بررسی تازه الگوهای ترافیک امنیتی در شبکههای کشور نشان میدهد مهاجمان سایبری در حال تغییر رویکرد خود هستند. برخلاف هفتههای گذشته که بخش عمده تهدیدها در قالب حملات اختلالی و DDoS مشاهده میشد، اکنون نشانههایی از ورود مهاجمان به مرحله شناسایی و جمعآوری اطلاعات دیده میشود؛ مرحلهای که معمولاً پیشدرآمد حملات پیچیدهتر و هدفمندتر به شمار میرود.
تحلیل دادههای امنیتی ۲۴ ساعت اخیر نشان میدهد حجم قابل توجهی از فعالیتهای مشکوک ثبتشده در شبکههای ایران به عملیات شناسایی زیرساختها (Reconnaissance) و کشف داراییهای متصل به اینترنت (Asset Discovery) اختصاص داشته است. کارشناسان امنیت سایبری این مرحله را نخستین گام در آمادهسازی یک عملیات نفوذ سازمانیافته میدانند.
بر اساس این گزارش، طی شبانهروز گذشته تعداد زیادی اسکن خودکار روی سرویسهای در معرض اینترنت شناسایی شده است. تمرکز این اسکنها عمدتاً روی سرویسهایی بوده که بهعنوان نقاط ورود رایج به شبکههای سازمانی شناخته میشوند؛ از جمله سامانههای VPN، سرویس SSH و پروتکل دسترسی از راه دور RDP.
هدف از این نوع فعالیتها معمولاً شناسایی نسخه نرمافزارها، کشف سرویسهای آسیبپذیر، یافتن تنظیمات امنیتی ضعیف و بررسی سامانههایی است که بهروزرسانیهای امنیتی لازم را دریافت نکردهاند.
آنچه این روند را از اسکنهای عادی اینترنتی متمایز میکند، ماهیت هدفمند و متمرکز آن است. بررسیها نشان میدهد بخشی از این فعالیتها بهصورت تکرارشونده روی برخی زیرساختهای حساس از جمله درگاههای سازمانی و سرویسهای مرتبط با بخش بانکی انجام شده است؛ الگویی که با مرحله جمعآوری اطلاعات پیش از نفوذ (Pre-Exploitation Intelligence Gathering) همخوانی دارد.
در حملات پیشرفته سایبری، مهاجمان معمولاً پیش از هرگونه اقدام عملی، نقشه دقیقی از سطح حمله یا Attack Surface هدف ترسیم میکنند. پس از شناسایی نقاط ضعف احتمالی، مرحله نفوذ اولیه آغاز میشود که میتواند از طریق آسیبپذیریهای شناختهشده، رمزهای عبور ضعیف یا پیکربندیهای نادرست انجام شود. این فرآیند ممکن است از چند ساعت تا چند هفته ادامه پیدا کند.
کارشناسان معتقدند تفاوت مهم وضعیت فعلی با حملات DDoS در این است که فعالیتهای کنونی اثر فوری و قابل مشاهدهای ندارند. هدف اصلی این اقدامات ایجاد اختلال در سرویسها نیست، بلکه جمعآوری اطلاعات و آمادهسازی برای دسترسیهای پایدارتر و عملیاتهای دقیقتر در آینده است.
ایران در فاز پیشحمله سایبری قرار دارد؟
جمعبندی تحلیلهای امنیتی نشان میدهد شرایط فعلی بیش از آنکه به یک حمله فعال شباهت داشته باشد، با مرحله «پیشحمله» یا Pre-Attack Phase مطابقت دارد؛ مرحلهای که مهاجمان در آن اهداف ارزشمندتر را انتخاب و کمریسکترین مسیرهای نفوذ را شناسایی میکنند.
در چنین شرایطی، متخصصان امنیت اطلاعات توصیه میکنند سازمانها توجه ویژهای به اقدامات پیشگیرانه داشته باشند. از مهمترین این اقدامات میتوان به تقویت امنیت سامانههای VPN و دسترسیهای راه دور، حذف یا محدودسازی سرویسهای غیرضروری در معرض اینترنت، پایش مستمر لاگهای غیرعادی و شناسایی الگوهای تکرارشونده اسکن اشاره کرد.
کارشناسان هشدار میدهند موفقیت یا شکست بسیاری از حملات سایبری در همین مرحله تعیین میشود و میزان آمادگی تیمهای دفاعی میتواند نقش تعیینکنندهای در کاهش خسارات احتمالی آینده داشته باشد.