talent-campaign-ads-banner
14 مورد از بهترین best practice های امنیت داده‌ها - موارد 10 و 11

14 مورد از بهترین best practice های امنیت داده‌ها - موارد 10 و 11

در مقاله‌ی قبل دیدیم که دیوارهای آتش (یا همان فایروال - Firewall)، کنترل دسترسی به شبکه و موارد مشابه امنیت داده‌ها را به میزان قابل توجهی بهبود می‌بخشند. همچنین، به این نکته اشاره کردیم که کنترل فیزیکی، مبحث مهمی است که نباید به سادگی از کنار آن عبور کرد. در ادامه، مبحث تقسیم‌بندی یک شبکه‌ی واحد به شبکه‌های کوچک‌تر را بررسی کردیم که نقش مهمی در مدیریت و نظارت دقیق‌تر بر شبکه و بهبود امنیت دارد. در نهایت به مبحث رمزگذاری اطلاعات اشاره کردیم که اجازه نمی‌دهد حتی در صورت سرقت تجهیزات سخت‌افزاری، هکرها به راحتی به اطلاعات حساس سازمانی دسترسی پیدا کنند. 

10. ایمن‌سازی سیستم‌ها

در هر مکانی که ممکن است داده‌های حساس حتی به ‌طور موقت در آن‌ها ذخیره‌سازی شوند باید بر اساس نوع اطلاعات به محافظت از آن‌ها پرداخت و از مکانیزم‌های امنیتی کارآمدی برای ایمن‌سازی داده‌ها استفاده کرد. این موضوع محدود به سیستمی نیست که اطلاعات را میزبانی می‌کند. سیستم‌های خارجی که قصد دارند از راه دور به سیستم متصل شوند باید از مکانیزم‌ها و کانال‌های ارتباطی امنی برای دسترسی به سیستم استفاده کنند و همچنین از رویکرد دسترسی حداقلی کاربران و کلاینت‌ها به منابع استفاده کرد. اصل مهمی که باید به آن دقت کنید این است که تعادلی میان عملکرد و مکانیزم‌های امنیتی به وجود آورید تا کاربران مشکلی از بابت دسترسی به اطلاعات نداشته باشند. 

OS baseline

اولین گام برای ایمن‌سازی سیستم‌ها این است که مطمئن شوید پیکربندی سیستم‌عامل تا حد امکان در وضعیت امن است. به طور معمول، در بیشتر سیستم‌عامل‌ها، سرویس‌های غیرضروری در حال اجرا هستند که برخی از آن‌ها ممکن است به هکرها اجازه دهند به سیستم‌عامل نفوذ کنند. 

تنها برنامه‌ها و سرویس‌هایی که به آن‌ها نیاز دارید را فعال نگه ‌دارید و تنها برنامه‌هایی که سرویس‌هایی در اختیار کارمندان قرار می‌دهند را فعال کنید. اگر سرویسی کاربرد تجاری ندارد، باید غیرفعال شود. علاوه بر این، توصیه می‌شود، یک ایمیج (Image) از سیستم‌عامل پایه تهیه کنید تا در صورت لزوم قادر به بازگرداندن سیستم ‌عامل به حالت اولیه باشید. اگر کارمندی به قابلیت اضافی نیاز دارد، آن سرویس‌ها یا برنامه‌ها را به صورت موردی فعال کنید. سیستم ‌عامل‌های ویندوز و لینوکس هر کدام تنظیمات امنیتی خاصی برای افزایش سطح امنیت سیستم‌ عامل دارند. 

ویندوز 

ویندوز تا حد زیادی محبوب‌ترین سیستم‌عاملی است که مصرف‌کنندگان و مشاغل مورد استفاده قرار می‌دهند. همین مسئله باعث شده تا ویندوز مورد توجه هکرها قرار بگیرد و به طور معمول گزارش‌هایی در ارتباط با شناسایی آسیب‌پذیری‌های این سیستم‌عامل منتشر ‌شود. امروزه، بخش عمده‌ای از سازمان‌های دولتی و خصوصی از نگارش‌های مختلف ویندوز استفاده می‌کنند، بنابراین باید اطمینان حاصل کنید که برخی از تنظیمات به درستی پیکربندی شده‌اند. در شرایطی که پرداختن به تمامی تنظیمات خارج از حوصله این مقاله است، اما در ادامه به چند مورد از تنظیمات امنیتی که باید به آن‌ها دقت کنید اشاره می‌کنیم.

  • احراز هویت LanMan را غیرفعال کنید.
  • مطمئن شوید که همه حساب‌ها چه حساب فعال یا غیرفعال دارای گذرواژه باشند.
  • مجوزهای اشتراک‌گذاری‌ها در شبکه را غیرفعال یا محدود کنید.
  • سرویس‌هایی که مورد نیاز نیستند، به خصوص telnet و ftp که پروتکل‌هایی هستند که اطلاعات را به شکل متن واضح ارسال می‌کنند را غیرفعال کنید. 
  • ویژگی ثبت گزارش برای رویدادهای مهم سیستم را فعال کنید.

لینوکس

سیستم‌عامل لینوکس در سال‌‌های اخیر محبوبیت بیشتری پیدا کرده است. اگرچه برخی ادعا می‌کنند که از ویندوز ایمن‌تر است، اما هنوز باید برخی کارها برای بهبود وضعیت امنیتی آن انجام شود. از جمله این کارها به موارد زیر باید اشاره کرد: 

  • سرویس‌ها و پورت‌های غیر ضروری را غیرفعال کنید.
  • مکانیزم احراز هویتی که دستورات r از آن استفاده می‌کنند، بهتر است غیر فعال شود. 
  • برنامه‌های غیر ضروری setuid و setgid را غیر فعال کنید.
  • وضعیت حساب‌های کاربری را بررسی کنید تا مطمئن شوید حساب کاربری بدون استفاده‌ای وجود نداشته باشد. 

وب سرورها

وب سرورها یکی از جذاب‌ترین منابعی هستند که هکرها به آن‌ها علاقه دارند، زیرا آسیب‌پذیری‌های موجود در این بخش به هکرها اجازه می‌دهد دست به کارهای مخرب‌تری بزنند. اگر یک مهاجم بتواند به یک وب سرور محبوب دسترسی پیدا کند و از یک حفره امنیتی موجود در وب سرور استفاده کند، این فرصت را پیدا می‌کند تا به اطلاعات و داده های حساس هزاران یا شاید صدها هزار کاربر که به سایت‌ها مراجعه کرده‌اند، دسترسی پیدا کند. با هدف قرار دادن یک وب سرور، یک مهاجم می‌تواند تمام اتصال‌های رورگرهای وب کاربران را تحت تأثیر قرار دهد و آسیب جدی نه تنها به یک سیستم بلکه به طیف گسترده‌ای از سیستم‌ها وارد کند. 

وب سرورها در ابتدا طراحی ساده‌ای داشتند و عمدتا برای ارائه متن و محتوای گرافیکی HTML استفاده می‌شدند. امروزه، وب سرورهای مدرن امکان دسترسی به پایگاه داده، عملکرد چت، پخش چند رسانه‌ای و انواع مختلفی از خدمات را ارائه می‌کنند. این تنوع عملکردها، وب‌سایت‌ها را قادر می‌سازد تا قابلیت‌های غنی و پیچیده‌ای در اختیار بازدیدکنندگان قرار دهند. 

همواره به این نکته دقت کنید که هر سرویس و قابلیت پشتیبانی شده در یک وب سایت به طور بالقوه هدفی برای سوء استفاده است. مطمئن شوید که وب‌سایت‌ها و وب‌سرورها از جدیدترین و به‌روزترین فناوری‌ها استفاده می‌کنند. همچنین، باید مطمئن شوید که به کاربران فقط مجوزهای لازم برای انجام وظایف خود را می‌دهید. اگر به هر دلیلی کاربران می‌توانند از طریق یک حساب کاربری ناشناس به سرور شما دسترسی داشته باشند، عقل سالم کم می‌کند که مطمئن شوید، حساب ناشناس مجوزهای لازم برای مشاهده صفحه‌های وب را دارد و نه بیشتر.

دو پیکربندی مهم در ارتباط با وب‌سرورها به ‌نام‌ فیلترها و کنترل دسترسی در ارتباط با اسکریپت‌های اجرایی وجود دارند که پیشنهاد می‌کنم، دانش خود در ارتباط با آن‌ها را افزایش دهید. تعریف اجمالی فناوری‌های فوق به شرح زیر است.

فیلترها (Filters)

 فیلترها به شما این امکان را می‌دهند که ترافیک مجاز را محدود کنید. محدود کردن ترافیک از شما در برابر برخی از حملات رایج محافظت می‌کند. علاوه بر این، فیلترها را می‌توان به شکل سفارشی و مطابق با نیازها مورد استفاده قرار داد تا از دسترسی کاربران به سایت‌هایی غیر از موارد مرتبط با حوزه فعالیت شرکت جلوگیری شود. رویکرد فوق نه تنها بهره‌وری را افزایش می‌دهد، بلکه احتمال آلودگی سامانه‌های کاربران به بدافزارها از طریق بازدید از یک سایت مشکوک را کاهش می‌دهد.

کنترل دسترسی در ارتباط با اسکریپت‌هایی اجرایی

اسکریپت‌های اجرایی نوشته شده به زبان‌هایی مثل پی‌اچ‌پی، پایتون، جاوااسکریپت‌های و... اغلب با مجوزهای مدیریتی بالا اجرا می‌شوند. در بیشتر موارد، این مسئله مشکل خاصی به وجود نمی‌آورد، زیرا مجوزی که کاربران دریافت می‌کنند به آن‌ها اجازه اجرای اسکریپت‌های سطح بالا را نمی‌دهد، اما اگر کاربری بتواند به طریقی اسکریپتی را با مجوزهای مدیریتی اجرا کند، مشکلات از راه می‌رسند. از دیدگاه مدیریتی، بهتر است هرگونه اسکریپتی که قرار است روی سرور اجرا شود را به طور کامل آزمایش، اشکال‌زدایی و بعد اجرا کنید. 

سرورهای ایمیل

سرورهای ایمیل ستون فقرات مکانیزم‌های ارتباطی بسیاری از مشاغل را شکل می‌دهند. به طور معمول، آن‌ها یا به عنوان یک سرویس اضافی روی یک سرور یا روی سیستم‌های اختصاصی اجرا می‌شوند. قرار دادن یک اسکنر شناسایی بدافزار روی سرورهای ایمیل می‌تواند نرخ ورود ویروس‌ها یا موارد مشکوک به ویروس، به شبکه را کاهش دهد و مانع انتشار ویروس‌ها از طریق سرور ایمیل می‌شود. البته شایان ذکر است که اسکنرها نمی‌توانند همه ضمائم را بررسی کنند. 

به طور مثال، برای ایمیل‌هایی که Exchange دریافت می‌کند به یک اسکنر ضدویروس (Anti-Virus) مخصوصل ایمیل نیاز دارید. همچنین به این نکته دقت کنید که برخی از ضدویروس‌های مخصوص ایمیل سعی می‌کنند فیشینگ را شناسایی کنند که این مدل ضدویروس‌ها مبتنی بر الگوریتم‌های یادگیری ماشین هستند و خط‌مشی‌های خوبی برای مقابله با حملات مهندسی اجتماعی ارائه می‌کنند.

البته، نکته‌ای که باید در این زمینه به آن اشاره کنیم این است که سرورهای ایمیل به تدریج در حال به‌کارگیری سیستم‌های خودکاری هستند که توانایی شناسایی و مقابله با ارسال هرزنامه‌ها را دارند و اقداماتی در جهت مقابله با دریافت هرزنامه‌ها در پوشه ایمیل‌ها ارائه می‌کنند. با این حال، تهدیدها به طور فزاینده‌ای پیچیده‌تر شده‌اند.

به همین دلیل، پیشنهاد می‌شود در کنار قابلیت‌هایی که نرم‌افزارهای فوق ارائه می‌کنند، کارهایی همچون محدود کردن آدرس‌های آی‌پی یا آماده‌سازی لیست ACL Deny روتر را برای کم کردن تعداد هرزنامه‌هایی که ممکن است دریافت کنید، انجام دهید. این روش باعث می‌شود روتر، درخواست‌های اتصال از آدرس‌های IP که مشخص کرده‌اید را نادیده بگیرد و به این شکل امنیت به میزان قابل توجهی بهبود پیدا کند. 

سرورهای FTP

سرورهای پروتکل انتقال فایل (FTP) به دلیل ضعف ذاتی، در کاربردهای تجاری مهم مورد استفاده قرار نمی‌گیرند. اکثر سرورهای FTP به شما این امکان را می‌دهند که بخش‌های مشخصی از هر درایو را برای ارسال و دریافت فایل‌ها مشخص کنید. به بیان دقیق‌تر، شما باید یک درایو یا پوشه‌هایی را برای این منظور تعیین کنید. اگر قصد استفاده از این پروتکل را دارید از اتصالات مبتنی بر شبکه خصوصی مجازی (VPN) یا پروتکل SSH در ارتباط با پروتکل FTP استفاده کنید. 

به عنوان قاعده کلی به این نکته توجه داشته باشید که FTP به لحاظ امنیتی خیلی قابل اعتماد نیست و بسیاری از سیستم‌های FTP، اطلاعات حساب و رمز عبور را بدون رمزگذاری ارسال می‌کنند. از بینش امنیتی عملیاتی، توصیه می‌شود از حساب‌های کاربری و رمز عبور جداگانه برای دسترسی به FTP استفاده کنید. همچنین، از ضد ویروس‌ها برای اسکن فایل‌هایی که پروتکل فوق دریافت می‌کند، استفاده کنید تا مطمئن شوید عاری از ویروس هستند. 

همیشه باید حساب کاربری ناشناس را غیرفعال کنید. برای استفاده‌ی آسان از FTP، بیشتر سرورها به طور پیش‌فرض اجازه دسترسی به شکل ناشناس را می‌دهند. به طور معمول، هیچ کارشناس امنیتی دوست ندارد، به کاربران ناشناس اجازه دهد فایل‌ها را به/از سرورها کپی کنند. غیرفعال کردن دسترسی ناشناس به این معنا است که تنها کاربران شناخته و تایید شده مجاز به دسترسی به سرور FTP هستند. بهترین راه برای ایمن‌سازی FTP این است که آن را به طور کامل جایگزین کنید و از سرویس‌های امن‌تر مانند پروتکل انتقال فایل امن (SFTP) استفاده کنید. 

11. استفاده از یک روش مدیریت patch مناسب

اطمینان از به‌روز بودن برنامه‌های کاربردی و سیستم‌ع املی که در محیط کار از آن استفاده می‌شود، کار آسانی نیست، اما برای حفاظت از داده‌ها ضروری است. یکی از بهترین راه‌ها برای محافظت از فایل‌ها در برابر ویروس‌ها، خودکار کردن مکانیزم به‌روزرسانی پایگاه داده با جزییات فنی مربوط به بدافزارها، به‌روزرسانی‌ برنامه‌های کاربردی و سیستم‌ عامل‌ها است. 

برای زیرساخت‌های حیاتی، وصله‌ها باید به طور کامل آزمایش شوند تا اطمینان حاصل شود که هیچ تاثیر منفی روی عملکرد سامانه‌ها و محیط کار نخواهند گذاشت. به همین دلیل پیشنهاد می‌شود، قبل از نصب وصله‌ها روی سیستم‌های اصلی، ابتدا آن‌ها روی سیستم‌هایی که ارتباط مستقیمی با فعالیت‌های تجاری ندارند، آزمایش کنید و در صورت اطمینان روی سامانه‌های اصلی نصب کنید. 

مدیریت وصله (Patch) سیستم‌عامل

سه نوع Patch سیستم‌عامل وجود دارد که هر کدام اولویت متفاوتی دارند. این سه سطح به شرح زیر هستند:

Hotfix: یک وصله فوری است. به طور کلی، این مدل وصله‌ها اشاره به مسائل امنیتی جدی دارند و اختیاری نیستند. به همین دلیل باید در اسرع وقت روی سیستم‌ها نصب شوند. 

Patch: وصله‌ای است که برخی از عملکردهای اضافی را ارائه می‌کند یا مشکلی را برطرف می‌کند. این مدل وصله‌ها اختیاری هستند. 

Service pack: سرویس پک مجموعه‌ای از به‌روزرسانی‌های ضروری و اختیاری است. این مدل وصله‌ها باید آزمایش شوند تا مطمئن شوید که به‌روز‌رسانی مشکلی ایجاد نمی‌کند.

مدیریت وصله برنامه‌های کاربردی

همان‌طور که باید وصله‌های مربوط به سیستم‌عامل‌ها را نصب کنید تا مشکلات امنیتی شناسایی شده در سیستم‌ عامل برطرف شوند، باید همین کار در ارتباط با وصله‌های برنامه‌های کاربردی انجام شود. هنگامی که یک اکسپلویت در یک برنامه شناسایی شود، مهاجم می‌تواند از آن برای ورود یا آسیب رساندن به یک سیستم استفاده کند. اکثر تولیدکنندگان محصولات نرم‌افزاری یا تولیدکنندگان محصولات سخت‌افزاری، وصله‌ها را به طور منظم ارسال می‌کنند، در نتیجه هنگامی که وصله‌ای انتشار پیدا کرد باید از آن استفاده کنید. امروزه برخی از حملات به سیستم‌های کلاینت، تنها به علت استفاده نکردن از patch ها در برنامه های کاربردی با موفقیت انجام می‌شوند. 

در مقاله‌ی آینده مبحث فوق را ادامه می‌دهیم. 

از بهترین نوشته‌های کاربران سکان آکادمی در سکان پلاس