دغدغه عصر اطلاعات؛ دفاع فعال سایبری

سایبرپژوه– اصطلاح «هک بک» یا هک متقابل ممکن است گمراه‌کننده به نظر برسد؛ دفاع سایبری فعال می‌تواند دربرگیرنده مجموعه توانایی‌هایی باشد که سازمان‌ها برای دفاع از خودشان در برابر فعالیت سایبری تهاجمی استفاده می‌کنند و برخی از آن‌ها به‌صورت هک متقابل – شناسایی منبع حمله و واکنش مناسب – اجر شود. در ماه اکتبر سال ۲۰۱۶، مرکز سایبری و امنیت داخلی دانشگاه جورج واشنگتن با اختصاص یک تیم مخصوص به این موضوع نتیجه را گزارش داد. این نیروی کار متشکل از کارشناسان دولتی، دانشگاهی و بخش خصوصی و مدیران این تیم دنیس سی بِلِر (Dennis C. Blair)، مدیر سابق اطلاعات ملی و مایکل چرتوف (Michael Chertof)، معاون سابق امنیت ملی بودند. در این مقاله تعریف دفاع فعال به‌صورت زیر است:

• دفاع فعال، اصطلاحی دربرگیرنده مجموعه اقدامات لازم امنیت سایبری میان تهاجم و تدافع غیرفعال سنتی است. این فعالیت‌‎ها در ۲ دسته کلی قرار می‌‎گیرند؛ دسته اول، تعامل‌های فنی بین یک مدافع و یک مهاجم را شامل می‌شود. دسته دوم دفاع فعال شامل عملیات‌هایی برای توانمندسازی مدافعان در جمع‌آوری اطلاعات مربوط به عوامل تهدید، شاخص‌های موجود در اینترنت و دیگر ابزارهای سیاسی مانند تحریم‌ها، اتهامات و راه‌حل‌های تجاری است که می‌توانند رفتار عوامل مخرب را تغییر دهند. اصطلاح دفاع فعال مترادف با هک متقابل نیست و این دو نباید بجای یکدیگر به کار روند.

مرکز سایبری و امنیت داخلی دانشگاه جورج واشنگتن پس از مشاهده فعالیت‌ها و اقدامات لازم مورداستفاده مدافعان سایبری در شبکه‌های خودشان یا مهاجم به این تعریف رسید. ازیک‌طرف مجموعه فعالیت‌هایی وجود دارند که فقط در شبکه‌های شخصی یک عامل مؤثر هستند. این گزینه‌های کم‌خطر، شامل اقدامات دفاعی مانند به اشتراک‌گذاری اطلاعات و استفاده از روش‌هایی به‌عنوان دام برای مهاجم و اجازه به مدافعان برای مشاهده تکنیک‌های حمله به‌منظور آگاه شدن از دفاع هستند.

این فعالیت‌ها به‌خودی‌خود و به‌صورت بالقوه برای دفاع در برابر پیشرفته‌ترین متجاوزان سایبری مشخص نمی‌شوند. از طرف دیگر مجموعه فعالیت‌هایی خارج از شبکه عامل و باهدف اعمال زور و هزینه، کم کردن توانایی‌ها یا دسترسی به اطلاعات محافظت‌شده بدون مجوز وجود دارند. این گزارش، فعالیت‌ها را به‌عنوان تهاجمی توصیف می‌کند. نمونه‌های این نوع فعالیت تهاجمی شامل هک متقابل برای بازیابی اطلاعات دزدیده‌شده، اقدام تلافی‌جویانه با بدافزارها برای آسیب رساندن به یک سیستم مزاحم یا حتی سرقت مالکیت معنوی هستند. بر اساس این مقاله، عوامل بخش خصوصی نباید از این تکنیک‌ها مگر در شرایطی بسیار محدود و با همکاری یا تحت اختیارات نماینده دولتی استفاده کنند. یک منطقه خاکستری میان این دو طیف وجود دارد که بین مرزهای توصیفی بالا و پایین قرار می‌گیرد و پیشنهاد روش‌های کمتر دفاع سایبری فعال تحت شرایط مناسب و مجاز را می‌دهد. فعالیت‌های منطقه خاکستری، عملیات‌های با ریسک متوسط تا بالا هستند و عموماً خارج از شبکه‌های مدافع رخ می‌دهند؛ و در صورت عدم استفاده صحیح، باعث ایجاد خسارت یا نگرانی می‌شوند.

یک نمونه فعالیت منطقه خاکستری احتمالاً شامل برخی انواع گردآوری اطلاعات در شبکه مهاجم یا نوعی مأموریت نجات برای بازیابی دارایی‌های مسروقه است. درحالی‌که اگر این فعالیت خارج از سیستم‌های مدافع انجام شود، هنوز هم غیرمجاز خواهد بود و این گزارش از شفاف‌سازی قانون پیرامون این نوع فعالیت و قانونی کردن آن در شرایط مناسب – همکاری نزدیک میان بخش‌های خصوصی و دولتی – دفاع خواهد کرد. مقاله یادشده، در مورد نحوه عملکرد به واکنش گوگل به عملیات آرورا (Aurora) – نام‌گذاری شده به‌وسیله شرکت امنیتی مک‌آفی – اشاره دارد که یک کمپین هک وابسته به چین بود که پس از کد منبع گوگل انجام شد. مدیر گوگل نیز تصمیم به فعالیت خارج از شبکه خود برای ردیابی مهاجمان گرفت. گوگل به این نتیجه رسید که مهاجمان از داخل چین کنترل می‌شوند و اطلاعات را با مراجع قانونی، جامعه اطلاعاتی و مردم به اشتراک می‌گذارند. دولت آمریکا هیچ اقدام قانونی علیه گوگل انجام نداد و در عوض، با ستایش این غول فناوری چین را سرزنش کرد.

قانون نوشته‌شده فعلی به افراد یا سازمان‌ها اجازه دسترسی به شبکه‌های خارج از شبکه‌های خود را بدون رضایت نمی‌دهد؛ حتی اگر به‌وضوح از آن‌ها موردحمله قرار گرفته باشند. درنتیجه، دسترسی به رایانه بدون مجوز، نقض قانون و جرم محسوب می‌شود؛ بنابراین، گوگل با این عملیات خطرات قابل‌توجهی ایجاد کرد. البته گوگل تنها شرکتی نیست که این کار را انجام داد و دیگر سازمان‌های خصوصی نیز انجام فعالیت‌های مشابه را گزارش داده‌اند. مرکز سایبری و امنیت داخلی دانشگاه جورج واشنگتن و سایر مفسران به پرونده گوگل و دیگر پرونده‌های مشابه – که در آن‌ها سازمان‌های خصوصی اقدامات محدودی برای دفاع از خود انجام داده‌اند – به‌عنوان نمونه‌های نحوه عملکرد این کار در آینده نگاه می‌کنند. فرض بر این است که مشروط بر انجام این اقدامات با مجوز قانونی و مخرب نبودن آن‌ها، این نوع دفاع سایبری فعال محدود شاید پایدار، فنی و سیاسی باشد. بااین‌وجود، این نوع عملیات‌ها بدون ریسک نخواهند بود. هرگونه پیشنهادی برای اجرای این عملیات‌ها به مرزها و مکانیسم‌های نظارتی دقیق نیاز دارد و درنتیجه باید تغییراتی در قانون صورت گیرد.

دفاع فعال سایبری، یک راهبرد امنیت سایبری

دفاع فعال سایبری، پدیده‌ای کاملاً فنی نیست و مزایا و معایب آن باید سنجیده شود. با توجه به عدم شفافیت نقش‌ها و مسئولیت‌های دفاع بخش خصوصی، عملکرد بخش‌های دولتی و خصوصی در اجرای دفاع سایبری فعال باید تمیز داده شود. اولین تمایز، عملکرد اقدامات دفاع سایبری فعال طراحی‌شده برای خدمات است:

• جمع‌آوری اطلاعات در مورد تهدیدات و کمک به تخصیص دادن منشأ حمله؛
• محافظت از دارایی‌های درون شبکه مدافع؛
• ایجاد اختلال در حملات قریب‌الوقوع و مداوم؛
• تحمیل هزینه‌ها به‌طور مستقیم یا غیرمستقیم روی دشمن؛
• انکار سود با ردیابی و بازیابی دارایی‌های خارج‌شده؛
• مسدود یا غیرفعال کردن بردارهای حمله و برنامه‌ریزی حمله پیچیده؛
• جلوگیری از حملات آینده با مهار قابلیت‌های دشمن یا از بین بردن حملات آینده (بازدارندگی با انکار).

درمجموع، این توابع بیانگر یک راهبرد گسترده در حوزه امنیت سایبری است که عوامل مخرب را از طریق تغییر شکل محیط و ساختار تشویقی مربوطه پیش‌بینی می‌کند. کارکردهای دفاع فعال سایبری بخش‌های دولتی و خصوصی متقابلاً منحصربه‌فرد نیستند، اما به چندین روش قابل‌تفکیک هستند.

