امنیت شبکه
صفحه اصلی / خدمات / امنیت شبکه
سامانه مدیریت بحران Disaster recovery
DRP مخفف disaster-recovery-plan به مجموعه پردازشها، سياستها و دستورالعملهاي مربوطهاي گفته ميشود که با آن پس از وقوع يک فاجعه طبيعي (سيل، زلزله، طوفان …) يا ساخته دست بشر (انفجار، خرابکاري، سرقت اطلاعات ( بازیابی يا تداوم کار زير ساختهاي حساس فن آوري اطلاعات را بتوان تضمين کرد. DRP يکي از سرفصلهاي BCP ميباشد که مشخصاً به رويکرد بازيابي خسارتهاي وارد شده به مجموعه زير ساختها، دادهها و برنامههاي کاربردي حوزه فن آوري اطلاعات ميپردازد.
براي تهيه يک DRP در ابتدا محدوده طرح مشخص شده و سپس ارزيابي مخاطرات انجام ميشود. معيارهاي کنترلي پيشگيري کننده، شناسائي کننده و اصلاح کننده در نظر گرفته ميشوند و اين معيارها بصورت مدون نگهداري شده و مورد آزمون مرتب قرار ميگيرند. براي هر DRP نياز به تعيين يک استراتژي مناسب است. اما قبل از آن به فاکتورهاي “مقصد بازيابي” RPO و “زمان بازيابي” RTO که در BCP در نظر گرفته شده توجه شده و سعي ميشود ارتباط منطقي اي بين آنها و زيرساختها و سيستمهاي فن آوري اطلاعات بر قرار گردد. ضمناً توجه ميگردد که براي هر سيستم استراتژي بازيابي مناسبي در نظر گرفته شود و نهايتاً استراتژي در نظر گرفته شده با بودجه تخصيص يافته همخواني داشته باشد.
استراتژيهاي معمول به اين ترتيب هستند که نسخ پشتيبان بر روي Tape يا Disk قرار گرفته و به صورت Offline يا Online روي سايت بيروني قرار ميگيرند. بهترين حالت داشتن همزمان اطلاعات و سيسمتها در هر دو سايت عملياتي و پشتيبان است که به اين حالت Hot Availability – در دسترس بودن آني گفته ميشود.
در نظر گرفتن عواملي چون، مورد آزمون قرار گرفتن مداوم، بازيابي بر روي سخت افزارهاي مورد نظر، آزمون بهترين و بدترين حالتهاي ممکن در تمام سطوح عملياتي، قرار دادن دستور العملها در محلي امن و در دسترس بودن آخرين نسخه بهروز شده آنها در زمان لازم و قابل استفاده بودن دستورالعمل ها توسط کليه افراد تيم فني از جمله ملاحظاتي هستند که بنا به تجربه بيشتر طرحهايDRP را در نهايت عملياتي، کارآمد و مؤثر خواهند نمود. همچنين براي حصول اطمينان از اجرائي شدن DRP اخذ موافقت مديريت، تفهيم مسئوليت و مشارکت تمام واحدهاي سازماني در موقع بروز بحران – نه فقط IT، تبعيت از استانداردها و الزامات قانوني و نهايتاً تصويب سرفصل بودجه سالانه مختص DRP الزامي است.
تهيه نسخ پشتيبان به صورت online و ايجاد Recovery Pointهاي متعدد و نهايتاً مجازي سازي به عنوان بهترين راهکارها براي بازيابي بحران و تداوم کسب و کار مورد نظر قرار گرفته است. روشهاي سنتي بازيابي اطلاعات عمدتاً مبتني بر دستورالعملهاي کاغذي حجيم و غالباً گيج کننده بود که به روز نگهداري و استفاده از آنها کار بسيار دشوار و طولاني بود.
محصولاتي از قبيل Symantec System Recovery شرکت سيمانتک، “VMware vCenter Site Recovery Manager” و محصولات شرکت Citrix با بهره گيري از مجموعه XenDesktop ،XenApp ،XenServer و NetScaler، مشخصاً سازمانها را قادر ميسازند که با حداقل رساندن زمان وقفه خدمات، مديريت و نظارت متمرکز، امنيت بالا، صرفه اقتصادي، امکان دسترسي و تداوم کار از راه دور، مديريت تغييرات، بازيابي بر روي سخت افزارهاي غير مشابه در دسترس بودن IT تضمين گردد.
سامانه SIEM
کلمه SIEM مخفف عبارت Security Information and Event Management به معنای راهکارهای امنیت اطلاعات و مدیریت رویدادها میباشد و از دو بخش، مدیریت امنیت اطلاعات (SIM) و مدیریت رویداد (SEM) تشیکل شده است.
