روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ دوستان عزیز سلام![1]

بگذارید گفته‌هایم را با فرضیه‌ی فلسفیِ نسبتاً مشهوری شروع کنم: «آیا حرفه‌ی یک فرد، تعیین‌کننده‌ی هویت اجتماعی وی است؟ یا بالعکس، هویت اجتماعی فرد تعیین‌کننده‌ی حرفه‌ی اوست؟». ظاهراً بیش از 150 سال است که این سؤال به طور جنجال‌برانگیزی پرسیده می‌شود. از زمان ظهور و گسترش پدیده‌ی اینترنت، به نظر می‌رسد این جنگ مقدس می‌خواهد دست کم تا 150 سال دیگر نیز جنجال به پا کند. شخصاً قصد ندارم موضع‌گیری خاصی داشته باشم و پشت یک جبهه‌ی بخصوصی سنگر بگیرم. با این حال، نمی‌خواهم کار به جایی برسد (و یا بر اساس تجارب شخصی‌ام طوری استدلال کنم) که بین هویت اجتماعی و حرفه دوگانگی بوجود بیاید؛ زیرا این دو به‌طور متقابلی (به روش‌های مختلف و به صورت پیوسته) بر یکدیگر تأثیر گذاشته و از هم تأثیر می‌گیرند.

اواخر دهه‌ی 80 میلادی، ویروس‌شناسی کامپیوتر در واکنش به تکثیر رو به افزایش برنامه‌های آلوده وارد میدان شد. حال بعد از گذشت 30 سال، علم ویروس‌شناسی به صنعت امنیت سایبری تکامل یافته است (و حتی با حوزه‌های دیگر نیز ادغام شده است)؛ صنعتی که اکنون اغلب توسعه‌ی آی‌تی را تحت فرمان خود دارد: رقابتی ناگزیر که در آن، تنها فناوری‌ای جان سالم به در می‌برد که بهترین بُعدِ محافظتی را ارائه ‌دهد. در این 30 سال (از پایان دهه‌ی 80) گاهاً نام‌های مختلفی -که برخی اوقات ناخوشایند بودند- به ما شرکت‌های AV اطلاق ‌شد که جدیدترین آن IMHO بود: دیرینه‌شناسانِ سایبری.

به طور حتم این صنعت یاد گرفته است چطور با حجمی از اپیدمی‌ها مبارزه کند: خواه به صورت کنشی (مثل کسپرسکی که کاربران را در برابر بزرگ‌ترین اپیدمی سال‌های اخیر یعنی Wannacry و ExPetr حفظ کرد) و و خواه واکنشی (با استفاده از تحلیل داده-خطرِ مبتنی بر حافظه‌ی ابر و اجبار به آپدیت).  

اما وقتی صحبت از حملات سایبری هدفمند به میان می‌آید، این صنعت هنوز کلی راه نرفته دارد: تنها چند شرکت معدود -مجهز به بلوغ فنی و منابع کافی- هستند که می‌توانند از پس چنین چالش‌هایی برآیند؛ اما اگر ثابت‌قدمانه تعهد دهید که دست هر نوع خطر سایبری را -فرقی ندارد خطر سایبری از کجا آمده، میزان خطرش چقدر است و یا انگیزه‌اش چه می‌تواند باشد- رو می‌کنید دیگر تنها نام یک شرکت به چشمتان خواهد خورد: KL (لابراتوار کسپرسکی). یاد جمله‌ای از ناپلئون هیل افتادم که می‌گفت: «هرگز پله‌های بالای نردبان موفقیت پرتردد نیست». جای تعجب نیست که تنها شرکت کسپرسکی توانسته به این جایگاه برسد (بالاترین پله‌ی نردبان موفقیت): این شرکت ثابت‌قدمانه متعهد شده است که هر نوع خطر سایبری را بر ملا کند و خوب می‌داند چنین تعهدی چه بهای سنگینی نیز دارد (با توجه به تحولات دائمی ژئوپولیتیک اخیر)؛ اما تجربه‌ به ما نشان داده است که راهی که در آن قدم گذاشته‌ایم راه درستی است و البته در طول این مدت کاربران هم با پشتیبانی مالی‌شان مهر تأیید به فعالیت‌های ما زده‌اند.

