آشنایی با مفاهیم تست نفوذ، مدیریت سطح حمله خارجی و مدیریت آسیب‌پذیری

سیستم‌های تشخیص نفوذ

در دنیای دیجیتال امروزی مهاجمان همواره در حال پیشرفت هستند. همچنین با توجه به اجرای پیوسته حملات عظیم، رخنه‌های اطلاعاتی، کلاهبرداری‌های دیجیتال و حملات باج‌افزاری، حفظ امنیت سایبری کار چندان آسانی نیست. برای رفع این چالش‌ها، پیش از هر چیز باید با اصول ابتدایی امنیت سایبری آشنا شده و راهکارهای موجود را ارزیابی کنیم. همچنین باید روش‌هایی با بهترین نتایج جهت بازگشت سرمایه ارتقا دهیم. آسیب‌پذیری، تهدید، ریسک و تدابیر امنیتی از جمله اصطلاحات مهم در زمینه امنیت سایبری هستند. در ادامه هر یک از این موارد را مورد بررسی قرار می‌دهیم.

تعریف مفاهیم پایه

مسئولان امنیت سایبری برای ایمن‌سازی فضای سایبری و کاهش ریسک‌ها از تدابیر امنیتی مختلفی استفاده می‌کنند. در این مطلب سه ابزار مدیریت آسیب‌پذیری ([1]VM)، تست نفوذ (PT[2]) و مدیریت سطح حمله خارجی (EASM[3]) را مورد بررسی قرار می‌دهیم. در ادامه درباره مفهوم این روش‌ها، محدوده آنها و شباهت و تفاوت‌هایشان صحبت می‌کنیم.

مدیریت آسیب‌پذیری چیست؟

فرایند مدیریت آسیب‌پذیری به صورت پیوسته و با هدف شناسایی، ارزیابی، اولویت‌بندی، مدیریت و کاهش تأثیر آسیب‌پذیری‌ها اجرا می‌شود. در این فرایند، مسئولان امنیت سایبری به صورت پیوسته اسکن آسیب‌پذیری را اجرا می‌کنند تا آسیب‌پذیری‌های جدید را شناسایی و برای رفع‌شان وصله‌های امنیتی را اعمال کنند و فرایندهای لازم را طی ‌کنند. برای اولویت‌بندی وصله‌های امنیتی از طرح‌های رتبه‌بندی آسیب‌پذیری مثل سیستم مشترک رتبه‌بندی آسیب‌پذیری (CVSS[4]) و محاسبه ریسک استفاده می‌شود.

در مدیریت آسیب‌پذیری، محدوده هر دارایی از پیش مشخص شده و هیچ دارایی جدیدی فراتر از این محدوده شناسایی نمی‌شود. در این فرایند معمولاً از مجموعه آی‌پی‌های شناخته شده سازمان استفاده می‌شود. پس از شناسایی آسیب‌پذیری‌ها، مرحله سوءاستفاده از آنها وجود ندارد. ممکن است برخی از آسیب‌پذیری‌های شناسایی شده قابل بهره‌برداری نباشند در نتیجه احتمال تشخیص مثبت کاذب هم وجود دارد. در مجموع، مدیریت آسیب‌پذیری قابلیت دید بلادرنگ را برای دارایی‌های از پیش شناخته شده ایجاد می‌کند.

تست نفوذ چیست؟

تست نفوذ مجموعه‌ای از حملات شبیه‌سازی شده برای شناسایی آسیب‌پذیری‌هایی است که امکان سوءاستفاده از آنها توسط مهاجمان و دسترسی غیرمجاز به سیستم‌ها یا داده‌ها وجود دارد. این تست، در یک محدوده خاص و بر اساس مجوزهایی مشخص اجرا می‌شود. تست نفوذ حوزه و مجوزهای مشخصی دارد اما پوشش آن نسبت به مدیریت آسیب‌پذیری محدودتر است.

بر اساس دانش قبلی موجود درباره سیستمی که قرار است تست شود، این تست به چند گروه مختلف تقسیم می‌شود که عبارتند از: تست‌های جعبه سیاه، جعبه سفید و جعبه خاکستری. در تست جعبه سیاه، مهاجمان هیچگونه اطلاعاتی از قبل درباره سیستم ندارند اما در تست جعبه سفید ممکن است سورس کدهای سیستم را از پیش داشته باشند. در تست جعبه خاکستری هم احتمال دارد مهاجمان از قبل یکسری دسترسی و امتیاز خاص داشته باشند. اجرا کنندگان تست نفوذ سعی می‌کنند امنیت سیستم را با استفاده از ابزارها و تکنیک‌هایی مشابه با آنچه مهاجمان در اختیار دارند، نقض کنند. این ابزارها خودکار یا دستی هستند.

اجراکنندگان تست نفوذ از آسیب‌پذیری‌های شناخته شده سوءاستفاده می‌کنند و درباره مسیرهای حمله مربوط به سازمان تحقیق می‌کنند. بنابراین در این روش، تشخیص مثبت کاذبی وجود ندارد یا تعدادشان بسیار کم است. فرایند تست نفوذ معمولاً بین یک تا چهار بار در سال اجرا می‌شود و دید بلادرنگی درباره سطح حمله فراهم نمی‌کند. در مجموع، تست نفوذ بهره‌وری سازوکارهای دفاعی را بررسی کرده و فرایند مقابله با آسیب‌پذیری‌های شناخته شده و به‌روزرسانی سیاست‌های امنیتی را هدایت می‌کند.

تست نفوذ چیست؟

مدیریت سطح حمله خارجی

سطح حمله هر چیزی است که مهاجمان می‌توانند حین تحقیق در اینترنت درباره سازمان مدنظرشان، آن را کشف کرده و از آن سوءاستفاده کنند. می‌توانیم با نقشه‌برداری فعالانه از ردپای دیجیتال، نظارت بر کانال‌های آنلاین برای تشخیص علائم حمله، خنثی‌سازی سریع تهدیدات شناخته شده و حفاظت از مشتریان، کارمندان و شبکه‌ها سطح حمله را کاهش دهیم.

مدیریت سطح حمله خارجی یک فرایند مستمر است که ریسک‌های موجود در دارایی‌های متصل به اینترنت را شناسایی و مدیریت می‌کند. در این فرایند، همه دارایی‌های شناخته شده یا نشده (در سازمان، محیط ابر، زیرمجموعه‌های شرکت، اشخاص ثالث یا محیط‌های همکار) از دید یک مهاجم و با دیدی خارج از سازمان شناسایی می‌شوند. فقط با مشاهده همه دارایی‌های قابل مشاهده برای مهاجمان می‌توانیم سطح حمله را کاهش دهیم.

بر خلاف تست نفوذ و مدیریت آسیب‌پذیری، مدیریت سطح حمله خارجی در گرو اجرای یک مرحله پیوسته مجزا یعنی شناسایی دستگاه‌ها است. در این مرحله می‌توانیم دستگاه‌های شناخته نشده را پیدا کنیم. بنابراین، محدوده دارایی‌ها صرفاً شامل آنچه که از قبل شناسایی شده نیست بلکه دارایی‌های شناسایی نشده هم در ردپای دیجیتال ما در نظر گرفته می‌شوند.

مشابه مدیریت آسیب‌پذیری، در این مرحله هم توجهی به بهره‌برداری از یافته‌ها نداریم. بنابراین امکان وجود تشخیص‌های مثبت کاذب در این فرایند وجود دارد اما با توجه به هدف اصلی یعنی تحقق دید کامل، وجود چنین تشخیص‌های مثبت کاذبی قابل توجیه هستند. نظارت بر سطح حمله خارجی، دارایی‌های دیجیتال شناخته شده و ناشناس تحت مدیریت سازمان یا اشخاص ثالث مجاز را پوشش می‌دهد اما سطح حمله شامل دارایی‌های مخرب/جعلی ایجاد شده توسط مهاجمان و داده‌های حساس فاش شده از سوی کارمندان یا مشتریان نیز می‌باشد. بنابراین با EASM موارد زیر را هم نظارت می‌کنیم:

در واقع مدیریت آسیب‌پذیری امکان کاهش ریسک‌های موجود در دارایی‌های شناسایی شده را هم فراهم می‌کند.

شباهت‌ها و تفاوت‌ها

نحوه عملکرد سیستم‌های تشخیص نفوذ و انواع آنها

از سیستم‌های تشخیص نفوذ (IDS[5]) جهت شناسایی ناهنجاری‌ها و با هدف به دام انداختن هکرها پیش از ایجاد آسیب در شبکه استفاده می‌شود. تیم‌های امنیتی از این سیستم‌ها جهت تحلیل ترافیک شبکه، شناسایی فعالیت‌های مشکوک و ارسال هشدار استفاده می‌کنند. تعدادی از این سیستم‌ها حتی توانایی انجام اقدام در صورت شناسایی ترافیک ناهنجار یا فعالیت مخرب را هم دارند. برای مثال این سیستم‌ها می‌توانند ترافیک ارسالی از سمت آدرس‌های آی‌پی مشکوک را مسدود کنند. بعضی از سیستم‌های تشخیص نفوذ به نوعی در تقابل با سیستم‌های جلوگیری از نفوذ (IPS[6]) قرار دارند. راهکار امنیتی IPS هم مثل IDS بر ترافیک شبکه نظارت داشته تا ترافیک مخرب را شناسایی نماید. علاوه بر تشخیص، ثبت تهدیدات و اعلان هشدار، جلوگیری و مقابله با نفوذهای سایبری نیز از جمله اهداف اصلی راه‌اندازی IPSها است.

سیستم‌های تشخیص نفوذ به صورت پیوسته در حال تلاش برای شناسایی نشانه‌های حملات شناخته شده یا رفتارهای غیرعادی در شبکه‌ها و سیستم‌ها هستند. آنها به خوبی قابلیت تشخیص رویدادهای امنیتی و حملات مسموم‌سازی سیستم نام دامنه[7] را دارند. ممکن است IDS به صورت یک نرم‌افزار بر روی سیستم مدنظر یا به عنوان یک تجهیز امنیتی در شبکه نصب شود.

سیستم‌های تشخیص نفوذ می‌توانند مبتنی بر شبکه، میزبان یا ابر باشند. IDS مبتنی بر میزبان، بر روی کلاینت‌ها نصب می‌شود در حالی که IDS مبتنی بر شبکه، در شبکه استقرار می‌یابد. سیستم‌های تشخیص نفوذ مبتنی بر ابر هم برای حفاظت از داده‌ها و سیستم‌های مستقر شده بر روی بستر ابر طراحی شده‌اند. انواع سیستم‌های تشخیص نفوذ و روش‌های مورد استفاده توسط هر کدام از آنها به شرح زیر است:

سیستم‌های تشخیص نفوذ معمولاً به دو گروه فعال یا غیرفعال (منفعل) تقسیم می‌شوند. سیستم‌های تشخیص نفوذ منفعل در صورت شناسایی فعالیت مخرب فقط یک هشدار یا گزارش را ثبت نموده و دیگر هیچ‌ اقدام خاصی انجام نمی‌دهند. در حالی که سیستم‌های فعال (که با عنوان سیستم‌های تشخیص و جلوگیری از نفوذ هم شناخته می‌شوند) علاوه بر تولید لاگ و ثبت وقایع، قابلیت انجام کارهایی مثل مسدود کردن آدرس آی‌پی یا قطع دسترسی به منابع محدود شده را هم دارند.

Snort را می‌توان از جمله پرکاربردترین سیستم‌های تشخیص نفوذ دانست. بعضی از ویژگی‌های آن عبارتند از:

امکانات سیستم‌های تشخیص نفوذ

سیستم‌های تشخیص نفوذ به صورت پیوسته و بدون وقفه ترافیک شبکه را بررسی و تحلیل نموده و در صورت مشاهده هر فعالیت غیرمجاز سریعاً آن را شناسایی و گزارش‌های لازم را به تیم‌های امنیتی صادر می‌کنند. برخی از ویژگی‌های سیستم‌های تشخیص نفوذ به شرح زیر هستند:

مزایای سیستم‌های تشخیص نفوذ

مهمترین مزیت سیستم‌های تشخیص نفوذ برای سازمان‌ها قابلیت شناسایی حوادث امنیتی است. بعضی از مهمترین مزایای سیستم‌های تشخیص نفوذ شامل موارد زیر هستند:

چالش‌های استفاده از سیستم تشخیص نفوذ

توجه کنید که امکان تشخیص اشتباه هم توسط سیستم‌های تشخیص نفوذ وجود دارد. این سیستم‌ها با تنظیم و پیکربندی صحیح می‌توانند تفاوت‌های موجود در بین ترافیک معمولی و مخرب را تشخیص دهند. اگرچه تشخیص‌های کاذب هیچ آسیب جدی به شبکه وارد نکرده و حتی ممکن است منجر به پیکربندی بهتر در شبکه شوند ولی اگر IDS یک تهدید امنیتی را جزو ترافیک مجاز در نظر بگیرد و به آن مجوز ورود به شبکه را بدهد ممکن است مخاطرات جدی برای سازمان ایجاد شود.

در چنین شرایطی تیم‌های امنیتی معمولاً زمانی متوجه وقوع حادثه می‌شوند که کل شبکه سازمان تحت تأثیر حمله قرار گرفته است. بنابراین باید IDS را به گونه‌ای تنظیم کنید که نسبت به رفتارهای غیرعادی حساسیت بیشتری داشته باشد. در این صورت ایجاد تشخیص‌های مثبت کاذب بهتر است از نادیده گرفتن ترافیک‌های غیرمجاز.

بدافزارها همواره رو به رشد بوده و پیچیده‌تر می‌شوند. مهاجمان نیز تلاش می‌کنند تغییرات چشم‌گیری را در الگوهای رفتاری که توسط سیستم‌های تشخیص نفوذ شناسایی شده‌اند ایجاد نمایند. از این رو تشخیص آلودگی‌های منفی کاذب برای سیستم‌های IDS به ویژه سیستم‌هایی که از نوع SIDS هستند مشکل مهمی محسوب می‌شود. در نتیجه سازمان‌ها همواره به سیستم‌هایی نیاز دارند که قابلیت تشخیص رفتارهای مخرب و مقابله با تهدیدات جدید را داشته باشد.

**خلاصه‌ای از شباهت‌ها و تفاوت‌های مفاهیم بررسی شده در جدول زیر ارایه شده است.

مدیریت آسیب‌پذیری

تست نفوذ

مدیریت سطح حمله خارجی

زمانبندی

پیوسته

یک باره

پیوسته

قابلیت دید بلادرنگ

بله

خیر

بله

سوءاستفاده

خیر

بله

خیر

محدوده دارایی‌ها

شناخته شده

شناخته شده

شناخته شده، ناشناس، شخص ثالث، جعل شده

شناسایی دستگاه‌ها

خیر

خیر

بله

مثبت کاذب

مقداری

خیلی کم

مقداری

مراحل

تشخیص، ارزیابی، اولویت‌بندی و اصلاح

برنامه‌ریزی، شناسایی، سوءاستفاده، گزارش‌دهی، اصلاح، تست مجدد

تشخیص، ارزیابی، اولویت‌بندی و اصلاح

زاویه دید ارزیابی

خارجی، داخلی یا بین این دو

خارجی، داخلی یا بین این دو

خارجی

ابزارها

خودکار

خودکار و دستی

خودکار

 نتیجه‌گیری

هر کدام از این روش‌ها دارای مزایای منحصر بفردی هستند و بکارگیری همزمان هر سه تای آنها برای تقویت امنیت سایبری ضروری است. برای مثال، مدیریت آسیب‌پذیری متمرکز بر آسیب‌پذیری‌های شناخته شده است اما تست نفوذ می‌تواند آسیب‌پذیری‌های ناشناخته موجود در محصولات درون سازمانی را شناسایی کند و مدیریت سطح حمله خارجی هم دارایی‌های آسیب‌پذیر ناشناخته را پیدا می‌کند.

البته با توجه به محدودیت بودجه، اولویت‌بندی را باید بر اساس فرمول ریسک انجام دهیم یعنی «تأثیر ضربدر احتمال». دقت کنید در صورت عدم محاسبه کامل ریسک، نمی‌توانیم اقدامات مناسب را هم انجام دهیم.

با EASM می‌توانیم نمره ریسک همه دارایی‌های قابل مشاهده یا مواردی که قبلاً قابل مشاهده نبودند را مشخص کنیم؛

بنابراین می‌توانیم بین این سه گزینه، EASM را اولین گزینه در نظر بگیریم.

[1] Vulnerability Management

[2] Penetration Testing

[3] External Attack Surface Management

[4] Common Vulnerability Scoring System

[5] Intrusion Detection System

[6] Intrusion Prevention System

[7] مسموم‌سازی نام دامنه یا جعل سیستم نام دامنه، یک نوع از روش‌های هک است.

[8] Network Intrusion Detection System

[9] Host Intrusion Detection System

[10] Signature-based Intrusion Detection System

[11] Anomaly-based Intrusion Detection System

خروج از نسخه موبایل