اگر یک حساب کاربری با گذرواژه و رمز عبور پیشفرض بر روی یک دستگاه زیرساخت فعال باشد، نیازی به برنامه ریزی و انجام یک حمله پیچیده برای نفوذ به زیرساخت نخواهد بود و مهاجم می تواند به راحتی با اطلاعات پیشفرض -که تغییر پیدا نکرده اند- به دستگاه وارد شده و برنامه های مخرب خود را پیش ببرد. یک راهکار متداول برای امن سازی تجهیزات شبکه، استفاده از چارچوب امنیتی سیسکو (CSF) است که از آن برای حصول اطمینان از به کارگیری نیازهای امنیتی مربوط به بخشهای مختلف شبکه استفاده می شود.
پیادهسازی استانداردهای مدیریت امنیت اطلاعات مانند ISO 27001 و استفاده از محصولات امنیتی (مانند آنتی ویروس و فایروال)، راهکارهای متداول برای بهبود وضعیت امنیتی زیرساختها و سامانههای مبتنی بر فناوری اطلاعات هستند. اما آیا برای اطمینان از شرایط امنیت سایبری، میتوان به اجرای پراکنده این موارد اکتفا کرد؟ یا باید راهکارهای امنیتی را در قالب یک جامع تدوین، پیاده سازی و پایش نموده و آن را بصورت دوره ای به روز رسانی نمود؟
طراحی راهکارهای امنیتی ممکن است الزاماً به خرید تجهیزات جدید امنیتی منجر نشود و تنها با استفاده بهینه از امکانات موجود و بازنگری پیکربندی های امنیتی آنها بتوان به سطح قابل قبولی از امنیت رسید. با این رویکرد، هر سازمان متناسب با داراییها، قواعد سازمانی، ارزشهای تعریف شده و تهدیدهای قابل پیش بینی، یک مدل جامع امنیتی (Security Master Plan) خواهد داشت که بتواند محافظت بهینه اطلاعات را برای آن سازمان ایجاد نماید.
خرید و نصب تجهیزات امنیتی به تنهایی پاسخگوی نیازهای امنیتی سازمانها نیست. این تجهیزات تا زمانی که متناسب با شرایط و سرویسهای سازمانی به طور دقیق پیکربندی نشوند، کارایی زیادی نداشته و اتلاف منابع سازمانی را در پی خواهد داشت. بنابراین ضرورت دارد تا پیکربندی تجهیزات امنیتی توسط کارشناسان خبره و مطلع از جوانب مختلف کسب و کار و تهدیدات امنیتی، بررسی شده و در صورت لزوم مورد بازنگری قرار گیرد. این کارشناسان با شناخت و اشرافی که نسبت به تجهیزات زیرساخت و امنیت آن دارند و همچنین با تعامل با تیمهای ارزیابی امنیتی، وضعیت امنیت تجهیزات و سرویسها را بررسی کرده و نقاط ضعف آنها را استخراج می کنند. نهایتاً با استفاده از چک لیستهای امن سازی که برای هر یک از تجهیزات و یا سرویسها دارند، نسبت به امن سازی آنها اقدام خواهند کرد. جدول زیر نمونه چک لیست بررسی تنظیمات احراز هویت و مجوز دسترسی به تجهیزات است.
ردیف |
عنوان |
پاسخ |
توضیحات |
1 |
آيا احراز هويت، اعطاء اختيارات و حسابرسي مديريت تجهیز به صورت AAA انجام مي شود؟ |
|
|
2 |
آيا براي مديريت دستگاه (در حالت عدم دسترسی به AAA)، نام هاي كاربري مورد نياز بر روي آن به صورت Local نیز تعريف شده اند؟ |
|
|
3 |
آیا برای هرکدام از Administrator های تجهیز یک اکانت جداگانه تعریف شده است؟
(عدم استفاده از اکانت ادمین مشترک) |
|
|
4 |
آیا دسترسی مدیریتی هر یک از کاربران، صرفاً در سطح موردنیاز ایجاد شده است؟ |
|
|
5 |
آیا هرگونه حساب کاربری اضافه و بلااستفاده از روی تجهیز حذف شده است؟ |
|
|
6 |
آيا كلمه رمز بكار رفته داراي پيچيدگي (حروف بزرگ، كوچك ، اعداد و كاراكترهاي خاص) است؟ |
|
|
7 |
آیا براي ايمن سازي كلمات عبور تجهيزات، از الگوريتم های رمزنگاری استفاده شده است؟ |
|
|
باید توجه داشت که امن سازی یک فعالیت مستمر است که باید بصورت دوره ای انجام شود؛ زیرا راهکارهای امنیتی، تجهیزات آن و وصله های امنیتی که توسط سازندگان و توسعه دهندگان محصولات سایبری ارائه می شوند، بصورت دوره ای مورد بازنگری قرار گرفته و متناسب با تهدیدات جدید، به روز می شوند.
تیم امنسازی ارتباط تنگاتنگی با تیم ارزیابی امنیتی یا همان تست نفوذپذیری دارد و علاوه بر پیادهسازی راهکارهای امنسازی معرفی شده توسط تیم تست نفوذ، شرایط امنیتی زیرساختهای فناوری اطلاعات کارفرما را بررسی و آخرین و بهروز ترین روشهای امنسازی را بر روی آنها پیادهسازی میکنند. این امنسازی ممکن است طیف وسیعی از خدمات از بهروز رسانی سیستم عاملها تا رمزنگاری پایگاههای داده، از محدود کردن دسترسی فیزیکی به تجهیزات و شبکه تا نصب وصلههای امنیتی را شامل شود.
تیم امن سازی آشنا ایمن با تکیه بر تجربه حاصل از اجرای پروژه های متعدد حرفهای و مطالعه و تحقیق مستمر بر روی تجهیزات و فناوری های امنیتی روز جهانی، دارا بودن مجوز فعالیت از افتای ریاست جمهوری، سازمان پدافند غیرعامل و شورای عالی انفورماتیک کشور آماده ارائه خدمات تحلیل امنیتی زیرساختهای فناوری اطلاعات سازمانها و امن سازی آنها در چارچوبهای زیر است:
- تحلیل پیکربندی تجهیزات و سرویسها
- تعیین نقاط ضعف امنیتی در بخش زیرساخت
- امنسازی زیرساختهای فیزیکی و مجازی
- معماری مجدد امنیت زیرساختهای فناوری اطلاعات
- پیکربندی دقیق (Tuning) تجهیزات امنیتی با همراهی تیم تست نفوذ جهت بستن کلیه رخنه های امنیتی احتمالی
- نگهداری و بروز رسانی تجهیزات امنیتی
- تهیه چک لیستهای امنیتی برای سرورها و سیستم عاملها
- تهیه چک لیستهای امنیتی برای پایگاههای داده
- تهیه چک لیستهای امنیتی برای کلاینتها
- تهیه چک لیستهای امنیتی برای برنامه های کاربردی
- تهیه چک لیستهای امنیتی برای تجهیزات شبکه
- تهیه چک لیستهای امنیتی برای فایروالها و تجهیزات امنیتی