فناوری SIEM دادههای ورودی سیستم، هشدارهای امنیتی و رویدادها را در یک پلتفرم متمرکز جمع میکند تا تجزیه و تحلیل زمان واقعی برای نظارت بر امنیت را ارائه دهد. به همین دلیل مراکز عملیاتی امنیتی (SOCs) در نرم افزار SIEM سرمایه گذاری کرده است تا کار و عملکرد خود را در سازمان ساده کنند و دادهها را برای پاسخ به حوادث در برابر حملات سایبری و نقض دادهها بررسی کنند.
SIEM چگونه کار می کند؟
نرم افزار SIEM با جمع آوری دادهها و رویداد تولید شده از برنامهها، دستگاهها، شبکهها، زیرساختها و سیستمها به منظور تجزیه و تحلیل و ارائه یک دید کلی از فناوری اطلاعات سازمان (IT) کار میکند.
راه حلهای SIEM میتوانند در محیطهای داخلی یا محیطهای ابری قرار گیرند. با تجزیه و تحلیل همه دادهها در زمان واقعی، راه حلهای SIEM از قوانین و همبستگیهای آماری برای پیشبرد بینش عملی در طول تحقیقات قانونی استفاده میکند. فناوری SIEM تمام دادهها را بررسی می کند و فعالیتهای تهدید را بر اساس سطح خطر طبقه بندی میکند تا به تیمهای امنیتی در شناسایی عوامل مخرب و کاهش سریع حملات سایبری کمک کند.
اولین و ابتداییترین کاربرد SIEM متمرکز ساختن Notification یا اعلانهای امنیتی از تکنولوژیهای مختلف امنیتی به کار رفته در سازمانها مثل فایروالها، سیستمهای IDS/IPS و آنتی ویروسها و.. میباشد.
نقاط دستیابی وایرلس یا همان Access Pointها و همینطور سرورهای Active Directory همگی روزانه هشدارهای امنیتی زیادی را ایجاد میکنند. SIEM می تواند تمامی این موارد را با یک مجموعه از گزارشات و یک سیستم متمرکز شده برای ایجاد Notificationها در یک مکان جمع آوری کرده وبه کار بگیرید که به این راهکار، راهکار تجمیع Logها میگویند.
دومین کاربرد اصلی SIEM فراهم کردن logging و گزارش گیری برای اهداف تطبیق پذیر میباشد.
تقریبا به ازای هر یک از مقررات تطبیق پذیری، الزاماتی برای Log کردن دسترسی کاربر، ردیابی تغییرات سیستم و مانیتور کردن پایبندی به سیاستهای سازمانی وجود دارد.
راهکار SIEM میتواند این taskها را بسیار آسانتر کند و این کار را با جمع آوری داده از تمامی سیستمهای شما انجام میدهد. وقتی زمان ممیزی یا امتحان برسد شما میتوانید به سادگی گزارشات تطبیق پذیری مناسبی را ایجاد کنید و آنها را به افراد مناسب ارسال کنید.
سومین کاربرد SIEM که از مهمترین کاربرد آن میباشد همبستگی متقابل یا Cross-Correlation و تجزیه و تحلیل خودکارسازی شده از تمامی Logهای رخداد خام از سرتاسر شبکه شما است.
زمانی که SIEMها به دنبال مشکلات مختلف امنیت سایبری میگردند در حالت عادی کسی متوجه آنها نمیشود. و این کار را با جمع آوری داده از چندین منبع متفاوت انجام میشود. برای انجام این فرایند و همبستگی و تجزیه و تحلیل، آوردن Logهای امنیتی به SIEM بسیار مهم است.
فرض کنید SIEM شما یک هشدار از IDS دریافت میکند و به شما میگوید که یک حمله SQL Injection را در یکی از سرورهای شما شناسایی نموده است. خوب این یک اعلان نگران کننده است اینها هشدارهایی هستند که ممکن است نیمه شب شما را از خواب بیدار کنند البته با فرض اینکه SQL Server داشته باشید. بسیاری از SIEMها نوع سروری که اجرا میکنید را مدنظر قرار نمیدهند که همین کار باعث بروز خطاهای زیادی در اعلام هشدار میشود و این خطاها عملا SIEM شما را بی فایده میکنند.
در مقابل راهکار SIEM حقیقی، پیکربندی کامل، برنامههای کاربردی در حال اجرا و اطلاعات دیگر را از تمام دستگاههای دیگر دریافت میکند تا به اعلانها و Notificationها اضافه کند. این راهکار به SIEM این توانایی را میدهد که متوجه تغییرات دستگاهها، مانند روترها، و فایروالها شود و در صورت رخ دادن تغییرات غیر مجاز Notification ایجاد کند.
یک راهکار کامل همچنین Feedهای هوش تهدیدات، لیستهای سیاه و دادههای معین شده موقعیت فیزیکی را با هم ترکیب میکند تا دقت عمل را بیش از پیش افزایش دهد و اطمینان حاصل گردد که Notificationها عملی هستند و خطاها در اعلام هشدار به طور چشمگیری کاهش مییابد.
اکثر بدافزارها و دیگر ابزارهای متداول هکرها دارای رمزگذاری Built-in هستند تا از این سیستمها عبور کنند.
با وجود اینکه، اینها راهکارهایی عالی برای نیازهای خاص هستند. قطعا نیاز به SIEM را از بین نبرده و حتی آن را کاهش هم نمیدهند.
دلایل بسیار زیادی برای داشتن یک SIEM وجود دارد. اول از همه برای از بین بردن نقاط کور باید تمامی اطلاعات امنیتی و رخدادهای خود را در یک مکان واحد جمع آوری کرد و باید بتوانید بدون اینکه توسط اعلام هشدار درگیر خطا شوید، رفتارهای مشکوک را شناسایی کنید.
تجزیه و تحلیل دقیق و همبستگی، به شما این توانایی را میدهد که پیش از اینکه این مشکلات تبدیل به نقض امینتی شوند، آنها را شناسایی کنید. قابلیت دید جامع از طریق یک SIEM به شما این توانایی را میدهد که سیاستهای سازمانی را مانتیور و اعمال نمایید.در نهایت، الزامات مبتنی بر مقررات، از جمله PCI و HIPAA و FFIEC عملا از شما می خواهند که SIEM را در سازمان و یا اداره خود داشته باشید.
- تشخیص در زمان واقعی در سراسر محیط
- راه حل مدیریت مرکزی برای سیستم های مختلف و داده های ورود به سیستم
- هشدارهای مثبت کاذب کمتر
- کاهش متوسط زمان تشخیص (MTTD) و زمان متوسط پاسخ (MTTR)
- جمع آوری و عادی سازی دادهها برای تجزیه و تحلیل دقیق و قابل اعتماد
- دسترسی آسان و جستجو در دادههای خام و تجزیه شده
- قابلیت نقشه برداری عملیات با چارچوب های موجود مانندMITER ATT & CK
- تضمین رعایت انطباق با قابلیت مشاهده در زمان واقعی و ماژولهای سازگاری از پیش ساخته شده
- داشبورد سفارشی و گزارش موثر
هانی پات ( HoneyPot ) تله ای برای هکرها
هانی پات سیستمی است که اطلاعات غیر واقعی را در اختیار نفوذگر قرار می دهد و به صورت عمد در شبکه قرار می گیرد تا هدف نفوذگران از نفوذ به سیستم هارا مشخص و برملا کند و ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.
Honeypot ها به خودی خود یک راه حل به شمار نرفته و هیچ مشکل امنیتی خاصی را حل نمی کنند، بلکه ابزارهای بسیار انعطاف پذیری هستند که کارهای مختلفی برای امنیت اطلاعات انجام می دهند.
در شبکه های بزرگ برای مدیریت بهتر از چندین سرویس هانی پات استفاده می شود و در صورتی که چندین یک از آن ها بر روی سیستم مورد نظر نصب شود یک هانی نت به وجود خواهد آمد.
مشکلات هانی پات برای هکرها:
هانی پات می تواند با استفاده از شبیه سازی سرویس های مختلف، کار نفوذگر را سخت و تله برای آن ها ایجاد کند؛ اگر سرویس هانی پات را در شبکه خود راه اندازی کنید و نفوذگر قصد نفوذ به شبکه شما را داشته باشد در زمان تست و اقدام به نفوذ با سرویس های مختلف مجازی و غیر واقعی مواجه خواهد شد.
برای مثال : یک سرویس FTP که به صورت فیک با ورژن های قدیمی و آسیب پذیر وجود دارد را مشاهده می کند و با تلاش های خود برای نفوذ وارد تله خواهد شد و آی پی نفوذگر برای مدیر سرور ذخیره می شود و میتواند این اطلاعات برای عملیات فارنزیک بسیار کاربردی باشد.
هانی پات ها می توانند یک ابزار بسیار فوق العاده برای محققان امنیتی باشند زیرا می توانند با استفاده از این سرویس از متد های استفاده شده توسط نفوذگران مطلع شوند به این صورت که سرویس هانی پات تکنیک های نفوذگر را مانیتورینگ و ضبط می کند و اطلاعاتی مانند کاراکترهای وارد شده در URL و متد های استفاده شده توسط نفوذگر را در اختیار ادمین اصلی قرار می دهد .
هانی پات ها در تشخیص حملات بسیار موثر هستند، زیرا درصد اشتباه کردن این سرویس بسیار پایین است به این دلیل که مکانیزم های امنیتی موجود دیگر مانند آنتی ویروس ها ممکن است هشدار های زیادی به شما دهند در صورتی که هیچ خطری شما را تهدید نمی کند اما هانی پات ها درصد اشتباه کمتری نسبت به دیگر مکانیزم های امنیتی دارند و دلیل آن این است که هانی پات ها به صورت پیش فرض غیرمجاز تعریف شده اند و اگر کسی به این سرویس حمله انجام دهد به راحتی قابل تشخیص است و نکته قابل توجهی که وجود دارد این است که برخی از آن ها ممکن است از ipv6 پشتیبانی کند در صورتی که دیگر مکانزیم های امنیتی مانند فایروال ها کمتر از آی پی ورژن 6 پشتیبانی می کنند. این سرویس ها بسیار انعطاف پذیر هستند و به راحتی می توان در محیط های مختلف از ان ها استفاده کرد و منابع بسیار کمی احتیاج دارند ، که حتی می توان از یک سیستم ضعیف هم هم برای این کار استفاده کرد.
- پیدا کردن نفوذگر
- جلوگیری از حملات
- پیدا کردن مشکلات امنیتی
- بالا بردن امنیت شبکه
- سخت کردن مراحل نفوذ به شبکه
- ایمن کردن سرویس های فعال
- گمراه کردن نفوذگر
دسته بندی هانی پات
کم واکنش
میان واکنش
پر واکنش
سامانه مدیریت دسترسی PAM
امروزه مدیران ارشد سازمان ها برای بالا بردن سطح امنیت و حفاظت از دارایی های اطلاعاتی خود سرمایه گذاری ویژه ای میکنند و از محصولات و راه کار های متنوعی بهره می برند. برای مثال: درگاه های شبکه را به انواع دیوار های آتش، IPS، WAF، UTM و. …. مجهز می کنند. حتی از روش ها و استاندارد های امنیتی، مانند: PCI-DSS و ISO27001 بهره می گیرند. اما در نهایت برای اینکه کار سازمان به انجام برسد به ناچار مجبور هستند دسترسی های سطح بالا، به سامانه های اطلاعاتی، نرم افزارها، سخت افزار ها و سرور های سازمان را به پیمانکار و یا افرادی بسپارند که شاید به صورت تمام و کمال مورد اطمینان و وثوق شان نباشند.
آمار ها نشان می دهند که در سازمان های بزرگ، ریسک ها و تاثیر آسیب هایی که این افراد به مجموعه وارد می کنند بسیار قابل تامل است. فارغ از اینکه علت و انگیزه چه میتواند باشد و یا اینکه حوادث رخ داده عمدی بوده اند یا سهوی، نتیجه و تاثیر بسیاری از وقایع غیرقابل جبران است.
Privileged Access Managementبه اختصار PAM به سامانه هایی گفته می شود که حساب کاربرانی را که دارای مجوز دسترسی به منابع مهم و شرکتی هستند، به طور ایمن مدیریت می کنند. اینها ممکن است مدیران سیستم ها، دستگاهها، برنامه ها و سایر انواع کاربران باشند.
حسابهای کاربری ممتاز (Privileged Accounts) اهداف بسیار بالایی برای مجرمان اینترنتی است. این به این دلیل است که آنها مجوزهای بالایی را در سیستم ها دارند و به آنها امکان دسترسی به اطلاعات بسیار محرمانه و یا تغییر در سطح مدیریتی در برنامه ها و سیستم های مهم ماموریت را می دهند. در سال گذشته، ۴۴ درصد از نقض داده ها مربوط به اکانتهاب سطح بالا بوده است.
معرفی برخی از قابلیت های PAM
- طبقهبندی کاربران و تعیین دسترسی مشخص به هر کدام که میتوانند دسترسی محدود یا دسترسی بالا داشته باشد
- عدم نیاز به پسوردهای مستقیم برای استفاده از منابع مشخص شده برای هر کاربر
- ایجاد سیستم نظارت مداوم برای کاربران بصورت ضبط تصویر یا ذخیره دستورات وارد شده
- محدودسازی کاربران بعد از اتصال به منابع تعریف شده بر اساس پروتکلهای استاندارد، مانند عدم استفاده از Clipboard
- ایجاد تاریخچه عملکرد هر کاربر بر اساس (منابع استفاده شده، تاریخ، ساعت، مدت زمان اتصال و ...)
- امکان قطع یک ارتباط باز توسط مدیر سامانه
- محافطت در برابر مجرمان سایبری و محافظت در برابر حملات داخلی