به دنیای عجیب و غریب امنیت سایبری خوش آمدید، جایی که هر روز شبیه یک داستان کارآگاهی پرسرعت است. سرنخها عجیبتر از همیشه هستند، مجرمان به طرز شگفتانگیزی خلاق شدهاند و انگیزههایشان هر لحظه تغییر میکند. ما اغلب تیترهای بزرگ مانند حملات باجافزاری عظیم یا نشت دادههای گسترده را میشنویم، اما واقعیتهای پنهان در پشت صحنه بسیار جذابتر و گاهی عجیبتر هستند.
این مقاله قرار نیست تکرار همان اخبار همیشگی باشد. ما میخواهیم پرده از ۱۰ روند غافلگیرکننده، غیرمنتظره و تأثیرگذاری برداریم که همین حالا در حال شکل دادن به دنیای دیجیتال ما هستند. از راز کثیف هوش مصنوعی گرفته تا بدافزارهایی که هنر نامرئی شدن را یاد گرفتهاند. با زبانی ساده و به دور از اصطلاحات فنی پیچیده، به شما وعده میدهیم که در پایان این مطلب، نگاهی واضحتر و شاید شگفتانگیزتر به تهدیدها و دفاعهای دیجیتالی که دنیای ما را شکل میدهند، خواهید داشت. پس با ما همراه باشید.
۱. هوش مصنوعی راز کثیفی دارد: ارتشی از دستگاههای خانگی هکشده! – باتنت Aisuru – پروکسی مسکونی
تقاضای سیریناپذیر مدلهای هوش مصنوعی (AI) برای داده، یک اقتصاد کاملاً جدید و سایهای برای مجرمان سایبری ایجاد کرده است. همانطور که هوش مصنوعی برای یادگیری به حجم عظیمی از محتوای اینترنتی نیاز دارد، شرکتهای دادهکاوی (Data Scraping) به دنبال راههایی برای جمعآوری این اطلاعات بدون شناسایی شدن هستند. و اینجاست که یک باتنت غولپیکر شغل خود را تغییر میدهد.
بر اساس گزارشهای Krebs on Security و Netscout، باتنت Aisuru که قبلاً با حملات DDoS رکوردشکن شناخته میشد، مسیر خود را به سمت یک تجارت پرسودتر و کمحاشیهتر تغییر داده است: اجاره دادن صدها هزار دستگاه اینترنت اشیاء (IoT) آلوده، مانند روترها و دوربینهای امنیتی خانگی، به عنوان پراکسیهای مسکونی (residential proxies).
چرا این اتفاق مهم است؟ چون این پراکسیها به شرکتهای دادهکاوی اجازه میدهند تا فعالیتهای گسترده خود برای تغذیه مدلهای زبان بزرگ (LLMs) را پشت آدرسهای IP خانگی واقعی پنهان کنند و از دید سیستمهای امنیتی، مانند کاربران عادی به نظر برسند. رشد این بازار آنقدر سریع بوده که وبسایت spur.us از آن به عنوان رشد «دیوانهوار» یاد کرده و گزارش داده که در یک دوره ۹۰ روزه، ۲۵۰ میلیون آدرس IP پراکسی مسکونی منحصربهفرد مشاهده شده است. (اگرچه ارائهدهندگان بزرگ مانند Oxylabs و Bright Data این مقیاس رشد را برای شبکههای خود رد میکنند.)
این تغییر کاربری باتنتها حتی برای ارائهدهندگان خدمات اینترنت (ISP) هم مشکلساز شده است. رولاند دابینز از Netscout میگوید:
«چندین اپراتور شبکه پهنباند به دلیل حملات DDoS خروجی با حجم بیش از ۱.۵ ترابیت بر ثانیه که از نودهای باتنت Aisuru مستقر در محل مشتریان نهایی راهاندازی شده، تأثیر عملیاتی قابل توجهی را تجربه کردهاند.»
این یعنی حجم ترافیک خروجی از دستگاههای آلوده به قدری بالاست که میتواند خدمات اینترنت را برای سایر مشتریان آن ISP مختل کند.
