لاکد شیلدز؛ رزمایش دفاع سایبری ناتو

مقدمه:

فضای مجازی و خطرات موجود در آن به یکی از نگرانی‌های اصلی دولت‌ها در عصر امروز تبدیل شده‌اند و بسیاری از کشورها سعی دارند به شیوه‌های مختلف کارشناسان امنیتی خود را برای مقابله با تهدیدات سایبری آماده کنند. یکی از کارهایی که به همین منظور انجام می‌شود، برگزاری رزمایش‌های سالانه در شرایط مختلف است.
رزمایش لاکد شیلدز (Locked Shields) از سوی اندیشکده‌ی نبرد سایبری ناتو¹ به نام «مرکز عالی همکاری‌های دفاع سایبری ناتو²» در استونی برگزار می‌شود. این رویداد سالانه، اولین بار در سال 2010 با هدف آموزش کارشناسان امنیتی برای حفاظت از سامانه‌های فناوری اطلاعات ملی برگزار شد. در این رزمایش دو کشور خیالی درگیر نبرد سایبری شده و سعی در حفظ منافع خود دارند.
در ادامه‌ی این مقاله رزمایش لاکد شیلد بررسی شده است.

سناریوی رزمایش

جزیره‌ بریلیا³ (Berylia)، (مکانی فرضی) واقع در اقیانوس اطلس، کشوری پیشرو در صنعت پهپاد است و بخش عظیمی از درآمد آن به این صنعت وابسته است؛ اما به‌تازگی آزمایشگاه تحقیقاتی پهپادهای آن‌ها، از سوی افراد ناشناس موردحمله‌ی سایبری قرار گرفته است. به همین دلیل بریلیا مجبور به ایجاد یک گروه واکنش سریع امنیت سایبری حرفه‌ای در آزمایشگاه‌های خود شد تا هر چه سریع‌تر علت حادثه را پیدا کرده و جلوی حملات سایبری را بگیرند.
گروه واکنش سریع برای بیش از دو روز مجبور بودند در برابر حمله‌ای که علیه سامانه‌های آن‌ها انجام شده بود، مقابله کرده و پهپادهای به سرقت رفته‌ی خود را پس بگیرند. از طرفی باید به سؤالات جهت‌دار خبرگزاری‌ها نیز جواب می‌دادند.
در سناریوی رزمایش مذکور، افراد در نقش گروه‌های واکنش سریع یک آزمایشگاه پهپاد سقوط کرده قرار می‌گیرند. به این معنی که در زمان شروع رزمایش، هیچ‌یک از آن‌ها نمی‌دانند دقیقاً از کدام سامانه‌ها باید دفاع بکنند و دشمن تا چه حدی موفق به نفوذ شده است. حتی اطلاعات فنی که در مورد سامانه‌ها به شرکت‌کنندگان داده می‌شود –مانند دنیای واقعی- ممکن است جعلی و نادرست باشند و این موضوع کارِ گروه‌ها را برای آماده شدن و دفاع سخت‌تر می‌کند.
در طول برگزاری تمرین، به‌مرورزمان همه‌چیز بدتر می‌شود. نه‌تنها گروه‌ها باید با حمله‌هایی که به آن‌ها می‌شود مقابله کنند؛ بلکه باید با حمله‌هایی که از شبکه‌های خودشان صورت می‌گیرد نیز مقابله کنند.
هرکدام از گروه‌های مدافع تقریباً از 12 نفر تشکیل می‌شوند و باید مشابه شبکه‌های کسب کار واقعی، از 2 هزار سیستم مختلف محافظت بکنند. خدماتی که گروه‌های آبی باید از آن محافظت کنند بازه‌ای از وبگاه‌ها، ایمیل و خدمات فروشگاه‌های آنلاین تا سامانه‌های کنترل صنعتی را در برمی‌گیرد. هدف از انجام این تمرین، تحت‌فشار قرار دادن گروه‌های مدافع است تا در برابر انواع بسیار زیادی از حمله‌های سایبری- که متخصصان امنیتی امیدوارند هیچ‌گاه در زندگی واقعی آن را تجربه نکنند- مورد آزمایش قرار بگیرند.
برخلاف گروه آبی، گروه قرمز از تمام سامانه‌ها، آسیب‌پذیری و درب پشتی‌هایی که روی سامانه‌های مدافعان وجود دارد، مطلع هستند. این موضوع باعث می‌شود با شروع رزمایش به‌سرعت شرایط عوض شود.
به‌علاوه گروه‌ها تنها از رایانه‌های استاندارد یا سرورها محافظت نمی‌کنند؛ بلکه اینترنت اشیا نیز به‌عنوان بخشی از تهدیدات امنیتی محسوب می‌شود. در این سناریو گروه‌ها از آزمایشگاه تحقیقاتی پهپادها محافظت می‌کنند؛ بنابراین یکی از چالش‌هایی که با آن روبه‌رو می‌شوند، حفاظت از سامانه‌های فرماندهی و کنترل پهپادها است.
شاید یکی از غیرمنتظره‌ترین سامانه‌هایی که گروه‌ها نیاز به محافظت از آن دارند سامانه‌های صنعتی فرماندهی و کنترل است. یکی از بخش‌های اتاق سرورها سامانه‌های خنک‌کننده است و اگر گروه‌ها کنترل سیستم را از دست بدهند، دشمن‌های ناشناخته می‌توانند دمای آن را افزایش داده و سرورها را خاموش کنند.
اعضای گروه قرمز می‌توانند با توجه به شرایط، در هر زمان یا به‌صورت هم‌زمان، وانمود کنند گروه‌های هکری مختلف – از یک هکتیویست با مهارت پایین، گرفته تا افرادی با مهارت بالا و تهدیدات ماندگار- هستند. شرایط رزمایش با توجه به‌ عکس‌العمل گروه‌ها عوض می‌شود.
گروه قرمز و سازمان دهندگان این رزمایش با بهره‌گیری از تنوع بالای حملات و تهدیدات از زوایای گوناگون، توانایی گروه‌های آبی را ارزیابی می‌کنند.
گروه‌های شرکت‌کننده علاوه بر آشنایی با جنبه‌های تکنیکی رزمایش، در زمینه‌ی مشکلات قانونی محافظت در برابر حمله‌ها، نحوه‌ی برخورد با خبرگزاری‌ها و نحوه‌ی گزارش دادن به رهبران و سیاست‌مدارهای خیالی خود نیز مورد آزمایش قرار می‌گیرند. به‌عنوان‌مثال، گروه‌ها باید بتوانند حتی اگر توسط خبرنگارهایی که سعی دارند با فریب آن‌ها اطلاعات نادرست یا بیشتر از حد مجاز به دست بیاورند مورد سؤال قرار گرفتند، توضیح دقیقی از دیدگاه‌ها و عملکردهای خود ارائه بدهند.

معرفی

رزمایش لاکد شیلدز از سوی اندیشکده‌ی نبرد سایبری ناتو  به نام «مرکز عالی همکاری‌های دفاع سایبری ناتو» در استونی برگزار می‌شود. این رویدادِ سالانه، اولین بار در سال 2010 با هدف آموزش کارشناسان امنیتی برای حفاظت از سامانه‌های فناوری اطلاعات ملی برگزار شد. درحالی‌که سناریوی اصلی رزمایش هر سال تغییر می‌کند، تنظیمات آن ثابت باقی می‌ماند و از طرفی کشور کریمسونیا  (Crimsonia) به‌عنوان رقیب بریلیا فعالیت می‌کند.