عملیات جاسوسی سایبری پروژه‌ایست بس زمان‌بر، هزینه‌بردار، پیچیده و بالافَن[2]. البته متصدیان چنین عملیات‌هایی وقتی در چنین موقعیت‌هایی گیر می‌کنند بسیار عصبی و کلافه می‌شوند. بسیاری هم فکر می‌کنند چنین افرادی سعی دارند با استفاده از روش‌های مختلف از طریق دستکاری رسانه‌ای، از شرّ توسعه‌دهندگان "نامطلوب" خلاص شوند. تئوری‌های مشابه دیگری نیز وجود دارد:

اما من بحث را عوض می‌کنم...

حال این عملیات‌های جاسوسی سایبری می‌توانند سال‌ها بدون آنکه شناسایی شوند کار خود را انجام دهند. متصدیان از کیت سرمایه‌ای خود بخوبی مراقبت می‌کنند: آن‌ها تنها به چند هدفِ (به طور خاص) انتخاب‌شده‌ حمله می‌کنند (هیچ حمله‌ای به صورت توده‌ای و دسته‌جمعی صورت نمی‌گیرد، زیرا بدین‌ترتیب خیلی راحت می‌توان آن‌‌ را شناسایی کرد)؛ آن را روی تمامی محصولات امنیت سایبری محبوب امتحان می‌کنند و در صورت نیاز بلافاصله تاکتیک‌های خود را تغییر می‌دهند (و غیره).

اگر بگویم بسیاری از حملاتِ هدفمندِ شناسایی‌شده همچون نوک کوه یخی هستند (تنها بخش کوچکی از مقاصدشان پیداست) مبالغه نکرده‌ام. و تنها وسیله‌ی مؤثر در افشای چنین حملاتی، دیرینه‌شناسیِ سایبری است: گردآوری اطلاعات به طور موشکافانه و طولانی‌مدت برای بدست آوردن "تصویری دورنما و بزرگ‌تر" با متخصصینی از سایر شرکت‌ها؛ شناسایی و تحلیل ناهنجاری‌ها و توسعه‌ی مابعدِ فناوری‌های محافظتی.

در حوزه‌ی دیرینه‌شناسیِ سایبری دو حوزه‌ی زیرمجموعه‌ی اصلی وجود دارند: بررسی‌های موردی (بعد از شناسایی تصادفی و دنبال کردن آن چیز) و بررسی‌های نظام‌مندِ عملیاتی (فرایند تحلیل برنامه‌ریزی‌شده‌ی چشم‌انداز آی‌تی شرکت).

شرکت‌های بزرگ -که همیشه طعمه‌ی اصلی حملات هدفمند بوده‌اند- بیشترین بهره را از مزایای عملیات دیرینه‌شناسی سایبری می‌برند. با این حال، همه‌ی سازمان‌ها این فرصت یا توانایی را ندارند که خود، دیرینه‌شناسی سایبری را عملیاتی کنند: در این مسیر کاری طاقت‌فرسا متخصصین واقعی کمی را پیدا خواهید کرد که البته استخدام کردنشان بسیار هزینه‌بردار است.

با این حال هنوز هم می‌توان چنین نیروهای زبده‌ای را در سراسر جهان پیدا کرد (با تجاربی ارزشمند و نام‌هایی پرآوازه). بنابراین، اخیراً با توجه به قدرت خود در این حوزه و همچنین نیاز مبرم به آن (از سوی مشتریان شرکت -که در مورد اصول و قوانین عرضه و تقاضا صادق‌اند) تصمیم به ارائه‌ی سرویس جدیدی برای بازار شدیم که نامش Kaspersky Managed Protection است.

