انفجار حملات سایبری علیه ایران؛ هر ۷۶ ثانیه یک حمله

به گزارش اقتصادآنلاین، تصویر منتشرشده از آمار مقابله با حملات DDoS در زمستان ۱۴۰۳ نشان می‌دهد که مجموعه‌ای از اهداف حیاتی و حیاتی-خدماتی کشور از جمله شبکه بانکی، خدمات عمومی، زیرساخت‌های ارتباطی، پیام‌رسان‌ها، درگاه‌های دولتی و کسب‌وکار‌های اینترنتی در مجموع تحت ۶۲۷۵ ساعت حمله سایبری قرار گرفته‌اند.

 از این میان، ۱۸۲۰ ساعت به حملات به شرکت‌های ارائه‌دهنده خدمات اینترنتی و مخابراتی اختصاص داشته که بالاترین رقم را در میان سایر حوزه‌ها دارد و اهمیت محافظت از شبکه‌های ارتباطی را دوچندان می‌کند. همچنین بخش خدمات عمومی با ۱۰۲۱ ساعت، صنعت بانکی با ۸۹۰ ساعت و کسب‌وکار‌های اینترنتی با ۸۱۰ ساعت در رتبه‌های بعدی قرار دارند.

 در حاشیه تصویر تأکید شده که بیش از ۸۲.۱۲ درصد از حملات با موفقیت کامل دفع شده‌اند؛ عددی که با وجود ابعاد گسترده تهدیدات، نشان‌دهنده کارآمدی نسبی تیم‌های دفاع سایبری است. با این حال، تعدد اهداف، ماهیت حیاتی آنها و توزیع زمانی گسترده حملات، زنگ هشدار جدی برای به‌روزرسانی سیستم‌های امنیتی و توسعه هماهنگی میان‌بخشی را به صدا درآورده است.

میانگین ۱۱۳۰ حمله در روز، زمستانی زیر آتش دیجیتال

تصویر ارائه‌شده به وضوح نشان می‌دهد که میانگین حملات DDoS در زمستان ۱۴۰۳ به عدد نگران‌کننده ۱۱۳۰ حمله در روز رسیده است. این آمار یعنی هر ۷۶ ثانیه یک حمله جدید در سطح ملی شناسایی شده؛ عددی که نه‌تنها سنگین، بلکه هشداری جدی برای نهاد‌های مسئول در حوزه امنیت سایبری است. چنین بسامدی از حملات نشان می‌دهد که شبکه ملی و زیرساخت‌های حیاتی کشور به میدان نبرد دائمی تبدیل شده‌اند و دیگر نمی‌توان تهدیدات را به بازه‌های زمانی محدود یا موقعیت‌های خاص نسبت داد.

از دید فنی، این حجم از حمله تنها در صورتی قابل مدیریت است که سیستم‌های تشخیص و پاسخ خودکار (مثل IDS و WAF‌های مبتنی بر هوش مصنوعی)، به‌صورت لحظه‌ای عمل کنند و ظرفیت‌های تحلیلی نیز با واقعیت‌های روز همگام باشند. تداوم چنین وضعیتی بدون تقویت سامانه‌های دفاعی و هماهنگی بین‌دستگاهی می‌تواند منجر به فلج‌شدن بخش‌هایی از اینترنت کشور در آینده‌ای نه‌چندان دور شود.

طولانی‌ترین حمله DDoS زمستان ۱۴۰۳، ۶ روز بی‌وقفه در خط آتش

بر اساس تصویری که به بازه زمانی حملات DDoS در زمستان ۱۴۰۳ اشاره دارد، طولانی‌ترین حمله ثبت‌شده در این فصل، ۶ روز و ۲۳ ساعت و ۴۰ دقیقه به طول انجامیده است؛ رقمی که فراتر از استاندارد‌های شناخته‌شده در اغلب کشورهاست. این نوع حمله نه‌تنها نشان‌دهنده توان عملیاتی بالای مهاجمان در حفظ جریان حمله برای مدت طولانی است، بلکه از ناکارآمدی بخشی از سامانه‌های مقابله نیز پرده برمی‌دارد.

حملات ممتد از این جنس، معمولاً با تکنیک‌های ترکیبی لایه ۳، ۴ و در ادامه لایه ۷ انجام می‌شوند؛ به‌طوری‌که هم زیرساخت شبکه و هم اپلیکیشن‌ها درگیر شوند. دوام ۱۶۸ ساعته یک حمله مستلزم یک شبکه گسترده botnet با منابع متنوع و پشتیبانی لجستیکی سایبری در سطح بالا است. نکته نگران‌کننده‌تر این است که تداوم چنین حمله‌ای می‌تواند منجر به اختلال طولانی‌مدت در سامانه‌های حیاتی، سردرگمی در تیم‌های پاسخ‌گو و نهایتاً تخریب اعتماد کاربران شود. مقابله با این سطح از تهدید نیازمند معماری دفاعی چندلایه، مانیتورینگ ۲۴ ساعته، تحلیل رفتاری ترافیک و واکنش بلادرنگ است.

