در چند دهه گذشته، نظاره‌گر تحولات مهمی در فرآیندهای صنعتی بودیم. فرآیندهای صنعتی استفاده از روش‌های شیمیایی، فیزیکی، الکتریکی یا مکانیکی برای کمک به تولید بهتر و باکیفیت‌تر را شامل می‌شوند. علاوه بر این، گسترش روزافزون جمعیت کره زمین باعث شده تا صنایع مجبور به تولید در مقیاس عظیم باشند. به‌طور مثال، با نگاهی به سیر تکامل سیستم‌های کامپیوتری و اختراع ترانزیستورها متوجه می‌شویم که اندازه کامپیوترها به‌شکل قابل توجهی کاهش پیدا کرده است. ترانزیستورها به ساخت مدارهای مجتمع (IC) در مقیاس وسیع کمک زیادی کردند. کوچک‌تر و سریع‌تر شدن دستگاه‌های محاسباتی باعث پدید آمدن فناوری‌های ‌نرم‌افزاری کاربردی مختلفی شده که ابر یکی از تاثیرگذارترین آن‌ها بوده است. ابر نه‌تنها در دنیای فناوری اطلاعات، بلکه در صنایع مختلف نقش تاثیرگذاری دارد و باعث پیدایش پارادایم‌های مختلفی مثل محاسبات مه‌ و لبه شده که خود زمینه‌ساز رشد و ظهور حوزه‌های دیگری مثل اینترنت اشیاء شده‌اند. با این‌حال، نکته مهمی که باید به آن دقت کنیم، لزوم توجه به مقوله امنیت است. به‌ویژه در این مقطع زمانی که شرکت‌های ارائه‌دهنده خدمات ابری در جهان و ایران زیاد شده‌اند و هر یک فضای ذخیره‌سازی و محاسباتی قابل توجهی در اختیار مصرف‌کنندگان قرار می‌دهند.

نسل فعلی محاسبات، نیازمند هوشمندی است، زیرا برای مقابله با بردارهای حمله‌ای که روزانه زیرساخت‌های ابرمحور با آن‌ها روبه‌رو هستند، نمی‌توان انتظار داشت تا کارشناسان امنیتی قادر به شناسایی و مقابله با همه آن‌ها باشند. علاوه بر این، پردازش داده‌ها در ارتباط با کاربردهای بلادرنگ مستلزم به‌کارگیری الگوریتم‌های هوشمندی است که توانایی یادگیری تدریجی و پاسخ‌گویی سریع داشته باشند. در این زمینه، هوش محیطی به‌عنوان یک فناوری نوظهور در حال ورود به دنیای فناوری است و هدف از توسعه آن، هوشمندسازی سرویس‌هایی است که از آن‌ها استفاده می‌کنیم. امروزه انواع مختلفی از خدمات ابری وجود دارد، اما مهم‌ترین پارادایم‌های مهم این حوزه در شکل ۱  نشان داده شده‌اند. سرویس‌های ارائه‌شده در شکل ۱ به‌ شرح زیر هستند: 

• زیرساخت به‌عنوان سرویس (IaaS): سرویس‌هایی هستند که سخت‌افزار و ماشین‌های مجازی مورد نیاز را برای اجرای محیط‌های کاری در اختیار ما قرار می‌دهند. ما فقط باید سیستم‌عامل‌ها، برنامه‌ها و داده‌ها را روی آن‌ها نصب کنیم و دسترسی کاربران به منابع را مدیریت کنیم. 
• پلتفرم به‌عنوان سرویس (PaaS): خدماتی هستند که پلتفرم، یعنی سخت‌افزار و سیستم‌عامل را ارائه می‌دهند تا کاربر بتواند برنامه‌های خود را به‌شکل مستقیم روی آن‌ها نصب کند. 
• نرم‌افزار به‌عنوان سرویس (SaaS): سرویس‌هایی هستند که نرم‌افزارها را در اختیار ما قرار می‌دهند تا بتوانیم به‌شکل آنلاین از نرم‌افزار استفاده کنیم.

شکل 1

انواع حملات پیرامون محاسبات ابری 

همان‌گونه که اشاره شد، رشد روزافزون استفاده از خدمات ابری باعث شده تا مصرف‌کنندگان و شرکت‌های ارائه‌دهنده خدمات به یک اندازه در معرض حملات هکری قرار داشته باشند. اولین نکته مهمی که باید به آن دقت کنیم این است که اگر قرار است رایانش ابری یا مجازی‌سازی را برای کاربردهای درون یا برون سازمانی پیاده‌سازی کنیم، نباید دسترسی به زیرساخت‌ها از طریق اینترنت به‌شکل مستقیم باشد. به بیان دقیق‌تر، ترافیک اینترنت ابتدا باید به منطقه غیرنظامی (DMZ) سرنام Demilitarized Zone وارد شود و در ادامه از طریق شبکه مرکز داده در اختیار کارمندان سازمان و مشتریان قرار گیرد. معماری فوق چیزی شبیه به شکل ۲ است. 

شکل 2

مهم‌ترین مسئله‌ای که یک کارشناس امنیت سایبری باید به آن دقت کند، خرابی کامل محیط فناوری اطلاعات یا بخش‌های کلیدی آن به دلیل یک حمله سایبری است که باعث ازدسترس‌خارج‌شدن شبکه و سرویس‌های سازمانی می‌شود. خسارات می‌تواند جزئی باشد، همچون بیکاری چندساعته کارمندان در وقت اداری، یا اختلال در دسترسی به منابع پرکاربرد مانند فضای ذخیره‌سازی. در موارد جدی‌تر، حملات باعث می‌شوند تا مشتریان برای چند ساعت یا چند روز به سرویس‌ها دسترس نداشته باشند که ضرورهای اقتصادی زیادی برای شرکت‌های فعال در حوزه رایانش ابری به‌وجود می‌آورد. 

یکی دیگر از تهدیدهای مهم پیرامون رایانش ابری از دست دادن داده‌های سازمانی یا مشتریان است. در این‌جا با خطر تخریب یا سرقت داده‌های سازمان روبه‌رو هستیم. هنگامی‌که هکرها تصمیم می‌گیرند به زیرساخت‌های ابرمحور حمله کنند به‌دنبال دو هدف مهم هستند؛ اول آن‌که زیرساخت‌ را از دسترس خارج کنند و دوم آن‌که به داده‌ها آسیب وارد کنند. 

حمله ابری چیست؟

قبل از آن‌که بردارهای مختلف حمله به زیرساخت‌های ابری را بررسی کنیم، ابتدا باید ببینیم حمله سایبری ابری به چه معنا است. 

هر حمله سایبری که پلتفرم‌های ارائه‌دهنده خدمات آنلاین کاربردی را هدف قرار می‌دهد حمله سایبری ابری نام دارد. این پلتفرم‌ها ممکن است خدماتی در ارتباط با فضای ذخیره‌سازی، توان رایانشی یا میزبانی را به کاربران مختلف ارائه دهند. تمامی پلتفرم‌های خدماتی رایج مانند مدل‌های SaaS، IaaS و PaaS در معرض این تهدیدات قرار دارند. 

شرکت امنیتی مک‌‌آفی می‌گوید: «حرکت به‌سمت فضای ابری مزایای زیادی برای شرکت‌ها دارد، به‌ویژه در این مقطع زمانی که کار از راه دور به‌عنوان یک فرهنگ سازمانی مورد تایید بیشتر شرکت‌ها قرار گرفته است. خدمات ابری به‌دلیل انعطاف‌پذیری و مقیاس‌پذیری زیادی که ارائه می‌کنند با استقبال خوبی از سوی مصرف‌کنندگان روبه‌رو شده‌اند، زیرا بسته به زیرساخت‌ها و نیازهای موجود، امکان صرفه‌جویی قابل توجه در هزینه‌ها وجود دارد. با این‌حال، به این نکته دقت کنید که داده‌های موجود در فضای ابری ممکن است آسیب‌پذیرتر از داده‌هایی باشند که درون سرورهای اختصاصی سازمانی نگه‌داری می‌شوند». 

بسیاری از ارائه‌دهندگان خدمات ابری مقوله امنیت را به‌عنوان یک مزیت اصلی سرویس خود تبلیغ می‌کنند و شرکت‌‌هایی که حوزه فعالیت آن‌ها ارائه راه‌حل‌های ذخیره‌سازی است از مکانیزم‌های حفاظتی پایه برای محافظت از داده‌های کاربران استفاده می‌کنند. با این‌حال، اگر تصور کنید که این اقدامات امنیتی تنها چیزی است که برای محافظت از داده‌های سازمانی به آن‌ها نیاز دارید، اشتباه می‌کنید.

محبوبیت کار از راه دور، تهدیدات جدید امنیت سایبری را هم برای محیط‌های ابری و هم محیط‌های فناوری اطلاعات سازمانی به‌وجود آورده است. افزایش استفاده از ابزارهای کار از راه دور مانند RDP (پروتکل دسکتاپ از راه دور) و ذخیره‌سازی اطلاعات روی سرویس‌های ابری باعث شده تا هکرها کانال‌های ارتباطی مورد استفاده سازمان‌ها برای اتصال به سرویس‌های ابری و ابزارهای مورد استفاده ارائه‌‌دهندگان خدمات ابری را بی‌وقفه آزمایش کنند تا آسیب‌پذیری‌های مستتر در آن‌ها را شناسایی کنند و از طریق آن‌ها به سرقت یا دستکاری داده‌ها پرداخته یا صدمات سخت‌افزاری به مولفه‌های تحت شبکه وارد کنند. به‌ گفته آی‌بی‌ام، پیکربندی اشتباه سرورها در 86 درصد موارد عامل هک شدن سرویس‌های ابری هستند. آگاهی از شیوه‌های درست استقرار به‌همراه نصب صحیح ابزارهای امنیتی مانع پیاده‌سازی موفقیت‌آمیز حمله‌های سایبری می‌شوند. در ادامه شش مورد از بزرگ‌ترین تهدیدات امنیتی پیرامون زیرساخت‌های ابری را که ارائه‌دهندگان خدمات ابری ایرانی باید نسبت به آن‌ها هوشیار باشند بررسی می‌کنیم. 

1. پیکربندی اشتباه سرویس‌های ابری 

یکی از بزرگ‌ترین تهدیدات امنیتی پیرامون زیرساخت‌های ابری سهل‌انگاری است که البته قابل پیشگیری است. پیکربندی نادرست ابر زمانی اتفاق می‌افتد که یک کاربر یا مدیر نتواند تنظیمات امنیتی پلتفرم ابری را به‌درستی درک کند. به‌عنوان مثال، یک مدیر ممکن است به‌طور تصادفی اجازه دسترسی نامحدود به سرویس‌ها در اختیار مشتریان قرار دهد و باعث شود برنامه‌ها و سرورهای غیرمرتبط با یک‌دیگر ارتباط برقرار کنند. یک مثال واقعی از پیکربندی نادرست سرویس‌های ابری، نقض Alteryx در سال 2017 بود که این شرکت بازاریابی آنلاین با پیکربندی نادرست سرورها باعث افشای داده‌های میلیون‌ها کاربر شد. پیکربندی نادرست یک مشکل بزرگ است. بر اساس مطالعه‌ای که توسط موسسه تحقیقاتی DivvyCloud انجام شده، از سال 2018 تا 2019، تعداد رکوردهایی که توسط پیکربندی نادرست ابری افشا شده‌اند 80 درصد افزایش یافته است. پیکربندی اشتباه تنها باعث افشای اطلاعات نمی‌شود، بلکه می‌تواند منجر به بروز حمله‌های دیگری مثل جست‌وجوی فراگیر (brute-force) شود.

برای حل این مشکل باید از مکانیزم تایید هویت چند‌عاملی (MFA) برای کاهش خطر دسترسی غیرمجاز استفاده کنید. اگر از مکانیزم تایید هویت چند‌عاملی استفاده نکنید و هکرها موفق شوند راهکاری برای دور زدن تنظیمات پیدا کنند، شانس نفوذ به زیرساخت‌ها افزایش پیدا می‌کند و علاوه بر این، کارمندان ممکن است با سایر بردارهای حمله همچون فیشینگ روبه‌رو شوند. 

