درباره Eftekhari

توسط :

1580369532109

بهترین شیوه‌ها و استانداردهای گزارش‌گیری و ممیزی در ISMS:

در دنیای امروز، حفاظت از اطلاعات سازمانی یکی از اولویت‌های اصلی هر کسب‌وکاری است. سیستم مدیریت امنیت اطلاعات (ISMS) به‌عنوان یک چارچوب استاندارد برای مدیریت و حفاظت از اطلاعات، نقش حیاتی در تضمین امنیت داده‌ها ایفا می‌کند. یکی از مهم‌ترین عناصر این سیستم، گزارش‌گیری و ممیزی است که به شما امکان می‌دهد عملکرد سیستم را ارزیابی کرده و به بهبود مستمر دست یابید.
 
اهمیت گزارش‌گیری در ISMS
 
گزارش‌گیری در ISMS، شفافیت و دید جامع نسبت به وضعیت امنیت اطلاعات را فراهم می‌آورد. با استفاده از این ابزار می‌توان:
•روندها و نقاط ضعف را شناسایی کرد.
•اقدامات اصلاحی را پیشنهاد داد.
•ریسک‌های امنیتی را مدیریت و کاهش داد.
 
برای اطمینان از اثربخشی گزارش‌گیری، اطلاعات باید دقیق، کامل و به‌روز باشند.
 
اصول ممیزی در ISMS
 
ممیزی، فرآیندی نظام‌مند برای ارزیابی عملکرد ISMS است. این فرآیند باید بر اساس استاندارد ISO/IEC 27001 و سایر چارچوب‌های مرتبط انجام شود. در ممیزی ISMS، باید به موارد زیر توجه کرد:
1.تعریف اهداف ممیزی: مشخص کنید که چه چیزی باید ارزیابی شود.
2.مستندسازی دقیق: تمام فرآیندها و یافته‌ها باید به‌صورت مستند ثبت شوند.
3.ارزیابی ریسک‌ها: بررسی کنید که آیا کنترل‌های امنیتی به‌درستی پیاده‌سازی شده‌اند یا خیر.
4.تحلیل انطباق: تطابق با الزامات استانداردهای امنیتی بررسی شود.
 
بهترین شیوه‌ها در گزارش‌گیری و ممیزی ISMS
 
برای بهبود عملکرد سیستم و دستیابی به نتایج مطلوب، می‌توانید از شیوه‌های زیر استفاده کنید:
•استفاده از ابزارهای خودکار: ابزارهای دیجیتال می‌توانند فرآیندهای گزارش‌گیری و ممیزی را ساده و سریع‌تر کنند.
•آموزش کارکنان: تیم‌های اجرایی باید با اصول گزارش‌گیری و ممیزی آشنا باشند.
•بازنگری مداوم: گزارش‌ها و نتایج ممیزی باید به‌طور منظم بازنگری شوند تا انطباق با استانداردها حفظ شود.
•ایجاد فرهنگ امنیت اطلاعات: همه کارکنان سازمان باید اهمیت امنیت اطلاعات را درک کنند و در پیاده‌سازی آن مشارکت داشته باشند.
 
نتیجه‌گیری
 
گزارش‌گیری و ممیزی دو ابزار کلیدی در مدیریت امنیت اطلاعات هستند که به شما امکان می‌دهند نقاط ضعف را شناسایی کرده و اقدامات اصلاحی انجام دهید. با رعایت استانداردها و پیاده‌سازی بهترین شیوه‌ها، سازمان‌ها می‌توانند سطح امنیت خود را بهبود داده و در برابر تهدیدات سایبری مقاوم‌تر شوند.
 
برای کسب اطلاعات بیشتر در خصوص خدمات گزارش‌گیری و ممیزی ISMS، با تیم متخصص ما تماس 
Why-Businesses-Needs-An-ISMS

توسعه ISMS در سازمان‌های دولتی و الزامات قانونی

, , ,

مقدمه

در عصر دیجیتال، حفاظت از اطلاعات یکی از مهم‌ترین دغدغه‌های سازمان‌ها، به‌ویژه سازمان‌های دولتی است. سیستم مدیریت امنیت اطلاعات (ISMS) به‌عنوان یک چارچوب استاندارد برای مدیریت امنیت اطلاعات، نقش مهمی در حفظ حریم خصوصی، کاهش ریسک‌های امنیتی، و رعایت الزامات قانونی ایفا می‌کند. در این مقاله، به بررسی اهمیت توسعه ISMS در سازمان‌های دولتی و الزامات قانونی مرتبط با آن می‌پردازیم.

اهمیت توسعه ISMS در سازمان‌های دولتی

1. حفاظت از اطلاعات حساس سازمان‌های دولتی با حجم زیادی از اطلاعات حساس و محرمانه مواجه هستند که افشای آن‌ها می‌تواند به امنیت ملی و اعتماد عمومی آسیب برساند. توسعه ISMS تضمین می‌کند که اطلاعات به‌درستی محافظت شوند.

 2. مدیریت ریسک پیاده‌سازی ISMS به شناسایی، ارزیابی، و مدیریت ریسک‌های امنیتی کمک می‌کند. این امر از وقوع حوادث امنیتی جلوگیری کرده و پاسخ مناسبی به تهدیدات ارائه می‌دهد.

3. رعایت الزامات قانونی بسیاری از قوانین و مقررات ملی و بین‌المللی (مانند قانون حفاظت از داده‌ها) سازمان‌ها را ملزم به ایجاد سازوکارهایی برای حفاظت از اطلاعات می‌کنند. ISMS این قوانین را به شیوه‌ای ساختاریافته و منسجم پیاده‌سازی می‌کند.

