m_homaei
عضو جدید
امنيت اطلاعات در شبكه هاي محلي؛ گذشته متزلزل، آينده متحول
امنيت اطلاعات در شبكه هاي محلي؛ گذشته متزلزل، آينده متحول
روزگاري نه چندان دور، حملات ويروس هاي مخرب و شيوع ساير تهدیدهای رایانه ای در صدر داغ ترین اخبار جهان قرار می گرفت و صدمات اطلاعاتی و تجهیزاتی ناشی از آن، توسط رسانه هاي مختلف، به طور اغراق آمیزی مورد توجه واقع مي شد.
شاید خاطر بسیاری مانده باشد که همین اخبار پی در پی و بزرگنمایی های بیهوده، شایعات فراوانی را نیز میان کاربران ایجاد می کرد، نظیر انتشار ویروسی که در یک ساعت معین تمام رایانه های آلوده ( حتی سیستم های خاموش ! ) در سرتاسر جهان را به طور همزمان منفجر خواهد کرد!! و ...
اما در عين حال، کابوس ترسناک ابر ویروس هایی چون "I Love you" ،"SQL Slammer" ، "NetSky" و ... هنوز هم برای بسیاری از مدیران شبکه هاي محلي، تداعی کننده روزهای تلخي ست که هیچ گاه از یاد نخواهند رفت.
با نگاهي منطقي تر مي توان ادعا كرد كه این ویروس ها هر چند از وسعت انتشار و قدرت تخریب قابل توجهی برخوردار بودند، اما به هیچ وجه "غير قابل رديابي" يا "غيرقابل كنترل" نبوده اند و تنها سرعت پراکندگی آن ها اندکی بیش از سرعت بروز رسانی و تجهیز نرم افزارهای امنیتی نصب شده در شبکه ها ( البته در صورت وجود ! ) بود .
البته در برخي از موارد، علي رغم استفاده از نرم افزارهای امنیتی مجهز و به روز، ویروس ها باز هم راه نفوذی به درون شبکه ها پیدا می کردند؛ به اين دليل كه متاسفانه در بسیاری از شبکه های گسترده، همیشه یک یا چند رایانه و يا تعدادي از سيستم هاي پردازش اطلاعات، به نحوی و به علتي خارج از شبکه محلی قرار گرفته و از سياست هاي امنيتي اعمال شده و محدودیت حفاظتی تعريف شده عبور مي كنند.
رفته رفته براي مقابله با بدافزارهاي پيشرفته تر و نيز به منظور کاهش آسیب پذیری و كنترل فعالیت های مخرب، راهكارهاي ديگري به اجرا گذاشته شد. ابزار و نرم افزارهای حفاظتی از آن پس علاوه بر سیستم های کلاسیک ضد کدهای مخرب ( بررسی کننده فایل های مقیم در حافظه سیستم ها)، به سامانه های راهبردی دیگری مانند فایروال های پيشرفته و قابل تنظیم، برنامه های ضد جاسوس افزار ، ضد هرزنامه و ... مجهز شدند .
با این وجود، امروزه فن آوری های خرابکارانه به حدی پیشرفت کرده که مدیران شبکه برای تأمین امنیت مؤثر در لایه های مختلف دسترسي به اینترنت، ناچار به استفاده از ابزار مستقلی چون سيستم هاي شناسایی بدافزارهاي ناشناخته و بسیار جدید، ابزار جلوگیری از اجرای حملات نامحسوس، سيستم هايHIDS , NDS , IPS و از این دست هستند .
البته باید اعتراف کرد که در خصوص ویروس های پیشرفته و توانمند که به ویژه به شکل نامحسوس عمل می کنند، درصد پیشگیری اندک است. اما همين واژه "اندك" نكته مثبت و قابل توجهي به نظر مي رسد.
پيشگيري به سبك پيشدستي، در خارج از محيط عملكرد!
