نقش سیاست Zero Trust در حفظ امنیت اطلاعات

جلال روحانی کارشناس رشد دیجیتال در گفتگو با خبرنگار «نبض فناوری» در رابطه موضوع حملات سایبری و هک برخی از سایت‌های سازمان‌ها و نهادها، اظهار کرد: این بحث را می توان در سه حوزه دسته‌بندی کرد؛ نخست اینکه چگونه می‌توان با دنیا تعامل برقرار کرد تا جلو قسمتی از این اتفاقاتی که در تمام دنیا می‌افتد، را گرفت. دسته دوم عملیاتی که به صورت هدفمند انجام می‌شود همانطور که برای خیلی از کشورها، سازمان‌ها و شرکت‌ها به صورت هدفمند اتفاق می‌افتد. دسته سوم طراحی سیستم‌ها و سازمان‌ها بر اساس منطق Zero Trust است. سیاست و مفهوم طراحی Zero Trust یا اعتماد صفر بدین معنی است که هر چیزی درون یا بیرون سازمان غیرقابل اعتماد است و هر تلاشی برای اتصال و یا استفاده از منابع می‌بایست صحت‌سنجی و ارزیابی شود. به صورت خلاصه در مفهوم امنیتی اعتماد صفر هیچ فرد و یا منبعی به صورت پیش‌فرض قابل اطمینان نیست. با بررسی و برنامه‌ریزی مناسب برای فعالیت‌های جداگانه در هر کدام از این دسته‌بندی‌ها می‌توان ضریب پایداری امنیت را افزایش داد. لازم به ذکر است مفهومی به عنوان امنیت مطلق وجود ندارد.
وی افزود: وضعیت امنیت در دنیا مشخص است، اما ما در ایران با دو محدودیت تحریم و سیاست داخلی مواجه هستیم. محدودیت تحریم باعث شده که سازمان‌ها، شرکت‌ها و متخصصان از بازار امنیت دنیا دور باشند. اگر به‌عنوان مثال پایگاه اطلاعاتی (Database Engine) در سطح دنیا تحت پوشش و رصد آسیب‌پذیری‌های امنیتی است و تمام سامانه‌های نرم‌افزاری براساس رصدهای امنیتی و کدهای CVE بروزسانی و امن‌سازی می‌شوند، در ایران به واسطه تحریم مستقیم، بسیاری از سامانه‌های اطلاعاتی تحت پوشش امنیتی مناسب نیستند و کارشناسان مجبور هستند از روش‌های میانبر برای نگهداری سامانه‌ها استفاده کنند. همچنین سیاست داخلی ایران، مبنی بر عدم استفاده از سیستم‌های امنیتی وابسته به دولت متخاصم، باعث ایجاد برخی حفره‌های آسیب‌پذیری عمومی در سطح سیستم‌های عمومی ‌می‌شود. به عنوان مثال برخی از بهترین محصولات امنیت شبکه در اختیار آمریکا و اسرائیل است که بر اساس سیاست داخلی کشور از این محصولات استفاده عام نمی‌شود.
عدم استفاده از محصولات امنیتی رایج، منجر‌ به گسترش دسته دوم حملات می‎شود. حملاتی که به صورت هدفمند بر‌ ضد کشور، سازمان‌ها و یا اشخاص اتفاق می‌افتند. برای مبارزه با این دسته از حملات به صورت عمده از محصولات امنیت شبکه و امنیت اطلاعات بومی استفاده می‎‌کنیم. در برخی از این محصولات بخصوص سیستم‌های امنیتی سمت کلاینت دارای محصولات قوی و قابل اطمینانی مانند پادویش هستیم. اما در برخی نقاط، مانند امنیت شبکه در گلوگاه‌ها و نقاط حساس دچار ضعف‌هایی هستیم. بر‌اساس اکوسیستم بین‌المللی بازار امنیت اطلاعات، تقریبا به جز اسرائیل اکثر محصولات جهانی حاصل سرمایه‌گذاری‌های بلند مدت انسانی و سرمایه‌ی نقدی است که در این خصوص ضعیف هستیم. حتی بسیاری از محصولات در کشور روسیه و یا چین نیز همگام با اکوسیستم جهانی امنیت اطلاعات پیش می‌روند که ضعف‌هایی در این خصوص در کشور وجود دارد.
روحانی گفت: برای جلوگیری مطلوب حملات دسته دوم با هدف مشخص، روش بهبود پیش‌نیازهای امنیتی نیازمند سرمایه‌گذاری قابل‌توجه در سه ضلع نیروهای انسانی، بودجه و روش‌هاست. ناآگهی و کمبود تجربه‌ی نیروی انسانی متخصص به صورت عمومی و نیز محدودیت‌های بودجه‌ای طی سال‌های گذشته تاثیر خاصی در این خصوص گذاشته است. در کشور همچنان سیستم‌های زیادی وجود دارد که از لحاظ امنیتی در جایگاه مطلوب نیستند و هنوز مورد بازرسی، بازبینی و نگهداری مناسب قرار نگرفته‌اند.

سیاست اعتماد صفر یا Zero Trust

دسته سوم و روش مناسب برای جلوگیری از بروز مشکلات امنیتی سیاست و مفهوم اعتماد صفر یا Zero Trust است. بر‌اساس رویکرد Zero Trust، هیچ سیستم، فرد و یا روشی به صورت پیش فرض قابل اعتماد نیست و هر تراکنشی با فرض عدم اعتماد می‌بایست طراحی، توسعه و نگهداری شود. در حال حاضر به جز سامانه‌های امنیتی و دفاعی، سامانه‌های محدودی با رویکرد Zero Trust طراحی و پیاده‌سازی شده‌اند و شاید بسیاری از سیستم‌های خدمات عمومی (دولتی) و یا سازمانی به دلایل مختلف بودجه‌ای، زمان طراحی، تخصص نیروی انسانی و محدودیت ابزارها هنگامی که در بلندمدت وارد پروسه نگهداری می‌شوند از این رویکرد فاصله بسیار زیادی دارند. این موضوع با توجه به فاصله اکوسیستم اطلاعاتی و امنیتی ایران از دنیا در درازمدت باعث انباشت آسیب‌پذیری‌ها و تشکیل حفره‌های امنیتی و ریسک می‌شود.
در دنیا ممکن است شرکت‌های بزرگی مانند سونی و یا خطوط کشتیرانی مرسک و یا شرکت‌های بیمه‌ای بسیار بزرگ و یا سایر شرکت‌ها دچار حملات سایبر و هک شوند و در ایران نیز همین موضوع حتما اتفاق خواهد افتاد. اما تفاوت این اتفاقات در ایران ممکن است افزوده شدن چاشنی حکومتی به موضوع باشند و اصل موضوع امنیت داده‌ با حاشیه رانده شود.
در ایران قانون صیانت از داده‌های شخصی به عنوان یک لایحه معرفی شده است، اما هنوز تصویب نشده است. همچنان در موارد مختلف از کاربران اطلاعات هویتی مانند کارت ملی، شناسنامه و یا سایر اطلاعات شخصی و محرمانه دریافت می‌شود، در حالی که این مدارک شخصی با درجه‎ی اهمیت بالایی است و می‌تواند با انواع حملات اطلاعاتی افشا شوند. در این موارد می‎‌توان از سامانه شاهکار و یا انواع سامانه‌های اعتبارسنجی وابسته به بانک مرکزی و یا تامین اجتماعی استفاده کرد و تنها ترکیب شماره ملی و شماره همراه برای احراز اولیه اشخاص کافی‌ است. همچنین سامانه‌های تصدیق متعددی مانند آلفا ریلتی نیز برای تصدیق هویت احراز شده افراد وجود دارد که بدون انباشت داده و ریسک افشا داده، می‌توانند نسبت به ایجاد دسترسی مناسب اقدام نمایند.
وی خاطرنشان کرد: خوشبختانه در کشور در حوزه نیروی متخصص کمبود نداریم بلکه شاید بخاطر محدودیت تحریم و سیاست داخلی باشد که استفاده مطلوب از این متخصصان نمی‌شود. خوب یا بد، ناقص یا کامل، ما در ایران سند راهبردی امنیت فضای تولید و تبادل اطلاعات (سند افتا) را داریم که تعدادی شیوه‌نامه و نظام‌نامه دارد؛ متاسفانه در بسیاری از موارد بدون توجه به این نظام سیستم‌هایشان را نگهداری و پیاده‌سازی می‌کنند به خصوص شرکت‌هایی که قدیمی‌تر هستند. هم اکنون در کشور هزاران سیستم اطلاعاتی داریم که هیچ وقت نگهداری و به روز نشدند. چرا تا به حال اتفاقی برای آنها رخ نداده؟ چون هنوز کسی به سراغ آنها نرفته است!

نشت اطلاعات و خطای انسانی

نشت اطلاعات و داده‌ها سال‌های زیادی است برای سازمان‌ها و شرکت‌ها وجود داشته است. این مشکل امنیتی در سال‌های اخیر و با همه‌گیری شبکه‌های اجتماعی نمود بیشتری پیدا کرده است. شیطنت‌های رسانه‌ای و همینطور استفاده رقبای تجاری از این نقص امنیتی باعث شده است حساسیت‌ها در این خصوص بیشتر شود. در مطلب داده‌های بی‌حیا در خصوص این مشکل پیشتر نوشته‌ام.
اما نشت اطلاعات به تنهایی مشکل حیاتی برای سازمان‌ها نیست. هر چند برخی از اطلاعات منتشر شده میتواند باعث به خطر افتادن حریم شخصی و یا اطلاعات خصوصی افراد شود، اما در طراحی سامانه‌های تجاری و دولتی، روند احراز هویت و شناسایی مشتریان باید به شیوه‌ای اتفاق بیفتد که مانع از سوءاستفاده از اطلاعات شخصی افراد و سرقت هویت (Identity Theft) باشد.
مهمترین مشکل در خصوص نشت اطلاعات، به خطر افتادن اعتبار سازمان و یا شرکتی است که نشتی داده از آن صورت گرفته است. برخی اوقات این رخداد باعث عواقب سختی مانند تحت تاثیر قرار گرفتن اعتماد مشتریان و واکنش بازار سرمایه به آن شرکت می‌باشد. برخی اوقات نشت اطلاعات میتواند باعث زیر سوال رفتن فعالیت‌های حفاظت از داده‌ها در شرکت‌ها و سازمان‌ها و حتی منجر به اخراج کادر اجرایی مرتبط شود.
در بیشتر اوقات، اما نشر اطلاعات پس از یک ماجراجویی خبری، فراموش میشود و مشتریان به ادامه مسیر در طول چرخه‌ی عمر مشتری می پردازدند. خیلی از شرکت‌های مطرح دنیا در سالیان گذشته دچار نشر اطلاعات گسترده شده‌اند. برخی از این شرکت‌ها عبارتند از Adobe، Adult Friend Finder، Canva، Dubsmash، eBay، Equifax، Heartland، Payment Systems، LinkedIn، Marriott International، My Fitness Pal، MySpace، NetEase، Yahoo، Zynga. در تعدادی از این نشتی‌ها گستردگی به حدی بوده است که سازمان‌های مختلفی از FBI تا ناظران مالی در ماجرا وارد شده‌اند و ابعاد ماجرا را بررسی کرده‌اند. داستان این 14 شرکت را در The 14 biggest data breaches of the 21st century می‌توانید بخوانید.

مقصر نشت اطلاعات کیست؟

از سال 2004 List of data breaches در ویکیپدیا و همینطور Balloon Race: Data Breaches نگهداری می‌شود. بر اساس این فهرست و از حدود 29 میلیارد رکورد داده نشت شده از میان 358 رخداد خطاهای انسانی مستقیم و غیرمستقیم یکی از مهمترین دلایل نشت اطلاعات است. استفاده از اسکریپت‌ها و برنامه‌های آماده، عدم رعایت زون‌بندی‌های امنیتی (DMZ) در زمان تست درون سازمانی، استفاده از برنامه‌های آماده در قالب کانتینرهای Docker و مانند آن در سال‌های اخیر شدت همه‌گیری نشت داده را بیشتر کرده است.

دلایل نشت اطلاعات
سهم روش‌های نشت اطلاعات – Data Breaches

بر اساس اطلاعاتی که از Data Breaches وجود دارد، حدود 40 درصد از نشت اطلاعات، بدون Hack اتفاق افتاده است و علت اصلی نشت داده، خطای انسانی عمد و یا غیر عمد بوده است. از میان سهم 10 درصدی دزدی اطلاعات در هنگام حمل و نقل فیزیکی (Lost/Stolen Media) قابل توجه است.

همچنین کمتر از 1% موارد مربوط به انتشار عمدی داده‌ها از طریق عوامل درونی سازمان بوده است:

آیا خطر سرقت هویت جدی است؟

سرقت هویت در دنیای جدید تعریف متفاوتی دارد. پیشتر در زمانی که کسب و کارهای دیجیتال ارزش فعلی را نداشتند و امکان احراز هویت به صورت آنی نبود، سرقت هویت یکی از مشکلات جدی پس از نشت اطلاعات بود. این موضوع به حدی جدی است که در آمریکا سازمان فدرالی برای کمک به شهروندان تحت عنوان IdentityTheft.gov وجود دارد.

در ایران هم پلیس فضای تولید و تبادل اطلاعات سعی به آموزش در این خصوص دارد. خوشبختانه (البته متاسفانه) به علت دوری فضای کسب و کار ایران از جامعه جهانی روش‌های متداول سرقت هویت ممکن است به سادگی در ایران قابل استفاده نباشد و از این رو آسیب به کاربران ایرانی کمتر است. هر چند خطر به خطر افتادن حریم شخصی اطلاعات در موارد متعددی وجود دارد.

در پاسخ به سوال «آیا خطر سرقت هویت جدی است؟» باید گفت همواره این ریسک می‌تواند وجود داشته باشد، هر چند مکانیزیم‌های اعتبار و هویت‌سنجی مختلفی برای پیشگیری از آسیب در این خصوص وجود دارد. جمله‌ی قدیمی “رفع خطر احتمالی” را باید همواره در نظر داشت.

وضعیت پیچیده امنیت فضای تبادل اطلاعات

امنیت فضای تبادل اطلاعات که سرواژه افتا در داخل کشور برای آن استفاده می‌شود، سال‌های زیادی است وضعیت پیچیده‌ای دارد. هر چند در حوزه Offensive Security گروه‌ها و افراد متخصصی در حال فعالیت هستند، اما حوزه Defensive Security به علت گره خوردن به حوزه‌های حاکمیتی/سیاسی و امنیت ملی در وضعیت پیچیده‌ای به سر می‌برد. اعمال تحریم‌های بین‌المللی در طول سال‌های اخیر و همچنین وجود محدودیت‌های متنوع داخلی در سطح کشور برای استفاده از تکنولوژی‌ها و برندهای تخصصی در زمینه Information Security این پیچیدگی را ایجاد کرده است.

تعداد افراد متخصص که بر اساس تکنولوژی‌های جهانی آموزش دیده و سابقه‌ی حرفه‌ای دارند، به شدت کاهش یافته است و بخش خصوصی (به معنای واقعی بخش خصوصی) بسیار کم‌رنگ شده است. بیشتر فعالیت‌های این حوزه مرتبط با شرکت‌های دولتی و یا خصولتی می‌باشد که بسیاری از آن‌ها رنگ و بوی امنیتی پیدا کرده‌اند. هر از چند سالی شرکتی با استفاده از سرواژه‌های «ملی/بومی» محصولی در حوزه‌ی Network Security و یا Infrastructure Security سرهم می‌کند و هر چند برخی اوقات در زمان تولید/معرفی این محصولات وضعیت مطلوبی دارند، اما به شدت دچار افول در طول زمان می‌شوند و تبدیل به یک Appliance خاموش در رک‌های سازمان‌ها می‌شوند. به جز یک محصول آنتی‌ویروس که توانسته وارد بازار تجاری شود، به سختی می‌شود از محصول ایرانی در حوزه InfoSec نام برد. این موضوع لزوما دلیلی بر ضعف نیست، و جدا بودن از چرخه‌ی InfoSec بین‌المللی خود به خود دلیلی برای این موضوع است. منفک شدن از ابزارها و برندهای جهانی، باعث شده است راه‌حل‌های داخلی به خصوص در زمینه‌ی امنیت شبکه به صورت ناقص و یا بر اساس استانداردهای قدیمی راه‌اندازی شود.
مثالی واضح از این مورد، ناتوانی شبکه‌ی ملی اطلاعات و شبکه‌ی شرکت زیرساخت در محافظت از سامانه‌ها در مقابل حملات DDoS و هم‌چنین botnetهای بسیار زیادی است که در سطح سرورهای ناامن و هم‌چنین موبایل/کامپیوترهای شخصی/سازمانی فعالیت می‌کنند.

همکاری NSA با تولیدکنندگان IT و CNCI

Comprehensive National Cybersecurity Initiative

اوایل سال ۲۰۰۸ یکی از اقدامات نهایی آقای جرج بوش، برنامه‌ی محرمانه‌ای بود تحت عنوان طرح جامع امنیت فضای مجازی ملی. (اسمش آشنا نیست؟‌ :دی) این طرح در سال ۲۰۱۰ توسط اوباما از محرمانگی خارج شد، و به صورت مختصر در مورد آن توضیحاتی داده شد. به صورت خلاصه، اهداف این طرح در ۱۲ ایده گنجانده شده است:

  1. مدیریت یکپارچه شبکه دولت فدرال تحت یک شبکه قابل اطمینان و ایمن به صورت اینترانت
  2. به کارگیری سنسورهای تشخیص نفوذ در سطح شبکه و سیستم‌های فدرال
  3. پیگیری برای بهره‌برداری از سیستم‌های مقابله با نفوذ در سطح شبکه و سیستم‌های فدرال
  4. هماهنگی و هدایت تلاش‌های مرتبط با تحقیق و توسعه
  5. متمرکزسازی و اتصال مراکز مدیریت عملیات سایبری به منظور افزایش آگاهی و موقعیت سنجی بهتر
  6. توسعه و پیاده سازی طرح‌های ضدجاسوسی سایبری (cyber counterintelligence) در سطح دولت و حاکمیت
  7. افزایش امنیت شبکه‌ی اطلاعات محرمانه و طبقه‌بندی شده
  8. گسترش آموزش سایبری
  9. تعریف و توسعه پایدار “جهش به جلو” برای فن آوری‌ها، راهبردها، و برنامه ها
  10. تعریف و توسعه استراتژی ها و برنامه‌های بازدارندگی پایدار
  11. توسعه یک رویکرد چند جانبه برای مدیریت ریسک زنجیره تامین جهانی
  12. تعریف نقش دولت فدرال برای توسعه امنیت در حوزه های زیرساخت های حیاتی

عمده‌ی انتقاداتی که در زمان علنی شدن این طرح مطرح شد، در خصوص کلی بودن و مشخص نبودن جزییات طرح بود. همانطور که خواندن این ۱۲ ایده، خاطره‌ی زیادی از طرح‌های وطنی در یاد زنده می‌کند، نتیجه‌ی این برنامه نیز مانند خیلی از پروژه‌های وطنی پوچ بود و تاثیر عمده‌ای در افزایش امنیت برقرار نکرد. همانطور که از ابتدا در خصوص نفوذ شرکت‌های فروشنده محصولات بر روی این طرح مشخص بود، هدف عمده‌ی این طرح، خرید محصولات بیشتر از تولیدکننده‌های آمریکایی بود. (مانند طرح‌های وطنی، اما با جایگزینی محصولات چینی!)

نقش NSA‌ در CNCI

مجهول بودن فعالیت آژانس امنیت ملی در طرح جامع امنیت فضای مجازی ملی با بخشی از مستنداتی که توسط گاردین منتشر شده است، کمرنگ‌تر شده است. بر اساس این مستندات و طی پروژه‌ای که نام The SIGINT Enabling برای آن انتخاب شده است، دولت فدرال از سال ۲۰۱۱ عددی در حدود ۸۰۰ میلیون دلار به صورت مستقیم برای پرداخت به شرکت‌های آمریکایی و غیر آمریکایی جهت تسهیل امکانات جاسوسی برای NSA هزینه کرده است. بخشی از اهدافی که در این پروژه مشخص شده است، عبارت است از:

  • قراردادن آسیب‌پذیری‌های قابل استفاده در محصولات رمزنگاری
  • جمع‌آوری اطلاعات اصلی و فرعی از شبکه‌های مهم (Carriers) و افزایش قدرت نفوذ به شبکه‌های مرکزی (Core Networks)
  • ایجاد قابلیت‌های تجاری برای تسهیل و امکان‌پذیری دسترسی از راه دور به تجهیزات کاربران (Endpoints)
  • حمله و نفوذ به زیرساخت‌های پردازشی خارجی (از دولت آمریکا)
  • تاثیرگذاری بر روی استانداردها و زیرساخت‌های کلید عمومی
  • ایجاد قابلیت نفوذ و سرمایه‌گذاری عمده برای امکان دسترسی به شبکه‌های بی‌سیم نسل بعدی (Next Generation Wireless)
  • حفظ روابط با شرکت‌های IT و ایجاد قابلیت دسترسی به رمز‌نگاری‌های دولتی (در سند اصلی احتمالا نام کشور و یا مدل‌های حکومتی ذکر شده است.)
  • کامل کردن دسترسی به چیپ‌های رمزنگاری که در محصولات VPN و Web استفاده می‌شوند.
  • تاثیر بر روی بازار جهانی رمزنگاری برای ایجاد امکان ردیابی توسط NSA

sigintenabling-clean-1بر اساس همین اطلاعات، بیشتر از ۷۰٪ هزینه‌ی ۸۲۰ میلیون دلاری از سال ۲۰۱۱ تا کنون، هزینه‌ی خدمات پیمان‌کاری شده است (یعنی به خارج از NSA پرداخت شده است.) و هیچ تاکیدی بر اینکه این هزینه‌ها برای شرکت‌های آمریکایی اختصاص یافته است، ذکر نشده است. به عبارت دیگر ممکن است قسمتی از این هزینه و طرح برای شرکت‌هایی خرج شده باشد که خارج از آمریکا فعالیت می‌کنند (اروپایی‌ها؟ تایوان؟ کره؟)

sigintenabling-clean-3

شفافیت حکومتی در زیرساخت‌ها

بعد از ۱۱ سپتامبر، اجنبی‌ها برنامه‌های زیادی برای مراقبت بیشتر از زیرساخت‌های حیاتی راه انداختند. با اینکه تعداد زیادی از این برنامه‌ها خشن، نژادپرستانه و با سواستفاده‌های زیادی همراه بود، اما نتایج خوبی در دراز مدت داشت. یکی از برنامه‌هایی که من  به کار‌آمد بودن آن اعتقاد دارم، دفتری با عنوان حفاظت زیرساخت‌های حیاتی است. این دفتر، در چندین بخش وظیفه کنترل، برنامه ریزی و گزارش دهی در مورد زیرساخت‌هایی را دارد که عدم کارکرد سالم آن، می‌تواند آسیبی به زیرساخت ایالات متحده داشته باشد.

این گزارش‌ها و بررسی‌ها به صورت روزانه چندین سال است که در اختیار تمام دستگا‌ه‌های اجرایی و هر کس که داوطلب باشد قرار داده می‌شود. این گزارش‌ها به صورت  شفاف (به قطع تا جایی که شفافیت حکومتی وجود دارد.) از بخش‌های زیرساختی ایالات متحده تحت عنوان‌ Daily Open Source Infrastructure Report آماده می‌شود.

هر یک از گزارش‌های روزانه می‌تواند شامل بخش‌های متنوعی مانند وضعیت معادن، آب آشامیدنی، برق و انرژی‌های تجدید ناپذیر، و زیرساخت‌های فناوری اطلاعات باشد. در این گزارش‌های ۱۵ ۲۰ صفحه‌ای می‌توانید علاوه بر آتش سوزی در فلان دهکده، آخرین آسیب‌پذیری در مورد Ruby‌ را هم مشاهده کنید!

تردید در ساختارهای امنیت اطلاعات

روش‌هایی که پیش از این برای پیاده‌سازی امنیت اطلاعات استفاده می‌شده‌اند، در یک سال اخیر با مشکلات عمده‌ای مواجه شده‌اند. از سال پیش، به صورت عمده‌ای، ناامنی در فضاهای مختلف اطلاعاتی در حال گسترش است. یک مرور می‌توانید داشته باشید:

  1. نفوذ زئوس و جمع‌آوری اطلاعات بی‌شماری از سطح و عمق شبکه‌های ارتباطی
  2. تولید، انتشار و گسترش استاکس‌نت در محیط‌هایی که از پیش هدف گیری شده بودند
  3. توانایی تخریب گسترده گروه‌های نوجوان و غیر دولتی ـ اشاره مستقیم به گروه انانیموس
  4. اثبات ناکارآمدی ابزارهای تامین امنیت اطلاعات شبکه برای سازمان‌های عریض و طویل و حرفه‌ای – اشاره مستقیم به ماجراهای سونی و گاردین و سایر سایت‌هایی که از انتقام‌های انانیموس در امان نماندند.
  5. نفوذ به وب‌سایت‌ها و سامانه‌هایی که توسط افراد حرفه‌ای نگهداری می‌شوند ـ اشاره به نفوذ به سورس فورج و اخیرا کرنل دات اورگ
  6. اثبات امکان پذیری حملات MITM در مقیاس‌های بزرگ – اشاره به آنچه برای گوگل پیش آمد
  7. نفوذ به امن‌ترین سیستم‌های دفاعی با استفاده از اشتباهات انسانی – اشاره به ماجراهای RSA و لاکهیدمارتین

برای من، این ۷ مورد کافی است تا اطمینان پیدا کنم، در مورد کارآمدی روش‌های پیشین باید بهتر فکر کرد.

۷ پیشنهاد برای کنترل امنیت اطلاعات

بسیاری از شرکت ها و سازمان های بزرگ و کوچک برای تامین امنیت اطلاعات خود از راهکارهای مدرن و توسعه یافته استفاده می‌کنند. راهکارهای امروزی تامین امنیت اطلاعات، با استفاده از فن‌آوری های مختلفی پیاده سازی می‌شوند. امنیت شبکه، امنیت سرویس‌دهنده‌ها و امنیت برنامه‌های کاربردی همگی باهم، تنها، باعث ایجاد زمینه امنیت اطلاعات می‌شوند. نکته‌ای که به صورت رایج در مورد امنیت اطلاعات در نظر گرفته نمی‌شود، ضرورت ایجاد ساختار مناسب برای استفاده از مزایای فن‌آوری‌های امنیتی است. با استفاده از ایجاد ساختار و همبندی مناسب، امکان مدیریت، کنترل و ایجاد روال‌های امنیتی برای زیرساخت‌های امنیت اطلاعات فراهم  می‌شود. این نوشتار به صورت خلاصه پیشنهاداتی را برای استفاده از فن‌آوری‌های امنیت اطلاعات بیان می‌کند.

محیط خود را بشناسید

پیش از انجام هر اقدام، تغییر و یا ارایه هر پیشنهاد و درخواستی، می‌بایست نسبت به محیطی که برای امنیت اطلاعات آن در تلاش هستید، آشنایی پیدا کنید. آشنایی سطحی منجر به تصمیمات سطحی خواهد بود! پس تلاش کنید تا تمام اجزای اصلی بخش‌هایی را که امنیت اطلاعات آن‌ها مهم است، از طریق مناسب بشناسید. شما می‌بایست تمام سخت‌افزارها و نرم‌افزارهای موجود را فهرست کرده باشید و از جزییات دسترسی هر کدام آگاهی داشته باشید. برنامه‌های کاربردی و نوع کارکرد آن‌ها نیز برای تصمیم گیری شما مهم است. پروتکل‌های مورد استفاده و نوع تبادل داده در میان برنامه‌های کاربردی به صورت مستقیم با نحوه همبندی شبکه شما مرتبط است.

