امنیت شبکه

صفحه اصلی / خدمات / امنیت شبکه

سامانه مدیریت بحران Disaster recovery

DRP مخفف disaster-recovery-plan  به مجموعه پردازش‌ها، سياست‌ها و دستورالعمل‌هاي مربوطه‌اي گفته مي‌شود که با آن پس از وقوع يک فاجعه طبيعي (سيل، زلزله، طوفان …) يا ساخته دست بشر (انفجار، خرابکاري، سرقت اطلاعات ( بازیابی يا تداوم کار زير ساخت‌هاي حساس فن آوري اطلاعات را بتوان تضمين کرد.  DRP يکي از سرفصلهاي BCP مي‌باشد که مشخصاً به رويکرد بازيابي خسارت‌هاي وارد شده به مجموعه زير ساخت‌ها، داده‌ها و برنامه‌هاي کاربردي حوزه فن آوري اطلاعات مي‌پردازد.

براي تهيه يک DRP در ابتدا محدوده طرح مشخص شده و سپس ارزيابي مخاطرات انجام مي‌شود. معيارهاي کنترلي پيشگيري کننده، شناسائي کننده و اصلاح کننده در نظر گرفته مي‌شوند و اين معيارها بصورت مدون نگهداري شده و مورد آزمون مرتب قرار مي‌گيرند. براي هر DRP نياز به تعيين يک استراتژي مناسب است. اما قبل از آن به فاکتورهاي “مقصد بازيابي” RPO و “زمان بازيابي” RTO که در BCP در نظر گرفته شده توجه شده و سعي مي‌شود ارتباط منطقي اي بين آنها و زيرساخت‌ها و سيستم‌هاي فن آوري اطلاعات بر قرار گردد. ضمناً توجه مي‌گردد که براي هر سيستم استراتژي بازيابي مناسبي در نظر گرفته شود و نهايتاً استراتژي در نظر گرفته شده با بودجه تخصيص يافته همخواني داشته باشد.

استراتژي‌هاي معمول به اين ترتيب هستند که نسخ پشتيبان بر روي Tape يا Disk  قرار گرفته و به صورت Offline يا Online روي سايت بيروني قرار مي‌گيرند. بهترين حالت داشتن همزمان اطلاعات و سيسمتها در هر دو سايت عملياتي و پشتيبان است که به اين حالت Hot Availability – در دسترس بودن آني گفته مي‌شود.

در نظر گرفتن عواملي چون، مورد آزمون قرار گرفتن مداوم، بازيابي بر روي سخت افزارهاي مورد نظر، آزمون بهترين و بدترين حالت‌هاي ممکن در تمام سطوح عملياتي، قرار دادن دستور العمل‌ها در محلي امن و در دسترس بودن آخرين نسخه به‌روز شده آنها در زمان لازم و قابل استفاده بودن دستورالعمل ها توسط کليه افراد تيم فني از جمله ملاحظاتي هستند که بنا به تجربه بيشتر طرح‌هايDRP  را در نهايت عملياتي، کارآمد و مؤثر خواهند نمود. همچنين براي حصول اطمينان از اجرائي شدن DRP اخذ موافقت مديريت، تفهيم مسئوليت و مشارکت تمام واحدهاي سازماني در موقع بروز بحران – نه فقط IT، تبعيت از استانداردها و الزامات قانوني و نهايتاً تصويب سرفصل بودجه سالانه مختص DRP الزامي است.

تهيه نسخ پشتيبان به صورت online و ايجاد Recovery Pointهاي متعدد و نهايتاً مجازي سازي به عنوان بهترين راهکارها براي بازيابي بحران و تداوم کسب و کار مورد نظر قرار گرفته است. روش‌هاي سنتي بازيابي اطلاعات عمدتاً مبتني بر دستورالعمل‌هاي کاغذي حجيم و غالباً گيج کننده بود که به روز نگهداري و استفاده از آنها کار بسيار دشوار و طولاني بود.