الزامات قانونی مرتبط با ISMS در سازمان‌های دولتی

1. قوانین ملی در بسیاری از کشورها، قوانین مرتبط با امنیت سایبری و حفاظت از داده‌ها، سازمان‌های دولتی را ملزم به پیاده‌سازی ISMS می‌کنند. در ایران، قانون “حفاظت و صیانت از داده‌های شخصی” و “سند نظام مدیریت امنیت اطلاعات” نمونه‌هایی از این مقررات هستند.

2. الزامات بین‌المللی استاندارد ISO/IEC 27001 به‌عنوان یک چارچوب بین‌المللی برای پیاده‌سازی ISMS شناخته شده و بسیاری از کشورها سازمان‌های دولتی را به رعایت این استاندارد ترغیب می‌کنند.

3. تطابق با استانداردهای داخلی در ایران، الزامات مربوط به نظام‌های امنیتی معمولاً توسط مرکز مدیریت راهبردی افتا و سازمان پدافند غیرعامل تدوین می‌شود. این نهادها سازمان‌ها را ملزم به رعایت دستورالعمل‌های خاصی برای ایمن‌سازی زیرساخت‌های حیاتی می‌کنند.

مراحل توسعه ISMS در سازمان‌های دولتی

1. تعیین محدوده ISMS تعریف دقیق اطلاعات و دارایی‌هایی که باید تحت پوشش ISMS قرار گیرند.

2. ارزیابی ریسک‌ها شناسایی تهدیدها و آسیب‌پذیری‌ها و ارزیابی ریسک‌های مرتبط با آن‌ها.

3. پیاده‌سازی سیاست‌ها و کنترل‌ها بر اساس ارزیابی ریسک، مجموعه‌ای از سیاست‌ها، فرآیندها، و کنترل‌های امنیتی تدوین و اجرا می‌شوند.

4. آموزش کارکنان آگاهی کارکنان در مورد اهمیت امنیت اطلاعات و نقش آن‌ها در اجرای ISMS ضروری است. 5. مانیتورینگ و بهبود مستمر توسعه ISMS یک فرآیند پویا است و نیازمند پایش مداوم، بازبینی، و بهبود است.

چالش‌های پیش‌رو در توسعه ISMS در سازمان‌های دولتی

1. مقاومت در برابر تغییر

2. کمبود منابع مالی و انسانی

3. عدم آگاهی مدیران و کارکنان از اهمیت امنیت اطلاعات

4. پیچیدگی تطابق با الزامات قانونی و استانداردها

نتیجه‌گیری

توسعه ISMS در سازمان‌های دولتی نه‌تنها یک ضرورت برای حفظ امنیت اطلاعات است، بلکه ابزاری مؤثر برای مدیریت ریسک، افزایش اعتماد عمومی، و رعایت الزامات قانونی به شمار می‌رود. با وجود چالش‌ها، پیاده‌سازی صحیح این سیستم می‌تواند سازمان‌های دولتی را در برابر تهدیدات امنیتی مقاوم‌تر کند و از اطلاعات حیاتی آن‌ها محافظت کند.

1280px-Cybersecurity

تأثیر ISMS در مقابله با تهدیدات امنیت سایبری

, , ,

در دنیای امروز، تهدیدات امنیت سایبری به یکی از بزرگترین چالش‌ها برای کسب‌وکارها تبدیل شده‌اند. هکرها، ویروس‌ها، حملات فیشینگ و سایر خطرات آنلاین، می‌توانند به راحتی امنیت اطلاعات حساس را به خطر بیندازند. در این میان، سیستم مدیریت امنیت اطلاعات (ISMS) به عنوان یکی از ابزارهای موثر در مقابله با این تهدیدات شناخته می‌شود.
 چیست؟ ISMS 
ISMS (Information Security Management System) یک چارچوب مدیریتی است که به سازمان‌ها کمک می‌کند تا به طور مؤثر امنیت اطلاعات خود را مدیریت کرده و تهدیدات را شناسایی و کاهش دهند. این سیستم، با پیاده‌سازی استانداردها و رویه‌های مناسب، از اطلاعات حساس در برابر دسترسی‌های غیرمجاز، تغییرات غیرمجاز و آسیب‌های ناشی از تهدیدات سایبری محافظت می‌کند.
نقش ISMS در مقابله با تهدیدات امنیت سایبری
1. شناسایی تهدیدات و آسیب‌پذیری‌ها
یکی از اصلی‌ترین مزایای ISMS، توانایی شناسایی و تحلیل تهدیدات سایبری است. با پیاده‌سازی این سیستم، سازمان‌ها قادر به شناسایی آسیب‌پذیری‌ها و تهدیدات بالقوه می‌شوند و می‌توانند راهکارهای مناسب برای مقابله با آن‌ها را طراحی کنند.
2. حفاظت از داده‌های حساس
ISMS با پیاده‌سازی سیاست‌های امنیتی و کنترل‌های دسترسی، از اطلاعات حساس سازمان در برابر دسترسی‌های غیرمجاز و سرقت داده‌ها محافظت می‌کند. این امر به ویژه برای شرکت‌هایی که با داده‌های حساس مانند اطلاعات مالی یا پزشکی سروکار دارند، اهمیت ویژه‌ای دارد.
3. ایجاد یک برنامه واکنش به بحران
سیستم‌های ISMS معمولاً شامل برنامه‌های واکنش به بحران هستند که در صورت بروز حملات سایبری، به سرعت وارد عمل می‌شوند. این برنامه‌ها به سازمان‌ها کمک می‌کنند تا در کوتاه‌ترین زمان ممکن، آسیب‌های ناشی از حملات را کاهش داده و به وضعیت عادی بازگردند.
4. پایداری و تداوم کسب‌وکار
یکی دیگر از تأثیرات ISMS، تضمین پایداری و تداوم کسب‌وکار است. این سیستم‌ها با شناسایی تهدیدات و فراهم آوردن روش‌های حفاظتی مناسب، به سازمان‌ها کمک می‌کنند تا در برابر بحران‌های امنیت سایبری تاب‌آوری بیشتری داشته باشند و کمترین آسیب را متحمل شوند.
5. مشتری‌مداری و اعتمادسازی
پیاده‌سازی ISMS به مشتریان و شرکای تجاری اطمینان می‌دهد که سازمان شما اقدامات لازم برای محافظت از اطلاعات آن‌ها را انجام داده است. این اعتماد می‌تواند به بهبود روابط تجاری و جذب مشتریان جدید کمک کند.
نتیجه‌گیری
در نهایت، سیستم مدیریت امنیت اطلاعات (ISMS) نقش کلیدی در مقابله با تهدیدات امنیت سایبری دارد. با پیاده‌سازی این سیستم، سازمان‌ها می‌توانند امنیت اطلاعات خود را بهبود بخشیده و از خطرات احتمالی جلوگیری کنند. به همین دلیل، ISMS به عنوان یک ابزار حیاتی برای حفاظت از داده‌ها و اطمینان از تداوم کسب‌وکار در برابر تهدیدات سایبری به شمار می‌آید.
DHCP-Server-Image

