بایگانی برچسب: s

راهنمای امنیت Application Container

NIST سند راهنمای پیاده سازی امن مجازی سازی در سطح سیستم عامل با استفاده از  Application Container رو منتشر کرده. با توجه به محبوبیت  Container ها در محیط های توسعه امروزی، بحث چگونگی پیاده سازی و نگهداری امن اونها هم اهمیت خاصی پیدا کرده.

“Application container technologies, also known as containers, are a form of operating system virtualization combined with application software packaging. Containers provide a portable, reusable, and automatable way to package and run applications. This publication explains the potential security concerns associated with the use of containers and provides recommendations for addressing these concerns.”

از جمله نیازمندی های تاکید شده در این سند، استفاده از سیستم عامل های خاص  container ها (به جای سیستم عامل های عمومی) مثل  Core OS، Project Atomic, Snappy Core، Rancher OS و VMWare Photon و نیز نرم افزارهای خاص مدیریت آسیب پذیری برای این محیط ها است.

اشتراک گذاری

استاندارد سازی و تنظیم مقررات امنیت در اینترنت اشیاء *

اینترنت اشیاء شبکه‌ای از تجهیزات، ابزارها، ماشین‌ها، ساختمان‌ها و دیگر عناصر به اصطلاح هوشمند است که مجهز به سنسورها، نرم‌افزار و اتصالات شبکه هستند واین به آنها امکان جمع‌آوری، پردازش و تبادل اطلاعات می‌دهد. این شبکه امکان اتصال و کنترل این وسایل را از راه دور و به سهولت فراهم می‌کند. پیش‌بینی‌ سیسکو حاکی از افزایش تعداد اشیاء متصل، به ۵۰ میلیارد تا سال ۲۰۲۰ است. در پارادیم اینترنت اشیاء، همه چیز به کامپیوتر تبدیل می‌شود. مایکروویو کامپیوتری است که غذاها را گرم می‌کند. فریزر کامپیوتری است که مواد غذایی را منجمد می‌کند. اتوموبیل، تلویزیون، چراغ راهنمایی، شبکه سراسری برق، تجهیزات پزشکی و غیره همگی کامپیوتر یا شبکه‌ای از کامپیوترها هستند.
واضح است که امنیت در اینترنت اشیاء فراتر از آن است که تا به حال در شبکه‌های کامپیوتری به دنبال برقراری آن بوده‌ایم. اگر تا به حال از میان سه هدف محرمانگی، صحت و دسترس‌پذیری، غالباً اهمیت بیشتری به محرمانگی داده می‌شد، در اینترنت اشیاء باید به صحت و دستر‌پذیری بیشتر توجه کنیم. شبی را تصور کنید که درب ورودی خانه شما قفل شده و هیچ راهی به درون خانه ندارید، در حالی که یک باج افزار از شما مبلغ ۱ میلیون تومان می‌خواهد تا بتوانید درب را باز کنید. فرض کنید یک نفوذگر بتواند کنترل اتوموبیل در حال حرکت شما را به دست آورد، در عملکرد دستگاه‌های درمانی مثل تزریق کننده انسولین یا تنظیم کننده ضربان قلب اختلال ایجاد کند و شبکه سراسری برق را به کنترل خود درآورد. تمام مثال‌های بالا توسط محققان امنیتی شبیه‌سازی شده یا حوادث واقعی آنها اتفاق افتاده و در امکانپذیر بودن آنها با استفاده از تجهیزات و شبکه‌های فعلی، شکی وجود ندارد. تصور اینکه در آینده اتوموبیل ما در حالی که در سفر هستیم به باج‌افزار آلوده شود، سیستم گرمایش خانه از کنترلمان خارج شود، دوربین‌های تحت وب ما برای حمله به زیرساخت‌های حیاتی شهر استفاده شوند و وسایل بازی کودک بتواند به ابزاری خطرناک برای کودک تبدیل شود، بخشی از کابوس زندگی در دنیای تحت سیطره اینترنت اشیاء است.
امنیت ما در اینترنت اشیاء مستقیماً به امنیت میلیون‌ها ابزار متصل به یکدیگر وابسته است. ابزارهایی که بسیاری از آنها محصول شرکت‌هایی هستند که ممکن است تا به حال نام آنها را نشنیده باشیم، و توسط کاربرانی استفاده می‌شوند که هیچ اهمیتی به امنیت ما نمی‌دهند. میلیون‌ها دوربین‌ و روتر خانگی که عضو بات‌نت‌هایی از قبیل Mirai هستند را می‌توان از این قبیل تجهیزات دانست. اتفاقی که Mirai چند ماه قبل رقم زد و توانست سایت‌هایی از قبیل توئیتر و PayPal را در ساعات قابل توجهی از روز از دسترس خارج کند، نشان داد که اینترنت اشیاء چه پتانسیلی برای آسیب زدن به کسب و کارها برای نفوذگران ایجاد می‌کند. بسیاری از این اشیاء، متشکل از اجزایی ارزان قیمت هستند که توسط تیم‌های نه چندان حرفه‌ای در حوزه امنیت، بسته بندی و فروخته شده‌اند. این اشیاء بر خلاف کامپیوترهای گرانقیمت سنتی، وصله‌های امنیتی دریافت نمی‌کنند و برخی از آنها هیچ راهی برای به روز رسانی ندارند.
آنچه تجهیزات متصل را در اینترنت اشیاء به سلاح‌هایی مخرب بدل می‌کند، بیش از آنکه نقاط ضعف فنی باشد، ناکارآمدی قوانین و سیاست‌ها است. امروز با انبوهی از تجهیزات متصل روبرو هستیم که حاوی حفره‌های امنیتی هستند، یا احتمالاً در آینده نقاط ضعفی در آنها شناخته خواهد شد، اما امکان و انگیزه رفع این نقطه ضعف‌ها وجود ندارد. اغلب تولید کنندگان تمایلی به وارد شدن به پروسه پیچیده و گران به روزرسانی محصولات فروخته شده ندارند. بسیاری از تولید کنندگان حداکثر اقدام به انتشار نسخه‌های جدید میان‌افزار و برنامه‌های کاربردی خود می‌کنند، در حالی که نه تنها تضمینی برای عملیاتی شدن این نسخه‌های جدید وجود ندارد، بلکه روند حوادث اخیر نشان می‌دهد که رفع این آسیب پذیری‌ها چالش جدی اینترنت اشیاء است.
به روز رسانی از طریق وصله‌های نرم‌افزاری، روش استانداردی است که تولید کنندگان بزرگ صنعت کامپیوتر برای رفع آسیب‌پذیری‌های کشف شده در محصولات خود انتخاب کرده‌اند. شرکت‌هایی مثل مایکروسافت، گوگل، اپل و غیره برنامه‌ای جامع و منظم برای انتشار وصله‌ها اجرا می‌کنند که مشتمل بر تولید سریع، تست و انتشار به موقع این وصله‌ها است. به روز رسانی خودکار، هم در طرف کاربر به عنوان یک اقدام ضروری همواره توصیه شده است و هم تولید کننده به عنوان بخشی از فرآیند نگهداری محصول بر عهده گرفته است. هرچند این پروسه به روزرسانی دارای اشکالات عمده‌ای است که بسیاری از ما در زندگی شخصی و کاری با آن آشنا هستیم، اما حداقل به عنوان یک روش استاندارد و بهترین گزینه موجود، پذیرفته شده است. اما این در اینترنت اشیاء صادق نیست. یک هدفون هوشمند، تلویزیون، فریزر یا اتوموبیل هوشمند را در نظر بگیرید. در بسیاری از این محصولات با تولیدکننده‌ای سروکار داریم که حتی تیمی برای تست امنیتی محصول خود ندارند. در بعضی از این تجهیزات اصلاً نمی‌توان انتظار پشتیبانی پس از فروش را داشت. بعضی دیگر از این دستگاه‌ها اساساً قابل وصله کردن نیستند. حتی تضمینی نیست که وصله ایجاد شده را بتوان با سلامت و بدون از دست رفتن اصل محصول، پیاده‌سازی نمود. این می‌تواند ناشی از نوع طراحی محصول، کیفیت شبکه مورد اتصال یا محل استفاده از آن باشد.
