امنیت در نقاط پایانی، چالش جدید سازمان ها

خبرها 23 ارديبهشت 1397
امن­ سازی نقاط پايانی:

برای مقابله با تهديدات فوق در سطح کلاينت، نمی­توان تنها به آنتی­ويروس، فايروال شخصی يا ديگر کنترل­ها خدمات شبکه به طور جداگانه اکتفا نمود. راه حل­ امنيت نقاط پايانی که با عنوان Endpoint Protection Platform هم شناخته می­شود، فراتر از يک آنتی ويروس بوده و مجموعه­ای از امکانات امنيتی از جمله ضد بدافزار، فايروال شخصی، کنترل برنامه، تشخيص نفوذ و پيشگيری از نشت اطلاعات (DLP) و کنترل درگاه­ها را در يک بسته نرم­افزاری با قابليت مديريت متمرکز، فراهم می­کنند.



کنترل رفتار برنامه­ها، شامل شناسايي رفتارهای مشکوک و جلوگيری از رفتارهای مخاطره آميز، نيز توسط اين محصول انجام شده و نقش مهمی در شناسايي بدافزارها و تهديدهای جديد ايفا نمايد. محافظت از ساختار سيستم عامل، رجيستری و ديگر بخش­های حساس کلاينت، پيشگيری از اجرای برنامه­های خاص مثل فيلترشکن، جلوگيری از آپلود يا دانلود فايل­های محرمانه، فيلترينگ پشتیبانی شبکه فايل­ها و سايت­ها و مقابله با برخی حملات فيشينگ از ديگر امکانات آن است.

علاوه بر اين، دسترسی به تمام درگاه­ها و تجهيزات سخت افزاری از جمله USB، CD/DVD ، دسترسی به فايل­ها و دايرکتوری­ها، نحوه دسترسی به سايت­های اينترنتی و غيره با استفاده از اين محصول قابل مديريت است.

محصول Endpoint Security می­تواند در نقش يک حسگر امنيتی کلاينت در معماری امنيت شبکه میکروتیک قرار گرفته و مجموعه ای از اطلاعاتی که در دسترس فايروال، مسيرياب و غيره نيست را جمع آوری کند. يکپارچه شدن اين محصول با راه حل­هايي چون UTM[1] و مانيتورينگ امنيت، قابليتی است که در برخی برندهای توليدکننده UTM موجود بوده و يک مزيت بزرگ برای مديريت امنيت سازمان به حساب می­آيد.
ادامه خبر

امنیت در محیط های رایانش ابری و مجازی

خبرها 22 ارديبهشت 1397
اگر محاسبات را بعنوان عنصر اساسي پنجم فرض کنيم، آنگاه مي‌توانيم آن را مانند عناصر ديگر همچون آب مدل‌‌سازي نماييم. در اين مدل، کاربران سعي مي‌کنند بر اساس نيازهايشان و بدون توجه به اينکه سرويس در کجا قرار دارد و يا چگونه تحويل داده مي‌شود، به آنها دسترسي يابند.

در رويکرد سنتي، سازمانها امنيت را با استفاده از مکانيسم‌ها خدمات شبکه و سياست‌هاي امنيتي مختلف براي سازمان خود فراهم مي‌آوردند و دارايي خود را در پشت فايروال، سيستم‌هاي پيشگيري از نفوذ، و ... پنهان مي‌کردند. امروزه با ظهور رايانش ابري، داده‌هاي شخصي و خصوصا سازمان‌ها در توده ابري قرار مي‌گيرند که محل آن مشخص نيست.

امنيت محاسبات ابري، زيرمجموعه‌اي از امنيت کامپيوتر، امنيت شبکه و حتي بصورت گسترده‌تر امنيت اطلاعات است که به مجموعه‌اي از خط مشي‌ها، تکنولوژي‌ها، و کنترل‌هايي اشاره دارد که براي محافظت از داده‌ها، برنامه‌ها، و زيرساخت مربوط به رايانش ابري اشاره دارد.


رايانش ابری: نگراني‌هاي امنيتی

بيشترين استفاده از تکنولوژي مجازي‌سازي، پياده‌سازي زيرساخت رايانش ابري است که منجر به مشکلات امنيتي براي مشتريان مي‌شود. مجازي سازي، رابطه بين سيستم عامل و سخت‌افزار مربوطه را تغيير مي‌دهد. بنابراين يک لايه ديگر به نام مجازي سازي اضافه مي‌کند که بايد به درستي پيکربندي، مديريت، و امن سازي شود.

يکسري نگراني در مورد رايانش ابري وجود دارد. اين نگراني‌ها در دو دسته قرار مي‌گيرند: مسائل امنيتي که از جانب ارائه دهنده سرويس رايانش ابري است (سازمان‌هايي که از طريق سرويس ابري، زيرساخت، نرم‌افزار و پلت فرم ارائه مي‌دهند)، و مسائل امنيتي که از جانب مشتريان است. شرکت ارائه دهنده سرويس ابري بايد مطمئن باشد که زيرساخت آن، امن است و داده‌ها و برنامه‌هاي مشتريان، محافظت شده هستند.

در زير به برخي از رايج‌ترين نگراني‌هاي امنيتي که در خصوص رايانش ابري وجود دارد اشاره شده است:
•    مکان داده‌ها: سازمان‌ها در زمان استفاده از اين تکنولوژي، اطلاع دقيقي از محل پشتیبانی شبکه ميزباني داده‌ها ندارد. حتي ممکن است نداند که داده‌ها در کدام کشور ذخيره شده‌اند. لذا سرويس دهندگان بايد درباره پاسخگو باشند که آيا داده‌ها در مکان‌هاي خاصي و يا با شرايط قضايي خاصي ذخيره سازي و پردازش مي‌شوند و اينکه آيل تعهدي در خصوص رعايت نياز مندي‌هاي مربوط به حفظ حريم خصوصي مشتريان متقبل مي‌شوند؟

•    تفکيک داده: با توجه به اينکه داده‌ها در توده ابر در يک محيط اشتراکي ذخيره مي‌شود، ارائه دهنده سرويس بايد از عدم دسترسي مشتريان به داده‌هاي يکديگر مطمئن شوند. لذا استفاده از مکانيزم‌هاي رمز نگاري مي‌تواند تا حدي موثر باشد. در اين خصوص سرويس دهندگان بايد بتوانند مدارکي در خصوص الگوهاي رمزنگاري طراحي شده و ارزيابي شده توسط متخصصان با تجربه ارائه کنند.

•    در دسترس بودن شبکه: ارزش رايانش ابري تنها زماني مي‌تواند مشخص شود که ارتباطات شبکه‌اي میکروتیک و پهناي باند شما، با حداقل نيازهاي شما سازگار باشد بنابراين بايد هر زماني که نياز داشتيد، داده‌ها و سرويس‌ها در دسترس باشد. اگر اينگونه نباشد، نتايج آن مشابه وضعيت حمله انکار سرويس (DoS) است.

•    تعهد ارائه دهندگان رايانش ابري: از آنجائيکه ارائه سرويس رايانش ابري، جز کسب و کارهاي جديد است، لذا درباره حيات آنها سوال وجود دارد و سازمان‌ها بايد از تعهد و التزام آنها به ارائه سرويس مطمئن شوند.

•    تداوم کسب و کار و بازيابي اطلاعات: کاربران نياز دارند که مطمئن باشند که عمليات و سرويس‌هاي آنها ادامه دارد حتي اگر محيط رايانش ابري، دچار مشکل شود. يک سرويس دهنده بايد بتواند پاسخکوي اين مسئله باشد که در صورت وقوع يک سانحه، چه اتفاقي بر سر داده‌هاي مشتريان خواهد آمد. ارائه دهنده سرويس بايد پاسخگو باشد که در صورت بروز مشکل، توانايي بازگرداندن سرويس ها را دارد يا نه؛ و اينکه اين کار چه مدت طول خواهد کشيد.

•    حفظ حريم خصوصي: ارائه دهندگان سرويس‌هاي ابر، مي‌توانند کنترل و نظارت کامل قانوني و يا غير قانوني بر روي داده‌ها و ارتباطات بين کاربران سرويس و ميزبان ابر داشته باشند. لذا اطمينان از حفظ حريم خصوصي يکي از چالش‌هاي اساسي در امنيت است.

•    ريسک‌ها و آسيب پذيري‌هاي جديد: تمام تجهيزات سخت‌افزاري، نرم‌افزاري، و شبکه، آسيب پذيري‌هاي پسیو شبکه جديدي را بوجود آورده‌اند. يکسري نگراني وجود دارد که محاسبات ابري، دسته‌اي از ريسک‌ها و آسيب‌پذيري‌هاي جديد را بوجود آورد که تا کنون ناشناخته باشد. 


راه حل‌هاي ارائه شده

مسئله اصلي اين است که بيشتر مشکلات بخاطر اين است که ما نمي‌توانيم داخل ابر را ببينيم. بنابراين نياز اصلي کاربران براي کاهش ريسک‌هايي که با آن مواجه هستند، مشاهده درون ابر است. راه حل‌های زیادی برای این موضوع وجود دارد که در زیر به برخی از راه حل‌هاي ارائه شده در اين مقاله، اشاره شده است:

•    استفاده از SLA دقيق و وجود ضمانت قابل قبول براي رعايت آن 
•    وجود تضمين مناسب براي تداوم فعاليت تجاري
•    داشتن برنامه  Disaster Recoveryاز سوي ارائه دهنده و تضمين آن
•    بيان جزييات مربوط به سياست‌هاي امنيتي و پياده سازي‌هاي انجام شده از سوي ارائه دهنده خدمات رايانش ابري
•    ارائه اطلاعات کامل زيرساختي در زمان انجام مذاکرات خدمات شبکه و نيز در هر لحظه از طول دوره ارائه خدمات رايانش ابري
•    انجام تست‌هاي نفوذ بطور منظم و دوره‌اي
ادامه خبر

معرفی مركز عملیات امنیت شبكه (SOC)

خبرها 22 ارديبهشت 1397
 طرح مسئله
ترکيب تکنولوژي‌هاي مختلف با هدف برآورده نمودن نيازمندي‌هاي کسب و کار، سازمان را با چالش‌هايي جديد روبرو نموده است، چرا که عموماً هيچ روش يا مکانيزمي با هدف جمع آوري، نرمال سازي، مرتبط سازي و اولويت‌بندي ميليون‌ها رخداد گزارش شده از سوي تکنولوژي‌ها و سامانه‌هاي مختلف وجود ندارد. در چنين وضعيتي استفاده از تکنولوژي‌هاي پسیو شبکه مختلف و نامتجانس جز افزايش سربار فعاليت‌هاي امنيتي سازمان، مضاعف شدن اين فعاليت‌ها، ايجاد مدل‌هاي امنيتي ضعيف و عدم موفقيت فرايندهاي مميزي، نتيجه‌اي به همراه نخواهد داشت.
در چنين وضعيتي، مرتبط¬سازي بلادرنگ وقايع مختلف (که توسط تجهيزات و ابزارهاي مختلفي توليد شده‌است) و شناسايي يک حمله يا نفوذ مشخص، بسيار مشکل و عموما غيرممکن مي‌باشد. علاوه بر اين، تحليل‌هاي پس از وقوع حوادث نيز بسيار کند انجام خواهند شد چرا که ترکيب اطلاعاتي که به روش‌هاي متفاوت در ابزارها و تجهيزات مختلف نگهداري مي‌شوند، کاري بسيار زمان بر و پرهزينه است و سوالات زير در اين خصوص مطرح ميگردد:
•    چگونه ميتوان ميليون‌ها واقعه‌اي که روزانه توسط سيستم‌ها، نرم افزار‌هاي کاربردي و کانال‌هاي کسب و کار مختلف توليد مي‌شوند را جمع آوري، نرمال و به يکديگر مرتبط ساخت؟
•    چگونه اين وقايع را ميتوان اولويت‌بندي کرد؟
•    در چنين وضعيتي، چگونه با توليد گزارشات مناسب پشتیبانی شبکه ميتوان رعايت قوانين و مقررات، استانداردها و بهترين تجربيات امنيتي را تضمين نمود؟
•    چگونه مي‌توان از محافظت مناسب دارايي‌هاي با ارزش سازمان اطمينان حاصل نمود؟
•    و بالاخره، چگونه ميتوان تصويري کامل از وضعيت امنيتي شبکه سازمان ارائه نمود؟
ارائه راه حل
مرکز کنترل و عمليات امنيت SOC، ديدي بلادرنگ و جامع نسبت به وضعيت امنيت شبکه سازمان ايجاد مي‌نمايد. در واقع، اين مرکز بواسطه اطلاع رساني‌هاي اتوماتيک خدمات شبکه حوادث و وقايع، توليد گزارشات جزئي و کلي، پاسخ‌دهي اتوماتيک به حوادث و وقايع، رويکردي پيشگيرانه را در جهت مديريت ريســـک‌هاي امنيتي ايجاد خواهد نمود.
همچنين، اين مرکز، وقايع و حوادث را اولويت‌بندي مي‌نمايد، دارايي‌هاي متاثر شده از وقايع اتفاق افتاده را مشخص نموده و راهکارهاي اصلاحي و يا پيشگيرانه را پيشنهاد داده و يا در مواردي از پيش تعيين شده، اجرا مي‌نمايد.
اين مرکز، با ارايه گزارشاتي در سطوح مختلف، نيازمندي‌هاي مربوط به فرايندهاي مميزي و همچنين ارزيابي بخشي از ريسک‌هاي عملياتي زيرساخت شبکه را برآورده مي‌نمايد.
در واقع، مرکز عمليات امنيت شبکه, مکاني است براي جمع‌آوري اطلاعات و تجزيه تحليل آنها جهت پياده سازي استراتژي‌هاي امنيتي، همچون:
•    جلوگيري از حملات مبتني بر شبکه
•    جلوگيري از حملات مبتني بر ميزبان
•    شناسايي و جلوگيري از حملات پيچيده و ترکيبي
•    تشخيص و رفع آسيب پذيريهاي امنيتي تجهيزات
•    ايجاد ابزاري جهت به حداقل رساندن زيان و ضرر اقتصادي

نگاهي کلي به مرکز عمليات امنيت شبکه
مرکز عمليات امنيت، مجموعه اي از عوامل تکنولوژيک، فرآيندها و عوامل انساني است که به صورت پيوسته، رخدادهاي امنيتي میکروتیک را از تجهيزات مختلف و ناهمگون شبکه جمع¬آوري را براي شناسايي وقايع امنيتي آناليز مي نمايد. 
مزايا و قابليت هاي مرکز عمليات امنيت
با توجه به موارد ذکر شده در بخش هاي قبلي، مي توان مزايا و قابليت هاي زير را براي مرکز عمليات امنيت شبکه برشمرد:
•    مديريت و پايش امنيت تجهيزات، شبكه‌هاي ارتباطي و رايانه‌ها، به صورت 24 ساعته
•    مديريت و مانيتورينگ لحظه‌اي تهديدات
•    جمع آوري و آناليز ترافيک شبکه
•    پاسخ دهي به مشکلات و رخدادهاي امنيتي
•    بهبود در اجراي خط مشي ها و استانداردهاي امنيتي
ادامه خبر

مقاله چالش های پیاده سازی سیستم مدیریت امنیت اطلاعات از دیدگاه اثربخشی

خبرها 21 ارديبهشت 1397
با ارائه اولين استاندارد مديريت امنيت اطلاعات، نگرش سيستماتيک به مقوله ايمن‌سازی فضای تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضای تبادل اطلاعات سازمان ها، دفعتا مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان خدمات شبکه بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد:

1-      تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان
2-      ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
3-      اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان
و در نهايت اقدام به پياده سازي سيستم مديريت امنيت اطلاعات نمايد .


1    چالش هاي منجر به شکست پروژه ISMS 

پياده سازي هر سيستم مديريتي در يک سازمان با موانعي روبروست. گاه اين موانع آن چنان جدي است که عملا پياده سازي سيستم را غير ممکن مي سازد. به هر حال بايد در نظر داشت که مي توان با شناخت چالش ها و اقدام در جهت بر طرف سازي آنها مسير را در حرکت به سمت آن هموار کرد.
مهمترين موانع پيش رو در پياده سازي ISMS عبارتند از :

1-1    مشکلات مديريتی

•    عدم ثبات مديران در سازمان ها هميشه از مشکلات اساسي در پروژه ها مي باشد .اين تغييرات از لايه مديران مياني تا لايه مديريت کلان سازمان، مي تواند صورت گيرد.
•    عدم تعهد مديريت - تعهد مديريت اصلي ترين بحث در شکل گيري ISMS مي باشد. هدف ISMS ايجاد يک سيستم مديريتي پشتیبانی شبکه است حال اگر مديريت تعهدي نسبت به اجرايي شدن ISMS نداشته باشد پياده سازي آن نه تنها به بهبود امنيت در سازمان کمک نمي کند بلکه سازمان را مختل نيز خواهد کرد.


1-2    مشکلات کارکنان

•    عدم آگاهي مناسب منابع انساني- پيش از پروژه ISMS آگاهي لازم به کارمندان داده نمي شود.
•    کمبود منابع انساني متخصص – عدم حضور نيروي متخصص در حوزه فناوري اطلاعات در سازمان، مشکلات بسياري را از ابتدا تا انتهاي پروژه به همراه خواهد داشت .
•    مقاومت کاربران در برابر تغيير
•    عدم برقراري ارتباط موثر -مديران امنيت اطلاعات مي بايست قادر به ارتباط موثر با کاربران نهايي و از طرف ديگر مديران ارشد و هيئت مديره باشند.


1-3    مشکلات سازمانی

•    عدم بلوغ سازماني - عدم بلوغ سازماني در بکار گيري سيستم مديريتي از مهمترين موانع در ايجاد ISMS در هر سازمان محسوب مي شود. 
•    تغيير ساختار سازماني – تغيير محدوده و ادارات انتخاب شده در پروژه و گاهي تلفيق و جدا سازي ادارات از ديگر مشکلات پياده سازي است 
•    عدم استفاده از مشاور مناسب - انتخاب مناسب پيمانکاري که تخصص لازم را داشته باشد و متدولوژي مناسبي در پياده سازي ارايه دهد 
•    نداشتن متولي ISMS در سازمان- به دليل ماهيت پروژه که موضوع امنيت است معمولاً در سازمان ها اداره حراست مسئوليت پروژه را بر عهده مي گيرد در صورتيکه سهم بيشتر اين پروژه مربوط به IT است . 
•    عدم تخصيص بودجه مناسب- بسياري از مديران از انتخاب معيار مناسب جهت تعيين رقم بودجه غافل مي شوند و با صرف هزينه کمتر و عدم تخصيص بودجه مناسب براي پروژه شرايط نامناسبي را فراهم مي کنند.