بذار خلاصه بگم 👇
آن هوش مصنوعی خفنی که باهاش چت میکنی؟ غذایش را از اطلاعاتی تأمین میکند که توسط ارتشی از مودمها و دوربینهای هکشده در خانههای مردم جمعآوری میشود. بله، یک باتنت غولپیکر شغلش را عوض کرده تا به هوش مصنوعی سرویس بدهد.
این چرخش اقتصادی هوشمندانه نشان میدهد که مهاجمان فقط به دنبال بازارهای جدید نیستند، بلکه روشهایشان را هم برای عبور از موانع مدرن به طرز گستاخانهای تغییر میدهند. آنها دیگر سعی نمیکنند از کنار نگهبانان عبور کنند؛ بلکه ترجیح میدهند نگهبانان را از داخل خاموش کنند.
۲. هکرها دیگر قفلها را نمیشکنند؛ کلیدهای آسیبپذیر خودشان را میآورند! – تکنیک BYOVD
تصویر سنتی یک هکر کسی است که سعی میکند بیسروصدا از کنار دیوارهای دفاعی عبور کند. اما روشهای جدید بسیار گستاخانهتر شدهاند. مهاجمان حالا به جای دور زدن سیستمهای امنیتی، ترجیح میدهند آنها را از درون خاموش کنند.
یک تحقیق از Unit 42 تکنیک جدیدی به نام «آوردن درایور آسیبپذیر خود» (Bring Your Own Vulnerable Driver – BYOVD) را افشا کرده است. در این روش، مهاجم از یک درایور سختافزاری قانونی اما قدیمی و آسیبپذیر استفاده میکند تا به سطح کرنل (هسته) سیستمعامل دسترسی پیدا کند. از آنجا، او میتواند هر نرمافزار امنیتی، مانند راهحلهای تشخیص و پاسخ نقطه پایانی (EDR)، را غیرفعال کند.
در حادثهای که Unit 42 بررسی کرد، یک مهاجم با استفاده از ابزاری به نام disabler.exe و یک درایور آسیبپذیر (wnbios.sys)، در حال آزمایش روش خود برای دور زدن آنتیویروس Cortex XDR بود. خوشبختانه، یک اشتباه فاحش در امنیت عملیاتی (OpSec) از سوی مهاجم—جا گذاشتن ویدئوها و فایلهای آزمایشی در یک ماشین مجازی—به محققان اجازه داد تا نگاهی نادر به جعبهابزار او بیندازند. این اتفاق نشان داد که مهاجمان چگونه به طور فعال در حال تست و توسعه روشهایی برای خنثی کردن بهترین ابزارهای دفاعی ما هستند.
بذار خلاصه بگم 👇
فکر کن دزدی به جای اینکه با قفل کلنجار بره، یک کلیدساز آسیبپذیر با خودش بیاره تا قفل رو از داخل خراب کنه! هکرها دقیقاً همین کار رو با نرمافزارهای امنیتی ما میکنند و از نقاط ضعف درایورهای قدیمی برای خاموش کردن نگهبانان سیستم استفاده میکنند.
این رویکرد جسورانه مهاجمان، تیمهای امنیتی را مجبور کرده تا از حالت دفاعی واکنشی خارج شوند و خودشان به سراغ مهاجمان بروند، حتی قبل از اینکه حملهای شروع شود.
۳. دفاع حالا به بهترین حمله تبدیل شده است: شکار سرورهای مهاجمان قبل از حمله – شکار زیرساخت C2 – شناسایی سرورهای Cobalt Strike
برای سالها، دفاع سایبری یک بازی واکنشی بود: منتظر میماندیم تا یک بدافزار روی سیستم ما شناسایی شود و سپس به دنبال سرور فرمان و کنترل (C2) آن میگشتیم. اما این رویکرد در حال تغییر است. تیمهای امنیتی حالا به طور فزایندهای در حال اتخاذ یک استراتژی تهاجمی برای شکار زیرساختهای دشمن در اینترنت عمومی هستند.
بر اساس مقالهای از Unit 42، محققان روشهای جدیدی برای شناسایی فعال سرورهای تیم Cobalt Strike در اینترنت ایجاد کردهاند. Cobalt Strike یک ابزار شبیهسازی حمله بسیار محبوب است که هم توسط تیمهای قرمز قانونی و هم توسط مجرمان سایبری استفاده میشود. به جای انتظار برای شناسایی ترافیک بیکن C2 از یک دستگاه آلوده، این روش جدید به طور فعال اینترنت را برای یافتن سرورهایی که مانند یک Team Server رفتار میکنند، پویش (Probe) میکند.
این کار شبیه این است که آتشنشانها به جای منتظر ماندن برای زنگ خطر آتشسوزی، به دنبال کارگاههای آتشافروزان بگردند. محققان این کار را با ارسال درخواستهای HTTP خاص (مانند درخواست OPTIONS یا درخواست به URIهای استیجر) و تحلیل پاسخ سرورها انجام میدهند. این “اثر انگشتهای شبکهای” به آنها اجازه میدهد سرورهای C2 را قبل از اینکه حتی برای حملهای استفاده شوند، شناسایی کنند.
بذار خلاصه بگم 👇
نیروهای امنیتی دیگر در قلعه منتظر حمله نمیمانند. آنها حالا به بیرون میروند و پایگاههای دشمن را قبل از اینکه حتی حملهای شروع شود، شناسایی و علامتگذاری میکنند. این یعنی پیدا کردن سرورهای هکرها در اینترنت قبل از اینکه فرصت استفاده از آنها را داشته باشند.
این رویکرد پیشگیرانه برای موفقیت حیاتی است، زیرا بدافزارهای مدرن در حال تبدیل شدن به اشباحی هستند که پس از ورود به سیستم، ردپایی از خود به جای نمیگذارند.
۴. بدافزارهای لینوکس در حال یادگیری هنر نامرئی شدن هستند – بدافزار Auto-color
وقتی صحبت از بدافزار میشود، اکثر مردم به ویندوز فکر میکنند. اما سیستمهای لینوکس، که ستون فقرات بسیاری از سرورهای جهان را تشکیل میدهند، یک هدف اصلی هستند و بدافزارهایی که آنها را هدف قرار میدهند به طرز باورنکردنی پیچیده شدهاند.
یکی از جدیدترین نمونهها، بدافزاری به نام Auto-color است که توسط محققان Palo Alto Networks و Darktrace کشف شده است. این بدافزار یک شاهکار پنهانکاری است. روشهای فرار آن بسیار فراتر از تغییر نام فایل برای شبیه شدن به یک فایل سیستمی است. Auto-color این کارها را انجام میدهد:
- نصب یک کتابخانه مخرب: یک کتابخانه به نام
libcext.so.2را نصب میکند که نامش بسیار شبیه به یک کتابخانه قانونی سیستمی است تا شناسایی نشود. - ماندگاری با
**ld.preload**: نام این کتابخانه مخرب را در فایل/etc/ld.preloadمینویسد. این یک تکنیک قدرتمند در لینوکس است که باعث میشود این کتابخانه قبل از هر برنامه دیگری بارگذاری شود. - قلاباندازی (Hooking) توابع اصلی: مهمترین بخش ماجرا اینجاست. این بدافزار توابع اصلی سیستمی مانند خانواده تابع
open()را “قلاب” میکند. این یعنی هر زمان که یک ابزار مانیتورینگ (مانندnetstat) سعی میکند فایل/proc/net/tcpرا برای دیدن اتصالات شبکه فعال بخواند، Auto-color مداخله کرده و خطوط مربوط به ارتباطات C2 خودش را از خروجی حذف میکند.
این کار مانند این است که یک پستچی سرکش، نامههای خاصی را قبل از رسیدن به صندوق پستی شما رهگیری و پنهان کند. به گفته Palo Alto Networks، این بدافزار عمدتاً دانشگاهها و دفاتر دولتی را هدف قرار داده است.
بذار خلاصه بگم 👇
یک بدافزار جدید برای لینوکس مثل یک روح در ماشین عمل میکند. آنقدر باهوش است که وقتی ابزارهای سیستمی میخواهند فعالیتهای شبکه را بررسی کنند، ردپای خودش را پاک میکند. انگار که یک مجرم بتواند خودش را از فیلمهای دوربین مداربسته حذف کند.
این سطح از پنهانکاری یک واقعیت حیاتی را برجسته میکند: وقتی آسیبپذیریای وجود داشته باشد که بدافزاری مانند این بتواند از آن بهرهبرداری کند، مسابقه برای وصله کردن آن از قبل شروع شده است. و همانطور که در ادامه خواهیم دید، این مسابقه سریعتر و بیرحمانهتر از همیشه است.
۵. ساعت روز-صفر سریعتر از همیشه تیکتاک میکند – آسیبپذیری WSUS و Oracle E-Business Suite
“دوره مهلت” برای نصب وصلههای امنیتی تقریباً از بین رفته است. زمانی بود که مدیران سیستم چند هفته یا حداقل چند روز فرصت داشتند تا یک آسیبپذیری حیاتی را وصله کنند. اما امروز، این فاصله زمانی بین افشای یک آسیبپذیری و بهرهبرداری فعال از آن به ساعتها، یا حتی صفر، کاهش یافته است.
دو نمونه اخیر این واقعیت تلخ را به خوبی نشان میدهند:
- آسیبپذیری Microsoft WSUS (CVE-2025-59287): این یک آسیبپذیری اجرای کد از راه دور (RCE) در سرویس بهروزرسانی ویندوز سرور بود. بر اساس گزارش Unit 42، بهرهبرداری فعال از این آسیبپذیری تنها چند ساعت پس از انتشار وصله اضطراری توسط مایکروسافت مشاهده شد. آژانس امنیت سایبری و زیرساخت آمریکا (CISA) نیز به سرعت آن را به کاتالوگ آسیبپذیریهای شناختهشده و مورد بهرهبرداری (KEV) خود اضافه کرد.
- آسیبپذیری Oracle E-Business Suite (CVE-2025-61882): طبق گزارش Google Cloud/Mandiant، گروه باجافزاری CL0P از این آسیبپذیری به عنوان یک روز-صفر (zero-day) استفاده کرد و چندین هفته قبل از اینکه اوراکل حتی وصلهای برای آن منتشر کند، از آن برای نفوذ به دهها سازمان بهرهبرداری کرد.
درس کلیدی این است: برای آسیبپذیریهای با تأثیر بالا، دیگر زمانی برای صبر کردن وجود ندارد. مسابقه برای وصله کردن سیستمها به یک دوی سرعت تبدیل شده است.
بذار خلاصه بگم 👇
زمانی که یک حفره امنیتی بزرگ پیدا میشود، هکرها دیگر منتظر نمیمانند. آنها در عرض چند ساعت (یا حتی قبل از اینکه وصله امنیتی منتشر شود) از آن سوءاستفاده میکنند. این یعنی مسابقه برای آپدیت کردن سیستمها یک دوی سرعت است، نه ماراتن.
اما همه حملات از آسیبپذیریهای پیچیده استفاده نمیکنند. گاهی اوقات، مهاجمان هوشمند مسیرهای سادهتری را انتخاب میکنند که به دلیل بیتوجهی ما، کاملاً باز ماندهاند.
۶. آن فایلشیر قدیمی شرکت شما یک بمب ساعتی است – فایلشیرهای آسیبپذیر – ShareHound
مهاجمان اغلب مسیرهای ساده و قابل اعتماد را به بهرهبرداریهای پیچیده روز-صفر ترجیح میدهند. یکی از این مسیرهای کلاسیک، فایلشیرهای (Network Shares) قدیمی و فراموششده با تنظیمات دسترسی نادرست است. مدیران شبکه به ندرت دیدی متمرکز و جامع از تمام شیرهای موجود در شبکه و مجوزهای دسترسی آنها دارند، که این امر منجر به ایجاد نقاط کور خطرناک میشود.
برای حل این مشکل، شرکت امنیتی SpecterOps یک ابزار متنباز جدید به نام ShareHound منتشر کرده است. این ابزار برای پیمایش و نقشهبرداری از شیرهای شبکه، مجوزهای آنها و شناسایی مسیرهای حملهای طراحی شده که اغلب برای مدیران نامرئی هستند.
به گفته SpecterOps، شیرهایی که به اشتباه پیکربندی شدهاند و دسترسیهای بیش از حد بازی دارند، به “اهداف اصلی برای استقرار باجافزار یا حرکت جانبی” تبدیل میشوند. یک مهاجم با دسترسی سطح پایین میتواند از این شیرها برای پیدا کردن دادههای حساس، افزایش سطح دسترسی خود یا پنهان کردن ابزارهای مخرب خود استفاده کند. ShareHound به تیمهای امنیتی کمک میکند تا این نقاط ضعف را قبل از اینکه مهاجمان از آنها استفاده کنند، پیدا و اصلاح کنند.
بذار خلاصه بگم 👇
هکرها عاشق انباریهای قدیمی و بههمریخته در شبکهها هستند. یک ابزار جدید به نام ShareHound مثل یک نقشه گنج برای مدیران شبکه عمل میکند تا این انباریهای فراموششده (فایلشیرها) را پیدا کنند، قبل از اینکه به پایگاه عملیاتی دزدان تبدیل شوند.
این اشتباهات پیکربندی ساده گاهی ریشه در سوءتفاهمهای بسیار عمیقتری دارند؛ سوءتفاهمهایی در مورد نحوه عملکرد بنیادیترین سیستمهای امنیتی، حتی در مستندات خود سازندگان آنها.
۷. حتی مایکروسافت هم امنیت خودش را اشتباه متوجه شده بود! – آسیبپذیری AdminSDHolder
باورنکردنی است، اما حتی اساسیترین و قدیمیترین فناوریهای امنیتی نیز میتوانند به طور گسترده اشتباه فهمیده شوند—حتی توسط سازنده خودشان!
یک گزارش فنی از SpecterOps یک سوءتفاهم بزرگ و طولانیمدت در مورد یکی از مکانیزمهای امنیتی اصلی اکتیو دایرکتوری (Active Directory) به نام AdminSDHolder را فاش کرده است. AdminSDHolder یک ویژگی حیاتی است که از حسابهای کاربری با امتیازات بالا (مانند Domain Admins) در برابر تغییرات غیرمجاز توسط کاربران با امتیاز پایینتر محافظت میکند. بدون آن، یک عضو گروهی مانند «Account Operators» میتوانست به طور بالقوه خود را به گروه Domain Admins اضافه کند.
نکته شگفتانگیز این است: بر خلاف مستندات رسمی خود مایکروسافت و باور رایج در میان متخصصان امنیت برای سالها، فرآیندی به نام SDProp هیچ ارتباط مستقیمی با اعمال توصیفگر امنیتی AdminSDHolder ندارد! این کشف، که با بررسی سورس کد به دست آمده، نشان میدهد که یک ویژگی امنیتی اصلی در پراستفادهترین سرویس دایرکتوری سازمانی جهان، سالها توسط خالقش به اشتباه مستندسازی شده است. این امر منجر به پیکربندیهای نادرست و تصورات غلط گستردهای در مورد نحوه عملکرد این لایه حفاظتی حیاتی شده است.
بذار خلاصه بگم 👇
معلوم شده یکی از مهمترین مکانیزمهای امنیتی در اکتیو دایرکتوری (قلب شبکههای سازمانی) سالهاست که حتی در مستندات خود مایکروسافت هم اشتباه توضیح داده شده. این مثل این است که بفهمیم نقشه ساختمان امنیتی که ساختهایم، از اول اشتباه بوده!
در حالی که شرکتها با چنین سوءتفاهمهای داخلی دست و پنجه نرم میکنند، اکوسیستم نرمافزاری گستردهتر با تهدیدی جدید و نگرانکننده از سوی گروههای باجافزار روبرو شده است.
۸. پروژههای متنباز، هدف جدید باجافزارها – باجافزار Akira
گروههای باجافزار در حال تغییر استراتژی خود هستند و به جای تمرکز انحصاری بر شرکتهای تجاری، به سراغ اهداف غیرتجاری اما با تأثیر بالا میروند: بنیادهای نرمافزار متنباز. این سازمانها که اغلب توسط داوطلبان اداره میشوند، زیرساختهای دیجیتال حیاتی را برای میلیونها کاربر در سراسر جهان فراهم میکنند، اما معمولاً منابع امنیت سایبری محدودی دارند.
بر اساس گزارشهای GBHackers و SC Media، گروه باجافزاری Akira ادعا کرده که به سیستمهای Apache OpenOffice، یکی از محبوبترین مجموعههای نرمافزاری اداری رایگان، نفوذ کرده است. مهاجمان مدعی شدهاند که ۲۳ گیگابایت داده حساس شرکتی، شامل سوابق شخصی کارمندان (مانند شمارههای تأمین اجتماعی و جزئیات کارت اعتباری)، سوابق مالی و اسناد محرمانه را به سرقت بردهاند.
این روند نگرانکننده است زیرا این پروژهها ستون فقرات بخش بزرگی از اینترنت و دنیای نرمافزار هستند و حمله به آنها میتواند تأثیرات گستردهای داشته باشد. در زمان انتشار گزارشها، بنیاد نرمافزار آپاچی هنوز این نفوذ را تأیید نکرده بود، اما این ادعا به تنهایی نشاندهنده یک تغییر تاکتیکی مهم در اهداف گروههای باجافزاری است.
بذار خلاصه بگم 👇
گروههای باجافزار حالا به سراغ قهرمانان گمنام اینترنت رفتهاند: پروژههای نرمافزاری متنباز که توسط داوطلبان اداره میشوند. آنها میدانند این پروژهها برای همه ما مهم هستند، اما بودجه امنیتی زیادی ندارند.
این تغییر در اهداف، همزمان با حرفهایتر و کارآمدتر شدن روشهای خود مهاجمان در حال وقوع است. آنها دیگر مانند صنعتگران سنتی عمل نمیکنند، بلکه شبیه استارتاپهای فناوری سریع و خودکار شدهاند.
۹. تیمهای قرمز مانند یک استارتاپ فناوری در حال اتوماسیون هستند – اتوماسیون تیم قرمز – Terraform / Ansible / Roslyn
عملیاتهای امنیت تهاجمی—چه توسط هکرهای کلاه سفید (تیم قرمز) و چه توسط مهاجمان واقعی—به طور فزایندهای حرفهای، کارآمد و خودکار میشوند. دوران ساخت دستی زیرساختهای حمله و بدافزارها به سر آمده است.
بر اساس یک سخنرانی در کنفرانس امنیتی BSides Oslo، تیمهای قرمز مدرن در حال استفاده از ابزارهای زیرساخت به عنوان کد (Infrastructure as Code – IaC) مانند Terraform و Ansible هستند. این ابزارها به آنها اجازه میدهد تا زیرساختهای پیچیده حمله (شامل سرورهای C2 و ریدایرکتورها) را به صورت خودکار و در عرض چند دقیقه ایجاد کرده و پس از اتمام عملیات، به همان سرعت از بین ببرند.
این اتوماسیون به توسعه بدافزارها نیز رسیده است. به جای روشهای ساده و غیرقابل اعتماد مانند جایگزینی رشتهها (string replacement) برای پنهانسازی کد، آنها اکنون از ابزارهای پیشرفتهای مانند Roslyn (پلتفرم کامپایلر .NET) استفاده میکنند. Roslyn به آنها اجازه میدهد تا کد C# را به صورت برنامهنویسی تجزیه و تحلیل کرده و آن را به طور هوشمندانه مبهمسازی (obfuscate) کنند. این رویکرد مانند این است که یک مأمور مخفی به جای ساختن آجر به آجر یک خانه امن، از ماژولهای پیشساخته و قابل استقرار فوری استفاده کند.
