امنيت در حوزه بانكداري الكترونيك

IRCAR201002050

استانداردهای مدیریت امنیت فضای تبادل اطلاعات، یک سری استانداردهای امنیتی هستند که به سازمان ها توانایی اجرای سیاست ها و تکنیک هایی را می دهند که تعداد حملات موفق فضای تبادل اطلاعات را به حداقل می رسانند. در واقع این راهنماها یک چارچوب امنیتی کلی و یک سری تکنیک های تخصصی تر را برای پیاده سازی امنیت فضای تبادل اطلاعات فراهم می سازند. برای برخی استانداردهای خاص، گواهینامه امنیت فضای تبادل اطلاعات صادر می شود که از مزیت های آن توانایی گرفتن بیمه امنیت فضای تبادل اطلاعات است. لازم به ذکر است در حال حاضر، در ایران خدمات بیمه امنیت فضای تبادل اطلاعات ارائه نمی شود.

امنیت فضای تبادل اطلاعات برای انواع کاربران اینترنت حائز اهمیت است. برای مثال افراد عادی به منظور محافظت در برابر سرقت هویت و شرکت های تجاری نیز برای حفاظت از اسرار تجاری، مالکیت اطلاعات و اطلاعات مربوط به مشتریان، نیازمند بستری امن برای تبادل اطلاعات هستند. از طرف دیگر امنیت فضای تبادل اطلاعات برای دولت ها نیز به منظور اطمینان از اطلاعاتی که در اختیار آنها قرار دارد، بسیار مهم تلقی می شود.

اولین استاندارد مدیریت امنیت اطلاعات در سال 1995 ارائه شد و در نتیجه نوعی نگرش سیستماتیک به موضوع امنیت اطلاعات را ایجاد کرد. بر طبق این نگرش جدید، شرکت ها و سازمان ها لازم است برای حفظ امنیت اطلاعات خود، از یک چرخه امنیتی استفاده کنند. مجموعه ای از اقدامات پیشگیرانه و تدافعی که لازم است به صورت مداوم توسط شرکت ها و سازمان های مختلف به منظور حفظ امنیت اطلاعات انجام پذیرد، به عنوان چرخه امنیت شناخته می شود. این چرخه ایمن سازی شامل مراحل طراحی، پیاده سازی، ارزیابی و ترمیم بوده که لازم است طبق یک متدولوژی مشخص اجرا شوند.

اولین استاندارد مدیریت امنیت اطلاعات توسط مؤسسه استانداردهای انگلستان (BSI) و با نام BS 7799 ارائه شده است. این استاندارد توسط دپارتمان دولتی تجارت و صنعت انگلستان (DTI) نوشته شده و دارای چندین بخش است که به صورت جداگانه منتشر شده اند.

بخش اول استاندارد مذکور که در رابطه با مدیریت امنیت اطلاعات است، در سال 1995 منتشر شد. این استاندارد در سال 1998 بازنویسی شده و در سال 2000 تحت نظر موسسه بین المللی استاندارد (ISO) با نام ISO/IEC 17799 ارائه شد. عنوان کامل استاندارد مذکور Information Technology - Code of practice for information security management می باشد که در سال 2005 بازنگری شده و بالاخره در زیر گروه استانداردهای امنیتی ISO 27000 قرار گرفت و استاندارد ISO/IEC 27002 بر اساس آن در جولای 2007 عرضه شد.

بخش دوم BS 7799 برای اولین بار در سال 1999 توسط BSI با عنوان " Information Security Management Systems - Specification with guidance for use" ارائه شد و تمرکز آن بر روی پیاده سازی سیستم های مدیریت امنیت اطلاعات (ISMS) بود. نسخه دوم استاندارد BS 7799-2 که در سال 2002 ارائه شد یک مدل جدید به نام Plan-Do-Check-Act(PDCA) را معرفی کرد که در رابطه با تضمین کیفیت ارائه شد. ارائه مدل PDCA استاندارد مذکور را به استانداردهای کیفیتی ISO 9000 نزدیک کرد. بر اساس سیاست ها و ساختارهای مدیریت امنیت اطلاعات ارائه شده در دو نسخه مذکور، استاندارد ISO/IEC 27001 در نوامبر سال 2005 منتشر شد. 

بخش سوم BS 7799 در سال 2005، با موضوع تحلیل و مدیریت مخاطرات منتشر شد. این استاندارد نیز در ردیف ISO/IEC 27001 قرار می گیرد.

خانواده استانداردهای مدیریت امنیت اطلاعات شامل استانداردهای بین المللی زیر می شوند که با عنوان کلی فناوری اطلاعات – تکنیک های امنیتی معرفی می شوند:

ISO/IEC 27000:2009 Information security management systems — Overview and vocabulary

سیستم های مدیریت امنیت اطلاعات – مرور و لغت نامه

ISO/IEC 27001:2005, Information security management systems — Requirements

سیستم های مدیریت امنیت اطلاعات – نیازمندی ها

ISO/IEC 27002:2005, Code of practice for information security management

آئین نامه کاری مدیریت امنیت اطلاعات

ISO/IEC 27003, Information security management system implementation guidance

راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات

ISO/IEC 27004, Information security management — Measurement

مدیریت امنیت اطلاعات – سنجش

ISO/IEC 27005:2008, Information security risk management

مدیریت مخاطرات امنیت اطلاعات

ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems

نیازمندی های ممیزان و ارائه دهندگان گواهینامه های سیستم های مدیریت امنیت اطلاعات

ISO/IEC 27007, Guidelines for information security management systems auditing

راهنمای ممیزی سیستم های مدیریت امنیت اطلاعات

ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

راهنمای مدیریت امنیت اطلاعات برای سازمان های مخابراتی بر مبنای ISO/IEC 27002

در ادامه در مورد بخش های مهم استانداردهای مذکور به ترتیب زمان انتشار توضیح خواهیم داد.

استاندارد - ISO/IEC 27002  بخش اول استاندارد: BS 7799

این بخش همان طور که گفته شد با عنوان "آیین نامه کاری مدیریت امنیت اطلاعات" یا Information Technology - Code of practice for information security management ارائه شد و بدون هیچگونه تغییری در سال 2000 توسط موسسه بین المللی استاندارد با عنوان ISO/IEC 17799 منتشر گشت. استاندارد مذکور بالاخره در زیرگروه استانداردهای امنیتی با عنوان ISO/IEC 27002 عرضه شد. در این استاندارد موضوعاتی در قالب سیاست ها و آیین نامه های کاری عمومی در زمینه امنیت ارائه شده است. این استاندارد خود را به عنوان "نقطه شروعی برای توسعه راهکار امنیتی مخصوص هر سازمان" معرفی می کند. در واقع ممکن است تمام راهنمایی ها و کنترل هایی که در آن وجود دارد، برای یک سازمان مورد نیاز نباشد و از طرف دیگر سیاست های امنیتی دیگری مورد نیاز باشد که در استاندارد به آن اشاره نشده است. در این استاندارد به جزئیات دقیق و یا چگونگی پیاده سازی اشاره ای نشده است. به طور خلاصه استاندارد مذکور موضوعات زیر را بررسی می کند:

• تدوین سیاست امنیتی سازمان
• زیرساخت امنیتی سازمان
• کنترل و طبقه بندی سرمایه ها
• امنیت کارمندان
• امنیت فیزیکی و محیطی
• مدیریت ارتباطات و عملکرد
• کنترل دسترسی
• توسعه و نگهداری سیستم
• مدیریت تداوم فعالیت
• سازگاری

همان طور که اشاره شد این استاندارد در هیچ کدام از موضوعات فوق وارد جزئیات دقیق و یا پیاده سازی آن نمی شود و تنها یک راهنمایی کلی را در حوزه موضوعات مطرح شده، فراهم می آورد. این استاندارد اطلاعات کافی را برای بررسی دقیق وضعیت مدیریت امنیت اطلاعات سازمان ها در اختیار نمی گذارد. همچنین برنامه ای برای ارائه گواهینامه ای مانند گواهینامه ISO 9000 را شامل نمی شود. بلکه این استاندارد برای مرور کلی موضوعات امنیت اطلاعات مفید واقع می شود و می تواند توسط مدیران ارشد برای فهمیدن مشکلات امنیتی که در هر یک از موضوعات مذکور با آن روبرو می شوند، مورد استفاده قرار بگیرد. در صورتی که استاندارد ISO/IEC 17799 همراه با راهنمایی های فنی تکمیلی به کار گرفته شود، می تواند به عنوان یک ابزار بازنگری امنیتی بسیار مؤثر واقع شود.

استانداردISO/IEC 27001   - بخش دوم  :BS 7799

این بخش از استاندارد مدیریت امنیت اطلاعات همان طور که در بالا اشاره شد با عنوان " Information Security Management Systems - Specification with guidance for use" یا "ویژگی های سیستم مدیریت امنیت اطلاعات همراه با راهنمای استفاده" ارائه شد و تمرکز آن بر روی ایجاد سیستم های مدیریت امنیت اطلاعات و یا ISMS ها است. این استاندارد تحت نظر موسسه بین المللی استاندارد با عنوان ISO/IEC 27001 و در اکتبر سال 2005 منتشر شده است.

اصلی که در ورای ISMS وجود دارد، توانایی بخشیدن به یک سازمان برای طراحی، پیاده سازی، نگهداری و پشتیبانی یک مجموعه پیوسته از فرآیندها و سیستم ها جهت مدیریت مخاطرات دارایی های اطلاعاتی است. فرآیندها و سیستم های مذکور باید به گونه ای باشند که سطح قابل قبولی از امنیت اطلاعات شامل محرمانگی، تمامیت و در دسترس بودن را فراهم کنند.

یک ISMS همزمان با همه فرآیندهای مدیریتی، لازم است اثرگذاری و کارایی خود را در طول زمان حفظ کرده و توانایی هماهنگی با تغییرات داخل سازمان و تغییرات محیطی را داشته باشد. به همین منظور ISO/IEC 27001 چرخه مدیریتی PDCA یا Plan-Do-Check-Act را معرفی کرده است:

• Plan یا طراحی. این مرحله در مورد طراحی ISMS، ارزیابی مخاطرات و انتخاب روش های کنترلی مناسب است.
• Do یا اجرا. این مرحله در مورد پیاده سازی و اجرای کنترل ها است.
• Check یا مرور. هدف از این مرحله بازنگری و ارزیابی بهره وری (کارایی، اثرگذاری) یک ISMS است.
• Act یا اقدام. در این مرحله تغییرات مورد نیاز اعمال شده و سعی می شود ISMS به بالاترین حد کارایی برسد.

شکل دیگری از استاندارد ISMS نیز با عنوان مدل به کمال رسیده مدیریت امنیت اطلاعات (Information Security Management Maturity Model ) یا ISMS3 ارائه شده است. سیستم مدیریت امنیت اطلاعات ISMS3 بر اساس استانداردهای ISO 20000، ISO 9001، CMM، ISO/IEC 27001 و مفاهیم عمومی کنترل و امنیت اطلاعات تهیه شده است. در واقع ISMS3 می تواند به عنوان قالبی برای ISO 9001 منطبق با ISMS در نظر گرفته شود. استاندارد ISO/IEC 27001 مبتنی بر کنترل است در حالی که ISMS3 مبتنی بر پروسه است. مدل ISMS3 در استاندارد ISO/IEC 21827 توضیح داده شده است.

استاندارد ISO/IEC27006

این استاندارد در سال 2007 و برای سازمان های ارائه دهنده گواهینامه های امنیتی (ممیزان امنیت اطلاعات) مبتنی بر ISO/IEC 27001 منتشر شده است. در این استاندارد طرح نیازمندی های سازمان های مذکور ترسیم شده و به نوعی معنادار و قابل اطمینان بودن گواهینامه های ISO/IEC 27001 را تضمین می کند.

استاندارد ISO/IEC27005

این استاندارد راهنمایی را برای مدیریت مخاطرات امنیت اطلاعات فراهم می آورد و در ژوئن 2008 منتشر شده است. این استاندارد مفاهیمی را که در استاندارد ISO/IEC 27001 معرفی شده اند، پشتیبانی می کند و برای کمک به پیاده سازی مؤثر امنیت اطلاعات مبتنی بر روش مدیریت مخاطرات طراحی شده است. در این استاندارد از هیچ روش خاصی برای تحلیل مخاطرات اسم برده نشده و همچنین هیچ روشی نیز پیشنهاد نشده است ولی یک پروسه ساخت یافته، سیستماتیک و صریح از تحلیل مخاطرات گرفته تا ایجاد برنامه رفع مخاطرات مشخص شده است.

استاندارد ISO/IEC27011

استاندارد ISO/IEC 27011 در دسامبر سال 2008 بر پایه ISO/IEC 27002 منتشر گشته است. این استاندارد راهنمایی را برای پیاده سازی مدیریت امنیت اطلاعات در سازمانهای مخابراتی فراهم می آورد. در واقع استاندارد مذکور ویژگی های مخصوص به این بخش صنعت را در نظر گرفته و تغییرات لازم را در نیازمندی های ISO/IEC 27001 و همچنین ISO/IEC 27002 متناسب با نیازمندی های شرکت ها و سازمان های مخابراتی به وجود آورده است.

