پس از اختلالات اخیر در شبکه بانکی، برخی تحلیل‌ها ابزارهای دفاعی را در جایگاه متهم نشاندند.

به گزارش مشرق، پس از اختلالات اخیر در شبکه بانکی، بار دیگر یک خطای تحلیلی آشنا تکرار شد: به‌جای آنکه منشأ واقعی نفوذ و ضعف‌های امنیتی بررسی شود، برخی تحلیل‌ها ابزارهای دفاعی را در جایگاه متهم نشاندند. یادداشتی با عنوان «فیلترینگ چگونه شبکه بانکی را آسیب‌پذیر کرد؟» نمونه‌ای روشن از این وارونگی است؛ متنی که با کنار هم گذاشتن چند مفهوم فنی، نتیجه‌ای می‌گیرد که نه با اصول شناخته‌شده امنیت سایبری سازگار است و نه با تجربه جهانی حفاظت از زیرساخت‌های حیاتی.

در امنیت سایبری یک اصل بنیادین وجود دارد: هر اتصال اضافی، هر وابستگی بیرونی و هر مسیر کنترل‌نشده، یک درگاه بالقوه برای نفوذ است. به همین دلیل، چارچوب NIST Cybersecurity Framework و کنترل‌های CIS بر کاهش سطح حمله، تفکیک شبکه‌ها، کنترل دسترسی‌ها و اصل حداقل دسترسی تأکید دارند. بنابراین محدودسازی مسیرهای ارتباطی، به‌ویژه در زیرساخت‌های حساس مالی، فی‌نفسه عامل ضعف نیست؛ بلکه بخشی از منطق دفاعی است. اگر این منطق در اجرا با نقص، پیکربندی اشتباه یا مدیریت ضعیف همراه شود، باید همان اشکالات اصلاح شود، نه اینکه اصل سیاست دفاعی به‌عنوان علت حمله معرفی شود.

نخستین خطای یادداشت مورد نقد، خلط میان «نقص در اجرا» و «بطلان راهبرد» است. حتی اگر بپذیریم برخی محدودسازی‌ها در اجرا بدون پیش‌بینی مسیرهای جایگزین امن، بدون طراحی مناسب شبکه یا بدون آمادگی فنی کافی اعمال شده‌اند، باز هم نتیجه منطقی آن رد اصل کنترل مرزهای ارتباطی نیست. در هیچ چارچوب حرفه‌ای امنیتی، ضعف در پیاده‌سازی به معنای کنار گذاشتن اصل حفاظت از زیرساخت تفسیر نمی‌شود. برعکس، معنای آن اصلاح اجرا، تقویت معماری و بستن مسیرهای نفوذ است.

نخست؛ IPv۶
ادعای اینکه غیرفعال بودن یا استفاده محدود از IPv۶ علت آسیب‌پذیری شبکه بانکی بوده، از نظر فنی قابل اثبات نیست. IPv۴ و IPv۶ صرفاً دو پروتکل انتقال هستند و هیچ‌یک به‌تنهایی امنیت ایجاد یا امنیت را نابود نمی‌کنند. در بسیاری از شبکه‌های بانکی و مراکز داده جهان، تا زمانی که زیرساخت نظارتی، سامانه‌های تشخیص نفوذ و سیاست‌های امنیتی برای هر دو پروتکل به بلوغ کامل نرسیده باشد، محدود کردن IPv۶ یک تصمیم مدیریتی رایج برای کاهش پیچیدگی و جلوگیری از ایجاد مسیرهای نظارت‌نشده است. در بسیاری از رخدادهای امنیتی نیز مسئله اصلی نه غیرفعال بودن IPv۶، بلکه ضعف در مدیریت هم‌زمان و کنترل‌نشده پروتکل‌ها بوده است. بنابراین بدون شواهد جرم‌شناسی دیجیتال، نمی‌توان میان وضعیت IPv۶ و موفقیت یک حمله سایبری رابطه علت و معلولی برقرار کرد.

دوم؛ DPI
در متن مورد نقد، تجهیزات بازرسی عمیق بسته‌ها (DPI) به‌گونه‌ای معرفی شده‌اند که گویی خود منشأ ضعف امنیتی بوده‌اند. در حالی که DPI ابزار دفاعی برای افزایش دید شبکه، شناسایی رفتارهای مخرب و کشف ناهنجاری‌هاست، نه عامل تهاجم. این ابزارها در صورت طراحی یا پیکربندی نادرست می‌توانند موجب افت کارایی شوند، اما این مسئله به‌هیچ‌وجه به معنای نقش آن‌ها در ایجاد یا تسهیل حمله نیست. نسبت دادن رخداد امنیتی به وجود DPI، بدون گزارش فنی، لاگ‌های تحلیلی یا مستندات جرم‌شناسی، از نظر حرفه‌ای قابل اتکا نیست. در گزارش‌های منتشرشده تاکنون نیز DPI به‌عنوان مسیر نفوذ معرفی نشده است.

سوم؛ فشار ترافیکی و اختلالات شبکه
ادعای اینکه فیلترینگ باعث افزایش بار پردازشی، ایجاد Timeout و سپس فراهم شدن زمینه حمله شده است، خلط میان «کاهش کارایی» و «نفوذ امنیتی» است. افزایش بار ترافیکی ممکن است بر کیفیت خدمات و زمان پاسخ‌گویی اثر بگذارد، اما به‌خودی‌خود هیچ مسیر جدیدی برای عبور از کنترل‌های امنیتی، دور زدن احراز هویت یا اجرای کد مخرب ایجاد نمی‌کند. حمله سایبری زمانی موفق می‌شود که آسیب‌پذیری نرم‌افزاری، خطای پیکربندی، ضعف در احراز هویت یا نقص در مدیریت دسترسی وجود داشته باشد، نه صرفاً افزایش بار شبکه. بنابراین افت عملکرد شبکه، معادل رخنه امنیتی نیست.

چهارم؛ زنجیره تأمین نرم‌افزار
حملات زنجیره تأمین از پیچیده‌ترین تهدیدهای سایبری جهان هستند و حتی در کشورهایی با دسترسی آزاد به اینترنت و مخازن جهانی نیز رخ داده‌اند. تجربه جهانی نشان می‌دهد که باز بودن دسترسی به‌تنهایی امنیت ایجاد نمی‌کند؛ مسئله اصلی، مدیریت اعتماد است. راهکارهای پذیرفته‌شده در این حوزه شامل امضای دیجیتال، ممیزی مستمر کد، کنترل یکپارچگی بسته‌ها، مدیریت وابستگی‌ها و اجرای معماری اعتماد صفر است. بنابراین نسبت دادن این نوع حملات به اصل محدودسازی دسترسی، نه از نظر فنی دقیق است و نه از نظر تجربی قابل دفاع.

پنجم؛ VPN و فیلترشکن
وابستگی کاربران به ابزارهای ناشناس و غیرقابل اعتماد، بدون تردید یک ریسک امنیتی است؛ اما این مسئله دلیلی برای حذف کنترل‌های امنیتی نیست. تاکنون هیچ گزارش فنی رسمی منتشر نشده که نشان دهد منشأ نفوذ در رخداد اخیر، استفاده از VPNهای عمومی یا فیلترشکن‌ها بوده است. در سطح حرفه‌ای، راه‌حل این مسئله ایجاد گذرگاه‌های امن، VPNهای سازمانی کنترل‌شده، احراز هویت قوی و دسترسی مبتنی بر هویت، و کانال‌های ارتباطی ممیزی‌شده است. حذف کنترل دسترسی، جایگزین امنیت نمی‌شود؛ بلکه صرفاً سطح حمله را افزایش می‌دهد.

ششم؛ سرمایه انسانی
مهاجرت متخصصان امنیت سایبری واقعیتی قابل انکار نیست و می‌تواند بخشی از ظرفیت دفاعی را تضعیف کند، اما تقلیل آسیب‌پذیری یک شبکه ملی به این عامل، تحلیل کامل و دقیقی نیست. تجربه جهانی نشان می‌دهد حتی پیشرفته‌ترین کشورها و شرکت‌ها با تیم‌های بزرگ امنیتی نیز هدف حملات پیچیده قرار می‌گیرند. آنچه تعیین‌کننده میزان خسارت است، بلوغ حکمرانی امنیت، معماری صحیح، مراکز عملیات امنیت (SOC)، مدیریت رخداد، رزمایش‌های مستمر، دفاع در عمق، تداوم خدمت در شرایط بحران و حفظ دانش سازمانی است. در امنیت زیرساخت، نیروی انسانی مهم است، اما ساختار تعیین‌کننده‌تر است.

در نهایت، ضعف اصلی یادداشت مورد نقد در خلط میان «نقد اجرای سیاست» و «رد اصل سیاست» است. اگر در اجرا، طراحی شبکه، کیفیت کنترل دسترسی یا جایگزین‌های امن اشکال وجود داشته باشد، باید همان موارد اصلاح شوند. اما نسبت دادن رخدادهای پیچیده سایبری به اصل وجود سازوکارهای دفاعی، بدون ارائه مستندات فنی، نتیجه‌ای جز انحراف بحث از منشأ واقعی تهدید ندارد.
حمله به شبکه بانکی بار دیگر یک واقعیت بنیادین را یادآوری کرد: امنیت زیرساخت‌های حیاتی نه با ساده‌سازی صورت مسئله، بلکه با معماری دقیق، دفاع چندلایه، مدیریت مستمر آسیب‌پذیری‌ها، کنترل مؤثر دسترسی‌ها و طراحی تاب‌آوری حاصل می‌شود. مسئله اصلی این نیست که چرا دیوار دفاعی وجود دارد؛ مسئله این است که چرا در کنار آن، مسیرهای امن، کنترل‌شده و به‌روز به اندازه کافی کامل و مقاوم طراحی نشده‌اند.

یادداشت از: افسانه حاجیلو