آمادگی شین بت برای مقابله با حملات سایبری (بخش دوم)

بخش دوم

مایکل دانیل نیز در بخش دیگری از صحبت‌های خود در این رابطه اظهار داشت: «اطلاعات برای انحلال تاکتیک‌های گمراه‌کننده بسیار مهم هستند. شما با بررسی سطحی ممکن است به جهتی هدایت شوید اما با بررسی‌ها و آزمایش‌های عمیق‌تر، ناگهان تأمل کرده و متوجه می‌شوید که باید وارد مسیر دیگری می‌شدید.» به همین ترتیب کرول نیز معتقد است: «بریتانیا با تحقیقات اولیه مسیر و موقعیت آدرس‌های IP را اشتباه پیدا کرده بود و با بررسی‌های دقیق‌تر، متوجه نتیجه‌گیری اشتباه خود شد. همیشه رسیدن به نتیجه‌گیری اولیه ساده است. نسبت دادن، همیشه یکی از سخت‌ترین کارها بوده است. اکثر کشورها آهسته و در یک شبکه مخفی در مدت‌زمان طولانی قبل از تشخیص به سر می‌برند.»

سؤالی که در اینجا مطرح می‌شود این است که چگونه بررسی‌های عمیق‌تر می‌توانند نتیجه‌گیری‌های نادرست به‌دست‌آمده از تحقیقات سایبری را اصلاح کنند؟ دانیل در پاسخ می‌گوید: «با نگاهی به ترکیب ساختار دستوری متوجه می‌شویم که این ترکیب روسی نبوده، بلکه فارسی است. بعد از خود می‌پرسید که چرا یک روس باید به فارسی بنویسد؟ شما می‌توانید به تاریخ و زمان نگاه کنید که در روسیه هیچ معنایی ندارد، اما در کشوری دیگر بر اساس منطقه زمانی حساس است. فرض می‌کنیم که افراد نیمه‌شب به شما سرنخ‌هایی می‌دهند اما درواقع این سرنخ‌ها باعث می‌شود شما به سمت مهاجمان سایبری متمایل شده و آن‌ها مسیر خودشان را پوشش دهند.»
دانیل با ذکر اهمیت مقایسه اطلاعات قانونی با داده‌هایی که سازمان اجرای قانون و اطلاعات در اختیار شما می‌گذارد، افزود: «شما شاید سیگنال‌های هوشمند شنیده‌شده از ارتباطات الکترونیکی (SIGINT) یا هوش انسانی و جاسوسی (HUMINT) را تائید کنید یا احتمالاً اطلاعات اضافه‌ای دریافت کنید که نظرتان را تغییر دهد. تجربه من این بود که معمولاً حداقل چند هفته برای نتیجه‌گیری و چند ماه برای اطمینان طول می‌کشید.»

وی در جواب به این سؤال که چقدر زمان برای شناسایی درست نیاز است، این‌گونه عنوان کرد که پس از تحقیقات طولانی احتمال بیشتری دارد که به اشتباهات غیرمنتظره مجرمان سایبری دست‌یافت. به‌عبارت‌دیگر با بررسی‌های اولیه به اشتباهات واضح و مبرهن می‌رسیم. با نفوذ به سیستم دولتی فدرال ایالات‌متحده، کارشناسان تخصیص سایبری به مجموعه کاملی از فایل‌ها رسیده‌اند که مجرمان سایبری با آموزش آن‌ها قصد داشتند بفهمند که شبکه‌های ما شبیه به چیست و به چه دلیل آن‌ها این مطالب را پاک نکرده‌اند. در بررسی‌های اولیه که کارشناسان امنیت سایبری به مشکلات واضح برخورد کردند، همه فایل‌های متنی به نظر معمولی بود اما با تحقیقات عمیق‌تر متوجه فایل‌های بدافزاری شدند.