اگر تنها یک سیستم متصل به شبكه، توسط یک نوع کاملا جدید و "ردیابی نشده" از ویروس های اینترنتی آلوده شود، قاعدتاً از لايه هاي امنيتي موجود عبور كرده و کل شبکه را در معرض خطر آلودگی و تخریب قرار خواهد داد.
هيچ تضميني وجود ندارد... با نفوذ يك تروژان و يا يك جاسوس افزار كليه بسته های اطلاعاتی مبادله شده بين كاركنان و یا داده های ورودی و خروجی شبکه قابل دسترسي ست. حتماً تأييد مي كنيد كه این دیگر یک شرایط بحرانی و فوق العاده خطرناک است كه در آن بسیاری از اطلاعات محرمانه، حساس و استراتژیک در معرض خطر خروج از شبکه و يا استفاده های بدخواهانه قرار مي گيرند. براي كاهش و حتي حذف احتمال اين مسئله چه بايد كرد؟ يا بهتر است بگوييم ويروس هاي "غيرقابل كشف" و يا بدافزارهاي "رديابي نشده" چگونه بايد كنترل شوند؟
در مرحله اول بايد در نظر داشت كه چیزی به عنوان "ویروس غیر قابل ردیابی" وجود ندارد . در سال هاي گذشته اين عنوان به کدهای مخربی اطلاق می شد که با چنان سرعتی پراکنده و منتشر می شدند كه فرصت کافی براي به روز رساني نرم افزارهای حفاظتی باقي نمي ماند. اما این ویروس های به اصطلاح غیر قابل ردیابی، دیر یا زود (اغلب زود!) به دام می افتادند و تکنیک های خاص آن ها لو می رفت و نرم افزارهای امنیتی در به روز رساني هاي بعدي خود، قدرت جلوگیری از انتشار آن ها را بدست می آوردند.
امروز نیز وضع به همین منوال است:
بكار گيري عنوان "غيرقابل رديابي" و يا "رديابي نشده" براي یک ویروس رایانه ای به این علت نیست که فن آوری بکار گرفته شده در آن به حدی پیچیده، پیشرفته و نو آورانه است که تکنولوژی فعلی حفاظت از اطلاعات قادر به ردیابی و کشف آن نباشد، بلکه دقيقاً به اين دليل ساده است كه ابزار امنیتی موجود در هر لحظه دارای دامنه عملکرد مشخصی بوده و كاملاً طبيعي ست اگر برخی از کدهای مخرب جدید و ناشناخته بتوانند از آن عبور کنند. مسئله اساسي در اين جا، تعداد كدهاي عبوري ست كه كم و بيش آن ملاك خوبي براي ارزيابي قدرت ابزار حفاظتي ست.
در وضعيت سرسام آور كنوني، به هيچ وجه نمي توان تعداد کدهای مخرب فعال و پراكنده در اينترنت را برآورد کرد. گاهی اوقات این تعداد بر اساس آمار و اطلاعات موجود، تا نیم میلیون ویروس و گاهی نيز تا حدود یک میلیون كد مخرب اعلام شده است. البته در بدبینانه ترین وضعيت اين تعداد تا بیش از صد میلیون نيز تخمين زده شده است.
دراين شرايط، یک سیستم امنيتي (به ويژه در شبكه هاي محلي) ملزم است تا تجهيزات تحت پوشش خود را در برابر ميليون ها كد مخرب، ميليون ها حمله اینترنتی و هزارن روش نفوذ محافظت كند. پرواضح است كه پردازش اطلاعات امنيتي در اين صورت، به بخش عظيمي از منابع و فضاي عملياتي آزاد نياز خواهد داشت.
حقیقت ساده اين است كه رفته رفته ارزيابي امنيتي یک فایل، در مقايسه با كليه اطلاعات امنيتي موجود و ثبت شده، موجب اشفال درصد زیادی از ظرفيت قابل دسترسی شده و سرورها يا ديسك هاي سخت را نیز با ذخیره حجم انبوهی از اطلاعات غیر ضروری مواجه خواهد نمود که تنها كاربرد آن ها كمك به تأمين امنیت در سیستم است.
بنابر اين، فرايندهاي امنيتي لازم الاجرا در لايه هاي مختلف شبكه هاي محلي نياز به منابع و ظرفيت هاي عملكردي بيشتري دارند كه در صورت تخصيص نيافتن آن، عملكردهاي طبيعي و اصلي شبكه با اختلال و كندي مواجه خواهند شد.
شركت هاي امنيتي راهكارهاي مختلفي را براي حل اين موضوع ارائه كرده اند.
براي مثال مركز امنيتي Panda Security، با ايجاد ابر سرورهاي تحت وب، به شبكه هاي سازماني گسترده، شبكه هاي محلي كوچكتر و حتي كاربرهاي خانگي پيشنهاد كرده است كه درصد زيادي از فرآيندهاي امنيتي خود را به شكل خود كار از طريق اين سرورها پي گيري كنند. اين فرآيندهاي امنيتي مي توانند شامل عملكرد خودكار ضد كدهاي مخرب، ضد هرزنامه، پالايش و *****ينگ محتوا و نيز عملكرد ضد كلاهبرداري آنلاين باشد.
پاندا ادعا كرده است كه انسداد نفوذ فايل هاي مخرب و محتويات ناخواسته، هم چنين توقيف موارد مشكوك، ارسال آنها به ابرسرورهاي پردازش اطلاعات امنيتي، تعيين قابليت تخريبي آنها و اتخاذ تدابير حفاظتي متناسب براي كليه شبكه ها و كاربران فعال در سرتاسر دنيا، از جمله اقداماتي ست كه مي تواند به طور كاملاً خودكار و در جايي خارج از محيط شبكه ها و رايانه هاي خانگي (on-the-cloud) اجرا شود. البته بايد منتظر ماند تا آثار و منافع اين تحول امنيتي بتواند خود را اثبات كند، اما بدون شك، مقابله با ابزار مخرب و انسداد موارد مشكوك در خارج از محيط فعاليت هاي سازماني قطعاً ضريب امنيت اين فعاليت ها را به حدي بالا مي برد كه نياز به برنامه هاي حفاظتي مقيم در سرورهاي محلي تا حد زيادي كاهش يافته و اين مسئله به نوبه خود منابع و ظرفيت هاي عملياتي در شبكه را افزايش مي دهد.
اما به هر حال با وجود متحول شدن روش هاي حفاظتي و ابداع راهكارهاي نوين، ما محكوم به استفاده از نرم افزارهاي سنتي و برنامه هاي قابل نصب در سامانه هاي رايانه اي هستيم و ناچاريم روزانه حتي چند نوبت آن ها را به روز كنيم تا كليه روزنه ها و رخنه هاي امنيتي موجود را تحت كنترل بگيريم.
با تمام اين اوصاف، بايد اعتراف كرد كه هیچ کاربر و يا مدیر شبکه ای نمی تواند به طور یقین تضمین کند که رایانه و شبکه تحت مدیریت وي با آلودگی رايانه اي مواجه نیست، حتی با این وجود که لایه هاي حفاظتی قدرتمندی در اختیار داشته باشد؛ اما مي توان ادعا كرد كه با بهره گيري از ابزار مكمل حفاظتي (تركيبي از برنامه هاي قابل نصب و ابزار امنيتي تحت وب و غيرقابل نصب)، ميزان احتمال آلودگي به پايين ترين حد ممكن سقوط خواهد كرد و اطمينان مديران شبكه به بالاترين حد ممكن ارتقا خواهد يافت.
هر چند كه قلمرو تهديدهاي رايانه اي به وسعت جهان پيرامون ماست، اما شبكه هاي محلي به ظاهر بي دفاع، با استفاده از سياست هاي صحيح امنيتي، دژهايي مستحكم خواهند بود به وسعت بيكران...
امنيت اطلاعات در شبكه هاي محلي؛ گذشته متزلزل، آينده متحول
روزگاري نه چندان دور، حملات ويروس هاي مخرب و شيوع ساير تهدیدهای رایانه ای در صدر داغ ترین اخبار جهان قرار می گرفت و صدمات اطلاعاتی و تجهیزاتی ناشی از آن، توسط رسانه هاي مختلف، به طور اغراق آمیزی مورد توجه واقع مي شد.
شاید خاطر بسیاری مانده باشد که همین اخبار پی در پی و بزرگنمایی های بیهوده، شایعات فراوانی را نیز میان کاربران ایجاد می کرد، نظیر انتشار ویروسی که در یک ساعت معین تمام رایانه های آلوده ( حتی سیستم های خاموش ! ) در سرتاسر جهان را به طور همزمان منفجر خواهد کرد!! و ...
اما در عين حال، کابوس ترسناک ابر ویروس هایی چون "I Love you" ،"SQL Slammer" ، "NetSky" و ... هنوز هم برای بسیاری از مدیران شبکه هاي محلي، تداعی کننده روزهای تلخي ست که هیچ گاه از یاد نخواهند رفت.
با نگاهي منطقي تر مي توان ادعا كرد كه این ویروس ها هر چند از وسعت انتشار و قدرت تخریب قابل توجهی برخوردار بودند، اما به هیچ وجه "غير قابل رديابي" يا "غيرقابل كنترل" نبوده اند و تنها سرعت پراکندگی آن ها اندکی بیش از سرعت بروز رسانی و تجهیز نرم افزارهای امنیتی نصب شده در شبکه ها ( البته در صورت وجود ! ) بود .
البته در برخي از موارد، علي رغم استفاده از نرم افزارهای امنیتی مجهز و به روز، ویروس ها باز هم راه نفوذی به درون شبکه ها پیدا می کردند؛ به اين دليل كه متاسفانه در بسیاری از شبکه های گسترده، همیشه یک یا چند رایانه و يا تعدادي از سيستم هاي پردازش اطلاعات، به نحوی و به علتي خارج از شبکه محلی قرار گرفته و از سياست هاي امنيتي اعمال شده و محدودیت حفاظتی تعريف شده عبور مي كنند.
رفته رفته براي مقابله با بدافزارهاي پيشرفته تر و نيز به منظور کاهش آسیب پذیری و كنترل فعالیت های مخرب، راهكارهاي ديگري به اجرا گذاشته شد. ابزار و نرم افزارهای حفاظتی از آن پس علاوه بر سیستم های کلاسیک ضد کدهای مخرب ( بررسی کننده فایل های مقیم در حافظه سیستم ها)، به سامانه های راهبردی دیگری مانند فایروال های پيشرفته و قابل تنظیم، برنامه های ضد جاسوس افزار ، ضد هرزنامه و ... مجهز شدند .
با این وجود، امروزه فن آوری های خرابکارانه به حدی پیشرفت کرده که مدیران شبکه برای تأمین امنیت مؤثر در لایه های مختلف دسترسي به اینترنت، ناچار به استفاده از ابزار مستقلی چون سيستم هاي شناسایی بدافزارهاي ناشناخته و بسیار جدید، ابزار جلوگیری از اجرای حملات نامحسوس، سيستم هايHIDS , NDS , IPS و از این دست هستند .
البته باید اعتراف کرد که در خصوص ویروس های پیشرفته و توانمند که به ویژه به شکل نامحسوس عمل می کنند، درصد پیشگیری اندک است. اما همين واژه "اندك" نكته مثبت و قابل توجهي به نظر مي رسد.
پيشگيري به سبك پيشدستي، در خارج از محيط عملكرد!
اگر تنها یک سیستم متصل به شبكه، توسط یک نوع کاملا جدید و "ردیابی نشده" از ویروس های اینترنتی آلوده شود، قاعدتاً از لايه هاي امنيتي موجود عبور كرده و کل شبکه را در معرض خطر آلودگی و تخریب قرار خواهد داد.
هيچ تضميني وجود ندارد... با نفوذ يك تروژان و يا يك جاسوس افزار كليه بسته های اطلاعاتی مبادله شده بين كاركنان و یا داده های ورودی و خروجی شبکه قابل دسترسي ست. حتماً تأييد مي كنيد كه این دیگر یک شرایط بحرانی و فوق العاده خطرناک است كه در آن بسیاری از اطلاعات محرمانه، حساس و استراتژیک در معرض خطر خروج از شبکه و يا استفاده های بدخواهانه قرار مي گيرند. براي كاهش و حتي حذف احتمال اين مسئله چه بايد كرد؟ يا بهتر است بگوييم ويروس هاي "غيرقابل كشف" و يا بدافزارهاي "رديابي نشده" چگونه بايد كنترل شوند؟
در مرحله اول بايد در نظر داشت كه چیزی به عنوان "ویروس غیر قابل ردیابی" وجود ندارد . در سال هاي گذشته اين عنوان به کدهای مخربی اطلاق می شد که با چنان سرعتی پراکنده و منتشر می شدند كه فرصت کافی براي به روز رساني نرم افزارهای حفاظتی باقي نمي ماند. اما این ویروس های به اصطلاح غیر قابل ردیابی، دیر یا زود (اغلب زود!) به دام می افتادند و تکنیک های خاص آن ها لو می رفت و نرم افزارهای امنیتی در به روز رساني هاي بعدي خود، قدرت جلوگیری از انتشار آن ها را بدست می آوردند.
امروز نیز وضع به همین منوال است:
بكار گيري عنوان "غيرقابل رديابي" و يا "رديابي نشده" براي یک ویروس رایانه ای به این علت نیست که فن آوری بکار گرفته شده در آن به حدی پیچیده، پیشرفته و نو آورانه است که تکنولوژی فعلی حفاظت از اطلاعات قادر به ردیابی و کشف آن نباشد، بلکه دقيقاً به اين دليل ساده است كه ابزار امنیتی موجود در هر لحظه دارای دامنه عملکرد مشخصی بوده و كاملاً طبيعي ست اگر برخی از کدهای مخرب جدید و ناشناخته بتوانند از آن عبور کنند. مسئله اساسي در اين جا، تعداد كدهاي عبوري ست كه كم و بيش آن ملاك خوبي براي ارزيابي قدرت ابزار حفاظتي ست.
در وضعيت سرسام آور كنوني، به هيچ وجه نمي توان تعداد کدهای مخرب فعال و پراكنده در اينترنت را برآورد کرد. گاهی اوقات این تعداد بر اساس آمار و اطلاعات موجود، تا نیم میلیون ویروس و گاهی نيز تا حدود یک میلیون كد مخرب اعلام شده است. البته در بدبینانه ترین وضعيت اين تعداد تا بیش از صد میلیون نيز تخمين زده شده است.
دراين شرايط، یک سیستم امنيتي (به ويژه در شبكه هاي محلي) ملزم است تا تجهيزات تحت پوشش خود را در برابر ميليون ها كد مخرب، ميليون ها حمله اینترنتی و هزارن روش نفوذ محافظت كند. پرواضح است كه پردازش اطلاعات امنيتي در اين صورت، به بخش عظيمي از منابع و فضاي عملياتي آزاد نياز خواهد داشت.
حقیقت ساده اين است كه رفته رفته ارزيابي امنيتي یک فایل، در مقايسه با كليه اطلاعات امنيتي موجود و ثبت شده، موجب اشفال درصد زیادی از ظرفيت قابل دسترسی شده و سرورها يا ديسك هاي سخت را نیز با ذخیره حجم انبوهی از اطلاعات غیر ضروری مواجه خواهد نمود که تنها كاربرد آن ها كمك به تأمين امنیت در سیستم است.
بنابر اين، فرايندهاي امنيتي لازم الاجرا در لايه هاي مختلف شبكه هاي محلي نياز به منابع و ظرفيت هاي عملكردي بيشتري دارند كه در صورت تخصيص نيافتن آن، عملكردهاي طبيعي و اصلي شبكه با اختلال و كندي مواجه خواهند شد.
شركت هاي امنيتي راهكارهاي مختلفي را براي حل اين موضوع ارائه كرده اند.
براي مثال مركز امنيتي Panda Security، با ايجاد ابر سرورهاي تحت وب، به شبكه هاي سازماني گسترده، شبكه هاي محلي كوچكتر و حتي كاربرهاي خانگي پيشنهاد كرده است كه درصد زيادي از فرآيندهاي امنيتي خود را به شكل خود كار از طريق اين سرورها پي گيري كنند. اين فرآيندهاي امنيتي مي توانند شامل عملكرد خودكار ضد كدهاي مخرب، ضد هرزنامه، پالايش و *****ينگ محتوا و نيز عملكرد ضد كلاهبرداري آنلاين باشد.
پاندا ادعا كرده است كه انسداد نفوذ فايل هاي مخرب و محتويات ناخواسته، هم چنين توقيف موارد مشكوك، ارسال آنها به ابرسرورهاي پردازش اطلاعات امنيتي، تعيين قابليت تخريبي آنها و اتخاذ تدابير حفاظتي متناسب براي كليه شبكه ها و كاربران فعال در سرتاسر دنيا، از جمله اقداماتي ست كه مي تواند به طور كاملاً خودكار و در جايي خارج از محيط شبكه ها و رايانه هاي خانگي (on-the-cloud) اجرا شود. البته بايد منتظر ماند تا آثار و منافع اين تحول امنيتي بتواند خود را اثبات كند، اما بدون شك، مقابله با ابزار مخرب و انسداد موارد مشكوك در خارج از محيط فعاليت هاي سازماني قطعاً ضريب امنيت اين فعاليت ها را به حدي بالا مي برد كه نياز به برنامه هاي حفاظتي مقيم در سرورهاي محلي تا حد زيادي كاهش يافته و اين مسئله به نوبه خود منابع و ظرفيت هاي عملياتي در شبكه را افزايش مي دهد.
اما به هر حال با وجود متحول شدن روش هاي حفاظتي و ابداع راهكارهاي نوين، ما محكوم به استفاده از نرم افزارهاي سنتي و برنامه هاي قابل نصب در سامانه هاي رايانه اي هستيم و ناچاريم روزانه حتي چند نوبت آن ها را به روز كنيم تا كليه روزنه ها و رخنه هاي امنيتي موجود را تحت كنترل بگيريم.
با تمام اين اوصاف، بايد اعتراف كرد كه هیچ کاربر و يا مدیر شبکه ای نمی تواند به طور یقین تضمین کند که رایانه و شبکه تحت مدیریت وي با آلودگی رايانه اي مواجه نیست، حتی با این وجود که لایه هاي حفاظتی قدرتمندی در اختیار داشته باشد؛ اما مي توان ادعا كرد كه با بهره گيري از ابزار مكمل حفاظتي (تركيبي از برنامه هاي قابل نصب و ابزار امنيتي تحت وب و غيرقابل نصب)، ميزان احتمال آلودگي به پايين ترين حد ممكن سقوط خواهد كرد و اطمينان مديران شبكه به بالاترين حد ممكن ارتقا خواهد يافت.
هر چند كه قلمرو تهديدهاي رايانه اي به وسعت جهان پيرامون ماست، اما شبكه هاي محلي به ظاهر بي دفاع، با استفاده از سياست هاي صحيح امنيتي، دژهايي مستحكم خواهند بود به وسعت بيكران...