امنیت اطلاعات

و دیگر هیچ ...

درس هایی از حمله به بانک مرکزی بنگلادش: هکرها در کمین سوئیفت

این یادداشت در شماره 69 ماهنامه بانکداری الکترونیک (خرداد 95) چاپ شده است (دانلود فایل)

در ماه فوریه گذشته هکرهای ناشناس با ورود به سامانه­ای در بانک مرکزی بنگلادش، نزدیک به 1 میلیارد دلار تراکنش از مبدأ حساب این بانک در فدرال رزرو نیویورک به حسابهایی در فیلیپین و سریلانکا انجام دادند. تنها چهار تراکنش از تراکنش­های درخواستی این نفوذگران، البته به ارزش 81 میلیون دلار، به صورت موفقیت آمیز انجام شد. مقصد نهایی این وجوه، کازینوهایی در فیلیپین بوده که تا زمان نگارش این متن نه از بازگشت وجوه خبری هست و نه از شناسایی نفوذگران. کازینوهای فیلیپین از قوانین ضد پولشویی مستثنی بوده و در نتیجه مقصد جذابی برای انجام اینگونه فعالیت­های غیرقانونی هستند. بعد از این کازینوها، پول­ها به حساب­هایی در بانک­های بین المللی منتقل شده است. ادعاهای متفاوت  و متناقضی از طرف های درگیر به خصوص بانک مرکزی بنگلادش و سوئیفت منتشر شده که هر یک دیگری را به قصور در این زمینه متهم می­کنند. همچنین اخیراً FBI اعلام کرده که احتمال می­دهد حداقل یک نفر از کارمندان بانک مرکزی بنگلادش در این سرقت سایبری دست داشته اند.  

در حالی که بیش از سه ماه از این رخداد گذشته، هنوز ابهامات متعددی در این زمینه وجود دارد و نتایج تحقیقات طرف­های درگیر به طور کامل منتشر نشده است. در آخرین ساعات نگارش این متن، سخنگوی سوئیفت از کشف دومین بانک قربانی این نوع سرقت آنلاین خبر داده و ضمن هشدار به مشتریان خود تأکید نموده که این دو مورد احتملاً بخشی ازیک کارزار جهانی علیه بانک­ها است که با همکاری شبکه­های نفوذگران بین المللی و همدستی احتمالی افرادی درداخل سیستم بانکی انجام می­شود. سوئیفت بدون اعلام نام بانک دوم که قربانی این نوع حمله شده است هشدار داده که شباهت­های فراوانی بین این مورد اخیر و موضوع بانک مرکزی بنگلادش وجود دارد.   

غلط املایی، منشأ لو رفتن سارقین!

فقط 81 میلیون دلار از یک میلیارد دلار تراکنش درخواستی هکرها در بانک مرکزی بنگلادش انجام شده و بقیه تراکنش­ها توسط بانک مرکزی بنگلادش با همکاری بانک­های واسط، متوقف شد. اما بنگلادشی­ها چگونه به این موضوع پی بردند؟ داستان از این قرار است که هکرها در یکی از درخواست­ها، تراکنشی به مبلغ بیست میلیون دلار به مقصد حساب یک نهاد غیر دولتی در سریلانکا به نام Shalika Foundation ثبت کرده بودند، اما به اشتباه از عبارت Fandation به جای Foundation در این درخواست استفاده شده بود. این غلط املایی، موجب مشکوک شدن کارگزاران Deutsche Bank شد و لذا آنها ضمن تماس با بانک مرکزی بنگلادش، درخواست ارائه توضیح در خصوص این تراکنش را دادند. در نتیجه مجموعه تراکنش­های هکرها شناسایی شد. بعداً مشخص شد که این تشکیلات سریلانکایی اساساً  وجود خارجی ندارد. همچنین فدرال رزرو نیویورک با مشاهده تراکنش­های سنگین به مقصد حساب­های خصوصی، ضمن بررسی آنها از ادامه این روند جلوگیری کرد.