بریلیا و کریمسونیا دو کشور خیالی درگیر نبرد سایبری

در رزمایش سال 2016، 1700 حمله به 1500 سامانه‌ی مجازی که توسط 20 گروه محافظت می‌شد صورت گرفت. هر یک از گروه‌ها به‌صورت جداگانه در برابر بدافزارها و حمله‌های دیجیتالی واقعی به دفاع از خدمات آنلاین و سامانه‌های کنترل صنعتی می‌پردازند.
در رزمایش موردبحث 20 گروه مدافع آبی از اعضای ناتو، در برابر یک گروه حمله‌کننده‌ی قرمز -که به شبکه‌های آن‌ها حمله می‌کنند- قرار می‌گیرند. به‌علاوه یک گروه سفید از کارشناسان حرفه‌ای سیستم رزمایش را اجرا می‌کنند. درمجموع در این رزمایش 550 نفر با 26 ملیت مختلف شرکت می‌کنند و  هسته‌ی اصلی این افراد شامل 250 نفر از تالین، پایتخت استونی است.
همه‌ی گروه‌های شرکت‌کننده در رزمایش لاکد شیلدز یک نوع مأموریت و سامانه‌ی مجازی برای دفاع از آن دریافت می‌کنند. درحالی‌که رزمایش توسط مرکز تعالی همکاری سایبری ناتو در استونی برگزار می‌شود، بیشتر گروه‌ها از راه دور و از کشور خود در آن شرکت می‌کنند. همه گروه‌ها در این رزمایش به‌صورت هم‌زمان، اما جداگانه عمل می‌کنند؛ بنابراین در بعضی مواقع، 20 تمرین به‌صورت هم‌زمان انجام می‌شود. از طرفی گروه‌ها اجازه دارند تا بعضی از اطلاعات را با یکدیگر به اشتراک بگذارند.

تعدادی از شرکت‌کنندگان رزمایش لاکد شیلدز در حال تجزیه‌وتحلیل داده‌ی حملات هستند.