استاندارد ISO/IEC27004

هدف از این استاندارد که در دسامبر سال 2009 منتشر شده است کمک به سازمان ها برای اندازه گیری، گزارش و بهبود سیستماتیک اثرگذاری سیستم مدیریت امنیت اطلاعات (ISMS) است. این استاندارد دارای بخش های اصلی زیر است:

• بررسی کلی سنجش یا اندازه گیری امنیت اطلاعات
• مسئولیت های مدیریت
• توسعه سنجش و معیارهای آن
• عملیات سنجش
• گزارش گیری از نتایج سنجش و تحلیل داده ها
• توسعه و ارزیابی برنامه سنجش امنیت اطلاعات

استاندارد ISO/IEC27003

هدف از این استاندارد کمک و راهنمایی برای پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS) است و در سوم فوریه 2010 منتشر شده است.موضوعات مطرح شده در استاندارد مذکور عبارتند از:

• به دست آوردن تصویب مدیریت برای شروع پیاده سازی پروژه ISMS
• تعریف حوزه ISMS و سیاست ISMS
• هدایت تحلیل سازمان
• هدایت ارزیابی مخاطرات و رفع مخاطرات
• طراحی ISMS

استاندارد ISO/IEC\27007

این استاندارد راهنمایی را برای ممیزی ISMS جهت ارائه گواهینامه های امنیتی به جز ISO/IEC 27001 فراهم می کند. استاندارد مربوط به ممیزی ISO/IEC 27001 همان طور که گفته شد در ISO/IEC 27006 پوشش داده شده است. حوزه های مربوط به این استاندارد عبارتند از:

ممیزی داخلی، برای مثال به ممیزان فناوری اطلاعات کمک می کند تا از کاهش مکفی مخاطرات امنیتی توسط کنترل های امنیت اطلاعات سازمان، اطمینان حاصل کنند .

ممیزی خارجی که شامل ممیزی فناوری اطلاعات نیز می شود، به عنوان بخشی از ممیزی مالی انجام می شود. برای مثال ممیزان باید از داده ها و اطلاعات موجود در قسمت های مختلف مثلاً سیستم های تدارکات اطمینان حاصل کنند.

 همچنین برای ممیزی شرکت های پیمانکار ISMS به کار می رود (برای مثال شرایط قرارداد متصدیان سرویس های فناوری اطلاعات در قسمت هایی که مربوط به امنیت اطلاعات می شود.)

بازنگری مدیریتی. از طرفی شامل فعالیت های روتین به عنوان بخشی از عملیات ISMS می شود تا صحت همه چیز را بررسی کند و از طرف دیگر با بررسی موردی رخدادهای امنیتی به دنبال علت ریشه ای مخاطرات گشته و سعی در ایجاد واکنش های اصلاح کننده دارد.

این استاندارد در دست بررسی است و احتمالاً در سال 2010 منتشر خواهد شد.

در زیر نموداری که ارتباط استانداردهای مذکور به یکدیگر را نشان می دهد مشاهده می کنید.

منبع: مرکزماهر

در سازمان‌هایی که از بستر فناوری اطلاعات استفاده می‌کنند، روزانه حجم عظیمی از رخدادنماها و هشدارها توسط تجهیزات و حسگرهای مختلف شبکه‌ای و امنیتی تولید می‌شود که بررسی دقیق، ارزیابی و اهمیت‌دهی به موارد مهم، به صورت انسانی کاری بسیار پرزحمت، پرهزینه و همراه با اشتباه و چه بسا غیرممکن خواهد بود. در یک شبکه سازمانی با اندازه متوسط روزانه بیش از چند میلیون رخدادنما تولید می‌شود که تا اندازه‌ای می‌تواند مشخص کننده مشکلات پردازش انسانی رخدادنماها باشد. همچنین تنوع رخدادنماها و قالب‌ها و زبان‌های مختلف به کار گرفته شده در آن‌ها برای بیان یک اتفاق یکسان، مشکلات پردازش انسانی رخدادنماها را آشکارتر می‌سازد. به منظور حل این مشکل، راه‌کارهای مختلفی ارائه شده است. این راه‌کارها با نام‌هایی همچون مدیریت رخدادنما (Log Management)، مدیریت رویدادها و اطلاعات امنیتی (SIEM: Security Information & Event Management) و مرکز عملیات امنیت (SOC: Security Operations Center) ارائه می‌شوند.
مرکز عملیات امنیت، به عنوان کامل‌ترین راه‌کار برای موضوع یاد شده، ارائه شده است. همان طور که از نام آن مشخص است به صورت یک مرکز راه‌اندازی شده و بنابراین از سه جزء تکنولوژی، تیم‌های انسانی و فرآیندها تشکیل شده است. این مرکز با پایش ۲۴ × ۳۶۵ شبکه سازمان، نمایی بلادرنگ از وضعیت امنیتی شبکه و رخدادهای جاری فراهم می‌کند و در صورت بروز حادثه، در سریع‌ترین زمان ممکن حادثه را تشخیص داده و سازمان را در رفع حادثه یاری نماید.
مرکز عملیات امنیت، با بهره‌گیری از تکنولوژی‌های مختلف، در سریع‌ترین زمان ممکن، تغییرات وضعیت امنیتی سازمان را مورد ارزیابی قرار داده و حوادث مهم را مشخص می‌کند. انجام این کار با استفاده از تکنولوژی‌های به کار رفته و نیروهای متخصص که آموزش داده می‌شوند، باعث کاهش هزینه‌های بسیاری خواهد شد که در زیر به برخی از آن‌ها اشاره شده است:

1. کاهش هزینه‌ زمانی لازم برای جمع‌آوری رخدادنماها و هشدارها در مواقع ضروری
2. کاهش هزینه نگهداری رخدادنماها و هشدارها، با استفاده از مکانیزم‌های فشرده‌سازی، حذف تکرار و پالایش رخدادنماهای غیر مفید
3. کاهش هزینه‌ انسانی پردازش رخدادنماها و هشدارهای اولیه با دسته‌بندی و سابقه‌گیری خودکار از حوادث
4. کاهش هزینه‌های وارسی و ارزیابی رویدادها و حوادث سابقه‌دار و شناخته شده با استفاده از مکانیزم‌های یادگیری
5. کاهش هزینه‌های تحلیل و کشف ارتباط بین حوادث و رویدادهای مختلف
6. کاهش هزینه‌های انسانی رسیدگی به حادثه، با استفاده از تیم متخصص آموزش دیده و اجتناب از انجام اعمال اضافی و دوری از روش‌های آزمون و خطا در شناسایی علل وقوع حوادث
7. کاهش هزینه‌‍‌های ناشی از تداوم خسارت منتج از حوادث مخرب با جلوگیری از اتلاف زمان و پیشروی حادثه
8. کاهش هزینه‌های ناشی از قطع سرویس با فراهم نمودن پیوستگی ارائه‌ خدمات
9. کاهش هزینه‌های هماهنگی مکانیزم‌های تشخیص حوادث با تغییرات سیستم اطلاعاتی سازمان

مرکز عملیات امنیت، با ارائه‌ خدمات زیر به تشخیص حوادث مهم امنیتی از میان حجم عظیم گزارش‌ها، هشدارها و رخدادنماها می‌پردازد و به آنها رسیدگی می‌کند. راه‌اندازی مرکز عملیات امنیت، به عنوان ابزاری جهت تشخیص، تحلیل و رسیدگی به حوادث در این مرکز مورد استفاده قرار می‌گیرد.

مرکز عملیات امنیت علاوه بر قابلیت‌های یک SIEM مرسوم، امکانات لازم جهت رسیدگی به حوادث امنیتی و همچنین ابزارهای لازم جهت به‌روزرسانی دانش متناسب با شرایط سازمان را نیز فراهم می‌نماید. با راه‌اندازی مرکز عملیات امنیت، خدمات زیر به سازمان موردنظر ارائه می‌شود:

1. جمع‌آوری رخدادنماها و هشدارها از کاربردها، تجهیزات مختلف شبکه‌ای و حسگرهای امنیتی
2. یکنواخت نمودن قالب تمامی گزارش‌ها، رخدادنماها و هشدارها و نرمال‌سازی معنایی
3. نگهداری بلند مدت هشدارها و رخدادنماها با قابلیت بازیابی بلادرنگ آنها
4. پالایش هشدارها، رخدادنماها و گزارش‌های بی‌مصرف
5. تشخیص هشدارها و گزارش‌های غیر مفید و ناصحیح با قابلیت هماهنگی با محیط عملیاتی
6. تحلیل و همبسته‌سازی بلادرنگ رویدادهای مربوط به حملات مختلف
7. کشف علت ریشه‌ وقوع حوادث جهت برخورد اصولی با آنها
8. تطبیق رویدادها با سیاست‌های امنیتی سازمان
9. تطبیق حوادث با آسیب‌پذیری‌های سازمان
10. تشخیص و اولویت‌بندی حوادث امنیتی از میان حملات اینترنتی و رویدادهای شبکه‌ای
11. ارائه‌ داشبورد پایش بلادرنگ حوادث و رویدادهای امنیتی
12. تعیین و پیگیری گردش کار رسیدگی به حادثه از طریق سیستم
13. تولید گزارش‌های آماری مختلف از رویدادها و حوادث جهت آگاهی از وضعیت امنیتی
14. کاوش الگوهای رویدادها و حملات جدید با استفاده از ابزارهای خودکار
15. به‌روزرسانی قوانین و روال‌های تشخیص، تحلیل و رسیدگی به حادثه به طور پیوسته
16. تحلیل و پایش ۲۴ ساعته رویدادها و حوادث امنیتی
17. امکانات لازم برای استفاده از دانش نیروهای متخصص در راهبری و عملکرد سیستم با آگاهی از شرایط سازمان
18. تشخیص زودهنگام حوادث امنیتی با تحلیل رفتاری شبکه
19. ارائه‌ راهبرد رسیدگی به حادثه
20. تشخیص تغییرات وضعیت امنیتی سازمان
21. پیگیری روال تشخیص، تحلیل و رسیدگی به حادثه
22. تخصیص صحیح منابع انسانی در رسیدگی به حوادث بر اساس میزان اهمیت حوادث و حساسیت دارایی‌های سازمان

با گسترش روزافزون استفاده از ارتباطات و انتقال اطلاعات در بستر شبکه‌ها و اینترنت، حجم وسیعی از مبادلات تجاری و اداری، از این طریق صورت می‌پذیرد. امروزه سرویس‌های اینترنتی و تحت‌شبکه، به عنوان قابل‌اعتمادترین، سریع‌ترین و در دسترس‌ترین ابزارهای ارتباطی به شمار می‌روند. با توجه به اهمیت فوق العاده‌ای که شرکت‌های بزرگ به استفاده از چنین بسترهایی در اداره امور خود می‌دهند، جایگاه و اهمیت مقوله امنیت به وضوح مشخص است. زمانی که نوبت به امنیت می‌رسد، هر سازمانی نیاز و سیاست مختص خود را دارد. به این ترتیب راه‌حل‌های امنیتی، باید به گونه‌ای استاندارد طراحی شوند تا بتوانند نیازهای کلیه سازمان‌ها را بدون نیاز به تغییرات اساسی در ساختار سیستم‌های آن‌ها، پوشش دهند. در شماره‌ قبل به معرفی استاندارد BS7799 اشاره نمودیم. در این شماره قصد داریم به نحوه مدیریت یکپارچه امنیت اطلاعات و ارتباطات با استفاده از استاندارد BS7799 در یک مرکز امنیت شبکه SOC یا Security Operations Center اشاره نماییم.

مرکز عملیات امنیت  کجاست؟
مرکز عملیات امنیت شبکه، (SOC) مکانی جهت مانیتورینگ و کنترل ۲۴ ساعته  ورود و خروج اطلاعات در شبکه می باشد. به طور کلی هر مرکز SOC  به سه سطح عمده تقسیم می شود که هر یک وظایف خاصی را بر عهده دارند. این سطوح عبارتند از: سطح یکم، نقطه تماس Client‌ها و مسئول پاسخ گویی به اخطارهای دریافتی ازClient ‌هاست. در این سطح به کلیه اخطارهایی که از پیچیدگی پایین‌تری برخوردارند، پاسخ داده می‌شود.

سطح دوم، در حقیقت مکمل سطح یکم است و مسئول پاسخ‌گویی به مشکلات پیچیده تر در سیستم‌های امنیتی شبکه می‌باشد. برای اخطارهایی که از اهمیت بالایی برخوردارند، سیستم های سطح دوم به طور کامل درگیر می‌شوند.

سطح سوم، در این سطح کارشناسان ارشد و مشاوران امنیتی شبکه قرار دارند. این سطح در حقیقت پشتیبان دو سطح پایین‌تر است. در صورتی که به اشکالات امنیتی در دو سطح پایین پاسخ داده نشود، کارشناسان و سیستم‌های این سطح، درگیر می‌شوند. کلیه تدابیر امنیتی و مدیریت امنیت شبکه، در این سطح اندیشیده می‌شود.

در طراحی مراکز امنیت شبکه،  متدولوژی‌های مختلفی مطرح می‌باشد. با این حال پایه همه متدولوژی‌ها براساسِ ترکیب تکنولوژی، نیروی انسانی، فرآیندها در هسته فعالیت مرکز امنیت شبکه و احاطه آن توسط فرآیندهای اجرایی می‌باشد. این فرآیندها شامل برنامه‌ریزی، طراحی، پیاده‌سازی، عملیاتی نمودن و توسعه مرکز امنیت شبکه می‌باشد. لایه بعدی در طراحی مرکز SOC، شامل ابزارها و معیارهایی است که از طریق آن‌ها خدمات ارائه شده ارزیابی می‌گردند. این ابزارها و معیارها شامل چشم‌انداز، منابع، زمان، هزینه، ارتباطات و ریسک‌های موجود در راه اندازی SOC می‌باشد.

نکته قابل‌توجه در طراحی یک SOC، انعطاف‌پذیریِ متدولوژی طراحی آن است که به واسطه آن می‌توان برای هر یک از مشتریان مطابق سرویس‌های مورد نیازشان راه حل خاصی برای مدیریت امنیت شبکه ارائه نمود.

