27 شهريور 1403 - 14:32

لزوم افزایش آموزش در حوزه حفظ امنیت زیرساخت‌ها

لزوم افزایش آموزش در حوزه حفظ امنیت زیرساخت‌ها
معاون اداره نظام پرداخت بانک مرکزی گفت: در زنجیره مکانیزم‌های امنیتی تمام قدرت یک زنجیر، قائل بر ضعیف‌ترین حلقه زنجیره است.
کد خبر : ۱۶۶۷۳۸

به گزارش خبرنگار ایبنا، محمدرضا مانی یکتا؛ معاون اداره نظام پرداخت بانک مرکزی در همایش Cash با اشاره به اینکه موضوع امنیت اطلاعات و ملاحظات و نکات آن بسیار گسترده است، گفت: اوایل دهه ۸۰ مفهوم امنیت اطلاعات اصلاً به این شکل نبود و بسیار ساده‌تر بود و اساسا در دوره‌های تخصصی هم این حوزه تفکیک خاصی نداشت، هرچه جلوتر رفتیم در لایه‌های مختلف سامانه‌های اطلاعاتی اهمیت پیدا کرد.

وی افزود: در اواسط دهه ۸۰ موضوع امنیت اطلاعات بسیار داغ و جذاب‌تر شد. من نخستین بار در آنجا بود که متوجه شدم فضای امنیت اطلاعات بسیار گسترده و وسیع است و از پایین‌ترین لایه‌ها و از سطوح نگهداری و حفظ داده‌ها و زیرساخت و شبکه شروع می‌شود تا بالاترین سطح که معمولاً در رویداد‌های مختلف کمتر مورد توجه قرار گرفته است.

مانی یکتا ادامه داد: در همان دوران یک نقطه عطف دیگری در من ایجاد شد که مربوط به یک نویسنده معروف امریکایی بود، او دو کتاب در اوایل دهه ۹۰ میلادی در آمریکا نوشت، درست در زمانی که به جرم حمله سایبری به زیرساخت‌های دولتی محکوم شد و در دوران محکومیتش در زندان آن را نوشت، کتابی به نام هنر فریب که اساساً سعی کرد در قالبی جدید مفهوم این حوزه را مطرح کند.

معاون اداره نظام پرداخت بانک مرکزی گفت: وی این موضوع را مطرح کرد که برخی افراد، انرژی بسیار زیادی را می‌گذارند تا حفره و خلا امنیتی را پیدا کنند و بتوانند به سیستم‌های امنیتی رخنه و نفوذ کنند. البته تاکید نویسنده کتاب این بود که خیلی ساده‌تر می‌توان با مدیریت عامل انسانی و بدون نیاز به استفاده از ابزار‌ها و رویکرد‌های تکنیکال به سیستم نفوذ و رخنه کنیم. کتاب نشان می‌دهد چقدر ساده می‌توان توسط عوامل انسانی با مهندسی اجتماعی اطلاعاتی را به دست آورد که اساساً کسب این اطلاعات برای انجام یک عملیات امنیتی و نفوذ بسیار بسیار پیچیده است.

وی تصریح کرد: این نویسنده امریکایی چندی بعد کتاب دوم خود را با عنوان «هنر نفوذ» نوشت و آنجا سناریو‌های امنیتی و نفوذ را خیلی جزئی‌تر مطرح کرد. دلیل اصلی اینکه من به این موضوع اشاره کردم این بود که اهمیت بالاترین لایه در مدیریت رخداد‌های امنیتی چه پیش از رخداد و چه بعد از آن رخداد کمتر از مدیریت زیرساخت در لایه‌های داده‌ها و توسعه نیست و باید به این موضوع توجه ویژه شود.

وی افزود: در واقع در زنجیره مکانیزم‌های امنیتی تمام قدرت یک زنجیر، قائل بر ضعیف‌ترین حلقه زنجیره است.


معاون اداره نظام پرداخت بانک مرکزی تصریح کرد: اگر شما مدیریت مناسبی در بالاترین سطح ملاحظات امنیتی یعنی در بخش آموزش و آگاه سازی نداشته باشید تمام تلاش‌هایی که در سطوح میانی و پایین مدیریت حفظ امنیت زیرساخت‌ها انجام شده باطل می‌شود. چون این زنجیر تمام استحکامش تضعیف می‌شود مثل همان ضعیف‌ترین حلقه که محل نفوذ و رخنه به سیستم امنیتی می‌شود.

مانی یکتا با اشاره به اینکه اساساً رویکرد این بخش این است که تمام سطح‌های انسانی و فایروال‌هایی که عامل انسانی دارند را پشت سر بگذارد، مطرح کرد: این اتقاق معمولاً با یک سناریو شروع می‌شود و چهار مرحله دارد و اساساً مبتنی بر شناخت و با سناریو نگاری آغاز می‌شود، در واقع حمله کننده، مکانیسم‌های مختلفی را طراحی و عملیات خود را آغاز می‌کند. او حتی بعد از آن هم مدیریت می‌کند تا به راحتی با یک مکانیزم ویژه از این حمله خارج شود.

وی ادامه داد: توجه ویژه به جایگاه مدیریت روابط انسانی در سازمان‌ها بسیار مهم است. استاندارد‌های متعددی برای این موضوع وجود دارد، اما چون به این قسمت کمتر توجه شده من به عنوان یک تلنگر در این رویداد به شما یادآوری کنم.

معاون اداره نظام پرداخت بانک مرکزی اظهار داشت: باید به این موضوع مهم توجه کرد که چگونه با چه سناریو و مکانیزمی در یک سازمان، افراد ارشد هم می‌توانند مورد حملاتی قرار بگیرند که معمولاً شناسایی آن حملات نیز بسیار بسیار پیچیده و مشکل است. این حملات معمولاً قابل شناسایی نیستند و هیچ باگی وجود ندارد تا شما برای شناسایی مورد بررسی قرار دهید و آن را مدیریت کنید.

وی در پایان سخنان خود گفت: این رویداد نخستین رویداد در خصوص در شبکه بانکی است، در واقع یک اتفاق بسیار خوب و شروع بسیار ارزشمندی است که امیدوارم نتایج حاصله باعث شود تا آن ظرفیت و نخبگانی که در این حوزه وجود دارند شناسایی و تربیت شوند. از سوی دیگر تلنگری باشد برای توجه ویژه به جایگاه امنیت اطلاعات در فضای بانکی و پرداخت که یکی از مهم‌ترین موارد مسائل بانکی است.

 

بانک‌ها از مدل‌های یادگیری ماشین در برابر حملات خصمانه استفاده کنند


در ادامه همایش وحید خدابخشی؛ مدیر ریسک و امنیت شاپرک به بررسی نقش دوگانه هوش مصنوعی در امنیت سایبری جهانی و سیستم‌های مالی ایران پرداخت و گفت: تحول دیجیتال در ایران با سرعت صورت گرفته به همین منظور استفاده روزافزون از هوش مصنوعی در سیستم‌های بانکی و پرداخت نیز آغاز شده است. این تحول ضمن افزایش بهره‌وری و کارایی، به‌طور موازی زمینه‌ساز افزایش آسیب‌پذیری در برابر حملات سایبری می‌شود.

وی تاکید کرد: مهاجمان با استفاده از تکنیک‌هایی همچون یادگیری ماشین می‌توانند داده‌های آموزشی مدل‌های هوش مصنوعی را مسموم کرده و حملات مخفیانه‌ای به سیستم‌های مالی وارد کنند که منجر به نادیده گرفتن تراکنش‌های تقلبی و مختل کردن کل فرآیند‌های نظارتی می‌شود.

خدابخشی در ادامه با اشاره به تجربیات کنفرانس‌های معتبر بین‌المللی همچون Blackhat و DEF CON، به تشریح تکنیک‌های تهاجمی هوش مصنوعی پرداخت و گفت: چگونگی حملات زنجیره تأمین از طریق دستکاری مدل‌های یادگیری ماشین و استفاده از ورودی‌های خصمانه می‌تواند به فروپاشی سیستم‌های مالی منجر شود.

وی افزود: این نوع حملات به‌ویژه برای سیستم‌های بانکی ایران که به سرعت در حال دیجیتالی شدن هستند، تهدیدی جدی محسوب می‌شود.

خدابخشی به روش‌های دفاعی مبتنی بر هوش مصنوعی اشاره کرد و گفت: بهره‌گیری از روش‌های دفاعی مبتنی بر هوش مصنوعی مهم است و پیشنهاد می‌کنیم که بانک‌ها و مؤسسات مالی ایران باید از مدل‌های یادگیری ماشین مقاوم در برابر حملات خصمانه استفاده کرده و سیستم‌های نظارتی خود را به گونه‌ای طراحی کنند که توانایی شناسایی رفتار‌های مشکوک و غیرعادی را داشته باشند.

خدابخشی اظهار کرد: امنیت سایبری به شدت تحت تأثیر هوش مصنوعی خواهد بود و تنها با اتخاذ رویکرد‌های پیشرفته و هوشمندانه می‌توان از سیستم‌های مالی در برابر این تهدیدات محافظت کرد.

ارسال‌ نظر