راهکار ایدهآلی که توانایی پر کردن این شکاف را دارد، یادگیری ماشینی است. فناوری قدرتمندی که با کمک آن حتی توسعهدهندگان و تولیدکنندگان میتوانند بهراحتی این مشکلات را مشاهده کرده و راهحلهای مربوطه را ارائه کنند. طبیعت ذاتی دستگاههای اینترنت اشیا به گونهای است که حجم عظیمی از دادهها را تولید میکنند و تنها راهکار جامع در زمینه تجزیهوتحلیل این دادهها و مطالعه دقیق روی آنها در گرو توجه دقیق به مبحث یادگیری ماشینی محقق میشود. یادگیری ماشینی میتواند بهرهوری سرویسهای مورد استفاده مشتریان را افزایش داده، هزینههای مصرفی را کاهش دهد و در نهایت مصرف انرژی را به میزان قابل توجهی کم کند. جالب آنکه یادگیری ماشینی در حوزه امنیت نیز گسترشپذیر است و این ظرفیت را دارد تا مکانیزمهای امنیتی را در خصوص این چنین دستگاههایی بسط دهد. یادگیری ماشینی میتواند تشخیص دهد آیا رفتاری که از سوی دستگاههای اینترنت بروز میکند ایمن است و مهمتر از آن، اینکه در حالت کلی از چه الگوهایی در زمینه ایمنسازی دستگاههای اینترنت اشیا میتوان استفاده کرد. این تحلیلها کمک میکنند تا نقاط قوت شناسایی شود و همچنین از رفتارهای غیرطبیعی که بستر به وجود آمدن رفتار خطرناکی را زمینهساز میشوند، ممانعت به عمل آید. در حال حاضر، چند شرکت فناوری در زمینه طراحی راهحلهای امنیتی اینترنت اشیا به فعالیت اشتغال دارند؛ به ویژه در ارتباط با خانههای هوشمند که در آنها هیچگونه تعریف واحدی از استانداردهای امنیتی و شیوههای مورد استفاده از آنها وجود ندارد.
تعامل کلاود و یادگیری ماشینی باعث قدرتمندتر شدن امنیت میشود
«الکساندرو بالان»، محقق ارشد بخش تحقیقات امنیتی در حوزه امنیت سایبری شرکت «بیتدیفندر» در این باره گفته است: «این روزها، یادگیری ماشینی و تجزیهوتحلیل رفتاری، یکی از بزرگترین گرایشهایی است که در زمینه تشخیص رخدادهای مختلف به آن توجه میشود. با اینحال، یادگیری ماشینی هنوز هم راه طولانی برای نیل به این هدف پیش روی خود دارد و در مقطع فعلی بسیاری از تحقیقات و ابداعات در ارتباط با الگوریتمها در مرحله طراحی، پیادهسازی و آزمایش قرار دارند.» برای مثال، رویکرد بیت دیفندر بر مبنای جمعآوری اطلاعات در یک سرور کلاود قرار دارد و تمام محصولات این شرکت اطلاعات خود را برای یک نقطه پایانی ارسال میکنند. در این چنین رویکردی، ورودی تحلیل شده است تا الگوها مشخص و رفتارهای مخرب بررسی شود.
طبیعت ذاتی دستگاههای اینترنت اشیا به گونهای است که حجم عظیمی از دادهها را تولید میکنند و تنها راهکار جامع در زمینه تجزیهوتحلیل این دادهها و مطالعه دقیق روی آنها در گرو توجه دقیق به مبحث یادگیری ماشینی محقق میشود.
بالان در این خصوص میگوید: «در این روش تمامی ترافیک شبکه را جمعآوری میکنید و در ادامه به پالایش و عادیسازی آنها خواهید پرداخت. با استفاده از اطلاعات جمعآوریشده، آگاه خواهید شد که دستگاهها با چه سرورهایی ارتباط برقرار میکنند، با چه دستگاههای دیگری به گفتوگو میپردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار میکنند. این چنین اطلاعاتی کمک میکند بهراحتی توانایی شناسایی و تشخیص ترافیک غیرطبیعی را داشته باشید.» اگر شرکتی در نظر داشته باشد این چنین فرایندهایی را بهطور دستی مدیریت کند، نه تنها به حجم نسبتاً زیادی از نیروی انسانی نیاز دارد، بلکه در عمل به زمان زیادی برای تحلیل الگوها نیاز خواهد داشت، در حالی که در دنیای امنیت حتی از دست دادن یک ثانیه ممکن است صدمات جبرانناپذیری را وارد کند.
جالب اینکه شرکت بیت دیفندر بهخوبی توانسته است از الگوی یادگیری ماشینی در محصولات خود استفاده کند. رویکردی که بیت دیفندر استفاده میکند اینگونه است که از هوشمندی کلاودمحور و الگوی تشخیصی، همراه با تحلیلهای محلی شبکه، در مجموعه نرمافزارها و سختافزارهای امنیتی نقطه پایانی خود بهره میبرد. این راهکار با هدف کنترل بر ترافیک شبکههای خانگی و مسدود کردن ارتباط آنها با آدرسهای اینترنتی مخرب و پیشگیری از دانلود بستههای مشکوک یا نرمافزارهای مخرب استفاده میشود. بیتدیفندر میتواند به کمک اهرم سرویسهای ابری تا سطح قابل قبولی از حفاظت را برای مشتریان خود اعمال کند.
یادگیری ماشینی؛ هدف غایی بشریت
تعامل کلاود و یادگیری ماشینی باعث قدرتمندتر شدن امنیت میشود
«الکساندرو بالان»، محقق ارشد بخش تحقیقات امنیتی در حوزه امنیت سایبری شرکت «بیتدیفندر» در این باره گفته است: «این روزها، یادگیری ماشینی و تجزیهوتحلیل رفتاری، یکی از بزرگترین گرایشهایی است که در زمینه تشخیص رخدادهای مختلف به آن توجه میشود. با اینحال، یادگیری ماشینی هنوز هم راه طولانی برای نیل به این هدف پیش روی خود دارد و در مقطع فعلی بسیاری از تحقیقات و ابداعات در ارتباط با الگوریتمها در مرحله طراحی، پیادهسازی و آزمایش قرار دارند.» برای مثال، رویکرد بیت دیفندر بر مبنای جمعآوری اطلاعات در یک سرور کلاود قرار دارد و تمام محصولات این شرکت اطلاعات خود را برای یک نقطه پایانی ارسال میکنند. در این چنین رویکردی، ورودی تحلیل شده است تا الگوها مشخص و رفتارهای مخرب بررسی شود.
طبیعت ذاتی دستگاههای اینترنت اشیا به گونهای است که حجم عظیمی از دادهها را تولید میکنند و تنها راهکار جامع در زمینه تجزیهوتحلیل این دادهها و مطالعه دقیق روی آنها در گرو توجه دقیق به مبحث یادگیری ماشینی محقق میشود.
بالان در این خصوص میگوید: «در این روش تمامی ترافیک شبکه را جمعآوری میکنید و در ادامه به پالایش و عادیسازی آنها خواهید پرداخت. با استفاده از اطلاعات جمعآوریشده، آگاه خواهید شد که دستگاهها با چه سرورهایی ارتباط برقرار میکنند، با چه دستگاههای دیگری به گفتوگو میپردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار میکنند. این چنین اطلاعاتی کمک میکند بهراحتی توانایی شناسایی و تشخیص ترافیک غیرطبیعی را داشته باشید.» اگر شرکتی در نظر داشته باشد این چنین فرایندهایی را بهطور دستی مدیریت کند، نه تنها به حجم نسبتاً زیادی از نیروی انسانی نیاز دارد، بلکه در عمل به زمان زیادی برای تحلیل الگوها نیاز خواهد داشت، در حالی که در دنیای امنیت حتی از دست دادن یک ثانیه ممکن است صدمات جبرانناپذیری را وارد کند.