اتهامات علیه سوئیفت

به گزارش رویترز، پلیس بنگلادش سوئیفت را متهم کرده است که سه ماه قبل از سرقت آنلاین 81 میلیون دلار از این بانک، سیستمی را به سوئیفت متصل کرده که بانک را در برابر این حمله آسیب پذیرتر کرده است. بنا به ادعای رئیس اداره تحقیقات جرائم پلیس بنگلادش که مسئولیت راهبری تحقیقات در این زمینه را بر عهده دارد، کارشناسان سوئیفت با اتصال آن به اولین سیستم ساتنا (RTGS) در این بانک، موجب ایجاد این آسیب پذیری شده­اند. وی اضافه کرده که تیم فنی سوئیفت اشتباهات متعددی در اتصال این سیستم بانک به سوئیفت مرتکب شده­اند. یکی از مقامات بانک مرکزی بنگلادش هم ضمن خودداری از ارائه توضیحات بیشتر به دلیل پایان نیافتن تحقیقات، گفته که به نظر می­رسد کارشناسان سوئیفت حتی رویه­های امنیتی خودشان را هم در این پروژه به طور کامل رعایت نکرده اند. گفته شده است که سیستم سوئیفت در بانک مرکزی بنگلادش از راه دور در دسترس بوده و صرفاً با یک پسورد محافظت می­شده است و اتصال آن به شبکه هم از طریق فایروال حفاظت نمی شده است. بانک همچنین اضافه کرده که وظیفه بررسی امنیتی کل سامانه بر عهده خود سوئیفت بوده است.

در همین حال سخنگوی سوئیفت  از هرگونه اظهار نظر در مورد ادعاهای اخیر خودداری کرده و حتی به این پرسش که آیا این پروژه مستقیماً توسط کارشناسان خود سوئیفت یا یکی از طرف های قرارداد آن انجام شده پاسخ نداده است. با این حال مدیر عامل سوئیفت گفته بانک مرکزی بنگلادش مسئول تأمین امنیت سیستم­های داخلی بانک که متصل به سوئیفت هستند بوده و ادعاهای بانک در مورد قصور تیم فنی سوئیفت نادقیق، غلط و گمراه کننده است. وی به بانک­ها هشدار داده که این حمله نه اولین مورد از این نوع حملات بوده و نه احتمالاً آخرین آن خواهد بود. البته یکی دیگر از مقامات بانک مرکزی بنگلادش گفته است که سیستم ساتنا به خوبی و به صورت عادی کار می­کند و بسیاری از کشورها از سیستم سوئیفت به این شیوه استفاده می­کنند، لذا این سیستم به خودی خود ریسکی را متوجه بانکها نمی­کند.

پلیس بنگلادش اعلام کرده که سوئیفت سیستم خود را به همان شبکه­ای متصل کرده که بیش از 5000 کامپیوتر متصل به اینترنت در بانک مرکزی به آن وصل بوده اند. در حالی طبیعتاً سیستمی با این حساسیت باید در یک شبکه محافظت شده و تا حد امکان ایزوله نصب شود. علاوه بر این، به جای استفاده از یک سوئیچ قابل مدیریت با امکانات کنترل دسترسی، از سوئیچی عادی برای اتصال لایه دو سوئیفت استفاده شده است.

بدافزار، ابزار اصلی نفوذ

بنا  به اظهارات پلیس، تیم فنی سوئیفت در طول راه اندازی سیستم یک اتصال بیسیم به سیستم های داخل اتاق مخصوص سیستم های سوئیفت ایجاد کرده بودند که با یک پسورد ساده محافظت می­شده است، اما پس از پایان پروژه این اتصال بی­سیم را قطع نکرده بودند. همچنین درگاه USB یکی از کامپیوترهای متصل به سوئیفت فعال بوده است، در حالی که در سیستم های اینچنینی با حساسیت بالا، غیر فعال کردن درگاه های جانبی برای کم کردن احتمال آلودگی به بدافزار ضروری است.

