'%3e%3crect%20width='24'%20height='24'%20transform='translate(1568%20947)'%20fill='%23dbdbdb'/%3e%3cg%20transform='translate(1466%20765)'%3e%3cpath%20d='M2.875,5.75A2.875,2.875,0,1,1,5.75,2.875,2.879,2.879,0,0,1,2.875,5.75Zm0-5A2.125,2.125,0,1,0,5,2.875,2.13,2.13,0,0,0,2.875.75Z'%20transform='translate(111.125%20188.625)'%20fill='%230b032d'/%3e%3cpath%20d='M8.965,4.25a.378.378,0,0,1-.375-.375C8.59,2.15,6.83.75,4.67.75S.75,2.15.75,3.875a.378.378,0,0,1-.375.375A.378.378,0,0,1,0,3.875C0,1.74,2.095,0,4.67,0S9.34,1.74,9.34,3.875A.378.378,0,0,1,8.965,4.25Z'%20transform='translate(109.33%20195.125)'%20fill='%230b032d'/%3e%3cpath%20d='M0,0H12V12H0Z'%20transform='translate(108%20188)'%20fill='none'%20opacity='0'/%3e%3c/g%3e%3c/g%3e%3c/svg%3e){kind=small}
در مقالهی قبل دیدیم که دیوارهای آتش (یا همان فایروال - Firewall)، کنترل دسترسی به شبکه و موارد مشابه امنیت دادهها را به میزان قابل توجهی بهبود میبخشند. همچنین، به این نکته اشاره کردیم که کنترل فیزیکی، مبحث مهمی است که نباید به سادگی از کنار آن عبور کرد. در ادامه، مبحث تقسیمبندی یک شبکهی واحد به شبکههای کوچکتر را بررسی کردیم که نقش مهمی در مدیریت و نظارت دقیقتر بر شبکه و بهبود امنیت دارد. در نهایت به مبحث رمزگذاری اطلاعات اشاره کردیم که اجازه نمیدهد حتی در صورت سرقت تجهیزات سختافزاری، هکرها به راحتی به اطلاعات حساس سازمانی دسترسی پیدا کنند.
10. ایمنسازی سیستمها
در هر مکانی که ممکن است دادههای حساس حتی به طور موقت در آنها ذخیرهسازی شوند باید بر اساس نوع اطلاعات به محافظت از آنها پرداخت و از مکانیزمهای امنیتی کارآمدی برای ایمنسازی دادهها استفاده کرد. این موضوع محدود به سیستمی نیست که اطلاعات را میزبانی میکند. سیستمهای خارجی که قصد دارند از راه دور به سیستم متصل شوند باید از مکانیزمها و کانالهای ارتباطی امنی برای دسترسی به سیستم استفاده کنند و همچنین از رویکرد دسترسی حداقلی کاربران و کلاینتها به منابع استفاده کرد. اصل مهمی که باید به آن دقت کنید این است که تعادلی میان عملکرد و مکانیزمهای امنیتی به وجود آورید تا کاربران مشکلی از بابت دسترسی به اطلاعات نداشته باشند.
OS baseline
اولین گام برای ایمنسازی سیستمها این است که مطمئن شوید پیکربندی سیستمعامل تا حد امکان در وضعیت امن است. به طور معمول، در بیشتر سیستمعاملها، سرویسهای غیرضروری در حال اجرا هستند که برخی از آنها ممکن است به هکرها اجازه دهند به سیستمعامل نفوذ کنند.
تنها برنامهها و سرویسهایی که به آنها نیاز دارید را فعال نگه دارید و تنها برنامههایی که سرویسهایی در اختیار کارمندان قرار میدهند را فعال کنید. اگر سرویسی کاربرد تجاری ندارد، باید غیرفعال شود. علاوه بر این، توصیه میشود، یک ایمیج (Image) از سیستمعامل پایه تهیه کنید تا در صورت لزوم قادر به بازگرداندن سیستم عامل به حالت اولیه باشید. اگر کارمندی به قابلیت اضافی نیاز دارد، آن سرویسها یا برنامهها را به صورت موردی فعال کنید. سیستم عاملهای ویندوز و لینوکس هر کدام تنظیمات امنیتی خاصی برای افزایش سطح امنیت سیستم عامل دارند.
ویندوز
ویندوز تا حد زیادی محبوبترین سیستمعاملی است که مصرفکنندگان و مشاغل مورد استفاده قرار میدهند. همین مسئله باعث شده تا ویندوز مورد توجه هکرها قرار بگیرد و به طور معمول گزارشهایی در ارتباط با شناسایی آسیبپذیریهای این سیستمعامل منتشر شود. امروزه، بخش عمدهای از سازمانهای دولتی و خصوصی از نگارشهای مختلف ویندوز استفاده میکنند، بنابراین باید اطمینان حاصل کنید که برخی از تنظیمات به درستی پیکربندی شدهاند. در شرایطی که پرداختن به تمامی تنظیمات خارج از حوصله این مقاله است، اما در ادامه به چند مورد از تنظیمات امنیتی که باید به آنها دقت کنید اشاره میکنیم.
- احراز هویت LanMan را غیرفعال کنید.
- مطمئن شوید که همه حسابها چه حساب فعال یا غیرفعال دارای گذرواژه باشند.
- مجوزهای اشتراکگذاریها در شبکه را غیرفعال یا محدود کنید.
- سرویسهایی که مورد نیاز نیستند، به خصوص telnet و ftp که پروتکلهایی هستند که اطلاعات را به شکل متن واضح ارسال میکنند را غیرفعال کنید.
- ویژگی ثبت گزارش برای رویدادهای مهم سیستم را فعال کنید.
لینوکس
سیستمعامل لینوکس در سالهای اخیر محبوبیت بیشتری پیدا کرده است. اگرچه برخی ادعا میکنند که از ویندوز ایمنتر است، اما هنوز باید برخی کارها برای بهبود وضعیت امنیتی آن انجام شود. از جمله این کارها به موارد زیر باید اشاره کرد:
- سرویسها و پورتهای غیر ضروری را غیرفعال کنید.
- مکانیزم احراز هویتی که دستورات r از آن استفاده میکنند، بهتر است غیر فعال شود.
- برنامههای غیر ضروری setuid و setgid را غیر فعال کنید.
- وضعیت حسابهای کاربری را بررسی کنید تا مطمئن شوید حساب کاربری بدون استفادهای وجود نداشته باشد.
وب سرورها
وب سرورها یکی از جذابترین منابعی هستند که هکرها به آنها علاقه دارند، زیرا آسیبپذیریهای موجود در این بخش به هکرها اجازه میدهد دست به کارهای مخربتری بزنند. اگر یک مهاجم بتواند به یک وب سرور محبوب دسترسی پیدا کند و از یک حفره امنیتی موجود در وب سرور استفاده کند، این فرصت را پیدا میکند تا به اطلاعات و داده های حساس هزاران یا شاید صدها هزار کاربر که به سایتها مراجعه کردهاند، دسترسی پیدا کند. با هدف قرار دادن یک وب سرور، یک مهاجم میتواند تمام اتصالهای رورگرهای وب کاربران را تحت تأثیر قرار دهد و آسیب جدی نه تنها به یک سیستم بلکه به طیف گستردهای از سیستمها وارد کند.
وب سرورها در ابتدا طراحی سادهای داشتند و عمدتا برای ارائه متن و محتوای گرافیکی HTML استفاده میشدند. امروزه، وب سرورهای مدرن امکان دسترسی به پایگاه داده، عملکرد چت، پخش چند رسانهای و انواع مختلفی از خدمات را ارائه میکنند. این تنوع عملکردها، وبسایتها را قادر میسازد تا قابلیتهای غنی و پیچیدهای در اختیار بازدیدکنندگان قرار دهند.
همواره به این نکته دقت کنید که هر سرویس و قابلیت پشتیبانی شده در یک وب سایت به طور بالقوه هدفی برای سوء استفاده است. مطمئن شوید که وبسایتها و وبسرورها از جدیدترین و بهروزترین فناوریها استفاده میکنند. همچنین، باید مطمئن شوید که به کاربران فقط مجوزهای لازم برای انجام وظایف خود را میدهید. اگر به هر دلیلی کاربران میتوانند از طریق یک حساب کاربری ناشناس به سرور شما دسترسی داشته باشند، عقل سالم کم میکند که مطمئن شوید، حساب ناشناس مجوزهای لازم برای مشاهده صفحههای وب را دارد و نه بیشتر.
دو پیکربندی مهم در ارتباط با وبسرورها به نام فیلترها و کنترل دسترسی در ارتباط با اسکریپتهای اجرایی وجود دارند که پیشنهاد میکنم، دانش خود در ارتباط با آنها را افزایش دهید. تعریف اجمالی فناوریهای فوق به شرح زیر است.
فیلترها (Filters)
فیلترها به شما این امکان را میدهند که ترافیک مجاز را محدود کنید. محدود کردن ترافیک از شما در برابر برخی از حملات رایج محافظت میکند. علاوه بر این، فیلترها را میتوان به شکل سفارشی و مطابق با نیازها مورد استفاده قرار داد تا از دسترسی کاربران به سایتهایی غیر از موارد مرتبط با حوزه فعالیت شرکت جلوگیری شود. رویکرد فوق نه تنها بهرهوری را افزایش میدهد، بلکه احتمال آلودگی سامانههای کاربران به بدافزارها از طریق بازدید از یک سایت مشکوک را کاهش میدهد.
کنترل دسترسی در ارتباط با اسکریپتهایی اجرایی
اسکریپتهای اجرایی نوشته شده به زبانهایی مثل پیاچپی، پایتون، جاوااسکریپتهای و... اغلب با مجوزهای مدیریتی بالا اجرا میشوند. در بیشتر موارد، این مسئله مشکل خاصی به وجود نمیآورد، زیرا مجوزی که کاربران دریافت میکنند به آنها اجازه اجرای اسکریپتهای سطح بالا را نمیدهد، اما اگر کاربری بتواند به طریقی اسکریپتی را با مجوزهای مدیریتی اجرا کند، مشکلات از راه میرسند. از دیدگاه مدیریتی، بهتر است هرگونه اسکریپتی که قرار است روی سرور اجرا شود را به طور کامل آزمایش، اشکالزدایی و بعد اجرا کنید.
سرورهای ایمیل
سرورهای ایمیل ستون فقرات مکانیزمهای ارتباطی بسیاری از مشاغل را شکل میدهند. به طور معمول، آنها یا به عنوان یک سرویس اضافی روی یک سرور یا روی سیستمهای اختصاصی اجرا میشوند. قرار دادن یک اسکنر شناسایی بدافزار روی سرورهای ایمیل میتواند نرخ ورود ویروسها یا موارد مشکوک به ویروس، به شبکه را کاهش دهد و مانع انتشار ویروسها از طریق سرور ایمیل میشود. البته شایان ذکر است که اسکنرها نمیتوانند همه ضمائم را بررسی کنند.
به طور مثال، برای ایمیلهایی که Exchange دریافت میکند به یک اسکنر ضدویروس (Anti-Virus) مخصوصل ایمیل نیاز دارید. همچنین به این نکته دقت کنید که برخی از ضدویروسهای مخصوص ایمیل سعی میکنند فیشینگ را شناسایی کنند که این مدل ضدویروسها مبتنی بر الگوریتمهای یادگیری ماشین هستند و خطمشیهای خوبی برای مقابله با حملات مهندسی اجتماعی ارائه میکنند.
البته، نکتهای که باید در این زمینه به آن اشاره کنیم این است که سرورهای ایمیل به تدریج در حال بهکارگیری سیستمهای خودکاری هستند که توانایی شناسایی و مقابله با ارسال هرزنامهها را دارند و اقداماتی در جهت مقابله با دریافت هرزنامهها در پوشه ایمیلها ارائه میکنند. با این حال، تهدیدها به طور فزایندهای پیچیدهتر شدهاند.
به همین دلیل، پیشنهاد میشود در کنار قابلیتهایی که نرمافزارهای فوق ارائه میکنند، کارهایی همچون محدود کردن آدرسهای آیپی یا آمادهسازی لیست ACL Deny روتر را برای کم کردن تعداد هرزنامههایی که ممکن است دریافت کنید، انجام دهید. این روش باعث میشود روتر، درخواستهای اتصال از آدرسهای IP که مشخص کردهاید را نادیده بگیرد و به این شکل امنیت به میزان قابل توجهی بهبود پیدا کند.
سرورهای FTP
سرورهای پروتکل انتقال فایل (FTP) به دلیل ضعف ذاتی، در کاربردهای تجاری مهم مورد استفاده قرار نمیگیرند. اکثر سرورهای FTP به شما این امکان را میدهند که بخشهای مشخصی از هر درایو را برای ارسال و دریافت فایلها مشخص کنید. به بیان دقیقتر، شما باید یک درایو یا پوشههایی را برای این منظور تعیین کنید. اگر قصد استفاده از این پروتکل را دارید از اتصالات مبتنی بر شبکه خصوصی مجازی (VPN) یا پروتکل SSH در ارتباط با پروتکل FTP استفاده کنید.
به عنوان قاعده کلی به این نکته توجه داشته باشید که FTP به لحاظ امنیتی خیلی قابل اعتماد نیست و بسیاری از سیستمهای FTP، اطلاعات حساب و رمز عبور را بدون رمزگذاری ارسال میکنند. از بینش امنیتی عملیاتی، توصیه میشود از حسابهای کاربری و رمز عبور جداگانه برای دسترسی به FTP استفاده کنید. همچنین، از ضد ویروسها برای اسکن فایلهایی که پروتکل فوق دریافت میکند، استفاده کنید تا مطمئن شوید عاری از ویروس هستند.
همیشه باید حساب کاربری ناشناس را غیرفعال کنید. برای استفادهی آسان از FTP، بیشتر سرورها به طور پیشفرض اجازه دسترسی به شکل ناشناس را میدهند. به طور معمول، هیچ کارشناس امنیتی دوست ندارد، به کاربران ناشناس اجازه دهد فایلها را به/از سرورها کپی کنند. غیرفعال کردن دسترسی ناشناس به این معنا است که تنها کاربران شناخته و تایید شده مجاز به دسترسی به سرور FTP هستند. بهترین راه برای ایمنسازی FTP این است که آن را به طور کامل جایگزین کنید و از سرویسهای امنتر مانند پروتکل انتقال فایل امن (SFTP) استفاده کنید.
11. استفاده از یک روش مدیریت patch مناسب
اطمینان از بهروز بودن برنامههای کاربردی و سیستمع املی که در محیط کار از آن استفاده میشود، کار آسانی نیست، اما برای حفاظت از دادهها ضروری است. یکی از بهترین راهها برای محافظت از فایلها در برابر ویروسها، خودکار کردن مکانیزم بهروزرسانی پایگاه داده با جزییات فنی مربوط به بدافزارها، بهروزرسانی برنامههای کاربردی و سیستم عاملها است.
برای زیرساختهای حیاتی، وصلهها باید به طور کامل آزمایش شوند تا اطمینان حاصل شود که هیچ تاثیر منفی روی عملکرد سامانهها و محیط کار نخواهند گذاشت. به همین دلیل پیشنهاد میشود، قبل از نصب وصلهها روی سیستمهای اصلی، ابتدا آنها روی سیستمهایی که ارتباط مستقیمی با فعالیتهای تجاری ندارند، آزمایش کنید و در صورت اطمینان روی سامانههای اصلی نصب کنید.
مدیریت وصله (Patch) سیستمعامل
سه نوع Patch سیستمعامل وجود دارد که هر کدام اولویت متفاوتی دارند. این سه سطح به شرح زیر هستند:
Hotfix: یک وصله فوری است. به طور کلی، این مدل وصلهها اشاره به مسائل امنیتی جدی دارند و اختیاری نیستند. به همین دلیل باید در اسرع وقت روی سیستمها نصب شوند.
Patch: وصلهای است که برخی از عملکردهای اضافی را ارائه میکند یا مشکلی را برطرف میکند. این مدل وصلهها اختیاری هستند.
Service pack: سرویس پک مجموعهای از بهروزرسانیهای ضروری و اختیاری است. این مدل وصلهها باید آزمایش شوند تا مطمئن شوید که بهروزرسانی مشکلی ایجاد نمیکند.
مدیریت وصله برنامههای کاربردی
همانطور که باید وصلههای مربوط به سیستمعاملها را نصب کنید تا مشکلات امنیتی شناسایی شده در سیستم عامل برطرف شوند، باید همین کار در ارتباط با وصلههای برنامههای کاربردی انجام شود. هنگامی که یک اکسپلویت در یک برنامه شناسایی شود، مهاجم میتواند از آن برای ورود یا آسیب رساندن به یک سیستم استفاده کند. اکثر تولیدکنندگان محصولات نرمافزاری یا تولیدکنندگان محصولات سختافزاری، وصلهها را به طور منظم ارسال میکنند، در نتیجه هنگامی که وصلهای انتشار پیدا کرد باید از آن استفاده کنید. امروزه برخی از حملات به سیستمهای کلاینت، تنها به علت استفاده نکردن از patch ها در برنامه های کاربردی با موفقیت انجام میشوند.
در مقالهی آینده مبحث فوق را ادامه میدهیم.
