IRCAR201107107
تاريخ: 20/4/90
در مجموعه مقالات «مديريت رخداد در شش مرحله»، فعاليتهايي را كه در مورد پاسخگويي به بخش بزرگي از انواع مختلف رخدادهاي امنيتي كامپيوتري قابل اعمال هستند، بيان كرديم. از اين پس، انواع معمول رخدادهاي امنيتي را معرفي كرده و فعاليتهاي خاصي را كه براي مقابله با هر نوع از اين رخدادها مفيد هستند، پيشنهاد ميدهيم. در اين مجموعه مقالات به طور خاص به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه، انكار سرويس، استفاده نامناسب، جاسوسي، فريبها، دسترسي غير مجاز و مالكيت فكري خواهيم پرداخت.
رخدادهاي نوع اول: حملات كدهاي خرابكار
كد خرابكار، نامي است كه به برنامه هايي مانند ويروسها، تروجانها، كرمها و اسكريپتهايي اطلاق ميگردد كه توسط هكرها براي به دست آوردن حق دسترسي، جمع آوري كلمات عبور و تغيير لاگهاي بررسي به منظور پنهان سازي فعاليتهاي غير مجاز مورد استفاده قرار ميگيرند. كد خرابكار معمولا طوري طراحي ميشود كه تشخيص و رديابي آن مشكل باشد. ويروسهاي خاص حتي ميتوانند امضاي خود را نيز تغيير دهند.
توجه: حتي وقتي فايروالها و ساير ابزارهاي دفاعي شما دشمنان را متوقف ميسازند، باز هم ممكن است اين مهاجمان قادر باشند از طريق يك كد تروجان از پيش نصب شده بر روي كامپيوتر شما به هدف خود برسند. به طور معمول شما نبايد فقط به يك ابزار امنيتي، مانند يك فايروال يا يك آنتي ويروس به تنهايي اكتفا كنيد، زيرا در آن صورت ممكن است نتوانيد در برابر كدهاي خرابكار از خود محافظت نماييد.
فعاليت1: از آنتي ويروسها استفاده كنيد
يك نرم افزار آنتي ويروس ميتواند براي محافظت در برابر انتشار ويروسهاي معمول، تروجانها و كرمها موثر باشد. اطمينان حاصل كنيد كه نرم افزار آنتي ويروس شما به طور گسترده در دسترس بوده و فايلهاي امضاي ويروس آن به روز هستند. از مكانيزمهايي استفاده كنيد كه به روز رساني امضاهاي ويروسها را به طور خودكار انجام ميدهند.
فعاليت 2: كاربران را تشويق كنيد تا فعاليتهاي مشكوك را گزارش دهند
كاربران را تشويق نماييد تا فعاليتهاي مشكوك را گزارش نمايند و به اين ترتيب، در تشخيص زودهنگام يك آلودگي به شما كمك كنند. كاربران آموزش ديده ميتوانند مانند يك حسگر در تشخيص اتفاقات غير معمول موثر باشند. فعاليت غير قابل توضيح ديسك، پيغامهاي سيستمي غير معمول، پروسه هاي عجيب و رفتارهاي نرم افزاري غير قابل توضيح، ميتوانند نشانه هايي از آلودگي سيستم توسط يك كد خرابكار باشند. يك آدرس ايميل يا شماره تلفن خاص براي گزارش فعاليتهاي مشكوك توسط كاربران داخلي اختصاص دهيد.
فعاليت 3: در مورد ترافيك غير عادي خروجي شبكه خود مراقبت نماييد
ممكن است نمونه هايي از كد خرابكار از طريق HTTP، IRC و يا پروتكلهاي ديگر، با سيستمهاي خارج از شبكه شما ارتباط برقرار نمايند تا از اين طريق انتشار يافته، اعلام موقعيت كرده يا به روز رسانيهاي خود را دانلود نمايند. سيستمهاي نظارتي شبكه را بر تشخيص بسته هاي غير قابل توضيحي كه از محدوده شبكه سازمان شما بر روي اينترنت ارسال ميشوند متمركز كنيد. چنين فعاليتهايي اغلب در هنگام راه اندازي سيستم، و مخصوصا در نخستين دفعه راه اندازي سيستم پس از آلودگي اوليه اتفاق مي افتند.
فعاليت 4: پروسه بارگذاري نرم افزار را خودتان انجام دهيد
پروسه هايي را براي نصب تمامي سيستم عاملها و برنامه هاي نرم افزاري از پيكربنديهاي تست شده و به طور محلي ايجاد كنيد. كاربران را از نصب كردن نرم افزارهاي دانلود شده از طريق اينترنت منع نماييد و بر لزوم استفاده از تصوير برنامه هاي مورد اعتماد داخلي سازمان تاكيد كنيد.
فعاليت 5: منابع پشتيباني جايگزين در نظر بگيريد
فعاليتهاي خود را در يك سناريو كه توسط يك كد خرابكار نه چندان شناخته شده آلوده شده ايد در نظر بگيريد. در اين حالت شما قادر نخواهيد بود اطلاعات جزئي و دقيقي را درباره اين برنامه از توليد كننده آنتي ويروس خود دريافت كنيد. براي مقابله با چنين وضعيتي، اطلاعات تماس ليستهاي ايميل و منابع مرتبط و گروههاي كاربري را كه ممكن است در چنين شرايطي براي كنترل و محدود سازي و پاكسازي رخداد به آنها نياز داشته باشيد، همواره در دسترس داشته باشيد.
رخدادهاي نوع دوم: Probe ها و نقشه برداري شبكه
Probe ها يك حالت خاص از تلاش براي ايجاد دسترسي غير مجاز هستند. يك گروه از probe ها زماني اتفاق مي افتند كه يك نفوذگر بالقوه از يك اسكريپت سوء استفاده كننده بر عليه سيستمهاي اطلاعاتي يا فايروال شما استفاده نمايد و كار اين اسكريپت موفقيت آميز نباشد. اين عدم موفقيت به اين دليل اتفاق مي افتد كه اسكريپت سوء استفاده كننده، آسيب پذيري هدف را پيدا نكرده است. اين probe سپس تلاش ميكند با استفاده از بسته هاي پينگ SNMP يا ICMP، از شبكه شما نقشه برداري كند تا به معماري اين شبكه پي ببرد. يك گروه ديگر از probe ها به سادگي براي جمع آوري اطلاعات مورد استفاده قرار ميگيرند. در اين حالت، مهاجم گروهي از پورتهاي مختلف (به اين عمل بررسي پورت (port scan) گفته ميشود) يا آدرسهاي ميزبان (host scan) را تست كرده و تلاش ميكند تا از امكانات شما نقشه برداري نمايد. برخي مهاجمان در جستجو براي يافتن مودمها، تلفنهاي سازمان شما را هدف قرار ميدهند. با استفاده روز افزون از شبكه هاي بيسيم، مهاجمان با استفاده از اسكنرهاي بيسيم مانند NetStumbler، سعي ميكنند اين شبكه ها را پيدا نمايند.
فعاليت 1: Probe ها را به CIRT خود گزارش دهيد
حتي اگر ابزارها و سيستمهاي شما داراي آسيب پذيري نباشند، ممكن است كاربران و متصديان و كارپردازان شما كه با سيستمها سر و كار دارند آسيب پذير باشند. اگر چنين افرادي به سيستمهاي شما دسترسي داشته باشند، سيستمها و ابزارهاي شما نيز ميتوانند آسيب پذير گردند. بحثهايي در اين زمينه وجود دارد كه آيا افراد بايد با گزارش دادن probe هاي مشاهده شده، CIRT ها را به زحمت بيندازند يا خير. يك دليل مهم براي گزارش دادن probe ها به CIRT اين است كه آنها مانند يك آژانس گزارشي مركزي كار ميكنند. بارها و بارها probe هايي مشاهده شده اند كه توسط سايتهاي كوچك جدي گرفته نشده اند، ولي بخشي از حملات بزرگتري عليه بسياري از سايتها بوده اند.
فعاليت 2: خرابي احتمالي را ارزيابي نماييد
بسيار مطلوب است اگر فرد نفوذگر موفق نشود وارد شبكه شده و خرابي به بار آورد، ولي حتما بررسي كنيد كه آيا مهاجمان اطلاعاتي كه بعدها قابل استفاده باشد، راجع به سيستم عاملها و معماري شبكه شما به دست آورده اند يا خير. لاگهاي شبكه و سيستم را به دقت بررسي كنيد. اگر يك اسكريپت يا تكنيك سوء استفاده كننده مشاهده ميكنيد، آن را بر عليه خودتان اجرا كنيد تا متوجه شويد چه اطلاعاتي ميتوان از آنها به دست آورد.
رخدادهاي نوع سوم: انكار سرويس
كاربران بر سرويسهاي ارائه شده توسط شبكه ها و كامپيوترها تكيه و اعتماد ميكنند. مهاجمان از بسياري از ابزارها استفاده ميكنند تا در كار شبكه يا كامپيوتر شما وقفه ايجاد نمايند. آنها اين كار را از طريق حذف يك برنامه حياتي، ارسال هرزنامه و بمباران ايميلي و تغيير كاركرد سيستم از طريق نصب يك برنامه تروجان انجام ميدهند.
فعاليت 1: از نسخه هاي پشتيبان براي سرويسهاي مركزي استفاده كنيد
محتملترين اهداف براي يك حمله شبكه اي در سازمان شما، سرورهاي DNS، سرورهاي وب و سرورهاي ايميل هستند. اگر سازمان شما فعاليتهاي زيادي را بر روي اينترنت انجام ميدهد، ممكن است بهتر باشد براي ايجاد امكانات پشتيبان گيري، هزينه هايي را نيز پرداخت نمايد. حملات انكار سرويس به علت رديابي سخت و اجراي آسان و مؤثر، حملات مشكل سازي به حساب مي آيند. در چنين محيط خطرناكي، استفاده از نسخه هاي پشتيبان براي بازيابي سيستم از يك حمله انكار سرويس، كار بسيار هوشمندانه اي محسوب ميشود.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم
مديريت رخداد در شش مرحله- مرحله شناسايي
مديريت رخداد در شش مرحله- مرحله كنترل و محدود سازي
مديريت رخداد در شش مرحله- مرحله پاكسازي
مديريت رخداد در شش مرحله- مرحله بازيابي
مديريت رخداد در شش مرحله- مرحله پيگيري
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1
- 28