ضرورت توجه به امنيت اطلاعات ( بخش جهارم )
استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .
در زمان تعريف سياست های امنيتی می بايست به موارد زير توجه گردد :
• تعريف عناصر زيادی نظير : استفاده قابل قبول از منابع موجود ، دستيابی از راه دور ، حفاظت اطلاعات ، تهيه نسخه های پشتيبان از اطلاعات ، امنيت پيرامون شبكه ، ايمن سازی و ايمن نگهداشتن دستگاه ها و كامپيوترهای ميزبان و ...
• يك سياست امنيتی مناسب می بايست قادر به برقراری ارتباط مناسب با كاربران بوده و با ارائه يك ساختار اساسی آنان را در زمان بروز يك رويداد و يا مشكل امنيتی كمك نمايد .
• تدوين رويه های مناسب به منظور برخورد با يك مشكل امنيتی . در اين رويه ها می بايست محدوده مسئوليت ها به دقت مشخص گردد .
• تعيين دقيق نوع و مكان ذخيره سازی اطلاعات مهمی كه برای يك سازمان ارزش حياتی دارند .
• مشخص نمودن اقداماتی كه می بايست پس از بروز يك مشكل امنيتی انجام شود.
• سياست های امنيتی به عنوان اصول عملياتی رويه های امنيتی مطرح می باشند . بنابراين ، می بايست به اندازه كافی عمومی باشند تا بتوان آنان را با استفاده از فن آوری ها و پلت فرم های موجود پياده سازی نمود .
• سياست های امنيتی می بايست اطلاعات لازم برای كارشناسان حرفه ای فن آوری اطلاعات در خصوص نحوه پياده سازی كنترل های امنيتی به منظور حمايت از سياست های امنيتی را ارائه نمايند .
• محدوده سياست های امنيتی برای يك سازمان ، به اندازه و پيچيدگی های آن بستگی دارد .
• رويه های امنيتی نحوه انجام عملياتی خاص بر روی دستگاه هائی بخصوص نظير نحوه پيكربندی يك سرويس دهنده وب جديد را مشخص می نمايند .
• اطلاع رسانی يك عنصر امنيتی است كه اغلب به فراموشی سپرده می شود . اكثر كاربران فعاليت های روزمره خود را با ناديده گرفتن مسائل امنيتی انجام می دهند . بدون وجود آموزش های لازم ، اغلب پرسنل در ابتدا سعی می نمايند كار خود را بگونه ای كه راحتر می باشند انجام دهند و در مرحله بعد به امنيت انجام كار فكر كنند . تدوين سياست ها و رويه های امنتيی بدون اين كه كاربران نسبت به آنان آگاهی داشته باشند ، نتايج مثبت و مشهودی را در زمينه ايجاد يك سيستم ايمن به دنبال نخواهد داشت .
• تعداد زيادی از حملات مبتنی بر " مهندسی اجتماعی " است . اين نوع حملات از مزايای ضعف امنيت و عدم رعايت نكات ايمنی در زندگی روزمره انسان ها استفاده می نمايند . يك مهاجم می تواند زمان زيادی را در محل كار و يا اوقات فراغت خود صرف نمايد تا بتواند اعتماد يك كاربر را جلب نمايد . زمانی كه يك مهاجم سوالاتی را مطرح و پاسخ آنان را دريافت می نمايد ، با قرار دادن اطلاعات فوق در كنار يكديگر و آناليز آنان می تواند به اطلاعات اررشمندی دست يابد كه از آنان به منظور برنامه ريزی حملات استفاده نمايد .
دو نمونه از حملات مبتنی بر مهندسی اجتماعی :
يك مهاجم با مسئول فنی يك مركز ارائه دهنده خدمات اينترنت (ISP ) تماس می گيرد و در مدت زمان مكالمه تلفنی با وی به اين نكته اشاره می نمايد كه دارای يك اتومبيل است كه قصد دارد آن را با قيمت مناسبی بفروشد . مسئول فنی ISP نسبت به خريد اتومبيل اظهار تمايل می نمايد . مهاجم به وی پيشنهاد می نمايد كه يك mail را كه حاوی تصوير اتومبيل است برای وی ارسال خواهد كرد . مهاجم ، در مقابل ارسال تصوير اتومبيل ( به عنوان يك فايل ضميمه ) يك برنامه مخرب از نوع backdoor را به همراه email برای مسئول فنی ISP ارسال می نمايد . زمانی كه مسئول فنی ISP نامه را دريافت و فايل ضميمه را فعال می نمايد ، برنامه مخرب ارسالی اجراء و يك حفره امنيتی را در بطن شبكه ISP ايجاد می نمايد.
يك مهاجم می تواند اسامی كليدی پرسنل يك سازمان را از طريق تماس با واحد مربوطه بدست آورد . در ادامه وی طی تماس با محل كار و يا منزل و شنيدن پيام دستگاه پيام گير آنان از اين موضوع آگاه می گردد كه كدام مدير در خارج از شهر می باشد . در ادامه ، مهاجم با مراجعه به سازمان مربوطه وانمود می نمايد كه كليد خود را جا گذاشته است تا بتواند وارد ساختمان گردد . پس از ورود مهاجم ( كه ممكن است از كاركنان همان سازمان باشد ) به ساختمان اصلی سازمان مورد نظر ، وی وارد دفتر كار پرسنلی می گردد كه در خارج از شهر می باشد و بدون نگرانی كامپيوتر وی را بررسی و با بكارگيری انواع نرم افزارهای موجود تلاش می نمايد كه به اطلاعات موجود بر روی كامپيوتر دستيابی نمايد .
• پرسنل سازمان می بايست نسبت به سياست ها و رويه های امنيتی آموزش ببينند . آموزش امنيت يك امر ضروری است تا اين اطمينان حاصل گردد كه كاربران نسبت به كارهائی كه می بايست در راستای تامين سياست ها و رويه های امنيتی انجام دهند، توجيه و آنان را رعايت می نمايند . نحوه آموزش می بايست بگونه ای باشد كه تصويری واقعی از جايگاه و اهميت امنيت اطلاعات را برای كاربران تشريح تا آنان نياز به امنيت را همواره و در تمامی سطوح احساس و به آن پايبند باشند .
• يك سياست امنيتی تركيبی از خواسته ها و فرهنگ يك سازمان است كه متاثر از اندازه و اهداف يك سازمان می باشد . برخی سياست ها ممكن است به تمامی سايت ها اعمال گردد و برخی ديگر ممكن است در رابطه با محيط هائی خاص بكار گرفته شود . يك سياست امنيتی می بايست سطح كنترل را با سطح بهره وری بالانس نمايد . در صورتی كه يك سياست امنيتی محدوديت های زيادی را برای كاربران درپی داشته باشد ، كاربران روش های ناديده گرفتن آن را بررسی و برای آن راه حل های خاص خود را پيدا خواهند كرد .
• اطلاع رسانی در خصوص مسائل امنيتی می بايست ترويج و در دستور كار قرار گيرد . مثلا" می توان از پوسترهای امنيتی و كارت های checklist برای اطلاع رسانی استفاده نمود . پوسترها و كارت های checklist دارای كارآئی بمراتب بهتری نسبت به مستندات حجيم سياست های امنيتی می باشند كه ممكن است جهت استفاده عموم بر روی شبكه اينترانت سازمان منتشر شده باشد. پوسترها و كارت های checklist را می بايست در مكانی نصب نمود كه در معرض ديد بيشتری باشند .
• به منظور بررسی وضعيت برخی سياست های امنيتی نظير رمزهای عبور و پيكربندی امنيتی ، می توان از ابزارهائی نظير Microsoft Baseline Security استفاده نمود .
بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
در زمان تعريف سياست های امنيتی می بايست به موارد زير توجه گردد :
• تعريف عناصر زيادی نظير : استفاده قابل قبول از منابع موجود ، دستيابی از راه دور ، حفاظت اطلاعات ، تهيه نسخه های پشتيبان از اطلاعات ، امنيت پيرامون شبكه ، ايمن سازی و ايمن نگهداشتن دستگاه ها و كامپيوترهای ميزبان و ...
• يك سياست امنيتی مناسب می بايست قادر به برقراری ارتباط مناسب با كاربران بوده و با ارائه يك ساختار اساسی آنان را در زمان بروز يك رويداد و يا مشكل امنيتی كمك نمايد .
• تدوين رويه های مناسب به منظور برخورد با يك مشكل امنيتی . در اين رويه ها می بايست محدوده مسئوليت ها به دقت مشخص گردد .
• تعيين دقيق نوع و مكان ذخيره سازی اطلاعات مهمی كه برای يك سازمان ارزش حياتی دارند .
• مشخص نمودن اقداماتی كه می بايست پس از بروز يك مشكل امنيتی انجام شود.
• سياست های امنيتی به عنوان اصول عملياتی رويه های امنيتی مطرح می باشند . بنابراين ، می بايست به اندازه كافی عمومی باشند تا بتوان آنان را با استفاده از فن آوری ها و پلت فرم های موجود پياده سازی نمود .
• سياست های امنيتی می بايست اطلاعات لازم برای كارشناسان حرفه ای فن آوری اطلاعات در خصوص نحوه پياده سازی كنترل های امنيتی به منظور حمايت از سياست های امنيتی را ارائه نمايند .
• محدوده سياست های امنيتی برای يك سازمان ، به اندازه و پيچيدگی های آن بستگی دارد .
• رويه های امنيتی نحوه انجام عملياتی خاص بر روی دستگاه هائی بخصوص نظير نحوه پيكربندی يك سرويس دهنده وب جديد را مشخص می نمايند .
• اطلاع رسانی يك عنصر امنيتی است كه اغلب به فراموشی سپرده می شود . اكثر كاربران فعاليت های روزمره خود را با ناديده گرفتن مسائل امنيتی انجام می دهند . بدون وجود آموزش های لازم ، اغلب پرسنل در ابتدا سعی می نمايند كار خود را بگونه ای كه راحتر می باشند انجام دهند و در مرحله بعد به امنيت انجام كار فكر كنند . تدوين سياست ها و رويه های امنتيی بدون اين كه كاربران نسبت به آنان آگاهی داشته باشند ، نتايج مثبت و مشهودی را در زمينه ايجاد يك سيستم ايمن به دنبال نخواهد داشت .
تهديدات لايه سياست ها ، رويه ها و اطلاع رسانی
• تعداد زيادی از حملات مبتنی بر " مهندسی اجتماعی " است . اين نوع حملات از مزايای ضعف امنيت و عدم رعايت نكات ايمنی در زندگی روزمره انسان ها استفاده می نمايند . يك مهاجم می تواند زمان زيادی را در محل كار و يا اوقات فراغت خود صرف نمايد تا بتواند اعتماد يك كاربر را جلب نمايد . زمانی كه يك مهاجم سوالاتی را مطرح و پاسخ آنان را دريافت می نمايد ، با قرار دادن اطلاعات فوق در كنار يكديگر و آناليز آنان می تواند به اطلاعات اررشمندی دست يابد كه از آنان به منظور برنامه ريزی حملات استفاده نمايد .