جالب اینکه شرکت بیت دیفندر بهخوبی توانسته است از الگوی یادگیری ماشینی در محصولات خود استفاده کند. رویکردی که بیت دیفندر استفاده میکند اینگونه است که از هوشمندی کلاودمحور و الگوی تشخیصی، همراه با تحلیلهای محلی شبکه، در مجموعه نرمافزارها و سختافزارهای امنیتی نقطه پایانی خود بهره میبرد. این راهکار با هدف کنترل بر ترافیک شبکههای خانگی و مسدود کردن ارتباط آنها با آدرسهای اینترنتی مخرب و پیشگیری از دانلود بستههای مشکوک یا نرمافزارهای مخرب استفاده میشود. بیتدیفندر میتواند به کمک اهرم سرویسهای ابری تا سطح قابل قبولی از حفاظت را برای مشتریان خود اعمال کند.
یادگیری ماشینی؛ هدف غایی بشریت
«ادی ویراماچنینا»، بنیانگذار و مدیرعامل «PatternEx» در این باره گفته است: «یادگیری ماشینی یکی از مؤلفههای زیربنایی هوش مصنوعی ویژه اینترنت اشیا شناخته میشود. مسئله مهمی که در خصوص اینترنت اشیا وجود دارد، به مقیاس وسیع آن بازمیگردد. دستگاههای اینترنت اشیا به گونهای طراحی میشوند که به صورت توزیعشده، طیف گستردهای از کاربران از آنها استفاده میکنند. در نتیجه اگر حملهای رخ دهد، باید بتوانید بلافاصله به آن واکنش نشان دهید.» اکثر سیستمها با تکیه بر یادگیری ماشینی و تحلیل رفتاری اقدام به جمعآوری اطلاعات درباره شبکه و دستگاههای متصل به شبکه میکنند. آنها در ادامه سعی میکنند هر فعالیت مشکوک و غیرعادی را شناسایی کنند. اما مشکل این روش بدوی این است که در این حالت هشدارهای نادرست بسیار و هشدارهای به ظاهر درست زیادی تولید میشود. اما PatternEx رویکرد جالبی در این زمینه ارائه کرده است. این شرکت بر این باور است که ترکیبی از یادگیری ماشینی و آرگومانهای آن همراه با بینش تحلیلی بهدستآمده از نیروی انسانی، میتواند حملات را بهخوبی تشخیص دهد. ویراماچنینا میگوید: «برای آدرسدهی تهدیدات بلافاصله باید اقدام به طراحی سیستمی کنیم که طرح کلی و بازخوردهای انسانی را در خود جای داده باشد. عامل انسانی به تنهایی میتواند تفاوت بین فعالیتهای مخرب و غیرمخرب را تشخیص دهد. حال اگر این بازخوردهای انسانی برای سیستمی ارسال شود، میتوان مدل پیشگویانهای که توانایی تقلید رفتار انسانی را دارد، طراحی کرد؛ با این تفاوت که سیستم فوق این ظرفیت را خواهد داشت تا در مقیاس وسیع و بیدرنگ، وظیفه خود را انجام دهد.»
با استفاده از اطلاعات جمعآوریشده، آگاه خواهید شد که دستگاهها با چه سرورهایی ارتباط برقرار میکنند، با چه دستگاههای دیگری به گفتوگو میپردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار میکنند.
