امنیت

فین تک (Fintech) یا فناوری های مالی (Financial Technology) از جدیدترین و جذابترین عرصه های بهره گیری از تکنولوژی های نوین در بخش ارائه خدمات مالی است که با سرمایه گذاری های عظیم در سرتاسر دنیا توسط استارت آپ هایی که در زمینه خدمات تجاری و مالی فعالیت میکنند در حال توسعه و بهره برداری است.

کاربرد تکنولوژی در خدمات مالی از جمله تعاریف کلی است که برای درک ماهیت این صنعت نسبتا نوپا توسط کارشناسان اقتصادی ارائه شده است، ولی به عبارتی ساده تر و کاملتر فین تک بهره برداری از تکنولوژی های نو به منظور ایجاد سرویسهای نوین مالی و کارآمدتر کردن، تسهیل و سرعت بخشی در ارائه خدمات مالی و بازرگانی است که در حال حاضر بانکها و موسسات مالی به روشهای سنتی در حال ارائه آنها به مشتریان خود هستند است.

وام دهی (Lending)، پرداخت (Payment)، ارسال و دریافت پول در سطح بین المللی (International Money Transfer)، مدیریت امور مالی شخصی (Personal Finance)، امور مالی سهام (Equity Financing)، خدمات بیمه (Insurance) از جمله خدماتی مالی است که شرکتهای فین تک به مشتریان خود ارائه میکنند. گرچه اکثر فعالیتهای ذکر شده خدمات فین تک ها هم راستا با بانکها و موسسات مالی سنتی است و شباهت های فراوانی بین این دو وجود دارد ولی با توجه به نحوه و گستره بهره گیری این استارت آپ ها از تکنولوژی و نحوه ارائه خدمات، شرکت های فین تک را نمیتوان زیر مجموعه بانکها قلمداد کرد.

بانکها رشد شتابان استارت آپ های فین تک را که با توجه به نیاز مشتریان با انعطاف و انطباق پذیری بالا خدمات مالی منحصر به فرد، با کیفیت، سریع و کم هزینه را ارائه میدهند و غالبا این خدمات ارائه شده که به مرور زمان به صورت بالقوه میتواند منجر به حذف یا حداقل کمرنگ کردن نقش بانکها در داد و ستدهای مالی شود را به عنوان تهدید قلمداد میکنند. ولی با تمام این تفاسیر در نهایت بانکها در صورت عدم بروز رسانی سرویس ها و خدمات خود و بهره گیری از تکنولوژی های نوین عرصه را به استارت آپ های فین تک خواهند باخت و این استارت آپ ها روز به روز سهم بیشتری در اقتصاد کشورها ایفا خواهند کرد و بسیاری از خدمات مالی با کیفیت و سرعت بیشتر توسط این استارت آپ ها ارائه خواهد شد.

با توجه به گستردگی و سودآور بودن این صنعت استارت آپ ها و شرکتهای فراوانی جذب این بازار شده اند که شاخص ترین آنها در عرصه جهانی همچون Stripe، Markit, Square, Lufax و Lending Club با بهره گیری از جدیدترین تکنولوژی ها همچون هوش مصنوعی (AI)، بلاکچین (BlockChain)، رایانش توزیع شده (Distributed Computing)، رمزنگاری (Cryptography) و ارز های رمزنگاری شده  (Cryptocurrencies) در حال توسعه و ارائه خدمات مالی به مشتریان خود در سرتاسر جهان هستند. رشد این صنعت به حدی بوده است که تنها در سال ۲۰۱۷ سیزده استارت آپ فین تک هر کدام بیش از یک میلیارد دلار ارزش گذاری شده اند.

اگرچه این صنعت و رشد سریع آن مزایای فراوانی همچون ارائه خدمات نوین و بهبود کیفیت و سرعت ارائه خدمات مالی با هزینه های کمتر نسبت به خدمات سنتی بانکها و در نتیجه افزایش رضایت مشتریان را به همراه خواهد داشت ولی از آنجایی که سرویسهای ارائه شده استقرار و مرکزیت سرویسهای سنتی بانک ها را دارا نیستند و غالب خدمات ارائه شده به صورت آنلاین و بر بستر اینترنت عرضه میشود تهدیدات امنیتی متعددی وجود دارد که میتواند امنیت و آینده این صنعت را به خطر بیندازد.

امنیت و حفظ حریم خصوصی داده ها (Data Security and Privacy) و مقابله با فریب و کلاهبرداری (Fraud Fighting) از مهمترین دغدغه هایی است که صنعت فین تک با آن روبرو خواهد بود. حفظ امنیت حجم عظیم اطلاعاتی همچون اطلاعات مشتریان از قبیل مشخصات فردی و مالی، الگوی فعالیت مشتریان و برنامه های مالی آینده که فین تک ها برای پیشبرد اهداف خود و سیاست گذاری ها به آنها نیازمندند در مقابل انواع حملات سایبری و جلوگیری از سوءاستفاده از این حجم داده نیازمند طراحی و بهره گیری از طرح های امنیتی قوی است که فعالین این صنعت باید به آن توجه ویژه داشته باشند.