1-4    مشکلات فني :

•    وجود نرم افزار هاي قديمي و سيستم عامل هاي غير اورجينال - از نقطه نظر فني وجود نرم افزار هاي قديمي و سيستم عامل پسیو شبکه هاي غير اورجينال يکي از جدي ترين چالشهاي امنيتي به شمار مي رود. 
•    عدم وجود الگوي مناسب توسعه با ديدگاه فناوري اطلاعات ، اين مساله باعث عدم مکانيزه شدن بسياري از فرايند هاي سازمان و در نتيجه عدم امکان پياده سازي مناسب سيستم امنيت اطلاعات خواهد شد.


1-5    مشکلات مناقصه

در پروژه هاي سيستم مديريت امنيت اطلاعات، محصول نهايي در انتهاي پروژه تحويل کارفرما نمي شود و ماهيت پروژه ايجاد سيستم و جاري ساختن اين سيستم در سازمان است. کارفرما با بيان نيازمندي هاي خود و شرکت کنندگان در مناقصه با توصيف روشي جهت پوشش دهي آنها در مناقصات شرکت مي کنند . ار آنجائيکه برداشت متفاوتي از اين نيازها و الزامات مي شود، شرکت کنندگان پروپزالهاي متفاوتي ارائه مي دهند و در نتيجه قيمت هاي پيشنهادي متفاوتي ارائه مي شود که اين مسئله باعث مي شود، قيمت کمتر در مناقصه برنده شود و انتخاب درستي براي پيمانکار صورت نگيرد .


2    نتيجه گيري:

مشكلات مديران امنيت اطلاعات اين است كه بسياري از مواقع مجبور مي شوند نقش يك متخصص فني با ديدگاه مديريتي فرمان دهنده را بپذيرند.
آن ها معمولا تصميمات مربوط به امنيت اطلاعات را بدون درگير كردن يا مذاكره با كاركنان مي گيرند.، مديريت خوب فناوري اطلاعات به طور فزاينده بستگي به انسان ها و همچنين فرآيندها و ملاحظات فني دارد.
مديران امنيت فناوري اطلاعات به طور فزاينده براي جايگزيني رويكرد كنترلي با يك سبكي كه بيشتر دانشگاهي باشد، فعاليت دارند. اين شامل كمك میکروتیک به كاربر نهايي و بحث و مذاكره و تصميم گيري در مورد مسائل امنيت اطلاعات است.
متاسفانه تحقيقات نشان داده است كه اين دو نقش گاهي اشتباه گرفته مي شود و اين مي تواند به تناقضاتي در پيام هايي كه به كاربران نهايي فرستاده مي شود بيانجامد. مديران امنيت اطلاعات از برخي از مشكلات ذاتي در سازمان، آگاه هستند. از طرفي اگر آن ها يك دستور را بگيرند و وضعيت را كنترل كنند پس از آن موقعيت آنها به گونه اي مي شود كه بيشتر توجهشان معطوف به كاربر نهايي شده و كمتر مي توانند به خود توجه داشته باشند.

از سوي ديگر اگر مدير امنيت اطلاعات يك رويكرد بيشتر دانشگاهي و مبني بر اختيار كاربر نهايي براي تصميم گيري بيشتر با توجه به امنيت اطلاعات داشته باشد، پس از آن احتمال رخ دادن حوادث (حداقل در كوتاه مدت) بيشتر خواهد شد و اشتباهات بيشتري به وجود مي آيد.

اين حالت نياز به پذيرش و شايد سرمايه گذاري بيشتر براي بهبود آن را دارد. مصاحبه با مديران امنيت اطلاعات نصب شبکه اشكار كرد كه آن ها برروي صحبت، ارائه و تقويت ايده ها تمركز دارند ولي توجهي به گوش دادن به كاربر نهايي ندارند. در نهايت پياده سازي سيستم مديريت امنيت اطلاعات به صورت يک پروژه نيست، که روزي شروع و روزي پايان داشته باشد . ISMS يک سيستم است که بايد از همان ابتدا در لايه هاي داخل سازمان نفوذ کند و امنيت ايجاد شده در سالهاي متوالي توسط کميته هاي راهبردي و استراتژيک سازمان بهبود يابد
ادامه خبر

استانداردهای امنیت اطلاعات

خبرها 20 ارديبهشت 1397
امروزه در دنیای توانمند فناوری تکنولوژی، "اطلاعات" دارایی حياتي برای کسب و کار سازمانها محسوب می شود. بنابراین تامین امنیت آنها بسیار مهم خواهد بود. عبارت "امنیت اطلاعات"، 
تنها به موضوع ساده حفاظت از نام کاربری و رمز عبور ختم نمی شود؛ مقررات و حریم خصوصی یا خط مشی های حفاظت از اطلاعات مختلف، یک تعهد پویا را برای سازمان ها به وجود مي آورد. 
در عین حال ویروسها، تروجان ها، فیشرها و ... برای سازمان تهدید به حساب می آیند. همچنین هکرها باعث به وجود آمدن خسارات زیادی برای سازمان می شوند، مانند دزدی اطلاعات 
مشتریان، جاسوسی استراتژی های کسب و کار به نفع رقبا، از بین بردن اطلاعات مهم سازمان خدمات شبکه که هر یک از آنها به تنهایی می تواند صدمات جبران ناپذیری را متوجه سازمان ها نماید.
 از این رو استفاده از یک سیستم مدیریت امنیت اطلاعات(ISMS )  مناسب برای مدیریت موثر دارایی های اطلاعاتی سازمان الزامی به نظر می رسد. 

ISMS شامل مجموعه ای از خط مشی ها به منظور فراهم نمودن مدلی برای ایجاد، توسعه و نگهداری امنیت منابع اطلاعاتي از جمله دارايي هاي نرم افزاري و سخت افزاري مي باشد. این خط مشی ها به منزله راه های امنی هستند که از طریق آنها منابع اطلاعاتي می توانند مورد استفاده قرار بگیرند. 

استانداردهای مختلفی در زمینه فناوري اطلاعات و ارتباطات وجود دارد که منجر به امنیت اطلاعات می شوند، مانند: PRINCE2OPM3CMMIP-CMMPMMMISO27001PCI DSS,COSOSOAITIL و COBIT. اما بعضی از این استانداردها به دلایل مختلف چندان مورد استقبال سازمان ها قرار نگرفته. در اینجا به بررسی چهار استاندارد برتر دنیا می پردازیم 
که به طور گسترده در زمینه چارچوب، ساختار و امنیت فناوري اطلاعات مورد استفاده قرار می گیرند. این چهار استاندارد برتر شامل: ISO 27001, PCI DSS, ITIL و COBIT هستند. 
در ادامه به بررسي و نگاهی اجمالی به کلیات هریک از این چهار استاندارد مي پردازيم:

ISO27001:
استاندارد بین المللی ISO27001 الزامات ایجاد، پیاده سازی، پایش، بازنگری، نگهداری و توسعه ISMS در سازمان را مشخص می کند. این استاندارد برای ضمانت انتخاب کنترلهای امنیتی
 به جا و مناسب برای حفاظت از دارایی های اطلاعاتی، طراحی شده است. زمانی که یک سازمان موفق به دریافت گواهینامه مربوط به استاندارد ISO27001 می گردد، به این معنی ست که
 آن سازمان توانسته امنیت را در زمینه اطلاعات خود مطابق با بهترین روش های ممکن مدیریت نماید. این استاندارد (بخصوص نسخه 2013 آن) برای پیاده سازی در انواع سازمان های دولتی، 
خصوصی، بزرگ و یا کوچک مناسب است. در ایران با توجه به تصویب سند افتا توسط دولت و الزامات سازمان هاي پسیو شبکه بالادستي در صنعت هاي مختلف، کلیه سازمان ها و نهادهای دولتی، ملزم به پیاده سازی
 ISMS گرديده و اکثر این سازمان ها به پیاده سازی الزامات استاندارد ISO27001 رو آوردند.

علاوه بر این که استاندارد ISO27001 خود حاوی کنترل های امنیتی جامعی جهت تضمین امنیت سازمان است، همچنین می تواند به عنوان یک بستر مدیریتی جهت پیاده سازی کنترل های
 امنیتی بیشتری که در استانداردهای دیگر وجود دارد، مورد استفاده قرار گیرد.

PCI DSS:
استاندارد امنیت اطلاعات در صنعت کارت پرداخت (PCI DSS) یک استاندارد امنیت اطلاعات جهانی است که توسط انجمن استانداردهای امنیت صنعت کارت پرداخت برای افزایش امنیت کارت های اعتباری
 ایجاد شد. این استاندارد اختصاصاً برای سازمان هایی مفید است که در زمینه کارت های اعتباری، کیف الکترونیک، ATM، POS و... اطلاعات مشتریان را نگهداری، پردازش یا مبادله می کنند.
اعتبار این استاندارد به صورت سالیانه بررسی می شود. برای سازمان های بزرگ بررسی انطباق توسط یک ارزیاب مستقل انجام می شود اما سازمان های کوچکتر می توانند انطباق خود را توسط
 پرسشنامه خود ارزیابی بررسی نمایند. 

