آموزش CEH (بخش پایانی): چگونه امنیت اطلاعات را تضمین کنیم و برای حضور در آزمون آماده شویم؟

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

کنترل اطلاعات با اتکا بر روش‌های رمزنگاری

در دنیای امنیت اطلاعات از الگوریتم‌های رمزنگار به گونه‌ای استفاده می‌شود تا اطلاعات به شکلی تبدیل شوند که افراد غیر مجاز قابل به مشاهده آن‌ها نباشند یا اگر به  اطلاعات دسترسی پیدا کردند، امکان تحلیل آن‌ها وجود نداشته باشد. اطلاعاتی که رمزگذاری می‌شوند تنها توسط اپراتور مجازی که کلید رمز نگاری را دارد به شکل اولیه باز می‌گردند که به این رویکرد رمزگشایی اطلاعات گفته می‌شود. رمزنگاری به حفاظت از اطلاعات در حال انتقال یا ذخیره شده اشاره دارد. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می‌کند که از آن جمله باید به روش‌های بهبود یافته تصدیق هویت، فشرده‌سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده اشاره کرد. رمزنگاری اگر درست پیاده‌سازی نشود مشکلات امنیتی جدید به وجود می‌آورد. راه‌حل‌های رمزنگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل ارزیابی شده پیاده‌سازی شود. همچنین اندازه و قدرت کلید استفاده شده در رمزنگاری مهم است. کلیدی ضعیف یا خیلی کوتاه یک مکانیزم امنیتی ضعیف به وجود می‌آورد. مدیریت کلید رمزنگاری موضوع مهمی است. رمزگذاری داده‌ها، اطلاعات و تبدیل کردن آن‌ها به شکل رمزگذاری شده، روش مؤثر در جلوگیری از انتشار اطلاعات محرمانه شرکت می‌باشد.

به دنبال جست‌وجوی روشی به‌جز شیوه‌های سنتی امنیت شبکه فناوری‌اطلاعات شرکت آی‌بی‌ام و چند شرکت دیگر شورای جدید حفاظت از اطلاعات را تاسیس کردند. هدف از این کار ابداع روش‌هایی برای مقابله با هکرهایی است که سعی می‌کنند به روش‌های غیرقانونی به اطلاعات سازمان‌ها دسترسی پیدا کنند. شرکت آی‌بی‌ام در گزارشی اعلام کرد که این شورا برای تنظیم طرحی نوین برای محافظت و کنترل اطلاعات شخصی و سازمانی افراد تمامی  تلاش خود را به کار می‌گیرد. استوارت مک‌آروین، مدیر بخش امنیت اطلاعات مشتری آی‌بی‌ام می‌گوید: «بیش‌تر شرکت‌ها و همچنین افراد حقیقی کنترل و امنیت اطلاعات را به عنوان مسئله‌ای فرعی در نظر می‌گیرند و در کنار دیگر فعالیت‌های خود به آن می‌پردازند، در حالی که کنترل و نظارت بر اطلاعات به این معنا است که چگونه یک شرکت در کنار ایجاد امکان بهره‌برداری از اطلاعات مجاز، محدودیت‌هایی را برای دسترسی و محافظت از بخش‌های مخفی تدارک می‌بیند. ایده اولیه تشکیل این شورا در جلسات سه ماه یک‌بار و غیررسمی شرکت IBM با مشتریان و برخی شرکا شکل گرفت. ما با افرادی گفت‌وگو ‌کردیم که با مشکلات ناامنی اطلاعات به شکل عینی روبه‌رو بودند. برای شرکت IBM و شرکای تجاری آن مشارکت مشتریان عاملی مؤثر در اصلاح و هماهنگی نرم‌افزارهای امنیتی موجود و طراحی نرم‌افزارهای جدید است. ما سعی می‌کنیم ابزارهای امنیتی IBM را با نیازهای مشتری آشتی دهیم. بسیاری از مشتریان شرکت که اکنون اعضای فعال این شورا را تشکیل داده‌اند، خود طرح پروژه‌های جدید برای کنترل خروج اطلاعات و مدیریت آن را تنظیم کرده‌اند. آن‌ها داوطلب شده‌اند که برای اولین بار این روش‌ها را در مورد اطلاعات شخصی خود به کار گیرند. بدیهی است شرایط واقعی در مقایسه با وضعیت آزمایشی نتیجه بهتری دارد.» رابرت گاریگ، مدیر ارشد بخش امنیتی بانک مونترآل و یکی از اعضای شورا، معتقد است اکنون زمان آن رسیده که شرکت‌ها روش‌های جدیدی را برای کنترل اطلاعات مشتریان خود به‌کار بگیرند. او می‌گوید: «فکر می‌کنم اکنون زمان مدیریت کنترل اطلاعات فرارسیده‌ است. پیش از این بخش IT تمام حواس خود را بر حفاظت از شبکه‌ها متمرکز کرده بود، اما اکنون اطلاعات به عنوان بخشی مستقل به محدودیت‌هایی برای دستیابی و هم‌چنین روش‌های مدیریتی نوین نیازمند است. این حوزه به کوششی چشمگیر نیازمند است. شرکت‌ها هر روز بیش از پیش با سرقت اطلاعات روبه‌رو هستند. هدف اصلی شورا ایجاد مدیریتی هوشمند و بی‌واسطه است.» مسائل که این شورا روی آن‌ها متمرکز است عبارت‌اند از: امنیت، حریم خصوصی افراد، پذیرش قوانین و برطرف کردن سوء تعبیرهایی که در مورد IT و وظایف آن وجود دارد. به عقیده این شورا مشکل اصلی ناهماهنگی برنامه‌های بخش IT با فعالیت‌های شرکت و بی‌توجهی به ادغام این راهکارهاست. شرکت آمریکن اکسپرس و بانک جهانی، دانشگاه ایالتی کارولینای شمالی و … از اعضای این شورا هستند

