مقابله با هكرهای نفوذ كرده در شبكه

به گزارش رهاتل به نقل از مهر، مركز ماهر با معرفی نرم افزار جدید طراحی شده توسط Cymmetria كه MazeHunter نامگذاری شده است، اعلام نمود: این نرم افزار امكان مقابله بیشتر با هكرهایی را كه به شبكه نفوذ كرده و كنترل دستگاهها را در دست می گیرند فراهم نموده است. این موسسه آن را هك قانونی (legal hackback) می داند و در كنار ابزار تولید شده یك چارچوب را به سازمانها پیشنهاد می كند كه تعیین می كند چه عكس العملهای قانونی را می توانند در برابر مهاجمان شبكه خود داشته باشند و هر كدام چه ریسكی را تحمیل خواهد نمود. ایده طراحی این ابزار از درخواست های دو شركت بزرگ (كه یكی جزء ۵۰۰ شركت برتر ارتباطات و دیگری از سرویس دهنده های بزرگ مالی است) مبنی بر تمایل این شركتها به هك مهاجمینی كه قصد نفوذ به شبكه آنها را داشته اند نشات گرفته است. هدف آنان نفوذ به هكرها و سرقت ابزارهای بكار گرفته شده توسط آنان به منظور مقابله فعال است. هك مهاجمان از مدتها پیش یك مبحث بحث برانگیز در جامعه امنیت بوده است. هك مهاجمان در خارج از شبكه داخلی عملی با ریسك بالاست كه امكان بالا گرفتن سطح حملات را در پی دارد و اغلب متخصصان آن را سفارش نمی كنند. این عمل نه تنها از لحاظ تكنیكی خطرناك است، بلكه از نظر قانونی هم در اغلب كشورها نفوذ بدون مجوز محسوب شده و مغایر قانون است. هكرها می توانند در پشت لایه های مختلف IP مخفی شوند و از شبكه و امكانات قربانیان خود برای حمله استفاده كنند. در این حالت هك مهاجمان می تواند به مفهوم هك مجدد قربانیان باشد كه از لحاظ قانونی هم دارای مشكلات متعددی است. با این تفاسیر، Cymmetria معتقد است كه MazeHunter ماشینهای درون شبكه سازمان را مورد هجوم قرار می دهد تا با تزریق داده های جعلی به كمپین، ابزار مهاجمان را شناسایی و گمراه كرده و نهایتا حمله را بی نتیجه بگذارد. Hack back مبارزه مستقیم با دشمنان را میسر می سازد و به تیم محافظتی امكان می دهد تا برپایه مدل خود در مقابل آنان بایستند. تفاوت بین hack back و مدیریت رخدادها در این است كه سازمانهای قربانی خود تصمیم می گیرند كه چه داده هایی را با استفاده از سیستم های تسخیر شده در اختیار مهاجمین قرار دهند. در عمل به جای استفاده از ابزار جرم شناسی (forensics) برای كشف ابزارها و تكنیك های استفاده شده تیم امنیتی خود هدایت عملیات را بر عهده می گیرد و لیست كامل ابزارها و تكنیك های استفاده شده را بصورت همزمان بدست می آورد. برخلاف گذشته كه پروسه امداد و جرم شناسی بصورت دستی انجام می شد و در عمل زمان كافی در اختیار مهاجمین برای از كار انداختن فیزیكی سیستم ها قرار می گرفت، در سیستم جدید تمام كارها بصورت خودكار و همزمان با حمله انجام می گردد. آثار بوجود آمده توسط مهاجمین بصورت همزمان و پیش از حذف، ثبت شده و با ابزارهایی مانند PowerShell و Metasploit با مهاجمین مبارزه شده و حمله آنها بی ثمر می گردد. در این روش بر خلاف اهداف خارج از شبكه، هدف كاملا شناخته شده است. تكنولوژی فریب (deception) پیش از این توسط دولت، سازمانهای سرویس مالی و موسسات ارتباطی استفاده شده است. از نمونه های پیشین آن می توان به روش كوزه عسل (honey pot) اشاره كرد. به تازگی موجی از تكنولوژی های جدید در این زمینه توسط استارتاپهایی مانند Cymmetri، Illusive Networks و TrapX به راه افتاده كه به سازمانها اجازه می دهد به نسبت روش كوزه عسل و یا داده های جعلی برخورد خشن تری با مهاجمین داشته باشند.