فا

‫ پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت اول

IRCAR201107107
تاريخ: 20/4/90
در مجموعه مقالات «مديريت رخداد در شش مرحله»، فعاليت­هايي را كه در مورد پاسخگويي به بخش بزرگي از انواع مختلف رخدادهاي امنيتي كامپيوتري قابل اعمال هستند، بيان كرديم. از اين پس، انواع معمول رخدادهاي امنيتي را معرفي كرده و فعاليت­هاي خاصي را كه براي مقابله با هر نوع از اين رخدادها مفيد هستند، پيشنهاد مي­دهيم. در اين مجموعه مقالات به طور خاص به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه، انكار سرويس، استفاده نامناسب، جاسوسي، فريب­ها، دسترسي غير مجاز و مالكيت فكري خواهيم پرداخت.
رخدادهاي نوع اول: حملات كدهاي خرابكار
كد خرابكار، نامي است كه به برنامه هايي مانند ويروس­ها، تروجان­ها، كرم­ها و اسكريپت­هايي اطلاق مي­گردد كه توسط هكرها براي به دست آوردن حق دسترسي، جمع آوري كلمات عبور و تغيير لاگ­هاي بررسي به منظور پنهان سازي فعاليت­هاي غير مجاز مورد استفاده قرار مي­گيرند. كد خرابكار معمولا طوري طراحي مي­شود كه تشخيص و رديابي آن مشكل باشد. ويروس­هاي خاص حتي مي­توانند امضاي خود را نيز تغيير دهند.
توجه: حتي وقتي فايروال­ها و ساير ابزارهاي دفاعي شما دشمنان را متوقف مي­سازند، باز هم ممكن است اين مهاجمان قادر باشند از طريق يك كد تروجان از پيش نصب شده بر روي كامپيوتر شما به هدف خود برسند. به طور معمول شما نبايد فقط به يك ابزار امنيتي، مانند يك فايروال يا يك آنتي ويروس به تنهايي اكتفا كنيد، زيرا در آن صورت ممكن است نتوانيد در برابر كدهاي خرابكار از خود محافظت نماييد.
فعاليت1: از آنتي ويروس­ها استفاده كنيد
يك نرم افزار آنتي ويروس مي­تواند براي محافظت در برابر انتشار ويروس­هاي معمول، تروجان­ها و كرم­ها موثر باشد. اطمينان حاصل كنيد كه نرم افزار آنتي ويروس شما به طور گسترده در دسترس بوده و فايل­هاي امضاي ويروس آن به روز هستند. از مكانيزم­هايي استفاده كنيد كه به روز رساني امضاهاي ويروس­ها را به طور خودكار انجام مي­دهند.
فعاليت 2: كاربران را تشويق كنيد تا فعاليت­هاي مشكوك را گزارش دهند
كاربران را تشويق نماييد تا فعاليت­هاي مشكوك را گزارش نمايند و به اين ترتيب، در تشخيص زودهنگام يك آلودگي به شما كمك كنند. كاربران آموزش ديده مي­توانند مانند يك حسگر در تشخيص اتفاقات غير معمول موثر باشند. فعاليت غير قابل توضيح ديسك، پيغام­هاي سيستمي غير معمول، پروسه هاي عجيب و رفتارهاي نرم افزاري غير قابل توضيح، مي­توانند نشانه هايي از آلودگي سيستم توسط يك كد خرابكار باشند. يك آدرس ايميل يا شماره تلفن خاص براي گزارش فعاليت­هاي مشكوك توسط كاربران داخلي اختصاص دهيد.
فعاليت 3: در مورد ترافيك غير عادي خروجي شبكه خود مراقبت نماييد
ممكن است نمونه هايي از كد خرابكار از طريق HTTP، IRC و يا پروتكل­هاي ديگر، با سيستم­هاي خارج از شبكه شما ارتباط برقرار نمايند تا از اين طريق انتشار يافته، اعلام موقعيت كرده يا به روز رساني­هاي خود را دانلود نمايند. سيستم­هاي نظارتي شبكه را بر تشخيص بسته هاي غير قابل توضيحي كه از محدوده شبكه سازمان شما بر روي اينترنت ارسال مي­شوند متمركز كنيد. چنين فعاليت­هايي اغلب در هنگام راه اندازي سيستم، و مخصوصا در نخستين دفعه راه اندازي سيستم پس از آلودگي اوليه اتفاق مي افتند.
فعاليت 4: پروسه بارگذاري نرم افزار را خودتان انجام دهيد
پروسه هايي را براي نصب تمامي سيستم عامل­ها و برنامه هاي نرم افزاري از پيكربندي­هاي تست شده و به طور محلي ايجاد كنيد. كاربران را از نصب كردن نرم افزارهاي دانلود شده از طريق اينترنت منع نماييد و بر لزوم استفاده از تصوير برنامه هاي مورد اعتماد داخلي سازمان تاكيد كنيد.
فعاليت 5: منابع پشتيباني جايگزين در نظر بگيريد
فعاليت­هاي خود را در يك سناريو كه توسط يك كد خرابكار نه چندان شناخته شده آلوده شده ايد در نظر بگيريد. در اين حالت شما قادر نخواهيد بود اطلاعات جزئي و دقيقي را درباره اين برنامه از توليد كننده آنتي ويروس خود دريافت كنيد. براي مقابله با چنين وضعيتي، اطلاعات تماس ليست­هاي ايميل و منابع مرتبط و گروه­هاي كاربري را كه ممكن است در چنين شرايطي براي كنترل و محدود سازي و پاكسازي رخداد به آنها نياز داشته باشيد، همواره در دسترس داشته باشيد.
رخدادهاي نوع دوم: Probe ها و نقشه برداري شبكه
Probe ها يك حالت خاص از تلاش براي ايجاد دسترسي غير مجاز هستند. يك گروه از probe ها زماني اتفاق مي افتند كه يك نفوذگر بالقوه از يك اسكريپت سوء استفاده كننده بر عليه سيستم­هاي اطلاعاتي يا فايروال شما استفاده نمايد و كار اين اسكريپت موفقيت آميز نباشد. اين عدم موفقيت به اين دليل اتفاق مي افتد كه اسكريپت سوء استفاده كننده، آسيب پذيري هدف را پيدا نكرده است. اين probe سپس تلاش مي­كند با استفاده از بسته هاي پينگ SNMP يا ICMP، از شبكه شما نقشه برداري كند تا به معماري اين شبكه پي ببرد. يك گروه ديگر از probe ها به سادگي براي جمع آوري اطلاعات مورد استفاده قرار مي­گيرند. در اين حالت، مهاجم گروهي از پورت­هاي مختلف (به اين عمل بررسي پورت (port scan) گفته مي­شود) يا آدرس­هاي ميزبان (host scan) را تست كرده و تلاش مي­كند تا از امكانات شما نقشه برداري نمايد. برخي مهاجمان در جستجو براي يافتن مودم­ها، تلفن­هاي سازمان شما را هدف قرار مي­دهند. با استفاده روز افزون از شبكه هاي بي­سيم، مهاجمان با استفاده از اسكنرهاي بي­سيم مانند NetStumbler، سعي مي­كنند اين شبكه ها را پيدا نمايند.
فعاليت 1: Probe ها را به CIRT خود گزارش دهيد
حتي اگر ابزارها و سيستم­هاي شما داراي آسيب پذيري نباشند، ممكن است كاربران و متصديان و كارپردازان شما كه با سيستم­ها سر و كار دارند آسيب پذير باشند. اگر چنين افرادي به سيستم­هاي شما دسترسي داشته باشند، سيستم­ها و ابزارهاي شما نيز مي­توانند آسيب پذير گردند. بحث­هايي در اين زمينه وجود دارد كه آيا افراد بايد با گزارش دادن probe هاي مشاهده شده، CIRT ها را به زحمت بيندازند يا خير. يك دليل مهم براي گزارش دادن probe ها به CIRT اين است كه آنها مانند يك آژانس گزارشي مركزي كار مي­كنند. بارها و بارها probe هايي مشاهده شده اند كه توسط سايت­هاي كوچك جدي گرفته نشده اند، ولي بخشي از حملات بزرگتري عليه بسياري از سايت­ها بوده اند.
فعاليت 2: خرابي احتمالي را ارزيابي نماييد
بسيار مطلوب است اگر فرد نفوذگر موفق نشود وارد شبكه شده و خرابي به بار آورد، ولي حتما بررسي كنيد كه آيا مهاجمان اطلاعاتي كه بعدها قابل استفاده باشد، راجع به سيستم عامل­ها و معماري شبكه شما به دست آورده اند يا خير. لاگ­هاي شبكه و سيستم را به دقت بررسي كنيد. اگر يك اسكريپت يا تكنيك سوء استفاده كننده مشاهده مي­كنيد، آن را بر عليه خودتان اجرا كنيد تا متوجه شويد چه اطلاعاتي مي­توان از آنها به دست آورد.
رخدادهاي نوع سوم: انكار سرويس
كاربران بر سرويس­هاي ارائه شده توسط شبكه ها و كامپيوترها تكيه و اعتماد مي­كنند. مهاجمان از بسياري از ابزارها استفاده مي­كنند تا در كار شبكه يا كامپيوتر شما وقفه ايجاد نمايند. آنها اين كار را از طريق حذف يك برنامه حياتي، ارسال هرزنامه و بمباران ايميلي و تغيير كاركرد سيستم از طريق نصب يك برنامه تروجان انجام مي­دهند.
فعاليت 1: از نسخه هاي پشتيبان براي سرويس­هاي مركزي استفاده كنيد
محتمل­ترين اهداف براي يك حمله شبكه اي در سازمان شما، سرورهاي DNS، سرورهاي وب و سرورهاي ايميل هستند. اگر سازمان شما فعاليت­هاي زيادي را بر روي اينترنت انجام مي­دهد، ممكن است بهتر باشد براي ايجاد امكانات پشتيبان گيري، هزينه هايي را نيز پرداخت نمايد. حملات انكار سرويس به علت رديابي سخت و اجراي آسان و مؤثر، حملات مشكل سازي به حساب مي آيند. در چنين محيط خطرناكي، استفاده از نسخه هاي پشتيبان براي بازيابي سيستم از يك حمله انكار سرويس، كار بسيار هوشمندانه اي محسوب مي­شود.
مطالب مرتبط:
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0