نایب رییس بخش تحقیقاتی تهدیدات شرکت کسپرسکی در گفتوگوی اختصاصی با آیتیمن:
تلگرامهای تقلبی و آگهی افزارها، بزرگترین تهدید علیه کاربران موبایل در ایران هستند
عـلی اصلان شهلا / مولف
تاریخ انتشار
دوشنبه ۲۱ مرداد ۱۳۹۸ ساعت ۱۷:۲۶
براساس گزارشی که کسپرسکی با عنوان «تغییر و تحول بدافزارهای موبایل در سال 2018» (Mobile Malware Evolution 2018) منتشر کرده، ایران در رتبه یک بیشترین حملات از سوی بدافزارهای موبایلی در سال میلادی گذشته قرار داشته است. چگونه به این فرض رسیده و این اطلاعات را چطور جمعآوری کردهاید؟
در درجه اول، این یک فرض نیست. همه آمارها و اطلاعاتی که در گزارش ما آمده، از مشتریانی که به صورت داوطلبانه در زیرساخت ابری کسپرسکی با نام Kaspersky Security Network یا KSN مشارکت کردهاند،به دست آمده است. در واقع مشتریان از راه دور اطلاعاتی را درباره تهدیدات در سراسر جهان در اختیار ما میگذارند. بنابراین به طور کلی، ما تصویری از دورنمای تهدیدات را به صورت لحظهای در اختیار داریم. این اطلاعات تحلیل شده و گزارشهایی براساس آن منتشر میشود.
نکته مهم این است که وضعیت دورنمای تهدیدات به طور مداوم در طول زمان تغییر میکند. برای مثال در سال 2018، اعضای بسیاری از گروههای جرایم سایبری مانند Carbanak and Cobalt در کشورهای مختلف اروپایی دستگیر شدند. پس از آن شاهد آن بودیم که فعالیت این گروهها به طور قابل ملاحظهای کاهش یافت، اما این کاهش فعالیت فقط مدت کوتاهی دوام آورد؛ زیرا این گروههای بزرگ منطقهای، به تعداد زیادی گروههای کوچک جداگانه در کشورهای مختلف تقسیم شدند. به این ترتیب یک بار دیگر فعالیت مجرمانه سایبری آنها شروع شد با این تفاوت که اندازه آن به بزرگی قبل نبود.
برای تهیه این گزارش به خصوص، ما آمار و اطلاعات را از مشتریان محصولات موبایلی خود در ایران و سایر نقاط جهان جمعآوری کردیم و به این نتیجه رسیدیم که بیشترین میزان آلودگی کشف شده در میان کاربران ایرانی در سال 2018، به آگهیافزارها (adware) بازمیگردد. در کنار آن، استفاده از تلگرامهای تقلبی، یکی دیگر از تهدیدات بزرگ علیه کاربران ایرانی است. این اپلیکیشنها برای گسترش خود از ممنوعیت استفاده از تلگرام در ایران سوءاستفاده کرده و به سرقت اکانت و اطلاعات میپردازند. همچنین از تلگرامهای تقلبی برای حملات (Advanced Persistent Threat (APT نیز استفاده میشوند.
به نظرم استفاده از آنتیویروس برای موبایل چندان در ایران رایج نیست. با توجه به این که احتمالا تعداد کمی مشتری موبایل در ایران دارید، آیا این اطلاعات دقیق است؟
من چندان درباره تعداد مشتریان محصولات موبایلی کسپرسکی در ایران مطمئن نیستم ولی عدد خیلی کوچکی نیست و آمار به دست آمده قابل اتکا است.
کاربران برای محافظت از موبایلهایشان چه باید بکنند؟
تعداد زیادی آنتی ویروس رایگان برای موبایل وجود دارد که استفاده از آنها بهتر از هیچ است. چند توصیه به کاربران موبایل دارم:
1- از راهکارهای مقابله با تهدیدات استفاده کنید.