کشف آسیب‌پذیری در DHCP Server Service

,

به تازگی یک آسیب‌پذیری با شناسه CVE-2024-30019 برای DHCP Server Service در Microsoft Windows Server کشف و شناسایی شده است که مهاجم با سطح دسترسی پایین می‌تواند حمله انکار سرویس (Dos) را روی سرورهایDHCP پیاده‌سازی کرده و از نقص امنیتی مذکور بهره‌برداری کند. طبق بررسی‌های صورت گرفته این نقص به دلیل عدم کنترل مناسب منابع به وجود آمده است. بر اساس بردار حمله این آسیب‌پذیری، ‌  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست (AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR:L) و به تعامل کاربر نیاز ندارد (UL:N)، بهره‌برداری از آسیب‌پذیری‌ مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و یک ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:N/I:N/A:H).

توصیه‌ امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسخه Windows Server خود را آپدیت کنند.

tools-financial-risk-management-1

شناسایی مخاطرات در ISMS

, , ,

برای پیاده سازی سیستم مدیریت امنیت اطلاعات در یک سازمان باید دارایی ها را شناسایی وسپس  آن ها را طبقه بندی نمایید. طبقه بندی های مختلفی برای دسته بندی دارایی ها وجود دارد، که با توجه به صلاحدید هر سازمان این طبقه بندی می تواند متفاوت باشد. پس از طبقه بندی، دارایی ها باید ارزش گذاری شوند و این امر زمانی میسر می شود که آسیب پذیری ها و مخاطرات آن دارایی به درستی شناخته شده باشد. در ادامه به شناسایی و ارزیابی مخاطراتی که ممکن است یک سازمان را تهدید کند می پردازیم.

مخاطره چیست؟

عامل بالقوه ای که از یک تهدید معین از آسیب پذیری ها، بگونه ای استفاده کند که باعث از بین رفتن یا بروز خسارت به یک یا گروهی از دارایی ها شده و از این طریق به صورت مستقیم یا غیرمستقیم به سازمان آسیب برساند.

مخاطرات و تهدیدات احتمالی در یک شبکه را در شش محور زیر می توان مورد بررسی و ارزیابی قرار داد که عبارتند از:

مخاطرات امنیتی معماری شبکه

مخاطرات امنیتی تجهیزات شبکه

ریسک های مربوط به سرویس دهنده های شبکه

مخاطرات ایستگاه های کاری

مخاطرات پشتیبانی و نگه داری شبکه

ریسک های تشکیلاتی و مدیریتی شبکه

مخاطرات امنیتی معماری شبکه

یکی از موارد مهمی که در بحث مخاطرات در ISMS باید به آن توجه نمود، مخاطرات امنیتی معماری شبکه است. در بحث مخاطرات امنیتی معماری شبکه، سه امر مهم وجود دارد که بروز نقص در آنها امکان آسیب پذیری در شبکه زیاد می کند. بنابراین برای مدیریت مخاطرات در ISMS به این سه مورد باید توجه داشت که عبارتند از:

ساختار شبکه: در این زمینه برای آنکه به دقت کافی بتوان مخاطرات ساختار شبکه را بررسی کرد، باید از قبل توسط واحد شبکه سازمان یک نقشه شماتیک از شبکه سازمان که شامل نوع، مدل و آدرس IP هریک از اجزای شبکه، خطوط ارتباطی و پهنای باند هریک و.. باشد، تهیه شود و در اختیار مسئول پروژه ISMS قرار داده شود. با توجه به نقشه ارائه شده از شبکه، مخاطرات مربوط به ساختار شبکه سازمان می تواند یکی از موارد زیر باشد:

عدم استفاده از سیستم های امنیت شبکه در محل اتصالات با شبکه های دیگر

پراکندگی غیرقابل کنترل محل اتصالات

پراکندگی سرویس دهنده های شبکه

کابل کشی نامنظم شبکه که ارتباطات غیرمجاز را آسان نماید

عدم وجود نقشه مناسب برای توپولوژی شبکه

روش های دسترسی فیزیکی و منطقی به شبکه: این مورد در بحث امنیت اطلاعات اهمیت فراوانی دارد. در این زمینه باید به موارد زیر توجه نمود:

محافظت فیزیکی از تجهیزات و سرویس دهنده های مستقر در سایت شبکه

محافظت از تجهیزات و سرورهای مستقر در سایت یا طبقات ساختمان با استفاده از رک مناسب

محافظت از خطوط ارتباطی شبکه با استفاده از کانالهای ارتباطی امن و جلوگیری از اتصال غیرمجاز

محافظت منطقی شبکه از دسترسی های غیرمجاز

امکان دسترسی غیرمجاز از طریق دسترسی از راه دور به شبکه سازمان

امکان وارد کردن اطلاعات مخرب مثل ویروس، کرم، هرزنامه و … به داخل شبکه سازمان

روش های آدرس دهی و مسیریابی در شبکه: مخاطرات احتمالی در این بحث عبارتند از:

