10 گام برای تشخیص زود هنگام حوادث امنیتی

از گذشته تا به امروز همواره دو چیز در زندگی افراد وجود داشته که اجتناب از آن ها امکان پذیر نیست: مرگ و مالیات (البته این مورد دومی خیلی برای ایرانی ها صدق نمی کند). در جهان امروزی که همه چیز بر مبنای اطلاعات است، مورد سومی نیز مطرح می شود که امکان نادیده گرفتن از آن برای سازمان ها وجود نخواهد داشت؛ اکثر سازمان ها از دسترسی های غیر مجاز و آسیب های امنیتی رنج می برند. گستره این تهدیدات امنیتی می تواند بصورت آسیب بر روی بخش کوچکی از سازمان با اثرات کمینه و زودگذر تا تاثیر بر روی بخش عظیمی از سازمان و آسیب به شهرت و اعتبار و منابع سازمان باشد.
در این صورت با توجه به اثرات و مشکلاتی که دسترسی های غیرمجاز و تهدیدات امنیتی برای سازمان ها بهمراه دارند، توانمندی سازمان ها در هندل کردن این حوادث بسیار مهم است.
حفظ امنیت اطلاعات می تواند پاسخی برای این مسائل باشد. وجود راهکاری مفید و قدرتمند برای مقابله کارا و موثر با حوادث امنیتی، کاهش اثرات آن ها بر روی سازمان و بهبود و ارتقاء شرایط امنیتی سازمان بسیار مهم و حیاتی است. این راهکار امنیتی باید تضمین کند که سازمان قادر به تشخیص زودهنگام حوادث امنیتی و در نتیجه مقابله با آن ها است.
متاسفانه هر روزه شاهد انتشار خبرهایی هستیم که از دسترسی های غیرمجاز و تهدیدات امنیتی در بعضی از سازمان ها گزارش می دهند. بررسی های صورت گرفته از دسترسی غیرمجاز امنیتی در سال 2012، منجر به انتشار اطلاعاتی شد که توجه به آن ها می تواند بسیار مفید باشد:
  • 92 درصد از این دسترسی های غیرمجاز توسط خود سازمان شناسایی نشدند و از طریق third party ها به سازمان قربانی و مورد هدف اطلاع داده شد.
  • 85 درصد از دسترسی های غیرمجاز بعد از مدت زیادی (چند هفته) در سازمان شناسایی شدند.
  • 97 درصد از دسترسی های غیرمجاز از طریق کنترل های ساده ای قابل اجتناب بودند.
  • 96 درصد از حملات، حملات و تهدیدات دشوار و پیچیده نبودند.
هضم این اطلاعات برای سازمان های قربانی بسیار دشوار است چرا که بسیاری از آن ها سرمایه گذاری های عظیمی(زمان، پول و منابع) در زیرساخت های فناوری اطلاعات خود بمنظور حفظ امنیت انجام دادند حال آن که انتشار این خبرها نشان دهنده ناموفق بودن آن ها و در واقع به هدر رفتن بسیاری از این سرمایه ها بود.
در نتیجه بسیاری از سازمان ها برای جلوگیری از تکرار چنین حوادثی، به خریداری و پیاده سازی IDS ،IPS،ابزارهای log monitoring وحتی SIEM روی آوردند. با وجود تمامی این تدابیر امنیتی، هنوز هم شاهد رخداد حوادث و حملات امنیتی در سازمان ها هستیم.
نتیجه ای که از بررسی این حملات امنیتی حاصل می شود این است که تمرکز و اهمیت بیشتر سازمان ها بر روی کنترل های امنیتی است. همچنین باید به این نکته توجه داشت که رویکردهای مجزا (لایه ای) و غیریکپارچه نمی تواند برای بهبود امنیت سازمان ها مفید واقع شود.
اما سوالی که در اینجا مطرح می شود این است که چرا حملات امنیتی همواره سرفصل خبرها را بخود اختصاص می دهند و شاهد رخداد منظم آن ها هستیم؟آیا ابزاری هایی که در سازمان ها برای حفظ امنیت بکار برده شده اند به اندازه کافی مفید واقع نمی شوند؟ آیا این ابزارها بدرستی در سازمان پیاده سازی نشده اند؟ و یا سازمان ها با شیوه درست استفاده از آن ها آشنا نیستند؟
پاسخ تمامی سوالاتی که در بالا به آن اشاره شد، بهمراه ابهامات و سوالات دیگر، در تشخیص زودهنگام حوادث امنیتی خلاصه می شود. حجم بالایی از اطلاعات که نیاز به شناسایی، تحلیل و اولویت بندی دارند، همچنین وجود رویکردی آنی و بموقع، چالشی است که بسیاری از تیم های امنیتی با آن مواجه هستند و در اکثر اوقات این امر سبب سردرگمی آن ها می شود. بعلاوه، پیکربندی و تنظیمات نادرست سیستم ها، کاهش قابلیت اطمینان و ناکارآمدی در سازمان را بهمراه دارد.
علاوه بر تمامی مواردی که در بالا به آن اشاره شد با تغییر سریع و مداوم در رویکرد حملات سایبری مواجه هستیم که تمامی این موارد باید توسط تیم های امنیتی هندل شود. وقتی تمامی این فاکتورها با یکدیگر مجتمع شوند، در نهایت سازمان با شرایطی مواجه می شود که علاوه بر هدر رفتن سرمایه و منابع، نتوانسته است از تمامی مزایای سیستم های امنیتی خود بهره ببرد.
بعنوان نتیجه ای از مطالب بیان شده، می توان این گونه گفت که در سازمان های امروزی نیاز به اتخاذ و پیاده سازی استراتژی هایی است که بتواند برای تشخیص عوامل بالقوه تهدیدات و حوادث امنیتی  به آنها یاری رساند. از اینرو به تغییر رویکرد از شناسایی حملات بر پایه signatureهای شناخته شده به سمت شناسایی فعالیت های مظنون و مشکوک و رخدادهایی که  دارای رفتارهای مناسب و نرمال نمی باشند، مورد نیاز است.
اینکار نیاز به شناسایی رفتار نرمال در شبکه و سیستم ها دارد که در این صورت به سازمان در تشخیص سریع رفتارهای غیرنرمال و نامناسب و در پی آن واکنش بموقع در برابر آن ها یاری می رساند.
مسئولان امنیتی سازمان ها خواستار راهکارهایی هستند که قابلیت تشخیص و واکنش سریع و زودهنگام را در برابر حوادث امنیتی دارد. سیستم هایی که توانایی شناسایی رفتارهای غیرنرمال شناخته شده را دارند چندان موثر واقع نمی شوند و در درجه دوم اهمیت قرار می گیرند.
نیاز است که سازمان ها به تنظیم دوباره قابلیت های تشخیص تهدیدات و حملات امنیتی بپردازند تا در این صورت شاهد شناسایی بهتر و بموقع از تهدیدات، در حجم بالایی از داده های سازمانی باشند. همچنین باید رفتار سیستم های سازمان دائما زیر نظر قرار گیرد تا عدم تطبیق با الگوهای نرمال رفتاری بموقع شناسایی شوند.

شناسایی زودهنگام حوادث امنیتی
حوادث و حملات امنیتی می توانند از منابع مختلفی نشات گیرند. شناخت تمامی مولفه ها در زیرساخت سازمان می تواند برای تشخیص زودهنگام یک حادثه و متعاقبا واکنش در برابر آن، بسیار حیاتی و مهم باشد.در ادامه 10 گام موثر که می تواند برای این امر بسیار مفید واقع شود بیان می شود:
  • شناخت کامل سازمان

آگاهی از عملکرد سازمان و الگوهایی که می توانند در شناسایی تهدیدات بالقوه، موثر باشند کاملا ضروری است. چرخه های مهم سازمانی نظیر بیانیه ها و اطلاعیه های مهم، پوشش رسانه ای فعالیت های سازمانی و سایر فعالیت های غیر فنی می توانند مستعد پذیرش حملات توسط عامل های مختلف تهدید باشند. اطلاع از تمامی این رویدادها می تواند برای ایجاد آمادگی در برابر یک حمله در سازمان بسیار موثر واقع شود.

  • تحلیل رفتارها و الگوهای شبکه سازمان

هر یک از شبکه ها، الگوی ترافیکی و رفتار مخصوص به خود را دارند که وابسته به فعالیت ها و سیستم هایی است که توسط آن ها ساپورت می شود. با مطلع بودن از الگوی رفتار نرمال  شبکه، می توان هر رفتار خارج از این حالت نرمال را براحتی تشخیص داد. در این صورت شناسایی زودهنگام حوادث امنیتی نیز امکان پذیر می شود.
این گام  میتواند بطور موثری برای آگاهی از زمان اجرای سرویس هایی که سبب نشت و انتشار اطلاعات می شوند نیز موثر واقع شود.این چنین سرویس هایی ممکن است برای file sharing sites ،peer-to-peer networking و یا cloud service، بمنظور انتقال داده ها به خارج سازمان مورد استفاده قرار گیرند.
نمونه ای از فعالیت های غیرمعمول می تواند شامل افزایش استفاده از پروتکل peer-to-peer بر روی یک شبکه باشد. این امر نشان دهنده این است که فردی در حال ارسال حجم بالایی از داده ها و اطلاعات است. همچنین میتواند نشان دهنده این امر باشد که سیستم مورد نظر از طریق یک بات نت در معرض خطر قرار گرفته است و ترافیک بمنظور کنترل بات نت مورد استفاده قرار می گیرد.

  • بخش بندی  اطلاعات

در واقع این گام بمنظور تحلیل و آنالیز رفتار و الگوهای شبکه صورت می پذیرد. تقسیم بندی شبکه به بخش های مشخص مبتنی بر عملکردها است. با واقع شدن سرورها و سیستم ها در یک مکان و بخش مشخص، مانیتورینگ و تشخیص ترافیک های غیرمعمول که می تواند نشان دهنده حملات و تهدیدات امنیتی باشد امکان پذیر می شود.
برای مثال، با قرار گرفتن تمامی database server ها در یک بخش و مکان مشخص، امکان مانیتورینگ این بخش و درنظر گرفتن ترافیک مرتبط با database serverها فراهم می شود. سایر ترافیک های ظاهر شده در این بخش، نظیر email traffic می تواند نشان دهنده یک تهدید امنیتی باشد.
با توجه به این موضوع که 94درصد از تمامی اطلاعات و داده هایی که در معرض خطر قرار می گیرند در سرورها می باشند، این رویکرد می تواند در حفاظت از دارایی های با ارزش سازمان مفید باشد.

  • تنظیمات امنیتی سفت و سخت و شناسایی تمامی تغییرات غیرمجاز

وجود تنظیمات و پیکربندی ایمن و قابل اطمینان برای سیستم ها و سرورهای کلیدی، بسیاری حیاتی و ضروری است چرا که می تواند در پشتیبان گیری و بازیابی از حوادث  مفید واقع شود. مدیریت پیکربندی می تواند ابزار موثر و مفیدی برای شناسای یک تهدید امنیتی باشد چرا که هر تغییری در تنظیمات و پیکربندی سیستم ها می تواند نشانه ای از یک تهدید باشد.
نیاز است سیستم ها، تنها قابلیت ایجاد تغییراتی مطابق با فرایند change management  تعیین شده را داشته باشند. تغییرات غیرمجازی که در فایل های برنامه های کاربردی و سیستم های حیاتی رویت می شوند می تواند نشانه ای از نفوذ بدافزارها و یا رخداد یک حمله  با هدف تغییر فایل ها باشد.
مانیتورینگ و شناسایی تغییرات غیرمجاز راهکار موثری برای تشخیص یک تهدید و یا حمله امنیتی است.

  • مانیتورینگ و همبستگی سنجی  logها

Log های جمع آوری شده از تجهیزات و سیستم های شبکه، می تواند اطلاعات باارزشی برای آگاهی از تمامی فعالیت ها بر روی شبکه باشد. log fileها اصولا دارای اطلاعات ارزشمندی هستند که از طریق آن ها می توان تمامی رخدادهای امنیتی که در دوره زمانی مشخصی رخ  داده اند را شناسایی کرد. در این صورت با دسترسی به این اطلاعات امکان شناسایی تهدیدات امنیتی فراهم می شود و در نتیجه می توان از بسیاری از حملات امنیتی جلوگیری کرد.
بهرحال log dataها بدون تحلیل و آنالیز نمی توانند کارآمد باشند و تنها در این صورت سیلی از اطلاعات برای تیم های امنیتی ایجاد می شود در حالی که استفاده مفیدی از این اطلاعات نشده و چالش هایی را نیز برای آن ها بوجود می آورد.
بعنوان یک نتیجه می توان بیان داشت که بسیاری از این اطلاعات مهم، ممکن است در سازمان ها مورد توجه قرار نگیرند. همبستگی سنجی بین تمامی log ها و تحلیل و آنالیز آن ها برای شناسایی الگوهای حمله، تشخیص زودهنگام بسیاری از این تهدیدات را امکان پذیر می سازد.
باید توجه کرد که همبستگی سنجی و سناریوهای تعریف شده وابسته به سازمان و دارایی های آن است. برای مثال اگر کاربری در بخش خاص و مشخصی از سازمان تعریف نشده است (وجود ندارد)، در این صورت با وجودremote login به آن مکان، باید آلارم و هشداری منتشر شود. الگوهای غیرمعمول دیگری که می تواند درنظر گرفت  الگوهای login غیر معمول برای کاربران، انتقال فایل به مقاصد ناشناخته و یا ارتباط با سیستم های ناشناخته در remote location است.

  • ابزارهای کارآمد برای تشخیص حادثه

سیستم های مدیریت اطلاعات و رخدادهای امنیتی، IDS ها و سایر ابزارهای مانیتورینگ امنیتی زمانی می توانند کارآمد باشند که بدرستی پیاده سازی شوند.
بهرحال اغلب سازمان ها قادر به پیاده سازی صحیح این ابزارها نیستند و با چالش های بسیاری در این زمینه مواجه می باشند. اصولا زمان و منابع زیادی برای پیکربندی و تنظیم صحیح این ابزارها لازم است و در این صورت است که ثبت و گزارش سطوح درستی از اطلاعات به تیم ها و تحلیلگران امنیتی امکان پذیر می شود.
پیکربندی و تنظیم صحیح این ابزارها بسیار مهم است تا از تولید هشدارهای اشتباه و آلارم نادرست از رخداد حادثه ای جلوگیری شود. بنابراین تنظیم نادرست این ابزارها ممکن است سبب نادیده گرفتن بسیاری از حقایق در سازمان ها شود.
با پیاده سازی صحیح این ابزارها و سیستم ها، میتوان اطلاعات مفید، صحیح و ارزشمندی فراهم کرد که در ایجاد چشم اندازی برای شناسایی تهدیدات بسیار مفید واقع می شوند.
پیاده سازی SIEM ،log monitoring ،IDS و یا IPS در سازمان، به اطمینان از تنظیم و پیکربندی آن ها بطور صحیح نیاز دارد. لازمه اینکار شناسایی کامل شبکه و عملکرد آن، تعیین الگوهای نرمال ترافیکی برای سازمان، تعیین رخدادهای مهم برای سازمان و همچنین تعیین رخدادهایی غیرمهم و فاقد اهمیت برای سازمان است.
علاوه بر این، همبستگی سنجی رخدادهای حاصل از سیستم های مختلف بمنظور شناسایی رفتارهای مشکوک می تواند بسیار مفید باشد. برای مثال شناسایی رخدادی بر روی وب سرور به خودی خود نمی تواند بدگمانی را بهمراه داشته باشد اما اگر این رخداد با مجوزهای کاربری و تغییری در یک فایل مهم مرتبط شود، اجتماع  این رخدادها می تواند پتانسیلی برای ایجاد ریسک و تهدیدی در سازمان باشد.
اطمینان از عملکرد صحیح ابزارهای تشخیص حوادث، نیاز به پیکربندی و تنظیم درست آن ها دارد. در هر حال این سرمایه گذاری، منافع زیادی را برای سازمان بهمراه دارد.

  • آموزش افراد و ایجاد توانمندی در آن ها

علاوه بر پیاده سازی درست ابزارهایی که برای تشخیص حوادث بکار می روند، آموزش افراد نیز می تواند بسیار مهم باشد. آموزش افراد (کارکنان) بمنظور تشخیص ایمیل های phishing، رفتارهای مشکوک سیستم ها و گزارش آن ها می تواند سبب افزایش کارایی سازمان شود.
علاوه بر آموزش کاربران، کارکنان پشتیبانی نیز باید تحت آموزش قرار گیرند زیرا در این صورت آن ها می توانند تهدیدات و ریسک های بالقوه را از تمامی تماس ها (فراخوانی ها) تشخیص دهند.

  • استفاده از دانش و هوشمندی های موجود در منابع open source

عملکرد و چگونگی راه اندازی بسیاری از حملاتی که اخیرا اتفاق افتادند، مورد بحث و بررسی قرار گرفته است. درنظر گرفتن این پلت فرم ها می تواند برای آگاهی از حملاتی که در سازمان رخ داده است و یا شناسایی عوامل بالقوه برای این حملات بسیار مفید باشد.
تعدادی از کمپانی ها با مانیتورینگ اینترنت و سایر منابع بمنظور شناسایی نشانه های یک حادثه که می تواند بر روی سازمان ها تاثیر گذارد سرویس های خوبی را ارائه می کنند.
همچنین تعدادی از سرویس ها برای تعیین اینکه آیا امنیت سازمان حفظ می شود و یا سازمان مورد دسترسی غیرمجاز قرار گرفته است، ارائه می شوند. این سرویس ها با مانیتورینگ منظم اینترنت، روندهایی که میتوانند سبب بخطر انداختن سیستم ها شوند را شناسایی کرده و آن ها را در یک فرمت قابل استفاده برای سازمان ها، منتشر می کنند.
سرویس هایی نظیر Dshield ،Google Safe Browsing Alert و ARAKIS تنها نمونه ای از سرویس های رایگان و در دسترس هستند که می توانند از تهدیدات موجود در دنیا اطلاع رسانی کنند.

  • جلوگیری از رخداد حملات بالقوه

Honeypot سیستمی است که برای مقابله با هکرها و کشف و جمع آوری فعالیت های غیرمجاز در شبکه مورد استفاده قرار می گیرد.
در این صورت امکان شناخت نقاط ضعف سیستم و تحلیل حملات بمنظور شناسایی متدلوژی آن ها  فراهم می شود. Honeypot می تواند برای جمع آوری اطلاعات لازم بمنظور تعقیب و ردگیری نفوذگران مفید باشد.
از آنجاییکه یک Honeypot معمولا با امنیت کمتری پیکربندی می شود می توانند هدفی برای مهاجمان باشد.
پیاده سازی Honeypot  و مانیتورینگ شبکه از طریق آن، می تواند برای شناسایی ریسک ها و تهدیدات سیستم و در واقع تشخیص در معرض خطر قرار گرفتن شبکه، مفید واقع شود.

  • به اشتراک گذاری اطلاعات

رویکردی کارا برای آگاهی از حملات بالقوه، به اشتراک گذاری اطلاعات بدست آمده در داخل و خارج سازمان است. این امر سبب آگاهی از تمامی اطلاعات مربوط به حملات، تغییرات حاصل در آن ها، متدلوژی حملات و ایجاد راهکارهای حفاظتی در برابر آن ها می شود.
همچنین نیاز به همکاری با موسسه قانونگذاری و سازمان های به اشتراک گذاری اطلاعات در این حوزه نظیر CERT ها است. اینکار امکان ایجاد هوشمندی و دانشی را درباره انواع مختلف تهدیدات و نیز توسعه دهنده آن ها فراهم می کند. در این صورت سازمان ها قادر به اتخاذ راهکارهای دفاعی و حفاظتی مناسب خواهند بود.


نتیجه گیری

حفاظت از شبکه ها و شناسایی حملات و تهدیدات چالشی است که بسیاری از سازمان ها با آن مواجه هستند. تغییرات سریع در سازمان ها و تکنولوژی ها سبب شده است که تیم های امنیتی با مسائل و حجم بالایی از اطلاعات مواجه شوند. کنترل های امنیتی که می توانند سبب جلوگیری از موفقیت مهاجمان در اهدافشان شوند، به تنهایی موثر واقع نمی شود. در این حالت نیاز به مکانیزم هایی است که با مجتمع سازی تمام ابزارها و راهکارهای امنیتی، از رسیدن مهاجمان به اهدافشان جلوگیری کند. با این رویکرد جدید، سازمان ها قادر به شناسایی زود هنگام حملات و تهدیدها و در پی آن واکنش مناسب در برابر آن ها هستند. بکار بستن 10 گام مطرح شده در این نوشته، می تواند برای تیم های امنیتی در حفاظت از سیستم ها بسیار مفید واقع شود.

نقل و نشر مطالب با ذکر نام سایت بهین راهکار آزاد است.
محصولات