مقاله در مورد پاسخگویی به حمله های اینترنتی

بخشی از مقاله

پاسخگويي به حمله های اینترنتی

شنبه شب است شبكه شما به خوبي طراحي شده است خوب اجرا و پشتيباني مي شود تيم امنيتي شما به خوبي آموزش ديده است سياست ها و روند كار تدوين شده است اما در گيرودار به انجام رساندن بموقع سياستها و روندكاري (بنابراين شما مي توانيد چك جايزه مدير را بگيريد )شما فراموش كرديد پروسه پاسخگويي -حوادث را به حساب آوريد و زماني كه شما براي انجام خوب كار به خودتون تبريك مي گوييد يك هكر به سيستم بسيار حساس شما حمله مي كند ح

الا چه بايد كرد ؟با هر سرعتي كه شما مي توانيد به اين سوال پاسخ دهيد مي تواند تعيين كننده سرنوشت اطلاعات شما باشد كارمندان نياز دارند بدانند چه كار بايد بكنند و چگونه و چه وقت .آنها همچنين نياز دارند بدانند چه كسي حمله را گزارش مي دهد در غير اينصورت وضعيت به سرعت از كنترل خارج مي شود بخصوص يك تعديل مناسب مهم است اگر درجه حمله خارج از دانش پايه پشتيباني شما باشد زماني كه يك حمله رخ مي دهد هر حر كت شما مي تواند معني متفاوتي بين از دست دادن و يا حفظ اسرار شركت شما را داشته باشد فقط تصور كنيد چه اتفاقي مي افتد اگر همه اطلاعات ضروري روي سيستم كامپيوتر شما دزديده يا نابود شده بود بعيد است ؟براي بيشتر مردم بعيد به نظر مي آيد تا زماني كه اين ها به سيستم هايشان حمله كنند به ياد داشته باشيد داده ها روي شبكه شما مهم هستند بنا براين آماده باشيد مطمئن بشويد كه هر كس (از بالا تا پايين )در شركت شما مي دانند چه كاري بايد انجام بدهند در هر حمله براي حفظ داده ها از دزديده شدن و تغيير يا خرابي فقط بر آور د كنيد
كاووس پاسخگويي -حوادث
Dave Amstrang يك مدير است كه پشتيباني مي كند شبكه داخلي برا ي بانك first fidelityدر ايالت Dnacanst در يك آخر وقت شنبه شب Dave مشاهده كرد كه يك هكر كنترل كامل همه 200 سيستم را به دست گرفته و شروع كرده به جستجو در بين آنها با اراده و جمع آوري مي كند سپس وردها و داده ها را مي خواند متاسفانه Dvae هيچ كاري انجام نداد اما نگاه مي كرد در حالي كه سعي داشت كشف كند در نيمه شب چه كسي ر وي سيستم ا و بوده در نيمه شب با وجود اينكه frist fidelity سياست هايي و پروسه هايي براي اكثر وضعيت هاي ديگر نوشته بود هيچ راهنمايي پاسخگويي -حوادث رسمي وجود نداشت زيرا Daveهيچ دستورالعمل مشخصي نداشت او سه روز تمام سعي كرد براي شناختن هكر بدون موفقيت قبل از تماس با تيم امنيتي بانك . فقط براي يك لحظه تصور كند كه يك هكر پرسه مي زند بدون چك شدن در ميا ن شبكه بانكي شما براي سه روز و جمع آوري مي كند مجموعه اسم ها و شماره حسابها حتي تغيير بدهد داده ها را جا به جا كند سرمايه خراب كند گزارشات فكر كنيد در مورد تغيير بانكها . من فكر مي كنم چگونه چنين وضعيتي پيش مي آيد در اين مورد Daveيك سرور نرم افزاري تشكيل داد به طوري كه به وسيله ساير سيستمها مورد اعتماد قرار گرفت صد ها سيستم به سرور نرم افزاري اعتماد كردند اگر چه اين توافق (سيستمهاي روي شبكه دسترسي جزئي به ا ين سرور دارند ) پخش نر م افزار جديد را آسان مي سازد مي تواند يك ريسك باشد
اگر سيستم بايد شكل بگيرد به عنوان سرور مورد اعتماد ( هيچ گزينه عملي ديگر قابل انجام نيست) سرور مورد اعتماد بايد به طور كامل محافظت شود در غير اين صور ت هر هكري كه به سرور مورد اعتماد وارد شود دسترسي ريشه ا ي سريع دارد بدون نياز به رمز عبور براي هر سيستم كه به سرور اعتماد كند اين همان چيزي كه براي first fideityرخ داد خواهد بود ص

ها سيستم در شبكه داخلي به نرم افزار سرور اعتماد كردند در نتيجه سرور يك هدف وسوسه كننده براي هر هكر كه به دنبال وارد شدن به شبكه كامپيوتري بانك است فراهم كرد Daveنظرش ا ين نبود كه سيستم در خطر است براي او يا مديرش هر گز رخ نداده بود كه يك سيستم واحد غير امنيتي در ها را براي ساير شبكه باز كند براي first fidelityشبكه اعتماد به درازا كشيد تا اعماق بيش از 200 سيستم شبكه داخلي با صدها سيستم كه به سرور نرم افزاري اعتماد مي كنند سرور بايد با كنترلهاي امنيتي مناسب نگهداري مي شد سرور هر چند روي هم رفته فقدان امنيتي داشت و فقط منتظر هكر بود تا دقيقا وارد شود و ا ين درست هما ن چيزي است كه اتفاق ا فتاد وقتي هكر به دسترسي كامل به سرور مورد اعتماد رسيد دسترسي ريشه اي جزئي به تمام سيستم هاي روي شبكه مسلم بود هكر لازم نبود كار سختي انجام دهد .اجازه بدهيد نگاه دقيق تر بياندازيم به جزئيات ا ين حمله و چيز ي كه در طي ا ين روز ها رخ داد و روزهاي آينده را در پي داشت
روز ا ول دسترسي بي اجازه
Daveبه وجود هكر هر ساعت 11:45دوشنبه شب پي برد زماني كه جريان عادي چك كردن شبكه انجام مي شد ا و متوجه فر آيند غير معمولي انجام مي شوند كه برا ي چنين زماني مصرف cpu بيش از حالت معمول بود ا ين فعاليت غير معمول باعث جرقه حس كنجكاوي Dave شد بنابراين ا و بيش تر تحقيق كرد بوسيله چك دخول به سيستم (قطع ارتباط) او متوجه شد كه Mike Nelson يكي از اعضاي تيم امنيتي بانك به سيستم وارد شده بود Mikeيك استفاده كننده قانوني بود اما بدون اعلام به گروه Dave نبايد وارد مي شد ا ين هكري بود كه خودش را به جاي Daveجا زده بود ؟Mikeكار مي كرد بر روي مشكل امنيتي .اگر Mikeبود فراموش كرده بود قرار داد اطلاع –قبلي را يا او عمدا غفلت كرده بود در اطلاع دادن به ديگران ؟Daveنظري نداشت حتي بدتر از آن ا و
نمي دانست كه چه كسي را صدا بزند يا چه كاري انجام دهد بعدا چه اتفاقي ا فت

