نقش مدیریت زمان در شناسایی و مقابله با تهدیدات سایبری دریایی

به گزارش مرین‌پرس؛ «TYSON B. MEADORS» مدیر یک مؤسسه امنیت سایبر دریایی و «GARY C KESSLER» تحلیلگر  و کارشناس امنیت سایبری با انتشار مقاله‌ای الهام گرفته از سناریو‌های آزمایشگاه  Cyber-SHIP دانشگاه پلیموث انگلستان در سایت News Break چند نکته کلیدی را برای تقویت امنیت سایبری و راه‌های مقابله با آن در حمل‌و‌نقل دریایی به رشته تحریر درآورده‌اند.

در ادامه این مقاله آمده است فرض کنیم فرمانده یک کشتی کانتینری ۱۲۰۰۰ TEU در حال حرکت در یک روز آفتابی در حالی‌که از سمت غرب به سمت شرق حرکت می‌کند متوجه می‌شود کشتی در حین حرکت به سمت بندر منحرف می‌شود. وی احساس می‌کند کنترل سرعت از دستش خارج شده و  سرعت کشتی  به جای کاهش، افزایش می‌یابد؛ اگرچه ابزار‌های فرماندهی، موفقیت‌های زمانی را نشان می‌دهد، اما سرعت به جای کاهش بالا می‌رود و در یک آن فرمانده احساس می‌کند به طرز وحشتناکی از مسیر منحرف می‌شود. چیزی نمی‌گذرد که فرمانده کاملاً پی می‌برد در مدت چند دقیقه کشتی به دستورات سکان و موتور جواب نمی‌دهد و در مدت چند دقیقه کشتی به گل می‌نشیند.

فرمانده در چنین لحظاتی  در پی یافتن علت پیشامد و حادثه است و از خود و همکاران می‌پرسد آیا نقص سیستم یا خطای انسانی است یا  حملۀ سایبری صورت گرفته و به طور کلی کدامیک باعث این اتفاق شده است و چگونه می‌تواند تفاوت‌ها را تشخیص دهد. این تشخیص آنی و لحظه‌ای تفاوت‌ها به خوبی در پیشگری و جلوگیری از خسارت‌ها به منظور مقابله و یافتن راه حل‌ها  کمک مؤثری می‌کند.  

بدین ترتیب این یک حمله سایبری بالقوه است که شاید بتوان آن را در فیلم‌های اکشن مشاهده کرد؛ اما مغز متفکر جنایتکاران سایبری منجر به این اتفاق شده است.

 امروزه این فرضیه و گمان به اثبات رسیده که  بدافزار سایبری در یک سیستم کشتی می‌تواند همان اتفاقاتی را بوجود بیاورد که در سایر بخش‌های اقتصادی خشکی به واقعیت منجر می‌شود.

در ادامه این مقاله آمده است؛ مسلماً در چنین مواقعی هکر‌های سایبری از ایمیل‌های جعلی استفاده می‌کنند. متأسفانه باید گفت در حال حاضر با بالا رفتن تخصص هکر‌های سایبری از یک سو و ضعف در مقابله با این نوع حوادث هکر‌ها می‌توانند چند کشتی را همزمان با بدافزار‌هایی که در اختیار دارند، هدف قرار داده  و غیر‌فعال کنند.

 در چنین مواردی مدیریت تهدیدات سایبری به خوبی به منظور پایین آوردن ریسک حملات عمل کرده و میزان وقوع جرم‌های سایبری را اندازه‌گیری کنند.  در این ارتباط توجه به موارد زیر می‌تواند تاثیر گذار باشد:

 کارشناسان و متخصصان  امروزه حملات سایبری به کشتی‌ها را با ورود دزدان دریایی به کشتی مقایسه می‌کنند، زیرا دزدان دریایی به صورت فیزیکی کنترل کشتی را در دست می‌گیرند و دزدان سایبری در فضای مجازی این کار را انجام می‌دهند.  

 در چنین شرایطی زمان یکی از مؤثر‌ترین فاکتور‌هایی است که به منظور شناسایی هکر‌های سایبری می‌توان انجام داد. هر چقدر دسترسی به اطلاعات اولیه برای به دست آوردن کنترل بر سیستم‌ها و دریافت اطلاعات کلیدی در مدت زمان کوتاهی انجام پذیر باشد، تیم‌های دفاعی می‌توانند با اتخاذ تدابیر امنیتی برای یافتن شبکه هدف تلاش کنند.

 در این ارتباط هر چقدر نسبت به تشخیص حمله و میزان آسیب در همان لحظا ت وقوع جرم تلاش شود، هکر‌ها کمتر در کار‌های خود موفق می‌شوند.

در واقع پیشنهاد می‌شود عملیات ضد حملات سایبری باید در اسرع وقت مورد شناسایی و تجزیه و تحلیل قرار گیرد و مراکز نفوذ سایبری بلافاصله شناسایی شود تا از تهدیدات بعدی جلوگیری به عمل آید.

 تجزیه و تحلیل شرکت امنیت سایبری MANDIANT ۹۵ نشان می‌دهد که از سه ماهه اول ۲۰۲۰ تا سه ماهه اول ۲۰۲۱ میلادی آسیب پذیری حملات هکری به حمل‌و‌نقل دریایی مورد بررسی  قرار گرفته که داده‌های این شرکت نشان می‌دهد ۶۱ درصد از آسیب پذیری‌های مورد استفاده هکر‌ها در روز صفر (* ZERO -DAY) انجام شده است.

 در حال حاضر مالکان و صاحبان کشتی اغلب به خدمات خارج از کشتی برای محافظت از کشتی خود در مقابل حملات سایبری متکی هستند و چه بسا مسولان IT آن شرکت و یا سازمان و یا شرکتی که تهدیدات سایبری را رصد می‌کند اطلاعات زیادی در‌باره سیستم نداشته باشند؛ در چنین شرایطی ممکن است این سیستم جواب ندهد. در  این ارتباط  باید شرکتی که برای مقابله با حملات سایبری همکاری می‌کند هم از نحوه ساخت سیستم و هم از فعالیت‌های مخرب دریایی  شناخت لازم را داشته باشد.  در واقع ارائه کنندگان خدمات امنیت سایبری خارج از کشتی باید در جریان امور و عملیات محوله شرکت‌های پشتیبانی کننده سیستم‌ها باشند.

 شناسایی و اصلاح موارد قابل نفوذی که می‌تواند به حملات سایبری منجر شود یکی از راه‌های مقابله با این گونه حملات است. برای مثال در سال ۲۰۲۱ میلادی  یافته‌های آنالیز شده نشان می‌دهد ۴۵ درصد از داده‌های قابل بهره برداری هکر‌ها پس از شناسایی اصلاح شده‌اند که پس از انجام این عملیا ت حمله دیگری صورت نگرفته است.

افرادی که عملیات ضد سایبری را رصد می‌کنند باید  به طور شبانه‌روزی و تمام وقت در خدمت شرکت و مؤسسه‌ای باشد که قرار است حملات بد‌افزاری را رهگیری کنند اگرچه احتمال دارد هیچ نتیجه‌ای در‌برنداشته باشد.

بررسی‌ها در سازمان‌های بزرگتر نشان می‌دهد داده‌های دریافتی در زمینه عملیات مقابله با حملات هکری در یک بازه زمانی  ۴۰۰ ساعتی به مواردی پرداخته‌اند که کاذب و منفی بودند.

فراموش نشود  یکی از  نکات کلیدی مقابله با تهدیدات سایبری رد‌یابی آن در همان لحظات اولیه حمله است. میانگین زمانی کمک می‌کند تا یک سازمان پس از یک  حمله سایبری موفق به بهبود عملیات شود.

