چرخه حیات امنیت


چرخه حیات امنیت
(
Security Life Cycle) دارای نسخه ها و تعاریف مختلفی است،
که در نهایت هدف هر کدام نگهداری وضعیت امنیتی یک سیستم (این سیستم می تواند یک
سازمان، یک شبکه یا یک برنامه یکپارچه باشد.) در حالت مطلوب و آماده است. معروفترین
نوع چرخه حیات امنیت
(
SLC) که به طور کلی هر سیستمی را می تواند شامل شود،
شامل این ۴ وضعیت است:

   
۱-ارزیابی
    2-طراحی
    3-به کارگیری و پیاده سازی
    4-نگهداری

همانطور که
پیشتر ذکر شد، این چرخه امنیتی برای هر سیستمی قابل تعریف است، این سیستم می تواند
یک شبکه، یک مرکز داده و یا یک سازمان باشد. در اینجا به صورت مختصر، هر کدام از
این وضعیت ها را برای یک مرکز داده بررسی می کنیم. در این حالت اعضای این چرخه
امنیتی، شامل بستر اصلی شبکه، سرورها و رویه های کاری خواهند بود.

جریان
SLC یک پروسه ادامه دار و زنده است، در هر مرحله وضعیت کنونی و هدف
می بایست به صورت کامل مستندسازی شود و تمامی مستندات قابل اندازه گیری و مقایسه
پذیر ( ابعاد متریک و کمی) باشند. در هر مرحله، با استفاده از مقایسه هایی که انجام
خواهد شد، میزان پیشرفت و بهبود سیستم قابل گزارش خواهد بود.

۱-ارزیابی:
پروسه ممیزی، بازرسی، آزمایش و رسیدگی به آسیب پذیری ها از طریق تحلیل ریسک ها را
ارزیابی می گوییم. خروجی فاز ارزیابی، فهرستی از اجزای حیاتی سیستم و وضعیت ریسک
فعلی آسیب پذیری های شناخته شده و فهرست آن ها خواهد بود که به عنوان منبع اطلاعاتی
برای فاز طراحی مورد استفاده قرار خواهد گرفت. در یک مرکز داده، اجزای حیاتی شامل
سرورهایی با حساسیت بالا و بستر پشتیبان این سرور ها (شامل سوییچ ها، روترها،
فایروال
ها…) می باشد. آسیب پذیری های اصلی آن هایی خواهند بود که به این اجزای
حیاتی می توانند آسیب برسانند. برخی اوقات برای اطمینان از صحت و دقت اطلاعات،
ارزیابی شامل بررسی و آزمایش قسمت های مختلف سیستم خواهد بود. این بررسی ها
می‌تواند شامل

تست نفوذپذیری
سیستم باشد.

۲-طراحی:
پروسه به کارگیری سیاست نامه های امنیتی و رعایت نیازهای امنیتی مشخص شده در فاز
ارزیابی، به عنوان فاز طراحی امنیتی مطرح می‌شود. در این مرحله، برای رعایت توسعه
پذیری و مدیریت آسان تر سیستم، طراحی بر اساس یک فریم ورک توصیه می شود. این قالب
طراحی، می تواند از نوع آماده و یا تجربی باشد. در طراحی
مراکز داده،
استفاده از طراحی ماجولار بهترین روش برای دسته بندی امکانات و پاسخ گویی به نیازها
است.

۳-به کارگیری
و پیاده سازی
:عبارت است از پیاده سازی خروجی های فاز طراحی بر اساس نیازهای
مطرح شده و همچنین با توجه ویژه به ساختار اصلی شبکه. در این مرحله، یکپارچه سازی
سیاست نامه های امنیتی تهیه شده با امکانات و نیازهای موجود از حساسیت ویژه ای
برخوردار است. پیاده سازی زمانی قابل استفاده خواهد بود که تمامی اجزای مرکز داده
به درستی با یکدیگر ارتباط برقرار کنند.

۴-نگهداری:
پروسه نگهداری برنامه ها، شبکه و رویه های کاری بر اساس سیاست نامه های
امنیتی تهیه شده، با استفاده از

مانیتورینگ کل اجزای مرکز داده
بر اساس توصیه نامه ها و استانداردهای موجود
تنها راه تضمین حیات و پایداری کسب و کار در دراز مدت است. بهترین طراحی ها و دقیق
ترین پیاده سازی ها بدون استفاده از نگهداری صحیح در طول زمان با مشکلاتی مواجه
خواهند شد
.

