بدافزارها به سرعت در حال تغییرند و انواع جدید کدهای خرابکار مانند استاکس نت، دوکو و فلیم نشاندهنده این موضوع است. دستهای از بدافزارها که اخیراً زیاد ظاهر شدهاند، بدافزارهایی مانند ACAD/Medre.A هستن که برای جاسوسی صنعتی مورد استفاده قرار می گیرند و در آینده نیز بیشتر و بیشتر مشاهده خواهند شد.
البته این مسئله جدیدی نیست و چنین وضعیتی قبلا نیز رخ داده است. اما از آنجایی که با توجه به جریان اطلاعات در رسانهها در مورد بدافزارهای حمایت شده توسط دولت ها، مردم به طور کلی نسبت به امنیت آگاهتر شدهاند، اکنون این ناهنجاری ها به شکل قاعدهمندتری مورد توجه قرار گرفته و بیشتر کشف میشوند.
اما برای محافظت از یک سازمان یا شرکت در برابر این حملات هدفمند چه کاری می توان انجام داد ؟
نخست باید توجه کرد که حملات هدفمند معمولا توسط معیارهای معمول امنیتی قابل مشاهده نیستند و حتی توسط بروزترین ضد بدافزارها نیز تشخیص داده نمی شوند.
البته این قطعاً به معنای توقف استفاده از نرمافزار ضد بدافزار نیست، چرا که این نرمافزارها یک خط دفاعی مهم برای شناسایی و حذف تهدیدات هستند.
همچنین نرمافزارهای ضد بدافزار روز به روز هوشمند تر می شوند و ممکن است نسخههای جدید آنها قادر به تشخیص تهدیدات بر اساس تشخیص رفتاری باشند، ولی حتی اگر اینطور نباشد، زمانی که پایگاه داده امضاهای ویروس ها به روز میشود، ممکن است ناگهان متوجه شوید که شبکه شما آلوده شده است.
حتی اگر سیستم شما مورد سوء استفاده قرار گرفته و دادهها نشت کرده باشند، با استفاده از این نرمافزارها حداقل شما متوجه می شوید که دچار مشکل شدهاید و می توانید شروع به ترمیم خرابی و استفاده از پروتکلهای بهبود کنید.
اغلب این حملات با استفاده از اطلاعاتی از درون سازمان ساخته شدهاند که به مهاجمان اجازه میدهد ضربه خود را بهتر وارد کنند.
به همین دلیل برای محافظت بهتر از سازمان و دارایی های آن در مقابل این حملات جاسوسی سایبری که سعی در سرقت دارایی های معنوی سازمان شما دارند، باید پیش بینی های لازم را به عمل آورده و گامهای مورد نیاز را به کار بندید.
خط مشی دادهها
شما باید مراقب باشید که چه کسانی مجوز دسترسی به اطلاعات حساس را دارا هستند. در بسیاری از موارد دادههای حاوی دارایی های معنوی سازمان، بر روی شبکه در اختیار بسیاری از افراد قرار دارد و به راحتی در دسترس است.
از سیستم خود استفاده کنید
این روش ممکن است یک روش ارزان قیمت به نظر برسد، ولی در نهایت ممکن است بیش از ارزش خود برای شما دردسر درست کند.
شما نمی دانید که این سیستم کجا بوده است، چه نوع نرمافزارهایی بر روی آن نصب شدهاند و غیره.
اگر از این روش استفاده می کنید، حداقل باید نصب نرمافزار مدیریت/نگهداری را اجبار کنید. همچنین اطمینان حاصل کنید که یک نوع مکانیزم کنترل سیستم وجود دارد که از نشت دادهها جلوگیری می کند.
به این ترتیب که وقتی این دادهها بعدا بر روی سیستم دیگری در محیط شرکت مورد استفاده قرار می گیرد، به سادگی بازگشایی می شود. اما زمانی که برروی سیستمی که دارای مکانیزم کنترل سیستم و متعلق به شرکت نیست قرار می گیرد، غیر قابل استفاده می شود.
از زیر ساختهای حیاتی خود محافظت کنید
بنا بر اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای(ماهر)، شبکه دارایی های معنوی سازمان را از شبکه شرکت جداً کنید و مجوز دسترسی به این شبکه را فقط به افرادی بدهید که واقعاً به آن نیاز دارند.
اینکه چه کسانی مجوز کار بر روی این شبکه را دارا هستند و دسترسی فیزیکی به محلهایی دارند که می توانند به این شبکه دسترسی داشته باشند، باید تصمیم گیری شده و به روشنی تعیین شود.
اما حتی اگر توصیههای واضح امنیتی برای کارمندانی که به این محیط ها دسترسی دارند ارائه داده و آنها را به خوبی کنترل کنید، آیا اطمینان دارید که کارمندان شرکت های پیمانکار شما که به این محیط ها رفت و آمد دارند نیز توسط شرکت خود مورد نظارت قرار میگیرند؟
یا اینکه از نماینده شرکت تولید کننده سختافزار مورد استفاده خود که برای نگهداری و تعمیر آن به شرکت شما میآید، مطمئن هستید؟ یا بر لپ تاپی که این فرد برای بررسی کار سختافزار شما به آن متصل می کند، نظارت دارید؟
رفتارهای غیرمنتظره را مورد نظارت قرار دهید
انجام این مورد از همه موارد قبل سخت تر است، چراکه در حقیقت شما نمی دانید باید منتظر چه چیزی باشید.
در یک مورد اخیر (ACAD/Medre.A) که مشکوک به جاسوسی صنعتی است، این بدافزار کپی هایی از طرح ها و اسناد صنعتی را از طریق SMTP برای ایمیلی در چین ارسال می کرد.
توجه داشته باشید که هیچ دلیلی وجود ندارد که هیچ کدی به جز عامل انتقال ایمیل (Mail Transfer Agent) شرکت، دارای قابلیت ارسال ایمیل باشد.
با تنظیمات صحیح فایروال (و سیستم هشدار)، این انتقالات باید مورد توجه قرار گرفته و از آن جلوگیری شود.
دهها هزار طرح صنعتی لو رفته به روشنی نشان میدهد که پیادهسازی معیارهای اولیه نظارت در بسیاری از سازمانها صحیح نیست. در شرایط دیگر، ارتباطات مداوم بر روی پورتهایی که چندان معمول نیستند با یک (یا یک مجموعه کوچک) آدرس آیپی یکتا نیز میتواند نشاندهنده اتفاقی غیر عادی باشد.
هیچ راهنمای واقعی وجود ندارد که به شما نشان دهد چگونه از خود در برابر حملات هدفمندی که سعی در سرقت دارایی های معنوی سازمان شما دارند محافظت کنید و واقعیت این است که در جایی که این حملات در مقیاس کوچک باشند، می توانند برای مدت های طولانی جلب توجه نکرده یا اینکه به طور کلی کشف نشوند.
اگر می خواهید امنیت خود را حفظ کنید و دارایی های معنوی سازمان خود را دور از دسترس هکرها قرار دهید، آگاه و هشیار بودن، مشاهده وب سایت های شرکت های امنیتی، مطالعه درباره نحوه عملکرد تهدیدات جدید و حصول اطمینان از به کار گیری راهکارهای محافظتی در برابر آنها، یک الزام است.