 کار Kaspersky Managed Protection اساساً عملیات دیرینه‌شناسی سایبری برون‌سپاری‌شده‌ی از سوی ماست. نخست، سرویس اَبر ما اَبَر-داده‌های شبکه و فعالیت سیستم را جمع‌آوری می‌کند. این داده‌ها سپس با اطلاعات  KSN ما جمع می‌شوند. و آنوقت همگی توسط سیستم‌های هوشمند و متخصصین مورد تحلیل قرار می‌گیرند (رویکرد  HuMachine).

برگردیم به مبحث جمع‌آوری ابر-داده‌ها... نکته‌ی جالبی که در مورد Kaspersky Managed Protection وجود دارد این است که نیازی به نصب حسگرهای اضافه برای جمع‌آوری ابر-داده‌ها ندارد. این سرویس با محصولات از قبل نصب‌شده (خصوصاً Kaspersky Endpoint Security وKaspersky AntiTargeted Attack و در آینده احتمالاً دیگر محصولات توسعه‌دهنده) تماماً همخوانی دارد. دوری‌سنجی (تلمتری)‌‌ این محصولات از این سرویس به عنوان نسخه‌ی زیر استفاده می‌کنند:

1) معاینه‌ی پزشکی   2) شناسایی بیماری     3)درمان

اما جالب‌تر چیزی است که در فرآیند جمع‌آوری داده‌های KSN (شبکه‌ی امنیتی کسپرسکی) پنهان است.

این سرویس از قبل، چند گیگابایت تله‌متری خام از حسگرهای مختلف داشته است: رویدادهای سیستم‌عامل، رفتار فرآیندها و تعامل شبکه‌ای‌شان، فعالیت سرویس‌ها و اپلیکیشن‌های سیستم، نظرات مرتبط با محصولات امنیتی (شامل شناسایی رفتار غیرمعمول، IDS، جعبه‌شنی، بررسی اعتبار اشیاء، قوانین …Yara) اما اگر کارها بدرستی انجام شود، از میان این هرج و مرج هم می‌توان به تکنیک‌های نابی رسید که نهایتاً منجر به افشاسازی حملات هدفمند ‌شود.

در این مرحله، به منظور جدا کردن گندم از پوسته از فناوری پتنت‌شده‌ی شناسایی ابر، بررسی و پاکسازی حملات هدفمند استفاده می‌کنیم. ابتدا تله‌متری دریافت‌شده بر طبق محبوبیت اشیاء، رده‌بندی و جای گرفتن هر شیء در گروه‌بندی مخصوص به خودش، شباهت‌‌شان با خطرهای شناخته‌شده و بسیاری از پارامترهای دیگر به طور اتوماتیک توسط KSN تگ می‌شود. به بیان دیگر ما پوسته را فیلتر می‌کنیم و روی تمامی چیزهای باقیمانده (دانه‌های مختلف گندم)، تگ‌های مخصوص می‌چسبانیم.  

سپس تگ‌ها (برچسب‌ها) با همراهی فناوری یادگیری ماشین-که فرضیه‌های احتمالی حملات سایبری را پرورش می‌دهد- به طور خودکار توسط مکانیزمی معنادار پردازش می‌شوند. به زبان دیرینه‌شناسان، ما تکه‌های تازه کشف‌شده از دایناسورها را مورد بررسی قرار می‌دهیم تا شباهت‌شان با تکه‌های از قبل کشف‌شده‌ی دایناسورهای دیگر پیدا شود. همچنین به دنبال ترکیب‌ نامعمول تکه‌هایی از دایناسورها می‌گردیم که شاید هنوز به لحاظ علمی ناشناخته‌ مانده‌اند.

این مکانیزم معنادار برای ساخت فرضیه، به تعداد زیادی منابع اطلاعاتی وابسته است. 21 سال از تأسیس لابراتوار کسپرسکی می‌گذرد. خوشبختانه در طول این مدت توانسته‌ایم برای فرضیه‌هایی در باب انحرافات مشکوک آماری، تاکتیک‌ها، فناوری‌ها و روش‌های حملات هدفمند مختلف و غیره به میزان کافی اطلاعات جمع کنیم. بخشی از اطلاعات گردآوری‌شده حاصل تحقیقات ما در پروژه‌های جنایت‌های کامپیوتری است.

وقتی فرضیه‌ها کنار هم قرار می‌گیرند، وقت آن می‌رسد که دیرینه‌شناس‌ها عقل‌هایشان را روی هم بگذارند. یک دیرینه‌شناس با ذهنش کارهایی می‌کند که هوش مصنوعی حتی درخواب خود هم نمی‌بیند: او اعتبار و صحت فرضیه‌های ارائه‌شده را می‌سنجد؛ اشیاء و امور مشکوک را مورد تحلیل و بررسی قرار می دهد؛ مثبت‌های کاذب را حذف می‌کند؛ به ربات‌های یادگیری ماشین آموزش می‌دهد و به منظور یافتن خطرهای جدید، قوانین جدید وضع می‌کند. گرچه روزی عملاً هر چیزی که دیرینه‌شناسان سایبری به طور دستی انجام می‌دادند اتوماتیک خواهد شد، اما این یک فرآیند تحول تجربی (بی‌پایان) در آزمایشات و بررسی‌هاست (دیگر پژوهش‌ها و بررسی‌ها نیز سرویس‌هایی اتومات خواهند شد).

بنابراین، به طور تدریجی، قدم به قدم، با کمک فناوری‌های نوین و متخصصین زبده می‌توان از میان هزاران زمین، رد پاهایی پیدا کرد از هیولاهایی که سابق بر این ناشناخته بودند. هرچه Kaspersky Managed Protection زمینِ کار نشده‌تری به پُستش بخورد، بیشتر آن را حفر می‌کند، امکان کشف ناشناخته‌ها بیشتر می‌شود و تهدیدهای ناب‌تری کشف می‌شود. مهم‌ترین بخش این است که این از مؤثرترین راه‌های محافظتی است؛ زیرا هیچ جایی جز شبکه‌های اینترنتیِ شرکت‌های بزرگ،  زمین‌هایی بدون‌پردازش ندارند که زیرشان پر باشد از تکه‌های بدن دایناسورها.

بخش پایانی مقاله را نیز می‌خواهم اختصاص دهم به نقش تکمیل‌کننده‌یKaspersky Managed Protection برای مرکز عملیات‌های امنیتی (SOC)- مرکز نظارتی برای وقایع امنیتی اطلاعات.

البته Kaspersky Managed Protection نمی‌تواند جای SOC را بگیرد اما 1) می‌تواند آن را در مسیر خود کمک کند، زیرا بخوبی قادر است یک خطر بخصوص را (هرچند بسیار مهم و حیاتی) رد کند: برملا کردن خطرها و تهدیدها با هر میزان پیچیدگی، 2) می‌تواند با دیرینه‌شناسی سایبری، توانایی و صلاحیت یک SOC را گسترس دهد و 3) آخرین نکته که از همه مهم‌تر است: Kaspersky Managed Protection می‌تواند با توسعه‌ی کاربردهای دیرینه‌شناسی سایبری، تجارتی نوین برای ارائه‌دهندگان MSSP ایجاد کند. به اعتقاد من عامل سوم شاید مهم‌ترین خط‌مشیِ توسعه‌ی Kaspersky Managed Protection باشد.

[1] مخاطبین گرامی در نظر داشته باشند این مقاله به قلم یوجین کسپرسکی است؛ لذا مترجم آن را از زبان وی بیان می‌کند.

[2] High Tech، به فناوری‌ای در بالاترین درجهٔ پیش‌رفت گفته می‌شود؛ به عبارت دیگر، پیش‌رفته‌ترین فناوری‌ای که امروزه در دسترس بشر است.