ITIL
ITIL یک چارچوب عمومی است که بر پایه تجارب موفق در مدیریت سرویس های IT در سازمان های دولتی و خصوص در سطح بین المللی به وجود آمده است. ITIL در اصل یک استاندارد نیست
 بلکه چارچوبی است با نگاهی نوین برای بهبود ارائه و پشتیبانی خدمات فناوری اطلاعات که امروزه از سوی سازمانهای ارائه دهنده خدمات فناوری اطلاعات بسیار مورد توجه قرار گرفته است. هدف
 اولیه این چارچوب این است که مطمئن شود سرویس های IT با نیازهای کسب و کار سازمان منطبق است و در زمانی که کسب و کار به آن نیاز دارد پاسخگوی این نیاز است.

ITIL به عنوان مجموعه ای از کتابها به وجود آمده و بر پایه مدل دمینگ و چرخه PDCA ایجاد شده، نسخه ی فعلی ITIL که مورد استفاده است، نسخه سوم می باشد که ۵ بخش اصلی
 را در بر دارد: استراتژی خدمات، طراحی خدمات، تحویل خدمات، اداره خدمات، بهینه سازی پیوسته خدمات.
همانطور که بیان شد، ITIL بیشتر در شرکت هایی که کسب و کار IT دارند مورد توجه قرار گرفته است.

COBIT:
COBIT  یک گواهینامه است که توسط ISACA و موسسه مدیریت IT (ITGI) در سال 1996 به وجود آمد. این استاندارد چارچوبی برای مدیریت فناوري اطلاعات است. این استاندارد با رویکردی فرآیندگرا در 4 دامنه و 34 فرآیند و مجموعه ای از 318 هدف کنترلی در حوزه ارزیابی فناوری اطلاعات تدوین شده است و مجموعه ای از سنجه ها، شاخص ها، فرآیندها و بهترين¬تجارب را برای کمک به مدیران، ممیزان و کاربران IT ارائه می-دهد.COBIT دارای پنج حوزه تمرکز بر مدیریت فناوري اطلاعات است: تنظیم استراتژیک، تحویل ارزش پشتیبانی شبکه مدیریت منابع، مدیریت ریسک، اندازه¬گیری کارایی . پیاده سازی و بکارگیری COBIT در سازمان¬ها، برای مدیران چارچوبی را فراهم می آورد تا به کمک آن بتوانند برنامه استراتژیک IT، معماری اطلاعاتی، نرم¬افزارها و سخت افزارهای مورد نیاز IT و کنترل عملکرد سیستم های IT سازمان خود را طراحی نمایند و با کمک این ابزارها به تصمیم¬گیری و سرمایه گذاری¬های مرتبط با فناوری اطلاعات بپردازند.  
همپوشاني حوزه هاي امنيتي :
در سال 2009، یازده حوزه کنترلي اساسی معرفی شد که به 11EC معروف گردید این کنترل ها می بایست توسط سازمان هایی که می خواهند امنیت اطلاعات را پیاده سازی نمایند پیاده سازی شوند، اگر این کنترل ها را به عنوان معیاری برای تحقق امنیت اطلاعات در نظر بگیریم حاصل مقایسه چهار استاندارد مذکور، با توجه به این معیارها به شکل زیر خواهد بود:



مقایسه چهار استاندارد برتر:
جهت مقايسه متناظر ويژگي هاي اين استانداردها، جدول زير برخي موضوعات قابل تأمل را مشخص مي نمايد.
 
انتخاب استاندارد جهت پياده سازي امنيت اطلاعات :
بسیار مهم است که استانداردی در سازمان پیاده سازی گردد که به عنوان یک معیار همگانی شناخته شده و مورد قبول اکثر سازمان ها و قوانين کشوري باشد، استاندارد ISO توسط 25 کشور راه اندازی شد، این درحالی است که سه استاندارد دیگر تنها در یک کشور شروع به کار کردند. در این خصوصISO  به نسبت سه استاندارد میکروتیک دیگر بسیار شناخته شده تر است، ISO به طور گسترده در جهان توسط 163 کشور مورد استفاده قرار گرفته است، در مقایسه با PCIDSS (125)، ITIL (50) و COBIT (160). ISO27001 به علت جامعيت کنترلهاي آن نسبت به سه استاندارد امنیتی دیگر، موجبات پذيرش آن توسط مشتریان، تامین کنندگان، خریداران و مدیران را فراهم مي سازد.

 
همانطور که در شکل نیز مشاهده می نمایید، امنیت اطلاعات که به عنوان جزئی از حاکمیت فن آوری اطلاعات در نظر گرفته می شود، بیشتر توسط ISO27001 پوشش داده شده، در صورتی که ITIL و COBIT سهم بیشتری در خصوص حاکمیت فناوری اطلاعات دارا می باشند، گستردگی این استانداردها در شکل مشخص شده، نواحی مشترک، نشان دهنده کنترل های امنیتی و حوزه هایی هستند که استانداردها با یکدیگر  همپوشانی دارند، همچنین همانطور که مشاهده می شود PCI DSS همپوشانی زیادی با ISO27001 دارد با این تفاوت که PCI DSS در حوزه امنیت کارت فعالیت می کند، این شکل بیانگر این موضوع است که پیاده سازی ISO27001 علاوه بر اینکه به تنهایی امنیت اطلاعات را در سازمان به صورت عمومی تضمین می نماید، می تواند به عنوان بستری مناسب جهت پیاده سازی استانداردهای امنیتی دیگر متناسب با حوزه کاری هر سازمانی مورد استفاده قرار گیرد.
هر استاندارد به نوعی نقش خود را در پیاده سازی امنيت اطلاعات ایفا می کند، به عنوان مثال ISO27001 بر سیستم مدیریت امنیت اطلاعات، PCIDSS بر امنیت اطلاعات مرتبط با تراکنش کسب و کار و کارت هوشمند، ITIL و COBIT بر امنیت اطلاعات و ارتباطشان با مدیریت پروژه و حاکميت فناوري اطلاعات تمرکز دارند. به طور کلی استقبال عمومی در استفاده جهانی از استانداردها، نشان می دهد که ISO27001 برتر از سه استاندارد دیگر در سطح جهانی ظاهر شده است به خصوص براي ايجاد سيستم مديريتي امنيت خدمات شبکه اطلاعات، این استاندارد نسبت به دیگر استانداردها راحت تر پیاده سازی می شود و توسط ذینفعان (مدیران ارشد، کارکنان، تأمین کنندگان، مشتریان و قانون گذاران) به خوبی قابل درک است. از این رو با در نظر گرفتن سطح بالاي قابلیت استفاده و اعتماد به ISO27001 در جهان، میتوان اين استاندارد را همچون زبان انگلیسی به عنوان زبان بین المللی و جهانی در استانداردها و معیارهای ISMS دانست.
ادامه خبر

8 روش مجازی سازی كامپیوترهای شخصی

خبرها 20 ارديبهشت 1397
8 روش برای مجازی سازی کامپیوترهای شخصی وجود دارد که قابلیت ارتقا را افزایش داده و هزینه را کاهش می‌دهند.

مجازی سازی کامپیوترهای شخصی می‌تواند از هزاران کاربر محلی و کاربران از راه دور که نیاز به دسترسی به نرم افزارهای کاربردی خدمات شبکه و داده‌های خود دارند، بدون توجه به آن که در کجا قرار دارند و از چه ابزاری استفاده می‌کنند، پشتیبانی کند. بکار بردن دستکتاپ مجازی در محل کار به شما این امکان را می‌دهد تا هزینه مدیریت دسکتاپ خود را کاهش دهید و از قابلیت حرکت نیروی کاری بزرگ‌تری برخوردار گردید، حال چگونه می‌توان آن را پیاده‌سازی کرد؟

راه‌های متعددی برای مجازی سازی دسکتاپ وجود دارد که با استفاده از آن‌ها در زمان و پول خود می‌توانید صرفه‌جویی کنید و راه‌حل‌های مذکور از قابلیت حرکت نیروهای کاری شرکت‌های بزرگ پشتیبانی کرده و به کارمندان شما این امکان را می‌دهند تا به فایل‌های خود، حتی بر روی ابزاری مبتنی بر BYO، بگونه‌ای کاملا امن دسترسی داشته باشند. در زیر به نمونه‌های بخصوصی از نحوه مجازی سازی پشتیبانی شبکه دسکتاپ اشاره می‌کنیم که به کسب و کار شما را قدرتمند می‌سازد:

1. دسترسی به نرم افزارهای کاربردی بحرانی مرتبط با کسب و کار از طریق ابزارهای متحرک بدون وجود مخاطرات امنیتی.

2. صرفه جویی در زمان و پول با اضافه کردن کارمندان جدید، باز کردن دفاتر جدید و حتی شروع عملیات از راه دور، ظرف مدت چند دقیقه.

3. پشتیبانی آسان از راه‌اندازی دسکتاپ برای کارمندان راه دور که نه تنها در زمان صرفه جویی می‌کند بلکه با کاهش نیاز به مسافرت و سفر کردن به طرح ابتکارهای سبز کمک می‌کند.

4. حذف ریسک زیر پا گذاشتن استانداردها یا کار با شاخه‌های امنیتی پسیو شبکه با ارائه روشی امن، ایمن برای دسترسی به نرم افزارهای کاربردی، ایمیل‌ها، دسکتاپ‌ها و داده‌ها.

5. ارائه تعادل میان زندگی کاری و زندگی عادی به کارمندان با حمایت از کارمندان مجازی و قادر ساختن کارمندان در انجام کارهای خود از خانه یا هر کجای دیگر.

6. بهبود کارآیی روز به روز با حفظ یکپارچگی و مدیریت مرکزی در تمامی امور

7. جذب بهترین کارمندان از سرتاسر نقاط جهان و ایجاد بهترین نیروی کاری متحرک برای کسب و کار

8. صرفه جویی مؤثر در پول و زمان با به روز رسانی نرم افزارهای کاربردی و دسکتاپ‌ها در عوض جایگزین کردن و راه‌اندازی هر یک از کامپیوترهای مربوط به فردی مجزا.
بکار بردن مجازی سازی دسکتاپ به نیروی کاری شما امکان گسترش در سطح جهانی را می‌دهد. ایجاد امکان میکروتیک کار از هر کجا و در هر زمان برای کارمندان، ضمن دادن راحتی در انجام کارها، تعادل بهتری میان میان کار و زندگی برای کارمندان بوجود خواهد آورد.
ادامه خبر

دوره های آنلاین میکروتیک مدرک MTCINE میکروتیک

خبرها 19 ارديبهشت 1397

دوره های آنلاین میکروتیک مدرک MTCINE میکروتیک

با آخرین مدارک دوره های آنلاین میکروتیک یعنی مدرک MTCINE میکروتیک و مدرک MTCIPv6E میکروتیک در خدمت شما عزیزان هستیم. در این مقالات پیرامون این سوال که دوره های میکروتیک چیست ؟ پرداخته شد و هریک از مدارک میکروتیک به صورت جداگانه بررسی شد. برای مشاهده مقالات قبلی در زمینه دوره های آنلاین میکروتیک میتوانید از پیوندآشنایی با مدارک شبکه mikrotik استفاده نمائید.

دوره های میکروتیک چیست ؟

مدیران شبکه‌های بزرگ که نیاز به مدیریت ستون‌فقرات شبکه دارند می‌باشد. مطالب این دوره، اساس و نحوه پیاده‌سازی خدمات شبکه مسیریابی در اینترنت، ستون فقرات شبکه و شبکه‌هایی در مقیاس بزرگ را آموزش می‌دهد.

در این دوره گذشته از پروتکل BGP در مورد MPLS و Label Switching و در کنار آن Traffic Engineer صحبت می‌شود.

mikrotik-MTCINE | میکروتیک MTCINE | دوره آنلاین میکروتیک |

دوره های آنلاین میکروتیک مدرک MTCINE میکروتیک

هدف دوره: در این دوره تلاش می‌شود تا با چالش‌هایی که در ارتباط با انتقال داده در شبکه‌های بزرگ و ارتباطات بین‌شبکه‌ای با آن روبروست آشنا شوید و یاد بگیرید که چگونه با این چالش‌ها مقابله کرده و روش‌هایی را اتخاذ کنید تا بتوانید از آنها جلوگیری نمایید؛ همچنین شبکه را بهبود داده تا بتوانیدسرویس‌های جدید و مناسبی در اختیار مشتریان قرار دهید.

پیش‌نیاز: مدرک MTCRE معتبر از شرکت Mikrotik

سرفصل موضوعات مدرک MTCINE میکروتیک :

  • BGP

  • MPLS

  • Traffic Engineering Tunnels

آشنایی با مدرک MTCIPv6E میکروتیک

mikrotik-mtcipv6e | میکروتیک mtcipv6e | دوره میکروتیک

مدرک MTCINE میکروتیک مخفف MikroTik Certified IPv6 Engineer به معنی مهندس IPv6 میکروتیک می‌باشد.

آشنایی با مدرک MTCIPv6E میکروتیک

مدرکی جدید از میکروتیک می باشد که نسبت به مدارک دیگر نوپا می باشد که در این دوره نصب شبکه با هدف شناخت و آشنایی با پروتکل IPv6 و همچنین توانایی پیاده سازی شبکه با استفاده از IPv6 با تجهیزاتمیکروتیک مورد بررسی قرار گرفته است.

جهت دریافت مدرک MTCIPv6E بایستی مدرک MTCNA را داشته باشید.

سر فصل مدرک MTCIPv6E میکروتیک :

  • آشنایی با مفاهیم اولیه و حرفه ایی پروتکل آیپی نسخه ۶ IPv6 ( Packet , Header , Protocol )
  • آشنایی با انواع‌آدرس های آیپی نسخه ۶ ( Unicast , Multicast , Anycast , Link Local , Global )
  • آشنایی با مباحث آدرس و Subnetting در آیپی نسخه ۶
  • پیاده سازی و آدرس دهی نسخه ۶ در شبکه و زیرساخت ارتباطی
  • آشنایی با امنیت و ساختار عملکرد در آیپی نسخه ۶ ( ICMPv6 , ND , Firewall , IPSec )
  • پیاده سازی سرویس های توزیع آدرس در شبکه و زیرساخت
  • آشنایی با مکانیزم های انتقال ترافیک آیپی نسخه ۶

آخرین پست از مقالات آشنایی با مدارک میکروتیک و دوره های آنلاین میکروتیک را مطالعه نمودید.

در این مقالات سعی شد ۷ مدرک شامل MTCINE ، MTCIPv6E ، MTCRE ، MTCUME ، MTCWE ، MTCTCE ، MTCNA بررسی شوند و به این سوال که دوره های میکروتیک چیست ؟ پاسخ لازم داده شود. در مقالات بعد قصد داریم شما را با مدارک VMware آشنا کنیم

ادامه خبر

مدرک MTCTCE میکروتیک

خبرها 18 ارديبهشت 1397

مدرک MTCTCE میکروتیک

با ادامه مباحث پیرامون مدرک بین المللی میکروتیک و دوره های آنلاین میکروتیک با موضوع آشنایی با مدرک MTCTCE میکروتیک و مدرک MTCWE میکروتیک در خدمت شما علاقه مندان به شبکه هستیم. در پست قبل یعنی : مدرک بین المللی میکروتیک دوره میکروتیک MTCNA بصورت مختصر با مدرک MTCNA آشنا شدید. در این مقاله با مدرک های MTCWE و MTCTCE آشنا خواهید شد و مخاطبین این دوره ها را خواهید شناخت.

دوره های آنلاین میکروتیک مدرک MTCWE میکروتیک

به جرات می‌توان گفت میکروتیک پیشروترین شرکت در رابطه با شبکه‌های وایرلس در جهان است با حضور در دوره‌ شبکه  وایرلس میکروتیک می‌توان بهترین آموزش مورد نیاز برای پیاده‌سازی وایرلس در محیط‌های داخلی (داخل ساختمان) و محیط‌های بیرونی (Outdoor) را فراگرفت.

مخاطبین این دوره مدیران شبکه و کارمندان شرکت‌ها و سازمان‌هایی هستند که با پیاده‌سازی، نگهداری و عیب‌یابی شبکه‌های وایرلس سروکار دارند. همچنین مهندسان، طراحان شبکه و مدیرانی هستند که علاقه‌مندند درباره‌ی شبکه‌های وایرلس با استفاده از میکروتیک آموزش ببینند.

هدف دوره: اجرای قابلیت‌های پیشرفته‌ وایرلس‌های میکروتیک و انجام انواع ساختارهای وایرلس به کمک میکروتیک، نشان دادن چگونگی رسیدن به حداکثر پهنای باند و پایداری در محیط وایرلس به کمک میکروتیک .

در این دوره شما با روتربرد SXT کاملا آشنا شده و نحوه انجام بهینه تنظیمات برای این روتربرد را فراخواهید گرفت.

شرکت آرنا ارائه دهنده خدمات شبکه نصب شبکه و پسیو شبکه

پیش‌نیاز: مدرک MTCNA معتبر

سرفصل موضوعات مدرک MTCWE میکروتیک :

  • استانداردهای وایرلس
  • ابزارهای میکروتیک برای وایرلس
  • عیب‌یابی وایرلس
  • تنظیمات پیشرفته
  • پروتکل‌های ۸۰۲.۱۱n, Nstreme, Nv2
  • امنیت در وایرلس
  • Mesh & Bridging

آشنایی با مدرک MTCTCE میکروتیک

mikrotik mtctce | میکروتیک mtctce |

این دوره برای مدیران شبکه‌هایی که به کنترل جریان ترافیک و امنیت شبکه علاقه‌مندند مناسب است. از آنجا که میکروتیک یک دیوار‌آتش بسیار قوی دارد و برای کنترل پهنای باند بسیار قدرتمند عمل می‌کند و تمامی نیازهای ما را برای کنترل پهنای باند برطرف می‌نماید، برای کنترل شبکه به عنوان DHCP Server, DNS Server و پراکسی سرور می‌توان از میکروتیک استفاده کرد این دوره را می‌توان دوره امنیت شبکه نام برد.

مدرک بین المللی میکروتیک مدرک MTCTCE میکروتیک

هدف دوره: در این دوره با چالش‌های امنیتی پیش‌رو در گام اول و پس از آن با موارد مورد نیاز در کنترل پهنای‌باند و بهبود خدمات آشنا شده و به راحتی از چنین مشکلاتی می‌توان پیشگیری نمود.

