ایمن سازی و ارزیابی امنیت دو گام مهم در امنیت فناوری اطلاعات

در امنیت شبكه های كامپیوتری با دو مساله ایمن سازی و ارزیابی شبكه روبه رو هستیم

در فرآیند ایمن‌سازی، سعی در انتخاب توپولوژی مناسب، به‌كارگیری نرم‌افزارها و پروتكل‌های ایمن و در عین حال كارا به منظور حداقل كردن آسیب‌پذیری‌ها و رخنه‌های امنیتی بالقوه در شبكه داریم. در ارزیابی امنیتی، میزان امنیت حاصل شده در فرآیند ایمن‌سازی، سنجیده می‌شود. در ارزیابی امنیتی شبكه‌، آنچه كه برای حمله به یك شبكه مورد استفاده مهاجمان می‌تواند قرار گیرد مثل دسترسی فیزیكی، آسیب‌پذیری‌های اجزای بكار رفته در شبكه و ضعف‌های سیاست امنیتی و تشكیلات و روش‌ها، ارزیابی می‌شوند. در این قسمت تهدیدات (انگیزه‌های حمله ) و آسیب‌پذیری‌های شناخته شده در مورد یك شبكه و سیستم‌های كامپیوتری بررسی می‌شوند. حوادث امنیتی مرتبط با تعداد زیادی از تهدیدات از وجود آسیب‌پذیری‌های شناخته شده استفاده می‌كنند.

ارزیابی امنیتی شبكه‌های كامپیوتری را باید فرآیندی مداوم‌، مهم و حیاتی در كنار فرآیند ایمن‌سازی شبكه‌های كامپیوتری قلمداد كرد. ارزیابی امنیتی نسبت به ایمن‌سازی از پیچیدگی بسیار زیادی برخوردار است. پیچیدگی ارزیابی امنیتی، هنگامی‌ كه با دغدغه صاحبان شبكه‌ها مبنی بر وارد نشدن خطرجدی به شبكه (خصوصا در مورد حملات DoS)، همراه می‌شود، چند برابر می‌شود.

علاوه بر این، بحث آسیب‌پذیری‌های جدید كشف شده و به روز كردن پایگاه داده آسیب‌پذیری‌ها از مشكلات همیشگی ارزیابی امنیتی خواهد بود. در ارتباط با ارزیابی امنیتی مستنداتی مانند پیش نویس رهنمودهای تست امنیتی شبكه NIST راهنمایی معیارهای امنیتی برای سیستم‌های فناوری OSSTMM، روش ارزیابی امنیتی شبكه اطلاعات وNIST روش ارزیابی امنیت پیشنهاد شده توسط موسسه SANS، موجود هستند. البته در این مستندات به مسائل فنی ارزیابی به‌طور دقیق پرداخته نشده‌، و تنها مسائل به صورت كلی و بدون ذكر چگونگی انجام آنها بیان شده اند. ممكن است یك سازمان به دلایل امنیتی متمایل به استفاده از روش خود ارزیابی نباشد، چرا كه در ارزیابی امنیتی به‌وسیله یك تیم خارج از سازمان اطلاعات مربوط به وضعیت امنیتی شبكه در اختیار افراد خارج از سازمان قرار می‌گیرد كه خطرات احتمالی خاص خود را به همراه دارد. لذا در صورت ارزیابی امنیتی شبكه یك سازمان توسط یك تیم خارج از سازمان‌، باید به محرمانه بودن اطلاعات استخراجی از وضعیت امنیتی شبكه تاكید فراوان شود و جنبه‌های حقوقی آن در قرارداد ذكر شود. یكی ازشیوه‌های ارزیابی امنیت استفاده از فراهم‌ آوردگان سرویس‌های امنیتی مدیریت شده قراردادی، OMSS، است. در این روش سرویس‌های امنیتی سازمان به‌وسیله سازمانی دیگر ایجاد و مدیریت می‌شوند. استفاده از روشOMSS موجب كاهش هزینه‌ها و دسترسی به افراد خبره در زمینه امنیت می‌شود. این سرویس‌ها شامل ارزیابی‌های امنیتی و تست‌های نفوذ نیز هست‌. روش‌هایی كه در این گونه ارزیابی‌های امنیتی به كار گرفته می‌شوند كاملا تخصصی و با استفاده از ابزارهای اختصاصی و تجاری است‌. شركتCSS یكی از شركت‌هایی است كه چنین سرویسی را ارائه می‌كند. این شركت دارای استاندارد سطح SO I در زمینه ارزیابی امنیت شبكه است و از ابزاری با نامHydra Expert Assessment Technology استفاده می‌كند.

بنا به گزارشCERT در سال حداقل شصت درصد سازمان‌ها نظارت بر مرزهای شبكه خود را از این طریق انجام خواهند داد. در مقابل شیوه ارزیابیOMSS كه توسط شركت‌های طرف قرارداد سازمان انجام می‌شوند و نیاز به دانش فنی بالا دارند، بعضی سازمان‌ها از شیوه‌های خودارزیابی استفاده می‌كنند. این شیوه به‌دلیل محرمانه بودن فعالیت‌های سازمان‌، توسط بخشIT سازمان و با ابزارهای عمومی‌ و غیراختصاصی صورت می‌گیرد. موضوع مهم دیگری كه در ارزیابی باید مد نظر قرار گیرد، اثرات مخرب احتمالی است كه ممكن است در طول ارزیابی به شبكه وارد شود. در ارزیابی آسیب‌پذیری‌هایی كه به طور مستقیم از خود آسیب‌پذیری استفاده می‌شود ممكن است خساراتی به شبكه وارد شود، مثلا ممكن است سیستم مورد ارزیابیCrash كند، وAccount گذرواژه مدیر شبكه شكسته شود و یا یك Backdoor در سیستم ایجاد شود.

لذا این گونه موارد باید به اطلاع صاحبان و مدیران شبكه رسانده شود و با هماهنگی و توافق آنها ارزیابی انجام شود. قبل از انجام هر گونه ارزیابی هدف از انجام ارزیابی و گروه ارزیابی‌كننده و اینكه چه مواردی از ارزیابی امنیتی مدنظر است‌، باید مشخص شود.

این موارد و هم چنین نتایج ارزیابی باید به‌طور دقیق مستندسازی شوند. در واقع سه مرحله تصمیم گیری، انجام ارزیابی امنیتی و مستندسازی برای یك فرآیند ارزیابی می‌توان تصور كرد‌. مرحله مستندسازی به‌طور همزمان با مرحله تصمیم‌گیری و انجام ارزیابی انجام می‌شود و نتایج آنها به‌طور كامل مستند می‌شود. در مرحله تصمیم گیری هدف از انجام ارزیابی و هم چنین موارد ارزیابی مشخص می‌شود. در این مرحله میان تیم ارزیابی‌كننده و سازمان قرارداد بسته می‌شود. به‌طور كلی توافق میان سازمان و گروه ارزیاب به‌طور مشخص بیان و مستندسازی می‌شود. از آنجا كه در ارزیابی امنیتی شبكه از ابزارهای حمله نیز استفاده می‌شود یا یك حمله شبیه سازی می‌شود كه ممكن است خلاف قانون باشد، لذا نیاز است تا در متن قرارداد یك اجازه مكتوب برای انجام عملیات ارزیابی كه با مدیر و صاحب شبكه توافق شده است‌، تهیه شود. به‌طور كلی در قرارداد موارد زیر باید قید شود :

آدرسها یا گستره‌هایی كه قرار است تست شوند.

میزبان‌هایی كه نباید تست شوند.

مطلع شدن سازمان از نوع عملیات ارزیابی و اثرات آن توسط گروه ارزیاب.

لیستی از تكنیك‌های تست قابل قبول (مثل مهندسی اجتماعی یا وoSD) و یا ابزارهای قابل قبول ذكر این موارد در قرارداد بسیار مهم است‌.