زيرساخت‌هاي حياتي در تيررس

بهار ۱۴۰۴ براي زيرساخت‌هاي سايبري ايران با موجي بي‌سابقه از حملات DDoS همراه بود؛ بيش از دويست‌هزار حمله كه در ابعاد حجمي چندين ترابايتي و با الگوهاي كوتاه‌مدت اما پرتكرار اجرا شدند. تمركز مهاجمان بر پورتال‌هاي دولتي و خدمات عمومي، بار ديگر اهميت تقويت دفاع چندلايه و راهبردي در برابر تهديدات سايبري را برجسته كرده است.

در سه‌ماهه نخست سال ۱۴۰۴، چشم‌انداز امنيت سايبري ايران با موجي از حملات گسترده و هدفمند از نوع توزيع‌شده محروم‌سازي از سرويس يا همان DDoS مواجه شد؛ حملاتي كه بنا بر آمار رسمي شركت ارتباطات زيرساخت، تعداد آنها به بيش از دويست و پانزده هزار مورد رسيده و بيانگر افزايش چشمگير شدت تهديدها نسبت به دوره‌هاي گذشته است. مرور روند فصلي اين حملات نشان مي‌دهد كه مهاجمان سايبري در هر فصل، تاكتيك‌هاي تازه‌اي براي فشار بر زيرساخت‌هاي حياتي كشور به‌كار گرفته‌اند. به عنوان نمونه، در زمستان ۱۴۰۳ بخش قابل توجهي از حملات متوجه شركت‌هاي ارايه‌دهنده اينترنت ثابت و همراه بود، حال آنكه در پاييز همان سال رقم كلي حملات حدود پنجاه و هفت هزار مورد اعلام شد. مقايسه اين آمار با ارقام بهار ۱۴۰۴ نشان مي‌دهد كه تنها در يك فصل، حجم و بسامد حملات بيش از چهار برابر رشد كرده است؛ نشانه‌اي كه از پيچيده‌تر شدن ميدان نبرد سايبري و افزايش سطح تهديد حكايت دارد.

 شدت حجمي حملات: از گيگابايت تا ترابايت

شدت حجمي اين حملات نيز ابعاد نگران‌كننده‌اي داشته است. ميانگين هر حمله در بهار ۱۴۰۴ چيزي حدود ده گيگابايت بر ثانيه بوده، اما در بسياري از موارد شدت ترافيك بسيار بالاتر رفته و بخش قابل توجهي از حملات با ظرفيتي بيش از ده گيگابيت بر ثانيه اجرا شده است. در عين حال، يك‌سوم از اين رخدادها با نرخ بيش از يك ميليون بسته در ثانيه انجام شده‌اند كه نشان‌دهنده فشار شديد بر منابع شبكه‌اي هدف است. در ميان بزرگ‌ترين حملات ثبت‌شده نيز نمونه‌هايي با حجمي فراتر از سي و هفت ترابايت و موردي ديگر با بيش از سي و چهار ترابايت گزارش شده است. اين ارقام نشان مي‌دهد كه مهاجمان از منابع بسيار گسترده و بات‌نت‌هاي قدرتمندي بهره مي‌برند كه قادرند در مدت كوتاه، ترافيكي هم‌تراز با ترافيك كل يك شبكه ملي ايجاد كنند و دسترسي كاربران را مختل سازند.

الگوي زماني حملات: پرتكرار و كوتاه‌مد

الگوي زماني حملات به روشني از يك استراتژي حساب‌شده پرده برمي‌دارد. روزانه به‌طور متوسط بيش از دو هزار و سيصد حمله ثبت شده است و مدت زمان هر حمله نيز در حدود سه دقيقه و سيزده ثانيه بوده است. چنين مدت‌زمان كوتاهي نشان مي‌دهد مهاجمان تمايل دارند با حملات سريع، كوتاه و پرتكرار توان دفاعي زيرساخت‌ها را به مرور تضعيف كنند. اين شيوه نه تنها سيستم‌هاي حفاظتي را خسته مي‌كند، بلكه مي‌تواند در ساعات اوج مصرف اينترنت باعث بروز اختلالات محسوسي براي كاربران شود. البته در كنار اين حملات كوتاه، مواردي نيز از حملات طولاني‌مدت‌تر وجود داشته كه به نظر مي‌رسد با هدف از كار انداختن كامل يك سرويس حياتي صورت گرفته است. تركيب اين دو شيوه نشان مي‌دهد طراحان حملات به خوبي بر اهميت تنوع تاكتيكي در جنگ سايبري آگاه هستند. از منظر اهداف، تصوير روشني از مقاصد مهاجمان به دست مي‌آيد. نزديك به شصت درصد كل حملات متوجه خدمات عمومي و پورتال‌هاي دولتي بوده است؛ يعني بخش‌هايي كه مستقيماً با زندگي روزمره مردم و ارايه سرويس‌هاي ضروري در ارتباطند. اين تمركز بيانگر آن است كه مهاجمان با هدف ايجاد بي‌ثباتي و بي‌اعتمادي در جامعه، سرويس‌هايي را نشانه گرفته‌اند كه بيشترين وابستگي كاربران به آنها وجود دارد. در عين حال، بررسي منابع و مسيرهاي حملات نشان داده است كه ايالات متحده، آلمان و روسيه در ميان كشورهايي قرار دارند كه بيشترين حجم ترافيك مخرب از آنها سرچشمه گرفته است. با اين حال، بايد توجه داشت كه اغلب اين حملات از طريق بات‌نت‌ها و شبكه‌هاي آلوده جهاني انجام مي‌شوند و تعيين منبع واقعي هميشه كار ساده‌اي نيست. با اين وجود، همين توزيع جغرافيايي نشان مي‌دهد كه موضوع حملات سايبري عليه ايران، يك پديده محلي و محدود نيست، بلكه در بستر وسيع‌تري از رقابت‌هاي ژئوپليتيكي و اقتصادي قرار دارد.

 نوع حملات از نگاه پروتكل‌ها

از لحاظ فني، حدود ۷۷ درصد اين حملات بر بستر پروتكل UDP انجام شده‌اند. حملاتي از نوع UDP Flood يا حملات تقويتي نظير DNS Amplification در اين دسته جاي مي‌گيرند و به دليل ماهيت بدون اتصال پروتكل UDP، امكان جعل آدرس و تقويت حمله در آنها بسيار بيشتر است. بيست و سه درصد باقي‌مانده نيز شامل حملات مبتني بر TCP مانند SYN Flood يا ACK Flood بوده است كه هركدام با هدف اشغال منابع پردازشي و مختل‌سازي فرآيندهاي ارتباطي سرورها طراحي شده‌اند. تركيب اين دو دسته حمله نشان‌دهنده انعطاف‌پذيري بالاي مهاجمان در به‌كارگيري ابزارهاي متنوع است و عملاً زيرساخت دفاعي را در معرض طيفي گسترده از تهديدات قرار مي‌دهد. در بررسي دقيق‌تر اهداف، مشخص شد كه تنها ده مقصد مشخص بيش از پانزده درصد كل حملات را به خود اختصاص داده‌اند. همچنين بيست و هفت درصد حملات روي درگاه‌هاي دولتي و بيست و نه درصد روي درگاه‌هاي خدمات عمومي متمركز بوده است. چنين تمركزي اهميت حياتي اين سامانه‌ها را آشكار مي‌كند و نشان مي‌دهد كه آسيب‌پذيري آنها مي‌تواند به صورت مستقيم امنيت ملي و اعتماد عمومي را تحت تأثير قرار دهد. از همين رو، تقويت لايه‌هاي دفاعي در اين بخش‌ها بيش از هر جاي ديگري ضروري به نظر مي‌رسد. تحليل مجموع اين داده‌ها چند پيام كليدي براي وضعيت امنيت سايبري كشور به همراه دارد. نخست آنكه حجم و شدت حملات در بهار ۱۴۰۴ نسبت به فصل‌هاي پيشين رشدي چشمگير داشته و نشان‌دهنده افزايش ظرفيت مهاجمان است. دوم آنكه نوع و روش حملات بسيار متنوع شده و مهاجمان هم از حملات كوتاه‌مدت و پرتكرار استفاده مي‌كنند و هم از حملات پرحجم و طولاني. سوم آنكه تمركز عمده اين تهديدات بر خدمات عمومي و سامانه‌هاي دولتي است كه نقشي حياتي در زندگي شهروندان دارند. و نهايتاً، منشأ جغرافيايي متنوع حملات نشان مي‌دهد كه ايران در معرض تهديداتي قرار دارد كه در بستر شبكه جهاني و با انگيزه‌هاي فراملي طراحي مي‌شوند.

اتخاذ رويكردي چندلايه براي مقابله با حملات سايبري ضرورتي انكارناپذير است

در چنين شرايطي، اتخاذ رويكردي چندلايه براي مقابله با حملات سايبري ضرورتي انكارناپذير است. توسعه سامانه‌هاي مانيتورينگ بلادرنگ، افزايش ظرفيت زيرساخت‌هاي مقابله با حملات حجمي، به‌روزرساني مداوم تجهيزات دفاعي و همچنين آموزش نيروي انساني متخصص از جمله اقداماتي است كه مي‌تواند در كاهش آسيب‌پذيري كشور موثر باشد. علاوه بر اين، همكاري‌هاي منطقه‌اي و بين‌المللي نيز مي‌تواند در شناسايي و مهار بات‌نت‌هاي جهاني و تبادل تجربه‌ها در زمينه مقابله با حملات DDoS نقش مهمي ايفا كند. تجربه بهار ۱۴۰۴ نشان داد كه امنيت سايبري ديگر يك موضوع فني صرف نيست، بلكه بخشي جدايي‌ناپذير از امنيت ملي، ثبات اجتماعي و حتي اعتماد عمومي به دولت و زيرساخت‌هاي حياتي كشور محسوب مي‌شود. تداوم و گسترش چنين حملاتي زنگ خطري جدي است كه بايد سياست‌گذاران، مديران فناوري اطلاعات و نهادهاي مسوول را متوجه ضرورت برنامه‌ريزي راهبردي و سرمايه‌گذاري پايدار در حوزه دفاع سايبري سازد