اد ؟چنين چيزي كه براي اكثر مردم رخ مي دهد در ا ول آنها شك مي كنند به اينكه هكرها وارد سيستم آنها شدند Daveتجربه مي كرد يك اضطراب يك احساس تهييج و مختلط با ترس و پريشاني در مورد ا ين كه چه كار بايد انجام دهد ا و تنها بود در نيمه شب اگر تا دير وقت كار نمي كرد ممكن بود هيچ كس از اين حمله چيزي نفهمد ا و تصميم گرفت از آنجايي كه او مسئول سيستم بود براي بدست آوردن دوباره كنترل بايد كارهايي انجام مي داد او كار برا ن را ا ز سيستم خارج كرد سپس حساب باطله را منتقل كرد بوسيله از كار انداختن رمز عبور كاربران Dave دوباره سيستم را كنترل مي كرد گمان مي كرد ماموريتش به انجام رسيده است Daveبه خانه رفت متاسفانه Daveنفهميد جريان واكنش كوتاه مدت به موقعيت بود بيرون كردن كاربر غير مجاز از سيستم اغلب معني اش اين است كه ا و فقط براي آ ن روز خارج شده اس

ت به اين معني نيست كه او بر نخواهد گشت . يكبار كه يك هكر وارد سيستم مي شود معمولا باقي مي گذارد درهايي براي بر گشت كه دسترسي آسان او را براي دفعات بعد فراهم مي كند كار Dave او را با يك احساس غلط از امنيت رها كرد Daveگمان كرد كه او مشكل را بوسيله يك پر تاب ساده هكر به بيرون از سيستم حل كرده است اما مشكل امنيتي كه به هكر اجازه اولين ورود را داده بود درست نشده بود Dave شايد دزد را از خانه بيرون انداخته بود اما درها همچنان قفل نشده بود

روز دوم : مشكل حل شده است
صبح سه شنبه Dave حادثه نيمه شب را به مدير ش و دو مدير سيستم ديگر شرح داد آنها براي چند لحظه بحث كردند ا ما هنوز نظري نداشتند كه سيستم به وسيله يك هكر ناشناس مورد هجوم قرار گرفته يا به وسيله Mike از گروه امنيتي به هر صور ت آنها مشكل را حل شده در نظر گرفتند آن حساب مشكوك از كار افتاده بود و هيچ استفاده كننده غير مجاز جديدي روي سيستم نبود بنا بر اين آنها اين موضوع را رها كردند و بر گشتند سر كارشان هما ن طوري كه در بيشتر روزها ي پشتيباني زمان مي گذشت در پايان اين شيفت كار ي Dave وارد سرور نر م افزاري شد فقط يك لوگين از مدير سيستمي كه شب پشتيبانها را اجرا مي كند را بر روي سيستم ها بود آن عادي به نظري مي رسيد حتي مورد انتظار بود سيستم داشت به خوبي اجرا مي شد بنابر اين با يك روز 12 ساعته ديگر تحت اختيار اوDave خارج شد و به خانه رفت
روز سوم : امنيت دوباره در هم شكسته شد
Daveخوابيده بود اين فقط صبح چهار شنبه بود واو آن هفته 24ساعت كار كرده بود وقتي اون به محل كار ش بعد از ظهر برگشت متوجه شد كه شب گذشته Ed از سرور خارج نشده و ا ين عجيب بود Ed در يك شيفت سنگين كار ميكرد معمولا در طي روز آن اطراف نبود Dave دريافت كرده بود Login شرح نداده شده از دوشنبه Dave صدا كرد Ed را براي اينكه توضيح بدهد فعاليتهايش را بر روي سيستم Ed فوراً به آن احضار پاسخ داد آن به Dave اطلاع داد كه آن هيچ گونه پشتيباني را شب گذشته اجرا نكرده است و آن از سيستم به طور رايج استفاده نكرده است كم كم به نظر رسيد كه گويي يك هكري خودش را به جاي Ed جا زده است با تح

قيقات بيشتر Dave كشف كرد Ed ساختي داشت از سيستمMilk مي آمده علاوه بر اين استفاده كننده نه تنها چك مي كرد كه ببيند چه كسي ديگر وارد شده بود بلكه اجرا مي كرد يك رمز عبور را Daveفكر كرد كه Mikeداشت بازي مي كرد بر روي سيستم و به طور همزمان هم دسترسي داشته به سيستم به وسيله جا زد ن خودش به عنوان Ed هرگز به طور جدي احتمال اينكه يك هكر ناشناخته روي سيستم در حال دزديدن اطلاع وجود دارد مورد بر رسي قرار نمي داد Daveجداً تا حالا آسيب ديده بود آن كشف كرد كه mike سبب شده بود كه آن دور خودش بچرخد و وقتش را تلف كند سطح تحمل Daveپايين بود ed را از سيستم بيرون كرد پس ورد او را از كار انداخت به مدي

رش اين توسعه جديد را گزارش داد مدير mike را صدا زد براي اينكهعا را كرد كه هيچ هكري نمي توانسته به سيستمش وارد شود چون او مطمئن بود كه توافقي نشده عقيده mike اين بود كه هكر بايد كلاه بردار باشد و همچنين اين او تظاهر مي كند از سيستم mikeآمده اما در واقع از يك جاي ديگر منشا مي گيرد در اين مقطع موقعيت رو به انحطاط بود مديران سيستم داشتن باور مي كردند كه mike روي شبكه بوده اما Mike همچنان اصرار مي كرد كه باز گشت يك حقه بوده و او به اشتباه متهم شده همه خواب را تر ك كردند و وقت بيش تري را صرف كردند تا متوجه شوند واقعا چه اتفاقي افتاده است
روزهاي چهارم تا هفتم : تعديل كردن اتفاق
روز پنجشنبه مدير Dave تعديل داد مشكل را به مدير امنيتي بانك و بخش بازرسي داخلي چندين روز گذشت تا زماني كه همه قسمت هاي تيم امنيتي بخش بازرسي و مديران سيستم منتظر هكر بودند براي دوباره ظاهر شدن اما هكر هيچ وقت بر نگشت مدير بخش بازرسي داخلي سرگردان مانده بود اگر واقعا هكر بوده بيرون كردن او براي دفعه دوم او را دل سرد كرده بود از حمله دوباره آيا mike حمله كرده بود برا ي تفريح و زماني كه فهميده بود همه متوجه او هستند متوقف شده بود
روز هشتم براي بدست آوردن شواهد دير است
يك هفته كامل بعد از حمله بخش بازرسي داخلي Dave تماس گرفت و از داده هاي فني كه او در يافت كرده بود سوال كرد (اين داده ها ) فعاليت هكر را روي سيستم شرح مي داد از آنجايي كه بانك يك متخصص امنيتي در گروه كاري نداشت بخش بازرسي من را استخدام كرد كار من اين بود كه بازديد كنم از داد ه هاي فني و تعيين كنم چه كسي وارد سيستم شده است

روز نهم: چه كسي مجرم بود
وقتي رسيدم موضوع را با مدير بازرسي مطرح كردم و داده ها را مرور كردم چندين روز از دومين حمله گذشته بود و هكر هر گز باز نگشته بود متاسفانه من نتوانستم جوابي را كه بازرس دنبال آن مي گشت فراهم كنم زيرا به دنبال كردن هكر با داده هايي كه آنها جمع آوري كرده بودند ممكن نبود اطلاعات به من گفت كه مزاحم از ابزار هك جهاني كه به راحتي بر روي اينترنت قابل دسترسي است استفاده كرده است مانند كار بران قانوني اينترنت متعدد جمع آوري كرده بود يك دسته از رمزها عبور ها را به نظر مي رسيد كه از سيستمmike آمده باشد اما اطلاعات براي گفتن اين كه آيا هكر از بيرون بودهmike بوده يا كس ديگري در شركت كافي نبود زماني كهmike, Dave را از سيستم خارج كرد راهي براي باز گشت به سر چشمه وجود نداشت هر جوابي كه من مي دادم يك كار حدسي محض بود مصاحبه با كارمندان مفيد نبود بسيار

ي از انگشت ها به mikeاشاره ميكرد اما هيچ مدركي وجود نداشت گذشته از آن بهترين كاري كه مي توانستم انجام دهم توصيه به مدير بازرسي براي ارتقا ء شركت و انجام فوري پروسه پاسخگويي - حوادث اگر اين فرد يك هكر بود ممكن بود درهاي باز گشت به سيستم را پشت سر گذاشته باشد در جهان واحد يك هفته ممكن است زياد به نظر نرسد ا ما در رسيدگي به جرم كامپيوتري (بله ورود به يك سيستم جنايت است ) بدون سر انجام (بي پايان ) است زماني كه اينقدر زمان سپري مي شود بين يك حمله و باز رسي اطلاعات با ارزش ا صلاح مي شوند كم مي شوند و گاهي پيكري غير ممكن مي شود من خاطر نشا ن كرد

م كه حمله به وسيله فقدان امنيتي بر روي سرور نرم افزاري قابل اعتماد ممكن شده بود و اين كه آسيب پذير ي ها بايد تصحيح مي شد بعلاوه دانستن اين كه هكر چگونه وارد سيستم شده ممكن نبود زيرا آسيب پذير ي هاي متعددي وجود داشت كه هكر مي توانست از آنها بهر ه برداري كرده باشد براي دستيابي ريشه اي (بنيادي ) رمز عبور هاي حسابهاي قديمي وجود داشت مجوزهاي بيش از اندازه فايل وجود داشت تكيه هاي امنيتي نصب نشده بود به همين ترتيب هكر ماكزيمم دسترسي را داشته است من به مدير بازرسي گفتم كه اين حقيقت در صورت هم موج مي زند يك سرور قابل اعتماد غير امنيتي شبكه كامل را باز كرده است از آنجايي كه سيستم توسط هكر هاي واقعي شكسته شده بود Daveبه نصب دوباره سيستم نياز داشت و اضافه كردن كنترل هاي امنيتي كافي براي محافظت از سرور و مورد توجه قرار دادن ساير راه حل هاي فني براي بروز رساني نر م افزار روي شبكه داخلي آنها من همچنين با بازرس بحث كردم در مورد اهميت يك تيم امنيتي كه بتوانيد به آن اعتماد كنيد قبل از استخدام روي نياز به پرسنل امنيتي كامل متمركز شويد من توضيح دادم كه پروسه مناسب براي دنبال كرد تيم امنيتي بايد بجا باشد و از همه كارمندان بايد انتظار داشت كه آن پروسه را دنبال كنند زيرا آنها اعضاي تيم امنيتي درجه يك هستند اين بدان معني نيست كه آنها بتوانند پرسه بزنند در تمام سيستم هاي بدون اعلام مناسب در اين مورد آن جايي كه يك عضو تيم امنيتي يك متهم مشكوك بود داشتن يك پروسه در مكان براي مسير يابي در تحقيقات تيم امنيتي به مديريت بالاتر مي توانست مفيد باشد اين احتمال بايد تحت بخشي تضاد در منافع پوشانده شود.

خلاصه حمله ها از داخل
اين دو حمله باعث شد اعضاي كارمندان بانك مدت زيادي از زمان كاري را براي رسيدگي به مشكل هكر صرف كنند به جاي انجام كارهاي حقيقي شان
Dave مشكل را در دست خود گرفت و تصميم مهمي گرفت كه مي توانست داده و سيستمهايش را روي شبكه در معرض ريسك قرار دهد و همچنين تصميم گرفت كه با mike از تيم امنيتي بدون مدرك مناسب براي بر گرداندن اتهامش بر خورد كند اگر چه ما هرگز نفهميديم آيا تهمت Dave ,و mikeدرست بوده يا غلط او راست مي گفت حق داشت اين كه تشخيص دهد كه هكر ها مي توانند از داخل شبكه شما بيايند مانند آن است كه از خارج بيايند شكل 1-1 به طور واضح شر ح مي دهد كه كارمندان داخلي يك ريسك جدي هستند البته دانستن اين كه كارمندان داخلي يك خطر هستند و انجام كارهايي در مورد آن دو چيز متفاوت است براي حمايت كردن از داده هايتان شما به سياست و پروسه ها آموزش براي بسياري از كارفرمايان نياز داريد حفاظت از داده ها در مقابل كارمندان خود مسخره به نظر مي رسد بخاطر داشته باشيد به صفر و يك ها داده به عنوان پول واقعي نگاه كنيد بانكها دو بار فكر نمي كنند در مورد اجرا كردن كنترل هاي كافي روي ذخيره پول براي مثال آنها گاو صندوق را باز نمي گذارند به طوري ك

ه هر كس در بانك كار مي كنيد يا هر مشتري كه در بانك قدم مي زند بتواند داخل شود و مقداري از آن پولها را بردارد زماني كه داده را هم ارزش با پول در نظر بگيريم كنترل هاي امنيتي يك نياز مي شود يك پيشنهاد اين زمان First fideityخوش شانس بود با دسترسي نامحدود به شبكه براي سه روز هكر
مي توانست داده ها را خراب كند سيستم هار ا خاموش كند يا حتي تنظيمات سخت افزاري
قسمت هاي يا همه شبكه مي توانست بي فايده در آيد مديران سيستم مي توانستند با روزها حتي هفته ها كار مواجه شوند فقط براي اجراي دوباره

سيستم با فرض اينكه پشتيبانان جاري وجود داشتند هكرها مي توانند سريع رد پاي خود را بپو شانند دنبال كرد ن آنها به نقطه آغاز خيلي سخت و ناممكن مي شود اگر شما در مسير سريع عمل نكنيد حتي اگر داده ها دزديده شوند تغيير كنند يا خراب شوند ممكن است شما نفهميد صرفاً به اين دليل هر كس كه دارد يا نگهداري مي كند از شبكه كامپيوتري بايد توسعه دهد پروسه پاسخگويي --حوادث ويژه روشن را.
بياييد به آنجا نرويم
با دادن طبيعت حساس به داده هايشان first fiddity خوش شانس بود البته تكيه كردن بر خوش شانسي معبر امنيتي خوبي نيست در عوض اين چيزي است كه آنها بايد انجام مي دادند
متمركز شدن روي پيشگيري
با دادن راه كارها شما احتمالا مي پرسيد چرا first fiddity از چنين تركيب آسيب پذيري استفاده كرد ؟ چرا داده هايتا ن را در معرض خطر بزرگ قرار دهيد
البته پاسخ اين است چرا نه در هر صورت راهي وجود نداشت كه هكر بتواند به سيستم آنها حمله كند به طور عجيب تعدادي زيادي از شركتها هنوز اينطور فكر مي كنند

فكر نكنيد اين نمي تواند براي من رخ دهد
از آنجايي كه اين شركتها بسيار مطمئن هستند كه آنها چنان در مقابل دسترسي هكر ها ايمن هستند كه آنها حتي احتياط هاي اساسي را انجام نمي دهند از آنجايي كه اين هرگز براي آنها اتفاق نخواهد افتاد آنها هيچ وقت براي امنيت بودجه اختصاصي نمي دهند آنها پروسه پاسخگويي حوادث را توسعه نمي دهند بنا بر اين آنها به كارمندان خود آ موزش نمي دهند چگونه به يك حادثه پاسخ دهند به همين سادگي كه به نظر مي رسد مهمترين چيزي كه شما مي توانيد انجام دهيد براي جلوگيري از يك حمله به فهميدن اينكه آن مي تواند براي شما اتفاق بيافتد بستگي دارد براي جلوگيري كردن از وقوع آن از ابزار آموزشي امنيتي موثر استفاده كنيد به همه آموزش دهيد از مدير بالا تا پايين ترين سطح كار مندان وارد كننده اطلاعات همه بايد بدانند چگونه از داده ها در مقابل دزديده شدن تغيير كردن و يا خراب شدن به وسيله كار بران غير مجازي محافظت كنند يك هكر بد خواه با دسترسي زياد مي تواند هر كس را از كار بيرون كند در يك بيان صريح استفاده غير قانو ني هر نوع استفاده ا ز سيستم كامپيوتري كه بطور خاص تحت اختيار مدير سيستم نباشد است بنا بر ا ين يك استفاده كننده غير قانوني مي تواند يك هكر بد خواه با شد سارق خوش گذران نافرمان يا حتي كارمندي كه اجازه ندارد از سيستم مخصوص در ي

ك زمان مشخص يا براي هدف خاصي استفاده كند در حادثه fist fidelity كاربر غير مجاز شناسايي شده مي توانست هر كدام از موارد بالا باشد همانطور كه (CST )موسسه امنيتي كامپيوتر در يافت در تحقيق اخير و همانطور كه شكل 2-1 شر ح مي دهد بسياري از مديران حتي از اينكه دسترسي بي اجازه يا سوء استفاده غير قانوني فرا گير چگونه اس

ت بي ا طلا ع هستند
بشناسيد زماني كه شما تحت حمله هستيد
اولين مشكل در بررسي يك حمله تشخيص زماني است كه سيستم شما مورد حمله قرار گرفته شما نياز داريد مطمئن شويد چيزي كه مي بينيد واقعا يك حمله است نه فقط يك تغيير ناگهاني سخت افزار يا نرم افزار يا رفتار عجيب يك كاربر . در مرحله اول باز رسي نر م افزار مي تواند در تعيين اينكه شما تحت حمله ايد كمك كند به هر حال نصب كردن نر م افزار باز رسي قبل از حمله كاملا مهم است رسيدگي كنيد به آخرين تماس كد قرمز در 19 جولاي 2001 كد قرمز به 354104 ميزبان سرايت كرد چيزي كه فقط در 13 ساعت انجام شد در ماكزيمم فعاليت در حدود 2000 سايت جديد در دقيقه حتي سايت هاي كه نر م افزار بازرسي را نصب كرده بودند بيشتر سيستم هاي بازرسي دخول سر زده IDS مي تواند پيدا كند حمله را فقط اگر يك امضا ء وجود داشته باشد احمقانه به نظر مي رسد اگر شما در مورد آن فكر كنيد اين مانند اين است كه منتظر دزد باشيد تا وارد خانه شما شود قبل از اينكه يك قفل براي در خريداري كنيد. بعلاوه يك بار كه شما امضا ء را نصب كرديد اين براي رقيبان آسان است كه يك ور ژن جديد از حمله روا نه كنند و IDS آن را از قلم بيندازد مطمئن شويد IDS شما حمله هاي جديد روز صفر را مي تواند پيدا كند (بعضي اوقات گفته مي شود اولين بر خورد يا حمله هاي شناخته نشده زيرا آنها هنوز گزارش داده نشده اند آنها به طور عمومي شناخته نشده اند و امضايي هم وجود ندارد )
اگر IDSشما نتواند نمايان كند حمله هاي روز -صفر را شما نياز به بروز رسا ني معمارتان داريد اينگونه عمل كردن كمك ميكند به شما حفاظت كنيد در مقابل حمله هايي كه پروتكل ها را مورد حمله قرار مي دهد مانند Nimda code Red و ورژن هاي آنها من پيشنهاد نمي كنم كه شما نر م افزار بازرسي بر روي هر سيستم روي شبكه تان را نصب كنيد در هر حال نصب استراژيكي آن در مكانهاي كليد ي (بر روي شبكه ها و سيستم ماموريت -بحراني ) مي تواند به شما يك كمك بيشتري بكند
آماده شويد براي بدترين حالت
با وجود اينكه پيش گيري0 8% از درمان هست هميشه 20% ديگر وجود د ا رد حقيقت اين است كه هيچ چيزي مهم نيست هر چند شما خوب طراحي كرده باشيد هميشه مشكلات پيش بيني نشده وجود دارد قادر بودن به بر خورد با آن مشكل خيلي اوقات خلاصه مي شود به آماده شد ن براي شناخته ها براي اجتناب از موقعيتي كه first Fidelity به ‌آ ن دچار شد كار هاي زير انجام دهيد توسعه دهيد يك سياست كتبي براي مواجه شدن با حمله ها اگر شركت شما فاقد يك سياست كتبي براي مواجه شدن با دخول هاي سر زده شبكه است شما تنها نيستيد اگر چه ما مايليم كه روي شركتهاي بزرگ آمريكايي متمركز شويم ايمني ضعيف به فر ا سوي مرز هاي ملي گستر ش يافته است يك تحقيق روي 2001 از شر كتهاي كانادايي هدايت شد ه بوسيله KPUG نشا ن داد كه فقط نيمي از جوابگويي ها فر آيند هاي جواب گويي حوادث براي كنترل كر د ن رخنه هاي امنيتي تجارت الكترونيك دارند . اگر نياز دار يد يك متخصص استخدام كنيد
شكل دادن يك تيم پاسخگويي – حوادث(IRT) توسعه دادن سياست ها و فرآيندها و به روز رساند ن همه چيز مي تواند يك وظيفه بزرگ با شد نياز به وقت دانش هما هنگي پرسنل و منابع دارد ا گر شما پرو سه در مكان نداريد و هيچ كس در شر كت ش

ما تخصص توسعه آنها را ندارد يك متخصص استخدام كنيد متخصص معني هكر را نمي دهد مراقب باشيد چه كسي را استخدام مي كنيد همان طور كه در شكل 3-1نشان داده شده بيشتر شركتها هكر هاي سابق را به عنوان مشاور استخدام نكردند چند ين شر كت وجود دارند كه اين مسئله مهم را جدي مي گيرند و خدمات با ارزشي فرا هم م

ي كنند ( جز ئيات را در پيوست A ببيند . مردم توليدات براي شناختن) هنگامي كه فر آيند پاسخگويي -حوادث براي يك شركت در چندين سال قبل توسعه مي يافت من با يك هئيت رئيسه از يك شركت مشاوره امنيتي در بار ه تخصص هاي پشتيباني امنيتي كه ارائه مي كردند صحبت كردم من سوال كردم چه قدر طول مي كشد اگر ما يك متخصص نياز داشته باشيم . او گفت ما پوشش جهاني داريم و مي توانيم يك تيم در هر كجا در جهان ظرف چند دقيقه تا چند ساعت داشته با شيم بستگي به محل دارد شركت امنيتي كه اين نوع سرويس را عرضه مي كند آماده است و مي خواهد كه كمك كند فوراً متخصصانشان را به سو ي شما خواهند فرستاد اگر يك مشكل رخ دهد آنها حادثه هاي بد را ديده ا ند و آنها مي دانند پاك كرد ن بعد از يك حمله جدي چقدر سخت است اين مهم است كه اين نوع ارتباط را قبل از اين كه حمله اي داشته باشيم بسازيم بنا بر اين شما مي دانيد كه كساني هستند كه پاسخ دهند به شما اگر يا زماني كه شما خو دتا ن را ميان يك حادثه بد ببينيد .
دريافت كنيد يا تامين كنيد آموزش لازم را
حتي زماني كه فر آيند پاسخگويي حوادث وجود دارد مديران سيستم و كار بران شايد در استفاده از آ نها آ موز ش نديده باشند سياست ها يا پروسه هايي كه كاملا درك نشد ه باشند زياد مفيد نيستند آنها شايد حتي احساس غلطي از امنيت به افراد بدهند نه تنها لازم است فرآيندهاي غير منتظره به خوبي شناخته شوند و تعميم داده شوند بلكه هر كار بر كامپيوتري در شركت از مدير اجرايي شركت تا كارمند وارد كننده داده نياز دارند بدانندچگونه آنها را اجر ا كنند مسئوليت امنيت كامپيوتر بر روي دوش همه كارمندان است پيشنهاد خوبي است كه سيا ست ها و
پروسه هايمان را چك كنيم قبل از رخ دادن يك بحران يك حر كت خشك را در نظر بگيريد شما شايد بخواهيد يك تيم نفوذي براي تست كرد ن امنيت سايتتان استخدام كنيد تيم Tiger مي تواند سعي كند وار د سايت شما شود وهم زمان پاسخگويي تيم شما را به يك حمله تست كند با ا ين و جود ا ين نظر خوبي نيست كه ا فرا د را رها كنيم در حالي كه حدس مي زنند آيا اين يك حمله واقعي است يا نه اگر شما يك مشاور امنيتي براي تست كر د ن امنيت سايتتان و پاسخگويي به حمله استخدام كنيد به پرسنل پشتيباني اطلاع دهيد اجازه دهيد آنها بدانند كه ا ين حركت خشك است نه يك يا چند واقعي.
نقطه تماس را مشخص كنيد POC
در طول يك حمله ساعت هر گز از حر كت نمي ايستد اگر شما بايد فكر كنيد چه كسي احتياج است كه آگاه شود از حمله شركت شما بايد يك poc د ا شته با شد معادل يك خط اورژانس 911كه كار برا ن بتوانند در هنگام وقوع يك حمله تما

س بگيرند . هدف هايتان را بشناسيد و ا ز قبل تعيين كنيد . اهدا ف و بر تر ي هاي شركت شما شايد با اهدا ف و بر تر ي هاي فرد كناري متفاوت باشد نكته قابل توجه اينجاست كه واقعه هاي پيچيده اجازه فكر كردن در مورد برتري ها را نمي دهد بنا براين اهداف شما در طول حمله بايد قبلا تعيين شده باشند و شناخته شوند قبل از اينكه حمله رخ دهد شناختن اهداف ضروري است براي فرموله كردن يك طرح مناسب حمله اهدافي كه به شبكه شما اختصاص دارند شايد شامل بعضي يا همه موارد زير باشند
محافظت كنيد از اطلاعات مشتري . شما ممكن ا

ست از اطلاعات بحراني مشتري رو ي
شبكه تان نگهداري كنيد ا گر يك هكر بدزدد تغيير دهيد خراب كنيد يا حتي اطلاعات را روي اينترنت اعلا ن كنيد شما شايد خودتان را در يك دادگاه بيا بيد .
شامل حمله شويد
جلو گيري كنيد از استفاده از سيستم شما براي روانه كردن حمله ها بر عليه ديگر شر كتها بعضي از اوقات شما شايد لازم داشته باشيد كه يك سيستم را از شبكه قطع كنيد براي جلو گير ي از زيان بيشتر و محدود كنيد حوزه حمله را براي مثال اگر شما يك مشتري شبكه خار ج از شبكه داشته باشيد كه به شبكه شما متصل است و يك هكر بدست مي آورد دسترسي به سيستم كه متصل مي كند شمار ا به مشتري خار ج از شبكه شما بايد حفاظت كنيد از شبكه مشتري خود اگر شما بايد اين كار را بكنيد آ ماده باشيد و بدانيد چگونه دست به كار شويد.

مدير ارشد را آگاه كنيد
مدير مسئول است برا ي كفايت صحت و اعتبار داده اگر به سيستم در شركت شما حمله شد ه است مدير اطلاعات شركت CIO بايد آگاه شود با موقعيت پهلو به پهلو تهيه كنيد مدارك در مورد واقعه گزار ش دادن همه جزئيات مي تواند براي مدير اطلاعات مهم را فرا هم كند تا حمله را تشخيص دهد و بتواند كمك كند در تعقيب قانوني ا فرا د يك عكس فوري از سيستم بگيريد. يك عكس فوري اساسا يك عكس است كه از چيزي كه حافظه كامپيوتر شامل مي شود ( ذخيره اصلي ، ثباتهاي مشخص و غيره ) در يك نقطه مشخص از زمان ( بعضي اوقات يك عكس فوري يك زباله سيستم ناميده مي شود مثل يك عكس عكس فوري مي تواند استفاده شود براي گرفتن مزاحمين بوسيله گزار ش دادن اطلاعات كه هكر مي تواند پا ك كر ده باشد قبل از اينكه حمله كامل بشود يا دفع شود بهمين صور ت يك عكس فوري سيستم اطلاعات قاطع باز رسي را فراهم مي كند تماس بگيريد با تيم پاسخگويي حوادث امنيتي كامپيوتر(CSIRT) تماس داشتن با يك (CSIRT) مهم است در طول مرا حل اوليه دخول سر زده چونكه آنها شايد اطلاعاتي داشته باشند كه بتواند به شما كمك كند دخول سر زده تان را متوقف كند براي مثال آنها ممكن است بدانند چگونه فيكس كنند رخنه در نرم افزار يا سخت افزار فروشند ه كه اجازه مي دهد به مزاحم دسترسي داشته باشد به شبكه شما آنها همچنين آمار راجع به تعداد كلي حمله ها و شيوه هايي كه استفاده مي شود به وسيله هكر ها برا ي رسيدن به دخول سر زده را گر د آوري مي كنند اگر شما حمله را تحت كنترل داريد و مشكلي كه به هكر اجازه ورود مي دارد را حل كرديد شما هنوز هم بايد با يك (CSIRT) تماس بگيريد بنا براين آنها مي توا نند آمار دقيق را داشته باشد آنها از نام شركت شما استفاده نمي كنند يا به هيچ كس نمي گويند كه به شما حمله شده است تعداد زيادي از CSIRT ها هستند در هر گوشه زمين ( براي جز ئيات ببينيد پيوست A افراد و فر آيند ها برا ي دانستن " )
مزاحم را بشناسيد

اين مورد روشن به نظر مي رسد اما آ ن معمولاً در را س كارهاي مقدماتي قرار ندارد مطمئناً مطلوب است به آن برسيم اما حتي بهتر است كه از آ ن رد شويد براي گرفتن مزاحم خيلي تلاش نكنيد چراكه شما صحت اطلاعات را به مخاطره مي اندازيد اگر شما به ر ا حتي نمي توانيد يك حمله در شبكه تان را دنبال كنيد لازم است در نظر بگيريد كه

توانايي انجام آن را چه قدر مهم است بعضي از عرضه كنندگان نر م افزار هايي ارائه مي كنند كه به راحتي مي تواند حمله ها را پيگيري كند به شر ط اين كه نرم افزار بر ضد جريان حمله نصب شده باشد اين بايد در سطح اجرايي موسسه به عنوان ي

ك استراتژي قرار داده شود . بدانيد چه كسي مسئول چه چيزي است.
داشتن مسئوليت هاي روشن هر ابهامي را از بين مي برد دانستن اين كه چه كسي مسئول است براي چه كاري سرعت كار را سريع مي بخشد و احتمال شناختن مجرم را افزايش مي دهد . بدانيد به چه كسي مي توانيد اعتماد كنيد .
حمله واقعي فقط قسمتي از مشكل واقعي در first fidelity بود قسمت ديگر فقدان اعتماد در بين ا فرا د كليدي بود اگر ما فر ض كنيم كه mike گناه كار بود موضوع اعتماد يك مسئله كاركنان مي شود آيا كنترل سابقه اي كامل لازم است بر اي هر كس كه بر اي امنيت كامپيوتر مسئول خواهد بود اگر ما فرض كينم كه mike بي گناه بو ده موضوع اعتماد تغيير شكل مي دهد به عنوان مشكل ارتباطي چرا هيچ كسي زودتر با mike تماس نگرفت ؟ آيا Dave در صحبت با mike راحت نبو د زيرا mike جز ء گروه امنيتي بود ؟ يك تلفن مي توانست كانال ارتباطي را باز كند و شايد مانع مظنون شد ن همه به mike شود كه اين مظنون شدن منجر به پيچيده شدن تحقيقات شد شايد سابقه بد گماني هاي گفته شده بين مديران سيستم و تيم امنيتي وجود داشت كه بد گماني كارمندان تيم امنيتي شركت موضوع مهمي است كه نياز به توجه دارد ناديده گرفتن چنين مشكلاتي شركت را در خطر قرار مي دهد يك فر آيند براي كنترل تضاد منافع
مي توانست به Dave كمك كند او قادر بود تيم امنيتي را به وسيله تعديل تحقيق به سطح بالاتري از تو ا نايي منتقل كند .
سريع و قاطعانه عكس العمل نشان دهيد
اگر هكر علي رغم محافظت هاي كامل شما به سيستم شما حمله كند حداقل اقدامات زير را انجام دهيد. سريع عمل كنيد .
قطعي ترين حقيقت در امنيت ا ين است كه هر چه قدر شما دير تر واكنش نشان دهيد احتمال اين كه مزاحم با داد ه هايتان فرار خواهد كر د بدون آسيب ديدن شناخته بشود و در حالي كه آماده مي شود بعداً دو بار ه حمله كنند زياد مي شود .

نقشه باز ي را دنبال كنيد
تمام هدف داشتن يك پروسه پاسخگويي -حوادث از پيش تنظيم شده اين است كه شما يا گرو ه شما بتوانند فوراً واكنش نشا ن د هند بدو ن اينكه در مورد آ ن فكر كنند دو باره نمي خواهد آ ن طرح بررسي كنيد فقط آ ن را انجام دهيد .
همه چيز را گزار ش دهيد
وقتي گمان مي كنيد يك سيستم تحت حمله است بي نهايت مهم است كه اطلاعات را جمع‌آور ي كنيد يك عكس فوري از سيستم بگيريد هر اطلاعات باز رسي كه شما بتوانيد گردآوري كنيد با ارزش است و شاد نهايتا در شناختن منابع حمله و تعقيب قانوني مزاحم
كمك كند .

مشكل را زماني كه لازم است تعديل كنيد
تعديل ارجاع دادن مشكل به سطح بالا تري از اختيارات است فر آيند پاسخگويي حوادث بايد نشان بدهد تحت چه شرايطي مشكل بايد داخلي و ت لازم است هنگامي كه درجه حمله فرا تر از پايه دانش تيم پشتيباني باشد تعديل خارجي تماس گرفتن با متخصصا ن خارجي تجويز مي شود هنگامي كه حادثه براي تيم امنيتي بسيار پيچيده است داشتن يك بر نامه در مكان براي تعديل بر خور د منافع مهم است اين نوع تعديل زماني لازم است كه همه افراد تيم پشتيباني مظنون هستند در مورد first fidelity مظنون اصلي يك بخش از تيم امنيتي بود تعديل تضاد منافع مي توانست بسياري از مشكلات بعدي پرسنل را كاهش دهد .
گزارشات خوب را نگه داريد
توسعه دادن يك مكانيزم گزار ش براي همه حمله ها عاقلا نه است حتي آنهايي كه بدو ن آسيب آشكاري به سيستم رفع شدند گزارشات حمله يك تصوير كلي وضعيت امنيت شبكه را فرا هم مي كند گزارشات حمله ها همچنين مي تواند به نقص امنيتي ناحيه كوچك از شبكه شما كه آسيب پذير هستيد كمك كنند
پيگيري كنيد
بعد از اينكه يك حمله رخ مي دهد شما لازم است تشخيص دهيد چه اتفاقي افتاده است ؟ كارمندان شما آ ن اهداف و كار هاي مقدماتي ر ا د نبال كر ده اند ؟ چه درسي شما گرفته ايد ؟ دفعه بعد چه كار متفاوتي انجام مي دهيد ؟ سيستم شما به حالت امن اوليه بدو ن در هاي باز گشت بر گشته ؟ بعد از هر حادثه امنيتي كار هاي زير انجام دهيد .
پروسه ها و سياست هاي خود را مجدد چك كنيد
كاملاً امتحان كنيد پرو سه هاي شما چه قدر خوب كار مي كنند و تصميم بگيريد كه به تغيير آنها براي آينده نياز داريد .
حادثه و اين كه چگونه شما آ نر ا كنترل كر ديد) را به مدير گزارش دهيد .
اگر شما مدير هستيد پا فشاري كنيد كه همه حوادث به شما گزار ش داده شوند يك فر آيند استاندار د براي هر گزار ش حمله فرا هم مي كند يك تصوير كلي از وضعيت امنيت شبكه اگر گزارشات نشان دهند كه حمله ها شديد اند يا دفعات در حال افزايش ا ين روشن است كه محاسبات امنيتي نياز به بروز رساني يا تقويت دارند گزار ش كنيد قرا دادهايي كه مي توانند در شناختن محيط هايي از شبكه كه ممكن است مزاحم ها هدف گيري كر ده باشند براي داده هاي مور د استفاده قرار بگير د (مثلا كد منبع براي طرح چيپ جديد شما )
به بودجه نگاه ديگر ي داشته باشيد
روي كاغذ هر كسي امنيت را دوست دارد اما زماني كه به سرمايه گذا ري مي رسد طرا حي امنيت و پاسخ گويي معمولا كوتاه مي شوند در اين سه ماه بود جه محدود است بنا بر اين مدير ا ن مي گويند هزينه هاي پاسخگويي -حوادث بايد منت

ظر باشند چيز ديگر ي كه شما مي فهميد ا ين است كه يكسال گذشته و پرو سه ها هنوز نوشته نشده اند اهميت امنيت به آساني ناديده گرفته مي شود گاهي يك حمله اصلي شر كتها بعضي آ دمها بي چاره را هدف مركزي CNN يا
60 minutes قرار ميدهد همه ناگهان نگرا ن مي شوند براي نصب كر دن اقدامات امنيتي و مطمئن مي شوند كه چيز مشابهي براي آنها اتفاق نخواهد افتاد سپس نور افكن خاموش مي شود رسانه ها كنار مي روند و هكر ها به زندان مي افتنادن بودجه بي ميل مي شوند Marcus Rnum به عنوان پدر Firewall (سيستمي كه جلو گيري مي كند از دسترسي افراد به اطلا عات خاص ) شناخته مي شود يك بار گفت وقتي امنيت بر قرار مي شود اغلب يك گلو له به سمت سر فر دي كه در نزديكي شما ايستاده گرفته مي شود قبل از اينكه مدير توجه كند اگر شما مدير مسئول امنيت هستيد گلوله را به سمت امنيت نگيريد حقيقت اين است كه هزينه هاي بر طرف كردن آثار حمله جدي خيلي بيش تر از انجام كارهاي دفاعي در مكان است براي به حد ا قل رساندن آ ن هزينه ها در آينده از در نظر گرفتن نيازها براي بودجه كافي براي نيازهاي امنيتي مطمئن شويد .
چك ليست
اين چك ليست را براي تشخيص اين كه آيا شركت شما آماده پاسخگويي به يك حمله است به كار ببر يد . آيا شما مي توانيد در كنار هر آيتم يك جواب مثبت قرار دهيد ؟
آيا پاسخگويي - حادثه وجود دارد ؟
آيا پروسه ها قابل فهم هستند ؟
آيا همه كاركنان كليدي براي استفاده پروسه آموزش ديده اند ؟
آيا پرو سه ها شامل ساختار هايي براي تماس با متخصص امنيتي در 24ساعت و 7 روز هفته هستند؟
آيا اگر متخصص امنيتي پاسخگو نباشد پرو سه اي براي تعديل مشكل به مديريت وجود دارد ؟
آيا پر وسه ها شامل آ گاه كردن سريع CIO زماني كه هر حمله ر خ مي دهد واز طر ف ديگر زما ني كه حمله دفع مي شود هستند ؟
آيا سر مايه گذار ي كافي بر اي توسعه نگهدا ري از پاسخگوي -حوادث در مقابل حمله ها تخصيص داده شده اند؟
آيا افرادكليدي واقعا در همه جلسه هاي آموزشي شركت كر ده اند ؟
آيا زمينه مناسب براي هدايت كردن افرا د كليدي چك شده است ؟
آيا بر رسي ها ي سا بقه اي مناسب بر روي پر سنل كليدي انجام شده ا ست ؟
آيا ارتباط بين مدير سيستم و تيم امنيتي به طور روان در جريان است ؟
آيا طرح هاي جبران حادثه بد وجود دارند ؟
آيا همه سيستم ها كنترل هاي امنيتي كافي دارند ؟
آيا شر ح عمليات باز رسي سيستم در

دسترسي است؟
آيا شر ح هاي سيستم به طور دور هاي مرور مي شوند ؟
آيا ابزار هاي مور د نياز براي مشخص كرد ن دخول سر زده نصب شده است و موثر هستند ؟
آيا شما مي توانيد تشخيص دهيد و پيشگيري كنيد از حمله هاي به شبكه و به گر وه ميزبان (يك معبر طبقه بندي شده براي تشخيص) آيا پيگيري حمله ها بر روي شبكه شما آسان است ؟
حرف آخر
آمار هايي كه توسط CERT گر د آوري ش3934 در 1998به 9859در 1999به 211756 در 2000و 52 88 در 2001 افزايش يافته است سه ماه اول 2002 به تنهايي 26829 حادثه گزار ش شده است حتي نكته تكان دهنده تر اين است كه تخلفات زيادي گزار ش نشده زيرا آنها هر گز مشخص نشد ه اند در حالي كه 38% پژو هش هاي بر رسي شده سال CSI 2002 گزار ش داد ه اند استفاده كنترل نشده از وب سايتهاي آنها براي سال گذشته 21 % ديگر گزار ش دادند كه آنها واقعا نمي دانستند آيا سايتشان تسويه شده يا نه با آماري اين چنين آسان است كه ببينيم حتي اگر شما دليلي نداريد براي باور كردن اين كه شركت شما هم يك حمله را تجربه كر ده است شما شايد قرباني يك حمله شده ايد كه بدون توجه كردن رفته است درك تحقيق كلاسيك صادقانه وزارت دفاع dod يك آزمون را هدايت كرد كه نشان مي دهد چگونه حمله هاي نادر و كمياب مشخص مي شوند و گزارش مي شوند شكل 4-1 از مايش ويژه براي حمله به 8932 كامپيوتر را بيان مي كند در سيستم هاي مور د هدف حمله ها در داخل شدن به 7860 سيستم موفق بودند تقريبا 88 % در عين حال فقط 19تا از آن حمله ها گزارش شدند كمتر از0.03 درصد آزمايش DOD نشان مي دهد حملات به ندرت گزارش مي شوند Dan Farmat (يك پژوهشگر مشهور امنيت كامپيوتر ) هدايت كرد يك بررسي امنيتي را روي نمودار بالا سايتهاي اينترنتي وب جهاني تجار ت گر ا نتايج نشان داد كه آسيب پذيري هاي امنيتي جدي روي اينترنت وجود دارند بيش از 1700 سرور در اين تحقيق مورد هدف بود بيش از 60در صد سيستم هاي مي توانستند مورد حمله قرار گيرند يا خراب شوند و فقط سه سايت معمولاً به رسيدگي توجه مي كردند در يك هجوم براي متصل كردن سيستم به اينترنت شما ممكن است امنيت را فرا موش كنيد سيستم شما شايد در معر ض 60در صد آسيب پذيري باشد اگر شما از كنترل هاي امنيتي موجود روي سرور سايتتان يا هر سيستم ديگر مطمئن نيستيد يك باز رسي امنيتي را هدايت كنيد يا با متخصص امنيتي براي ارزيابي سايتتان يا هر سيستم ديگر مطمئن نيستيد يك باز رسي امنيتي را هدايت كنيد يا با متخصص امنيتي براي ارزيابي سايتتان تماس بگيريد DOD و امتحان DOD هر دو چند سال پيش كامل شدند اين سخت است كه بگوييم امروز چه تعداد شركت حمله را تشخيص مي دما
نر م افزار شناختن كلمه ها را نصب نكرديد آن لازم است منتظر نباشيد كه اسم شركت شما روي CNNذكر شود .
زير سيستم ها بايد به وسيله غفلت ها از كار بيافتد به طوري كه كار برا ن (اميدوارانه ) ياد بگيرند در بار ه آن چه كه او را قادر بسازد قبل از اين كه او قادر كند آن را اين شايد زماني كه در مورد يك يا دو زير سيستم صحبت مي كنيم واضح نباشد امسل بي عيب از مهندسان سيستم نصف زندگي كاري خود را در حال انجام دادن همان چيز ها برروي هر ماشين بگذرا نند Theo de Roadt مهندس امنيت پروژه Open BSD .
خارج از جعبه امنيت
شما حرفه‌‌تان را بر روي اينترنت براي يك سال هدايت مي‌كرديد فقط يك سود بدست آورده‌ايد چيزها سرانجام كم مي‌شوند! شما فكر مي‌كنيد چقدر خوش‌شانس هستيد از اولين كساني هستيد كه كارتان را راه انداخته‌ايد اداره مي‌كنيد و سود بدست مي‌آوريد بر روي وب.
شما به يك قلمرو جديد كه براي اكثر افراد ناشناخته بود وارد شده‌ايد – اينترنت. به شما يادآوري مي‌كند پيشگامان اوليه كساني كه فرصت اين را پيدا كردند و از كشور عبور كردند زيرا آنها شنيده‌بودند ثروت هزاران مايل دورتر در كاليفرنيا است آنها به دنبال طلا بودند شما يكي از پيشگامان اوليه اينترنت هستيد شما هم تقريبا مثل آنها به دنبال طلا هستيد. شما آنقدر برنامه كاري داريد كه به نظر مي‌رسد براي مدت زيادي نتوانيد مرخصي بگيريد: شما فكر مي‌كنيد چقدر خوش‌شانس هستيد داشتن يك فراهم كننده خدمات اينترنت، شما يك ISP داريد ISP شما درها را باز مي‌كند براي تجارت بر روي وب جهاني. حتي بهتر از آن ISP شما ذخيره مي‌كند و نگهداري مي‌كند از همه اطلاعات كاري شما شامل صفحه خانگي وب جهاني شما. شما وقت را تلف نمي‌كنيد در پشتيباني از سيستم‌ها يا فهميدن اين كه يك صفحه وب بسازيد و به اينترنت متصل شويد در مرحله شما صادقانه نظري در مورد اين كه كامپيوترها چگونه كار مي‌كنند نداريد و شما نمي‌توانيد كمتر توجه كنيد دليل اين است كه شما براي ISP تان پول پرداخت مي‌كنيد خواب روزانه يك طرف شما كار داريد كه انجام دهيد. زمان اين است كه قيمت‌ها را افزايش دهيد الآن شما مي‌توانيد دستمزدهاي بيشتري را براي خدمات مشاوره‌اي تقاضا كنيد بخاطر تقاضاي بازار. تقريبا نيمه شب است اما شما تصميم مي‌گيريد متصل شويد و قبل از صبح تغييراتي به وجود آوريد شما سعي مي‌كنيد به صفحه وب خود متصل شويد اما نمي‌توانيد. بدشانسي! شما بارها و بارها سعي مي‌كنيد چه اتفاقي مي‌افتد روي شبكه ترافيك آنقدر بد است كه شما نمي‌توانيد به صفحه وب خود متصل شويد؟ شما سعي مي‌ كنيد با ISP خود تماس بگيريد اما خط شلوغ است شما نمي‌توانيد به صفحه خود متصل شويد و خط‌هاي ISP تان همه شلوغ است شما در تلاطم مي افتيد و تمام شبكه نگران مي چرخيد چه اتفاقي مي‌افتد؟
متاسفانه شانس شما به پايان رسيده صبح بعد شما مي فهميد كه هكر به ISP شما حمله كرده است هكر سيستم‌هاي آنها را خاموش كرده و همه داده‌هايشان را خراب كرده است. صبر كنيد آنها داده‌هاي شما هستند! حتي بدتر از خاموش شدن شما مي‌فهميد مقدار زيادي از اطلاعات كاري بحراني و صفحه خانگي نمي‌توانند دوباره بدست آيند، زيرا ISP شما از ديسكي كه داده‌هاي شما روي آن ذخيره بود پشتيباني نكرده ا

ست. حالا چي؟ تمام اطلاعات خريداران شما براي هميشه گم شده‌اند! شما فكر مي‌كنيد غير ممكن است؟ دوباره فكر كنيد چه اين كه شما ذخيره كنيد اعداد با ارزشتان را روي يك شبكه داخلي جدا يا با عدم اطمينان وب مواجه شويد شما بايد بتوانيد به درستي داده‌هايتان و توانايي ISP تان براي حفاظت كردن از سرمايه‌‌ها

يتان اعتماد كنيد؟ آنها مي‌دانند چگونه سيستم‌ها را نصب كنند و از داده‌هاي شما حفاظت كنند درست است؟ البته آن قسمتي از خدماتي است كه شما براي آن پول پرداخت مي‌كنيد متاسفانه رشد سريع تكنولوژي اطلاعات و تقاضا براي تجارت‌هاي مورد رقابت تكنولوژيك ديگر يك رشد هم‌زمان در عمق آموزش امنيت در ميان حرفه‌اي ها را ايجاد نكرده است. با تمام اعتياد به رسانه‌ها، بيش تر مردم امروزه مي‌دانند كه متصل كردن يك سيستم به اينترنت بدون كنترل هاي امنيتي بسيار شبيه بازي رولت روسي است در مورد اين كه به كسي حمله شود فقط موضوع زمان مطرح است. با وجود آن چرا ‌ ISP حرفه‌اي سيستم‌ها را خارج از جعبه نصب مي‌كند و با داده‌هاي مشتريان رولت روسي بازي مي‌كنند؟
از داده مشتريانشان حفاظت نمي‌كنند؟ اگر شما هنوز اعتقاد داريد بيشتر دلالان اطلاعات، مريدان سيستم و ISP ها داناي امنيت هستند، فقط در نظر بگيريد . . .
سروكار داشتن با امنيت در مرحله بعد
سه سال پيش Nathan Linski , George Mardcowicz دو تا از بهترين مهندسين در تجارت بودند آنها همچنين در مورد پيامدهاي طولاني مدت امنيت شغلي، حركت فراينده و توانگر شدن براي كار براي يك شركت بزرگ مضطرب بودند. مانند خيلي ديگر آنها رفع كردند ‌آن پيامدها را به وسيله تلاش خودشان. Nathan , George شركت تازه تاسيس شده‌شان را سرويس‌هاي اينترنتي Transworld ناميدند شركت آنها فراهم مي‌كرد كم هزينه، كيفيت بالاي دسترسي به اينترنت را و نگهداري مي‌كرد از ذخيره داده مشتريانش. اساسا Transworld به كاربران خانگي عادي اجازه اتصال به اينترنت و ذخيره آسان اطلاعات بدون نگراني در مورد حمله به داده‌ها را مي داد. متاسفانه آنها در مورد همه چيز فكر نكرده بودند مانند شكل دهي امنيت. آنها سيستم خود را به اينترنت متصل كردند خارج از جعبه بدون شكل دهي امنيت. چيزي كه سيستم آنها و داده مشتريانشان را در معرض حمله قرار داد .
روز اول : احساس غلط از امنيت
توانايي Nathan, George براي زمان بندي بازار تقريبا به خوبي سابقه فني آنها بود در حدود 6 ماه Transworld نگهداري مي‌كرد راهنمايي هاي خانگي و صفحات وب براي بيش از 1000 مشتري مانند هر تازه كار ديگر Nathan, Gorge در مورد كنترل هزينه‌ها نگران بودند. خوشبختانه تخصص فني آنها به آنها اجازه داد بيشتر اعمال را در دست بگيرند. براي مثال، آنها در نصب سيستم‌ها و نرم افزارها هيچ مشكلي نداشتند. مت

اسفانه Nathan, Gorge تمام سيستم ها را خارج از جعبه شكل دادند بدون در نظر گرفتن اقدامات امنيتي اضافه به نظر نمي‌رسيد آنها حتي يك دقيقه هم در مورد امنيت فكر كرده باشند (يا حتي فكر اوليه). غير عادي نيست. زيرا بيشتر مهندسين امنيت را دوست ندارند مهندسان روي دسترسي آسان به اطلاعات پيشرفت مي كنند و تمايل دارند به امنيت به عنوان يك مانع نگاه كنند. اما يك شركت كه براي نگهداري،

ا عتبار و درستي مشتريان كه يك مسئله مهم است ، مسئول است .
سال بعد متوجه حمله شد
براي Nathan , George در حدود دو سال قبل يك هكر وارد سايتشان از طريق اينترنت شده‌بود. Nathan هكر را پيدا كرد به علت برنامه‌اي كه نوشته بود هك زمان دسترسي مشتريانش را پيگيري مي‌كرد (اين هم تا حدي برنامه‌ها خوبي بود) . خروجي برنامه به Nathan مي‌گفت چقدر بايد براي زمان دسترسي به مشتريانش فيش دهد يك بار روي شبكه داخلي هكر يك شاخه ايجاد كرد، ابزارهاي امنيتي نصب كرد، (براي جمع آوري رمز عبور ما ،‌ پنهان كردن رد پا و غيره) سپس شروع كرد به شكستن رمز عبورهاي سيستم و جستجو داده و دسترسي به سيستم هاي ديگر براي مشاهده داخلي اين نوع حمله رجوع شود به بخش راه رفتن هكر در بين شبكه”) Nathan در نهايت فهميد كه هكر داخل شده بوسيله يك حساب دخول به سيستم باقي مانده از يك نمايش تجاري قديمي، آن حساب را از كار انداخت و فكر كرد مشكل حل شده‌است.