اهمیت آموزش در سازمانها

شاید بتوان گفت که یکی از مقرون به صرفه ترین ابزارها برای کاهش ریسک های امنیتی درون سازمانی ، آموزش و افزایش آگاهی های کارمندان است. نمی­توان از کاربری که نسبت به ریسک های موجود هنگام استفاده از سیستم های اطلاعاتی آگاه نیست، انتظار عملکرد صحیح و امن داشت. گاهی اوقات راهبران امنیت پیش فرض های غلطی در مورد میزان آگاهی امنیتی کاربران دارند، اما اگر به نحوه عملکرد کارمندان دقت کنیم در می­یابیم که معمولا اغلب آنها اطلاعات بسیار کمی حتی در مورد پیش پا افتاده ترین مسائل امنیتی دارند. کافی است به نحوه انتخاب و مدیریت password ، چگونگی مواجهه با email های ناشناخته، نحوه استفاده از سرویس file sharing در ویندوز و … توسط کارمندان توجه کنیم. (منظور از کارمندان، غیر فنی ها یا فنی های غیر مرتبط با امنیت هستند.) باید در نظر داشت که یک کاربر معمولی تنها انتظاری که از فناوری دارد انجام کارش است. یک مثال جالب آنکه در اولین روزهایی که امکان رمزنگاری و امضای دیجیتال به نرم افزارهایی همچون Microsoft Outlook افزوده شد، بسیاری از کاربران ترجیح دادند که از آن استفاده نکنند. در بررسی ها مشخص شد که رمز کردن نامه گاهی 1 دقیقه یا بیشتر طول می­کشید، لذا بسیاری از کاربران که قبلا ظرف چند ثانیه email را ارسال می­کردند، تحمل چند دقیقه انتظار را در ازای امنیت بیشتر نداشتند.

مثالهای فوق به سادگی اهمیت افزایش آگاهی کاربران را نشان می­دهد. اما آموزشهای مختلفی در یک سازمان مورد نیاز است که در اینجا به بعضی اشاره می­کنیم:

 

1-      آموزشهایی که به طور عمومی برای همه کارمندان برگزار شده و هدف آن آگاه کردن  کاربران نسبت به ریسکهای موجود (مثلا خطر های email ناشناخته، ویروسها و…) از یک طرف و از طرف دیگر توضیح و تبیین security policy ها، استاندارد ها و وظایف امنیتی کاربران است.

2-      آموزشهای مختص پرسنل فنی سازمان، در زمینه تکنولوژیهای مختلف یا راه حلهای امنیتی خاص مثل دوره هایی که برای آموزش محصولات مختلف امنیتی برگزار می­شود.

 

نکته آخر اینکه زمان صرف شده برای تهیه مطالب آموزشی، زمان حضور کارمندان در دوره ها، هزینه مدرس و … همگی جزو هزینه های امر آموزش هستند. دیده شده که آنچه که برنامه های آموزشی را از اولویت بسیاری از سازمانها به خصوص در ایران خارج کرده است، زمانبر بودن آن است نه صرفا هزینه های مادی.

برای اطلاعات بیشتر به سایتهای زیر مراجعه کنید:

http://www.iwar.org.uk/comsec/resources/sa-tools

http://www.sans.org/awareness

 

این مطلب در وبلاگ WhiteHat Nomads

 

اشتراک گذاری

یک آرشیو کامل از mailing list ها

mailing list ها یکی از ابزارهای بسیار مفید موجود در اینترنت هستند، که هر کدام با پرداختن به یک موضوع تخصصی،‌ مباحث مربوط به آن را میان کاربران مختلف ثبت می کنند. به دلیل تعدد این لیست ها،‌گاهی یافتن یک لیست مناسب و عضو شدن در آن وقت گیر است،‌ به خصوص اگر بخواهیم پاسخ سئوال خاصی را در مدت زمان کمی پیدا کنیم. اخیرا سایتی حاوی آرشیو کاملی از لیست های مختلف پیدا کردم، با موضوعاتی مثل Information Security ،‌ linux ، linux distributions‌، *.BSD ، Networking و … با امکان جستجوی بر مبنای موضوع،‌ محتوا، نویسنده و …

سایت خیلی مفیدی به نظر میرسه، بد نیست که سری بهش بزنید.

اشتراک گذاری

spyware چیست؟

عبارت spyware به دسته ای از نرم افزارهای مخرب اطلاق می­شود که با هدف جمع آوری اطلاعات محرمانه کاربر و ارسال آن به تولید کننده برنامه فعالیت می­کنند. اینگونه برنامه ها اثرات متفاوتی روی سیستم آلوده به جای می­گذارند، از تولید بی­وقفه تبلیغات مزاحم گرفته تا سرقت اطلاعات محرمانه و حتی تعویض شماره تلفن ISP با یک شماره جعلی و گرانتر! اما خطرناکترین اثر spyware ها، قرار دادن backdoor روی سیستم قربانی برای استفاده بعدی نفوذگران است.

چگونه یک spyware به کامپیوتر راه پیدا می­کند؟

حتما هنگام مرور صفحات وب به تبلیغات جذابی برخورده اید که با هیجان خاصی شما را دعوت به دانلود و نصب یک نرم افزار ناشناس دعوت می­کنند. باید گفت که مهمترین منبع انتشار spyware ها همین تبلیغات جعلی هستند. از دیگر منابع انتشار می­توان به نرم افزارهای chat ، برنامه های کاربردی peer to peer ، download manager ها و به  خصوص برخی سایتهای pornography و crack اشاره کرد. باید توجه داشت که هدف اغلب این کدهای مخرب، مرورگر مایکروسافت (Internet Explorer) است.

نحوه عملکرد:

Spyware ها معمولا با استفاده از غفلت کاربر روی سیستم نصب می­شوند، مثلا با اجرای یک برنامه ناشناس که به email پیوست شده، یا کلیک کردن روی یک لینک ناشناس که کاربر را دعوت به آزمایش یک برنامه دسترسی آزمایشی (Instant Access) به سایت های خلاف اخلاق می­کند. سپس برنامه اطلاعات جمع آوری شده از سیستم قربانی را به سمت سرویس دهنده ای در اینترنت ارسال می­کند. یکی از پرکاربرد ترین spyware ها نرم افزارهایی با نام keylogger هستند. این نرم افزار همانطور که از نامش پیداست کلیه کلیدهای فشرده شده و حتی کلیک های mouse را به ترتیب و با توضیحات کامل ضبط و ارسال می­کند. اغلب keylogger ها برای نصب نیاز به حق دسترسی admin یا root دارند، اگرچه که استثناهایی هم وجود دارد.

چند توصیه:

توجه داشته باشید که admin سیستم به راحتی قادر است که هربرنامه ای از جمله keylogger را از دید شما پنهان کند. بسیاری از سازمانها در ایران نصب keylogger بدون اطلاع کارمندان را امری عادی تلقی می­کنند، به خصوص در remote office ها که امکان مونیتورینگ به راحتی برایشان فراهم نیست. بنا براین عاقلانه تر آن است که اطلاعات خصوصی از قبیل passwordهای حساس یا نامه های شخصی را در سیستمی که به آن اطمینان ندارید، مثلا در کافی نت ها به کارنبرید. حالا به اینجا سری بزنید و ببینید که keylogger حتی به شکل سخت افزاری بدون اینکه قابل تشخیص باشد هم قابل استفاده است، پس بهتر است به هر سیستم غریبه ای مشکوک باشیم و به سادگی به کسی اطمینان نکنیم!

یکی از ابزارهای مفید ضد spyware محصول شرکت مایکروسافت است که اطلاعات بیشتر راجع به آن در آدرس زیر در دسترس است:

http://www.microsoft.com/athome/security/spyware/software/default.mspx

 

اشتراک گذاری

کدام process ها در ویندوز امن هستند؟

اگر احساس می کنید که سرعت واکنش ویندوز به فرمانهای مختلف به صورت غیر عادی کاهش یافته،‌ و در حالی که برنامه خاصی که منابع سیستم را اشغال کند در حال اجرا نبوده اما ویندوز قادر به اجرای برنامه جدید نیست٬ ممکن است که یک process مخرب (ویروس، کرم و …) سیستم را آلوده کرده باشد. میزان مشغول بودن منابع به خصوص cpu را با استفاده از ctrl+alt+del وابزار task manager بررسی کنید. و اما چناچه در لیست process های در حال اجرا ( tab دوم task manager) به دنبال برنامه های مخرب باشید شاید نام برنامه ها را به درستی تشخیص ندهید٬ بنا بر این در اینجا نام process را جستجو کرده و اطلاعات مربوط به آن را بیابید.

اشتراک گذاری

اهمیت security policy

 اصطلاح policy و به خصوص security policy برای اغلب کاربران کامپیوتر تا حدودی آشناست. هر کدام از ما اگر تا حدی هنگام پیکر بندی آنتی ویروس یا فایروال شخصی خود دقت کنیم، به این اصطلاح برخورد خواهیم کرد. در اغلب ابزارهای امنیتی و یا مدیریتی شبکه کلمه policy به جای configuration یا پیکربندی به کار می­رود. این نحوه کاربرد البته خالی از اشکال نیست اما امروزه تقریبا به صورت استاندارد در آمده است. اما معنای دقیق policy عبارت از سیاست عملکرد یا همان خط مشی است. security policy یا خط مشی امنیت مجموعه ای از باید ها و نباید هاست که تعیین می­کند چه چیزی در رابطه با اطلاعات و ابزارهای پردازش آن مجاز، و چه چیزی غیر مجاز شمرده می­شود. اهمیت security policy تا آنجاست که گفته می­شود بدون داشتن آن توقع ایجاد امنیت رویایی بیش نیست! برای مثال در یک بازی فوتبال اگر قواعد مسابقه، وظایف بازیکنان و نحوه انجام بازی به صورت مدون و مستند (نه صرفا در ذهن بازیکنان) موجود نباشد، آیا اصولا می­توان انتظار داشت که مسابقه ای انجام شود؟ این مساله برای سازمانها و برنامه های امنیتی آنها هم صادق است. باید مجموعه انتظارات سازمان از کلیه افراد ووظایف آنها در قبال امنیت اطلاعات به صورت مدون و مستند، با تایید مدیریت ارشد به همگان ابلاغ شود، و کلیه سازوکارهای امنیتی برمبنای این خط مشی به کارگرفته شود.

اما در اکثر قریب به اتفاق سازمانهای ایرانی امنیت تنها در نصب یک فایروال، آنتی ویروس و … خلاصه می­شود، حال آنکه اگر سوال شود که بر چه مبنایی این محصول خریداری شده و به این شکل و پیکربندی خاص استفاده شده، پاسخ علمی وجود ندارد. اگر از بسیاری از راهبران شبکه ها security policyسندی با نام را بخواهید، برداشتها و فرضیات بدیهی ذهن خود را تحویل شما می­دهند، نه از سندی مکتوب خبری هست و نه فرمت و ساختار مشخص و تایید شده. اما نکته جالب اینجاست که در یک فرآیند استاندارد، وجود مستند security policy اولین قدم در بررسی صحت سیستم امنیت اطلاعات است، بنا براین اگر از گرانترین فناوریها هم استفاده شود، بدون security policy امنیت معنایی نخواهد داشت.

در اینجا می­توانید مقالات و نمونه های مفیدی از security policy را پیدا کنید.      

 

اشتراک گذاری

لینوکس یا ویندوز؟

یکی از بحثهای جنجالی بین طرفداران سیستم عاملهای لینوکس و ویندوز میزان امن بودن این سیستم عاملها نسبت به یکدیگر است، به طوریکه سالهاست هر دوطرف به وسیله آمارها، گزارشها و … سعی در اثبات ناامن بودن سیستم عامل رقیب را دارند. در سال 2004 هم مثل سالهای پیش گزارشهای متعددی در این زمینه منتشر شد، که امروز نگاهی به این گزارشها و نظرات پیرامون آنها می­اندازیم.

کمپانی انگلیسی mi2g در گزارشی مدعی شد که در ژانویه 2004 حدود 17000 حمله موفقیت آمیز روی سرویس دهنده های سرارسر دنیا انجام شده که از این میزان بیش از 13600 مورد سرویس دهنده لینوکس و تنها 2000 مورد ویندوز بوده است و اعلام کرد که لینوکس رخنه پذیر ترین سیستم عامل دنیاست، در حالی که کارشناسان امنیتی این گزارش را به دلیل در نظر نگرفتن آمار ویروسها و کرمها غیر معتبر دانستند. طرفداران ویندوز معتقد بوده و هستند که این سیستم عامل با توجه به گستره کاربری و بازار بزرگ تر هدف نسبت به لینوکس در معرض آسیبهای بیشتری بوده و لذا بیشتر بودن تعداد ویروسها، کرمها و رخنه ها لزوما به معنای غیر امن بودن ویندوز نیست. در مقابل بسیاری از کارشناسان لینوکس بر این باورند که حملات بیشتر علیه ویندوز به این دلیل است که اساسا ویندوز قابل امن کردن نیست!

