کنترل امنیت شبکه های کامپیوتری شماره ۸ : محافظت در برابر بدافزار ها

خلاصه:

در راستای بحث امنیت شبکه و در ادامه مطلب کنترل های حساس امنیتی به بررسی هشتمین کنترل می پردازیم. بدافزار ها روی ناخوشایند و خطرناک تهدیدات اینترنتی هستند، که کاربران نهایی سازمان را از طریق مرور وب ، ایمیل ، مبایل و .. تهدید میکنند. بدافزار ها بعد از نصب روی سیستم قربانی شروع به جمع آوری اطلاعات حساس کرده و سعی در انتقال به سیستم های دیگر خواهند کرد. ضد ویروس ها و ضد جاسوس افزار ها (anti-spyware) برای دفاع و جلوگیری از اجرای این بدافزار ها روی سیستم به ما کمک میکنند. هدف از این کنترل جلوگیری از اجرای نرم افزار های غیر مجاز و یا کد های مخرب می باشد.

 

داستان یک نفوذ: RSA

• در سال ۲۰۱۱ از طریق مهندسی اجتماعی / Phishing نفوذی به RSA رخ داد
• کاربر نهایی توسط یک فایل Excel آلوده شد. این بدافزار حاوی کدی مخرب برای استفاده از یک آسیب پذیری برروی Adobe Flash نوشته شده بود.
• به محض اجرای بدافزار یک تروجان روی سیستم قربانی نصب شد.
• که توسط ضد بدافزار نصب شده روی سیستم تشخیص داده نشد.

 

راه های جلوگیری:

1. ابزاری خودکار برای پایش دائمی سیستم ها راه اندازی کنید که ابزار های ضد ویروس ، ضد جاسوس افزار ، فایروال و HIPS را مانیتور کند. تمام بدافزار های شناسایی شده باید به کنسول مدیریتی این سامانه و لاگ سرور ارسال شوند.
2. ضد بدافزار های راه اندازی شده در سازمان باید سیستمی برای مدیریت یک پارچه ضد بدافزار های نصب شده روی سیستم ها داشته باشند و همچنین قابلیت بروزرسانی تمامی سیستم ها را به صورت خودکار و یا دستی دارا باشند.

باید امکان گزارش گیری و اطمینان از دریافت بروزرسانی ها توسط سیستم ها روی این کنسول مدیریتی فعال باشد.

3. استفاده از دستگاه های خارجی حمل و نقل اطلاعات مانند USB Device ، Flash ، CD/DVD و … را محدود کنید و برای دستگاه هایی که برای پیشبرد نیاز سازمان نیاز به همچین اطلاعاتی دارند دستگاه را به گونه ای تنظیم کنید که

یک: Auto-Run مربوطه به صورت خودکار اجرا نگردد.

دو: به محض ورود چنین دستگاه هایی وسیله توسط ضد بدافزار و به صورت خودکار اسکن گردد.

4. از مکانیزم های جلوگیری از اجرای فایل های ناخواسته مانند DEP استفاده نمایید ، تا از عدم اجرای فایل های اجرایی بدون اجازه شما جلوگیری نماید.
5. از ضد بدافزار وابسطه به شبکه (منظور آنتی ویروس روی UTM است) استفاده کنید تا جلوی رسیدن ترافیک های مربوط به بدافزار را قبل از رسیدن به کاربر نهایی بگیرید.
6. لاگ برداری از پرسش های DNS سیستم ها را حتما انجام دهید، تا از برقراری ارتباط سیستم ها با C&C ها مطلع گردید.

ابزار های تجاری که شما را در برآورده کردن این کنترل یاری میکنند:

— vSentry (Bromium)

— McAfee End Point Protection (McAfee)

— Syrnantec Endpoint Protection (Symantec)

— Compete Security Suite (Sophos)

— Enterprise Security for Endpoints (TrendMicro)

— Endpoint Security for Business (Kaspersky)

— Forefront & System Center (Microsoft)

— Endpoint Security (Triumfant)

— Network Threat Prevention Platform (FireEye)

ابزار های رایگان و یا متن باز:

— ClamAV