بخش نهم
آموزش رایگان سکیوریتی پلاس: آسیب‌پذیری چیست و چه افرادی از آن‌ها سوء استفاده می‌کنند؟
دو اصطلاح بسیار مهمی که متخصصان امنیتی اغلب از آن استفاده می‌کنند آسیب پذیری و سوء استفاده است. آسیب‌پذیری، ضعفی در نرم‌افزار یا سخت‌افزاری است که به‌طور تصادفی توسط سازنده به وجود آمده است. هکرها زمان زیادی را صرف ارزیابی نرم‌افزارها و سخت‌افزارهای جدید می‌کنند تا آسیب‌پذیری‌ها را شناسایی کنند. هنگامی که هکرها نقطه ضعفی را پیدا کردند، روی راهی برای سوء استفاده از ضعف و به خطر انداختن امنیت سیستم کار می‌کنند.

shabake-mag.jpg

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

آزمون سکیوریتی‌پلاس دانش شما در مورد آسیب‌پذیری‌ها و دلیل وجود آن‌ها را محک می‌زند. دلایل متعددی وجود دارد که چرا امروزه آسیب‌پذیری‌های زیادی در سامانه‌ها وجود دارند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

■   ‌پایان عمر سیستم: پایان عمر سیستم (EOL) سرنام End-Life System به سیستمی اشاره دارد که از دیدگاه فروشنده به پایان سودمندی (یا سودآوری) خود رسیده است. سیستم‌های EOL معمولاً به‌نام سیستم‌های قدیمی شناخته می‌شوند و ممکن است در یک شرکت مورد نیاز باشند، زیرا آن‌ها یک نرم‌افزار قدیمی را اجرا می‌کنند که هنوز جایگزین نشده است. یک سیستم EOL یک خطر امنیتی برای شرکت ایجاد می‌کند، زیرا فروشنده سیستم پس از رسیدن به تاریخ EOL، پشتیبانی از آن را متوقف می‌کند. به عنوان مثال، یک فروشنده برای هیچ آسیب‌پذیری جدیدی که در نرم‌افزار EOL مشاهده شده، وصله‌هایی آماده نمی‌کند و همین مسئله سیستم را به یک خطر امنیتی بزرگ برای شرکتی که از آن استفاده می‌کند تبدیل می‌کند.

■   سیستم‌های تعبیه‌شده: سیستم جاسازی‌شده (Embedded System) یک سیستم رایانه‌ای کوچک است که حداقل سخت‌افزار، مانند پردازنده، برد مدار و حافظه و معمولاً نسخه‌ای از یک سیستم‌عامل را دارد و در دستگاه یا سیستم بزرگ‌تر برای انجام کارهای خاص تعبیه شده است. از آن‌جایی که دستگاه‌های سخت‌افزاری سیستم‌های تعبیه‌شده را با نرم‌افزار اجرا می‌کنند، در برابر حمله آسیب‌پذیر هستند، درست مانند یک سیستم رایانه‌ای معمولی که اگر نرم‌افزار دارای آسیب‌پذیری را اجرا کند در معرض خطر قرار دارد. سیستم‌های جاسازی شده اغلب از نظر امنیتی نادیده گرفته می‌شوند، بنابراین باید تلاش بیشتری برای شناسایی آسیب‌پذیری‌های مستتر در این سامانه‌ها انجام دهید.

■   عدم پشتیبانی فروشنده: یکی از بزرگ‌ترین دلایل آسیب‌پذیری، عدم پشتیبانی فروشنده است. همه نرم‌افزارها دارای آسیب‌پذیری هستند و زمانی که یک آسیب‌پذیری شناسایی شد، فروشنده معمولاً برای آن یک اصلاحیه آماده می‌کند. اگر از محصولی استفاده می‌کنید که فروشنده دیگر آن‌را پشتیبانی نمی‌کند، به این معنی است که فروشنده دیگر برای آسیب‌پذیری‌های شناسایی شده ارزشی قائل نیست.

انواع آسیب‌پذیری‌ها

آسیب‌پذیری‌های مختلف بی شماری در دستگاه‌های نرم‌افزاری و سخت‌افزاری امروزی وجود دارد. بسیاری از آسیب‌پذیری‌ها به دلیل خطاهای برنامه‌نویسی یا پیکربندی نادرست سیستم‌ها و دستگاه‌ها وجود دارند. آزمون Security+ انتظار دارد که با این نوع آسیب‌پذیری‌ها آشنا باشید:

■   استفاده از هوش باز: هوش منبع باز (Open-Source Intelligence) به اطلاعاتی اشاره دارد که از منابع عمومی مانند روزنامه‌ها، مجلات، تلویزیون و اینترنت در دسترس است. با حجم اطلاعاتی که امروزه در اینترنت وجود دارد، شناسایی آسیب‌پذیری‌های یک محصول بسیار ساده است.

■    مدیریت نامناسب ورودی: مدیریت ورودی یکی از وظایف برنامه‌نویسان نرم‌افزار است. هر زمان که داده‌ها به یک برنامه ارسال می‌شوند، برنامه‌نویس باید آن داده‌ها را تأیید کرده و از مناسب بودن آن‌ها برای کار اطمینان حاصل کند. اگر داده‌ها نامعتبر هستند به جای پردازش اطلاعات باید خطایی به کاربر نمایش داده می‌شود. اگر برنامه‌نویس ورودی را تأیید نکند، هکرها می‌توانند داده‌های مخرب را به برنامه تزریق کنند تا نرم‌افزار را به روشی که مطلوب نیست کنترل کنند.

■   پیکربندی نادرست/پیکربندی ضعیف: بیشتر آسیب‌پذیری‌ها به این دلیل وجود دارند که نرم‌افزار یا سیستم‌عامل به اشتباه پیکربندی شده و در وضعیت غیر ایمن قرار گرفته است.

■   پیکربندی پیش‌فرض: هنگام نصب نرم‌افزار یا سیستم‌ها، همیشه مطمئن شوید که پیکربندی پیش‌فرض را تغییر دهید. هکرها تنظیمات پیش‌فرض محصولات را می‌دانند و یاد می‌گیرند که چگونه از سیستم‌ها بر اساس تنظیمات پیش‌فرض بهره‌برداری کنند. شما باید پیش‌فرض‌ها را تغییر دهید تا هکرها به سادگی به اهداف خود دست پیدا نکنند.

دلایل دیگری نیز برای وجود آسیب‌پذیری در سامانه‌ها وجود دارد که در ادامه این دوره آموزشی به آن‌ها خواهیم پرداخت.

بازیگران تهدید

بازیگران تهدید (Threat Actors)، افرادی هستند که می‌توانند برای دارایی‌های شما خطر‌آفرین باشند. این بازیگران ممکن است هکر باشند، اما اشکال دیگری از عوامل تهدید نیز وجود دارد که باید از آن‌ها آگاه بود. به شخصه، هکر را فردی می‌دانم که دانش به خطر انداختن یک سیستم، شبکه یا امکانات را دارد. نوع هکر بستگی به هدفی دارد که دنبال می‌کند:

■   هکر مجاز:  به‌عنوان هکر کلاه سفید نیز شناخته می‌شود، یک هکر مجاز است که یاد می‌گیرد که چگونه امنیت سیستم را برای اهداف دفاعی به خطر بیندازد، به این معنی که این کار را برای یادگیری بهتر نحوه محافظت از سیستم یا شبکه انجام می‌دهد. به یک هکر کلاه سفید مجوز هک سیستم‌ها داده شده تا به بهبود امنیت سیستم‌ها کمک کند.

■   هکر غیرمجاز: به عنوان هکر کلاه سیاه نیز شناخته می‌شود، یک هکر غیرمجاز سیستم‌ها یا شبکه‌ها را با هدف تخریب به خطر می‌اندازد. هکرهای غیرمجازی یا کلاه سیاه به دلایل مالی، سیاسی، حقوقی، لاف زدن یا صرفاً برای ایجاد خرابی این‌کار را انجام می‌دهند. به یک هکر کلاه سیاه مجوز هک کردن سیستم‌ها نمی‌شود.

■   هکر نیمه مجاز: به عنوان هکر کلاه خاکستری نیز شناخته می‌شود، هکر نیمه مجاز به شخصی گفته می‌شود که به دلایل غیر مخرب (معمولاً برای کمک به امنیت سیستم‌ها) سیستم‌ها را هک می‌کند، اما مجاز به انجام این کار نیست.

انواع بازیگران

این فقط هکرها نیستند که باید از سیستم خود در برابر آن‌ها محافظت کنید. انواع مختلفی از افراد وجود دارند که به عنوان بازیگر شناخته می‌شوند که باید از دارایی‌های سازمان خود در مقابل آن‌ها محافظت کنید. در زیر فهرستی از انواع رایج بازیگران آمده است:

■   Script kiddies: یک اسکریپت kiddie در مورد نحوه عملکرد یک حمله اطلاعات زیادی ندارد، اما می‌تواند با دانلود یک برنامه یا اسکریپت از اینترنت و استفاده از آن برای انجام حمله یکی را اجرا کند. این افراد هیچ‌گونه دانش فنی در این ارتباط ندارند. آن‌ها فقط می‌دانند که وقتی اسکریپت یا برنامه را اجرا می‌کنند به آن‌ها دسترسی به یک سیستم را می‌دهد.

■   هکتیویست‌ها (Hacktivists): هکتیویست‌ها افرادی هستند که خارج از اصول یا به دلیلی خاص هک می‌کنند. علت می‌تواند باورهای سیاسی، مسائل زیست محیطی یا حمایت از چیزی یا شخصی باشد که به کمک نیاز دارد. گروه معروف Anonymous نمونه‌ای از گروه‌های هکتیویست است.

■   بازیگران دولتی، بازیگران دولتی افرادی هستند که از طرف دولت خود عمل می‌کنند و تابع مقررات آن دولت هستند.

■   تهدید دائمی پیشرفته (APT): تهدیدهای پایدار پیشرفته (APT) افراد یا گروه‌هایی هستند که حملات بسیار جامع و کاملاً برنامه‌ریزی شده‌ای را انجام می‌دهند که به آن‌ها دسترسی طولانی مدت به سیستم‌های هدف می‌دهد. دسترسی طولانی مدت به یک سیستم مورد نیاز است تا مهاجم بتواند اطلاعات حساس را در مدت زمان طولانی جمع‌آوری کند. برای آزمون، به یاد داشته باشید که یک APT شامل یک حمله پیچیده و سازماندهی شده است که به مهاجم اجازه می‌دهد به مدت زمان طولانی به سیستم دسترسی داشته باشد.

■   تهدیدهای خودی یا درون سازمانی: نکته بسیار مهمی که باید به خاطر بسپارید این است که شما باید به همان اندازه که از دارایی‌های خود در برابر افراد داخل سازمان محافظت کنید، از آن‌ها در برابر افراد خارج از سازمان محافظت کنید. شرکتی که فقط بر روی داشتن یک فایروال برای محافظت در برابر هکرها در اینترنت تمرکز می‌کند و کاملاً فراموش می‌کند که دارایی‌های افراد داخلی یا کارمندان را ایمن کند، مطمئناً حوادث امنیتی را تجربه می‌کند.

■   رقبا: رقبا می‌توانند از هکرها برای سوء استفاده از سیستم‌های شرکت شما برای کشف اسرار محصولات و خدمات جدیدی که شرکت شما روی آن‌ها کار می‌کند استفاده کنند. آن‌ها می‌توانند از هکرها برای سوء استفاده از سیستم‌های شما استفاده کنند تا در خدمات شما اختلال ایجاد کنند تا مشتریان شما به دنبال کسب و کار در جای دیگری باشند.

■   سندیکای جنایی (Criminal syndicates): سندیکای جنایتکاران یک بازیگر تهدید کننده است که ارتباط نزدیکی با سازمان‌های مجرم سازمان‌یافته یا سازمان‌های زیرزمینی دارد.

■   ‌فناوری اطلاعات در سایه (Shadow IT): اصطلاحی است که برای توصیف افرادی استفاده می‌شود که سیستم‌ها یا راه‌حل‌های فناوری اطلاعات را بدون اطلاع و اجازه بخش فناوری اطلاعات به کار می‌گیرند. به عنوان مثال، بخش حسابداری ممکن است تصمیم بگیرد که یک روتر خانگی بی سیم را به شبکه متصل کند تا کارمندان بتوانند لپ‌تاپ‌های خود را به بخش‌‌های مختلف ساختمان ببرند و همچنان به شبکه دسترسی داشته باشند. این یک خطر بزرگ برای شرکت ایجاد می‌کند زیرا روتر بی‌سیم یک دستگاه غیرمجاز است و با پیروی از سیاست امنیتی شرکت تعریف نشده است.

نکته: برای آزمون Security+ لازم است در ارتباط با انواع مختلفی از بازیگران تهدید که به طور بالقوه می‌توانند برای سازمان خطرآ،رین باشند اطلاعات لازم را داشته باشید. مطمئن شوید که روی مفاهیمی مثل APT، Shadow IT، بازیگران دولتی، هکتیویست‌ها و Script kiddies  تحقیقات لازم را انجام داده‌اید.

ویژگی‌های مشهود بازیگران تهدید

هنگام ارزیابی پتانسیل تهدید بازیگران مختلف، تعدادی ویژگی مختلف وجود دارد که باید در نظر بگیرید. موارد زیر برخی از ویژگی‌های رایجی است که باید هنگام ارزیابی عوامل تهدید در نظر گرفت:

■   بازیگران داخلی/خارجی: معمولاً برای طبقه‌بندی تهدیدات از اصطلاح داخلی و بازیگران استفاده می‌شود. یک بازیگر داخلی می‌تواند یک کارمند ناراضی باشد که می‌خواهد به خاطر عدم افزایش حقوق یا ارتقای شغلی تلافی کند. یک بازیگر خارجی فردی خارج از سازمان است که قصد دارد شبکه سازمان را هک کند.

■   سطح پیچیدگی/قابلیت: بسیاری از عوامل تهدید دارای سطح بالایی از دانش فنی یا مهارت‌های اجتماعی هستند. با این حال، سطح پیچیدگی به بازیگر بستگی دارد. به عنوان مثال، یک تازه‌کار معمولاً حداقل دانش فنی دارد، اما مهاجمان حرفه‌ای دانش فنی برای سازماندهی و اجرای حملات پیچیده را دارند.

■   منابع/تامین مالی: افرادی که هکر می‌شوند سطوح مختلفی از منابع و بودجه دارند. به عنوان مثال، در حالی که یک تازه‌کار ممکن است نوجوانی با منابع کاملاً محدود در زیرزمین والدین خود و یک لپ‌تاپ مدرسه باشد، یک هکر دولتی ممکن است منابع نامحدودی از جمله سخت‌افزار کامپیوتری پیشرفته و نرم‌افزار پیچیده داشته باشد.  

■   نیت/انگیزه: افرادی که اقدامات مخرب را انجام می‌دهند دلایلی برای انجام آن دارند. انگیزه می‌تواند مالی، سیاسی، انتقام‌جویی یا حتی لاف زدن باشد.

بردارهای تهدید

بردار تهدید اصطلاحی است که برای توصیف ابزاری که یک مهاجم برای به خطر انداختن یک سیستم استفاده می‌کند استفاده می‌شود. از بردارهای تهدید معروف باید به اعتبارنامه‌های به خطر افتاده، پیکربندی نادرست و رمزگذاری ضعیف اشاره کرد. موارد زیر بردارهای تهدید هستند که آزمون گواهینامه Security+ انتظار دارد در مورد آن‌ها اطلاع داشته باشید:

■   دسترسی مستقیم: ممکن است مهاجم به سیستم دسترسی مستقیم داشته باشد. در این حالت می‌تواند مستقیماً از طریق آسیب‌پذیری‌های سیستم به سوء از آن‌ها بپردازد.

■   بی‌سیم: مهاجم ممکن است از طریق یک شبکه بی‌سیم آسیب‌پذیر یا دستگاه بی‌سیم از سیستم سوء استفاده کند. این رویکرد ممکن است شامل یک شبکه بی سیم 802.11 یا فناوری بی‌سیم مانند بلوتوث باشد.

■   ایمیل: مهاجم ممکن است از طریق مهندسی اجتماعی از طریق یک پیام ایمیل به یک سیستم حمله کند، مانند یک ایمیل فیشینگ که کاربر را فریب می‌دهد تا روی پیوندی کلیک کند که به هکر اجازه دسترسی به سیستم را می‌دهد.

■   زنجیره تامین: روش دیگری است که هکرها می‌توانند از آن برای به خطر انداختن امنیت سازمان با هک کردن فروشندگانی که کالاهای یک سازمان را عرضه می‌کنند برای دسترسی به داده‌ها استفاده کنند. در برخی موارد، شرکت می‌تواند با تامین‌کنندگان خود ارتباطات شبکه‌ای بین کسب‌و‌کاری داشته باشد که در صورت حمله هکر به تامین‌کننده، می‌تواند به عنوان دروازه‌ای برای ورود به شبکه استفاده شود. از طرف دیگر، اگر یک تامین کننده قطعاتی را برای تجهیزات شما در اختیارتان قرار دهد، ممکن است هک کردن آن تامین کننده برای وارد کردن اکسپلویت به محصولات یا شبکه یک سازمان آسان‌تر باشد.

■   رسانه‌های اجتماعی: بردارهای حمله رسانه‌های اجتماعی ممکن است شامل دوستی با قربانی در رسانه‌های اجتماعی باشد تا مهاجم بتواند اطلاعات دقیقی درباره قربانی مورد نظر به دست آورد و سپس لینک مخربی برای قربانی ارسال کند.

■   رسانه‌های قابل حمل: رسانه‌های جداشدنی مانند فلش مموری می‌توانند یک بردار حمله باشد، جایی که مهاجم ویروسی را روی حافظه فلشی قرار می‌دهد که پس از اتصال به درایو USB سیستم، سامانه قربانی را هدف قرار می‌دهد.

■   ابر: محیط ابری می‌تواند روشی باشد که هکر از آن برای به خطر انداختن محیط یک سازمان استفاده می‌کند. گاهی أوقات تمرکز امنیتی روی شبکه‌هایی که ترکیبی از شبکه‌های سنتی و ابرمحور هستند سخت است. برخی از راه‌حل‌های ابری یک اتصال مستقیم به سبک VPN بین شبکه ابری و شبکه داخلی برقرار می‌کنند. در این مورد، سرورهای ابری باید به اندازه سیستم‌های داخلی محافظت شوند تا از دسترسی غیرمجاز به محیط‌های ابری محافظت کنند.

در شماره آینده مبحث فوق را ادامه می دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

تلفن: 02188549150           کانال: Asrehshabakeh@


تبلیغات لینکی: 

استخدام پشتیبان شبکه - قیمت گوشی موبایل سامسونگ - فروش کابل شبکه 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