پیشنهاد می‌شود کشتی‌ها و شرکت‌های حمل‌ونقل که رایانه‌ها و سیستم کنترل آن‌ها توسط باج افزار از کار افتاده‌اند در حداقل و کمترین زمان نسبت به پاک کردن، بازیابی، جایگزینی و تعمیر همه سیستم‌های آسیب دیده با کمک متخصصان سایبری اقدام کنند.

در شرایطی که حمله سایبری  انجام شده باید بدون معطلی با کمک متخصصان فعالیت‌های لازم را انجام داد ه و بلافاصله نیرو‌ها و سیستم‌های پشتیبان را برای ردیابی فراخوانند.

 متاسفانه باید گفت  برخی شرکت‌ها در مدت حمله سایبری دست روی دست گذاشته و منتظر زمان می‌شوند.

خوشبختانه امروزه با پیشرفت فنّاوری و به روز شدن سیستم‌ها مدت زمان برگشت به شرایط قبل از حمله کاهش یافته است. برای مثال شرکت مرسک در سال ۲۰۱۷ میلادی پس از حمله سایبری در مدت ۹ روز توانست به طور کامل نسبت به بهبودی سیستم اقد‌ام کند.

دو سال پس از این حمله مدیر ارشد امنیت اطلاعات مرسک گفت در‌صورت بروز حملات مشابه این بهبودی در مدت ۲۴ ساعت انجام خواهد شد.

بدین ترتیب پیشنهاد می‌شود با بروز حمله سایبری، کامپیوتر‌های آلوده بلافاصله جمع آوری و به سرعت جایگزین شود و همچنین با پشتیبانی مجدد سعی شود تا عملیات کشتی و یا  فعالیت شرکت انجام شود.

امروزه شرکت‌هایی وجود دارند که با استفاده از بازه زمانی کوتاه نسبت به عملکرد برتر اقدام می‌کنند؛ برای مثال در یک حادثه سایبری شرکت CROWDSTRIKE با دستیابی به شگرد‌هایی فعالیت‌هایی انجام داد تا متخصصان تیم عملیات این شرکت نحوه نفوذ و حملۀ سایبری را در مدت یک تا ده دقیقه شناسایی کرده در مدت ۶۰ دقیقه نسبت به مهار آن اقدام کنند.

 این درحالی است که  در سال ۲۰۱۷ میلادی  فعالیت‌های ضد سایبری به این حد نرسیده بود، شناسایی حتی تا ۶۶ روز نیز طول می‌کشید.

بدین ترتیب امروزه سازمان‌های ضد سایبری وجود دارند که با استفاده از آخرین فنّاوری‌ها ۵۰۰۰ برابر بیشتر از مدت زمان سال‌های قبل نسبت به شناسایی و مهار عملیات سایبری اقدام می‌کنند.

پیشنهاد می‌شود شرکت‌های حمل‌و‌نقل دریایی با استفاده از چنین شرکت‌هایی بتوانند یک مزیت عملیاتی سایبری را شناسایی و مهار کنند، زیرا حملات فلج کننده سایبری می‌تواند آسیب‌های فاجعه‌بار زیادی را به شرکت‌های حمل‌و‌نقل دریایی وارد کنند.

در پایان این مقاله آمده است کارشناسان ضد حملات سایبری در زمینۀ کاهش زمان حملات سایبری از معیار‌های طراحی شده در این زمینه مانند MTBF (میانگین زمان قبل از شکست)، MTTR (میانگین زمان بازیابی، تعمیر، پاسخ یا رفع مشکل)، MTTF (میانگین زمان شکست) و MTTA (میانگین زمان تایید) استفاده می‌کنند. در این باره باید افزود متاسفانه  برخی کسب وکار‌های دریایی نیز سیستم دفاعی برای تشخیص آن در اختیار ندارند.

*ZERO – DAY   یا روز صفر یک ریسک امنیتی  در یک قطعه نرم افزار است که به صورت همگانی شناخته شده نیست و شرکت سازنده نیز  به درستی از آن آگاهی ندارد.