مسلما عدم آشنایی با تهدیدات امنیتی که امنیت داده ها و اطلاعات مشتریان و موسسات را تهدید میکند و در نظر نگرفتن و عدم ارائه راه حل ها و ساختارهای امنیتی منسجم برای مقابله با این مشکلات امنیتی به صورت جدی میتواند ایجاد و حفظ اعتماد مشتریان و از این رو موفقیت و آینده استارت آپ های فین تک را به خطر بیندازد.

موسسات مختلف در زمینه افزایش هزینه های جرایم سایبری در جهان، مبلغ نجومی بالغ بر شش تریلیون دلار را برای سال ۲۰۲۱ پیش بینی میکنند که نشان از افزایش گستردگی و پیچیدگی این جرایم در آینده خواهد بود. این تحقیقات آشکار کننده عدم توازن بین توانایی نیروی متخصص و تجهیزات امنیتی موسسات و سازمانها برای کشف و خنثی سازی تهدیدات امنیتی در مقابل رشد و پیچیدگی حملات سایبری در آینده است که نیاز به توسعه و  بهره گیری از تکنولوژی های جدید را روزافزون مینماید. سازمانهایی با جذابیت فراوان برای هکرها روزانه هزاران نوع حمله را دریافت میکنن که قطعا مانیتور و آنالیز کردن این حجم از اطلاعات در مدت زمانی مشخص با تعداد محدودی متخصص و اتخاذ صحیح ترین تکنیک ها برای مقابله با هر کدام از این حملات ممکن نخواهد بود. سیستم های دفاع سایبری آینده در کنار امکانات امروزی قطعا باید از امکانات هوشمند درک، پیش بینی و پیش گیری انواع حملات سایبری پیچیده برخوردار باشند.

هوش مصنوعی یا Artificial Intelligence بدون شک یکی از جذابترین تکنولوژی های در حال توسعه و پیشرفت قرن ۲۱ است که هوشمند سازی و توانمند سازی صنعت دفاع سایبری را برای جهان میتواند به ارمغان بیاورد. توسعه و بهره گیری از هوش مصنوعی به موسسات مختلف امکان درکی دقیقتر و پیش بینی حملات مختلف سایبری و طبعا مواجه با آنها در زمان مناسب را فراهم می آورد.

هوش مصنوعی و یادگیری عمیق Deep Learning  که بخشی از یادگیری ماشین Machine Learning است، امکان مانیتور و آنالیز حجم وسیعی از داده را در مدت زمان بسیار کوتاه نسبت به سیستم های فعلی فراهم میکند. در دفاع سایبری، هوش مصنوعی توانایی شناسایی تهدیدات امنیتی بالقوه (Potential Threats)، راههای احتمالی نفوذ به سیستم های مختلف (Attacks Vectors)، رفتارهای غیر متعارف (Anomalies Behaviors) انواع نرم افزارها و سیستم ها که امکان ایجاد و بهره گیری از مکانیزمهای دفاعی سریع و قابل تطبیق (Adaptive Defense) برای جلوگیری و مبارزه با انواع تهدیدات امنیتی را در فراهم میکند. بهره گیری از این تکنولوژی های پیشرفته نه تنها زمان شناسایی و مقابله با انواع تهدیدات امنیتی را به صورت چشم گیری کاهش میدهند، بلکه با توجه به امکان بررسی و آنالیز حجم وسیع داده در زمانی بسیار کوتاه نسبت به سیستمهای فعلی، در مقیاسی وسیع قابلیت درک دلایل اصلی حملات سایبری و اولویت بندی و بهینه سازی استفاده از امکانات برای مواجه با آنها را ایجاد میکنند.

همانطور که اشاره شد هوش مصنوعی با توجه به قابلیتهای فراوان خود امکان تجزیه و تحلیل حجم وسیعی از داده در کسری از زمان در مقایسه با سیستم های فعلی را دارا است و از این رو امکان صرفه جویی در زمان و نیروی انسانی برای کمپانی های مختلف را به ارمغان می آورد، ولی به همان نسبت از پیچیدگی های فراوانی برخوردار است که بکارگیری آن را بدون آموزشهای جدید متناسب با این تکنولوژی عملا غیر ممکن میکند. بنابراین در کنار مزایای فوق العاده این تکنولوژی در بهبود امنیت و سرعت بخشی به آن، توجه به این نکته ضروریست که نیاز به بروز رسانی دانش نیروهای امنیتی و آشنایی آنها با نحوه کارکرد و تعامل با سیستمهای جدید حیاتی و ضروری است.

اگرچه بهره گیری از هوش مصنوعی در صنایع مختلف در مراحل ابتدایی خود به سر میبرد، با این حال صنعت دفاع سایبری با توجه به نیاز بازار خصوصا توسعه سیستم های رو به رشد اینترنت اشیا و تهدیدات امنیتی که گریبان گیر آنها خواهند بود، بهره گیری از این تکنولوژی را در بخش ها و سطوح مختلف شروع کرده است که قطعا باعث شکوفایی و توانمند سازی هرچه بیشتر این صنعت در آینده خواهد شد. در حال حاضر کمپانی های مختلفی در حال بهره گیری از هوش مصنوعی برای مقابله با تهدیدات امنیتی ای که سیستم های هوانوردی، شبکه های انرژی و دیگر بخش های حیاتی کشورها را تهدید میکند هستند.

از جمله شرکتهایی که در حال توسعه و بهره گیری از هوش مصنوعی در ابعاد مختلف هستند میتوان به شرکت آلفابت شرکت مادر گوگل که اخیرا کمپانی امنیت سایبری Chronicle را تاسیس کرده که با استفاده از هوش مصنوعی و امکانات وسیع این شرکت در پی مبارزه با تهدیدات امنیتی رو به رشد خواهد بود اشاره کرد. شرکت Bay Dynamics نیز با استفاده از موتور هوش مصنوعی (AI Engine) و UEBA خود و بهره گیری از سیستم پیشگیری از نشت اطلاعات یا Data Lost Prevention شرکت Symantec سیستم هوشمند شناسایی و مقابله با بد افزارهای داخلی و خارج سیستم را طراحی و توسعه داده است. از دیگر شرکتهای پیشرو شرکت Palo Alto است که با بهره گیری از هوش مصنوعی و یادگیری ماشین سیستمی به نام Magnifier را معرفی کرده که توانایی آنالیز رخدادهای شبکه و شناسایی رفتارهای غیر متعارف و شناسایی تهدیدات امنیتی را به صورت مکانیزه فراهم میکند. شرکت Amplyfi نیز که در زمینه تحقیقات امنیت سایبری با بهره گیری از هوش مصنوعی فعال است با همکاری دانشگاه هاروارد، اخیرا با طراحی و توسعه پلتفرم یادگیری ماشین اختصاصی خود و با آنالیز و بررسی ترند های امنیتی کلیدی در وب عمیق (Deep Web)  توانست نشانه هایی از یک حمله بیولوژیکی را شناسایی کند.

در پایان در کنار بر شمردن کاربرد ها و مزایای بهره گیری از هوش مصنوعی توجه به این نکته نیز ضروری است که گرچه هوش مصنوعی میتواند نقش بسزایی در پیشرفت صنعت دفاع سایبری و هوشمند سازی آن داشته باشد، ولی در عین حال میتواند امکاناتی خطرناک را در اختیار مجرمان سایبری به منظور پیچیده سازی و مکانیزه کردن حملات خود علیه سیستم های حیاتی سازمانها و مقاصد خود قرار دهد.

طبق پیش بینی های موسسه گارتنر تا سال ۲۰۲۰ بیش از ۲۰ میلیارد دستگاه اینترنت اشیا به اینترنت وصل خواهند شد که نشان دهنده نفوذ وسیع و همه جانبه این تکنولوژی در آینده است، از این رو ایمن سازی و ارتقا امنیت این سیستم ها و دستگاه های مرتبط حیاتی و الزام آور خواهد بود. در مطالب قبلی با تعدادی از تکنولوژی و پروتکل های اینترنت اشیا آشنا شدیم، در این مطلب امنیت این پروتکل ها و شایع ترین مشکلات امنیتی به وجود آمده در مورد آنها بحث خواهد شد.

Insteon

همانطور که در مطلب قبلی اشاره شده این پروتکل امکان استفاده از هر دو تکنولوژی با سیم (Powerline)  و بی سیم برای انتقال و تبادل داده را دارا است. همچون دیگر تکنولوژی های ارتباطی، ارتباطات با سیم در این تکنولوژی نسبت به بی سیم از امنیت و پایداری بیشتری برخوردار است از اینرو که هکرها برای نفوذ به این سیستمها نیازمند به دسترسی فیزیکی به تجهیزات خواهند بود. عدم نصب صحیح و پیاده سازی اولیه تجهیزات، عدم بهره گیری از رمزنگاری اطلاعات به صورت پیش فرض  خصوصا در تجهیزات ISY، استفاده از جاوا برای برنامه نویسی سیستم واسط کاربری ISY GUI تجهیزات (با توجه به مشکلات امنیتی شناخته شده جاوا) از مهمترین ایرادات امنیتی تجهیزات بهره گرفته از این تکنولوژی است. با توجه به عدم رمزنگاری اطلاعات به صورت پیش فرض، حمله باز پخش (Replay Attack) از شایع ترین حملات ثبت شده بر علیه این تکنولوژی در چند سال اخیر است.

ZigBee

سنسورهای امنیتی، کنترل کننده های HVAC، سیستم های کنترل کننده ترافیک تنها بخشی از مصارف صنعتی این تکنولوژی به شمار می آیند. همچون دیگر تکنولوژی های اینترنت اشیا عدم نصب صحیح و پیاده سازی اولیه تجهیزات همچون عدم تغییر تنظیمات اولیه یا عدم بروز رسانی سفت افزار (Firmware) مهمترین و شایع ترین عامل تهدید کننده امنیت تجهیزات ZigBee است. از دیگر عوامل تهدید کننده این تکنولوژی نحوه ذخیره سازی و بار گذاری کلید رمزنگاری در حافظه به صورت استاتیک در تجهیزات است. ابزارهای Bus Pirate و GoodFet امکان اتصال فیزیکی به این تجهیزات و بازیابی کلید رمزنگاری استاتیک از حافظه این تجهیزات را برای نفوذ گر امکان پذیر میسازد. شنود ارتباطات بی سیم بین تجهیزات و بازیابی کلید رمزنگاری که معمولا به صورت Pre-shared Key  یا OTA بین تجهیزات ردوبدل میشود از طریق جعل هویت (Impersonation) یکی دیگر از مشکلات امنیتی برای این تکنولوژی است. ابزارهای KillerBee و Attify ZigBee Framework از شناخته شده ترین ابزارهای شنود، رمزگشایی و آنالیز برای این نوع حملات میباشند.

