کنترل امنیتی شماره دو: لیست نرم افزار های مجاز و غیر مجاز

 

توضیح کلی:

در راستای بحث امنیت شبکه و در ادامه مطلب کنترل های حساس امنیتی به بررسی دومین کنترل می پردازیم. زمانی که یک مهاجم موفق به بهره برداری و نفوذ به یک سیستم می شود، شروع به جمع آوری اطلاعات حساس کرده و از این ماشین برای حمله و نفوذ به سایر ماشین ها و بخش های شبکه می کند و به سرعت یک دستگاه تسخیر شده را به چندین دستگاه می رساند.

سازمان هایی که لیست برنامه های مجاز و غیر مجاز در شبکه را ندارند قادر به تشخیص سیستم هایی که نرم افزار های آسیب پذیر روی خود دارند و یا نرم افزار مخرب روی آنها وجود دارد ، نیز نیستند.

اینکه ما هک بشویم یا نه را بعضی وقت ها خودمان راحت تر میکنیم، به عنوان مثال نصب نرم افزار ها بدون بررسی پیشینه آسیب پذیری های آنها یکی از این موارد است. به عنوان مثال اگر گوگل کروم را با فایرفاکس مقایسه بکنید خواهید دید که تعداد آسیب پذیری های کروم در طول توسعه پایین تر از فایرفاکس بوده است پس نصب کروم در یک سازمان بسیار مناسب تر از فایرفاکس خواهد بود!

هدف تجاری این کنترل:

فقط نرم افزار های مجاز باید روی سیتم های سازمان نصب گردند.

 

نمونه یک نرم افزار مخرب:

طبق روال قبل، از آوردن نام ابزار های هک معذورم، اما آنقدری بگویم که ابزارهایی وجود دارد که با بازدید کاربر از وب سایت های آلوده می تواند متوجه استفاده کاربر از نرم افزار های آسیب پذیر شده و از این آسیب پذیری ها برای بدست گرفتن کنترل ماشین مورد نظر استفاده کند.

 

داستان یک نفوذ : FaceBook

• در سال ۲۰۱۳ به یکی از کامپیوتر های فیسبوک حمله و تسخیر(compromised) شد.
• این رخنه با استفاده از آسیب پذیری موجود بر روی یکی از ورژن های Oracle Java نصب شده روی این ماشین اتفاق افتاد.
• توسعه دهندگان فیسبوک از یک وب سایت مربوط به توسعه مبایل که اکسپلویت این نسخه از جاوا روی آن وجود داشت بازدید کرده بودند.
• ماشین مورد نظر با وجود نصب وصله های دیگر و با وجود نصب ضد بدافزار باز هم تسخیر و مورد بهره برداری قرار گرفت ( دلیلش واضح هست چون تیم امنیتی از نصب این نسخه آسیب پذیر جاوا روی سیستم مورد نظر خبر نداشته تا وصله امنیتی مورد نیاز را نصب کند)
• در این نفوذ گزارشی از لو رفتن اطلاعات مخابره نشد
• کسانی معتقدند که اپل و مایکروسافت هم در آن زمان با استفاده از همین اکسپلویت مورد بهره برداری قرار گرفتند.

 

مکانیزم های دفاعی:

1. لیستی از نرم افزار های مجاز به همراه ورژن آنها که برای سازمان حیاتی است تهیه کنید و با توجه به نوع سیستم ها و نوع کاربری: مثل سرورها ، ایستگاه های کاری (workstations)، لپ تاپ.

این لیست باید پایش(monitored) شده و یکپارچگی فایل ها (integrity) آنها چک گردد تا مطمئن باشیم نرم افزار های مجاز مورد نظر دستکاری نشده باشند.

2. لیست سفیدی برنامه های کاربردی باید ایجاد و پیاده سازی شده و از اجرای هر برنامه ای که در این لیست نیست ممانعت بعمل آید. نکته ای که مهم است این است که این لیست باید گسترده بوده و اپلیکیشن هایی که کاربران به آن احتیاج دارند را در بر بگیرد تا کاربران به زحمت زیادی نیافتند و البته برای سیستم های خاصی که به برنامه های کمی برای جلوبردن اهداف تجاری سازمان نیاز دارند، این لیست باید حتی المقدور کوچک باشد.
3. ابزار پیاده سازی لیست نرمافزار ها باید در سازمان پیاده سازی شده و انواع سیستم عامل های مورد استفاده در سازمان را در برگیرد. شامل : سرورها،ایستگاه های کاری،لپ تاپ ها و … این برنامه باید نه تنها ورژن سیتم عامل بلکه، ورژن برنامه های کاربردی نصب شده روی آن را پیگیری (Track) کند. ابزار بررسی برنامه های کاربردی باید به لیست تهیه شده از سخت افزار های مجاز در شبکه وصل شود تا دستگاه های مجاز در شبکه و نرم افزار های نصب شده روی آن ها از یک محل مورد بازبینی و ارزیابی قرار گیرند.
4. ماشین های مجازی و یا استفاده از سیستم های air-gapped (به صورت ساده سیستمی که به شبکه وصل نیست) باید برای نرم افزار هایی که برای برآورده کردن نیاز تجاری سازمان مورد نیاز هستند، اما ریسک بالایی دارند استفاده گردد.

ابزار های تجاری ای که ما را در این کنترل یاری می رسانند:

— Parity (Bit9)

— HEAT / Lumension

— System Center (Microsoft)

— Corporate Software Inspector (CSI Secunia)

— Tripwire Enterprise

— ViewFinity (CyberArk)

— Privilege Guard (Avecto)

— LANSweeper

— NEWT Professional (Komodo)

 

ابزار های رایگان و یا متن باز:

— AppLocker (Microsoft)

— Spiceworks

— WMIC

— Get-WMIObject / Get-ClMlnstance

— Lynis