رشد سطوح حمله سریعتر از آن است که تیم های امنیتی بتوانند به پای آنها برسند. برای اینکه جلوتر بمانید، باید بدانید چه چیزی در معرض دید قرار می گیرد و مهاجمان به احتمال زیاد به کجا حمله می کنند. با مهاجرت ابری شمار اهداف داخلی و خارجی، به صورت قابل توجهی افزایش یافته است؛ از این رو میتوان گفت اولویت بندی تهدیدها و مدیریت سطح حمله شما از دیدگاه یک مهاجم هرگز به این اندازه مهم نبوده است. در ادامه این مطلب با وب سایت شرکت داریا همراه باشید.
سطح حمله چیست؟
سطح حمله (Attack Surface) شامل تمام داراییهای دیجیتال شما است که در معرض تهدید هستند. این داراییها میتوانند امن یا آسیبپذیر، شناخته شوند و یا ناشناخته، فعال یا بلااستفاده باشند. سطح حمله بهطور پیوسته در طول زمان تغییر میکند و گسترهای از داراییهای دیجیتال را در بر میگیرد که ممکن است در محل، فضای ابری، شبکههای فرعی یا حتی در محیطهای شخص ثالث (Third Party) قرار داشته باشند. بهطور خلاصه، هر چیزی که یک هکر میتواند به آن دسترسی پیدا کند بخشی از سطح حمله شما محسوب میشود.
انواع Attack Surface
سطح حمله (Attack Surface) به سه نوع اصلی تقسیم میشود که هرکدام راههای مختلفی را برای دسترسی مهاجمان ارائه میدهند:
سطح حمله دیجیتال (Digital Attack Surface)
این نوع سطح حمله شامل تمامی نرمافزارها، سختافزارها و مؤلفههای شبکهای میشود که میتوانند توسط مهاجمان هک شوند. به عنوان مثال:
- اپلیکیشنهای تحت وب: وبسایتها و سرویسهای مبتنی بر وب که ورودیهای کاربران را پردازش میکنند و با دیتابیسها تعامل دارند.
- رابطهای برنامهنویسی کاربردی (APIs): این رابطها به سیستمهای نرمافزاری اجازه میدهند که با یکدیگر ارتباط برقرار کنند، و در صورت سوءاستفاده میتوانند آسیبپذیریهای جدی ایجاد کنند.
- نقاط پایانی (Endpoints): مانند دستگاههای متصل به شبکه از قبیل لپتاپها، تلفنهای هوشمند، سرورها و دستگاههای اینترنت اشیا (IoT).
- زیرساخت شبکه: شامل روترها، سوئیچها و فایروالها که وظیفه مدیریت ارتباطات بین دستگاههای شبکه را دارند.
2. سطح حمله فیزیکی (Physical Attack Surface)
این سطح شامل خطرات مرتبط با دسترسی فیزیکی به داراییهای ملموس سازمان میشود. نمونههای آن عبارتاند از:
- دیتاسنترها: مکانهای فیزیکی که سرورها و دیگر سختافزارهای حساس در آنجا قرار دارند. مهاجمان میتوانند با دسترسی به این مکانها دادهها را سرقت کنند یا آسیبهای فیزیکی وارد کنند.
- تجهیزات کارمندان: مانند کامپیوترها، لپتاپها و تلفنهای همراه که ممکن است مورد هدف سرقت یا دستکاری قرار بگیرند.
- سیستمهای کنترل دسترسی: ابزارهای امنیتی مانند کارتهای کلید، اسکنرهای بایومتریک و دوربینهای امنیتی که میتوانند برای دسترسی به تجهیزات یا سرورها مورد حمله قرار گیرند.
3. سطح حمله مهندسی اجتماعی (Social Engineering Attack Surface)
این نوع حمله بهجای فناوری، بر دستکاری روانی افراد تمرکز دارد تا آنها را وادار به فاش کردن اطلاعات حساس یا انجام اقداماتی کند که امنیت سازمان را به خطر بیندازند. مثالهایی از این حملات عبارتاند از:
- فیشینگ (Phishing): حملاتی که کاربران را با ایمیلها یا پیامهای فریبنده به افشای اطلاعات یا کلیک روی لینکهای مخرب ترغیب میکنند.
- Whaling: نوعی فیشینگ که افراد ردهبالا یا مدیران سازمان را هدف قرار میدهد، مانند مسئولین بخشهای مالی یا مدیران اجرایی.
- Media Drops: روشی که مهاجم یک دستگاه آلوده، مانند USB، را در محوطه سازمان رها میکند به امید اینکه فردی آن را به کامپیوتر متصل کند.
- افراد خدماتی جعلی: مهاجمان خود را بهجای کارکنان خدماتی مانند سرایدار یا تعمیرکار جا میزنند تا به تجهیزات مهم سازمان دسترسی پیدا کنند.
این سه نوع سطح حمله، حوزههای اصلیای هستند که سازمانها باید برای محافظت از خود در برابر تهدیدات سایبری و فیزیکی مدیریت کنند.
مدیریت سطح حمله چیست؟
مدیریت سطح حمله شامل فرآیند شناسایی داراییها و خدمات دیجیتال و سپس کاهش یا به حداقل رساندن در معرض خطر بودن آنها برای جلوگیری از سوءاستفاده هکرها است. در معرض قرار گرفتن میتواند به دو معنا باشد: یکی آسیبپذیریهای فعلی، مانند بهروزرسانیهای از دست رفته (Patchهای گمشده) یا تنظیمات نادرستی که امنیت سرویسها یا داراییها را کاهش میدهند؛ دیگری، خطر آسیبپذیریهای آینده است.
برای درک بهتر، تصور کنید یک رابط کاربری مدیر، مانند cPanel یا صفحه مدیریت فایروال، که ممکن است در برابر تمام تهدیدهای شناختهشده فعلی ایمن باشد. اما اگر در آینده یک آسیبپذیری در نرمافزار کشف شود، این دارایی بهسرعت به یک خطر جدی تبدیل میشود. بنابراین، لازم نیست یک دارایی اکنون آسیبپذیر باشد تا در آینده در معرض خطر قرار بگیرد. به این ترتیب توجه داشته باشید، با کاهش سطح حمله حتی بدون وجود آسیبپذیریهای فعلی، ریسک حملات آینده را کاهش میدهید.
جالب است بدانید بخشی مهم از مدیریت سطح حمله این است که با حذف خدمات و داراییهای غیرضروری از اینترنت، از قرار گرفتن در معرض آسیبپذیریهای احتمالی آینده جلوگیری کنید. این استراتژی، همان چیزی است که نقض امنیتی دِلوایت را رقم زد و مدیریت سطح حمله را از مدیریت آسیبپذیری سنتی متمایز میکند. اما برای انجام این کار، ابتدا باید بدانید با چه چیزی روبهرو هستید.
روشهای کاهش Attack Surface
برای کاهش سطح حمله (Attack Surface) و محافظت بهتر از سیستمها در برابر تهدیدات سایبری، روشهای متعددی وجود دارد که میتوان بهطور موثر آنها را به کار گرفت. از جمله این روش ها می توان به موارد زیر اشاره کرد:
1. حذف نقاط دسترسی غیرضروری
- بستن یا حذف نقاط دسترسی که نیازی به استفاده از آنها نیست، میتواند به کاهش مسیرهای ممکن برای نفوذ کمک کند.
- سیستمها و اپلیکیشنها باید به حداقل مجوزهای لازم برای عملکرد محدود شوند.
2. بهینهسازی دسترسی کاربران
- تعیین دقیق اینکه کدام کاربر به چه بخشهایی از سیستم نیاز دارد.
- محدود کردن دسترسیها به حداقل میزان موردنیاز با استفاده از اصل “حداقل دسترسی.”
3. ارزیابی مداوم ریسک
- انجام ارزیابیهای منظم برای شناسایی و رفع بخشهای آسیبپذیر.
- شناسایی بخشهایی که بیشترین میزان خطر را دارند و تمرکز بر تقویت امنیت آنها.
4. حذف سرویسهای غیرضروری
- هرچه سیستم سادهتر و سبکتر باشد، سطح حمله کاهش مییابد.
- خدمات و نرمافزارهایی که استفاده نمیشوند یا کاربران کمی دارند، باید حذف شوند.
5. کاهش و بهینهسازی کد
- حذف کدهای غیرضروری میتواند احتمال سوءاستفاده از باگهای امنیتی را کاهش دهد.
- بازبینی و تست امنیتی کدها بهطور منظم، خطر نفوذ را کمتر میکند.
6. استفاده از سیاستهای امنیتی Zero Trust
- ایجاد و اعمال سیاستهایی که هیچ منبعی به طور پیشفرض اعتماد نکند.
- کنترل دقیق هویت و دسترسیها و احراز هویت مداوم کاربران.
7. سادهسازی زیرساختها
- کاهش پیچیدگیهای اضافی که مدیریت آنها دشوار است و میتواند باعث آسیبپذیری شود.
- حذف نرمافزارها و سیستمهایی که بلااستفاده هستند یا ریسک بالایی دارند.
8. بخشبندی شبکه (Network Segmentation)
- تقسیم شبکه به بخشهای مجزا برای جلوگیری از حرکت آزادانه مهاجم در صورت نفوذ.
- استفاده از فایروالهای داخلی و Microsegmentation برای کنترل بهتر ترافیک داخلی.
9. آموزش کارکنان
- برگزاری دورههای آموزشی برای افزایش آگاهی کارمندان از تهدیدات سایبری و روشهای حمله.
- آموزش روشهای شناسایی و جلوگیری از حملات مهندسی اجتماعی مانند فیشینگ.
10. ایمن کردن گزارشها و مستندات
- محافظت از گزارشهای مربوط به آسیبپذیریها و راهکارهای برطرف کردن آنها.
- اطمینان از این که اطلاعات حساس امنیتی بهدرستی رمزگذاری و نگهداری میشوند.
اجرای این روشها میتواند بهطور قابل توجهی سطح حمله را کاهش دهد و امنیت کلی سیستم را بهبود بخشد. با این حال، امنیت سایبری یک فرایند مداوم است و نیاز به بازبینی و بهروزرسانیهای منظم دارد تا سازمانها همواره آماده مقابله با تهدیدات جدید باشند.
مدیریت دارایی در مقایسه با مدیریت آسیب پذیری
مدیریت دارایی که اغلب به عنوان رابطه ضعیف مدیریت آسیب پذیری در نظر گرفته می شود، به طور سنتی یک کار فشرده و زمانبر برای تیمهای تکنولوژی اطلاعات بوده است. حتی زمانی که آنها کنترل داراییهای سخت افزاری در سازمان و محیط شبکه خود را داشتند، باز هم مملو از مشکلات بود. اگر فقط یک دارایی از موجودی دارایی حذف شود، می تواند از کل پروسه مدیریت آسیب پذیری فرار کند و بسته به حساسیت دارایی، پیامدهای گستردهای برای کسب و کار داشته باشد.
امروزه، شرایط پیچیدهتر است. کسبوکارها به سرویس SaaS مهاجرت میکنند و سیستمها و سرویسهای خود را به ابر منتقل میکنند و کاربران تمایل دارند که محیطهای خود را سفارشی کنند. وقتی شرکتها از طریق ادغام و تملک گسترش مییابند، اغلب سیستمهایی را تصاحب میکنند که گاه از آنها بیخبرند مثال کلاسیک این مورد، زمانی بود که شرکت مخابراتی تاک تاک در سال 2015 نقض شد و حدود 4 میلیون رکورد رمزگذاری نشده از یک سیستم که از وجود آن بیخبر بودند، به سرقت رفت.
انتقال امنیت از آی تی به دِواپس (DevOps)
پلتفرمهای ابری امروزی به تیمهای توسعه این امکان را میدهند که با سرعت بالا حرکت کرده و بهراحتی مقیاس شوند. با این حال، این انعطافپذیری مسئولیتهای سنگینی را بر عهده تیمهای توسعه میگذارد و آنها را از تیمهای سنتی و متمرکز فناوری اطلاعات، که معمولاً دارای فرآیندهای کنترل تغییرات قوی و قابلاعتماد هستند، متمایز میکند.
این موضوع بدان معناست که تیمهای امنیت سایبری برای دیدن آنچه در جریان است یا کشف محل داراییهایشان در تلاش باشند. به طور مشابه، برای شرکتهای بزرگ یا کسبوکارهای دارای تیمهای پراکنده در سرتاسر جهان، پیگیری مکان همه سیستمها، بهطور فزایندهای سخت است.
در نتیجه، سازمانها به طور فزایندهای درک میکنند که فرایندهای مدیریت آسیبپذیری آنها باید در یک فرآیند «مدیریت سطح حمله» جامعتری تنیده شود، چراکه برای اولویت بندی، قبل از اینکه فکر کنید چه آسیبپذیریهایی دارید، ابتدا باید بدانید که چه چیزی را در معرض اینترنت قرار دادهاید و چه راهکارهایی برای رفع آنها وجود دارد.
ویژگی های اساسی ابزارهای مدیریت سطح حمله
ابزارهای مختلف و خوبی در بازار برای کشف دارایی، یافتن دامنههای جدید مشابه دامنه شما و یافتن وبسایتهایی با محتوای مشابه خودتان موجود هستند. پس تیم شما میتواند بررسی کند که آیا این دارایی شرکتی است یا خیر، انتخاب کند که آیا در فرایندهای مدیریت آسیبپذیری شما گنجانده شده است یا خیر و همچنین چگونه ایمن شده است. اما برای انجام این کار، به یک منبع داخلی نیاز دارد، چرا که این ابزار نمیتواند این کار را برای شما انجام دهد.
به طور مشابه، برخی از ابزارها فقط بر روی سطح حمله خارجی تمرکز می کنند. اما از آنجایی که یک بردار حمله، عموما از طریق ایستگاههای کاری کارکنان عمل میکند، پس مدیریت سطح حمله باید شامل سیستمهای داخلی نیز باشد. حال سه ویژگی اساسی که هر ابزار نظارت سطح حمله باید ارائه کند را بررسی می کنیم.
- کشف دارایی
اگر از وجود یک دارایی مطلع نباشید، نمی توانید آن را مدیریت کنید. همانطور که دیده شده است، اکثر سازمانها دارای انواع «ناشناختههای ناشناخته» هستند، داراییهای مستقر در سایتهای شریک یا شخص ثالث، بارهای کاری (workload) در حال اجرا در محیطهای ابری عمومی، دستگاههای اینترنت اشیا، آدرسهای آیپی رها شده و اطلاعات اکانت و موارد دیگر می توانند مثالهایی از این دست باشند.
- زمینه کسب و کار
همه بردارهای حمله یکسان ایجاد نمیشوند و زمینه یا context (یعنی آنچه که در معرض اینترنت قرار می گیرد) بخش مهمی از مدیریت سطح حمله است. ابزارهای قدیمی این زمینه را فراهم نمی کنند. آنها با تمام سطوح حمله (خارجی، دفتر داخلی، مرکز داده داخلی) یکسان رفتار می کنند، و بنابراین اولویت بندی آسیب پذیریها دشوار است. ابزارهای مدیریت سطح حمله، شکافهای موجود در کنترلهای امنیتی داخلی و خارجی شما را شناسایی میکنند تا نقاط ضعف امنیتی را که باید تعیین و اصلاح شوند را آشکار کنند.
- اسکن های فعال و واکنشی
شما نمی توانید فقط یک بار سطح حمله خود را آزمایش کنید. سطح حمله هر روز با اضافه شدن دستگاهها، بار کاری و سرویسهای جدید، به رشد خود ادامه میدهد. با رشد این سطح، خطر امنیتی نیز افزایش می یابد. افزایش ریسک تنها منحصر به آسیب پذیریهای جدید نیست، بلکه تنظیمات نادرست، در معرض قرار گرفتن دادهها یا سایر شکافهای امنیتی را نیز در بر می گیرد. آزمایش همه بردارهای حمله احتمالی مهم است و انجام مداوم این کار جهت حفظ آگاهی و فهم شما دارای اهمیت است.
داشتن پلتفرمی که بسته به شرایط بتواند به صورت فعالانه یا واکنشی اسکن انجام دهد، از اسکن مداوم بهتر است. راه اندازی یک اسکن جهت واکنش به یک سرویس ابری جدید که به صورت آنلاین ارائه می شود، یا اسکن فعالانه همه دارایی ها به محض در دسترس قرار گرفتن بررسیهای آسیب پذیری جدید، میتوانند نمونه های خوبی باشند.
سخن پایانی
در پایان بهتر است بدانید سطح حمله به مجموع داراییهای دیجیتالی اشاره دارد که در معرض هستند و میتواند در برگیرندهی دارایی هایی باشد که ایمن یا آسیب پذیر هستند، که از وجود آنها اطلاع داریم یا ناشناخته اند و همچنین مواردی که مورد استفادهاند یا بلا استفاده هستند. جهت مدیریت سطح حمله، در گام اول میبایست همه دارایی ها را کشف کرد؛ در مرحله بعد آسیب پذیریها را اولویتبندی کرد و دست آخر جهت تست سطح حمله، باید به طور مداوم داراییها را اسکن کرد.
سوالات متداول
چگونه می توانیم سطح حمله را کاهش دهیم؟
منظور از کاهش سطح حمله به حداقل رساندن نقاطی در سیستم است که یک کاربر غیرمجاز می تواند از طریق آنها نفوذ کند و یا از آنها برای سواستفاده بهره ببرد؛ کاهش سطح حمله، همچنین شامل شناسایی و کاهش نقاط ورود احتمالی مهاجمان است که از طریق حذف عملکردها، خدمات و مجوزهای غیر ضرور در سیستمها امکانپذیر میشود.
سطح حمله چگونه افزایش پیدا می کند؟
عوامل متعددی وجود دارد که می تواند منجر به گسترش سطح حمله شود؛ از جمله این موارد، سرمایه گذاری در حوزه تحول دیجیتال است که میتواند شامل مهاجرت به یک پلتفرم ابری باشد. افزودن سیستمهای سخت افزاری یا نرم افزاری جدید (خرید پلتفرم جدید مبتنی بر ابر برای هوش تجاری) و افزایش تعداد کارگران راه دور، دلایل دیگری هستند که موجب افزایش سطح حمله می شوند.
مدیریت سطح حمله چیست؟
مدیریت سطح حمله (ASM) فرآیند شناسایی، نظارت و مدیریت مداوم همه داراییهای داخلی و خارجی متصل به اینترنت برای بردارها و در معرض قرار گرفتنهای احتمالی حمله است. هدف نهایی ASM افزایش دید و کاهش ریسک است.
مقالات مرتبط
Leave A Comment