فایل آقای کيائي فر
Download
Report
Transcript فایل آقای کيائي فر
رایانش ابری و نقش آن در امنیت
بررسی راهکارجداسازی اینترنت از شبکه داخلی
کنفرانس ملی امنیت اطالعات
علی کیائی فر -مدیر تحقیق و توسعه شرکت آینده نگاران (آیکو)
[email protected]
19تیرماه - 91تهران
www.ayco.ir
www.ayco.ir
1
امنیت در فضای کسب و کار
sub-title goes like this
•
•
•
•
•
•
•
امنیت یک کمیت نسبی است .امنیت صفر و یک نیست.
امنیت یعنی کاهش ریسک خطرات و رساندن آن زیر آستانه قابل تحمل.
امنیت اطالعات مجموعه ای است از تدابیر ،روش ها و ابزارها برای
جلوگیری از دسترسی ،سرقت ،جاسوسی ،خرابکاری و تغییرات غیر مجاز
به مخاطره افتادن هریک از سامانههای عملیاتی و اطالعاتی حساس مانند
نیروگاه ها ،پاالیشگاه ها ،وزارتخانه ها و مراکز تحقیقاتی و نظامی میتواند
تبعات اجتماعی ،سیاسی و امنیت ملی به وجود آورد.
یک بدافزار کامپیوتری میتواند به راحتی باعث نابودی یک نیروگاه،
پاالیشگاه ،کارخانه و ...شود.
امروزه بدافزارها ،جنگ افزارهای نوین هستند.
مرزهای مجازی جدید در نبردهای سایبری بوجود آمده اند.
www.ayco.ir
2
اقدامات دفاعی فعلی در برابر حمالت سایبری
در سالهای گذشته با تشخیص ضرورت دفاع در برابر حمالت سایبری اقداماتی به شرح زیر کمابیش انجام شده است:
•
•
•
•
•
•
•
•
•
•
•
امنیت فیزیکی (شبکه زیرساخت)
نصب آنتی ویروس تحت شبکه و بروز رسانی آن
نصب Firewall
نصب IPSو IDS
بازنگری در سیاست های امنیتی
بروز کردن سیستم عاملهای Serverها و سیستم های کاربران با استفاده از
Patch Management
اتخاذ Policyهای مناسب برای Passwordها
ایجاد محدودیت در برخی از ضمایم پست الکترونیکی
طراحی سیستم Backup
ارتقاء آموزش های امنیتی به کاربران
و ....
www.ayco.ir
3
نتیجه اقدامات امنیتی؟؟؟
ویروس استاکس نت با عبور از سیستمهای دفاعی به مراکز کنترل نیروگاهها و مراکز صنعتی حمله کرد!
•
•
•
•
•
ویروس استاکس نت با انتشار از طریق CoolDiskبه قلب نیروگاهها راه
یافت.
از تمام الیه های دفاعی تعریف شده عبور کرد.
از سیستم های کنترل به PLCها نفوذ کرد.
مدتها فعالیت می کرد بدون اینکه کسی متوجه حضورش شود.
در این مدت با روشی پیچیده اطالعات مورد نیازش را از طریق CoolDisk
اپراتورها از نیروگاه خارج می کرد.
• آنچه که استاکس نت می توانست بکند و خوشبختانه نکرد!
www.ayco.ir
4
اقدامات اصالحی ما پس از تجربه استاکس نت:
تشدید اقدامات دفاعی قبلی:
•
•
•
•
•
•
•
•
•
•
حذف Firewallهای خارجی و جایگزین کردن آنها با نمونه های داخلی.
بکار بردن Firewallهای چند الیه
محدود سازی دسترسی ها به USB Portها
بکارگیری Antivirusهای اورجینال در دو الیه Endpointو Gateway
طراحی و پیاده سازی سیستم مدیریت امنیت اطالعات بر مبنای استاندارد
ISO27001
اجرای دوره ای تست نفوذ
ارزیابی امنیت نرم افزارهای کاربردی
ارزیابی دوره ای آسیب پذیری ها
ایجاد مرکز عملیات و مانیتورینگ امنیت()SOC
محدود سازی دسترسی به اینترنت برای کاربران تا حد امکان
www.ayco.ir
5
نتیجه تشدید اقدامات امنیتی ؟؟؟
ویروس شعله ( )Flamerبعد از 2سال فعالیت مرموز کشف شد!
•
•
•
•
ویروس Flamerبعد از دو سال فعالیت خاموش شناسایی شد.
این ویروس با وجود همه آنتی ویروس ها و بروز بودن همه Serverها
توانست به قلب شبکه ها ازجمله وزارت نفت نفوذ کند.
از تمام الیه های دفاعی تعریف شده عبور کرد.
Flamerبه مراتب از ویروس استاکس نت قوی تر و کارا تر است.
www.ayco.ir
6
ویژگیهای بدافزار Flamer
ویروس شعله ( )Flamerبعد از 2سال فعالیت مرموز کشف شد!
•
•
•
•
•
•
•
•
•
•
•
•
انتشار از طریق حافظه های فلش
انتشار در سطح شبکه
اسکن شبکه و جمع آوری اطالعات منابع شبکه و رمز عبور سیستمهای مختلف
جستجو درکامپیوتر آلوده برای فایلهایی با پسوندها و محتوای مشخص
تهیه تصویر از فعالیتهای خاص کاربر با عکس گرفتن از مانیتور کاربر
فعال سازی میکروفون و ضبط صدای محیط و ارسال آن به مقصد
ارسال اطالعات ذخیره شده به سرورهای کنترل خارج از کشور
دارا بودن ده ها دامنه مورد استفاده به عنوان سرور C&C
برقراری ارتباط امن با سرورهای C&Cاز طریق پروتکل های SSHو HTTPS
شناسایی و از کار انداختن بیش از 100نرم افزار آنتی ویروس ،ضد بدافزار ،فایروال
و ...
قابلیت آلوده سازی سیستمهای بروز شده ویندوز ،XPویستا و ویندوز 7
قابلیت آلوده سازی سیستمهای یک شبکه در مقیاس باال
www.ayco.ir
7
ویژگیهای بدافزار Flamer
ویروس شعله ( )Flamerبعد از 2سال فعالیت مرموز کشف شد!
•
•
•
•
•
•
بقدری ساخت آن ماهرانه و دقیق است که در وجود یک دولت با پشتوانه
مالی قوی برای ساخت آن تردیدی وجود ندارد.
تکنولوژی ساخت چنین بدافزاری از تکنولوژی ساخت هواپیماهای بدون
سرنشین قطعا پیشرفته تر است.
هدف اصلی طراحان این ویروس همانند ویروس استاکس نت ،ایران بوده
است.
اجزای کشف شده این ویروس بگونه ای نوشته شده اند که در نگاه اول به
نظر نمی رسد حاوی کدهای مخرب باشند.
کدهای این ویروس بسیار پیچیده است و تحلیل کامل آن ماه ها و شاید
سالها زمان ببرد.
در تمام اجزای خود از روشهای رمزگذاری پیچیده ای استفاده کرده است.
www.ayco.ir
8
ویژگیهای بدافزار Flamer
ویروس شعله ( )Flamerبعد از 2سال فعالیت مرموز کشف شد!
• این بدافزار همزمان دارای یک مترجم ،LUAکد ،SSHو قابلیت های SQL
است .پیاده سازی و استفاده از یک مترجم LUAباعث شده این ویروس
بسیار قابل انعطاف و قابل تنظیم باشد .این به مهاجمان اجازه می دهد از راه
دور بتوانند فرمانهای متنوع خود را خیلی سریع و راحت به اجرا درآورند و
حتی ماهیت عملکرد ویروس را از راه دور تغییر دهند.
• طبیعت ماژوالر این بدافزار نشان می دهد که یکی از اهداف گروه طراحان
آن ،استفاده بلندمدت از این بدافزار برای طراحی حمالت خود بوده است.
• پس از شناسایی این ویروس سازندگان آن دستور خودکشی آنرا صادر کردند
تا برخی از رازهای آن همچنان ناشناخته بماند.
www.ayco.ir
9
درس هایی که از مواجهه با استاکس نت و Flamerگرفتیم
خاگریزهای دفاع سایبری را باید جلوتر کشید.
•
•
•
•
خاکریزهای دفاعی را در جای مناسبی بنا نکرده ایم.
بجای تمرکز بر دفاع در داخل شبکه خود الزم است خاکریز دفاعی خود را
خارج از شبکه داخلی قرار دهیم)Cloud Computing( .
بکار بردن Firewallهای چند الیه وسیاستهای کنترل فیزیکی و ...هرگز
نتوانسته تضمینی برای کنترل حمالت باشد.
مهاجمان برای طراحی حمالت خود هزینه های مالی بسیار زیادی کرده اند.
برای دفاع در برابر این مهاجمان مسلح باید هزینه کرد.
• معاون وزیر ارتباطات :سازمانها جداسازی اینترنت از اینترانت را جدی
بگیرند 12( .اردیبهشت ماه )1391
www.ayco.ir
10
ضرورت جداسازی اینترنت از شبکه داخلی
استفاده از Virtual Applicationsبه منظور جداسازی
•
•
•
•
جداسازی شبکه اینترنت از شبکه داخلی یعنی بستن راه اصلی نفوذ مهاجمان.
انواع جداسازی:
-1جداسازی فیزیکی
-2جداسازی با تکنولوژی Virtual Applications
• جداسازی فیزیکی مشکالت و محدودیتهای زیادی در پی دارد( .تامین منابع
برای دو شبکه ،مدیریت دو شبکه و .)...در نهایت سازمان بدلیل رفع نیازها
ناچار خواهد بود دو شبکه را به هم وصل کند!
• جداسازی با استفاده از تکنولوژی مجازی سازی نرم افزارها راهکاری ارزان،
سریع و مطمئن.
www.ayco.ir
11
جداسازی فیزیکی اینترنت از شبکه داخلی
استفاده از Thin Clientو Virtual Applicationsبه منظور جداسازی
• به منظور کاهش هزینه های سخت افزاری استفاده از ترکیب Thin Client
و روشهای مجازی سازی Applicationها برای جداسازی توصیه می شود.
• در این روش بر روی Thin Clientها هیچگونه اطالعاتی ذخیره نمی شود.
• دسترسی به اینترنت از طریق Application Publishingبر روی یک
Serverکه به اینترنت متصل است انجام می شود.
www.ayco.ir
12
راهکار جداسازی اینترنت از شبکه داخلی
استفاده از Virtual Applicationsبه منظور جداسازی
www.ayco.ir
13
راهکار جداسازی اینترنت از شبکه داخلی
استفاده از Virtual Applicationsبه منظور جداسازی
•
•
•
•
•
•
•
Virtual Applicationsگامی است در جهت حرکت سازمان به سوی رایانش
ابری ()Cloud Computing
در شکل صفحه قبل فقط یک کامپیوتر اینترنت دارد که خارج از شبکه داخلی
است.
کاربران بر روی Desktopخود یک Shortcutاز Firefoxمی بینند درحالیکه
Firefoxروی سیستم آنها نصب نیست.
وقتی کاربر بر روی Double Click ،Firefoxمی کند ،سرور مجازی ساز (،)2X
نرم افزار Firefoxرا از روی سرور اینترنت فراخوانی کرده و فقط تصویر آنرا برای
کاربر ارسال می کند.
به این ترتیب کاربر بدون اینکه کاربر متوجه تغییر خاصی شود با Firefoxبه
راحتی کار می کند.
تمام فایلهایی که Downloadمی کند بر روی سرور اینترنت دانلود می شوند.
اگر حمله ای اتفاق بیفتد نهایتا کامپیوتر متصل به اینترنت به خطر می افتد که
تهدید مهمی نیست.
www.ayco.ir
14
رایانش ابری و نقش آن در امنیت
جداسازی شبکه ها تنها یکی از کاربردهای Cloud Computingاست.
•
•
•
•
•
•
•
•
•
•
•
•
•
جداسازی اینترنت از شبکه داخلی تنها یکی از قابلیتهای Application
Virtualizationاست.
بحث در مورد ویژگی های Cloud Computingخارج موضوع سمینار است .اما از
دیدگاه امنیتی مزایای زیر را در پی دارد:
کاهش ریسک
مشخص بودن مسئولیت ها
حذف اطالعات وبرنامه های سازمان از روی سیستم های غیر متمرکز
عدم وابستگی به سیستم عامل سمت کاربر
متمرکز کردن اطالعات و باال بردن ضریب امنیتی شبکه و داده ها
نصب آسان Patchهای نرم افزارها
بروز رسانی آسانی نرم افزارها
عدم ذخیره اطالعات سمت کاربر
آسان شدن تهیه نسخه پشتیبان از اطالعات
گزارش متمرکز از کارکرد افراد سازمان
و ......
www.ayco.ir
15
پایان
16
www.ayco.ir