شنبه, ۹ تیر, ۱۴۰۳ / 29 June, 2024
ایمن سازی و ارزیابی امنیت دو گام مهم در امنیت فناوری اطلاعات
در فرآیند ایمنسازی، سعی در انتخاب توپولوژی مناسب، بهكارگیری نرمافزارها و پروتكلهای ایمن و در عین حال كارا به منظور حداقل كردن آسیبپذیریها و رخنههای امنیتی بالقوه در شبكه داریم. در ارزیابی امنیتی، میزان امنیت حاصل شده در فرآیند ایمنسازی، سنجیده میشود. در ارزیابی امنیتی شبكه، آنچه كه برای حمله به یك شبكه مورد استفاده مهاجمان میتواند قرار گیرد مثل دسترسی فیزیكی، آسیبپذیریهای اجزای بكار رفته در شبكه و ضعفهای سیاست امنیتی و تشكیلات و روشها، ارزیابی میشوند. در این قسمت تهدیدات (انگیزههای حمله ) و آسیبپذیریهای شناخته شده در مورد یك شبكه و سیستمهای كامپیوتری بررسی میشوند. حوادث امنیتی مرتبط با تعداد زیادی از تهدیدات از وجود آسیبپذیریهای شناخته شده استفاده میكنند.
ارزیابی امنیتی شبكههای كامپیوتری را باید فرآیندی مداوم، مهم و حیاتی در كنار فرآیند ایمنسازی شبكههای كامپیوتری قلمداد كرد. ارزیابی امنیتی نسبت به ایمنسازی از پیچیدگی بسیار زیادی برخوردار است. پیچیدگی ارزیابی امنیتی، هنگامی كه با دغدغه صاحبان شبكهها مبنی بر وارد نشدن خطرجدی به شبكه (خصوصا در مورد حملات DoS)، همراه میشود، چند برابر میشود.
علاوه بر این، بحث آسیبپذیریهای جدید كشف شده و به روز كردن پایگاه داده آسیبپذیریها از مشكلات همیشگی ارزیابی امنیتی خواهد بود. در ارتباط با ارزیابی امنیتی مستنداتی مانند پیش نویس رهنمودهای تست امنیتی شبكه NIST راهنمایی معیارهای امنیتی برای سیستمهای فناوری OSSTMM، روش ارزیابی امنیتی شبكه اطلاعات وNIST روش ارزیابی امنیت پیشنهاد شده توسط موسسه SANS، موجود هستند. البته در این مستندات به مسائل فنی ارزیابی بهطور دقیق پرداخته نشده، و تنها مسائل به صورت كلی و بدون ذكر چگونگی انجام آنها بیان شده اند. ممكن است یك سازمان به دلایل امنیتی متمایل به استفاده از روش خود ارزیابی نباشد، چرا كه در ارزیابی امنیتی بهوسیله یك تیم خارج از سازمان اطلاعات مربوط به وضعیت امنیتی شبكه در اختیار افراد خارج از سازمان قرار میگیرد كه خطرات احتمالی خاص خود را به همراه دارد. لذا در صورت ارزیابی امنیتی شبكه یك سازمان توسط یك تیم خارج از سازمان، باید به محرمانه بودن اطلاعات استخراجی از وضعیت امنیتی شبكه تاكید فراوان شود و جنبههای حقوقی آن در قرارداد ذكر شود. یكی ازشیوههای ارزیابی امنیت استفاده از فراهم آوردگان سرویسهای امنیتی مدیریت شده قراردادی، OMSS، است. در این روش سرویسهای امنیتی سازمان بهوسیله سازمانی دیگر ایجاد و مدیریت میشوند. استفاده از روشOMSS موجب كاهش هزینهها و دسترسی به افراد خبره در زمینه امنیت میشود. این سرویسها شامل ارزیابیهای امنیتی و تستهای نفوذ نیز هست. روشهایی كه در این گونه ارزیابیهای امنیتی به كار گرفته میشوند كاملا تخصصی و با استفاده از ابزارهای اختصاصی و تجاری است. شركتCSS یكی از شركتهایی است كه چنین سرویسی را ارائه میكند. این شركت دارای استاندارد سطح SO I در زمینه ارزیابی امنیت شبكه است و از ابزاری با نامHydra Expert Assessment Technology استفاده میكند.
بنا به گزارشCERT در سال حداقل شصت درصد سازمانها نظارت بر مرزهای شبكه خود را از این طریق انجام خواهند داد. در مقابل شیوه ارزیابیOMSS كه توسط شركتهای طرف قرارداد سازمان انجام میشوند و نیاز به دانش فنی بالا دارند، بعضی سازمانها از شیوههای خودارزیابی استفاده میكنند. این شیوه بهدلیل محرمانه بودن فعالیتهای سازمان، توسط بخشIT سازمان و با ابزارهای عمومی و غیراختصاصی صورت میگیرد. موضوع مهم دیگری كه در ارزیابی باید مد نظر قرار گیرد، اثرات مخرب احتمالی است كه ممكن است در طول ارزیابی به شبكه وارد شود. در ارزیابی آسیبپذیریهایی كه به طور مستقیم از خود آسیبپذیری استفاده میشود ممكن است خساراتی به شبكه وارد شود، مثلا ممكن است سیستم مورد ارزیابیCrash كند، وAccount گذرواژه مدیر شبكه شكسته شود و یا یك Backdoor در سیستم ایجاد شود.
لذا این گونه موارد باید به اطلاع صاحبان و مدیران شبكه رسانده شود و با هماهنگی و توافق آنها ارزیابی انجام شود. قبل از انجام هر گونه ارزیابی هدف از انجام ارزیابی و گروه ارزیابیكننده و اینكه چه مواردی از ارزیابی امنیتی مدنظر است، باید مشخص شود.
این موارد و هم چنین نتایج ارزیابی باید بهطور دقیق مستندسازی شوند. در واقع سه مرحله تصمیم گیری، انجام ارزیابی امنیتی و مستندسازی برای یك فرآیند ارزیابی میتوان تصور كرد. مرحله مستندسازی بهطور همزمان با مرحله تصمیمگیری و انجام ارزیابی انجام میشود و نتایج آنها بهطور كامل مستند میشود. در مرحله تصمیم گیری هدف از انجام ارزیابی و هم چنین موارد ارزیابی مشخص میشود. در این مرحله میان تیم ارزیابیكننده و سازمان قرارداد بسته میشود. بهطور كلی توافق میان سازمان و گروه ارزیاب بهطور مشخص بیان و مستندسازی میشود. از آنجا كه در ارزیابی امنیتی شبكه از ابزارهای حمله نیز استفاده میشود یا یك حمله شبیه سازی میشود كه ممكن است خلاف قانون باشد، لذا نیاز است تا در متن قرارداد یك اجازه مكتوب برای انجام عملیات ارزیابی كه با مدیر و صاحب شبكه توافق شده است، تهیه شود. بهطور كلی در قرارداد موارد زیر باید قید شود :
آدرسها یا گسترههایی كه قرار است تست شوند.
میزبانهایی كه نباید تست شوند.
مطلع شدن سازمان از نوع عملیات ارزیابی و اثرات آن توسط گروه ارزیاب.
لیستی از تكنیكهای تست قابل قبول (مثل مهندسی اجتماعی یا وoSD) و یا ابزارهای قابل قبول ذكر این موارد در قرارداد بسیار مهم است.
انتخابات انتخابات ریاست جمهوری سعید جلیلی انتخابات ریاست جمهوری 1403 مسعود پزشکیان ایران انتخابات ریاست جمهوری چهاردهم انتخابات ریاست جمهوری ۱۴۰۳ انتخابات 1403 ریاست جمهوری ستاد انتخابات کشور قالیباف
هواشناسی تهران قتل پلیس آموزش و پرورش فضای مجازی بارش باران سازمان هواشناسی ازدواج سیل قوه قضاییه محیط زیست
قیمت دلار قیمت طلا حقوق بازنشستگان قیمت خودرو بورس بازنشستگان خودرو بازار خودرو بانک مرکزی دولت سیزدهم دلار قیمت سکه
تلویزیون کتاب سینما موسیقی تئاتر فیلم سید ابراهیم رئیسی رسانه ملی سینمای ایران سریال جوکر هنرمندان
باتری
رژیم صهیونیستی آمریکا فلسطین جو بایدن لبنان جنگ غزه دونالد ترامپ روسیه غزه ترامپ ترکیه انتخابات آمریکا
پرسپولیس فوتبال استقلال یورو 2024 علیرضا بیرانوند باشگاه پرسپولیس بازی لیگ برتر رئال مادرید تیم ملی فوتبال ایران جام ملت های اروپا باشگاه استقلال
نمایشگاه الکامپ اینترنت وزیر ارتباطات عیسی زارع پور گوگل فناوری فیبر نوری فیبرنوری اپل مایکروسافت ایرانسل سامسونگ
حافظه پوست سرطان کاهش وزن زیبایی فشار خون دیابت گرمازدگی بارداری