مشکلات زیرساختی و حفره های امنیتی در شبکه بانکی ایران

مشکلات زیرساختی و حفره های امنیتی در شبکه بانکی ایران

به گزارش لباس دونی، زیرساخت های بانکی و مالی هر کشور به عنوان شریان های حیاتی اقتصاد، همواره در صدر اهداف تهاجمات سایبری قرار دارند. در ایران، به علت شرایط خاص ژئوپلیتیک، تحریمها و گستردگی شبکه شتاب و شاپرک، این حساسیت دوچندان است.



نفوذ به این زیرساخت ها دیگر تنها با هدف سرقت مستقیم پول انجام نمی شود؛ بلکه اهداف سیاسی (تخریب وجهه حاکمیت)، اختلال در نظم عمومی و جاسوسی اطلاعاتی، محرک های اصلی مهاجمان (اغلب در سطح گروههای APT یا تهدیدات پیشرفته مستمر) هستند. این تحلیل به بررسی لایه های امنیتی، بردارهای حمله و راهکارهای تدافعی مبتنی بر امنیت شبکه در بانکهای ایران می پردازد.

۱. کالبدشکافی شبکه بانکی ایران و نقاط لطمه پذیر

شبکه بانکی ایران از معماری پیچیده ای پیروی می کند که شامل شبکه های داخلی بانکها (LAN)، شبکه های گسترده میان بانکی (WAN) و نقاط اتصال به شبکه های پرداخت (مانند شاپرک) است.
جداسازی شبکه (Air-gapping) ناقص: خیلی از بانکها تصور می کنند با جداسازی فیزیکی یا منطقی شبکه داخلی از اینترنت، امنیت کامل برقرار است. اما پل های ارتباطی مانند درگاه های پرداخت، خدمات آنلاین بانکینگ و آپدیت های نرم افزاری، نقاط نشت (Leakage Points) هستند که مهاجمان از آنها برای ورود به شبکه ایزوله استفاده می نمایند.
تجهیزات لبه شبکه (Edge Devices): دیواره های آتش (Firewalls) و سیستم های پیشگیری از نفوذ (IPS) در صورتیکه به درستی پیکربندی نشوند یا دارای فریمورهای قدیمی باشند، خود به بردار حمله تبدیل می شوند.

۲. بردارهای حمله شبکه-محور در زیرساخت های بانکی

مهاجمان برای نفوذ به لایه های عمیق بانک، از استراتژی های چندمرحله ای استفاده می کنند:
الف) حملات منع سرویس توزیع شده (DDoS):
در این نوع حمله، پهنای باند شبکه یا منابع سرورهای لبه ای هدف قرار می گیرند. در ایران، حملات لایه ۷ (Application Layer) که تراکنش های جعلی را شبیه سازی می کنند، خیلی رایج است که با اشباع کردن جدول وضعیت فایروال ها، کل سرویس دهی بانک را مختل کنند.
ب) مسموم سازی پروتکلهای مسیریابی و DNS:
تغییر مسیر ترافیک بانکی بوسیله پروتکل BGP یا مسموم سازی حافظه پنهان DNS، به مهاجم اجازه می دهد کاربران را به نسخه های جعلی بانک هدایت کرده یا ترافیک حساس را برای شنود (Sniffing) از سرورهای خود عبور دهد.
ج) نفوذ بوسیله زنجیره تامین (Supply Chain Attack):
خیلی از نرم افزارهای بانکی در ایران توسط شرکتهای پیمانکار داخلی تولید می شوند. نفوذ به شبکه این پیمانکاران و تزریق کدهای مخرب در آپدیت های نرم افزاری، یکی از پیچیده ترین روشهای دور زدن امنیت شبکه بانک است.

