فا

‫ پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت سوم

IRCAR201108110
تاريخ: 24/5/90
 
در مجموعه مقالات «مديريت رخداد در شش مرحله»، فعاليت­هايي را كه در مورد بخش بزرگي از انواع رخدادهاي امنيتي كامپيوتري قابل اعمال هستند، بيان كرديم. از اين پس، انواع معمول رخدادهاي امنيتي را معرفي كرده و فعاليت­هاي خاصي را كه براي مقابله با هر نوع از اين رخدادها مفيد هستند، پيشنهاد مي­دهيم. در اين مجموعه مقالات به طور خاص به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه، انكار سرويس، استفاده نامناسب، جاسوسي، فريب­ها، دسترسي غير مجاز و مالكيت فكري مي­پردازيم. پيش از اين به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه، انكار سرويس و استفاده نامناسب اشاره كرديم. در اين قسمت به رخدادهاي جاسوسي، Hoax ها و دسترسي غير مجاز خواهيم پرداخت.
 
رخدادهاي نوع پنجم: جاسوسي
جاسوسي عبارت است از سرقت اطلاعات براي تخريب منافع يك سازمان يا يك دولت. در بسياري از موارد دسترسي غير مجاز به سيستم­هاي يك شركت نيز براي مقاصد جاسوسي انجام مي­گيرد.
 
فعاليت 1: يك گروه هسته اي بسيار كوچك داشته باشيد
در موارد جاسوسي و اعمال مجرمانه داخلي سازمان، در اختيار داشتن تعداد زيادي نيروي كمكي چندان هم مفيد نيست. با افزايش تعداد اعضاي گروه تحقيق، خطر نشت اطلاعات يا تخريب شواهد نيز افزايش مي­يابد. رهبر فني بايد يكي از معتدل­ترين اعضاي گروه مديريت رخداد، و كسي باشد كه در شرايط حساس گذشته، قابليت­هاي خود را اثبات كرده باشد. مساله اي كه اغلب پيش مي آيد اين است كه آيا مسئوليت سيستمي كه در يك حمله هدف قرار گرفته است بايد بر عهده مدير سيستم قرار بگيرد يا خير؟ اگر شما به اندازه كافي اطمينان داريد كه شخص مدير سيستم در عمليات جاسوسي درگير نيست، پاسخ اين سوال احتمالا مثبت خواهد بود.
 
فعاليت 2: بيشترين داده ها را جمع آوري كنيد
اطمينان حاصل كنيد كه ركوردهاي دسترسي مربوط به دستگاه­هاي تحت تاثير حمله، جمع آوري شده و كاملا محافظت مي­شوند. اين ركوردها ممكن است شامل ركوردهايي از سيستم­هاي دسترسي مشخص، ركوردهاي تلفن از PBX سازمان شما، كتاب­هاي لاگ، لاگ­هاي سيستم، لاگ­هاي شبكه و ويدئوهاي دوربين­هاي كنترلي باشند. تا حد امكان داده هاي بيشتري را جمع آوري نماييد.
 
فعاليت 3: جاسوس را گمراه كنيد
اگر فردي خارج از سازمان در حال جمع آوري اطلاعات است، ممكن است قادر باشيد اطلاعات غلطي را به وي ارائه كرده و به اين ترتيب از رخداد بهره برداري نماييد. اما اگر شما مشكوك هستيد كه فردي در داخل سازمان در حال جمع آوري و انتشار اين اطلاعات است، احتمال كاركرد اين روش پايين مي آيد.
 
فعاليت 4: هدف را تحليل كنيد
در مورد اهداف محتمل فعاليت جاسوسي سوال كنيد. براي هر هدف احتمالي، بپرسيد كه چه اطلاعاتي ارزشمند هستند؟ چه كسي در خارج از سازمان ممكن است از در دست داشتن اين اطلاعات سود ببرد؟ تمامي راه­هاي ممكن براي رسيدن به اين اهداف چيست؟ دو يا سه راه محتملتر براي رسيدن به اين اهداف چه هستند؟ اين روال شما را به يك سوال ساده اما مهم رهنمون مي­شود: آيا ابزارهاي نظارتي براي محتملترين راه­ها براي دسترسي به محتملترين اهداف در محل قرار دارند؟ اگر پاسخ اين سوال مثبت است، بلافاصله شروع به بازبيني داده هاي نظارتي نماييد. در غير اينصورت، تصميم بگيريد به چه چيزي براي نظارت بر محتملترين راه­ها براي دسترسي به محتملترين اهداف نياز داريد. همان كار را انجام دهيد.
 
فعاليت 5: يك اتاق جنگ ايجاد كنيد
اتاق جنگ، يك اتاق امن با كپي­هايي از شواهد موضوع است. هدف اتاق جنگ اين است كه داده ها به يك روش معني دار نمايش داده شوند تا به حل موارد مشكل كمك نمايند. ديوارهاي اتاق جنگ مي­توانند با شواهد، خطوط تحقيق، نمودارهايي از پروسه تحليل هدف، نقشه هايي از محوطه و طرح­هايي از ابزارها و دستگاه­ها پر شده باشد. يك ضبط صوت و TV/VCR نيز بايد در دسترس باشد، ضبط و پخش مجدد مصاحبه ها معمولا ايده خوبي است.
 
رخدادهاي نوع ششم: Hoax ها
در اوايل سال 1995، صدها هزار كاربر با دسترسي به اينترنت، اطلاعاتي در مورد يك ويروس به نام Good Time Virus منتشر كردند، در حاليكه اين ويروس اساسا وجود خارجي نداشت. Hoax ها، رخدادهاي معتبري هستند (به خاطر داشته باشيد كه تعريف ما از يك رخداد، شامل تهديد يك رويداد مضر مي­شود). اين Hoax ها منابع پاسخگويي به رخدادهاي جدي را به اشغال در مي آورند. Hoax ها همچنين با انتشار ترس، عدم اطمينان و شك، كاربران را ناراحت مي­سازند.
 
فعاليت 1: به فهرست­هاي Hoax ها در اينترنت مراجعه نماييد.
 
رخدادهاي نوع هفتم: دسترسي غير مجاز
دسترسي غير مجاز از ورود بي اجازه به يك حساب كاربري (مانند زماني كه يك هكر به حساب يك كاربر معتبر وارد مي­شود) تا دسترسي غير مجاز به فايل­ها و دايركتوري­هاي ذخيره شده بر روي يك سيستم يا حافظه با حق دسترسي كاربر ارشد را شامل مي­شود. دسترسي غير مجاز مي­تواند همچنين شامل دسترسي به سيستم­هاي كامپيوتري ديگر از طريق جمع آوري نام كاربري و كلمه عبور از طريق يك برنامه شنود غير مجاز، يا دستگاهي براي جمع آوري تمامي بسته هايي كه از يك نقطه خاص يك شبكه عبور مي­كنند، باشد. يك روش معمول ديگر براي ايجاد دسترسي غير مجاز عبارت است از سوء استفاده از يك آسيب پذيري در سيستم­هاي اطلاعاتي، مسيرياب­ها يا فايروال­ها. اسكريپت­هاي سوء استفاده كننده براي ايجاد دسترسي غير مجاز، به طور گسترده اي بر روي وب سايت­هاي هكرها موجود هستند.
 
فعاليت 1: محافظت­هاي مربوط به فايروال يا مسيرياب فيلتر را بررسي كنيد
تنها راه محتمل براي يك حمله از خارج، استفاده از ارتباطات شبكه يك سازمان و به طور خاص ارتباط اينترنت است. در صورت امكان، r-utilities، sunrpc، xwindows يا NetBIOS/IP را غير فعال نماييد. سرويس­هاي Telnet و FTP بايد صرفا براي سيستم­هايي مجاز باشند كه قطعا نياز به ارائه اين سرويس­ها در اينترنت دارند. سرورهاي وب و DNS و سيستم­هاي ارسال ايميل هميشه هدف­هاي مشهوري براي مهاجمان بوده اند. تا جايي كه ممكن است سرويس­هاي كمتري را بر روي اين سيستم­ها اجرا نماييد و اطمينان حاصل كنيد كه كاملا محافظت شده اند.
 
فعاليت 2: سرويس­هاي دسترسي را به طور منظم بررسي كنيد
براي انجام يك حمله بر روي يك سيستم يا يك شبكه، دسترسي به حساب يك كاربر ديگر الزامي نيست. يك نفوذگر مي­تواند با سوء استفاده از سرويس­هاي موجود، به اطلاعات دسترسي پيدا كرده و برنامه هايي مانند تروجان را نصب نمايد. يك نمونه، استفاده افراد خارجي از سيستم فايل شبكه (NFS) يا مكانيزم­هاي دسترسي به فايل در ويندوز NT، براي دسترسي به فايل­ها و دايركتوري­ها در دامنه ديگري از سازمان شماست.
 
مطالب مرتبط:
 
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0