دفاع لایه به لایه در مقابل ویروس‌ها

●●زیرساخت IT
●زیرساخت IT یك سازمان می‌تواند شامل ۴ لایه زیر باشد.
۱- كامپیوترهای كاربران : این لایه در قلب سازمان قرار داشته و شامل كامپیوترهای رومیزی فردی، كامپیوترهای Laptop و سایر ابزارهایی است كه توسط تمام كارمندان مورد استفاده قرار می‌گیرند.
۲- سرورهای فایل‌های محلی : این لایه كه بر روی لایه كامپیوترهای كاربران قرار دارد، شامل اطلاعات و برنامه‌هایی است كه در سرتاسر سازمان بین كامپیوترهای رومیزی به اشتراك گذاشته شده‌اند.
۳- سرورهای پست الكترونیك : این لایه در مرز سازمان قرار داشته و مجرای عبور و مرور تمام نامه‌های ورودی به سازمان و یا خروجی از آن می‌باشد.
۴- خدمات مدیریت شده : بیرونی‌ترین لایه زیرساخت IT بوده و می‌تواند در داخل یا خارج سازمان قرار داشته باشد. در این لایه، نرم‌افزاری كه به عنوان بخشی از سرویس اجرا شده است، توسط یك بخش ثالث - مانند یك ISP (Internet Service Provider) - اداره می‌شود.
●مشخصه‌های هر لایه
لایه ۱ : كامپیوترهای كاربران
آسیب‌پذیرترین قسمت در یك سازمان می‌باشد، چرا كه در این بخش، بیشترین كنترل بر كامپیوترها در اختیار كاربران می‌باشد. مدیران سیستم می‌توانند این كامپیوترها را در بعضی زمینه‌ها و بخصوص در سیستم‌عامل‌های ویندوز ۲۰۰۰ و Mac OS X محدود كنند، اما در سیستم‌عامل‌های ویندوز ۹۵ یا ۹۸ و یا نسخه‌های قدیمی كامپیوترهای مكینتاش امكان كنترل مدیریتی بسیار محدودی وجود دارد. با همه اینها آن چیزی كه واقعا كامپیوترهای رومیزی و Laptop ها را آسیب‌پذیر می‌كند، آن است كه آنها محل دریافت همه انواع اطلاعات می‌باشند. این اطلاعات نه تنها از یك سرور فایل یا سرور پست الكترونیك، بلكه ممكن است از نقل و انتقال‌های صورت گرفته HTTP بر روی وب، انتقال‌های فایل FTP ، سی‌دی ها، رد و بدل كردن اطلاعات با كامپیوترهای كف‌دستی و مانند آن دریافت شود.مدیریت كامپیوترهای كاربران به دلیل تغییر مداوم تعداد آنها بسیار مشكل است. در عمل، حتی دانستن تعداد كامپیوترهای موجود (با وجود كامپیوترهای همراه كاربران و ...) هم برای بسیاری از شركت‌ها مشكل می‌باشد.
لایه ۲ : سرورهای فایل
بسیاری از شركت‌ها سرور فایل‌های بسیار كمتری نسبت به تعداد كامپیوترهای كاربران در اختیار دارند.
مدیران سیستم بر تمام چیزهایی كه روی هر سروری وجود دارد، كنترل بسیار زیادی داشته و می‌توانند میزان دسترسی كاربران بر كامپیوترها را به طور بسیار ثمربخشی تنظیم كنند. از آنجایی كه آنها می‌توانند دستیابی به اطلاعات را از طریق به اشتراك گذاشتن آنها بر روی سرور برای كاربران فراهم كنند، در نتیجه كاربران كنترلی بر روی تنظیمات نخواهند داشت. سیستم‌عامل‌های عمومی برای سرورهای فایل، سیستم‌عامل‌های Unix، ویندوز NT ، ۲۰۰۰ ، ۲۰۰۳ و NetWare می‌باشد.
لایه ۳ : سرورهای پست الكترونیك
سرورهای پست الكترونیك در دروازه عبور و مرور قرار داشته و ترافیك ورودی یا خروجی یك سازمان را پردازش می‌كنند. آنها همانند محصولات پست الكترونیك از قبیل Microsoft Exchange یا Lotus Notes/Domino از پروتكل‌های مربوطه مانند پروتكل SMTP ( Simple Mail Transfer Protocol ) پشتیبانی می‌كنند.
پژوهش دقیقی كه در ماههای ژانویه تا مارس سال ۲۰۰۰ توسط مدیر پیام‌های شركت Pitney Bowes صورت گرفت، نشان داد كه بطور میانگین برای هر ۱۰۰۰ كارمند، روزانه ۵۰ نامه الكترونیكی مورد رسیدگی قرار می‌گیرد. سازمان‌های بزرگ می‌توانند روزانه تا پنجاه هزار پیام پست الكترونیكی را دریافت كنند كه در بعضی موارد این تعداد به یك میلیون عدد می‌رسد. طبق برآورد شركت IDC (شركت اطلاعات بین‌المللی) در سال ۲۰۰۵، روزانه در حدود ۳۵ بیلیون نامه الكترونیكی ارسال خواهد شد. تركیب چنین سطحی از ترافیك با تكثیر ویروس‌های مبتنی بر نامه‌های الكترونیكی به این معنی است كه نامه‌های الكترونیكی اصلی‌ترین مسیر مورد استفاده ویروس‌ها برای ورود به سازمان‌ها خواهند بود - همانگونه كه در حال حاضر هم چنین می‌باشد. بعضی از شركت‌ها می‌توانند روزانه دهها و شاید هم صدها ویروس را در دروازه رفت و آمد نامه‌ها متوقف كنند.
لایه ۴ : خدمات مدیریت شده
«خدمات مدیریت شده» در طی چندین سال گذشته به وجود آمده و به عنوان غیر واضح‌ترین لایه از چهار لایه IT بر پا شده‌اند. اساسا این مورد به شركت ثالثی مربوط می‌شود كه تعدادی نرم‌افزار و مشخصه‌های مورد نظر را در یك سرویس خدماتی یا دستگاه سخت‌افزاری دسته‌بندی می‌كند تا بتواند آن را برای شركتی دیگر مدیریت كند. از سودمندی‌های این نوع خدمات مدیریت شده باید به این مطلب اشاره كرد كه با این سرویس‌ها می‌توان از كارهای اضافه مدیر سیستم برای مدیریت پروسه‌ها كاست.
نمونه‌ای از شركت‌هایی كه خدمات مدیریت شده عرضه می‌كنند، ISP ها (شركت‌های خدمات‌دهنده سرویس‌های اینترنتی) می‌باشند. ممكن است شركتی بخواهد مسیر عبور و مرور نامه‌های الكترونیكی خود را یك ISP قرار دهد و از پویشگرهای ISP برای بررسی ویروس‌ها، اسپم‌ها، فایل‌های آلوده و ... استفاده كند. در اینصورت ISP تصمیم می‌گیرد چه اعمال متناسبی را انجام دهد - مثلا اینكه آیا نامه دریافتی را برای شركت مورد نظر ارسال كند یا نه. ISP مورد نظر برای انجام چنین خدماتی، حق‌الزحمه‌ای را از شركت مطالبه خواهد كرد.
نوع دیگری از خدمات مدیریت شده، ابزارها و اسباب سخت‌افزاری هستند. این ابزار یا اسباب معمولا سرورهایی مخصوص هستند كه در حاشیه شبكه قرار داشته و ترافیك وارد و خارج شده از سازمان را كنترل می‌كنند. این اسباب سخت‌افزاری خود شامل تمام موارد مورد نیاز بوده و مانند نرم‌افزارهای ضد ویروس می‌توانند شامل نرم‌افزارهای دیوار آتش (Firewall) هم باشند. معمولا برای سازمان‌ها مقدور نیست كه نرم‌افزارهای مورد نظر خود را به این اسباب اضافه كنند. این اسباب توسط شركت‌های فروشنده آنها كنترل (كنترل راه دور) می‌شوند.
●ثمرات پویش ویروس در هر یك از لایه‌ها
لایه ۱ : كامپیوترهای كاربران
لایه كامپیوترهای رومیزی و كامپیوترهای Laptop مهم‌ترین لایه برای پویش ویروس‌ها می‌باشد. این لایه، تنها لایه‌ای است كه در آن هر فرد می‌تواند هرگونه اطلاعاتی را از هر منبع مجازی مورد استفاده قرار دهد. این لایه تنها جایی است كه پویش باید بر فایل‌های داخل CD ها، كامپیوترهای كف‌دستی در حال هماهنگ‌سازی اطلاعات، دیسكت‌ها و ... صورت گیرد. با توجه به اینكه ممكن است به هر دلیلی نرم افزار ضد ویروس، در دروازه نامه‌ها قرار نداشته باشد و یا اینكه به روز نشده باشند، می‌توان نامه‌ها و فایل‌های پیوندی آنها را در این لایه مورد پویش قرار داده و با این كار از آلوده شدن شبكه توسط ویروس‌ها جلوگیری كرد. همچنین ترافیك HTTP وارد شده از وب را هم می‌توان در كامپیوترهای رومیزی پویش كرد (بعضی شركت‌ها تصمیم می‌گیرند تا اعمال محافظتی اضافه‌ای را برای ترافیك HTTP یا FTP - برای مثال در دروازه ورود و خروج - اعمال كنند، اما هنگامی كه با این كار، كارایی مورد نظر آنها در مقایسه با تهدیدات واقعی كاهش می‌یابد، بسیاری از آنها ترجیح می‌دهند تا مقابله با ویروس‌ها را در همان كامپیوترهای رومیزی انجام دهند.).
دلیل مهم دیگر برای داشتن نرم افزار ضد ویروس بر روی كامپیوترهای رومیزی آن است كه آنجا تنها جایی است كه می‌توان اطلاعات رمز شده‌ای مانند اطلاعات استفاده كننده از قوانین SSL (لایه سوكت‌های امن) - كه برای تبادلات امن اینترنتی مورد استفاده قرار می‌گیرد - را مورد بازرسی قرار داد. اطلاعات رمز شده تا هنگامی كه از حالت رمز خارج نشوند، توسط هیچ نرم‌افزار ضد ویروسی قابل پویش نخواهند بود.
دشواری‌های پویش در این لایه از زیرساخت IT ناشی از گرفتاری‌های كلی مدیر سیستم برای مدیریت كامپیوترهای كاربران است. همانطور كه قبلا توضیح داده شد، تعداد متغیر كامپیوترها می‌تواند باعث بوجود آمدن خطاها و مشكلات بالقوه‌ای شود. در زمانی كه نظارت‌های مدیریتی سختگیرانه به كار برده نشود و یا آنها دقیقا رعایت نشوند، كاربران می‌توانند تنظیمات و توافقات مورد نیاز برای امنیت شبكه را مورد آسیب قرار دهند. نیز بدیهی است كه نرم‌افزار ضد ویروس تنها زمانی موثر است كه كاملا به روز نگاه داشته شود.لایه ۲ : سرورهای فایل
انجام پویش در لایه سرور فایل بسیار ساده‌تر و قابل فهم‌تر است چرا كه عموما تعداد بسیار كمتری سرور فایل نسبت به كامپیوترهای رومیزی وجود داشته و كنترل آنها برای یك مدیر سیستم بسیار ساده‌تر است.تا مدتی قبل، بسیاری از شركت‌ها با علم به اینكه اگر فایل آلوده‌ای به هر روشی وارد سرور آنها شود، پویش‌های كامپیوترهای رومیزی از باز شدن آن‌ها به هنگام تلاش یك كاربر برای دسترسی به آنها جلوگیری خواهد كرد، ترجیح می‌دادند از پویش‌های زمان‌بندی شده در سرورهای خود استفاده كنند. اما با نمایان شدن انواع جدیدتر ویروس‌ها - مخصوصا ویروس‌هایی كه شبكه را به كمك اشتراكات شبكه‌ای، نامه‌ها و وب‌سایت‌ها آلوده می‌كنند - تصمیم بر آن شد كه از پویش‌های همیشه فعال - حداقل در سرورها - استفاده شود. گرچه در گذشته بعضی سازمان‌ها ترجیح می‌دادند تا فقط از پویش‌های زمان‌بندی شده یا زمان نیاز استفاده كنند، اما در حال حاضر پویش‌های همیشه فعال به عنوان راهی موثر برای آگاهی از ورود ویروس‌ها به سازمان و جلوگیری از انتشار سریع آنها در شبكه مورد استفاده قرار می‌گیرند.
همانطور كه قبلا هم توضیح داده شد، پیش‌فرض پویش در لایه سرور فایل آن است كه همه فایل‌ها نیازی به پویش ندارند، فایل‌های CD و DVD ، اطلاعات HTTP یا FTP و مانند آن باید مستقیما وارد كامپیوترهای كاربران شده و در آنجا پویش شوند.
لایه ۳ : سرورهای پست الكترونیك
از ماه مارس سال ۱۹۹۹ كه كرم WM۹۷/Melissa (از نوع ماكرو برنامه Word) ظاهر شد تا به امروز تعداد ویروس‌ها و كرم‌های مبتنی بر نامه‌های الكترونیكی بسیار اوج گرفته است. از بارزترین نمونه‌های آنها می‌توان ویروس W۳۲/Magistr ، كرم‌های اسكریپتی ویژوال بیسیك مانند Love Bug (VBS/LoveLetter) و VBS/Kakworm و كرم‌های Windows ۳۲ مانند W۳۲/Klez را نام برد. خسارت های كرم NetSky و Beagle هنوز فراموش نشده است.
این گونه ویروس‌ها و كرم‌ها سعی می‌كنند تا به چندین روش خود را منتشر كنند اما عمومی‌ترین روش آنها، ارسال از طریق فایل‌های پیوندی نامه‌های الكترونیكی است كه آن را به بعضی یا تمام آدرس‌های موجود در دفترچه آدرس فرد دریافت كننده ویروس ارسال می‌كنند. به این طریق صدها هزار كاربر در زمان كوتاهی آلوده می‌شوند. سرعت انتشار و میزان آلودگی مورد بحث، ما را متوجه می‌كند كه در حال حاضر پویش در دروازه بسیار مهم‌تر از پویش درون كامپیوترها می‌باشد.
سازمان‌ها با انجام پویش در دروازه می‌توانند با تهدیدات، قبل از رسیدن آنها به كامپیوترها مقابله كنند. این كار باعث صرفه‌جویی مقدار زیادی از زمان مدیر سیستم می‌شود، چرا كه مدیر سیستم باید مشكل را فقط در یك محل - سرور پست الكترونیك - بررسی كند و نه در همه كامپیوترها. همچنین جلوگیری از ورود ویروس به شبكه زمان‌های تلف شده سازمان را از بین می‌برد - آغاز شیوع كرم‌ها مانند كرم Love Bug شبكه‌های سازمان‌ها را به حالت سكون برده و فعالیت‌های بازرگانی را فلج می‌كند. به علاوه كرم‌هایی مانند W۳۲/Sircam اسنادی را كه در دیسك سخت پیدا می‌كنند، به نامه پیوند زده و برای بقیه ارسال می‌كنند كه این كار به استحكام و محرمانه بودن اطلاعات شركت و بالتبع نام و آوازه آن صدمه می‌زند.
نرم افزار ضد ویروس دروازه عبور و مرور، نامه‌هایی كه قصد ورود به شركت یا خروج از آن را دارند و همچنین فایل‌های پیوندی آنها را بررسی می‌كند. محصولات مربوط به پست الكترونیك شامل پویش‌های database و mailbox هم می‌شوند و این بدان معنی است كه حتی اگر ویروسی - به خاطر عواملی مانند تاخیر در به روز كردن نرم افزار ضد ویروس و یا ... - در همان پویش بلادرنگ اولیه مورد شناسایی قرار نگیرد، در پویش‌های زمان‌بندی شده یا پویش‌های به هنگام نیاز، شناسایی خواهد شد.به هر حال با توجه به مباحثی مانند زمان، هزینه، شهرت و ... پویش كردن نامه‌های الكترونیكی در همان بدو ورود یا خروج از سازمان از سفارش شده‌ترین توصیه‌ها می‌باشد.پیش فرض در این لایه بر آن است كه همه اطلاعات در دروازه مورد بازرسی قرار نگیرند، بلكه رسانه‌های مورد استفاده كاریر و نامه‌های رمز شده در دستگاه‌های كاربران پویش شوند.
لایه ۴ : خدمات مدیریت شده
بارزترین مزیت استفاده از یك بخش ثالث برای انجام امور محافظت از اطلاعات در همان محدوده شبكه، آن است كه مدیر سیستم می‌تواند زمان خود را صرف فعالیت‌های دیگر كند. به علاوه هزینه انجام اعمال امنیتی در این لایه بسیار قابل پیش بینی تر از سایر لایه‌ها است.با این حال باید این مطلب را هم در نظر داشته باشیم كه در مقابل چنین مزیتی عیب بزرگی هم وجود دارد و آن این است كه تمام امور كاملا در خارج از كنترل سازمان و مدیر سیستم انجام می‌شوند. در اینصورت سازمان تقریبا همواره تابع تنظیمات، تصمیمات و كارایی‌های ISP و یا سایر سرویس‌ها بوده و اگر مشكلی در عمل رخ دهد - مثل بوجود آمدن اشكال در مسیریابی شبكه - كوچكترین كاری از شركت ساخته نخواهد بود. در ضمن باید موارد مربوط به محرمانه بودن اطلاعات را هم مد نظر داشت، چرا كه كارمندان و سایر افراد قادر خواهند بود تا در خارج از سازمان اطلاعات درون نامه‌ها را مشاهده كنند.در صورتی كه خدمات مدیریت شده بوسیله سخت افزار انجام شود، كنترل بیشتری بر روی آنها خواهد بود، ولی باز هم می‌دانیم كه آن اسباب هم توسط بخشی ثالث مدیریت خواهند شد.
●انتخاب یك روش ضد ویروسی
در بازنگری فاكتورهای موثر بر انتخاب یك روش ضد ویروسی، به معیارهایی متضاد برای افزایش امنیت در مقابل كاهش هزینه برمی‌خوریم.
▪محافظت در لایه ۴ - لایه خدمات مدیریت شده - هزینه را كاهش می‌دهد و محافظت در لایه ۱ امنیت را افزایش خواهد داد.
▪بسیار منطقی است اگر تمام شركت‌ها در لایه ۱ - لایه كامپیوترهای كاربران - اعمال محافظتی را انجام دهند. سیاست‌های محافظتی در شركت‌های ضد ویروسی متفاوت است، اما امنیت در لایه ۱ ، با ایجاد امنیت در لایه سرور فایل - لایه ۲ - امكان‌پذیرتر خواهد بود.
▪علیرغم داشتن لایه‌های ۱ و ۲ محافظت شده، ممكن است سازمان‌ها با در نظر داشتن مواردی مانند هزینه و امنیت بخواهند امنیت را در لایه‌های ۳ و یا ۴ هم برقرار كنند. به كار گیری نرم‌افزار ضد ویروس در لایه ۳ - دروازه ورود و خروج - امكان كنترل بسیار بیشتر و فراهم كردن امنیت محرمانگی بهتری را برای سازمان در بر دارد. با این حال واگذار كردن امور به خدمات مدیریت شده ممكن است راه حلی ارجح برای شركت‌های باشد كه هزینه از اهمیت بالایی برای آنها برخوردار است.