بایگانی ماهیانه: اردیبهشت ۱۳۸۴

مشکل کجاست؟

هرگاه که در مورد امنیت اطلاعات در سازمانها صحبت می­کنیم، اکثر قریب به اتفاق اظهار نظرها به این نقطه مشترک می­رسد که : نوعا مدیران ما دانش لازم را در زمینه امنیت ندارند، و همینقدر که سیستم خود را سرپا نگهدارند کار بزرگی کرده اند!

من از زاویه دیگری به این مطلب نگاه می­کنم و آن اینکه:

مادامی که جایگاه و بهای مناسب به امنیت در هر سازمانی به تناسب نیازش داده نشود نمی­توان انتظار بهبود اوضاع را داشت.

جایگاه و بهای مناسب فقط به این معنا نیست که مثلا به جای ۵ میلیون تومان، ۵۰ میلیون خرج امنیت کنیم، البته که هزینه هم مهم و بسیار مهم است. همینطور منظور این نیست که مدیران (حتی مدیران فنی) دقیقا به جزئیات سیستم های امنیتی آگاه باشند. برای روشن تر شدن مطلب مثالی می­زنم، ممکن است در یک شرکت کوچک، تمام کارهای مالی و اداری توسط یک نفر به نام منشی انجام شود، اما اندکی که کار جدی تر و سازمان بزرگتر شود، دیگر این وظایف باید به عهده متخصصین و واحدی به نام حسابداری یا اداری- مالی سپرده شود. مشکل اینجاست که اغلب سازمانها امنیت را به عنوان موضوعی دارای هویت مستقل به رسمیت نمی­شناسند و حداکثر انتظار دارند که همه وظایف امنیتی توسط راهبر شبکه به تنهایی انجام شود. کمتر سازمان و شرکتی در کشور ما دارای واحد یا دپارتمان امنیت اطلاعات است. این واحد است که وظیفه پیاده سازی امنیت را برعهده دارد. اما مسئولیت اصلی بر عهده مدیریت ارشد سازمان است. در واقع امنیت اطلاعات مسئولیت کاری مشترک مدیران ارشد سازمان است. مدیریت سازمان باید با حمایت و تخصیص مناسب منابع جهت گیری برنامه های امنیتی را مشخص کند.    

      

اشتراک گذاری

مدیریت ریسک

یکی از مهمترین قابلیتهای ISMS  که در هر سازمانی به فراخور نیاز باید انجام می­شود، مدیریت مخاطرات یا Risk Management است. ریسک یا مخاطره عبارت است از احتمال ضرر و زیانی که متوجه یک دارایی سازمان (در اینجا اطلاعات) می­باشد. عدم قطعیت (در نتیجه مقیاس ناپذیری) یکی از مهمترین ویژگیهای مفهوم ریسک است. طبعا این عدم قطعیت به معنای غیر قابل محاسبه و مقایسه بودن ریسکها نیست. سه فاکتور اصلی تشکیل دهنده ریسکهای امنیتی عبارتند از:

 

۱٫تهدید (threat) متوجه اطلاعات، مثلا سرقت.

۲٫     عواقب رخ دادن تهدید، مثلا ازدست رفتن اطلاعات محرمانه.

۳٫    نقطه ضعف (Vulnerability) موجود در سیستمها، مثلا ضعف امنیتی سیستم عامل.

مدیریت ریسک عبارت است از معین کردن، کنترل یا چشم پوشی از ریسکهایی که اطلاعات و سیستم های اطلاعاتی سازمان را تهدید می­کند، با هزینه ای قابل توجیه. تعریف مذکور که دقیقا از استاندارد BS 7799 برداشت شده نشان می­دهد که تاکید فرآیند مدیریت ریسک در ISMS بر شناخت و ارائه راه حل مقرون به صرفه برای ریسک است، اگر چه که این راه حل، چشم پوشی از وجود ریسک باشد! یکی از فواید این امر آن است که سازمان با شناخت ریسکها و اولویت بندی آنها می­تواند راه حلهای مناسب امنیتی را انتخاب کند. وجود یک فایروال ضعیف در شبکه سازمان، بی اطلاعی و عدم آموزش کاربران و امکان استراق سمع در شبکه سه ریسک موجود هستند، اما آنچه که معلوم می­کند که اولویت با خرید فایروال، راه اندازی برنامه های آموزشی یا تغییر زیرساخت شبکه است، همین فرآیند مدیریت ریسک است.

برای اطلاعات بیشتر:

http://www.sans.org/rr/whitepapers/auditing/1204.php

http://www.sans.org/rr/whitepapers/auditing/1204.php

 

اشتراک گذاری

سخنرانی ماهانه انجمن رمز ایران

عنوان سخنرانی :سیستم مدیریت امنیت اطلاعات (ISMS)
سخنران: آقای مهدی کفایتی
مکان: سالن خوارزمی دانشکده مهندسی کامپیوتر- دانشگاه صنعتی شریف
زمان: شنبه ۲۴/۲/۸۴ ساعت ۱۷:۳۰ الی ۱۹:۳۰

چکیده:
با رشد و گسترش اطلاعات و سیستمهای اطلاعاتی در زندگی بشر و وابستگی هرچه بیشتر زندگی و کسب و کار به فن‌آوری‌های مربوطه از یک سو و گسترش مسائل، مشکلات و ناامنی‌ها در سیستمها و فن‌آوری‌های مربوطه از سوی دیگر، نقش امنیت اطلاعات بیش از پیش پر رنگ‌تر و مهم‌تر جلوه می‌نماید. از طرفی گستردگی و ناهمگونی فن‌آوری در لایه‌های مختلف سیستمهای اطلاعاتی، به کارگیری سیستمهای مدیریت امنیت اطلاعات را جهت هدف بخشی، تضمین یکپارچگی و هماهنگی فعالیتهای انجام شده به منظور نیل به اهداف امنیت تدوین شده در راستای اهداف کسب و کار سازمانها و تضمین رشد و بقاء سیستم امنیت اطلاعات به یک الزام مبدل ساخته است. در این ارائه برآنیم تا پس از ذکر اصول امنیت اطلاعات و تبیین جایگاه آن در سازمان به معرفی سیستم مدیریت امنیت اطلاعات (ISMS)، اهداف ، جایگاه نیازمندی‌ها، کارکردها و معرفی الگوهای سرآمدی در زمینه برپاسازی و راهبری آن بپردازیم.

اشتراک گذاری

مدیریت امنیت اطلاعات در سازمان

 مدیریت امنیت یکی از فعالیتهای بسیار مهم در سازمان است. بنا به یک تصور رایج در بسیاری از سازمانها، طراحی زیر ساخت و متعاقبا پیاده سازی راه حلهای امنیتی (ازقبیل نصب فایروال، IDS و …) برای برقراری امنیت مناسب کافی است، اما اگر زیر ساخت و معماری امنیت را به یک ماشین تشبیه کنیم، مدیریت این مجموعه مانند سوخت ماشین برای عملکرد آن حیاتی است.

امنیت اطلاعات نیازمند یک “سیستم مدیریت امنیت” یا به اصطلاح ISMS (مخفف Information Security Management System ) است. هدف این سیستم به زبان ساده فراهم کردن امکان استفاده مناسب و سودمند از زیر ساخت و اجزای مختلف امنیتی سازمان است. قطعا کسی در پویایی و غیرثابت بودن مسائل امنیتی شکی ندارد، مدیریت امنیت تلاشی سیستماتیک جهت تطابق زیرساختهای امنیتی با این محیط دینامیک است. لذا یکی از قابلیتهای ارائه شده توسط ISMS ، امکان مدیریت تغییرات (change management) است. قابلیت دیگر، امکان مدیریت رخدادها (incident management) است. بارها شنیده ایم که پس از هک شدن سایت یک سازمان دولتی، راهبر سیستم بعد ازمدتها هیچ عکس العمل مناسبی نشان نداده است. سئوال اینجاست که چند نفر از این راهبران، واقعا می­دانند که هنگام چنین رخدادی چه باید بکنند؟ آیا نقش و وظیفه آنها در آن لحظه مشخص، تعریف و مستند شده است؟

دو مورد فوق، تنها بخش کوچکی از موارد اساسی در زمینه لزوم استقرار ISMS در سازمان است. در یادداشتهای بعدی بیشتر در این زمینه صحبت خواهیم کرد.

 

این مطلب در وبلاگ WhiteHat Nomads

 

اشتراک گذاری

ابزاری مفید برای تولید بسته های جعلی

یکی از روش های مناسب برای انجام بعضی تست ها روی فایروال٬ وب سرور و … استفاده از بسته های spoof شده استُ٬ یعنی بسته هایی که آدرس IP آنها جعلی و چیزی جز آدرس فرستنده واقعی است. عکس العمل هر ماشین در مقابل این بسته ها متفاوت است. روشهایی هم برای تشخیص حملات IP Spoofing وجود دارد اما این روشها در همه حالات مفید نیستند. xxpoof یک ابزار ساده و درعین حال قوی برای تولید بسته های spoof شده است. کافی است که در خط فرمان داس آن را اجرا کنید٬ با دادن یک IP به عنوان مقصد حمله٬ شماره پورت دلخواه٬ تعداد بسته ها و سرعت ارسال بسته ها (تاخیر به میلی ثانیه) برنامه را اجرا کنید. بهتر است برای شماره پورت مقصد٬ چیزی را تنظیم کنید که ماشین مورد نظر روی آن listen میکند.   

دانلود xxpoof 

اشتراک گذاری

نمایشگاه کتاب

امروز لیست کتابهای خارجی نمایشگاه کتاب (مربوط به شرکت نگارستان آبی) به دستم رسید. تعداد کتابهای تخصصی امنیت به زحمت به ۲۰ عنوان میرسه٬ که اغلبشون مربوط به کمپانیها و محصولات خاص هستن و کمتر کتابهای تئوریک میشه پیدا کرد. انتشارات Printice Hall و Wiely یکی دو عنوان کتاب خوب آوردن در زمینه معماری امنیت و … که به نظر میاد جالب باشه.

 

اشتراک گذاری

اهمیت آموزش در سازمانها

شاید بتوان گفت که یکی از مقرون به صرفه ترین ابزارها برای کاهش ریسک های امنیتی درون سازمانی ، آموزش و افزایش آگاهی های کارمندان است. نمی­توان از کاربری که نسبت به ریسک های موجود هنگام استفاده از سیستم های اطلاعاتی آگاه نیست، انتظار عملکرد صحیح و امن داشت. گاهی اوقات راهبران امنیت پیش فرض های غلطی در مورد میزان آگاهی امنیتی کاربران دارند، اما اگر به نحوه عملکرد کارمندان دقت کنیم در می­یابیم که معمولا اغلب آنها اطلاعات بسیار کمی حتی در مورد پیش پا افتاده ترین مسائل امنیتی دارند. کافی است به نحوه انتخاب و مدیریت password ، چگونگی مواجهه با email های ناشناخته، نحوه استفاده از سرویس file sharing در ویندوز و … توسط کارمندان توجه کنیم. (منظور از کارمندان، غیر فنی ها یا فنی های غیر مرتبط با امنیت هستند.) باید در نظر داشت که یک کاربر معمولی تنها انتظاری که از فناوری دارد انجام کارش است. یک مثال جالب آنکه در اولین روزهایی که امکان رمزنگاری و امضای دیجیتال به نرم افزارهایی همچون Microsoft Outlook افزوده شد، بسیاری از کاربران ترجیح دادند که از آن استفاده نکنند. در بررسی ها مشخص شد که رمز کردن نامه گاهی ۱ دقیقه یا بیشتر طول می­کشید، لذا بسیاری از کاربران که قبلا ظرف چند ثانیه email را ارسال می­کردند، تحمل چند دقیقه انتظار را در ازای امنیت بیشتر نداشتند.

مثالهای فوق به سادگی اهمیت افزایش آگاهی کاربران را نشان می­دهد. اما آموزشهای مختلفی در یک سازمان مورد نیاز است که در اینجا به بعضی اشاره می­کنیم:

 

۱-      آموزشهایی که به طور عمومی برای همه کارمندان برگزار شده و هدف آن آگاه کردن  کاربران نسبت به ریسکهای موجود (مثلا خطر های email ناشناخته، ویروسها و…) از یک طرف و از طرف دیگر توضیح و تبیین security policy ها، استاندارد ها و وظایف امنیتی کاربران است.

۲-      آموزشهای مختص پرسنل فنی سازمان، در زمینه تکنولوژیهای مختلف یا راه حلهای امنیتی خاص مثل دوره هایی که برای آموزش محصولات مختلف امنیتی برگزار می­شود.

 

نکته آخر اینکه زمان صرف شده برای تهیه مطالب آموزشی، زمان حضور کارمندان در دوره ها، هزینه مدرس و … همگی جزو هزینه های امر آموزش هستند. دیده شده که آنچه که برنامه های آموزشی را از اولویت بسیاری از سازمانها به خصوص در ایران خارج کرده است، زمانبر بودن آن است نه صرفا هزینه های مادی.

برای اطلاعات بیشتر به سایتهای زیر مراجعه کنید:

http://www.iwar.org.uk/comsec/resources/sa-tools

http://www.sans.org/awareness

 

این مطلب در وبلاگ WhiteHat Nomads

 

اشتراک گذاری

یک آرشیو کامل از mailing list ها

mailing list ها یکی از ابزارهای بسیار مفید موجود در اینترنت هستند، که هر کدام با پرداختن به یک موضوع تخصصی،‌ مباحث مربوط به آن را میان کاربران مختلف ثبت می کنند. به دلیل تعدد این لیست ها،‌گاهی یافتن یک لیست مناسب و عضو شدن در آن وقت گیر است،‌ به خصوص اگر بخواهیم پاسخ سئوال خاصی را در مدت زمان کمی پیدا کنیم. اخیرا سایتی حاوی آرشیو کاملی از لیست های مختلف پیدا کردم، با موضوعاتی مثل Information Security ،‌ linux ، linux distributions‌، *.BSD ، Networking و … با امکان جستجوی بر مبنای موضوع،‌ محتوا، نویسنده و …

سایت خیلی مفیدی به نظر میرسه، بد نیست که سری بهش بزنید.

اشتراک گذاری