امنیت اطلاعات سازمانها و تهدیدهای پیش رو

امروزه با توجه به رشد روز افزون فضای کسب و کار و نیز تنوع فرایند های تجاری، استفاده از تکنولوژی هایی نظیر فناوری اطلاعات و ارتباطات در سازمان ها و شرکت های مختلف به امری واجب و گریز ناپذیر تبدیل شده است. تا جایی که در بسیاری از سازمان ها، به دنبال محافظت از امنیت اطلاعات ، معاونت فناوری اطلاعات و ارتباطات، به عنوان یکی از اصلی ترین بخش ها در چارت سازمانی در نظر گرفته شده و نظرات این معاونت در تصمیم گیری های کلان سازمان اهمیت ویژه خود را دارا می باشد.

اما نکته بسیار مهم و حائز اهمیتی که بخصوص در ایران و در بسیاری از سازمان ها به آن توجه بسیار کم می شود و یا در برخی موارد اصلا در نظر گرفته نمی شود، امنیت اطلاعات می باشد که در بستر فناوری اطلاعات و ارتباطات بین بخش های مختلف رد و بدل می گردد. اهمیت این مسئله زمانی بیشتر خود را نشان می دهد که بدانیم ، امروزه جنگ بین کشور ها به شدت در حوزه سایبر فعال بوده و حملات سایبری که به حساس ترین بخش های کشورهای مختلف صورت گرفته است موید این مسئله می باشد.

علاوه بر این نوع از حملات سایبری که بیشتر جنبه سیاسی داشته و جنگ بین دو یا چند کشور با سیاست های متفاوت می باشد، نوع دیگری از حملات سایبری وجود دارد که به آن حملات سایبری تجاری می گویند. در این نوع از حملات، افراد با انگیزه به دست آوردن اطلاعات حساس و مهم یک سازمان و یا شرکت که بعضا دارای ارزش تجاری بوده و می تواند منجر به کسب درآمد های هنگفت برای افراد گردد،

مراحل ارتقاء امنیت اطلاعات سازمان :

حال که مفهوم امنیت اطلاعات واصول کلی آن را می دانیم نوبت به چگونگی ایجاد آن می رسد. در شروع هر کاری ما باید بدانیم چه داریم و باید از چه چیزهایی محافظت کنیم. مراحل ذیل برای ارتقاء امنیت اطلاعات سازمانها به صورت کلی پیشنهاد و تایید شده اند:

  •  شناسایی منابع حساسی که باید تحت محافظت قرار گیرد.
  •  شناسایی تهدیداتی که سازمان ممکن است با آن روبه رو شود.
  • تصمیم گیری درباره تهدیداتی که باید درمقابل آنها از بخش مورد نظر محافظت کرد.
  •  پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظتکنند که از نظر هزینه به صرفه باشد.
  • مرور مجدد و مداوم فعالیت های صورت گرفته و تقویت آندرصورت یاقتن نقطه ضعف.

منابع شبکه :

در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید درمقابل انواع حمله ها مورد حفاظت قرار گیرند.

  • تجهیزات شبکه مانند روترها،سوئیچ ها و فایروالها.
  • اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندیلیست دسترسی که بر روی روتر ذخیره شده.
  • منابع نامحسوس شبکه مانند عرض باند وسرعت.
  • اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهایاطلاعاتی.
  • ترمینالهایی که برای استفاده از منابع مختلف به شبکه متصل میشوند.
  • اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان.
  •  سرور های شبکه که دارای اطلاعات حساس سازمان می باشند، از قبیل سرور های مالی که اطلاعات مالی سازمان در آن ها نگهداری می شود، سرور های اتوماسیون اداری که بسیاری از نامه های محرمانه و یا حتی فوق سری در آنها نگهداری می شود و نیز بسیاری از سرور های دیگر که وظیفه ارائه یک سرویس خاص در شبکه را به عهده دارند (مثل DHCP Server ها).

مجموعه فوق به صورت کلی به عنوان دارایی های یک شبکه قلمداد می شود. البته این امکان وجود دارد که در شبکه ای برخی از موارد ذکر شده وجود نداشته باشد و یا اینکه موارد خاصی در شبکه ای موجود باشد که در لیست بالا ذکر نشده است، بنابراین برای رسیدن به لیست دارایی های یک سازمان نیاز جدی به فاز مطالعه بر روی داشته های سازمان می باشد.

تهدیدات :

محدوده ای که یک سازمان را از نظر امنیت اطلاعات تهدید می کند، محدوده بسیار وسیعی می باشد. در واقع هکرها، با انگیزه های مختلف و از روش های مختلفی به سازمان ها نفوذ کرده و اقدام به ربودن اطلاعات می نمایند.

تهديدات و حملات عليه امنیت اطلاعات شبکه از جنبه هاي مختلف قابل بررسي هستند. از يک ديدگاه حملات به امنیت اطلاعات به دو دسته فعال و غير فعال تقسيم مي شوند و از ديدگاه ديگر مخرب و غير مخرب و از جنبه ديگر مي توان براساس عامل اين حملات آنهارا تقسيم بندي نمود. اما آن چیزی که برای ایجاد یک طرح امنیتی مناسب مورد نیاز است این است که نسبت به تهدیدات رایج شناخت خوب و کاملی داشته باشیم تا بتوانیم کنترل های لازم را برای امنیت اطلاعات شبکه از آن تهدیدات طراحی و پیاده سازی نماییم. بنابراین در این بخش به صورت بسیار خلاصه به طرح برخی از تهدیدات رایج شناخته شده می پردازیم :

حمله جلوگيري از سرويس (DOS):


در اين نوع حمله، مهاجم از طریق روش های خاص تمام منابع مورد نیاز کاربران سازمان را در اختیار گرفته و در نهایت باعث می شود که کاربران شبکه ديگر نمي تواند از منابع و اطلاعات و ارتباطات استفاده کند. به عنوان مثال از طریق این حمله امکان ارسال نامه از طریق اتوماسیون اداری و یا ثبت تراکنش های مالی در سرور مالی امکان ناپذیر می گردد. علاوه بر این در انواع پیشرفته این نوع حملات، مهاجم می تواند به تجهیزات سازمان آسیب جدی وارد نماید به شکلی که بسیاری از این تجهیزات از کار افتاده و دیگری قابل استفاده نخواهند بود. نمونه های بسیاری از این نوع حمله در جهان وجود دارد که از بین آنها شاید بتوان به درگیری سایبری ایران و کره جنوبی از طریق این نوع حملات اشاره نمود.

شکل زیر نشان دهنده یکی از انواع این نوع حمله می باشد:

اين حمله از نوع فعالاست و مي تواند توسط کاربر داخلي و يا خارجي صورت گيرد.

  1. استراق سمع:
    دراين نوع حمله، مهاجم بدون اطلاع طرفين تبادل داده، اطلاعات و پيامها را شنود ميکند. اين حمله غيرفعال است و مي تواند توسط کاربر داخلي و يا خارجي صورتگيرد. در این نوع حمله مهاجم می تواند از اطلاعات مهم سازمان مانند اطلاعات مالی، پرسنلی و نیز نامه نگاری هایی که در بستر شبکه صورت می گیرد گرفته تا حتی تماس های تلفنی که در بستر شبکه صورت می گیرد را شنود نماید.
  2.  تحليل ترافيک:
    در اين نوع حمله مهاجم براساس يکسري بسته هاي اطلاعاتي ترافيک شبکه را تحليل کرده و اطلاعات ارزشمندي را کسب ميکند. اين حمله يک نوع حمله غير فعال است و اکثرا توسط کاربران خارجي صورت مي گيرد.
  3. دستکاريپيامها و داده ها:
    اين حمله يک حمله فعال است که در آن مهاجم جامعيت و صحت اطلاعات را با تغييرات غير مجاز بهم مي زند و معمولا توسط کاربر خارجي صورت ميگيرد. در واقع در این نوع از حمله اطلاعات ارسال شده از فرستنده تغییر کرده و عملا باعث می شود که اطلاعات فرستنده و گیرنده یکسان نباشد.
  4. جعل هويت:
    يک نوع حمله فعال است که در آن مهاجم هويت يک فرد مجاز شبکه را جعل مي کند و توسط کاربران خارجي صورت ميگيرد.

علاوه بر حملات ذکر شده، در زیر به برخی از حملاتی که تحت شبکه عمل کرده و هکر ها از طریق آنها می توانند به اطلاعات مهم دسترسی پیدا کرده و امنیت اطلاعات را مختل و از آنها سوء استفاده نمایند نیز به صورت خلاصه اشاره شده است :

1-  Back Door Attack

به هر معبر باز در نرم افزار، به طوري كه كسي بتواند بدون اطلاع صاحب نرم افزار و كاربر نرم افزار ، از آن عبور كرده و به داخل سيستم نفوذ كند ، Back Door  گفته مي شود.
Back Door ها اغلب به دليل عدم توجه ايجاد كننده نرم افزار ، به صورت باز رها مي شود و همين امر باعث مي شود علاوه بر ايجاد كننده ، ديگران نيز ازآن سوءاستفاده كنند.

2- Spoofing

  •  تكنيكي است براي دسترسي غير مجاز به كامپيوتر ها
  •  هكر ابتدا آدرس IP يك كامپيوتر مورد اعتماد را پيدا مي كند.
  •  پس از به دست آوردن اين اطلاعات هكر شروع ارسال اطلاعات به سيستم قرباني كرده و خودرا مورد اعتماد وانمود مي كند (خود را به جاي يك كامپيوتر مورد اعتماد جا مي زند)
  •  پس از برقراري ارتباط شروع به دريافت اطلاعاتي مي كند كه در حالت معمول ،مجاز به دسترسي به آنها نيست.

3-  Man in the Middel Attack

  •  نفوذگر بين دو كامپيوتر كهدر حال تبادل اطلاعات هستند قرار مي گيرد.
  •  نفوذگر ترتيبي را اتخاذ مي كند كه دو كامپيوتر از وجود او بي اطلاع باشند.
  •  به اين ترتيب دسترسي كاملي به اطلاعات دارد. يعني هم مي تواند آنها را دريافت كند و هم مي تواند آنها را مطابق ميل خود تغيير دهد و به نفر بعدي تحويل دهد.
  •  سيستم هاي Wireless در معرض اين حمله قراردارند.

4- Replay

  •  وقتي يك هكر به وسيله ابزار Sniffer بسته هاي اطلاعاتي را ازروي سيم بر مي دارد ، يك حمله Replay  رخ داده است.
  •  وقتي بسته ها دزديده شدند ،هكر اطلاعات مهم و نامهاي كاربري و كلمات عبور را از درون آن استخراج مي كند.
  •  وقتي كه اطلاعات ازبسته ها استخراج شدند ، دوباره بسته ها روي خط قرار مي گيرند ويا به آنها به صورت دروغين پاسخ داده مي شود.

5- TCP/IP Hijacking

  •  معمولابه آن جعل نشست (Session Hijacking ) نيز گفته مي شود.
  •  هكر مي تواند نشست TCP بين دو ماشين را به دست آورد
  • يك روش مشهور استفاده از Source-rout كردن IP هامي باشد. يعني بسته هاي IP را طوري تغيير دهيم كه از مسيري خاص بگذرند. از  طریق این روش هکر بدون نیاز به UserName , Password  می تواند به سرور ها و اطلاعات حساس سازمان دسترسی داشته باشد.

6- DNS Poisoning

  •  در این نوع حمله هدف DNS Server  سازمان می باشد و هکر از طریق تغییر در رکورد های DNS Server  می تواند ترافیک شبکه را منحرف نموده و عملا از این طریق توانایی دریافت اطلاعات حساس کاربران را به دست آورد.
  •  به صورت ساده تر هنگامي كه نفوذگر ركوردهاي DNS را كه به Host هاي صحيحي اشاره دارند ، به Host مورد نظر خود تغيير مي دهد.

7- Denial Of Service ( DOS ) و Distributed Denial Of Service ( DDOS)

  •  اين نوع حملات به منظور از كار انداختن يك سرويس و يا از دسترس كاربران خارج كردن يك سرويس به كار ميرود که البته در ابتدای این بخش به آن اشاره شد.
  •  نوع توزيع شده اين نوع حملات ، از تعداد زيادي كامپيوتر ( Zompbie ) درسراسر دنيا استفاده مي شود. و در لحظه اي كه حمله كننده اصلي دستور مي دهد تمام اين Zompbie ها به طور همزمان به يك قرباني خاص از پيش تعييد شده ، حمله مي كنند.
  •  نمونه ايراني آن كرم دامبي بود كه پس از انتشار به سايتهاي IIRIB و ISNA و … حمله مي كرد

8- مهندسی اجتماعی یا Social Engineering 

به صورت کلی زمانیکه هکر می خواهد یکسری اطلاعات مهم جهت مراحل بعدی فعالیت های مخرب خود به دست آورد اتفاق می افتد. بدین شکل که با استفاده از روش های بسیار هوشمندانه اطلاعات مورد نظر خود را از کاربران و کارکنان مجموعه به دست می آورد. از اطلاعات مربوط به شبکه، سرور ها و تجهیزات موجود در سازمان گرفته تا چارت سازمانی و اطلاعات پرسنلی می تواند در این نوع از حرکات مخرب ربوده شده و در اختیار هکر ها قرار گیرد.

9-  Birthday

  •  يك حمله Birthday نامي استبراي يك رده از حملات Brute-Force
  •  براي فهم بهتر اين حمله شما بايد به روشهاي رمز كردن و شكاندن آنها، اطلاع داشته باشيد

10-  Brute force

  •  يك روش براي بهشكستن كلمات رمز و به دست آوردن آنهاست
  •  حمله Brute-force حروف را به صورت تركيبي استفاده مي كند و با تست كردن آنها رمز عبور را پيدا مي كند.
  •  براي مقابله با اين روش بايد كلمات رمز با طول زياد انتخاب كرد و يا كلمات رمز را هردفعه تغيير داد

11-  Dictionary

  •  يك روش براي به دست آوردن كلمات رمز عبوراست
  •  كلمه Dictionary در اصل لغتنامه اي از كلمات معروف مي باشد كه در يك فايل ذخيره شده اند و به وسيله يك ابزار براي شكستن كلمات رمز ، مورد استفاده قرار ميگيرند
  •  براي مقابله با اين حمله بايد از كلماتي استفاده كرد كه در لغت‌نامه وجود ندارد

12-  Software Exploitation

  •  حمله عليه حفره ها و باگ هاي موجود در كدهاي سيستم
  •  براي اصلاح آنها بايد از Hotfix ها و Service Pack ها استفاده كرد

13- War Dialing

  • استفاده از يك ابزار پويشگر براي اتصال به يك رنجي ازشماره هاي تلفن به وسيله مودم براي اهداف نفوذ گرایانه
  •  يك War Dialer نرم افزاری مي باشد كه با استفاده از مودم با يك رنجي از شماره ها تماس گرفته و شماره هايي كه تماسي موفق داشته اند را جمع آوري مي كند

14- Buffer Overflow

حمله سرريزي بافراز كدهاي نوشته شده ضعيف استفاده مي كند. اگر در كدهاي مختلف نرم افزاري طولآرگومانها بررسي نگردد در معرض اين حمله قرار دارند

15- SYN flood

حملات SYN flood از مكانيزم دست تكاني سه مرحله اي (Three-Way handshaking ) درپروتكلهاي TCP/IP سوءاستفاده مي كند.
تعداد زيادي از درخواست ها به صورت نصفه كاره ارسال و رها مي شود و باعث مي شود كه سيستم
به علت مواجهه با كمبود حافظه از كار بيافتد

16- Smurfing

  •  سوءاستفاده از ICMP
  •  فرستادن بسته ها به سوي يك شبكه سراسري با آدرسهاي منبع دروغين
  •  قرباني به صورت ناگهاني باسيلي از اينگونه بسته ها مواجهه مي گردد و از كار مي افتد

17- Sniffing

  •  حملات Sniffing با استفاده از شنود و جذب كليه اطلاعات شبكه انجام مي گيرد
  •  با استفاده از يك تحليلگر داده هاي شبكه ، كليه اطلاعات جذب شده ، تجزيه و تحليل ميشود و كليه رمزهاي عبور و نام هاي كاربري شبكه استخراج مي گردد.

18- Ping of Death

  •  فرستادن بسته هاي بزرگتر از حد معمول براي درهم شكستن سيستم شما
  •  اين حمله به صورت واقعي روي سيستم هاي قديمي ويندوز ، لينوكس و مسيرياب هاي سيسكوانجام مي گيرد.

19- پويش پورت

  •  پويش كردن پورت به وسيله نرم افزارهايي انجام مي شود تا پورتهاي باز سيستم مشخص شود
  •  بعد از آن با پيدا كردن نقاط آسيب پذيرپورتهاي فوق ، يك حمله شكل مي گيرد

20- حملات قطعه قطعه كردن (Fragmentation Attack )

هدف اين دسته از حملات قطعه قطعه كردن يك بسته IP و دوباره بازيابي كردن آن و ايجاد يك كد اجرايي مي باشد.

21- دسترسی فیزیکی :

یکی از این روش ها دسترسی فیزیکی به دستگاه های حساس سازمان مثل سرور ها و یا سیستم های حاوی اطلاعات مهم سازمان می باشد. در این روش انگیزه های متفاوتی وجود دارد که به صورت کلی شامل تخریب اطلاعات، از بین بردن دستگاه ها و یا ربودن دستگاه های نگه داردنده اطلاعات حساس می باشد. در واقع در این روش هکر از طریق دسترسی فیزیکی به اتاق سرور، اتاق مدیریت و … سعی در به دست آوردن اطلاعات مورد نیاز خود دارد که باید کنترل های لازم برای جلوگیری از این تهدید در سازمان صورت گیرد. همانطور که قبلا نیز اشاره شد، این فرد می تواند از کارکنان داخلی سازمان بوده و با انگیزه های مختلفی اقدام به این کار نماید.

شایان ذکر است که این نوع حملات، از حملات بسیار رایج در سازمان ها بوده که می تواند صدمات بسیار جبران ناپذیری را به همراه داشته باشد. لذا کنترل دسترسی فیزیکی افراد به محل های حساس سازمان جزء یکی از اساسی ترین جنبه های امنیت اطلاعات می باشد که تحت عنوان Physical Security مطرح می شود.

موارد فوق تنها بخشی از انواع حملات سایبری می باشد که می تواند سازمان را تهدید نماید. بنابراین همانطور که مشاهده می فرمایید یک سازمان با تهدیدات بسیاری مواجه است که باید آنها را کنترل نماید و در غیر اینصورت باید هر زمان منتظر اتفاقی ناگوار در سازمان باشد.

علاوه بر موارد فوق، انواع Virus, Trojan, Worm, Rootkit, Badware ها می توانند به خودی خود بخش عمده ای از تهدیدات به یک سازمان را شکل دهند که البته انواع بسیار متنوعی هم دارند.
لذا شناخت انواع حملات رایج بخش مهمی از امنیت شبکه است تا زمانی که یک کاربر نداند چه تهدیداتی و چگونه ممکن است شبکه را مورد حمله قرار دهد نمی تواند ارزیابی درستی از آنچه باید در جهت ایمنی انجام دهد داشته باشد.