دوره عمر بسیاری از تجهیزات متصل در اینترنت اشیاء طولانی‌تر از کامپیوترهای عادی است. اگر بتوان تصور کرد که بسیاری از افراد هر دو یا سه سال یک‌بار گوشی هوشمند یا لپ‌تاپ خود را تعویض کنند، این مدت برای وسایلی مثل فریزر، درب ساختمان، سیستم گرمایش و اتوموبیل می‌تواند چندین سال بیشتر باشد. وسایلی مثل اتوموبیل حتی ممکن است تا ده سال و بیشتر، دست به دست شده و استفاده شوند. حال تصور کنید که شرکت تولید کننده چنین وسایلی ورشکست شود، یا تصمیم بگیرد که از محصولات قدیمی خود پشتیبانی نکند. درست مانند عدم پشتیبانی مایکروسافت از ویندوز XP، هرچند مایکروسافت در حادثه اخیر مربوط به بدافزار WannaCry، وصله مربوط به ویندوز XP را نیز در اختیار کاربران قرار داد. حال اگر در سال ۲۰۱۷ یک برنامه نویس قطعه کدی برای سیستم کنترل هوشمند یک اتوموبیل می‌نویسد، چه کسی قرار است آن را در صورت نیاز، در سال ۲۰۳۰ یا ۲۰۴۰ وصله کند؟
بنابراین بازار اینترنت اشیاء دارای دو ویژگی چالش برانگیز در حوزه امنیت است:
۱- نگهداری امنیتی اشیاء متصل، به دلیل ماهیت آنها مشکل است.
۲- نه تولیدکنندگان و نه مصرف کنندگان در این بازار، اولویت لازم را برای امنیت اشیاء متصل قائل نیستند.
به همین دلیل، باید در حوزه قوانین و سیاست‌ها به دنبال راه حل باشیم. حاکمیت باید حداقلی از نیازمندی‌های امنیتی را برای محصولاتی که به حوزه IoT وارد می‌شوند الزام کند. همچنین باید هزینه سوء استفاده از آسیب پذیری‌های این محصولات را برای تولید کنندگان بالا ببرد. هرچند استفاده از اهرم حاکمیتی ممکن است به طور کلی راه حل ایده آل نباشد، اما چاره‌ای نیست. این راهی است که کشورهای دیگر نیز در حال قدم گذاشتن در آن هستند. کما اینکه امروز در ایالات متحده و اتحادیه اروپا، این حرکت آغاز شده است. ویژگی‌های بازار اینترنت اشیاء، حاکمیت را ناگزیر از ورود به این حوزه و تنظیم مقررات خواهد کرد. نقش حاکمیت در اینجا پیش از هر چیز، تدوین و برقرار کردن استانداردها و سیاست‌ها و اطمینان از تطبیق شرکت‌ها و سازمان‌ها با این الزامات حاکمیتی است، به نحوی که امکان سوء استفاده از این شبکه برای آسیب رساندن به شهروندان و سازمان‌ها به حداقل برسد. هدف نهایی این استانداردسازی، باید حفظ ایمنی جامعه در برابر تهدیدهای سایبری و سایبرـ‌فیزیکی اینترنت اشیاء و جلوگیری از رخدادهایی شبیه حملات بات‌نت Mirai باشد. استانداردسازی و تنظیم مقررات نه فقط از جانب حاکمیت، بلکه توسط خود بازیگران این عرصه هم باید اتفاق بیافتد. به عنوان مثال، خدمات دهندگان اینترنت باید اطمینان حاصل کنند که روترهای خانگی مشتریان، تجهیزات اینترنت بی‌سیم عمومی، دوربین‌های تحت شبکه و غیره پیش از نصب، حداقلی از تنظیمات امنیتی را تضمین می‌کنند. صنعت بیمه هم می‌تواند عهده دار بخشی از مسئولیت کاهش آسیب‌های ناشی از حملات مبتنی بر اینترنت اشیاء باشد. تنظیم مقررات اینترنت اشیاء فراتر از امنیت سایبری نیازمند توجه به ایمنی (Safety) است. همانطور که در صنایع حمل و نقل هوایی، تجهیزات بیمارستانی و دارو مقررات ایمنی وضع و اجرا می‌شود، باید در حوزه اینترنت اشیاء نیز این اتفاق رخ دهد. همچنین آزمایشگاه‌هایی باید برای اعتباربخشی و تأیید امنیتی وسایل هوشمند خانگی و دیگر تجهیزات IoT تحت حمایت حاکمیت تأسیس شوند.