نقش‌ها را تعیین کنید

پس از آشنایی با محیط عملیاتی، می‌بایست تمامی نقش‌های اجزای سازنده، تعیین و مستند شوند. ممکن است مسئولیت انجام این کار با شما نباشد، در این صورت سعی کنید فرد مرتبط با این موضوع را برای ایجاد سند مربوط آگاه سازید. تعدادی از نقش‌های اصلی عبارت است از وظیفه هر سرور و نوع ارایه سرویس توسط هر سرویس‌دهنده. همچنین نقش برنامه‌های کاربردی در منطق کسب و کار سازمان شما بیانگر میزان اهمیت امنیت اطلاعات برای آن‌ها است. در نظر داشته باشید نقش‌های انسانی نیز در تدوین مدل امنیتی سازمان شما حیاتی است. سعی کنید برای تمامی مواردی که در مرحله شناخت برای شما مهم بوده‌اند، نقش مرتبط را تعیین کنید.

نوع دسترسی‌ها را بررسی کنید

پس از تعیین نقش‌های اصلی، نوع دسترسی برای هر گروه و هر فرد می‌بایست مشخص شود. تمامی اجزای شبکه سازمان شما، می‌بایست دارای نوع دسترسی کنترل شده باشند. از دیدگاه شبکه‌، تمامی کاربران سیستم‌های اطلاعاتی نیز قسمتی از اجزای شبکه می‌باشند. همچنین کاربران راه دور، شرکت‌های همکار، شعب و مشتریان قسمت دیگری از اجزای شبکه می‌باشند. هر چند ممکن است تمامی این اجزا در ۲ و یا ۳ گروه دسترسی خلاصه شوند، اما این دسته بندی می‌بایست آگاهانه و به دور از ایجاد استثنا برای کارهای موقتی باشد. بسیاری از حملات و آسیب‌پذیری‌ها بر روی شبکه‌های اطلاعاتی، به خاطر ایجاد استثنا در زمان نیاز می‌باشد.

از چیز‌هایی که نمی‌دانید به آسانی عبور نکنید

پس از تمامی کنترل‌های اولیه، به احتمال زیاد نقاط تاریکی در ساختار شبکه و سازمان اطلاعاتی شما باقی خواهد ماند. این نقاط تاریک مناسب‌ترین محل شروع برای یک حمله به سمت سازمان شما خواهد بود. خرابکاران اینترنتی و نرم‌افزارهای مخرب تبحر ویژه‌ای در یافتن این نقاط و سواستفاده از آن‌ها  دارند. هر چه قدر این نقاط تاریک مشخص‌تر و شفاف‌تر باشند، شانس خرابکاری و آسیب بر روی اطلاعات مهم شما کمتر خواهد بود. اگر نمی‌توانید تمامی نقاط تاریک را برطرف سازید، حداقل آن را به عنوان یک مشکل مستندسازی کنید و مدیران سازمان خود را از وجود آن مطلع سازید.

چرخ را دوباره اختراع نکنید

ضرب‌العجل‌های کاری، کمبود زمان و نیرو، عدم اشرف کامل به فن‌آوری‌های اطلاعاتی و احساس دانای‌کل بودن از جمله مواردی است که باعث ایجاد مجدد چرخ‌ در سازمان‌ها می‌شود. هر چند این موارد ممکن است در بازه‌های زمانی موقت باعث انجام کار شود، اما در دراز مدت باعث ایجاد هرج و مرج اطلاعاتی و عدم امکان کنترل و مدیریت امنیت اطلاعات خواهد شد. به عنوان مثال استفاده از الگوریتم‌های رمزنگاری خودساخته و غیراستاندارد، و یا ایجاد روش‌های افزونگی غیراستاندارد، و یا استفاده از برنامه‌های اطلاعاتی بدون پشتیبانی مناسب، از مهم‌ترین مواردی است که باعث بروز آسیب‌پذیری‌های امنیتی می‌شوند.
همچنین عدم در نظر گرفتن شیوه‌نامه‌ها و استانداردهایی که برای هر صنعت متداول است، می‌تواند باعث افزایش شانس بروز آسیب‌پذیری‌های امنیتی در ساختار اطلاعاتی سازمان شود. برای این مورد هم می‌توان به عنوان نمونه، از عدم رعایت شیوه‌نامه‌ بازل در صنعت بانکداری در بخش امنیت اطلاعات اشاره نمود.

