آگاهی وضعیتی، رکن اصلی دفاع فعال سایبری

در گام نخست این چرخه که شناسایی تهدید می‌باشد، سامانه‌های تشخیص نفوذ برخط به ما کمک می‌کنند تا هرگونه تعرض و حمله شبکه ‌داخلی را ردیابی می‌کنند. نظارت و بررسی که به‌عنوان گام بعدی این چرخه محسوب می‌شود به رصد وضعیت شبکه و میزان آسیب‌پذیری یا میزان نفوذ یک تهدید به لایه‌های شبکه می‌پردازد. گام سوم که پاسخگویی به حمله می‌باشد، به اقداماتی از قبیل مسدودسازی و رفع تهدید یا حمله متقابل اشاره می‌کند. در گام نهایی که تغییر و اصلاح محیط شبکه نامیده می‌شود به پچینگ و رفع آسیب‌پذیری موجود در شبکه اشاره می‌کند. از‌این‌رو، برای دست‌یابی به این امر مهم لازم است تا با ایجاد واحدی برای آگاهی وضعیتی تهدیدات آتی را پیش‌بینی و برای پیگیری از بروز آن‌ها تصمیم‌های لازم را اتخاذ کرد.

ادغام اطلاعاتی سطح بالا پیش‌تر اشاره شد توسط پژوهشگرانی چون گلینتون (Glinton) و همکاران وی به‌منظور پیش‌بینی حرکت دشمن در آینده استفاده شد که این عمل با ادغام اطلاعات فعالیت‌ها، دکترین و اطلاعات مربوط به محیط عملیات صورت گرفته بود. سایدین بلد (SidenBladh) و همکاران وی پیشنهادی را به‌منظور ارتقا سطح آگاهی تهدید با مقایسه پیش‌بینی تهدیدهای مختلف ارائه داده‌اند.

یکی از مهم‌ترین تعاریفی که از آگاهی وضعیتی موجود است مربوط به دکتر اریک اندسلی (Eric Endsley ) است. اندسلی آگاهی وضعیتی را در سه سطح آگاهی از وضعیت (perception)، درک وضعیت (comprehension) و تجسم وضعیت (projection) مطرح می‌کند.

سطح اول- آگاهی از وضعیت

آگاهی نشانه‌ها یک موضوع حیاتی و بسیار مهم به شمار می‌رود و بدون آگاهی اولیه از اطلاعات مهم، احتمال شکل‌گیری تصویری نادرست از یک موضوع به‌شدت افزایش می‌یابد. در این سطح به این سؤال پاسخ داده می‌شود که واقعیت‌های فعلی چیست؟

سطح دوم- درک وضعیت

آگاهی وضعیتی نه‌تنها مفهومی فراتر از آگاهی یا توجه صرف به اطلاعات دارد بلکه یکپارچه‌سازی تکه‌های مختلف اطلاعات، تعیین ارتباطات کیان آن‌ها و اهداف کاربر را نیز دربر می‌گیرد. این موضوع درست شبیه به تفاوت میان سطح بالایی از درک مطلب نسبت به خواندن لغات به‌صورت مستقل است. درمجموع این سطح به این سؤال پاسخ می‌دهد که چه اتفاقی می‌افتد.

سطح سوم- تجسم

در بالاترین سطح آگاهی وضعیتی که مبتنی بر بالاترین سطح درک از وضعیت است، توانایی آینده‌نگری رویدادهای مربوط به هر وضعیت و کاربر مطرح خواهد بود. این توانایی برای تجسم رویدادهای دینامیک جاری به سمت رویدادهای آتی مورد انتظار، امکان تصمیم‌گیری به‌موقع را فراهم می‌کند.

سطوح آگاهی وضعیتی برای همه حوزه‌ها یکی تعریف شده و ماهیت آگاهی وضعیتی و سازوکارهای مورداستفاده برای اکتساب آن نیز می‌تواند، به‌صورت کلی تعریف شود ولی میزان نیاز به آن در هر حوزه بنا به نوع عملیات، اهمیت، حساسیت و عناصر تشکیل‌دهنده آگاهی وضعیتی با یکدیگر متفاوت است. به‌طور مثال آگاهی وضعیتی در یک تصمیم‌گیرنده نظامی (یک فرمانده تاکتیکی) با سایر حوزه‌های دیگر مانند سایبری متفاوت خواهد بود؛ بنابراین می‌توان گفت آگاهی وضعیتی به تحقق مجموعه‌ای از فعالیت‌ها در قالب فرآیندهای یکپارچه و شناسایی فعالیت‌های مشخص بین‌حوزه‌ای وابسته است.

اگر فضای سایبری را به‌عنوان عرصه پنجم فضای نبرد بعد از زمین؛ دریا، هوا و فضا در نظر بگیریم، آگاهی وضعیتی سایبری با آگاهی وضعیتی فیزیکی همپوشانی خواهند داشت؛ زیرا تهدیدات و حملات در فضای سایبری مأموریت‌های دفاعی را تحت تأثیر قرار می‌دهند. ازاین‌رو، بسیار مهم است تا آگهی وضعیتی سایبری را با آگاهی وضعیتی فیزیکی یکپارچه کنیم. ترکیب این دو آگاهی وضعیتی این امکان را فراهم می‌سازد تا آشکارسازی، پیش‌بینی، ممانعت و پاسخ‌ بهتری در برابر حملات در هر فضایی داشت.

جنگی که در آینده‌ای نه‌چندان دور به وقوع خواهد پیوست جنگ اطلاعاتی است. منظور از جنگ اطلاعاتی جمع‌آوری و در اختیار داشتن اطلاعات نیست بلکه پردازش اطلاعاتی که به‌صورت آشکار در سطح وب و شبکه‌های اجتماعی و دیگر بسترهای انتشار سازی داده‌ها می‌توان انجام داد تا این اطلاعات از حالت عمومی (public) به حالت اختصاصی (private) تبدیل شود. به‌عبارت‌دیگر تبدیل داده‌های عمومی به داده‌های منحصربه‌فرد و اختصاصی مهم‌ترین بخش آگاهی وضعیتی و در درجه بالاتر مهم‌ترین بخش دفاع فعال سایبری است.

نحوه عملکرد مکانیسم جمع‌آوری و داده‌کاوی به این صورت است که سامانه‌های جمع‌آوری اطلاعات از بستر شبکه‌های اجتماعی و دیگر بسترهایی که افراد به انتشار مطالب می‌پردازند داده‌ها را جمع کرده و به بستری تحت عنوان مخزن داده منتقل کرده و در آنجا نگهداری می‌کنند.

اطلاعات جمع‌آوری‌شده در طی یک فرآیند ابتدائی پردازش مقدماتی می‌شوند و سپس مورد تحلیل و بررسی قرار می‌گیرند. پس از مطالعه و بررسی‌های لازم روی این اطلاعات می‌توان به مرحله برآورد تهدید (Risk management) رسید تا خطرات و تهدیدات موجود و آتی را پیش‌بینی کرده و تصمیم‌های لازم را اتخاذ کرد. در مرحله نهایی که مهم‌ترین و قله این اقدامات محسوب می‌شود به ترازیابی (alignment) می‌رسیم که در این سطح با شناسایی بازیگران و عاملان تهدید بر اساس اولویت‌های موجود دست به اقدام می‌زنیم. اقدامات یادشده در محلی پردازش و اجرا می‌شوند که به آن مرکز مدیریت آگاهی وضعیتی گفته می‌شود.

دفاع تنها زمانی مثمر ثمر واقع می‌شود که آگاهی وضعیتی مناسبی از بستر فعالیت داشته باشیم و آگاهی وضعیتی نیز زمانی محقق می‌شود که اطلاعاتی که در اختیار داریم را به‌خوبی پردازش و داده‌کاوی کنیم. نکته حائز اهمیت اینجا است که کشورهای ابرقدرتی مانند امریکا، چین و روسیه نیز هنوز به موفقیت چندانی در این زمینه نرسیده‌اند.

این نکته را نیز باید در نظر داشت که سامانه‌های آگاهی وضعیتی سایبری و سامانه‌های آگاهی وضعیتی فیزیک تفاوت اساسی با یکدیگر دارند. برای مثال، سیستم آگاهی وضعیتی فیزیکی بر مشخصات و ویژگی‌های سخت‌افزاری حسگرها و فنون پردازشی تأکید دارد. درحالی‌که در سیستم‌های آگاهی وضعیتی سایبری در هیچ‌کدام از موارد ذکرشده نقش اساسی ندارند. سیستم‌های آگاهی وضعیتی سایبری بر حسگرهای سایبری مانند سیستم تشخیص نفوذ؛ حسگرهای ثبت فایل، سیستم‌های ضدویروس، آشکارسازهای بدافزار و فایروال‌ها متکی هستند که تمامی آن‌ها رویدادهایی را با سطح انتزاع بالاتری از بسته‌های خام شبکه تولید می‌کنند. به‌عنوان‌مثال، وضعیت سایبری سرعت استنتاج با دامنه بالاتری را نسبت به وضعیت فیزیکی خواهد داشت و نهایتاً اینکه وضعیت یا حملات سایبری از سیمنتک های منحصربه‌فردی بهره می‌گیرند.

