• Home
  • /Archive by category 'امنیت'

Archive for ‘امنیت’

تردید در ساختارهای امنیت اطلاعات

روش‌هایی که پیش از این برای پیاده‌سازی امنیت اطلاعات استفاده می‌شده‌اند، در یک سال اخیر با مشکلات عمده‌ای مواجه شده‌اند. از سال پیش، به صورت عمده‌ای، ناامنی در فضاهای مختلف اطلاعاتی در حال گسترش است. یک مرور می‌توانید داشته باشید:

  1. نفوذ زئوس و جمع‌آوری اطلاعات بی‌شماری از سطح و عمق شبکه‌های ارتباطی
  2. تولید، انتشار و گسترش استاکس‌نت در محیط‌هایی که از پیش هدف گیری شده بودند
  3. توانایی تخریب گسترده گروه‌های نوجوان و غیر دولتی ـ اشاره مستقیم به گروه انانیموس
  4. اثبات ناکارآمدی ابزارهای تامین امنیت اطلاعات شبکه برای سازمان‌های عریض و طویل و حرفه‌ای – اشاره مستقیم به ماجراهای سونی و گاردین و سایر سایت‌هایی که از انتقام‌های انانیموس در امان نماندند.
  5. نفوذ به وب‌سایت‌ها و سامانه‌هایی که توسط افراد حرفه‌ای نگهداری می‌شوند ـ اشاره به نفوذ به سورس فورج و اخیرا کرنل دات اورگ
  6. اثبات امکان پذیری حملات MITM در مقیاس‌های بزرگ – اشاره به آنچه برای گوگل پیش آمد
  7. نفوذ به امن‌ترین سیستم‌های دفاعی با استفاده از اشتباهات انسانی – اشاره به ماجراهای RSA و لاکهیدمارتین

برای من، این ۷ مورد کافی است تا اطمینان پیدا کنم، در مورد کارآمدی روش‌های پیشین باید بهتر فکر کرد.

۷ پیشنهاد برای کنترل امنیت اطلاعات

بسیاری از شرکت ها و سازمان های بزرگ و کوچک برای تامین امنیت اطلاعات خود از راهکارهای مدرن و توسعه یافته استفاده می‌کنند. راهکارهای امروزی تامین امنیت اطلاعات، با استفاده از فن‌آوری های مختلفی پیاده سازی می‌شوند. امنیت شبکه، امنیت سرویس‌دهنده‌ها و امنیت برنامه‌های کاربردی همگی باهم، تنها، باعث ایجاد زمینه امنیت اطلاعات می‌شوند. نکته‌ای که به صورت رایج در مورد امنیت اطلاعات در نظر گرفته نمی‌شود، ضرورت ایجاد ساختار مناسب برای استفاده از مزایای فن‌آوری‌های امنیتی است. با استفاده از ایجاد ساختار و همبندی مناسب، امکان مدیریت، کنترل و ایجاد روال‌های امنیتی برای زیرساخت‌های امنیت اطلاعات فراهم  می‌شود. این نوشتار به صورت خلاصه پیشنهاداتی را برای استفاده از فن‌آوری‌های امنیت اطلاعات بیان می‌کند.

محیط خود را بشناسید

پیش از انجام هر اقدام، تغییر و یا ارایه هر پیشنهاد و درخواستی، می‌بایست نسبت به محیطی که برای امنیت اطلاعات آن در تلاش هستید، آشنایی پیدا کنید. آشنایی سطحی منجر به تصمیمات سطحی خواهد بود! پس تلاش کنید تا تمام اجزای اصلی بخش‌هایی را که امنیت اطلاعات آن‌ها مهم است، از طریق مناسب بشناسید. شما می‌بایست تمام سخت‌افزارها و نرم‌افزارهای موجود را فهرست کرده باشید و از جزییات دسترسی هر کدام آگاهی داشته باشید. برنامه‌های کاربردی و نوع کارکرد آن‌ها نیز برای تصمیم گیری شما مهم است. پروتکل‌های مورد استفاده و نوع تبادل داده در میان برنامه‌های کاربردی به صورت مستقیم با نحوه همبندی شبکه شما مرتبط است.