پیادهسازی چنین الگویی در اکو سیستم اینترنت اشیا نقش مهم و حیاتی دارد. جایی که حجم بسیار گستردهای از دستگاهها در تعامل با یکدیگر و شبکه قرار دارند و تحلیل بیدرنگ این حجم از اطلاعات تولیدشده، در عمل فراتر از توانایی انسانها است. PatternEx از الگوریتمهای یادگیری ماشینی برای شناسایی نمونههای پرت و پیادهسازی دقیقتر مدلهای بیدرنگ استفاده میکند. این مدلها توسط عامل انسانی آموزش میبینند. در این آموزش، تحلیلگر نقطهای را به عنوان آغاز حمله تعیین میکند. در ادامه، سیستم رویدادهایی را که نشاندهنده حملات احتمالی است، تولید میکند. سپس عامل انسانی به بررسی وقایع پرداخته و مشخص میکند آیا سیستم بهدرستی موفق به ارزیابی شده یا در روند تشخیص خود دچار اشتباه شده است. سیستم از این تجربیات برای یادگیری استفاده کرده و میتواند در آینده تصمیمهای دقیقتری اتخاذ کند. ویراماچنینا در این باره گفته است: «این مدل به گونهای طراحی شده است که دقت و صحت تشخیصها را بهبود ببخشد و تعداد موارد مثبتی را که به صورت کاذب به وجود آمده است و در طول زمان رشد چشمگیری پیدا میکنند، کاهش دهد.»
بهرهمندی از ویژگیهای محدود دستگاههای اینترنت اشیا
با استفاده از اطلاعات جمعآوریشده، آگاه خواهید شد که دستگاهها با چه سرورهایی ارتباط برقرار میکنند، با چه دستگاههای دیگری به گفتوگو میپردازند و چگونه ارتباطی عادی با اینترنت و با یکدیگر برقرار میکنند.
پیادهسازی چنین الگویی در اکو سیستم اینترنت اشیا نقش مهم و حیاتی دارد. جایی که حجم بسیار گستردهای از دستگاهها در تعامل با یکدیگر و شبکه قرار دارند و تحلیل بیدرنگ این حجم از اطلاعات تولیدشده، در عمل فراتر از توانایی انسانها است. PatternEx از الگوریتمهای یادگیری ماشینی برای شناسایی نمونههای پرت و پیادهسازی دقیقتر مدلهای بیدرنگ استفاده میکند. این مدلها توسط عامل انسانی آموزش میبینند. در این آموزش، تحلیلگر نقطهای را به عنوان آغاز حمله تعیین میکند. در ادامه، سیستم رویدادهایی را که نشاندهنده حملات احتمالی است، تولید میکند. سپس عامل انسانی به بررسی وقایع پرداخته و مشخص میکند آیا سیستم بهدرستی موفق به ارزیابی شده یا در روند تشخیص خود دچار اشتباه شده است. سیستم از این تجربیات برای یادگیری استفاده کرده و میتواند در آینده تصمیمهای دقیقتری اتخاذ کند. ویراماچنینا در این باره گفته است: «این مدل به گونهای طراحی شده است که دقت و صحت تشخیصها را بهبود ببخشد و تعداد موارد مثبتی را که به صورت کاذب به وجود آمده است و در طول زمان رشد چشمگیری پیدا میکنند، کاهش دهد.»
بهرهمندی از ویژگیهای محدود دستگاههای اینترنت اشیا
چند ماه قبل پژوهشگران امنیتی دانشگاه نایپر ادینبورگ مقالهای در ارتباط با مدل خاصی از حمله منع سرویس توزیع شده (DDoS) و راهکار تقویت این مدل حمله با استفاده از پروتکل انتقال موقت فایل (TFTP) را منتشر کردند. اما به تازگی پژوهشگران شرکت آکامای هشدار دادهاند که این چنین تکنیکی ممکن است در دنیای واقعی خطر بالقوهای را به وجود آورد.