اگر قرار است از مکانیزم RDP استفاده کنید از بهترین شیوه‌های امنیتی و حداقل دسترسی‌ها، فعال‌سازی احراز هویت در سطح شبکه و قرار دادن سرویس‌های دارای RDP در پشت شبکه خصوصی مجازی استفاده کنید. استقرار یک SIEM مبتنی بر ابر، راهکار موثر دیگری برای محافظت از زیرساخت است.  SIEM می‌تواند ارتباطات مشکوک را شناسایی کند. 

2. از دست دادن داده‌ها

فروشندگان راه‌حل‌های ابری سعی می‌کنند دو ویژگی «قابلیت همکاری» و «اشتراک‌گذاری اطلاعات» را به ساده‌ترین شکل در اختیار مشتریان قرار دهند. گاهی‌اوقات محیط‌های ابری اشتراک‌گذاری داده‌ها برای کاربران را کاملا تسهیل می‌کنند، به‌طوری که اشتراک‌گذاری اطلاعات با تیم‌های درون‌سازمانی و اشخاص ثالث به یک شکل انجام می‌شود. هنگامی‌که حجم کارها افزایش پیدا می‌کند، دور از انتظار نیست که کارمندان به‌اشتباه اطلاعات حساس سازمانی را با شرکت‌ها یا افراد ثالث به‌اشتراک قرار بگذارند؛ درست مشابه حالتی که افراد در شبکه‌های اجتماعی پیام‌ها را به‌اشتباه برای یک‌دیگر ارسال می‌کنند. در گزارش امنیت ابری 2021 موسسه Synopsys به این نکته اشاره شده که 64 درصد متخصصان امنیت سایبری اشتراک‌گذاری و پشتیبان‌گیری از داده‌ها در فضای ابری را اصلی‌ترین عامل نشت داده‌ها توصیف کرده‌اند. 

از دست دادن داده‌ها (Data Loss) به هر فرآیند یا رویدادی اشاره دارد که منجر به خراب، حذف یا غیرقابل‌خواندن اطلاعات توسط کاربر یا نرم‌افزارهای کاربردی می‌شود. مشکل فوق زمانی به‌وجود می‌آید که همه یا بخشی از اطلاعات توسط کاربران یا برنامه درخواست‌کننده اطلاعات قابل استفاده نباشد. گاهی‌اوقات به این مشکل نشت داده‌ها (Data Leakage) گفته می‌شود. داده‌های در حال سکون و داده‌های در حال انتقال از طریق شبکه به یک اندازه در معرض این تهدید قرار دارند. از دست دادن اطلاعات ممکن است به دلایل مختلفی اتفاق افتد که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد: 

•  خراب شدن داده‌ها.
•  داده‌هایی که عمدی یا غیرعمدی توسط یک کاربر یا یک مهاجم حذف یا رونویسی می‌شوند.
•  داده‌هایی که به‌دلیل نفوذ به شبکه به‌سرقت رفته‌اند. 
•  رسانه ذخیره‌سازی داده‌ها به‌طور فیزیکی آسیب ‌دیده یا به‌سرقت رفته است.
•  حمله بدافزاری که باعث حذف یک یا چند فایل شده است. 

معمولاً با پیاده‌سازی راه‌حل‌های پشتیبان‌گیری از داده‌ها و افزودن کنترل‌های دسترسی قدرتمند به داده‌ها و مکانیسم‌های امنیتی روی دارایی‌های ذخیره‌سازی‌سازی‌شده در ابر می‌توان مانع بروز مشکل از دست دادن داده‌ها شد. 

بازیابی داده‌های ازدست‌رفته زمان‌بر و هزینه‌بر است و گاهی‌اوقات این تلاش‌ها بیهوده است، زیرا یک شرکت نیاز دارد که داده‌ها را دوباره ایجاد کند یا آن‌ها را از فایل‌های پشتیبان بازیابی کند که ممکن است برای مدت زمان قابل توجهی فعالیت‌های تجاری متوقف شود. 

به علاوه، بدون پشتیبان‌گیری منظم از داده‌ها، ذخیره‌سازی آن‌ها روی ابر با مخاطرات مختلفی روبه‌رو است. به‌طور مثال، بسیاری از هکرها با رمزنگاری فضای ذخیره‌سازی ابری از شرکت‌ها یا ارائه‌دهندگان خدمات ابری، درخواست باج می‌کنند تا دسترسی به اطلاعات فراهم شود. 

3. حمله انکار سرویس توزیع‌شده 

«حمله انکار سرویس توزیع‌شده» (DDoS) به این معنا است که هکرها مانع دسترسی کاربران به سرویس‌ها یا خدماتی می‌شوند که روی فضای مجازی میزبانی می‌شوند. حملات DDoS با هدف ازدسترس‌خارج‌کردن یک سرویس پیاده‌سازی می‌شوند. این حمله می‌تواند به یک شبکه، سروری که چند سرویس را اجرا می‌کند یا یک سرویس خاص باشد که فضای ذخیره‌سازی ابری را به شرکت‌های دیگر ارائه می‌دهد. به‌طور مثال، هکرها می‌توانند از یک کرم اینترنتی برای پیاده‌سازی یک حمله DDoS علیه یک شبکه استفاده کنند تا خطوط ارتباطی مسدود شوند یا نشست‌های زیادی را ایجاد و ترافیک سنگینی را به روترها ارسال کنند تا در عمل سرور از دسترس خارج شود. 

حملات DDoS می‌توانند از طریق ترافیکی که توسط دستگاه‌های کنترل‌شده توسط مهاجمان انجام می‌شود (تجهیزات زامبی) و سرورهای شخص ثالث که به‌طور غیرارادی برای حمله‌های بازپخشی پیکربندی شده‌اند عملکرد یک سرویس ابری را مختل کنند. نوع دیگری از حملاتی که پیرامون زیرساخت‌های ابری قرار دارد، منحرف کردن ترافیک از مقصد است. این نوع حمله شامل ایجاد تغییراتی در مسیریاب‌های اینترنتی می‌شود تا ترافیک اصلی منحرف و از طریق شبکه مهاجم هدایت شود. شکل ۳ نحوه پیاده‌سازی این حمله را نشان می‌دهد. 

شکل 3

در شکل ۳، مشاهده می‌کنیم که ترافیک ارسال‌شده از سوی آلیس به باب از طریق شبکه Trudy رصد می‌شود. به‌طور معمول، وقتی آلیس ترافیک را برای باب ارسال می‌کند، از منطقه A به منطقه B می‌رود و به باب می‌رسد. هنگامی که حمله‌ای به‌وجود آید، Trudy روترها را در منطقه B پیکربندی می‌کند تا ترافیک را به‌سمت خود هدایت کند. به‌طوری‌که ترافیک از روتر A4 به B1 ارسال می‌شود. در منطقه B، ترافیک به نقطه‌ای هدایت می‌شود که می‌توان ترافیک را ضبط و کپی کرد و سپس به روتر C3 در منطقه C و مسیر مقصد ارسال کرد. 

در این‌جا، باب و آلیس کلاینت‌هایی هستند که اطلاعات را ارسال و دریافت می‌کنند، در حالی که ترودی هکری است که سعی می‌کند با نفوذ به شبکه، اطلاعات را سرقت یا مسیر ارسال و دریافت داده‌هایی را که توسط باب و آلیس ارسال می‌شوند منحرف کند. 

برای منحرف کردن مسیر داده‌هایی که باید از A4 به C3 منتقل شوند، به‌طوری‌که داده‌ها به B1 در منطقه B ارسال شوند، روتر B1 باید به روتر A4 بگوید که اولویت بیشتری دارد تا روتر A4 ببیند که بهترین مسیر برای رسیدن به مقصد از طریق B1 و نه از طریق C3 است. برای این منظور هکرها به سراغ پروتکل دروازه مرزی (BGP) می‌روند. 