نقش‌ها را تعیین کنید

پس از آشنایی با محیط عملیاتی، می‌بایست تمامی نقش‌های اجزای سازنده، تعیین و مستند شوند. ممکن است مسئولیت انجام این کار با شما نباشد، در این صورت سعی کنید فرد مرتبط با این موضوع را برای ایجاد سند مربوط آگاه سازید. تعدادی از نقش‌های اصلی عبارت است از وظیفه هر سرور و نوع ارایه سرویس توسط هر سرویس‌دهنده. همچنین نقش برنامه‌های کاربردی در منطق کسب و کار سازمان شما بیانگر میزان اهمیت امنیت اطلاعات برای آن‌ها است. در نظر داشته باشید نقش‌های انسانی نیز در تدوین مدل امنیتی سازمان شما حیاتی است. سعی کنید برای تمامی مواردی که در مرحله شناخت برای شما مهم بوده‌اند، نقش مرتبط را تعیین کنید.

نوع دسترسی‌ها را بررسی کنید

پس از تعیین نقش‌های اصلی، نوع دسترسی برای هر گروه و هر فرد می‌بایست مشخص شود. تمامی اجزای شبکه سازمان شما، می‌بایست دارای نوع دسترسی کنترل شده باشند. از دیدگاه شبکه‌، تمامی کاربران سیستم‌های اطلاعاتی نیز قسمتی از اجزای شبکه می‌باشند. همچنین کاربران راه دور، شرکت‌های همکار، شعب و مشتریان قسمت دیگری از اجزای شبکه می‌باشند. هر چند ممکن است تمامی این اجزا در ۲ و یا ۳ گروه دسترسی خلاصه شوند، اما این دسته بندی می‌بایست آگاهانه و به دور از ایجاد استثنا برای کارهای موقتی باشد. بسیاری از حملات و آسیب‌پذیری‌ها بر روی شبکه‌های اطلاعاتی، به خاطر ایجاد استثنا در زمان نیاز می‌باشد.

از چیز‌هایی که نمی‌دانید به آسانی عبور نکنید

پس از تمامی کنترل‌های اولیه، به احتمال زیاد نقاط تاریکی در ساختار شبکه و سازمان اطلاعاتی شما باقی خواهد ماند. این نقاط تاریک مناسب‌ترین محل شروع برای یک حمله به سمت سازمان شما خواهد بود. خرابکاران اینترنتی و نرم‌افزارهای مخرب تبحر ویژه‌ای در یافتن این نقاط و سواستفاده از آن‌ها  دارند. هر چه قدر این نقاط تاریک مشخص‌تر و شفاف‌تر باشند، شانس خرابکاری و آسیب بر روی اطلاعات مهم شما کمتر خواهد بود. اگر نمی‌توانید تمامی نقاط تاریک را برطرف سازید، حداقل آن را به عنوان یک مشکل مستندسازی کنید و مدیران سازمان خود را از وجود آن مطلع سازید.

چرخ را دوباره اختراع نکنید

ضرب‌العجل‌های کاری، کمبود زمان و نیرو، عدم اشرف کامل به فن‌آوری‌های اطلاعاتی و احساس دانای‌کل بودن از جمله مواردی است که باعث ایجاد مجدد چرخ‌ در سازمان‌ها می‌شود. هر چند این موارد ممکن است در بازه‌های زمانی موقت باعث انجام کار شود، اما در دراز مدت باعث ایجاد هرج و مرج اطلاعاتی و عدم امکان کنترل و مدیریت امنیت اطلاعات خواهد شد. به عنوان مثال استفاده از الگوریتم‌های رمزنگاری خودساخته و غیراستاندارد، و یا ایجاد روش‌های افزونگی غیراستاندارد، و یا استفاده از برنامه‌های اطلاعاتی بدون پشتیبانی مناسب، از مهم‌ترین مواردی است که باعث بروز آسیب‌پذیری‌های امنیتی می‌شوند.
همچنین عدم در نظر گرفتن شیوه‌نامه‌ها و استانداردهایی که برای هر صنعت متداول است، می‌تواند باعث افزایش شانس بروز آسیب‌پذیری‌های امنیتی در ساختار اطلاعاتی سازمان شود. برای این مورد هم می‌توان به عنوان نمونه، از عدم رعایت شیوه‌نامه‌ بازل در صنعت بانکداری در بخش امنیت اطلاعات اشاره نمود.

