آموزش رایگان سکیوریتی‌ پلاس: چارچوب‌ها و راهنماهای امنیتی

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

از چارچوب‌های مهمی که برای آزمون سکیوریتی باید اطلاعاتی در مورد آن‌ها داشته باشید به موارد زیر باید اشاره کرد:

■  Center for Internet Security   یک سازمان غیرانتفاعی است که در سال 2000 تشکیل شد و بهترین شیوه‌های دفاع در برابر تهدیدات سایبری را برای کمک به سازمان‌ها به منظور محافظت از سامانه‌ها ارایه می‌کنید. برای آشنایی بیشتر با چارچوب‌های پیشنهاد شده توسط این موسسه و ابزارهای امنیتی به آدرس www.cisecurity.org  مراجعه کنید.

■ چارچوب مدیریت ریسک مؤسسه ملی استانداردها و فناوری (NIST)، چارچوب امنیت سایبری (CSF)و چارچوب مدیریت ریسک (RMF) سندی است که مراحل ادغام مدیریت ریسک امنیتی در چرخه عمر توسعه سیستم را تشریح می‌کند. این چارچوب برای انجام مدیریت ریسک به هفت مرحله تقسیم می‌شود و می‌توانید جزییات آن‌را در آدرس زیر مشاهده کنید.

 https://csrc.nist.gov/projects/risk-management/about-rmf

چارچوب امنیت سایبری یکی از منابع ارزشمند  NIST است که مجموعه‌ای از استراتژی‌ها را برای کمک به شرکت‌ها در مدیریت ریسک‌های امنیت سایبری ارایه کرده است. این سندی است که به سازمان‌ها کمک می‌کند تا اقدامات امنیتی و کنترل‌هایی که باید برای کاهش ریسک دارایی‌ها و ایمن‌سازی بهتر دارایی‌ها اعمال شود را  درک کنند. جزییات سند CSF در آدرس زیر قرار دارد.

www.nist.gov/cyberframework

■   NIST SP 800-171 NIST Special Publication 800-171 یک استاندارد توصیه شده برای سازمان‌های فدرال برای ایمن کردن اطلاعات در حین پردازش، ذخیره و استفاده در سیستم‌های غیرفدرال است. این چارچوب تعدادی از کنترل‌های فنی را تعریف می‌کند که می‌توان از آ‌ن‌ها برای حفاظت از اطلاعات استفاده کرد.

■   سازمان بین‌المللی استاندارد ایزو IEC 27001/27002/27701/31000: ایزو مجموعه‌ای از اسناد را ایجاد کرده است که استانداردهای بین‌المللی هستند و به خوانندگان نشان می‌دهند که چگونه امنیت اطلاعات را در سازمان خود مدیریت کنند. موارد زیر هدف هر استاندارد را مشخص می کند:

■   ISO 27001: نحوه مدیریت امنیت در سازمان را تعریف می‌کند، از جمله اجرای یک خط‌مشی امنیتی و کنترل‌های امنیتی برای کمک به مدیریت دارایی، امنیت فیزیکی، و امنیت عملیات.

■   ISO 27002: به‌روزرسانی استانداردهای 27000 برای اجرای کنترل‌های امنیتی برای کمک به محافظت از سیستم‌های اطلاعاتی است.

■   ISO 27701: استانداردی برای اجرای کنترل‌ها و فرآیندهای امنیتی برای حفظ حریم خصوصی اطلاعات قابل شناسایی شخصی (PII) تعریف می‌کند.

■   ISO 31000: چارچوبی را برای کمک به سازمان‌ها برای مدیریت ریسک در سازمان‌شان تعریف می‌کند.

‌■ SSAE SOC 2 Type I/II Service Organization Control  2 :یک استاندارد حسابرسی است که ارائه‌دهندگان خدمات می‌توانند از آن برای اطمینان از محافظت از داده‌های مشتری استفاده کنند. ممیزی SOC 2 نوع I تشخیص می‌دهد که ارائه‌دهنده خدمات دارای کنترل‌های امنیتی مناسبی است. ممیزی SOC 2 Type II دقیق‌تر است، زیرا حسابرس بررسی کامل‌تری از کنترل‌های امنیتی و خط‌مشی‌های امنیتی در یک سازمان انجام می‌دهد.