در هر یک از سطوح مطرح‌شده، ابزاری برای مدیریت سیستم‌های امنیتی در نظر گرفته می شود. این ابزارها امنیت شبکه را از دو دیدگاه درون‌سازمانی و برون‌سازمانی مورد بررسی قرار می‌دهند. برای این منظور، هر SOC دارای یک

سری تجهیزات در داخل شبکه و یک سری تجهیزات در خود مرکز می باشد. همه سرویس‌هایی که از مراکز SOC  ارائه می‌گردند، مانیتورینگ و مدیریت‌شده هستند. دیگر سرویس‌هایی که از طریق این مراکز قابل‌ارائه می‌باشند، سرویس‌های پیشرفته‌ای به شرح زیر می‌باشد:

– توسعه سیاست‌های امنیتی‌
– آموزش مباحث امنیتی‌
– طراحی دیواره‌های آتش‌
– پاسخگویی آنی‌
– مقابله با خطرات و پیاده‌سازی

سرویس‌هایی که از طریق این مراکز ارائه می‌گردند، عبارتند از سرویس‌های مدیریت شده‌ای که از تجهیزات و ارتباطات مرکز SOC محافظت می‌نمایند. این سرویس‌ها از متدولوژی و ابزارهای نرم‌افزاری و سخت افزاری قدرتمندی برای مدیریت امنیت استفاده می‌نمایند. اجزای سخت‌افزاری که در شبکه‌ها توسط سیستم‌های مدیریت‌شده برای اعمال سیاست‌های امنیتی مورد استفاده قرار می‌گیرند، عبارتند از: سیستم‌های کشف و رفع حملات (Intrusion Detection System)، سیستم‌های‌ فایروال و سیستم‌های مدیریت امنیت در شبکه‌های خصوصی مجازی.

نیاز به سرویس‌های مدیریت شده
حملات چه از طریق منابع داخلی چه از طریق منابع خارجی، در هر لحظه شبکه و برنامه‌های کاربردی ارائه شده از طریق آن را تهدید می‌نماید. هکرها در جاهای مختلف دنیا در هر لحظه کل تجهیزات امنیتی شبکه را مانیتور می‌نمایند و در صورتی که یکی از تجهیزات به طور دقیق فعالیت خود را انجام ندهد، از آن نقطه، یک ورودی برای خود  ایجاد خواهند نمود. به منظور جلوگیری از نفوذ هکرها به شبکه، لازم است سیستم امنیتی در SOC از قابلیت اطمینان بالایی برخوردار باشد.

برای ایجاد یک سیستم امنیتی با ویژگی‌های مناسب برای مدیریت یک شبکه با برنامه‌های کاربردی متنوع، پرسنل کارآمدی لازم است که بتوانند کلیه سیستم های امنیتی از ضد ویروس ها تا شبکه‌های خصوصی مجازی را بدون وابستگی به محصول خاص و یا تکنولوژی مشخص مدیریت نمایند.

سیستم‌هایی که در SOC جهت مدیریت امنیت شبکه نصب و راه‌اندازی می‌گردند، دارای مکانیزم‌های بررسی تجهیزات شبکه به صورت خودکار می باشند. تجهیزاتی که توسط این سیستم مورد‌بررسی قرار می‌گیرند، محدود به سیستم‌های امنیتی نیستند، بلکه کلیه تجهیزات زیرساختی شبکه نیز توسط این سیستم مدیریت امنیت یکپارچه مورد بررسی قرار می‌گیرند. این سیستم در‌حقیقت الگوهای ترافیکی ارسالی از کلیه تجهیزات شبکه از جمله سرورها، مسیریاب‌ها، فایروال‌ها و سیستم‌های امنیتی فیزیکی را مورد بررسی قرار داده و هر‌کدام از آن‌ها که توان ایجاد یک ریسک امنیتی را دارند مشخص می‌سازد و راه نفوذ به آن سیستم را می‌بندد. هر الگوی ترافیکی غیرعادی مشاهده شده، توسط زیرسیستم‌های آنالیزکننده مورد بررسی قرار می‌گیرد و متناسب با نوع خطای تشخیص داده‌شده، اخطارهای لا‌زم در شبکه برای هر یک از تجهیزات مربوطه ارسال می‌گردد. در حالت عادی نیز با توجه به برنامه Polling در نظر گرفته شده، کلیه سیستم‌ها در شبکه مانیتور می‌گردند و با توجه به Profile های امنیتی موجود برای هر سیستم، حمله‌های احتمالی تشخیص داده شده و دفع می‌گردند.

انواع سرویس های مدیریت شده در SOC
● دیواره آتش (Firewall)
فایروال‌ها اولین سد ورودی بین اطلاعات محرمانه در یک شبکه و دنیای خارج از آن می باشند. در یک مرکز SOC ،  لازم است این تجهیزات به طور مداوم از نظر امنیتی بررسی گردند. برای اطمینان کامل از امنیت این تجهیزات، به طور معمول از مارک‌های مختلف فایروال‌ها در شبکه استفاده می‌گردد. به طور مثال در یک شبکه که چندین فایروال وجود دارد، معمولاً این تجهیزات را از سازنده های مختلف انتخاب می‌کنند و با استفاده از یک مدیریت متمرکز، آن‌ها را کنترل می‌نمایند.

برای مدیریت امنیت این تجهیزات مراحل زیر پیموده می گردد:
– بررسی عملکرد Firewallها
– پاسخ به اخطارها پس از اعلام شدن
– بررسی log ‌های ثبت شده در فایروال
– بررسی نرم افزار و سخت افزارهای مربوط به  فایروال●  سیستم های تشخیص حملات (IDS)
سیستم‌هایی نظیر IDSها در یک شبکه به کارآمدی کلیه تجهیزات، فرآیندها و کارکنانی وابسته می‌باشند که در مواقع لزوم به رخدادها پاسخ می‌دهند. با توجه به این نکته که حسگرهای IDS در هر زمان تعداد زیادی اخطار تولید می‌کنند و در شبکه امکان پاسخگویی به همه آن‌ها وجود ندارد، لازم است حساسیت IDSها را به گونه‌ای تنظیم نمود که فقط تهدیدات اساسی را اعلام نمایند. اما این کار باعث می‌شود تعدادی از حمله‌ها تشخیص داده‌نشود. برای جلوگیری از بروز اشکال، می‌توان هر یک از IDSها را برای یک Application خاص تخصیص داد.

با استفاده از ویژگی‌های مختلف این سیستم‌ها، می‌توان از طریق مرکز SOC  حملات را کنترل نمود. در مراکزSOC  از ویژگی‌های IDSها نظیر کمتر‌نمودن False Positives ، Stateful Signature که یک فرم پیشرفته تشخیص حمله‌ها با استفاده از Signatureها می‌باشد،Protocol Anomaly Detection  که قابلیت تحلیل ترافیک و اطمینان از عدم وجودPacketهای غیر قانونی با استفاده از مقایسه Protocol portion را دارد، می‌باشد،Traffic Anomaly Detection  جهت مقایسه ترافیک‌های نرمال و غیرنرمال برای مقابله طبیعی و غیرطبیعی با حملات، استفاده می‌شود. در مراکزSOC  با ترکیب‌کردن تکنولوژی‌های Stateful Signature Detection  و Protocol Anormaly ، Traffic Anomaly Detection  قابلیت تشخیص حمله‌ها افزایش داده می‌شود.

• امکان فیلتر کردن محتوا
  یکی از اصلی ترین سرویس‌ها در مراکز SOC ، امکان فیلترکردن محتوای ورودی به سرورها می‌باشد. فیلتر کردن محتوا در SOC با هدف جلوگیری از دسترسی به سایت‌های غیرلازم، جلوگیری از دسترسی به انواع خاصی از فایل‌ها و محدود کردن حملات ویروس‌ها، Wormها و Trojanها (بسیاری از ویروس‌های خطرناک مانند Nimda وCodeRed به عنوان برنامه‌های اجرایی با استفاده از HTTP و یا پروتکل‌های رایج دیگر که Firewallها به آن‌ها اجازه ورود می‌دهند، وارد شبکه می‌شوند. در نتیجه کاربران به صورت ناآگاهانه این محتویات را از سایت‌های ایمنDownload  می‌کنند.) صورت می‌پذیرد.

نرم افزار URL Filtering کلیه Page ها را در گروه‌های از‌پیش‌تعیین‌شده دسته‌بندی می‌کند و بر‌طبق آن دسته‌بندی‌ها، دسترسی به یک Page را ممکن و یا غیر‌ممکن می‌سازد. همچنین قادر است لیستی از سایت‌هایی که کاربران می‌توانند به آن‌ها دسترسی داشته باشند، تهیه نماید. به طور عمده لازم است این نرم‌افزار قادر باشد دسترسی به محتویات دسته‌بندی‌شده را فیلتر کند. همچنین لازم است بتواند استثناهایی برای سیاست خاص خود بر مبنای فاکتورهای مختلفی از جمله گروه کاربران‌، موقعیت کاربران، ساعت استفاده و… قائل شود.

نرم افزارهایی که در این مراکز برای فیلتر کردن مورد استفاده قرار می‌گیرند، باید از متدهای مناسبی جهت  جلوگیری از دسترسی، دسته بندی پایگاه های اطلاعاتی و لیست‌های کنترلی برخوردار باشند. همچنین بروزرسانی‌ها باید با فواصل کوتاه انجام شوند و بهتر است به طور کامل صورت پذیرند نه به صورت تفاضلی. بروزرسانی‌ها نباید سیستم‌های عملیاتی را دچار وقفه سازند.

• امکان تشخیص ویروس
  ویروس‌ها بیشتر توسطEmai l و ترافیک اینترنتی منتقل می‌شوند. بنابراین، دفاع در خط مقدم یعنی Internet Gateway بهترین راه مقابله با آن‌ها می‌باشد. با افزودن قابلیت Virus Scanning برروی Cache ها، می‌توان با اعمال روش‌های مختلف ویروس‌یابی، اقدامات مناسبی جهت از بین بردن آن‌ها در Internet Gateway انجام داد. مرکز SOC، عملیات کنترل و اسکن ویروس‌ها را با بهره‌گیری از نرم‌افزارهای مناسب برعهده دارد.
• سرویس‌های AAA
  در مرکز SOC برای تعریف و کنترل دسترسی به تجهیزات و سرویس‌های شبکه از AAA استفاده می‌شود. AAA سرورها در مراکز مختلف و برای سرویس‌های گوناگون به کار گرفته می‌شوند و مدیران شبکه و کاربران نیز از طریق آن اجازه دسترسی به منابع شبکه را در سطوح مختلف کسب می‌کنند. یکی از روش‌هایی که در مراکز SOC برای تشخیص هویت کاربران و اعمال سیاست‌های امنیتی به کار می‌رود، استفاده از CA یا Certificate Authority است.CAها، کلیدعمومی یک شخص یا یک سازمان را به همراه دیگر مشخصات تشخیص هویت در گواهینامه دیجیتال قرار داده و سپس آ‌ن ‌را امضا می‌نمایند. این کار صحت اطلاعات موجود در آن‌را اعلام و تأیید می‌نماید. گواهی‌نامه‌های دیجیتال، فایل‌هایی هستند که در اصل به عنوان نوعی گذرنامه عمل می‌نمایند و توسط CAها صادر می‌شوند. نقش CA در این پروسه، تأیید فردی است که یک گواهینامه به آن اختصاص داده شده است. در واقع همان کسی است که خود شخص اظهار می دارد.

با قرار دادن CA در یک مرکز SOC، می‌توان محدوده وسیعی از Applicationها را با ایمنی بالاتری نسبت به امنیتی که توسط نام کاربری  و رمز عبور  فراهم می شود، پشتیبانی کرد.

پیاده سازی امنیت در مرکز SOC
با بهره گیری از ابزارهای مختلف امنیت شبکه در SOC، حملات به شبکه در سه رده و از جهات مختلف مورد بررسی قرار می‌گیرد. این سه رده عبارتند از: Visibility ، Verification و vulnerability که با ادغام عملیاتی که در هر رده انجام می‌پذیرد، می‌توان امکان کنترل و مدیریت امنیت را در شبکه ایجاد نمود. در هر یک از این رده‌ها فعالیت‌های خاصی انجام می‌گیرد که به واسطه آن‌ها از نفوذ به داخل شبکه جلوگیری می‌شود و در صورت ورود نیز از پیشروی آن‌ها جلوگیری به عمل می‌آید. در هر یک از این رده‌ها، تجهیزاتی وجود دارند که می‌توانند متناسب با وظایفشان از شبکه محافظت نمایند.

● Vulnerability
تجهیزاتی که در این رده مورد استفاده قرار می‌گیرند، به محض این‌که نصب و راه‌اندازی می‌شوند، باید Update  گردند. فاکتورهایی که از طریق این تجهیزات Update می‌گردند، شامل پیکربندی سرورها، برنامه‌های کاربردی، پکیج‌های نرم‌افزارهای امنیتی مرتبط با سیستم‌عامل‌ها می‌باشند که با توجه به سرعت رشد راه‌های نفوذ، به سرعت از درجه اعتبار ساقط می‌گردد. با در نظر گرفتن این نکته، این رده کمترین تاثیر را در برخورد با حملات دارد.

● Visibility

با استفاده از تجهیزات این سطح که عمدتاً شامل فایروال‌ها می‌باشند، می‌توان امنیت کلیه تجهیزات شبکه را مانیتورینگ نمود. در این قسمت کلیه امکانات‌ مربوط به دیواره‌های آتش Update می‌شود و پیکربندی آن‌ها متناسب با عملکردشان در شبکه، تغییر می‌کند. این تغییرات بدون زمان‌بندی خاص و در ازای تغییر مکانیزم‌ها و روند حملات به شبکه اعمال می‌گردند. مشکلاتی که در رابطه با تغییر پیکربندی فایروال‌ها به‌وجود می‌آیند، منحصر به تکنولوژی نیست. هر بار که پیکربندی این تجهیزات توسط پرسنل Update می‌گردد، امکان دارد که با یک اشتباه در پیکربندی راه نفوذی برای هکرها ایجاد گردد.

