حملات پیشرفته، بدون ایجاد آلارم‌های کلاسیک انجام می‌شوند. در اینجا یک تغییر پارادایم ضروری است: امنیت یعنی توانایی کشف رفتار غیرعادی نه صرفاً جلوگیری از بدافزار شناخته‌شده

به همین دلیل، رویکردهای جدید بر تحلیل رفتار (Behavioral Detection) و نه صرفاً Signature تکیه دارند.

نقطه کور واقعی در سازمان‌های ایران: تمرکز و اتصال بیش‌ازحد
برخلاف تصور رایج، چالش اصلی بسیاری از سازمان‌های ایرانی «وابستگی به خارج» نیست؛
بلکه ساختارهای بیش‌ازحد متمرکز و به‌هم‌پیوسته (Tightly Coupled) است.

در بسیاری از زیرساخت‌ها:
احراز هویت متمرکز است
دیتاسنتر واحد است
سرویس‌ها وابستگی زنجیره‌ای دارند
نتیجه: یک اختلال کوچک می‌تواند به اثر دومینویی (Cascade Failure) تبدیل شود.

حمله همیشه با بدافزار شروع نمی‌شود
در حملات مدرن، مهاجم اغلب از ابزارهای خود سیستم استفاده می‌کند؛ مفهومی که با عنوانLiving off the Land (LOLBins) شناخته می‌شود. یعنی: بدون نصب بدافزار، با استفاده از PowerShell، WMI یا ابزارهای داخلی و در قالب رفتار «ظاهراً عادی»، در چنین شرایطی، آنتی‌ویروس سنتی عملاً دیدی نسبت به تهدید ندارد.

تهدید واقعی: از کار افتادن، نه فقط نفوذ
تحلیل رخدادهای واقعی نشان می‌دهد که هدف بسیاری از حملات، سرقت اطلاعات نیست، بلکه:
ایجاد اختلال در سرویس
از کار انداختن فرآیندها
و ضربه به تداوم کسب‌وکار است.

به بیان ساده‌تر:
اگر سرویس شما متوقف شود، حتی بدون نشت داده، شکست رخ داده است.

امنیت واقعی؛ از ابزار به سناریو تغییر کرده است
در رویکردهای جدید، داشتن ابزار کافی نیست. سازمان باید بداند: 
اگر احراز هویت از کار افتاد چه می‌کند؟
اگر دیتابیس اصلی از دسترس خارج شد چه؟
اگر شبکه داخلی segment شد چه اتفاقی می‌افتد؟
بدون این سناریوها، امنیت فقط روی کاغذ وجود دارد.
نقش فناوری؛ مهم، اما نه تعیین‌کننده
امروزه استفاده از راهکارهای تشخیص و پاسخ پیشرفته (مانند EDR/XDR) به یک ضرورت تبدیل شده است.
این ابزارها با تحلیل رفتار، می‌توانند تهدیدات پنهان را آشکار کنند.

در بازار ایران نیز، برخی راهکارهای سازمانی مانند Seqrite EDR در همین راستا مورد استفاده قرار می‌گیرند. اما تجربه جهانی نشان داده:
 ابزار بدون فرآیند و تیم آماده، تفاوتی ایجاد نمی‌کند.

جمع‌بندی: خطر از جایی شروع می‌شود که دیده نمی‌شود
در دنیای امروز، حمله زمانی رخ نمی‌دهد که شروع شود، بلکه زمانی رخ داده که شما آن را کشف می‌کنید.
آتش‌بس، اگر به‌درستی درک نشود، می‌تواند به خطرناک‌ترین دوره برای سازمان‌ها تبدیل شود:
دوره‌ای که مهاجم آرام کار می‌کند
و مدافع، احساس امنیت دارد
و در این بازی، تنها یک طرف غافلگیر خواهد شد.