پروازی بر دنیای امنیت شبکه (قسمت دوم) – طبقه‌بندی

با سلام و عرض خسته‌نباشید خدمت تمام نتورک‌باز های عزیز.در ادامه ی قسمت قبل از این سری آموزشی و در ادامه ی مبحث هزینه در برابر منافع ، امروز به طبقه‌بندی ها میپردازیم و میبینیم که در Asset(دارایی)ها و Vulnerability(آسیب‌پذیری)ها چه چیزها و زیرمجموعه هایی قرار میگیرند و سپس به تحلیل آنها میپردازیم.

طبقه‌بندی دارایی‌ها

یکی از دلایلی که ما بخاطرش به ‌طبقه‌بندی و دسته‌بندی دارایی ها میپردازیم، این است که بتوانیم باتوجه به گروه و دسته‌بندی ای که دارایی درآن قرار دارد و بر اساس قوانین مشخص شده ، یک بازخورد و actionـه خاص انجام دهیم. به عنوان مثال VPN یا همان Virtual Private Network هارا در نظر بگیرید.ما دسته‌بندی ها و ترافیک های خاصی را در نظر میگیریم که باید از طریق بستر Tunnelـه VPN عبور کنند؛ با طبقه‌بندی کردن داده ها و علامت‌گذاری آنها (مثل علامت‌گذاریه "فوق محرمانه" بروی داده‌های یک هارد دیسک)، میتوانیم به میزان درست و مناسبی بروی امنیت و محافظت از یک سری داده ها تمرکز کنیم. مثلا امنیت و سخت‌گیری بیشتر برای داده های فوق‌سِرِّی، نسبت به داده های دسته‌بندی نشده.

فایده و مزیت ایجاد کردنِ طبقه‌بندی های مختلف در آنجاست که وقتی دیتای جدید وارد سیستم میشود، شما میتوانید آنهارا دسته‌بندی کنید و در دسته‌ی مربوط به خو ، مانند "فوق سری" ، "محرمانه" ، "معمولی" و ... قرار دهید و سپس دیتای شما به همان میزان سطح امنیتی ای که برای اون نوع داده تنظیم و پیکربندی کرده بودید، امن و محافظت میشود. برای مثال ، جدول زیر لیستی از "طبقه‌های مربوط به دارایی"(موارد مشابه و آنهایی که عموما استفاده میشود) را در مکان‌های مختلف را نشان میدهد.

طبقه‌بندی آسیب‌پذیری‌ها

درک و اطلاع از آسیب‌پذیری ها و ضعف های یک سیستم ویا یک شبکه ، یک قدم بزرگ و مهم برای درست کردن آن آسیب‌پذیری‌ها ویا پیاده سازی راهکاره مقابله ی مناسب برای کاهش ویا ازبین بردن تهدیدات علیه آن آسیب‌پذیری‌ها میباشد.

آسیب‌پذیری های یک شبکه میتوانند بسیار زیاد باشند ، که میتوانند ناشی از یک یا چند مورد از اشکالات و اشتباه های زیر باشند.

  • عیب و اشکال در قوانین مشخص شده (Policy flaws)
  • خطاها و اشکال های طراحی (Design errors)
  • ضعف،باگ و اشکال در پروتکل‌ها(Protocol weaknesses)
  • پیکربندی اشتباه (Misconfiguration)
  • باگ و آسیب‌پذیری نرم افزاری (Software vulnerabilities)
  • عوامل انسانی (Human factors)
  • بد افزارها (Malicious software)
  • باگ و آسیب‌پذیری سخت‌افزاری (Hardware vulnerabilities)
  • دسترسی فیزیکی (Physical access)

سیسکو و دیگر کمپانی ها،هرکدام صفحه ای در وبسایت خود ایجاد کرده اند که درآن تهدیدات(threats) را بصورت عمومی به مشتریان خود اعلام میکنند. CVE یا همان Common Vulnerabilities and Exposures ، دیکشنری ای عمومی از آسیب‌پذیری ها میباشد که به راحتی میتوانید با استفاده از موتور جستجوگر موردعلاقه ی خود ، آسیب‌پذیری های گوناگونه ثبت‌شده را درآن پیدا کنید.همچنین یک NVD داریم که اختصار National Vulnerability Database میباشد. این سیستم یک مخزن جهانی از اطلاعات آسیب‌پذیری ها  بصورت استاندارد میباشد.

طبقه‌بندی اقدامات متقابل(Countermeasures)

در ابتدا بیآید بررسی کنیم که Countermeasures یا اقدام متقابل چیست ؟ "اقدام متقابل" یا "Countermeasures" یک Device ویا یک فرآیند(شاید یک راهکار) است که برای جلوگیری از تهدیدات پیاده سازی میشود و بدین ترتیب باعث کاهش ریسک میشود. بعد از اینکه یک کمپانی دارایی خورد را شناسایی کرده و ریسک هایی که مربوط به آن دارایی میباشند (درمورد تهدیدات بر علیه یک آسیب‌پذیری) را مورد توجه قرار داد،حالا میتواند تصمیم به پیاده سازی اقدام متقابل، جهت کاهش ریسک پیش آمدنه یک "حمله ی موفق" بگیرد. چند مِتُدِ کنترل ،که عموما برای اقدام متقابل پیاده سازی میشود:

  • ـAdministrative: این مورد میتواند شامل قوانین شرکت،دستور العملها،استانداردها و... باشد.
  • ـPhysical: همانطور که از نامش مشخص است ، این مورد محدود سازی دسترسی فیزیکی برای کاربران عادی میباشد.به عنوان مثال قفل گذاشتن برای رک ها و اتاقهایی که سوئیچ ها ، سرور ها و دیگر تجهیزات در آن قرار گرفته اند.
  • ـLogical: این مورد شامل پسوردها،فایروالها،IPSها،ACL ها،VPN Tunnetها و الی آخر ، میشود.این مورد معمولا به کنترل های فنی اشاره دارد.

تمامی کنترل ها بصورت برابر ساخته نشده اند و تمام آنها انتظارات یکسانی نمیرود (باتوجه به محیطی که درآن حضور داریم).اما بصورت کلی، کنترلها میبایستی بازدارنده ی تهدیدات باشند.

با ریسک(Risk) ، چه کنیم؟

شما میتوانید با روشهای گوناگونی با ریسک ها مواجه شوید ، و آنهارا کاهش داده ویا از بین ببرید.به عنوان مثال با قرار ندادن webserver کمپانیه خود در اینترنت، مسلما میتوانید ریسکه حمله به آن را کاهش دهید. اما آیا این مورد برای کمپانی ای که نیاز به وب‌سروری در اینترنت دارد ، جوابگو است؟ راهکار دیگری که اینجا ممکن است جوابگو باشد این است که شما ریسک را به شخص دیگری منتقل کنید. برای مثال بجای میزبانی webserver خود در شبکه ی داخلی، آنرا به یک Service Provider بسپارید و سرور خودرا در دیتاسنتر او قرار دهید.SP کاملا مسئولیت تمامی خطرات و ریسک هارا بر عهده میگیرد و به مشتری اش SLA و گارانتی محافظت از داده را میدهد؛ اما به این نکته توجه داشته باشید که حتی SP هم نمیتواند کاملا ریسک را برای شما از بین ببرد.

پس با توجه به اینکه SP مسئولیت ریسک های شمارا برعهده گرفته است، چطور از پس آن برمی‌آید ویا اصطلاحا چطور این مورد را handle میکند؟ این‌موضوع دقیقا همان چیزیست که شما در کتاب های مربوط به امنیت شبکه یاد خواهید گرفت(که در این سری آموزشی هم ممکن است به بعضی از راهکار ها اشاره کنیم). با پیاده سازی اقدامِ متقابلِ مناسب.

در قسمت آینده به تشخیص تهدیدات شبکه که به صورت فعلی وجود دارد میپردازیم.

موفق باشید.