در شش ماه گذشته، نهادهای دولتی تایوان مجموعاً ۶۳۷ حادثه امنیت سایبری را گزارش کردهاند. این آمار بر اساس دادههای منتشرشده توسط Cybersecurity Academy (CSAA) و در قالب گزارش هفتگی امنیت سایبری این نهاد ارائه شده است. یافتهها نهتنها ابعاد تهدیدات دیجیتال علیه بخش عمومی تایوان را نشان میدهد، بلکه چهار الگوی تکرارشونده حمله را نیز مشخص میکند که بازتابی از روندهای جهانی در هدفگیری سازمانهای دولتی هستند.
از مجموع ۷۲۳ حادثه امنیت سایبری که در این بازه زمانی توسط نهادهای دولتی و برخی سازمانهای غیردولتی گزارش شده، ۶۳۷ مورد مربوط به نهادهای دولتی بوده است. در این میان، ۴۱۰ مورد در دسته «نفوذ غیرقانونی» طبقهبندی شدهاند که رایجترین نوع تهدید محسوب میشود.
این حوادث نشان میدهد مهاجمان همچنان از ترکیب آسیبپذیریهای فنی و خطاهای انسانی در سازمانهای عمومی سوءاستفاده میکنند.
نفوذ غیرقانونی؛ موج اصلی حملات
نفوذ غیرقانونی اصلیترین دسته در میان حوادث گزارششده است. این اصطلاح به تلاشهای هدفمند برای دسترسی غیرمجاز به سامانهها اشاره دارد؛ اقدامی که میتواند زمینهساز جاسوسی، سرقت داده یا اختلال عملیاتی شود.
CSAA چهار الگوی حمله تکرارشونده را شناسایی کرده است. نخستین الگو توزیع بدافزار در قالب نرمافزارهای ظاهراً قانونی است. مهاجمان با جعل هویت اپلیکیشنهای پرکاربرد، کارکنان را به دانلود فایلهای آلوده ترغیب میکنند. پس از نصب، این بدافزارها ارتباطات خارجی غیرعادی برقرار کرده و backdoor ایجاد میکنند تا امکان کنترل یا استخراج داده در آینده فراهم شود.
در محیطهای دولتی که وابستگی زیادی به ابزارهای تخصصی یا داخلی وجود دارد، آلوده شدن حتی یک endpoint میتواند به نقطه ورود به شبکههای گستردهتر تبدیل شود و دامنه حادثه را گسترش دهد.
آلودگی از طریق USB و ضعفهای endpoint
الگوی دوم به آلودگیهای worm از طریق حافظههای قابلحمل مانند USB مربوط میشود. با وجود قدیمی به نظر رسیدن این روش، حملات مبتنی بر USB همچنان مؤثر هستند؛ بهویژه در محیطهایی که استفاده از رسانههای قابلحمل برای امور عملیاتی رایج است.
با اتصال دستگاه آلوده، کد مخرب میتواند بهصورت خودکار اجرا شده و باعث نفوذ به endpoint و رفتار غیرعادی سیستم شود. چنین رخدادهایی میتوانند به حرکت جانبی در شبکه و برقراری ارتباطات خارجی غیرمجاز منجر شوند.
این الگو یک واقعیت ساده را برجسته میکند: همیشه به پیچیدگی فنی بالا نیاز نیست. بسیاری از حوادث امنیت سایبری از عادات روزمره کاری سوءاستفاده میکنند، نه از zero-day.
مهندسی اجتماعی و watering hole
الگوی سوم شامل حملات ایمیلی مهندسی اجتماعی است که اغلب در قالب مکاتبات اداری یا اسناد رسمی ظاهر میشوند. این ایمیلهای فیشینگ با موضوعاتی طراحی میشوند که برای نهادهای دولتی بسیار مرتبط است و احتمال باز کردن پیوست یا کلیک روی لینک مخرب را افزایش میدهد.
این حملات بر روانشناسی انسان تکیه دارند. حس فوریت و اعتبار اداری باعث میشود حتی با وجود سالها آموزش، فیشینگ همچنان یکی از موفقترین بردارهای نفوذ در جهان باقی بماند.
الگوی چهارم، حملات watering hole است. در این سناریو، مهاجمان وبسایتهای قانونی و پرمراجعه توسط مقامات دولتی را آلوده میکنند. کاربر هنگام مرور عادی سایت، بدون اطلاع، دستورات مخرب دریافت میکند که منجر به آلوده شدن endpoint و رفتار غیرعادی شبکه میشود.
این نوع حمله نشان میدهد حتی محیطهای دیجیتال مورد اعتماد نیز میتوانند به سلاح تبدیل شوند.
ریسکهای عملیاتی در زیرساختهای حیاتی
در کنار نهادهای دولتی، سازمانهای غیردولتی بهویژه در حوزه زیرساختهای حیاتی مانند خدمات اضطراری، سلامت و ارتباطات نیز تحت تأثیر قرار گرفتهاند. نکته جالب اینکه بسیاری از این موارد ناشی از خرابی تجهیزات یا اختلالات عملیاتی بوده و نه حملات مستقیم سایبری.
نقصهای عملیاتی باعث قطع خدمات شدهاند و عوامل محیطی مانند طوفانهای شدید نیز خدمات حیاتی را مختل کردهاند. این موضوع نشان میدهد همه اختلالات منشأ مخرب ندارند، اما اثر عملیاتی آنها میتواند به همان اندازه جدی باشد.
Cybersecurity Research Institute (CRI) تأکید کرده که تابآوری تجهیزات، تداوم عملیاتی و آمادگی در برابر ریسکهای محیطی به اندازه حفاظت سایبری اهمیت دارند. امنیت دیجیتال و تابآوری فیزیکی باید همزمان تقویت شوند.
لزوم تقویت endpoint و حاکمیت امنیت سایبری
در واکنش به افزایش حوادث، کارشناسان رویکردی دوگانه پیشنهاد میکنند: تقویت فنی و اصلاح مدیریتی.
از منظر فنی، باید حفاظت endpoint و پایش رفتار غیرعادی تقویت شود. سامانهها باید توانایی شناسایی بدافزار، اجرای دستورات مشکوک، ارتباطات غیرعادی و استفاده پرریسک از رسانههای قابلحمل را داشته باشند. همچنین تقویت امنیت مرور وب و دسترسی به پیوستها میتواند احتمال دانلود بدافزار را کاهش دهد.
از منظر حاکمیتی، آموزش مستمر کارکنان ضروری است. پرسنل باید نسبت به ریسک نرمافزارهای جعلی، حملات مهندسی اجتماعی و watering hole آگاه باشند. سیاستهای شفاف درباره استفاده از USB، منبع نرمافزارها و دسترسی به وبسایتهای خارجی باید در چارچوب حاکمیت امنیت سایبری نهادینه شود.
ثبت صدها حادثه در تنها شش ماه یک پیام روشن دارد: تهدیدات دیجیتال علیه نهادهای عمومی مداوم، تطبیقپذیر و استراتژیک هستند. دولتها و ارائهدهندگان زیرساختهای حیاتی باید از واکنش صرف عبور کرده و دفاع لایهای مبتنی بر فناوری و رفتار انسانی ایجاد کنند.
یک نظر