چگونه یک برنامه جامع برای تجارت الکترونیک پیاده‌سازی کنیم؟

به رغم مزایای متعددی که تجارت الکترونیک دارد، انجام تراکنش‌ها و ارتباطات آنلاین در مقیاس وسیع با تهدیدات متعدد هکری روبرو است. این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده‌ای است که در سراسر جهان گریبان‌گیر سیستم‌های اطلاعاتی و کامپیوتری هستند. هر ساله سازمان‌های بسیاری هدف جرائم مرتبط با امنیت اطلاعات، از حملات ویروسی گرفته تا کلاه‌برداری‌های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت‌های اعتباری، قرار می‌گیرند. چنین حملات امنیتی موجب میلیون‌ها دلار ضرر و اخلال در فعالیت شرکت‌ها می‌شوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده‌اند. با اینحال آنچه مهم‌تر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستم‌های اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می‌توان به راحتی فرض کرد که تعداد این سوء استفاده‌ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متأسفانه، از آن‌جایی که بسیاری از شرکت‌ها دوست ندارند نفوذ به سیستمشان را تأیید و اطلاعاتشان در مورد این نفوذها و وسعت آن‌ها را با دیگران به اشتراک بگذارند، میزان دقیق خساراتی که شرکت‌ها از جرائم مرتبط با امنیت متحمل شده‌اند، را نمی‌توان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی می‌شود که اطلاع عموم از چنین نقایصی باعث بی‌اعتمادی مشتریان نسبت به توانایی شرکت در حفظ دارائی‌های خود می‌شود و شرکت با این کار مشتریان خود و در نتیجه سوددهی اش را از دست خواهد داد. از آنجایی که مصرف‌کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی‌اعتماد اند، شرکت‌ها با تأیید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده‌اند، چیزی بدست نمی‌آورند. با هیجانات رسانه‌ای که امروزه دور و بر اینترنت و قابلیت‌های آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، دغدغه شماره یک بسیاری از شرکت‌ها است و برای بقاء و باقی ماندن در رقابت کاملاً ضروری است. نبود اطلاعات دست اول از موارد واقعی برنامه‌ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده‌است اما با این وجود هم فناوری‌ها و روش‌های امنیت اطلاعات و فنون کلی مدیریتی در برنامه‌ریزی و حفاظت از منابع فناوری اطلاعات سازمان، در یک دهه گذشته پیشرفت قابل توجهی داشته‌اند. اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده‌اند و راهکارهای زیادی برای حفاظت از فناوری‌های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند. بسیاری از شرکت‌ها دریافته‌اند که برای موفقیت در تجارت الکترونیک، علاوه بر روش‌های امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده‌اند، نیازمند سرمایه‌گذاری و برنامه‌ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از دارایی‌هایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم‌هایشان که موجب خسارت دیدن فعالیت‌های تجارت الکترونیک آن‌ها می‌شود جلوگیری کنند. برنامه جامع امنیت تجارت الکترونیک شامل برنامه‌های حفاظتی که از فناوری‌های موجود (نرم‌افزار و سخت‌افزار)، افراد، برنامه‌ریزی راهبردی استفاده می‌کنند و برنامه‌های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا می‌شوند، است. چنین برنامه‌ای برای بقاء کلی فعالیت‌های تجارت الکترونیک شرکت حیاتی است و سازمان باید آن را به عنوان مؤلفه‌ای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد. موفقیت چنین برنامه‌هایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تأثیرگذاری و محدودیت‌های برنامه است. علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری‌ها و فنون مدیریت، باید آن را به‌طور مداوم مورد ارزیابی و سنجش قرار داد.

عملیات تجارت الکترونیک را چگونه باید ارزیابی کنیم؟

اولین گام برای ایجاد یک برنامه جامع امنیت تجارت الکترونیک، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه تجاری شرکت است. گام بعدی باید ارزیابی آسیب‌پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبه تهدیدات داخلی و خطرات موجود خارجی است. شناخت آسیب‌پذیری‌های خارجی بسیار ساده‌تر از دیدن آسیب‌پذیری‌های خارجی است. با این وجود تمام تلاش‌ها باید در راستای شناخت حوزه‌هایی باشد که سیستم از داخل مورد سوءاستفاده قرار می‌گیرد. این کار را می‌توان به خوبی با صحبت با کاربران سیستم و توسعه دهندگان انجام داد. علاوه بر این بسته‌های نرم‌افزاری بسیاری هم وجود دارند که می‌توانند توانایی نظارت بر استفاده کلی از سیستم و دسترسی داخلی به آن را دارند و می‌توانند تحلیل کاملی از فعالیت‌های مشکوک احتمالی کاربران داخلی ارائه دهند. گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که به‌طور شفاف تمام نقاط ضعف احتمالی، روش‌های جلوگیری و مقابله با آن‌ها و برنامه‌های محتمل برای ترمیم نفوذها و و تهدیدهای امنیتی است. بسیاری از شرکت‌ها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیواره‌های آتش، برای حفاظت از سیستم‌هایشان کافی است. داشتن چنین نرم‌افزارهایی گام نخست خوبی است، اما حتا با این وجود نیز سیستم‌های تجارت الکترونیک با نقاط ضعفی همچون آتش‌سوزی و انفجار، خرابکاری عمدی در سخت‌افزار، نرم‌افزار یا داده‌ها و اطلاعات، دزدیده شدن نرم‌افزار و سخت‌افزار، فقدان پرسنل کلیدی امنیت تجارت الکترونیک، فقدان برنامه‌های کاربردی، فقدان فناوری، فقدان ارتباطات و فقدان فروشندگان روبرو هستند.

تهدیدها در هر یک از این حوزه‌ها باید به دقت ارزیابی و طرح‌های محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود. علاوه بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات به وجود آمده از این نقائص معین گردند. سپس، سازمان باید نرم‌افزارها و سخت‌افزارهایی که حفاظت از سیستم تجارت الکترونیک را بر عهده دارند را، ارزیابی کند. درک اینکه فناوری‌های مورد استفاده باید مناسب نیازهای شرکت بوده و برای تمام تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار است. حوزه‌های بحرانی که باید به دقت مورد بررسی قرار گیرند حساسیت داده‌ها و اطلاعات در دسترس، حجم ترافیک دسترسی و روش‌های دسترسی است. در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکت‌های دیگری که در زمینه ارزیابی سیستم‌های امنیتی مبتنی بر فناوری تخصص دارند، استفاده می‌کنند.

کلام آخر، اکنون زمان عمل فرارسیده است

همان‌گونه که ابتدای این آموزش به آن اشاره شد، شما نباید با مطالعه مقاله‌ها یا کتاب‌های مختلف انتظار موفقیت در آزمون CEH را داشته باشید. آزمون CEH نیاز به تجربه عملی و آزمایش ابزارها و تکنیک‌های مختلفی دارد که در طول این دوره آموزشی به آن‌ها پرداخته شد. این مهارت‌های فنی شامل تسلط بر کار با Wireshark ، Nmap ، Hping و موارد دیگر است. یک مکان خوب برای شروع کار به‌کارگیری سیستم‌عامل کالی لینوکس است که ابزارهای ارزشمند زیادی را در اختیار هکرهای اخلاق‌مدار قرار می‌دهد. فهرست ابزارهای کالی را می‌توانید در آدرس زیر مشاهده کنید.

http://tools.kali.org/tools-listing.

اگر کالی را نصب نکرده‌اید باید در اولین فرصت به سراغ انجام این‌کار بروید. در حالی که ساخت آزمایشگاه تست نفوذ و ارزیابی بدافزارها خارج از حوصله این دوره آموزشی است، اما پیشنهاد می‌کنم قبل از حضور در آموزن CEH به سراغ نحوه پیاده‌سازی یک آزمایش تست امنیتی بروید. این‌کار به شما کمک می‌کند به شکل بهتر و نزدیک‌تری از ابزارهای کاربردی دنیای امنیت استفاده کنید. در بیشتر آموزشگاه‌ها، تنها 40 تا نهایتا 50 درصد از وقت کلاس صرف مباحث تئوری می‌شود و بخش اعظمی از وقت دانش‌پژوهان در انجام آزمایش‌های عملی سپری می‌شود. در نتیجه، اگر شخصی به شما گفت بدون مهارت‌های عملی می‌توانید یک هکر اخلاق‌مدار باشید مطمئن باشید تنها به فکر سودجویی شخصی است.

بنابراین، شدیداً به شما توصیه می‌کنم تا حد امکان با ابزارهای مورد بحث در این دوره آموزشی کار کنید. گزینه دیگر استفاده از برخی از سایت‌های جمع‌آوری کننده آسیب‌پذیری‌ها و گزارش‌های است که به شکل رایگان در اختیار همگان قرار دارد. WeChall یکی از این مراجع معتبر است. یکبار دیگر متذکر می‌شوم که اختصاص زمان برای ساخت آزمایشگاه کاربردی، آزمایش و به‌کارگیری ابزارها، استفاده از کالی لینوکس و انجام تکنیک‌های هک اخلاق‌مدار در شبکه‌ خانگی که خود آن‌را پیاده‌سازی کرده‌اید به شما در رسیدن به هدفی که همانا تبدیل شدن به یک هکر اخلاق‌مدار است کمک می‌کند.

یک برنامه‌ زمان‌بندی دقیق برای تبدیل شدن به یک هکر اخلاق‌مدار

اگر مطابق با این برنامه هفت مرحله‌ای زیر رفتار کنید با آسودگی خیال قادر به شرکت در آزمون CEH خواهید بود.

مرحله 1. مرور موضوعات کلیدی: ابتدا موضوعات کلیدی و مهم دنیای امنیت را فهرست کنید.

مرحله 2. مرور محتوای قابل بررسی: شورای EC فهرستی از محتوا و مباحثی که در آزمون CEH آورده می‌شوند را مشخص کرده که افراد می‌توانند با مراجعه به وب‌سایت این سازمان به مرور آن‌ها بپردازند. این موضوعات را مرور کنید و اطمینان حاصل کنید که با هر موردی که در فهرست قرار گرفته آشنا هستید. برای این منظور می‌توانید از آدرس زیر استفاده کنید:

https://www.eccouncil.org/wp-content/uploads/2016/07/CEHv10-Brochure.pdf

مرحله 3. سیستم‌عامل Kali Linux را دانلود و نصب کنید: باز هم، هیچ چیز نمی‌تواند جایگزین تجربه عملی کار با ابزارها شود. اگر می‌دانید ابزاری مانند Wireshark چگونه کار می‌کند، می‌توانید به هرگونه سوال در ارتباط با آن پاسخ دهید. ‌ی توانید کالی را از آدرس زیر دانلود کنید:

https://www.kali.org/downloads/

مرحله 4. تمرین با ابزارها: با نصب کالی با ابزارها تمرین کنید تا نحوه عملکرد آن‌ها را بفهمید. یک نقطه شروع خوب بررسی فهرست ذکر شده در وبلاگ کالی لینوکس است که 10 ابزار برتر امنیتی این توزیع را بررسی کرده است:

https://linuxsecurityblog.com/2015/08/13/top-10-security-tools-in-kali-linux-1-0-6-network-world/

توصیه می‌کنم که تک‌‌تک این ابزارها را بررسی کنید. اطمینان حاصل کنید که ابزارهای ذکر شده در این آموزش همچون Hping ، Nmap ، Netcat ، Burp Proxy ، Cain ، LCP ، PWdump ، Wireshark و همچنین Snort ، TCPdump ، John Ripper و نمونه‌های مشابه تا حد امکان کار کرده‌اید و مشکلی از این بابت ندارید.

مرحله 5. اصطلاحات و معادل آن‌ها در فارسی: با توجه به این‌که دنیای امنیت به‌طور کامل بر مبنای زبان انگلیسی است و ابزارها و بردارهای حمله به اصطلاحات تخصصی زبان انگلیسی اشاره دارند، بهتر است این اصطلاحات و معادل فارسی آن‌ها را به دقت حفظ کنید تا مشکلی از بابت عدم آشنایی با اصطلاحات تخصصی نداشته باشید.

مرحله 6. در اینترنت جست‌وجویی انجام داده و نمونه سوالات سال‌های قبل این آزمون را پیدا و مطالعه کنید. این سوالات نشان می‌دهند آزمون CEH چه انتظاری از کاربران دارد. سایت هایی شبیه به PERASON IT CERTIFICATION دسترسی به بانکی از سوالات آزمون‌های واقع‌گرایانه منحصر به فرد را ارائه می‌دهند.

https://www.pearsonitcertification.com/store/browse/ebooks#!?sort=Relevance

مرحله 7: به فکر پیاده‌سازی یک محیط مجازی کارآمد باشید. با توجه به این‌که دسترسی به شبکه‌های بزرگ و آزمایش ابزارهای امنیتی روی این شبکه‌ها با محدودیت‌های زیادی همراه است، پیشنهاد می‌کنم در صورت امکان از فناوری مجازی‌ساز و ماشین‌های مجازی برای متصل کردن آن‌ها به یکدیگر و انجام آزمایش‌های امنیتی استفاده کنید.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH