تردید در ساختارهای امنیت اطلاعات

 امنیت  No Responses »
شهریور ۱۱۱۳۹۰
 

روش‌هایی که پیش از این برای پیاده‌سازی امنیت اطلاعات استفاده می‌شده‌اند، در یک سال اخیر با مشکلات عمده‌ای مواجه شده‌اند. از سال پیش، به صورت عمده‌ای، ناامنی در فضاهای مختلف اطلاعاتی در حال گسترش است. یک مرور می‌توانید داشته باشید:

  1. نفوذ زئوس و جمع‌آوری اطلاعات بی‌شماری از سطح و عمق شبکه‌های ارتباطی
  2. تولید، انتشار و گسترش استاکس‌نت در محیط‌هایی که از پیش هدف گیری شده بودند
  3. توانایی تخریب گسترده گروه‌های نوجوان و غیر دولتی ـ اشاره مستقیم به گروه انانیموس
  4. اثبات ناکارآمدی ابزارهای تامین امنیت اطلاعات شبکه برای سازمان‌های عریض و طویل و حرفه‌ای – اشاره مستقیم به ماجراهای سونی و گاردین و سایر سایت‌هایی که از انتقام‌های انانیموس در امان نماندند.
  5. نفوذ به وب‌سایت‌ها و سامانه‌هایی که توسط افراد حرفه‌ای نگهداری می‌شوند ـ اشاره به نفوذ به سورس فورج و اخیرا کرنل دات اورگ
  6. اثبات امکان پذیری حملات MITM در مقیاس‌های بزرگ – اشاره به آنچه برای گوگل پیش آمد
  7. نفوذ به امن‌ترین سیستم‌های دفاعی با استفاده از اشتباهات انسانی – اشاره به ماجراهای RSA و لاکهیدمارتین

برای من، این ۷ مورد کافی است تا اطمینان پیدا کنم، در مورد کارآمدی روش‌های پیشین باید بهتر فکر کرد.

 Posted by جلال روحانی at 12:41 ق.ظ  Tagged with: ,

۷ پیشنهاد برای کنترل امنیت اطلاعات

 امنیت  No Responses »
آذر ۲۲۱۳۸۹
 

بسیاری از شرکت ها و سازمان های بزرگ و کوچک برای تامین امنیت اطلاعات خود از راهکارهای مدرن و توسعه یافته استفاده می‌کنند. راهکارهای امروزی تامین امنیت اطلاعات، با استفاده از فن‌آوری های مختلفی پیاده سازی می‌شوند. امنیت شبکه، امنیت سرویس‌دهنده‌ها و امنیت برنامه‌های کاربردی همگی باهم، تنها، باعث ایجاد زمینه امنیت اطلاعات می‌شوند. نکته‌ای که به صورت رایج در مورد امنیت اطلاعات در نظر گرفته نمی‌شود، ضرورت ایجاد ساختار مناسب برای استفاده از مزایای فن‌آوری‌های امنیتی است. با استفاده از ایجاد ساختار و همبندی مناسب، امکان مدیریت، کنترل و ایجاد روال‌های امنیتی برای زیرساخت‌های امنیت اطلاعات فراهم  می‌شود. این نوشتار به صورت خلاصه پیشنهاداتی را برای استفاده از فن‌آوری‌های امنیت اطلاعات بیان می‌کند.

محیط خود را بشناسید

پیش از انجام هر اقدام، تغییر و یا ارایه هر پیشنهاد و درخواستی، می‌بایست نسبت به محیطی که برای امنیت اطلاعات آن در تلاش هستید، آشنایی پیدا کنید. آشنایی سطحی منجر به تصمیمات سطحی خواهد بود! پس تلاش کنید تا تمام اجزای اصلی بخش‌هایی را که امنیت اطلاعات آن‌ها مهم است، از طریق مناسب بشناسید. شما می‌بایست تمام سخت‌افزارها و نرم‌افزارهای موجود را فهرست کرده باشید و از جزییات دسترسی هر کدام آگاهی داشته باشید. برنامه‌های کاربردی و نوع کارکرد آن‌ها نیز برای تصمیم گیری شما مهم است. پروتکل‌های مورد استفاده و نوع تبادل داده در میان برنامه‌های کاربردی به صورت مستقیم با نحوه همبندی شبکه شما مرتبط است.

