پیامدهای قطعی بلندمدت اینترنت بر زیرساخت شبکه ایران

به‌گزارش پیوست، تقریباً تمام عملیات‌های بزرگ سایبری علیه ایران مانند استاکس‌نت، دوکو، فلیم، گاس، کارزار مدی و حتی بدافزارهای جدید تخریب‌گر در زنجیره تأمین، نخستین بار توسط شرکت‌های امنیتی خارجی (کاسپرسکی، سیمنتک و دیگران) کشف و تحلیل شدند. این شناسایی‌ها مبتنی بر نمونه‌ها و الگوهای ترافیکی ارسال‌شده از سیستم‌های متصل به ایران بود. قطع طولانی‌مدت اینترنت، ایران را از این پایش جمعی جهانی خارج می‌کند و امکان تکامل مخفیانه تهدیدهای اختصاصی علیه کشور را افزایش می‌دهد.

در کمتر از سه ماه گذشته اینترنت ایران دو بار قطعی اینترنت را تجربه کرد. طبیعتا به‌عنوان شهروندی که شاهد رخدادهای جاری کشور است یک درک نسبی به شرایط و دلایل تصمیمات داریم اما شواهد و تجربیات نشان می‌دهد، رویکردهایی که در مقاطع مختلف اتخاذ می‌شوند با تغییر شرایط نیاز به بازنگری جدی دارند در غیر این صورت ماهیتی برخلاف دلایل اولیه خود پیدا می‌کنند.

سیم‌کارت‌های سفید: معدن طلا برای حمله

اختصاص اینترنت صرفاً به افراد و نهادهای دولتی و حکومتی از طریق سیم‌کارت‌های سفید، نسبت سیگنال به نویز را معکوس می‌کند. هنگامی که ۹۲ میلیون شهروند ساکت هستند، هر بسته داده‌ای که از ایران خارج می‌شود به احتمال قریب به یقین متعلق به یک ابزار با ارزشی بالاتر از سطح عمومی است. این وضعیت برای تحلیلگران امنیتی، فرصتی نادر برای انگشت‌نگاری دیجیتال دقیق گروه‌های مهم و ترسیم مسیرهای زیرساختی فراهم می‌آورد.

به گفته یکی از مدیران عامل شرکت‌های امنیت سایبری: «اگر به سروری اجازه داده شود با جهان خارج صحبت کند در حالی که ۹۲ میلیون شهروند ساکت هستند، آن سرور طبق تعریف دارایی دولت است و این یک شاخص با اطمینان بالا برای نفوذ (IoC) محسوب می‌شود.» در چنین شرایطی، ترافیک فعال می‌تواند نقشه‌ای با وضوح شگفت‌آور از اولویت‌های دیجیتال کشور در اختیار مهاجمان قرار می‌دهد.

فروپاشی زنجیره امنیت

فارغ از بخش‌های دولتی و حاکمیتی، زیرساخت‌های حیاتی برای بخش خصوصی، از سوئیچ‌های هسته و فایروال‌های نسل جدید تا سیستم‌های عامل سرورها (مانند RHEL، CentOS و ویندوز سرور) برای دریافت وصله‌های امنیتی به اتصال به مخازن رسمی جهانی وابسته هستند که در شرایط عادی، وصله‌های بحرانی طی ۴۸ ساعت اول پس از انتشار اعمال می‌شوند. اما با قطعی اینترنت، هزاران گره شبکه در وضعیت آسیب‌پذیری باز باقی می‌مانند و گروه‌های تهدید (APT) از این پنجره برای نقشه‌برداری از زیرساخت استفاده می‌کنند. تجربه قطع بلندمدت اینترنت در خرداد نشان می‌دهد پس از برقراری ارتباط، طوفان به‌روزرسانی و اولویت‌های دیگر در مدیریت شبکه عملا نظارت بر لاگ‌ها و کنترل داده‌ها را به‌‌تاخیر می‌اندازد. در نتیجه مقابله با این تهدیدات برای صدها شرکت و سازمان اگر غیرممکن نباشد بسیار دشوار است.

‌نقطه شکست در برابر تهدیدات Zero-day

در شرایط قطعی، شبکه ملی جزیره که تمام سرویس‌های حیاتی از سامانه‌های بانکی و  پیام‌رسان‌های داخلی تا احراز هویت در آن متمرکز شده‌اند. اگر یک آسیب‌پذیری بحرانی منتشر شود، تیم‌های واکنش سریع (CERT/CSIRT) تا زمان وصل مجدد نمی‌توانند به تحلیل‌های بین‌المللی، امضای تشخیص برای سامانه‌های IDS/IPS و هات‌فیکس‌های رسمی دسترسی پیدا کنند.

در این فاصله، مهاجمی که از طریق رسانه‌های فیزیکی آلوده یا زنجیره تأمین وارد شده باشد، می‌تواند در کل شبکه پخش شود. در چنین سناریویی تعداد قربانی‌ها به صورت ویروسی تکثیر می‌شوند و کامل شبکه ملی منجر شود که بازیابی آن صدها برابر زمان قطعی طول می‌کشد.

این روزها اختلال در سرویس‌های داخلی با توجیه ضعف مدیریت یا منابع نادیده گرفته می‌شوند اما وقتی دسترسی به خدمات دیجیکالا که در کمپین‌های بلک فرایدی، میلیاردها درخواست در ساعت را مدیریت می‌کند، مختل می‌شود نشان می‌دهد مشکل نه در سمت این فروشگاه که بر بستر شبکه در حال تکثیر است. به‌عنوان یک کارشناس شبکه واقعا ساده‌انگارانه است که تصور کنیم صدها بات و کراولر ناشناخته و در کنار آنها ده‌ها بدافزار و جاسوس‌افزار در شبکه ملی به‌دنبال قربانی و روزنه‌های ورود در حال گردش نیستند. 

تشدید تهدیدات داخلی

بسیاری از سامانه‌های حیاتی برای احراز هویت چندعاملی (MFA) به سرویس‌های ابری یا سرورهای زمان (NTP) خارجی وابسته هستند. قطعی طولانی باعث چالش‌هایی مانند انحراف زمان (Time Drift) و از کار افتادن احراز هویت می‌شود که مدیران را به غیرفعال کردن موقت لایه‌های امنیتی ناچار می‌کند.

از سوی دیگر، مدیریت متمرکز لاگ‌ها (SIEM) که بر ارسال داده‌های تله‌متری متکی است، با اختلال مواجه می‌شود. بیش از یک ماه عدم مشاهده‌پذیری به این معناست که هرگونه فعالیت مخرب، در تاریکی مطلق عملیاتی رخ می‌دهد.

به‌دنبال مسدود شدن خدمات‌‌دهنده‌های اشتراک فایل خارجی و داخلی، جابه‌جایی انبوه اطلاعات با ابزارهایی مانند فلش وهارد اکسترنال در زمان قطعی، همراه با عدم امکان تحلیل رفتار کاربران (UEBA)، تیم‌های امنیتی را از شناسایی الگوهای غیرمعمول دسترسی به دیتابیس‌های حیاتی بازمی‌دارد و سطح حمله را به شدت افزایش می‌دهد.

توسعه ریسک‌های خفته

تجارب جهانی مانند حملات NotPetya یا حملات به شبکه برق نشان می‌دهد مهاجمان در فازهای قطع ارتباط، بدافزار و جاسوس‌افزار در تجهیزات و نرم‌افزارهای به‌روزرسانی‌نشده کاشت می‌کنند تا در لحظه اتصال مجدد، حداکثر بهره‌برداری را اعمال کنند.

شبکه داخلی ایران در طول قطعی، فاقد هوشیاری موقعیتی نسبت به تهدیدات جهانی است. اگر به‌‌عنوان مثال یک باج‌افزار با قابلیت انتشار خودکار در این ۶۰۰ ساعت در جهان شیوع یافته باشد، کشور در لحظه اتصال بدون داشتن امضای تشخیص یا وصله، به «بیمار صفر» (Patient Zero) آلودگی منطقه‌ای تبدیل خواهد شد.

جمع‌بندی

قطع اینترنت به عنوان یک اقدام تاکتیکی موقت، اگر از ۷۲ ساعت فراتر رود، به دلیل انباشت آسیب‌پذیری‌ها، از کار افتادن دفاع لایه‌ای، گسترش سطح حمله داخلی و تشدید حملات سایبری همان‌گونه که در سه دوره قطعی تجربه شد، نه تنها امنیت را تأمین نمی‌کند، بلکه شبکه ملی را در معرض خطر فروپاشی سیستمی قرار می‌دهد.

بازگشت تدریجی با رویکرد لیست سفید دسترسی محدود به منابع حیاتی مانند وصله‌های امنیتی، اطلاعات تهدیدهای جدید و سرویس‌های ضروری ابری می‌تواند ضمن حفظ ایزوله‌سازی نسبی، تاب‌آوری و پایش جهانی را بازیابی کند. حاکمیت پایدار بر زیرساخت‌های ارتباطی در گرو جریان مستمر اطلاعات امنیتی و توانایی به‌روزرسانی پویاست؛ دو رکنی که قطعی‌های ممتد آن را به طور سیستماتیک نابود می‌کنند.