دو نمونه از حملات مبتنی بر مهندسی اجتماعی :
يك مهاجم با مسئول فنی يك مركز ارائه دهنده خدمات اينترنت (ISP ) تماس می گيرد و در مدت زمان مكالمه تلفنی با وی به اين نكته اشاره می نمايد كه دارای يك اتومبيل است كه قصد دارد آن را با قيمت مناسبی بفروشد . مسئول فنی ISP نسبت به خريد اتومبيل اظهار تمايل می نمايد . مهاجم به وی پيشنهاد می نمايد كه يك mail را كه حاوی تصوير اتومبيل است برای وی ارسال خواهد كرد . مهاجم ، در مقابل ارسال تصوير اتومبيل ( به عنوان يك فايل ضميمه ) يك برنامه مخرب از نوع backdoor را به همراه email برای مسئول فنی ISP ارسال می نمايد . زمانی كه مسئول فنی ISP نامه را دريافت و فايل ضميمه را فعال می نمايد ، برنامه مخرب ارسالی اجراء و يك حفره امنيتی را در بطن شبكه ISP ايجاد می نمايد.
يك مهاجم می تواند اسامی كليدی پرسنل يك سازمان را از طريق تماس با واحد مربوطه بدست آورد . در ادامه وی طی تماس با محل كار و يا منزل و شنيدن پيام دستگاه پيام گير آنان از اين موضوع آگاه می گردد كه كدام مدير در خارج از شهر می باشد . در ادامه ، مهاجم با مراجعه به سازمان مربوطه وانمود می نمايد كه كليد خود را جا گذاشته است تا بتواند وارد ساختمان گردد . پس از ورود مهاجم ( كه ممكن است از كاركنان همان سازمان باشد ) به ساختمان اصلی سازمان مورد نظر ، وی وارد دفتر كار پرسنلی می گردد كه در خارج از شهر می باشد و بدون نگرانی كامپيوتر وی را بررسی و با بكارگيری انواع نرم افزارهای موجود تلاش می نمايد كه به اطلاعات موجود بر روی كامپيوتر دستيابی نمايد .
حفاظت لايه سياست ها ، رويه ها و اطلاع رسانی
• پرسنل سازمان می بايست نسبت به سياست ها و رويه های امنيتی آموزش ببينند . آموزش امنيت يك امر ضروری است تا اين اطمينان حاصل گردد كه كاربران نسبت به كارهائی كه می بايست در راستای تامين سياست ها و رويه های امنيتی انجام دهند، توجيه و آنان را رعايت می نمايند . نحوه آموزش می بايست بگونه ای باشد كه تصويری واقعی از جايگاه و اهميت امنيت اطلاعات را برای كاربران تشريح تا آنان نياز به امنيت را همواره و در تمامی سطوح احساس و به آن پايبند باشند .
• يك سياست امنيتی تركيبی از خواسته ها و فرهنگ يك سازمان است كه متاثر از اندازه و اهداف يك سازمان می باشد . برخی سياست ها ممكن است به تمامی سايت ها اعمال گردد و برخی ديگر ممكن است در رابطه با محيط هائی خاص بكار گرفته شود . يك سياست امنيتی می بايست سطح كنترل را با سطح بهره وری بالانس نمايد . در صورتی كه يك سياست امنيتی محدوديت های زيادی را برای كاربران درپی داشته باشد ، كاربران روش های ناديده گرفتن آن را بررسی و برای آن راه حل های خاص خود را پيدا خواهند كرد .
• اطلاع رسانی در خصوص مسائل امنيتی می بايست ترويج و در دستور كار قرار گيرد . مثلا" می توان از پوسترهای امنيتی و كارت های checklist برای اطلاع رسانی استفاده نمود . پوسترها و كارت های checklist دارای كارآئی بمراتب بهتری نسبت به مستندات حجيم سياست های امنيتی می باشند كه ممكن است جهت استفاده عموم بر روی شبكه اينترانت سازمان منتشر شده باشد. پوسترها و كارت های checklist را می بايست در مكانی نصب نمود كه در معرض ديد بيشتری باشند .
• به منظور بررسی وضعيت برخی سياست های امنيتی نظير رمزهای عبور و پيكربندی امنيتی ، می توان از ابزارهائی نظير Microsoft Baseline Security استفاده نمود .