برنامه ریزی - تشخیص

پاسخ به حوادث امنیتی‌ : برنامه ریزی
در صورتی که سازمان شما با یک مشکل و یا حادثه امنیتی مواجه شود ، چگونه با آن برخورد می نمائید ؟ شاید مدیران برخی سازمان ها بر این باور باشند  که همواره مشکل برای دیگران اتفاق خواهد افتاد و سازمان ما از این قاعده مستثنی است ! تفکر فوق با مدیریت فناوری اطلاعات در تناقض آشکار است و قطعا" در پشت چنین باورهائی  تفکر مبتنی بر فناوری اطلاعات وجود ندارد .
هر سازمان می بایست  دارای آمادگی لازم جهت برخورد با هرگونه حادثه امنیتی به سرعت و با قاطعیت باشد و در صورت بروز یک حادثه امنیتی از یک سیستم تشخیص سریع و قانونمند به منظور آنالیز سیستم های آلوده استفاده نماید . مستند نمودن آنچه  که اتفاق افتاده است  احتمال بروز حوادث مشابه را کاهش و فرصت استفاده از تجارب موفق را در اختیار دیگران قرار می دهد . قبل از هر گونه اقدام می بایست سیاست گذاری لازم انجام تا بتوان با برنامه ریزی دقیق به سرعت سیستم های در معرض خطر را تشخیص و آنها را از سایر بخش های شبکه جدا  نمود .

برنامه ریزی برای پاسخ به حوادث امنیتی غیر مترقبه
صرفنظر از سیستم تدافعی و حفاظتی ایجاد شده  در زیرساخت فناوری اطلاعات و ارتباطات یک سازمان ، همواره این احتمال وجود خواهد داشت که یک مهاجم مصمم بتواند به سطوح دفاعی و امنیتی شبکه رسوخ نماید . این بدان معنی است که یکی‌ از مهمترین بخش های برنامه ریزی امنیتی می بایست متمرکز بر روی نحوه برخورد و یا مقابله با حوادث امنیتی غیرمترقبه باشد . به منظور برخورد مناسب با اینگونه حوادث امنیتی ، موارد ذیل می بایست در  برنامه ریزی اولیه در نظر گرفته شود :

·      ایجاد گروه مقابله با حوادث : اولین مرحله به منظور  پاسخ موفقیت آمیز به تهدیدات امنتیی ، ایجاد  گروهی است که مستقیما" با اینگونه مسائل بطور تخصصی و کارشناسی برخورد نماید . گروه فوق می بایست از حمایت همه جانبه مدیران ارشد سازمان برخوردار باشد تا بتواند موانع موجود به منظور پیاده سازی سیاست هائی که باعث تسهیل در فعالیت های گروه می گردد را برطرف نماید . همچنین در برخی موارد و با توجه  به ماهیت حادثه امنیتی لازم است که این گروه بتواند به سرعت تصمیمات مشکلی را به منظور برخورد با حادثه ایجاد شده ، اخذ نماید ( نظیر قطع ارتباط با اینترنت در سازمان ) . بدیهی است در چنین مواردی حمایت مدیریت سازمان از گروه حیاتی خواهد بود . در گروه مقابله با حوادث امنیتی می بایست کارشناسان متخصصی وجود داشته باشد که مسئولیت بهنگام سازی فرآیندها و توصیه های امنیتی را برعهده دارند .  دانش این افراد و سرعت در بهنگام سازی آن متناسب با حوادث امنیتی ایجاد شده در سطح جهان است که می تواند موفقیت گروه را در انجام وظایف تعریف شده تضمین نماید .

·         تعریف سیاست ها و رویه های لازم به منظور پاسخ به حوادث  : داشتن سیاست ها و رویه های شفاف و تست شده جهت مقابله با حوادث امنیتی ، یکی از عوامل کلیدی به منظور پاسخ سریع و کاملا" کنترل شده و مدیریت یافته با حوادث امنیتی است . برای محدود نمودن آثار و تبعات یک تهاجم ، می بایست  به یک تهاجم سریع و بطور کامل  پاسخ داده شود . در برنامه مقابله با حوادث امنیتی لازم است  موارد زیر در نظر گرفته شود :

     ● تهیه یک لیست طبقه بندی شده از انواع حوادث : با توجه به تنوع بسیار زیاد انواع حوادث امنیتی ، می بایست برای هر نوع حادثه امنیتی سیاست ها و رویه های مختص آن تدوین شود . گروه مقابله با حوادث امنیتی می بایست در اولین مرحله ، لیستی مشتمل بر انواع تهدیدات و حوادث را تهیه نماید .

     ● تدوین دستورالعمل های لازم به منظور برخورد پیشگیرانه و واکنش سریع به حوادث امنیتی : پس از این که گروه مقابله با حوادث امنیتی لیستی از انواع تهدیدات را تهیه نمود ، می بایست برای هر نوع حادثه امنیتی دستورالعمل های پیشگیرانه و واکنش سریع را  تهیه و آماده نماید .

·      ایجاد یک برنامه ارتباطی : گروه مقابله با حوادث امنیتی می بایست یک برنامه ارتباطی به منظور نحوه به اشتراک گذاشتن اطلاعات در خصوص حوادث امنیتی بین افرادی که به آن اطلاعات نیاز دارند را ایجاد نماید . برنامه ارتباطی می بایست شامل اطلاعات مورد نیاز کاربران به منظور کمک به آنها در جهت پیشگیری از بروز یک تهاجم و اطلاعات مربوط به یک تهاجم ایجاد شده باشد . برنامه ارتباطی می تواند با اعلام دقیق و سریع  بروز یک تهاجم به کاربران در عدم موفقیت و گسترش سریع مشکل ایجاد شده  نقشی کلیدی و اساسی داشته باشد . گروه می بایست مشخص نماید که با توجه به ماهیت و نوع تهاجم چه اطلاعاتی در اختیار چه افرادی گذاشته شود .

·      تست برنامه پاسخ به حوادث : قبل از عملیاتی نمودن هر گونه کاری لازم است در ابتدا برنامه پاسخ به تهدیدات تست گردد تا این اطمینان حاصل شود که برنامه ریزی انجام شده در مرحله عمل دارای حداکثر کارآئی است و می تواند به سرعت و با استفاده از حداقل منابع موجود در سازمان و کمترین اثرات جانبی با حادثه امنیتی ایجاد شده برخورد پیشگیرانه و واکنش سریع را انجام دهد .

پاسخ به حوادث امنیتی‌ : تشخیص
در صورت بروز یک مشکل و یا حادثه امنیتی در زیر ساخت فناوری اطلاعات و ارتباطات سازمان خود چگونه از این موضوع آگاه می گردید ؟ به عبارت دیگر، وجود چه علائم و یا نشانه هائی می تواند بیانگر وقوع یک حادثه امنیتی باشد .
تشخیص بروز یک مشکل و یا حادثه امنیتی یکی از مهمترین عناصر در فرآیند پاسخ به حوادث امنیتی است چراکه قبل از ایجاد یک فاجعه اطلاعاتی می بایست در زمان مناسب و با استناد به علائم و شواهد موجود آن را تشخیص و در ادامه بطور منطقی و سیستماتیک با آن برخورد نمود .
وجود علائم و یا نشانه های زیر در زیرساخت فناوری اطلاعات یک سازمان می تواند نشاندهنده وقوع یک مشکل و یا حادثه امنیتی باشد .

·                      ترافیک غیرمعمول شبکه : ارتباط غیرمعمول با  پورت های  TCP  و UDP به منظور بررسی‌ وضعیت  آنها (فعال بودن و یا غیرفعال بودن )،  یکی از اولین نشانه های بروز یک حادثه امنیتی است. پویش مستمر پورت ها به منظور آگاهی از آخرین وضعیت آنها می تواند به عنوان اولین علائم بروز یک حادثه امنیتی در یک شبکه باشد . بدین منظور لازم است که فایل های لاگ دستگاه های شبکه ای و غیرشبکه ای موجود در زیرساخت فناوری اطلاعات و ارتباطات نظیر روتر ، فایروال و IDS ( برگرفته از  intrusion-detection system ) در فواصل زمانی مشخص بدقت بررسی گردد . همچنین ‌لازم است فایل های لاگ بطور مستمر مانیتور شود تا بتوان در زمان مناسب هرگونه تغییر در عملکرد شبکه را تشخیص داد .

·                      وجود رویدادهائی خاص در فایل لاگ سیستم : پاک کردن و یا تغییر لاگ های رویدادهای سیستم  یکی ‌از روش هائی است که مهاجمان با استفاده از آن سعی می نمایند فعالیت های غیرمجاز خود را مخفی نگاه دارند. بنابراین لازم است که لاگ های سیستم بر روی سرویس دهندگان بطور مرتب بررسی گردد . تلاش برای پاک کردن لاگ رویدادهای امنیت ، یک رویداد با شماره 517 را ایجاد می نماید . وجود این رویداد و ضعف در لاگ سایر رویدادها می تواند بیانگر این موضوع باشد که یک تهاجم موفقیت آمیز انجام شده است و شواهد و علائم چنین حملاتی دستکاری شده است .

·                      عدم امکان دستیابی به منابع شبکه : یکی دیگر از علائم بروز یک تهاجم ، عدم امکان دستیابی به منابع شبکه بطور ناگهانی است  .راه اندازی ناگهانی سیستم ،‌ توقف ناگهانی یک برنامه در حال اجراء‌ و تغییر در سرویس دهنده DNS جملگی می توانند باعث عدم امکان دستیابی کاربران به منابع موجود بر روی یک سرویس دهنده گردند . تمام و یا برخی از حوادث فوق می تواند بیانگر یک تهاجم باشد .

·                      استفاده بیش از حد از پردازنده ( CPU ) : استفاده بیش از اندازه طبیعی از پردازنده و یا پهنای‌ باند شبکه می تواند بیانگر انجام پردازش های مشکوکی در سیستم باشد که زمینه بروز یک تهاجم را فراهم می نماید . این موضوع کاملا" طبیعی است که درصد استفاده از پردازنده سیستم در برخی موارد به صددرصد برسد و یا ترافیک سنگینی بر روی شبکه وجود داشته باشد ( مثلا" در زمانی که یک فایل با ظرفیت بالا بر روی شبکه مبادله می گردد ) .استمرار این وضعیت بدون هیچگونه دلیل منطقی می تواند قابل تامل باشد . در مواردی که متوسط زمان استفاده از پردازنده بدون هیچگونه دلیلی افزایش یابد و یا حجم مبادله داده در شبکه بدون هیچگونه توجیه منطقی افزایش یابد ، ممکن است حملات خاصی در راه باشد . با این که اکثر پردازه ها بر روی سیستمی که ویندوز بر روی آنها نصب شده است از طریق بخش Task manager قابل مشاهده است ولی یک مهاجم می تواند با استفاده از ترفندهائی خاص پردازه هائی را اجراء نماید که از چشم Task manager مخفی نگاه داشته شوند .

·                      عملکرد نامنظم سرویس ها : کنکاش و تغییر در سرویس های سیستم از دیگر علائم بروز یک تهاجم می باشد . توقف غیرمعمول سرویس هائی که می بایست اجراء شوند ،‌ایجاد سرویس های جدید و حذف سرویس های سیستم ، جملگی می تواند علائمی مبنی بر تهاجم و تغییر سرویس ها توسط مهاجمان باشد .  مانیتورینگ سرویس های در حال اجراء و حساسیت بر روی سرویس های اساسی سیستم از جمله اقدامات ضروری در این رابطه است .

·                      دستیابی نامنظم به سیستم فایل : حدف فایل ها و یا فولدرها ،  کاهش محسوس و دور از انتظار فضای آزاد محیط ذخیره سازی و تغییر تاریخ فایل های سیستم می تواند نشاندهنده بروز یک تهاجم در سطح سیستم فایل باشد . مهاجمان اغلب فایل های اجرائی سالم را با نسخه های از همان برنامه که حاوی تروجان است جایگزین می نمایند . این نوع برنامه های آلوده به تروجان یک لایه حفاظتی و امنیتی مناسب برای مهاجمان را ایجاد می نمایند تا بتوانند با خیال آسوده به اهداف خود نائل گردند .

·                      تغییر مجوزها : تغییر مجوز کاربران ، گروه ها و سیاست های امنیتی نیز می تواند علائم و یا نشانه های بروز یک تهاجم باشد . اعطای مجوز به یک کاربر خارج از سیستم کنترلی و مدیریت سیستم و یا اضافه شدن یک account جدید به یک گروه با مجوز هائی‌ خاص ،  جملگی می تواند علائم اولیه بروز یک تهاجم باشد. مهاجمان در این نوع از حملات سعی می نمایند به منابعی دستیابی پیدا نمایند که قبل از آن این امکان و یا مجوز در اختیار آنان گذاشته نمی گردید . کرم Nimda و نحوه عملکرد آن یک نمونه در این زمینه است . کرم فوق با اضافه کردن Guest account به گروه Administrator توانست بستر مناسب برای حملات را فراهم نماید.رویدادهای شماره 608 تا 612 و 624 تا 643  بیانگر انجام اینگونه تغییرات در اکتیو دایرکتوری است .