طبق برخی گزارش­ها، هکرها با استفاده از ضعف­های معمول در بسیاری از شبکه ها به شبکه داخلی بانک راه پیدا کرده­اند و سپس از آنجا با ایجاد تغییرات در نرم افزار Alliance Access هم تراکنش­های مدنظر خود را اجرا کرده و هم شواهد مربوطه را پاک کرده­اند. این نرم­افزار خواندن و نوشتن پیغام­های سوئیفت در سیستم فایل را انجام داده و نیز جزئیات تراکنش­ها را در پایگاه داده اوراکل ذخیره می­کند. هکرها با استفاده از یک بدافزار به صورت هدفمند، کنترل­های جامعیتی انجام شده توسط Alliance را غیرفعال کرده و با ایجاد تغییر در محتوا ترتیب درخواست­های پرداخت، تراکنش­های عادی سیستم را به نفع خود تغییر داده اند. این تغییرات از راه دور از طریق یک شبکه فرماندهی و کنترل بدافزار (C&C) در کشور مصر کنترل می­شده است. به علاوه، هکرها تأییدیه­های انجام تراکنش­های سوئیفت را هم با استفاده از همین بدافزار تغییر داده و مقدیر اصلی تراکنش را در آن وارد می­کردند و سپس در پایگاه داده ذخیر می­کردند تا همه چیز عادی جلوه کرده و بانک نتواند متوجه تغییر تراکنش­های عادی شود.

تحلیل و جمع بندی   

موضوع سرقت از بانک مرکزی بنگلادش با سوء استفاده از سیستم سوئیفت وهمچنین تکرار آن در بانک دیگری که تا زمان نگارش این متن نام آن اعلام نشده نشان می­دهد که احتمالاً یک کارزار هدفمند توسط مجرمان سایبری آغاز شده است که گفته می­شود هکرهایی از چین، پاکستان، فیلیپین، ماکائو و سریلانکا در آن دست دارند. در پایان آموخته­هایی از این ماجرا به شکل خلاصه بیان می­کنیم.

1-    ساده­ترین اشتباهات در پیکربندی سیستم­ها راه را برای پیچیده ترین نفوذها باز می­کند.

2-    کنترل دسترسی به شبکه و نرم­افزارها یک عنصر حیاتی در حفظ امنیت سیستم­ها است.

3-    بخش­بندی شبکه ومحدودسازی ارتباط با سیستم های حساس باید در کلیه سطوح انجام شود.

4-    هر سیستم نرم افزاری حتی سوئیفت می­تواند دارای آسیب پذیری­ امنیتی باشد، یا با وجود امن بودن خود نرم­افزار، به دلیل نقص در پیکربندی مورد سوء استفاده قرار گیرد.

حفظ امنیت نقاط پایانی (endpoints)  مستقل از دروازه­های ورود و خروج شبکه، اهمیت دارد.

+ افشین لامعی ; ٥:٠٥ ‎ق.ظ ; ۱۳٩٥/٤/٧
comment نظرات

ده تکنولوژی برتر امنیتی 2016 از دیدگاه گارتنر

گارتنر در کنفرانس امنیتی اخیر خود (GartnerSec) 10 تکنولوژی برتر امنیتی جدید را معرفی کرده است:

Cloud Access Security Brokers

Endpoint Detection and Response

Nonsignature Approaches for Endpoint Prevention

User and Entity Behavioral Analytics

Microsegmentation and Flow Visibility

Security Testing for DevOps (DevSecOps)

Intelligence-Driven Security Operations Center Orchestration Solutions

Remote Browser

Deception

Pervasive Trust Services

+ افشین لامعی ; ۱٠:٠۳ ‎ق.ظ ; ۱۳٩٥/۳/۳٠
comment نظرات

تجهیزات بومی امنیت، راهکار حوادث اخیر؟

هک شدن سایت مرکز آمار ایران، مرکز توسعه تجارت الکترونیکی و چندین وب سایت دیگر توسط هکرهای منسوب به عربستان سعودی بحث های جدی در مورد امنیت سایت ها و سازمان های حاکمیتی به وجود آورد. در بسیاری از این بحث ها، راهکاری مبنی بر لزوم استفاده از محصولات بومی امنیت برای پیشگیری از این اتفاقات ارائه می شود، با این استدلال که:

محصولات بومی آسیب پذیری های شناخته شده کمتری دارند.

اول: اصل این ادعا زیر سئوال است. شاید بتوانیم بپذیریم که خود محصولات بومی به دلیل فوق العاده کوچک بودن بازار امنیت و سابقه محدود، کمتر شناخته شده هستند، اما این الزاماً به این معنی نیست که آسیب پذیری های شناخته شده دنیا در آنها وجود ندارد. برای یک کارشناس حرفه ای امنیت، یا برای یک نفوذگر حرفه ای خارجی، چقدر مشکل است که بفهمد فلان فایروال ایرانی از کدام نسخه لینوکس استفاده کرده و کدام نسخه از ماژول ها و سرویس های زیرساختی آن را به کار برده است؟ آیا غیر از این است که زیرساخت قریب به اتفاق محصولات بومی امنیت، همین سیستم عامل های شناخته شده جهانی و سرورهایی مثل آپاچی، MySQL و غیره هستند؟ بنابراین بستر این محصولات همان آسیب پذیری های شناخته شده را دارا هستند، به خصوص اگر به روز نشوند. در محصولات بومی غیر امنیت هم که وضع اگر بدتر نباشد بهتر نیست.

دوم: با فرض صحت این ادعا، الزاماً نمی توان نتیجه گرفت که امنیت محصولات بومی بیشتر از محصولات خارجی است. امنیت از طریق ایجاد ابهام (Security through Obscurity)، امنیت نیست و این یک اصل پذیرفته شده در دنیای امنیت است. مثال بارز آن هم الگوریتم های رمز هستند. اگر کسی ادعا کرد که یک الگوریتم اختصاصی و ناشناس برای رمز در محصول خود استفاده کرده، باید به امنیت آن محصول شک کرد. امنیت عملی یک الگوریتم رمز، با فرض اینکه خود الگوریتم در دسترس همه بوده و استفاده از آن برای همگان امکانپذیر است، تعریف می شود. محصولات شناخته شده جهانی حداقل در معرض تست و ارزیابی هزاران متخصص امنیت بوده اند. تضمینی وجود ندارد که یک محصول بومی که اساساً در معرض تست و حمله در محیط واقعی نبوده، حتی آسیب پذیری های به مراتب سطحی تر و پیش پا افتاده تری از آنچه در دنیا به عنوان آسیب پذیری شناخته شده اطلاق می شود، نداشته باشد.

سوم: Deface کردن وب سایت، در بسیاری از مواقع (نه در همه مواقع) می تواند کم ارزش ترین نوع از نفوذ به یک سازمان باشد. همانطور که در این موارد اخیر هم گفته شده که پیکربندی ناامن و عدم به روزرسانی بستر این سرویس ها، باعث شده که از آسیب پذیری های شناخته شده ای در این بسترها سوء استفاده شود.

اما این همه ماجرا نیست و استفاده از محصول بومی مزایایی دارد، از جمله اینکه در عمل، قرار دادن ایمپلنت در این محصولات، آنطور که مثلاً NSA در برخی محصولات معروف قرار داده، دور از ذهن است. همینطور درب پشتی هایی که به عمد یا سهواً در برخی محصولات وجود داشته (و اتفاقاً به دلیل در معرض تست عموم بودن کشف شده) احتمالاً در محصول بومی وجود ندارد. در واقع مشکلات امنیتی محصولاتی که توسط کشورهای متخاصم یا رقیب تولید می شود و ممکن است به صورت هدفمند در نمونه هایی که وارد کشور می شود قرار می گیرد، در محصول بومی وجود ندارد. استفاده از محصول بومی، این حس را به وجود می آورد که اجزای فنی تأمین کننده امنیت، تحت کنترل خود ما هستند. این مزایا در وهله اول برای زیرساخت های حیاتی کشور، که بالقوه در معرض اینگونه تهدیدها هستند، ارزش دارد.

همانطور که ذکر شد ماجراهای اخیر بیشتر از آنکه ناشی از ضعف در تجهیزات باشند، به عملکرد فنی نیروی انسانی بر می گردد. بزرگ ترین معضل امنیت فضای سایبری کشور هم نیروی انسانی است نه تجهیزات بومی و غیر بومی.

+ افشین لامعی ; ٩:۳٠ ‎ق.ظ ; ۱۳٩٥/۳/٢٠
comment نظرات

درباره هک شدن سایت مرکز آمار

در هفته های اخیر نفوذهای انجام شده توسط هکری منسوب به کشور عربستان به نام داعس، بحث امنیت سایبری سایت­ها و سیستم­ها داخلی به خصوص دولتی را دوباره داغ کرد. اظهارنظرهای زیادی در رسانه­ ها و شبکه­ های اجتماعی در این زمینه انجام شد. در بسیاری از این اظهار نظرها به خصوص از طرف مقامات رسمی، به بومی­ سازی امنیت و استفاده از محصولات امنیت داخلی به عنوان یک راهکار تأکید می­شود.

پرسش اینجاست که استفاده از محصولات بومی امنیت تا چه حد از تکرار چنین اتفاقاتی جلوگیری می­ کند؟ آنطور که گزارش شده نفوذهای انجام شده توسط هکر عربستانی با سوء استفاده از آسیب پذیری­های شناخته شده انجام شده است. این آسیب پذیری­ها به دلیل پیکربندی ناامن و عدم به روز رسانی سیستم­ها وجود داشته اند. این سناریوی تکراری و قدیمی سوء استفاده از به روز نبودن سیستم­ها و اکسپلویت کردن آسیب پذیری­های شناخته شده، چه ارتباطی با بومی بودن یا نبودن محصولات امنیتی سازمان دارد؟

+ افشین لامعی ; ۸:٤۳ ‎ق.ظ ; ۱۳٩٥/۳/۱۸
comment نظرات

آیا نهادهای متولی بهداشت و درمان کشور نسبت به مخاطرات فضای سایبری آگاهی دارند؟

این روزها در همه مراکز درمانی، بیمارستان ها، آزمایشگاه ها و غیره شبکه های کامپیوتری وجود دارد. بسیاری از خدمات به مراجعین با استفاده از انواع نرم افزارهای عمومی یا تخصصی پزشکی ارائه می شود. مهم تر اینکه تجهیزات جدید و پیشرفته پزشکی، مثل بسیاری از تجهیزات در صنایع دیگر، مجهز به سیستم های کامپیوتری یا قابل اتصال و پیکربندی با کامپیوتر هستند. اطلاعات بیماران هم به صورت الکترونیکی ذخیره و پردازش می شود. احتمالاً در فضای رقابتی مراکز درمانی، خدمات مدرن مثل درمان از راه دور، جراحی با ابزارهای کامپیوتری پیشرفته، ارائه خدمات بر بستر موبایل و غیره هم مورد توجه قرار گرفته یا می گیرد.

سئوال کلیدی این است که حوزه بهداشت و درمان کشور از نظر امنیت سایبری یا همان امنیت اطلاعات در چه وضعیتی قرار دارد؟ اگر به عنوان نمونه چند مرکز درمانی را انتخاب و به یک تیم خبره تست نفوذ بسپاریم، نتیجه چه خواهد بود؟ 

مخاطراتی که در فضای سایبری بهداشت و سلامت وجود دارد امروز فراتر از نقض حریم خصوصی و اطلاعات شخصی بیماران رفته و به زیرساخت های حیاتی درمان و تجهیزات پزشکی رسیده است. امروز همانطور که هک شدن اتوموبیل در حال حرکت و خارج شدن آن از کنترل راننده یک تهدید واقعی است، همین خطر برای تجهیزات جدیدی وجود دارد که گاهی جان بیمار بستری یا تحت جراحی در گرو عملکرد ایمن آن است (یادداشت دیگری در همین زمینه). 

سئوال کلیدی دیگر، عملکرد نهادهای متولی به خصوص وزارت بهداشت، درمان و آموزش پزشکی برای تدوین الزامات، استانداردها و دستورالعمل های اجرایی امنیت سایبری و به خصوص ایجاد مکانیزم پیگیری و نظارت بر حسن اجرای آنها در بیمارستان ها و دیگر مراکز درمانی است. تا جایی که من جستجو کردم هیچ اطلاعات قابل اعتنایی در این زمینه درمنابع فارسی اینترنتی دسترس نیست. مشاهدات پراکنده من از مراکز درمانی هم اثربخش بودن اقدامات نهادهای متولی را (با فرض وجود این اقدامات) تأیید نمی کند.     

+ افشین لامعی ; ۸:۳٢ ‎ق.ظ ; ۱۳٩٥/٢/٢٩
comment نظرات

همه چیز درباره بدافزارهای باج گیر

یک سند مفصل حاوی انواع اطلاعات مفید درباره بدافزارهای باج گیر

+ افشین لامعی ; ٩:۳٧ ‎ق.ظ ; ۱۳٩٥/٢/٢٧
comment نظرات

شطرنج مدیران امنیت اطلاعات

این یادداشت در شماره 68 نشریه بانکداری الکترونیک چاپ شده است. (دانلود فایل)

از سال­های دور، بازی شطرنج یکی از ابزارهای آموزش مفاهیم راهبردی و تاکتیکی در میان رهبران نظامی بوده است. به دلیل مشابه، می­توان از شطرنج به عنوان ابزاری ارزشمند برای تقویت طرز فکر و عمل رهبران و مدیران امنیت اطلاعات استفاده کرد.

مفاهیم اولیه

بازی شطرنج اینگونه آغاز می­شود: تهیه ابزار بازی، یادگیری قواعد، چینش مهره­ها در وضعیت اولیه و شروع بازی در برابر حریف. اتفاق مشابه در امنیت سازمان این است که اول محدوده عملکرد را مشخص می­کنیم، نیروی انسانی مورد نیاز، فرآیندها، فناوری­ها و غیره را آماده کرده و پس از پیاده سازی کنترل­ها، به مقابله با نفوذگران می­رویم.

محدوده عمل در بازی شطرنج همان صفحه بازی است. بازی در این محدوده اتفاق می­افتد و اگر هر بخشی از این محدوده مورد غفلت ما قرار گیرد، به حریف فرصت داده­ایم که جای پایی در آن نقطه ایجاد یا از همان نقطه حمله را آغاز کند. این اصل در امنیت سازمان هم برقرار است، اگر چه زیر نظر گرفتن یک صفحه 64 خانه­ای بسیار ساده تر از مراقبت از شبکه و دارایی­های سازمان است. نظارت بر زمین بازی در موضوع امنیت سازمان به مراتب پیچیده تر است چرا که فاکتورهای متعددی مثل برون­سپاری­ها، برنامه­های خارجی، فضای ابر، سیستم­های همراه  و غیره در آن وجود دارند.

قواعد بازی، دانش­های اولیه­ای هستند که به ما امکان ورود به بازی را می­دهند. چارچوب­های مختلف امنیتی، ابزار لازم برای اجرای یک برنامه امنیتی را به ما می­دهند. البته تفاوت زیادی بین پیاده­سازی چارچوب­های اولیه امنیتی با دانش و راهبرد استفاده از آنها در برابر تهدیدهای پیشرفته امروزی وجود دارد و داشتن این دانش لازم بوده اما کافی نیست.

در بازی شطرنج، مهره­ها ابزارهای پیاده­سازی استراتژی بازی هستند. در امنیت، این اجزا همان کنترل­های امنیتی هستند، که به ما امکان جلوگیری از رسیدن نفوذگر به اهدافش را می­دهند. همانطور که در بازی شطرنج، نحوه چیدمان مهره­ها میزان قدرت ما را افزایش یا کاهش می­دهد، میزان قدرت برنامه امنیتی سازمان هم به این بستگی دارد که کنترل­های (فنی و غیرفنی) امنیت چگونه پیاده سازی شده­اند. برای پیاده سازی مناسب کنترل­ها لازم است بدانیم که آنها به صورت جداگانه و در کنار هم چگونه کار می­کنند.

برای یک شطرنج باز تازه کار، دانستن نحوه حرکت هر مهره و ارزش اسمی آن کفایت می­کند. اما تبدیل شدن به یک بازیکن حرفه ای مستلزم دانستن نحوه اثرگذاری مهره­ها در شرایط مختلف، شیوه استفاده از ترکیب چند مهره هنگام حمله، و نحوه دفاع و شکست دادن حریف با استفاده از این مهره­ها است. به طور طبیعی این اصول بر کنترل­های امنیتی هم حاکم است. هر کنترل برای اینکه اثربخش باشد باید به نحو خاصی پیاده سازی و عملیاتی شود و این فراتر از تعریف اولیه واستاندارد آن کنترل است.  در ادامه، به بررسی اجزای مورد استفاده در بازی می­پردازیم.

شاه    

این مهره از دو جنبه در بازی شطرنج دارای اهمیت است. در وهله اول، شاه هدف اصلی حمله از سوی بازیکن رقیب است. با توجه به ارزش حیاتی این مهره، باید در ابتدا و در طول بازی از آن حفاظت شود. علاوه بر این، در مراحل پایانی بازی شطرنج که معمولاً بسیاری از مهره­های دیگر از صحنه خارج شده­اند، شاه به اثرگذارترین و قدرتمندترین مهره­ بازی تبدیل می­شود. مدیر ارشد امنیت اطلاعات (CISO) وظیفه حفاظت از آن بخش از منافع سازمان را بر عهده دارد که نفوذگر در صدد آسیب رساندن به آنها است و نیز با اختیاراتی که دارد می­تواند تصمیم­های حیاتی در زمان لازم اتخاذ کند. او تنها کسی است که دغدغه­ای جز امنیت اطلاعات ندارد و توانمندساز و تسهیل کننده امور امنیت در سطح رهبری سازمان است. همچنین، CISO مانند مهره شاه در شطرنج، در صورت رخداد حملات موفق بسیار آسیب پذیر خواهد بود.

سربازها

جمله معروفی از Philidor در قرن هیجدهم میلادی نقل شده با این مضمون که سربازها روح بازی شطرنج هستند. برخلاف این جمله، شیوه غالب بازی در آن سال­ها شروع بازی با سربازها و فدا کردن یک به یک آنها در راه حمله مستقیم به شاه حریف بود (که در شطرنج به این شیوه گامبی گفته می­شود). این شیوه در صورت ناموفق بودن حمله، معمولاً به شکست حمله کننده می­انجامد. مشابه ایده فوق در دنیای امنیت هم مورد علاقه برخی افراد است. این افراد به سادگی معتقدند که کنترل­های اولیه و پایه­ای امنیت، ضعیف و مملو از خطا هستند و نمی­توان با استفاده از آنها کیفیت مناسبی از امنیت را ایجاد کرد، لذا دائماً باید به دنبال کنترلهای جدید، جذاب و گران­قیمت باشیم. حقیقت این است که اگر به کنترل­ها و فرآیندهای پایه­ای و به ظاهر ساده امنیت توجه نکنیم، معمولاً در برابر نفوذگران ضعیف تر خواهیم شد. بنابراین مشابه مهره سرباز در بازی شطرنج، این کنترل­های به ظاهر ارزان و ساده نقش مهمی در کل بازی ایفا می­کنند.

تمام مهره­های (دیگر) شاه

بقیه مهره­ها در شطرنج نقاط ضعف و قوت خاص خود را دارند و اگر به جا از آنها استفاده شود قدرت زیادی داشته و در صورت عدم استفاده در جای صحیح، اثربخش نخواهند بود. به عنوان مثال، اگر مهره وزیر را خیل زود وارد میانه میدان شطرنج کنیم، (به دلیل ارزش بالای آن) تا انتهای بازی مورد تعقیب مهره­های حریف قرار خواهد داشت. مهره اسب در موقعیت های بسته (وقتی مبارزه در محدوده کوچکی از صفحه ادامه دارد) اثربخشی بالایی دارد، یا هنگامی که یک جایگاه مرکزی بدون تهدید توسط سربازان حریف را در اختیار داشته باشد. اما در موقعیت های باز، در گوشه­های صفحه یا در مرکز صفحه بدون حمایت سربازهای خودی، به مهره ضعیفی بدل می­شود. به طور کلی هر مهره­ای که به صورت مناسب به بازی گرفته نشود می­تواند به فرصتی برای حریف تبدیل شود. به طور مشابه، باید برای هر کنترل فنی یا اجرایی امنیت، شیوه و محل استفاده مناسب را در نظر گرفت و اینکه کنترل مربوطه چگونه پیاده سازی و نگهداری شود تا بهترین عملکرد را داشته باشد.

سازمان­هایی که به این نکته کلیدی توجه نمی­کنند، امنیت را به عنوان مصرف کننده منابع با ارزش خود احساس خواهند کرد. این سازمان­ها تصور می­کنند که هزینه­های انجام شده تنها برای جلب توجه ممیّز یا برخی مدیران مفید است. اینگونه کنترل­ها روی کاغذ به نظر مفید هستند اما در عمل استفاده چندانی ندارند.

همانطور که دانستن قابلیت ها و نحوه حرکت مهره­ها در بازی کافی نیست، کنترل­های امنیتی هم وقتی در کنار هم برای مقابله با انواع حملات استفاده نشوند، اثربخشی کافی ندارند. همچنین بسیاری از کنترل­ها به تنهایی در برابر حملات آسیب پذیر و قابل دور زدن خواهند بود.

موفقیت در بازی شطرنج مستلزم به روزرسانی دانش در زمینه آخرین نظریه­ها و بررسی شیوه­های به کار رفته در بازی­های جدید است. به طور مشابه، باید در زمینه آخرین شیوه ها و ابزارهای حمله و دفاع در فضای امنیت و آخرین روندهای رخ داده در دنیا هم به روز بود. توجه کنید که این به طور کل با آنچه آمادگی سازمان برای گذر از یک فرآیند ممیزی (مثلاً برای اخذ گواهی ایزو 27001) نامیده می­شود، تفاوت دارد. یک ممیّز معمولاً وجود برخی کنترل­ها را با چند سناریوی محدود آزمایش می­کند. این کار نمی­تواند اثربخشی آن کنترل یا مجموعه ای از کنترل­ها در برابر حمله­های خاص سازمان را مشخص نماید. همچنین برای گذر موفقیت آمیز از فرآیند ممیّزی، ملزم به           

نکات دیگری از این بحث باقی مانده که در شماره آینده به آنها خواهیم پرداخت.  

منبع: ایده های به کار رفته در این یادداشت از وب سایت شرکت Tripwire اخذ شده است.

        

   

+ افشین لامعی ; ٩:۱٩ ‎ق.ظ ; ۱۳٩٥/٢/٢۱
comment نظرات

امنیت سایبری در حوزه پزشکی، بهداشت و سلامت

طبق گزارش سالانه موسوم به DBIR (بررسی نفوذهای منجر به نشت اطلاعات در سال 2015) که هر ساله توسط شرکت Verizon منتشر می شود، انسان ها ضعیف ترین حلقه در زنجیره امنیت سایبری بیمارستان ها و دیگر موسسات سلامت و بهداشت هستند.

انستیتو استاندارد و فناوری ایالات متحده (NIST) قرار است یک سند راهنمای اختصاصی برای امنیت سایبری در حوزه صنعت سلامت و بهداشت ارائه کند.

بر اساس گزارش IBM، چهار مورد از هشت نفوذ و افشای اطلاعات (بیش از یک میلیون رکورد) در حوزه سلامت و بهداشت از سال 2010 تا کنون، در شش ماه نخست سال 2015 رخداده است. بر اساس همین گزارش، پنج حوزه ای که در سال 2015 بالاترین اهداف برای حملات سایبری بوده اند به ترتیب عبارتند از بهداشت و سلامت، صنایع تولیدی، خدمات مالی، خدمات دولتی و حمل و نقل.

+ افشین لامعی ; ۱٠:٢٩ ‎ق.ظ ; ۱۳٩٥/٢/۱۱
comment نظرات

ادعای نفوذ به شبکه سوئیفت

ماه گذشته بانک مرکزی بنگلادش با خبر سرقت 81 میلیون دلار مورد توجه قرار گرفت. گفته شده که کشف موصوع بر اساس خطای املایی هکرها در یکی از تراکنش ها بوده که باعث شده تراکنش های بعدی آنها (تا مرز 1 میلیارد دلار) توسط بانک متوقف شود. انتقادهایی در مورد فقدان تجهیزات مناسب امنیتی متوجه بانک شده است. امروز خبری در مورد یک بدافزار مورد استفاده در این ماجرا منتشر شد که زیرساخت نرم افزاری سوئیفت را هدف قرار داده و بر اساس خبر رویترز، سوئیفت قرار است به زودی به روز رسانی در این زمینه انجام دهد.

+ افشین لامعی ; ٦:۳٠ ‎ق.ظ ; ۱۳٩٥/٢/٧
comment نظرات

جستجوی تهدیدهای امنیتی

این موتور جستجو مختص تهدیدهای امنیتی ایجاد شده.

+ افشین لامعی ; ۱٠:٤٤ ‎ق.ظ ; ۱۳٩٥/۱/٢٥
comment نظرات

← صفحه بعد