ضعف در تشکیل زیر شبکه ها و استفاده از آن ها

احتمال تصادم و تضاد در آدرس های تخصیص یافته به دلیل عدم استفاده از DNSسرور و DHCPسرور

فعال بودن سرویس های اضافی بر روی سرورها و سایر نودها

عدم وجود نظارت بر ساختار آدرس دهی

مخاطرات امنیتی تجهیزات شبکه

با توجه به اینکه تجهیزات شبکه اغلب دارای آدرس IP و امکان دسترسی مستقل هستند، به عنوان یک موجودیت با ارزش مورد تهدید جدی قرار دارند. بنابراین پس از تهیه نقشه شماتیک از شبکه، باید مخاطرات فراروی هر یک از تجهیزات را بررسی کنیم. در اینجا به دلیل اهمیت فراوان مسیریاب ها و سوییچ ها، به بررسی مخاطرات مرتبط با آن ها می پردازیم. که عبارتند از:

عدم استفاده از نسخه های معتبر و بروز نرم افزارها در تجهیزات شبکه مخصوصا مسیریاب ها و سوییچ ها

امکان دسترسی و تغییرات در پیکربندی تجهیزات از راه دور به وسیله پروتکل های مختلف

فعال بودن پورت کنسول و پورت کمکی و امکان مدیریت تجهیزات از راه دور

وجود سرویس های غیر لازم در تجهیزات همچون سرویس Finger که از طریق پورت 79 فعال شده و اجازه دسترسی به تجهیزات را از راه دور می دهد

بی توجهی به تنظیم کلمه عبور مناسب و عوض نکردنانن در زمان مناسب

عدم بهره گیری از تجهیزات با برندهای معروف و دارای پشتیبان

اتصال و پیکربندی نامناسب سوییچ ها

ریسک های مربوط به سرویس دهنده های شبکه

برای بررسی مخاطرات در این حوزه لازم است اطلاعات دقیقی در مواردی همچون نام، آدرس IP، مدل و وظیفه اصلی سرویس دهنده، نام و نسخه سیستم عامل و نرم افزارهای سرویس همراه با وصله های امنیتی نصب شده بر روی آن ها، ارائه سوابقی از مشکلاتی که برای سرویس دهنده بروز کرده است، و …  در اختیار تیم ارزیاب قرار داده شود. بر این اساس مخاطرات احتمالی عبارتند از:

ریسک های مربوط به سیستم عامل و نرم افزار سرویس دهنده مثل وصله های امنیتی

مخاطرات ناشی از عدماستفاده از ابزارهای امنیتی روی سرور مثل فایروال

مخاطرات ناشی از هر گونه انباشتگی اطلاعات بر روی سرور و عدم استفاده از ماژول های افزونه

مخاطرات ایستگاه های کاری

در این راستا از جمله مخاطرات در ISMS که می توان بررسی کرد عبارتند از:

لزوم ثبت رویدادها روی ایستگاه های کاری

تنظیمات مرتبط با تنظیم قواعد پیکربندی ایستگاه های کاری شبکه، امن سازی آن ها

نحوه ادرس دهی، تعیین گذرگاه ورودی و پوشش زیرشبکه برای ایستگاه های کاری و تجهیزات شبکه

عدم توجه به دستورالعمل استفاده از وصله های امنیتی

مخاطرات پشتیبانی و نگه داری شبکه

برای اداره هر شبکه و نگهداری از پایداری آن، اعم از شبکه های کوچک یا بزرگ نیاز به تشکیلات مدیریتی وجود دارد تا از طریق اعمال روال ها و روش های مدیریتی به این امر مبادرت نماید. در این راستا مخاطرات امنیتی عبارتند از:

فراهم نبودن ساختار و تشکیلات سازمانیمناسب و پرسنل آموزش دیده کافی برای نگهداری و مدیریت شبکه

مشخص نبودن شرح شغل و وظایف کارکنان و نحوه گزارش عملکرد کارکنان به مدیریت

مشخص نبودن مکانیزم های تنبیه و تشویق کارکنان

عدم انجام مستندسازی مناسب در همه بخش های اجرایی، نظارتی و مدیریتی

عدم دسته بندی صحیح و تعیین دقیق حدود اختیارات کاربران در سیستم مدیریت شبکه

اعمال نکردن کنترل های دسترسی روی کاربران و اطلاعات مدیریتی در سیستم مدیریت شبکه

بی توجهی به پیکربندی صحیح سرویس ها و نرم افزارها در شبکه

ریسک های تشکیلاتی و مدیریتی شبکه

در این بحث تنها طرح ها، برنامه ها، روال های اجرایی و دستورالعمل های فنی تامین امنیت، مورد بررسی قرار می گیرند و کیفیت عملکرد آن ها موردنظر نمی باشد. در این راستا برای بررسی مخاطرات در ISMS باید سوالات زیر و پاسخ های آن ها را تهیه نمود:

آیا تشکیلات امنیت شبکه در سازمان وجود دارد و آیا مسئول مشخصی برای این کار تعیین شده است؟

ساختار سازمان و شرح وظایف تشکیلات مزبور تعیین شده است؟

فهرست آیین نامه ها و دستورالعمل های اجرایی مناسب و کافی برای اجرا و پشتیبانی از سیاست های امنیتی وجود دارد؟ آیا در طول اجرا، اصلاح و بروزرسانی انجام می شود؟

با توجه به موارد ذکر شده حالا می توان یک فهرست از تهدیدات و آسیب پذیریهای احتمالی، میزان وقوع آن ها و برآورد تخریب ارائه نمود. اما تنها تهیه این فهرست کافی نیست و باید تهدیدات آینده نیز پیش بینی گردد. برای این منظور چهار اقدام قابل انجام است:

بررسی سوابق تهدیداتی که تاکنون به وقع پیوسته اندو مذاکره باکارکنان دارای سابقه در این خصوص

بررسی منابع جهانی و اینترنتی ارائه کننده نحوه عمل تهدیدات و روش های مقابله با آنها

ایجاد ارتباط با سازمان های مشابه و استفاده از تجارب آن ها

انجام کارهای پژوهشی و تحقیقاتی در این حوزه.

پس از تکمیل و اجرای طرح ارزیابی مخاطرات، نوبت به طراحی و اجرای طرح تامین امنیت می رسد که باید بطور جداگانه پیشنهاد شود و مورد تصویب مدیریت ارشد سازمان قرار گیرد.

1691935973318

کشف آسیب‌پذیری در Adive Framework

, ,

به تازگی دو آسیب‌پذیری با شناسه‌های CVE-2024-4337 و CVE-2024-4336 با شدت بالا (7.6) در Adive Framework کشف شده است. در این نقص امنیتی، Adive Framework ورودی‌های وارد شده توسط کاربر را به درستی رمزگذاری نمی‌کند، که منجر به آسیب‌پذیری Cross-Site Scripting (XSS) از طریق /adive/admin/tables/add در چندین پارامتر می‌شود.یک مهاجم با بهره‌برداری از این نقص می‌تواند جزئیات session یک کاربر احراز هویت شده را بازیابی کند.

بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز دارند (UL:R)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و یک ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرد (C:H/I:L/A:L).این آسیب‌پذیری نسخه Adive Framework 2.0.8 را تحت تأثیر قرار می‌دهد.

unnamed

کشف آسیب‌پذیری در روتر Tenda W15E

, , , ,

یک آسیب‌پذیری با شناسه CVE-2024-4127 و شدت بالا (8.8) در روتر Tenda W15E شناسایی شده است. نقص امنیتی مذکور، تابع guestWifiRuleRefresh را تحت‌تأثیر قرار می‌دهد و با بهره‌برداری از آن، مهاجم می‌تواند از راه دور با دستکاری آرگمان qosGuestDownstream منجر به سرریز بافر مبتنی بر پشته(stack-based buffer overflow) می‌شود.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: L) و به تعامل کاربر نیاز ندارند (UL:N)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر
این آسیب‌پذیری‌ firmware نسخه‌  V15.11.0.14 روتر Tenda W15E را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود، در اسرع وقت firmware  روتر خود را به آخرین نسخه به‌روزرسانی کنند.

1_CWFkh5z8oa6dZfn5_gkKKQ

انتشار بدافزار در پی نقص امنیتی در GitHub

, , , ,

به تازگی مهاجمان از یک ویژگی یا نقص در سیستم GitHub بهره‌برداری می‌کنند این نقص می‌تواند از طریق هر repository عمومی در GitHub جهت توزیع بدافزار مورد بهره‌برداری قرار گیرد. طبق بررسی کارشناسان، بدافزار از طریق یک مخزن GitHub معتبر مایکروسافت برای “C++ Library Manager for Windows، Linux و MacOS” (vcpkg) توزیع شده است. نمونه‌ای از لینک‌های آلوده به بدافزار به صورت زیر است:

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
فایل‌های مخرب به عنوان بخشی از یک نظر در مورد یک commit  یا مشکل در یک پروژه در GitHub آپلود می‌شوند. هنگامی که یک فایل به یک نظر پیوست می شود، GitHub به طور خودکار یک URL منحصر به فرد برای آن ایجاد می‌کند. حتی اگر نظر پست نشود یا بعداً حذف شود، فایل‌ها از طریق URLهای تولید شده قابل دسترسی هستند.
مهاجمان از این ویژگی استفاده می‌کنند تا بدافزار خود را بدون اطلاع صاحب مخزن به هر مخزن متصل کنند. URLهای تولید شده برای این فایل‌ها، معتبر به نظر می‌رسند زیرا با مخازن GitHub واقعی مرتبط هستند.
این بهره‌برداری به مهاجمان اجازه می‌دهد تا فریب‌های قانع‌کننده‌ای ایجاد کنند، زیرا URLها نشان می‌دهند که فایل‌ها بخشی از پروژ‌ه‌های شناخته شده هستند. این موضوع خطر قابل توجه‌ای است چرا که کاربران ممکن است ناآگاهانه بدافزار را از منبعی قابل اعتماد دانلود و اجرا کنند.

snmp-protocol-mrshabake

کشف آسیب‌پذیری در پروتکل مدیریت شبکه _ NET-SNMP

, , , , , ,

به تازگی چندین آسیب‌پذیری برای NET-SNMP (Simple Network Management Protocol) که یک پروتکل مدیریت شبکه می‌باشد، به شرح زیر کشف و شناسایی شده است:
•   آسیب‌پذیری با شناسه CVE-2022-24805: مربوط به سرریز بافر در مدیریت “INDEX” در  NET-SNMP-VACM-MIB می‌باشد که به طور بالقوه منجر به دسترسی غیرمجاز مهاجم به حافظه می‌شود.
•   آسیب‌پذیری با شناسه CVE-2022-24806: در صورت بهره‌برداری توسط مهاجم با دسترسی خواندن/نوشتن، می‌تواند منجر به دسترسی غیرمجاز به دستگاه‌های شبکه شود.
•  آسیب‌پذیری با شناسه CVE-2022-24807: مربوط به نقص در SNMP-VIEW-BASED-ACM-MIB::vacmAccessTable می‌باشد و مهاجم با بهره‌برداری از آن، دسترسی به حافظه خارج از محدوده را به دست می‌آورد.
•   آسیب‌پذیری با شناسه CVE-2022-24808: مهاجم با دسترسی خواندن- نوشتن می‌تواند با ارسال یک درخواست خاص به NET-SNMP-AGENT-MIB::nsLogTable سیستم را در معرض خطر قرار دهد.
•   آسیب‌پذیری با شناسه CVE-2022-24809: مهاجم با ارسال یک درخواست OID به nsVacmAccessTable، می‌تواند باعث به وجود آمدن یک NULL pointer  شود و سیستم را خراب کند.
•   آسیب‌پذیری با شناسه CVE-2022-24810: یک مهاجم با ارسال یک درخواست OID به nsVacmAccessTable، می‌تواند باعث به وجود آمدن یک NULL pointer  شود و سیستم را در معرض خطر قرار دهد.

بر اساس بردار حمله این آسیب‌پذیری‌ها  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N بهره‌برداری از آن‌ها از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: L) و به تعامل کاربر نیاز ندارند (UL:N)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و یک ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرند (C:N/I:H/A:N).

محصولات تحت تأثیر
این آسیب‌پذیری‌ها نسخه‌های قبل از 5.9.2 پروتکل مدیریت شبکه مذکور را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران پروتکل مورد استفاده خود را در اسرع وقت به آخرین نسخه (حداقل 5.9.2) یا نسخه‌های وصله‌شده به‌روزرسانی‌ کنند.

900X600 How To Keep Your Data Safe From Intruders

بررسی مدیریت دسترسی به اطلاعات در سازمان

, , ,

یکی از چالش های اساسی سازمانها در خصوص امنیت اطلاعات، موضوع کنترل و مدیریت دسترسی (Access Control) به اطلاعات است. مدیران سازمانی همواره با این چالش مواجه‌اند که در چه سطحی باید به کاربران داخلی و یا نهادهای بیرونی دسترسی اعطا شود و چه اصولی برای آن باید رعایت شود. از یک سو باید حداقل دسترسی را به موجودیت های مختلف اعطا نمود و از سوی دیگر باید کاربران و نهادهای مختلف تا حدی دسترسی داشته باشند تا بتوانند نیازمندی و فعالیت های مورد انتظار خود را اجرا نمایند.

استاندارد ISO/IEC 27001:2013  به عنوان یک استاندارد بین المللی در حوزه امنیت اطلاعات که با عنوان سیستم مدیریت امنیت اطلاعات ISMS شناخته می شود، درحوزه کنترلی A.9 ضمیمه الف خود، به صورت خاص به موضوع کنترل دسترسی و الزامات آن پرداخته است. این الزامات می تواند به عنوان یک الگوی کنترل دسترسی در سازمان مورد استفاده قرار گیرند. در این مقاله، ضمن بررسی نیازها و انتظارات مدیران در این حوزه، به تشریح الزامات استاندارد پرداخته و برخی ابزارها جهت مدیریت بهینه این فرآیند معرفی خواهد شد.

دغدغه‌های مدیران و مالکین اطلاعات در خصوص کنترل دسترسی

در هر سازمان، فارغ از نوع فعالیت آن (تجارت، تولید، خدمات و …)، اطلاعاتی وجود دارد.این اطلاعات برای تداوم کسب‌وکار سازمان مهم بوده و به شیوه‌های مختلف در فرآیندهای روزانه استفاده می‌گردد.

یکی از دغدغه‌های مهم مدیران کسب‌وکار در این حوزه، چگونگی حفاظت از این اطلاعات و محدودسازی دسترسی به آن‌ها است. به‌ویژه که در بسیاری از سازمان‌ها، این اطلاعات به‌عنوان دانش فنی محسوب شده و دارای ارزش مالی است.

از جمله موارد دیگری که باید به آن توجه شود:

  • چگونگی نگهداری از اطلاعات
  • چگونگی و سطح اعطاء دسترسی
  • چگونگی اعطاء دسترسی از داخل سازمان
  • چگونگی اعطاء دسترسی از بیرون سازمان
  • چگونگی لغو یا تغییر دسترسی
  • حصول اطمینان از عدم وجود هرگونه دسترسی غیرمجاز
  • چگونگی حفاظت از اصل اطلاعات
  • فرآیند تغییر و اصلاح اطلاعات
  • و غیره…

در این راستا، برخی اقدامات به­ صورت تجربی و فنی در سازمان پیاده ­سازی می ­گردد که از جمله آن:

  • استفاده از تجهیزات نگهداری امن فیزیکی نظیر سرورها،
  • جداسازی و ایزوله کردن شبکه،
  • تعریف انواع سطوح دسترسی برای سامانه­ های مختلف،
  • ارائه دسترسی محدود از بیرون سازمان،
  • منع استفاده از تجهیزات انتقال اطلاعات نظیر حافظه های قابل‌حمل،
  • منع استفاده از تجهیزات تصویربرداری،
  • و …

این تدابیر تا حدودی موجب حفاظت از اطلاعات و پوشش دغدغه­ های مالکین اطلاعات می­ گردد اما لزوماً راهکار صحیح جهت برطرف­ سازی ریسک ­های مرتبط با دسترسی غیرمجاز به اطلاعات نیست.

به جهت اثربخشی بهینه این فرآیند، لازم است تا الزامات بالادستی، بین ­المللی و دستورالعمل ­های موجود در سازمان به‌درستی مورد پیاده ­سازی قرار گیرد و ضمن اعمال سیاست ­ها، اجرای صحیح آن و نظارت بر اجرا نیز در دستور کار باشد.

در ادامه، الزامات استاندارد و راهکارهای موجود در هر الزام تشریح خواهد شد.

الزامات استاندارد ISO 27001 در حوزه کنترل دسترسی

استاندارد ISO/IEC 27001:2013 در حوزه کنترل A.9 در ضمیمه الف (Annex A) به صورت خاص به موضوع کنترل دسترسی پرداخته است. این الزامات در 4 هدف مختلف و در 14 کنترل به شرح ذیل ارائه شده است:

هدف کنترلی 9.1، الزامات کسب و کار در حوزه کنترل دسترسی

اولین هدف کنترلی این حوزه در خصوص الزامات کسب‌وکار سازمان در حوزه کنترل دسترسی است. از نکات قابل توجه در این هدف، لزوم تدوین سیاست در زمینه کنترل دسترسی و همچنین مستند بودن آن است.

توجه شود که در برخی بندها و کنترل­ های استاندارد ISO/IEC 27001:2013 الزامی بر مستند بودن نیست اما در برخی کنترل­ها نظیر (A.9.1.1) صراحتاً عبارت «مستند» ذکر شده است.

کنترل دسترسی در دو بعد فیزیکی و سیستمی قابل سیاست­گذاری است که الزامات دسترسی فیزیکی آن در حوزه A.11 استاندارد تشریح می­گردد و دسترسی­ های سیستمی در این حوزه از استاندارد تشریح می­شود.

یکی از پیش­نیازهای تعریف دسترسی به اطلاعات، طبقه ­بندی اطلاعات است. طبقه­ بندی اطلاعات می ­تواند از جنبه های مختلف صورت پذیرد:

  • از منظر محرمانگی: خیلی محرمانه، محرمانه، داخلی، عمومی و …
  • از منظر سطح دسترسی: سیاست­ گذاری، راهبری، اجرایی و …
  • از منظر واحدهای سازمانی: معاونت ها، مدیران، کارشناسان ارشد، کارشناسان و …

اعطاء دسترسی با توجه به نیاز سازمان می ­تواند براساس سرویس، تجهیز، فرآیند، … صورت پذیرد. در صورتی که یک سرویس اطلاعاتی دارای زیرمجموعه های مجزا و مختلف باشد، دسترسی می ­تواند به ازای هر زیرمجموعه متغیر تعریف شود. به­ عنوان نمونه، سیستم های یکپارچه مدیریتی که دارای زیرمجموعه های مختلف هستند، نیاز به اعطاء دسترسی جداگانه دارند.

سطح دسترسی به اطلاعات نیز باید به شیوه صحیح مدیریت شود. این سطح دسترسی می ­تواند از نوع خواندن، درج و تغییر، پاک کردن، تغییر تنظیمات زیربنایی، تغییر توابع سرویس و … باشد.

در زمینه تعریف دسترسی به اطلاعات و سرویس های اطلاعاتی سازمان باید توجه شود که هر سرویس گیرنده (اعم از کاربر یا تجهیز) باید به اندازه «نیاز به دانستن» و «نیاز به استفاده» به اطلاعات دسترسی داشته باشد. در این حوزه همچنین باید قابلیت های مدیریت دسترسی در زمان طراحی یا خرید نرم افزار مورد توجه قرار گیرد.

در خصوص این هدف کنترلی و سیاست گذاری، توجه به موارد ذیل نیز توصیه می گردد:

  • تعیین ابزار جهت دسترسی کاربران به سرویس ­های اطلاعاتی نظیر (Proxy server)
  • نظارت بر دسترسی به سرویس­ های اطلاعاتی و عدم وجود دسترسی غیرمجاز
  • تغییر و حذف دسترسی در زمان لازم

هدف کنترلی 9.2، مدیریت دسترسی کاربر

در این هدف، الزامات مربوط مدیریت دسترسی از سمت کاربر تشریح شده است. این الزامات شامل:

  • ایجاد و حذف حساب کاربری،
  • فرآیند اعطاء دسترسی به کاربر،
  • مدیریت اعطاء دسترسی سطح بالا (مدیران، راهبران، …)
  • مدیریت اطلاعات احراز هویت کاربر،
  • بازنگری حقوق دسترسی اعطاء شده،
  • حذف یا تغییر دسترسی موجود.

در خصوص الزامات این حوزه، توجه به نکات ذیل توصیه می ­شود:

  • در طراحی سرویس های اطلاعاتی تا حد امکان شیوه شناسایی از طریق Active Directory باشد تا امکان مدیریت متمرکز کاربران فراهم گردد.
  • فرآیند مشخصی برای تعریف کاربر باید تعریف گردد و تخصیص نام کاربری طبق آن دارای قالب مشخص باشد. در این خصوص باید توجه شود که هر نام کاربری مختص یک نفر تعریف شود و نام کاربری مشترک وجود نداشته باشد. همچنین روال مجازشماری کاربران و تایید و تعریف کاربران در سازمان باید تعریف شود.
  • بهینه است که اطلاعات تکمیلی کاربر نظیر سیستم مورد استفاده، زمان استفاده از حساب کاربری، تاریخ انقضاء حساب و … نیز تعیین شود.
  • بهینه است که نام کاربر با توجه به مشخصات فردی وی قابل حدس زدن نباشد. در این راستا می­توان از اطلاعاتی نظیر کد ملی یا کد پرسنلی استفاده کرد.
  • در خصوص کاربرانی که دارای سطح دسترسی بالا هستند، توصیه می­شود که از دو نام کاربری مجزا استفاده شود. نام کاربری عادی جهت امور روزانه و نام کاربری دوم جهت امور راهبری؛ اما از حساب کاربری مشترک برای افراد نباید استفاده شود تا لاگ آن قابل پیگیری باشد.
  • جهت ارائه بهینه دسترسی به حساب­های کاربری، از گروه ­بندی استفاده گردد.
  • تحویل اطلاعات احراز هویت کاربران باید به نحوی باشد که امکان جعل هویت و سوء استفاده به حداقل برسد. در این زمینه می­توان از روش تحویل حضوری یا ایجاد رمز عبور با قالب پیش­فرض اقدام نمود و در اولین ورود، رمز عبور باید تغییر یابد.
  • تحویل اطلاعات احراز هویت و دسترسی به کاربران باید پس از اخذ تعهد و تضامین مورد نیاز (با توجه به پست سازمانی و نوع دسترسی) صورت پذیرد.
  • بازنگری فرآیند اعطاء دسترسی باید در فواصل زمانی معین انجام پذیرد. این بازنگری می­تواند شامل کنترل تعدادی کاربران و حساب­های کاربری، کنترل اطلاعات تکمیلی حساب­های کاربری، کنترل دسترسی­های موجود در سرویس­های اطلاعاتی و … باشد.
  • در صورت انفصال یا تغییر پست کاربر، هر گونه دسترسی وی به سرویس­های اطلاعاتی باید بلافاصله محدود شود. این حوزه نیز یکی از چالش­ها در سازمان­هاست. دسترسی­ها باید بلافاصله پس از تغییر پست یا خاتمه همکاری غیرفعال و متناسب با پست جدید مجددا اعطا شود.

هدف کنترلی 9.3، مسئولیت­های کاربر

طبق این الزام، کاربر باید با توجه به سیاست ­های موجود در سازمان، نسبت به حفاظت از اطلاعات احراز هویت خود مسئولیت­ پذیر بوده و در صورت بروز هرگونه مشکل (نظیر افشاء اطلاعات احراز هویت)، مراتب را به مسئول مربوطه اطلاع دهد.

یکی از راهکارهای مفید در خصوص این الزام، برگزاری دوره­ های آموزش و آگاهی­ رسانی در حوزه ریسک­ های جعل هویت و دسترسی به اطلاعات احراز هویت کاربر است. در این زمینه، توجه به موارد ذیل توصیه می­ گردد:

  • کاربر باید پس از دریافت اطلاعات احراز هویت، در اسرع وقت نسبت به تغییر آن اقدام نماید.
  • در صورتی­که از رمز عبور برای احراز هویت استفاده می­شود، رعایت استانداردهای مربوطه (رمز عبور پیچیده، تغییر دوره­ای، حفظ رمز عبور و …) از سوی کاربر ضروری است.

هدف کنترلی 9.4، کنترل دسترسی به سیستم­های اطلاعاتی و نرم­ افزارها

الزامات این هدف کنترلی در راستای پیشگیری از دسترسی غیرمجاز به سیستم­ های عملیاتی و نرم­ افزارهای کاربردی ارائه شده است. در راستای پیاده­ سازی این الزامات، توجه به نکات ذیل توصیه می­ گردد:

  • پیرو سیاست­ های سازمان در زمینه دسترسی به اطلاعات، دسترسی به سیستم­های عملیاتی و نرم­افزارها باید تحت کنترل باشد. این دسترسی می­تواند شامل:
    • دسترسی به سرورهای نرم ­افزار و پایگاه داده آن،
    • دسترسی به تنظیمات مدیریتی نرم­افزار نظیر تعریف مجوزهای دسترسی،
    • طراحی ساختار سرویس به نحوی که امکان مدیریت دسترسی و تعیین سطح دسترسی به انواع اطلاعات فراهم باشد.
    • خروجی­ های نرم افزار صرفاً شامل اطلاعات مورد نیاز و فاقد هرگونه اطلاعات اضافی باشد.
    • نگهداری از اطلاعات حیاتی سرویس در محیط مجزا از محیط عملیات.
  • در خصوص ورود امن به یک سامانه باید متد احراز هویت مشخص و در حد نیاز برای آن تعریف شود. انواع متدهای احراز هویت نظیر نام کاربری و رمز عبور، کد Captcha، ابزار Token، … می­تواند مورد استفاده قرار گیرد.
  • مدیریت کلمه عبور نیز همانند متد احراز هویت نیازمند سیاست­ گذاری و و اعمال حداقل الزامات استاندارد است.

نصب و استفاده از ابزارهای مختلف رسمی یا غیررسمی در کنار نرم­ افزارهای اصلی (نظیر ابزارهای مانیتورینگ، ابزارهای گزارش­ساز و …) نیز جزء الزامات این حوزه است که لازم است محدود بوده و تحت کنترل قرار گیرد.

در ادامه الزامات این حوزه به محافظت از سورس کد نرم ­افزارها اشاره شده است. سورس کد یک نرم ­افزار، جزء دارایی­ های اطلاعاتی سازمان بوده و نوعی مالکیت معنوی محسوب می­شود. دسترسی غیرمجاز به سورس کد علاوه بر امکان سرقت نرم­افزار، ریسک­های تغییر غیرمجاز را نیز به همراه خواهد داشت. در این راستا و به جهت پیشگیری از هرگونه سوء استفاده، لازم است محدودیت­هایی در زمینه دسترسی به آن لحاظ گردد. استفاده از ابزارهای نسخه ­دهی سورس کد نظیر TFS,Jira,Git و … در این حوزه توصیه می­ شود.

نتیجه گیری

به صورت کلی، جهت مدیریت بهینه دسترسی به اطلاعات در سازمان، در گام ابتدایی، لازم است تا انواع دسترسی به انواع اطلاعات تعیین شود تا بتوان تعریف صحیح از دسترسی غیرمجاز ارائه نمود. فرآیند درخواست، تأیید و اعطاء دسترسی نیز باید تحت کنترل قرار گیرد تا از اعطاء دسترسی غیرمجاز پیشگیری به عمل آید.

در خصوص دسترسی به سامانه ها و سرویس­ های مختلف در سازمان طی نمودن مراحل زیر ضروری است:

  • شناسایی سرویس ها و سامانه­ های مختلف سازمان
  • تعیین انواع سطوح دسترسی در هر یک از سرویس ­ها
  • تعیین ماتریس انطباق بین نقش­های سازمانی و سرویس ها
  • تعیین سطوح دسترسی متناسب با هر نقش
  • بازنگری دوره ه­ای دسترسی­ ها

 

بارگذاری بیشتر

Address

مشهد ، کوی دکترا ، ابن سینا 8 ، پلاک 116/1
051-91010386

ساعت کاری شرکت

شنبه تا پنجشنبه 9 الی 16
© آسا ارتباط برتر 2025