نقش‌ها را تعیین کنید

پس از آشنایی با محیط عملیاتی، می‌بایست تمامی نقش‌های اجزای سازنده، تعیین و مستند شوند. ممکن است مسئولیت انجام این کار با شما نباشد، در این صورت سعی کنید فرد مرتبط با این موضوع را برای ایجاد سند مربوط آگاه سازید. تعدادی از نقش‌های اصلی عبارت است از وظیفه هر سرور و نوع ارایه سرویس توسط هر سرویس‌دهنده. همچنین نقش برنامه‌های کاربردی در منطق کسب و کار سازمان شما بیانگر میزان اهمیت امنیت اطلاعات برای آن‌ها است. در نظر داشته باشید نقش‌های انسانی نیز در تدوین مدل امنیتی سازمان شما حیاتی است. سعی کنید برای تمامی مواردی که در مرحله شناخت برای شما مهم بوده‌اند، نقش مرتبط را تعیین کنید.

نوع دسترسی‌ها را بررسی کنید

پس از تعیین نقش‌های اصلی، نوع دسترسی برای هر گروه و هر فرد می‌بایست مشخص شود. تمامی اجزای شبکه سازمان شما، می‌بایست دارای نوع دسترسی کنترل شده باشند. از دیدگاه شبکه‌، تمامی کاربران سیستم‌های اطلاعاتی نیز قسمتی از اجزای شبکه می‌باشند. همچنین کاربران راه دور، شرکت‌های همکار، شعب و مشتریان قسمت دیگری از اجزای شبکه می‌باشند. هر چند ممکن است تمامی این اجزا در ۲ و یا ۳ گروه دسترسی خلاصه شوند، اما این دسته بندی می‌بایست آگاهانه و به دور از ایجاد استثنا برای کارهای موقتی باشد. بسیاری از حملات و آسیب‌پذیری‌ها بر روی شبکه‌های اطلاعاتی، به خاطر ایجاد استثنا در زمان نیاز می‌باشد.

از چیز‌هایی که نمی‌دانید به آسانی عبور نکنید

پس از تمامی کنترل‌های اولیه، به احتمال زیاد نقاط تاریکی در ساختار شبکه و سازمان اطلاعاتی شما باقی خواهد ماند. این نقاط تاریک مناسب‌ترین محل شروع برای یک حمله به سمت سازمان شما خواهد بود. خرابکاران اینترنتی و نرم‌افزارهای مخرب تبحر ویژه‌ای در یافتن این نقاط و سواستفاده از آن‌ها  دارند. هر چه قدر این نقاط تاریک مشخص‌تر و شفاف‌تر باشند، شانس خرابکاری و آسیب بر روی اطلاعات مهم شما کمتر خواهد بود. اگر نمی‌توانید تمامی نقاط تاریک را برطرف سازید، حداقل آن را به عنوان یک مشکل مستندسازی کنید و مدیران سازمان خود را از وجود آن مطلع سازید.

چرخ را دوباره اختراع نکنید

ضرب‌العجل‌های کاری، کمبود زمان و نیرو، عدم اشرف کامل به فن‌آوری‌های اطلاعاتی و احساس دانای‌کل بودن از جمله مواردی است که باعث ایجاد مجدد چرخ‌ در سازمان‌ها می‌شود. هر چند این موارد ممکن است در بازه‌های زمانی موقت باعث انجام کار شود، اما در دراز مدت باعث ایجاد هرج و مرج اطلاعاتی و عدم امکان کنترل و مدیریت امنیت اطلاعات خواهد شد. به عنوان مثال استفاده از الگوریتم‌های رمزنگاری خودساخته و غیراستاندارد، و یا ایجاد روش‌های افزونگی غیراستاندارد، و یا استفاده از برنامه‌های اطلاعاتی بدون پشتیبانی مناسب، از مهم‌ترین مواردی است که باعث بروز آسیب‌پذیری‌های امنیتی می‌شوند.
همچنین عدم در نظر گرفتن شیوه‌نامه‌ها و استانداردهایی که برای هر صنعت متداول است، می‌تواند باعث افزایش شانس بروز آسیب‌پذیری‌های امنیتی در ساختار اطلاعاتی سازمان شود. برای این مورد هم می‌توان به عنوان نمونه، از عدم رعایت شیوه‌نامه‌ بازل در صنعت بانکداری در بخش امنیت اطلاعات اشاره نمود.