■ Cloud Security Alliance: اتحاد امنیت ابری (CSA) چارچوبی برای پیاده‌سازی بهترین شیوه‌های امنیتی برای ساخت یک محیط محاسبات ابری ایمن فراهم می‌کند. CSA این‌کار را با ارائه ماتریس کنترل ابری (CCM) انجام می‌دهد که سندی است که از 197 هدف کنترلی تشکیل شده است که به 17 حوزه تقسیم شده است که تمام جنبه‌های کلیدی رایانش ابری را پوشش می‌دهد. می‌توانید در مورد CSA در سایت www.cloudsecurityalliance.org اطلاعات کامل‌تری به‌دست آورید. CSA یک معماری مرجع به نام Enterprise Architecture ارائه می‌کند که روشی برای ارزیابی قابلیت‌های امنیتی ارائه‌دهنده فناوری اطلاعات داخلی یا ابری است.

راهنمای پیکربندی معیار/ایمنی

علاوه بر موارد یاد شده، تعدادی راهنمای پیکربندی ایمن نیز وجود دارد که بهترین شیوه‌ها را در مورد ایمن‌سازی محصولات یا سرویس‌های خاص ارایه می‌کند. NIST اسنادی را برای مراحل ایمن‌سازی پلتفرم‌های خاص منتشر می‌کند، اما ممکن است متوجه شوید که فروشنده‌ای که یک محصول ارایه کرده که نحوه ایمن‌سازی محصولاتش در قالب مستنداتی همراه با محصول یا سرویس در اختیارتان قرار می‌گیرد. نمونه‌ای از راهنمای پیکربندی امن NIST، سند (SP) 800-123 است که سندی است که مراحلی را که باید برای امنیت کلی سرور انجام دهید (روش‌های امنیتی که باید برای هر سروری رعایت شود) را تشریح می‌کند.

NIST راهنماهای پیکربندی ایمن بسیاری دارد که انواع مختلف محصولات را پوشش می‌دهد. به عنوان مثال، دارای راهنماهایی است که پیکربندی ایمن سرورهای وب مانند Microsoft IIS، سیستم‌عامل‌های مانند ویندوز، انواع مختلف برنامه‌های سرورهای مثل پیکربندی امن Microsoft SQL Server یا Microsoft Exchange Server) و راهنمای پیکربندی درست و ایمن دستگاه‌های زیرساخت شبکه (مانند سوئیچ ها و روترها) را مشخص می‌کند.

بسیاری از فروشندگان راهنماهای پیکربندی امنیتی خاص خود را آماده کرده‌اند که بهترین روش‌ها را برای سیستم‌عامل، نرم‌افزار و دستگاه‌هایشان نشان می‌دهند. در ادامه به چند مورد از آن‌ها اشاره شده است:

■   Cisco IOS Security Configuration Guide, Release 12.4

www.cisco.com/c/en/us/td/docs/ios/security/configuration/guide/12_4/sec_12_4_book.html

■   VMware vSphere 6.5 Security Configuration Guide

https://www.vmware.com/security/hardening-guides.html

هنگامی که به دنبال راهنماهای پیکربندی امنیتی هستید، باید در گروه‌ها و دسته‌های مختلفی به دنبال این راهنمایی‌ها باشید که برخی از آن‌ها به شرح زیر هستند:

■ راهنماهای پلتفرم/فروشنده: به‌طور معمول فروشندگان بزرگ مراحل کلیدی پیکربندی امنیتی محصولات خود را روی سایت یا در قالب یک راهنمای کاربری در اختیار افراد قرار می‌دهند.

■ وب سرورها: راهنماهای پیکربندی امنیتی که مراحل کلیدی پیکربندی یک وب سرور خاص مانند IIS یا Apache را بیان می‌کنند منبع دیگری هستند.

■ سیستم‌عامل‌ها: راهنماهای پیکربندی سیستم‌عامل به مراحلی اشاره دارد که برای پیکربندی ایمن سیستم‌عامل‌ها مانند Windows، macOS و Linux در دسترس کاربران قرار دارد.

■ ‌برنامه سرور: یک اپلیکیشن سرور می‌تواند Microsoft Exchange Server، SQL Server یا شاید IBM WebSphere باشد. به‌طور معمول برنامه‌های سرور همراه با راهنماهای پیکربندی امنیتی و به‌کارگیری بهترین شیوه‌ها برای پیکربندی برنامه سرور در دسترس کاربران قرار دارد.

■   دستگاه‌های زیرساختی شبکه تعدادی راهنمای امنیتی در اختیار کاربران قرار می‌دهند تا تجهیزاتی مثل سوئیچ‌ها، روترها و نقاط دسترسی بی‌سیم را به درستی پیکربندی کنند.

■   راهنماهای همه‌منظوره: یک راهنمای همه‌منظور، شیوه‌های امنیتی کلی که باید دنبال شوند از قبیل وصله‌سازی سیستم‌ها، استفاده از دیوار آتش شبکه یا استفاده از فایروال مبتنی بر میزبان را تشریح می‌کند. این‌ها راهنماهای بسیار خوبی هستند که باید برای اقدامات امنیتی کلی دنبال شوند.