بیش از ۱۸ هزار مقصد هدف حملات سایبری زمستان ۱۴۰۳

طبق تصویر منتشرشده، از مجموع ۱۰۱،۷۲۰ حمله سایبری شناسایی‌شده در زمستان ۱۴۰۳، این حملات به ۱۸،۳۳۳ مقصد مختلف صورت گرفته‌اند. این عدد به‌روشنی نشان می‌دهد که گستره جغرافیایی و سازمانی اهداف به طرز نگران‌کننده‌ای وسیع بوده است. نکته قابل توجه، میانگین نزدیک به ۶ حمله به هر مقصد در طول فصل است؛ یعنی برخی سرویس‌ها و نهاد‌ها بار‌ها هدف قرار گرفته‌اند که احتمال آسیب‌پذیری‌های مداوم یا ضعف در ایزوله‌سازی ترافیک را بالا می‌برد.

 با توجه به نسبت بالای مقصد به تعداد حمله، می‌توان نتیجه گرفت که مهاجمان از استراتژی «پراکندگی بالا، تکرار هدفمند» استفاده کرده‌اند؛ مدلی که در آن تعداد زیادی سرویس مورد اسکن و آزمایش قرار می‌گیرند، اما هدف‌های خاصی به‌صورت مکرر تحت فشار قرار می‌گیرند تا سرانجام دچار اختلال شوند. این الگو برای تیم‌های امنیتی یک هشدار جدی است تا نه فقط به تعداد حملات، بلکه به الگوی هدف‌گذاری و رفتار ترافیکی هم توجه دقیق‌تری داشته باشند.

سرویس‌دهنده‌ها در خط مقدم، ۵۰ درصد کل حملات روی دوش اپراتور‌ها

بر اساس نمودار طبقه‌بندی مقاصد هدف قرارگرفته در زمستان ۱۴۰۳، شرکت‌های ارائه‌دهنده خدمات اینترنت ثابت (با سهم ۲۷.۲۳ درصد) و اپراتور‌های اینترنت موبایل (با سهم ۲۲.۶۰ درصد) در مجموع تقریباً ۵۰ درصد کل حملات سایبری شناسایی‌شده را متحمل شده‌اند. این آمار به‌روشنی نشان می‌دهد که بستر‌های زیرساختی اینترنت کشور بیش از هر حوزه‌ای دیگر در معرض تهدید هستند.

پس از آن، کسب‌وکار‌های اینترنتی با ۱۴.۴۵ درصد، صنعت مالی و بیمه با ۹.۸۹ درصد و درگاه‌های خدمات عمومی با ۶.۴۰ درصد در رتبه‌های بعدی قرار دارند. این ترکیب، نشان‌دهنده آن است که حملات نه‌تنها به زیرساخت‌ها، بلکه به سطوح مختلف تعامل با کاربران نهایی نیز نفوذ کرده‌اند. سهم قابل توجه پیام‌رسان‌های بومی (۶.۲۵ درصد) و درگاه‌های دولتی (۵.۲۸ درصد) هم گویای تمرکز مهاجمان بر نقاطی است که بیشترین بار اطلاعاتی و ارتباطی را بر دوش می‌کشند. در سمت دیگر طیف، رسانه‌ها و زیرساخت‌های حساس ملی هرکدام سهمی کمتر از ۲ درصد دارند، که یا ناشی از حفاظت جدی‌تر است یا از چشم مهاجمان هنوز خارج مانده‌اند. در هر صورت، این داده‌ها اولویت‌بندی جدیدی برای بازطراحی سامانه‌های دفاع سایبری کشور ترسیم می‌کنند.

۱۰ کشور منشأ ۵۷ درصد حملات سایبری به ایران در زمستان ۱۴۰۳

نقشه منتشرشده نشان می‌دهد که ۵۷ درصد از حملات DDoS شناسایی‌شده علیه زیرساخت‌های ایران، تنها از مبدأ ۱۰ کشور انجام شده‌اند؛ این یعنی بخش عمده تهدیدات سایبری از مجموعه‌ای محدود، اما پرقدرت از کشور‌ها سرچشمه گرفته‌اند. ایالات متحده آمریکا با سهم ۴.۶۹ درصد در صدر جدول قرار دارد، و پس از آن روسیه با ۴.۸۴ درصد، آلمان با ۵.۶۳ درصد و اوکراین با ۵.۱۲ درصد در رده‌های بعدی قرار دارند؛ این نکته نشان‌دهنده آن است که حتی کشور‌های درگیر در بحران‌های ژئوپلیتیکی، به بستر‌های اصلی حملات سایبری به ایران تبدیل شده‌اند.

 همچنین کشور‌هایی مانند تایلند، اندونزی، مکزیک، کلمبیا، اسپانیا و برزیل نیز سهم قابل توجهی از حملات را به خود اختصاص داده‌اند، در حالی که حملات منتسب به این کشور‌ها معمولاً از طریق زیرساخت‌های باز، آی‌پی‌های آلوده یا سرور‌های کرایه‌ای انجام می‌شود. بخش ۴۳ درصد باقیمانده نیز به سایر کشور‌ها اختصاص دارد که نشان‌دهنده پراکندگی جهانی تهدیدات است. این داده‌ها ضرورت پایش لحظه‌ای جغرافیای ترافیک مخرب، همکاری‌های بین‌المللی و استفاده از سرویس‌های هوش تهدید (Threat Intelligence) را بیش از پیش برجسته می‌کند.