ملاحظات

رین اُتیس (Rain Ottis)، مسئول برگزاری سناریوی رزمایش لاکد شیلدز 2016، گفت: «ما سعی می‌کنیم از سناریوها و حملات موجود در واقعیت الگو بگیریم؛ بنابراین ما یک رزمایش بی‌کیفیت اجرا نمی‌کنیم. ما دقیقاً از سیستم‌عامل‌های مشابه زندگی واقعی استفاده می‌کنیم.»
اتیس ادامه داد: «ما می‌خواهیم ببینیم، شرکت‌کنندگان در قالب گروهی که در یک نبرد مه‌آلود⁴ (fog of war) قرار گرفته‌اند و دید کاملی از سناریو و اتفاقی که برای آن‌ها افتاده است، چگونه عمل می‌کنند.»
آرا رینتام (Aare Reintam)، مدیر بخش تکنیکی رزمایش‌های مرکز عالی همکاری‌های دفاع سایبری ناتو، گفت: «ما از همه‌چیز مانند ویندوز 7، 8، 10، سیستم‌عامل مک او. اس اپل، تعداد بسیاری از نگارش‌های لینوکس و طیف وسیعی از دیگر سیستم‌عامل‌ها، استفاده کرده‌ایم. ما سعی می‌کنیم همه‌ی سخت‌افزارها و نرم‌افزارهایی که می‌توانند آسیب‌پذیر باشند و همه‌ی مواردی را که شما می‌توانید در یک دفتر معمولی تصور کنید، شبیه‌سازی کنیم.»
رینتام افزود: «ما می‌خواهیم به شرکت‌کنندگان نشان بدهیم هر چیزی که در محیط اطراف آن‌ها قرار دارد می‌تواند آسیب‌پذیر بوده و به شبکه‌ی داخلی آن‌ها وارد شود.»
وی با بیان این‌که هر چیز -از تلفن هوشمند تا چاپگرها- می‌توانند موردحمله قرار بگیرند، ادامه داد: «ما می‌خواهیم هر چیزی را که می‌تواند در شبکه هدف قرار بگیرد را شبیه‌سازی کنیم؛ بنابراین گروه‌ها باید از همه‌ی ابزارها دفاع کنند؛ درحالی‌که حمله‌کنندگان تنها به یک نقطه حمله می‌کنند.»
هر گروه واکنش متفاوتی را در برابر چالش‌های پیش رو انجام می‌دهد. یکی از وسوسه‌انگیزترین این واکنش‌ها، آفلاین کردن سامانه‌هایی است که در معرض حمله‌ی سایبری قرار گرفته‌اند؛ اما در این صورت موضوع اصلی فراموش می‌شود. گروه‌ها باید بتوانند حتی اگر مجبور به اولویت‌بندی شدند، در حالی از سامانه‌ها محافظت کنند که فعال بوده و کار می‌کنند. رینتام با بیان کردن این موضوع به‌عنوان یکی از کلیدی‌ترین اهداف رزمایش گفت: «ما به داوطلبان یاد می‌دهیم که چطور از سبک زندگی ما محافظت بکنند. ما باید مطمئن شویم چرخه‌ی زندگی که از آن استفاده می‌کنیم، محافظت می‌شود؛ بنابراین از لحظه‌ی بیدار شدن در صبح، روشن کردن چراغ، آماده کردن قهوه و مشاهده‌ی اخبار باید به همه‌ی اجزای این اکوسیستم توجه شده و از آن‌ها حفاظت بکنیم.»
مهیس هاکاجا (Mehis Hakkaja)، سرپرست گروه قرمز و مدیرعامل شرکت کلاریفد سکیوریتی در استونی، گفت: «هدف گروه قرمز ایجاد یک نبرد مه‌آلود برای محاصره گروه‌های مدافع بود و تعداد اعضای این گروه 60 نفر بودند. گروه قرمز از روش‌ حملاتی استفاده می‌کند که در دنیای واقعی امکان انجام آن وجود دارد؛ اما هنوز هم می‌توان در برابر آن‌ها به دفاع پرداخت.»