آمار گرایشات امنیتی در سال ۲۰۰۶

از وقتی که شرکت IBM در نیمه چهارم سال ۲۰۰۶ گروه ISS رو تصاحب کرد، مدت زیادی نمی گذرد. در این مدت، ISS همانند آبی بزرگ، گزارش های جالبی منتشر می کند. در یکی از این گزارش ها با عنوان آمار گرایشات امنیتی در سال ۲۰۰۶، یک جمع بندی کلی از تمامی موارد با اهمیت حوزه امنیت اطلاعات انجام شده است. از آنجا که نقل این گزارش، با توجه به وجود نسخه اصلی گزارش بی ارزش است، فقط به قسمتی از آن اشاره می کنم. همانطور که در نمودار زیر مشاهده می کنید، آسیب پذیری هایی با ریسک بالا در حال کاهش، و آسیب پذیری های عمومی در حال افزایش هستند. سهم آسیب پذیری هایی با ریسک پایین هم تقریبا ثابت مانده است. به نظر من، یکی از علت هایی که برای این روند رشد می توان بیان کرد، افزایش اهمیت در حوزه تجارت های بزرگ و تاثیرات آن بر آسیب پذیری هایی با ریسک بالا است. ثابت ماندن آسیب پذیری های ریسک پایین، به علت وجود ثابت توسعه دهنده های بی توجه به موارد امنیتی و بالا رفتن آسیب پذیری های عمومی به علت افزایش توسعه برنامه ها به سمت Web Application ها است. در اصل گزارش می توانید رشد قابل ملاحظه آسیب پذیری های Remote را مشاهده کنید.

در جدول زیر هم سهم ۱۰ تولید کننده برتر از آسیب پذیری ها در سال ۲۰۰۶ را می توانید مشاهده کنید.

Vendor

Vulnerable % of ۲۰۰۶

Microsoft Corporation

۳٫۱ %

Oracle Corporation

۲٫۱ %

Apple Computer Inc

۱٫۹ %

Mozila Corporation

۱٫۴ %

IBM

۱٫۲ %

Linux Kernel Organization Inc

۱٫۲ %

Sun Microsystems Inc

۱٫۰ %

Cisco Systems Inc

۰٫۹ %

Hewlette-Packard

۰٫۶ %

Adobe Systems Inc

۰٫۴ %

IBM Internet Security Systems X-Force ۲۰۰۶ Trend Statistics

گزارش حمله به DNS Root Server ها و اثر Anycast

افزایش حملاتی که در ابعاد بزرگ بستر اصلی اینترنت را هدف گرفته اند، موجب پدید آمدن راه کارهایی برای جلوگیری از خرابی ستون فقرات اصلی اینترنت شده است. یکی از این روش ها، استفاده از Anycast می باشد. به صورت مفید و مختصر یعنی مشخص کردن بهترین و نزدیک ترین مسیر برای یک بسته شبکه از دید توپولوژی مسیریابی (Routing) شبکه ! برای اطلاعات بیشتر مراجعه کنید به RFC 3258

این تکنولوژی در آخرین آزمایش واقعی خود توانست تاثیر منحصر به فردی برای مقابله با آخرین حمله به Root DNS Server ها که در اوخر فوریه ۲۰۰۷ اتفاق افتاد، نشان دهد. در این مورد مراجعه کنید به ICANN Releases Factsheet on Root DNS Attack ، همچنین سند Effect of anycast on K-root نیز می تواند اطلاعات دقیق تری ( در مورد حمله مارس ۲۰۰۵) در اختیار شما قرار دهد.

What can be done to reduce the risk of such attacks in future?
There are various measures aside from strengthening the root servers that will aid in defeating future attacks on the DNS.
In a March 2006 report on the DNS attack of the previous month, the SSAC made three recommendations for counteracting
such attacks:
۱٫ That those running DNS server adopt “source IP address verification”— i.e., that they improve and tighten existing systems.
۲٫ That root server operators—and those running country code top-level domains—draw up and publish their countermeasure policies, respond quickly to queries, and act quickly to add servers back into the system if the owner shows they have improved their security.
۳٫ ISPs should only accept DNS queries from trusted sources (i.e., their own customers) rather than allow anyone to use their servers.

نوشته های مربوط :

DNS Cache Poisoning

The DNS Attack: A Success Story for the Good Guys

March 2005 DNS Poisoning Summary

وضعیت IPS های تحت شبکه

تنوع مخاطرات امنیتی در شبکه های کامپیوتری به گونه ای رشد کرده است، که استفاده از Firewall ها، به تنهایی به هیچ عنوان کارآمد نخواهد بود. پیاده سازی دیواره های آتش نسل بعد (NGFW) از جمله راه کارهایی است که امکان مقابله با این تهدیدات را فراهم می کند. دیواره های آتش مدرن که با ترکیبی از IPS ها و فایروال ها قابل پیاده سازی هستند، هنوز عمر زیادی نکرده اند. گزارش زیر (که البته کمی تا قسمتی گزارش تجاری است!) تحلیلی بر روی بازار IPS ها در اختیار شما قرار می دهد.

Magic Quadrant for Network Intrusion Prevention System Appliances, 2H06

On average, solutions remain priced at approximately $50,000 per Gbps of deep inspection (this is an average, and many products provide less than 1 Gbps capability). Most vendors provide more than five models, with some entry-level products offered for less than $15,000. Maintenance fees vary considerably. Signature update fees also vary but are included with maintenance for most products. Most products include a local-management console, with dedicated management appliances resulting in an additional cost. The total cost of ownership and system management capabilities of network IPS products should be key evaluation criteria when comparing competing products.

ویژگی امنیتی Cisco IOS

Cisco IOS علاوه بر نقش کنترل کننده حیاتی بسیاری از شبکه های مهم، می تواند نقش مهم و به سزایی در حفظ امنیت شبکه ها و سیستم های اطلاعاتی داشته باشد. علاوه بر نسخه های امنیتی IOS برخی از ویژگی ها در نسخه های عادی نیز قابل استفاده هستند. در اینجا به چند مورد از این ویژگی ها اشاره می کنیم.

  • Class-Based Access Control یا CBAC

  • Port-to-Address Mapping یا PAM

  • Authentication Proxy

  • TCP Intercept

  • Intrusion Prevention

  • AutoSecure

سیستم های ردیابی و کشف نفوذ توزیع شده – dIDS

سیستم های ردیابی و کشف نفوذ توزیع شده که با dIDS از آن یاد می کنیم،از چندین IDS در یک شبکه بزرگ تشکیل شده اند. تمامی این Intrusion Detection System ها، در ارتباط با یدیگر هستند و یا به وسیله یک سیستم (شاید یک سرور) مرکزی در حال پایش شبکه، تحلیل رویدادها و جمع آوری اطلاعات حمله های شناسایی شده، می باشند. این ترکیب برای جمع آوری اطلاعات امکان ایجاد یک دید وسیع برای تیم امنیتی/نگهدارنده شبکه در مورد وقایعی که در هر لحظه در حال جریان است را فراهم می کند.

یک distributed IDS به سازمان ها و اپراتورهای شبکه اجازه می دهد تا به صورت موثر و مستند منابع شبکه ای و سازمانی خود را تحت کنترل قرار دهند و در صورت نیاز به سرعت اطلاعات مورد نیاز را از سیستم بیرون بکشند. برای آشنایی بیشتر مقاله زیر را بخوانید:

An Introduction To Distributed Intrusion Detection Systems

Due to the greater view the agent allows the analyst to achieve, the dIDS offers the incident analyst many advantages over other single mode IDS systems. One of these advantages is the ability to detect attack patterns across an entire corporate network, with geographic locations separating segments by time zones or even continents. This could allow for the early detection of a well-planned and coordinated attack against the organization in question, which would allow the security people to ensure that targeted systems are secured and offending IPs are disallowed any access. Another proven advantage is to allow early detection of an Internet worm making its way through a corporate network. This information could then be used to identify and clean systems that have been infected by the worm, and prevent further spread of the worm into the network, therefore lowering any financial losses that would otherwise have been incurred.