بذار خلاصه بگم 👇
هکرهای حرفهای (و تیمهای امنیتی که آنها را شبیهسازی میکنند) دیگر ابزارهایشان را دستی نمیسازند. آنها با استفاده از ابزارهای اتوماسیون پیشرفته، زیرساختهای حمله و بدافزارهای خود را به صورت خودکار و در چند دقیقه میسازند، که این کار ردیابی آنها را بسیار سختتر میکند.
این تولید کارخانهای ابزارهای حمله به این معنی است که مهاجمان میتوانند با سرعتی بیسابقه، بهرهبرداریها را علیه اهداف باارزش آزمایش و مستقر کنند. پس جای تعجب نیست که آنها همچنان تلاشهای پیچیده خود را بر روی سیستمی متمرکز میکنند که کلیدهای کل پادشاهی سازمانی را در دست دارد: اکتیو دایرکتوری.
۱۰. چرا اکتیو دایرکتوری هنوز هم «کلیدهای پادشاهی» است؟ – حمله به Active Directory
با وجود تمام فناوریهای جدید، اکتیو دایرکتوری (AD) همچنان قلب تپنده اکثر شبکههای سازمانی و هدف شماره یک مهاجمان است. اهمیت آن به قدری زیاد است که اکنون تحقیقات آکادمیک پیشرفتهای برای یافتن بهترین راههای حمله و دفاع از آن در حال انجام است.
یک مقاله منتشر شده در Scientific Reports یک رویکرد کاملاً جدید و دادهمحور برای اولویتبندی تکنیکهای حمله به AD پیشنهاد میکند. به جای اینکه تیمهای امنیتی به صورت تصادفی دفاعهای خود را آزمایش کنند، این روش (که از رویکرد تصمیمگیری چند معیاره یا MCDM استفاده میکند) به طور علمی تکنیکهای حمله را بر اساس سه عامل کلیدی رتبهبندی میکند:
- تأثیر بر اکتیو دایرکتوری (Active Directory Impact): این تکنیک چقدر میتواند به AD آسیب بزند؟
- امتیاز تهدید (Threat Score): این تکنیک چقدر در حملات دنیای واقعی رایج است؟
- شکاف کنترل امنیتی (Security Control Gap): شناسایی و مهار این تکنیک چقدر دشوار است؟
وجود چنین تحقیقات پیشرفتهای خود گواهی بر این است که AD همچنان “کلیدهای پادشاهی” است و دفاع از آن نیازمند استراتژیهای هوشمندانهتر و پیشگیرانهتر از صرفاً نصب وصلههای امنیتی است.
بذار خلاصه بگم 👇
اکتیو دایرکتوری آنقدر در یک شبکه مهم است که محققان در حال ساختن مدلهای ریاضی پیچیده هستند تا به شرکتها بگویند کدام حملات علیه آن محتملتر و خطرناکتر است. این یعنی دفاع از آن دیگر حدس و گمان نیست، بلکه یک علم است.
نتیجهگیری
چشمانداز امنیت سایبری با نوآوری سریع در هر دو جبهه تعریف میشود. مهاجمان دائماً در حال یافتن راههای جدیدی برای بهرهبرداری از سیستمها هستند—از تغییر کاربری باتنتها برای دادهکاوی هوش مصنوعی گرفته تا غیرفعال کردن سیستمهای امنیتی با درایورهای آسیبپذیر. در مقابل، مدافعان در حال توسعه استراتژیهای پیشگیرانه و هوشمندتری هستند—از شکار فعال زیرساختهای C2 گرفته تا استفاده از مدلهای دادهمحور برای اولویتبندی دفاعها.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec