نوشته‌ها

اصول امنیت اطلاعات شماره 3

در ادامه مبحث ارائه شده در خصوص اصول امنیت اطلاعات در مقاله قبل به معرفی برخی اصول پایه از جمله امنیت فیزیکی، محصولات امنیتی، امنیت رسانه های ذخیره ساز، زیرساخت و ابزارهای ارتباطی پرداخته شد، در این مقاله به معرفی و بررسی سایر اصول و قواعد امنیت اطلاعات، خواهیم پرداخت:

۱۵امنیت نرم افزار: نرم افزارها ممکن است دارای آسیب پذیری ها و حفره هایی باشند که توسط عوامل مخرب قابل بهره برداری شوند. این آسیب پذیری ها علاوه بر اینکه باعث دسترسی غیرمجاز به اطلاعات حساس و طبقه بندی می شود، ممکن است صحت و دسترس پذیری اطلاعات یک سازمان را هم تخریب کند یک مثال واقعی هدف قرار دادن وب سایت عمومی سازمان به منظور قطع دسترسی یا تغییر محتوای آن با اهداف بدخواهانه و سوء است.

نصب و راه اندازی نرم افزار آنتی ویروس و فایروال های مبتنی بر نرم افزار که ترافیک ورودی و خروجی شبکه را محدود و کنترل می کند، نخستین گام موثر برای کاهش ریسک مخاطرات است.

در حالی که امنیت نرم افزار در طول زمان توسط آسیب پذیری ها و اکسپلویت های جدید تنزل می یابد در نتیجه با اقداماتی همچون نصب آنتی ویروس و فایروال نرم افزاری به تنهایی نمی توان امنیت ایستگاه های کاری را حفظ کرد. اطمینان از به روز بودن وصله های سیستم عامل و نرم افزارها و همچنین نگهداری و مجهز کردن آنتی ویروس و سایر نرم افزار های امنیتی به آخرین امضای کدهای مخرب در مقابله با آسیب پذیری های شناخته شده کمک شایانی به امنیت ایستگاه های کاری می نماید.

 باید توجه داشت که هر روزه آسیب پذیری های جدید و ناشناخته ای که به اصطلاح  0day هستند، در فضای سایبر منتشر می شود که توسط آنتی ویروس ها و سایر نرم افزارهای امنیتی قابل شناسایی نیستند لذا سازمان ها باید سازوکار لازم را برای مقابله با این کدها داشته باشد. محدود سازی در اجرای برنامه های کاربردی روی سیستم ها به عنوان برنامه های مجاز، کم کردن سطح دسترسی نرم افزارها به منابع، موجب افزایش امنیت و کاهش خطر انتشار و گسترش کدهای مخرب می گردد. این مساله به عنوان “فهرست سفید” برنامه های کاربردی معروف است. علاوه بر این محدود کردن انتشار اطلاعات درباره نرم افزارهای نصب شده در سازمان، می تواند یک کمک ویژه برای مقابله با خطر نفوذگرانی که به دنبال کشف نقاط حمله و بهره برداری از آسیب پذیری های نرم افزارها هستند، باشد.

بانک های اطلاعاتی دارای حجم وسیعی از اطلاعات هستند که به عنوان ثروت و سرمایه سازمان شناخته می شوند  بنابراین به عنوان یک هدف مطلوب در حملات سایبری محسوب می شود چراکه با انجام یک عملیات هکری اطلاعات گرانبهایی در کمترین زمان در اختیار هکر قرار می گیرد. انتخاب کنترل ها و سیاست های امنیتی مناسب، ممیزی های منظم و حذف تنظمیات پیش فرض و قرار دهی سرور بانک اطلاعاتی در لایه جداگانه و امن شبکه مختص بانک های اطلاعاتی، جلوی دسترسی غیرمجاز به این سیستم گرفته شده و ریسک ناشی از تجمیع اطلاعات کاهش می یابد.

۱۶امنیت ایمیل: ایمیل ها به دلیل اینکه قادرند اطلاعات را به داخل و خارج سازمان منتقل نمایند به طور ذاتی متزلزل و ناامن هستند. امنیت ضعیف ایمیل ها باعث دسترسی آسان و غیرمجاز افراد به اطلاعات حساس و طبقه بندی شده سازمان که در ایمیل ها وجود دارد، می گردد. مهندسی اجتماعی از طریق ایمیل یکی از راه های رایج در انتقال کدهای مخرب به سازمان و آلوده کردن اهداف است. این تکنیک براساس بازکردن یک لینک مخرب یا فایل ضمیمه آن است.

هکرها از این تکنیک برای دستیابی به محل هایی استفاده می کنند که نمی توان به طور مستقیم و با روش های اکسپلویت مستقیم به آنها دست پیدا کرد. به منظور امن کردن ایمیل در برابر این تهدیدات و حملات مهندسی اجتماعی، پیاده سازی، مانیتورینگ، استفاده از تشخیص دهنده اسپم و نگهداری مناسب تنظیمات سرور ایمیل و برنامه کاربردی ایمیل از راه کارهای موثر هستند. اگرچه با استفاده از این تکنیک ها نمی توان قدرت بازدارندگی افراد سازمان را کاهش داد بلکه مهمترین راه حل، آموزش و اطلاع رسانی مناسب کارکنان است.

استفاده از چارچوب سیاست ارسال کننده(SPF) براساس فهرستی از آدرس های IP و امضاهای دیجیتال از دیگر راه کارهای مقابله با ایمیل های جعلی و مخرب است.

۱۷کنترل دسترسی: سازمان ها دسترسی به اطلاعات سامانه ها را از طریق کنترل دسترسی و محدود سازی متناسب اعمال می کنند. فرآیند کنترل دسترسی کاربران در سه مرحله شناسایی موفق کاربران، احراز هویت آنها و در نهایت اعطا و لغو مجوزهای دسترسی صورت می گیرد.

ورود خودکار و سپس ممیزی اطلاعات مرتبط با فعالیت های شبکه می تواند احتمال کشف رفتار خطرناک را افزایش دهد. اختصاص یک شناسه کاربری یکتا به هر کاربر باعث ایجاد مسئولیت پذیری و پاسخگویی به رفتار کاربران می شود. همچنین استفاده از گواهی های کافی برای اطمینان از صحت یک کاربر، احتمال اعمال خطرناک را کاهش می دهد مثلا در حمله مهندسی اجتماعی به درخواست کلمه عبور مجدد (password reset) داشتن دو عامل مثل سوالات خاص و ایمیل اختصاصی یا شماره تلفن همراه برای شناسایی کاربر و ارسال کلمه عبور جدید الزامی است.

استفاده از کلمات عبور پیچیده و طولانی و غیرقابل حدس به عنوان سیاست انتخاب کلمه عبور که می تواند دروازه ورود و بهره برداری کاربران از سامانه های سازمانی باشد، برای ایجاد امنیت مناسب بسیار ضروری است. چراکه حملاتی مانند brute force می تواند کلمات عبور ۶ حرفی را در چند دقیقه بشکند. استفاده از احراز هویت چند عاملی نیز که حداقل از چند عامل مجزا مانند آنچه هست (بایومتریک)، آنچه دارد (توکن رمز شده و کارت هوشمند) و آنچه می داند(عبارت عبور) ترکیب شده باشد، در مقابله با حملات بسیار کارآمد است.

اصولا مجوزهای دسترسی در دو لایه قرار می گیرد. لایه اول مجوز دسترسی به سامانه قابل اتصال به اطلاعات و شبکه که شامل رایانه یا دسکتاپ مجازی یا ابزار موبایل است و لایه دوم نیاز به مجوزهای دسترسی به برنامه کاربردی مورد نظر، بانک اطلاعاتی یا منابع اطلاعاتی در آن سامانه است. استفاده از مکانیزم اعتبار سنجی، حفاظت مضاعفی را برای کاهش مخاطرات در یافتن و استفاده از اطلاعات توسط کاربری به ظاهر معتبر، بوجود می آورد. برای این کار نیاز است از مکانیزم اعتبار سنجی، لاگ گیری و ممیزی قوی جهت دسترسی به اطلاعات استفاده شود تا نفوذگر نتواند به راحتی خود را در قالب یک کاربر معتبر قرار داده و از منابع استفاده نماید. در لاگ گیری، داده های کافی باید نگهداری شود تا به کمک این داده ها در ممیزی آنها بتوان دسترسی های غیرمجاز و تخطی از هرگونه سیاست های امنیتی کشف گردد.

۱۸مدیریت امن: اداره کردن و مدیریت سازمانی امن به سازمان ها این امکان را می دهد که در مقابله با حملات سایبری به حساب های کاربری و دستگاه های حفاظت شده، بتواند نقش انعطاف پذیر، مقاوم و ارتجاعی را ایفا کند. اعمال کنترل های تکنیکی و تنظیمات شبکه منجر به بهبود امنیت اداره کردن آن می شود که نتیجه آن محدود کردن خرابی ها، پاسخگویی چالاک و سریع به رخدادها و تسریع در اقدامات بازیابی و درمان است. به منظور فعالیت های اداره کردن و مدیریت شبکه و دسترسی به دارایی های حیاتی استفاده از دستگاه و رایانه اختصاصی و جدا با امنیت بیشتری نسبت به سایر رایانه ها و همچنین داشتن شبکه با دسترسی اختصاصی برای انجام تنظیمات ابزارها، سخت افزارهای شبکه و سرورها، امری ضروری در ایجاد مدیریت امن است.

۱۹– رمزنگاری: به منظور دستیابی کاربران مجاز و جلوگیری از دسترسی غیرمجاز به اطلاعات، رمزنگاری نخستین مانع است. رمزنگاری به منظور بهبود محرمانگی و حفاظت از اطلاعات حساس و طبقه بندی شده با ایجاد امکان غیرقابل خواندن برای غیرمجازها، پیشگام و بهترین اقدام است. علاوه بر اینها رمزنگاری می تواند در موارد زیر بسیار کمک کننده باشد:

  • صحت داده ها: حفاظت از دستکاری تصادفی و عمدی اطلاعات با اطمینان از تغییر آنها
  • اجازه دسترسی: اطمینان از هویت فردی که خودش ادعا می کند، به منظور محافظت از دسترسی به اطلاعات
  • عدم انکار: اثبات انجام عملی توسط کاربر مانند ارسال یک پیام و جلوگیری از رد این موضوع توسط وی

باید به این نکته توجه داشت که حتی استفاده از رمزنگاری مورد تایید نتایج حملات موفق را کاهش نمی دهد در حقیقت هیچ محصولی در دنیا واقعی عاری از آسیب پذیری نیست. به منظور تایید رمزنگاری باید از الگوها و روش های ارزیابی الگوریتم های رمز که از نظر علمی و فنی می تواند در مقابل حملات مختلف کشف رمز ایستادگی کند، استفاده گردد. اگرچه همواره روش های ناشناخته و جدیدی می تواند صحت این الگوها را خدشه دار کند.

استفاده از هر محصول، الگوریتم یا پروتکل رمزنگاری به تنهایی برای کاهش خطرات احتمالی کافی نیست. الگوریتم و پروتکل تایید نشده و محصول رمزنگاری که به طور نامناسب تنظیم شده اند، موجب افزایش سطح ریسک می شوند.

نصب یک برنامه با قابلیت رمزنگاری می تواند موجب افزایش محرمانگی اطلاعات طبقه بندی شده و حساس در هنگام ذخیره سازی و مبادله شوند. اگر این برنامه به طور صحیحی تنظیم و پیکربندی نشده باشد، ممکن است باعث کاهش امنیت جامع گردد.

در برخی مواقع رمزنگاری اثرات نامطلوبی نیز در امنیت می گذارد به عنوان مثال توانایی سازمان در بررسی ایمیل و ضمیمه رمزشده آن یا پویش فایل ها برای شناسایی ویروس و کد مخرب محدود می شود. بدین منظور باید توجه داشت که از الگوریتم هایی استفاده شود که مورد تایید باشد و همچنین در صورت مواجه با فایل های رمزنگاری متفرقه و تایید نشده از انتشار آنها جلوگیری به عمل آید.

رمزنگاری اطلاعات در هنگام ذخیره سازی موجب می شود که در صورت دسترسی فیزیکی و دستکاری تجهیزات محرمانگی حفظ شود همچنین رمزنگاری داده ها در هنگام انتقال و مبادله می تواند در مقابل استراق سمع، شنود و جعل اطلاعات نقش به سزایی ایفا نماید.

اطمینان از در دسترس بودن اطلاعات رمزنگاری از جمله کلید آن بسیار حائز اهمیت است چرا که در صورت بروز خرابی و از دست رفتن کلید رمزنگاری اطلاعات حساس بلا استفاده می گردند.

مدیریت مناسب سامانه رمزنگاری از جمله مدیریت کلید با بکاربستن مکانیزم حاکمیتی و شاخص های امنیت فیزیکی و کارکنان باعث حفظ صحت و محرمانگی اطلاعات می گردد.

۲۰امنیت شبکه: شبکه های سازمانی دارای اطلاعات و خدمات حیاتی کسب و کار، اطلاعات طبقه بندی شده و حساس هستند. نفوذگران سعی می کنند تا با بهره گیری از نقاط ضعف شبکه ها به اهداف خرابکارنه و دسترسی های غیرقانونی دست یافته و حتی اقدام به تغییر اطلاعات و خدمات نمایند. اگر فرصت دسترسی یک عامل مخرب به شبکه محدود شود، بنابراین فرصت تهدید شبکه کاهش می یابد. سازمان ها تلاش می کنند تا با ایجاد ساختار و تنظیمات مناسب، نقاط احتمالی دسترسی نفوذگران را کاهش دهند.

نکته مهم این است که به منظور کاهش آسیب پذیری های شبکه نه تنها شبکه های داخلی باید امن شوند بلکه شبکه های خارجی باسیم و بیسیم نیز باید از لحاظ امنیتی پایدار و مطمئن باشند. حتی ممکن است ابزارهایی که به شبکه های خارجی متصل می شوند به کدمخربی آلوده شوند که پس از جداسازی از شبکه خارجی به شبکه داخلی متصل گردند و این شبکه را نیز آلوده نمایند.

به منظور ایمن سازی شبکه اقدامات زیر ضروری است:

  • مدیریت جامع شبکه: تمامی سیاست های امنیتی در تمامی بخش های شبکه های یکپارچه باید اعمال شود و آسیب پذیری ها شناسایی و حذف آنها با روش های مدیریت متمرکز شبکه در دست اقدام قرار گیرد، مستندسازی شبکه پس از هرگونه تغییرات ضروری بوده و از مکانیزم های جلوگیری و تشخیص نفوذ و مانیتورینگ و لاگ گیری فعالیت های شبکه استفاده شود.
  • طراحی و پیکربندی شبکه: اجرای کنترل های دسترسی شبکه و کاهش نقاط دسترسی مانند غیرفعال کردن پورت های فیزیکی غیرقابل استفاده، پویش محتوا و فیلترکردن محتوای غیرضروری و اجرای کنترل دسترسی شبکه، امکان حملات را کاهش می دهد. سازمان ها باید مراقب اتصال ابزارهای خاص به شبکه باشند مانند نرم افزارهای کاربردی برای اجرای VOIP که ممکن است آسیب پذیری های اضافی را به شبکه تحمیل کند. در مورد شبکه های بیسیم، تفکیک شبکه، تغییر تنظیمات پیش فرض، فعال سازی احراز هویت و رمزنگاری و امن سازی ابزارهایی که برای اتصال به شبکه بیسیم استفاده می شوند، از جمله اقدامات مهم برای کاهش تهدیدات است.
  • زیرساخت شبکه: کاهش پیچیدگی شبکه و جداسازی بخش ها به طور فیزیکی در شبکه تعداد نقاط دسترسی احتمالی را کم می کند. جداسازی فیزیکی و یا منطقی بخش های شبکه امکان دسترسی مهاجمان را از شبکه مورد تهاجم به سایر نقاط شبکه کاهش می دهد به عنوان نمونه در حملات DDOS که با ایجاد ترافیک غیرمتعارف و ناخواسته برای پایین آوردن سطح یا شکست خدمات انجام می شود، می توان جلوی بهره برداری از قربانیان سایر بخش های شبکه را گرفت. همچنین ایجاد لینک های اضافی و موازی موجب افزایش دسترس پذیری شبکه در هنگام حملات DOS یا رخدادهای احتمالی قطع ارتباط می شود. جداکردن بخش های شبکه رویکرد موثر دفاع در عمق را بوجود می آورد و برای هر بخش در صورت نیاز می توان مکانیزم های کنترلی و امنیتی جداگانه ای در نظر گرفت.

۲۱امنیت دامنه های متقاطع: اتصال یک دامنه امنیتی به دامنه امنیتی دیگر که شامل اتصال به اینترنت نیز هست، خطرات قابل توجهی را برای اطلاعات سازمان به همراه دارد. به عنوان مثال شبکه سازمانی با سیاست های امنیتی منحصر به فرد را به اینترنت که از نظر امنیتی در سطح پایین تری است، متصل گردد. همچنین اتصال شبکه دو بخش مختلف از سازمان یا دو سازمان شریک با شاخص ها و سیاست های امنیتی متفاوت جزء دامنه های امنیتی متقاطع محسوب می شود. مدیریت امن جریان داده در دروازه بین دامنه های امنیتی مختلف و اعمال تدابیر امنیتی می تواند این ریسک ها را کاهش دهد. بکار بردن تدابیر امنیتی شامل فیلتر کردن و فایروال محتوا در دروازه های سیستم و قرارگیری فیزیکی این مولفه ها در مکان مناسب ، خطر انتقال محتوای مخرب را به دامنه های مختلف کم می کند. همچنین قابلیت لاگ گیری و ممیزی به تشخیص رخدادهای امنیتی و اقدام متقابل با آن کمک می کند.

۲۲انتقال داده و فیلترینگ محتوا: هنگامی که داده ها از یک دامنه امنیتی به دیگری منتقل می شود خطر نشت اطلاعات به طور عمدی یا سهوی و دسترسی غیرمجاز به محتوا متصور است. دو اقدام می تواند به کاهش این ریسک کمک نماید:

  • اجرای سیاست انتقال داده: اطمینان از جابجایی اطلاعات بین دامنه های امنیتی به صورت امن
  • بکاربردن فیلترینگ محتوا: اجرای سیاست های امنیتی برای ورود و خروج اطلاعات و داده ها از یک دامنه امنیتی به منظور جلوگیری از ورود داده های مشکوک و مخرب و خروج داده هایی با محتوای حساس و طبقه بندی شده مانند استفاده از سامانه های DLP.

۲۳کارکردن خارج از محل کار: امروزه استفاده از ابزارهای موبایل در حوزه ارتباطات به امری الزامی و غیر قابل تفکیک از زندگی روزمره تبدیل شده است. با استفاده از ابزارهای موبایل، کارکنان می توانند به ایمیل، اینترنت و هر سامانه سازمانی که اجازه برقراری اتصال از راه دور فراهم شده باشد، از خانه، فرودگاه، هتل و… دسترسی داشته باشند. این فناوری دسترسی آسانتر، قابلیت جابجایی، سهولت در کاربری و افزایش کارایی را به همراه دارد. زمانی که یک سازمان از این فناوری استفاده می کند باید ریسک های آن را ارزیابی کرده و بپذیرد. هنگامی که یک دستگاه موبایل از محیط کنترلی سازمان خارج می شود، دیگر تحت حفاظت آن محیط نیست لذا علاوه بر مزایای قابلت جابجایی و کارکردن در خارج از محل کار، ریسک های جدیدی را برای سازمان به همراه دارد. بیشتر از آنچه که ابزارهای موبایل به کمک کاربران و استفاده از داده ها می آیند، نفوذگران می توانند با دستکاری آنها از منابع استفاده بیشتری نمایند.

کنترل ضعیف ابزارهای موبایل خصوصا دسترسی به سایت ها و ایمیل های مبتنی بر وب تهدیدات بیشمار اینترنتی از جمله کدهای مخرب، سرقت کلمات عبور و فایل های حساس را به همراه دارد. کارکنان سازمان به طور سهوی ابزارهای موبایل را به شبکه های سازمانی متصل می کنند که تهدیدات وسیعی را برای شبکه ها به همراه دارد. سازمان ها با اجازه دادن به کارکنان خود برای استفاده از ابزارهای موبایل ریسک بالایی را متحمل می شوند چرا که این ابزارها از کنترل های امنیتی در نظر گرفته شده برای سازمان مانند کنترل های احراز هویت و رمزنگاری بهره نمی گیرند.

وقتی کارکنان از این ابزارها هم برای اهداف شخصی و هم سازمانی استفاده می کنند بنابراین صرفا از قواعد و رفتارهای سازمانی تبعیت نمی کنند به عنوان مثال در هنگام مرور وب سایت ها، روی لینک های ناشناخته کلیک کرده و سایت های ناآشنایی را مشاهده می کنند که ممکن است کدهای مخرب را منتشر کنند. وقتی یک موبایل برای شارژ به رایانه ای متصل می شود امکان انتقال محتوای موبایل به رایانه وجود دارد که ممکن است باعث انتقال کدهای مخرب به رایانه شود.

حفظ حریم خصوصی از دیگر مواردی است که به هنگام استفاده از این ابزارها برای اهداف کسب و کار باید مدنظر قرار گیرد.

جهت کاهش مخاطرات ناشی از ابزارهای موبایل باید سیاست هایی را برای محافظت از این ابزارها توسعه داد که توسط کاربرانشان در خارج از محیط کار و تسهیلات کنترلی و امنیتی قابل اجرا باشند و در حقیقت کارکنان هنگام کار در منزل یا خارج از محیط کار با امکانات امنیتی مشابه محیط کاری سروکار داشته باشند.

به منظور کاهش خطرات ناشی از ابزارهای موبایل اقدامات زیر ضروری است:

  • کاربری قابل قبول: با تهیه و ابلاغ سیاست های امنیتی خاص برای کارکنان و آگاهی آنها از نحوه استفاده از ابزارهای موبایل در محیط های مجاز و غیرمجاز و اطلاع از نوع محتوای قابل انتقال و ریسک انتقال اطلاعات طبقه بندی شده می توان ریسک ناشی از استفاده ابزار موبایل را در دو محیط متفاوت داخل و خارج سازمان کاهش داد.
  • تنظیمات امن موبایل: از آنجایی که موبایل ها در خارج از محل کار نیز استفاده می شود براحتی در خطر سرقت و گم شدن قرار دارند. روش های انهدام اضطراری در صورت از دست دادن دستگاه می تواند جلوی نشت اطلاعات را بگیرد. رمزنگاری مناسب اطلاعات در هنگام ذخیره سازی و انتقال نیز در افزایش امنیت تاثیرگذار است.
  • اتصالات و ارتباطات بیسیم: شبکه های بیسیم به طور ذاتی امنیت فیزیکی شبکه های باسیم را ندارد و نفوذگر می تواند با فرصت بیشتری از راه دور به شبکه نفوذ کند. انتقال بیسیم اطلاعات از طریق فناوری های بیسیم، مادون قرمز و بلوتوث به شبکه های سازمانی محدود و حتی ممنوع است چرا که عامل مخرب می تواند به راحتی در آن اخلال ایجاد کرده و آنها را شنود نماید.
  • تعمیر و نگهداری: به منظور حفظ محرمانگی و صحت اطلاعات ذخیره شده یا درحال انتقال روی یک ابزار موبایل از ممیزی ها و به روز رسانی امنیتی مستمر و منظم باید استفاده نمود. نرم افزارهای امنیتی باید به روز باشند. در تعمیرات موبایل ممکن است داده های حساس از آن به سرقت رفته یا حتی نرم افزارهای مخرب روی آن نصب شود لذا باید از تعمیرگاه های مورد تایید سازمان استفاده نمود.
  • کار در خانه: به منظور کار در خانه و حارج از محل کار نباید از لینک های ضعیف و ناامن برای اتصال به سامانه های سازمانی استفاده نمود و پروتکل های مدیریت امنیت فیزیکی و چارچوب سیاست امنیتی ممانعتی را که در اصول قبلی به آن اشاره شده را رعایت نمود.

نتیجه:

در این مقاله به ارائه مابقی اصول پایه ای در امنیت اطلاعات از جمله امنیت نرم افزار، شبکه، رمزنگاری، موبایل، دامنه های متقاطع و مدیریت امن پرداخته شد. نکته مهم در بکارگیری این اصول، نیاز سازمان با توجه به ساختار شبکه، گستردگی، توسعه پذیری، انعطاف پذیری و سطح اشتراک اطلاعاتی و از همه مهمتر اهمیت اطلاعات و دارایی های سازمانی است. باید توجه داشت که سازمان ها باید این اصول را در تمامی شبکه های خود اجرا و بکارگیری نمایند. در برخی مواقع بنگاه های مختلف، شرکت ها و سازمان ها با یکدیگر همکاری و شراکت می کنند یا حتی ادغام می شوند در این حال نیاز است که پروتکل ها و سیاست ها، چارچوب ها و اصول امنیتی مشترکی تدوین گردد و از یک اصول واحد در امنیت اطلاعات بهره برداری نمایند. این قواعد باید نیازهای امنیتی هر سازمان و نیازهای مشترک آنها را پوشش دهد و اصول امنیتی بیان شده در این مقاله می تواند منبع ارزشمندی برای طراحی، پیاده سازی و اجرای چارچوب امنیتی توسط کارشناسان و متخصصین شبکه و امنیت اطلاعات در این سازمان ها باشد.

مراجع

Department of Defence-Intelligence and Security group. Australian Government Information Security Manual-PRINCIPLES. Australian Government.

VERIZON. DATA BREACH INVESTIGATIONS REPORT. VERIZON.

Sadidafarin.ir

اصول امنیت اطلاعات شماره 2

در ادامه مبحث ارائه شده در خصوص اصول امنیت اطلاعات در مقاله قبل که به معرفی اصول مقدماتی و پیش نیاز پرداخته شد، در این مقاله به معرفی و بررسی سایر اصول و قواعد امنیت اطلاعات که به عنوان قواعد اصلی و پایه ای در نظر گرفته می شوند، می پردازیم:

۸امنیت فیزیکی: امنیت فیزیکی یکی از اقدامات پایه ای در امنیت اطلاعات محسوب می شود. بدون کنترل های کافی در امنیت فیزیکی، سایر تلاش ها برای امن سازی اطلاعات بسیار سخت و حتی غیرممکن است. امنیت فیزیکی نیاز به زیرساخت ها و تجهیزاتی دارد که بتواند خطر سرقت، تخریب و دستکاری را کاهش دهد. امنیت فیزیکی به صورت تک لایه ای مانند کنترل تردد به ساختمان برای مقابله با خطرات کافی نیست و نیاز است از یک رویکرد لایه ای برای کاهش دسترسی های غیرمجاز و خرابی سامانه ها و تجهیزات استفاده شود. در این راستا باید از تجهیزات مختلف و چیدمان لایه ای برای دسترسی مجاز به سامانه ها، زیرساخت شبکه، تجهیزات فناوری اطلاعات و ارتباطات و رسانه ها استفاده کرد. از جمله تجهیزات می توان به کنترل تردد و احراز هویت چندعاملی، دوربین های نظارتی، اطفاء حریق و… اشاره نمود.

۹امنیت کارکنان: کارکنان به عنوان افرادی که می توانند به طور مجاز و قانونی به امکانات، دارایی ها، سامانه ها و سایر افراد سازمان دسترسی داشته باشند، ممکن است به طور عمدی یا غیرعمدی اقدام به بهره برداری غیرقانونی و آسیب رساندن به آنها نماید. سازمان ها باید با شناخت تهدیدات داخلی و استفاده از یک چارچوب مشخص برای امنیت کارکنان، ریسک های ممکن را مدیریت نمایند. حضور کارکنان در اقدامات خرابکارانه، افشای اطلاعات و سرقت تجهیزات، می تواند نقش مهمی را در تخریب اعتبار، عملیات، بهره وری و مالی سازمان داشته باشد. ناآگاهی کارکنان در مورد مسئولیت های امنیتی شان و نقش آنها در حفاظت از سامانه ها و اطلاعات، موجب خرابکاری های غیرعمدی می شود. به عنوان مثال تلاش های مهندسی اجتماعی با هدف سو استفاده از کارکنان در دسترسی ها و دانسته های آنها، می تواند اثرات زیانباری را به همراه داشته باشد و اطلاعات حساسی افشا گردد.

بنابراین ایجاد فرهنگ اطلاع رسانی امنیت از طریق جلسات و برنامه های آموزشی مداوم به منظور ارتقا سطح آگاهی تمامی کارکنان از نقش ها، وظایف و مسئولیت هایشان، انواع حملات و روش های مقابله یک مقوله حیاتی است. همچنین سازمان باید در خصوص آشنایی کارکنان در استفاده از اینترنت اطمینان حاصل کند و تمامی ملاحضات و نکات امنیتی را در هنگام استفاده از اینترنت به آنها متذکر شود. به عنوان مثال در یک سازمان هنگامی که کارکنان از طریق یک ایمیل یا نرم افزار P2P فایلی را دریافت می کنند ممکن است با دور زدن سیاست های امنیتی، نا خواسته کدمخرب و ویروسی را وارد سازمان نمایند که برای مقابله با این گونه خطرات باید کارکنان آموزش لازم را در خصوص ویروس یابی فایل ها قبل از استفاده از آن و انتقال به شبکه، دریافت نمایند. همچنین استفاده از نرم افزارهای P2P که از VOIP استفاده می کنند مانند skype یا سایر نرم افزارهایی که می تواند با پروتکل های خاص فایروال را دور بزند، موجب ایجاد نقاط دسترسی آسیب پذیر در سامانه ها می شود.

با آگاهی دادن به کارکنان در خصوص نرم افزارهای غیرمجاز و مخرب و پروتکل های مختلف و خدمات اینترنتی، سازمان ها می توانند جلوی بسیاری از تهدیدات را بگیرند.

۱۰زیرساخت ارتباطات: با گسترش زیرساخت های ارتباطی سامانه ها و شبکه ها، مدیریت کابل قوی می تواند به حفظ صحت و دسترسی پذیری ارتباطات و محرمانگی و صحت اطلاعات کمک شایانی نماید. مدیریت کابل مناسب، احتمال دسترسی غیرمجاز به طور سهوی یا عمدی را کاهش می دهد. قرار دادن کابل ها به صورت کنترل شده و اطمینان از برچسب گذاری و جداسازی مناسب و امکان دسترسی آسان به آنها جهت بازدید ها می تواند به شناسایی دستکاری های پنهانی یا دسترسی غیرمجاز به کابل ها و اطلاعات توسط عامل مخرب یا خرابی زیرساخت ارتباطات که تاثیر زیادی بر دسترس پذیری اطلاعات دارد، کمک کند. برچسب گذاری کابل ها همچنین می تواند از اتصال تصادفی یک سامانه به سامانه ای دیگر با طبقه بندی پایینتر را که باعث نشت اطلاعات می شود، جلوگیری نماید.

سرمایه گذاری در زمینه مدیریت کابل و ایجاد زیرساخت های مناسب مانند استفاده از فیبرنوری علاوه بر کاهش تهدیدات پیش بینی نشده، سرعت بالاتری را در انتقال اطلاعات فراهم می کند. پیاده سازی در دسترس و قابل مشاهده زیرساخت های کابل باعث کاهش اقدامات هزینه بر در آینده مانند به روز رسانی، اعتبار بخشی و ممیزی، یافتن خطا، مدیریت تنظمیات و بازرسی های دوره ای برای کشف دستکاری و خرابکاری می شود.

خطر تشعشع از تجهیزات و کابل ها فرصتی را برای شنود و رهگیری اطلاعات حساس و طبقه بندی شده فراهم می کند. بعضی از محیط ها که گسترده و در مکان های بیشتری فراگیر شده اند، امکان حملات مبتنی بر تشعشع و پرتوهای سیگنالی را افزایش می دهد. بدین منظور با استفاده از زیرساخت های مناسب کابل و روش های نصب و راه اندازی مطمئن و ایمن در برابر خطر پرتوها مانند شیلد کردن، می توان امنیت اطلاعات را افزایش داد.

۱۱ابزارها و سامانه های ارتباطی: این ابزارها نقش دروازه دیجیتالی برای ورود و خروج اطلاعات به یک شبکه را ایفا می کند و باعث تسهیل افشای اطلاعات به صورت عمدی یا سهوی می شود. به عبارت دیگر این ابزارها یک نقطه دسترسی به سامانه ای را که به آن متصل هستند، به شمار می آیند.

تدوین و بکارگیری سیاست ها و رویه های استفاده از این ابزارها نقش ویژه ای را در کاهش احتمال نشت اطلاعات را بازی می کند به گونه ای که کارکنان اطلاع کافی را از خطرات و روش های حفاظت از اطلاعات در هنگام اسکن، کپی، چاپ و انتقال را کسب نمایند. همچنین موقعیت فیزیکی و نحوه قرارگیری این ابزارها نیز در دسترسی غیرمجاز به آنها تاثیر دارد.

این ابزارها شامل ابزارهای رادیویی و مادون قرمز، بلوتوث، کیبردهای بی سیم و سایر ابزارهای انتقال اطلاعات بی سیم که امکان اتصال به سامانه ها را دارد، شبکه های بی سیم با امکان قرارگیری در معرض سو استفاده، ابزارهای چندکاره فکس، کپی، اسکن و… و همچنین تلفن ها و سامانه های تلفنی است.

به منظور کاهش تهدیدات آنها، شیلد کردن تجهیزات رادیویی و دارای تشعشع، قرار ندادن تجهیزات شبکه های بی سیم با برد بالا و امکان سواستفاده از آن، رمزنگاری اطلاعات در این بسترها و آگاهی کارکنان از خطرات و تهدیدات آنها و اعمال سیاست های امنیتی از جمله اقدامات موثر در این خصوص است.

۱۲نیازمندی های الزامی چارچوب سیاست امنیتی ممانعتی: به منظور مقابله با تهدیدات رایج امنیتی سایبری، ۴ استراتژی برتر باید توسعه داده شود تا این استراتژی ها حملات هدفمند سایبری در اینترنت به شبکه ها و ایستگاه های کاری را کاهش دهد. این استراتژی ها در قالب یک چارچوب که به صورت لایه ای طراحی شده اند، در زیر نمایش داده شده است. این چارچوب لایه ای می تواند حداقل ۸۵% حملات به ایستگاه های کاری در شبکه را پوشش دهد.

  • برنامه‌ Whitelisting یا فهرست سفید: برنامه‌ کنترل اجرای نرم‌افزارهای مجاز
  • وصله برنامه ها :نصب و به روز رسانی وصله های امنیتی و ارتقا برنامه
  • وصله سیستم عامل :نصب و به روز رسانی وصله های امنیتی و ارتقا سیستم عامل
  • اصل حداقل سطح دسترسی :دسترسی کنترل شده و حداقلی برای راهبر شبکه و سایر کاربران

این چهار لایه از جمله مهمترین موارد در جلوگیری از حملات، اختلالات و نشت اطلاعات از ایستگاه های کاری در شبکه است. البته رعایت سایر موارد ممانعتی و جلوگیری کننده نیز به منظور افزایش سطح امنیتی الزامی است.

۱۳محصول امنیتی: استفاده از محصولات امنیتی که قابلیت لازم در کشف و جلوگیری از تهدیدات و آسیب پذیری های جدید داشته باشد، امری مهم است زیرا سازمان ها به منظور مقابله با تهدیدات و حفظ محرمانگی، اعتماد بسیاری به این محصولات می نمایند. بدین منظور باید محصولات امنیتی توسط مراجع ذیصلاح (مراکز و موسسات دارای فناوری و تخصص ارزیابی محصولات و اعطا گواهینامه رتبه بندی) ارزیابی و مورد تایید قرار گرفته و گواهینامه دریافت نمایند. سپس سازمان ها باید از میان آنها محصولات مورد نیاز خود را انتخاب نمایند.

انتخاب، تهیه و تامین، نصب و راه اندازی، تنظیم کردن، نگهداری، بهبود و استاندارد سازی و در نهایت جایگزینی یا حذف محصول، چرخه حیات یک محصول امنیتی است.

انتخاب یک محصول با اطمینان بالا، کمک بسیار زیادی به حفظ امنیت سازمان می کند لذا باید سازمان ها به هنگام استفاده از یک محصول، چرخه حیات آن را در نظر گرفته و  زمانی اقدام به جایگزینی و حذف آن نمایند که یا دیگر نیاز سازمان نیست یا اطمینان و کارایی لازم را ندارد. به عنوان مثال بعضی سازمان ها اقدام به تغییر در فناوری خود نموده از سامانه ها و مکانیزم “ابر” استفاده می کنند، در این زمان بکارگیری فایروال و سامانه مدیریت یکپارچه تهدیدات مبتنی بر “ابر” الزامی است یا رایانه کاربران تبدیل به ابزارهای موبایل و تبلت می شود که نیاز است محصولات امنیتی مانند ضدبدافزارها نیز تغییر نمایند.

۱۴امنیت رسانه های ذخیره سازی: امروزه خطرات بیشماری از سوی رسانه ها و ابزارهای ذخیره سازی و انتقال اطلاعات، سازمان ها را تهدید می کند.استفاده از یک برنامه که رسانه های ذخیره ساز و قابل اتصال به رایانه ها و شبکه ها را مدیریت و کنترل نماید، می تواند کمک قابل توجهی در جلوگیری از خروج و افشای اطلاعات نماید. فرآیندها، سیاست ها و روش های بهینه و مستندسازی آنها که به امنیت رسانه ها کمک نماید علاوه بر جلوگیری از استفاده سو از آنها در حال حاضر، می تواند جلوی تهدیداتی که در آینده متصور است را نیز بگیرد.

تهدید از اینجا ناشی می شود که وقتی سیستم عامل برای اجرای برنامه ای  از روی رسانه مورد نظر، عملکردی را به صورت مجاز تلقی می کند، دیگر نمی تواند تفاوتی بین اجرای قانونی و درست و اجرای مخرب و نادرست آن قائل شود لذا سیستم عامل مورد تهدید واقع می شود. عامل مخرب می تواند از طریق آسیب پذیری های شناخته شده و با اتصال یک فلش به رایانه ای در شبکه، اطلاعات کلید رمز دسترسی به سایر سامانه ها را تخریب یا سرقت نماید. لذا ابزارهایی که به طور مستقیم به حافظه سیستم دسترسی دارند، می توانند عملیات خواندن یا نوشتن به حافظه را توسط عوامل مخرب انجام دهند لذا بهترین راه حل برای مقابله با تهدید این ابزارها، استفاده از ابزارهای کنترلی و یا خراب کردن فیزیکی پورت است تا نتوان ابزاری را به آن متصل نمود.

نتیجه:

در این مقاله به ارائه برخی از اصول پایه ای در امنیت اطلاعات از جمله امنیت فیزیکی، محصولات امنیتی، امنیت رسانه های ذخیره ساز، زیرساخت و ابزارهای ارتباطی پرداخته شد. رعایت و بکارگیری این اصول در امنیت اطلاعات توسط سازمان ها و شرکت ها و حتی افراد نقش چشمگیری را در مقابله با تهدیدات مختلف در فضای سایبر بازی می کند. باید توجه داشت که امنیت اطلاعات یک فرآیند است و به منظور مقابله با آسیب پذیری های فعلی و جدید باید این اصول را به عنوان یک راه حل یکپارچه و به هم پیوسته در نظر گرفت و از آنها استفاده نمود. در مقاله بعد سایر الزامات و اصول امنیت اطلاعات معرفی می گردد.

مراجع

Department of Defence-Intelligence and Security group. (2014). Australian Government Information Security Manual-PRINCIPLES. Australian Government.

Sadidafarin.ir

نرم افزارهای امنیتی تقلبی

مقدمه

نفوذگران همواره به دنبال روش های خلاقانه برای توزیع بدافزارهای خود هستند. در میان رویکردها و روش های مختلف، آنتی ویروس های جعلی (fake Anti-Virus) یکی از حملاتی است که امروزه به عنوان یک روش فعال برای انتشار بدافزارها استفاده می شود. در یک حمله آنتی ویروس جعلی، حمله کننده بدافزار خود را در قالب یک نرم افزار امنیتی قانونی مثل آنتی ویروس، پنهان می کند و کاربر را برای نصب آن متقاعد می کند.

این حملات در فضای سایبری بسیار رشد پیدا کرده است و از طریق آن، حمله کننده ها حتی اقدام به اخاذی و گرفتن مبالغی پول برای نصب آنتی ویروس جعلی می کنند و در برخی موارد سیستم کاربر را در اختیار گرفته تا پولی به حمله کنندگان پرداخت شود. به این بدافزارها، باج افزار (ransomware) گفته می شود. شیوه کار به این صورت است که در هنگام فعالیت کاربر در اینترنت، به او اخطار می دهند که رایانه یا گوشی هوشمند وی به ویروسی مخرب آلوده است و فقط آنتی ویرس مورد نظر که تقلبی است، قادر به پاک کردن آن است. این نوع از بدافزارها نیز به وحشت افزار ( scareware) معروفند. در این بین از او می خواهند که آن را روی رایانه یا گوشی هوشمند خود نصب نمایند. با این اقدام، رایانه یا ابزار موبایل کاربر به یک ویروس یا بدافزار مجهز می شود. در برخی موارد نیز فقط کاربر هزینه ای را برای نصب آنتی ویروس جعلی می پردازد اما آنتی ویروس مذکور هیچ گونه کارایی نداشته و فقط کاربر برای برنامه ای بدون خاصیت و حتی مخرب هزینه کرده است impotenzastop.it.

توسعه دهندگان نرم افزارهای امنیتی تقلبی از ترس و عکس العمل طبیعی انسان در مقابل تهدید استفاده می کنند و بدافزار خود را انتشار می دهند در حالی که کاربر می خواهد بلافاصله تهدید را دفع نماید.

در شکل زیر نمونه ای از باج افزار را مشاهده می کنید.

برای کاربران عادی و حتی حرفه ای دانستن روش های توزیع و مقابله با این بدافزارها که در قالب نرم افزار آنتی ویروس جعلی، پنهان شده اند، بسیار ضروری است. در بسیاری مواقع سازمان ها یا شرکت ها از انتشار بدافزار در میان رایانه ها و شبکه های خود به شدت آسیب دیده اند، بدین منظور سازمان ها نیز باید روش های مقابله ای با این تهدید را شناخته و آنها را در سازمان یا شرکت خود در قالب سیاست یا ابزار خاص پیاده سازی نمایند.

نحوه انتشار آنتی ویروس جعلی

نرم افزارهای امنیتی جعلی با ترفند های مختلف مانند به روز رسانی یک برنامه، تکنیک های مهندسی اجتماعی، استفاده از صفحات pop-up و غیرفعال کردن به روز رسانی ویندوز و آنتی ویروس اقدام به نصب بدافزار به صورت پنهانی و غیرقابل شناسایی و حتی سرقت اطلاعات می کنند. در شکل زیر آنتی ویروس جعلی XP 2008 نشان داده شده است. این آنتی ویروس از برند مایکروسافت برای انتشار خود استفاده کرده است در حالی که توسط مایکروسافت طراحی نشده است.

در زیر روش های انتشار و ترویج نرم افزارهای امنیتی تقلبی بیان شده است:

مرور وب سایت: در هنگام گشت زنی در اینترنت و بازدید وب سایت ها، وب سایتی یک پیغام جعلی را در صفحه یا به صورت pop-up نمایش می دهد و مضمون آن این است که رایانه یا ابزار موبایل تحت تاثیر یک ویروس قرار گرفته و کاربر را ترغیب به دانلود یا خرید ابزار آنتی ویروس جعلی می کند. این گونه پیام ها اصولا کاربران را تحریک می کند تا نرم افزار آنتی ویرس را نصب کنند یا به روز رسانی نمایند یا بدافزار شناخته شده را حذف نمایند. به محض اینکه کاربر پیام را کلیک می کند، نرم افزار امنیتی تقلبی روی سیستم دانلود می شود.

تکنیک SEO poisoning : توسعه دهندگان نرم افزارهای امنیتی جعلی (که عموما ویروس نویس هستند)، از تکنیکی به نام SEO  poisoning  برای قرار دادن لینک دانلود نرم افزار امنیتی مخرب در رتبه های بالاتر موتورهای جستجو استفاده می کنند. SEO (Search   engine optimization)  به معنی بهینه سازی موتور جستجو با تولید محتوای جذاب برای موتور جستجو است، تا رتبه و امتیاز یک سایت در موتور جستجو در جایگاه بالاتری قرار بگیرد. در تکنیک SEO poisoning، نرم افزار امنیتی تقلبی ممکن است در لیست نتایج جستجو و هنگام جستجوی کلید واژه های مرتبط با امنیت رایانه در صفحات اول و در میان فروشندگان محصولات امنیتی معتبر قرار بگیرد. با این روش کاربران ناآگاه ممکن است به یک سایت جعلی رفته و حتی درخواست خدمات پویش آنلاین رایگان را داشته باشند. حتی ممکن است کلید واژه ها فقط به امنیت ختم نشود و موضوعات خبری یا اتفاقات جذاب را نیز شامل شود.

ایمیل: کلاهبرداری فیشینگ امروزه بسیار رایج است لذا دانستن روش های مختلف فیشینگ، برای شناسایی آنها بسیار مهم است. در مورد نرم افزارهای امنیتی جعلی، یک ایمیل فیشینگ توسط کاربر دریافت می شود که از او می خواهد scareware را اجرا و دانلود کند. در این ایمیل فیشینگ، به یک URL اشاره کرده است اما در واقع وب سایتی است که بدافزار در آن قرار دارد. در روش دیگر، کد مخرب به صورت ضمیمه ایمیل قرار دارد که پس از باز کردن آن، کاربر فقط یک عکس، screensaver یا یک فایل آرشیو شده را می بیند. در حقیقت پس از بازکردن فایل ضمیمه، کاربر به طور ناخواسته کدمخرب را اجرا کرده است.

تکنیک Drive-by Download  : نرم افزارهای امنیتی جعلی می توانند همچنین از حمله drive-by download استفاده کنند. این حملات از ضعف‌های امنیتی و به طور خاص آسیب‌پذیری‌های مرورگرهای وب، پلاگین‌ها، افزودنی‌ها و هر چیزی که با مرورگر وب، pdf viewer، حتی email client مرتبط باشد، استفاده می‌کنند. در واقع حمله drive-by download به معنی دانلود ناخواسته و بدون اطلاع برنامه از طریق اینترنت است. با این تکنیک و استفاده از آسیب پذیری های وصله نشده که روی نسخه های قدیمی نرم افزارها وجود دارد، می توان آنتی ویروس جعلی را بدون خواست کاربر منتشر کرد.

تماشای ویدئو آنلاین:  برخی از نرم افزارهای امنیتی تقلبی از طریق دانلود یک کد آلوده و نرم افزار اجباری که به منظور تماشای یک ویدئو آنلاین در سایت ارائه شده، منتقل می شود. بدین منظور باید از روش های امن برای تماشای فایل های ویدئویی آنلاین استفاده نمود.

برنامه های آنلاین مخرب و فایل های آلوده:  رایانه ها و ابزارهای موبایل می توانند از طریق یک فایل PDF یا برنامه جاوا یا فلش مخرب که به عنوان مثال در یک بازی آنلاین جاسازی شده است، به بدافزار یا جاسوس افزار و آنتی ویروس جعلی تجهیز شوند. به منظور مقابله با این فایل های اجرایی و برنامه های آنلاین، باید از آنتی ویروسی که همواره به روز است و ویژگی حفاظت بلادرنگ آن فعال است، استفاده شود.

از طریقP2P  : نرم افزارهای جعلی می توانند در پوشش نرم افزارهای دانلود شده از طریق شبکه های peer-to-peer مانند torrent ها منتقل شود.

نصب برنامه توسط کاربر: آلوده سازی ممکن است از طریق نصب نرم افزارهای رایگان، برنامه های کرک شده یا کپی غیرقانونی انجام شود. هنگامی که از منبع یک برنامه مطمئن نیستید باید هرگام از نصب را به دقت کنترل کنید تا از نصب نرم افزار مخرب در قالب toolbar، add-on و… جلوگیری شود.

در شکل زیر تصویری از یک آنتی ویروس جعلی نشان داده شده است.

نحوه شناسایی و مقابله با آنتی ویروس جعلی

به منظور افزایش شانس جهت مقابله با نرم افزارهای امنیتی جعلی، نخستین گام شناخت نرم افزارهای شناخته شده و معتبر امنیتی است. سایت AV-Comparatives لیستی از این نرم افزارها را ارائه نموده است. همچنین باید نرم افزارهای جعلی امنیتی را شناسایی نمود. در آدرس زیر لیست بیش از ۳۰۰ نرم افزار امنیتی جعلی ارائه شده است.

 http://en.wikipedia.org/wiki/List_of_rogue_security_software

نصب آنتی ویروس معتبر و استفاده از فایروال آن و به روز بودن همیشگی این نرم افزارها می تواند در کاهش این تهدید کمک نماید.

