دفاع چندلایه‌ای در مقابل ویروس‌ها

زیرساخت IT
زیرساخت IT یك سازمان می‌تواند شامل ۴ لایه باشد.
۱- كامپیوترهای لایه كاربران : این لایه در قلب سازمان قرار داشته و شامل كامپیوترهای رضوی میزپرسنل ، كامپیوترهای Laptop و سایر ابزارهایی است كه توسط كارمندان مورد استفاده قرار می‌گیرند.
۲- سرورهای فایل‌های محلی : این لایه كه در اصل روی لایه كامپیوترهای كاربران قرار دارد، شامل اطلاعات و برنامه‌هایی است كه در سرتاسر سازمان بین كامپیوترهای رومیزی به اشتراكshare) (گذاشته شده‌اند.
۳- سرورهای پست الكترونیكی : این لایه در مرز سازمان قرار داشته و مجرای عبور و مرور تمام نامه‌های ورودی و یا خروجی سازمان است.
۴- خدمات مدیریت شده : این قسمت بیرونی‌ترین لایه زیرساخت IT بوده که می‌تواند در داخل یا خارج سازمان قرار داشته باشد. در این لایه نرم‌افزاری كه به عنوان بخشی از سرویس به کارگرفته شده ، توسط بخش ثالث - مانند یك ISP (Internet Service Provider) - اداره می‌شود.
مشخصه‌های هر لایه
لایه ۱ : كامپیوترهای لایه كاربران
این لایه آسیب‌پذیرترین قسمت در یك سازمان است، چرا كه بیشترین كنترل بر كامپیوترها در این بخش، در اختیار كاربران است.شاید مدیران سیستم بتوانند این كامپیوترها را در بعضی زمینه‌ها و به خصوص در سیستم‌‌های عامل ویندوز ۲۰۰۰ و Mac OS X محدود كنند، اما در سیستم‌های ‌عاملی همچون ویندوز ۹۵ یا ۹۸ و یا نسخه‌های قدیمی كامپیوترهای مكینتاش امكان كنترل مدیریتی بسیار محدودی وجود دارد. با این وجود چیزی كه واقعا كامپیوترهای رومیزی و Laptop ها را آسیب‌پذیر می‌كند، "محل دریافت انواع اطلاعات" است. این اطلاعات نه تنها از یك سرور فایل یا سرور پست الكترونیكی، بلكه گاها" میتواند از نقل و انتقال‌های صورت گرفته HTTP روی وب، فایل FTP ، سی‌دی ها، همزمان‌سازی اطلاعات با كامپیوترهای ‌دستی و مانند آن دریافت شود.
مدیریت كامپیوتر كاربران به دلیل تغییر مداوم تعداد آنها بسیار مشكل است. این در حالی است که گاهی اوقات و درعمل، حتی دانستن تعداد كامپیوترهای موجود (با وجود كامپیوترهای همراه كاربران و غیره) هم برای بسیاری از شركت‌ها مشكل است.
لایه ۲ : سرورهای فایل
بسیاری از شركت‌ها سرور فایل‌های بسیار كمتری نسبت به تعداد كامپیوترهای كاربران در اختیار دارند.لذا در این مورد مدیران سیستم بر تمام مواردی كه روی هر سرور وجود دارد، كنترل بسیار زیادی داشته و می‌توانند توانایی‌های كاربران دراستفاده از كامپیوترها را به مفیدی تنظیم كنند. بنابراین از آنجا كه مدیران سیستم می‌توانند دستیابی به اطلاعات را از طریق به اشتراك گذاشتن آنها بر روی سرور برای كاربران فراهم كنند، در نتیجه كاربران كنترلی بر روی تنظیمات نخواهند داشت. سیستم های ‌عامل‌ عمومی برای سرورهای فایل نیز شامل سیستم‌عامل‌های Unix، ویندوز NT ، ۲۰۰۰ ، ۲۰۰۳ و NetWare می شود.
لایه ۳ : سرورهای پست الكترونیكی
سرورهای پست الكترونیكی دروازه عبور و مرور محسوب شده و ترافیك ورودی یا خروجی یك سازمان را پردازش می‌كنند. آنها همانند محصولات مرتبط با پست الكترونیكی از قبیل Microsoft Exchange یا Lotus Notes/Domino از پروتكل‌های مربوطه همچون پروتكل SMTP (پروتكل نقل و انتقال نامه‌های غیر پیچیده) پشتیبانی می‌كنند.پژوهش دقیقی كه در ماه های ژانویه تا مارس سال ۲۰۰۰ توسط مدیربخش پیام‌های شركت Pitney Bowes صورت گرفت، نشان داد كه به طور میانگین برای هر ۱۰۰۰ كارمند، روزانه ۵۰ نامه الكترونیكی مورد رسیدگی قرار می‌گیرد.این در حالی است که سازمان‌های بزرگ می‌توانند روزانه تا پنجاه هزار پیام الكترونیكی را دریافت كنند كه در بعضی موارد این تعداد به یك میلیون نیزمی‌رسد.طبق برآورد شركت IDC (شركت اطلاعات بین‌المللی) در سال ۲۰۰۵، روزانه حدود ۳۵ میلیارد نامه الكترونیكی ارسال خواهد شد.با این تفاسیر می توان گفت تركیب چنین سطحی از ترافیك با تكثیر ویروس‌های مبتنی بر نامه‌های الكترونیكی به این معنی است كه نامه‌های الكترونیكی اصلی‌ترین مسیر مورد استفاده ویروس‌ها برای ورود به سازمان‌ها خواهند بود - کمااین كه در حال حاضرنیزوضعیت این چنین است.اما از سوی دیگر بعضی از شركت‌ها می‌توانند روزانه ده ها و شاید هم صدها ویروس را در مدخل ورود وخروج نامه‌ها متوقف كنند.
لایه ۴ : خدمات مدیریت شده
«خدمات مدیریت شده» در چندین سال گذشته به وجود آمده که از آن با عنوان غیر واضح‌ترین لایه از چهار لایه IT نیز نام برده می شود. اساسا این مورد به شركت ثالثی مربوط می‌شود كه تعدادی نرم‌افزار و مشخصه‌های مورد نظر را در یك سرویس خدماتی یا دستگاه سخت‌افزاری دسته‌بندی می‌كند تا بتواند آن را برای شركتی دیگر مدیریت كند. از سودمندی‌های این نوع خدمات مدیریت شده میتوان به این مورد اشاره كرد كه با استفاده از سرویس‌ها مذکور می‌توان از كارهای اضافه مدیر سیستم برای مدیریت پروسه‌ها كاست.نمونه‌ای از شركت‌هایی كه خدمات مدیریت شده عرضه می‌كنند، ISP ها (شركت‌های ارایه‌دهنده خدمات اینترنتی) هستند. این امکان وجود دارد که شركتی بخواهد مسیر عبور و مرور نامه‌های الكترونیكی خود را یك ISP قرار داده و از پویشگرهای ISP برای کنترل ویروس‌ها، اسپم‌ها، فایل‌های آلوده و غیره استفاده كند. در این صورت ISP تصمیم می‌گیرد چه اعمال متناسبی را انجام دهد - مثلا اینكه آیا نامه دریافتی را برای شركت مورد نظر ارسال كند یا نه. در این صورت نیزISP مورد نظر برای انجام چنین خدماتی، حق‌الزحمه‌ای را از شركت مطالبه خواهد كرد.نوع دیگری از خدمات مدیریت شده، ابزارها و ادوات سخت‌افزاری هستند. این ابزارها معمولا سرورهای مخصوصی هستند كه در حاشیه شبكه قرار داشته و ترافیك وارد و خارج شده از سازمان را كنترل می‌كنند. این ادوات سخت‌افزاری خود شامل تمام موارد مورد نیاز بوده و مانند نرم‌افزارهای ضد ویروس می‌توانند شامل نرم‌افزارهای دیوار آتش (Firewall) هم باشند. معمولا برای سازمان‌ها این امکان وجود ندارد كه نرم‌افزارهای مورد نظر خود را به این اسباب اضافه كنندو این ادوات توسط شركت‌های فروشنده آنها كنترل (كنترل راه دور) می‌شوند.
ثمرات کنترل ویروس در هر یك از لایه‌ها
لایه ۱ : كامپیوترهای كاربران
لایه كامپیوترهای رومیزی و كامپیوترهای Laptop مهم‌ترین لایه برای کنترل ویروس‌ها است. این لایه، تنها لایه‌ای است كه در آن هر فرد می‌تواند هرگونه اطلاعاتی را از هر منبع مجازی مورد استفاده قرار دهد. این لایه تنها جایی است كه باید کنترل بر فایل‌های داخل CD ها، كامپیوترهای ‌دستی در حال هماهنگ‌سازی اطلاعات و دیسكت‌ها صورت گیرد. از سوی دیگر این احتمال وجود دارد که به هر دلیلی نرم افزار ضد ویروس، در دروازه نامه‌ها قرار نداشته و یا به روز نشده باشدکه در این صورت می‌توان نامه‌ها و فایل‌های پیوندی آنها را در این لایه مورد کنترل قرار داده و با این كار از آلوده شدن شبكه توسط ویروس‌ها جلوگیری كرد. همچنین ترافیك HTTP وارد شده از وب را هم می‌توان در كامپیوترهای رومیزی کنترل كرد (بعضی شركت‌ها اعمال محافظتی اضافه‌ای را برای ترافیك HTTP یا FTP - برای مثال در دروازه ورود و خروج – اعمال می كنند، اما هنگامی كه با این عمل، كارایی مورد نظر آنها در مقایسه با تهدیدات واقعی كاهش می‌یابد، بسیاری از آنها ترجیح می‌دهند تا مقابله با ویروس‌ها را در همان سطح كامپیوترهای رومیزی انجام دهند.).دلیل مهم دیگر برای داشتن نرم افزار ضد ویروس روی كامپیوترهای رومیزی این است كه لایه مذکور تنها جایی است كه می‌توان اطلاعات رمز شده‌ای مانند اطلاعات استفاده كننده از قوانین SSL (لایه سوكت‌های امن) را مورد بازرسی قرار داد. در این خصوص نیز اطلاعات رمز شده تا هنگامی كه رمز گشایی نشوند، توسط هیچ نرم‌افزار ضد ویروسی قابل کنترلنخواهند بود.اما دشواری‌های کنترل در این لایه از زیرساخت IT عموما"به گرفتاری‌های كلی مدیر سیستم برای مدیریت كامپیوترهای كاربران بازمی گردد. همانطور كه قبلا توضیح داده شد، تعداد متغیر كامپیوترها می‌تواند باعث بوجود آمدن خطاها و مشكلات بالقوه‌ای شود و زمانی كه نظارت‌های مدیریتی سختگیرانه به كار برده نشود و یا آنها دقیقا رعایت نشوند، كاربران می‌توانند تنظیمات مورد نیاز امنیت شبكه را مورد آسیب قرار دهند.بدیهی است نرم‌افزار ضد ویروس تنها زمانی موثر است كه كاملا به روز نگاه داشته شود.
لایه ۲ : سرورهای فایل
انجام کنترل در لایه سرور فایل بسیار ساده‌تر و قابل فهم‌تر است چرا كه عموما تعداد بسیار كمتری سرور فایل نسبت به كامپیوترهای رومیزی وجود داشته و كنترل آنها برای یك مدیر سیستم بسیار ساده‌تر است .پیش از این، بسیاری از شركت‌ها با علم به اینكه اگر فایل آلوده‌ای به هر روشی وارد سرور آنها شود، کنترل كامپیوترهای رومیزی از باز شدن آن‌ها جلوگیری خواهد كرد، ترجیح می‌دادند از کنترل های زمان‌بندی شده در سرورهای خود استفاده كنند. اما با نمایان شدن انواع جدیدتر ویروس‌ها - مخصوصا ویروس‌هایی كه شبكه را به كمك اشتراكات شبكه‌ای، نامه‌ها و وب‌سایت‌ها آلوده می‌كنند - تصمیم بر آن شد كه از کنترل ‌های همیشه فعال - حداقل در سرورها - استفاده شود. گرچه در گذشته بعضی سازمان‌ها ترجیح می‌دادند تا فقط از کنترل ‌های زمان‌بندی شده یا زمان نیاز استفاده كنند، اما در حال حاضر کنترل های همیشه فعال به عنوان راهی موثر برای آگاهی از ورود ویروس‌ها به سازمان و جلوگیری از انتشار سریع آنها در شبكه مورد استفاده قرار می‌گیرند.همانطور كه قبلا هم توضیح داده شد، پیش‌فرض کنترل در لایه سرور فایل آن است كه همه فایل‌ها نیازی به کنترل ندارند، فایل‌های CD و DVD ، اطلاعات HTTP یا FTP و مانند آن باید مستقیما وارد كامپیوترهای كاربران شده و در آنجا کنترل شوند.
لایه ۳ : سرورهای پست الكترونیكی
از ماه مارس سال ۱۹۹۹ كه كرم WM۹۷/Melissa (از نوع ماكرو برنامه Word) ظاهر شد تا به امروز تعداد ویروس‌ها و كرم‌های مبتنی بر نامه‌های الكترونیكی بسیار اوج گرفته است. از بارزترین نمونه‌های آنها می‌توان ویروس W۳۲/Magistr ، كرم‌های اسكریپتی ویژوال بیسیك مانند Love Bug (VBS/LoveLetter) و VBS/Kakworm و كرم‌های Windows ۳۲ مانند W۳۲/Klez را نام برد.این گونه ویروس‌ها و كرم‌ها سعی می‌كنند تا به چندین روش خود را منتشر كنند اما عمومی‌ترین روش آنها، ارسال از طریق فایل‌های ضمیمه نامه‌های الكترونیكی است كه آن را به تعدادی و یا تمام آدرس‌های موجود در دفترچه آدرس فرد دریافت كننده ویروس ارسال می‌كنند که به این طریق صدها هزار كاربر در زمان كوتاهی آلوده می‌شوند. سرعت انتشار و میزان آلودگی مورد بحث، ما را متوجه این موضوع می‌كند كه در حال حاضر کنترل دروازه بسیار مهم‌تر از کنترل درون كامپیوترها است.سازمان‌ها با انجام کنترل دروازه ای می‌توانند با تهدیدات، قبل از رسیدن آنها به كامپیوترها مقابله كنند. این كار باعث صرفه‌جویی حجم زیادی از زمان مدیر سیستم می‌شود، چرا كه مدیر سیستم باید مشكل را فقط در یك محل - سرور پست الكترونیكی - و نه در همه كامپیوترها بررسی كند. همچنین جلوگیری از ورود ویروس به شبكه زمان‌های تلف شده سازمان را از بین می‌برد - آغاز شیوع كرم‌هایی مانند كرم Love Bug شبكه‌های سازمان‌ها را به حالت سكون برده و فعالیت‌های تجاری را فلج می‌كند. به علاوه كرم‌هایی مانند W۳۲/Sircam اسنادی را كه در دیسك سخت پیدا می‌كنند، به نامه پیوند زده و برای بقیه ارسال می‌كنند كه این كار به استحكام و محرمانه بودن اطلاعات شركت و بالطبع نام و آوازه آن صدمه می‌زند."نرم افزار ضد ویروس دروازه عبور و مرور"، نامه‌ها وهمچنین فایل‌های پیوندی آنها را كه قصد ورود یا خروج به شركت را دارند بررسی می‌كند. محصولات مربوط به پست الكترونیكی شامل کنترل های database و mailbox هم می‌شوند و این بدان معنی است كه حتی اگر ویروسی - به خاطر عواملی مانند تاخیر در به روز رسانی نرم افزار ضد ویروس و یا سایر وموارد - در همان کنترل اولیه مورد شناسایی قرار نگیرد، در کنترل ‌های زمان‌بندی شده یا کنترل ‌های به هنگام نیاز، شناسایی خواهد شد.به هر حال با توجه به مباحثی مانند زمان، هزینه، اعتبار و ... کنترل كردن نامه‌های الكترونیكی در همان بدو ورود یا خروج از سازمان از جمله مهمترین توصیه‌های امنیتی است.پیش فرض در لایه سرور پست الكترونیكی بر آن است كه همه اطلاعات در دروازه مورد بازرسی قرار نگیرند، بلكه رسانه‌های مورد استفاده كاریر و نامه‌های رمز شده در دستگاه‌های كاربران کنترل شوند.
لایه ۴ : خدمات مدیریت شده
بارزترین مزیت استفاده از یك بخش ثالث (خدمات مدیریت شده )برای انجام امور محافظت از اطلاعات در همان محدوده شبكه، آن است كه مدیر سیستم می‌تواند زمان خود را صرف فعالیت‌های دیگر كند. به علاوه هزینه انجام اعمال امنیتی در این لایه بسیار قابل پیش بینی تر از سایر لایه‌ها است.با این حال باید این مطلب را هم در نظر داشته باشیم كه در مقابل چنین مزیتی عیب بزرگی هم وجود دارد كه تمام امور كاملا در خارج از كنترل سازمان و مدیر سیستم انجام می‌شوند. در این صورت سازمان همواره تابع تنظیمات، تصمیمات و كارایی‌های ISP و یا سایر سرویس‌ها بوده و اگر مشكلی رخ دهد - مثل بوجود آمدن اشكال در مسیریابی شبكه - كوچكترین كاری از شركت ساخته نخواهد بود. در ضمن باید موارد مربوط به محرمانه بودن اطلاعات را هم مد نظر داشت، چرا كه كارمندان و سایر افراد قادر خواهند بود تا در خارج از سازمان اطلاعات درون نامه‌ها را مشاهده كنند.در صورتی كه خدمات مدیریت شده به وسیله سخت افزار انجام شود، كنترل بیشتری روی آنها خواهد بود، ولی باز هم می‌دانیم كه آن اسباب هم توسط بخش ثالثی مدیریت خواهند شد.
انتخاب یك روش ضد ویروسی
در بازنگری فاكتورهای موثر بر انتخاب یك راهکار ضد ویروسی، به معیارهایی متضاد برای افزایش امنیت در مقابل كاهش هزینه برمی‌خوریم.
ü محافظت در لایه ۴ - لایه خدمات مدیریت شده - هزینه را كاهش می‌دهد و محافظت در لایه ۱ امنیت را افزایش خواهد داد.
ü منط