بخشی از مقاله
چکیده -
حجم وسیعی از مخاطرات امنیتی بر اثر تزریق داده های آلوده یا سوء استفاده از نقاط ضعف ناشی از کد نویسی ناامن در برنامه ها - علی الخصوص وب محور - منتج می شود.علیرغم وجود تجهیزات امنیتی ذی قیمت نظیر فایروال، همچنان نگرانی امنیتی از مسایل عمده مسئولین حوزه فناوری اطلاعات سازمانها می باشد زیرا که حفره های امنیتی ناشناخته یا نهفته در زمانی گریبانگیر کسب وکار سازمان خواهد شد که طرحهای تداوم کسب وکار نیز آنها را پیش بینی ننموده و برای برند و اعتبار آن موسسه، لطمات زیادی را به بار خواهد آورد.
از این رو انتخاب یک ابزار یا روش یا فرایند کشف نقاط ضعف یک سامانه نرم افزاری، رابطه مستقیم با فعالیت یک سازمان خواهد داشت.در راستای پیشگیری از تشکیل تهدید، راهبرد شناسایی و جلوگیری از آسیب پذیری، از سیاستهای امنیتی اکثر موسسات می باشد.
یکی از ساز وکار مرسوم این استراتژی، برگزاری ارزیابی قبل از ارایه خدمات است. لذا با عنایت به برون سپاری تولید نرم افزار به سایر شرکتها، ارایه یک روش ساخت یافته جهت مقابله با موضوعاتی نظیر back door های احتمالی،تهدیدات حاصل از بکارگیری تجهیزات خارجی ازالزامات هر سازمانی خواهد بود.بنابراین در این مقاله سعی گردیده یک چارچوب کلی جهت کشف آسیب پذیری براساس ترکیب فارنزیک و ارزیابی امنیتی ارایه شود.
-1 مقدمه
یکی از مهمترین دغدغه های اکثر موسساتی که فعالیت اصلی آنان با فناوری اطلاعات در هم آمیخته است، وجود آسیب پذیری ها1ی امنیتی در سامانه های عملیاتی یا در دست طراحی می باشد. از آنجا که اعتماد و اطمینان مشتری سرمایه اصلی موسساتی نظیر بانک و بیمه محسوب میشود، کوچکترین خلل درخدمات رسانی ناشی از سهل انگاری در امور امنیتی، نتایج غیر قابل پیش بینیمثلا ریسک شهرت را بدنبال خواهد داشت.
در سالهای اخیر از شیوه های مختلفی به منظور تحقق اهداف خرابکارانه در سازمانها استفاده شده، برای نمونه استاکس نت درسیستمهای کنترل نظارتی وکسب داده - - SCADA جاسوسی و ایجاداختلال می کرد ونخستین کرمی است که روی PLC2 سناریوی مخرب خود را دنبال می نمود[4]همچنینheart bleed شوک بزرگی به متخصصان امنیت فضای سایبری در حوزه SSL3 وارد کرد یا یک جاسوس افزار ماژولار تحت عنوان REMSEC از روشهای پنهان سازی و سرقت اطلاعات و باج افزارهای متعدد نظیر ترامپ و...را می توان نام برد. بر این اساس راهکارهای دفاعی با تاَسی از راهبرد دفاع در عمقمی بایست از طرق مختلف، سرویس امنیت را فراهم نمایند.
در مدل معمول چرخه آسیب پذیری - رخداد امنیتی مطابق چرخه ذیل، نکات کلیدی عبارتند از آسیب پذیری، سوء استفاده ، تهدید و نفوذ یا حمله. آسیب پذیری یک نقطه ضعف درطراحی پیاده سازی و مدیریت می باشد که میتواند جهت نقض سیاستهای امنیتی، مورد سوء استفاده واقع شود. سوءاستفاده نیز، راه برخورداری از مزایای آسیب پذیری نرم افزار است. تهدید، امکان نقض امنیت است که شامل مواردی نظیر قابلیت رخنه کردن بر روی آسیب پذیری است.حمله یا نفوذ، نتیجه موفق تجاوز به امنیت سیستم می باشد
شکل -1تهدید/آسیب پذیری
از چرخه فوق می توان استنباط کرد با توجه امکان همیشگی تهدید، سازمانها می بایست برروی آسیب پذیری که عامل درونی و قابل کنترل می باشد، تمرکز نمایند.
البته مراحل اصلی یک حمله نیز حاکی از نقش کلیدی آسیب پذیری می باشد.یکی از شایع ترین حملات SQLI و XSS طبق نظر موسسه OWASPمی باشد.[19]بررسی مدل cohen-felson در خصوص جرایم - شکل - 3 موضوع عدم وجود یک محافظ قابل، یکی از عوامل ایجاد جرمخواهد بود. موسسات نظیر بیمه و بانک قطعا در زمره اهداف مناسب قرار خواهند داشت که انگیزه مهاجمان زیادی را جهت رخنه و نفوذ بر می انگیزانند.در اینجا نیز تنها عاملی که قابل تغییر موثر در کاهش ایجاد جرم می باشد ایجاد یک سیستم دفاعی قابل می باشد که آسیب شناسی و جلوگیری از شکل گیری چرخه آسیب پذیری -رخداد از مولفه های اصلی آن خواهد بود.
شکل -3مدل cohen-felson
در بسیاری از مواقع، سازمانها به منظور ایجاد امنیت، صرفا به استقرار استانداردهای امنیتی نظیر ISO27001 اکتفا می نمایند یا فقط به ممنوعیت بکارگیری نرم افزار خاصی در رایانه های اداری بسنده می کنند.گرچه این موارد بصورت موردی، موجب ارتقای ضریب امنیتی خواهد بود.لکن براساس اهمیت تعادل در ابعاد امنیت فناوری اطلاعات شامل محرمانگی، دسترس پذیری و جامعیت ضروری است فرایندهای امنیتی بصورت مداوم در سازمان اجرا و مطابق با چرخه PDCA1 اصلاح و تکمیل گردند.
اصلاح فرایندهای امنیتی منطبق بر نیازمندی و مراحل بلوغ امنیتی سازمان و با تاسی از الگوریتم های بهینه سازی صورت می پذیرد. بطور مثال در ارگانی که موضوع رویدادنگاری بسیار محدود و ناقص انجام میشود نمی توان به پیاده سازیSOC2 اقدام کرد.به عبارت دیگر سازمانی که بلافاصله پس از خرید و تهیه نرم افزار، بدون در نظر گرفتن حداقل مباحث امنیتی، پیاده سازی را در دستور کار قرار می دهند.یکی از مراحل بلوغ امنیتی، استقرار مدل ارزیابی امنیتی سامانه های سازمانی متناسب با چرخه حیات توسعه نرم افزار می باشد.
نظارت فراگیر بر مراحل تولید و توسعه یک نرم افزار برای مصرف کنندگان عمده سازمانی محصولات نرم افزاری، منطبق بر اصول امنیتی، راهبردی مطمئن می باشد.کار قرار می دهد در فضای رقابتی امروز محکوم بهشکست می باشد یا سازمانی که تمام بودجه امنیتی خود را صرف آزمون نفوذ می نماید، نتایج موثری به دست نخواهد آورد.
شکل -2آناتومی عمومی حمله
با توجه به چرخه حیات توسعه نرم افزار چارچوبی سبک جهت ارزیابی و کشف آسیب پذیری از نیازمندی های حساس سازمان ها می باشد.بنابراین در این مقاله سعی شده این موضوع به شرح ذیل پیگیری و سازماندهی شود: در بخش دوم با آزمون امنیتی و سپس با آنالیز ایستای کد و در قسمت چهارم با آزمون نفوذ و در ادامه پزشکی قانونی آشنا شده و در انتها روش پیشنهادی را تشریح خواهیم کرد