2- از نرمافزار مدیریت گذرواژه (Password Manager) بهره ببرید.
3- اپلیکیشنهای خود را تنها از منابع معتبر مانند گوگلپلی دریافت کنید. فروشگاههای اندرویدی جایگزین زیادی وجود دارند که در آنها بدافزارهای زیادی پیدا میشود.
4- یادتان باشد بدافزارها ممکن است در گوگلپلی هم باشند. به همین دلیل باید حتما دقت کنید که اپلیکیشنها چه مجوزهایی (Permission) دریافت میکنند و به آنها اجازه ندهید هر چه میخواهند در اختیار داشته باشند.
ایران یکی از بزرگترین قربانیان جنگافزارهاست و «استاکسنت»، یکی از مثالهای مشخص در این زمینه است. رد چه تعداد جنگافزار در ایران را گرفتهاید؟
بسیار زیاد. امروزه در فضای سایبر، هرکسی به هرکسی حمله میکند و ایران هم استثنا نیست. ما تعداد زیادی حملات سایبری از سمت بازیگران پیشرفته تا ضعیف شناسایی کردهایم که نمونه آن گروههای Equation و Zebrocy است. Equation یکی از پیچیدهترین گروههای حملات سایبری در دنیا و پیشرفتهترین بازیگری است که تاکنون دیدهایم.
اما شاید گروه MuddyWater جذابترین آنها باشد. این تهدید پیچیده به عنوان یک جاسوسافزار فعالیت کرده و اخیرا متوجه حجم زیادی spear phishing (فیشینگ علیه گروه مشخصی از افراد یا کسب و کارها) از سوی آن شدهایم که سازمانهای دولتی، نهادهای نظامی، شرکتهای مخابراتی و موسسات آموزشی را در اردن، ترکیه، آذربایجان، پاکستان، عراق، عربستان سعودی، مالی، اتریش، روسیه، بحرین و ایران هدف قرار داده است.
خاستگاه MyddyWater از کجاست؟
پاسخ این سوال برای ما هم بسیار جالب است. در این مورد به طور دقیق نمیتوانیم بگوییم چه بازیگری در پشت این عملیات قرار دارد، اما تعداد زیادی کلمات فارسی و چینی، و نامهایی که در پاکستان مرسوم هستند را مرتبط با فعالیتهای آن یافتهایم.
ممکن است یک دولت پشت سر این عملیات باشد؟
بله. ما فکر میکنیم یک اسپانسر در سطح ملی از چنین عملیاتی حمایت میکند. MuddyWater نسبت به ZooPark که یکی دیگر از بازیگران حملات APT است که در ایران قربانی گرفته است، از تجهیزات پیشرفتهای بهره میبرد.
چگونه تهدیدات را شناسایی کرده و از مشتریانتان محافظت میکنید؟
ما حدود 4 هزار محقق در شرکت کسپرسکی و 350 محقق در ساختمان اصلی داریم که مسوول کیفیت امنیت ارایه شده در محصولاتمان هستند. بخشی از این گروه به صورت 24 ساعته و در سه شیفت کار میکنند تا بتوانیم بلافاصله به برخی تهدیدات پاسخ دهیم. بخش بزرگتر این تیم، مسوول بررسی انواع خاصی از تهدیدات، مانند حملات تحت وب یا حملات هدفمند و... هستند.
شاید 15 سال پیش، امکان این که همه تهدیدات را به صورت دستی و با استفاده از نیروی انسانی بررسی کنید وجود داشت. اما اکنون ما روزانه 380 هزار نمونه یکتا دریافت میکنیم. به همین دلیل از سیستمهای مختلف خودکار استفاده کرده که براساس یادگیری ماشین (machine-learning) به طور مداوم توسعه یافته و تهدیدات را شناسایی میکند. البته بخش کوچکی از تهدیدات به طور ویژه بررسی میشوند که همین بخش کوچک، بخش مهمی از کار ما را تشکیل میدهد. چرا که این بخش همان قسمتی است که به صورت خودکار قابل شناسایی نیست. به محض این که یک نمونه بررسی و تهدیدی شناسایی شد، این مورد به اطلاعات سیستم افزوده میشود تا در آینده به صورت خودکار شناسایی شوند.
