ده ترفند امنيتی كه به خوبی كار می‌كنند

IRCAR201207146
تاريخ: 31/04/91

در اين مقاله 10 ايده امنيتي ساده پيشنهاد خواهد شد كه به امن كردن تجهيزات فن­آوري يك شركت كمك مي­كنند.

1. نام Admin ها را تغيير دهيد
   تغيير نام حساب­هاي كاربري داراي حق دسترسي بالا به چيزي غير از administrator، به عنوان يك دفاع امنيتي مطرح مي­شود. اين استراتژي ساده امنيتي به خوبي كار مي­كند، چراكه احتمال تشخيص اين نام‌های كاربري جديد داراي حق دسترسي بالا، براي مهاجمان كار سختي خواهد بود. اگر مهاجمان نام­هاي كاربران داراي حق دسترسي administrator را ندانند، نمي­توانند يك كمپين موفق براي حدس زدن كلمه عبور عليه آن راه بيندازند.
   تاريخچه بدافزارهاي خودكار نشان مي­دهد كه اين بدافزارها عموما حساب­هاي كاربري پيش فرض را براي مقاصد خرابكارانه خود مورد استفاده قرار مي­دهند. با تغيير نام حساب­هاي داراي حق دسترسي administrator، هكرها و بدافزارها در گام اول شكست مي­خورند. همچنين درصورتي­كه حساب­هاي پيش فرض ديگر وجود نداشته باشند، بررسي لاگ­هاي نشان دهنده تلاش براي ورود به آنها بسيار ساده خواهد بود.
2. از شر Admin ها خلاص شويد
   توصيه بعد اين است كه از شر هر نوع حساب داراي حق دسترسي گسترده مديريتي پيش فرض خلاص شويد: حساب­هاي مدير سيستم، مدير شبكه، مدير دامنه و غيره.
   اغلب مديران شبكه به اين توصيه مي­خندند و اعتراض مي­كنند. اما مايكروسافت از اين توصيه پيروي كرد و حساب­هاي مديريت محلي را به طور پيش فرض بر روي تمامي نسخه هاي ويندوز از ويستا و سرور 2008 به بعد غيرفعال نمود. و البته هيچ اختلالي در كار دنيا رخ نداد.
   البته ويندوز همچنان به شما اجازه مي­دهد يك حساب مديريت ايجاد نماييد، اما اغلب متخصصان امنيتي توصيه مي­كنند كه از شر حسابهای تمام وقت داراي حق دسترسي مديريتي خلاص شويد.
3. هاني‌پات‌ها
   هاني پات عبارت است از يك سيستم كامپيوتري كه عمدا طوري برنامه ريزي شده است كه هدف حمله قرار گيرد. اين سيستم­ها منتظر مي­مانند و در تمام مدت تحت نظارت قرار دارند. زماني كه هكر يا بدافزاري به هاني پات وارد مي­شود، اين سيستم پيغام هشداري را براي مدير ارسال مي­كند، در نتيجه مدير اين فرصت را دارد كه در مورد هكر يا بدافزار مذكور تحقيق و بررسي نمايد.
   مراكزي كه از هاني پات استفاده مي­كنند، به سرعت در مورد حملات فعال آگاه مي­شوند. بسياري ارزش استفاده از هاني پات­ها را نمیدانند، ولي شايد در بسياري موارد بايد چيزي را آزمايش كرد تا به آن اطمينان پيدا كرد.
4. عدم استفاده از پورت­هاي پيش فرض
   تكنيك ديگر براي حداقل كردن مخاطرات امينتي، نصب سرويس­ها بر روي پورت­هايي به جز پورت­هاي پيش فرض است. اين تاكتيك امنيتي نيز مانند تغيير نام حساب­هاي كاربري داراي حق دسترسي مديريتي عمل مي­كند. تهديدات جديد سرريز بافر از راه دور كه توسط كرم­ها، ويروس­ها و ساير بدافزارهاي فعال مي­شوند، همواره به سراغ پورت­هاي پيش فرض مي­روند. اين شرايط در مورد بدافزارهاي تزريق SQL، كرم­هاي HTTP، كشف كنندگان SSH و هر تهديد ديگري از اين دست صدق مي­كند.
   البته ممكن است گفته شود كه پيدا كردن محل جديد پورت پيش فرض براي هكر كار ساده اي است و اين مساله صحيح است. يك اسكن كننده پورت يا يك ردياب برنامه كافي است تا برنامه هاي اجرا شده بر روي پورت­هاي غير پيش فرض شناسايي گردند. اما در واقعيت اغلب حملات خودكار هستند و به دنبال پورت­هاي پيش فرض مي­گردند و اغلب هكرها خود را براي جستجوي پورت­هاي غير پيش فرض به زحمت نمي اندازند.
5. برنامه ها را در دايركتوري­هاي غير پيش فرض نصب كنيد
   يك دفاع امنيتي ديگر اين است كه برنامه ها را در دايركتوري­هاي پيش فرض نصب نكنيد.
   البته اين تكنيك ديگر به خوبي گذشته كار نمي­كند، چرا كه امروزه اغلب حملات در سطح فايل برنامه رخ مي­دهند، اما هنوز هم اين تكنيك داراي ارزش است. نصب برنامه ها بر روي دايركتوري­هاي غير پيش فرض، خطر را كاهش مي­دهد، چرا كه بدافزارهاي خودكار اغلب صرفا فقط دايركتوري­هاي پيش فرض را جستجو مي­كنند. اگر بدافزاري قادر به سوء استفاده از سيستم يا برنامه شما باشد، سعي خواهد كرد سيستم يا برنامه ها را با جستجو به دنبال دايركتوري­هاي پيش فرض دستكاري نمايد. سيستم عامل يا برنامه هاي خود را بر روي يك دايركتوري غير استاندارد نصب نماييد.
6.  Trapit ها
   كرم­ها آمادگي اين را دارند كه خود را بر روي هر سيستمي كه با قابليت­هاي سوء استفاده آنها همخواني داشته باشد، تكرار نمايند. Trapit ها با پاسخ دادن به ارتباطات از آدرس­هايي كه به سيستم­هاي معتبر تخصيص داده نشده اند، كار مي­كنند. اين ابزارها به كرمي كه براي برقراري ارتباط تلاش میكند، پاسخ داده و اجازه برقراري ارتباط مي­دهند، سپس بقيه زمان را به كند كردن كار كرم مي­پردازند و براي اين كار از انواع ترفندهاي پروتكل TCP استفاده مي­كنند: timeout هاي طولاني، ارسال مجددهاي مكرر و غيره.
   امروزه بسياري از شبكه ها و هاني پات­ها از عملكرد Trapit برخوردار هستند كه به ارتباطات غيرمعتبر پاسخ مي­دهند. به اين ترتيب بسياري از حمله ها به حدي كند مي­شوند كه عملا غيرقابل استفاده مي­گردند.
7. تحليل جريان ترافيك شبكه
   يكي از بهترين راه­ها براي كشف سرقت داده ها، تحليل جريان ترافيك شبكه است. نرم افزارهاي رايگان و تجاري براي نگاشت جريان­هاي شبكه و ايجاد مبناهايي براي مشخص كردن اينكه چه چيزي بايد به كجا برورد وجود دارد. در اين صورت، اگر شما مشاهده كنيد كه صدهاي گيگابايت داده به طور ناگهاني و غيرمنتظره در حال خروج از شبكه هستند، مي­توانيد در مورد آن تحقيق نماييد. اغلب حملات APT درصورتي­كه قرباني بداند چه داده هايي چه زماني بايد به كجا بروند، ماه­ها قبل قابل شناسايي هستند.
8. محافظ­هاي صفحه نمايش
   محافظ­هاي صفحه نمايش كه از كلمه عبور استفاده مي­كنند، تكنيك ساده اي براي حداقل كردن مخاطرات امنيتي هستند. اگر يك سيستم كامپيوتري براي مدت طولاني بيكار بماند، محافظ صفحه اي كه نيازمند كلمه عبور است از آن محافظت مي­نمايد. اين تكنيك، زره قابل اطميناني براي انواع سيستم­ها، از لپ تاپ گرفته تا موبايل، مي­باشد.
9. غيرفعال كردن مرور اينترنت بر روي سرورها
   اغلب تهديدات كامپيوتري از طريق فعاليت­هاي اينترنتي كاربران ايجاد مي­گردد. سازمان­هايي كه مرور اينترنت يا دسترسي به اينترنت را بر روي سرورهايي كه نيازي به اين ارتباط ندارند غيرفعال مي­كنند، به طور قابل توجهي خطر خرابكاري بر روي سرور را كاهش مي­دهند. مدير شبكه اي كه منتظر دانلود شدن يك اصلاحيه است، نبايد ايميل خود را باز كرده يا به سايت­هاي شبكه­هاي اجتماعي سر بزند. هرچيزي كه لازم نيست بايد مسدود گردد. در مورد شركت­هايي كه از سرورهاي ويندوز استفاده مي­كنند، غيرفعال كردن UAC توصيه مي­شود. چراكه خطري كه UAC كاهش مي­دهد در اينجا نيست. UAC مي­تواند برخي مسائل امنيتي را ايجاد نمايد، به همين دليل غيرفعال كردن آن و در عين حال تقويت امنيت، در مورد بسياري از سازمان­ها توصيه مي­گردد.
10. توليد با توجه به امنيت
    هر سازمان توليد كننده كدهاي مختلف بايد تمهيدات امنيتي را در مورد پروسه توليد و توسعه خود در نظر بگيرد و اطمينان حاصل كند كه امنيت كد مورد بازبيني قرار گرفته و از روز نخست، جزئي از تمامي پروژه هاي كدنويسي شده است. اين كار خطر سوء استفاده در محيط شما را كاهش مي­دهد.
    اين تكنيك كه گاهي اوقات با عنوان SDL (چرخه حيات توسعه امن) شناخته مي­شود، در موارد مختلف تفاوت­هايي را داراست، اما اغلب شامل اصول زير است:
    استفاده از زبان­هاي برنامه نويسي امن، عدم استفاده از توابع برنامه نويسي ناامن شناخته شده، بازبيني كد، تست نفوذ، و فهرستي از كارهاي ديگر براي كاهش احتمال توليد كد داراي نقص امنيتي.