آگاهی وضعیتی، رکن اصلی دفاع فعال سایبری

ایجاد آگاهی وضعیتی فضای سایبری در نسل آینده سیستم‌های تشخیص و شناسایی حملات سایبری به نوعی نقش اساسی در زمینه دفاع فعال را ایفا می کند.

با نفوذ، توسعه و گسترش سایبری در صنایع زیرساختی مهم و همچنین در بطن جامعه و زندگی افراد، مخاطرات و تهدیدات این عرصه نیز به‌روزتر و پیچیده‌تر شده است. تعیین یک موضع دفاعی مناسب برای رویارویی با حملات ناشناخته سایبری نیازمند تبیین و ایجاد یک چارچوب مناسب در زمینه جمع‌آوری اطلاعات از وضعیت موجود است تا بتواند با شناسایی هدف حملات، رخدادهای آتی را پیش‌بینی و درنتیجه از خطرات احتمالی پیشگیری کند. آگاهی وضعیتی یک فرآیند شناختی است که شامل درک شرایط محیط، فهم معنای آن‌ها و تجسم وضعیت آن‌ها در آینده است.

در حال حاضر برای تشخیص و شناسایی حملات به‌صورت خودکار و گزارش فوری رویدادهای ناشی از تهدیدات سایبری، از سیستم پایه آشکارسازی مبتنی بر حالت، آشکارسازی آنومالی آماری، آنالیز ترافیک، الگوی رفتار تهدید و قالب الگوی شناخته‌شده استفاده می‌شود. از‌این‌جهت، سامانه‌ها در حال جست‌و‌جو و شناسایی رفتارهای غیرعادی ناشی از حملات سایبری هستند و بر اساس تغییر رفتار در طول زمان و مقایسه آن با رفتارهای قبلی یک رویداد در سیستم عمل می‌کنند. با وجود پیشرفت‌های چشم‌گیر در زمینه تشخیص و شناسایی حملات سایبری، هنوز هم بسیاری از متختصصان حوزه امنیت سایبری بر این باورند که سامانه‌های تشخیص و شناسایی بلادرنگ از لحاظ فنی برای آشکارسازی حملات سایبری پیچیده به اندازه کافی پیشرفت مطلوبی نداشته‌اند.

 

به‌کارگیری از ادغام داده‌ها و اطلاعات حاصل از عامل‌های توزیع‌شده ناهمگن در سیستم‌های تشخیص و شناسایی حملات سایبری، امکان توسعه سامانه تشخیص و شناسایی حملات سایبری با قابلیت اطمینان بالا برای شناسایی، ردگیری و ارزیابی وضعیت فضای سایبری که تحت تأثیر تهدیدات پیچیده متعدد هستند را فراهم می‌کند.

ایجاد آگاهی وضعیتی فضای سایبری در نسل آینده سیستم‌های تشخیص و شناسایی حملات سایبری با بهره‌گیری از فناوری ادغام داده‌های چند حسگری چارچوب مناسبی برای عملکرد آن ایجاد می‌کند. فناوری نام‌برده با به‌کارگیری مشاهدات توزیع‌شده، داده‌های حاصل از چندین حسگر و منابع را باهم ترکیب کرده تا بدین طریق بتواند رویدادها، فعالیت‌ها و وضعیت‌های یک فضای سایبری را با درجه اطمینان بالایی شناسایی کنند. این موضوع با فرآیندهای شناختی انسان یعنی همان‌جایی که مغز انسان اطلاعات حسی ناشی از ارگان‌های مختلف بدن را باهم ترکیب کرده تا وضعیت‌ها را ارزیابی، تصمیمات مناسبی را اتخاذ و اقدامات به‌موقع و مناسبی را به اجرا درآورد مقایسه می‌شود.

بر اساس ویژگی‌های حوزه سایبری، هدف ایده آل در این عرصه فعالیت‌های دفاع سایبری، دستیابی به سامانه‌های جدید برای تشخیص، شناسایی و تجسم حملات سایبری است. در این راستا فعالیت‌های گسترده‌ای در زمینه آگاهی وضعیتی سایبری لازم است صورت گیرد. از‌این‌رو، بجای نگهداری حجم انبوهی از هشدارها، با ادغام آن‌ها آگاهی وضعیتی بهتری از حملات سایبری ایجاد خواهد شد و اهداف اصلی دفاع سایبری اعم از شناسایی حمله، شناسایی روابط میان حملات و پیش‎بینی اثرات حمله محقق خواهد شد. به‌عبارت‌دیگر، ادغام اطلاعات نقش بسزایی در ارتقا آگاهی وضعیتی و پیش‌بینی تهدیدات سایبری در حجم انبوه داده‌های جمع‌آوری‌شده از منابع مختلف دارد.

