فرز-در امنیت شبکه‌های کامپیوتری با دو مساله ایمن‌سازی و ارزیابی شبکه روبه‌رو هستیم.

در فرآیند ایمن‌سازی، سعی در انتخاب توپولوژی مناسب، به‌کارگیری نرم‌افزارها و پروتکل‌های ایمن و در عین حال کارا به منظور حداقل کردن آسیب‌پذیری‌ها و رخنه‌های امنیتی بالقوه در شبکه داریم. در ارزیابی امنیتی، میزان امنیت حاصل شده در فرآیند ایمن‌سازی، سنجیده می‌شود. در ارزیابی امنیتی شبکه‌، آنچه که برای حمله به یک شبکه مورد استفاده مهاجمان می‌تواند قرار گیرد مثل دسترسی فیزیکی، آسیب‌پذیری‌های اجزای بکار رفته در شبکه و ضعف‌های سیاست امنیتی و تشکیلات و روش‌ها، ارزیابی می‌شوند. در این قسمت تهدیدات (انگیزه‌های حمله ) و آسیب‌پذیری‌های شناخته شده در مورد یک شبکه و سیستم‌های کامپیوتری بررسی می‌شوند. حوادث امنیتی مرتبط با تعداد زیادی از تهدیدات از وجود آسیب‌پذیری‌های شناخته شده استفاده می‌کنند.
ارزیابی امنیتی شبکه‌های کامپیوتری را باید فرآیندی مداوم‌، مهم و حیاتی در کنار فرآیند ایمن‌سازی شبکه‌های کامپیوتری قلمداد کرد. ارزیابی امنیتی نسبت به ایمن‌سازی از پیچیدگی بسیار زیادی برخوردار است. پیچیدگی ارزیابی امنیتی، هنگامی‌ که با دغدغه صاحبان شبکه‌ها مبنی بر وارد نشدن خطرجدی به شبکه (خصوصا در مورد حملات DoS)، همراه می‌شود، چند برابر می‌شود.
علاوه بر این، بحث آسیب‌پذیری‌های جدید کشف شده و به روز کردن پایگاه داده آسیب‌پذیری‌ها از مشکلات همیشگی ارزیابی امنیتی خواهد بود. در ارتباط با ارزیابی امنیتی مستنداتی مانند پیش نویس رهنمودهای تست امنیتی شبکه NIST راهنمایی معیارهای امنیتی برای سیستم‌های فناوری OSSTMM، روش ارزیابی امنیتی شبکه اطلاعات وNIST روش ارزیابی امنیت پیشنهاد شده توسط موسسه SANS، موجود هستند. البته در این مستندات به مسائل فنی ارزیابی به‌طور دقیق پرداخته نشده‌، و تنها مسائل به صورت کلی و بدون ذکر چگونگی انجام آنها بیان شده اند. ممکن است یک سازمان به دلایل امنیتی متمایل به استفاده از روش خود ارزیابی نباشد، چرا که در ارزیابی امنیتی به‌وسیله یک تیم خارج از سازمان اطلاعات مربوط به وضعیت امنیتی شبکه در اختیار افراد خارج از سازمان قرار می‌گیرد که خطرات احتمالی خاص خود را به همراه دارد. لذا در صورت ارزیابی امنیتی شبکه یک سازمان توسط یک تیم خارج از سازمان‌، باید به محرمانه بودن اطلاعات استخراجی از وضعیت امنیتی شبکه تاکید فراوان شود و جنبه‌های حقوقی آن در قرارداد ذکر شود. یکی ازشیوه‌های ارزیابی امنیت استفاده از فراهم‌ آوردگان سرویس‌های امنیتی مدیریت شده قراردادی، OMSS، است. در این روش سرویس‌های امنیتی سازمان به‌وسیله سازمانی دیگر ایجاد و مدیریت می‌شوند. استفاده از روشOMSS موجب کاهش هزینه‌ها و دسترسی به افراد خبره در زمینه امنیت می‌شود. این سرویس‌ها شامل ارزیابی‌های امنیتی و تست‌های نفوذ نیز هست‌. روش‌هایی که در این گونه ارزیابی‌های امنیتی به کار گرفته می‌شوند کاملا تخصصی و با استفاده از ابزارهای اختصاصی و تجاری است‌. شرکتCSS یکی از شرکت‌هایی است که چنین سرویسی را ارائه می‌کند. این شرکت دارای استاندارد سطح SO I در زمینه ارزیابی امنیت شبکه است و از ابزاری با نامHydra Expert Assessment Technology استفاده می‌کند.
بنا به گزارشCERT در سال حداقل شصت درصد سازمان‌ها نظارت بر مرزهای شبکه خود را از این طریق انجام خواهند داد. در مقابل شیوه ارزیابیOMSS که توسط شرکت‌های طرف قرارداد سازمان انجام می‌شوند و نیاز به دانش فنی بالا دارند، بعضی سازمان‌ها از شیوه‌های خودارزیابی استفاده می‌کنند. این شیوه به‌دلیل محرمانه بودن فعالیت‌های سازمان‌، توسط بخشIT سازمان و با ابزارهای عمومی‌ و غیراختصاصی صورت می‌گیرد. موضوع مهم دیگری که در ارزیابی باید مد نظر قرار گیرد، اثرات مخرب احتمالی است که ممکن است در طول ارزیابی به شبکه وارد شود. در ارزیابی آسیب‌پذیری‌هایی که به طور مستقیم از خود آسیب‌پذیری استفاده می‌شود ممکن است خساراتی به شبکه وارد شود، مثلا ممکن است سیستم مورد ارزیابیCrash کند، وAccount گذرواژه مدیر شبکه شکسته شود و یا یک Backdoor در سیستم ایجاد شود.
لذا این گونه موارد باید به اطلاع صاحبان و مدیران شبکه رسانده شود و با هماهنگی و توافق آنها ارزیابی انجام شود. قبل از انجام هر گونه ارزیابی هدف از انجام ارزیابی و گروه ارزیابی‌کننده و اینکه چه مواردی از ارزیابی امنیتی مدنظر است‌، باید مشخص شود.
این موارد و هم چنین نتایج ارزیابی باید به‌طور دقیق مستندسازی شوند. در واقع سه مرحله تصمیم گیری، انجام ارزیابی امنیتی و مستندسازی برای یک فرآیند ارزیابی می‌توان تصور کرد‌. مرحله مستندسازی به‌طور همزمان با مرحله تصمیم‌گیری و انجام ارزیابی انجام می‌شود و نتایج آنها به‌طور کامل مستند می‌شود. در مرحله تصمیم گیری هدف از انجام ارزیابی و هم چنین موارد ارزیابی مشخص می‌شود. در این مرحله میان تیم ارزیابی‌کننده و سازمان قرارداد بسته می‌شود. به‌طور کلی توافق میان سازمان و گروه ارزیاب به‌طور مشخص بیان و مستندسازی می‌شود. از آنجا که در ارزیابی امنیتی شبکه از ابزارهای حمله نیز استفاده می‌شود یا یک حمله شبیه سازی می‌شود که ممکن است خلاف قانون باشد، لذا نیاز است تا در متن قرارداد یک اجازه مکتوب برای انجام عملیات ارزیابی که با مدیر و صاحب شبکه توافق شده است‌، تهیه شود. به‌طور کلی در قرارداد موارد زیر باید قید شود :
آدرسها یا گستره‌هایی که قرار است تست شوند.
میزبان‌هایی که نباید تست شوند.
مطلع شدن سازمان از نوع عملیات ارزیابی و اثرات آن توسط گروه ارزیاب.
لیستی از تکنیک‌های تست قابل قبول (مثل مهندسی اجتماعی یا وoSD) و یا ابزارهای قابل قبول ذکر این موارد در قرارداد بسیار مهم است‌.

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: