آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

روندهای امنیت فضای مجازی در سال 2018 به گزارش McAfee

عنوانروندهای امنیت فضای مجازی در سال 2018 به گزارش McAfee
گروه اصلیOther
شرح خبر

آزمایشگاه MCAfee روندهای امنیت فضای مجازی در سال 2018 را پیش‌بینی کرده است: یادگیری ماشین دفاعی (Adversarial Machine Learning)، بد‌افزارهای مخرب اخاذی پول (Ransomware)، برنامه‌های کاربردی فاقد سرویس‌دهنده (Serverless Apps)، محرمانگی رایانه‌های خانگی متصل (Connected Home Privacy) و محرمانگی محتوای تولید شده توسط کاربران کم سن و سال (Privacy of Child-Generated Contents)

آزمایشگاه McAfee گزارشی از پیش‌بینی تهدیدهای سال 2018 را منتشر کرد و در آن 5 روند کلیدی که باید در سال 2018 به آن‌ها توجه شود را معرفی کرده است. این گزارش بر روی تکامل بد‌افزارهای مخرب اخاذی پول از حالت سنتی به برنامه‌های کاربردی جدید، پیامدهای امنیت سایبری برنامه‌های فاقد سرویس دهنده، پیامدهای حفظ محرمانگی مصرف‌کنندگان، از شرکت‌هایی که مصرف‌کنندگان را در خانه‌های خودشان مورد نظارت قرار می‌دهند،  پیامدهای بلندمدت شرکت‌هایی که محتوای تولید شده توسط کاربران کم سن و سال را جمع‌آوری می‌کنند، و ظهور یک مسابقه نو یادگیری ماشین میان مدافعین و مهاجمان، متمرکز است.

به گفته Steve Grobman، مدیر ارشد فناوری McAfee، «تکامل بد‌افزارهای مخرب اخاذی پول در سال 2017 می‌بایست به ما یادآوری کند که یک تهدید چگونه می‌تواند خود را به شدت تغییر دهد، به گونه‌ای که با نوآوری مهاجمان، تبدیل به تلاش‌های موفق مدافعان شود. باید به این مساله واقف باشیم که اگرچه فناوری‌هایی مانند یادگیری ماشین، یادگیری عمیق، و هوش مصنوعی پایه و اساس دفاع سایبری در آینده خواهند بود، اما دشمنان نیز به‌طور جدی‌تر در تلاش هستند تا نوآوری و پیاده‌سازی قوی‌تری داشته باشند. همانطور که اغلب موارد، در مقوله امنیت سایبری، هوش انسانی که به کمک فناوری تقویت شده، عامل موفقیت در «مسابقه تسلیحاتی» میان مهاجمان و مدافعان است.»

این گزارش نظرات علمی بسیاری از اعضای McAfee، از مدیران آزمایشگاه و محقق تهدیدات پیشرفته، تا اعضای شرکت در CTO را منعکس می‌کند. این گزارش روندهای جاری در حوزه جرائم امنیتی و تکامل فناوری اطلاعات را بررسی کرده و پیش بینی می‌کند که آینده برای سازمان‌هایی که به دنبال استفاده از فناوری‌های جدید هستند، چه در زمینه پیشرفت تجاری و چه در زمینه فراهم آوردن حفاظت امنیتی بیشتر، چه دستاوردهایی خواهد داشت.

1.      یادگیری ماشین دفاعی با عنوان «مسابقه تسلیحاتی» میان مهاجمین و مدافعین شکل خواهد گرفت

یادگیری ماشین می‌تواند حجم عظیمی از داده‌ها را پردازش کند و عملیاتی را در مقیاس وسیع انجام دهد، تا آسیب‌پذیری‌های شناخته شده، رفتارهای مشکوک و حملات تازه را شناسایی و اصلاح نماید. اما مسلماً دشمنان نیز از یادگیری ماشین به منظور پشتیبانی از حملات خود، یادگیری از پاسخ‌های دفاعی، تلاش برای از بین بردن مدل‌های دفاعی و سوء استفاده از آسیب‌پذیری‌های تازه کشف شده بهره می‌برند، سریع‌تر از آنکه مدافعان بتوانند راهکاری برای آن بیابند.

برای پیروزی در این مسابقه تسلیحاتی، سازمان‌ها می‌بایست به صورت مؤثر قضاوت ماشینی و سرعت پاسخ‌های هماهنگ با هوش استراتژیک انسانی را تقویت کنند. تنها در این صورت است که سازمان‌ها می‌توانند الگوی حملات را درک و پیش‌بینی کنند، حتی اگر پیش‌تر چنین حملاتی ندیده باشند.