۳. تحلیل نفوذ در لایه سوئیچینگ و مسیریابی

مهاجم بعد از ورود اولیه (Initial Access)، به دنبال حرکت جانبی (Lateral Movement) است. در شبکه های بانکی که فاقد مایکرو-سگمنتیشن (Micro-segmentation) هستند، نفوذ به یک ایستگاه کاری معمولی می تواند منجربه دسترسی به سرورهای اصلی پایگاه داده شود.
● حملات VLAN Hopping: اگر سوئیچ های شبکه به درستی پیکربندی نشده باشند، مهاجم می تواند از یک بخش کم اهمیت شبکه به بخش حساس (مثلاً Core Banking) نفوذ کند.
● بهره برداری از پروتکلهای مدیریت شبکه: استفاده از نسخه های ناامن SNMP یا تلنت برای مدیریت روترها، به مهاجم اجازه می دهد کل پیکربندی شبکه را تغییر داده و در پشتی (Backdoor) بوجود آورد.

۴. چالش های بومی و امنیت شبکه در ایران

فرسودگی تجهیزات: به سبب تحریمها، خیلی از بانکها از تجهیزات شبکه قدیمی استفاده می نمایند که دیگر آپدیت های امنیتی دریافت نمی کنند.
●اتکا به فایروال های بومی: بااینکه توسعه ابزارهای بومی گامی مثبت است، اما عدم بلوغ تعدادی از این سیستم ها در مقابل حملات روزنخست (Zero-day) می تواند به پاشنه آشیل شبکه تبدیل گردد.
●دور زدن نظارت (Monitoring): مهاجمان پیشرفته با رمزنگاری ترافیک خود در داخل شبکه (استفاده از تونل های SSH یا HTTPS جعلی)، از شناسایی به وسیله سیستم های IDS/IPS فرار می کنند.

۵. راهکارهای راهبردی برای تقویت امنیت شبکه بانکی

برای رویارویی با تهدیدات نوین، معماری امنیتی بانکها باید از مدل "قلعه و خندق" به مدل "اعتماد صفر" (Zero Trust) تغییر یابد:
۱. پیاده سازی Micro-segmentation: تقسیم شبکه به قطعات خیلی کوچک به صورتی که هر سرور یا سرویس تنها با منابع مورد نیاز خود در ارتباط باشد. این کار سرعت گسترش آلودگی را به شدت می کاهد.
۲. تحلیل رفتار شبکه (NBAD): استفاده از هوش مصنوعی برای شناسایی الگوهای غیرعادی در ترافیک شبکه. به عنوان نمونه، اگر یک سیستم صندوق دار ناگهان آغاز به ارسال حجم زیادی داده به یک سرور خارجی کند، سیستم باید بطور خودکار ارتباط را قطع کند.
۳. رمزنگاری سرتاسری (End-to-End Encryption): تمام داده های درحال حرکت بین شعب و دیتاسنتر باید با الگوریتم های مقاوم رمزنگاری شوند تا حتی در صورت شنود فیزیکی خطوط مخابراتی، اطلاعات بی ارزش باشند.
۴. استقرار فایروال های نسل جدید (NGFW) و WAF: برای صیانت از درگاه های وب و اپلیکیشن های موبایل در مقابل حملات تزریق کد (SQL Injection) و XSS.

نتیجه گیری

منیت سایبری در حوزه بانکی یک مقصد نیست، بلکه یک پروسه مستمر است. با عنایت به افزایش پیچیدگی حملات و ظهور تهدیدات مبتنی بر هوش مصنوعی، زیرساخت های بانکی ایران باید فراتر از دیواره های آتش سنتی حرکت کنند. تمرکز بر پایش دائمی ترافیک، آموزش نیروی انسانی متخصص و بروزرسانی مداوم پروتکلهای شبکه، تنها راه حفظ پایداری در مقابل ارتش های سایبری و گروههای نفوذ است. شبکه بانکی زمانی امن خواهد بود که فرض را بر "نفوذ حتمی" گذاشته و لایه های دفاعی را بگونه ای طراحی کند که مهاجم در هر قدم با بن بست مواجه شود.

1405/04/08
11:02:25
5.0 / 5
38
تگهای خبر: آلودگی , آموزش , آنلاین , اینترنت
این مطلب لباسدونی را می پسندید؟
(1)
(0)
X

تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
لطفا شما هم نظر دهید
= ۱ بعلاوه ۱
پربیننده ترین ها

پربحث ترین ها

جدیدترین ها

لباس دونی