هاکاجا افزود: «حملات، بازه‌ای از امنیت سایبری سیستم‌های پایه -که با ایجاد سریع یک وصله برطرف می‌شوند- تا حمله به یک سامانه‌ی پیچیده کنترل صنعتی را در برمی‌گیرند.»
هاکاجا افزود: «داشتن یک راهبرد دفاعی اولیه‌ی مناسب، مهم‌تر از توانایی ایجاد تغییرات در زمان رزمایش است؛ زیرا مسدود کردن، تلاش‌های کورکورانه برای انجام دفاع یا تنها مشاهده‌ی تعدادی نشانه‌های حمله، شما را از هدف دور می‌کند.»
یکی دیگر از زمینه‌های مورد آزمایش، مشکلات قانونی است. تصورات موجود در مورد حملات و نبرد سایبری بسیار نامشخص است؛ بنابراین گروه‌ها باید تمام تلاش خود را بکنند تا یک رفتار قانونی از خود به نمایش بگذارند. به‌عنوان‌مثال چارچوب‌های قانونی در زمان درگیری مسلحانه‌ی پلیس با استانداردهای نبرد سایبری کاملاً متفاوت است؛ بنابراین تشخیص این‌که آیا فاکتورهای کلیدی یک حادثه‌ی سایبری به سطح درگیری‌های مسلحانه رسیده است یا خیر، موضوعی است که مدافعان، با تلاش می‌توانند آن را تشخیص بدهند؛ زیرا بسیاری از حملات، ناشناخته بوده و مخفیانه انجام می‌شوند. از طرفی بدافزارها لباس فرمی به تن نداشته و پرچمی را حمل نمی‌کنند. در زمان رزمایش، مشاوران قانونی گروه‌ها به‌دفعات زیادی مورد آزمایش قرار می‌گیرند. به‌عنوان‌مثال در زمانی که به یک پهپاد هک شده رسیدگی می‌شود، از آن‌ها می‌خواهند به یک فرماندهی ارتشی در مورد گزینه‌های نظامی مشاوره بدهند.
هیدر هاریسون دینیس (Heather Harrison Dinniss)، سرپرست گروه قانون لاکد شیلدز و مدرس ارشد حقوق بین‌الملل دانشگاه دفاع سوئد، توضیح داد: «در هر عملیات نظامی، انتخاب‌های مختلفی در مقابل فرمانده وجود دارد. این انتخاب‌ها باید توسط یک مشاور حقوقی موردبررسی قرار بگیرند تا بهترین گزینه برای انجام یک واکنش قانونی انتخاب شود.»
دینیس گفت: «مشخص نبودن هویت کسی که حمله را انجام داده است، یکی از مشکلات شما در زمانی فعالیت در فضای سایبر به‌حساب می‌آید. سایبر، ارزیابی را مشکل‌تر می‌کند.»
وی ادامه داد: «باوجوداینکه هنوز نقاط نامشخص وجود دارند، هم‌اکنون پذیرش قانونی بیشتری در زمینه‌ی سایبر وجود دارد. به‌عنوان‌مثال درحالی‌که توافق‌هایی برای شرایط در نظر گرفتن حملات سایبری در حد حملات مسلحانه صورت گرفته است، هنوز توافق‌های کاملی برای نحوه‌ی رسیدگی به حملات مخرب فیزیکی وجود ندارد.»
وی با بیان این موضوع که بعضی از حمله‌ها (مانند حمله‌ای که در سال 2012 به 30 هزار از دستگاه‌های سعودی آرامکو انجام شد) هیچ آسیب فیزیکی وارد نکرده و تنها اطلاعات دستگاه‌ها را پاک می‌کنند، افزود: «هنوز هم مشکلاتی در تفسیر بعضی موضوعات، مانند حمله به داده‌ها وجود دارد. ازآنجایی‌که هیچ آسیب فیزیکی وارد نمی‌شود، هنوز سؤالاتی در مورد نوع تهدید وجود دارد. زمانی که رایانه‌ها، بی‌استفاده می‌شوند ما چه‌کاری باید انجام بدهیم؟ آیا از نیروی خود استفاده کنیم؟ هنوز اختلافات قابل‌توجهی در این زمینه وجود دارد.»