همه چیز را دوباره بررسی کنید

هر چند در سازمان شما زمان و انرژی زیادی صرف کنترل و بررسی موارد امنیتی و اطلاعاتی شده است، اما می‌بایست در نظر داشت که اطمینان از صحت داشته‌ها و اطلاعات، اولین شرط برای شروع اجرای تصمیمات جدید است. سعی کنید یک فهرست از تمام مواردی که برای امنیت اطلاعات سازمان شما حیاتی است تهیه کنید و با مراجعه به افراد مسئول و تصمیم‌گیر در هر مورد آخرین بررسی‌ها در مورد صحت داشته‌ها و اطلاعات را انجام دهید. پس از بررسی و کنترل، سندی از اطلاعات مورد توافق تهیه کنید و آن را به عنوان معیار هر مورد اطلاعاتی قرار دهید. به عنوان مثال نوع دسترسی افراد به اطلاعات و میزان دسترسی تجهیزات تحت شبکه به منابع شبکه از مواردی است که می‌بایست Double Check و نهایی گردد. از این پس، تصمیم اخذ شده به عنوان معیاری برای اعمال قوانین امنیتی خواهد بود.

همه چیز را به صورت مستمر کنترل کنید

آخرین بخش پیشنهادی، Monitoring  است. تمامی اطلاعاتی که از ساختار اطلاعاتی خود کسب کرده‌اید و تمامی اجزای ساختار امنیت اطلاعات در سازمان شما می‌بایست به صورت مستمر و بدون وقفه تحت کنترل باشد. قسمتی از این کنترل مستمر روال‌های انسانی و قسمت مهم‌تر آن ذخیره‌سازی و پردازش لاگ‌فایل‌ها و گزارشات امنیتی است. به زبان ساده‌تر، پایش امنیتی تمامی اجزای ساختار امنیت اطلاعات در سازمان شما، کلید حفظ وضعیت مطلوب و آگاهی از بروز وقایع در تمامی زمان‌ها است.

امنیت ماشین‌های مجازی

استفاده روزافزون از سیستم‌های “مجازی سازی” (Virtualization) در سازمان ها و شرکت ها باعث جلب علاقه خرابکاران و همچنین جذب فعالان امور امنیتی به سوی این سیستم‌های مجازی شده است. با وجود اینکه مجازی سازی مزایای عمده و قابل توجهی برای سازمان ها دارد، اما عدم توجه به نکات امنیتی می تواند باعث بروز آسیب‌ های جدی گردد.

آسیب‌پذیری ماشین‌های مجازی

به طور کلی آسیب‌پذیری ماشین‌های مجازی به سه گروه تقسیم می شود.

  • گروه اول آسیب‌پذیری هایی هستند که به صورت پیش‌فرض در سیستم‌های عامل و برنامه‌های کاربردی وجود دارند و حتی اگر برنامه‌ها بدون در نظر گرفتن مجازی سازی اجرا شوند، باز هم خواهند بود. این دسته را آسیب‌پذیری های ذاتی می نامیم.
  • گروه دوم آسیب‌پذیری هایی هستند که به علت آسیب‌پذیر بودن سیستم مجازی سازی (مانند محصولات خانواده Vmware و یا OracleVM) وجود دارند. این دسته از مشکلات به واسطه ایرادات طراحی و کشف نقاط آسیب‌پذیر از سوی محققان امنیتی بوجود می آیند و معمولاً پس از اطلاع تولید کنندگان این سیستم‌ها، توسط آنها برطرف می شوند.  این دسته را آسیب‌پذیرهای محیط مجازی سازی می نامیم.
  • گروه سوم آسیب‌پذیری هایی هستند که به واسطه رعایت نکـردن اصـول پیـاده‌سازی از سوی مدیران و راهبران این  سیستم‌های مجازی به وجود می آیند. بخش عمده ای از این دسته از مشکلات در بخش Networking  و Storage به وجود می‌آیند. این دسته را آسیب‌پذیرهای پیاده‌سازی می نامیم.

مقابله با آسیب‌پذیری ماشین‌های مجازی

روش مقابله با آسیب‌پذیری های ذاتی، مانند تمامی برنامه‌های دیگر می باشد. همواره سیستم عامل و سایر برنامه‌ها را به روز نگه دارید و اگر این سیستم نقش حیاتی در سازمان شما دارد، سعی کنید از آخرین نسخه پایدار آن استفاده کرده و طبق توصیه ‌های امنیتی تولید کننده سیستم، عمل نمایید.
برای مقابله با آسیب‌پذیرهای محیط مجازی سازی (مانند محصولات Vmware) علاوه بر به روز رسانی و بکارگیری آخرین نسخه ها، این موارد را نیز در نظر داشته باشید.

  • آخرین به روز رسانی ها را به محض تأیید از طرف تولید کننده نصب کنید. بیشتر ابزارهای مجازی سازی می‌توانند به صورت خودکار آخرین نسخه خود را کنترل کرده و اعلام کنند.
  • سخت افزارهای غیر لازم را از سرورهای مجازی سازی جدا کنید. به عنوان مثال، یک دیسک گردان فلاپی که از آن استفاده نمی‌کنید و یا کارت های شبکه ای که مورد استفاده قرار نگرفته اند، باید از سرور جدا شوند و یا غیر فعال گردند.
  • سرویس های غیر لازم و بلااستفاده مانند سرویس به اشتراک گذاری فایل و یا Clustering را غیر فعال کنید. تمامی سرویس هایی که مورد نیاز نیستند، می‌توانند یک نقطه شروع برای آغاز حمله به سمت محیط مجازی شما باشند.
  • سعی کنید تمام ماشین‌های مجازی را تحت کنترل دایم داشته باشید. هم‌اکنون بیشتر ابزارهای پایش شبکه (Network Monitoring)  امکانات جدیدی را برای ماشین‌های مجازی اضافه کرده اند.
  • از فایل‌های “ثبت وقایع” (log) استفاده کنید. آن‌ها را مرور و در صورت امکان ذخیره کنید. شاید در زمان بروز مشکل تنها روشی که به شما در مشکل یابی و برطرف کردن آن کمک کند، همین فایل‌ها باشند.

برای راهنمایی بیشتر در مـورد حساسیت‌های امنیتی در راه اندازی سیستم‌های مجازی، مطالعه سند SP800-125 را که از سوی  موسسه NIST منتشر شده، پیشنهاد می کنیم.

۲۰ دلیلی که اطلاعات سازمانی از بین می‌روند

از بین رفتن و یا به بیرون درز کردن اطلاعات سازمانی به اندازه تعداد افرادی که به آن‌ها دسترسی دارند متنوع است. علت عمده از بین رفتن اطلاعات و داده‌ها و یا نشت امنیتی‌ این گونه اطلاعات خطاهای انسانی خواسته و یا ناخواسته است. علت عمده این خطاهای ناخواسته بر خلاف تصور عمومی ندانستن و عدم وجود دانش نیست، بلکه سهل‌انگاری و تنبلی باعث ایجاد خطا و بروز نشت اطلاعات و یا از بین رفتن اطلاعات می‌شود.

در نوشته ۲۰ روشی که بانک اطلاعاتی شما از دست خواهد رفت، CREDANT این موارد را بیان کرده است:

  1. Employees able to access a database regardless of their need to do so, with sight of complete records including information that they do not necessarily need to see
  2. Unrestricted downloading of the database to removable media
  3. Employees able to print individual records, or even the full database, in hard copy format
  4. Employees able to access records, in undefined quantities or for unlimited periods of time, providing the opportunity to make a written copy
  5. Records, or even the entire database, altered or deleted
  6. The full database, or individual files, emailed as an attachment
  7. The full database, or individual files, uploaded to an external storage facility/website or a hosted document storage and management solution.
  8. Loss of external or portable media (memory sticks, CDs, laptops, etc) that contain unencrypted information, often during travel.
  9. Misplaced, or stolen, devices (laptops, blackberries, etc) used as a back door to the corporate network
  10. Secure employment for the purpose of having unrestricted access to confidential data with criminal intent
  11. Existing employees being coerced into removing data for financial gain
  12. Ex-employees who have not had their access rights revoked
  13. Photocopy hard copies
  14. Over the shoulder screen theft from mobile workforce
  15. Writing down, or even sharing, passwords
  16. Hacked WiFi networks – even with passwords
  17. Use of non-alphanumeric passphrases and passphrases of eight or less characters – which can be cracked in a few hours
  18. Use of unvetted external contractors or companies
  19. Use of vetted external companies on contracts without remediation/penalty clauses on responsibilities for when things go pear-shaped on the data security front
  20. Failure to use encrypted back-up storage media

امنیت آپاچی – Securing Apache

ادامه مطلب قبلی استفاده از chroot jail ( از اینجا ) مقاله زیر مختصر و مفید بود. روشی که پیش نهاد کرده است کامپایل کردن آپاچی فقط با استفاده از ماجول هایی است که از آن ها استفاده می شود. البته این روش محدودیت هایی را برای استفاده کنندگان ایجاد خواهد کرد و شاید نارضایتی مصرف کنندگان را به دنبال داشته باشد. اما اگر امنیت کل سیستم بر دیگر قسمت ها برتری داشته باشد ، استفاده از روش هایی این چنین اجباری خواهد بود : Securing Apache