10 گام برای تشخیص زود هنگام حوادث امنیتی

از گذشته تا به امروز همواره دو چیز در زندگی افراد وجود داشته که اجتناب از آن ها امکان پذیر نیست: مرگ و مالیات (البته این مورد دومی خیلی برای ایرانی ها صدق نمی کند). در جهان امروزی که همه چیز بـر مبنـای اطلاعات است، مـورد سومـی نیز مطـرح می شود که امکان نادیده گرفتن از آن برای سازمان ها وجود نخواهد داشت؛ اکثر سازمان ها از دسترسی های غیر مجاز و آسیب های امنیتی رنج می برند. گستره این تهدیدات امنیتی می تواند بصورت آسیب بر روی بخش کوچکی از سازمان با اثرات کمینه و زودگذر تا تاثیر بر روی بخش عظیمی از سازمان و آسیب به شهرت و اعتبار و منابع سازمان باشد.

در این صورت با توجه به اثرات و مشکلاتی که دسترسی های غیرمجاز و تهدیدات امنیتی برای سازمان ها بهمراه دارند، توانمندی سازمان ها در هندل کردن این حوادث بسیار مهم است. حفظ امنیت اطلاعات می تواند پاسخی برای این مسائل باشد. وجود راهکاری مفید و قدرتمند برای مقابله کارا و موثر با حوادث امنیتی، کاهش اثرات آن ها بر روی سازمان و بهبود و ارتقاء شرایط امنیتی سازمان بسیار مهم و حیاتی است. این راهکار امنیتی باید تضمین کند که سازمان قادر به تشخیص زودهنگام حوادث امنیتی و در نتیجه مقابله با آن ها است. متاسفانه هر روزه شاهد انتشار خبرهایی هستیم که از دسترسی های غیرمجاز و تهدیدات امنیتی در بعضی از سازمان ها گزارش می دهند.

بررسی های صورت گرفته از دسترسی غیرمجاز امنیتی در سال ، منجر به انتشار اطلاعاتی شد که توجه به آن ها می تواند بسیار 2012 مفید باشد:

    • 92 درصد از این دسترسی های غیرمجاز توسط خود سازمان شناسایی نشدند و از طریق third party ها به سازمان قربانی و مورد هدف اطلاع داده شد.
    • 85 درصد از دسترسی های غیرمجاز بعد از مدت زیادی (چند 85 هفته) در سازمان شناسایی شدند.
    • 97 درصد از دسترسی های غیرمجاز از طریق کنترل های 97 ساده ای قابل اجتناب بودند.
    • 96 درصد از حملات، حملات و تهدیدات دشوار و پیچیده نبودند.

هضم این اطلاعات برای سازمان های قربانی بسیار دشوار است چرا که بسیاری از آن ها سرمایه گذاری های عظیمی(زمان، پول و منابع) در زیرساخت های فناوری اطلاعات خود بمنظور حفظ امنیت انجام دادند حال آن که انتشار این خبرها نشان دهنده ناموفق بودن آن ها و در واقع به هدر رفتن بسیاری از این سرمایه ها بود. در نتیجه بسیاری از سازمان ها برای جلوگیری از تکرار چنین حوادثی، log monitoring، ابزارهای IDS ،IPSبه خریداری و پیاده سازی روی آوردند. با وجود تمامی این تدابیر امنیتی، هنوز SIEMوحتی هم شاهد رخداد حوادث و حملات امنیتی در سازمان ها هستیم. نتیجه ای که از بررسی این حملات امنیتی حاصل می شود این است که تمرکز و اهمیت بیشتر سازمان ها بر روی کنترل های امنیتی است. همچنین باید به این نکته توجه داشت که رویکردهای مجزا (لایه ای) و غیریکپارچه نمی تواند برای بهبود امنیت سازمان ها مفید واقع شود.

اما سوالی که در اینجا مطرح می شود این است که چرا حملات امنیتی همواره سرفصل خبرها را بخود اختصاص می دهند و شاهد رخداد منظم آن ها هستیم؟آیا ابزاری هایی که در سازمان ها برای حفظ امنیت بکار برده شده اند به اندازه کافی مفید واقع نمی شوند؟ آیا این ابزارها بدرستی در سازمان پیاده سازی نشده اند؟ و یا سازمان ها با شیوه درست استفاده از آن ها آشنا نیستند؟ پاسخ تمامی سوالاتی که در بالا به آن اشاره شد، بهمراه ابهامات و سـوالات دیگـر، در تشـخیص زود هنـگـام حـوادث امنـیتی خلاصـه می شود. حجم بالایی از اطلاعات که نیاز به شناسایی، تحلیل و اولویت بندی دارند، همچنین وجود رویکردی آنی و بموقع، چالشی است که بسیاری از تیم های امنیتی با آن مواجه هستند و در اکثر اوقات این امر سبب سردرگمی آن ها می شود. بعلاوه، پیکربندی و تنظیمات نادرست سیستم ها، کاهش قابلیت اطمینان و ناکارآمدی در سازمان را بهمراه دارد.

علاوه بر تمامی مواردی که در بالا به آن اشاره شد با تغییر سریع و مداوم در رویکرد حملات سایبری مواجه هستیم که تمامی این موارد باید توسط تیم های امنیتی هندل شود. وقتی تمامی این فاکتورها با یکدیگر مجتمع شوند، در نهایت سازمان با شرایطی مواجه می شود که علاوه بر هدر رفتن سرمایه و منابع، نتوانسته است از تمامی مزایای سیستم های امنیتی خود بهره ببرد. بعنوان نتیجه ای از مطالب بیان شده، می توان این گونه گفت که در سازمان های امروزی نیاز به اتخاذ و پیاده سازی استراتژی هایی است که بتواند برای تشخیص عوامل بالقوه تهدیدات و حوادث امنیتی به آنها یاری رساند. از اینرو به تغییر رویکرد از شناسایی حملات بر های شناخته شده به سمت شناسایی فعالیت های signatureپایه مظنون و مشکوک و رخدادهایی که دارای رفتارهای مناسب و نرمال نمی باشند، مورد نیاز است.

اینکار نیاز به شناسایی رفتار نرمال در شبکه و سیستم ها دارد که در این صورت به سازمان در تشخیص سریع رفتارهای غیرنرمال و نامناسب و در پی آن واکنش بموقع در برابر آن ها یاری می رسـاند. مسئولان امنیتی سازمان ها خواستار راهکارهایی هستند که قابلیت تشخیص و واکنش سریع و زودهنگام را در برابر حوادث امنیتی دارد. سیستم هایی که توانایی شناسایی رفتارهای غیرنرمال شناخته شده را دارند چندان موثر واقع نمی شوند و در درجه دوم اهمیت قرار می گیرند. نیاز است که سازمان ها به تنظیم دوباره قابلیت های تشخیص تهدیدات و حملات امنیتی بپردازند تا در این صورت شاهد شناسایی بهتر و بموقع از تهدیدات، در حجم بالایی از داده های سازمانی باشند. همچنین باید رفتار سیستم های سازمان دائما زیر نظر قرار گیرد تا عدم تطبیق با الگوهای نرمال رفتاری بموقع شناسایی شوند.

 شناسایی زودهنگام حوادث امنیتی

حوادث و حملات امنیتی می توانند از منابع مختلفی نشات گیرند. شناخت تمامی مولفه ها در زیرساخت سازمان می تواند برای تشخیص زودهنگام یک حادثه و متعاقبا واکنش در برابر آن، بسیار گام موثر که می تواند برای این امر 10حیاتی و مهم باشد.در ادامه بسیار مفید واقع شود بیان می شود:

شناخت کامل سازمان 

آگاهی از عملکرد سازمان و الگوهایی که می توانند در شناسایی تهدیدات بالقوه، موثر باشند کاملا ضروری است. چرخه های مهم سازمانی نظیر بیانیه ها و اطلاعیه های مهم، پوشش رسانه ای فعالیت های سازمانی و سایر فعالیت های غیر فنی می توانند مستعد پذیرش حملات توسط عامل های مختلف تهدید باشند. اطلاع از تمامی این رویدادها می تواند برای ایجاد آمادگی در برابر یک حمله در سازمان بسیار موثر واقع شود.

تحلیل رفتارها و الگوهای شبکه سازمان

هر یک از شبکه ها، الگوی ترافیکی و رفتار مخصوص به خود را دارند که وابسته به فعالیت ها و سیستم هایی است که توسط آن ها ساپورت می شود. با مطلع بودن از الگوی رفتار نرمال شبکه، می توان هر رفتار خارج از این حالت نرمال را براحتی تشخیص داد. در این صورت شناسایی زودهنگام حوادث امنیتی نیز امکان پذیر می شود.

این گام میتواند بطور موثری برای آگاهی از زمان اجرای سرویس هایی که سبب نشت و انتشار اطلاعات می شوند نیز موثر واقع شود. file sharing sitesاین چنین سرویس هایی ممکن است برای ، بمنظور انتقال cloud service و یا ،peer-to-peer networking داده ها به خارج سازمان مورد استفاده قرار گیرند. نمونه ای از فعالیت های غیرمعمول می تواند شامل افزایش استفاده بر روی یک شبکه باشد. این امر نشان peer-to-peerاز پروتکل دهنده این است که فردی در حال ارسال حجم بالایی از داده ها و اطلاعات است. همچنین میتواند نشان دهنده این امر باشد که سیستم مورد نظر از طریق یک بات نت در معرض خطر قرار گرفته است و ترافیک بمنظور کنترل بات نت مورد استفاده قرار می گیرد.

بخش بندی اطلاعات

در واقع این گام بمنظور تحلیل و آنالیز رفتار و الگوهای شبکه صورت می پذیرد. تقسیم بندی شبکه به بخش های مشخص مبتنی بر عملکردها است. با واقع شدن سرورها و سیستم ها در یک مکان و بخش مشخص، مانیتورینگ و تشخیص ترافیک های غیرمعمول که می تواند نشان دهنده حملات و تهدیدات امنیتی باشد امکان پذیر می شود. ها در یک بخش database serverبرای مثال، با قرار گرفتن تمامی و مکان مشخص، امکان مانیتورینگ این بخش و درنظر گرفتن ترافیک ها فراهم می شود. سایر ترافیک های database serverمرتبط با می تواند نشان email trafficظاهر شده در این بخش، نظیر دهنده یک تهدید امنیتی باشد. درصد از تمامی اطلاعات و داده هایی که 94با توجه به این موضوع که در معرض خطر قرار می گیرند در سرورها می باشند، این رویکرد می تواند در حفاظت از دارایی های با ارزش سازمان مفید باشد.

تنظیمات امنیتی سفت و سخت و شناسایی تمامی تغییرات غیرمجاز

وجود تنظیمات و پیکربندی ایمن و قابل اطمینان برای سیستم ها و سرورهای کلیدی، بسیاری حیاتی و ضروری است چرا که می تواند در پشتیبان گیری و بازیابی از حوادث مفید واقع شود. مدیریت پیکربندی می تواند ابزار موثر و مفیدی برای شناسای یک تهدید امنیتی باشد چرا که هر تغییری در تنظیمات و پیکربندی سیستم ها می تواند نشانه ای از یک تهدید باشد. نیاز است سیستم ها، تنها قابلیت ایجاد تغییراتی مطابق با فرایند تعیین شده را داشته باشند. تغییرات change management غیرمجازی که در فایل های برنامه های کاربردی و سیستم های حیاتی رویت می شوند می تواند نشانه ای از نفوذ بدافزارها و یا رخداد یک حمله با هدف تغییر فایل ها باشد.مانیتورینگ و شناسایی تغییرات غیرمجاز راهکار موثری برای تشخیص یک تهدید و یا حمله امنیتی است.

مانیتورینگ و همبستگی سنجی Logها

د Log اطلاعات باارزشی برای آگاهی از تمامی فعالیت ها بر روی شبکه ها اصولا دارای اطلاعات ارزشمندی هستند که از log fileباشد. طریق آن ها می توان تمامی رخدادهای امنیتی که در دوره زمانی مشخصی رخ داده اند را شناسایی کرد. در این صورت با دسترسی به این اطلاعات امکان شناسایی تهدیدات امنیتی فراهم می شود و در نتیجه می توان از بسیاری از حملات امنیتی جلوگیری کرد. ها بدون تحلیل و آنالیز نمی توانند کارآمد باشند log dataبهرحال و تنها در این صورت سیلی از اطلاعات برای تیـم هـای امنیتی ایجـاد می شود در حالی که استفاده مفیدی از این اطلاعات نشده و چالش هایی را نیز برای آن ها بوجود می آورد.

بعنوان یک نتیجه می توان بیان داشت که بسیاری از این اطلاعات مهم، ممکن است در سازمان ها مورد توجه قرار نگیرند. همبستگیها و تحلیل و آنالیز آن ها برای شناسایی logسنجی بین تمامی الگوهای حمله، تشخیص زودهنگام بسیاری از این تهدیدات را امکان پذیر می سازد. باید توجه کرد که همبستگی سنجی و سناریوهای تعریف شده وابسته به سازمان و دارایی های آن است. برای مثال اگر کاربری در بخش خاص و مشخصی از سازمان تعریف نشده است (وجود ندارد)، در این صورت با وجود Remote login به آن مکان، باید آلارم و هشداری منتشر شود. الگوهای Login غیر معمول برای کاربران، انتقال فایل به مقاصدناشناخته و یا ارتباط با سیستم های ناشناخته در Remote Location است.

ابزارهای کارآمد برای تشخیص حادثه

سیستم های مدیریت اطلاعات و رخدادهای امنیتی، IDSها و سایر ابزارهای مانیتورینگ امنیتی زمانی می توانند کارآمد باشند که بدرستی پیاده سازی شوند.بهرحال اغلب سازمان ها قادر به پیاده سازی صحیح این ابزارها نیستند و با چالش های بسیاری در این زمینه مواجه می باشند. اصولا زمان و منابع زیادی برای پیکربندی و تنظیم صحیح این ابزارها لازم است و در این صورت است که ثبت و گزارش سطوح درستی از اطلاعات به تیم ها و تحلیلگران امنیتی امکان پذیر می شود. پیکربندی و تنظیم صحیح این ابزارها بسیار مهم است تا از تولید هشدارهای اشتباه و آلارم نادرست از رخداد حادثه ای جلوگیری شود. بنابراین تنظیم نادرست این ابزارها ممکن است سبب نادیده گرفتن بسیاری از حقایق در سازمان ها شود. با پیاده سازی صحیح این ابزارها و سیستم ها، میتوان اطلاعات مفید، صحیح و ارزشمندی فراهم کرد که در ایجاد چشم اندازی برای شناسایی تهدیدات بسیار مفید واقع می شوند.

پیاده سازی IDS، Log monitoring، SIEM و یا IPS در سازمان، به اطمینان از تنظیم و پیکربندی آن ها بطور صحیح نیاز دارد. لازمه اینکار شناسایی کامل شبکه و عملکرد آن، تعیین الگوهای نرمال ترافیکی برای سازمان، تعیین رخدادهای مهم برای سازمان و همچنین تعیین رخدادهایی غیرمهم و فاقد اهمیت برای سازمان است. علاوه بر این، همبستگی سنجی رخدادهای حاصل از سیستم های مختلف بمنظور شناسایی رفتارهای مشکوک می تواند بسیار مفید باشد. برای مثال شناسایی رخدادی بر روی وب سرور به خودی خود نمی تواند بدگمانی را بهمراه داشته باشد اما اگر این رخداد با مجوزهای کاربری و تغییری در یک فایل مهم مرتبط شود، اجتماع این رخدادها می تواند پتانسیلی برای ایجاد ریسک و تهدیدی در سازمان باشد. اطمینان از عملکرد صحیح ابزارهای تشخیص حوادث، نیاز به پیکربندی و تنظیم درست آن ها دارد. در هر حال این سرمایه گذاری، منافع زیادی را برای سازمان بهمراه دارد.

آموزش افراد و ایجاد توانمندی در آن ها

علاوه بر پیاده سازی درست ابزارهایی که برای تشخیص حوادث بکار می روند، آموزش افراد نیز می تواند بسیار مهم باشد. آموزش ، رفتارهای phishing افراد (کارکنان) بمنظور تشخیص ایمیل های مشکوک سیستم ها و گزارش آن ها می تواند سبب افزایش کارایی سازمان شود. علاوه بر آموزش کاربران، کارکنان پشتیبانی نیز باید تحت آموزش قرار گیرند زیرا در این صورت آن ها می توانند تهدیدات و ریسک های بالقوه را از تمامی تماس ها (فراخوانی ها) تشخیص دهند.

استفاده از دانش و هوشمندی های موجود در منابع Open Source

عملکرد و چگونگی راه اندازی بسیاری از حملاتی که اخیرا اتفاق افتادند، مورد بحث و بررسی قرار گرفته است. درنظر گرفتن این پلت فرم ها می تواند برای آگاهی از حملاتی که در سازمان رخ داده است و یا شناسایی عوامل بالقوه برای این حملات بسیار مفید باشد. تعدادی از کمپانی ها با مانیتورینگ اینترنت و سایر منابع بمنظور شناسایی نشانه های یک حادثه که می تواند بر روی سازمان ها تاثیر گذارد سرویس های خوبی را ارائه می کنند. همچنین تعدادی از سرویس ها برای تعیین اینکه آیا امنیت سازمان حفظ می شود و یا سازمان مورد دسترسی غیرمجاز قرار گرفته است، ارائه می شوند. این سرویس ها با مانیتورینگ منظم اینترنت، روندهایی که میتوانند سبب بخطر انداختن سیستم ها شوند را شناسایی کرده و آن ها را در یک فرمت قابل استفاده برای سازمان ها، منتشر می کنند. Dshield ،Google Safe Browsing Alertسرویس هایی نظیر تنها نمونه ای از سرویس های رایگان و در دسترس ARAKISو هستند که می توانند از تهدیدات موجود در دنیا اطلاع رسانی کنند.

جلوگیری از رخداد حملات بالقوه

Honeypot سیستمی است که برای مقابله با هکرها و کشف و جمع آوری فعالیت های غیرمجاز در شبکه مورد استفاده قرار می گیرد. در این صورت امکان شناخت نقاط ضعف سیستم و تحلیل حملات Honeypotبه منظور شناسایی متدلوژی آن هافراهم می شود. می تواند برای جمع آوری اطلاعات لازم بمنظور تعقیب و ردگیری نفوذگران مفید باشد. از آنجاییکه یک Honeypot معمولا با امنیت کمتری پیکربندی می شود می توانند هدفی برای مهاجمان باشد. پیاده سازی Honeypot و مانیتورینگ شبکه از طریق آن، می تواند برای شناسایی ریسک ها و تهدیدات سیستم و در واقع تشخیص در معرض خطر قرار گرفتن شبکه، مفید واقع شود.

به اشتراک گذاری اطلاعات

رویکردی کارا برای آگاهی از حملات بالقوه، به اشتراک گذاری اطلاعات بدست آمده در داخل و خارج سازمان است. این امر سبب آگاهی از تمامی اطلاعات مربوط به حملات، تغییرات حاصل در آن ها، متدلوژی حملات و ایجاد راهکارهای حفاظتی در برابر آن ها می شود. همچنین نیاز به همکاری با موسسه قانونگذاری و سازمان های به ها است. اینکار CERTاشتراک گذاری اطلاعات در این حوزه نظیر امکان ایجاد هوشمندی و دانشی را درباره انواع مختلف تهدیدات و نیز توسعه دهنده آن ها فراهم می کند. در این صورت سازمان ها قادر به اتخاذ راهکارهای دفاعی و حفاظتی مناسب خواهند بود.

اطلاعات جدیدترین محصولات اپل توسط هکرها به سرقت رف...
6 گام اساسی در مدیریت موثر برنامه های کاربردی سازم...

By accepting you will be accessing a service provided by a third-party external to https://behinrahkar.com/