مدل سازی تهدیدات سایبری به چه معنا است؟

یکی از بهترین راه‌حل‌ها در این زمینه مدل‌سازی تهدید به شیوه STRIDE است که امروزه توسط کارشناسان امنیتی در سراسر جهان استفاده می‌شود. این مدل، یک راهکار اثبات شده و قوی در اختیار مدافعان سایبری قرار می‌دهد، سازوکارهای دفاعی مفید را پیشنهاد می‌کند و اطلاعات جالبی در ارتباط با ویژگی‌های حمله یا هکرها، روشرهای حمله مورد استفاده توسط آن‌ها و دارایی‌هایی که مخاطرات بیشتری پیرامون آن‌ها قرار دارد ارایه می‌کند. چنین روشی به شناسایی تهدیدات، رتبه‌بندی آن‌ها، زمان‌بندی برای اصلاح آسیب‌پذیری‌ها و ایجاد طرح‌هایی برای ایمن‌سازی دارایی‌های فناوری اطلاعات کمک می‌کند. به همین دلیل یک مدل‌سازی صحیح و مبتنی بر الگوهای واقعی از تهدیدات سایبری اهمیت زیادی دارد. در میان روش‌های مختلفی که برای مدل‌سازی تهدیدات وجود دارد، STRIDE یکی از کارآمدترین آن‌ها به شمار می‌رود.

مدل‌سازی حمله‌های سایبری با روش STRIDE

با استفاده از روش مدل‌سازی STRIDE حملات، شبیه‌سازی و ارزیابی دقیقی در ارتباط با آن‌ها به‌دست می‌آید. ارزیابی مدلی که هکر از آن استفاده می‌کند با دسترسی به شبکه با هدف جمع‌آوری اطلاعات یا دسترسی به منابع انجام می‌شود. در نهایت، اقدامات مناسب متقابل برای پیشگیری یا به حداقل رساندن مخاطرات امنیتی انجام می‌شود. به‌طور مثال، برخی کارشناسان امنیتی برای شناسایی مخاطرات امنیتی مرتبط با شبکه‌های OpenFlow از رویکرد فوق استفاده می‌کنند. درست است که ارزیابی و تجزیه و تحلیل جامع نیست، اما بخش عمده‌ای از آسیب‌پذیری‌هایی که به هر دلیلی تشخیص داده نشده‌اند را مشخص می‌کند.

STRIDE سرنام 6 گروه از تهدیدات سایبری به‌نام‌های جعل هویت (Spoofing identity)، دستکاری داده‌ها (Tampering with data) تهدیدات انکارناپذیر (Repudiation threats)، افشای اطلاعات (Information disclosure)، انکار سرویس (Denial of service)  ارتقای سطح دسترسی (Elevation of privileges) است. این مدل در اواخر دهه 90 میلادی و توسط دو نفر از متخصصان ارشد شرکت مایکروسافت ارایه شد.

تیم‌های امنیت سایبری می‌توانند برای شناسایی تهدیدات در مرحله طراحی یک سیستم یا برنامه کاربردی از رویکرد مدل‌سازی تهدید به شیوه STRIDE استفاده کنند. گام اول این مدل پیدا کردن تهدیدات بالقوه از طریق یک فرایند پیشگیرانه و طراحی زیربنایی سیستم و اصول لازم برای تشخیص تهدید است. مراحل بعدی پیدا کردن ریسک‌های ذاتی در نحوه پیاده‌سازی سیستم و انجام کارهای لازم برای برطرف کردن آسیب‌پذیری‌های امنیتی است. هدف از به‌کارگیری روکید STRIDE تضمین حفظ اصول سه‌گانه محرمانگی، یکپارچگی و دسترس‌پذیری توسط یک برنامه کاربردی یا یک سیستم است. طراحان STRIDE آن‌را به گونه‌ای طراحی کرده‌اند تا این اطمینان حاصل شود که طراحان نرم‌افزارها برای پلتفرم‌هایی مثل ویندوز، لینوکس یا سایر سیستم‌ها، همه تهدیدها را در مرحله طراحی در نظر گرفته‌اند. از STRIDE باید به همراه مدل سیستم هدف استفاده شود و در کنار این مدل، اقداماتی مثل تشریح فرایندها، منابع داده‌ای، جریان‌های داده‌ای و مشخص کردن مرزهای اعتماد هم انجام شود.

شبیه‌سازی STRIDE مناسب چه متخصصانی است؟

به‌طور معمول کارشناسان امنیتی و برنامه‌نویسان باید از این تکنیک استفاده کنند. توسعه‌دهندگان می‌توانند با استفاده از مدل‌سازی STRIDE، مکانیزم‌های دفاعی لازم برای هر تهدید را طراحی کنند. به‌طور مثال، فرض کنید یک پایگاه داده مدیریتی پیدا می‌کنید که در معرض تهدیداتی مانند دستکاری داده‌ها، افشای اطلاعات و انکار سرویس، آسیب‌پذیر است. در این حالت می‌توانید سازوکارهایی مثل گزارش‌های کنترل دسترسی، امنیت لایه انتقال/لایه سوکت یا احراز هویت IPSec سرنام Internet Protocol Security که مجموعه‌ای از پروتکل‌ها که تبادل امن بسته‌ها در لایه IP را پشتیبانی می‌کند را برای مقابله با این چالش امنیتی پیاده‌سازی کنید.

به‌کارگیری STRIDE در بستر ابر

از مدل‌سازی تهدید به روش STRIDE می‌توان برای مقابله با تهدیدات نوظهوری در حوزه رایانش ابری نیز استفاده کرد. محاسبات ابری در مقایسه با محاسبات درون سازمانی، نیازها و چالش‌های خاص خود را دارند، زیرا سیستم‌ها همواره در معرض تهدیداتی سایبری مختلفی قرار دارند که ممکن است در محیط سازمان وجود نداشته باشند. بنابراین این تهدیدات نیز باید ارزیابی شوند.

برای مقابله با این تهدیدات از مدل STRIDE جهت تشخیص و پیاده‌سازی راه‌حل‌های اصلاحی استفاده می‌شود. به این ترتیب کارشناسان امنیتی می‌توانند نیازهای موجود در زمینه نظارت، ثبت گزارش و هشداردهی را مشخص کنید. علاوه ‌بر این، STRIDE امکان طراحی سازوکارهای دفاعی لازم از جمله احراز هویت، حفاظت از داده‌ها، بررسی و تأیید محرمانگی، دسترس‌پذیری و صدور مجوز را به ازای هر تهدید را ارایه کنند. در نهایت می‌توان برای مقابله با تهدیدات نوظهور بر مبنای میزان آسیب‌پذیری، قابلیت بازتولید، امکان سوءاستفاده، کاربران آسیب‌پذیر و قابلیت شناسایی آن‌ها را طبقه‌بندی و تقسیم‌بندی کرد.

پیشگیری از بروز حمله‌های سایبری سازمانی

علاوه بر این، مدل STRIDE به کارشناسان امنیتی این امکان را می‌دهد که تهدیدات اینترنت اشیا را شناسایی کرده و به مقابله با آن‌ها بپردازند. ضمن این‌که مدیران سازمان‌ها و کارشناسان امنیتی با استفاده از راه‌حلرهای مدل‌سازی تهدید می‌توانند از بروز خطا پیشگیری کرده و رخنه‌های موجود در سیستم‌ها را شناسایی کنند. بنابراین سازمان ها برای مقابله بهتر با تهدیدات نوظهور، آمادگی لازم را دارند و واکنش کارآمدتری در برابر آن‌ها خواهند داشت.

تکنیک STRIDE چگونه انجام می‌شود؟

برای پیاده‌سازی مدل‌سازی تهدید در ارتباط با برنامه‌های کاربردی از مکانیزمی به‌نام OWASP برای شناسایی و روش STRIDE برای طبقه‌بندی و روش DREAD برای ارزیابی، مقایسه و اولویت‌بندی مخاطرات بر مبنای شدت خطر آن‌ها استفاده می‌شود. به‌طور معمول مراحل مدل‌سازی تهدید برنامه‌های کاربردی به شرح زیر انجام می‌شود:

تجزیه و تحلیل برنامه کاربردی

اولین قدم از مدل‌سازی تهدید، درک نحوه تعامل با عوامل داخلی و خارجی است. شناسایی نقاط ورود، مرزهای دسترسی، کنترل دسترسی و فناوری مورد استفاده اهمیت زیادی دارد. این مرحله در روش آزمایش OWASP به مرحله جمع‌آوری اطلاعات مشهور است و در آن بیشترین اطلاعات در مورد هدف موردنظر به‌دست می‌آید.

تشخیص

پیاده‌سازی چارچوب آزمایش OWASP باعث شناسایی آسیب‌پذیری‌های مستتر در برنامه‌های کاربردی می‌شود که به‌طور معمول به‌نام آزمایش نفوذ (Penetration) از آن نام برده می‌شود. در آزمایش نفوذ، کارشناسان امنیتی از ابزارها و تکنیک‌های مختلفی برای پیدا کردن انواع مختلفی از آسیب‌پذیری‌های مستتر در برنامه‌ها استفاده می‌کنند.

طبقه‌بندی تهدیدات

پس از شناسایی آسیب‌پذیری‌ها کارشناسان امنیتی از الگوی STRIDE برای طبقه‌بندی آن‌ها استفاده می‌کنند. تکنیک فوق روی نکات و مفاهیم مختلفی متمرکز است. به‌طور مثال، Spoofing به معنای آن‌که هکر سعی می‌کند به جای شخصی دیگری خود را به سیستم معرفی کند، Tampering به معنای آن است که هکر دادهرهایی که بین برنامه و کاربر اصلی انتقال پیدا می‌کنند را تغییر می‌دهد، Repudiation به معنای آن است که هکر عملی در برنامه انجام می‌دهد که قابل ردیابی نیست، Information Disclosure به معنای آن است که هکر داده‌های خصوصی را به‌دست آورده که در برنامه (پایگاه داده) ذخیره می‌شود، Denial of Service به معنای آن است که هکر می‌تواند کاربران را از دسترسی به برنامه یا خدمات دور کند و در نهایت Elevation of Privilege به معنای آن است که هکر امکان دسترسی‌های لازم برای نفوذ کامل به زیرساخت‌ها را به‌دست آورده است. به‌طور معمول، هنگامی که صحبت از مدل‌سازی تهدیدات به شیوه STRIDE به میان می‌آید، در ادامه رویکرد DREAD نیز به کار گرفته می‌شود. کارشناسان امنیتی از روش DREAD به منظور ارزیابی، مقایسه و اولویت‌بندی شدت ریسک مرتبط با هر تهدید که با استفاده از STRIDE طبقه‌بندی شده، استفاده می‌کنند. فرمولی که برای محاسبه میزان خطر‌پذیری یک تهدید سایبری از آن استفاده می‌شود به شرح زیر است:

DREAD Risk = (Damage + Reproduciblity + Exploitability + Affected Users + Discoverability) / 5

خطر DREAD = (خسارت + تولید مجدد + اکسپلویت یا همان بهره‌برداری + کاربران یا منابع تحت تاثیر قرار گرفته+ کشف) / 5

بر مبنای فرمول اشاره شده، محاسبات همواره مقداری در بازه 0 تا 10 هستند. هر چه این رقم بیشتر شود، مخاطره امنیتی خطرناک‌تر است. در ادامه یک روش ریاضی نمونه برای پیاده‌سازی روش DREAD شرح داده شده است:

ظرفیت خسارت یا خطرناک بودن (Damage Potential)

اولین پرسشی که کارشناسان امنیتی مطرح می‌کنند این است که اگر یک حمله امنیتی انجام شود چه میزان خسارتی به زیرساخت‌ها وارد می‌کند:

0: به معنای بی خطر بودن است.

5: افشای اطلاعاتی را به همراه خواهد داشت که در ترکیب با سایر آسیب‌پذیری‌ها از آن استفاده می‌شود.

8: داده‌های کاربری حساس فردی یا کارفرمایی با چالش جدی روبرو می‌شود.

9: داده‌های غیر حساس اجرایی در معرض ریسک قرار می‌گیرند.

10: زیرساخت یا پایگاه‌های داده به‌طور کامل تخریب می‌شوند یا ممکن است برنامه کاربردی غیر قابل استفاده شود.

قابلیت بازتولید دوباره (Reproducible)

دومین مفهوم مهمی که به آن پرداخته می‌شود بازتولید دوباره تهدید با هدف سوء استفاده از آن است. به بیان ساده‌، شما حمله‌ای را شناسایی کرده و آن‌را دفع کرده‌اید، اما عواملی که باعث بروز حمله شده‌اند را شناسایی و برطرف نکرده‌اید، به‌طوری که هکرها می‌توانند بازهم از همان نقطه به زیرساخت سازمان آسیب وارد کنند.

0: بسیار سخت یا غیرممکن است و حتا کارشناسان امنیتی سازمان نیز قادر به انجام آن نیستند.

5: مراحل پیچیده‌ای برای کاربر مجاز لازم است تا بتواند چنین کاری را تکرار کند.

7.5: یک کاربر با مجوزهای مربوطه بدون مشکل قادر به انجام آن است.

10: بدون تأیید اعتبار، فقط یک مرورگر وب برای پیاده‌سازی حمله کافی است.

استخراج‌پذیر بودن (Exploitability)

سومین پرسشی که مطرح می‌شود این است که هکرها برای سوء استفاده از تهدیدات سایبری به چه ملزومات اولیه‌ای نیاز دارند؟

2.5: دانش شبکه و برنامه‌نویسی پیشرفته و به‌کارگیری ابزارهای حمله سفارشی یا پیشرفته.

5: آسیب‌پذیری همراه با ابزارهای در دسترس کاربران قابل سوء استفاده است.

9: یک ابزار پروکسی وب‌محور کفایت می‌کند.

10: تنها به یک مرورگر وب برای پیاده‌سازی موفقیت‌آمیز حمله نیاز است.

کاربران متاثر از حمله (Affected Users)

چهارمین پرسش به این نکته اشاره دارد که چه تعداد کاربر تحت تأثیر حمله قرار خواهند گرفت؟

0: به معنای هیچ کاربرد.

2.5: فرد یا کارفرمایی که یکبار در معرض حمله قرار گرفته است.

6: برخی کاربران با امتیازات فردی یا مدیران عامل، اما نه همه آن‌ها.

8: کارمندان اجرایی.

10: همه کاربران.

توانایی شناسایی و کشف (Discoverability)

پنجمین پرسش در این زمینه به این مسئله می‌پردازد که کشف تهدید چقدر ساده است؟

0: نیاز به کد منبع یا دسترسی اجرایی بسیار سخت نیاز است.

5: با نظارت و دستکاری در درخواست‌های پروتکل HTTP می‌توان آن‌را تشخیص داد.

8: جزئیات خرابی‌هایی به شکل عمومی در دسترس همه کاربران قرار دارد و از طریق به‌کارگیری موتورهای جستجوی خاص می‌توان به جزییات فنی مختلفی دست پیدا کرد.

10: از طریق یک مرورگر اینترنتی و موتورهای جست‌وجوی ساده همه چیز در دسترس قرار دارد.

روش DREAD می‌تواند برای پاسخ‌گویی به نیازهای حرفه‌ای سازمان‌ها و کارشناسان امنیتی به شکل سفارشی استفاده شود. با این‌حال، نکته مهمی که باید به آن دقت کنید این است که تصمیم‌گیری‌ها باید قبل از شروع کار انجام شوند و در حین کار تغییر پیدا نکنند.