2.      بد‌افزارهای مخرب اخاذی پول از اخاذی سنتی، به اهداف، فناوری‌ها و مقاصد جدید تغییر رویه خواهند داد

سودآوری کمپین‌های اخاذی سنتی با دفاع فروشندگان، آموزش کاربر، و استراتژی‌های صنعتی بهبودیافته برای مواجهه با آن‌ها، کاهش روزافزون خواهد داشت. مهاجمین اهداف کمتر سنتی و بیشتر سودآور را هدف قرار می‌دهند، از جمله تجارت‌ها، دستگاه‌های متصل و اشخاص با درآمد بالاتر.

این تغییر رویه از اخاذی سنتی، سبب می‌شود تا فناوری‌های اخاذی پول بسیار فراتر از اخاذی افراد عمل کنند و خرابکاری‌های اینترنتی و ایجاد اختلال در سازمان‌ها را هدف قرار دهند. این مسأله دشمنان را به سمت خرابکاری‌، اختلال و تهدیدهای مالی بزرگتر سوق می‌دهد. این امر نه تنها جرایم امنیتی متنوعی از «مدل‌های تجاری» ایجاد خواهد کرد، بلکه به طور جدی به گسترش بازار بیمه سایبری می‌انجامد.

به گفته Raj Samani، دانشمند ارشد و رئیس تحقیقات تهدید پیشرفته McAfee، «در حالی که انگیزه‌های پشت WannaCry و NotPetya هنوز در حال بحث است، احتمال استفاده از بد‌افزارهای ساختگی اخاذی پول همچنان وجود دارد، چرا که هر شخصی می‌تواند با پرداخت پول این فناوری‌ها را از فراهم‌آورندگان سرویس دریافت کند. چنین حملاتی می‌تواند به افرادی که به دنبال فلج کردن رقبای ملی، سیاسی یا تجاری خود هستند فروخته شود، که این امر احتمالاً بزرگترین و غیر قابل اجتناب‌ترین مسأله سال 2017 را ایجاد می‌کند: آیا WannaCry و NotPetya کمپین‌های اخاذی پول بودند که درهدف خود برای به دست آوردن درآمد هنگفت شکست خوردند؟ یا شاید کمپین‌های از بین برنده فوق‌العاده موفق بودند؟»

3.      برنامه‌های کاربردی فاقد سرویس‌دهنده در زمان و هزینه صرفه‌جویی می‌کنند، اما سطوح حمله را برای سازمان‌هایی که آن‌ها را پیاده‌سازی می‌کنند، افزایش می‌دهند

برنامه‌های فاقد سرویس‌دهنده امکانات بیشتری از جمله پرداخت سریع‌تر خدمات ارائه می‌دهند. اما در برابر حملاتی که از افزایش امتیازات و وابستگی‌های برنامه سوء‌استفاده می‌کنند، آسیب‌پذیر هستند. این برنامه‌ها همچنین در برابر حملات به داده‌های مخابره شده در شبکه و به‌طور بالقوه حملات عدم ارائه سرویس brute-force، که در آن معماری فاقد سرویس‌دهنده قادر به مقابله نیست و باعث بروز اختلالات گران‌قیمت در سرویس می‌شود، آسیب‌پذیر هستند.

فرآیندهای توسعه و استقرار عملکردها می‌بایست شامل فرآیندهای امنیتی ضروری باشد، قابلیت‌های مقیاس‌پذیر باید در دسترس قرار گیرند و ترافیک باید به نحوی مناسب توسط VPNها یا رمزنگاری محافظت شود.

4.      تولیدکنندگان دستگاه‌های خانگی متصل و فراهم‌آورندگان سرویس با جمع‌آوری اطلاعات شخصی  –بدون در نظر گرفتن موافقت یا مخالفت استفاده‌کننده- به دنبال غلبه بر سودآوری کم خود هستند و خانه را به یک فروشگاه شرکتی تبدیل می‌کنند

بازاریابان شرکتی انگیزه قوی برای مشاهده رفتار مصرف‌کنندگان دارند تا نیازهای خرید و علایق صاحبان دستگاه‌ها را درک کنند. از آنجایی که مشتریان به ندرت توافقنامه‌های مربوط به حریم خصوصی را مطالعه می‌کنند، شرکت‌ها برای دستیابی به اطلاعات و سودآوری بیشتر وسوسه می‌شوند تا پس از استقرار دستگاه‌ها و خدمات، توافقنامه‌ها را تغییر دهند.

McAfee معتقد است عواقب نظارتی در انتظار شرکت‌هایی است که فکر می‌کنند با انجام محاسبات مربوط به شکستن قوانین، پرداخت جریمه، و ادامه فعالیت‌های سابق خود، سود کلانی به دست می‌آورند.

5.      شرکت‌هایی که محتوای دیجیتال کودکان را جمع‌آوری می‌کنند، خطرات اعتبار بلند مدت ایجاد می‌کنند

در تلاش برای دستیابی به برنامه کاربر "stickiness"، شرکت‌ها در فعال‌سازی و جمع‌آوری محتوای تولید شده توسط کاربران کم سن و سال با پشتکار بیشتری عمل خواهند کرد. در سال 2018، والدین، از سوءاستفاده‌های قابل توجه شرکت‌ها از محتوای دیجیتال تولید شده توسط فرزندان خود، آگاه خواهند شد، و پیامدهای بالقوه طولانی مدت این عمل را برای فرزندان خود در نظر خواهند گرفت.

McAfee معتقد است بسیاری از بزرگسالان آینده از «محتوای دیجیتال» منفی رنج می‌برند، چرا که محتوای کاربر در یک محیط برنامه-کاربر تولید شده، بدون اینکه دستورالعمل‌های مناسب اجتماعی تعریف یا اجرا شده باشد، و همچنین واسط کاربری به حدی جذاب است که کودکان و والدین آن‌ها عواقب تولید محتوایی که شرکت‌ها در آینده ممکن است مورد استفاده و حتی سواستفاده قرار دهند، در نظر نمی‌گیرند.

در یک محیط برنامه رقابتی، جایی که "stickiness" به سادگی به "unstuck" تبدیل می‌شود، برنامه‌ها و خدماتی که بزرگترین سرمایه‌گذاری و نگاه رو به آینده را دارند، به ارزش برندسازی خود به عنوان شریکی برای والدین در فعالیت‌های آموزشی پی می‌برند.

McAfee پیش‌بینی می‌کند در دنیای شرکت‌های بزرگ، پیاده‌سازی European Union’s General Data Protection Regulation (GDPR) در ماه می 2018 می‌تواند نقش مهمی در تنظیم قوانین زیربنایی برای مدیریت داده‌های مصرف‌کنندگان و محتوای تولید شده توسط کاربران در سال‌های آتی داشته باشد. سازمان نظارتی جدید بر روی شرکت‌هایی که حضوری تجاری در کشورهای اتحادیه اروپا دارند، یا داده‌های شخصی شهروندان اتحادیه اروپا را پردازش می‌کنند، تأثیرگذار است، بدین معنی که شرکت‌های سراسر دنیا باید روشی که داده‌های شخصی مصرف‌کنندگان را پردازش، ذخیره و محافظت می‌کنند، با یکدیگر تطبیق دهند. تجارت‌های پیشرو می‌توانند با بهره‌گیری از این مساله، فعالیت‌هایی را تنظیم کنند که با بهره‌گیری از وسایل مصرف‌کنندگان، بسترهای برنامه‌های تولید محتوا و خدمات آنلاین مبتنی بر ابر، از مشتریان بهره برده و به آن‌ها سود برسانند.

به گفته Vincent Weafer، معاون ریاست آزمایشگاه‌های McAfee، «سال 2018 می‌تواند برای این مسأله که چگونه سرانجام توانستیم از عهده حفاظت داده برآییم و اینکه آیا مشتریان واقعاً حق دارند فراموش شوند،  به خوبی به‌خاطر سپرده شود. جمع‌آوری اطلاعات شخصی و محتویات تولید شده توسط کاربران در مقیاس وسیع، مصرف‌کنندگان را در معرض استفاده نادرست داده، سوء استفاده از داده و حتی خطرات قرار می‌دهد. فراهم‌آورندگان خدمات بی‌مسئولیت، می‌توانند با زیاده‌روی در جمع‌آوری  و کسب درآمد، حریم خصوصی کاربران را توسط قدرت بازار از بین ببرند، داده‌ها را در معرض خطر قرار دهند، و اعتبار کاربران را در آینده تهدید کنند. GDPR سال 2018 را، برای سازماندهی این‌که چگونه تجارت‌های معتبر و مسئول می‌توانند این معضلات را به انحصار خود در آورند، به حریم خصوصی کاربران احترام بگذارند، از داده‌ها و محتویات تولیدشده توسط کاربران به صورت متعهدانه استفاده کنند تا کیفیت خدمات را ارتقا بخشند، و محدودیت‌هایی بر روی زمان نگهداری داده‌ها تنظیم کنند، به سالی بحرانی تبدیل می‌کند.»

آدرس اینترنتی خبرhttps://www.mcafee.com/us/about/newsroom/press-releases/press-release.aspx?news_id=20171129005305
تاریخ درج خبر1396-09-21
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست