چهارشنبه, ۱۷ بهمن, ۱۴۰۳ / 5 February, 2025
ایمن سازی و ارزیابی امنیت دو گام مهم در امنیت فناوری اطلاعات
در فرآیند ایمنسازی، سعی در انتخاب توپولوژی مناسب، بهكارگیری نرمافزارها و پروتكلهای ایمن و در عین حال كارا به منظور حداقل كردن آسیبپذیریها و رخنههای امنیتی بالقوه در شبكه داریم. در ارزیابی امنیتی، میزان امنیت حاصل شده در فرآیند ایمنسازی، سنجیده میشود. در ارزیابی امنیتی شبكه، آنچه كه برای حمله به یك شبكه مورد استفاده مهاجمان میتواند قرار گیرد مثل دسترسی فیزیكی، آسیبپذیریهای اجزای بكار رفته در شبكه و ضعفهای سیاست امنیتی و تشكیلات و روشها، ارزیابی میشوند. در این قسمت تهدیدات (انگیزههای حمله ) و آسیبپذیریهای شناخته شده در مورد یك شبكه و سیستمهای كامپیوتری بررسی میشوند. حوادث امنیتی مرتبط با تعداد زیادی از تهدیدات از وجود آسیبپذیریهای شناخته شده استفاده میكنند.
ارزیابی امنیتی شبكههای كامپیوتری را باید فرآیندی مداوم، مهم و حیاتی در كنار فرآیند ایمنسازی شبكههای كامپیوتری قلمداد كرد. ارزیابی امنیتی نسبت به ایمنسازی از پیچیدگی بسیار زیادی برخوردار است. پیچیدگی ارزیابی امنیتی، هنگامی كه با دغدغه صاحبان شبكهها مبنی بر وارد نشدن خطرجدی به شبكه (خصوصا در مورد حملات DoS)، همراه میشود، چند برابر میشود.
علاوه بر این، بحث آسیبپذیریهای جدید كشف شده و به روز كردن پایگاه داده آسیبپذیریها از مشكلات همیشگی ارزیابی امنیتی خواهد بود. در ارتباط با ارزیابی امنیتی مستنداتی مانند پیش نویس رهنمودهای تست امنیتی شبكه NIST راهنمایی معیارهای امنیتی برای سیستمهای فناوری OSSTMM، روش ارزیابی امنیتی شبكه اطلاعات وNIST روش ارزیابی امنیت پیشنهاد شده توسط موسسه SANS، موجود هستند. البته در این مستندات به مسائل فنی ارزیابی بهطور دقیق پرداخته نشده، و تنها مسائل به صورت كلی و بدون ذكر چگونگی انجام آنها بیان شده اند. ممكن است یك سازمان به دلایل امنیتی متمایل به استفاده از روش خود ارزیابی نباشد، چرا كه در ارزیابی امنیتی بهوسیله یك تیم خارج از سازمان اطلاعات مربوط به وضعیت امنیتی شبكه در اختیار افراد خارج از سازمان قرار میگیرد كه خطرات احتمالی خاص خود را به همراه دارد. لذا در صورت ارزیابی امنیتی شبكه یك سازمان توسط یك تیم خارج از سازمان، باید به محرمانه بودن اطلاعات استخراجی از وضعیت امنیتی شبكه تاكید فراوان شود و جنبههای حقوقی آن در قرارداد ذكر شود. یكی ازشیوههای ارزیابی امنیت استفاده از فراهم آوردگان سرویسهای امنیتی مدیریت شده قراردادی، OMSS، است. در این روش سرویسهای امنیتی سازمان بهوسیله سازمانی دیگر ایجاد و مدیریت میشوند. استفاده از روشOMSS موجب كاهش هزینهها و دسترسی به افراد خبره در زمینه امنیت میشود. این سرویسها شامل ارزیابیهای امنیتی و تستهای نفوذ نیز هست. روشهایی كه در این گونه ارزیابیهای امنیتی به كار گرفته میشوند كاملا تخصصی و با استفاده از ابزارهای اختصاصی و تجاری است. شركتCSS یكی از شركتهایی است كه چنین سرویسی را ارائه میكند. این شركت دارای استاندارد سطح SO I در زمینه ارزیابی امنیت شبكه است و از ابزاری با نامHydra Expert Assessment Technology استفاده میكند.
بنا به گزارشCERT در سال حداقل شصت درصد سازمانها نظارت بر مرزهای شبكه خود را از این طریق انجام خواهند داد. در مقابل شیوه ارزیابیOMSS كه توسط شركتهای طرف قرارداد سازمان انجام میشوند و نیاز به دانش فنی بالا دارند، بعضی سازمانها از شیوههای خودارزیابی استفاده میكنند. این شیوه بهدلیل محرمانه بودن فعالیتهای سازمان، توسط بخشIT سازمان و با ابزارهای عمومی و غیراختصاصی صورت میگیرد. موضوع مهم دیگری كه در ارزیابی باید مد نظر قرار گیرد، اثرات مخرب احتمالی است كه ممكن است در طول ارزیابی به شبكه وارد شود. در ارزیابی آسیبپذیریهایی كه به طور مستقیم از خود آسیبپذیری استفاده میشود ممكن است خساراتی به شبكه وارد شود، مثلا ممكن است سیستم مورد ارزیابیCrash كند، وAccount گذرواژه مدیر شبكه شكسته شود و یا یك Backdoor در سیستم ایجاد شود.
لذا این گونه موارد باید به اطلاع صاحبان و مدیران شبكه رسانده شود و با هماهنگی و توافق آنها ارزیابی انجام شود. قبل از انجام هر گونه ارزیابی هدف از انجام ارزیابی و گروه ارزیابیكننده و اینكه چه مواردی از ارزیابی امنیتی مدنظر است، باید مشخص شود.
این موارد و هم چنین نتایج ارزیابی باید بهطور دقیق مستندسازی شوند. در واقع سه مرحله تصمیم گیری، انجام ارزیابی امنیتی و مستندسازی برای یك فرآیند ارزیابی میتوان تصور كرد. مرحله مستندسازی بهطور همزمان با مرحله تصمیمگیری و انجام ارزیابی انجام میشود و نتایج آنها بهطور كامل مستند میشود. در مرحله تصمیم گیری هدف از انجام ارزیابی و هم چنین موارد ارزیابی مشخص میشود. در این مرحله میان تیم ارزیابیكننده و سازمان قرارداد بسته میشود. بهطور كلی توافق میان سازمان و گروه ارزیاب بهطور مشخص بیان و مستندسازی میشود. از آنجا كه در ارزیابی امنیتی شبكه از ابزارهای حمله نیز استفاده میشود یا یك حمله شبیه سازی میشود كه ممكن است خلاف قانون باشد، لذا نیاز است تا در متن قرارداد یك اجازه مكتوب برای انجام عملیات ارزیابی كه با مدیر و صاحب شبكه توافق شده است، تهیه شود. بهطور كلی در قرارداد موارد زیر باید قید شود :
آدرسها یا گسترههایی كه قرار است تست شوند.
میزبانهایی كه نباید تست شوند.
مطلع شدن سازمان از نوع عملیات ارزیابی و اثرات آن توسط گروه ارزیاب.
لیستی از تكنیكهای تست قابل قبول (مثل مهندسی اجتماعی یا وoSD) و یا ابزارهای قابل قبول ذكر این موارد در قرارداد بسیار مهم است.
ایران مسعود پزشکیان دولت چهاردهم پزشکیان مجلس شورای اسلامی محمدرضا عارف دولت مجلس کابینه دولت چهاردهم اسماعیل هنیه کابینه پزشکیان محمدجواد ظریف
پیاده روی اربعین تهران عراق پلیس تصادف هواشناسی شهرداری تهران سرقت بازنشستگان قتل آموزش و پرورش دستگیری
ایران خودرو خودرو وام قیمت طلا قیمت دلار قیمت خودرو بانک مرکزی برق بازار خودرو بورس بازار سرمایه قیمت سکه
میراث فرهنگی میدان آزادی سینما رهبر انقلاب بیتا فرهی وزارت فرهنگ و ارشاد اسلامی سینمای ایران تلویزیون کتاب تئاتر موسیقی
وزارت علوم تحقیقات و فناوری آزمون
رژیم صهیونیستی غزه روسیه حماس آمریکا فلسطین جنگ غزه اوکراین حزب الله لبنان دونالد ترامپ طوفان الاقصی ترکیه
پرسپولیس فوتبال ذوب آهن لیگ برتر استقلال لیگ برتر ایران المپیک المپیک 2024 پاریس رئال مادرید لیگ برتر فوتبال ایران مهدی تاج باشگاه پرسپولیس
هوش مصنوعی فناوری سامسونگ ایلان ماسک گوگل تلگرام گوشی ستار هاشمی مریخ روزنامه
فشار خون آلزایمر رژیم غذایی مغز دیابت چاقی افسردگی سلامت پوست