امنیت اطلاعات

و دیگر هیچ ...

آیا نهادهای متولی بهداشت و درمان کشور نسبت به مخاطرات فضای سایبری آگاهی دارند؟

این روزها در همه مراکز درمانی، بیمارستان ها، آزمایشگاه ها و غیره شبکه های کامپیوتری وجود دارد. بسیاری از خدمات به مراجعین با استفاده از انواع نرم افزارهای عمومی یا تخصصی پزشکی ارائه می شود. مهم تر اینکه تجهیزات جدید و پیشرفته پزشکی، مثل بسیاری از تجهیزات در صنایع دیگر، مجهز به سیستم های کامپیوتری یا قابل اتصال و پیکربندی با کامپیوتر هستند. اطلاعات بیماران هم به صورت الکترونیکی ذخیره و پردازش می شود. احتمالاً در فضای رقابتی مراکز درمانی، خدمات مدرن مثل درمان از راه دور، جراحی با ابزارهای کامپیوتری پیشرفته، ارائه خدمات بر بستر موبایل و غیره هم مورد توجه قرار گرفته یا می گیرد.

سئوال کلیدی این است که حوزه بهداشت و درمان کشور از نظر امنیت سایبری یا همان امنیت اطلاعات در چه وضعیتی قرار دارد؟ اگر به عنوان نمونه چند مرکز درمانی را انتخاب و به یک تیم خبره تست نفوذ بسپاریم، نتیجه چه خواهد بود؟ 

مخاطراتی که در فضای سایبری بهداشت و سلامت وجود دارد امروز فراتر از نقض حریم خصوصی و اطلاعات شخصی بیماران رفته و به زیرساخت های حیاتی درمان و تجهیزات پزشکی رسیده است. امروز همانطور که هک شدن اتوموبیل در حال حرکت و خارج شدن آن از کنترل راننده یک تهدید واقعی است، همین خطر برای تجهیزات جدیدی وجود دارد که گاهی جان بیمار بستری یا تحت جراحی در گرو عملکرد ایمن آن است (یادداشت دیگری در همین زمینه). 

سئوال کلیدی دیگر، عملکرد نهادهای متولی به خصوص وزارت بهداشت، درمان و آموزش پزشکی برای تدوین الزامات، استانداردها و دستورالعمل های اجرایی امنیت سایبری و به خصوص ایجاد مکانیزم پیگیری و نظارت بر حسن اجرای آنها در بیمارستان ها و دیگر مراکز درمانی است. تا جایی که من جستجو کردم هیچ اطلاعات قابل اعتنایی در این زمینه درمنابع فارسی اینترنتی دسترس نیست. مشاهدات پراکنده من از مراکز درمانی هم اثربخش بودن اقدامات نهادهای متولی را (با فرض وجود این اقدامات) تأیید نمی کند.     

+ افشین لامعی ; ۸:۳٢ ‎ق.ظ ; ۱۳٩٥/٢/٢٩
comment نظرات

همه چیز درباره بدافزارهای باج گیر

یک سند مفصل حاوی انواع اطلاعات مفید درباره بدافزارهای باج گیر

+ افشین لامعی ; ٩:۳٧ ‎ق.ظ ; ۱۳٩٥/٢/٢٧
comment نظرات

شطرنج مدیران امنیت اطلاعات

این یادداشت در شماره 68 نشریه بانکداری الکترونیک چاپ شده است. (دانلود فایل)

از سال­های دور، بازی شطرنج یکی از ابزارهای آموزش مفاهیم راهبردی و تاکتیکی در میان رهبران نظامی بوده است. به دلیل مشابه، می­توان از شطرنج به عنوان ابزاری ارزشمند برای تقویت طرز فکر و عمل رهبران و مدیران امنیت اطلاعات استفاده کرد.

مفاهیم اولیه

بازی شطرنج اینگونه آغاز می­شود: تهیه ابزار بازی، یادگیری قواعد، چینش مهره­ها در وضعیت اولیه و شروع بازی در برابر حریف. اتفاق مشابه در امنیت سازمان این است که اول محدوده عملکرد را مشخص می­کنیم، نیروی انسانی مورد نیاز، فرآیندها، فناوری­ها و غیره را آماده کرده و پس از پیاده سازی کنترل­ها، به مقابله با نفوذگران می­رویم.