دفاع فعال سایبری، به‌عنوان یک رویکرد مفهومی در حوزه امنیت سایبری، می‌تواند با مفهومی در جرم‌شناسی موسوم به پیشگیری موقعیتی از جرم (SCP) مقایسه شود. پیشگیری موقعیتی از جرم به‌جای تمرکز روی خود مجرمان، بر تغییر تنظیماتی تمرکز دارد که فرصت‌ها و انگیزه‌های جرم را فراهم می‌کند. این کار با اقداماتی برای افزایش تلاش موردنیاز و خطرات مرتبط با ارتکاب جرم، کاهش پاداش‌ها و عوامل موقعیتی به‌منظور تحریک مجرمان یا فراهم کردن بهانه‌های جرم انجام می‌شود و شامل تلاش‌ها از طریق سیستم عدالت کیفری و سازمان‌های دولتی و خصوصی است که محیط فعالیت مجرمان را شکل می‌دهند و مدیریت می‌کنند؛ بنابراین، پیشگیری موقعیتی از جرم به حذف تهدیدهای جنایی یا تغییر انگیزه‌های مجرمان وابسته نیست. به دلیل تمرکز این رویکرد بر عوامل محیطی، مزایای چنین تلاش‌هایی اغلب مربوط به افراد هدف یا غیر هدف – اشغال‌کننده محیط – خواهد بود.

در خصوص پیشگیری موقعیتی از جرم، دفاع فعال سایبری بخش‌های دولتی و خصوصی فرصت‌های متفاوتی برای مبارزه با فعالیت‌های مخرب در فضای سایبری ارائه می‌دهند که هرکدام از آن‌ها به‌صورت بالقوه از ویژگی‌های بیرونی مثبتی برخوردار هستند. دولت‌ها شاید از این دفاع فعال سایبری برای مجموعه عملکردهای گسترده‌تر ازجمله دفاع از سیستم‌ها و شبکه‌ها دوستانه با داشتن مجوز و در کنار دیگر فعالیت‌های بیرون و درون فضای سایبری استفاده کنند. درحالی‌که دولت‌ها احتمالاً فعالیت‌هایی را به‌صورت مجازاتی – مانند اقدامات قانونی – انجام می‌دهند، چنین فعالیت‌هایی خارج از محدوده قانونی دفاع فعال سایبری مجاز بخش خصوصی انجام می‌شوند.

بااین‌وجود، شرکت‌های بزرگ تغییردهنده محیط فضای سایبری قطعاً نقش مهمی در حفاظت از آن ایفا می‌کنند. این امر تا حدودی به دلیل افزایش وابستگی به سرویس‌های ابری و دستگاه‌های متصل داخلی و درنتیجه افزایش حملات سایبری بزرگ و اعمال اثرات قابل‌توجه است. همان‌طور که در مقاله سفید مجمع اقتصاد جهانی در سال ۲۰۱۶ بیان شد، باید توجه داشت که دولت و صنعت تلاش می‌کنند عظمت خطر سایبری سیستمی را درک کنند و به آمادگی برسند.

وظایف و نقش‌های بخش‌های دولتی و خصوصی – برحسب اختیارات لازم در انجام یک فعالیت و میزان رضایت از اقدامات بالقوه تأثیرگذار بر اشخاص ثالث – در سطح رویه‌ای متفاوت هستند. دولت‌ها از دفاع فعال سایبری در زمینه‌های اجرای قانون، امنیت داخلی، اطلاعات و مفاهیم نظامی طبق دستور گسترده استفاده می‌کنند. مجوز دفاع فعال سایبری بخش خصوصی در شرایط مؤثر بر اشخاص ثالث شاید از توافق‌نامه کاربر نهایی یا پروتکل‌ها و رویه‌های مدیریت حقوق دیجیتال یک شرکت حاصل شود. در موارد دیگر، دفاع فعال سایبری در بخش خصوصی احتمالاً با همکاری و نظارت دولت و دستور دادگاه انجام می‌گیرد. این مجوز مستقیماً به مشروعیت این دفاع مربوط می‌شود. به‌طورکلی، مشروعیت مشارکت بخش خصوصی در دفاع فعال سایبری در اقدامات تهاجمی‌تر و به‌ویژه هنگام عبور از اقدامات شبکه داخلی به خارجی جنجالی‌تر می‌شود.

بحث در مورد دفاع فعال سایبری در بخش خصوصی صرفاً به معنای اجازه به شرکت‌ها برای اجرای مجموعه فعالیت‌های فنی نیست. در سطح بالاتر، به سهم و نقش بخش دولتی یا خصوصی در مدیریت تهدیدات سیستمی و چگونگی تناسب دفاع فعال سایبری در این موارد در حوزه امنیت سایبری مربوط می‌شود. هر ۲ بعد فنی و محیطی در بررسی دیدگاه، شرایط و مراحل مطلوب پیرامون دفاع فعال سایبری در بخش خصوصی نقش دارند. دفاع فعال سایبری منتخب در بخش خصوصی می‌تواند در یک رویکرد موقعیتی برای شکل دادن به محیط پویا به کار گرفته شود تا فرصت‌ها و انگیزه‌های اجرای فعالیت‌های مخرب کاهش یابند. مزایای این کار فراتر از اجرای سریع دفاع فعال سایبری در شرکت‌ها خواهد بود و منجر به اتکای بیشتر مردم به سرویس‌هایشان و آسیب‌پذیر شدن در برابر خطرات می‌شود.