همه چیز را دوباره بررسی کنید

هر چند در سازمان شما زمان و انرژی زیادی صرف کنترل و بررسی موارد امنیتی و اطلاعاتی شده است، اما می‌بایست در نظر داشت که اطمینان از صحت داشته‌ها و اطلاعات، اولین شرط برای شروع اجرای تصمیمات جدید است. سعی کنید یک فهرست از تمام مواردی که برای امنیت اطلاعات سازمان شما حیاتی است تهیه کنید و با مراجعه به افراد مسئول و تصمیم‌گیر در هر مورد آخرین بررسی‌ها در مورد صحت داشته‌ها و اطلاعات را انجام دهید. پس از بررسی و کنترل، سندی از اطلاعات مورد توافق تهیه کنید و آن را به عنوان معیار هر مورد اطلاعاتی قرار دهید. به عنوان مثال نوع دسترسی افراد به اطلاعات و میزان دسترسی تجهیزات تحت شبکه به منابع شبکه از مواردی است که می‌بایست Double Check و نهایی گردد. از این پس، تصمیم اخذ شده به عنوان معیاری برای اعمال قوانین امنیتی خواهد بود.

همه چیز را به صورت مستمر کنترل کنید

آخرین بخش پیشنهادی، Monitoring  است. تمامی اطلاعاتی که از ساختار اطلاعاتی خود کسب کرده‌اید و تمامی اجزای ساختار امنیت اطلاعات در سازمان شما می‌بایست به صورت مستمر و بدون وقفه تحت کنترل باشد. قسمتی از این کنترل مستمر روال‌های انسانی و قسمت مهم‌تر آن ذخیره‌سازی و پردازش لاگ‌فایل‌ها و گزارشات امنیتی است. به زبان ساده‌تر، پایش امنیتی تمامی اجزای ساختار امنیت اطلاعات در سازمان شما، کلید حفظ وضعیت مطلوب و آگاهی از بروز وقایع در تمامی زمان‌ها است.

محل استفاده از سامانه پیشگیری/تشخیص نفوذ (NIDS)


استفاده از
Network Intrusion
Detection System
با توجه به افزایش روزافزون مخاطرات ناشناخته و یا غیرقابل پیش
بینی (حمله هایی که سرمنشا داخلی دارند و یا zero-day ها) انتخاب عاقلانه و در برخی
موارد اجباری است. محل به کارگیری یک
NIDS بر اساس این سه عامل قابل بررسی است:

بودجه

حساسیت و محرمانگی

توانایی ها و قابلیت های موجود در سازمان

اگر بتوان با عامل بودجه مقابله کرد، استفاده از سناریوی زیر
به عنوان الگوی اولیه (برای ارتباطات LANبهWAN) همواره بهترین نقطه شروع برای شبکه
هایی با حساسیت متوسط و بالا است (شبکه های سازمانی، شبکه های مالی و شبکه های
نظامی_یا محرمانه_):

سامانه پیشگیری/تشخیص نفوذ خارجی (External NIDS)
– پوشش امنیتی اولیه که به صورت پیش فرض تمامی درخواست ها را با
حالت Deny پاسخ می دهد:
1- Router
با الزمات امنیتی و Access Control Lists
2- فایروال
3-
پروکسی (Application
aware proxies
بسته به برنامه هایی که استفاده می شوند یا خواهند شد.)
– سامانه پیشگیری/تشخیص نفوذ داخلی (Internal
NIDS)
DMZ برای برنامه هایی که به صورت
عمومی استفاده خواهند شد.
– پیاده سازی سرویس های شبکه با دید امنیتی و به کار بردن شیوه
نامه های موجود
– سامانه پیشگیری/تشخیص نفوذ شبکه های بی سیم در صورت استفاده (Wireless
IDS/IPS)

چرا از سامانه پیشگیری/تشخیص نفوذ خارجی (External NIDS)
استفاده کنیم؟
NIDS خارجی به عنوان نقطه امنیتی صفر وظیفه تشخیص،
تحلیل و جمع آوری (و در برخی سناریوها پیشگیری) مخاطرات امنیتی که از سمت شبکه های
مبتنی بر IP خارجی (مانند اینترنت و شبکه های
WAN مشترک) روی می دهند را دارد. داده های جمع آوری شده
می تواند به صورت real-time تحلیل شود و همچنین برای
پیگیری های آینده مورد استفاده قرار بگیرد. همچنین این سامانه می بایست توانایی
تولید پیغام های خطر را پیش از بروز مشکل داشته باشد.  چهار هدف اولیه که منجر
به استفاده از NIDS خارج از محدوده شبکه
LAN در نقطه اتصال با WAN می
شوند، عبارتند از:

1- تحلیل نفوذ با استفاده از داده های جمع
آوری شده در قبل
2- تشخیص بی وقفه و real-time نفوذ
3- جمع آوری مدارک (Evidence
gathering
) مستند
4- جمع آوری آمار