تبادل اطلاعات بین IDS ها در سه گونه تقسیم بندی می شود. دسته اول محصولاتی که برای dIDS طراحی شده اند و با استفاده agentهای مختلف در نقاط مختلف شبکه اطلاعات را برای سرور کنترلی IDS ارسال می کنند. دسته دوم محصولاتی که شامل IDS هایی از یک دسته هستند و لاگ فایل های خود را در یک محل متمرکز ذخیره می کنند و مانند دسته اول ادامه کار می دهند. و بالاخره دسته سوم که شامل IDS ها و IPS های (به طور کلی آن ها را sensor خطاب می کنیم.) مختلف از مارک های متفاوتی هستند که به وسیله ابزار های مدیریت سیستم های امنیتی لاگ فایل ها را ذخیره و پردازش می کنند. استاندارد تبادل اطلاعات در سنسور ها، در قالب یک پیش نویس استاندارد IETF در حال شکل گیری است.

The Intrusion Detection Message Exchange Format (IDMEF) is intended to be a standard data format that automated intrusion detection systems can use to report alerts about events that they deem suspicious. The development of this standard format will enable interoperability among commercial, open source, and research systems, allowing users to mix-and-match the deployment of these systems according to their strong and weak points to obtain an optimal implementation.

به دو علت پروژه های کمی در مورد dIDS هم اکنون وجود دارد. اولین مورد عدم درک نیاز به چنین سیستمی در بخش تجاری و صنعتی و دلیل دوم نو بودن چنین ترکیبی است. همانطور که پیشتر گفتم، IDMEF هنوز به حالت استاندارد در نیامده است. البته جایگزینی این سیستم به وسیله سیستم های یکپارچه مدیریت امنیت گران قیمت نیز دلیل دیگری در کم بودن پروژه ها است. تعدادی از این پروژه ها را در freshmeat ببینید. بدنیست نگاهی هم به پروژه رو به پیشرفت Prelude Hybrid IDS ( حداقل What is Prelude Hybrid IDS را بخوانید.) بندازید.

* این مطلب مقدمه ای است برای سری نوشته های امنیت در عمق که در Secure2S بیشتر در مورد آن ها خواهید خواند. لطفا نظرات و پیشنهادات خود را در میان بگذارید. مجموعه نوشته های امنیت در عمق، تلاش خواهد کرد تا به امنیت در شبکه های بزرگ و تجاری و همچنین نکات امنیتی که کمتر به آن ها پرداخته می شود بپردازد.

مقدمه ای بر شبکه های بی سیم

افرایش استفاده از شبکه های بی سیم در کلان شهرها و به خصوص نقاط شلوغ تجاری، در برخی اوقات باعث به وجود آمدن مشکلات بسیاری برای صاحبان شبکه های بی سیم شده است. در اقلب موارد که این شبکه ها مربوط به دفاتر کوچک و یا شعب شرکت ها هستند، طراحی نادرست و عدم رعایت موارد امنیتی باعث امکان نفوذ می شود. نفوذ در این موارد، علاوه بر امکان به خطر افتادن اطلاعات داخل سازمان، می تواند باعث سو استفاده از امکانات شبکه، مانند استفاده از اینترت رایگان بی‌سیم شود. نتیجه کارکرد یک بررسی کوچک را در یکی از نقاط نچندان شلوغ تهران می توانید در تصویر زیر مشاهده کنید:

همانطور که تا حدودی در تصویر مشخص است، از ۱۳ شبکه ای که پیدا شده است، تنها ۱ شبکه می تواند قابل اطمینان باشد. دو شبکه به راحتی و بدون هیچ دردسری قابل استفاده هستند و ۱۰ شبکه باقی مانده با کمی تلاش قابل اتصال هستند. از این ۱۳ شبکه، امکان استفاده از اینترنت در ۳+۱ شبکه وجود داشت. ۱ موردی که جدا شده است، نیاز به شکستن WEP داشت (تقریبا در ۲۵ دقیقه انجام شد!). به زبان ساده‌تر در آن محدوده چیزی در حدود ۸۰درصد امکانات شبکه ای سایر دفاتر و شرکت ها قابل استفاده بود !!! این مساله بهانه ای شد تا چند مطلب در این مورد بنویسم که به مرور به سایت اضافه خواهند شد. در ادامه چند مطلب دیگر را می توانید مشاهده کنید :

حقایق، باید ها و نبایدهای شبکه های بی سیم (Wi-Fi)

IEEE 802.11 استاندارد شبکه های محلی بی سیم

مجموعه مقالات هفت مشکل امنیتی مهم شبکه های بی سیم