به منظور افزایش ضریب امنیتی، استفاده از نرم افزارهای مانیتورینگ معتبر با ویژگی کنترل و نظارت بر برنامه های نصب شده روی رایانه ها و مانیتورینگ مستمر و دائمی شبکه، می تواند به سازمان ها یا شرکت ها کمک نماید.

کدهای مخرب تلاش می کنند تا حفاظت حقیقی یک سیستم را به خطر بیاندازد بدین منظور با غیرفعال کردن مولفه های امنیتی و نرم افزارهای آنتی ویروس مجاز و اجازه ندادن به کاربر برای پاک کردن نرم افزارهای ناخواسته و غیرمجاز، امنیت سیستم را کاهش می دهند. بعضی از برنامه های جعلی، یک انیمیشن و شبیه سازی از خراب شدن، پاک شدن، راه اندازی مجدد و سایر اتفاقات خطرناک را به قربانی خود نمایش می دهند و او را به شدت تحت تاثیر قرار می دهند. حتی باعث کند شدن رایانه یا ابزار موبایل و رفتار غیر عادی در آن می شود. برخی از این نشانه ها در زیر آمده است:

  • هشدار سیستم از نوع بالون جعلی که توسط برنامه مخرب بوجود می آید. در زیر نمونه ای از آن نشان داده شده است.
  • درخواست خرید/به روز رسانی برنامه امنیتی جعلی به صورت هشدارهای pop-up مکرر و خسته کننده، به کاربر نشان داده می شود.
  • واسط کاربری شبیه یک برنامه آنتی ویروس واقعی، تعداد غیرواقعی از ویروس را نمایش می دهد و ادعا می کند که برای ثبت نام و پاک شدن آنها باید پول پرداخت شود. نمونه ای از آن در شکل زیر مشاهده می شود. که دو ویروس را شناسایی نموده و در خواست ادامه فرآیند را دارد.
  • ظاهر شدن آیکون های جدید و ناشناخته در دسکتاپ کاربر می تواند نشانه ای از وجود کد مخرب و نرم افزارهای جعلی باشد.
  • مرورگر، مکرر پیغام امنیتی جعلی نشان می دهد و کاربر را به وب سایت های مشکوک و دارای گواهینامه نامعتبر هدایت می کند و نتیجه آن browser hijacking است.

نتیجه

نرم افزارهای امنیتی جعلی به هنگام دانلود با خود مولفه های مخرب مانند تروجان, روت کیت، کی لاگر را به همراه دارند.  مولفه های تروجانی، سیستم را تغییر می دهند و آن را آماده و آسیب پذیر در مقابل حمله می کنند، روت کیت نتایج موتور جستجو را به سایت های مشکوک تغییر مسیر می دهد و کی لاگر سعی در ذخیره سازی کلیدهای زده شده از جمله کلمات عبور، داده های کارت اعتباری و … می کند. به منظور مقابله با این نرم افزارها باید از آنتی ویروس معتبر و به روز استفاده نمود. اطلاع رسانی از نحوه انتشار و عملکرد این نرم افزارهای مخرب به کاربران در سازمان یا شرکت می تواند بسیار موثر باشد. مانیتورینگ مستمر وضعیت امنیتی شبکه، اطلاعات مبادله شده، برنامه های نصب شده و تغییر مسیر وب سایت ها به سایت های مشکوک نیز کمک قابل توجهی به امنیت اطلاعات شرکت و حفظ عملکرد بالای سامانه ها می نماید.

منابع :

AV-Comparatives. Rogue security software (fake or rogue Anti-Virus). Retrieved from http://www.av-comparatives.org/it-security-tips/rogue-security-software-fake-rogue-anti-virus/

آسیب‌پذیری جدیدی که هدف آن چیپ‌های بلوتوث است !

کشف آسیب‌پذیری جدیدی که چیپ‌های بلوتوث را هدف می‌گیرد

آسیب پذیری شناسایی شده در چیپ های بلوتوث یک کمپانی معروف آمریکایی شبکه های سازمانی را به خطر انداخته است. محققان اخیرا دو حفره امنیتی خطرناک را در چیپ های بلوتوث کمپانی تگزاس اینسترومنتس یافته اند که در اکسس پوینت های بی سیم شرکت هایی نظیر سیسکو، مراکی و اروبا تعبیه شده و شبکه های سازمانی را در معرض خطر قرار می دهد. این آسیب پذیری توسط متخصصان امنیتی ارمیس پیدا شده و آن را BLEEDINGBIT نامیده اند. هکرها با استفاده از این حفره می توانند به شبکه های سازمانی نفوذ کرده، کنترل اکسس پوینت ها را در دست گرفته و بدافزارها را در سراسر شبکه پخش کنند. آنچه که داستان را بدتر می کند این است که نفوذ مهاجمان و اقدامات آنها در شبکه های سنتی یا از طریق راه حل های امنیتی کاربر نهایی قابل شناسایی و توقف نیست.

BLEEDINGBITدو شکل دارد که حالت اول آن چیپ های بلوتوث cc2640 و cc2650 تعبیه شده در اکسس پوینت های سیسکو و مراکی را هدف قرار داده است. هکرها با هدف قرار دادن این چیپ حافظه BLE را مختل کرده و کنترل کامل اکسس پوینت را به دست می گیرند.

حالت دوم نیز چیپ cc2540 موجود در اکسس پوینت های سری ۳۰۰ اروبا و قابلیت دانلود فرمور آن را تحت تاثیر قرار می دهد. دلیل این امر در پشتی پیش فرضی است که در فرمور به کار رفته و امکان دانلود بروزرسانی را به کاربر می دهد. هکرها با سوءاستفاده از این قابلیت می توانند نسخه ای کاملا متفاوت از فرمور را روی چیپ نصب کرده و سیستم عامل آن را بازنویسی کنند که در نهایت به نفوذ در شبکه منجر می شود.

کمپانی های اروبا و مراکی که تحت نظر سیسکو قرار دارد، از تعامل با مشتریان و انتشار اصلاحیه های امنیتی خبر داده اند.

 منبع : https://digiato.com/

(WAF (Web Application Firewall

(WAF (Web Application Firewall

WAF یک فایروال عموماً  نرم افزاری هست که برای شناسایی و جلوگیری از انواع حملات و تهدیدات روی بستر Web از آن استفاده میشود ، از جمله این حملات میتوان به حملات Hidden Field Manipulation  ، Cookie Poisoning ، Parameter Tampering  ، Buffer Over Flow  ، XSS ، Backdoor  ،  Stealth Commanding  ،  Forced Browsing ، Third Party Misconfiguration  ، SQL Injection و بسیاری دیگر از حملات که از حفره های امنیتی شناخته شده در بستر Web استفاده میکنند ، اشاره کرد .

تفاوت اصلی میان یک فایروال معمولی و WAF سر این میباشد که یک فایروال معمولی صرفاً میتواند ارتباط بین وب سرور و اینترنت را امن نماید (این کار را در سطح لایه 3 و 4 انجام میدهد.) در حالی که WAF با بررسی کردن محتوای هدر HTTP و مقایسه آن با الگو های حملات که در دیتابیس خود دارد و یا با مشاهده رفتار غیرعادی در سیر محتوای ارسالی و دریافتی ، حملات را شناسایی کرده و آنها را بسته به سیاست تعیین شده در تنظیمات خود مانیتور ، Drop و یا Reject  میکند به همین دلیل ممکن است که یک ترافیک از دید فایروال یک ترافیک سالم باشد اما از دید WAF  بعنوان یک ترافیک مخرب و یا حمله شناسایی شود لذا WAF معمولاً پشت فایروال و جلوی WebSite و یا Web Application Server  قرار میگیرد .

WAF را میتوان بصورت نرم افزاری ، سخت افزاری و سرویس Cloud  ارائه داد که شرکت های زیر میتوان بعنوان موفقترین و بهترین شرکت ها در ارائه WAF نام برد :

AKAMAI Technology https://indegenerique.be

Fortinet

Sophos

CloudFlare

F5 SilverLine و … .

هفت کاری که در دنیای آنلاین می بایست از انجام آنها دوری کنیم!

ترجمه و تدوین: تیم فنی ICTN

منبع: kaspersky.com

درهنگام آغاز به کار اینترنت، کار کردن با آن به سادگی امروز نبود، در آن دوران کاربران به منظور اتصال به اینترنت می بایست کارهای زیادی را انجام می‌دادند و از طریق سیم تلفن و ارتباط Dial-up به اینترنت متصل می شدند. در میان پیشتازان دنیای آنلاین در آن زمان و با توجه به تعداد کم آنها، اخلاق و رفتار آنلاین با هدف ایجاد امنیت مسئله مهمی به حساب نمی آمد.

اما امروزه همه چیز در حال پیشرفت است و شبکه های وای فای در همه جا وجود دارند و امکان اتصال به شبکه‌‌های اجتماعی را فراهم می آورند. در ابتدا تمام سختی‌‌ها و عبور از موانع به منظور ورود به شبکه‌‌ جهانی وب انجام می شد، اما در دنیای امروز اتصال و برقرار نگه داشتن آن بسیار ساده است، به گونه ای که از خردسالان تا افراد مسن می‌توانند با دستگاه هایی نظیر تبلت‌‌ها به اینترنت متصل شوند و به هرجای آن بدون هیچ محدودیتی سرک بکشند. در حال حاضر ما می‌توانیم در فضای وب به خرید و فروش بپردازیم، از امکانات بانکی بهره ببریم، کار کنیم و به شبکه های اجتماعی متصل باشیم، اما باید مد نظر داشته باشیم که این زیست بوم[1] پر از مخاطرات و مجرمان سایبری است.

7-things-01

ما بیش از هر چیز اغلب در زمینه مراقبت بیشتر در فضای مجازی صحبت کرده‌ایم، اما بی‌احتیاطی ها همچنان در این زمینه به تعداد زیادی دیده می شود. با این فرض ۷ نکته وجود دارد که بسیاری از آن‌‌ها موارد مشترک و یا تله‌‌هایی است که هریک از ما ممکن است هر روز در دام آن‌‌ها اسیر شویم، بنابراین به منظور جلوگیری ازاین موارد پس از مطالعه این مقاله بلافاصله انجام برخی کارها را متوقف کنید، شاید ایجاد لیستی از نبایدها ایده مناسبی باشد:

1- اعتماد به ‌وای‌فای های همگانی[2]

هر آنچه که در زمینه یک ‌وای‌فای‌‌های همگانی ‌وجود دارد می‌تواند برای شما مخاطره آمیز باشد. قبل از اتصال به ‌وای‌فای همگانی نسبت به امن بودن آن اطمینان حاصل کنید، زیرا به عنوان مثال مجرمان سایبری ممکن است ‌یک شبکه وای‌فای با نام های رایج ایجاد نمایند، مانند ” وای فای رستوران عطاویچ” یا “مهمانان هتل لاله”.

پس از اینکه از این امر مطمئن شدید که یک شبکه وای فای همان چیزی است که به نظر می رسد باز هم این امر به معنی نیست که این شبکه کاملا عاری از مخاطرات است و “وای فای کتابخانه” با کلمه عبور “کتاب بخوانید!” واقعا متعلق به کتابخانه است و مجرمان سایبری در این شبکه در کمین شما نیستند. اگر شما مجبور هستید که به اینگونه ‌وای‌فای ها متصل شوید، تا حد ممکن موارد ایمنی را مد نظر داشته باشید؛ از مراجعه به وب سایت ‌هایی که نیاز به ورود شناسه کاربری و رمز عبور دارند خودداری نمائید، به خصوص از تراکنش های بانکی پرهیز کنید. در یک کلام، کارهای بانکی و خرید‌‌های آنلاین انجام ندهید و اگر امکان دارد از وی پی ان[3] استفاده کنید.

7-things-02

2- انتخاب کلمه های عبور ساده و قابل حدس

نام حیوانات خانگی، تاریخ تولد ها، نام های خانوادگی و امثال آنها کلمه های عبور امنی نیستند. به جای استفاده از این قبیل کلمات عبور از کلمات عبوری استفاده کنید که توسط دیگران قابل حدس زدن نباشند و از ابزار چک کننده کلمه عبور کسپرسکی(اینجا) که به منظور تست کردن مقاومت رمز عبور طراحی شده است و کمک می‌کند تا کلمه عبور ایمن و مناسب را انتخاب کنید، بهره ببرید.

خبر خوب این است که یک پسورد مطمئن لزوما یک رشته از حروف و کارکترهای عجیب و غریب مشابه”L)k[V/u,p%mA+m”  که به سختی قابل به ذهن سپردن است، نیست. برای ایجاد کلمه عبوری مطمئن می توانید از روش های که در مقاله “کلمه های عبور قدرتمندی که به آسانی قابل به خاطر سپردن هستند” نیز بهره ببرید.

3- استفاده مجدد از کلمه های عبور

هنگامی که یک کلمه عبور قدرتمند انتخاب کردیدکه به اندازه کافی مقاوم است، به آسانی به یاد سپرده می‌شود و به سختی قابل دستیابی است، آیا همه چیز تمام است؟ پاسخ این سوال خیر است، زیرا شما به کلمات عبور بیشتری نیازمندید. کلمه عبور شما باز هم می تواند توسط هکرها حدس زده شود. آنها برای اینکار از روش هایی نظیر مقایسه آن با پایگاه داده های عظیم هک استفاده می کنند. اگر از یک کلمه عبور برای حساب های کاربری ایمیل، بانک، آمازون، فیس بوک و … استفاده نمائید، امکان این دستیابی بیشتر خواهد بود.

4-  کلیک بر روی لینک‌‌ها در ایمیل‌‌ها

چه کسی فکر می‌کند، کلیک کردن بر روی لینک‌ هایی در ایمیل ها وجود دارند ایده خوبی است؟ کاملا درست است، بسیاری از افراد به علاوه مجرمان سایبری نیز همین تصور را دارند! با کلیک نمودن بر روی یک هرزنامه[4] یا ایمیل فیشینگ می تواند شما را به وب سایتی هدایت نماید که این وب سایت به شکل اتوماتیک اقدام به بارگزاری بدافزار‌ها بر روی سیستم شما نماید و یا به مکانی در وب هدایت شوید که ممکن است برای شما آشنا باشد اما کلمه عبور شما را به سرقت ببرد. حداقل اتفاق ممکن این است که با کلیک کردن بر روی هرزنامه ها فرستنده آنها متوجه خواهد شد که شخصی پیام را باز کرده است و این فرد می تواند قربانی بالقوه بعدی باشد.

توجه کنید: به هیچ وجه در شبکه های اجتماعی مانند فیسبوک بر روی لینک ‌هایی با عناوینی نظیر این کلیک نکنید:”اگر موافقید که شکنجه حیوانات کار اشتباهی است، این مطلب را لایک کنید و به اشتراک بگذارید تا برنده یک گوشی آیفون شوید!” اگر به این لینک توجه نکنید در بهترین حالت، چیزی برنده نخواهید شد، اما در این صورت شما به کسب وکار کلاه برداران و مجرمان سایبری رونقی نداده اید، اما با همه اینها می بایست بپذیریم که همواره خطر نصب بدافزار‌ها را بر روی سیستم شما وجود دارد. (که در این گونه موارد کسپرسکی می تواند (در این مقاله) به کمک شما بیایید، اما بهتر است قبل از مواجه به مخاطرات این بدافزار‌ها از ورود آنها  به سیستم خود پیشگیری کنید.)

5- قرار دادن اطلاعات حساب کاربری خود در اختیار دیگران

تنها راهکار برای اینکه مطمئن باشید که هیچ‌ شخصی اطلاعات شما را در اختیار ندارد، این است که این اطلاعات را به طور کامل نزد خود نگهداری کنید.

6- اعلام اینکه در خارج از شهر یا مسافرت هستید، در اینترنت

اگر “دو هفته به سواحل آنتالیا تشریف می برید و یا به سرزمین هزار معبد سفر کرده اید!” کسی می تواند به آسانی از نبود شما آگاه شود؟ آیا از اطلاعات جغرافیایی که عکس ‌ها به اشتراک می‌گذارند، مطلع هستید؟ این اطلاعات را فقط با دوستان مورد اعتماد خود به اشتراک بگذارید، به خصوص در شبکه اجتماعی مانند فیسبوک که محل جغرافیایی شما را نمایش می دهد محتاط تر عمل کنید.

7-things-03

7-  پذیرش تنظیمات پیش فرض شبکه‌‌های اجتماعی

به طور کلی شبکه‌‌های اجتماعی بخشی از اطلاعات تحت کنترل شما را به منظور ارتباطات عمومی، ارتباط با افراد مرتبط،  برنامه‌‌های دیگر و… به انتشار عمومی می گذارند. اما شما به این ترتیب ممکن است که مجبور شوید این تنظیمات را گاهی به سختی بیابید و آن‌‌ها را از وضعیت پیش فرض تغییر دهید. سعی کنید پیش از ایجاد یک حساب کاربری جدید، ۵ دقیقه زمان صرف جستجو در زمینه تنظیمات امنیتی و حریم خصوصی این وب سایت نمائید و برای تعیین اینکه چه اشخاصی به چیزهایی که شما یه اشتراک گذاشته اید دسترسی داشته باشند، در حساب های کاربری فعلی خودتان چند دقیقه در ماه وقت صرف کنید.

در پایان پیش از آنکه مطلبی را در هریک از شبکه های اجتماعی که در آن عضو هستید قرار دهید و برای دوستانتان به اشتراک بگذارید، تنها چند لحظه تفکر کنید که آیا اطلاعات ارسالی شما به غریبه ها در دسترسی به اطلاعات شخصی و یا آسیب رساندن به شما کمک می کند؟ اگر اینطور است اقدام به ارسال آنها ننمائید.

به طور کلی، به پیام‌‌های خطر و یا آگاهی بخش و همچنین موارد مشکوک در زندگی الکترونیک خود توجه کنید. سرویس های تحت وب که توسط ارائه دهندگان ‌شبکه ها بی سیم به منظور دسترسی به خدمات بانک‌‌ها و شبکه‌‌های اجتماعی ارائه می شوند، می کوشند تا احساس راحتی و سهولت را برای کاربران در هنگام استفاده از سرویس ایجاد نمایند، اما مجرمان سایبری به شما همچون یک کیف پر از پول می نگرند، بنابراین آیا خود را برای هوشمندی بیشتر در فضای مجازی آماده کرده اید؟

[1] ecosystem

[2] open Wi-Fi

[3] VPN

[4] Spam

با این واقعیت روبه رو شوید سازمان شما مورد نفوذ قرار خواهد گرفت

با این واقعیت روبه رو شوید: سازمان شما مورد نفوذ قرار خواهد گرفت!

گردآوری و ترجمه: تیم فنی ICTN

منبع: Elsevier Network Security Journal

مسئله بسیار ساده است: امنیت سایبری[1]کارآیی مناسبی ندارد. تعداد زیادی از کسب و کارها مورد نفوذ قرار گرفته اند و دولت ها در سطح جهانی درحال درک این نیاز هستند که برای محافظت از سرویس ها و زیرساخت های حیاتی خود باید سرمایه گذاری وسیعی انجام دهند. هنگامی که محتاطترین رئیس خزانه داری بریتانیا در یک دوره زمانی اقدام به قطع 1.9 میلیارد پوند از بودجه مبارزه با تهدیدات سایبری نمود، واقعیت نه چندان خوشایند خود را  نشان داد، سازمان ها و کسب وکارها در هر اندازه ای نیازمند انجام فعالیت های حفاظتی بیشتر شدند.

امروزه مدل های امنیت تدافعی[2] کاملا ناکارآمد نیستند، اما ساده انگارانه به نظر می رسند. وقتی فایروال ها به آسانی دور زده می  شوند و بیش از شش ماه  طول می کشد، تا یک نفوذ مورد شناسایی قرار گیرد، اتکا به روش های سنتی کنترل دسترسی و شناسایی و محافظت در برابر تهدیدات سایبری، مشخصا کافی به نظر نمی رسند.

اعلام عمومی یک نفوذ به اندازه کافی بد به نظر می رسد، از این رو هیچ مدیرعاملی خواستار تائید این امر برای رسانه ها نیست که سازمانش هیچ ایده ای در این زمینه ندارد که نفوذ صورت گرفته فاجعه بار است یا ناچیز و یا اینکه چه مدتی است که یک تهدید مورد شناسایی قرار نگرفته است. مسلم است که سازمان ها نیازمند روش های دیگری برای جلوگیری از نفوذ هستند و در گام اول تنها می بایست این واقعیت را بپذیریند که نفوذ در حال حاضر اتفاق می افتد و پس از آن تنها با ایجاد یک محیط بسته و محدود است که سازمان ها می توانند از رخدادهای مضری که هر روز اتفاق می افتند، دور بمانند. اکنون زمان آن رسیده است که با عدم کارآیی مدل های تشخیص و حفاظت در برابر نفوذ فعلی روبه رو شویم. سازمان ها از این پس می بایست برای عدم روبه رویی با سرنوشت سازمان هایی که مورد دسترسی هکرها قرارگرفته اند، خود را تغییر دهند.

     

برنامه امنیتی

دورنمای تهدیدات سایبری دوباره تکامل یافته است و نقاط ضعف موجود تقریبا هر روز آشکارتر می گردند. واقعیت این است که در حالیکه سرمایه گذاری قابل توجه ای در فاز تشخیص و جلوگیری از تهدیدات به منظور مشخص نمودن نفوذ به شبکه سازمان ها اساسی به نظر می رسد، اما باز هم تکنولوژهای این حوزه برای محافظت سازمان ها کافی نیستند. باید پذیرفت که وجود یک مدل امنیت تدافعی که شامل فایروال ها، آنتی ویروس ها، ابزارهای نظارت صحت فایل ها و کنترل دسترسی است، در سازمان ها اساسی و حداقلی است، زیرا بدون آن، کسب وکارها اطلاعات حساس خود را از دست خواهند داد و زیرساخت های اساسی آنها در معرض نفوذ خواهند بود. اما به هر جهت پس از اتفاقی که برای کمپانیTalkTalk[3] (اشاره به حمله سایبری به مشتریان این شرکت در سال 2015[4]) افتاد، مشخص شد که مدل امنیتی که امروز از آن بهره می بریم، با شکست مواجه شده است. براساس تحقیقی که توسط انستیتو Ponemon به نمایندگی از Arbor Networks انجام شده است، هنگامی یک نفوذ رخ می دهد، به طور متوسط برای شرکت های خدمات مالی 98 روز و برای کسب و کارهای خرده فروشی 197 روز زمان می برد تا این نفوذ مورد شناسایی قرار گیرد. این امر به هکرها اجازه می دهد که نظارت بر شبکه و سرقت اطلاعات را تا بیش از 6 ماه بدون شناسایی شدن ادامه دهند. مشکل دیگر این است که روش هایی که مجرمان سایبری برای به دست آوردن دسترسی به شبکه ها استفاده می کنند، تغییر کرده است. امروزه تخمین زده می شود که 95% نفوذها در نتیجه در معرض خطر گرفتن کارکنان، اغلب از طریق حملات فیشینگ[5] اتفاق می افتد.

برای شرکت های خدمات مالی 98 روز و برای کسب و کارهای خرده فروشی 197 روز زمان می برد تا نفوذ به آنها مورد شناسایی قرار گیرد.

درسی که مدیر فناوری اطلاعات یک سازمان می بایست از این موضوع بگیرد این است که: برنامه ها و اطلاعات به اندازه ای امن هستند که کاربران و اشخاصی که برای آنها دسترسی ایجاد کرده اید، امن باشند. هنگامی که یک مهاجم از یک هویت تائید اعتبار شده برای دسترسی به یک شبکه کامپیوتری بهره می برد، وجود فایروال بی فایده خواهد بود. به علاوه این فرض که یک کاربر در شبکه داخلی یک سازمان را می توان مورد اعتماد در نظر گرفت نیز کاملا منسوخ شده، است. فایروال ها نمی توانند این قبیل حملات را متوقف کنند زیرا مهاجمین ابتدا یک کاربر و دسترسی های او را در اختیار می گیرند و پس از آن می توانند درون یک سازمان حرکت کرده و به هر نرم افزار حساس دیگری دسترسی یابند.

access

یکی از روش هایی که در مقابل اینگونه حملات به برنامه ها کارآمد است، بخش بندی شبکه براساس نرم افزارهاست، بدین ترتیب که یک کنترل دسترسی سخت گیرانه به منظور محدود نمودن کاربران به گونه ای اعمال می شود که کاربران تنها به نرم افزارهایی دسترسی یابند که برای انجام وظایف شغلیشان می بایست به آنها دسترسی داشته باشند. این کنترل دسترسی می بایست هم به کاربران داخلی و هم خارجی سازمان اعمال شود. بنابراین اگر کاربری مورد حمله قرار گیرد، مهاجم تنها به زیرمجموعه کوچکی از نرم افزارها و اطلاعات یعنی آنهایی که آن کاربر خاص به آنها دسترسی دارد، دسترسی خواهد داشت و اگر مهاجم تنها یک بار برای بالا بردن و یا افزایش حق دسترسی آن کاربر به منظور دسترسی به اطلاعات حساس و حیاتی دیگر سازمان اقدام نماید، سازمان این شانس را خواهد داشت که نفوذ را مورد شناسایی قرار دهد. اما تکنولوژی های فعلی تشخیص و محافظت در برابر تهدیدات سایبری، در ارائه یک راهکار امنیتی همه منظوره به طور مشخص در حال شکست خوردن هستند.

نفوذ اتفاق خواهد افتاد!

به منظور دستیابی به مدلی برای مهار نمودن نفوذ به سازمان ها، آنها می بایست به طور متفاوتی نسبت به طراحی معماری امنیت سازمان بیاندیشند. نفوذها همواره در حال وقوع هستند و سازمان ها می بایست بپذیرند که نفوذ به آنها یا تاکنون اتفاق افتاده است و یا بدون هیچ اخطاری در حال اتفاق افتادن در محیط سازمانی است. می بایست این درک و شناخت ایجاد شود که هدف نهایی فعالیت های امنیتی، مهار نفوذ (چه شناخته شده و چه ناشناخته) و به حدقل رساندن خطر گسترده شدن آن در سیستم است. می بایست تاکید نمود که در دنیای امروز ساختن دیوار به دور ساختمان به تنهایی دیگر باعث جلوگیری از ورود به ساختمان نمی شود، برای کاهش نفوذ می بایست بخش های مختلف زیرساخت ها را با دروازه هایی (آتشین) از هم جدا نمود.

اگر این فرض منطقی را بپذیریم، چالش اصلی یافتن بهترین روش برای تقسیم بندی زیرساخت های شبکه به بخش های است که تهدیدات در آنها قابل مدیریت باشد. برای اغلب متخصصان فناوری اطلاعات منطقی ترین روش ایجاد بخش های کوچک در بین لایه های شبکه است. در حالی که این روش محدودیت های فراوانی است به خصوص وقتی که شبکه های سازمانی به قدر کافی با ثبات نیستند و هر زمانی که تغییری در لیست های کنترل دسترسی[6] ایجاد می شود، یک خطر احتمالی برای باز شدن راهی به منظور دور زدن فایروال ایجاد می شود. علاوه بر این، در محیط های دارای دستگاه های سیار یا مبتنی بر رایانش، محل هایی که از خارج از سازمان کنترل می گردد، پیاده سازی استراتژی نقطه به نقطه[7]  و با ثبات به آسانی ممکن نیست.

کاربران و نرم افزارها

سازمان ها می بایست به عقب بازگردند و چشم انداز واقعی کسب وکار خود را با تمرکز بر کاربران و نرم افزارهای مورد استفاده آنها بازنگری کنند. باید به این پرسش مهم پاسخ داده شود:

(چه کسی می بایست به چه اطلاعاتی دسترسی داشته باشد؟)

با تصحیح سیاست های موجود دسترسی کاربران و مدیریت آنها، سازمان ها می توانند از بخش بندی های مبتنی بر رمزنگاری برای حصول اطمینان از اینکه تنها کاربر مجاز به اطلاعات مشخص دسترسی دارد بهره ببرند. هر بخش رمزنگاری دارای کلید رمزنگاری مختص به خود است، که باعث می شود جابه جایی مهاجم از یک بخش به بخش دیگر غیرممکن شود. محدود نمودن امکان دسترسی به بخش های دیگر (که عامل بسیاری از نفوذها است) باعث می شود که افزایش حق دسترسی کاربر به منظور دسترسی به اطلاعات مهم و حیاتی به آسانی صورت نگیرد. با استفاده از این روش یک سازمان می تواند دامنه نفوذ را به محدوده کوچکی (در مقابل کل سازمان) محدود سازد و اینکار مسلما نیازمند طراحی و ایجاد سیاست های امنیتی جدید در زیرساخت های شبکه است. اما نکته دیگر این است که هنگامی که یک نفوذ اتفاق می افتد با بهره گیری از سیاست بخش بندی، سازمان ها می توانند بلافاصله ابعاد و وسعت نفوذ را مشخص نمایند. این امر سازمان را قادر می سازد تا به جای از دسترس خارج کردن تمامی زیرساخت های سازمان، تنها محدوده مورد نفوذ قرار گرفته شده را محدود سازد. فراتر از آن اینکه سازمان پاسخ های قابل اعتماد و دقیقی برای رسانه ها، سهامداران و مشتریان خود خواهد داشت.

یک طرز فکر جدید

بدون شک در حوزه امنیت سایبری نیازمند یک تغییر نگرش و تفکر هستیم. تا زمانی که سازمان ها به سختی برای ایجاد یک استراتژی امنیت تدافعی مشغول به کار هستند و متخصصان امنیت عموما یک سیاست محدود کننده کاملا از پیش تعریف شده را برای امن سازی بخش های زیرساختی سازمان ها پیشنهاد می دهند، مشخصا زمان آن فرا رسیده است که تغییرات اتفاق بیافتند. با وجود این برخی سازمان ها به شکل ساده انگارانه ای به اعمال محدودیت در سطح شبکه دل بسته اند، در حالی که این روش ها در دورنمای واقعی تهدیدات در حال شکست خوردن هستند. اعتماد به روش های کنترلی مبتنی بر شبکه بر احتمال مخاطرات می افزاید(مطمئنا آن را کاهش نمی دهد) و عبور از این سطح کنترل ها به سادگی قابل انجام است.

تنها با پیاده سازی یک روش بخش بندی مبتنی بر کاربر-نرم افزار است که یک سازمان می تواند به اصل موضوع یعنی مهار نمودن یک نفوذ در یک بخش مشخص و محدود دست یابد. بدین طریق یک مهاجم دیگر نمی تواند کلید رمزنگاری را دور زده و دسترسی اش را افزایش دهد و به اطلاعاتی در بخش دیگر که تنها توسط کاربران آن بخش قابل دسترسی است، دست یابد. سازمان نیز بلافاصله از میزان نفوذ و کاربران و اطلاعاتی که تحت تاثیر آن قرار گرفته اند، اطلاع می یابد.

تخمینی درست از ابعاد نفوذ صورت گرفته بسیار کلیدی است، به این علت که هیچ مدیر عاملی نمی خواهد در موقعیتی باشد که مدیرعامل[8] شرکت TalkTalk در آن قرار داشت، زیرا او مجبور بود اعتراف کند که شرکتش هیچ اطلاعی از وسعت نفوذ و تعداد مشتریانی که اطلاعاتشان مورد دسترسی مهاجمین قرار گرفته است، ندارد. یک استراتژی مهار نفوذ با کارایی مناسب، هم وسعت نفوذ را به حداقل می رساند و هم گزارشی شفاف و مشخص برای مشتریان و سهام داران فراهم می آورد. درست است که اضافه نمودن یک لایه دیگر به استراتژی امنیت تدافعی که خود در حال حاضر به اندازه کافی پیچیده است، ممکن است کاری دشوار به نظر برسد، اما همانطور که جورج اوزبون[9] در زمانی که ریاست خزانه داری بریتانیا را برعهده داشت، گفته است:

دستیابی به حق امنیت سایبری نیازمند تفکری جدید است.

[1]Cyber-Security

[2] Defense-in-Depth Security Model

[3]TalkTalk Telecom Group plc is a company which provides pay television, telecommunications, Internet access, and  mobile network services to businesses and consumers in the United Kingdom.

[4]برای کسب اطلاعات بیشتر می­توانید به این لینک مراجعه کنید:

https://www.theguardian.com/business/2015/nov/06/nearly-157000-had-data-breached-in-talktalk-cyber-attack

[5]Phishing Attacks

[6]Access Control List

[7]End-to-End

[8] Baroness Dido Harding CEO of TalkTalk

[9] George Osborne

مشکل امنیتی خطرناک در لینوکس!

مشکل امنیتی خطرناک در لینوکس! (امکان افزایش حق دسترسی در هسته لینوکس)

گردآوری و ترجمه: تیم فنی ICTN

منبع:   Redhat.com و Computerworld.com

 

متخصصان امنیتی لینوکس وجود یک آسیب پذیری مهم در زمینه امکان افزایش حق دسترسی کاربر در هسته لینوکس را اعلام نموده اند. این آسیب پذیری در حال حاضر بسیاری از تجهیزات کامپیوتری نظیر سرورها، دسکتاپ ها و دیگر دستگاه های مبتنی بر لینوکس را در معرض خطر جدی قرار داده است.

این آسیب پذیری که با کد CVE-2016-5195 ثبت گردیده است، در 9 سال گذشته بر روی هسته لینوکس وجود داشته است و این بدین معنی است که بسیاری از نسخه های هسته لینوکس که بر روی دامنه وسیعی دستگاه های سروری و کلاینتی و … در حال استفاده هستند، تحت تاثیر این آسیب پذیری قرار داشته و دارند.

%d8%b4%da%a9%d8%a7%d9%81-%d8%af%d8%b1-%d9%87%d8%b3%d8%aa%d9%87-%d9%84%db%8c%d9%86%d9%88%da%a9%d8%b3

تیم امنیت Redhat این نقص امنیتی را یک “شرایط رقابتی[1]” توصیف می نمایند که در زمانی رخ می دهد که زیرسیستم حافظه ی هسته ی لینوکس، نقض نگاشت[2] حافظه فقط خواندنی[3] در حین انجام فرایند کپی در هنگام نوشتن[4] را کنترل می کند! اما به عبارت ساده تر این نقص امنیتی، این امکان را برای مهاجم ایجاد می نماید تا با دسترسی به یک حساب کاربری محدود حق دسترسی  ادمین (روت[5]) را برای خود ایجاد نماید و به تبع آن قادر به کنترل کامل سیستم خواهد بود.

این آسیب پذیری در هفته سوم ماه اکتبر 2016 توسط توسعه دهندگان لینوکس و با ارائه یک وصله امنیتی برای توزیع های مختلف لینوکس شامل Red Hat، Debian، Ubuntu، Gentoo، Suse برطرف شده و یا در حال برطرف شدن است. این نقص امنیتی که به آن لقب گاو کثیف[6]  نیز داده شده است، توسط یک محقق امنیتی به نام فیل اوستر[7]  در هنگامی که به منظور حمله به یکی از سرورهای او مورد استفاده قرار گرفته بود، مورد شناسایی قرار گرفته است. به نظر می رسد این نقص از قبل توسط هکرها شناخته شده بوده است و برای حمله به دستگاه های مبتنی بر لینوکس مورد استفاده قرار می گرفته است.

dirty-cow-%d8%b4%da%a9%d8%a7%d9%81-%d8%af%d8%b1-%d9%87%d8%b3%d8%aa%d9%87-%d9%84%db%8c%d9%86%d9%88%da%a9%d8%b3

از آنجایی که بهره برداری از این نقص امنیتی باید به شکل محلی اتفاق بیافتد و امکان استفاده مستقیم از آن به شکل از راه دور توسط مهاجمین وجود ندارد، این نقص امنیتی با شدت بالا[8] و غیربحرانی[9] طبقه بندی شده است. برای استفاده از امکانات این آسیب پذیری توسط مهاجمین، آنها ابتدا می بایست با یک روش دیگر به عنوان مثال، یک آسیب پذیری دیگر، یک دسترسی محدود را برای خود ایجاد نمایند.

کمپانی های میزبان وب که سرویس­های اشتراکی ارائه می دهند، بیش از همه در معرض خطر توسط این آسیب پذیری قرار دارند زیرا برخی از آنها برای مشتریان خود یک دسترسی محلی به پوسته[10] سیستم عامل را ایجاد می نمایند که این امر می تواند باعث به دست گرفتن کنترل کامل سرورها توسط کاربران مخرب باشد. حفره های امنیتی نرم افزارهای تحت وب نیز می توانند امکان ورود و بهره گیری از این آسیب پذیری را ایجاد نمایند.

متخصصان سرورهای لینوکسی توصیه کرده اند که وصله های امنیتی برطرف کننده این آسیب پذیری بلافاصله نصب شوند و برای آن دسته از کاربرانی که برای نسخه سیستم عامل آنها هنوز وصله ای آماده نشده است، استفاده از راهکارهای کاهش خطری که توسط تیم امنیت Redhat ارائه شده است و از این آدرس قابل دستیابی است، توصیه شده است. همچنین کاربران به منظور دستیابی به اطلاعات بیشتر و دریافت وصله امنیتی مربوط به Redhat می توانند به این آدرس مراجعه نمایند.

[1] Race condition

[2] Mapping

[3] Read Only

[4] Copy-On-Write (COW)

[5] Root

[6] Dirty Cow

[7] Phil Oester

[8] High Severity

[9] Not Critical

[10] Shell

شکاف مهارتی سازمان ها را در برابر تهدیدات آسیب‌پذیر می کند!

شکاف مهارتی سازمان ها را در برابر تهدیدات آسیب‌پذیر می کند!

ترجمه و تدوین: تیم امنیت شبکه ICTN

منبع: Elsevier Network Security Journal­­

 

امروزه کسب و کار ها علاوه بر مواجهه با حملات روز افزون به داده‌های سازمانی، با چالش شکاف مهارتی بین متخصصین مسئول مقابله با این حملات نیز، روبرو هستند. در بحث امنیت این نقش می تواند عناوین شغلی مختلف چون مهندس امنیت، تحلیل‌گر امنیتی، متخصص تست نفوذ و … داشته باشد. با این وجود همه این مشاغل دارای یک هدف واحد می باشند و این هدف عبارت است از شناسایی و گزارش آسیب‌پذیری‌های سیستم های امنیتی.

طبق یافته‌های موسسه­­‌ی PwC[1]، نفوذ امنیتی در90% سازمان های بزرگ تا سال 2015 رخ داده است که 69% از این موارد از جانب خارج سازمان بوده است. مشخص است که مشکل نفوذ امنیتی مسئله‌ای است که تمامی سازمان‌ها دیر یا زود با آن مواجه خواهند شد. بر اساس گزارش “هزینه های نفوذ امنیتی در سال 2016[2]” موسسه Ponemon به صورت میانگین هر نفوذ امنیتی 53/2 میلیون پوند برای هر سازمان هزینه در برخواهد داشت. بار مالی این اتفاق شامل کاهش ارزش سهام، پرداخت به شاکیان، جریمه‌های قانونی، لطمه به اعتبار سازمان و اخراج کارکنان خواهد بود. نمودار زیر  میانگین هزینه‌ی نفوذ های امنیتی در سالیان اخیر را نمایش می‌دهد.

%d8%b4%da%a9%d8%a7%d9%81-%d9%85%d9%87%d8%a7%d8%b1%d8%aa%db%8c-%d8%b3%d8%a7%d8%b2%d9%85%d8%a7%d9%86-%d9%87%d8%a7-01

هکر‌های کلاه سفید

بسیاری از سازمان‌ها برای مقابله با عواقب نفوذ­های اطلاعاتی از هکر‌های کلاه سفید برای شناسایی آسیب پذیری‌ها قبل از تبدیل شدن آن‌ها به هدفی برای حملات سایبری استفاده می‌کنند. هکر های کلاه سفید افرادی هستند که به منظور اجرای سیستماتیک حملات به زیر ساخت‌ها و سیستم‌های اطلاعاتی سازمان با سطح دسترسی مشخص، به کار گرفته می‌شوند. با این کار آن‌ها می‌توانند تمامی آسیب پذیری‌های سیستم را شناسایی و آزمایش کنند.

با وجود این که وظیفه هکر‌های کلاه سفید شناسایی این آسیب‌پذیری‌ها است، آشنایی با نحوه مقابله با این نقطه ضعف‌ها به همان اندازه اهمیت دارد. بنا بر این هکر‌های کلاه سفید در سناریو‌های شبیه سازی‌ شده تیم قرمز / تیم آبی نیز شرکت می‌کنند. در این سناریو، هکر‌ها به صورت نوبتی در قالب حمله و دفاع از سیستم‌های اطلاعاتی سازمان شرکت می‌کنند.

هکر‌های کلاه سفید معمولا دارای مدارکی به مانند CEH[3] و OSCP[4] هستند. این دوره‌ها امنیت سایبری را در قالب آموزش روش های هک و نحوه استفاده از این دانش برای شناسایی نقاط ضعف سازمان ارائه می‌نمایند. دوره OSCP، کارآموزان را ملزم به پیاده سازی عملی مهارت‌های تست نفوذ از طریق نفوذ به سیستم‌های تست در محیط آزمایشگاهی می‌کند. دوره‌ی CEH، کارآموزان را با روش‌های متداول استفاده از آسیب‌پذیری‌ها و نحوه‌ی مقابله با آن‌ها و تست نفوذ و مهندسی اجتماعی می‌نماید. موسسه‌ی EC-Council علاوه بر دوره CEH، دوره‌های دیگری مانند CHFI[5]، ECSA[6] و LPT[7] نیز ارائه می نماید.

 

هکر‌های کلاه سیاه

نقش مقابل هکر‌های کلاه سفید، هکر‌های کلاه سیاه هستند. این افراد به وسیله فعالیت‌های غیر قانونی موجب آسیب به سازمان‌ها می‌شوند. در حقیقت تفاوت در انگیزه‌ها است که این دو دسته هکر را هم متمایز می‌کند. هکر‌های کلاه سیاه را می‌توان به چندین دسته مانند مجرمین سایبری، جاسوسان سایبری و تروریست‌های سایبری تقسیم کرد که انگیزه‌های مختلفی به مانند خود‌نمایی، مالی، انتقام گیری، دسترسی به داده‌های ارزشمند، توجه رسانه‌ای و حتی سرگرمی دارند. یکی دیگر از وظایف هکر‌های کلاه سفید، پایش فعالیت‌های کلاه سیاه‌ها و مقابله با آسیب پذیری رایج بین هکر‌های کلاه سیاه است. برای مثال شناسایی و مقابله با آخرین اسکریپت‌های ارائه شده در Dark Web از مسئولیت های کلاه سفید‌ها می‌باشد.

بین هکر‌های کلاه سفید و کلاه سیاه دسته ای دیگر به نام کلاه خاکستری قرار می‌گیرند. این دسته، معمولا، خطرناک‌ترین نوع هکر‌ها می‌باشند. هکر‌های کلاه خاکستری در واقع هکر‌های کلاه سیاهی هستند که خود را در قالب هکر کلاه سفید جا می‌زنند. بدین ترتیب، سازمان‌هایی که به دنبال جذب هکر‌هایی برای موقعیت حساس و رده‌ بالا هستند، باید با دقت بالایی این کار را انجام دهند و کنترل دقیقی بر رفتار این افراد داشته باشند. یک روش برای حصول اطمینان از عدم ورود هکر‌های کلاه خاکستری به تیم‌های امنیتی، بررسی دقیق اعتبار مالی و سوابق امنیتی و موقعیت های شغلی پیشین این افراد می باشد. بررسی اعتبار مالی، در عین حالی که روش بدون نقصی برای بررسی سابقه افراد نمی باشد، می‌تواند به شناسایی افرادی که صاحب دارایی غیر عادی هستند، کمک کند. این موضوع، معمولا نشان دهنده‌ی این است که آن‌ها این دارایی را از راه غیر قانونی بدست آورده‌اند. در مقابل افرادی با اعتبار مالی ضعیف نیز می توانند طعمه‌ی مهندسی اجتماعی و یا رشوه باشند.

 

شکاف مهارتی

بازار امنیتی سایبری با مشکل کمبود نیروی کار در این زمینه مواجه است به طوری که بیش از دو میلیون موقعیت شغلی در این خصوص در سراسر جهان خالی مانده است. این موضوع موجب شده سازمان‌ها در برابر حملات سایبری آسیب‌پذیر باشند.

بر اساس یافته‌های گزارش “مطالعه نیروی کار امنیت اطلاعات جهانی[8]” موسسه ISC، 45% سازمان‌ها عدم دسترسی به نیروهایی با مهارت‌های امنیت مورد نیاز را دلیل عدم جذب عنوان نموده‌اند. مطالعه اخیر 451 تحقیق نشان می‌دهد معضل اصلی مدیران امنیتی، کمبود نیروی متخصص (34.5%) و جذب نیروی ناکارآمد (26.4%) می باشد. همچنین تحقیق KPMG در انگلیس نشان می‌هد بیش از نیمی از مدیران فناوری اطلاعات و منابع انسانی مورد تحقیق عنوان کرده‌اند در نظر دارند یک هکر جهت ارائه اطلاعات به تیم امنیت داخلی جذب کنند. دلیل عمده این گروه این بوده که مهارت‌های فنی مورد نیاز برای مقابله با حملات سایبری تفاوت چشم‌گیری با توانایی‌های گروه IT سازمان دارد. نمودار زیر نشان دهنده موقعیت های شغلی است که به نظر مدیران نیروی کار مناسبی برای آن جذب نکرده اند.

%d8%b4%da%a9%d8%a7%d9%81-%d9%85%d9%87%d8%a7%d8%b1%d8%aa%db%8c-%d8%b3%d8%a7%d8%b2%d9%85%d8%a7%d9%86-%d9%87%d8%a7-02

در نهایت در چشم‌انداز فعلی امنیت، در حالی که تهدیدات سایبری همه روزه در حال پیشرفت می‌باشند، تعداد متخصصین با قابلیت مقابله با این تهدیدات پاسخگوی نیاز موجود نیست.

 

راهکار های جایگزین

دشواری در یافتن نیروی کار متخصص، موجب شده سازمان‌ها به راه‌کارهای جایگزین به مانند برگزاری مسابقه برای پیدا‌کردن باگ‌ روی بیاورند. در این فرایند از جامعه امنیتی دعوت می شود تا اقدام به نفوذ به سیستم اطلاعاتی سازمان و گزارش یافته‌های خود کنند. این روش به متخصصین، دانش آموزان و حتی افراد علاقمند، فرصت نفوذ قانونی به سیستم یک سارمان را می‌دهد.

استفاده از این فرایند، یک روش برد-برد می‌باشد. سازمان تنها در شرایطی پرداختی انجام می‌دهد که یک آسیب‌پذیری شناسایی شود و هکر‌ها فرصت بهبود مهارت‌ها و اعتبار خود و در برخی موارد موقعیت شغلی را می‌یابند.

یکی از ریسک‌های این روش این است که اگر این فرایند زودتر از زمان مناسب اجرا شود، تعداد زیادی باگ و آسیب‌پذیری شناسایی خواهد شد. بنابراین، سازمان‌ها می‌بایست ابتدا از شناسایی آسیب‌پذیری‌ها تا حد ممکن مطمئن شوند و به یک سیستم امن و پایدار برسند. برگزاری مسابقه باید قدم نهایی در فرایند امن‌ سازی سیستم باشد.

 

تاثیر بر روی صنعت

به دلیل موارد مذکور، فرصت‌های شغلی برای متخصصین امنیتی صاحب مهارت‌های مورد نیاز بسیار است. بنابر گزارش موسسه Procorre نزدیک به 15% متخصصان امنیتی، حداقل درآمد یکصد هزار پوند در سال دارند. در برخی موارد یک کارشناس امنیتی، بیشتر از مدیر ارشد امنیت[9] درآمد دارد.

همزمان با افزایش تهدیدات امنیتی، نقش متخصصین امنیتی اهمیت بیشتری پیدا می‌کند. این موضوع حتی با توجه به پیش‌بینی رشد 37% صنعت IT تا سال 2022 اهمیت بیشتری می‌یابد. درحالی که نیاز به تست نفوذ زمانی تنها در حوزه های بخش­های دولتی، سازمان‌های بزرگ و شرکت‌های چند‌ملیتی و موسسات مالی احساس می­شد، امروزه این مورد به یکی از موضوعات راهبرد امنیتی شرکت هایی با هر شکل و اندازه بدل شده است.

 

 

[1] PricewaterhouseCoopers

[2] Cost of Data Breach

[3] Certified Ethical Hacker

[4] Offensive Security Certified Professional

[5] Computer Hacking Forensic Investigator

[6] Certified Security Analyst

[7] Licensed Penetration Tester

[8] 2015 Global Information Security Workforce Study

[9] Chief Security Officer

نمونه کارها