* نسخه ای از این یادداشت، پیش تر در ماهنامه بانکداری الکترونیک منتشر شده است.

اشتراک گذاری

عدم تصویب پیش نویس اول OWASP Top 10 2017

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر برنامه های وب موسوم به OWASP Top 10 2017 که در این یادداشت معرفی کرده بودم مورد تصویب قرار نگرفته است. دامنه های A1, A2, A3, A4, A5, A6, A8, A9 از نسخه ۲۰۱۳ بدون تغییر باقی مانده اند. دامنه های A7 و A9 که در نسخه پیش نویس ۲۰۱۷ تغییر کرده بودند، در همایش اخیر OWASP رد شده اند.

اشتراک گذاری

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر OWASP

نسخه جدید OWASP Top 10 یا ده آسیب پذیری برتر OWASP به صورت پیش نویس منشتر شده. این لیست از سال ۲۰۱۳ به روز نشده بود. سه تغییر عمده در ااین نسخه پیشنهاد شده:دامنه های A7 و A4 با هم ادغام شده و دامنه A4 جدید رو ساختن. دامنه های A7 و A10 هم عوض شده اند.

اشتراک گذاری

نسخه جدید استاندارد کدنویسی امن برای ++C

CERT دانشگاه کارنگی ملون نسخه جدید راهنمای کد نویسی امن با ++C منتشر کرد:

https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=637

 

اشتراک گذاری

ممیزی امنیت اطلاعات

این یادداشت در شماره ۶۷ (اسفند ۹۴) ماهنامه بانکداری الکترونیک چاپ شده است.

مقدمه

انجام ممیزی در حوزه امنیت اطلاعات به دلایل مختلفی مورد توجه و استفاده سازمان­ها قرار می­گیرد. اولاً، یک ممیزی مناسب می­تواند تصویری کلی از وضعیت امنیت اطلاعات سازمان ارائه کند. از این طریق، سازمان می­تواند نتایج ممیزی را در راستای بهبود فرآیند امنیت خود مورد استفاده قرار دهد. ثانیاً، ممیزی­ها می­توانند مبنایی برای ارزیابی و مقایسه سازمان­ها و احراز صلاحیت آنها باشند. ممیزی عبارت است از فرآیند نظام مند، مستقل و مستند دریافت شواهد و ارزشیابی هدفمند آنها به منظور تشخیص میزان برآورده شدن معیار ممیزی. آنچه به عنوان معیار ممیزی مورد استفاده قرار می­گیرد، می­تواند برگرفته از استانداردهای بین المللی، استانداردهای کشوری یا استانداردهای یک کسب و کار خاص در یک سازمان خاص باشد. از دیگر معیارهای ممیزی می­توان به خط­مشی­ها، روش­های اجرایی و نیازمندی­هایی اشاره کرد که توسط ممیزی شونده و ممیز مورد توافق قرار می­گیرد.

ممیزی می­تواند با به دست آوردن شواهد با استفاده از نمونه برداری انجام می­شود. منظور از نمونه برداری، انتخاب بخش کوچکی از داده­ها و انجام قضاوت کلی بر اساس این داده­ها است. از روش­های دیگر به دست آوردن شواهد ممیزی می­توان به موارد زیر اشاره کرد:

  • انجام مصاحبه با افراد مطلع
  • مشاهده
  • مرور مستندات
  • مرور رکوردهای ثبت شده
  • تحلیل و جمع بندی

ممیزی باید تا حد امکان به عنوان یک فرآیند مستقل (نسبت به ممیزی شونده) اجرا شود. این بدان معنی است که ممیز نباید خواست ­ها، نیت­ها و منافع خود را در فرآیند ممیزی دخالت دهد. از این طریق می­توان اطمینان حاصل کرد که نتایج ممیزی تا حد امکان به واقعیت موجود سازمان نزدیک بوده و قضاوت پیشین ممیز در جهت مثبت یا منفی در نتایج حاصل شده تأثیر نداشته باشد. با این حال سه نوع ممیزی بر اساس نسبت ممیز با ممیزی شونده قابل انجام است:

۱-    ممیزی شخص اول، که ممیز عضوی از تیم ممیزی شونده است.

۲-    ممیزی شخص دوم، که معمولاً طبق توافق یا قراردادی بین دو طرف انجام می­شود.

۳-    ممیزی شخص سوم، که به صورت کاملاً مستقل و برای دریافت یک گواهی رسمی انجام می­شود. 

استانداردهای امنیت اطلاعات

از مهم­ترین وشناخته شده ترین استانداردهای امنیت اطلاعات می­توان به مجموعه استانداردهای امنیتی ایزو ۲۷۰۰۰ (استقرار سیستم مدیریت امنیت اطلاعات) و استانداردهای امنیتی صنعت پرداخت کارت (PCI) اشاره کرد. خانواده استانداردهای ایزو ۲۷۰۰۰ یکی از معتبرترین استانداردها در حوزه امنیت اطلاعات هستند و سازمان­های مختلف صرفنظر از نوع کسب و کار، سایز و دیگر ویژگی­ها می­توانند از آنها استفاده کنند. ایزو ۲۷۰۰۱ یک استاندارد قابل ممیزی است، به این معنی که سازمان می­تواند با پیاده سازی الزامات ایزو ۲۷۰۰۱، وارد فرآیند ممیزی شده و در صورت موفقیت در این فرآیند، گواهی مربوطه را دریافت نماید. بقیه استانداردهای شناخته شده این خانواده مانند ۲۷۰۰۲ و ۲۷۰۰۵ قابل ممیزی نیستند و صرفاً به عنوان راهنما استفاده شده و سازمان ملزم به رعایت همه مفاد آنها نیست. استاندارد PCI DSS که به طور مشخص برای امنیت اطلاعات بنگاه­های مالی که با اطلاعات کارت­های پرداخت سر و کار دارند تدوین شده است، از دیگر استانداردهای بین المللی امنیت اطلاعات است. در کشور ما، الزامات امنیت اطلاعات شاپرک به صورت بومی در همین حوزه تدوین شده و ممیزی شرکت­های پرداخت بر اساس آن صورت می­گیرد.

مراحل ممیزی ایزو ۲۷۰۰۱

ممیزی امنیت اطلاعات بر اساس الزامات استاندارد ایزو ۲۷۰۰۱ حداقل شامل دو مرحله است. مرحله اول ممیزی، به مرور مستندات اختصاص دارد که ممکن است در محل شرکت تحت ممیزی یا بیرون از آن انجام شود و هدف آن، اطمینان از وجود عناصر اصلی استاندارد در سازمان است. همچنین مستندات الزامی سیستم مدیریت امنیت اطلاعات در این مرحله بررسی می­شوند. مرور مستندات به ممیز امکان تمرکز بر زمینه کاری سازمان و وضعیت فعلی پیاده سازی ایزو ۲۷۰۰۱ را می­دهد. فعالیت­های اصلی مرحله اول ممیزی عبارتند از:

  • مرور چارچوب سیستم مدیریت امنیت اطلاعات
  • بررسی محدوده پیاده سازی سیستم
  • بررسی روش، خروجی و دیگر مستندات مربوط به مدیریت مخاطرات امنیت

مرحله دوم ممیزی شامل بررسی نحوه پیاده سازی سیستم مدیریت امنیت اطلاعات است. هدف ممیزی در این مرحله اطمینان از تطابق سازمان با خط­­­­ مشی­های خود، الزامات استاندارد و نیز اثربخشی سیستم مدیریت امنیت اطلاعات است. فعالیت­های مرحله دوم ممیزی عبارتند از:

  • مصاحبه با مالکین و کاربران سیستم مدیریت امنیت اطلاعات
  • مرور مخاطرات امنیتی شناسایی شده توسط سازمان
  • بررسی اهداف امنیت اطلاعات
  • بررسی بازبینی­های مدیریتی انجام شده

اندازه گیری امنیت اطلاعات

اهداف امنیت اطلاعات باید قابل اندازه گیری باشند. ایزو ۲۷۰۰۴ به طور مفصل به مبحث اندازه گیری در سیستم مدیریت امنیت اطلاعات پرداخته است. هر هدف امنیت اطلاعات باید به یک یا چند شاخص امنیتی متصل باشد تا بتوان از طریق اندازه گیری آن شاخص­ها، وضعیت هدف را ارزیابی نمود. بحث اندازه گیری امنیت اصولاً چالش برانگیز است چرا که امنیت اطلاعات ذاتاً مقوله ای کمّی نیست. هر شاخص در موضوع امنیت اطلاعات باید نشان دهنده عملکرد یا وضعیت سازمان در حوزه امنیت اطلاعات باشد. این در حالی است که بسیاری از شاخص­هایی که در وهله اول به ذهن خطور می­کنند، ویژگی فوق را ندارند. به عنوان مثال، تعداد حملات جلوگیری شده توسط سیستم پیشگیری از نفوذ شبکه (NIPS) نمی­تواند یک شاخص مناسب باشد، چرا که بالا رفتن یا پایین آمدن مقدار آن لزوماً نشان دهنده عملکرد سازمان یا کیفیت امنیت آن نیست. به همین ترتیب، شاخص­هایی مثل تعداد آسیب پذیری­های کشف شده و شدت آسیب پذیری­های کشف شده نیز مناسب نیستند. در مقابل، به عنوان چند شاخص مناسب می­توانیم به موارد زیر اشاره کنیم:

۱-    درصد حملات مدیریت شده به کل حملات کشف شده

۲-    درصد آسیب پذیری­های رفع شده به کل آسیب پذیری­های کشف شده

۳-    عدد میانگین ریسک­های شناسایی شده

شاخص­های امنیت اطلاعات یکی از موارد مورد توجه در ممیزی­های امنیت هستند. در صورتی که سازمان بتواند شاخص­های مناسب برای حوزه امنیت اطلاعات انتخاب و آنها را به درستی اندازه گیری نماید، برای اثبات اثربخشی امنیت کار ساده تری در پیش خواهد داشت.

   ­

 

اشتراک گذاری

گزارش ۲۰۱۵ شرکت Verizon در باره انطباق بانک ها و شرکت های پرداخت با استاندارد PCI

گزارش ۲۰۱۵ شرکت Verizon در باره انطباق بانک ها و شرکت های پرداخت با استاندارد PCI

اشتراک گذاری