دارائی ارزشمند Asset

Asset دارایی ارزشمند برای سازمان است که نیازمند و مستحق محافظت است

آسیب پذیری Vulnerability

نقطه ضعف ، حفره  یا آسیب پذیری  در حوزه امنیت اطلاعات عبارت است از هرگونه نقطه  ضعف نرم افزاری ، سخت افزاری یا تکنولوژیک که قابل سوءاستفاده باشد.

مشهورترین نقطه ضعف ها در نرم افزارها و سیستم های عامل وجود دارند که ممکن است از باگ های (Bug) برنامه نویسی ناشی شوند. البته آسیب پذیری را فقط نباید در برنامه های کامپیوتری خلاصه کرد زیرا یک نقطه ضعف امنیتی ممکن است در عادات فردی کاربران نیز خودنمایی کند. مانند کارشناس یا مدیری که رمزهای عبورش را برروی کاغذی یاداشت کرده و در زیر شیشه میزش قرار می دهد یا به بدنه کامپیوتر می چسباند و فراموش می کند که ممکن است توسط افراد غیر مجاز نیز رویت شود.

گاهی هم نقطه ضعف در یک فناوری Technology  وجود دارد. مثلا یکی از اشکالات پروتکل  Protocol  انتقال فایل FTP آن است که نام کاربر و رمز عبورها به همان شکلی که تایپ می شوند و نه به صورت رمز شده در بستر شبکه ارسال می شود که همین نقطه ضعف امنیتی می تواند توسط هکر مورد سوء استفاده قرار گیرد (مشابه همین مورد برای پروتکل Telnet) .

به عنوان مثالی دیگر  می توان از   عدم استفاده از فایروال قدرتمند نام برد.

با پیاده سازی صحیح و اقدامات امنیتی، آسیب پذیری ها کاهش می یابند

تهدید Threat:

هر چیزی که می تواند آسیب پذیری را به طور عمدی یا به طور تصادفی مورد سوء استفاده قرار دهد و باعث  آسیب رساندن یا نابودی یک دارایی Asset شود تهدید می باشد به عبارت دیگر  تهدید وجود خطر بالقوه در سامانه ها ست که در شرایط مناسب قابل استفاده برای نفوذ مهاجم  به منظور سرقت اطلاعات یا ایجاد خسارت برای اطلاعات یا سامانه های اطلاعاتی می باشد ، همچنین می توان گفت تهدید شرایط یا حالتی است که  میتواند امنیت را مختل کند.

مثال : ارتباط راه دور اگر ارتباط امنی نباشد و یا  استفاده از team viewer ممکن است اطلاعات را در اختیار فرد بیگانه قرار دهد و این خود یک تهدید به حساب می آید .

حمله  attack:

در اصطلاح کامپیوتر و شبکه ، به  هرگونه تلاش جهت مشاهده اطلاعات، دستکاری اطلاعات ، غیرفعال سازی سیستم های اطلاعاتی، نابودی اطلاعات  ، سرقت یا دسترسی غیر مجاز برای استفاده غیر مجاز از دارایی هایی اطلاعاتی (یا سرویس های اطلاعاتی) سازمان (از طریق آسیب پذیری ها Vulnerabilities) ، حمله گویند  به عبارت دیگر حمله عبارت است از  تجاوز به امنیت سیستم  و دارایی ارزشمند اطلاعاتی سازمان (Asset) ناشی از تهدید threat از طریق آسیب پذیری (vulnerability) سیستم.

انواع حملات :

حملات فعال  Active attacks:

تلاش مهاجم در جهت نفوذ به سیستم و تغییر اطلاعات یا اثری بر عملیات سیستم ، مثل حمله مردی در میانه، انکار سرویس و حملات منجر به اصلاح پیام

حملات غیر فعال Passive attack:

تلاش مهاجم در جهت اطلاع از داده های سیستم بدون اعمال تغییرات ، مثل استراق سمع و تحلیل ترافیک .

حملات فعال تشخیص راحت تری نسبت به غیر فعال دارد. اما حملات غیر فعال خطرناک تر می باشد و دیرتر تشخیص داده میشود.

علاوه بر حملات اکتیو و پسیو،  میتوان حملات را به دو دسته داخلی (insider) و خارجی (outsider) نیز تقسیم کرد . حملاتی که از داخل یک سازمان شکل  میگیرند، را حملات داخلی می نامند و معمولا توسط کارمندی از داخل سازمان صورت می گیرد تا به منابع بیشتری دسترسی پیدا کند. حمله خارجی، از بیرون سازمان توسط شخص خارجی که دسترسی مجاز به شبکه و سامانه های اطلاعاتی ندارد،  صورت می گیرد.

بد افزار Malware

بدافزار نرم افزاری است که به طور خاص برای دستکاری، خرابکاری، آسیب رساندن یا دسترسی غیر مجاز به یک سیستم اطلاعاتی طراحی شده است به عبارت دیگر بد افزارها برنامه‌های رایانه‌ای هستند که به کاربر آزار رسانده یا  خسارتی وارد می کنند. برخی از آنها فقط کاربر را می‌آزارند. مثلاً وی را مجبور به انجام کاری تکراری می‌کنند یا می ترسانند . اما برخی دیگر  به سیستم رایانه‌ای خسارت نرم افزاری و یا حتی سخت افزاری وارد کرده ،   داده‌های آن را هدف قرار می‌دهند و یا اطلاعات را سرقت می نمایند.یک نرم‌افزار برپایه نیت سازنده آن به عنوان یک بدافزار شناخته می‌شود ؛ بدافزار کاهاً آلودگی رایانه‌ای نیز خطاب می شود که  میتواند گوشی تلفن، تبلت و کامپیوترها را آلوده کند.

Malware پس از ورود به سیستم شما میتواند کارهایی مانند ارسال ایمیل های اسپم، سرقت اطلاعات و رمزهای عبور و … انجام دهد.

بدافزارها میتوانند از انواع روش ها و تکنیک های مختلف برای اجرای خود استفاده کنند . مثلا بعضی از آنها از سیستم شما به عنوان قربانی برای انجام عملیات تخریب روی دیگر سیستم ها استفاده میکنند، بعضی از آنها اقدام به جمع آوری اطلاعات شخصی کاربران مانند شماره حساب بانکی، رمز عبور و نام های کاربری و … میکنند و حتی ممکن است باعث تخریب در سیستم کاربران شوند.

برای کسب اطلاعات بیشتر در مورد بدافزارها و شیوه محافظت در مقابل آنها این مقاله را مطالعه فرمائید:

انواع بدافزارها Malware Types و محافظت در مقابل بدافزارها

امنیت شامل سه عنصر  پایه ای می باشد :

  • (Confidentiality) محرمانگی
  • (Integrity) یکپارچگی
  • (Availability) در دسترس بودن

1 – محرمانگی داده

محافظت از افشای داده در حملات غیر فعال استراق سمع: با کمک شیوه های رمزنگاری و ناخوانا نمودن اطلاعات پیش از ارسال .

محافظت از جریان ترافیک در برابر حملات غیر فعال تحلیل ترافیک: با محرمانه نمودن اطلاعات مربوط به مبداء، مقصد، تکرار، طول و ویژگی های ترافیک روی کانال ارتباطی مثل  VPN.

2 – یکپارچگی یا صحت داده Data integrity

هدف :

جلوگیری از حذف، اضافه ، تکرار و به عبارتی اعمال هر گونه تغییر غیر مجاز در داده ها

داده ها مهم ترین دارایی های سامانه ها و سازمان ها

مهمترین هدف امنیتی سازمان ها :

محافظت از داده ها در برابر مهاجمین با کمک انواع راهکارها و سطوح دسترسی و اجازه  عبور و … .

3 – دسترس پذیری

امکان دسترسی کاربران مجاز سیستم با توجه به مشخصات عملکردی سیستم و حقوق دسترسی خود در زمان های مجاز را دسترس پذیری گویند.

تضمین های سرویس دسترس پذیری :

امکان استفاده کاربر مجاز از منابع سیستم طبق ضوابط ، تحت هر شرایطی

چالش ها :

انواع حملات جهت از دست دادن یا کاهش دسترس پذیری

سایر عناصر امنیت:

4 – کنترل دسترسی Access control

  • در صورت تعریف میزان امنیت برای اسناد و اطالاعات در سازمان ها،  مورد استفاده قرار می گیرد.
  • وابستگی میزان امنیت به سطوح محرمانگی تعریف شده در سازمان.
  • تعریف سطح دسترسی کاربران متناظر با سطح امنیت تعریف شده برای اطالاعات.
  • قابلیت محدود سازی و کنترل دسترسی کاربران با سرویس کنترل دسترسی.

5 – عدم انکار Non- Repudiation :

عدم امکان انکار هیچ یک از موجودیت ها پیرامون حضورش در ارتباط و امکان اثبات دریافت پیام از فرستنده در صورت بروز هر گونه مشکل توسط گیرنده Non- Repudiation ، امکان اثبات دریافت پیام از فرستنده در صورت بروز هر گونه مشکل توسط گیرنده .

با کمک امضای دیجیتال و رمزنگاری می توان به این مهم دست یافت

هدف هکر، استفاده از آسیب پذیری سیستم یا شبکه است تا  ضعف های یکی از این پایه ها را در سیستم هدف پیدا کند. هکر در انجام حمله DoS، عنصر دسترسی  سیستمها و  شبکه ها را مورد حمله قرار  میدهد. هر چند که حمله DoS می تواند  شکلهای مختلفی داشته باشد، هدف اصلی این است که از منابع و پهنای باند استفاده شود. در این حمله، با سرازیر کردن پیغا مهای ورودی به سیستم هدف، آن را مجبور به خاموشی  میکند در نتیجه سرویس کاربران مختل  میشود.

سرقت اطلاعات، از قبیل سرقت پسوردها یا داده های دیگر که بصورت رمز نشده در شبکه ارسال می شوند ،در واقع  محرمانگی اطلاعات را هدف قرار داده اند. فقط  داده های روی  شبکه ها نیستند که در معرض سرقت قرار دارند بلکه لپ  تاپها،  دیسکها، و سایر حافظه های قابل حمل همگی در معرض خطر قرار دارند.

حملات معکوس کردن وضعیت بیت (bit flipping attack)، حملاتی برای یکپارچگی هستند برای اینکه ممکن است داد ه ها تغییر یابند بنابراین مدیران  سیستمها  نمیتوانند تشخیص دهند که آیا  داده ها ،همان هایی هستند که ارسال کننده ارسال کرده است یا نه.

هکر Hacker :  امروزه واژه  هکر در فرهنگ عامه به متخصصان امنیت رایانه اطلاق می‌شود که توانایی نفوذ و کنترل سیستم‌های رایانه‌ای را برای هدف‌های گوناگون دارند.

انواع هکرها

هکرها در سه دسته کلی  قرار می گیرند: کلاه سفیدها، کلاه سیاه ها، و کلاه خاکستری ها .

هکرهای قانونمند معمولا در دسته کلاه سفیدها قرار می گیرند.

کلاه سفید ها: اینها افرادی خوبی هستند که از مهارت  هکشان برای اهداف دفاعی استفاده می کنند. هکرهای کلاه سفید، معمولا متخصصان امنیتی هستند که دانش و ابزارهای هک را دارند و از آنها برای کشف نقاط ضعف و اقدامات پیشگیری همچنین تست نفوذ قانونی (Ethical hacker) استفاده  میکنند.

کلاه سیاه ها:

کلاه  سیاه ها افراد بدی هستند. هکرهای شرور یا کرکرها از مهارتشان برای اهداف غیر قانونی استفاده می کنند. آنها یکپارچگی ماشین مورد نظر را به قصد شوم می شکنند. با داشتن دسترسی غیرمجاز، هکرهای کلاه سیاه می توانند داده های حیاتی و مهم را خراب کنند، سرویس های کاربران را مختل کنند و باعث بروز مشکلات برای آنها شوند. این دسته از هکرها، به راحتی از هکرهای کلاه سفید قابل تشخیص هستند.

کلاه  خاکستری ها: اینها هکرهایی هستند که بسته به شرایط، ممکن است بصورت دفاعی یا مخرب عمل کنند. یعنی ممکن است هم به نیت خوب از دانش خود استفاده کنند و هم به نیت شوم .

سیاست یا خط مشی امنیت اطلاعاتInformation Security Policy

سیاست یا خط مشی  امنیتی یک سند است که برنامه  سازمان برای حفاظت از دارایی های فیزیکی شرکت و دارایی های اطلاعاتی و  سیستم اطلاعاتی را  مشخص می کند  که شامل باید ها و نباید ها و در حقیقت شیوه رفتار سازمانی در حوزه امنیت اطلاعات می باشد.

این سیاست ها اساس برنامه ریزی، طراحی و استقرار امنیت اطلاعات است و باید بتواند مسیری را برای رسیدگی به مسائل  ترسیم نموده و  استفاده از بهترین تکنولوژی ها را پیشنهاد دهد. این سیاست ها کیفیت نرم افزار یا کارایی تجهیزات را تعیین نموده که به استانداردهای امنیتی، رویه ها و شیوه های عملکرد منجر خواهد شد.

انواع سیاست های امنیت اطلاعات Information Security policy types

1 – سیاست های امنیت اطلاعات سازمانی   Enterprise Information Security Policy EISP

در سیاست های امنیت اطلاعات سازمانی  ،  پشتیبانی  و هدایت مستقیم به مأموریت، چشم انداز و هدایت سازمان انجام شده و همین  سیاست امنیتی عمومی است که جهت گیری استراتژیک و  حوزه  امنیت اطلاعات در سازمان را تعیین می نماید. سیاست امنیتی تمام تلاش های امنیتی را بررسی و هدایت می کند. از سوی دیگر، EISP همچنین جهت توسعه، اجرا و مدیریت برنامه امنیتی را مورد استفاده قرار گرفته  و شرایطی را که باید با چارچوب امنیت اطلاعات تامین شود، تعیین می کند.

2 – سیاست های امنیتی خاص Issue-specific Security Policies  ISSP

سیاست امنیتی خاص موضوع راهنمایی مفصل و با جزئیات مربوط به استفاده از یک فرآیند، سیستم یا تکنولوژی خاص را ارائه میدهد؛ ایمیل، اینترنت و سیستم های کامپیوتری از مصادیق می باشند.

در ISSP دامنه و عملکرد سیاست امنیتی تست شده است. فن آوری هایی که باید مورد استفاده قرار گیرند مشخص می شود. مجوز دسترسی کاربر، حفاظت از حریم شخصی، استفاده عادلانه و مسئولانه از فن آوری مورد توجه قرار گرفته است. اغلب کاربران از استفاده از اطلاعات به نحوی که می توانند به دیگران آسیب برساند ممنوع است.

3 – سیاست های امنیتی خاص سیستم System-specific Security Policies SysSP

سیاست های امنیتی خاص سیستم ارائه راهنمایی های دقیق و هدفمند، استفاده از یک فرایند خاص، تکنولوژی یا سیستم اطلاعاتی را ارائه می دهد.

SysSP اغلب شامل استانداردها و رویه هایی است که در هنگام نگهداری سیستم ها اجرا می شود. این سیاست امنیتی همچنین برای رسیدگی به پیاده سازی و پیکربندی تکنولوژی و همچنین رفتار پرسنل استفاده می شود.

طرح اجرایی امنیت اطلاعات Information Security Blueprint

نقشه ها برنامه های دقیق یا برنامه های اجرایی هستند. پس از آنکه سازمان سیاست های و استانداردهای امنیت اطلاعات را توسعه داد، بخش امنیت اطلاعات برنامه ای را برای برنامه امنیت اطلاعات توسعه می دهد. بخش امنیت اطلاعات تمام دارایی های اطلاعاتی را لیست کرده و تهدیدات و خطرات سازمان را اولویت بندی می نماید و  تحلیل ارزیابی ریسک انجام می شود. این ارزیابی ها منجر به برای طراحی طرح امنیتی برای سازمان خواهد شد .

این طرح امنیتی به عنوان پایه ای برای طراحی، انتخاب و اجرای تمامی عناصر برنامه های امنیتی شامل اجرای سیاست امنیتی، مدیریت سیاست  امنیتی مستمر ، برنامه های مدیریت ریسک، برنامه های آموزش امنیت به پرسنل، کنترل تکنولوژیکی و نگهداری برنامه های امنیتی خواهد بود.

مکانیزم های امنیتی Security mechanisms

  • رمزنگاری Cryptography

تبدیل داده ها به شکلی ناخوانا با کمک انواع محاسبات و الگوریتم های ریاضیات و امکان بازیابی داده ها با یک الگوریتم.

  • امضای دیجیتال : Digital signature

فراهم نمودن امکان اثبات صحت منبع برای گیرنده با کمک داده های اضافی یا به نوعی با منسوب کردن داده رمزنگاری شده به پیام ؛ برای قالب پروتکل ها از امضاهای دیجیتالی استفاده می شود.

  • کنترل دسترسی Access control

تقسیم اطلاعات به رده های مختلف عادی ، محرمانه ، سری و فوق سری.

تعیین میزان دسترسی هر کاربر

کنترل سیستمی میزان دسترسی هر کاربر پس از احراز اصالت

انواع دسترسی ها :

خواندنی ، نوشتنی ، هر دو و یا هیچ کدام

  • صحت داده Data integrity

شامل سازو کارهایی برای اطمینان از صحت یک واحد یا جریانی از داده ها

تبادل تصدیق اصالت :

مکانیزمی برای تصدیق هویت یک موجودیت با کمک تبادل اطلاعات

هکرها عموماً حدود  90% از زمان را برای جمع آوری اطلاعات بر روی هدف و 10% دیگر را بر روی انجام حمله صرف می کند.

مهندسی اجتماعی Social engineering

مهندسی اجتماعی، روشی است  غیر فنی برای شکستن امنیت سیستم یا شبکه است. فرآیند گول زدن کاربران یک سیستم و تحریک آنها برای دادن اطلاعاتی که برای دور زدن مکانیزم های امنیتی استفاده می شود. دانستن مهندسی اجتماعی بسیار مهم است برای اینکه هکر می تواند از آن برای حمله به عنصر انسانی سیستم استفاده کند. این روش  میتواند برای جمع آوری اطلاعات قبل از حمله استفاده شود.

مهندسی اجتماعی، استفاده از ترغیب و تحریک برای گول زدن کاربران به منظور دستیابی به اطلاعات یا تشویق قربانی برای انجام برخی عملیات است. معمولا یک مهندس اجتماع، از تلفن یا اینترنت برای گول زدن کاربر و گرفتن اطلاعات حساس یا تحریک آنها برای انجام کارهایی که سیاست امنیتی سازمان را به خطر بیاندازد استفاده می کند. در این روش، مهندسان اجتماعی، به جای سوء استفاده از  حفره های امنیتی کامپیوتر، از گرایشات و تمایلات طبیعی افراد برای ایجاد اعتماد، سو استفاده می کنند. کاربران، ضعیف ترین لینک های امنیتی هستند. این اصل، دلیل انجام مهندسی اجتماعی است.

خطرناک ترین بخش مهندسی اجتماعی آن است که شرکت هایی که فرآیندهای احراز هویت، فایروال ،VPN، و نرم افزار مانیتورینگ شبکه دارند، هنوز مستعد حمله هستند برای اینکه مهندسی اجتماعی، معیارهای امنیتی را بطور مستقیم مورد حمله قرار نمی دهد بلکه آن را دور می زند  .

افراد،  ضعیف ترین لینک در زنجیره امنیتی هستند و بهترین روش برای مقابله با حمله مهندسی اجتماعی ،داشتن سیاست مناسب و آموزش پرسنل است. برای سازمان، مهندسی اجتماعی،  سخت ترین نوع حمله است برای اینکه سازمان نمی تواند تنها با استفاده از  نرم افزار و  سخت افزار از بروز آن جلوگیری کند.

مهندسی اجتماعی هنر هک کردن انسان هاست .

دیدگاهتان را بنویسید

X