محصولاتي از قبيل Symantec System Recovery  شرکت سيمانتک، “VMware vCenter Site Recovery Manager”  و محصولات شرکت Citrix با بهره گيري از مجموعه XenDesktop ،XenApp ،XenServer و NetScaler، مشخصاً سازمانها را قادر مي‌سازند که با حداقل رساندن زمان وقفه خدمات، مديريت و نظارت متمرکز، امنيت بالا، صرفه اقتصادي، امکان دسترسي و تداوم کار از راه دور، مديريت تغييرات، بازيابي بر روي سخت افزارهاي غير مشابه در دسترس بودن IT تضمين گردد.

سامانه SIEM

کلمه SIEM مخفف عبارت  Security Information and Event Management به معنای راهکارهای امنیت اطلاعات و مدیریت رویدادها می‌باشد و از دو بخش، مدیریت امنیت اطلاعات (SIM) و مدیریت رویداد (SEM) تشیکل شده است.

فناوری SIEM داده‌های ورودی سیستم، هشدارهای امنیتی و رویدادها را در یک پلتفرم متمرکز جمع می‌کند تا تجزیه و تحلیل زمان واقعی برای نظارت بر امنیت را ارائه دهد. به همین دلیل مراکز عملیاتی امنیتی (SOCs) در نرم افزار SIEM سرمایه گذاری کرده است تا کار و عملکرد خود را در سازمان  ساده کنند و داده‌ها را برای پاسخ به حوادث در برابر حملات سایبری و نقض داده‌ها بررسی کنند.

SIEM چگونه کار می کند؟

نرم افزار SIEM با جمع آوری داده‌ها و رویداد تولید شده از برنامه‌ها، دستگاه‌ها، شبکه‌ها‌، زیرساخت‌ها و سیستم‌ها به منظور تجزیه و تحلیل و ارائه یک دید کلی از فناوری اطلاعات سازمان (IT) کار می‌کند.

 

راه حل‌های SIEM می‌توانند در محیط‌های داخلی یا محیط‌های ابری قرار گیرند. با تجزیه و تحلیل همه داده‌ها در زمان واقعی، راه حل‌های SIEM از قوانین و همبستگی‌های آماری برای پیشبرد بینش عملی در طول تحقیقات قانونی استفاده می‌کند. فناوری SIEM تمام داده‌ها را بررسی می کند و فعالیت‌های تهدید را بر اساس سطح خطر طبقه بندی می‌کند تا به تیم‌های امنیتی در شناسایی عوامل مخرب و کاهش سریع حملات سایبری کمک کند.

کاربرد SIEM​

اولین و ابتدایی‌ترین کاربرد SIEM متمرکز ساختن Notification یا اعلان‌های امنیتی از تکنولوژی‌های مختلف امنیتی به کار رفته در سازمان‌ها مثل فایروال‌ها، سیستم‌های IDS/IPS و آنتی ویروس‌ها و.. می‌­باشد.

نقاط دستیابی وایرلس یا همان Access Pointها و همینطور سرور‌های Active Directory همگی روزانه هشدارهای امنیتی زیادی را ایجاد می‌کنند.  SIEM می تواند تمامی این موارد را با یک مجموعه از گزارشات و یک سیستم متمرکز شده برای ایجاد Notificationها در یک مکان جمع آوری کرده وبه کار بگیرید که به این راهکار، راهکار تجمیع Logها می‌گویند.

دومین کاربرد اصلی SIEM فراهم کردن logging و گزارش گیری برای اهداف تطبیق پذیر می‌باشد.

تقریبا به ازای هر یک از مقررات تطبیق پذیری، الزاماتی برای Log کردن دسترسی کاربر، ردیابی تغییرات سیستم و مانیتور کردن پایبندی به سیاست‌های سازمانی وجود دارد.

راهکار SIEM می‌تواند این task‌ها را بسیار آسان‌تر کند و این کار را با جمع آوری داده از تمامی سیستم‌های شما انجام می‌دهد. وقتی زمان ممیزی یا امتحان برسد شما می‌توانید به سادگی گزارشات تطبیق پذیری مناسبی را ایجاد کنید و آن‌ها را به افراد مناسب ارسال کنید.

سومین کاربرد SIEM که از مهمترین کاربرد آن می‌باشد همبستگی متقابل یا Cross-Correlation و تجزیه و تحلیل خودکارسازی شده از تمامی Log‌های رخداد خام از سرتاسر شبکه شما است.

زمانی که SIEMها به دنبال مشکلات مختلف امنیت سایبری می‌گردند در حالت عادی کسی متوجه آن‌ها نمی‌شود. و این کار را با جمع آوری داده از چندین منبع متفاوت انجام می‌شود. برای انجام این فرایند و همبستگی و تجزیه و تحلیل، آوردن Log‌های امنیتی به SIEM بسیار مهم است.

عملکرد SIEM​

فرض کنید SIEM شما یک هشدار از IDS دریافت می‌کند و به شما می‌گوید که یک حمله SQL Injection را در یکی از سرورهای شما شناسایی نموده است. خوب این یک اعلان نگران کننده است این‌ها هشدارهایی هستند که ممکن است نیمه شب شما را از خواب بیدار کنند البته با فرض اینکه SQL Server داشته باشید. بسیاری از SIEM‌ها نوع سروری که اجرا می‌کنید را مدنظر قرار نمی‌دهند که همین کار باعث بروز خطاهای زیادی در اعلام هشدار می‌شود و این خطاها عملا SIEM شما را بی فایده می‌کنند.

در مقابل راهکار SIEM حقیقی، پیکربندی کامل، برنامه‌های کاربردی در حال اجرا و اطلاعات دیگر را از تمام دستگاه‌های دیگر دریافت می‌کند تا به اعلان‌ها و Notificationها اضافه کند. این راهکار به SIEM این توانایی را می‌دهد که متوجه تغییرات دستگاه‌ها، مانند روترها، و فایروال‌ها شود و در صورت رخ دادن تغییرات غیر مجاز Notification ایجاد کند.

یک راهکار کامل همچنین Feed‌های هوش تهدیدات، لیست‌های سیاه و داده‌های معین شده موقعیت فیزیکی را با هم ترکیب می‌کند تا دقت عمل را بیش از پیش افزایش دهد و اطمینان حاصل گردد که Notificationها عملی هستند و خطاها در اعلام هشدار به طور چشمگیری کاهش می‌یابد.

ضرورت SIEM

اکثر بدافزارها و دیگر ابزارهای متداول هکرها دارای رمزگذاری Built-in هستند تا از این سیستم‌ها عبور کنند.

با وجود اینکه، این‌ها راهکارهایی عالی برای نیازهای خاص هستند. قطعا نیاز به SIEM را از بین نبرده و حتی آن را کاهش هم نمی‌دهند.

دلایل بسیار زیادی برای داشتن یک SIEM وجود دارد. اول از همه برای از بین بردن نقاط کور باید تمامی اطلاعات امنیتی و رخدادهای خود را در یک مکان واحد جمع آوری کرد و باید بتوانید بدون اینکه توسط اعلام هشدار درگیر خطا  شوید، رفتارهای مشکوک را شناسایی کنید.

تجزیه و تحلیل دقیق و همبستگی، به شما این توانایی را می‌دهد که پیش از اینکه این مشکلات تبدیل به نقض امینتی شوند، آن‌ها را شناسایی کنید. قابلیت دید جامع از طریق یک SIEM به شما این توانایی را می‌دهد که سیاست‌های سازمانی را مانتیور و اعمال نمایید.در نهایت، الزامات مبتنی بر مقررات، از جمله PCI و HIPAA و FFIEC عملا از شما می خواهند که SIEM را در سازمان و یا اداره خود داشته باشید.

مزایای فناوری SIEM
  • تشخیص در زمان واقعی در سراسر محیط
  • راه حل مدیریت مرکزی برای سیستم های مختلف و داده های ورود به سیستم
  • هشدارهای مثبت کاذب کمتر
  • کاهش متوسط ​​زمان تشخیص (MTTD) و زمان متوسط ​​پاسخ (MTTR)
  • جمع آوری و عادی سازی داده‌ها برای تجزیه و تحلیل دقیق و قابل اعتماد
  • دسترسی آسان و جستجو در داده‌های خام و تجزیه شده
  • قابلیت نقشه برداری عملیات با چارچوب های موجود مانندMITER ATT & CK
  • تضمین رعایت انطباق با قابلیت مشاهده در زمان واقعی و ماژول‌های سازگاری از پیش ساخته شده
  • داشبورد سفارشی و گزارش موثر

هانی پات ( HoneyPot ) تله ای برای هکرها

هانی پات سیستمی است که اطلاعات غیر واقعی را در اختیار نفوذگر قرار می دهد و به صورت عمد در شبکه قرار می گیرد تا هدف نفوذگران از نفوذ به سیستم هارا مشخص و برملا کند و ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.

Honeypot ها به خودی خود یک راه حل به شمار نرفته و هیچ مشکل امنیتی خاصی را حل نمی کنند، بلکه ابزارهای بسیار انعطاف پذیری هستند که کارهای مختلفی برای امنیت اطلاعات انجام می دهند.

در شبکه های بزرگ برای مدیریت بهتر از چندین سرویس هانی پات استفاده می شود و در صورتی که چندین یک از آن ها بر روی سیستم مورد نظر نصب شود یک هانی نت به وجود خواهد آمد.

مشکلات هانی پات برای هکرها:

 هانی پات می تواند با استفاده از شبیه سازی سرویس های مختلف، کار نفوذگر را سخت و تله برای آن ها ایجاد کند؛  اگر سرویس هانی پات را در شبکه خود راه اندازی کنید و نفوذگر قصد نفوذ به شبکه شما را داشته باشد در زمان تست و اقدام به نفوذ با سرویس های مختلف مجازی و غیر واقعی مواجه خواهد شد.

برای مثال : یک سرویس FTP که به صورت فیک با ورژن های قدیمی و آسیب پذیر وجود دارد را مشاهده می کند و با تلاش های خود برای نفوذ وارد تله خواهد شد و آی پی نفوذگر برای مدیر سرور ذخیره می شود و میتواند این اطلاعات برای عملیات فارنزیک بسیار کاربردی باشد.

مزایای هانی پات

هانی پات ها می توانند یک ابزار بسیار فوق العاده برای محققان امنیتی باشند زیرا می توانند با استفاده از این سرویس از متد های استفاده شده توسط نفوذگران مطلع شوند به این صورت که سرویس هانی پات تکنیک های نفوذگر را مانیتورینگ و ضبط می کند و اطلاعاتی مانند کاراکترهای وارد شده در URL و متد های استفاده شده توسط نفوذگر را در اختیار ادمین اصلی قرار می دهد .

هانی پات ها در تشخیص حملات بسیار موثر هستند، زیرا درصد اشتباه کردن این سرویس بسیار پایین است به این دلیل که مکانیزم های امنیتی موجود دیگر مانند آنتی ویروس ها ممکن است هشدار های زیادی به شما دهند در صورتی که هیچ خطری شما را تهدید نمی کند اما هانی پات ها درصد اشتباه کمتری نسبت به دیگر مکانیزم های امنیتی دارند و دلیل آن این است که هانی پات ها به صورت پیش فرض غیرمجاز تعریف شده اند و اگر کسی به این سرویس حمله انجام دهد به راحتی قابل تشخیص است و نکته قابل توجهی که وجود دارد این است که برخی از آن ها ممکن است از ipv6 پشتیبانی کند در صورتی که دیگر مکانزیم های امنیتی مانند فایروال ها کمتر از آی پی ورژن 6 پشتیبانی می کنند. این سرویس ها بسیار انعطاف پذیر هستند و به راحتی می توان در محیط های مختلف از ان ها استفاده کرد و منابع بسیار کمی احتیاج دارند ، که حتی می توان از یک سیستم ضعیف هم هم برای این کار استفاده کرد.

کاربردهای هانی پات
  • پیدا کردن نفوذگر
  • جلوگیری از حملات
  • پیدا کردن مشکلات امنیتی
  • بالا بردن امنیت شبکه
  • سخت کردن مراحل نفوذ به شبکه
  • ایمن کردن سرویس های فعال
  • گمراه کردن نفوذگر

دسته بندی هانی پات

کم واکنش

دسته کم واکنش از هانی پات ها بسیار ساده هستند زیرا نصب ، کانفیگ و نگهداری ساده ای دارند و اطلاعاتی از جمله ساعت حمله ، آی پی نفوذگر و پورت های مبدا و مقصد را برای شما به نمایش در می آورند.

میان واکنش

میان واکنش دسته دوم از هانی پات ها کمی از دسته اول قوی تر هستند زیرا اجازه راه اندازی در یک سیستم مجازی را به شما میدهد و شما توانایی مانیتور کردن آن سیستم را در سیستم اصلی خود خواهید داشت.

پر واکنش

دسته پر واکنش به هزینه زیادی نیاز دارد و در عین حال به نگهداری ویژه و تخصص احتیاج دارد اما امکاناتی بسیار خوبی در اختیار شما قرار خواهد داد شامل شناسایی ابزار های استفاده شده توسط نفوذگر و مانیتورینگ فعالیت های نفوذگر.

سامانه مدیریت دسترسی PAM

امروزه مدیران ارشد سازمان ها برای بالا بردن سطح امنیت و حفاظت از دارایی های اطلاعاتی خود سرمایه گذاری ویژه ای میکنند و از محصولات و راه کار های متنوعی بهره می برند. برای مثال: درگاه های شبکه را به انواع دیوار های آتش، IPS، WAF، UTM و. …. مجهز می کنند. حتی از روش ها و استاندارد های امنیتی، مانند: PCI-DSS و ISO27001 بهره می گیرند. اما در نهایت برای اینکه کار سازمان به انجام برسد به ناچار مجبور هستند دسترسی های سطح بالا، به سامانه های اطلاعاتی، نرم افزارها، سخت افزار ها و سرور های سازمان را به پیمانکار و یا افرادی بسپارند که شاید به صورت تمام و کمال مورد اطمینان و وثوق شان نباشند.

آمار ها نشان می دهند که در سازمان های بزرگ، ریسک ها و تاثیر آسیب هایی که این افراد به مجموعه وارد می کنند بسیار قابل تامل است. فارغ از اینکه علت و انگیزه چه میتواند باشد و یا اینکه حوادث رخ داده عمدی بوده اند یا سهوی، نتیجه و تاثیر بسیاری از وقایع غیرقابل جبران است.

 

   Privileged Access Managementبه اختصار PAM به سامانه هایی گفته می شود که حساب کاربرانی را که دارای مجوز دسترسی به منابع مهم و شرکتی هستند، به طور ایمن مدیریت می کنند. اینها ممکن است مدیران سیستم ها، دستگاهها، برنامه ها و سایر انواع کاربران باشند.

حسابهای کاربری ممتاز (Privileged Accounts) اهداف بسیار بالایی برای مجرمان اینترنتی است. این به این دلیل است که آنها مجوزهای بالایی را در سیستم ها دارند و به آنها امکان دسترسی به اطلاعات بسیار محرمانه و یا تغییر در سطح مدیریتی در برنامه ها و سیستم های مهم ماموریت را می دهند. در سال گذشته، ۴۴ درصد از نقض داده ها مربوط به اکانتهاب سطح بالا بوده است.

معرفی برخی از قابلیت های PAM

در صورت نياز به اطلاعات تکميلي لطفاً با واحد فروش شرکت مهندسي بهین شبکه تماس حاصل فرمائيد.