تعداد آسیبپذیریهایی که در دسترس مجرمین سایبری قرار دارند به شکل فزایندهای در حال افزایش است. اما براساس یک گزارش، از میان بیش از 100000 آسیبپذیری منتشر شده در فهرست CVE، کمتر از 6% در واقعیت مورد استفاده قرار گرفته است. روز صفر
چالش اصلی این است که پیشبینی آسیبپذیری بعدی که مورد هدف قرار خواهد گرفت، نیازمند استراتژیهای پیشرفتهای است که بسیاری از سازمانها مجهز به آنها نیستند (یعنی استفاده از دادههای تله متری برای انجام تحلیل پیشبینی).
سازمانهایی که فاقد چنین راهحلهایی، و پرسنل ماهر برای مدیریت آنها، هستند باید بر ابزارهای امنیتی متکی باشند که تمام بردارهای هجومی ممکن را پایش میکنند. اما به دلیل اینکه تعداد آسیبپذیریها و اکسپلویتها در حال افزایش است، پردازش این دیتابیس رو به رشد در برابر ترافیک زنده، یک کار سنگین برای بسیاری از راهحلهای امنیتی است.
آسیب پذیری Zero-Day چیست؟
یک آسیب پذیری Zero-Day (یا 0-Day) یک ریسک امنیتی در یک قطعه نرمافزار است که به صورت عمومی شناخته شده نیست و شرکت سازنده از آن آگاهی ندارد. اکسپلویت روز صفر روشی است که یک مهاجم به منظور دسترسی به سیستم آسیب پذیر پیش میگیرد.
این حملات، تهدیدات امنیتی شدیدی هستند که نرخ موفقیت بالایی دارند. چرا که کسبوکارها سیستم دفاعی برای تشخیص یا جلوگیری از آنها در اختیار ندارند.
علت نامگذاری حمله روز صفر (Zero-Day) این است که قبل از اینکه هدف حمله از وجود آسیبپذیری آگاه باشد، رخ میدهد. مهاجم، بدافزار را پیش از آنکه توسعه دهنده یا شرکت تولیدکنندهی نرمافزار فرصتی برای ایجاد یک پچ به منظور رفع آسیبپذیری داشته باشد، منتشر میکند.
عبارت «روز صفر» از جهان رسانه دیجیتالی غیرقانونی برگرفته شده است. در صورتی که نسخه غیرقانونی یک فیلم، موسیقی یا نرمافزار به صورت همزمان یا قبل از انتشار رسمی آن، در دسترس قرار گیرد، به آن “روز صفر” میگویند. به عبارت دیگر، در این حالت نسخه غیرقانونی، صفر روز قبل از نسخه رسمی منتشر میشود.
اکسپلویت روز صفر (Zero-Day) چگونه کار میکند؟
حمله روز صفر با انتشار یک کد آسیب پذیر توسط توسعه دهنده نرمافزار آغاز میشود که این آسیبپذیری توسط یک عامل مخرب مورد شناسایی و سواستفاده قرار میگیرد.
حمله ممکن است موفق باشد و منجر به سرقت اطلاعات یا هویت توسط مهاجمین شود و یا ممکن است توسعه دهنده یک پچ برای جلوگیری از گسترش حمله ایجاد کند. به محض اینکه یک پچ نوشته شده و به کار گرفته شود، دیگر به این اکسپلویت، اکسپلویت روز صفر گفته نمیشود.
محققین حوضه امنیت، سیر زمانی یک اکسپلویت روز صفر را به 7 مرحلهی مجزا از بروز آسیبپذیری تا ارائهی پچ امنیتی تقسیم کردهاند. این مراحل عبارتند از:
مرحله 1: بروز آسیب پذیری
یک توسعه دهنده، نرمافزاری ایجاد میکند که بدون اینکه متوجه شود حاوی یک کد آسیب پذیر است.
مرحله 2: اکسپلویت منتشر میشود
یک عامل مخرب، آسیب پذیری را قبل از آنکه توسعه دهنده متوجه وجود آن شود یا قبل از اینکه بتواند آن را اصلاح یا پچ کند، شناسایی میکند. درحالیکه این آسیبپذیری همچنان باز است، هکر یک کد جهت اکسپلویت کردن آن نوشته و مورد استفاده قرار میدهد.
مرحله 3: کشف آسیب پذیری
شرکت توسعه دهنده از وجود آسیب پذیری آگاه میشود اما هنوز پچی در دسترس ندارد.
مرحله 4: افشای آسیب پذیری
شرکت و/یا محققین امنیتی، آسیب پذیری را به شکل عمومی اعلام میکنند و کاربران و مهاجمین را از وجود آن آگاه میکنند.