با توجه به حجم و ابعاد شبکه‌ها و پورت‌هایی که از طریق آدرس‌های IP سرویس داده می‌شوند، تعداد نقاطی که باید اسکن گردند مشخص می‌شود. برای برقراری سطوح امنیتی متناسب با نیازهای هر کاربر، این پورت‌ها به گروه‌های مختلف دسته‌بندی می‌گردند. به این ترتیب پورت‌هایی که از اهمیت بالایی برخوردارند، توسط سیستم‌های مربوطه در فواصل زمانی کوتاه (معمولاً هر ۵ دقیقه یک‌بار) اسکن می شوند. با توجه به حجم بالای اطلاعاتی که در هر بازه زمانی تولید می‌شود، باید مکانیزم‌هایی در SOC وجود داشته باشد تا به واسطه آن این حجم بالای اطلاعات پردازش گردد و گزارش‌های مورد نیاز استخراج شود.

• Verification
  اصلی ترین و البته مشکل ترین قسمت در یک مرکز SOC، حصول اطمینان از امنیت قسمت‌هایی است که کنترل مستقیمی بر آن‌ها وجود ندارد. برای این منظور باید ابزاری به‌کار گرفته شود که از طریق آن بتوان به صورت غیرمستقیم تجهیزات مربوطه را کنترل نمود. در حقیقت باید راه نفوذ از طریق آن تجهیزات را مسدود ساخت.

سرویس های پیشرفته در مراکز SOC
سرویس‌های پیشرفته‌ای که از طریق این مراکز قابل‌ارائه می‌باشد، در‌حقیقت سرویس‌هایی است که به واسطه آن می‌توان سیاست‌های امنیتی را مطابق با نیازها پیش‌بینی نمود. در مراکز SOC علاوه بر مدیریت امنیت تجهیزات شبکه، زیرساخت‌های اطلاعاتی نیز از لحاظ امنیتی پشتیبانی می‌شوند. این زیرساخت‌ها به طور کلی شامل پرسنل، فرآیندها و روال‌های کاری در شبکه می‌باشند. در استانداردهای تدوین‌شده برای امنیت نظیر استانداردهای BS9977 نحوه پیاده‌سازی روال‌های مدیریت امنیت در شبکه‌ها مشخص شده است.

در بخش مدیریت امنیت فرآیندها در مرکز SOC مراحل مختلفی طی می‌شود تا به‌واسطه آن یک روال در شبکه از هر لحاظ ایمن گردد. مرحله اول مرحله سیاست‌گذاری است. پس از تدوین سیاست‌ها و تطبیق آن‌ها با استانداردهای موجود در زمینه امنیت شبکه، روال‌های استخراج‌شده جهت پیاده‌سازی به مسئولا‌ن تحویل می‌شوند. نکته دیگری که در این زمینه قابل‌بررسی است، آگاهی پرسنل SOC از تهدیدات امنیتی است. باتوجه به وجود طیف وسیعی از سخت‌افزارهای امنیت شبکه، که هر کدام متناسب با شرکت سازنده خود نیاز به مهارت‌های خاصی برای استفاده دارند، و همچنین تغییرات سریع تکنولوژی و نحوه حمله به تجهیزات شبکه، نیاز است پرسنل SOC از مهارت‌های خاصی برخوردار بوده و همواره به کسب اطلاعات جدید مشغول باشند. برای بروز نگه‌داشتن اطلاعات پرسنل از کلاس‌های آموزشی جهت تشخیص حملات جدید و نحوه برخورد با آن‌ها استفاده می‌شود. با توجه به حساسیت وظایف در مراکز SOC،  پرسنل این مراکز اهمیت بالا‌یی دارند. به این ترتیب حفظ منافع و رضایت خاطر پرسنل از مهم‌ترین مسئولیت‌های صاحبان SOC می‌باشد.

منابع: payampardaz - ماهنامه شبکه

مقدمه

امروزه به كارگيري الگوي رايانش ابري كه به روزترين و پيشرفته‌ترين فناوري در زمينه زيرساخت‌هاي فناوري اطلاعات به شمار مي‌رود، با برخورداري از قابليت‌هاي پوياي خويش، معمول‌ترين روش براي اشتراك گذاري و مدیریت منابع فناوری اطلاعات است كه در كشورهاي توسعه يافته جهان، زيرساخت‌هاي آن به شدت در حال توسعه و خدمات مبتني بر ابر نيز با سرعت، رو به گسترش است. 
رايانش ابري، يك تكنولوژي جديد و به عبارتي بهتر، يك نگرش صحيح در پروژه‌هاي سرمايه گذاري فناوري اطلاعات است كه علاوه بر كاهش شديد هزينه‌ها، عملكرد بهتر و قابليت‌هاي فراواني را به ارمغان آورده است. اين فناوري، راهي براي تغيير مدل‌هاي كسب و كار نبوده، بلكه همچون پديده اينترنت، انقلابي در زيرساخت‌هاي فناوری اطلاعات قلمداد مي‌شود كه معماري نويني را در توسعه، استقرار، اجرا و ارايه خدمات به همراه داشته است.

هم اكنون، شركت‌هاي بزرگي همچون مايكروسافت، گوگل و آمازون، علاوه بر ارايه نرم افزارهاي مبتني بر ابر، اعلام كرده‌اند كه اهداف آتي آنها، انتقال برنامه‌هاي كاربردي به محيط‌هاي ابري خواهد بود. برنامه‌هايي كه بر روي ابرها مستقر شده و به راحتي، همچون ابر، بر روي سرورهاي پيشرفته شناور هستند. پايگاه‌هاي داده ابري، تحول بزرگي را در تمركز داده‌ها و اطلاعات ايجاد نموده‌اند.
با گسترش روز افزون خدمات مبتنی بر ابر، بانک‌ها و مؤسسات مالی نیز به دلیل ماهیت ساختاری خویش، تمایل دو چندانی به بهره گیری از مزایای این فناوری پیدا کرده‌اند. به فراخور این گرایش، ایجاد یک محیط امن بانکداری در بسترهای ابری که مورد تأیید کارشناسان بانکی و همچنین متخصصان امنیت فناوری اطلاعات باشد، بیش از پیش نمایان است. توجه به بانکداری ابری، به خصوص در چشم انداز فراگير ديجيتالي خدمات بانکداری الکترونیک براي بهبود ايمني، كيفيت خدمات و كاهش هزينه‌های بانکداری، ضروري است. بنابراین نگاه جدی به این مقوله، ضمن ایجاد تعامل مناسب میان بانک‌ها باعث می شود تا نظام بانکی کشور به پتانسیل‌های لازم جهت تحول در ارایه خدمات نوین بانکداری با کیفیت بالا و هزینه‌های مقرون به صرفه نایل شود.

در این مقاله، پس از تعریف مفاهیم مهم و اساسی رایانش ابری؛ مسایل مرتبط با امنیت سیستم‌ها و تجهیزات بانکی، حفظ حریم خصوصی مشتریان و دست اندرکاران امور بانکداری، دسترسی و مدیریت امن حساب‌های بانکی، بر اساس استانداردهای ملی ایزو 27001 و 27002 بررسی گردیده و یک مدل جامع امنیتی برای نظام بانکداری که مبتنی بر رایانش ابری است، معرفی می‌گردد. یك مدل جامع امن براي سيستم بانکداری ابري كه ضمن رعايت تمامي نكات امنيتي، تكنيك‌هاي مورد استفاده آن نيز براي پياده‌سازي بهتر، به راحتي توسط كارشناسان، قابل فهم و درك باشد.

شایان ذکر است که اين مدل جامع امنیتی از بانکداری مبتني بر رایانش ابري، بيانگر رعايت موارد امنيتي و مصونيت از چالش‌هاي حفظ حريم خصوصي مشتریان است که ضمن لحاظ نمودن مواردی همچون حفظ اصالت داده‌ها، محرمانگي، يكپارچگي، حصول اطمينان از عدم انكار، ادغام و تركيب حساب‌های بانکی با يكديگر در بانک‌هاي مختلف، تأييد و تصديق اطلاعات، اعمال گواهينامه‌هاي امنيتي در ارتباطات، به كارگيري روش‌هاي احراز هويت، امضای ديجيتالي، نهان نگاري و رمزنگاري، مي‌تواند به عنوان الگويي در ارايه خدمات بانکداری ابری به مردم در نظر گرفته شود. مدلي كه علاوه بر تمركز روي «مشتری محوري»، درصدد است تا حفاظتي جامع و پيشگيرانه را از مخاطرات امنيتي، سرلوحه فعاليت‌هاي خويش قرار دهد.

آيا رايانش ابري مي تواند در بانکداری هم استفاده شود؟ 

از مهمترين موانع پيش روي نظام بانکداری کشور به شيوه‌هاي سنتي، مي‌توان به هزينه زياد و قابليت‌هاي ضعيف استفاده از آن اشاره نمود كه ضمن تحميل هزينه‌هاي گزاف به بانک‌ها، امكان بهره مندي از آن بسيار پايين بوده و در عمل، در بسياري از موارد، عليرغم تلاش‌هاي بسيار، شکایات بسیار زیادی را از سوی مشتریان به همراه داشته است.

در رايانش ابري، بانک‌ها مي‌توانند ضمن كاهش شديد هزينه‌ها، از طريق ادغام سيستم‌ها و تجهيزات سخت افزاري و به اشتراك گذاري آنها بر اساس نياز كاربران، يك محيط پويا را در ارايه خدمات بانکداری ايجاد نمایند كه علاوه بر مالكيت سيستم، هزينه‌هاي تعمير و نگهداري آن، تهيه نسخه‌هاي پشتيبان از اطلاعات و استخدام كارشناسان فني، به ارايه دهندگان خدمات ابري واگذار مي‌شود.
همزمان با رشد و گسترش اين فناوري، استانداردهاي مخصوص به آن نيز در حوزه بانکداری، در حال تدوين و اجرا است كه هدف آنها بيشتر بر روي چگونگي نگهداري سوابق تراکنش‌های مالی، نحوه نظارت بر مشتریان و کاربران، مديريت حساب‌های بانکی و نحوه همكاري مؤسسات مالی براي ارايه خدمات بانکیِ كارآمد و مؤثر و همچنين تحليل و بررسي قاعده مند داده‌هاي نظام بانکداری الكترونيك، متمركز شده است.

پيش بيني مي‌شود كه با حركت و انتقال نرم افزارهاي بانکی به الگوهاي مبتني بر رايانش ابري و مديريت آنها از طريق ابرها، انقلابي در راه انجام خدمات بانکداری به وقوع بپيوندد كه نتايج آن، امكان دسترسي به این خدمات را براي همگان و در همه جا فراهم ساخته و علاوه بر كاهش شديد هزينه‌ها، گام‌هاي اساسي براي بهره مندي از نظام الگومند بانکداری كه جهت رفاه حال مشتریان، با فناوري ادغام، همگام و همسو شده است، برداشته شود.

مدل‌هاي بانکداری ابري 

بانکداری ابري را مي‌توان بر اساس مدل‌هاي سرويس ابري و الگوهاي استقرار ابرها، به موارد مختلفي تقسيم بندي نمود.
بر اساس مدل‌هاي سرويس ابري، ارايه دهندگان خدمات بانکداری ابري به سه دسته تقسيم مي‌شوند:

1. برنامه‌هاي كاربردي در ابر (نرم افزار به عنوان يك سرويس - SaaS): در اين مدل، برنامه‌هاي بانکی از طريق يك رابط كاربري سبك مانند مرورگر وب، بر روي زيرساخت‌هاي ابري، اجرا مي‌شوند.

در اين نوع مدل از خدمات ابري، امنيت و حفاظت از حريم خصوصي، به عنوان بخشي جدايي ناپذير از SaaS ، به دريافت كنندگان خدمات ارايه مي‌شود.

2. سيستم عامل در ابر (پلت فرم به عنوان يك سرويس - PaaS ): اين مدل، توانايي استقرار يا به دست آوردن برنامه‌هاي نوشته شده با استفاده از زبان‌هاي برنامه نويسي و ابزارهاي پشتيباني آن را توسط ارايه دهنده خدمات ابري، به دريافت كنندگان ارايه مي‌دهد.

در اين نوع مدل، برنامه‌هاي كاربردي مورد استفاده، قابل پيكربندي و كنترل بوده و تلاش مي‌شود تا با مكانيزم‌هاي امنيتي اساسي در ارايه خدمات ابري مانند رمزگذاري اطلاعات، تأييد هويت و مجوزهاي لازم و همچنين در سطح برنامه‌هاي كاربردي، با تعيين ميزان دسترسي و كنترل آن، سازوكارهاي حفاظتي لازم براي تأمين امنيت و حفظ حريم خصوصي به عمل آيد.

3. زيرساخت در ابر (زيرساخت به عنوان يك سرويس - IaaS ): در اين مدل، ارايه پردازش، ذخيره سازي، كنترل محدود امور شبكه‌اي (مانند فايروال‌ها)، بعضي از منابع محاسباتي، اجرا و كنترل نرم افزارهاي دلخواه شامل سيستم عامل و برنامه‌هاي كاربردي، توسط دريافت كنندگان خدمات ابري، قابل تنظيم است.

در اين نوع مدل از خدمات ابري، توسعه دهندگان نرم افزارهاي بانکی، مسئول كامل حفاظت از امنيت و حفظ حريم خصوصي دریافت کنندگان خدمات، به شمار مي‌روند.

در مدل‌هاي استقرار رايانش ابري براي برنامه‌هاي بانکداری ابري نيز مي‌توان به موارد زير اشاره نمود:

* ابر خصوصي: زيرساخت ابري است كه تنها براي يك بانک اجرا شده و متعلق به آن مي‌باشد.

 در این نوع مدل، لحاظ نمودن نكات امنيتي و حفاظت از حريم خصوصي مشتریان، برعهده ارايه دهنده خدمات ابري است.

* ارتباطات ابري: زيرساخت ابري به اشتراك گذاشته شده توسط چندين بانک كه نگراني‌هاي مالی و امنيتي مشتركي مانند مأموريت‌ها، سياست‌ها، نيازمندي‌هاي امنيتي و ساير ملاحظات را دارند.

* ابر عمومي: زيرساخت ابري كه در دسترس عموم مردم يا يك گروه بزرگ از بانک‌ها بوده و متعلق به يك ارايه دهنده خدمات ابري است.

در اين نوع مدل از استقرار ابري، توسعه دهندگان نرم افزار و ارايه كنندگان خدمات بانکداری، مسئول كامل حفاظت از امنيت و حفظ حريم خصوصي مشتریان هستند.

به طور خلاصه، بايد اذعان داشت كه امنيت و حفظ حريم خصوصي، چيزي بسيار فراتر از اجراي دسترسي‌هاي كاربري و رمزهاي عبور بوده و به كارگيري و اعمال الزامات امنيتي، يك ضرورت بزرگ براي بانک‌ها است كه از اطلاعات حساس و حياتي برخوردار هستند.
با اجراي دقيق يك مدل مبتني بر ابر، مي‌توان بالاترين سطوح امنيت فيزيكي، شبكه‌اي، برنامه‌هاي كاربردي، داده‌ها و سيستم‌هاي داخلي را تضمين نمود كه استراتژي‌هايي همچون تهيه نسخه‌هاي پشتيبان از اطلاعات، روش‌ها و سياست‌هاي امن داخلي، شيوه‌هاي استاندارد تنظيمات امنيتي و صدور گواهينامه‌ها نيز در بطن آن گنجانده شده است. در این مدل، موارد مهمي همچون رمزنگاري اطلاعات و احراز هويت كاربران و مشتریان نيز به طور مرتب در حال اجرا است.

مسايل امنيتي و حريم خصوصي در بانکداری ابری 

در چند سال گذشته، تحقيقات فراواني بر روي مسايل امنيتي و حفظ حريم خصوصي در سيستم‌هاي اطلاعاتی بانک‌ها انجام شده است. انجمن‌های ملی و  بين‌المللي مختلفی نيز براي بررسي مسايل مرتبط با حفاظت از داده‌ها و امنيت در محيط‌هاي مالی تشكيل شده‌اند كه به طور عمده، بر روي امنيت در سيستم‌های بانکی و ارايه راه حل‌هاي امنيتي مشترك براي برقراري ارتباط داده‌ها، متمركز شده‌اند. این انجمن‌ها، طیف گسترده‌ای از مسایل امنیتی در خدمات بانکداری را مورد بررسی قرار داده و دستورالعمل‌های عملی نیز برای ایجاد و ارایه خدمات بانکداری امن منتشر کرده‌اند.

از آنجا كه امنيت و حفظ حريم خصوصي و همچنين حفاظت از اطلاعات مشتریان، در دسترسی امن به داده‌های مالی در ابر از بالاترين درجه اهميت برخوردار است، مي‌توان سه اصل مهم را براي اطمينان از حفظ حريم خصوصي، صحت محتوا و قابليت اعتماد، در نظر گرفت. اول اينكه، تمامي تراکنش‌ها و ارتباطات مالی بايد از طريق رمزنگاري توسط مالكان آنها، كنترل، محافظت، ذخيره سازي، انتقال و مورد دسترسي امن قرار گيرند. دوم اينكه، در ايجاد و نگهداري اطلاعات بايد اصالت محتوا و جامعيت داده‌ها با توجه به امكان سفارشي ساختن حفظ حريم خصوصي مشتریان در فرآيندهاي ادغام حساب‌های بانکی در نظر گرفته شود. و سوم، دسترسي و به اشتراك گذاری اطلاعات مالی بايد از طريق امضاي ديجيتال و فرآيندهاي صدور گواهينامه، جهت جلوگيري از تغييرات غيرمجاز در محتواي اطلاعات حساس مالی، صورت گيرد.

امنيت بانکداری ابري و الزامات حفظ حريم خصوصي 

اگرچه بعضي از نيازهاي امنيتي و حفظ حريم خصوصي در برنامه‌هاي بانکداری ابري به مدل سرويس يا استقرار ابري مورد استفاده، بستگي دارد وليكن به طور خلاصه، مهمترين اين موارد در زیر بیان می شود:

* ممكن است يك مشتری، حساب‌های بانکی متعددي در بانک‌هاي مختلف داشته باشد كه اطلاعات آنها، براي او حساس بوده و جزء حريم خصوصي وي قلمداد مي‌شود و مشتری با توجه به نگراني‌هايي كه دارد، نخواهد اطلاعات اين حساب‌ها فاش شده يا در دسترس افراد غيرمجاز قرار بگيرد. بنابراين، دسترسي به اطلاعات حساب‌ها بايد از طريق يك روال كنترل شده و بر اساس مجوزهاي لازم صورت گيرد.

* ممكن است يك بانک، مشتریانی در بانک‌های مختلف داشته باشد كه لازم است از طريق مكانيزم‌هاي احراز هويت، دسترسي آن به مدارك مشتریان امكان‌پذير شود. صحت اطلاعات نيز، پس از پايان بررسي حساب مشتری، بايد به تأييد بانک برسد.

* ذخيره سازي امن اطلاعات و تضمين يكپارچگي داده‌ها توسط بانک‌ها.

* در مواردي كه اطلاعات مالی در بانک‌هاي مختلف به اشتراك گذاشته مي‌شود بايد مالكيت این اطلاعات به صورت دقيق و شفاف مشخص بوده و مالك آن، تمامي الزامات امنيتي را در این خصوص به عمل آورد. مالك اطلاعات موظف است تمهيدات لازم را براي محافظت از اطلاعات در برابر دسترسي‌هاي غيرمجاز و يا سوء استفاده از اطلاعات مشتری از طريق روش‌هاي فيزيكي مانند توكن‌هاي احراز هويت كاربران سيستم بانکی و همچنين رمزنگاري اطلاعات به عمل آورد.

* براي ورود كاربران به سيستم‌های بانکی بايد از روش‌هاي صحت و تصديق هويت كاربران استفاده شود.

* استفاده از گواهينامه‌هاي SSL و پروتكل‌هاي رمزنگاري اطلاعات براي تأمين امنيت داده‌هاي در حال انتقال در طول شبكه‌هاي عمومي نظير اينترنت، توسط بانک‌ها باید اجرا شود.

* با استفاده از روش‌هايي همچون امضاي ديجيتال، نهان نگاري و رمزگذاري اطلاعات، بايد از عدم انكار اطلاعات توسط افراد دخيل در امر خدمات بانکداری جلوگيري نموده و تمامي افراد، ملزم به انجام تعهدات خويش گردند.

* در سيستم خدمات بانکداری، اطلاعات بايد از يكپارچگي و جامعيت به معناي حفظ دقت، صحت و قوام داده‌ها برخوردار بوده و از دستكاري غيرمجاز، مصون بمانند. همچنين محرمانگي اين اطلاعات نيز طبق استاندارد ایزو 27001 به معناي اينكه «اطمينان حاصل شود كه اطلاعات تنها در دسترس كساني است كه مجاز به دسترسي به آنها هستند» تضمين شود كه اين امر نيز، به كمك روش‌هاي رمزنگاري امكان پذير است.

* اطلاعات مالی بر اساس اصل دسترس پذيري امنيت، بايد در زماني كه به آنها نياز است، در دسترس افراد مجاز قرار گيرد.

* سيستم‌هاي رایانه‌ای كه اطلاعات مالی در آنها ذخيره و پردازش مي‌شود بايد از كنترل‌هاي امنيتي لازم برخوردار باشند و در برابر كمترين مخاطرات، همچون نوسانات و قطع برق، خللي در ارايه خدمات بانکی براي مشتریان ايجاد نگردد.

ارتقای سيستم‌ها و تجهيزات و همچنين خرابي‌هاي ناشي از فرسودگي سخت افزار، نتواند اختلالاتي را در ارايه خدمات به مشتریان ايجاد كند.

* سيستم‌هاي خدمات بانکداری، در فواصل زماني معين جهت اطمينان از صحت عملكرد و رعايت نكات امنيتي لحاظ شده، توسط كارشناسان مربوطه، مورد مميزي قرار گيرند.

* تهيه نسخه‌هاي پشتيبان از اطلاعات، بر اساس قواعد مشخص، توسط بانک‌ها صورت پذيرد.

* تمامي تعريف‌هاي جديد در سيستم بانکی از قبيل اضافه نمودن مشتریان يا كاربران سيستم، بايد بر اساس يك روش اصولي و قاعده مند و طبق ضوابط مشخصي كه از قبل توسط بانک وضع گرديده است، صورت گیرد.

* هر مشتری در سيستم بانکی بايد داراي شناسه کاربری (ID ) منحصر به فرد بوده كه رديابي فعاليت‌ها و اقدامات انجام شده توسط ارايه دهندگان خدمات بانکداری، از طريق آن شناسه صورت پذيرد. براي تعريف اين PID بهتر است از كدهاي يكتا همچون كد ملي به جاي كدهاي انتخابي كه ممكن است با ديگر بانک‌ها همخواني و/يا ناهمخواني داشته باشد و يا به كار بردن نام و نام خانوادگي كه در آن، افراد مشابهت‌هاي زيادي با يكديگر دارند، استفاده شود.

* در مواردي كه كاربران سيستم بانکی و دست اندركاران امر خدمات بانکداری، دچار اشتباه يا خطايي در روند ورود اطلاعات در سيستم بانکی و يا حذف ناخواسته اطلاعات از حساب مشتری مي‌شوند، بايد بانک با ديد باز با اين موارد برخورد نموده و ضمن دادن شهامت لازم، آنان را براي اعلام موارد اشتباه تشويق نمايد، چرا كه حساب مشتری بايد در تمام شرايط، حاوي اطلاعات صحيح و درستي از اطلاعات مشتری باشد. با آموزش اصولي كاربران، بايد از تكرار موارد اين چنيني جلوگيري نمود.

* طرح‌هاي رمزنگاري مورد استفاده توسط سيستم، در حين كارآمدي، بايد آسان به استفاده بوده و به راحتي نيز در تمام فرآيندهاي سيستمي جديد، قابل توسعه و گسترش باشد. بهتر است از طرح‌هايي كه به شدت وابسته به كليد خصوصي افراد هستند، جلوگيري شده و از الگوريتم‌هاي رمزنگاري مناسب استفاده شود.

* كنترل‌هاي امنيتي لازم براي هنگامي كه يكي از كاربران سيستم بانکی، تغيير شغل يافته و يا از سازمان اخراج مي‌گردد، اعمال گردد تا از افشا يا تغييرات ناخواسته و نامجاز در سيستم جلوگيري شود.

* امضاي ديجيتال يك ابزار بسيار مفيد براي ارايه صحت، صداقت و عدم انكار است. بايد از هويت امضا كننده جهت استراق سمع و موارد ديگر، حفاظت‌هاي لازم توسط بانک‌ها به عمل آيد.

* لازم است كه اطلاعات مالی در فرمت‌هاي خاصي تهيه شوند كه قابل استفاده در تمام سيستم‌هاي بانکی بوده و مشكلي به نام عدم انطباق اطلاعات در فرآيندهاي بانکداری، هرگز به وقوع نپیوندد.

* دسترسي به اطلاعات رمزنگاري شده در سیستم‌های بانکی، از طريق مكانيزم‌هاي رمزگشايي مبتني بر هويت و اخذ مجوز بر اساس كليدهاي خصوصي صورت گيرد.

* سرورها باید در مکان‌های ایمن نگهداری شوند که کنترل دسترسی به آنها به صورت امن صورت می‌پذیرد.

* رمزنگاری داده‌ها در حین ذخیره سازی و انتقال اطلاعات همواره در جریان باشد و هیچ فردی، قادر به دخالت در این امر نباشد.

* دسترسی‌ها، بر اساس مجموعه‌ای از کنترل‌های مبتنی بر نقش و یا سیاست‌های مبتنی بر ویژگی، شکل گرفته و اعمال شوند.

* سیاست‌های امنیتی لحاظ شده در بانکداری ابری، توسط پارامترهای قابل سنجش، در فواصل زمانی مشخص ارزیابی گردند.

* نگهداری طولانی مدت تمام تراکنش‌ها، عملکردها و اطلاعات مالی مشتریان.

* تمامی ارتباطات و فرآیندهای میان بانک‌ها باید به صورت امنی که از طریق الگوریتم‌های رمزنگاری، پروتكل‌ها و گواهينامه‌هاي امنيتي همچون SSL ، TLS و IPSec حاصل می‌شود، صورت بگیرد تا اطمینان حاصل شود که اطلاعات در حال انتقال، از شنود و دستکاری غیرمجاز در شبکه‌های عمومی، محفوظ هستند.

 نتیجه گیری

در اين مقاله، رويكردي روشمند براي بررسي الزامات امنیتی و حفظ حريم خصوصي در بانکداری ابري اتخاذ گردید. تحليل‌هاي مختصري از مخاطرات امنيتي كه مي‌تواند بانکداری ابری را تحت تأثير خويش قرار دهد، ارايه شد و راه‌هاي حفاظت از آنها به نحوی که در عين استفاده از فناوري‌هاي نوينی همچون رايانش ابري، خدمات بانکداری نيز به نحو مطلوبي انجام شود، ذکر گردید.

منبع: مقاله حفظ حریم خصوصی در بانکداری ابری، محمد مهدی واعظی نژاد- پشماره 44 نشریه بانکداری الکترونیک مرکز فابا.

لايهسوكتهايامن (SSL)و HTTP امن (S-HTTP):

بسياري از توليدكنندگان بزرگ محصولات اينترنت، توافق كرده اند كه از يك پروتكل رمزنگاري به نام پروتكل لايه سوكتهاي امن (Secure socket layer) كه توسطNetsacpe براي ارسال اسناد محرمانه از طريق اينترنت ايجاد شده بود، استفاده كنند. SSL از يك كليد خصوصي براي رمزنگاري داده هايي كه از طريق اتصال SSL ارسال مي شوند، استفاده می کند. Netscape Navigator و Internet explorer هر دو از SSL پشتيباني مي كنند و بسياري از وب سايتها از اين پروتكل براي گرفتن اطلاعات محرمانه از كاربر مانند شماره كارتهاي اعتباري استفاده نمايند.

اين پروتكل كه بين لايه هاي پروتكل سطح Application مانند http و پروتكل لايه Transport يعني TCP/IP قرار مي گيرد، براي جلوگيري از استراق سمع، تحريف كردن و جعل پيغام طراحي شده است . چون در زير پروتكل لايه Application قرارمي گيرد، مي تواند براي ساير پروتكلهاي لايه Application مانند FTP نيز به كار رود.

پروتكل ديگري براي ارسال ايمن داده ها روي وب، HTTP امن (Secure-http) مي باشد كه نسخه تغيير يافته اي از پروتكل HTTP استاندارد مي باشد. S-HTTP توسط شركت Enterprise integration technologies طراحي شد كه در سال ۱۹۹۵ شركت Verifone آن را خريداريکرد. در حالي كه SSL يك اتصال مطمئن بين يك مشتري (Client) و يك سرور ايجاد مي كند که در طول آن هر مقدار داده مي تواند به طور امن منتقل شود S-HTTP طوري طراحي شده است كه پيغامهاي جداگانه را به صورت ايمني ارسال مي كند. بنابراين SSL و S-HTTP را مي توان به ديد تكنولوژيهاي مكمل و نه رقيب يكديگر نگاه كرد. اين پروتكلها به مشتري و سرور اجازه مي دهند يكديگر و اطلاعات امني را كه به طور پياپي بين آنها جريان دارد، تصديق كنند . با استفاده از روشهاي رمزنگاري و امضاهاي ديجيتال اين پروتكلها:

• به مشتري و سرور اجازه مي دهند يكديگر را تصديق كنند.
• به دارندگان سايتهاي وب اجازه مي دهد دسترسي به سرورها، دايركت وريها، فايلها يا سرويسهاي خاصي را محدود سازند.
• اجازه مي دهند اطلاعات حساس (براي مثال شماره كارتهاي اعتباري ) بين مشتري و سرور مبادله شوند درحالي كه براي افراد ديگر غيرقابل دسترسي مي باشند.
• تضمين مي كنند كه داده هاي تبادل شده بين مشتري و سرور قابل اعتماد هستند (يعني نمي توانند بدون اينكه معلوم شود، به طور عمدي يا غيرعمدي تغيير كنند يا خراب شوند)

يك عنصر كليدي در برقراري ارتباطات امن در اينترنت از طريق پروتكلهاي SSL يا  S-HTTP گواهينامه هاي ديجيتال مي باشد كه در واقع بدون گواهينامه هاي ديجيتال پروتكلهايي مانند SSL و S-HTTP نمي توانند هيچ امنيتي را تضمين كنند .پروتكلهاي SSL و S-HTTP به منظور تبادل ايمن اطلاعات بين يك مشتري و يك سرور طراحي شده اند. مثلاً  هنگاميكه يك مشتري مي خواهد از طريق اينترن ت يك حساب بانكي جديد نزدبانك افتتاح كند، اطلاعاتي در مورد خود مانند نام، نام خانوادگي، آدرس، تلفن و غيره را به فرم الكترونيكي كه سرور بانك در اختيار وي قرارمي دهد، به بانك ارسال مي كند. واضح است كه اين اطلاعات بايد محرمانه باقي بمانند و براي اين كار از پروتكلهاي بالا استفاده مي شود. در حالي كه پروتكلهاي SSL و S-HTTP به منظور تبادل ايمن اطلاعات از هر نوعي بين يك مشتري و يك سرور طراحي شده اند پروتكلهاي STT و SET ويژه انجام عمليات بانكي و معاملات با كارت اعتباري طراحي شده اند.

مبادلاتالكترونيكيامن (SET) وتكنولوژيمبادلاتامن :(STT)

پروتكل مبادلات الكترونيكي امن (Secure Electronic Transactions) يك استاندارد باز براي پردازش معاملات كارتهاي اعتباري روي اينترنت مي باشد كه با همكاري Netscape، Microsoft، Tersia System،SAIC ،GTE ،Mastercard ،Visa و Version ايجاد شده است . هدف SET اين است كه معاملات با كارت اعتباري روي اينترنت با همان سادگي و ايمني كه SET در فروشگاهها انجام مي گيرند، باشد . براي حفظ محرمانه بودن معاملات طوري تقسيم مي شود كه فروشنده به اطلاعات كالاي مورد تقاضا، قيمت آن و اينكه آيا پرداخت آن تأييد مي شود، دسترسي دارد ، ولي دسترسي ب ه اطلاعات نحوه پرداخت مشتري راندارد، به طور مشابه صادركننده كارت اعتباري دسترسي به قيمت كالا را دارد ولي دسترسي به اطلاعاتي درباره نوع كالا را ندارد SET از گواهينامه هاي ديجيتال براي تصديق كردن صاحب كارت، تصديق اينكه فروشنده با موسسه اعتباري ارتباط دارد و غيره استفاده مي كند.

منبع: مقاله بسترهاي نرم افزاري تجارت و بانکداري الکترونيک-دكتر بيژن بيدآباد ، محمود اللهياري فرد

اطلاع‌رسانی و هشدارهای امنیت اطلاعات و ارتباطات1

TeslaCrypt   یا AlphaCrypt  (ورژن پیشرفته ی، CryptoLocker ; CryptoWall  )

جدیدترین بدافزار، باج افزار TeslaCrypt  لقب گرفته است، ورژن 2.0 این بدافزار قابلیت تقلید از CryptoWall  را دارد که اوایل امسال سیستم‌های گیمرها را مورد هدف قرار داد و از آنها درخواست پول در قبال نجات سیستمشان را نموده است.

در 6 ماه گذشته بدافزار فوق الذکر تعداد بسیاری از کامپیوترها را آلوده کرده است. فرآیند کارکرد به گونه ای است که هکرها نخست تهدید به نابود کردن اطلاعات فرد قربانی می‌کنند و اگر قربانی پول را نپردازد و حتی مبلغ را در صورتی که در مدت زمان مشخص پرداخت نکند مبلغ را افزایش می‌دهند.

روش فعالیت این بدافزار بسیار جالب می باشد. در ورژن جدید از هیچ رابط گرافیکی استفاده نمی‌کند که به کاربران اطلاع دهد فایل‌ها رمز نگاری شده است. بد افزار یک صفحه وب را در مرورگر کاربر باز می کند و پیغام خطایی نشان می دهد. پیغام به صورت طبیعی و دوستانه به نظر می‌رسد و به کاربر می گوید فایل‌ها به صور ت امن رمز نگاری شده است و کاربر باید سایت مربوط به رمزگشایی را باز کند و دستورات را برای باز گرداندن فایل‌ها دنبال کند.

بعد از آلوده شدن هیچ راه حلی تا به امروز برای بازیابی نمودن فایل‌های رمزنگاری شده توسط این تروجان به وسیله هیچ آنتی ویروسی ارائه نشده است. با وجود این که این جرم های اینترنتی در حال افزایش و به صورت حرفه ای و بر اساس مشتری مداری است، هیچ تضمینی برای این که کاربر در ازای پرداخت کلید رمزگشایی را دریافت کند وجود ندارد.

آنتی ویروس‌ها  این بدافزار را با مشخصات زیر شناسایی می کنند:

Trojan-Ransom.Win32.Bitman.

Trojan-Ransom.Win32.Bitman.tk,

MD5-hash: 1dd542bf3c1781df9a335f74eacc82a4

راه کارهای امنیتی

موارد ذیل  را را رعایت نمائید تا از آلوده شدن سیستم‌ها جلوگیری بعمل آید:

1.تحت هیچ شرایطی، ضمیمه ی ایمیلی از سمت ارسال کننده ناشناس باز نشود. (فرستنده می تواند از طرف فیسبوک یا linkdin یا از طریق invoice  بانکی باشد).

2. تحت هیچ شرایطی، لینکی از طریق ایمیل ناشناس باز یا کلیک نشود.

3. با توجه به اینکه هیچ راه حلی برای برای بازیابی نمودن اطلاعات وجود ندارد، از کلیه اطلاعات سیستم Backup تهیه نمایید.

4. در صورتی که در شبکه از فایل‌های Share استفاده می‌شود، برای هر کاربر یک پوشه ی Share ایجاد کنید که دسترسی read و write فقط متعلق به آن کاربر باشد و بقیه ی کابران فقط دسترسی  Read داشته باشند. (با این اقدام، از خراب شدن همه ی فایل ها جلوگیری می شود).

"بهترین راه برای مقابله با این بد افزار داشتن  Backup از اطلاعات سیستم ها می باشد"

محافظتازدادههابارمزنگاری

رمزنگاري در ساده ترين شكل، به طور سيستماتيك ترتيب عناصر يك پيغام (كلمات، حروف) را تغيير مي دهد تا براي همه بجز گيرنده مورد نظر غيرقابل درك شود. روشهاي رمزنگاري و محصولات گوناگوني كه ويژه كاربردهاي خاصي مانند پست الكترونيك يا معاملات كارت اعتباري هستند، وجود دارند.

• رمزنگاريمتقارن : در اين روش اطلاعات توسط فرستنده و گيرنده توسط کليدي واحد رمزنگاري و رمزگشايي مي شود، از اين رو به اين نوع از الگوريتمهاي رمزنگاري، رمزنگاري متقارن مي گويند.يکي از معايب اين نوع رمزنگاري در ارسال کليد محرمانه براي گيرنده پيغام جهت رمزگشايي آن است، زيرا ممکن است اين کليد در بين راه  توسط افرادي غير از گيرنده واقعي همراه با پيغام ارسالي سرقت شده و آنگاه اطلاعات، رمزگشايي شود.  محدوديت ديگر در روش رمزنگاري با کليد واحد در عدم امکان تصديق و مسئله قابل انکار بودن فرستنده پيغام مي باشد، به عبارت ديگر با اين روش چنانچه پيغام اصلي توسط فرد غير مجاز تغيير يابد و همچنين منشأ ارسال پيغام را نمي توان تشخيص داد.

• رمزنگارينامتقارن:  با توجه به محدوديتهاي امنيتي روش رمزنگاري متقارن، در اين روش براي رمزنگاري و رمزگشايي از يک جفت کليد عمومي و خصوصي استفاده مي شود، به طوري که، پيغام بعد از رمزنگاري توسط فرستنده به همراه کليد عمومي براي شخص مقابل ارسال مي گردد.  گيرنده با استفاده از کليد عمومي فرستنده وکليد خصوصي که نزد خود مي باشد اقدام به رمزگشايي پيغام مي نمايد.

برخی از انواعرمزنگاري:

• (Data Encryption standard) DES:

DES از يك رشته الفبا- عدد (Alpha numeric) به عنوان كليد استفاده مي كند تا پيغام را  رمزنگاري و رمزگشايي كند. اين روش در سال ۱۹۷۷ ابداع و به عنوان يك استاندارد پذيرفته شد .

در يك سيستم تك كليدي(متقارن) مانند DES، فرستنده وگيرنده هر دو از يك كليد براي رمزگذاري و رمزگشايي استفاده مي كنند. اين كمبودها باعث ابداع يك روش دو كليدي با نام RSA شد. اين روش به دليل مشکلات امنيتي مورد استفاده قرار نمي گيرد و جاي خود را به نسل جديدتر خود به نام  3 DES (Triple Data Encryption Standard) داده است.

•  RSA  ورمزنگاريبادوكليدعموميوخصوصي:

Drs Ron Rivest , Adi Shamir, Len Adelman يك روش نامتقارن به نام  RSA را ابداع كردند كه به جاي استفاده از يك كليد خصوصي براي رمزنگاري و رمزگشايي پيغامها، از يك كليد خصوصيو يك كليد عمومي متناظر آن استفاده مي كند. هر كدام از اين دو كليد براي رمزنگاري و رمزگشايي پيغامها به كار مي روند.

هر شخصي براي رمزنگاري پيغام از كليد عمومي گيرنده پيغام استفاده مي كند .اين كليد عمومي از طريق پست الكترونيك يا سرور كليدهاي عمومي قابل دسترسي است و چون تنها براي رمزنگاري و نه رمزگشايي پيغامهايي كه به گيرنده فوق ارسال مي شوند، استفاده مي شود، تبادل آن بدين طريق مانعي ندارد . پيغامي كه با كليد عمومي گيرنده رمزنگاري شود با كليد خصوصي وي كه تنها در دست خود اوست قابل رمزگشايي است . بنابراين از مجموعه اين كليدها مي توان استفاده كرد تا پيغامهاي امن را با هر كسي و بدون مشكل تبادل اين كليد رد و بدل كرد . اين روش حفاظت از داده ها را به خوبي انجام مي دهد ولي هنوز كاري براي تصديق هويت انجام نمي دهد. براي اطمينان از ارسال درست كليدهاي عمومي مي توان از گواهينامه هاي ديجيتال استفاده کرد. روش رمزنگاري جديدتري به نام PGP براي رسيدن به هدف صحت اطلاعات از امضاهاي ديجيتال نيز استفاده مي كند.

•  (Pretty Good Privacy) PGP :

اين روش توسط Phil Zimmerman ابداع شد وتركيبي از روشهاي IDE (International Data Encryption)  و RSA مي باشد PGP  همچنين مي تواند براي ايجاد امضاهاي ديجيتال از طريق رمزنگاري كاراكترهايي كه در انتهاي پيغام اضافه مي شوند، استفاده كند. اين كار اجازه مي دهد گيرنده پيغام را با امضاي آن مطابقت دهد و در صورتي كه حتي يك كاراكتر از پيغام عوض شده باشد اين مطابقت وجود نخواهد داشت و مشخص مي شود كه پيغام در مسير دستكاري شده است.

در حال حاضر PGP هم نام يك استاندارد رمزنگاري و رمزگشايي مي باشد و هم نام يك محصول نرم افزاري خاص براي پست الكترونيكي مي باشد.  این نرم افزار براي سيستم عاملهاي متداول تهيه شده است و پس از نصب plugin آن برنامه پست الكترونيكي موجود روي رايانه اضافه مي شوند. سپس مي توان بعد از يك بار توليد كدهاي عمومي و خصوصي، ارسال ايمن پيغامها را به راحتي آغاز كرد . آنچه كه PGP  منحصر به فرد مي كند اين است كه يك پيام مي تواند داراي چندين امضاي ديجيتال باشد يعني يك نامه مي تواند توسط بيش از يك شخص امضا شود و هر شخص ميزان اطمينان خود را بيان كند.

منبع: مقاله بسترهاي نرم افزاري تجارت و بانکداري الکترونيک-دكتر بيژن بيدآباد ، محمود اللهياري فرد

گواهينامههايديجيتال:

گواهينامه ديجيتال، ضميمه اي است كه به يك پيغام الكترونيكي اضافه مي شود و براي مسائل امنيتي استفاده مي گردد. براي مثال گواهينامه ديجيتال مي تواند تصديق كند كه فرستنده پيام همان كسي است كه ادعايش را مي كند يا مي تواند براي تأمين وسيله اي كه گيرنده بتواند با آن پاسخش را رمزگذاري كند، به كار رود . روش كار گواهينامه ديجيتال بدين صورت است كه فردي كه مي خواهد يك پيام رمز شده ارسال كند، از يك مرجع گواهينامه (certificate Authority) تقاضاي يك گواهينامه ديجيتال مي كند. سپس CA  يك گواهينامه ديجيتال رمز شده صادر مي كند كه شامل كليد عمومي متقاضي و برخي اطلاعات شناسايي ديگر است. CA كليد عمومي خودش را از طريق انتشارات كاغذي يا اينترنت در اختيار همگان قرار مي دهد.

گيرنده پيغام رمز شده از كليد عمومي استفاده مي كند تا گواهینامه ديجيتالي چسبيده شده به پيغام را رمزگشايي كند و تعيين كند كه توسطCA صادر شده است و سپس كليد عمومي فرستنده و اطلاعات شناسايي نگهداري شده در گواهينامه را به دست مي آورد. با اين اطلاعات گيرنده مي تواند يك پاسخ رمز شده بفرستد.

مسلماً نقش CA در اين فرآيند اساسي است زيرا به عنوان واسطه اي در ارتباطات دو گروه عمل مي كند. در شبكه بزرگ و پيچيده اي مانند اينترنت، اين مدل سه گروهه لازم است زيرا دو گروه خاص ممكن است نتوانند به تنهايي در مورد يك روش مورد اعتماد به توافق برسند ولي با اين وجود بخواهند يك ارتباط م طمئن داشته باشند بنابراين هر دو گروه به  CA اعتماد مي كنند و CA هويت و صداقت هر دو گروه را با امضا كردن گواهينامه هاي آنها تصديق مي كند و هر گروه به طور ضمني به گروه ديگر اعتماد مي كند. 

امضايديجيتال:

امضاي ديجيتال به اين صورت تعريف شده است: " داده اي كه به يك پيام پيوست شده است به نحوي كه گيرنده بتواند هويت منبع و صحت و جامعيت پيام را احرازكند."

كميسيون EU در پيشنهادهايي كه در مورد امضاي ديجيتال داده است، آن را اين گونه تعريف مي كند: يك امضا در شكل ديجيتال يا شكل الصاقي يا منطقي كه با داده اي تركيب، متصل يا داخل شده باشد به نحوي كه آن داده توسط صاحب امضا براي موافقت با محتويات آن داده ها ارائه شده باشد و خواسته هاي زير را در برگيرد :

الف- يكتا و منحصر به صاحب امضا باشد

ب- توانايي تأييد هويت صاحب امضا را داشته باشد.

ج- از اطلاعاتي ساخته شده باشد كه صاحب امضا بتواند روي منحصر به فرد بودن آن كنترل داشته باشد.

د- با داده هايي پيوند خورده باشد كه بتوان با آنها و از طريق يك روش مشخص، هرگونه تغيير در داده ها را كشف كرد.

 برای اطمينان بيشتر، يك امضاي ديجيتال نه تنها بايد نشان دهنده فرستنده منحصر به فرد آن باشد، بلکه بايد بتواند نشان دهد پيام مورد دستكاري قرارگرفته است يا خير ؟ براي اينكه تمامي شرايط امضاي ديجيتال محقق شود، لازم است افراد مشخص كنند الزامات قانوني نوشتن يك امضا چيست ؟ و چگونه قانوني مي شود ؟. امضاي الكترونيك بايد بر مبناي يك گواهينامه رسمي كنترل شده باشد . يعني گواهي بايد توسط يك مرجع تأييدكننده تهيه شده و به ضميمه امضا باشد، تا بتوان هويت شخص را تأييد كند، و اين كه اين گواهي براي چه دوره زماني معتبر است، و در ضمن منحصر به فرد باشد و محدوديتهاي استفاده از گواهي و مسئوليت مراجع تأييدكننده را بيان كند . اين موضوع امكان اعتماد هر كس را به گواهي تعيين هويت تماس گيرنده فراهم مي كند  و در نهايت مشخص مي شود كه فردي كه در حال استفاده از اسم مستعار تأييدشده اي است، قابل شناسايي مي باشد. اين گواهي ممكن است اطلاعاتي را نيز ارائه كند . به عنوان مثال اجازه ديدن تعهدات مالي را بدهد و يا از طرف كارفرما اجازه شركت در قرارداد را داشته باشد.

در مجموع براي آنكه يك امضاي ديجيتال به رسميت شناخته شود لازم است توسط يك مرجع تأييدكننده با مشخصات زير مورد گواهي قرارگيرد:

الف- قابليت اطمينان آن اثبات شود.

ب- سريع فعاليت كند و امكان لغو آن محفوظ باشد.

ج- هويت را گواهي كند و تعداد اشخاص مورد تأييد مشخص باشد.

د- كارمندان صاحب صلاحيت، كارآزموده و منظم داشته باشد.

ه- از سيستمهاي امنيت و ضد تقلب و جعل استفاده كند.

و- صاحب اعتبار باشد.

ز- سوابق تمامي تأييد صلاحيت شدگان را براي دوره هاي زماني مشخص نگهداري كند.

مراجعصدورگواهينامهديجيتال :(CA)

به رغم رمزنگاري اطلاعات توسط فرستنده و ارسال كليد عمومي جهت رمزگشايي، يكي از نقاط ضعف كليد عمومي در اين است كه هويت فرد ارسال كننده پيغام قابل تشخيص نمي باشد به طوري كه پيغام ممكن است در مسير ارسال به سرقت رفته و اطلاعات مورد نظر رمزگشايي و مورد سوء استفاده قرار گيرند . و يا اينكه اطلاعات ديگري را براي گيرنده ارسال نمايد . از اين رو فلسفه وجودي مراجع صدور گواهينامه ديجيتال در جهت افزايش ضريب ايمني در محيط اينترنت مي باشد . مراجع صدور گواهي ديجيتال قبلا از طريق كانال امني كليد عمومي را در اختيار افراد و سازمانها قرار مي دهند، و هرگاه پيغام رمز شده همراه با كليد عمومي فرستنده به مرجع صدور گواهي ارسال گردد، آنگاه هويت فرد صادر كننده كليد عمومي تشخيص و صحت اطلاعات تأييد و آن را امضا مي كند كه اين فرآيند را گواهي مي گويند، از اين رو گيرنده اطلاعات هويت فرستنده ، صحت و اصالت پيغام را تشخيص مي دهد.گواهي ديجيتال مي بايست از استانداردي به نام X509 پيروي نمايد . هر گواهي داراي اطلاعات شماره سريال، تاريخ اعتبار، اطلاعات كاربر، كليد عمومي و .........مي باشد.

انواع مراكز صدور گواهينامه ديجيتال :

1. مركز صدور گواهي ريشه : كه وظيفه آن صدور گواهي ديجيتال براي مراكز صدور گواهي مي باشد.
2. مراكز صدور گواهي ميانه : كه از مركز صدور گواهي ريشه جهت صدور گواهي براي افراد مجوز دارند.
3. مركز ثبت نام گواهي ديجيتال : كه مراكز درخواست صدور گواهي ديجيت ال به آنها مراجعه مي نمايند.

مراكز صدور گواهي ديجيتال مي بايست مانند دفترخانه هاي اسناد رسمي داراي مجوز از قوه قضاييه باشند.

منبع: مقاله بسترهاي نرم افزاري تجارت و بانکداري الکترونيک-دكتر بيژن بيدآباد ، محمود اللهياري فرد

ارتباطات اينترنتي مبتني بر TCP/IP به عنوان يك پروتكل زيربنايي است  ولی TCP/IP و HTTP با در نظر گرفتن مسائل امنيتي طراحي نشده اند و بدون استفاده ازنرم افزارهاي خاص تمام ترافيك اينترنت به صورت قابل  رويت منتقل مي شود و هر كسي كه ترافيك را مانيتور كند مي تواند آن را بخواند . مرتكب شدن چنين حمله اي با استفاده از نرم افزارهاي packet sniffing موجود، نسبتًا ساده است . اين بدين علت است كه اينترنت رسماً يك شبكه باز (Open network) است. براي مثال شماره كارتهاي اعتباري افراد هنگامي كه از آنها براي خريد از طريق اينترنت استفاده شود به سادگي مي تواند در دسترس ديگران قرار گيرد مگر آنكه تدبيري براي محافظت از آنها اتخاذ شود و اطلاعات آنها به صورت امن منتقل شود. براي يك ارسال امن بايد نكات زير رعايت شود:

• اطلاعات تنها قابل دسترسي براي فرستنده و گيرنده باشد(محرمانه بودن(Privacy))
• اطلاعات در طول زمان ارسال تغيير نكرده باشد(صحت(Integrity))
• گيرنده مطمئن شود كه اطلاعات از فرستنده مورد نظر رسيده است (اصليت (Authenticity))
• فرستنده مطمئن شود كه گيرنده حقيقي و موثق است(غير ساختگي بودن(Non- fabrication))
• فرستنده نتواند منكر ارسال اطلاعاتي كه مي فرستد بشود .  (غيرقابل انكار(Non- reputation))

براي رسيدن به اهداف مذکور لازم است از روشهاي رمزنگاري، گواهينامه هاي ديجيتال و پروتكلهاي امنيتي استفاده كرد .

منبع: مقاله بسترهاي نرم افزاري تجارت و بانکداري الکترونيک-دكتر بيژن بيدآباد ، محمود اللهياري فرد 

ابزارهای جدیدی همانند IDS و IPS و Honeypot ها روشهایی هستند که افراد برای امنیت شبکه خود استفاده می کنند. شرکتها هزاران دلار خرج ابزارهای جدید امنیتی میکنند اما این در حالی است که یک اصل فراموش شده دفاع از روترهای مرزی خود میباشد.
اگر چه خیلی از افراد فکر میکنند که روترها نیاز به محافظت کردن ندارد که این خود کاملا اشتباه است. مشکلات زیاد امنیتی زمانی اتفاق می افتد که یک DEVICE دارای نقاط آسیب پذیر است.
بعضی از اطلاعات درباره مشکلات امنیتی در روترهای سیسکو پیدا میشود که می توانیم این موارد را به عنوان Exploiting Cisco Routers در سایت http://www.securityfocus.com/infocus/1734 پیدا کنیم.
در این مقاله قصد داریم 8 روش به حداقل رساندن یکسری مشکلات را با خاموش کردن سرویس های غیر کاربردی و اعمال کردن یکسری کنترل دسترسی و اعمال کردن بعضی از گزینه های امنیتی موجود در روترهای سیسکو را با هم یاد بگیریم:

1. کنترل دسترسی به روتر
2. محدود کردن دسترسی Telnet به روتر
3. بلاک کردن پکتهای کلاهبردار و بد خواه (Spoof/Malicious )
4. محدود کردن SNMP
5. رمز گذاری همه password ها
6. غیر فعال کردن سرویس های که استفاده نمیشوند
7. اضافه کردن بعضی گزینه های امنیتی
8. log گرفتن از همه چیز

1. کنترل دسترسی به روتر
اولین چیزی که انجام میدیم اعمال کردن یکسری قانونها برای محدود کردن دسترسیهای بیرونی به بعضی از پورتهای روتر است. شما همه پورتها رو میتونید بلاک کنید ولی همیشه این کار نیاز نیست . در زیر چند پورت را در برابر بعضی از حملات شناخته شده را محافظت میکنیم و دسترسی به این پورتها رو محدود میکنیم.

تذکر: $yourRouterIP آدرس روتر شماست int x0/0 اینترفیس خارجی شما است. این قرارداد برای کل مقاله استفاده میشود.

2.محدود کردن دسترسی Telnet به روتر

telnet پروتکل زیادی امنی برای استفاده نیست .اما اگر شما واقعا نیاز به استفاده از اون را داشته با شید ( که شما باید همیشه از ssh استفاده بکنید). شما ممکن بخواهید دسترسی به telnet را محدود کنید (به خاطر بسپارید که ترافیک telnet بصورت رمزگذاری نشده است) .بهترین روش برای انجام دادن این کار استفاده از یک access-list استاندار و دستور access-class می باشد

تذکر: 192.168.1.1 ادرسی است که اجازه telnet کردن به روتر را دارد.

3. بلاک کردن پکتهای کلاهبردار و بد خواه (Block Spoof/Malicious packets)
شما نباید اصلا به آدر سهای ip loopback/reserved اجازه بدید که از اینترفیس داخلی به اینترفیس خارجی برسند و همچنین شما میتونید آدرسهای broadcast و multicast را رد کنید

4. محدود کردن SNMP
SNMP باید همیشه محدود بشه. مگر اینکه بخواین به یکسری افراد بدخواه اطلاعات زیادی در مورد شبکه خود بدهيد

اگر هم نمیخوایند از SNMP استفاده کنید آن را غیر فعال کنید

5. رمز گذاری همه password ها

یکی از مهمترین کارهایی که باید انجام بدهید محافظت کردن از همه کلمه های عبور خود با استفاده از یک الگوریتم قوی که امکان دارد . کلمه عبور در حالت exec mode که مجوز دسترسی به ios روتر را میدهد میتواند با استفاده از MD5 که یک روش رمزگذازی قوی است رمزگذاری شود.به صورت زیر:

همه کلمه های عبور دیگر روتر می توانند با استفاده از ااگوریتم Vigenere cipher که الگوریتم قوی نیست میتواند رمزگذاری شود هر چند که به شما کمک میکند .
با دستور زیر شما میتوانید تمام password های موجود در سیستم را رمزگذاری کنید.

6. غیر فعال کردن سرویس های که استفاده نمیشوند
6.1. عیر فعال کردن Chargen ,Echo و discard

6.2. غیر فعال کردن finger

6.3. غیر فعال کردن رابط http

6.4.غیر فعال کردن ntp (اگر استفاده نمیکنید)

7. اضافه کردن بعضی پارامترهاي امنیتی

7.1.غیر فعال کردن مسیریابی مقصد

7.2. غیر فعال کردن Proxy Arp

7.3 . غیر فعال کردن redirect های ICMP

7.4.غیر فعال کردن Multicast route Caching

7.5. غیر فعال کردن CDP

.7.6. غیر فعال کردن broadcast مستقیم.( در مقابله با حمله های Smurf محافظت میکند مثل حمله های DOS )

8.ثبت کردن همه چیز

در آخر شما باید همه چیز را در داخل یک log server بیرونی ثبت کنید .و همه چیزهای سیستم خود را ثبت کنید و بعدا آنها را آنالیز کنید.

192.168.1.10 ادرس log server شما میباشد( ان را به عنوان یک syslog server تنظیم شده است).

نتیجه نهایی:
با همین چند روش ساده شما میتوانید به روتر خود امنیت زیادی رو اضافه کنید و امنیت شبکه خود را افزایش دهید و در مقابله حملات مقابله کنید.
با یک مثال شما می توانید نتیجه اسکنر nmap قبل و بعد از اعمال این تنظیمات ببینید
قبل از تنظیمات:

بعد از تنظیمات:


bash-2.05b# nmap -P0 -O 192.168.1.1

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Warning: OS detection will be MUCH less reliable because we did not find at least 1
open and 1 closed TCP port
All 1601 scanned ports on (192.168.1.1) are: filtered
Too many fingerprints match this host for me to give an accurate OS guess

Nmap run completed -- 1 IP address (1 host up) scanned in 403 seconds

منبع: ciscoinpersian

به طور كلي حمله هاي امنيت به ويژه در موضوع احراز هويت را مي‌توان به دو دسته:

1. حمله سرقت اطلاعات محرمانه به صورت برون خطي (Offline Credential Stealing Attacks)
2. حمله سرقت از كانال اينترنتي (online Channel - breaking Attacks)

هدف حمله نوع اول يعني حمله سرقت اطلاعات محرمانه به صورت برون خطي جمع آوري اطلاعات محرمانه مربوط به ورود كاربران در يك سيستم اينترنتي است. جمع‌آوري اطلاعات چه با نفوذ به سيستم شخصي كاربر كه به طور امن و استاندارد محافظت نشده است. چه با فريب كاربر تا به طور ارادي اطلاعات خود را به مهاجم ارسال كند، انجام مي‌شود.

حمله نوع دوم يعتي حمله سرقت كانال اينترنتي توسط يك MITM يا Man-In-The-Middle عمل مي‌كند.در اين نوع حمله، مهاجم به جاي اينكه سعي در بدست آوردن اطلاعات محرمانه كاربر داشته باشد، به طور محرمانه‎‌اي پيام‌هاي بين Client و Server را استراق سمع كرده و خود را به جاي Server اصلي در مقابل كلاينت و نيز به جاي Client در مقابل Server جا مي‌زند.

در يك تقسيم بندي ديگر، انواع حملاتي كه احراز هويت، محرمانگي را حوزه پرداخت الكترونيكي به خطر مي‌اندازد، نام برد:

• حمله كركرهاي پسورد (Password Crackers):

در اين حمله، مهاجم به دو روش زير اقدام به شناسايي رمز عبور كاربران مي‌نمايند:

1. حمله بروت فورس (Brute Force): در اين حمله، مهاجم به صورت تهاجمي تمامي جايگشت‌هاي ممكن و يا به عبارتي تركيب‌هاي ممكن يك رمز عبور چند رقمي را يافته و تك تك آن‌ها را تا پيدا كردن رمز عبور اصلي كاربر بررسي مي‌كند.
2. حمله ديكشنري (Dictionary Attack): در اين حمله، مهاجم تمامي تركيب‌ها و رشته‌هاي متداول و معمول كه كاربران به عنوان رمز انتخاب مي‌كنند را در يك فرهنگ لغات جمع‌آوري مي‌كند و براي پيدا كردن رمز عبور كاربر، تك تك رمز‌هاي عبور ديكشنري خود را براي يافتن رمز‌هاي عبور چك مي‌كند. اين نوع حمله هم در حالت برون خطي و هم در اينترنت مي‌تواند اتفاق بيفتد.

البته بايد اشاره نمود كه استفاده از اين دو روش در سيستم‌‎هاي پرداخت الكترونيكي امروزي كاربرد چنداني ندارد، زيرا سيستم‌هاي كنوني پس از چند بار ورود رمز اشتباه، اجازه ورود مجدد را از كاربر مي‌گيرد تا خود كاربر به سرويس‌دهنده مراجعه كند.

• حمله فيشينگ (Phishing): معمول ترين حمله راه دور در برابر سرويس‌هاي اينترنتي، فيشينگ است. فرد استفاده كننده از اين روش را فيشر مي‌نامند. در اين روش، فيشر در ابتدا يك وب سايت جعلي دقيقاً مشابه وب سايت اصلي طراحي كرده، به طوري كه كاربران هيچ شكي نسبت به وب سايت و سرور جعلي نمي كنند. سپس با ارسال پست الكترونيكي فريب آميز به كاربران وانمود مي كند كه مدير سيستم مورد نظر بوده و درخواست ورود مشتري به حساب خود و انجام عملياتي در صفحه شخصي خود از طريق لينكي كه خود فيشر تنظيم كرده مي نمايد. در صورت فريب خورد كاربر، نام كاربري و رمز يكبار مصرف وي براي مهاجم فاش خواهد شد. مهاجم از اطلاعات استفاده مي كند تا رمز عبور اصلي كاربر را بيابد.
• حلمه فارمينگ (Pharming): اين حمله به منظور تغيير ترافيك وب‌سايت اصلي به يك وب سايت جعلي ديگر است. اين حمله با دست كاري سرويس دهنده سرويس نام دامنه (DNS) كه در اصطلاح به سمي كردن سرويس DNS كاربر معروف است انجام مي شود. كاربر به تصور اينكه وارد وب سايت اصلي مي شود وارد وب سايت جعلي توليد شده توسط مهاجم شده و اطلاعات ورود خود را وارد مي كند و انگاه فرد مهاجم به راحتي مي تواند از اين اطلاعات سوء استفاده كند.
• حمله فريب دهنده سرور (Server Spoofing Attack):‌در اين حمله سرور متخاصم A نقش كلاينت B را بازي مي كند و تلاش مي كند به سرور اصلي D كه كلاينت B در آن حساب دارد وارد شود. بعد از برقراري ارتباط، A عدد تصادفي (ذخيره شده در D به عنوان پرسش در روش احراز هويت پرسش /پاسخ) را از D دريافت كرده و ارتباط خود را با آن قطع مي كند. در مرحله بعد A تلاش مي كند تا كاربر را توسط فيشينگ متقاعد كند به سيستم او وارد شده تا بتواند رمز عبور يكبار مصرف مربوط به آن عدد تصادفي را بدست آورد. در مرحله آخر A به عنوان كلاينت B مي تواند براحتي با رمز پوياي بدست آورده، به سرور D وارد شده و به حساب كاربر دست پيدا كند.
• حمله كشف فايل رمز عبور (Password File Compromise Attack): در اين حمله مهاجم به روش هاي مختلف سعي در شكستن سرور مي كند تا بتواند فايل رمز عبور موجود در سرور كه شامل اطلاعات تاييد رمز عبور مشتريان است را بدست آورد. سپس با حمله ديكشنري و حملات ديگر سعي در كشف رمز عبور اصلي كاربران مي كند.
• حمله شولدر سرفينگ (Shoulder Surfing Attack): مهاجم در اين حمله سعي مي كند كه بتواند هر رسته عددي يا رمز عبوري كه كاربر در صفحه نمايش وارد مي كند را از طرق مختلف ببيند. در ساده ترين حالت اين حمله با نگاه كردن از بالاي سر (Shoulder) به كاربري كه در پشت رايانه خود نشسته است انجام مي شود. اين حمله در مكان هاي عمومي مانند كافي نت ها راحت تر انجام مي شود. حتي مهاجم مي تواند با دوربين هاي مخفي تمام حركات ضربه كليد كاربر را در صفحه كليد رايانه خود ثبت كند و بعداً اين تصاوير را براي كشف اطلاعات وارد شده كاربر مورد استفاده قرار دهد.
• تروجان ربودن رمز عبور (Password Stealing Trojan): در اين حمله يك برنامه شامل كدهاي متخاصم (نوشته شده توسط مهاجم) روي كامپيوتر كاربر نشسته و خود را نصب مي كند. سپس عمليات محول شده توسط مهاجم را اجرا مي كند. امروزه انواع مختلفي از اين برنامه هاي مخرب وجود دارد كه دو نمونه از آن ها به شرح ذيل مي باشد:

1. ثبت كننده كليد: اين برنامه تمامي ضربات كليد در صفحه كليد رايانه كاربر را ضبط و ذخيره مي كند و سپس براي مهاجم ارسال مي كند.
2. تروجان هدايت كننده (Trojan Redirector): زماني كه اين برنامه فعال مي شود ترافيك شبكه مربوط به كاربر را به سرور مهاجم هدايت مي كند. اين برنامه كاربر را به وب سايت هاي تقلبي هدايت مي كند.

• استراق سمع (Interception): يك تهديد امنيتي براي خط اينترنتي كاربر محسوب مي شود كه مهاجم از راه دور به كمك روش هاي مختلف مي تواند كليه بسته هاي اطلاعاتي رد و بدل شده بين كاربر و سيستم را از طريق خط اينترنت كاربر استراق سمع كند. پس از اين كار، مهاجم مي تواند با يافتن اطلاعات ورود كاربر از اين بسته هاي اطلاعاتي، اقدام به سوء استفاده نمايد.

 منبع: امنيت در تجارت الكترونيك از ديد مشتريان: تهديدها و راهكارها - دكتر پيام حنفي زاده

هريك از اين ابعاد و خدمات (مستقل از هم‌پوشاني برخي از آنان) توسط تعدادي مكانيزم و رويكرد فراهم مي‌گردد. اين رويكردها در مواردي تنوع بسياري دارند كه حسب مورد و موضوع كاري بايستي انتخاب گردند.

حفظ امينت زيرساخت‌هاي حياتي جامعه از يك طرف و حفظ حريم خصوصي از طرف ديگر دو نقطه‌اي هستند كه تنوعي از نيازهاي امنيتي مورد نياز در حوزه پرداخت الكترونيك را در پاره‌خط ترسيمي بين اين دو نقطه انتهايي را در خود جاي مي‌دهند.

نقطه ربط اعتماد و امنيت در سطح بانكداري الكترونيكي، كاربرد مكانيزم‌هاي مطرح شده در امينت فضاي تبادل اطلاعات در بناي بخش فني اعتماد مي‌باشد. از كليدي‌ترين نيازها در حوزه مذكور؛ تضمين تعلق شناسه مدعي به صاحب واقعي آن است. اين تعلق قرار است تضمين انجام تعهدات مورد توافق در يك پرداخت الكترونيكي را فراهم نمايد. زيرساختي كه تعلق شناسه(هاي) مدعي را به صاحب آن تضمين مي‌كند بايستي امكان تراكنش امن را براي افراد فراهم نمايد.

اميد است كه هدف و تلاش ما در ارائه مجموعه محتوي‌هاي مرتبط با ساختار امنيتي در محصولات بانكداري الكترونيك مقبول خوانندگان عزيز و فعال در اين حوزه واقع گردد. پذيراي نقطه‌نظر اصلاحي و تكميلي شما عزيران هستيم.

سپاسگزاريم