رویکرد فعلی در زمینه کسب آگاهی وضعیتی سایبری شامل تحلیل آسیب‌پذیری (با استفاده از گراف حمله)، آشکارسازی نفوذ و همبستگی هشدارها، تحلیل روند حمله، تحلیل‌های علی و معلولی (پیمایش معکوس یک نفوذ)، تحلیل عیوب و جریان اطلاعات، ارزیابی خسارت (با استفاده از گراف‌های وابسته) و پاسخ به نفوذ است. اگرچه اخیراً تحقیقاتی در راستای نیازهای شناختی تصمیم‌گیرندگان در حال انجام است ولی هنوز فاصلی زیادی میان مدل ذهنی تحلیلگر انسانی و ظرفیت وجودی ابزارهای سایبری وجود دارد. با توصیف ارائه‌شده در این بخش می‌توان گفت برای ایجاد یک دفاع سایبری کامل نیاز به آگاهی وضعیتی است که حداقل از هفت جنبه زیر تشکیل شود:

1.    آگاهی از وضعیت کنونی: منشور از آگاهی وضعیتی در این جنبه همان اطلاع داشتن از وضعیت است که شامل دو بخش تعیین و شناسایی است. منظور از تعیین، معین ساختن نوع حمله است که قاعدتاً باید به سؤالاتی که چون «منبع حمله کجاست؟»، «مهاجم کیست؟» و «هدف حمله چیست؟» پاسخگو باشد. منظور از شناسایی فقط شناسایی یک حمله صورت گرفته است. درک وضعیت فراتر از آشکارسازی نفوذ است، زیرا سامانه‌های مبتنی بر آشکارسازی نفوذ متشکل از حسگرهایی هستند که توانایی تعیین و شناسایی حمله را ندارند و فقط بخشی از رویدادهایی را که ممکن است جزئی از یک حمله باشند را تشخیص می‌دهند. با این توصیف می‌توان گفت آشکارسازی نفوذ عنصر اولیه آگاهی از وضعیت است.

2.    آگاهی از اثرات حمله (ارزیابی حمله): ارزیابی اثر خود نیز از دو بخش ارزیابی اثر کنونی و ارزیابی اثر آینده تشکیل می‌شود. در ارزیابی اثر آینده این سؤال مطرح می‌شود که اگر مهاجم به‌طور پیوسته اصرار بر حمله داشته و جذابیت حمله برای وی تغییری نکند میزان اثرگذاری وی چگونه خواهد بود؟ آنالیز آسیب‌پذیری جنبه گسترده ارزیابی اثر است که در این حالت تجسم اثر آینده حملات میسر خواهد شد. علاوه بر آن، ارزیابی اثر آینده شامل ارزیابی تهدید نیز می‌شود.

3.    آگاهی از اینکه چه وضعیتی حاصل خواهد شد؛ در این جنبه، ردگیری وضعیت یکی از مهم‌ترین مؤلفه‌ها است.

4.    آگاهی از رفتار متخاصم؛ مهم‌ترین مؤلفه این جنبه از آگاهی وضعیتی، تحلیل درک. نیت مهاجم است. این امر با کنترل و مراقبت رفتاری متخاصم و بررسی آن با وضعیتی که در آن قرار دارد و وضعیتی که ایجاد خواهد شد، صورت می‌گیرد.

5.    آگاهی از اینکه چرا و چگونه وضعیت کنونی ایجاد شده جنبه دارد که نیاز به تحلیل علی و معلول دارد.

6.    آگاهی از میزان کیفیت و اعتماد به آیتم‌های اطلاعاتی جمع‌آوری‌شده، منجر به دانایی و هوشمندی تصمیمات خواهد شد؛ بنابراین سنجه‌های کیفی چون صحت، تمامیت و تازگی به‌عنوان بخشی از جنبه درک وضعیت یا شناسایی وضعیت ضروری است.

7.    ارزیابی محتمل و قابل‌باور از وضعیت کنونی؛ این جنبه از آگاهی وضعیتی از فناوری‌های متعددی برای تجسم اقدامات و فعالیت‌های مهاجم و تجسم مسیرهای موردحمله شکل گرفته است. درک نیت، فرصت و توانمندی مهاجم نیز ازجمله محورهای کلیدی جنبه نام‌برده است.

ایجاد سامانه‌های آگاهی وضعیتی سایبری برای مقابله با انواع حملات سایبری علی‌الخصوص حملات سایبری چندمرحله‌ای که در این مقاله به‌عنوان شی مجازی مطرح بوده برای دولت‌ها از اهمیت خاصی برخوردار است؛ چراکه برخلاف برقراری امنیت فضای فیزیکی که در سیطره قوانین فیزیکی بود و قوانین حاکم بر این محیط مدت‌های مدیدی است که در حال آزمایش و توسعه است، برقراری امنیت در فضای سایبری از محدودیت‌ها و چالش‌های نوظهور و پویایی برخوردار است؛ بنابراین با استفاده از قوانینی چون ادغام اطلاعات سطح بالا بسیاری از چالش‌ها و شکاف‌های مطرح شده را که توسط حملات پیوسته متغیر سایبری ایجاد شده، می‌توان برطرف کرد. به‌علاوه، برای بهبود آگاهی وضعیتی سایبری می‌توان از ادغام اطلاعات سطح بالا استفاده کرد. درنتیجه، با ادغام تجسمی که از ردهای حمله به دست می‌آید و تجسمی که از موجودیت‌های در خطر شبکه ارائه شده، بازدهی سامانه همان‌گونه که در آزمایش‌های صورت گرفته نشان داده شده است، ارتقا یافته است.