رئیس سایبری دولت اوباما عنوان کرد: «موارد متعدی وجود دارند. امیدوارم که همیشه بحث مهارت باشد اما گاهی فقط صحبت از بدشانسی است. آیا خرابکاران اشتباه می‌کنند؟ آیا آن‌ها پس از اشتباهاتشان مطالب را پاک می‌کنند؟ دیگر دلایل از دست دادن چنین مسائل کم‌اهمیتی می‌توانست این باشد که زمان برای بازیابی اطلاعات طولانی است. ممکن است اتفاقی ناگهانی بیفتد. درنهایت سازمان اجرای قانون و اطلاعات، پس از کشف همه مطالب آن‌ها را در کنار هم گذاشته و این پازل پیچیده را حل می‌کند.»

مایکل دانیل گفت: «آیا می‌توانیم با نگاهی به سیگنال‌های هوشمند و با کمک شواهد جامعه اطلاعاتی برای تقویت این مورد در مدت‌زمانی خاص استفاده کنیم؟ این موضوع به هدف بستگی دارد. اگر مهاجم فردی برجسته باشد، تغییرات به حدی زیاد هستند که سازمان‌های اطلاعاتی شواهد مفیدی از فعالیت‌های نظارتی یا جاسوسی در حال انجام دارند. تعادل مناسب در ترکیب ادعای سایبری با اطلاعات برای مشخص کردن مهاجم و کار انجام‌شده چیست؟ آیا سیگنال‌های هوشمند و هوش انسانی و جاسوسی در قوانین سایبری مکمل یکدیگرند؟ شما همیشه به انواع و حجمی خاصی از اطلاعات نیاز دارید. هوش انسانی در حجم مکمل سیگنال‌های هوشمند نیست. چون در سیگنال‌های هوشمند اطلاعات بی‌مصرف زیادی دارید.»

وی ادامه داد: «برخی سازمان‌های اطلاعاتی این دو مورد را باهم و با دیگر موارد از قبیل اطلاعات تصوری، اطلاعات منبع باز و ... ادغام می‌کنند. اطلاعات فنی از شبکه‌ها به‌تنهایی کافی نیست و باید با قوانین اجرایی ترکیب شود.»
جوزف کرول اعتقاد دارد: «با توجه به نقش اطلاعات در تخصیص سایبری، دانستن تاکتیک‌ها و روش‌های جدیدی که هکرها استفاده می‌کنند و اینکه کجا آموزش می‌بینند و چگونه آماده می‌شوند امری ضروری است. به‌عبارت‌دیگر دولت‌ها منابع محدودی ندارند. آن‌ها می‌توانند هر کاری که می‌خواهند انجام دهند.»
در ماه ژوئن 2016، مقامات اعلام کردند که یورام کوهن (Yoram Cohen)، رئیس سابق شین بت، در کنفرانس امنیت سایبری با گفتن اینکه دیگر اعتقادی به تخصیص ندارد و می‌داند که منبع حملات سایبری به اسرائیل کیست، موجی از اعتراضات به پا کرد.

کرول توضیح می‌دهد که شاید سخنان کوهن مربوط به حملاتی باشد که مهاجمان آن به‌سرعت شناسایی‌شده‌اند. شرکت‌های تجاری، بانک‌ها و نیروگاه‌های تجدید پذیر این لیست محدود از مهاجمان را ندارند.
کارمند سابق سازمان اطلاعات دفاعی امریکا گفت: «با توجه به تجربه 42 ساله من در تجارت، گمان نمی‌کنم کسی تاکنون 100 درصد به اعتبار تخصیص رسیده باشد. حتی با قابلیت‌های اطلاعاتی بزرگ نیز امکان‌پذیر نیست. سکوهای سایبری زیاد و بسیار خوبی در اسرائیل وجود دارند که به توسعه استفاده از هوش مصنوعی برای شناسایی مهاجمان سایبری اشاره دارند؛ اما فکر نمی‌کنم گلوله نقره‌ای داشته باشیم.»