اتیس در ادامه افزود: «ما از گروه‌ها می‌خواهیم تا گزارش‌هایی خوانا و قابل‌درک از اتفاقاتی که رخ می‌دهد، بنویسند. چیزی که بتوان آن را برای مدیر یا سیاست‌مدار دولت ارسال کرد. در نتیجه باید بتوانند گزارشی قابل‌فهم را برای شخصی که هیچ دانش فنی ندارد آماده کنند؛ زیرا این موضوع در بین جوامع امنیت سایبری بسیار ضعیف است. ما از لینگو⁵ استفاده کرده و برای به‌کارگیری آن تمرین می‌کنیم.»
اتیس در مورد بهترین گروه گفت: «گروه برنده تلاش می‌کند تا میدان مبارزه را درک و اهداف بعدی حمله‌کنندگان را پیش‌بینی کرده و خود را برای مقابله با آن‌ها آماده کند.»
وی در ادامه افزود: «ما می‌خواهیم ببینم چگونه شما سعی در درک میدان مبارزه می‌کنید، خود و دشمن را چگونه می‌شناسید و طرح شما برای مقابله چیست. شما باید درک کنید در چه مکانی به چه حسگرهایی نیاز دارید، چه سامانه‌هایی نیاز به نظارت انسانی بیشتر دارند و کدام را می‌توانید رها کنید.»
سرپرست گروه قرمز با بیان نظر‌گاهی مشابه گفت: «دیدن، درک کردن و برقراری ارتباط با موضوعات بزرگ، در بخش‌های کوچک فنی از دست نمی‌رود. رزمایش سایبری بزرگی مانند لاکد شیلدز، فرصت ویژه‌ای را در اختیار گروه‌های آبی می‌گذارد تا در یک موقعیتی که با سرعت‌بالا متحول می‌شود قرار بگیرند.»
دینیس با بیان این‌که گروه‌ها نمی‌توانند در برابر دشمن خود حمله‌ی متقابل انجام دهند، گفت: «این رزمایش، یک تمرین به‌شدت دفاعی است؛ بنابراین ما می‌خواهیم داوطلبان در صورت نیاز با یکدیگر همکاری کرده و از منابع خود دفاع بکنند. همچنین ما می‌خواهیم ارتباط خود را با دیگر نقاط جهان حفظ کنند؛ اما نمی‌خواهیم به حالت تهاجمی وارد شوند؛ زیرا با عواقب قانونی جدی مواجه می‌شوند.»
توماس اسونسن (Thomas Svensson)، یکی از مسئولین رزمایش لاکد شیلدز 2016 گفت: «زمانی که متخصصان امنیت شبکه برای نظارت بر محیط خود تحت‌فشار شدید قرار می‌گیرند باید پیامدهای اجتماعی، سیاسی و حقوقی و چالش‌های تکنیکی را در نظر داشته باشند.»
رینتام ادامه داد: «با توجه به تعداد کشورهایی که عضو ناتو هستند به‌ویژه کشورهای حوزه‌ی بالتیک- که نگرانی آن‌ها در مورد دفاع سایبری رو به افزایش است- تقاضاهای بسیاری برای رزمایش لاکد شیلدز وجود دارد؛ زیرا نگرانی‌هایی از حملات سایبری روسیه وجود دارد. استونی از حجم بسیاری از داده‌ها عمومی خود مانند تاریخ تولد و سند دارایی‌ها، نسخه پشتیبان تهیه کرده و در مکانی خارج کشور از آن نگهداری می‌کند.»