LoraWan

امکان برقراری شبکه هایی گسترده مبتنی بر این تکنولوژی در مسافتهای طولانی چند کیلومتری در رنج یک گیگاهرتز از جذابترین قابلیتهای این تکنولوژی نسبت به دیگر رقبای صنعت اینترنت اشیا است. این تکنولوژی برای رمزنگاری ارتباطات بین سنسورها و سرورهای فعال سازی به صورت پیش فرض از استاندارد رمزنگاری AES 128 استفاده میکند. گرچه این استاندارد از امنیت نسبتا خوبی برخوردار است ولی همچنان امکان بازیابی کلیدهای رمزنگاری و رمزگشایی ها آنها از تجهیزات سمت کلاینت و در هنگام تبادل با سرور فعال سازی وجود دارد. از دیگر مشکلات امنیتی و حملات شناخته شده این تکنولوژی میتوان از حملات انکار سرویس (DoS) و حمله تخلیه باتری (Battery Exhaustion Attack) نام برد.

Z-Wave

یکی از شاخصه های این تکنولوژی از منظر امنیتی، اتصال گرا (Connection Oriented) بودن نسبت به دیگر رقبا است، به عبارت دیگر، قبل از برقراری ارتباط بین کنترل کننده و دستگاه تقاضا کننده ارتباط، دریافت کلید رمزنگاری  (Key Exchange )باید در هشت مرحله با موفقیت انجام گیرد. گرچه پیچیدگی این تبادل از سطح ایمنی خوبی برخوردار است ولی همچنان امکان انجام حملات مرد میانی (MitM) و حمله بازیابی کلید (Key Recovery) وجود دارد. ابزار Z-Force امکان شنود و تزریق در مرحله تبادل کلید رمزنگاری را برای نفوذ گر مهیا میسازد. Z-Attack دیگر ابزاری است که امکان شنود دستکاری (Manipulation) فریم ها را فراهم میسازد.

NFC

این تکنولوژی برای استفاده در تلفن های همراه امروزی و تجهیزات اینترنت اشیا و به منظور تبادل اطلاعات بین دستگاهی با فاصله کم طراحی و توسعه  یافته است. قابلیت Card Emulation به دستگاه های مجهز به این تکنولوژی امکان جایگزینی کارتهای پلاستیکی سنتی حمل و نقل عمومی، کنترل ورود و خروج و کارتهای بانکی را میدهد که قابلیت بسیار جذابی برای کاربران این تکنولوژی است. گرچه وجود این قابلیت از منظر امنیتی با توجه به فاصله مجاز حداکثر چهار سانتیمتری بین دو دستگاه برای تبادل اطلاعات در این تکنولوژی شنود اطلاعات تبادل شده را برای نفوذ گر سخت میکند ولی خصوصا اگر برنامه هایی که از NFC استفاده میکنند، از استانداردهای رمزنگاری بهرهمند نباشند همچنان این امکان وجود خواهد داشت که اطلاعات ردوبدل شده بین دو دستگاه شنود شده و اطلاعات ضبط شده مورد سوءاستفاده نفوذ گران قرار گیرد. از دیگر مشکلات امنیتی که این تکنولوژی را تحت تاثیر قرار میدهد، عدم نیاز به تائیدیه در هنگام دریافت اطلاعات به طور مثال در Android Beam در بعضی دستگاه ها است. این امکان در کنار نقص امنیتی Webkit  در مرور گر اندروید فرصتی را فراهم میکند که با ارسال لینک آلوده دسترسی روت برای نفوذ گر ایجاد گردد. از جدیدترین نقص های امنیتی کشف شده در این تکنولوژی نشت اطلاعات به دلیل عدم وجود اعتبار سنجی کافی (Insufficient Validation) در هنگام درخواست ارسال است که جزییات آن در سایت CVE Details  به شماره CVE-2018-7930 قابل دسترس است.

در کنار نرم افزارهای معرفی شده شاخص ترین و قابل دسترس ترین ابزارهای سخت افزاری برای تست تجهیزات اینترنت اشیا برای متخصصین امنیت میتوان از کارت شبکه  Yard Stick One که در کنار نرم افزار های متن بازی همچون Rfcat و RFCrack امکان شنود و تزریق فریم برای سیگنالهای رادیویی زیر یک گیگا هرتز است را نام برد.

براساس پیش بینی های موسسه CyberSecurity Venture جرایم سایبری مبلغ نجومی ای بالغ بر شش تریلیون دلار را در سال ۲۰۲۱ به جهان تحمیل خواهد کرد که این مبلغ رشدی سه تریلیون دلاری نسبت به سال ۲۰۱۵ را خواهد داشت. این پیش بینی ها رشد وسعت و پیچیدگی های جرایم سایبری در آینده و نیاز به بهره گیری از استانداردهای ایمن سازی و استراتژی های دقیق دفاع سایبری را بر فعالان و تصمیم گیران این صنعت بیش از پیش آشکار میسازد.

در این زمینه استانداردهای متفاوتی برای طراحی و تبیین سیاست های ایمن سازی و دفاعی سازمانها و موسسات طراحی گردیده که یکی از شناخته شده ترین آنها استاندارد ISO 27001 است. برای درک بهتر ابعاد این استاندارد شناخت سیستم مدیریت امنیت اطلاعات یا Information Security Management Systems ضروری است.