همه چیز را دوباره بررسی کنید

هر چند در سازمان شما زمان و انرژی زیادی صرف کنترل و بررسی موارد امنیتی و اطلاعاتی شده است، اما می‌بایست در نظر داشت که اطمینان از صحت داشته‌ها و اطلاعات، اولین شرط برای شروع اجرای تصمیمات جدید است. سعی کنید یک فهرست از تمام مواردی که برای امنیت اطلاعات سازمان شما حیاتی است تهیه کنید و با مراجعه به افراد مسئول و تصمیم‌گیر در هر مورد آخرین بررسی‌ها در مورد صحت داشته‌ها و اطلاعات را انجام دهید. پس از بررسی و کنترل، سندی از اطلاعات مورد توافق تهیه کنید و آن را به عنوان معیار هر مورد اطلاعاتی قرار دهید. به عنوان مثال نوع دسترسی افراد به اطلاعات و میزان دسترسی تجهیزات تحت شبکه به منابع شبکه از مواردی است که می‌بایست Double Check و نهایی گردد. از این پس، تصمیم اخذ شده به عنوان معیاری برای اعمال قوانین امنیتی خواهد بود.

همه چیز را به صورت مستمر کنترل کنید

آخرین بخش پیشنهادی، Monitoring  است. تمامی اطلاعاتی که از ساختار اطلاعاتی خود کسب کرده‌اید و تمامی اجزای ساختار امنیت اطلاعات در سازمان شما می‌بایست به صورت مستمر و بدون وقفه تحت کنترل باشد. قسمتی از این کنترل مستمر روال‌های انسانی و قسمت مهم‌تر آن ذخیره‌سازی و پردازش لاگ‌فایل‌ها و گزارشات امنیتی است. به زبان ساده‌تر، پایش امنیتی تمامی اجزای ساختار امنیت اطلاعات در سازمان شما، کلید حفظ وضعیت مطلوب و آگاهی از بروز وقایع در تمامی زمان‌ها است.

 Posted by جلال روحانی at 8:10 ب.ظ  Tagged with: ,

۲۰ دلیلی که اطلاعات سازمانی از بین می‌روند

 امنیت  No Responses »
تیر ۲۵۱۳۸۹
 

از بین رفتن و یا به بیرون درز کردن اطلاعات سازمانی به اندازه تعداد افرادی که به آن‌ها دسترسی دارند متنوع است. علت عمده از بین رفتن اطلاعات و داده‌ها و یا نشت امنیتی‌ این گونه اطلاعات خطاهای انسانی خواسته و یا ناخواسته است. علت عمده این خطاهای ناخواسته بر خلاف تصور عمومی ندانستن و عدم وجود دانش نیست، بلکه سهل‌انگاری و تنبلی باعث ایجاد خطا و بروز نشت اطلاعات و یا از بین رفتن اطلاعات می‌شود.

در نوشته ۲۰ روشی که بانک اطلاعاتی شما از دست خواهد رفت، CREDANT این موارد را بیان کرده است:

  1. Employees able to access a database regardless of their need to do so, with sight of complete records including information that they do not necessarily need to see
  2. Unrestricted downloading of the database to removable media
  3. Employees able to print individual records, or even the full database, in hard copy format
  4. Employees able to access records, in undefined quantities or for unlimited periods of time, providing the opportunity to make a written copy
  5. Records, or even the entire database, altered or deleted
  6. The full database, or individual files, emailed as an attachment
  7. The full database, or individual files, uploaded to an external storage facility/website or a hosted document storage and management solution.
  8. Loss of external or portable media (memory sticks, CDs, laptops, etc) that contain unencrypted information, often during travel.
  9. Misplaced, or stolen, devices (laptops, blackberries, etc) used as a back door to the corporate network
  10. Secure employment for the purpose of having unrestricted access to confidential data with criminal intent
  11. Existing employees being coerced into removing data for financial gain
  12. Ex-employees who have not had their access rights revoked
  13. Photocopy hard copies
  14. Over the shoulder screen theft from mobile workforce
  15. Writing down, or even sharing, passwords
  16. Hacked WiFi networks – even with passwords
  17. Use of non-alphanumeric passphrases and passphrases of eight or less characters – which can be cracked in a few hours
  18. Use of unvetted external contractors or companies
  19. Use of vetted external companies on contracts without remediation/penalty clauses on responsibilities for when things go pear-shaped on the data security front
  20. Failure to use encrypted back-up storage media
 Posted by جلال روحانی at 2:25 ب.ظ  Tagged with:

کسب EAL4 برای ردهت RHEL

 دسته‌بندی نشده  No Responses »
خرداد ۲۷۱۳۸۶