SRE at Asa Co. / Agah Group
پروازی بر دنیای امنیت شبکه (قسمت سوم) – شناسایی تهدیدات
با سلام و عرض خستهنباشید خدمت تمام نتورکباز های عزیز . در ادامه ی قسمت قبلی از این سری آموزشی ، در این پست با مبحث شناسایی تهدیدات در خدمتتون هستم. امروزه با حضور و به وجود آمدن تهدیدات جدید و متفاوت ، میتوان گفت تهدیدات همیشه و بصورت مداوم درحال تغییر و پیشرفت میباشند. تقریبا غیر ممکن است که شما وجود تهدید را به صفر برسانید و آنرا از بین ببرید.اما با دانستن طبیعت و ذات تهدیدات، میتوانید خودرا برای حضور تهدیدات جدید آماده کنید.
ـ Potential Attackers: میتوانیم یک کتاب کامل را به حملاتی که طی 15 دقیقه گذشته، در یک جایی بر علیه یک شبکه و یک زیرساخت خاصی اجرا شده اند ، اختصاص داد ؛ اما بجای آنکه سعی کنیم که هزاران تهدیدات و خطرهایی که میتوانند شبکه ی شمارا تهدید کنند را لیست کنیم ، بیآید بررسی کنیم که چه کسانی میتوانند مهاجمین و Attacker های ما باشند:
- تروریستها
- جنایتکاران(هرگونه خلافکار)
- سازمانهای دولتی (!!)
- قومیتها(قومیت های حاضر در یک ایالت)
- هکرها
- کارمندانناراضی (شاید اخراجشدگان ویا آنهایی که حقوقشان ضایع شده است)
- رقبا (کمپانی ویا شخص رقیب شما)
- و درنهایت ، هرکس دیگری که به تجهیزات ویا شبکه ی شما دسترسی دارد .
به عنوان یک متخصص امنیت، شما میبایستی دشمن خودرا بشناسید و سعی کنید مثل آنها فکر کنید. نمیخواهیم بگیم که نیاز هستش که همه به یادگیری هک و نوشتن بدافزار ها و... رو بیاریم، چراکه اینکار کمکی به شما نخواهد کرد؛ اما بسیار کمککننده و مفید است که بتوانید انگیزه ها و علایق اشخاصی که قصد ازبین بردن و شکستن امنیت تمام چیزهایی که شما قصد محافظت از آنرا دارید را، درک کنید.
همچنین نیاز است که درک و اطلاعات کامل و درستی از شبکه ی خود و دیتاهایتان داشته باشید، تا بدانید چه چیزهایی آسیبپذیرند و چه چیزهایی متوانند مورد حمله قرار بگیرند و به عنوان هدف انتخاب شوند.
گاها مهاجمین به دنبال دستآورد مالی میباشند و گاهی هم فقط میخواهند یک برند ویا یک کمپانی شناخته شده را با ضربه به آن ، بدنام کنند.
Attack Methods
- شناسایی(Reconnaissance): این فرآیند جهت پیدا کردن اطلاعات و شناخت نسبت به شبکه استفاده میشود.میتواند شامل Scan کردن شبکه شود ، به عنوان مثال چک کردن "پاسخدادنه" IP ها و درنهایت بررسی پورتهای باز بروی این IPها.این فرآیند معمولا اولین قدمی است که یک مهاجم برمیدارد تا متوجه شود که چه چیزهایی در شبکه وجود دارند و چه آسیبپذیری های بروی آنها موجود است.
- مهندسی اجتماعی(Social Engineering): این روش میتواند در اکثر مواقع یکی از سختترین مواردی باشد که شما با آن سروکار خواهید داشت.حتی با داشتن یک شبکه امن ، مهاجم میتواند یکی از کاربران شمارا به هر طریقی گول بزند و به اطلاعات مورد نیاز خودش دست پیدا کند ؛ بنظر راحت تر از دیگر متدهای شناسایی نیست؟
این کار میتواند از طریق یک ایمیل و تغییر مسیر Web-page های کاربر انجام شود، بدین معنی که کاربر با کلیک بروی لینک ارسال شده ، صفحه ای جعلی هدایت میشود ویا بدون آنکه متوجه شود ، یکسری داده هارا برای مهاجم ارسال میکند(مانند Username/Password).
مهندسی اجتماعی میتواند براحتی از طریق یک تماس تلفنی هم انجام شود. یعنی مهاجم با کاربر تماس بگیرد و خودرا جای رئیس فلان دپارتمان جا بزند و بگوید که به فلان چیز نیاز دارد ، و براحتی کاربر شما اطلاعات مورد نیاز اورا در اختیارش قرار دهد.
- فیشینگ(Phishing): روشی است که به کاربر شما یک لینک ، که شبیه یک لینک اصلی و قابل اعتماد است ارائه میدهد.وقتی کاربر بروی آن کلیک میکند به صفحه ای جعلی هدایت میشود که شبیه صفحه ی اصلی و قابل اعتماد است و از اون اطلاعات میخواهد (مانند صفحه پرداخت یک بانک ، که میتوان از آن اطلاعات و رمز حساب شمارا استخراج کرد ویا یک Portalـه Web-base در سازمان ، که در آن اکانت خودرا وارد میکنید و آن اطلاعات برای مهاجم ارسال میشود.) ویا بدون آنکه متوجه شود ، یکسری اطلاعات را برای مهاجم ارسال میکند(مانند Username/Password/Cookie).
- فارمینگ(Pharming): روشی است که باعث میشود کاربر از یک منبع و یک صفحه قابل اعتماد بدون آنکه متوجه شود ، به یک صفحه ی جعلی و شبیه صفحه ی اصلی ریدایرکت شود. دیگر نگوییم با وارد کردن اطلاعات در آن صفحه ، چه اتفاقی میافتد...
- تشدید دسترسی(Privilege escalation): دراین فرآیند یک مهاجم به هرطریقی دسترسی به یک اکانت را میگیرد و سپس سعی میکند آن دسترسی را افزایش دهد.به عنوان مثال کاربر دسترسی User Mode را به یک Router پیدا میکند ، وسپس با تکنیک Brute-force سعی میکند تا Enable Password را پیدا کند و دسترسی با Privilegeـه 15 داشته باشد.
- درب پشتی / بکدور(Back doors): وقتی یک مهاجم به یک سیستم دسترسی پیدا میکند ، عموما علاقه مند است که آن دسترسی را در آینده هم (برای کارهای دیگر ، حملات دیگر و...) همچنان داشته باشد. پس یک درب پشتی ویا همان راه ورودی برای خود ایجاد میکند تا بتواند در آینده براحتی دسترسی موردنظر خودش را داشته باشد. بسیاری از بکدور ها از طریق کاربران ، با باز کردن یک لینک آلوده ویا یک فایل آلوده نصب میشوند. بکدور ها همچنین به عنوان یک ویروس هم میتوانند پیاده سازی شوند(عموما به آنها Malware ویا بدافزار گفته میشود).
- اجرای کد(Code execution): وقتی که مهاجم دسترسی مورد نیاز خودرا بدست آورد ، قادر به انجام کارهای بسیاری مباشد.نوع این کارها به میزان دسترسی ای که مهاجم درحال حاضر ویا دسترسی ای که میتواند بدست بیاورد و همچنین Permission های کاربری که ازش استفاده میکند ، وابسته و بستگی دارد. یکی از بدترین خطرهایی که میتواند وجود داشته باشد ، دسترسی اجرای کد میباشد.مهاجم میتواند براحتی موارد و اطلاعات مختلف را مشاهده کند ، تنظیمات و Config دستگاه را بهم بریزد ویا باعث DoS و از دسترس خارج شدن Device شود.
در پست آینده ، مبحث شناسایی را ادامه میدهیم و با Attack Vectors ، بحث جذاب Man-in-the-Middle Attacks و... آشنا خواهیم شد.
موفق باشید
مطلبی دیگر از این انتشارات
آشنایی با QoS – بخش ششم (Shaping)
مطلبی دیگر از این انتشارات
پروازی بر دنیای امنیت شبکه (قسمت دوازدهم) – Zone-Based Firewalls
مطلبی دیگر از این انتشارات
پروازی بر دنیای امنیت شبکه (قسمت یازدهم) – طراحی قوانین