4. حمله به دیوارهای آتش 

حمله به دیوارهای آتش زمانی اتفاق می‌افتد که مهاجم سعی می‌کند به شبکه نفوذ کند. نفوذ به شبکه به روش‌های مختلفی انجام می‌شود. این‌کار را می‌توان با اسکن فایروال برای جست‌وجوی نقض‌های امنیتی انجام داد، مانند پورت‌هایی که باز مانده‌اند تا بتوان یک اتصال از طریق آن‌ها به شبکه داخلی باز کرد. روش دیگر از کار انداختن سرویس‌های ‌فایروال است تا فقط به‌عنوان روتر به کار خود ادامه دهند. 

یکی دیگر از مولفه‌هایی که سرپرستان زیرساخت‌های ابری باید به آن دقت کنند و به فکر محافظت از آن باشند، کنسول مدیریت فایروال است. هنگامی‌که کنسول روی یک دستگاه خارجی نصب می‌شود، مطمئن شوید که در معرض دید شبکه‌های خارجی مثل اینترنت قرار ندارد و با رمزهای عبور قوی محافظت می‌شود.

5. حمله به سرورها

حمله به سرورهای سازمان خطرناک‌ترین حمله‌ای است که ارائه‌دهندگان خدمات ابری با آن روبه‌رو هستند، زیرا نه‌تنها داده‌های سازمانی را در معرض خطر قرار می‌دهد، بلکه باعث سرقت یا حذف داده‌های مشتریان می‌شود. سرورها با انواع مختلفی از حمله‌ها روبه‌رو هستند که از مهم‌ترین آن‌ها باید به نفوذ به سرورها، از دسترس خارج کردن آن‌ها، دستکاری سرویس‌هایی که روی آن‌ها در حال اجرا است یا تغییر تنظیمات ابزارهای کلیدی که روی سرور در حال اجرا هستند، اشاره کرد. 

6. حمله به شبکه‌های محلی (LAN) درون‌سازمانی

مراکز داده، میزبان شبکه‌های محلی مختلفی هستند که شبکه‌های درون‌سازمانی را به یک‌دیگر متصل می‌کنند. از این‌رو، اگر هکری موفق شود به یک شبکه محلی نفوذ کند، این شانس را دارد تا از این طریق به دیگر شبکه‌های محلی نفوذ کند. 

حملات به شبکه‌های LAN سازمانی می‌تواند به روش‌های مختلفی اجرا شود. با این‌حال دو روش اصلی برای حمله به این شبکه‌ها وجود دارد. در حالت اول، هکر در شبکه محلی قرار دارد (کارمند یا فردی که حساب کاربری او هک شده). 

در حالت دوم حمله از یک شبکه خارجی انجام می‌شود. در این روش هکر ممکن است به‌عنوان مشتری، سرویسی را از یک شرکت ارائه‌دهنده خدمات ابری اجاره کند و در ادامه در جست‌وجوی آسیب‌پذیری‌ها و درهای پشتی در نرم‌افزارها باشد. به‌طور کلی، شبکه‌های محلی با بردارهای حمله زیر روبه‌رو هستند:

•  حمله به تجهیزات پرکاربرد شبکه مثل روترها، سوئیچ‌ها و استوریج‌ها. به‌طور مثال، حمله به سوئیچ‌ها نرخ از دست رفتن داده‌ها را افزایش می‌دهد، به‌طوری که بسته‌ها هیچ‌گاه به مقصد نرسند یا تاخیر زیادی به‌وجود آید. 
•  حمله به پروتکل‌های پرکاربرد شبکه، مثل پروتکل درخت پوشا (STP)، کش‌‌های ARP و غیره.
•  حمله با هدف تجزیه‌و‌تحلیل، شنود و سرقت اطلاعات. 
•  حمله به روترهای شبکه و پروتکل‌های مسیریابی.
•  حمله به سوئیچ‌هایی که پیکربندی اشتباهی دارند. 
•  حمله به پروتکل‌های مسیریابی با هدف گمراه کردن روترها، عدم ارسال بسته‌ها، یا ارسال بسته‌ها به مسیرهای اشتباه. 
•  حمله به تجهیزات مجازی مستقر در زیرساخت‌ها مانند روترها یا سوئیچ‌های مجازی