بخش بیست و سوم

آموزش رایگان سکیوریتی پلاس: چگونه گزارش‌های امنیتی را تحلیل کنیم؟

21/10/1400 - 12:10
امنیت
آموزش رایگان سکیوریتی پلاس: چگونه گزارش‌های امنیتی را تحلیل کنیم؟
یکی از نکات مهمی که باید به آن دقت کنید، مسائل مربوط به کارمندان، تجریه و تحلیل اطلاعات دریافتی از ابزارهای امنیتی و خط‌مشی‌هایی است که برای محافظت از دارایی‌های فیزیکی در اختیارتان قرار دارد. توجه به این مسائل باعث می‌شوند تا محیطی ایمن و به دور از تنش‌های مختلف را داشته باشید.

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

مشکلات پرسنلی (Personnel Issues)

شما می‌توانید بهترین تنظیمات امنیتی را روی دستگاه‌های تحت شبکه اعمال کنید، اما اگر روی آموزش کارکنان برای شناخت بهتر مسائل امنیتی سرمایه‌گذاری نکنید، ممکن است به راحتی هک شوید. علاوه بر تهدیدات خارجی باید مراقب تهدیدات داخلی نیز باشید. موارد زیر ملاحظات امنیتی کلیدی است که شامل مسائل پرسنلی می‌شود را شامل می‌شود:

■  نقض خط‌مشی: بسیاری از حوادث امنیتی به این دلیل رخ می‌دهند که کارکنان خط‌مشی‌های امنیتی شرکت را نقض می‌کنند. مطمئن شوید که کارکنان در مورد سیاست‌های امنیتی و چرایی انجام آن‌ها آموزش دیده‌اند. اگر کارکنان بدانند که چرا این سیاست‌ها وجود دارد و چگونه پایبندی به آن‌ها از شرکت و دارایی‌های آن محافظت می‌کند، احتمال کمتری دارد که سیاست‌های امنیتی را نقض کنند.

■    تهدید داخلی: بیشتر شرکت‌ها بر روی دیوارهای آتش به‌عنوان بهترین مکانیزم محافظت امنیتی تمرکز می‌کنند. البته این مهم است، اما شما باید از دارایی های شرکت در برابر تهدیدات داخلی مانند کارمندان ناراضی محافظت کنید. مطمئن شوید که از احراز هویت، مجوزها و لیست‌های کنترل دسترسی برای کنترل آنچه کارکنان به آن دسترسی دارند، استفاده می‌کنید. همچنین حتما نرم‌افزار ضد بدافزار را برای محافظت از سیستم‌های داخلی خود در برابر ویروس‌ها نصب کنید.

■    مهندسی اجتماعی: کارکنان را در مورد حملات متداول مهندسی اجتماعی آموزش دهید تا بتوانند تشخیص دهند که چه زمانی توسط مهندسی اجتماعی هدف قرار می‌گیرند. آموزش کلید محافظت در برابر حملات مهندسی اجتماعی است.

■    شبکه‌های اجتماعی: به کارکنان آموزش دهید که چه اطلاعاتی را می‌توان یا نمی‌توان در رسانه‌های اجتماعی پست کرد. شما باید سیاست‌های سختگیرانه‌ای در نظر بگیرید که انتشار عکس‌های محل کار در رسانه‌های اجتماعی را محدود کند، زیرا ممکن است حاوی اطلاعات حساس باشند. برای مثال، تصویری از کارمندی که پشت میزش نشسته است، ممکن است یک سند حساس را که روی صفحه در پس‌زمینه باز است یا یک سند روی میز را نشان دهد.

■    ایمیل شخصی: بسیاری از کارمندان از حساب ایمیل شخصی خود در محل کار استفاده می‌کنند و می‌توانند از آن برای ارسال اطلاعات شرکت به خارج از شرکت استفاده کنند. مطمئن شوید که ویژگی‌های DLP را برای محافظت در برابر نشت داده‌ها در نظر گرفته‌اید. همچنین از فضای ذخیره‌سازی ابری شخصی که کارمندان ممکن است برای انتقال داده‌ها به و از محل کار استفاده کنند، آگاه باشید. می‌توانید دسترسی به این سایت‌ها را در فایروال یا دستگاه فیلتر محتوا مسدود کنید.

