قطع اینترنت؛ کاهش حمله یا افزایش آسیب‌پذیری؟

بهناز ملکی تحریریه

۵ اسفند ۱۴۰۴

زمان مطالعه : ۹ دقیقه

قطع اینترنت، براساس نظر کارشناسان حوزه امنیت اینترنت، می‌تواند به تضعیف امنیت سایبری کشور منجر شودچرا که این تصمیم در عمل زیرساخت‌های حیاتی را در معرض آسیب‌های جدی‌تری قرار می‌دهد. تکرار چنین تصمیمی، به باور این کارشناسان، احتمال وقوع یک سورپرایز بزرگ از جنس حملات سایبری را افزایش می‌دهد؛ سناریویی که در آن ممکن است ده‌ها وزارتخانه و نهاد دولتی به‌طور همزمان هدف حمله هکرهای خارجی قرار گیرند و از دسترس خارج شوند.

به گزارش پیوست، چندی پیش افتای ریاست جمهوری اعلام کرد که قطع اینترنت باعث شده است تا دسترسی مهاجمان سایبری خارجی به سامانه‌ها به‌طور محسوسی کاهش یابد و آمار حملات به ۴۰۰ رخداد برسد که بخش عمده‌ای از آن با منشا داخلی صورت گرفته است.

آن چه در اخبار فتا و صحبت کارشناسان امنیت سایبری روشن است، متوقف نشدن حملات با وجود قطع اینترنت است. این درحالی است که حاکمیت در بسیاری از موارد یکی از دلایل ایران اکسس کردن سایت‌ها را جلوگیری از حمله سایبری خارجی عنوان می‌کند.

به گفته کارشناسان شاید با قطع اینترنت در مدت کوتاهی بتوان جلوی حملات خارجی را گرفت اما نمی‌توان حملات را به صفر رساند؛ چرا که مهاجمان از سویی نقطه حمله خود را از خارج به داخل تغییر می‌دهند و از سوی دیگر بعد از یک دوره قطعی اینترنت امنیت سایبری سازمان‌ها و نهادها و کسب‌وکارها به دلیل دریافت نکردن به‌روزرسانی‌ها و پچ‌های امنیتی در لایه‌ها و سطوح مختلف شکننده‌تر می‌شود و تعداد زیادی از حمله کنندگان بعد از اتصال اینترنت می‌توانند به راحتی لایه‌های امنیتی تضعیف شده را شناسایی کنند و قبل از این که کارشناسان داخلی بتوانند اقدامی موثر انجام دهند حملات خارجی در مقیاسی بزرگ‌تر انجام می‌شود.

حملات خارجی متوقف می‌شوند اما اینسایدر اتک‌ها ادامه پیدا می‌کنند

محمدمحسن خاشعی‌نژاد، مشاور امنیت بانک پارسیان، می‌گوید به طور کلی با قطع اینترنت حمله سایبری خارجی متوقف می‌شود اما همچنان اینسایدر اتک وجود دارد چرا که همچنان شبکه ملی اطلاعات کار می‌کند و بسیاری از سامانه‌ها و وزارتخانه‌ها از آن استفاده می‌کنند.

قطع اینترنت مانند یک شمشیر دولبه عمل می‌کند و می‌تواند بسیار خطرناک باشد زیرا به محض این که اینترنت متصل شود کارشناسان امنیتی در وضعیتی قرار می‌گیرند که کاری از دستشان ساخته نیست.
محمدمحسن خاشعی‌نژاد، مشاور امنیت بانک پارسیان

خاشعی می‌گوید در زمان قطع اینترنت آسیب‌پذیری‌‌ها همچنان منتشر می‌شوند درحالی که در داخل کشور امکان دسترسی به به‌روزرسانی‌ها و پچ‌های امنیتی وجود ندارد: «زمانی که این آسیب‌پذیری‌ها مشخص می‌شود PoC یا Exploit آن نیز در اختیار هکرهای جهان قرار می‌گیرد. این هکرها از قبل می‌دانند که سازمان‌های ایرانی از چه فناوری‌هایی استفاده می‌کنند. برای مثال حتی می‌دانند که از چه فناوری ایمیل و ارسال پیام استفاده می‌شود. در دو هفته قطعی اینترنت آسیب‎پذیری‌های زیادی منشتر شدند برای مثال برای اتوماسیون اداری N ۸ N و اسمارتر‌میل‌ها آسیب‌پذیری‌های کریتیکال با درجه ۹/۰۸ مطرح شد.»

به گفته او کافی است تا اینترنت متصل شود و تمام هکرها از این آسیب‌پذیری‌ها استفاده کنند و در کوتاه‌ترین زمان نفوذ کنند؛ درحالی که کارشناسان داخلی برای تسلط بر اوضاع بعد از اتصال حداقل ۴۸ ساعت زمان نیاز دارند.

او با اشاره به این موضوع که یکی وزارتخانه‌ها قربانی حمله هکرها بعد از اتصال اینترنت بوده است توضیح می‌دهد: «قطع اینترنت مانند یک شمشیر دولبه عمل می‌کند و می‌تواند بسیار خطرناک باشد زیرا به محض این که اینترنت متصل شود کارشناسان امنیتی در وضعیتی قرار می‌گیرند که کاری از دستشان ساخته نیست و این به نفع هکرها است چرا که تیم‌های APT در مقیاس گسترده شروع به حملات هکری می‌کنند و ایران بهشت هکرها می‌شود.»

ایمان فرهی، کارشناس امنیت سایبری و مدیرعامل شرکت ارتباطات فرآموز کیان‌مهر نیز با نظر مشابهی توضیح می‌دهد: « امروز امنیت سایبری مبتنی بر بر دید و شفافیت نسبت به تهدیدات است. اگر ارتباط قطع شود، این دید کاهش پیدا می‌کند و توان تشخیص تهدید کاهش می‌یابد؛ در نتیجه پاسخ به رویداد هم ضعیف‌تر می‌شود. بسیاری از سامانه‌های SOC و ابزارهایی مثل SIEM وابسته به دیتای جهانی و فیدهای تهدید هستند. اگر این ارتباط محدود شود، تشخیص حملات جدید سخت‌تر می‌شود و تیم پاسخ‌گویی به رویداد عملا با تاخیر و ضعف عمل می‌کند.»

فرهی درباره برگشت نقطه آغاز حملات از خارج به داخل عنوان می‌کند: «نکته مهم دیگری که کمتر درباره آن صحبت می‌شود افزایش ریسک داخلی است. وقتی دسترسی رسمی محدود می‌شود، کاربران به سمت ابزارهای غیررسمی مثل VPNهای ناشناس می‌روند. بسیاری از این ابزارها آلوده به بدافزار یا تروجان هستند. استفاده گسترده از ابزارهای غیررسمی، سطح حمله داخلی را افزایش می‌دهد و ریسک اینسایدر اتک بالا می‌رود. در واقع، محدودیت دسترسی رسمی می‌تواند رفتار غیررسمی و ناامن را افزایش دهد و این خود یک تهدید جدی است.»

او در ادامه عنوان می‌کند: «در مورد موج حملات بعد از وصل شدن اینترنت هم باید بگویم مسئله این نیست که ناگهان حملات جدیدی خلق شده باشد. استانداردی مانند NIST 800-53 را داریم که می‌گوید اگر از یک حادثه درس نگیرید، محکوم به تکرار آن هستید. وقتی اینترنت قطع شد، حملات خارجی ممکن است کاهش یافته باشد، اما اگر در این مدت معماری اصلاح نشده باشد، به‌محض برقراری ارتباط دوباره همان آسیب‌پذیری‌ها فعال می‌شوند و حملات تکرار می‌شود.»

فرهی درباره نرم‌افزارها می‌گوید:‌ «مشکل دیگر استفاده از نرم‌افزارهای کرک‌شده و تجهیزات قدیمی است. بسیاری از سازمان‌ها به‌دلیل تحریم‌ها از نسخه‌های کرک استفاده می‌کنند و آپدیت رسمی دریافت نمی‌کند. از طرف دیگر، تجهیزات سخت‌افزاری فرسوده و سرورهای استوک که عمر مفیدشان تمام شده وارد کشور می‌شود. این یعنی زیرساخت از نظر سخت‌افزاری و نرم‌افزاری هم به‌روز نیست و طبیعتا آسیب‌پذیرتر است.»