مرحله 5: امضاهای آنتی ویروس منتشر میشود
اگر مهاجمین یک بدافزار روز صفر را با هدف گرفتن آسیبپذیری مربوطه ایجاد کرده باشند، شرکتهای آسیبپذیر میتوانند سریعا امضای آن را شناسایی کرده و محافظتی در برابر آن ارائه کنند. اما، اگر از طرق دیگر از این آسیبپذیری استفاده شده باشد، سیستمها ممکن است همچنان در معرض حملات قرار گیرند.
مرحله 6: انتشار پچ امنیتی
شرکت توسعه دهنده نرمافزار، یک اصلاح عمومی به منظور رفع آسیبپذیری ارائه میکند. مدت زمان این کار بسته به پیچیدگی آن و اولویت آن در فرایند توسعه محصول دارد.
مرحله 7: اتمام استفاده از پچ امنیتی
انتشار یک پچ امنیتی به معنای اصلاح فوری شرایط نیست. چرا که ممکن است استفاده از این پچ توسط کاربران یک مدت مشخصی طول بکشد. به همین دلیل، سازمانها و کاربران باید نسبت به بروزرسانی خودکار نرمافزارهای خود اقدام نمایند و اعلانات بروزرسانی را مورد توجه قرار دهند.
سیستمها در کل فرایند از مرحله 1 تا مرحله 7 در معرض آسیب هستند. اما حملات روز صفر فقط بین مرحله 2 تا 4 میتوانند رخ دهند. حملات بیشتر در صورتی ممکن است رخ دهند که محافظت در برابر آسیبپذیری انجام نشود.
به ندرت پیش میآید که حملات روز صفر سریع کشف شوند و از ایجاد آسیب جدی توسط آنها جلوگیری شود. معمولا روزها، ماهها یا حتی سالها طول میکشد تا یک توسعه دهنده متوجه آسیبپذیری موجود در نرمافزار خود شود که این مساله موجب حملات و سرقت دادهها میشود.
مثالهایی از تهدیدات روز صفر (Zero-Day)
یک حمله روز صفر میتواند برای هر شرکتی و در هر زمانی، و معمولا بدون آنکه آنها متوجه شوند، رخ دهد. مثالهایی از حملات روز صفر که بسیار معروف هستند در زیر ارائه شده است:
- SONY Picture: احتمالا معروف ترین حمله روز صفر، حملهای بود که باعث از کار افتادن شبکه سونی شد و منجر به انتشار دادههای حساس آن بر روی سایتهای اشتراک فایل شد.
این حمله، در اواخر 2014، موجب انتشار اطلاعات مربوط به فیلمهای بعدی، برنامههای تجاری شرکت و آدرسهای ایمیل شخصی مدیران اجرایی ارشد آن شد.
- RSA: یک حمله روز صفر بسیار معروف دیگر، حملهای بود که در جریان آن هکرها از آسیبپذیری فاقد پچ موجود در Adobe Flash Player به منظور دسترسی به شبکه شرکت امنیتی RSA در سال 2011 بهره بردند.
مهاجمین ایمیلهایی برای کارکنان RSA ارسال کردند که فایلهای Excel در پیوست آنها قرار گرفته بود و این فایلها حاوی فایل فلشی بودند که از آسیبپذیری روز صفر سواستفاده میکرد.
وقتی که کارکنان فایل اکسل را باز کردند، کنترل از راه دور کامپیوتر کاربر در اختیار مهاجم قرار میگرفت که میتوانست از آن به منظور جستجو و سرقت دادهها استفاده کند. بعدها مشخص شد که این اطلاعات مربوط به احراز هویت دو مرحلهای SecurID بودند که کارکنان برای دسترسی به دادهها و دستگاههای حساس از آن استفاده میکنند.
- عملیات Aurora: در سال 2009، یک حمله روز صفر، مالکیت فکری بیش از 20 شرکت بزرگ جهانی از جمله Adobe systems، Blackberry، Dow Chemical، Google، Morgan Stanley و Yahoo را هدف قرار داد.
در این حمله از آسیب پذیری موجود در اینترنت اکسپلورر، نسخههای مختلف ویندوز و Perforce که گوگل از آن به منظور مدیریت سورس کد خود استفاده میکند بهره گرفته شد. هدف این حمله دسترسی و دستکاری منابع شرکتهای با تکنولوژی بالا بود.
نحوه محافظت در برابر حملات روز صفر
اگرچه پچ کردن یک حمله روز صفر، طبق تعریف آن، غیر ممکن است اما روشهایی وجود دارد که به سازمانها امکان دفاع در برابر این حملات را میدهد.
-
اسکن کردن آسیب پذیری
راهحلهایی که آسیب پذیریها را اسکن میکنند میتوانند حملات را روی کد نرمافزاری شبیهسازی کنند، کد را از نظر وجود خطاها بررسی میکنند و تلاش میکنند مشکلاتی که ممکن است در یک به روزرسانی نرمافزاری به وجود آمده باشند را پیدا کنند.
اما این رویکرد موجب تشخیص تمام اکسپلویتهای روز صفر نمیشود و اسکن کردن به تنهایی کافی نیست. شرکتها باید سریعا براساس نتایج اسکن اقدام کنند و کد را مورد بازبینی قرار دهند تا از سواستفاده از آسیب پذیری جلوگیری کنند.
-
مدیریت پچ
اعمال پچهای نرمافزاری در سریعترین زمان ممکن پس از کشف شدن آسیب پذیری نرمافزار، میتواند موجب کاهش ریسک حمله شود. اما در صورتی که هکر اکسپلویت را سریعتر از اعمال پچ انجام دهد، این کار نمیتواند موجب جلوگیری از حمله شود. هرچه فرایند پچ بیشتر طول بکشد، ریسک رخ دادن یک حمله روز صفر بیشتر خواهد بود.
-
اعتبارسنجی ورودی (Input Validation)
اعتبارسنجی ورودی، یا اعتبارسنجی داده، به معنای آزمودن هرگونه ورودی ارائه شده به یک برنامه یا کاربر به منظور جلوگیری از ورود دادههای دارای شکل نامناسب به سیستم است. انجام این فرایند، در طی اسکن کردن آسیبپذیری و فرایند مدیریت پچ، از شرکت محافظت میکند و به آنها قابلیت مقابله با خطرات جدید به شکل در لحظه را میدهد.
یکی از بهترین راهها برای جلوگیری از حملات روز صفر استفاده از یک فایروال برنامه های وب (WAF) بر لبهی شبکه به منظور بازبینی ترافیک ورودی و فیلتر کردن ورودیهای خرابکارانهای است که ممکن است آسیب پذیریهای امنیتی را مورد هدف قرار دهند.
ابتکار عمل روز صفر (Zero-Day Initiative)
ابتکار عمل روز صفر، برنامهای است که به محققین امنیتی که به جای فروش آسیب پذیریها در بازار سیاه، آنها را افشا کنند جایزه میدهد. هدف این نهضت ایجاد جامعهای از محققین آسیب پذیری است که مشکلات نرمافزاری را قبل از هکرها کشف میکنند. به علاوه، شرکتها برنامههای آسیب پذیر ارائه میکنند و به افرادی که آسیب پذیریها را به آنها گزارش دهند، پاداش میدهند.
نحوه کاهش آسیب پذیری روز صفر
برای هوشیار بودن در برابر حملات روز صفر، شرکتها باید یک استراتژی مناسب داشته باشند.
-
هوشیاری اطلاعاتی
پیشگیری کردن و آگاهی یافتن در مورد آخرین ریسکهای موجود در چشمانداز تهدید، گامی اساسی در جلوگیری از حملات روز صفر است. از جمله کارهایی که در این زمینه باید انجام شود استفاده از یک نرمافزار جامع امنیتی برای مسدود کردن تهدیدات شناخته شده و نامعلوم است.
همچنین ایجاد عادات آنلاین ایمن و مطمئن توسط کارمندان و پیکربندی تنظیمات امنیتی مرورگرها و سیستمها نیز در این زمینه حائز اهمیت است.
تیم FortiGuard Labs در فورتی نت متعهد به کشف تهدیدات جدید و نوظهور و ارائه محافظت فوری در برابر آنها در محصولات Fortinet است، پیش از آنکه این تهدیدات موجب بروز مشکلات امنیتی برای شرکتها شوند.
-
انجام بروزرسانی سیستمها
بروزرسانی سیستمها اهمیت ویژهای در محافظت از شرکتها در برابر ریسک حملات روز صفر دارد. از جمله مواردی که در این زمینه حائز اهمیت است عبارتند از: نصب کردن آخرین پچها، حذف کردن پچهای منقضی شده یا از کار افتاده، بروزرسانی درایورها، اصلاح کردن باگها و پر کردن حفرههای امنیتی بالقوه موجود در سیستمها
-
استفاده از یک فایروال نسل بعد
نرمافزارهای آنتی ویروس سنتی نمیتوانند به شکل موثری از شرکتها در برابر تهدیدات روز صفر محافظت کنند. به جای اینگونه نرمافزارها، شرکتها باید به دنبال راهحلهایی باشند که از عملکرد بدافزارهای روز صفر ناشناخته جلوگیری میکنند.
فایروالهای نسل آینده فورتی نت (Fortinet NGFW) با ترکیب کردن قابلیتهای بازرسی عمیقتر و شناسایی حملات، بدافزارها و تهدیدات پیشرفته، این کار را انجام میدهند و نه تنها بدافزار را متوقف میکنند بلکه انعطاف پذیری کافی را دارند تا خود را با تغییرات رخ داده در چشمانداز تهدید سازگار کرده و شبکه شرکت را در برابر ظهور تهدیدات جدید نیز محافظت کنند.