در یک میدان مبارزه‌ی سایبری، میز، صفحه‌کلید، نمایشگر و تعداد بسیار زیادی کابل نقش سلاح و مهمات را ایفا می‌کنند.

نتیجه

سازمان ناتو، موضوع جنگ سایبری را در سال‌های اخیر بسیار جدی گرفته است. این رزمایش نشان داد حملات سایبری می‌توانند منجر به عملیات دفاعی مشترک شوند. از طرفی به‌تازگی فضای مجازی به‌عنوان یک دامنه عملیاتی –در اینجا میدان مبارزه- معرفی شده است؛ همان‌گونه که چندی پیش ناتو، در اجلاس جنگ سایبری به نام «سایکان»، فضای سایبر را به‌عنوان قلمروی پنجم جنگی به رسمیت شناخت. با وجود این، بسیاری از اعضای ناتو، فاقد کارشناسان آموزش‌دیده برای شناسایی و مقابله با حملات سایبری انجام شده به زیرساخت‌های ملی و حیاتی خود هستند. رخدادهایی مانند لاکد شیلدز، با هدف تشویق اعضا به جدی‌تر گرفتن موضوع امنیت دیجیتال برگزار می‌شود. همچنین تهدیدات بالقوه‌ای که ناتو آن‌ها را جدی به‌حساب می‌آورد معرفی می‌کند.

_______________________________

1- NATO's cyberwarfare think tank
2- Cooperative Cyber Defense Centre of Excellence
3- بریلیا یک کشور خیالی سازنده‌ی پهپاد، برای برگزاری رزمایش دفاع سایبری سالانه‌ی ناتو، با نام لاکد شیلدز است.
4- نبرد مه‌آلود یا مه جنگ، به معنای عدم آگاهی موقعیتی تجربه‌شده در عملیات نظامی توسط سربازان است. به‌عنوان‌مثال می‌توان به عدم شناخت روی قابلیت‌های خود، دشمن، هدف و محل پایگاه آن‌ها اشاره کرد.
5- نرم‌افزار لینگو (Lingo)، ابزار مناسبی جهت بهره‌گیری از قدرت برنامه‌ریزی خطی و غیرخطی در فرموله نمودن مسائل و تجزیه‌وتحلیل آن‌ها است.