کنترل امنیت شبکه های کامپیوتری شماره ۸ : محافظت در برابر بدافزار ها
خلاصه:
در راستای بحث امنیت شبکه و در ادامه مطلب کنترل های حساس امنیتی به بررسی هشتمین کنترل می پردازیم. بدافزار ها روی ناخوشایند و خطرناک تهدیدات اینترنتی هستند، که کاربران نهایی سازمان را از طریق مرور وب ، ایمیل ، مبایل و .. تهدید میکنند. بدافزار ها بعد از نصب روی سیستم قربانی شروع به جمع آوری اطلاعات حساس کرده و سعی در انتقال به سیستم های دیگر خواهند کرد. ضد ویروس ها و ضد جاسوس افزار ها (anti-spyware) برای دفاع و جلوگیری از اجرای این بدافزار ها روی سیستم به ما کمک میکنند. هدف از این کنترل جلوگیری از اجرای نرم افزار های غیر مجاز و یا کد های مخرب می باشد.
داستان یک نفوذ: RSA
- در سال ۲۰۱۱ از طریق مهندسی اجتماعی / Phishing نفوذی به RSA رخ داد
- کاربر نهایی توسط یک فایل Excel آلوده شد. این بدافزار حاوی کدی مخرب برای استفاده از یک آسیب پذیری برروی Adobe Flash نوشته شده بود.
- به محض اجرای بدافزار یک تروجان روی سیستم قربانی نصب شد.
- که توسط ضد بدافزار نصب شده روی سیستم تشخیص داده نشد.
راه های جلوگیری:
- ابزاری خودکار برای پایش دائمی سیستم ها راه اندازی کنید که ابزار های ضد ویروس ، ضد جاسوس افزار ، فایروال و HIPS را مانیتور کند. تمام بدافزار های شناسایی شده باید به کنسول مدیریتی این سامانه و لاگ سرور ارسال شوند.
- ضد بدافزار های راه اندازی شده در سازمان باید سیستمی برای مدیریت یک پارچه ضد بدافزار های نصب شده روی سیستم ها داشته باشند و همچنین قابلیت بروزرسانی تمامی سیستم ها را به صورت خودکار و یا دستی دارا باشند.
باید امکان گزارش گیری و اطمینان از دریافت بروزرسانی ها توسط سیستم ها روی این کنسول مدیریتی فعال باشد.
- استفاده از دستگاه های خارجی حمل و نقل اطلاعات مانند USB Device ، Flash ، CD/DVD و … را محدود کنید و برای دستگاه هایی که برای پیشبرد نیاز سازمان نیاز به همچین اطلاعاتی دارند دستگاه را به گونه ای تنظیم کنید که
یک: Auto-Run مربوطه به صورت خودکار اجرا نگردد.
دو: به محض ورود چنین دستگاه هایی وسیله توسط ضد بدافزار و به صورت خودکار اسکن گردد.
- از مکانیزم های جلوگیری از اجرای فایل های ناخواسته مانند DEP استفاده نمایید ، تا از عدم اجرای فایل های اجرایی بدون اجازه شما جلوگیری نماید.
- از ضد بدافزار وابسطه به شبکه (منظور آنتی ویروس روی UTM است) استفاده کنید تا جلوی رسیدن ترافیک های مربوط به بدافزار را قبل از رسیدن به کاربر نهایی بگیرید.
- لاگ برداری از پرسش های DNS سیستم ها را حتما انجام دهید، تا از برقراری ارتباط سیستم ها با C&C ها مطلع گردید.
ابزار های تجاری که شما را در برآورده کردن این کنترل یاری میکنند:
— vSentry (Bromium)
— McAfee End Point Protection (McAfee)
— Syrnantec Endpoint Protection (Symantec)
— Compete Security Suite (Sophos)
— Enterprise Security for Endpoints (TrendMicro)
— Endpoint Security for Business (Kaspersky)
— Forefront & System Center (Microsoft)
— Endpoint Security (Triumfant)
— Network Threat Prevention Platform (FireEye)
ابزار های رایگان و یا متن باز:
— ClamAV