1. نفوذ زئوس و جمع‌آوری اطلاعات بی‌شماری از سطح و عمق شبکه‌های ارتباطی
2. تولید، انتشار و گسترش استاکس‌نت در محیط‌هایی که از پیش هدف گیری شده بودند
3. توانایی تخریب گسترده گروه‌های نوجوان و غیر دولتی ـ اشاره مستقیم به گروه انانیموس
4. اثبات ناکارآمدی ابزارهای تامین امنیت اطلاعات شبکه برای سازمان‌های عریض و طویل و حرفه‌ای – اشاره مستقیم به ماجراهای سونی و گاردین و سایر سایت‌هایی که از انتقام‌های انانیموس در امان نماندند.
5. نفوذ به وب‌سایت‌ها و سامانه‌هایی که توسط افراد حرفه‌ای نگهداری می‌شوند ـ اشاره به نفوذ به سورس فورج و اخیرا کرنل دات اورگ
6. اثبات امکان پذیری حملات MITM در مقیاس‌های بزرگ – اشاره به آنچه برای گوگل پیش آمد
7. نفوذ به امن‌ترین سیستم‌های دفاعی با استفاده از اشتباهات انسانی – اشاره به ماجراهای RSA و لاکهیدمارتین

برای من، این ۷ مورد کافی است تا اطمینان پیدا کنم، در مورد کارآمدی روش‌های پیشین باید بهتر فکر کرد.

محیط خود را بشناسید

پیش از انجام هر اقدام، تغییر و یا ارایه هر پیشنهاد و درخواستی، می‌بایست نسبت به محیطی که برای امنیت اطلاعات آن در تلاش هستید، آشنایی پیدا کنید. آشنایی سطحی منجر به تصمیمات سطحی خواهد بود! پس تلاش کنید تا تمام اجزای اصلی بخش‌هایی را که امنیت اطلاعات آن‌ها مهم است، از طریق مناسب بشناسید. شما می‌بایست تمام سخت‌افزارها و نرم‌افزارهای موجود را فهرست کرده باشید و از جزییات دسترسی هر کدام آگاهی داشته باشید. برنامه‌های کاربردی و نوع کارکرد آن‌ها نیز برای تصمیم گیری شما مهم است. پروتکل‌های مورد استفاده و نوع تبادل داده در میان برنامه‌های کاربردی به صورت مستقیم با نحوه همبندی شبکه شما مرتبط است.

نقش‌ها را تعیین کنید

پس از آشنایی با محیط عملیاتی، می‌بایست تمامی نقش‌های اجزای سازنده، تعیین و مستند شوند. ممکن است مسئولیت انجام این کار با شما نباشد، در این صورت سعی کنید فرد مرتبط با این موضوع را برای ایجاد سند مربوط آگاه سازید. تعدادی از نقش‌های اصلی عبارت است از وظیفه هر سرور و نوع ارایه سرویس توسط هر سرویس‌دهنده. همچنین نقش برنامه‌های کاربردی در منطق کسب و کار سازمان شما بیانگر میزان اهمیت امنیت اطلاعات برای آن‌ها است. در نظر داشته باشید نقش‌های انسانی نیز در تدوین مدل امنیتی سازمان شما حیاتی است. سعی کنید برای تمامی مواردی که در مرحله شناخت برای شما مهم بوده‌اند، نقش مرتبط را تعیین کنید.

نوع دسترسی‌ها را بررسی کنید

پس از تعیین نقش‌های اصلی، نوع دسترسی برای هر گروه و هر فرد می‌بایست مشخص شود. تمامی اجزای شبکه سازمان شما، می‌بایست دارای نوع دسترسی کنترل شده باشند. از دیدگاه شبکه‌، تمامی کاربران سیستم‌های اطلاعاتی نیز قسمتی از اجزای شبکه می‌باشند. همچنین کاربران راه دور، شرکت‌های همکار، شعب و مشتریان قسمت دیگری از اجزای شبکه می‌باشند. هر چند ممکن است تمامی این اجزا در ۲ و یا ۳ گروه دسترسی خلاصه شوند، اما این دسته بندی می‌بایست آگاهانه و به دور از ایجاد استثنا برای کارهای موقتی باشد. بسیاری از حملات و آسیب‌پذیری‌ها بر روی شبکه‌های اطلاعاتی، به خاطر ایجاد استثنا در زمان نیاز می‌باشد.

از چیز‌هایی که نمی‌دانید به آسانی عبور نکنید

پس از تمامی کنترل‌های اولیه، به احتمال زیاد نقاط تاریکی در ساختار شبکه و سازمان اطلاعاتی شما باقی خواهد ماند. این نقاط تاریک مناسب‌ترین محل شروع برای یک حمله به سمت سازمان شما خواهد بود. خرابکاران اینترنتی و نرم‌افزارهای مخرب تبحر ویژه‌ای در یافتن این نقاط و سواستفاده از آن‌ها  دارند. هر چه قدر این نقاط تاریک مشخص‌تر و شفاف‌تر باشند، شانس خرابکاری و آسیب بر روی اطلاعات مهم شما کمتر خواهد بود. اگر نمی‌توانید تمامی نقاط تاریک را برطرف سازید، حداقل آن را به عنوان یک مشکل مستندسازی کنید و مدیران سازمان خود را از وجود آن مطلع سازید.

چرخ را دوباره اختراع نکنید

ضرب‌العجل‌های کاری، کمبود زمان و نیرو، عدم اشرف کامل به فن‌آوری‌های اطلاعاتی و احساس دانای‌کل بودن از جمله مواردی است که باعث ایجاد مجدد چرخ‌ در سازمان‌ها می‌شود. هر چند این موارد ممکن است در بازه‌های زمانی موقت باعث انجام کار شود، اما در دراز مدت باعث ایجاد هرج و مرج اطلاعاتی و عدم امکان کنترل و مدیریت امنیت اطلاعات خواهد شد. به عنوان مثال استفاده از الگوریتم‌های رمزنگاری خودساخته و غیراستاندارد، و یا ایجاد روش‌های افزونگی غیراستاندارد، و یا استفاده از برنامه‌های اطلاعاتی بدون پشتیبانی مناسب، از مهم‌ترین مواردی است که باعث بروز آسیب‌پذیری‌های امنیتی می‌شوند.
همچنین عدم در نظر گرفتن شیوه‌نامه‌ها و استانداردهایی که برای هر صنعت متداول است، می‌تواند باعث افزایش شانس بروز آسیب‌پذیری‌های امنیتی در ساختار اطلاعاتی سازمان شود. برای این مورد هم می‌توان به عنوان نمونه، از عدم رعایت شیوه‌نامه‌ بازل در صنعت بانکداری در بخش امنیت اطلاعات اشاره نمود.

همه چیز را دوباره بررسی کنید

هر چند در سازمان شما زمان و انرژی زیادی صرف کنترل و بررسی موارد امنیتی و اطلاعاتی شده است، اما می‌بایست در نظر داشت که اطمینان از صحت داشته‌ها و اطلاعات، اولین شرط برای شروع اجرای تصمیمات جدید است. سعی کنید یک فهرست از تمام مواردی که برای امنیت اطلاعات سازمان شما حیاتی است تهیه کنید و با مراجعه به افراد مسئول و تصمیم‌گیر در هر مورد آخرین بررسی‌ها در مورد صحت داشته‌ها و اطلاعات را انجام دهید. پس از بررسی و کنترل، سندی از اطلاعات مورد توافق تهیه کنید و آن را به عنوان معیار هر مورد اطلاعاتی قرار دهید. به عنوان مثال نوع دسترسی افراد به اطلاعات و میزان دسترسی تجهیزات تحت شبکه به منابع شبکه از مواردی است که می‌بایست Double Check و نهایی گردد. از این پس، تصمیم اخذ شده به عنوان معیاری برای اعمال قوانین امنیتی خواهد بود.

همه چیز را به صورت مستمر کنترل کنید

آخرین بخش پیشنهادی، Monitoring  است. تمامی اطلاعاتی که از ساختار اطلاعاتی خود کسب کرده‌اید و تمامی اجزای ساختار امنیت اطلاعات در سازمان شما می‌بایست به صورت مستمر و بدون وقفه تحت کنترل باشد. قسمتی از این کنترل مستمر روال‌های انسانی و قسمت مهم‌تر آن ذخیره‌سازی و پردازش لاگ‌فایل‌ها و گزارشات امنیتی است. به زبان ساده‌تر، پایش امنیتی تمامی اجزای ساختار امنیت اطلاعات در سازمان شما، کلید حفظ وضعیت مطلوب و آگاهی از بروز وقایع در تمامی زمان‌ها است.

در نوشته ۲۰ روشی که بانک اطلاعاتی شما از دست خواهد رفت، CREDANT این موارد را بیان کرده است:

1. Employees able to access a database regardless of their need to do so, with sight of complete records including information that they do not necessarily need to see
2. Unrestricted downloading of the database to removable media
3. Employees able to print individual records, or even the full database, in hard copy format
4. Employees able to access records, in undefined quantities or for unlimited periods of time, providing the opportunity to make a written copy
5. Records, or even the entire database, altered or deleted
6. The full database, or individual files, emailed as an attachment
7. The full database, or individual files, uploaded to an external storage facility/website or a hosted document storage and management solution.
8. Loss of external or portable media (memory sticks, CDs, laptops, etc) that contain unencrypted information, often during travel.
9. Misplaced, or stolen, devices (laptops, blackberries, etc) used as a back door to the corporate network
10. Secure employment for the purpose of having unrestricted access to confidential data with criminal intent
11. Existing employees being coerced into removing data for financial gain
12. Ex-employees who have not had their access rights revoked
13. Photocopy hard copies
14. Over the shoulder screen theft from mobile workforce
15. Writing down, or even sharing, passwords
16. Hacked WiFi networks – even with passwords
17. Use of non-alphanumeric passphrases and passphrases of eight or less characters – which can be cracked in a few hours
18. Use of unvetted external contractors or companies
19. Use of vetted external companies on contracts without remediation/penalty clauses on responsibilities for when things go pear-shaped on the data security front
20. Failure to use encrypted back-up storage media

RHEL now certified
at EAL4+

RHEL is now
certified at
EAL4+, when configured appropriately on IBM’s mainframe, System x,
System p5 and eServer boxes, according to the protection profiles LSPP
(labeling), RBACPP (role based access control) and CAPP (audit).

EAL4+
is as far as you can go with an off the shelf OS. Beyond this, you need
semiformal security design and pretty much a new OS. LSPP is the current
equivalent of the old "orange book" B1
TCSEC rating.

شرکت ناول با محصول SLES
دو سال پیش توانسته بود به سطح پایین تری از این گواهینامه دست پیدا کند.

حاشیه:در
مطلب قبلی EAL، دوستی به علمی نبودن مطلب و اهمیت
CC اشاره کرده است.
مطالب زیادی در مورد این که واقعا هزینه کردن پول در کسب EAL
نقش دارد یا نه وجود دارد. همانطور که گرفتن بعضی از ISOها
به پرداخت حق عضویت تبدیل شده است، بعضی از محصولات هم با مبالغ بسیار زیادی (US$1
million and even US$2.5 million) این گواهینامه ها را کسب کرده اند. اینجا را
ببینید:

Impact on cost and schedule

IBM to Acquire Watchfire to Help Customers Guard Against Online Security Attacks and Compliance Breaches.

وب
سرور آپاچی به عنوان پراستفاده ترین وب سرور اینترنت (که
البته این محبوبیت در حال کاهش است!) دارای تهدید هایی است که به رعایت برخی
نکات و استفاده از ابزارهای موجود می توان این تهدید ها را کاهش داد. قسمتی از این
تهدید ها را در مقاله

Protect your Apache server from DoS attacks می توانید بخوانید. در ادامه چند
مطلب در مورد پیشگیری و محافظت در برابر حملات بر ضد Apache
را می توانید دنبال کنید.

Mitigate Attacks With
mod_evasive

Now that you have a tuned,
well-trafficked site, what should you think about next? High on your list
should be security. Hopefully, you’ve adopted the best practices for locking
down your Apache and PHP installations, but beyond that, there are many
Apache modules that can further bolster a hardened configuration and
therefore increase uptime. One module that comes to mind is mod_security, an
embeddable Web application firewall. Another is mod_evasive. Available from

http://www.zdziarski.com/projects/mod_evasive/ and licensed under the
GNU Public License, mod_evasive is an Apache module that provides evasive
action in the event of an HTTP denial of service (DoS), distributed denial
of service (DDoS), or brute force attack. mod_evasive is also designed to be
a detection and network management tool, and can be easily configured to
talk to ipchains, firewalls, and routers. Moreover, it can report abuses via
email and syslog.

SNIPS (System & Network
Integrated Polling Software) is a system and network monitoring
software that runs on Unix systems and can monitor network and system
devices. It is capable of monitoring DNS, NTP, TCP or web ports, host
performance, syslogs, radius servers, BGP peers, etc. New monitors can be
added easily (via a C or Perl API).

     –
20 ways to Secure your Apache
Configuration

Securing Apache:
Step-by-Step

Before we start securing Apache, we must
specify what functionality we expect from the server. Variety of Apache’s
use makes it difficult to write a universal procedure to secure the server
in every case. That’s why in this article we’ll base on the following
functionality:

* The Web server will be accessible from the Internet; and,
* Only static HTML pages will be served
* the server will support name-based virtual hosting mechanism
* specified Web pages can be accessible only from selected IP addresses or
users (basic authentication)
* the server will log all the Web requests (including information about Web
browsers)

Securing Apache 2:
Step-by-Step

When choosing a web server, Apache very
often wins against its competitors because of stability, performance, that
fact that it’s open source, and many other advantages. But when deciding on
which version of Apache to use, the choice is not always so simple. On the
one hand there is a very popular, stable version used by millions of users,
version 1.3, and on the other hand, there is an enhanced and re-designed
version 2.0.

Secure Your Apache
With mod_security

This article shows how to install and
configure mod_security. mod_security is an Apache module (for Apache 1 and
2) that provides intrusion detection and prevention for web applications. It
aims at shielding web applications from known and unknown attacks, such as
SQL injection attacks, cross-site scripting, path traversal attacks, etc.

In the first chapter I will show how to install mod_security on Debian Sarge,
Ubuntu 6.06 LTS (Dapper Drake), and on Fedora Core 5, and in the second
chapter I will describe how to configure Apache for mod_security which is
independent from the distribution you’re using.