تک تودِی
فناوری های روز را با ما دنبال کنید

پاسخگویی به انواع مختلف رخدادهای امنیتی- قسمت اول

0
امتیاز دهید

رخداد امنیتیانواع معمول رخدادهای امنیتی را معرفی کرده و فعالیت­های خاصی را که برای مقابله با هر نوع از این رخدادها مفید هستند، پیشنهاد می­دهیم. در این مجموعه مقالات به طور خاص به حملات کدهای خرابکار، Probe ها و نقشه برداری شبکه، انکار سرویس، استفاده نامناسب، جاسوسی، فریب­ها، دسترسی غیر مجاز و مالکیت فکری خواهیم پرداخت.

رخدادهای نوع اول: حملات کدهای خرابکار
کد خرابکار، نامی است که به برنامه هایی مانند ویروس­ها، تروجان­ها، کرم­ها و اسکریپت­هایی اطلاق می­گردد که توسط هکرها برای به دست آوردن حق دسترسی، جمع آوری کلمات عبور و تغییر لاگ­های بررسی به منظور پنهان سازی فعالیت­های غیر مجاز مورد استفاده قرار می­گیرند. کد خرابکار معمولا طوری طراحی می­شود که تشخیص و ردیابی آن مشکل باشد. ویروس­های خاص حتی می­توانند امضای خود را نیز تغییر دهند.
توجه: حتی وقتی فایروال­ها و سایر ابزارهای دفاعی شما دشمنان را متوقف می­سازند، باز هم ممکن است این مهاجمان قادر باشند از طریق یک کد تروجان از پیش نصب شده بر روی کامپیوتر شما به هدف خود برسند. به طور معمول شما نباید فقط به یک ابزار امنیتی، مانند یک فایروال یا یک آنتی ویروس به تنهایی اکتفا کنید، زیرا در آن صورت ممکن است نتوانید در برابر کدهای خرابکار از خود محافظت نمایید.
فعالیت۱: از آنتی ویروس­ها استفاده کنید
یک نرم افزار آنتی ویروس می­تواند برای محافظت در برابر انتشار ویروس­های معمول، تروجان­ها و کرم­ها موثر باشد. اطمینان حاصل کنید که نرم افزار آنتی ویروس شما به طور گسترده در دسترس بوده و فایل­های امضای ویروس آن به روز هستند. از مکانیزم­هایی استفاده کنید که به روز رسانی امضاهای ویروس­ها را به طور خودکار انجام می­دهند.
فعالیت ۲: کاربران را تشویق کنید تا فعالیت­های مشکوک را گزارش دهند
کاربران را تشویق نمایید تا فعالیت­های مشکوک را گزارش نمایند و به این ترتیب، در تشخیص زودهنگام یک آلودگی به شما کمک کنند. کاربران آموزش دیده می­توانند مانند یک حسگر در تشخیص اتفاقات غیر معمول موثر باشند. فعالیت غیر قابل توضیح دیسک، پیغام­های سیستمی غیر معمول، پروسه های عجیب و رفتارهای نرم افزاری غیر قابل توضیح، می­توانند نشانه هایی از آلودگی سیستم توسط یک کد خرابکار باشند. یک آدرس ایمیل یا شماره تلفن خاص برای گزارش فعالیت­های مشکوک توسط کاربران داخلی اختصاص دهید.
فعالیت ۳: در مورد ترافیک غیر عادی خروجی شبکه خود مراقبت نمایید
ممکن است نمونه هایی از کد خرابکار از طریق HTTP، IRC و یا پروتکل­های دیگر، با سیستم­های خارج از شبکه شما ارتباط برقرار نمایند تا از این طریق انتشار یافته، اعلام موقعیت کرده یا به روز رسانی­های خود را دانلود نمایند. سیستم­های نظارتی شبکه را بر تشخیص بسته های غیر قابل توضیحی که از محدوده شبکه سازمان شما بر روی اینترنت ارسال می­شوند متمرکز کنید. چنین فعالیت­هایی اغلب در هنگام راه اندازی سیستم، و مخصوصا در نخستین دفعه راه اندازی سیستم پس از آلودگی اولیه اتفاق می افتند.
فعالیت ۴: پروسه بارگذاری نرم افزار را خودتان انجام دهید
پروسه هایی را برای نصب تمامی سیستم عامل­ها و برنامه های نرم افزاری از پیکربندی­های تست شده و به طور محلی ایجاد کنید. کاربران را از نصب کردن نرم افزارهای دانلود شده از طریق اینترنت منع نمایید و بر لزوم استفاده از تصویر برنامه های مورد اعتماد داخلی سازمان تاکید کنید.
فعالیت ۵: منابع پشتیبانی جایگزین در نظر بگیرید
فعالیت­های خود را در یک سناریو که توسط یک کد خرابکار نه چندان شناخته شده آلوده شده اید در نظر بگیرید. در این حالت شما قادر نخواهید بود اطلاعات جزئی و دقیقی را درباره این برنامه از تولید کننده آنتی ویروس خود دریافت کنید. برای مقابله با چنین وضعیتی، اطلاعات تماس لیست­های ایمیل و منابع مرتبط و گروه­های کاربری را که ممکن است در چنین شرایطی برای کنترل و محدود سازی و پاکسازی رخداد به آنها نیاز داشته باشید، همواره در دسترس داشته باشید.
رخدادهای نوع دوم: Probe ها و نقشه برداری شبکه
Probe ها یک حالت خاص از تلاش برای ایجاد دسترسی غیر مجاز هستند. یک گروه از probe ها زمانی اتفاق می افتند که یک نفوذگر بالقوه از یک اسکریپت سوء استفاده کننده بر علیه سیستم­های اطلاعاتی یا فایروال شما استفاده نماید و کار این اسکریپت موفقیت آمیز نباشد. این عدم موفقیت به این دلیل اتفاق می افتد که اسکریپت سوء استفاده کننده، آسیب پذیری هدف را پیدا نکرده است. این probe سپس تلاش می­کند با استفاده از بسته های پینگ SNMP یاICMP، از شبکه شما نقشه برداری کند تا به معماری این شبکه پی ببرد. یک گروه دیگر از probe ها به سادگی برای جمع آوری اطلاعات مورد استفاده قرار می­گیرند. در این حالت، مهاجم گروهی از پورت­های مختلف (به این عمل بررسی پورت (port scan) گفته می­شود) یا آدرس­های میزبان (host scan) را تست کرده و تلاش می­کند تا از امکانات شما نقشه برداری نماید. برخی مهاجمان در جستجو برای یافتن مودم­ها، تلفن­های سازمان شما را هدف قرار می­دهند. با استفاده روز افزون از شبکه های بی­سیم، مهاجمان با استفاده از اسکنرهای بی­سیم مانند NetStumbler، سعی می­کنند این شبکه ها را پیدا نمایند.
فعالیت ۱: Probe ها را به CIRT خود گزارش دهید
حتی اگر ابزارها و سیستم­های شما دارای آسیب پذیری نباشند، ممکن است کاربران و متصدیان و کارپردازان شما که با سیستم­ها سر و کار دارند آسیب پذیر باشند. اگر چنین افرادی به سیستم­های شما دسترسی داشته باشند، سیستم­ها و ابزارهای شما نیز می­توانند آسیب پذیر گردند. بحث­هایی در این زمینه وجود دارد که آیا افراد باید با گزارش دادن probe های مشاهده شده، CIRT ها را به زحمت بیندازند یا خیر. یک دلیل مهم برای گزارش دادن probe ها بهCIRT این است که آنها مانند یک آژانس گزارشی مرکزی کار می­کنند. بارها و بارها probe هایی مشاهده شده اند که توسط سایت­های کوچک جدی گرفته نشده اند، ولی بخشی از حملات بزرگتری علیه بسیاری از سایت­ها بوده اند.
فعالیت ۲: خرابی احتمالی را ارزیابی نمایید
بسیار مطلوب است اگر فرد نفوذگر موفق نشود وارد شبکه شده و خرابی به بار آورد، ولی حتما بررسی کنید که آیا مهاجمان اطلاعاتی که بعدها قابل استفاده باشد، راجع به سیستم عامل­ها و معماری شبکه شما به دست آورده اند یا خیر. لاگ­های شبکه و سیستم را به دقت بررسی کنید. اگر یک اسکریپت یا تکنیک سوء استفاده کننده مشاهده می­کنید، آن را بر علیه خودتان اجرا کنید تا متوجه شوید چه اطلاعاتی می­توان از آنها به دست آورد.
رخدادهای نوع سوم: انکار سرویس
کاربران بر سرویس­های ارائه شده توسط شبکه ها و کامپیوترها تکیه و اعتماد می­کنند. مهاجمان از بسیاری از ابزارها استفاده می­کنند تا در کار شبکه یا کامپیوتر شما وقفه ایجاد نمایند. آنها این کار را از طریق حذف یک برنامه حیاتی، ارسال هرزنامه و بمباران ایمیلی و تغییر کارکرد سیستم از طریق نصب یک برنامه تروجان انجام می­دهند.
فعالیت ۱: از نسخه های پشتیبان برای سرویس­های مرکزی استفاده کنید
محتمل­ترین اهداف برای یک حمله شبکه ای در سازمان شما، سرورهای DNS، سرورهای وب و سرورهای ایمیل هستند. اگر سازمان شما فعالیت­های زیادی را بر روی اینترنت انجام می­دهد، ممکن است بهتر باشد برای ایجاد امکانات پشتیبان گیری، هزینه هایی را نیز پرداخت نماید. حملات انکار سرویس به علت ردیابی سخت و اجرای آسان و مؤثر، حملات مشکل سازی به حساب می آیند. در چنین محیط خطرناکی، استفاده از نسخه های پشتیبان برای بازیابی سیستم از یک حمله انکار سرویس، کار بسیار هوشمندانه ای محسوب می­شود.

پیشنهاد می کنیم بخوانید  گوگل راه‌اندازی کرد: سرویس یافتن افراد پس از زلزله در ژاپن

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.