به زبان ساده ISMS روشی سیستماتیک برای مدیریت و حفاظت از اطلاعات و داده های حساس با استفاده از استانداردهای مختلف برای سازمانها و موسسات است. سیستم مدیریت امنیت اطلاعات نیازهای سازمانهایی با ابعاد مختلف را پوشش میدهد. ایمن سازی و مدیریت و کنترل ریسک سازمانها گستره وسیعی  شامل افراد، سیستم های سخت افزاری و نرم افزاری و پردازش ها در بخشهای مختلف سازمانها را در برمیگیرد. سیستم ISMS  با طراحی ای دقیق توانایی مواجه با تهدیدات جدید و تغییرات لازم با توجه به رشد نیازهای سازمان مربوطه و حفظ محرمانگی (Confidentiality) یکپارچگی (Integrity) و دسترسی(Availability)  اطلاعات را دارا است.

در این میان استاندارد بین المللی  ISO/IEC 27001 (ISO 27001) که مشترکا توسط موسسات ISO  و IEC توسعه داده شده  بهترین و شناخته شده ترین روش برای پیاده سازی و ممیزی سیستم مدیریت امنیت اطلاعات یا  ISMS برای یکپارچه سازی و حفاظت از اطلاعات حیاتی و حساس در سازمانها و موسسات و به تبع آن برنامه ریزی برای جلب اطمینان و اعتماد مشتریان است. نسخه های مختلف استانداردهایISO  توسط اعضای موسسات ISO  و IEC از سراسر دنیا توسعه و بهینه سازی میشود که شرکتها و سازمانهای مختلف میتوانند بعد از اعمال و ممیزی این استاندارد گواهینامه آن را دریافت نمایند.

استاندارد ISO 27001 برای پیاده سازی و اجرایی کردن سیاستهای ایمن سازی چک لیست یا سیستم مرحله به مرحله ای را ارائه نمیکند، در عوض با ارائه راهکارها و چهارچوب های مدون تصحیحی (Corrective Actions) و جلوگیری کننده (Preventive Actions ) تقویت سیستمهای امنیت اطلاعات سازمانها را ممکن میسازد. شایان ذکر است پیاده سازی صحیح این استاندارد مستلزم همکاری و هماهنگی در تمام بخشهای سازمان است. استاندارد ISO 27001 بخشهای مختلفی را پوشش میدهد که در ذیل به مهمترین آنها اشاره میکنیم:

• ایمن سازی نرم افزاری و سخت افزاری زیرساختهای مهم سازمان
• ارائه راهکارهایی برای امنیت منابع انسانی و دارایی ها
• ارائه راهکار برای پیشگیری از انواع جرایم سایبری
• پیشگیری از خراب کاری در اطلاعات حساس و حیاتی سازمان
• ایمن سازی اطلاعات و پیشگیری از سرقت درون سازمانی
• ایمن سازی در مقابل از دست دادن اطلاعات
• پیشگیری از سو استفاده از اطلاعات حساس و حیاتی
• پیشگیری از نفوذ در شبکه
• پیشگیری از درز اطلاعات شخصی کارکنان و مشتریان

در پایان ذکر این نکته ضروری است که گرچه کسب گواهینامه های استاندارد ISO 27001 نشان دهنده اهمیت حفظ امنیت اطلاعات برای سازمان کسب کننده گواهی است، ولی این به معنای امنیت صد در صدی آن سازمان نخواهد بود و بهره گیری از دیگر راهکارهای ایمن سازی در کنار این استاندارد کاملا ضروری و حیاتی خواهد بود.

تنظیمات اولیه یا پیش فرض اکثریت سیستم عاملها، نرم افزارها و سخت افزار ها با اولویت قرار دادن راحتی استفاده و کاربر پسند بودن به شکلی تنظیم گردیده است که نیازهای ابتدایی بخش وسیعی از کاربران را فراهم نموده و از پیچیدگی های فراوان خودداری کنند. این رویه باعث بوجود آمدن مشکلات امنیتی فراوانی برای سیستمهایی میشود که در تعامل با دیگر سیستمها یا کاربران نیازمند برخورداری از بالاترین سطح امنیت هستند خواهد شد. در این مطلب به صورت مختصر با شناخته شده ترین استانداردهای امنیتی بین المللی آشنا میشویم.

سیاستهای امنیتی یا استانداردهای ایمن سازی (Hardening Standards and Security Policy) از اصول اولیه ای است که هر مهندس سیستم یا شبکه باید به آنها اشراف کامل و دقیق داشته و با نحوه پیاده سازی و بکارگیری آنها آشنایی کامل داشته باشد.  این استانداردها توصیه های مهمی برای تنظیم بخشهای مختلف سیستم های مورد نظر از قبیل نحوه صحیح انتخاب رمزهای عبور (Passwords Length and Age)، تنظیمات کنترل (Access Right Assignment)، سیاستهای بازرسی  و ممیزی (Audit Policy) و تنظیمات لاگ های مختلف سیستم را در برمیگیرد.

در این میان شرکتهای فراوانی استانداردها و ابزارهای مختلفی را برای مقاوم سازی سیستم های مختلف معرفی کرده که  سازمان ها و موسسات مختلف برای بهبود سطح امنیتی سامانه های خود و در امان بودن از مشکلات امنیتی باید با مطالعه دقیق و اعمال این تنظیمات و استانداردها از رخ دادن مشکلات امنیتی جلوگیری نمایند.

مرکز امنیت اینترنت یا CIS Security یکی از پیشگامان توسعه این استانداردها است که با توجه به نیازهای امنیتی رو به افزایش در سیستم عاملها و سامانه های مختلف اقدام به طراحی سیاستهای ایمن سازی گسترده ای برای بخشهای مختلف صنعت آی تی کرده است. گستره استانداردهای تحت پوشش این مرکز طیف وسیعی از سیستم عاملها از قبیل نسخه های مختلف ویندوز، لینوکس، مک، آی آو اس، اندروید و برنامه های کاربردی مانند مرورگرهای کروم، فایر فاکس و غیره را شامل میشود.

سرویسهای ارائه شده CIS در دو نسخه رایگان که به صورت فایلهای پی دی اف و نسخه پولی که به همراه اسکریپتهای مورد نیاز برای اعمال اتوماتیک تنظیمات مورد نیاز و نرم افزارهای بنچ مارک در اختیار مشتریان قرار میگیرند. سی آی اس کت (CIS Configuration Assessment Tool) نرم افزار بنچمارک این شرکت است که با بررسی سیستم و مقایسه تنظیمات فعلی سیستم با استاندارد های طراحی شده توسط CIS توصیه هایی را در جهت بهبود و ارتقای امنیت سیستم ارائه میکند. پکیجها و نسخه های پولی که CIS CAT را شامل میشود معمولا شرکتها و موسسات بزرگ را هدف قرار میدهند، که حق عضویت سالانه ای بیش از یک هزار دلار را برای مشتری در بر خواهند داشت.

موسسه ملی استاندارد و تکنولوژی یا NIST یکی دیگر از موسساتی است که شهرت جهانی دارد و شرکتهای فراوانی از استانداردهای این شرکت بهره گیری میکنند. گرچه استانداردهای ایمن سازی ارائه شده توسط NIST به صورت رایگان در اختیار مشتریان قرار میگیرد ولی گستردگی این استانداردها به وسعت استانداردهای ارائه شده توسط CIS نیست و تنها بخشی از سیستم عاملهای مایکروسافت و لینوکس ردهت را تحت پوشش قرار میدهد.

دیگر موسسه فعال در این زمینه  موسسه IASE است که استانداردهای ایمن سازی مختلفی را برای سیستم عاملها دسکتاپ و موبایل ارائه میکند. استانداردهای موسسه IASE با فرمت XML در اختیار مشتریان قرار میگیرد که با استفاده از نرم افزار STIG Viewer ارائه شده توسط این شرکت امکان مطالعه و بهره گیری از استانداردهای این موسسه فراهم است.

در زمینه مقاوم سازی سیستم عاملها، شرکت مایکروسافت نیز سالها پیش ابزار رایگان مایکروسافت بیسلاین (Microsoft Baseline) را ارائه داده است که با اسکن سیستم عامل و بررسی تنظیمات انجام گرفته توصیه هایی را به کاربر برای بهبود سطح امنیتی سیستم عامل انجام میدهد. از جمله توصیه های ابزار مایکروسافت بیسلاین میتوان به تنظیمات آپدیت سیستم عامل و برنامه های اجرایی متعلق به این شرکت همچون آفیس و مایکروسافت اس کیو ال  سرور و تنظیمات رمزهای عبور مختلف سیستم اشاره کرد. با توجه به عدم پشتیبانی این ابزار بعد از سال ۲۰۱۳ توسط مایکروسافت و عدم پوشش وسیع تنظیمات بخشهای مختلف سیستم عامل، تنها مزیت استفاده از این ابزار نسبت به دیگر رقبا راحتی استفاده و رایگان بودن این ابزار است.

نکته مهم در استفاده و بکارگیری استانداردهای مختلف ارائه شده توسط شرکتهای مختلف انطباق نیازهای موسسه هدف با نحوه بکارگیری و بهره مندی از این سیاست های ایمن سازی است. مسلما شرکتهای مختلف با توجه به نیازهای خاص خود باید به بومی سازی این استانداردها برای حصول بهترین نتایج اقدام کنند.

تامین امنیت سامانه های اینترنتی با توجه به رخدادهای امنیتی رو به رشد یکی از مهمترین دغدغه های صاحبان این سامانه ها است. با توجه به پیچیدگی آسیب پذیری ها و حملات تحت وب که سامانه های اینترنتی را تهدید میکند، طراحی ها و پیکر بندی های امنیتی در هنگام طراحی و استقرار اولیه این سامانه ها قطعا جوابگو نخواهد بود و نیاز به پالایش های امنیتی و به روز رسانی ها مستمر لازم و اساسی است. روشهای متفاوتی برای تضمین امنیت سامانه های اینترنتی پیش روی صاحبان آنها وجود دارد که در این مقاله سعی میکنیم آنها را به صورت خلاصه بررسی نموده و مزایا و معایب هر کدام را به اختصار بیان نماییم.

اغلب شرکتها و سازمانها برای بررسی های امنیتی معمولا با استخدام و عقد قرارداد با تیم های تست نفوذ و انجام این تست ها در تلاشند که سامانه های خود را در مقابل جدیدترین تهدیدات امنیتی مصون داشته و از زیرساختهای خود محافظت نمایند. انجام تست نفوذ به این روش در کنار مزایای همچون محیط کنترل شده (Limited Scope) تست نفوذ، بهره گیری از توافقنامه عدم انتشار (NDA) که متخصص نفوذ را ملزم و متعهد به عدم افشای آسیب پذیری های کشف شده میکند، چالشهایی از قبیل محدود بودن گستردگی و دقت این تست ها به دانش تست نفوذ گر را دارا خواهد بود.

مسابقات کشف باگ یا Bug Bounty  یکی دیگر از روشهایی است که استفاده از آن در بین شرکتهای مختلف در حال افزایش است. مسابقات کشف باگ به سازمانها و موسسات این امکان را میدهد که سامانه ها و پرتال های مختلف خود را در محدوده زمانی مشخص با پاداش و دستمزدی معین در معرض تست طیف وسیعی از متخصصین امنیت و نفوذ گران قرار دهند. همانطور که اشاره شد مهمترین مزیت این روش در مقایسه با استخدام و عقد قرارداد با تیمهای نفوذ گر برای انجام تست نفوذ، بهره گیری از دانش و تخصص طیف وسیعی از نفوذ گران است. معمولا در این روش جوایز تعیین شده بعد از کشف باگ و تایید آن توسط داوران به نفوذ گر تعلق میگیرد که این روش را به یکی از اقتصادی ترین روشها برای تامین امنیت سامانه های اینترنتی تبدیل کرده است. از معایب این روش میتوان به عدم امکان بهره گیری از تعهدات الزام آور همچون توافقنامه عدم انتشار (NDA) که در روش قبل ذکر شد نام برد. شرکتهای فراوانی در سراسر جهان در این زمینه فعالند و بستر های لازم برای مسابقات کشف باگ را فراهم مینمایند. داوری و تعیین اصالت باگ ها و مشکلات امنیتی کشف شده و تعاملات مالی بین سرویس گیرنده و نفوذ گر به عهده این شرکتها است.

روش دیگری که در کنار بهره گیری از تیم های امنیتی داخل سازمانی و استخدام تست نفوذ گران و مسابقات کشف باگ، در بین اکثر شرکتهای تراز اول بین المللی در حال گسترش است، طراحی و برخورداری از سیاست افشای آسیب پذیری ها VDP یا Vulnerability Disclosure Policy است. جزئیات و نحوه بهره گیری از سیاست افشای آسیب پذیری ها VDP در استاندارد ISO 29147 تعریف شده است. این سیاست بستری را فراهم میکند که متخصصین نفوذی که مشکلات امنیتی را در سامانه های اینترنتی کشف میکنند بجای سو استفاده از این آسیب پذیری ها، آنها را به اطلاع آن سازمان رسانده و در مقابل از پاداش مالی برخوردار گردند. یکی از مهمترین مزایای این روش این است که طراحی و تصویب و استفاده از این متد به صاحبان سامانه های اینترنتی این امکان را میدهد که سامانه های خود را به طور دائمی در معرض بررسی های امنیتی قرار دهند. گرچه این در روش برخلاف Bug Bounty  که دستمزدی معین در زمان مشخص به متخصصین امنیت تعلق میگرد، پاداش معین و مشخصی به نفوذ گران تعلق نمیگیرد، ولی معمولا شرکتها و سازمانها برای ترغیب نفوذ گران و برای تشویق آنها برای عدم سوءاستفاده از آسیب پذیری های کشف شده و ارائه آنها به این سازمانها، پاداشی را برای این نفوذ گران در نظر میگیرند.

با توجه به مطالب ذکر شده بهترین سیاست بهره گیری از مزایای تمام این روشها با توجه به گستردگی و نیازهای امنیتی هر مجموعه ای است. سه روش ذکر شده در این مطلب میتوانند همپوشانی کاملی را در جهت تامین و تضمین امنیت سامانه های اینترنتی بوجود آورند.

شرکتها و سازمانهای فراوانی در زمینه برگزاری مسابقات کشف باگ و طراحی و اجرای سیاست افشای آسیب پذیری ها برای سازمانها و موسسات مختلف فعالیت میکنند که در مطالب بعدی با موفق ترین آنها آشنا خواهیم شد.

رشته  امنیت از مهمترین و جذابترین زیر شاخه های آی تی است که با گذشت زمان و پی بردن به اهمیت امن سازی زیرساختهای تکنولوژیکی روز به روز علاقه مندان فراوان تری را به خود جذب مینماید. گرچه در کشورمان ایران تقسیم بندی رایج دقیقا مطابق با اصول آن در دیگر کشورها نیست، و متخصصین امنیت برای فعالیت باید بر تمام زیر شاخه های امنیت تسلط کافی داشته باشند ولی دانستن استانداردهای بین المللی و زیر شاخه های پذیرفته شده در دیگر کشورها برای تمامی علاقه مندان و هر متخصص امنیت ضروری خواهد بود.

در این مقاله با توجه به استانداردهای شناخته شده بین المللی و نیاز روز، تخصص های متفاوت رشته امنیت و پیش نیازهای آنها به صورت اجمالی بررسی خواهد شد تا کمکی به دانشجویان و علاقمندان تحصیل و فعالیت در این رشته گردد.