هکرهایی که در شبکه خانه کرده‌اند

ضعف در زیرساخت‌ها امنیتی و وابستگی بی‌چون چرای تامین امنیت سایبری به اینترنت یک سوال اساسی ایجاد می‌کند: «با توجه به این که قطع اینترنت یک تصمیم تکرار شونده در کشور است، ‌باید منتظر چه نتایجی باشیم؟ خاشعی در پاسخ به این سوال می‌گوید: «باید به این نکته توجه شود که گروه APT که می‌خواهد حمله کند از مدت‌ها قبل در شبکه حاضر است و منطقی است که زمان حمله را اعلام نمی‌کند اما در هر صورت مدت‌هاست که برای حمله برنامه‌ریزی کرده است.»

او با اشاره به سابقه خود در سمت مشاور امنیتی صدا و سیما می‌گوید:‌ «در سایت گروه هکری حمله‌کنندکان به صدا و سیما اعلام شد که این گروه حداقل ۶ ماه در شبکه حضور داشته‌اند، هکرهایی که در شبکه حضور دارند قطعا ما را غافلگیر خواهند کرد برای مثال فرض کنید گروه گنجشک درنده ناگهان ده سامانه را با هم مورد حمله قرار می‌دهد و ده وزارتخانه را همزمان از پا می‌اندازد.»

محمدمحسن خاشعی‌نژاد، مشاور امنیت بانک پارسیان

خاشعی می‌گوید هک نوبیتکس نیز با چنین روندی اتفاق افتاده و حاصل حمله یک روزه نبوده است: «حمله کنندگان از چند ماه قبل از طریق سیستم یکی از همکاران نوبیتکس در سیستم نفوذ کرده بودند. در نتیجه وقتی اینترنت قطع می‌شود دسترسی‌های این هکرها هم بیشتر می‌شود چرا که به نودهای بیشتری دسترسی پیدا می‌کنند و با قطعی‌های مکرر این دسترسی‌ها گسترده‌تر هم می‌شود و به موقع فرصتی پیدا می‌کنند و حمله غافل‌گیرانه و گسترده خود را انجام می‌دهند. در نتیجه قطعا و حتما با سورپرایز سایبری مواجه خواهیم شد.»

میزان حملات نامشخص اما زیاد است

بر اساس گفته کارشناسان اکنون در موج غافلگیرانه حملات سایبری نیستیم اما تعداد حملات کم هم نیستند. ایمان فرهی می‌گوید تعداد این حملات زیاد است اما میزان دقیق مشخص نیست: «در ایران سامانه‌ای برای نشان دادن میزان حملات سایبری نداریم. حتی یک CPI ملی هم نداریم و به صورت جدی نیازمند سامانه‌ای هستیم که دقیقا نشان دهد به چه مرکزی چه حملاتی صورت گرفته است البته لازم نیست این اطلاعات حتمابا جزئیات زیاد منتشر شوند.»

به گفته او افتا آمارهایی مانند ۵ هزار حمله را منتشر می‌کند اما به دلیل مشخص نبودن الگو حمله و تعداد سامزان‌ها مورد حمله این آمارها کافی نیستند.

او درباره حدود میزان حملات می‌گوید: « می‌توان گفت در ساعت اولیه اتصال اینترنت حداقل میزان حملات ۱۰ برابر افزایش می‌یابد. اکنون ما با شرکت‌های امنیتی بسیاری تعامل می‌کنیم که اذعان دارند قطع اینترنت به نفع آنها نیست چرا که از محصولات امنیتی خارجی استفاده می‌کنند و قادر به دریافت پچ‌های امنیتی نیستند.»

اما در این میان نقش شبکه ملی اطلاعات چه خواهد بود؟ آیا این شبکه می‌تواند جلوی حملات خارجی را بگیرد؟ خاشعی می‌گوید: «موضوع اینجاست که اینترت در داخل قطع می‌شود، اما اینترنت در جهان قطع نشده است. در اینجا یک KILL SWICH وجود دارد که ارتباطات را قطع می‌کند این درحالی است که هنوز اینترنت ماهواره‌ای و استارلینک هنوز هم وجود دارد و برای گروه‌های هکری هم هزینه کردن برای اینترنت ماهواره‌ای و استارلینک را به راحتی انجام می‌دهند. به اعتقاد من دلیل قطع اینترنت تنها این بود که افراد نتوانند در شبکه‌های اجتماعی کار اطلاع‌رسانی را انجام دهند و فلسفه اصلی قطع اینترنت در واقع همین موضوع بود نه این که اینترنت را قطع کنیم تا حمله سایبری کمتر شود.»

می‌توان گفت در ساعت اولیه اتصال اینترنت حداقل میزان حملات ۱۰ برابر افزایش می‌یابد. اکنون ما با شرکت‌های امنیتی بسیاری تعامل می‌کنیم که اذعان دارند قطع اینترنت به نفع آنها نیست چرا که از محصولات امنیتی خارجی استفاده می‌کنند و قادر به دریافت پچ‌های امنیتی نیستند.
ایمان فرهی، کارشناس امنیت سایبری

فرهی در ادامه این توضیح می‌گوید: «امنیت پایدار با تقویت معماری، آموزش کاربران و پیاده‌سازی درست استانداردها حاصل می‌شود، نه با قطع ارتباط. قطع ارتباط شاید در شرایط خاص به‌عنوان یک اقدام مدیریتی کوتاه‌مدت قابل دفاع باشد، اما راه‌حل بلندمدت نیست. امنیت پایدار یعنی معماری درست، مانیتورینگ مستمر، آپدیت مداوم و افزایش تاب‌آوری.»

به جای ایزوله کردن اینترنت معماری شبکه را تغییر دهیم

ایمان فرهی در ادامه می‌گوید به جای ایزوله کامل اینترنت بهتر است ساختار معماری تمام شبکه به‌گونه‌ای طراحی شود تا جلوی نفوذ به صورت حداکثری گرفته شود: «در مورد معماری شبکه، منظور فقط اینترنت نیست؛ بلکه کل ساختار شبکه باید تغییر کند. مثلا در بسیاری از سازمان‌ها ماشین‌های مجازی به‌درستی ایزوله نشده‌اند. اگر یک سرور فرعی آلوده شود، مهاجم می‌تواند از طریق همان، به سرورهای حیاتی مثل دامین کنترلر دسترسی پیدا کند. در حالی که با سگمنتیشن درست شبکه، ایزوله‌سازی، فیلترینگ هوشمند و کنترل نرخ ترافیک می‌توان جلوی گسترش حمله را گرفت. به‌جای ایزولیشن کامل، باید کنترل هوشمند و معماری درست داشت.»

او در پایان می‌گوید: «در نهایت، اگر بخواهیم به امنیت پایدار برسیم، باید به سمت معماری مبتنی بر Zero Trust، سگمنتیشن شبکه، به‌روزرسانی مستمر، آموزش کاربر و تقویت ساختار پاسخ به رویداد برویم. قطع ارتباط شاید در کوتاه‌مدت فشار حملات خارجی را کاهش دهد، اما امنیت پایدار نمی‌سازد. امنیت پایدار حاصل معماری درست، اینتلیجنس به‌روز و تاب‌آوری واقعی است، نه صرفا ایزوله‌سازی.»

در شرایطی که حملات سایبری ماهیتی پیچیده، مداوم و چندلایه پیدا کرده‌اند و گروه‌های مهاجم ماه‌ها پیش از اجرای حمله در شبکه‌ها حضور دارند، تکیه بر «ایزوله‌سازی مقطعی» بیش از آنکه راه‌حل باشد، تعویق یک بحران است. پرسش اصلی اکنون این نیست که با قطع اینترنت چند حمله کمتر شده، بلکه این است که در زمان اتصال دوباره، زیرساخت‌ها تا چه اندازه برای موج بعدی آماده‌اند.

این مطالب را هم بخوانید: