با بررسي بدترين نقايص امنيتي سازمانها، متوجه ميشويد كه مديران شبكه اشتباهات مشابهي را به دفعات مرتكب ميشوند؛ در حالي كه بهسادگي ميتواند مانع بروز اين اشتباهات شوند. در سال 2007 مؤسسه Verizon Business، نود نقص امنيتي را تحليل کرد. اين نقايص زمينهساز 285 ميليون تهديد امنيتي بودند. اغلب اين رخدادها شامل جرائم سازماندهي شده بودند كه در جريان آنها ابتدا يك نقطه بدون محافظ در شبكه شناسايي شده و سپس اطلاعات مربوط به كارتهاي اعتباري، شمارههاي تأمين اجتماعي يا اطلاعات شخصي كاربران شبكه به سرقت رفته است.
نكته جالب توجه اين كه نقايص امنيتي مورد بحث حاصل بيدقتي مديران شبكه در انجام مراحل ايمنسازي سيستمها، بهويژه سرورهاي كماهميت بودند. پيتر تيپت، معاون فناوري و نوآوري در مؤسسه Verizon Business ميگويد: «ما اصول اوليه را رعايت نميكنيم.» وي از هجده سال قبل وظيفه بررسي نقايص امنيتي را بر عهده دارد. تيپت ما را ياري كرد تا فهرستي از سادهترين اقدامات يك مدير شبكه را بهمنظور جلوگيري از بروز اغلب نقايص امنيتي گردآوري كنيم.
1- عدم تغيير كلمات عبور پيشفرض در تمام تجهيزات شبكه
تعداد شركتهايي كه يك سرور، سوييچ، روتر يا دستگاه ديگري را با كلمه عبور پيشفرض (كه معمولاً واژه password يا admin است) درون شبكه به كار ميگيرند، خيره كننده است. اغلب مديران اطلاعات تصور ميكنند، چنين مشكلي براي آنها پيش نميآيد، اما تيپت هرروز با نمونههايي از اين مشكل مواجه ميشود.
تيپت معتقد است براي اجتناب از اين مشكل علاوه بر سيستمهايي كه بهطور مستقیم با اينترنت مرتبط هستند يا از اهميت بالايي برخوردارند، بايد تمام تجهيزات شبكه را كه يك آدرس IP اختصاصي دارند، بهمنظور يافتن نقاط آسيبپذيري اسكن كنيد. سپس بايد كلمات عبور پيشفرض را تغيير دهيد. بر اساس تحقيقات مؤسسه Verizon، بيش از نيمي از حملههاي ثبت شده در سال گذشته، در نتيجه استفاده از كلمات عبور پيشفرض در تجهيزات شبكه رخ داده است.
2- استفاده از يك كلمه عبور مشترك براي چندين دستگاه موجود در شبكه
بهطور معمول، كاركنان بخش IT در سازمانها از يك كلمه عبور مشترك براي چندين سرور استفاده ميكنند. با وجود اين ممكن است كلمه عبور مورد استفاده تمام خصوصيات لازم و پيچيدگي كافي را داشته باشد، به دليل مشترك بودن كلمه عبور بين چندين سرور، تمام سرورها در معرض خطر قرار ميگيرند. بهعنوان مثال، ممكن است يكي از كارمنداني كه از كلمه عبور آگاهي دارد، پس از استعفا به استخدام شركت ديگري درآيد و همان كلمه عبور را در شركت جديد نيز مورد استفاده قرار دهد. حتي ممكن است يك شركت متفرقه كه وظيفه اداره يكي از سيستمهاي كماهميت همچون سيستم خنكسازي ديتاسنتر را برعهده دارد، كلمه عبور يكساني را براي تمام سرورهاي تحت اداره خود كه متعلق به مؤسسات مختلف هستند، مورد استفاده قرار دهد. در هر دو مورد، چنانچه كلمه عبور توسط يك مهاجم كشف شود، وي ميتواند به تعداد بيشتري از سرورها نفوذ كرده و خسارتهاي زيادي را وارد كند.
تيپت ميگويد بخش IT مؤسسات براي اطمينان از عدم اشتراك كلمه عبور بين چندين سيستم، تغيير دورهاي كلمات عبور و ايمنسازي آنها به يك فرآيند (خودكار يا دستي) نياز دارند. اين فرآيند به سادگي درج كلمات عبور روي كارتها و قرار دادن آنها درون يك صندوق امن است كه توسط شخصي از آن محافظت ميشود.
3- كوتاهي در يافتن خطاهاي كدنويسي SQL
متداولترين نوع حملهها (كه هفتاد درصد از حملههاي گزارششده را به خود اختصاص داده است)، روي يك بانك اطلاعاتي SQL متصل به وبسرور اجرا ميشود. شيوه مهاجم براي ورود به سيستم، وارد كردن يك دستور SQL به يك فرم تحتوب است. اگر فرم مورد بحث به درستي كدگذاري شود، نبايد دستورات SQL را قبول كند. اما گاهي توسعهدهندگان بهطور تصادفي مفهومي موسوم به «خطاي تزريقي SQL» را ايجاد ميكنند.
به گفته تيپت سادهترين روش اجتناب از بروز چنين خطاهايي، استفاده از ديوار آتش برنامهها در حالت learn است. ديوار آتش در اين حالت ميتواند نحوه وارد كردن اطلاعات كاربران به فيلد ورودي را ارزيابي كند. سپس بايد ديوار آتش را در وضعيت Operate قرار دهيد تا از تزريق دستورات SQL به فيلد ورودي، جلوگيري شود. مشكل كدنويسي SQL بسيار شايع است. تيپت در اين مورد ميگويد: «اگر 100 عدد از سرورهاي يك شركت را آزمايش كنيد، احتمالاً در 90 دستگاه به مشكل تزريق كد SQL برخورد ميكنيد.»
بهطور معمول، مؤسسات مشكل تزريق كد SQL را تنها در سرورهاي مهم رفع ميكنند. در حالي كه اغلب مهاجمان با استفاده از سرورهاي كماهميت وارد شبكه ميشوند. تيپت پيشنهاد مي كند مديران شبكه با استفاده از فهرستهاي كنترل دسترسي، شبكه را تقسيمبندي كنند تا از ارتباط سرورها با تجهيزات متفرقه جلوگيري شود. اين رويكرد مانع دسترسي وسيع مهاجمان به اطلاعات از طريق خطاهاي كدنويسي SQL ميشود.
4- پيكربندي نامناسب فهرستهاي دسترسي
تقسيمبندي شبكه با استفاده از فهرستهاي كنترل، سادهترين روش حصول اطمينان از محدود بودن ارتباط سيستمهاي شبكه با يكديگر است. بهعنوان مثال، اگر مجوز دسترسي به دو سرور شبكه از طريق VPN را براي شركاي تجاري خود صادر كنيد، با استفاده از فهرستهاي دسترسي ميتوانيد ترتيبي دهيد تا شركاي تجاري شما فقط به اين دو سرور دسترسي داشته باشند. به اين ترتيب، چنانچه يك مهاجم با استفاده از نقطهضعف سيستمهاي شركت همكار به شبكه شما نفوذ كند، فقط ميتواند اطلاعات موجود روي سرورهاي اخير را مورد دسترسي قرار دهد.تيپت ميگويد: «معمولاً مهاجمان از طريق VPN وارد شبكه ميشوند تا بتوانند تمام تجهيزات را مورد دسترسي قرار دهند.» استفاده از فهرستهاي كنترل با پيكربندي مناسب از بروز 66 درصد حملههاي ثبت شده در سال گذشته جلوگيري ميكند. يكي از دلايلي كه مديران IT اين اقدام ساده را انجام نميدهند، الزام استفاده از روترها به عنوان ديوار آتش است. اغلب مديران شبكه تمايلي براي انجام اين کار ندارند.
5- صدور مجوز دسترسي راهدور ناامن و نرمافزار مديريت
يكي از محبوبترين روشهاي مهاجمان براي نفوذ به شبكه استفاده از دسترسي راهدور و بستههاي نرمافزاري مديريتي همچون PCAnywhere،بVNC (سرنام Virtual Network Computing) يا SSH(سرنام Source Shell ) است. معمولاً اين نوع برنامهها فاقد اصليترين ويژگيهاي امنيتي مثل كلمه عبور مناسب هستند. سادهترين شيوه يافتن اين مشكلات، اسكن كردن تمام فضاي IP با استفاده از يك ابزار خارجي بهمنظور تشخيص ترافيك PCAnywhere، VNC يا SSH است. پس از يافتن اين برنامهها علاوه بر كلمات عبور، ويژگيهاي امنيتي اضافي مانند توكنها يا مجوزهاي دسترسي را روي آنها اعمال كنيد. به عنوان شيوه جايگزين ميتوانيد دادههاي Netflow مربوط به روترهاي مرتبط با محيط خارج را اسكن كرده و از وجود ترافيك دسترسي راهدور در شبكه مطلع شويد.اين مشكل به حدي متداول است كه 27 درصد از آمار حملههاي ثبت شده در گزارش مؤسسه Verizon Business را به خود اختصاص داده است.
6- عدم بررسي برنامههاي كماهميت بهمنظور شناسايي نقاط آسيبپذيري
بر اساس گزارش مذکور نزديك به هشتاد درصد حملههاي مهاجمان در نتيجه وجود نواقص امنيتي در برنامههاي كاربردي وب به وقوع ميپيوندد. مديران شبكه از اين نكته آگاهند كه بيشترين نقاط آسيبپذيري در برنامههاي كاربردي وب وجود دارند، به همين دليل، فعاليت خود را روي سيستمهاي با اهميت و مرتبط با اينترنت متمركز ميكنند.
مشكل كار در اينجا است كه اغلب حملهها به واسطه وجود اشكالات امنيتي در سيستمهاي كماهميت شبكه، اجرا ميشوند. تپيت در اين مورد ميگويد: «مشكل اصلي اين است كه ما برنامههاي مهم وب را با وسواس كامل آزمايش و بررسي ميكنيم، اما ساير برنامهها را بدون بررسي باقي ميگذاريم.» وي توصيه ميكند، مديران شبكه تمام برنامههاي مورد استفاده خود را بهمنظور يافتن نقاط آسيبپذيري اساسي بررسي كنند. تيپت ميگويد: «همواره به مردم آموخته ميشود كه وظايف را بر اساس اهميت آنها انجام دهند، اما تبهكاران از ميزان اهميت سيستمها اطلاعي ندارند. آنان براي رسيدن به اهداف خود از سادهترين اقدامات شروع ميكنند. اين افراد پس از ورود به شبكه ميتوانند پايگاهي براي فعاليتهاي خود ايجاد كرده و بر ترافيك شبكه نظارت كنند.»
7- محافظت نکردن از سرورها در مقابل بدافزارها
به گفته Verizon وجود بدافزارها روي سرورهاي شبكه زمينهساز 38 درصد حملهها است. اغلب بدافزارها توسط يك مهاجم از راه دور نصب ميشوند و براي گردآوري اطلاعات بهكار ميروند. معمولاً بدافزارها به گونهاي طراحي ميشوند كه توسط نرمافزارهاي ضدويروس شناسايي نشوند. يكي از روشهاي شناسايي بدافزارهايي همچون Keylogger يا نرمافزارهاي جاسوسي موجود روي سرورها، فعالسازي نرمافزار تشخيص تهاجم در تمام سرورهاي شبكه است. اين سيستم بهصورت ميزبان محور عمل ميكند.
تيپت شيوه سادهاي را براي اجتناب از بروز بسياري از حملهها پيشنهاد ميكند. در اين شيوه تمام سرورها قفل ميشوند تا اجراي برنامههاي جديد روي آنها غيرممكن شود. تيپت ميگويد: «مديران شبكه از انجام اين كار نفرت دارند، زيرا پس از مدتي نصب نرمافزارهاي جديد ضرورت مييابد. در چنين مواردي ميتوان سرور را از حالت قفل شده خارج كرد و پس از نصب نرمافزار موردنظر دوباره آن را قفل كرد.»
8- پيكربندي نامناسب روترها براي مسدود كردن ترافيك خروجي ناخواسته
يكي از انواع رايج بدافزارها، در سرور ميزبان يك رابط صدور فرمان يا راه مخفي (Backdoor) ايجاد ميكند. يكي از روشهاي مقابله با مهاجمان در استفاده از اين رابط يا راهمخفي، تقسيم بندي شبكه توسط فهرستهاي كنترل است. به اين ترتيب، ميتوانيد از ارسال اطلاعات ناخواسته توسط سرورها جلوگيري كنيد. بهعنوان مثال، يك سرور ایمیل تنها بايد ترافيك مربوط به نامهها را ارسال كند، بنابراين بايد از ارسال ترافيك SSH توسط اين سرور جلوگيري شود. گزينه ديگر استفاده از روترها براي فيلترينگ ترافيك خروجي به شيوه Deny Egress است. اين كار تمام ترافيك خروجي را به غير از ترافيك خروجي موردنظر مدير شبكه، مسدود ميكند. تيپت ميگويد: «تنها دو درصد شركتها اين كار را انجام ميدهند. سؤال اين است كه چرا 98 درصد باقيمانده اين كار را نميكنند؟ فيلترينگ ترافيك خروجي به شيوه Default deny egress معمولاً كماهميت پنداشته ميشود.»
9- عدم اطلاع از محل ذخيره اطلاعات كارت اعتباري يا ساير اطلاعات با اهميت كاربران
بسياري از شركتها تصور ميكنند از محل ذخيرهسازي اطلاعات مهم مانند اطلاعات كارت اعتباري، شماره تأمين اجتماعي يا اطلاعات مربوط به هويت افراد اطلاع دارند و سرورهاي حاوي اين اطلاعات را از بالاترين سطوح تدابير امنيتي حفاظت ميكنند. اما بهطور معمول اين اطلاعات علاوه بر سرورهاي مربوط در محلهاي ديگري از شبكه مانند سايت پشتيبان يا بخش توسعه نرمافزار نيز ذخيره ميشوند.بهطور معمول همين سرورهاي كماهميت ثانوي هستند كه مورد تهاجم قرار گرفته و به از دست رفتن اطلاعات مهم منجر ميشوند. يكي از روشهاي ساده براي يافتن محل ذخيره اطلاعات مهم، بازرسي تمام محلهاي ذخيرهسازي در شبكه است. تيپت ميگويد: «ما معمولاً با استفاده از يك برنامه ردياب (Sniffer) شبكه را بررسي كرده و محلهايي را كه بايد اطلاعات مهم در آن ذخيره شود، شناسايي ميكنيم. سپس ساير موقعيتهايي را كه اطلاعات موردبحث در آنها ذخيره ميشود،
بررسي ميكنيم.»
10- عدم رعايت استانداردهاي PCIDS
تيپت ميگويد: «استانداردهايمصوب PCIDS سرنام(Payment Card Industry Data Security) مجموعهاي از دوازده دستورالعمل هستند كه از اطلاعات كارتهاي پرداخت حفاظت ميكنند. اغلب افراد حتي براي تأمين معيار استانداردهاي PCI تلاش نميكنند.» گاهي شركتها براي تأمين امنيت سرورهاي حاوي اطلاعات مهم از اين دستورالعملها پيروي ميكنند، اما امنيت ساير سرورهاي كماهميت را كه بهگونهاي با اين اطلاعات سروكار دارند، بهاين شيوه برقرار نميكنند.
بر اساس گزارش مؤسسه Verizon Business، با وجود اين كه 98 درصد از تمام حملههاي ثبتشده با اطلاعات كارتهاي پرداخت مرتبط هستند، تنها نوزده درصد از سازمانهاي داراي مشكل امنيتي از استانداردهاي PCI پيروي كردهاند. تيپت ميگويد: «موضوع كاملاً واضح است. از قوانين PCI پيروي كنيد. اين قوانين به خوبي كار ميكنند.»