IRCAR201108110
تاريخ: 24/5/90
در مجموعه مقالات «مديريت رخداد در شش مرحله»، فعاليتهايي را كه در مورد بخش بزرگي از انواع رخدادهاي امنيتي كامپيوتري قابل اعمال هستند، بيان كرديم. از اين پس، انواع معمول رخدادهاي امنيتي را معرفي كرده و فعاليتهاي خاصي را كه براي مقابله با هر نوع از اين رخدادها مفيد هستند، پيشنهاد ميدهيم. در اين مجموعه مقالات به طور خاص به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه، انكار سرويس، استفاده نامناسب، جاسوسي، فريبها، دسترسي غير مجاز و مالكيت فكري ميپردازيم. پيش از اين به حملات كدهاي خرابكار، Probe ها و نقشه برداري شبكه، انكار سرويس و استفاده نامناسب اشاره كرديم. در اين قسمت به رخدادهاي جاسوسي، Hoax ها و دسترسي غير مجاز خواهيم پرداخت.
رخدادهاي نوع پنجم: جاسوسي
جاسوسي عبارت است از سرقت اطلاعات براي تخريب منافع يك سازمان يا يك دولت. در بسياري از موارد دسترسي غير مجاز به سيستمهاي يك شركت نيز براي مقاصد جاسوسي انجام ميگيرد.
فعاليت 1: يك گروه هسته اي بسيار كوچك داشته باشيد
در موارد جاسوسي و اعمال مجرمانه داخلي سازمان، در اختيار داشتن تعداد زيادي نيروي كمكي چندان هم مفيد نيست. با افزايش تعداد اعضاي گروه تحقيق، خطر نشت اطلاعات يا تخريب شواهد نيز افزايش مييابد. رهبر فني بايد يكي از معتدلترين اعضاي گروه مديريت رخداد، و كسي باشد كه در شرايط حساس گذشته، قابليتهاي خود را اثبات كرده باشد. مساله اي كه اغلب پيش مي آيد اين است كه آيا مسئوليت سيستمي كه در يك حمله هدف قرار گرفته است بايد بر عهده مدير سيستم قرار بگيرد يا خير؟ اگر شما به اندازه كافي اطمينان داريد كه شخص مدير سيستم در عمليات جاسوسي درگير نيست، پاسخ اين سوال احتمالا مثبت خواهد بود.
فعاليت 2: بيشترين داده ها را جمع آوري كنيد
اطمينان حاصل كنيد كه ركوردهاي دسترسي مربوط به دستگاههاي تحت تاثير حمله، جمع آوري شده و كاملا محافظت ميشوند. اين ركوردها ممكن است شامل ركوردهايي از سيستمهاي دسترسي مشخص، ركوردهاي تلفن از PBX سازمان شما، كتابهاي لاگ، لاگهاي سيستم، لاگهاي شبكه و ويدئوهاي دوربينهاي كنترلي باشند. تا حد امكان داده هاي بيشتري را جمع آوري نماييد.
فعاليت 3: جاسوس را گمراه كنيد
اگر فردي خارج از سازمان در حال جمع آوري اطلاعات است، ممكن است قادر باشيد اطلاعات غلطي را به وي ارائه كرده و به اين ترتيب از رخداد بهره برداري نماييد. اما اگر شما مشكوك هستيد كه فردي در داخل سازمان در حال جمع آوري و انتشار اين اطلاعات است، احتمال كاركرد اين روش پايين مي آيد.
فعاليت 4: هدف را تحليل كنيد
در مورد اهداف محتمل فعاليت جاسوسي سوال كنيد. براي هر هدف احتمالي، بپرسيد كه چه اطلاعاتي ارزشمند هستند؟ چه كسي در خارج از سازمان ممكن است از در دست داشتن اين اطلاعات سود ببرد؟ تمامي راههاي ممكن براي رسيدن به اين اهداف چيست؟ دو يا سه راه محتملتر براي رسيدن به اين اهداف چه هستند؟ اين روال شما را به يك سوال ساده اما مهم رهنمون ميشود: آيا ابزارهاي نظارتي براي محتملترين راهها براي دسترسي به محتملترين اهداف در محل قرار دارند؟ اگر پاسخ اين سوال مثبت است، بلافاصله شروع به بازبيني داده هاي نظارتي نماييد. در غير اينصورت، تصميم بگيريد به چه چيزي براي نظارت بر محتملترين راهها براي دسترسي به محتملترين اهداف نياز داريد. همان كار را انجام دهيد.
فعاليت 5: يك اتاق جنگ ايجاد كنيد
اتاق جنگ، يك اتاق امن با كپيهايي از شواهد موضوع است. هدف اتاق جنگ اين است كه داده ها به يك روش معني دار نمايش داده شوند تا به حل موارد مشكل كمك نمايند. ديوارهاي اتاق جنگ ميتوانند با شواهد، خطوط تحقيق، نمودارهايي از پروسه تحليل هدف، نقشه هايي از محوطه و طرحهايي از ابزارها و دستگاهها پر شده باشد. يك ضبط صوت و TV/VCR نيز بايد در دسترس باشد، ضبط و پخش مجدد مصاحبه ها معمولا ايده خوبي است.
رخدادهاي نوع ششم: Hoax ها
در اوايل سال 1995، صدها هزار كاربر با دسترسي به اينترنت، اطلاعاتي در مورد يك ويروس به نام Good Time Virus منتشر كردند، در حاليكه اين ويروس اساسا وجود خارجي نداشت. Hoax ها، رخدادهاي معتبري هستند (به خاطر داشته باشيد كه تعريف ما از يك رخداد، شامل تهديد يك رويداد مضر ميشود). اين Hoax ها منابع پاسخگويي به رخدادهاي جدي را به اشغال در مي آورند. Hoax ها همچنين با انتشار ترس، عدم اطمينان و شك، كاربران را ناراحت ميسازند.
فعاليت 1: به فهرستهاي Hoax ها در اينترنت مراجعه نماييد.
رخدادهاي نوع هفتم: دسترسي غير مجاز
دسترسي غير مجاز از ورود بي اجازه به يك حساب كاربري (مانند زماني كه يك هكر به حساب يك كاربر معتبر وارد ميشود) تا دسترسي غير مجاز به فايلها و دايركتوريهاي ذخيره شده بر روي يك سيستم يا حافظه با حق دسترسي كاربر ارشد را شامل ميشود. دسترسي غير مجاز ميتواند همچنين شامل دسترسي به سيستمهاي كامپيوتري ديگر از طريق جمع آوري نام كاربري و كلمه عبور از طريق يك برنامه شنود غير مجاز، يا دستگاهي براي جمع آوري تمامي بسته هايي كه از يك نقطه خاص يك شبكه عبور ميكنند، باشد. يك روش معمول ديگر براي ايجاد دسترسي غير مجاز عبارت است از سوء استفاده از يك آسيب پذيري در سيستمهاي اطلاعاتي، مسيريابها يا فايروالها. اسكريپتهاي سوء استفاده كننده براي ايجاد دسترسي غير مجاز، به طور گسترده اي بر روي وب سايتهاي هكرها موجود هستند.
فعاليت 1: محافظتهاي مربوط به فايروال يا مسيرياب فيلتر را بررسي كنيد
تنها راه محتمل براي يك حمله از خارج، استفاده از ارتباطات شبكه يك سازمان و به طور خاص ارتباط اينترنت است. در صورت امكان، r-utilities، sunrpc، xwindows يا NetBIOS/IP را غير فعال نماييد. سرويسهاي Telnet و FTP بايد صرفا براي سيستمهايي مجاز باشند كه قطعا نياز به ارائه اين سرويسها در اينترنت دارند. سرورهاي وب و DNS و سيستمهاي ارسال ايميل هميشه هدفهاي مشهوري براي مهاجمان بوده اند. تا جايي كه ممكن است سرويسهاي كمتري را بر روي اين سيستمها اجرا نماييد و اطمينان حاصل كنيد كه كاملا محافظت شده اند.
فعاليت 2: سرويسهاي دسترسي را به طور منظم بررسي كنيد
براي انجام يك حمله بر روي يك سيستم يا يك شبكه، دسترسي به حساب يك كاربر ديگر الزامي نيست. يك نفوذگر ميتواند با سوء استفاده از سرويسهاي موجود، به اطلاعات دسترسي پيدا كرده و برنامه هايي مانند تروجان را نصب نمايد. يك نمونه، استفاده افراد خارجي از سيستم فايل شبكه (NFS) يا مكانيزمهاي دسترسي به فايل در ويندوز NT، براي دسترسي به فايلها و دايركتوريها در دامنه ديگري از سازمان شماست.
مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت دوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت سوم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت چهارم
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت پنجم
مديريت رخداد در شش مرحله- مرحله شناسايي
مديريت رخداد در شش مرحله- مرحله كنترل و محدود سازي
مديريت رخداد در شش مرحله- مرحله پاكسازي
مديريت رخداد در شش مرحله- مرحله بازيابي
مديريت رخداد در شش مرحله- مرحله پيگيري
پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت اول
پاسخگويي به انواع مختلف رخدادهاي امنيتي- قسمت دوم
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1
- 10