حملات DDoS بهطور معمول بر پایه باتنتهای فراوان و از طریق منابع متفاوتی به مرحله اجرا در میآیند. این مدل حملات باعث به وجود آمدن حجم گستردهای از ترافیک میشوند. اما هکرها برای آنکه بر شدت حملات خود بیفزایند از دستگاههای میانی تقویت کننده (amplifiers) برای تقویت ترافیک تخریبی استفاده میکنند. اما نکته مهمی که پژوهشگران دانشگاه ادینبورگ کشف کردهاند این است که TFTP این توانایی را دارد تا به عنوان یک عامل تقویت کننده تقریبا 60 برابری مورد استفاده قرار گیرد. بهطوری که در مقایسه با روشهای موجود از نرخ بالاتری بهره میبرد.
ریچارد مک فارلین، بوریس سیکلیک و ویلیام ج بوکانن، محققان این دانشگاه، در مقاله خود عنوان کردهاند که این روش تقویتی ممکن است تبدیل به یک مخاطره جهانی شود. به دلیل اینکه پروتکل TFTP تقریبا توسط 599600 سرور باز TFTP مورد استفاده قرار میگیرد. در حالی که این محققان از سال 2014 سرگرم تحقیق در خصوص این مشکل امنیتی بودند، اما مقاله آنها ماه مارس در مجله computer & science به چاپ رسید و اکنون سرتیتر اخبار سایتهای مختلف شده است. البته لازم به توضیح است که این سه پژوهشگر اولین کارشناسان امنیتی نیستند که نشان دادند سرورهای TFTP این پتانسیل را دارند تا به عنوان تقویت کننده حملات DDoS مورد استفاده قرار گیرند. در سال 2013 نیز جیسون شولتز، مهندس بخش تحقیقات و تهدیدات سیسکو، این چنین پیشامدی را پیشبینی کرده بود. او در آن زمان گفته بود: «تشدید قدرت حمله DDoS با استفاده از پروتکل TFTP روش بهینهسازی شدهای برای حمله نیست، اما اگر به تعداد کافی، سرورهای عمومی TFTP در دسترس باشند این حمله به شیوه موثرتری میتواند پیادهسازی شود.»
تیم واکنش هوش امنیتی شرکت آکامای (Security Intelligence Response Team) موفق به کشف ده حمله بر مبنای اهرم TFTP شد. حملاتی که از تاریخ 20 آوریل آغاز شده و مشتریان شرکت را تحتالشعاع خود قرار دادهاند. جوز آرتیگا از کارمندان شرکت آکامای در این ارتباط اعلام کرده است: «اسکرپیت حمله کننده TFTP فعالیت خود را از ماه مارس آغاز کرده است. به نظر میرسد این حمله همزمان با انتشار تحقیقات در مورد این شیوه حمله در رسانههای جمعی صورت گرفته است. » آنگونه که آرتیگا گفته است، بیشتر این حملات چند برداری بوده و ردپایی از تکنیک انعکاسی TFTP در آنها به چشم میخورد. تحلیلها نشان میدهند که حداقل یک سایت حملات DDoS را در غالب یک سرویس یکپارچه انتقال داده است.
در شرایطی که این سبک از حمله، نرخ بسته آنچنان بالایی را تولید نمیکند، اما در مقابل حجم بستههای تولید شده به اندازه کافی زیاد هستند تا پهنای باند سایتها را مورد هدف قرار دهند. گزارش این محققان نشان میدهد که این ابزار حمله از کد یکسانی همسو با دیگر ابزارهای انعکاسی پایه UDP استفاده کرده و خط فرمان مشابهی نیز دارد. تحلیلها نشان میدهند که این چنین حملهای پهنای باندی به میزان حداکثر 1.2 گیگابیت در ثانیه برابر با 176.4 هزار بسته در ثانیه تولید میکند.
ین بردار حمله انعکاس TFTP از پورت 69 به عنوان پورت منبع استفاده میکند. اما این احتمال وجود دارد که حملات پورت خاصی را هدف قرار نداده و پورتها را به صورت تصادفی انتخاب کنند. با این وجود دامنه تاکتیکی این حمله محدود است، به دلیل اینکه TFTP به گونهای طراحی شده است تا فایلها و به ویژه فایلهای پیکربندی شده را برای تعداد محدودی از میزبانها آن هم در زمان مشخصی ارسال کند. در نتیجه این احتمال وجود دارد که سرورهای TFTP این توانایی را نداشته باشند تا حجم زیادی از درخواستهایی که توسط ابزارهای بردار حمله TFTP ارسال میشوند را انتقال دهند. در بخشی دیگری از مقاله منتشر شده توسط این پژوهشگران آمده است که TFTP تنها قادر به تولید نرخ 1.2 گیگابیت است، اما در حملات چند برداری که حمله TFTP یکی از بردارهای آنها به شمار میرود، این میزان به عدد 44 گیگابیت در ثانیه میرسد. منابع جمعآوری شده در ارتباط با حملات انعکاسی TFTP نشان از آن دارند که مراحل اولیه حمله توزیع شده ضعیف بوده است. منشا بخش عمدهای از این منابع آسیایی بوده است اما در ادامه این حملات از منابع اروپایی نیز استفاده کردهاند. کارشناسان امنیتی به مدیران سرورهایی که پروتکل TFTP را میزبان میکنند، توصیه کردهاند، پورت شماره 69 که برای اتصال به اینترنت مورد استفاده قرار میگیرد را مورد ارزیابی قرار دهند. این پورت باید به یک دیوار آتش تجهیز شده و تنها به منابع ورودی معتبر اجازه ورود دهند. ضروری است مدیران از ابزارهای شناسایی سوء استفاده از سرورهای TFTP در یک شبکه استفاده کنند.
Forwarded from Tabriz.io | فناوری به وقت تبریز
اولین همفکر تبریز ۲۵ مهر ماه برگزار میشود
اطلاعات بیشتر و ثبت نام:
Tabriz.io/go/hamfekr1
فناوری به وقت تبریز @tabrizio
اطلاعات بیشتر و ثبت نام:
Tabriz.io/go/hamfekr1
فناوری به وقت تبریز @tabrizio
"اخبار امنیت فناوری اطلاعات"
چاپار- افشای جاسوسی یاهو از کاربران ایمیل برای آژانسهای اطلاعاتی آمریکا
یک منبع آگاه به رویترز اظهار کرد شرکت یاهو سال گذشته یک برنامه نرمافزار سفارشی را طراحی کرد تا همه ایمیلهای دریافتی کاربرانش را برای اطلاعات خاصی که در اختیار مقامات امنیت اطلاعات آمریکا قرار میدهد، جست و جو کند. این شرکت از درخواست محرمانه دولت آمریکا اطاعت کرده و به خواست آژانس امنیت ملی آمریکا یا اف بی آی، صدها میلیون اکانت یاهو میل را اسکن کرده است.
https://www.reuters.com/article/us-yahoo-nsa-exclusive-idUSKCN1241YT
چاپار- افشای جاسوسی یاهو از کاربران ایمیل برای آژانسهای اطلاعاتی آمریکا
یک منبع آگاه به رویترز اظهار کرد شرکت یاهو سال گذشته یک برنامه نرمافزار سفارشی را طراحی کرد تا همه ایمیلهای دریافتی کاربرانش را برای اطلاعات خاصی که در اختیار مقامات امنیت اطلاعات آمریکا قرار میدهد، جست و جو کند. این شرکت از درخواست محرمانه دولت آمریکا اطاعت کرده و به خواست آژانس امنیت ملی آمریکا یا اف بی آی، صدها میلیون اکانت یاهو میل را اسکن کرده است.
https://www.reuters.com/article/us-yahoo-nsa-exclusive-idUSKCN1241YT
Reuters
Exclusive: Yahoo secretly scanned customer emails for U.S. intelligence: sources
Yahoo Inc <YHOO.O> last year secretly built a custom software program to search all of its customers' incoming emails for specific information provided by U.S. intelligence officials, according to people familiar with the matter.