ویرگول
ورودثبت نام
پیمان محمدپور
پیمان محمدپورپیمان محمدپور هستم کارشناس رسمی دادگستری در رشته جرایم رایانه‌ای، عضو کمیسیون مشاوران سازمان نظام صنفی رایانه‌ای استان تهران و در حال حاضر مدیر تیم جرایم سایبری در فایل فاکس
پیمان محمدپور
پیمان محمدپور
خواندن ۵ دقیقه·۱۴ ساعت پیش

ریاضیات پشت جرایم سایبری مدرن: کمی سازی ریسک در اینترنت ۲۰۲۶

من پیمان محمدپور هستم، کارشناس رسمی دادگستری در رشته جرایم رایانه ای و فناوری اطلاعات و مدیر تیم جرایم سایبری فایل فاکس. سال ها بررسی پرونده های واقعی، تحلیل داده های خام حملات و مشاهده شکست سیستم های به ظاهر امن، به من نشان داده که جرایم سایبری دیگر با روایت های ساده قابل فهم نیستند.

ریاضیات پشت جرایم سایبری
ریاضیات پشت جرایم سایبری

پشت هر حمله موفق، یک منطق ریاضی، یک مدل احتمال و یک محاسبه ریسک پنهان شده که اگر آن را نشناسیم، عملا در حال حدس زدن هستیم نه دفاع کردن.

وقتی جرم سایبری از حدس و گمان عبور کرد

در دهه گذشته، تحلیل جرایم سایبری بیشتر توصیفی بود. می گفتیم فلان حمله زیاد شده یا فلان بدافزار خطرناک است. اما از حوالی ۲۰۲۲ به بعد، مهاجمان به شدت داده محور شدند. انتخاب هدف، زمان حمله، نوع بردار نفوذ و حتی میزان فشار روی قربانی، همگی با محاسبه انجام می شود. این یعنی جرم سایبری از رفتار هیجانی به یک مسئله بهینه سازی تبدیل شده است.

در بسیاری از پرونده ها دیده ام که مهاجم دقیقا می داند چه درصدی از کاربران روی یک ایمیل فیشینگ کلیک می کنند، چه تعداد رمز عبور در حمله brute force جواب می دهد و چه زمانی هزینه حمله از سود آن بیشتر می شود. اینجا دقیقا جایی است که ریاضیات وارد صحنه می شود.

اینترنت به مثابه یک فضای تصادفی اما قابل مدل سازی

اینترنت در ظاهر آشفته است، اما از نگاه ریاضی، یک سیستم تصادفی با الگوهای پایدار است. توزیع رفتار کاربران، زمان پاسخ سرورها، نرخ خطای انسانی و حتی میزان بی توجهی به هشدارها، همگی از توزیع های آماری خاصی پیروی می کنند.

برای مثال، نرخ کلیک روی لینک های مخرب در ایمیل ها معمولا توزیع نرمال ساده ندارد. در بسیاری از سازمان ها، این نرخ رفتاری با دم چاق دارد. یعنی تعداد کمی از کاربران، ریسک بسیار بزرگی ایجاد می کنند. همین اقلیت کوچک است که کل مدل امنیتی را می شکند.

در سال ۲۰۲۵، در تحلیل داده های چند هزار حمله فیشینگ، مشخص شد که حدود ۱۲ درصد کاربران مسئول بیش از ۶۵ درصد رخنه های موفق بودند. این یعنی میانگین گرفتن، تصویر غلطی از ریسک واقعی می دهد.

چرا مهاجمان عاشق توزیع های دم چاق هستند

در ریاضیات ریسک، توزیع های fat tail یا دم چاق اهمیت ویژه ای دارند. در این توزیع ها، رخدادهای نادر اما بسیار مخرب، سهم اصلی ریسک را می سازند. جرایم سایبری دقیقا در همین فضا زندگی می کنند.

حمله ای که فقط یک بار در سال اتفاق می افتد اما می تواند کل زیرساخت یک شرکت را فلج کند، از نظر ریاضی مهم تر از صدها حمله کوچک ناموفق است. مهاجمان این را بهتر از بسیاری از مدیران امنیت می فهمند.

در باج افزارهای مدرن، مدل قیمت گذاری دقیقا بر اساس همین منطق است. مهاجم می داند که شاید فقط ۳ تا ۵ درصد قربانیان پرداخت کنند، اما همان درصد کم، هزینه کل عملیات را چند برابر جبران می کند. این یک محاسبه امید ریاضی ساده اما بسیار دقیق است.

کمی سازی ریسک؛ جایی که احساس جای خود را به عدد می دهد

در بسیاری از جلسات کارشناسی دیده ام که مدیران می گویند ریسک ما بالاست یا امنیت ما خوب است. این جملات از نظر علمی تقریبا بی معنا هستند. ریسک باید عدد داشته باشد، بازه داشته باشد و عدم قطعیت آن مشخص شود.

در مدل های جدید، ریسک سایبری معمولا به صورت حاصل ضرب سه مؤلفه دیده می شود: احتمال وقوع، شدت اثر و قابلیت کشف. هر کدام از این مؤلفه ها خودشان توزیع دارند، نه یک عدد ثابت.

برای مثال، احتمال نفوذ از طریق رمز عبور ضعیف ممکن است بین ۰.۱ تا ۰.۴ نوسان کند. شدت اثر می تواند از چند ساعت اختلال تا توقف کامل کسب و کار باشد. وقتی این ها را به صورت تصادفی شبیه سازی می کنیم، نتیجه اغلب شوکه کننده است. در بسیاری از سازمان ها، ۸۰ درصد ریسک کل، فقط از ۲۰ درصد سناریوها می آید.

نقش شبیه سازی مونت کارلو در پیش بینی حملات

یکی از ابزارهای کمتر استفاده شده اما بسیار قدرتمند در تحلیل جرایم سایبری، شبیه سازی مونت کارلو است. به جای اینکه بپرسیم آیا حمله رخ می دهد یا نه، هزاران سناریوی ممکن را شبیه سازی می کنیم و می بینیم در چند درصد آن ها فاجعه رخ می دهد.

در بررسی یک پرونده نفوذ بانکی، با اجرای ۱۰ هزار سناریوی تصادفی، مشخص شد که در حدود ۷ درصد حالات، زیان مالی از آستانه بحرانی عبور می کند. همین عدد ۷ درصد، مبنای تصمیم قضایی و مدیریتی قرار گرفت، نه احساس یا تجربه شخصی.

زمان در جرم سایبری فقط ساعت و دقیقه نیست

یکی از جنبه های کمتر دیده شده ریاضی در جرایم سایبری، تحلیل زمانی است. حمله ها در زمان تصادفی اتفاق نمی افتند. توزیع زمانی حملات، الگو دارد.

برای مثال، حملات brute force روی سرویس های ابری معمولا دارای خوشه های زمانی هستند. مهاجم حمله را در بازه هایی انجام می دهد که احتمال مانیتورینگ کمتر است. این الگوها با تحلیل سری های زمانی و مفاهیمی مثل autocorrelation قابل شناسایی اند.

در سال های اخیر، دیده ایم که بسیاری از حملات بزرگ در بازه های تعطیلات رسمی یا ساعات پایانی هفته کاری رخ داده اند. این تصادفی نیست، یک محاسبه است.

چرا مدل های سنتی امنیت شکست می خورند

بسیاری از چارچوب های امنیتی هنوز بر اساس میانگین ها و سناریوهای معمولی طراحی شده اند. مشکل اینجاست که جرم سایبری مدرن، در لبه ها اتفاق می افتد، نه در مرکز توزیع.

وقتی سیستم شما برای حالت عادی امن است اما برای حالت نادر آماده نیست، عملا دعوت نامه ای برای مهاجم فرستاده اید. مهاجم دقیقا همان حالت نادر را هدف می گیرد.

در تحلیل آماری بیش از صد پرونده، مشخص شد که در بیش از ۷۰ درصد رخنه های جدی، حداقل یک فرض کلیدی امنیتی نقض شده بود که مدیران آن را بسیار کم احتمال می دانستند.

آینده ۲۰۲۶؛ وقتی الگوریتم ها به جای انسان حمله می کنند

تا ۲۰۲۶، بخش بزرگی از تصمیم گیری مهاجمان کاملا خودکار خواهد بود. الگوریتم ها هدف را انتخاب می کنند، میزان تلاش را تنظیم می کنند و حتی تصمیم به توقف یا ادامه حمله می گیرند.

این یعنی دفاع هم باید ریاضی تر شود. دیگر نمی توان فقط با چک لیست و دستورالعمل جلو رفت. باید بتوانیم ریسک را اندازه بگیریم، توزیع آن را بفهمیم و برای بدترین سناریو آماده باشیم، نه محتمل ترین.

جمع بندی نانوشته اما ضروری

جرایم سایبری مدرن را نمی توان فقط با ابزار فنی یا آموزش کاربر مهار کرد. این یک مسئله ریاضی است، با عدم قطعیت، توزیع های پیچیده و تصمیم گیری در شرایط ریسک.

هر جا عدد نداریم، در حال حدس زدن هستیم. و در دنیای جرم سایبری، حدس زدن معمولا به نفع مهاجم تمام می شود.

جرایم سایبریbrute forceرمز عبور
۳
۰
پیمان محمدپور
پیمان محمدپور
پیمان محمدپور هستم کارشناس رسمی دادگستری در رشته جرایم رایانه‌ای، عضو کمیسیون مشاوران سازمان نظام صنفی رایانه‌ای استان تهران و در حال حاضر مدیر تیم جرایم سایبری در فایل فاکس
شاید از این پست‌ها خوشتان بیاید