یکماه پس از گزارش mi2g بود که مقاله ای مفصل در رد این گزارش منتشر شد و بسیاری از پیش فرضهای mi2g از جمله distribution لینوکس مورد مطالعه را زیر سوال برد. این دعوا سالهاست که ادامه داشته و به نظر نمی­رسد که هیچ یک از دوطرف قادر به اقناع دیگری باشد. اما به نظر من نکته کلیدی میزان مهارت فردی راهبر سیستم عامل است. یک سیستم عامل هر قدر هم امکانات امنیتی قوی داشته باشد، اگر به درستی توسط راهبر پیکر بندی و مدیریت نشود امن نخواهد بود. با این پیش فرض، لینوکس با ساختاری open source و بسیار انعطاف پذیر، قابلیت بیشتری برای پیکربندی امن نسبت به ویندوز دارد.  

 

اشتراک گذاری

اصول امنیت اطلاعات

بنا به تعریف استاندارد ISO 17799 ، امنیت اطلاعات در واقع عبارت است از تامین و حفاظت از سه اصل اساسی زیر:

1-      محرمانگی (Confidentiality) : اطمینان از اینکه اطلاعات تنها در دسترس کاربرانی است که مجاز به دسترسی هستند.

2-      صحت (Integrity): فاظت از دقت، صحت و اکمال اطلاعات و روشهای پردازش اطلاعات.

3-      دسترس پذیری (Availability) : اطمینان از اینکه کاربران مجاز در موقع لزوم به اطلاعات و داراییهای مربوط به آن دسترسی دارند.

در آینده بیشتر به جزئیات استاندارد فوق خواهم پرداخت. یک نکته مهم و جالب در زمینه سه اصل فوق این است که علی رغم تعریف ظاهرا ساده، کلیه مسائل مربوط به امنیت اطلاعات با استفاده از این سه اصل که به اختصار CIA خوانده می­شود قابل توضیح و بررسی است. اصولا هر سازوکار امنیتی باید در جهت برآورده کردن این اصول پی­ریزی شود، چرا که کامل ترین و مقبول ترین معیار ارزیابی کیفیت امنیت اطلاعات، میزان برآورده شدن این اصول می­باشد. برای مثال در اغلب گزارشهای آماری امنیتی که توسط موسسات معتبر دنیا به صورت سالانه منتشر می­شود، به عنوان اولین نکته کلیدی به میزان خسارتی که اصول CIA در سیستم های اطلاعاتی سازمانها متحمل شده است اشاره شده و میزان تغییر در آن به عنوان معیاری برای میزان موفقیت برنامه های امنیتی در نظر گرفته می­شود.

اشتراک گذاری

امنیت و هزینه (۱)

هدف امنیت اطلاعات همانطور که از نامش پیداست محافظت از داراییهای اطلاعاتی افراد و سازمانهاست. به هر حال اطلاعات در هر شکلی که باشد دارای ارزش (value) است و این ارزش حتی گاه قابل محاسبه نیست. بنابر این هر ساز وکار و مکانیزمی که برای بالا بردن ضریب امنیت اطلاعات استفاده می شود باید معطوف به ارزش اطلاعات و مقرون به صرفه باشد. پیاده سازی امنیت اصولا هزینه بر است و یکی ازدلایل کندی روند حرکت افراد و سازمانها به سمت آن نیز همین است. برای متقاعد کردن صاحبان اطلاعات به استفاده از کنترلهای متناسب امنیتی، باید از یک طرف تهدید ها و ریسک های متوجه اطلاعات و از طرف دیگر ارزش افزوده حاصل از امن بودن داراییها را بر آنان آشکار نمود.         

اشتراک گذاری

امنیت کدام نوع از انواع اطلاعات؟

وقتی از امنیت اطلاعات صحبت می کنیم،‌ اطلاعات را در تمام شکلهای آن مد نظر داریم ،‌نه فقط به صورت الکترونیکی یا کامپیوتری. بنا بر این تمام اسناد کاغذی،‌ صوتی – تصویری، الکترونیکی و … در این مقوله جایگاه خاص خود را دارند. اما موضوع امنیت اطلاعات الکترونیکی امروزه جذاب تر و مهم تر به نظر می رسد. از یک طرف انواع اشکال نمایش اطلاعات به سمت الکترونیکی شدن حرکت می کند و از سوی دیگر مکانیزمهای پردازش و تبادل آنها هم همگام با گسترش شبکه های اطلاعاتی به شکل الکترونیکی در می آید.    

اشتراک گذاری