همچنین ما تیمی از دانشمندان داده را در اختیار داریم که همواره به دنبال توسعه مدلهای جدید یادگیری ماشین هستند. در حال حاضر سیستمهای خودکار کسپرسکی از 2 هزار سرور برای تحلیل 2 میلیون و 500 هزار نمونه در روز استفاده میکنند. 15 سال پیش، تنها 15 هزار مورد برای بررسی در روز وجود داشت.
آیا در میان عرضهکنندگان محصولات امنیتی، همکاری متقابلی وجود دارد؟
بله. فکر میکنم این فرایند همکاری از 20 سال پیش راه افتاده است چرا که همه ما میخواهیم دنیایی امنتر داشته باشیم. به همین دلیل تهدیدات واقعی را با هم و به رایگان به اشتراک میگذاریم.
کاربران به چه استراتژی دفاعی برای مقابله با تهدیدات نیازمند هستند؟
استراتژی دفاعی، موضوع مورد علاقه من است. امنیت سایبری یک محصول نیست بلکه یک فرایند است. به طور کلی، ما نیازمند پیشبینی، پیشگیری، شناسایی و پاسخگویی هستیم.
در درجه اول ما باید تهدیدات را شناسایی کنیم. در این راه گزارشهایی با عنوان threat intelligence reports را در اختیار مشتریانمان قرار میدهیم. اگر شما مشتری ما در ایران باشید، این گزارش به شما نشان میدهد که چه تهدیداتی این منطقه را هدف قرار داده است. همچنین میتوانید امنیت سایبری خود را اندازهگیری کرده، راهکارهایی را آماده کرده و میزان آمادگی خود را دربرابر حملات خاص منطقه خود، تخمین بزنید.
مرحله بعدی پیشگیری است. اگر از یک راهکار پیشگیری استفاده نمیکنید، پس شما آسیبپذیر هستید. برای مثال سال گذشته، کسپرسکی آسیبپذیریهایی را در محصولات مایکروسافت و به ویژه در سیستم عامل این شرکت کشف کرد. استفاده از محصولات پیشگیرانه، به شما این امکان را میدهد که به محض آنالیز آسیبپذیری از سوی ما، از رخنه احتمالی جلوگیری کنید. البته حملات هدفمند قادر به دور زدن مکانیزم پیشگیری هستند و به همین دلیل استفاده از مکانیزمهای دفاعی دیگری چون راهکارهای ضدحملات APT و MDR یا managed detection and response توصیه میشود.
راهکارهای MDR خدمات امنیت سایبری ویژهای را برای مشتریان فراهم میآورد و محیط و شبکه مشتری به طور ویژه تحلیل میشود. همچنین در برخی موارد، پاسخگویی سریع به حملات برای کاهش صدمات به سازمان اهمیت فراوانی دارد.
پس از همه این موارد، باید بگویم مهمترین موضوع، آگاهیبخشی است و سازمانها باید دانش کارمندان خود را افزایش داده تا اثر عوامل انسانی به عنوان مهمترین ریسکفاکتور در امنیت سایبری را کاهش دهند.
اکنون در کشور ما یک آنتی ویروس ایرانی به اسم پادویش در حال فعالیت است و دولت ایران به دستگاههای دولتی دستور داده که از این راهکار استفاده کنند. برخی میگویند مشابه این دستور، در روسیه برای کسپرسکی هم صادر شده و یکی از علل پیشرفت آنها همین موضوع بوده است. آیا چنین چیزی صحت دارد؟
نه. در روسیه همواره حداقل دو عرضه کننده آنتیویروس یعنی کسپرسکی و دکتروب با هم در رقابت بودهاند و هرگز دولت اجباری برای خرید از این دو شرکت قایل نشده است. البته وجود عرضهکنندگان کوچک آنتیویروس در کشورهای مختلف دیده میشود که نمونه موفق آن شرکت AhnLab در کره جنوبی است.
به عنوان یک کارشناس امنیت سایبری، آیا به نظر شما منطقی است که تنها از یک راهکار برای محافظت سایبری از کل مجموعه یک دولت استفاده شود؟
پاسخ به این سوال کمی مشکل است؛ چرا که بستگی به راهکارهای در دسترس مشتریان، نیازها و تهدیدات فعلی و همچنین استراتژی ملی سایبری کشور دارد. شخصا معتقدم استفاده از راهکارهای متنوع، حتی اگر این راهکارها قدرت بالایی نداشته باشند، راهکار موثرتری نسبت به استفاده از تنها یک راهکار امنیت سایبری است.
آیا استفاده از یک راهکار یکتا، سبب نمیشود تا اگر یک هکر به ضعفی در سیستم برخورد، بتواند همزمان حمله گستردهای به بخشهای مختلف یک دولت انجام دهد؟
بله البته. کافی است رخنهای در سیستم پیدا شود و آن وقت همه سازمانهایی که با یک وندور همکاری میکنند، آسیبپذیر خواهند بود. البته باز هم بستگی به استراتژی سایبری شما دارد. برخی میگویند استفاده از راهکارهای متنوع، امنیت بیشتری فراهم میکند و برخی دیگر معتقدند یکپارچگی راهکارها، کاربری و نگهداری و پشتیبانی آسانتری را به ارمغان میآورد.
به عنوان آخرین سوال، برخی میگویند دوره محصولات Endpoint رو به پایان است. آیا این بدان معنی است که دیگر رقابتی در این حوزه وجود نخواهد داشت و محصولات امنیتی برای مصرف کننده نهایی، به رایگان عرضه خواهد شد و به جای آن عرضهکنندگان، روی سامانههای شناسایی و محصولات در لبه تکنولوژی تمرکز خواهند کرد؟
سوال بسیار جالبی است. از نظر من دو نوع مختلف عرضه کننده محصولات امنیت سایبری وجود دارد. نخست ارایه دهندگان کلاسیک راهکارهای ضدبدافزار، مانند کسپرسکی و سیمانتک، هستند که روی قابلیتهای حفاظت و پیشگیری تمرکز کردهاند. دوم عرضه کنندگان راهکارهای شناسایی و پاسخگویی (Endpoint Detection and Response) هستند. آنها به طور خاص بر شبکه مشترکان نظارت کرده تا تجهیزات بیشتری برای آنها که میخواند محافظت بالاتری داشته باشند خلق کنند. ما چنین خدماتی را نیز به مشتریان ارایه میدهیم.
اما برای پاسخ به سوال شما، فکر میکنم لایههای عمومی حفاظت، رایگان خواهد بود. برای مثال Microsoft Windows Defender محصول بسیار خوبی برای فراهم کردن سطح متوسطی از امنیت، با توجه به آزمونهای مستقل است. اما دقت کنید که این محصول تنها سطح متوسطی را فراهم کرده و مشتریان باید انتخاب کنند: آیا تنها سطح متوسط رایگانی از امنیت را میخواهند یا به حفاظتی ویژهتر برای کاهش ریسک صدمات احتمالی به سازمانشان نیاز دارند.
در نهایت فکر نمیکنم حداقل در کوتاه مدت، قابلیتهای امنیتی ارایه شده از سمت عرضهکنندگان بزرگ راهکارهای امنیتی، رایگان شود.
مولف : عـلی اصلان شهلا
همینطوری رفتین 4 تا سوال ساده پرسیدی و برگشتی؟
بعدش کسپرسکی به صد تا رسانه تو ایران داره رشوه میده . اونوقت شما درخواست مصاحبه دادی؟ مطمئنم اونا درخواست دادن و کلی هم بابتش پول گرفتین