محدوده عمل در بازی شطرنج همان صفحه بازی است. بازی در این محدوده اتفاق می­افتد و اگر هر بخشی از این محدوده مورد غفلت ما قرار گیرد، به حریف فرصت داده­ایم که جای پایی در آن نقطه ایجاد یا از همان نقطه حمله را آغاز کند. این اصل در امنیت سازمان هم برقرار است، اگر چه زیر نظر گرفتن یک صفحه 64 خانه­ای بسیار ساده تر از مراقبت از شبکه و دارایی­های سازمان است. نظارت بر زمین بازی در موضوع امنیت سازمان به مراتب پیچیده تر است چرا که فاکتورهای متعددی مثل برون­سپاری­ها، برنامه­های خارجی، فضای ابر، سیستم­های همراه  و غیره در آن وجود دارند.

قواعد بازی، دانش­های اولیه­ای هستند که به ما امکان ورود به بازی را می­دهند. چارچوب­های مختلف امنیتی، ابزار لازم برای اجرای یک برنامه امنیتی را به ما می­دهند. البته تفاوت زیادی بین پیاده­سازی چارچوب­های اولیه امنیتی با دانش و راهبرد استفاده از آنها در برابر تهدیدهای پیشرفته امروزی وجود دارد و داشتن این دانش لازم بوده اما کافی نیست.

در بازی شطرنج، مهره­ها ابزارهای پیاده­سازی استراتژی بازی هستند. در امنیت، این اجزا همان کنترل­های امنیتی هستند، که به ما امکان جلوگیری از رسیدن نفوذگر به اهدافش را می­دهند. همانطور که در بازی شطرنج، نحوه چیدمان مهره­ها میزان قدرت ما را افزایش یا کاهش می­دهد، میزان قدرت برنامه امنیتی سازمان هم به این بستگی دارد که کنترل­های (فنی و غیرفنی) امنیت چگونه پیاده سازی شده­اند. برای پیاده سازی مناسب کنترل­ها لازم است بدانیم که آنها به صورت جداگانه و در کنار هم چگونه کار می­کنند.

برای یک شطرنج باز تازه کار، دانستن نحوه حرکت هر مهره و ارزش اسمی آن کفایت می­کند. اما تبدیل شدن به یک بازیکن حرفه ای مستلزم دانستن نحوه اثرگذاری مهره­ها در شرایط مختلف، شیوه استفاده از ترکیب چند مهره هنگام حمله، و نحوه دفاع و شکست دادن حریف با استفاده از این مهره­ها است. به طور طبیعی این اصول بر کنترل­های امنیتی هم حاکم است. هر کنترل برای اینکه اثربخش باشد باید به نحو خاصی پیاده سازی و عملیاتی شود و این فراتر از تعریف اولیه واستاندارد آن کنترل است.  در ادامه، به بررسی اجزای مورد استفاده در بازی می­پردازیم.

شاه    

این مهره از دو جنبه در بازی شطرنج دارای اهمیت است. در وهله اول، شاه هدف اصلی حمله از سوی بازیکن رقیب است. با توجه به ارزش حیاتی این مهره، باید در ابتدا و در طول بازی از آن حفاظت شود. علاوه بر این، در مراحل پایانی بازی شطرنج که معمولاً بسیاری از مهره­های دیگر از صحنه خارج شده­اند، شاه به اثرگذارترین و قدرتمندترین مهره­ بازی تبدیل می­شود. مدیر ارشد امنیت اطلاعات (CISO) وظیفه حفاظت از آن بخش از منافع سازمان را بر عهده دارد که نفوذگر در صدد آسیب رساندن به آنها است و نیز با اختیاراتی که دارد می­تواند تصمیم­های حیاتی در زمان لازم اتخاذ کند. او تنها کسی است که دغدغه­ای جز امنیت اطلاعات ندارد و توانمندساز و تسهیل کننده امور امنیت در سطح رهبری سازمان است. همچنین، CISO مانند مهره شاه در شطرنج، در صورت رخداد حملات موفق بسیار آسیب پذیر خواهد بود.

سربازها

جمله معروفی از Philidor در قرن هیجدهم میلادی نقل شده با این مضمون که سربازها روح بازی شطرنج هستند. برخلاف این جمله، شیوه غالب بازی در آن سال­ها شروع بازی با سربازها و فدا کردن یک به یک آنها در راه حمله مستقیم به شاه حریف بود (که در شطرنج به این شیوه گامبی گفته می­شود). این شیوه در صورت ناموفق بودن حمله، معمولاً به شکست حمله کننده می­انجامد. مشابه ایده فوق در دنیای امنیت هم مورد علاقه برخی افراد است. این افراد به سادگی معتقدند که کنترل­های اولیه و پایه­ای امنیت، ضعیف و مملو از خطا هستند و نمی­توان با استفاده از آنها کیفیت مناسبی از امنیت را ایجاد کرد، لذا دائماً باید به دنبال کنترلهای جدید، جذاب و گران­قیمت باشیم. حقیقت این است که اگر به کنترل­ها و فرآیندهای پایه­ای و به ظاهر ساده امنیت توجه نکنیم، معمولاً در برابر نفوذگران ضعیف تر خواهیم شد. بنابراین مشابه مهره سرباز در بازی شطرنج، این کنترل­های به ظاهر ارزان و ساده نقش مهمی در کل بازی ایفا می­کنند.

تمام مهره­های (دیگر) شاه

بقیه مهره­ها در شطرنج نقاط ضعف و قوت خاص خود را دارند و اگر به جا از آنها استفاده شود قدرت زیادی داشته و در صورت عدم استفاده در جای صحیح، اثربخش نخواهند بود. به عنوان مثال، اگر مهره وزیر را خیل زود وارد میانه میدان شطرنج کنیم، (به دلیل ارزش بالای آن) تا انتهای بازی مورد تعقیب مهره­های حریف قرار خواهد داشت. مهره اسب در موقعیت های بسته (وقتی مبارزه در محدوده کوچکی از صفحه ادامه دارد) اثربخشی بالایی دارد، یا هنگامی که یک جایگاه مرکزی بدون تهدید توسط سربازان حریف را در اختیار داشته باشد. اما در موقعیت های باز، در گوشه­های صفحه یا در مرکز صفحه بدون حمایت سربازهای خودی، به مهره ضعیفی بدل می­شود. به طور کلی هر مهره­ای که به صورت مناسب به بازی گرفته نشود می­تواند به فرصتی برای حریف تبدیل شود. به طور مشابه، باید برای هر کنترل فنی یا اجرایی امنیت، شیوه و محل استفاده مناسب را در نظر گرفت و اینکه کنترل مربوطه چگونه پیاده سازی و نگهداری شود تا بهترین عملکرد را داشته باشد.

سازمان­هایی که به این نکته کلیدی توجه نمی­کنند، امنیت را به عنوان مصرف کننده منابع با ارزش خود احساس خواهند کرد. این سازمان­ها تصور می­کنند که هزینه­های انجام شده تنها برای جلب توجه ممیّز یا برخی مدیران مفید است. اینگونه کنترل­ها روی کاغذ به نظر مفید هستند اما در عمل استفاده چندانی ندارند.

همانطور که دانستن قابلیت ها و نحوه حرکت مهره­ها در بازی کافی نیست، کنترل­های امنیتی هم وقتی در کنار هم برای مقابله با انواع حملات استفاده نشوند، اثربخشی کافی ندارند. همچنین بسیاری از کنترل­ها به تنهایی در برابر حملات آسیب پذیر و قابل دور زدن خواهند بود.

موفقیت در بازی شطرنج مستلزم به روزرسانی دانش در زمینه آخرین نظریه­ها و بررسی شیوه­های به کار رفته در بازی­های جدید است. به طور مشابه، باید در زمینه آخرین شیوه ها و ابزارهای حمله و دفاع در فضای امنیت و آخرین روندهای رخ داده در دنیا هم به روز بود. توجه کنید که این به طور کل با آنچه آمادگی سازمان برای گذر از یک فرآیند ممیزی (مثلاً برای اخذ گواهی ایزو 27001) نامیده می­شود، تفاوت دارد. یک ممیّز معمولاً وجود برخی کنترل­ها را با چند سناریوی محدود آزمایش می­کند. این کار نمی­تواند اثربخشی آن کنترل یا مجموعه ای از کنترل­ها در برابر حمله­های خاص سازمان را مشخص نماید. همچنین برای گذر موفقیت آمیز از فرآیند ممیّزی، ملزم به           

نکات دیگری از این بحث باقی مانده که در شماره آینده به آنها خواهیم پرداخت.  

منبع: ایده های به کار رفته در این یادداشت از وب سایت شرکت Tripwire اخذ شده است.

        

   

+ افشین لامعی ; ٩:۱٩ ‎ق.ظ ; ۱۳٩٥/٢/٢۱
comment نظرات

امنیت سایبری در حوزه پزشکی، بهداشت و سلامت

طبق گزارش سالانه موسوم به DBIR (بررسی نفوذهای منجر به نشت اطلاعات در سال 2015) که هر ساله توسط شرکت Verizon منتشر می شود، انسان ها ضعیف ترین حلقه در زنجیره امنیت سایبری بیمارستان ها و دیگر موسسات سلامت و بهداشت هستند.

انستیتو استاندارد و فناوری ایالات متحده (NIST) قرار است یک سند راهنمای اختصاصی برای امنیت سایبری در حوزه صنعت سلامت و بهداشت ارائه کند.

بر اساس گزارش IBM، چهار مورد از هشت نفوذ و افشای اطلاعات (بیش از یک میلیون رکورد) در حوزه سلامت و بهداشت از سال 2010 تا کنون، در شش ماه نخست سال 2015 رخداده است. بر اساس همین گزارش، پنج حوزه ای که در سال 2015 بالاترین اهداف برای حملات سایبری بوده اند به ترتیب عبارتند از بهداشت و سلامت، صنایع تولیدی، خدمات مالی، خدمات دولتی و حمل و نقل.

+ افشین لامعی ; ۱٠:٢٩ ‎ق.ظ ; ۱۳٩٥/٢/۱۱
comment نظرات

ادعای نفوذ به شبکه سوئیفت

ماه گذشته بانک مرکزی بنگلادش با خبر سرقت 81 میلیون دلار مورد توجه قرار گرفت. گفته شده که کشف موصوع بر اساس خطای املایی هکرها در یکی از تراکنش ها بوده که باعث شده تراکنش های بعدی آنها (تا مرز 1 میلیارد دلار) توسط بانک متوقف شود. انتقادهایی در مورد فقدان تجهیزات مناسب امنیتی متوجه بانک شده است. امروز خبری در مورد یک بدافزار مورد استفاده در این ماجرا منتشر شد که زیرساخت نرم افزاری سوئیفت را هدف قرار داده و بر اساس خبر رویترز، سوئیفت قرار است به زودی به روز رسانی در این زمینه انجام دهد.

+ افشین لامعی ; ٦:۳٠ ‎ق.ظ ; ۱۳٩٥/٢/٧
comment نظرات

جستجوی تهدیدهای امنیتی

این موتور جستجو مختص تهدیدهای امنیتی ایجاد شده.

+ افشین لامعی ; ۱٠:٤٤ ‎ق.ظ ; ۱۳٩٥/۱/٢٥
comment نظرات

درس هایی از رسوایی نشت اطلاعات موسوم به اوراق پانامایی

رسوایی اوراق پانامایی (Panama Papers) به حادثه افشای بیش از یازده میلیون سند الکترونیکی و 4.8 میلیون ایمیل - بالغ بر 2.6 ترابایت - از اطلاعات مشتریان و اطلاعات داخلی شرکت Mossack Fonseca اطلاق شده که در بسیاری از رسانه ها به بزرگترین نشت اطلاعات محرمانه به رسانه ها در طول تاریخ تعبیر شده است. اگرچه هنوز بررسی محتوای این اطلاعات به پایان نرسیده، اما تا امروز ده ها رهبر فعلی و پیشین کشورهای مختلف و عده ای از مشاهیر ورزشی، هنری و غیره طبق این اسناد به پولشویی های گسترده و فرار از مالیات با کمک این شرکت پانامایی متهم شده اند.

 

بررسی منابع مختلف نشان می دهد که این شرکت با وجود در اختیار داشتن انبوهی از اطلاعات محرمانه، بدیهیات امنیتی را در سیستم هایش رعایت نمی کرده است، از جمله:

1- پورتال این شرکت از نسخه به روز نشده و آسیب پذیر Drupal استفاده کرده است.

2- وب سایت شرکت با استفاده از Wordpress و یک افزونه آسیب پذیر و به روز نشده Revolution insider راه اندازی شده است.

3- گفته شده که وب سایت شرکت، فایروال نداشته است.

4- سرورهای عمومی و داخلی شرکت (وب سایت و ایمیل داخلی) در یک Zone قرار دارند و نفوذ به یکی، دسترسی به دیگران را ممکن ساخته است.

البته هنوز با قطعیت مشخص نشده که پای نفوذ داخلی در میان بوده یا نفوذ از بیرون شرکت. اما همین موارد و دیگر شواهد و حدسیات، درس هایی برای همه سازمان ها  و شرکت ها دارد:

1- به روز رسانی سیستم عامل ها، زیرساخت ها و برنامه ها موضوعی جدی و حیاتی است.

2- حداقل یک فایروال برای هر شبکه ای حیاتی است!

3- قرار دادن سرورها پشت فایروال کافی نیست:

  • جدا کردن سرورها (ایجاد نواحی امنیتی) بر اساس سطح تهدید و نیازمندی های امنیتی آنها هم لازم است.
  • مانیتور کردن ترافیک خروجی از شبکه هم لازم است.
  • مانیتور کردن ترافیک بین سرورها هم لازم است.

4- دسترسی های راه دور منشأ بسیاری از تهدیدها هستند و باید کنترل و مانیتور شوند.

5- میزان آسیبی که از نشت اطلاعات به سازمان وارد می شود، با افزایش حجم اطلاعات افشا شده به صورت تصاعدی و غیرقابل تصور افزایش می یابد.

+ افشین لامعی ; ٧:٥٠ ‎ق.ظ ; ۱۳٩٥/۱/٢۳
comment نظرات

ممیزی امنیت اطلاعات

این یادداشت در شماره 67 (اسفند 94) ماهنامه بانکداری الکترونیک چاپ شده است.

مقدمه

انجام ممیزی در حوزه امنیت اطلاعات به دلایل مختلفی مورد توجه و استفاده سازمان­ها قرار می­گیرد. اولاً، یک ممیزی مناسب می­تواند تصویری کلی از وضعیت امنیت اطلاعات سازمان ارائه کند. از این طریق، سازمان می­تواند نتایج ممیزی را در راستای بهبود فرآیند امنیت خود مورد استفاده قرار دهد. ثانیاً، ممیزی­ها می­توانند مبنایی برای ارزیابی و مقایسه سازمان­ها و احراز صلاحیت آنها باشند. ممیزی عبارت است از فرآیند نظام مند، مستقل و مستند دریافت شواهد و ارزشیابی هدفمند آنها به منظور تشخیص میزان برآورده شدن معیار ممیزی. آنچه به عنوان معیار ممیزی مورد استفاده قرار می­گیرد، می­تواند برگرفته از استانداردهای بین المللی، استانداردهای کشوری یا استانداردهای یک کسب و کار خاص در یک سازمان خاص باشد. از دیگر معیارهای ممیزی می­توان به خط­مشی­ها، روش­های اجرایی و نیازمندی­هایی اشاره کرد که توسط ممیزی شونده و ممیز مورد توافق قرار می­گیرد.

ممیزی می­تواند با به دست آوردن شواهد با استفاده از نمونه برداری انجام می­شود. منظور از نمونه برداری، انتخاب بخش کوچکی از داده­ها و انجام قضاوت کلی بر اساس این داده­ها است. از روش­های دیگر به دست آوردن شواهد ممیزی می­توان به موارد زیر اشاره کرد:

  • انجام مصاحبه با افراد مطلع
  • مشاهده
  • مرور مستندات
  • مرور رکوردهای ثبت شده
  • تحلیل و جمع بندی

ممیزی باید تا حد امکان به عنوان یک فرآیند مستقل (نسبت به ممیزی شونده) اجرا شود. این بدان معنی است که ممیز نباید خواست ­ها، نیت­ها و منافع خود را در فرآیند ممیزی دخالت دهد. از این طریق می­توان اطمینان حاصل کرد که نتایج ممیزی تا حد امکان به واقعیت موجود سازمان نزدیک بوده و قضاوت پیشین ممیز در جهت مثبت یا منفی در نتایج حاصل شده تأثیر نداشته باشد. با این حال سه نوع ممیزی بر اساس نسبت ممیز با ممیزی شونده قابل انجام است:

1-    ممیزی شخص اول، که ممیز عضوی از تیم ممیزی شونده است.

2-    ممیزی شخص دوم، که معمولاً طبق توافق یا قراردادی بین دو طرف انجام می­شود.

3-    ممیزی شخص سوم، که به صورت کاملاً مستقل و برای دریافت یک گواهی رسمی انجام می­شود. 

استانداردهای امنیت اطلاعات

از مهم­ترین وشناخته شده ترین استانداردهای امنیت اطلاعات می­توان به مجموعه استانداردهای امنیتی ایزو 27000 (استقرار سیستم مدیریت امنیت اطلاعات) و استانداردهای امنیتی صنعت پرداخت کارت (PCI) اشاره کرد. خانواده استانداردهای ایزو 27000 یکی از معتبرترین استانداردها در حوزه امنیت اطلاعات هستند و سازمان­های مختلف صرفنظر از نوع کسب و کار، سایز و دیگر ویژگی­ها می­توانند از آنها استفاده کنند. ایزو 27001 یک استاندارد قابل ممیزی است، به این معنی که سازمان می­تواند با پیاده سازی الزامات ایزو 27001، وارد فرآیند ممیزی شده و در صورت موفقیت در این فرآیند، گواهی مربوطه را دریافت نماید. بقیه استانداردهای شناخته شده این خانواده مانند 27002 و 27005 قابل ممیزی نیستند و صرفاً به عنوان راهنما استفاده شده و سازمان ملزم به رعایت همه مفاد آنها نیست. استاندارد PCI DSS که به طور مشخص برای امنیت اطلاعات بنگاه­های مالی که با اطلاعات کارت­های پرداخت سر و کار دارند تدوین شده است، از دیگر استانداردهای بین المللی امنیت اطلاعات است. در کشور ما، الزامات امنیت اطلاعات شاپرک به صورت بومی در همین حوزه تدوین شده و ممیزی شرکت­های پرداخت بر اساس آن صورت می­گیرد.

مراحل ممیزی ایزو 27001

ممیزی امنیت اطلاعات بر اساس الزامات استاندارد ایزو 27001 حداقل شامل دو مرحله است. مرحله اول ممیزی، به مرور مستندات اختصاص دارد که ممکن است در محل شرکت تحت ممیزی یا بیرون از آن انجام شود و هدف آن، اطمینان از وجود عناصر اصلی استاندارد در سازمان است. همچنین مستندات الزامی سیستم مدیریت امنیت اطلاعات در این مرحله بررسی می­شوند. مرور مستندات به ممیز امکان تمرکز بر زمینه کاری سازمان و وضعیت فعلی پیاده سازی ایزو 27001 را می­دهد. فعالیت­های اصلی مرحله اول ممیزی عبارتند از:

  • مرور چارچوب سیستم مدیریت امنیت اطلاعات
  • بررسی محدوده پیاده سازی سیستم
  • بررسی روش، خروجی و دیگر مستندات مربوط به مدیریت مخاطرات امنیت

مرحله دوم ممیزی شامل بررسی نحوه پیاده سازی سیستم مدیریت امنیت اطلاعات است. هدف ممیزی در این مرحله اطمینان از تطابق سازمان با خط­­­­ مشی­های خود، الزامات استاندارد و نیز اثربخشی سیستم مدیریت امنیت اطلاعات است. فعالیت­های مرحله دوم ممیزی عبارتند از:

  • مصاحبه با مالکین و کاربران سیستم مدیریت امنیت اطلاعات
  • مرور مخاطرات امنیتی شناسایی شده توسط سازمان
  • بررسی اهداف امنیت اطلاعات
  • بررسی بازبینی­های مدیریتی انجام شده

اندازه گیری امنیت اطلاعات

اهداف امنیت اطلاعات باید قابل اندازه گیری باشند. ایزو 27004 به طور مفصل به مبحث اندازه گیری در سیستم مدیریت امنیت اطلاعات پرداخته است. هر هدف امنیت اطلاعات باید به یک یا چند شاخص امنیتی متصل باشد تا بتوان از طریق اندازه گیری آن شاخص­ها، وضعیت هدف را ارزیابی نمود. بحث اندازه گیری امنیت اصولاً چالش برانگیز است چرا که امنیت اطلاعات ذاتاً مقوله ای کمّی نیست. هر شاخص در موضوع امنیت اطلاعات باید نشان دهنده عملکرد یا وضعیت سازمان در حوزه امنیت اطلاعات باشد. این در حالی است که بسیاری از شاخص­هایی که در وهله اول به ذهن خطور می­کنند، ویژگی فوق را ندارند. به عنوان مثال، تعداد حملات جلوگیری شده توسط سیستم پیشگیری از نفوذ شبکه (NIPS) نمی­تواند یک شاخص مناسب باشد، چرا که بالا رفتن یا پایین آمدن مقدار آن لزوماً نشان دهنده عملکرد سازمان یا کیفیت امنیت آن نیست. به همین ترتیب، شاخص­هایی مثل تعداد آسیب پذیری­های کشف شده و شدت آسیب پذیری­های کشف شده نیز مناسب نیستند. در مقابل، به عنوان چند شاخص مناسب می­توانیم به موارد زیر اشاره کنیم:

1-    درصد حملات مدیریت شده به کل حملات کشف شده

2-    درصد آسیب پذیری­های رفع شده به کل آسیب پذیری­های کشف شده

3-    عدد میانگین ریسک­های شناسایی شده

شاخص­های امنیت اطلاعات یکی از موارد مورد توجه در ممیزی­های امنیت هستند. در صورتی که سازمان بتواند شاخص­های مناسب برای حوزه امنیت اطلاعات انتخاب و آنها را به درستی اندازه گیری نماید، برای اثبات اثربخشی امنیت کار ساده تری در پیش خواهد داشت.

   ­

 

+ افشین لامعی ; ۱٠:٢٠ ‎ق.ظ ; ۱۳٩٥/۱/٢۱
comment نظرات

خرید Resilient Systems توسط IBM

شرکت Resilient Systems که به صورت تخصصی بر محصولات و خدمات پاسخ به حوادث (Incident Response) تمرکز دارد توسط IBM خریداری شده و از این به بعد جزئی از IBM X-Force خواهد بود. پیوستن Bruce Schneier (مدیر فنی Resilient) به IBM که از بزرگترین و شناخته شده ترین فعالان صنعت امنیت اطلاعات است یکی از نتایج این معامله است. 

+ افشین لامعی ; ٧:٢٦ ‎ب.ظ ; ۱۳٩٥/۱/۱٩
comment نظرات

بررسی لاگ مدیریت کاربران در پاورشل

با استفاده از فرمان زیر در پاورشل، لاگ نام های کاربری ایجاد شده در سیستم و کاربران اضافه شده به گروه ها مشاهده می شود:

Get-WinEvent -FilterHashtable @{LogName="Security";ID=4720,4732,4728}

+ افشین لامعی ; ٩:٢۱ ‎ق.ظ ; ۱۳٩٥/۱/۱۸
comment نظرات

← صفحه بعد