خلاصه‌ای از آن چه گفته شد

تا این بخش از آموش با اهمیت یک خط‌مشی امنیتی آشنا شدید، زیرا پایه و اساس برنامه امنیتی شما در شرکتی که قصد کار در آن‌را دارید شرح می‌دهد. مهم است که اطمینان حاصل کنید خط‌مشی امنیتی را هر از چند گاهی مرور و به روز می‌کنید تا از روندهای فعلی و مسائل امنیتی به روز باشید. موارد زیر چند نکته کلیدی است که باید در مورد خط‌مشی‌های امنیتی و آموزش و آگاهی باید به خاطر بسپارید:

■   یک خط‌مشی امنیتی سند بزرگی است که از خط‌مشی‌های مختلف تشکیل شده است. نمونه‌هایی از خط‌مشی‌های محبوبی که در خط‌مشی امنیتی ظاهر می‌شوند عبارتند از: خط‌مشی استفاده قابل قبول، خط‌مشی رمز عبور، خط‌مشی بی‌سیم و خط‌مشی دسترسی از راه دور.

■   هر خط‌مشی باید به شیوه‌ای سازگار ایجاد شود و بخش‌های یکسانی در همه خط‌مشی‌ها قرار داشته باشد. به عنوان مثال، در هر خط‌مشی باید بخش‌های خلاصه (Overview)، محدوده (Scope)، خط‌مشی (Policy)، قانون (Enforcement)، تعاریف (Definitions) و تاریخچه بازبینی‌ها (Revision History) را داشته باشید.

■    خط‌مشی‌های انواع مختلفی دارند: یک استاندارد خط‌مشی است که باید دنبال شود، دستورالعمل توصیه‌ای است که نیازی به پیروی ندارد و رویه یک سند گام به گام است که نحوه انجام یک کار را نشان می‌دهد.

■   حتماً هنگام اجرای مکانیزم‌های امنیتی در سازمان از استانداردها و مقررات مربوط به صنعت خود پیروی کنید. به عنوان مثال، صنعت بهداشت در ایالات متحده توسط HIPAA اداره می‌شود.

■   یک خط‌مشی بسیار محبوب، اشاره به چارچوبی دارد که قابل قبول است و مشخص می‌کند چه اقداماتی برای هر کارمند در رابطه با استفاده از رایانه، اینترنت و ایمیل انجام شود. خط‌مشی‌هیا دیگری که باید وجود داشته باشد عبارتند از یک خط‌مشی رمز عبور، مشخص کردن الزامات رمز عبور برای شرکت و کارکنان آن و یک خط‌مشی دفع امن تجهیزات که مشخص می‌کند چگونه تجهیزات باید از تولید خارج شوند تا داده‌های شرکت محرمانه بماند.

■   با ایجاد خط‌مشی‌هایی برای استخدام و اخراج کارکنان، حتماً منابع انسانی را در خط‌مشی امنیتی لحاظ کنید. اطمینان حاصل کنید که منابع انسانی اهمیت چنین خط‌مشی‌هایی را درک می‌کنند و می‌دانند رعایت آن‌ها چگونه بر امنیت کسب‌وکار تأثیر می‌گذارند.

■   حتماً یک برنامه آموزشی و آگاهی ایجاد کنید که به همه کارمندان در مورد نقش‌ها و مسئولیت‌هایشان برای ایجاد یک محیط امن‌تر آموزش می‌دهد. حتماً جلسات آموزشی اجباری را با چند جلسه اختیاری برگزار کنید و جزئیات بیشتری در مورد یک موضوع ارائه دهید.

با درک قوی از مطالب ارائه شده تا این بخش از مقاله هیچ مشکلی برای پاسخ دادن به سوالات یا ابهامی در مورد پیاده‌سازی خط‌مشی‌ها در محیط کار یا آزمون سکیوریتی‌پلاس نخواهید داشت. مطالب ارائه شده در این‌جا نه تنها برای آزمون مهم هستند، بلکه برای زمانی‌که وظیفه ایجاد یک خط‌مشی امنیتی برای سازمان به عهده شما قرار می‌گیرد مهم می‌شوند.

انواع حملات

به عنوان یک کارشناس امنیتی باید اطلاعات کافی در ارتباط با انواع حملات داشته باشید. به بیان دقیق‌تر باید در ارتباط با مفاهیمی مثل مهندسی اجتماعی، شناسایی حملات شبکه و ارزیابی حمله‌های پیرامون گذرواژه‌ها دانش کافی داشته باشید. یکی از هیجان انگیزترین موضوعاتی که برای آزمون سکیوریتی پلاس باید در مورد آن اطلاعات کافی داشته باشید، انواع مختلف حملاتی است که هکرها برای به خطر انداختن سیستم‌ها و شبکه‌ها استفاده می‌کنند. این مورد نه تنها در آزمون مذکور بلکه در دنیای واقعی نیز اهمیت زیادی دارد. برای درک نحوه محافظت بهتر از دارایی‌های سازمان، باید راه‌های رایج ورود هکرها به سیستم‌ها را بدانید.

درک مهندسی اجتماعی

اولین نوع حمله به عنوان حمله مهندسی اجتماعی شناخته می‌شود. مهندسی اجتماعی شامل تلاش هکر برای فریب دادن یک کارمند و به خطر انداختن امنیت زیرساخت از طریق تماس اجتماعی مانند تماس تلفنی یا پیام الکترونیکی است.

همان‌طور که گفته شد، مهندسی اجتماعی زمانی است که یک هکر سعی می‌کند یک کارمند را از طریق نوعی رسانه ارتباطی مانند تماس، ایمیل، پیامک یا گفت‌وگوی حضوری فریب دهد تا امنیت را به خطر بیندازد. اغلب اوقات هکر طوری رفتار می‌کند که گویی نیاز به کمک دارد و از این واقعیت سوء استفاده می‌کند که بیشتر مردم به او کمک می‌کنند.

در بسیاری از مواقع هکر فقط سعی می‌کند اطلاعاتی را جمع‌آوری کند تا در انجام حمله بعدی از آن‌ها استفاده کند، اما هکر ممکن است سعی کند یک کارمند را فریب دهد تا نام کاربری و رمز عبور استفاده شده در شبکه را فاش کند.

حملات محبوب مهندسی اجتماعی

در تعدادی از سناریوها، هکر سعی می‌کند اطلاعات را از کارکنان استخراج کند یا سعی می‌کند آن‌ها را فریب دهد تا امنیت زیرساخت به خطر افتد. از محبوب‌ترین سناریوهایی است که هکرها در مهندسی اجتماعی از آن‌ها استفاده می‌کنند به موارد زیر باید اشاره کرد:

جعل هویت

محبوب‌ترین سناریو برای حملات مهندسی اجتماعی زمانی است که هکر هویت کارمند دیگری را در سازمان جعل می‌کند. در سناریوهای زیر، هکر هویت کارمندی را در شرکت جعل می‌کند که به کمک نیاز دارد:

■ جعل هویت سرپرست: یک مثال بسیار محبوب از حمله مهندسی اجتماعی زمانی است که هکر با یک کاربر تماس می‌گیرد و هویت سرپرست شبکه را جعل می‌کند. در این سناریو، هکر که خود را به عنوان سرپرست معرفی می‌کند، سعی می‌کند با درخواست از کاربر کارهایی مانند تغییر رمز عبور یا ارائه اطلاعات حساب کاربری، کاربر را فریب دهد تا امنیت را به خطر بیندازد. هکر همچنین ممکن است از کاربر در مورد تنظیمات کلی سیستم‌ها سوال بپرسد.

■   جعل هویت کاربر: هکر با مدیر شبکه تماس می‌گیرد و وانمود می‌کند که یک کاربر ناامید است. در این سناریو هکر وانمود می‌کند که رمز عبور خود یا نحوه ورود به سیستم را به خاطر نمی‌آورد. یک مدیر ناآگاه ممکن است به هکر که به عنوان یک کاربر ناامید عمل می‌کند کمک کند تا با تنظیم مجدد رمز عبور و راهنمایی آن‌ها در فرآیند دسترسی به سیستم، به سیستم دسترسی پیدا کند.

■    جعل هویت مدیریت: اگر هکر نام پرسنل تیم مدیریت را بداند، هکر ممکن است با کارمندان شرکت تماس بگیرد و هویت مدیریت را جعل کند. هکر از کارمند بی خبر می‌خواهد که اقداماتی را انجام دهد که اساساً امنیت سیستم‌ها یا محیط را به خطر می‌اندازد تا بتواند بعداً به زیرساخت دسترسی پیدا کند.

نکته: برای آزمون +Security باید بدانید که حملات مهندسی اجتماعی شامل تلاش هکر برای فریب دادن کسی با هدف به خطر انداختن امنیت از طریق تماس اجتماعی مانند تماس تلفنی یا پیام ایمیل است.

در شماره آینده مبحث فوق را ادامه می‌دهیم:

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

• تهران: آموزشگاه عصر رایان شبکه
• مهندس اطلاعات 

تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

استخدام تحلیلگر امنیت