RaazNet

رازنتبتا

دانشنامه
در این صفحه

ارزیابی ریسک و شناسایی تهدید

راهنمای جامع برای شناسایی تهدیدات دیجیتال و فیزیکی در بستر ایران. این سند نحوه ایجاد یک مدل تهدید شخصی یا سازمانی، نقشه‌برداری از عوامل تهدید (مانند بازیگران دولتی) و ارزیابی ریسک‌ها بر اساس دارایی‌ها و آسیب‌پذیری‌ها را شرح می‌دهد.

Time12 minutes

ارزیابی ریسک و شناسایی تهدید

امنیت یک محصول خریدنی نیست؛ بلکه یک فرآیند است. برای کاربران ایرانی - چه فعالان مدنی، چه روزنامه‌نگاران یا شهروندان عادی که به دنبال دور زدن سانسور هستند - درک چشم‌انداز خاص تهدیدات، اولین گام به سوی امنیت است. این راهنما چارچوب‌های مدل‌سازی تهدید و ارزیابی ریسک را که متناسب با واقعیت‌های فضای اینترنت ایران (اینترنت حلال / شبکه ملی اطلاعات) تنظیم شده‌اند، گردآوری و ارائه می‌کند.

۱. مدل‌سازی تهدید چیست؟

مدل‌سازی تهدید یک رویکرد ساختاریافته برای شناسایی این است که: چه چیزی دارید، چه کسی آن را می‌خواهد، و چگونه ممکن است به آن دست پیدا کند. این رویکرد شما را از ترس عمومی و «پارانویا» به سمت برنامه‌های امنیتی مشخص و عملی هدایت می‌کند.

برای ساختن یک مدل تهدید، باید به پنج سوال اساسی پاسخ دهید:

۱. از چه چیزی می‌خواهم محافظت کنم؟ (دارایی‌ها) ۲. در برابر چه کسی می‌خواهم از آن محافظت کنم؟ (دشمنان / عوامل) ۳. چقدر احتمال دارد که نیاز به محافظت از آن پیدا کنم؟ (احتمال وقوع) ۴. اگر شکست بخورم، عواقب آن چقدر بد خواهد بود؟ (پیامد / تأثیر) ۵. برای جلوگیری از عواقب احتمالی، حاضر به تحمل چه میزان زحمت و محدودیت هستم؟ (ظرفیت / تلاش)

۲. تحلیل بستر: چشم‌انداز ایران

پیش از ارزیابی ریسک‌های شخصی، باید محیط پیرامون خود را درک کنید. در ایران، مدل تهدید اولیه با بستر کشورهای غربی تفاوت دارد؛ در اینجا دشمن غالباً خودِ زیرساخت دولتی است، نه صرفاً هکرهای مجرم.

چارچوب PESTLE (در بستر ایران)

برای تحلیل وضعیت فعلی از این چارچوب استفاده کنید:

  • سیاسی (Political): تغییرات در قوانین اینترنت (مانند «طرح صیانت»)، انتخابات پیش‌رو، یا دوره‌های ناآرامی مدنی (اعتراضات) که معمولاً با قطعی یا کندی شدید اینترنت همراه هستند.
  • اقتصادی (Economic): کوچ اجباری به اپلیکیشن‌های داخلی به دلیل هزینه بالای پهنای باند بین‌الملل؛ وابستگی به سیستم‌های پرداخت دیجیتال ناامن.
  • اجتماعی (Social): استفاده از مهندسی اجتماعی (مانند پیام‌های جعلی پلیس امنیت اخلاقی) برای فریب کاربران؛ نفوذ به گروه‌های فعالان.
  • فناوری (Technological): بازرسی عمیق بسته‌ها (DPI) توسط شرکت‌های ارائه‌دهنده اینترنت (ISP)؛ مسدودسازی پروتکل‌های رمزنگاری (TLS/SSL)؛ بدافزارهای تحت حمایت دولت.
  • قانونی (Legal): جرم‌انگاری استفاده از VPN؛ اعترافات اجباری؛ فقدان قوانین حریم خصوصی داده‌ها برای محافظت از شهروندان در برابر دولت.
  • زیست‌محیطی/فیزیکی (Environmental): آسیب‌پذیری زیرساخت‌های فیزیکی اینترنت؛ قطعی برق که سیستم‌های امنیتی را مختل می‌کند.

۳. نقشه‌برداری عوامل: دشمن کیست؟

در برنامه‌ریزی امنیتی، یک دشمن (یا عامل)، هر موجودیتی است که تهدیدی برای دارایی‌های شما محسوب می‌شود. در ایران، عوامل معمولاً در سه دسته قرار می‌گیرند:

الف. بازیگران تحت حمایت دولت (توانایی بالا / منابع بالا)

  • پلیس فتا (سایبری): شبکه‌های اجتماعی، کمپین‌های فیشینگ و استفاده عمومی از اینترنت را نظارت می‌کند.
  • سازمان اطلاعات سپاه (ساس): جاسوسی هدفمند، استقرار بدافزارهای پیشرفته و بازداشت فیزیکی اهداف با ارزش بالا را انجام می‌دهد.
  • وزارت اطلاعات (واجا): بر نظارت بر مخالفان و نفوذ به شبکه‌ها تمرکز دارد.
  • قوه قضاییه: احضاریه‌هایی صادر می‌کند که اغلب از طریق پیامک ارسال می‌شوند (یکی از بردارهای اصلی برای فیشینگ).

ب. عوامل زیرساختی (دسترسی ویژه)

  • ارائه‌دهندگان اینترنت (همراه اول، ایرانسل، مخابرات): این نهادها قانوناً موظف به ثبت ترافیک، تسهیل بازرسی عمیق بسته‌ها (DPI) و همکاری در رهگیری پیامک‌ها یا سرقت احراز هویت دو مرحله‌ای (2FA) هستند.
  • پلتفرم‌های داخلی: پیام‌رسان‌های بومی (مانند ایتا، سروش) و ارائه‌دهندگان خدمات هاستینگ که داده‌ها را در داخل مرزهای ایران ذخیره می‌کنند، این اطلاعات را بدون نیاز به حکم قضایی در دسترس نهادهای امنیتی قرار می‌دهند.

ج. عوامل فرصت‌طلب و اجتماعی

  • مجرمان سایبری: به دنبال سود مالی هستند (تروجان‌های بانکی، فیشینگ).
  • نفوذی‌ها / مخبران: افرادی که برای جمع‌آوری اطلاعات وارد حلقه‌های مورد اعتماد می‌شوند.
  • حلقه اجتماعی: اعضای خانواده یا همکارانی که ممکن است به دلیل رعایت نکردن بهداشت امنیتی (مانند کلیک روی لینک‌های مخرب) ناخواسته اطلاعات را فاش کنند.

۴. موجودی دارایی‌ها: از چه چیزی محافظت می‌کنید؟

شما نمی‌توانید از همه چیز به یک اندازه محافظت کنید. دارایی‌های خود را فهرست کرده و آن‌ها را طبقه‌بندی کنید.

دارایی‌های اطلاعاتی

  • ارتباطات: چت‌های سیگنال/واتس‌اپ، ایمیل‌ها، لیست مخاطبین.
  • هویت: ناشناس ماندن وضعیت ادمین بودن شما در کانال‌های تلگرام یا صفحات اینستاگرام.
  • مستندات: عکس‌ها/ویدیوهای اعتراضات، نقض حقوق بشر، یا اسناد حساس.
  • اعتبارنامه‌ها: رمزهای عبور، کدهای پشتیبان احراز هویت دو مرحله‌ای (2FA)، کلیدهای بازیابی.

دارایی‌های فیزیکی

  • دستگاه‌ها: گوشی‌های هوشمند (هدف اصلی برای موقعیت‌يابی/مخاطبین)، لپ‌تاپ‌ها، هارد دیسک‌ها.
  • توکن‌های سخت‌افزاری: کلیدهای امنیتی فیزیکی (YubiKey) یا دانگل‌های احراز هویت.

دارایی‌های نامشهود

  • اعتبار: محافظت در برابر افترا یا کمپین‌های «زورگیری سایبری» (Cyber-bullying).
  • اعتماد شبکه: امنیت همکاران یا دنبال‌کنندگان شما.

۵. شناسایی تهدید

با توجه به عوامل و دارایی‌ها، تهدیدات خاص در ایران عبارتند از:

تهدیدات دیجیتال

  • فیشینگ و مهندسی اجتماعی:
    • تاکتیک «سامانه ثنا»: پیامک‌های جعلی قضایی حاوی لینک‌های بدافزار.
    • فیلترشکن‌های (VPN) جعلی: اپلیکیشن‌های مخربی که در تلگرام پخش شده و به عنوان جاسوس‌افزار عمل می‌کنند.
  • نظارت بر شبکه:
    • DPI: شناسایی و مسدودسازی ترافیک VPN.
    • ربودن DNS: تغییر مسیر ترافیک به سرورهای جعلی.
  • تصاحب حساب کاربری:
    • تعویض/رهگیری سیم‌کارت: رهگیری کدهای پیامکی 2FA برای هک کردن حساب‌های تلگرام یا اینستاگرام.
  • بدافزار:
    • جاسوس‌افزار: ابزارهایی مانند پگاسوس (که به ندرت علیه اهداف بسیار مهم استفاده می‌شود) یا جاسوس‌افزارهای تجاری عمومی که برای ردیابی موقعیت مکانی و ثبت کلیدهای فشرده شده (Keylogging) استفاده می‌شوند.

تهدیدات فیزیکی و قانونی

  • توقیف دستگاه: ضبط گوشی‌ها در ایست‌های بازرسی یا در جریان یورش‌ها.
  • دسترسی اجباری: اجبار به باز کردن قفل دستگاه‌ها از طریق بیومتریک (تشخیص چهره/اثر انگشت) یا تحت فشار در زمان بازجویی.
  • داکس کردن (Doxxing): رسانه‌های دولتی یا «ارتش‌های سایبری» اطلاعات خصوصی افراد را برای ارعاب فعالان منتشر می‌کنند.

۶. ماتریس ارزیابی ریسک

پس از شناسایی تهدیدات، آن‌ها را برای اولویت‌بندیِ واکنش خود دسته‌بندی کنید.

  • ریسک = احتمال وقوع × پیامد (تأثیر)
پیامد / احتمال وقوعاحتمال بالا (مانند فیشینگ، مسدود شدن VPN)احتمال پایین (مانند آلودگی به پگاسوس، یورش هدفمند)
پیامد بالا (دستگیری، به خطر افتادن شبکه)بحرانی: نیاز به کاهش فوری ریسک (مانند دکمه وحشت، طرح حذف داده‌ها).بالا: برنامه‌ریزی اقتضایی (مانند کدهای اضطراری، بکاپ‌های رمزگذاری‌شده).
پیامد پایین (اسپم، قطعی موقت اینترنت)متوسط: اجرای بهداشت استاندارد (مانند فیلترهای اسپم، نقشه‌های آفلاین).پایین: نظارت گاه به گاه.

مثال عملی: یک فعال ایرانی

۱. تهدید: توقیف دستگاه در یک اعتراض. ۲. احتمال: بالا. ۳. پیامد: بالا (دستگیری، افشای مخاطبین). ۴. سطح ریسک: بحرانی. ۵. اقدامات کاهشی: گوشی اصلی خود را همراه نبرید؛ از یک گوشی «یک‌بار مصرف» (Burner phone) استفاده کنید؛ رمزگذاری کامل دیسک را فعال کنید؛ پیش از خروج از خانه سیستم‌های بیومتریک (FaceID/TouchID) را غیرفعال کنید.

۷. ارزیابی آسیب‌پذیری (تحلیل «شکاف»)

بررسی کنید که خطوط دفاعی فعلی شما در کجا ضعف دارند.

  • رفتاری: آیا روی لینک‌های داخل پیامک کلیک می‌کنید؟ آیا رمزهای عبور را تکراری استفاده می‌کنید؟
  • فنی: آیا سیستم‌عامل گوشی شما قدیمی است؟ آیا هارد دیسک شما رمزگذاری نشده است؟ آیا به جای اپلیکیشن Authenticator از پیامک برای 2FA استفاده می‌کنید؟
  • سازمانی: آیا تیم شما از کانال‌های ناامن (پیامک/تماس عادی) برای بحث‌های حساس استفاده می‌کند؟ آیا در زمان اضطراری، فقدان اعتماد یا پروتکل‌های مشخص وجود دارد؟

آسیب‌پذیری‌های رایج در ایران

  • وابستگی به پیامک برای 2FA: به شدت در برابر رهگیری توسط دولت آسیب‌پذیر است.
  • استفاده از اپلیکیشن‌های داخلی: مستعد نظارت و پایش مستقیم است.
  • نشت اطلاعات در VPN: استفاده از "VPN های رایگان" که داده‌ها را ثبت می‌کنند یا حاوی بدافزار هستند.
  • فقدان دستگاه‌های «پاک»: عبور از مرزها یا حضور در اعتراضات با دستگاه‌هایی که حاوی آرشیوهای حساس هستند.

۸. استراتژی و برنامه‌ریزی واکنش

بر اساس ارزیابی انجام شده، استراتژی‌هایی را توسعه خواهید داد (که به طور کامل در بخش استراتژی امنیتی پوشش داده می‌شود).

  • محافظت: اجرای رمزنگاری، استفاده از Tor/Orbot، مهاجرت به سیگنال، غیرفعال کردن پیش‌نمایش لینک‌ها.
  • بازدارندگی: پرهزینه یا دشوار کردن دسترسی به داده‌ها برای دشمن (مانند استفاده از رمزنگاری قدرتمندی که پلیس فتا به راحتی نتواند آن را با روش Brute-force بشکند).
  • پذیرش: قبول کردن برخی ریسک‌ها (مانند قطعی اینترنت) و آماده‌سازی روش‌های ارتباطی آفلاین (شبکه‌های مش، انتقال فیزیکی داده‌ها یا Sneakernet).

شاخص‌های واکنش اضطراری

یک سیستم هشدار زودهنگام ایجاد کنید. مراقب این موارد باشید:

  • افت ناگهانی سرعت اینترنت یا مسدود شدن پروتکلی خاص (نشان‌دهنده تشدید سانسور).
  • صداهای عجیب یا تخلیه غیرعادی باتری دستگاه‌ها (احتمال وجود بدافزار).
  • تلاش‌های غیرمنتظره برای ورود به حساب‌های کاربری شما.
  • دستگیری افراد هم‌رده در شبکه شما (نشان‌دهنده احتمال به خطر افتادن گروه‌های مشترک).

۹. نتیجه‌گیری

ارزیابی ریسک یک فرآیند مستمر است. در بستر ایران، جایی که چشم‌انداز دیجیتال به دلیل مداخلات دولتی به سرعت تغییر می‌کند، باید مدل تهدید خود را به طور منظم بازبینی کنید؛ به ویژه قبل از شرکت در رویدادهای عمومی، عبور از مرزها، یا مشارکت در کمپین‌های حساس آنلاین.

گام‌های بعدی:

  • برای ایجاد خطوط دفاعی در برابر این ریسک‌ها، به بخش [استراتژی امنیتی و برنامه‌ریزی واکنش] مراجعه کنید.
  • در صورتی که در قالب یک تیم کار می‌کنید، [امنیت سازمانی و پویایی گروهی] را مطالعه کنید.
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.