ایجاد آگاهی وضعیتی سایبری بر اساس ادغام اطلاعات سطح بالا در شبکه‌های اطلاعاتی و ارتباطی جنگ‌های شبکه‌مدار ضمن ایجاد دسترسی، یکپارچگی و محرمانگی اطلاعات منجر به بهبود تصمیم‌گیری به‌موقع و مناسب در تمامی سطوح فرماندهی می‌شود. درنتیجه، با بهبود آگاهی وضعیتی سایبری از طریق ادغام اطلاعات، قادر به تفکیک و تلخیص اطلاعات مفید در جهت ارائه به فرماندهان خواهیم بود. این اطلاعات برای کاهش عدم قطعیت و افزایش اعتماد در تصمیم‎گیری کنار هم قرار می‌گیرد و موارد غیرمطمئن و درصد عدم اطمینان هر مورد نیز دقیقاً مشخص می‌شود تا فرماندهی بتواند با بهره‌گیری از آگاهی ایجاد شده تصمیم‌گیری مناسب‌تری را به اجرا درآورد. باوجود تلاش‌های بسیار در به‌کارگیری و توسعه ادغام اطلاعات سطح بالا، این نوع ادغام نه‌تنها در حوزه سایبری بلکه در سایر حوزه‌ها نیز در مراحل ابتدایی تحقیقاتی قرار دارد. ازاین‌رو، استفاده از الگوی ارائه‌شده، آگاهی وضعیتی سایبری مبتنی بر ادغام اطلاعات می‌توان:

1.   الگوهای خاص هر حمله در سیستم را پیش‌بینی و آسیب‌پذیری‌های شبکه که برای حمله‌کنندگان بسیار است را تحلیل و بررسی کرد.

2.   تهدیداتی را که به‌مثابه بردار حمله بوده یا الگوهایی که پتانسیل یک حمله ضربه‌ای را دارند شناسایی کرد.

3.   حملات سایبری چندمرحله‌ای و هماهنگ را ردگیری کرد و تجسمی از وضعیت آینده این نوع حملات را ارائه داد.

دفاع فعال سایبری که در بسیاری از موارد با دفاع غیرفعال تلاقی و مشترکاتی دارد، از آگاهی وضعیتی برای اشراف بر روند رویدادها به‌صورت لحظه‌ای بهره می‌گیرد. دفاع سایبری مشمول یک چرخه چهار گامی است که در آن‌همه این گام‌ها برای دفاع و رفع یک تهدید می بایست صورت پذیرد. گام‌های این چرخه شامل شناسایی هوشمندانه تهدید، مانیتورینگ، واکنش و پاسخ به رویداد، ایجاد تغییر و اصلاح محیطی شبکه می‌شود.

در گام نخست این چرخه که شناسایی تهدید می‌باشد، سامانه‌های تشخیص نفوذ برخط به ما کمک می‌کنند تا هرگونه تعرض و حمله شبکه ‌داخلی را ردیابی می‌کنند. نظارت و بررسی که به‌عنوان گام بعدی این چرخه محسوب می‌شود به رصد وضعیت شبکه و میزان آسیب‌پذیری یا میزان نفوذ یک تهدید به لایه‌های شبکه می‌پردازد. گام سوم که پاسخگویی به حمله می‌باشد، به اقداماتی از قبیل مسدودسازی و رفع تهدید یا حمله متقابل اشاره می‌کند. در گام نهایی که تغییر و اصلاح محیط شبکه نامیده می‌شود به پچینگ و رفع آسیب‌پذیری موجود در شبکه اشاره می‌کند. از‌این‌رو، برای دست‌یابی به این امر مهم لازم است تا با ایجاد واحدی برای آگاهی وضعیتی تهدیدات آتی را پیش‌بینی و برای پیگیری از بروز آن‌ها تصمیم‌های لازم را اتخاذ کرد.

ادغام اطلاعاتی سطح بالا پیش‌تر اشاره شد توسط پژوهشگرانی چون گلینتون (Glinton) و همکاران وی به‌منظور پیش‌بینی حرکت دشمن در آینده استفاده شد که این عمل با ادغام اطلاعات فعالیت‌ها، دکترین و اطلاعات مربوط به محیط عملیات صورت گرفته بود. سایدین بلد (SidenBladh) و همکاران وی پیشنهادی را به‌منظور ارتقا سطح آگاهی تهدید با مقایسه پیش‌بینی تهدیدهای مختلف ارائه داده‌اند.

یکی از مهم‌ترین تعاریفی که از آگاهی وضعیتی موجود است مربوط به دکتر اریک اندسلی (Eric Endsley ) است. اندسلی آگاهی وضعیتی را در سه سطح آگاهی از وضعیت (perception)، درک وضعیت (comprehension) و تجسم وضعیت (projection) مطرح می‌کند.

 

سطح اول- آگاهی از وضعیت

آگاهی نشانه‌ها یک موضوع حیاتی و بسیار مهم به شمار می‌رود و بدون آگاهی اولیه از اطلاعات مهم، احتمال شکل‌گیری تصویری نادرست از یک موضوع به‌شدت افزایش می‌یابد. در این سطح به این سؤال پاسخ داده می‌شود که واقعیت‌های فعلی چیست؟

 

سطح دوم- درک وضعیت

آگاهی وضعیتی نه‌تنها مفهومی فراتر از آگاهی یا توجه صرف به اطلاعات دارد بلکه یکپارچه‌سازی تکه‌های مختلف اطلاعات، تعیین ارتباطات کیان آن‌ها و اهداف کاربر را نیز دربر می‌گیرد. این موضوع درست شبیه به تفاوت میان سطح بالایی از درک مطلب نسبت به خواندن لغات به‌صورت مستقل است. درمجموع این سطح به این سؤال پاسخ می‌دهد که چه اتفاقی می‌افتد.

 

سطح سوم- تجسم

در بالاترین سطح آگاهی وضعیتی که مبتنی بر بالاترین سطح درک از وضعیت است، توانایی آینده‌نگری رویدادهای مربوط به هر وضعیت و کاربر مطرح خواهد بود. این توانایی برای تجسم رویدادهای دینامیک جاری به سمت رویدادهای آتی مورد انتظار، امکان تصمیم‌گیری به‌موقع را فراهم می‌کند.

 

سطوح آگاهی وضعیتی برای همه حوزه‌ها یکی تعریف شده و ماهیت آگاهی وضعیتی و سازوکارهای مورداستفاده برای اکتساب آن نیز می‌تواند، به‌صورت کلی تعریف شود ولی میزان نیاز به آن در هر حوزه بنا به نوع عملیات، اهمیت، حساسیت و عناصر تشکیل‌دهنده آگاهی وضعیتی با یکدیگر متفاوت است. به‌طور مثال آگاهی وضعیتی در یک تصمیم‌گیرنده نظامی (یک فرمانده تاکتیکی) با سایر حوزه‌های دیگر مانند سایبری متفاوت خواهد بود؛ بنابراین می‌توان گفت آگاهی وضعیتی به تحقق مجموعه‌ای از فعالیت‌ها در قالب فرآیندهای یکپارچه و شناسایی فعالیت‌های مشخص بین‌حوزه‌ای وابسته است.

اگر فضای سایبری را به‌عنوان عرصه پنجم فضای نبرد بعد از زمین؛ دریا، هوا و فضا در نظر بگیریم، آگاهی وضعیتی سایبری با آگاهی وضعیتی فیزیکی همپوشانی خواهند داشت؛ زیرا تهدیدات و حملات در فضای سایبری مأموریت‌های دفاعی را تحت تأثیر قرار می‌دهند. ازاین‌رو، بسیار مهم است تا آگهی وضعیتی سایبری را با آگاهی وضعیتی فیزیکی یکپارچه کنیم. ترکیب این دو آگاهی وضعیتی این امکان را فراهم می‌سازد تا آشکارسازی، پیش‌بینی، ممانعت و پاسخ‌ بهتری در برابر حملات در هر فضایی داشت.

جنگی که در آینده‌ای نه‌چندان دور به وقوع خواهد پیوست جنگ اطلاعاتی است. منظور از جنگ اطلاعاتی جمع‌آوری و در اختیار داشتن اطلاعات نیست بلکه پردازش اطلاعاتی که به‌صورت آشکار در سطح وب و شبکه‌های اجتماعی و دیگر بسترهای انتشار سازی داده‌ها می‌توان انجام داد تا این اطلاعات از حالت عمومی (public) به حالت اختصاصی (private) تبدیل شود. به‌عبارت‌دیگر تبدیل داده‌های عمومی به داده‌های منحصربه‌فرد و اختصاصی مهم‌ترین بخش آگاهی وضعیتی و در درجه بالاتر مهم‌ترین بخش دفاع فعال سایبری است.

نحوه عملکرد مکانیسم جمع‌آوری و داده‌کاوی به این صورت است که سامانه‌های جمع‌آوری اطلاعات از بستر شبکه‌های اجتماعی و مشاوره دیجیتال مارکتینگ دیگر بسترهایی که افراد به انتشار مطالب می‌پردازند داده‌ها را جمع کرده و به بستری تحت عنوان مخزن داده منتقل کرده و در آنجا نگهداری می‌کنند.

اطلاعات جمع‌آوری‌شده در طی یک فرآیند ابتدائی پردازش مقدماتی می‌شوند و سپس مورد تحلیل و بررسی قرار می‌گیرند. پس از مطالعه و بررسی‌های لازم روی این اطلاعات می‌توان به مرحله برآورد تهدید (Risk management) رسید تا خطرات و تهدیدات موجود و آتی را پیش‌بینی کرده و تصمیم‌های لازم را اتخاذ کرد. در مرحله نهایی که مهم‌ترین و قله این اقدامات محسوب می‌شود به ترازیابی (alignment) می‌رسیم که در این سطح با شناسایی بازیگران و عاملان تهدید بر اساس اولویت‌های موجود دست به اقدام می‌زنیم. اقدامات یادشده در محلی پردازش و اجرا می‌شوند که به آن مرکز مدیریت آگاهی وضعیتی گفته می‌شود.

دفاع تنها زمانی مثمر ثمر واقع می‌شود که آگاهی وضعیتی مناسبی از بستر فعالیت داشته باشیم و آگاهی وضعیتی نیز زمانی محقق می‌شود که اطلاعاتی که در اختیار داریم را به‌خوبی پردازش و داده‌کاوی کنیم. نکته حائز اهمیت اینجا است که کشورهای ابرقدرتی مانند امریکا، چین و روسیه نیز هنوز به موفقیت چندانی در این زمینه نرسیده‌اند.

این نکته را نیز باید در نظر داشت که سامانه‌های آگاهی وضعیتی سایبری و سامانه‌های آگاهی وضعیتی فیزیک تفاوت اساسی با یکدیگر دارند. برای مثال، سیستم آگاهی وضعیتی فیزیکی بر مشخصات و ویژگی‌های سخت‌افزاری حسگرها و فنون پردازشی تأکید دارد. درحالی‌که در سیستم‌های آگاهی وضعیتی سایبری در هیچ‌کدام از موارد ذکرشده نقش اساسی ندارند. سیستم‌های آگاهی وضعیتی سایبری بر حسگرهای سایبری مانند سیستم تشخیص نفوذ؛ حسگرهای ثبت فایل، سیستم‌های ضدویروس، آشکارسازهای بدافزار و فایروال‌ها متکی هستند که تمامی آن‌ها رویدادهایی را با سطح انتزاع بالاتری از بسته‌های خام شبکه تولید می‌کنند. به‌عنوان‌مثال، وضعیت سایبری سرعت استنتاج با دامنه بالاتری را نسبت به وضعیت فیزیکی خواهد داشت و نهایتاً اینکه وضعیت یا حملات سایبری از سیمنتک های منحصربه‌فردی بهره می‌گیرند.

رویکرد فعلی در زمینه کسب آگاهی وضعیتی سایبری شامل تحلیل آسیب‌پذیری (با استفاده از گراف حمله)، آشکارسازی نفوذ و همبستگی هشدارها، تحلیل روند حمله، تحلیل‌های علی و معلولی (پیمایش معکوس یک نفوذ)، تحلیل عیوب و جریان اطلاعات، ارزیابی خسارت (با استفاده از گراف‌های وابسته) و پاسخ به نفوذ است. اگرچه اخیراً تحقیقاتی در راستای نیازهای شناختی تصمیم‌گیرندگان در حال انجام است ولی هنوز فاصلی زیادی میان مدل ذهنی تحلیلگر انسانی و ظرفیت وجودی ابزارهای سایبری وجود دارد. با توصیف ارائه‌شده در این بخش می‌توان گفت برای ایجاد یک دفاع سایبری کامل نیاز به آگاهی وضعیتی است که حداقل از هفت جنبه زیر تشکیل شود:

1.   آگاهی از وضعیت کنونی: منشور از آگاهی وضعیتی در این جنبه همان اطلاع داشتن از وضعیت است که شامل دو بخش تعیین و شناسایی است. منظور از تعیین، معین ساختن نوع حمله است که قاعدتاً باید به سؤالاتی که چون «منبع حمله کجاست؟»، «مهاجم کیست؟» و «هدف حمله چیست؟» پاسخگو باشد. منظور از شناسایی فقط شناسایی یک حمله صورت گرفته است. درک وضعیت فراتر از آشکارسازی نفوذ است، زیرا سامانه‌های مبتنی بر آشکارسازی نفوذ متشکل از حسگرهایی هستند که توانایی تعیین و شناسایی حمله را ندارند و فقط بخشی از رویدادهایی را که ممکن است جزئی از یک حمله باشند را تشخیص می‌دهند. با این توصیف می‌توان گفت آشکارسازی نفوذ عنصر اولیه آگاهی از وضعیت است.

2.   آگاهی از اثرات حمله (ارزیابی حمله توسط فایروال ایرانی ): ارزیابی اثر خود نیز از دو بخش ارزیابی اثر کنونی و ارزیابی اثر آینده تشکیل می‌شود. در ارزیابی اثر آینده این سؤال مطرح می‌شود که اگر مهاجم به‌طور پیوسته اصرار بر حمله داشته و جذابیت حمله برای وی تغییری نکند میزان اثرگذاری وی چگونه خواهد بود؟ آنالیز آسیب‌پذیری جنبه گسترده ارزیابی اثر است که در این حالت تجسم اثر آینده حملات میسر خواهد شد. علاوه بر آن، ارزیابی اثر آینده شامل ارزیابی تهدید نیز می‌شود.

3.   آگاهی از اینکه چه وضعیتی حاصل خواهد شد؛ در این جنبه، ردگیری وضعیت یکی از مهم‌ترین مؤلفه‌ها است.

4.   آگاهی از رفتار متخاصم؛ مهم‌ترین مؤلفه این جنبه از آگاهی وضعیتی، تحلیل درک. نیت مهاجم است. این امر با کنترل و مراقبت رفتاری متخاصم و بررسی آن با وضعیتی که در آن قرار دارد و وضعیتی که ایجاد خواهد شد، صورت می‌گیرد.

5.   آگاهی از اینکه چرا و چگونه وضعیت کنونی ایجاد شده جنبه دارد که نیاز به تحلیل علی و معلول دارد.

6.   آگاهی از میزان کیفیت و اعتماد به آیتم‌های اطلاعاتی جمع‌آوری‌شده، منجر به دانایی و هوشمندی تصمیمات خواهد شد؛ بنابراین سنجه‌های کیفی چون صحت، تمامیت و تازگی به‌عنوان بخشی از جنبه درک وضعیت یا شناسایی وضعیت ضروری است.

7.   ارزیابی محتمل و قابل‌باور از وضعیت کنونی؛ این جنبه از آگاهی وضعیتی از فناوری‌های متعددی برای تجسم اقدامات و فعالیت‌های مهاجم و تجسم مسیرهای موردحمله شکل گرفته است. درک نیت، فرصت و توانمندی مهاجم نیز ازجمله محورهای کلیدی جنبه نام‌برده است.

ایجاد سامانه‌های آگاهی وضعیتی سایبری برای مقابله با انواع حملات سایبری علی‌الخصوص حملات سایبری چندمرحله‌ای که در این مقاله به‌عنوان شی مجازی مطرح بوده برای دولت‌ها از اهمیت خاصی برخوردار است؛ چراکه برخلاف برقراری امنیت فضای فیزیکی که در سیطره قوانین فیزیکی بود و قوانین حاکم بر این محیط مدت‌های مدیدی است که در حال آزمایش و توسعه است، برقراری امنیت در فضای سایبری از محدودیت‌ها و چالش‌های نوظهور و پویایی برخوردار است؛ بنابراین با استفاده از قوانینی چون ادغام اطلاعات سطح بالا بسیاری از چالش‌ها و شکاف‌های مطرح شده را که توسط حملات پیوسته (فایروال بومی )متغیر سایبری ایجاد شده، می‌توان برطرف کرد. به‌علاوه، برای بهبود آگاهی وضعیتی سایبری می‌توان از ادغام اطلاعات سطح بالا استفاده کرد. درنتیجه، با ادغام تجسمی که از ردهای حمله به دست می‌آید و تجسمی که از موجودیت‌های در خطر شبکه ارائه شده، بازدهی سامانه همان‌گونه که در آزمایش‌های صورت گرفته نشان داده شده است، ارتقا یافته است.

منبع : سایبربان