پیش‌نیاز: مدرک MTCNA معتبر

سرفصل موضوعات مدرک MTCTCE میکروتیک :

  • نمای Packet Flow

  • دیوارآتش (Firewall)

  • کنترل پهنای باند و Quality of Service

  • DNS کلاینت و کش

  • DHCP سرور و کلاینت و relay agent

  • پراکسی سرور

  • امروزه به سيستم‌هاي كنترل ديجيتالي، معمولا SCADA  گفته مي‌شود. سيستم‌هاي كنترل ديجيتالي نصب شبکه  به منزله مغز كنترل و مانيتورينگ سيستم‌هاي زيرساخت حياتي نظير شبكه‌هاي انتقال و توزيع برق، پالايشگاه‌ها، شبكه‌هاي آب، كنترل ترافيك و ... مي‌باشند.

    يکي از مباحثي که براي تمامي کشورها بسيار مهم و حياتي است، مبحث امنيت سيستم‌هاي کامپيوتري و صنعتي مي باشد. اما چرا؟
    ديگر مانند گذشته جنگ و نبردهاي نظامي در جبهه‌ها صورت نمي‌گيرد. امروزه مرز جنگ‌هاي انساني به صنعت الکترونيک، کامپيوتر و حتي فرهنگي رسيده است. نمونه اين حمله را چند وقت پيش کشور ايران با ويروس استاکس نت تجربه کرد و اين موضوع گواه اين بود که بيش از گذشته بايد به مباحث امنيت سيستم‌هاي زيرساخت صنعتي اهميت داد.

    امروزه تلاش دولت‌ها در امن سازي زيرساخت‌هاي حياتي، از طريق ايجاد برنامه‌هايي براي پياده‌سازي استراتژي‌هاي ملي به منظور امن سازي فضاي مجازي مي‌باشد. يک بخش مهم از اين تلاش‌ها شامل ارزيابي سيستم‌هاي SCADA است. اين سيستم‌ها براي کنترل المان‌ها و زيرساخت‌هاي ملي، از جمله توليد و توزيع برق، گاز و روغن حياتي هستند به طوريکه بروز مشکل و يا از بين رفتن آن‌ها خسارات جبران ناپذيري بر امنيت اقتصادي و همچنين دفاعي دولت‌ها دارد. 

    يکي از مهمترين اهداف اينگونه برنامه‌ها شامل شناسايي آسيب‌پذيري‌ها و تشويق و هدايت بخش‌هاي دولتي و خصوصي بر همکاري با يکديگر براي طراحي سيستم‌هاي کنترل امنيتي به منظور رفع ضعف‌هاي امنيتي در سيستم‌هاي صنعتي است.
    سيستم‌هاي SCADA، دستگاه‌ها و شبکه‌هاي کامپيوتري خاص هستند که بصورت هماهنگ کار مي‌کنند کابل کشی شبکه تا فرآيندهاي کليدي درگير در مديريت دستگاه‌ها و تجهيزات، پايش و کنترل کنند.
    اندازه‌گيري‌هايي که از چندين سنسور (دما، فشار، جريان، و ...) گرفته مي‌شود براي تصميم‌گيري استفاده مي‌شود براي مثال براي باز کردن دريچه سوپاپ و خارج کردن آب از تانک زمانيکه پر مي‌شود

 

با پستی دیگر در رابطه مدرک بین المللی میکروتیک و دوره های آنلاین میکروتیک با موضوع مدرک MTCTCE میکروتیک و مدرک MTCWE میکروتیک آشنا شدید و سرفصل های آنها مرور شد

ادامه خبر

حفاظت از زیرساخت های حساس

خبرها 18 ارديبهشت 1397
یک تحلیل‌گر مستقل در ایتالیا فهرستی از 34 تهدید امنیتی دیگر را منتشر کرد که طبق ادعای او، نرم‌افزارهای صنعتی نوشته شده توسط زیمنس در آلمان، آیکونیکس در ماساچوست، 7-Technologies در دانمارک و دیتاک در ایرلند نسبت به این حملات آسیب‌پذیر هستند. سپس US-CERT خودش حفره‌هایی را در یک سیستم که توسط اکاوای کوآلالامپور در مالزی ساخته شده بود کشف کرد.

«چیزی که در این جا مورد نیاز است طراحی روشی است که این سیستم‌ها بتوانند حملات را شناسایی نصب شبکه و از آن‌ها اجتناب کنند. به همین دلیل این هفته  2013اتحادیه اروپا بر سر بودجه 4 میلیون یورویی برای پروژه تحقیقاتی دفاعی SCADA توافق کرد. از جمله تمهیداتی که در این باره اندیشیده شده می‌توان به محدود کردن دسترسی به اینترنت توسط SCADA به کم‌ترین حد مورد نیاز اشاره کرد.

رالف لنگنر (Ralph Langner)، کارشناس امنیت سیستم‌های کنترلی و امنیت سایبری از آلمان است که پس از رمزگشایی از استاکس‌نت و شیوه عملکرد آن در سال 2010 بیش‌ازپیش مورد توجه قرار گرفت.


طرز کار ساختاری استاکس نت و مهندسی معکوس آن :

چندین حفره امنیتی از نوع Cross Site Scripting در نرم افزار Web Navigator شرکت زیمنس وجود دارد که با سوء استفاده از هر یک از این حفره های امنیتی، فرد نفوذگر می تواند کنترل نرم افزار WinCC را به اختیار خود در آورد. نرم افزار Web Navigator صفحه رابط نرم افزار WinCC است که در از طریق مرورگرها بر روی سیستم عامل های مختلف میتوان آن را اجرا و مدیریت نمود.


نرم افزار های ارزشمند برای اسکن- پویش در قبال استاکس نت:
شرکت امنیتی Positive Technologies دو ابزار امنیتی به نام های WinCC Harvest و PLC Scan برای استفاده کنندگان از سیستم های SCADA شرکت زیمنس تهیه و منتشر کرده اند. ابزار WinCC Harvest می تواند در آزمون های نفوذ (Penetration Testing) برای جمع آوری اطلاعات از بانک اطلاعاتی SQL مورد استفاده توسط WinCC به کار گرفته شود. ابزار PLC Scan نیز برای کنترل و شناسایی PLCها یا دستگاه های الکترونیکی Programmable Logic Controllers است که برای کنترل ماشین های صنعتی در سیستم های SCADA به کار گرفته می شوند.


ویروس های همسان استاکس نت:
Code Red و Nimda


میزان تهدید استاکس نت و دیگر  بد افزار ها:
 متمرکز در بخش صنعتی ( آب برق گاز پتروشیمی و ... ) نه تنها میتواند اطلاعات پایه ای را بیت به بیت  جمع آوری و ارسال کند  , توان اجرا کردن کد های خاصی و پیچیده ای را دارد  که اجرای یکی از آن فرایند های مرتبط با آن بد افزار 16 هزار خط کد نویسی آن هم اسمبلی را  لازمه آسیب رسانی به سیستم های حساس کابل کشی شبکه  میطلبید , و پیچیدگی آن به این علت عمیق میشود که این بد افزار فرایند های اجرای و آسیب رسان خود را زمانی  بلفعل میرساند که یک سری پیش نیاز ها در آن شبکه با  شرایط مشخص موجود باشد در غیر این صورت بصورت  نامحسوس در شبکه مانده و هیچ  فعالیتی از خود بروز نمیدهد که سیستم های امنیتی و ابزار های امن گردان شبکه مذکور نسبت به آن حساسیت نشان دهند و این یعنی نسل نوینی از بد افزار ها آن هم با تمرکز بر روی زیرساخت های حساس موجود در هر کشوری که پتانسیل یک فاجعه را دارد.

مكانيزاسيون: استفاده از ماشين آلات در مقابل نيروي عضلاني
اتوماسيون: استفاده از سيستم‌هاي كنترلي و فناوري‌هاي اطلاعات به منظور كاهش نياز انسان به كار در محيط توليد كالا و خدمات است.


برخي از مزايايي که اتوماسيون‌ها دارند عبارتند از:
  • جايگزين شدن با نيروي انساني در فعاليتهايي كه حاوي كارهاي سخت و يا يكنواخت و خسته كننده است.
  • جايگزين شدن با  نيروي انساني در محيط‌هاي خطرناك (نظير آتش، آتشفشان، تاسيسات انرژي هسته‌اي و ...)
  • انجام كارهايي كه خارج از قدرت انسان است (اندازه، وزن، استقامت، سرعت)
  • صرفه جويي اقتصادي،‌ كاهش هزينه‌هاي سربار توليد و خدمات، افزايش بهره‌وري و ...
اتوماسيون سيستم‌ها نيازمند سيستم‌هايي جهت مديريت فرآيندها است. مديريت يك فرآيند، مستلزم تامين داده مورد نياز آن و اثرگذاري نتايج حاصل از فرآيند بر روي سيستم است. براي ثبت، جمع‌آوري و پردازش داده در يك سيستم كنترلي از روش‌هاي مختلفي تاكنون استفاده شده است.

آنالوگ: در اين روش، داده‌ها توسط دستگاه‌هاي آنالوگ و نيروي انساني ثبت مي‌شوند و توسط نيروي انساني و يا ماشين‌هاي با توان اندک، پردازش آفلاين بر روي آنها صورت مي‌گيرد.
ديجيتالي: در اين روش، داده‌ها توسط دستگاه‌هاي الكترونيكي ثبت مي‌شوند و جمع‌آوري داده‌ها بطور اتوماتيك (با استفاده از مكانيزم‌هاي مختلف ارتباطي) انجام مي‌شود. همچنين پردازش داده‌ها بصورت آنلاين و يا متمركز توسط دستگاه‌هاي پردازش اطلاعات صورت مي‌گيرد.
امروزه به سيستم‌هاي كنترل ديجيتالي، معمولا SCADA  گفته مي‌شود. سيستم‌هاي كنترل پسیو شبکه ديجيتالي  به منزله مغز كنترل و مانيتورينگ سيستم‌هاي زيرساخت حياتي نظير شبكه‌هاي انتقال و توزيع برق، پالايشگاه‌ها، شبكه‌هاي آب، كنترل ترافيك و ... مي‌باشند.

يکي از مباحثي که براي تمامي کشورها بسيار مهم و حياتي است، مبحث امنيت سيستم‌هاي کامپيوتري و صنعتي مي باشد. اما چرا؟
ديگر مانند گذشته جنگ و نبردهاي نظامي در جبهه‌ها صورت نمي‌گيرد. امروزه مرز جنگ‌هاي انساني به صنعت الکترونيک، کامپيوتر و حتي فرهنگي رسيده است. نمونه اين حمله را چند وقت پيش کشور ايران با ويروس استاکس نت تجربه کرد و اين موضوع گواه اين بود که بيش از گذشته بايد به مباحث امنيت سيستم‌هاي زيرساخت صنعتي اهميت داد.

امروزه تلاش دولت‌ها در امن سازي زيرساخت‌هاي حياتي، از طريق ايجاد برنامه‌هايي براي پياده‌سازي استراتژي‌هاي ملي به منظور امن سازي فضاي مجازي مي‌باشد. يک بخش مهم از اين تلاش‌ها شامل ارزيابي سيستم‌هاي SCADA است. اين سيستم‌ها براي کنترل المان‌ها و زيرساخت‌هاي ملي، از جمله توليد و توزيع برق، گاز و روغن حياتي هستند به طوريکه بروز مشکل و يا از بين رفتن آن‌ها خسارات جبران ناپذيري بر امنيت اقتصادي و همچنين دفاعي دولت‌ها دارد. 

يکي از مهمترين اهداف اينگونه برنامه‌ها شامل شناسايي آسيب‌پذيري‌ها و تشويق و هدايت بخش‌هاي دولتي و خصوصي بر همکاري با يکديگر براي طراحي سيستم‌هاي کنترل امنيتي به منظور رفع ضعف‌هاي امنيتي در سيستم‌هاي صنعتي است.
سيستم‌هاي SCADA، دستگاه‌ها و شبکه‌هاي کامپيوتري خاص هستند که بصورت هماهنگ کار مي‌کنند خدمات شبکه تا فرآيندهاي کليدي درگير در مديريت دستگاه‌ها و تجهيزات، پايش و کنترل کنند.
اندازه‌گيري‌هايي که از چندين سنسور (دما، فشار، جريان، و ...) گرفته مي‌شود براي تصميم‌گيري استفاده مي‌شود براي مثال براي باز کردن دريچه سوپاپ و خارج کردن آب از تانک زمانيکه پر مي‌شود.


سيستم‌هاي SCADA بصورت نوعي در سه ناحيه اصلي توسعه مي‌يابد:
مديريت فرآيند صنعتي: ساخت، توليد، فرآيندهاي شيمي، توليد برق، صنعت‌هاي پالايش
مديريت زيرساخت: عمليات و توزيع آب، به هدر دادن جمع‌آوري آب و عمليات، لوله‌هاي گاز و نفت، انتقال و توزيع جريان برق، سيستم‌هاي ارتباطي بزرگ
مديريت دستگاه‌ها: اداره، مراکز داده، فرودگاه‌ها، کشتي‌ها، و غيره. پايش و کنترل HVAC، کنترل دسترسي، و مصرف انرژي

دستگاه‌هاي SCADA با استفاده از پروتکل‌هايي از قبيل DNP v3، ICCP و MODBUS، با سيستم کنترل ارتباط برقرار مي‌کند. اطلاعات و گزارشات مديريتي، از طريق اينترفيس‌هاي زير از/به دستگاه‌هاي SCADA وارد مي‌شود:

1. واسط انسان و ماشين (HMI): دستگاهي است که نحوه پردازش داده را به يک اپراتور میکروتیک انساني نشان مي‌دهد و از اين طريق، اپراتور انساني عملکرد ماشين را نظارت و کنترل مي‌کند.

2. واحدهاي خروجي راه دور: اين واحدها به سنسورها متصل شده، سيگنال‌هاي سنسور را به داده‌هاي دودويي تبديل کررده و داده‌هاي دودويي را به سيستم نظارتي ارسال مي‌کنند.

3. کنترل کننده‌هاي منطقي قابل برنامه نويسي يا PLC‌ها: مانند مغز متفکر اين سيستم‌ها هستند و کارهاي اساسي را انجام مي‌دهند زيرا آنها اقتصادي‌تر، تطبيق‌پذير، و انعطاف‌پذير بوده و داراي قابليت پيکربندي بهتري نسبت به TRU‌هاي (واحدهاي خروجي راه دور) با هدف خاصي هستند.

4. زيرساخت ارتباطي: سيستم‌هاي ناظر را به واحدهاي پايانه راه دور متصل مي‌سازد.

سيستم‌هاي کنترل صنعتي (ICS) در حالت معمولي شامل انواع مختلف سيستم‌هاي کنترلي از جمله سيستم‌هاي کنترل  شبکه وایرلس سرپرستي و گردآوري داده، سيستم‌هاي کنترلي توزيع شده و کنترل کننده قابل برنامه‌ريزي منطقي مي‌شود. سيستم‌هاي ICS به صورت گسترده در نيروگاه‌هاي اتمي، نيروگاه‌هاي برق، شبکه‌هاي توزيع الکتريسيته، نفت و سيستم‌هاي گاز و همچنين حمل و نقل، صنايع دفاعي، جمع‌آوري زباله و حتي توليد خودرو مورد استفاده قرار مي‌گيرد. سيستم‌هاي ICS سيستم‌هايي هستند که براي انجام وظايف خود نيازي به يک اپراتور انساني ندارند. در برخي از انواع ICS که شبکه کنترلي مجزا شده فيزيکي دارند که سيستم را مجبور به برقراري ارتباط از طريق يک شبکه به ديگر ايستگاه‌هاي کنترلي مي‌کند.

در سيستم‌هاي کنترل صنعتي (ICS) دو عنصر مهم وجود دارد که عملکرد آنها به همديگر مرتبط است اين دو عنصر، سيستم‌هاي SCADA و PLC هستند. سيستم‌هاي SCADA به منظور ارائه اطلاعات بصورت بلادرنگ به يک اپراتور انساني طراحي شده‌اند و مي‌توانند اطلاعات حالت جاري فرآيندهاي فيزيکي و همچنين توانايي تغيير ايجاد کردن در فرآيند از راه دور را به اپراتور ارائه کنند. سيستم‌هاي SCADA امروزه به صورت گسترده‌اي در صنعت توزيع شده‌اند و از لحاظ جغرافيايي از سيستم‌هاي گردآوري داده‌هاي متمرکز جدا شده‌اند. سيستم‌هاي SCADA در يک سيستم کنترل توزيع شده (DCS) معمولا چندين سيستم تعاملي را کنترل مي‌کنند که مسئوليت يک فرآيند محلي را برعهده دارند.

سيستم‌هاي کنترلي توزيع شده (DCS) به صورت گسترده در صنايع مبتني بر فرآيندهاي فيزيکي استفاده مي‌شوند. اما PLC يک سيستم نهفته مبتني بر کامپيوتر است که مي‌تواند تجهيزات فرآيندهاي صنعتي را کنترل کند همچنين توانايي مرتب کردن جريان اجرايي فرآيندها را هم دارد. سيستم‌هاي PLC معمولا به همراه سيستم‌هاي SCADA به منظور اجرا کردن عمليات‌هاي سرپرستي شده توسط اپراتور SCADA مورد استفاده قرار مي‌گيرند.

اولين سيستم‌هاي کنترل صنعتي (ICS) در سال 1977 نمي‌توانستند به يک شبکه خارجي متصل شوند اما با اين حال توانايي متصل شدن به يک شبکه محلي با يک محيز کنترلي بسته به همراه پروتکل‌هاي اختصاصي را داشتند. اما سيستم‌هاي کنترل صنعتي (ICS) امروزي از پشته پروتکل TCP/IP، اجرا شدن بر روي سيستم عامل‌هاي بلادرنگ و متصل شدن به اينترنت جهاني پشتيباني مي‌کنند. به همين دليل در آينده ما با مسائل امنيتي بسياري براي سيستم‌هاي کنترل صنعتي (ICS) رو به ر خواهيم شد. سيستم‌هاي کنترل صنعتي قسمت کليدي زيرساخت‌هاي حياتي هستند. به همين دليل به وجود آمدن يک مساله امنيتي براي سيستم‌هاي ICS مستقيما مي‌تواند بر روي سيستم‌هاي زيرساخت تاثير بگذارد.


معماري امن
بر اساس ارزيابي صورت گرفته بر روي کسب و کار سازمان، مي‌بايست تدابير فني، رويه‌اي و مديريتي را براي افزايش سطح امنيت طراحي و پياده‌سازي شود. در ادامه برخي از اقدامات امنيتي که به اين منظور پياده‌سازي مي‌شوند ذکر شده است:

امنيت و بهينه‌سازي معماري شبکهاستفاده از تجهيزات امنيتي مانند فايروال ها
کنترل دسترسي‌هاي راه دور
استفاده از آنتي‌ويروس
کنترل دسترسي به ايميل و اينترنت
پيکر‌بندي امن سيستمها
پشتيبان‌گيري و ريکاوري
تفکيک شبکه‌هاي صنعتي
مانيتورينگ سيستم
امن‌سازي شبکه‌هاي بيسيم
مديريت وصله‌هاي امنيتيامنيت منابع انساني
مديريت آسيب‌پذيري
مديريت تغييرات
انجام تست‌هاي امنيت
تامين امنيت فيزيکي
ادامه خبر

امنیت سایبری – مدل سازی ریسك و تهدیدات ( چگونگی > چه كسانی !)

خبرها 18 ارديبهشت 1397
مهم‌ترین بخش امنیت یک سیستم، تقویت و پیشگیری پیش از حمله است، چرا که غالباً دفاع پس از حمله نمی‌تواند چندان ثمربخش و مؤثر واقع شود.

آنچه در دنیای امنیت مهم است، توجه به «چگونگی»هاست، نه صرفاً فقط «چه کسانی»، و به زبانِ ساده‌تر، مهم‌تر این است چگونه یک سرقتِ سایبری خدمات شبکه اتفاق می‌افتد، نه آنکه چه کسانی آن را انجام می‌دهند.

در مدل‌سازیِ تهدید نیز تمرکزِ اصلی بر روی «چگونگی» وقوع و به نتیجه رسیدنِ حمله است. در واقع، مدل‌سازی تهدید، روشی برای بهینه‌سازی امنیت سیستم است، که
 از طریقِ شناساییِ اهداف، روش‌های نفوذ و نقاطِ آسیب‌پذیر ممکن‌پذیر می‌شود.

در مدل‌سازی تهدید، اولین و مهم‌ترین گام مشخص کردن همه‌ی آن چیزهایی است که قصدِ حفاظت از آنها را داریم. در اینجا باید به این نکته نیز توجه کرد که مشخص کردن ارزشِ
 آنچه قصد حفاظت از آن را داریم صرفاً یک مسئله‌ی یک طرفه نیست، به این معنا که در شناساییِ دارایی‌های ارشمندِ سیستم، تنها نباید به آنچه از دید خود (به عنوانِ توسعه 
دهنده و یا مصرف‌کننده) ارزشمند است توجه کنیم، بلکه باید آنچه برای یک میکروتیک مهاجمِ احتمالی نیز ارزشمند است را شناسایی و ارزیابی کنیم

در گام بعد، نیاز است تا گروه‌های حمله کننده‌ی احتمالی به سیستم را شناسایی و ارزیابی کرد. این گروه‌ها باید شاملِ خودی‌ها و غریبه‌ها و همچنین دربرگیرنده‌ی اشتباهاتِ
 غیرعمدی (مانند ضعف‌های عملکردِ سیستم) و حمله‌های مخرب باشد.


سطح حمله

سطح حمله (Attack Surface) مجموعه‌ای از نقاطِ ضعفی است که نفوذ از طریقِ آنها برای مهاجمان امکان‌پذیر است. در حقیقت سطحِ راه اندازی شبکه وایرلس حمله همان نقاطِ آسیب‌پذیریِ سیستم است
 که مهاجم قادر خواهد بود از این طریق آنها به سیستم نفوذ کند و اطلاعات را خارج کند.
در مدل‌سازیِ تهدید، ارزیابی و تحلیلِ سطحِ حمله اهمیت بالایی دارد، چرا که با این روش، توسعه‌دهندگان و مسئولانِ امنیت می‌توانند از مناطقِ خطر و همین‌طور از شدتِ خطر اطلاع
 پیدا کنند، و بخش‌های بازِ سیستم برای مهاجمان را شناسایی کنند.




به طورِ کلی تحلیلِ سطح حمله در ۳ مورد کلی به توسعه‌دهندگان کمک شایانی میکند:

  1. شناساییِ بخش‌ها و عملکردهای آسیب‌پذیر سیستم.
  2. شناسایی مناطقِ در معرضِ خطر که نیازمندِ دفاعِ عمیق‌تر هستند، و به طورِ کلی شناساییِ مناطقی که نیازمندِ دفاع در برابر مهاجمین احتمالی هستند.
  3. شناساییِ زمانی که سطحِ حمله تغییر داده شده است، و نیاز به ارزیابی تهدید می‌باشند.
سطح حمله بسته به نوع سیستم و عملکرد آن نیز می‌تواند متفاوت باشد، همان‌طور که دشمنان احتمالی آن هم متفاوت هستند.

اما به طور جامع سطحِ حمله را می‌توان در ۴ بخشِ زیر دسته‌بندی کرد:
  1. مجموعه‌ی مسیرهای ورودی و خروجی برای اطلاعات و دستورها.
  2. کدهایی که از این مسیرهای ورودی و خروجی محافظت می‌کنند، از جمله؛ ارتباطات منابع و احرازهویت، اجازه‌نامه‌ها و اعتبار سنجی داده‌ها.
  3. تمامیِ اطلاعات با ارزش سیستم مانند؛ کلیدها، مالکیت معنوی، اطلاعات کسب و کار و اطلاعات شخصی.
  4. کدهایی که از این اطلاعات محافظت می‌کنند، از جمله؛ رمزنگاری‌ها، دسترسی حسابرسی و کنترلِ عملیات امنیت.
برای مثال، اگر در یک سیستم، تنها نگرانی، مهاجمان از راه دور باشند، و سیستم تنها از طریق اینترنت پشتیبانی شبکه با دنیای خارج ارتباط داشته باشد، سطحِ حمله بخشی از سیستم است
 که با بخش‌هایی دیگر در اینترنت تعامل دارد، و همین‌طور بخشی که ورودی‌های اینترنت را قبول می‌کند نیز می‌تواند به عنوان سطح حمله نیز تعریف شود. در نتیجه، یک دیوار آتشین
 در این سیستم می‌تواند با فیلتر کردن بخشی از ترافیک شبکه سطح حمله را محدودتر کند.


نمودار حمله

نمودار حمله (Attack Tree) مدل‌سازی گرافیکیِ حمله علیه سیستم است، که در واقع هدفِ حمله و مراحل نفوذ و حمله را نشان می‌دهد.
با ترسیمِ نمودارِ حمله می‌توان چگونگیِ یک حمله را از ابتدای نفوذ به سیستم تا به اتمام رساندن مأموریتِ خرابکارانه‌ را ردیابی و بررسی کرد.

در ترسیم نمودار حمله ابتدا نیاز است تا هرگونه هدفِ ممکن را شناسایی کرد، و در گام بعد هرگونه حمله علیه هدف‌ها را متصور شد، و آنها را به بدنه درخت اضافه کرد.

برای مثال، نمودار حمله‌ی یک ویروسِ کامپیوتری را تصور کنید. هدف ویروس در واقع آلوده کردن مرکزسیستم است، و برای رسیدن به این هدف ابتدا باید از طریق یک فایل آلوده به 
سیستم نفوذ کند، و در مرحله‌ی بعدی اجرای فایل توسط کاربران و یا مدیر سیستم است، و در نهایت پس از اجرا شدن فایل آلوده سیستم نیز آلوده خواهد شد، که همان هدف نهایی حمله است


آنچه در رسم نمودارِ حمله مهم است، در نظر گرفتن تمامی راه‌های محتمل برای نفوذ به سیستم و رسیدن به هدف است. شاید گاهی اوقات راه‌های نفوذ و حتی اهداف نهایی بسیار غیر قابلِ تصور
 به نظر برسند، اما در واقع، هدف از ترسیم نمودار حمله و تحلیل آن، شناسایی تمامیِ راه‌های ممکن، و حتی غیرممکن است.
با انجام دقیق این کار می‌توان حمله‌های احتمالی را پیش از وقوع خنثی کرد، و هرگونه شانس مهاجم برای نفوذ به سیستم را از باز پس گرفت
همان‌طور که پیش از این نیز اشاره شد، هدفِ اصلی از مدل‌سازیِ امنیت، شناساییِ نقاطِ آسیب‌پذیر، دشمنان، و تهدیدهای سیستم و ارزیابی شدت خطری است که سیستم با آن روبروست.
 آنچه توسعه‌دهندگان و مسئولانِ امنیت از این مدل‌سازی‌ها نصب شبکه بدست می‌آورند، مشخصاتِ و روش‌های حمله‌های احتمالی است، که در صورتِ شناسایی و تقویت به موقع، سطحِ حمله و شانسِ
 موفقیتِ مهاجمان را به مراتب محدودتر می‌کند
باید در نظر داشت، که مدل‌سازیِ امنیت، در مرحله‌ی نخست اقدامی پیشگیرانه است، و در مرحله‌ی بعد، مقدمه‌ایست برای پایه‌ریزیِ تدابیرِ مناسبِ دفاعی در برابرِ حملاتِ احتمالی
مهم‌ترین بخشِ امنیتِ یک سیستم، تقویت و پیشگیری پیش از حمله است، چرا که غالباً دفاع پس از حمله نمی‌تواند چندان ثمربخش و مؤثر واقع شود

ادامه خبر
خطا ...
آدرس ایمیل وارد شده نامعتبر است.
متوجه شدم