اگر قادر به پذیرش این حقیقت باشیم که داده ­ها از باارزش­ ترین دارایی ­های هر سازمان می ­باشند پذیرش میزان اهمیت امنیت داده ­ها، سیستم­ های نرم ­افزاری و سخت ­افزاری سازمان­ ها و امنیت زیرساخت و خطوط انتقال داده­ ها به سادگی امکان­ پذیر می ­باشد.

در گذشته­ ای نه چنان دور و تا پیش از ظهور انواع شبکه­ های محلی و جهانی حفاظت از داده ­ها تنها در حد حفاظت فیزیکی با کمک نگهبان­ ها و کنترل ورود و خروج ساختمان­ها بوده، امروزه با ظهور شبکه­ های مختلف، گستردگی و حجم داده­ های مبادله شده از طریق این شبکه­ ها، میزان اهمیت و محرمانگی این داده ­ها و  نیاز به اشتراک گذاری منابع و… و از ان­جا که سازمان‌ها ناچار به تغییرات فراوان در فناوری‌ها و محیط گشته­ اند رعایت امنیت تنها در سطح فیزیکی براورده کننده نیازهای امنیتی سازمان­ها و افراد نخواهد بود به دلیل تحول شگرفی که در سازمان­ها رخ داده است برای فعالیت در این محیط پر متلاطم به برنامه‌های بهبود یافته و موثری نیاز داریم که بتواند اهداف پیش‌بینی شده را محقق گرداند و در برابر انواع مهاجمین درون سازمانی و برون سازمانی و انواع حملات عمدی و غیر عمدی از دارایی ­های سازمان­ ها و اطلاعات افراد محافظت به عمل اورد و با توجه به این­ اصل که با گذشت زمان سخت‌افزار و نرم‌افزار های جدید به بازار عرضه می‌شوند و منابع قدیمی از بازار خارج می‌گردند، برای بقا باید همواره مطابق با دانش و فناوری‌های جدید رو به جلو حرکت نمود.

با انجام یک جستجوی ساده بین سالهای ۱۹۷۰ میلادی تا کنون به نتایج جالبی می­رسیم، در این سال­ها دانش مورد نیاز مهاجمین برای انجام حملات موفق دائما رو به کاهش بوده و به همان اندازه ابزارهای مورد نیاز برای انجام حملات به طرز غریبی رو به رشد و پیشرفت.

به عنوان مثال سال­های پیش از دهه هشتاد ­حملات به صورت جستجوی کامل کلید با حدس زدن کلمات عبور و … انجام می پذیرفته است، در این سال­ها برای مقابله با حملات از رمزی نمودن پیام­ها و رمزهای عبور طولانی­ تر استفاده ­شده است، هر قدر به سمت جلو حرکت می­ کنیم به ابزارهای جدیدتر و قوی­تری می ­رسیم و به ترتیب زیر شاهد ابزارهایی برای انواع حملات موفق بوده ­ایم

Self Replicating Code, Password Cracking, Exploiting Known Vulnerability, Disabling Audits, Back Doors, Sweepers, DDOS, Sniffers, Packet Forgin Spoofing, Internet Worms, SQL  injection,  Buffer overflows, Privilege escalation,…

که تا به امروز و در اینده نیز ادامه خواهند داشت.

چنانچه امنیت را در کلی ترین حالت در نظر بگیریم مشتمل بر سه مفهوم زیر خواهد بود:

محرمانگی: به مفهوم جلوگیری یا کشف افشای غیرمجاز اطلاعات

صحت: به مفهوم جلوگیری یا کشف تغییرات و اصلاحات غیرمجاز  اطلاعات و اطمینان از درستی داده­ها و درستی مبدا

دسترس پذیری: به مفهوم جلوگیری یا کشف ممانعت غیرمجاز از سرویس­های فراهم شده توسط سیستم برای کاربران

خواهیم توانست تهدیدات امنیتی سیستم ­های و بانک ­های اطلاعاتی را می ­توان به دو دسته کلی تقسیم نماییم:

  • سهوی

– بلایای طبیعی یا حوادث

– خطا در سخت افزار یا نرم افزار

– خطاهای انسانی

  • عمدی

– کاربران مجاز  (بدون نیت منفی)

– عوامل متخاصم

  • داخلی
  • خارجی

و به همین ترتیب اقدامات امنیتی جهت پیشگیری را در کلی ­ترین حالت به دسته زیر تقسیم بندی نمود:

  • پیشگیری: شامل انجام عملیات لازم جهت جلوگیری از خسارت و ردیابی
  • تشخیص: شامل تحقیق پیرامون کیفیت حمله (زمان، مکان، دلیل حمله، نقاط ضعف و …)
  • واکنش: شامل ترمیم و بازیابی و جبران خسارات وارد شده در نتیجه انجام موفق حمله مهاجم و ارائه راهکار برای جلوگیری از حملات مجدد و مشابه و همچنین رفع نقاط اسیب­پذیر سیستم­ها

در راستای امن سازی سامانه­ ها و سازمان­ها باید دقت نمود که:

گستره امنیت باید تمامی منابع سازمان را در بر بگیرد شامل افراد، سخت ­افزار، نرم­افزار، زیرساخت، خطوط ارتباطی و …

نگرش مدیریتی به مساله امنیت از اساسی­ ترین و پراهمیت ترین نیازهای موفقیت در این راستا می ­باشد.

فراموش نکنیم که تا امروز خطرناکترین نوع حملات توسط مهاجمین داخلی و مجاز صورت گرفته است.

تا زمانی که تمامی افراد درگیر در سازمان نگرش امن نداشته باشند براورده شدن امنیت امکان پذیر نخواهد شد.

امن سازی یک فرایند مداوم و مستمر است و نباید به آن صورت یک وظیفه خاص برای افرادی مشخص یا به صورت مقطعی نگاه نمود.

چنانچه چرخه امنیت را مجموعه­ای از چهار حالت زیر در نظر بگیریم :

۱- مدیریت ریسک: شامل شناخت دارایی­ ها و انواع تهدیدات مرتبط با هر دارایی، میزان اسیب پذیری و میزان اثر هر دارایی بر کارکرد سامانه

۲- راهکارهای امنیتی : انواع دیواره­های اتش، رمزگذاری­ها، کنترل­های دسترسی و سطوح کاربری افراد و …

۳- مانیتورینگ : راهکارهای تشخیص نفوذ، Honey Pot و …

۴- تست و آزمایش: انجام تست­های دوره­ای برای انواع تهدیداتی که ممکن است امنیت سامانه را به خطر بیاندازند.

تمامی چهار مرحله فوق با توجه یه این نکته انجام می­گیرد که در هر سامانه­ای نیاز به رعایت سطحی از امنیت است که کارایی و عملکرد ان سامانه دچار اختلال یا کندی غیرقابل قبولی نگردد، همچنین مقدار امنیتی که از سمت کاربران انتظار می­رود را فراهم نماید با در نظر گرفتن میزان ناامنی که برای سازمان قابل قبول باشد. به عنوان مثال در مورد اطلاعات بیمارستانی حفظ حریم خصوصی بیماران مهمترین عامل بوده و در مقابل در مورد اطلاعات خبرگذاری­ها جامعیت و صحت داده­ها  ! به این ترتیب می­توان چنین گفت که اهمیت و نوع کسب و کار، از مهمترین عوامل جهت تعیین میزان و نوع امنیت مورد نیاز خواهد بود …

امنیت و دفاع سایبری قسمت دوم

امنیت و دفاع سایبری قسمت سوم

 

 

به قلم مهندس اکرمی نسب