مسائل مربوط به برنامه‌های کاربردی

نرم‌افزار یکی دیگر از چالش‌های بزرگ دنیای امنیت است. شما باید تمام موارد زیر را در رابطه با برنامه‌ها در نظر بگیرید:

■   نرم‌افزارهای غیرمجاز: سازمان‌ها باید خط‌مشی‌های سخت‌گیرانه‌ای در مورد این‌که چه نرم‌افزاری مجاز به اجرا و چه نرم‌افزاری مجاز به اجرا در سیستم‌های شرکت نیست، خط‌مشی‌هایی را تعیین کنند. لیست سفید برنامه به تعیین این‌که کدام نرم‌افزار مجاز است روی یک سیستم اجرا شود اشاره دارد. شما می‌توانید از ابزاری مانند Windows AppLocker به عنوان بخشی از خط‌مشی خود برای محدود کردن نرم‌افزارهایی که امکان اجرا روی یک سیستم را دارند استفاده کنید.

■   ‌منحرف شدن از خط پایه: خط پایه امنیتی یک وضعیت امنیتی تعریف شده است که سیستم‌ها نباید از آن منحرف شوند. هر گونه تغییری در عملکردهای سیستمی یا شبکه که ممکن است سیستم را در برابر هکرها آسیب‌پذیر کرده و امنیت را کاهش دهد، باید بررسی شود و در صورت اجرا از نزدیک مورد بررسی قرار گیرد. سازمان‌ها می‌توانند از فناوری‌هایی مانند PowerShell Desired State Configuration (DSC) برای جلوگیری از تغییرات سیستمی که از خط اصلی منحرف می‌شود، استفاده کنند.

■   نقض انطباق مجوز (دسترس‌پذیری/یکپارچگی): یکی از نکات مهمی که باید به آن دقت کنید نرم‌افزارهایی است که توسط کارمندان به دور از دید تیم فناوری اطلاعات روی سیستم‌ها نصب می‌شوند. ابزارهایی در دسترس هستند که به شما امکان می دهند نصب نرم‌افزارها را ردیابی کنید و اطمینان حاصل کنید که از تعداد نصب‌های پیش‌بینی شده فراتر نرفته‌اند.

■   مدیریت دارایی: هنگامی که یک سیستم در بخش مرحله تولید به کار گرفته می‌شود باید به دقت از آن محافظت کرد و آن‌را ایمن نگه داشت. برای این منظور باید یک مدیریت مرکزی روی سیستم و دارایی‌ها اعمال کنید. از محصولاتی مانند Group Policy Objects (GPOs) و Microsoft Endpoint Configuration Manager (MECM) برای مدیریت استقرار پیکربندی‌ها، وصله‌ها، درایورها و برنامه‌ها استفاده کنید.

■   مشکلات احراز هویت: مطمئن شوید که برنامه‌ها برای احراز هویت به ایمن‌ترین روش پیکربندی شده‌اند تا کسی نتواند با استفاده از اعتبارنامه‌های استفاده شده توسط برنامه‌ها از ترافیک احراز هویت سوء استفاده کند و به شبکه دسترسی پیدا کند. هنگام اتصال به پایگاه داده، مطمئن شوید که برنامه‌ها از حساب‌های کاربری مخصوص به خود استفاده می‌کنند و از حساب‌های پیش‌فرض مانند حساب سیستم یا حساب «sa» استفاده نمی‌کنند.

تجزیه و تحلیل و تفسیر خروجی فناوری‌های امنیتی

دستگاه‌ها و فناوری‌های امنیتی مختلفی وجود دارند که پیام‌ها را به کاربران نمایش می‌دهند یا اطلاعاتی در اختیار مدیران سیستم قرار می‌دهند تا از حوادث امنیتی احتمالی که رخ می‌دهند آگاه شوند. لیست زیر برخی از خروجی‌های ارایه شده توسط فناوری‌های امنیتی را نشان می‌دهد:

■   HIDS/HIPS: یک سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS) یا سیستم پیشگیری از نفوذ مبتنی بر میزبان (HIPS) اعلان‌های تهدیدات بالقوه را در یک برنامه نمایش می‌دهند یا آن‌ها را به یک آدرس ایمیل تعیین‌شده ارسال می‌کند. شما رویدادهای اعلان را بررسی می‌کنید تا هرگونه فعالیت مشکوک در سیستم را شناسایی کنید. هنگامی که به خروجی نگاه می‌کنید، تاریخ و زمان رویداد، منبع رویداد (بیشتر محصولات HIDS/HIPS گزارش‌های مربوط به بسیاری از منابع را بررسی می‌کنند) و حسابی که باعث وقوع رویداد شده است را مرور کنید. با استفاده از این اطلاعات، می‌توانید تصمیم بگیرید که آیا نیازمند تغییر پیکربندی‌ها هستید یا خیر.

■   نرم‌افزار آنتی‌ویروس: آنتی ویروس گزارش‌ها و اعلان‌ها را ارائه می‌دهد. این گزارش‌ها و اعلان‌ها، اطلاعاتی در ارتباط با رویدادهایی مثل یک اسکن برنامه‌ریزی‌شده را نشان می‌دهند که در صورت یافتن بدافزار، نام بدافزار و نام فایل‌های آلوده را گزارش می‌دهد. همچنین اطلاعاتی در مورد هرگونه اقدام اصلاحی انجام شده را نیز نشان می‌دهند، مانند این‌که یک فایل آلوده از سیستم حذف شده یا به یک منطقه قرنطینه منتقل شده است.

■   بررسی یکپارچگی فایل: وقتی از ابزارهایی استفاده می‌کنید که یکپارچگی فایل را بررسی می‌کنند، آن‌ها به شما اطلاع می‌دهند که آیا از زمان محاسبه مقدار هش فایل، تغییراتی در فایل ایجاد شده است یا خیر. ممکن است خروجی‌هایی از بررسی‌های یکپارچگی فایل دریافت کنید، مانند «عدم تطابق هش» یا «عدم تطابق امضا» که هر دو به این معنی است که فایل تغییر کرده است. خروجی‌هایی مانند «هش تطابق»، «هش معتبر» یا «امضا تأیید شده» به شما امکان می‌دهد بدانید فایل تغییر نکرده است.

■   فایروال مبتنی بر میزبان: دیوارهای آتش مبتنی بر میزبان معمولاً در صورت تغییری در ترافیک که مغایرت با قواعد پیکربندی شده در سیستم است، این اطلاعات را در گزارش‌ها می‌نویسند یا هشدارها را نمایش می‌دهند. هنگامی که از دیوارهای آتش فوق استفاده می‌کنید به دنبال خروجی اطلاعاتی مانند "بسته رها شده src=24.35.45.3:63378 TCP dst=32.46.58.62:80 TCP" باشید. در این اطلاعات، باید آدرس‌های آی‌پی مبدا و مقصد (24.35.45.3 و 32.46.58.62)، شماره پورت‌های استفاده شده توسط سیستم‌های مبدا و مقصد (:63378 و :80) و پروتکل (TCP) را مشاهده کنید.

■   فهرست مجاز برنامه‌ها (Application whitelisting):  فهرستی از نرم‌افزارهای تأییدشده که قابل اجرا روی یک سیستم هستند را مشخص می‌کند. اگر شخصی بخواهد برنامه‌ای را که در لیست نیست نصب یا اجرا کند، پیام خطایی مبنی بر عدم مجاز بودن برنامه دریافت می‌کند. می‌توانید از AppLocker در ویندوز برای ساخت فهرستی از برنامه‌هایی که مجاز به اجرا در سیستم هستند استفاده کنید.

■   کنترل رسانه قابل حمل: رویکرد فوق کمک می‌کند روی رسانه‌های قابل حملی که امکان اتصال به سیستم‌ها را دارند نظارت دقیقی اعمال کنید. به‌طور مثال، کاربران قادر به استفاده از دیسک‌های نوری یا رسانه‌های قابل حمل (مثلاً درایوهای USB خارجی) هستند یا خیر. هنگامی که کاربران سعی می‌کنند به درایوی متصل شوند یا به درایوی دسترسی داشته باشند که مجاز به استفاده از آن نیستند، اعلانی را روی صفحه‌نمایش می‌بینند که نشان می‌دهد مجاز به دسترسی به درایو نیستند.

■   ابزارهای ضدبدافزاری پیشرفته: ابزارهای ضدبدافزاری پیشرفته در مورد شناسایی بدافزارها به شما اطلاع‌رسانی کرده و گزارش دقیقی در این زمینه ارایه می‌کنند. آن‌ها همچنین گزارش می‌دهند که آیا بدافزار با موفقیت حذف شده یا به یک منطقه قرنطینه منتقل شده است.

■   ابزارهای مدیریت وصله: ابزارهای مدیریت وصله برای کمک به استقرار وصله‌ها در سیستم‌های موجود در شبکه طراحی شده‌اند. با ابزارهای مدیریت وصله می‌توانید خروجی‌هایی مانند وصله‌های مورد نیاز یک سیستم و به‌روزرسانی وضعیت را هنگام استقرار یک وصله در یک سیستم مشاهده کنید. در این حالت، اگر به دلایلی یک پچ روی یک یا چند سیستم اعمال نشد، شما نیز از این موضوع مطلع می‌شوید.

■   UTM: یک سیستم مدیریت تهدید یکپارچه (UTM) دستگاهی است که تعدادی از عملکردهای امنیتی مانند فایروال، IDS/IPS، آنتی ویروس گیت‌وی، ضد هرزنامه گیت‌وی، فیلتر محتوا و مکانیزم‌های پیشگیری از بروز مشکل از دست دادن داده‌ها را در قالب یک بسته در اختیارتان قرار می‌دهد. سیستم‌های UTM مجموعه‌ای از اطلاعات مانند هشدارهای مربوط به ترافیک مشکوک، گزارش‌های مربوط به تعداد ویروس‌ها و پیام‌های هرزنامه مسدود شده، نوع محتوایی که فیلتر شده‌اند را ارایه می‌کنند.

■   راه‌حل‌های پیشگیری از بروز مشکل از دست دادن داده‌های DLP: فناوری فوق از ارسال اطلاعات حساس به خارج از شرکت توسط کاربران جلوگیری می‌کند. هنگامی که کاربر سعی می‌کند داده ها را در یک درایو یو‌اس‌بی کپی کند، ممکن است یک پیام خطایی از راه‌حل DLP دریافت کند مبنی بر این‌که مجوز ندارد یا اگر کاربر تلاش کند ایمیلی حاوی اطلاعات حساس مسدود شده توسط DLP را ارسال کند، ایمیلی مبنی بر عدم ارسال محتوا به دلیل نقض DLP دریافت می‌کند.

■   ‌فناوری پیشگیری از اجرای داده‌ها: مکانیزم پیشگیری از اجرای داده (DEP) می‌تواند برای جلوگیری از اجرای کد برنامه در مناطقی از حافظه که برای ذخیره داده‌ها استفاده می‌شود (معروف به صفحات داده) فعال شود. با DEP، بلوک‌هایی از حافظه که برای اجرای برنامه استفاده نمی‌شوند، توسط سیستم به‌عنوان صفحات غیرقابل اجرا پرچم‌گذاری می‌شوند تا نرم‌افزارهای مخرب در آن بلوک حافظه اجرا نشوند. می‌توانید با رفتن به خط فرمان و تایپ wmic OS Get DataExecutionPrevention_SupportPolicy بررسی کنید که DEP در سیستم فعال است یا خیر. خروجی 0 (همیشه خاموش)، 1 (همیشه روشن)، 2 (روشن برای فایل های باینری ویندوز)، یا 3 (روشن برای همه برنامه‌ها و خدمات) دریافت خواهید کرد.

■   فایروال وب‌محور: یک فایروال وب‌محور برای محافظت از سرورهای وب در برابر ترافیک مخرب طراحی شده است و فقط به ترافیک برنامه وب اجازه عبور از دیوار آتش را می‌دهد. ترافیک مسدود شده توسط فایروال در یک فایل گزارش نوشته می‌شود تا مدیر سیستم بتواند ترافیک مسدود شده را بررسی کند.

آسیب‌پذیری‌های مبتنی بر ابر در مقابل آسیب‌پذیری‌های داخلی

آسیب‌پذیری‌هایی که به آن‌ها اشاره کردیم، عمدتا در ارتباط با شبکه‌های داخلی هستند، به این معنی که این آسیب‌پذیری‌ها در سیستم‌ها و دستگاه‌های داخل LAN قابل رویت هستند.

تعدادی از آسیب‌پذیری‌های رایج می‌تواند در محیط‌های ابری نیز وجود داشته باشد، و بیشتر این آسیب‌پذیری‌ها با خطاهای پیکربندی سروکار دارند:

■   درگاه‌های باز: مطمئن شوید که درگاه‌های غیرضروری را در منابع ابری مانند ماشین‌های مجازی (VM) یا برنامه‌ها بسته‌اید. به عنوان مثال، بسیاری از ادمین‌های فناوری اطلاعات یک ماشین مجازی آژر ایجاد می‌کنند و سپس پورت پروتکل دسکتاپ از راه دور (RDP) را برای کنترل از راه دور به ماشین مجازی باز می‌کنند. در این مورد، Azure یک گزینه میزبانی bastion در دسترس می‌گذارد تا نیازی به باز کردن پورت RDP روی هر یک از ماشین‌های مجازی نداشته باشید.

■   روش‌های احراز هویت: از آن‌جایی امکان اتصال به برنامه‌های ابری از هر نقطه‌ای از جهان وجود دارد، باید احراز هویت چندعاملی (MFA) را به گونه‌ای پیکربندی کنید که اگر شما یا شخص دیگری سعی کرد با حسابتان وارد شوید، یک کد احراز هویت به تلفن شما ارسال شود. در این حالت هکرها قادر نیستند به راحتی به حساب کاربری وارد شوند.

■   خط‌مشی‌های دسترسی مشروط: می‌توانید از خط‌مشی‌های دسترسی مشروط برای کمک به بهبود امنیت و محافظت از منابع در برابر گذرواژه‌های ضعیف یا احراز هویت ضعیف استفاده کنید. خط‌مشی‌های دسترسی مشروط به شما این امکان را می‌دهند که هنگام دسترسی به منابع ابری، محدودیت‌هایی را برای کاربران اعمال کنید. برای مثال، می‌توانید خط‌مشی‌هایی را برای کاربران، گروه‌ها، دستگاه‌ها و حتی مکان IP آن‌ها اعمال کنید.

■   امتیازات بسیار زیاد: مراقب باشید که به کاربران در محیط ابری امتیازات بیش از حد داده نشود. به عنوان مثال، اضافه کردن کاربران غیر ضروری به گروه مدیران یک اشتباه بزرگ است.

شناسایی تهدیدات فیزیکی

قبل از پرداختن به انواع مختلف نرم‌افزارهای مخرب، می‌خواهم شما را با برخی از تهدیدات فیزیکی محبوبی که شرکت‌ها در دنیای واقعی تجربه می‌کنند آشنا کنم. در این بخش، برخی از انواع رایج تهدیدات فیزیکی برای سیستم‌ها و دستگاه‌ها و همچنین نحوه به حداقل رساندن تهدیدات علیه دارایی‌های شرکت را بررسی می‌کنیم.

جاسوسی

در شماره‌های گذشته با رویکردی به‌نام غواصی در زباله‌دان آشنا شدید که اشاره به این موضوع دارد که هکر سعی می‌کنند در میان زباله‌های شما اسناد محرمانه‌ای را پیدا کنند و از طریق آن‌ها به شما حمله کنند. هکرها می‌توانند از این طریق به اطلاعات زیادی در مورد کسب‌وکارها یا کارمندان دست پیدا کنند. جالب آن‌که گاهی اوقات هکرها به محیط سازمان وارد می‌شوند و سعی می‌کنند کاغذهای روی میز کارمندان را بردارند یا حتی از داخل کابینت پرونده‌ و اسناد را سرقت کنند.

برای محافظت از اطلاعات در برابر چنین حملات جاسوسی، مطمئن شوید که یک سیاست میز تمیز را در کسب و کار اجرا کنید. یک خط‌مشی تمیز میز مشخص می‌کند که اسناد حساس نباید باز گذاشته شوند و در صورت عدم استفاده باید بایگانی شوند.

همچنین باید از اطلاعاتی که در کمدهای بایگانی قرار می گیرد با اطمینان از این‌که کابینت‌های بایگانی در یک منطقه امن و قفل شده‌اند محافظت کنید تا از دسترسی افراد غیرمجاز به اطلاعات جلوگیری شود.

باید بدانید که تمام اسناد باید قبل از دور ریختن خرد شوند تا غیر قابل دست‌یافتنی شوند.

به همه کارمندان کسب و کار آموزش دهید که اطمینان حاصل کنند که تمام اسناد را برای دور انداختن خرد کنند و اسناد خرد نشده را مستقیماً در سطل زباله یا سطل بازیافت نیندازند. تمام اسناد شرکتی که دور ریخته می‌شوند باید ابتدا از خردکن عبور کنند!

سرقت و از دست دادن دارایی

بخش عمده‌ای از تهدیدات امنیتی فیزیکی مرتبط با گم شدن یا دزدیده شدن وسایلی مثل لپ‌تاپ یا دستگاه تلفن همراه (تلفن هوشمند، تبلت و غیره) است. بسیاری از شرکت‌ها خط مشی دارند که اگر کارمندی لپ‌تاپ یا دستگاه تلفن همراه شرکت را در خودرو قرار می‌دهد، نباید آن‌را در معرض دید عموم بگذارد تا به راحتی سرقت شود. به کارمندان توصیه کنید به جای این‌که همه وسایل الکترونیکی را روی صندلی سرنشین یا در صندلی عقب خودرو در معرض دید قرار دهند، در صندوق عقب خودرو قفل شده قرار دهند. لازم به ذکر است که برخی از سازمان‌ها ممکن است کارکنان را به دلیل عدم پیروی از چنین سیاست‌هایی توبیخ کنند. رویکرد فوق به این دلیل اتخاذ می‌شود ا اطمینان حاصل شود که کارمندان آگاهی کامل در ارتباط با دارایی‌های سازمان دارند.

در دفتر کار، می‌توانید با استفاده از کشوهای قفل‌دار مانع سرقت تجهیزاتی مانند لپ‌تاپ، مانیتور صفحه‌تخت، پروژکتور و حتی رایانه‌های رومیزی شوید. علاوه بر این امکان استفاده از کابل نیز وجود دارد. کابلی که به دستگاه متصل و قفل می‌شود و دستگاه را روی میز محکم می‌کند. این کابل‌های قفل اجازه نمی‌دهند یک سارق به راحتی دستگاه‌ها را سرقت کند و به عنوان یک عامل بازدارنده عمل می‌کنند.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

تهران: آموزشگاه عصر رایان شبکه

  • مهندس اطلاعات 
  • تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

استخدام 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

مطالب مرتبط

برچسب: 
آموزش رایگان سکیوریتی‌ پلاس - آموزش رایگان سکیوریتی‌ پلاس به زبان فارسی - آموزش رایگان Security+ - آموزش سکیوریتی‌ پلاس - آموزش Security+ - آموزش رایگان سکیوریتی پلاس
به اشتراک گذاری مطلب: 
Telegram Twitter Print HTML

ایسوس

نظر شما چیست؟