۱- متخصص امنیت شبکه (Network Security Expert)

امنیت زیرساختهای ارتباطی و ساختارهای شبکه یکی از مهمترین بخشهایی است که هر کمپانی باید توجه خاصی را به آن مبذول نماید. عدم توجه به امنیت شبکه های ارتباطی میتواند خسارات جبران ناپذیری به بار آورد. از این رو متخصصین شبکه مسئولیت سنگین و خطیری در پیش دارند. متخصصین امنیت علی الخصوص امنیت شبکه نیازمند داشتن آگاهی و تسلط هم بر روشهای نفوذ و هم بر عبور از مکانیزمهای دفاعی (Offensive and Defense Evasion) و ساختارهای دفاعی (Defensive) هستند. به عبارت دیگر یک متخصص شبکه در کنار برخوردار بودن از دانش تقویت ساختارهای شبکه ای (Network Hardening Techniques) نیازمند داشتن نگاهی همانند یک نفوذ گر نیز است.

• تسلط کامل و عمیق به استانداردها و مدلهای OSI and TCP/IP کاربرد ها، شباهت ها و تفاوتهای آنها در لایه های مختلف
• تسلط کامل به پروتکل های TCP, UDP نحوه کارکرد و تفاوتهای آنها در لایه های مختلف
• آشنایی با تکنولوژی های ایثرنت (Ethernet) و بی سیم (Wireless) و استاندارد های IEEE 802.3 و IEEE 802.11 و زیر شاخه های آن
• آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
• آشنایی با زبانهای برنامه نویسی خصوصا زبانهای اسکریپت نویسی همانند پایتون، روبی، پرل و تسلط بر حداقل یکی از آنها
• آشنایی با انواع آلگوریتم های رمزنگاری و نحوه بکارگیری آنها
• آشنایی با انواع حملات مخاطره انگیزی که امنیت یک شبکه را تهدید خواهد کرد و راههای مقابله با آنها
• آشنایی و تسلط کامل به انواع نرم افزارهای پالایش شبکه همانند Wireshark, Nmap, Nessus, Qualys, Retina و غیره
• آشنایی با انواع سیستمهای حفاظت نرم افزاری و سخت افزاری و نحوه عملکرد آنها از قبیل سیستم های تشخیص نفوذ (IPS, IDS) و دیواره های آتش (Firewall)
• آشنایی با انواع تجهیزات شبکه ای سخت افزاری همانند Cisco, Junpier, Microsoft, Mikrotik, HP, Dell، نحوه پیکر بندی و عملکرد آنها در سیستم عاملهای مختلف، و آسیب پذیری های شناخته شده آنها
• آشنایی با استانداردها و فریم ورک های امنیتی از قبیل ISO 27001/27002 و NIST

۲- متخصص امنیت وب (Web Security Expert)

با توجه به رشد روز افزون وبگاه ها و سامانه های اینترنتی و اهمیت فوق العاده این سامانه ها برای شرکت ها و سازمانهای مختلف و جلوگیری از تهدیدات و مشکلات امنیتی که این سامانه ها را تهدید میکند، تقاضا و بازاری رو به رشد را برای متخصصین امنیت وب میتوان پیش بینی کرد. همانند متخصصین دیگر زیر شاخه های امنیت برخوردار بودن از دانش و آشنایی با نحوه تفکر نفوذ گران از الزامات موفقیت در این رشته است.

• آشنایی با زبانهای برنامه نویسی سمت کلاینت و سرور از جمله (JavaScript, HTML, SQL, PHP, ASP,… )
• آشنایی با انواع سیستمهای مدیریت محتوا (Content Management Systems) از قبیل WordPress, Drupal, Joomla نحوه کارکرد و آسیب پذیری های مرتبط با آنها
• تسلط کامل به استانداردها و مدلهای OSI and TCP/IP کاربرد ها، شباهت ها و تفاوتهای آنها در لایه های مختلف
• تسلط کامل به پروتکل های TCP, UDP نحوه کارکرد و تفاوتهای آنها در لایه های مختلف
• آشنایی با زبانهای برنامه نویسی خصوصا زبانهای اسکریپت نویسی همانند پایتون، روبی، پرل و تسلط بر حداقل یکی از آنها
• آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
• آشنایی با انواع آلگوریتم های رمزنگاری و نحوه بکارگیری آنها
• آشنایی با انواع نرم افزارهای پالایش و نرم افزارهای کشف خودکار و نیم خودکار آسیب پذیری در سامانه های اینترنتی از قبیل Wireshark, Fiddler, Nmap, Nessus, Nexpose, Burp Suite, OWASP ZAP, و غیره
• آشنایی با ابزارهای تست سورس کد و دیباگ از قبیل Chrome and Firefox DevTools, CA Veracod
• آشنایی با انواع دیوارهای آتش وب (Web Application Firewall) و نحوه پیکر بندی و عملکرد آنها
• آشنایی با تکنولوژی های جدید از قبیل بلاکچین و نحوه استفاده از آنها برای تقویت امنیت سامانه های اینترنتی
• آشنایی با قوانین جرایم رایانه ای و سایبری و محدوده فعالیت (Scope Compliance) علی الخصوص برای تست نفوذ (Penetration Testing) و ارزیابی امنیتی (Vulnerability Assessment)
• آشنایی با استانداردها و فریم ورک های امنیتی از قبیل ISO 27001/27002 و NIST

 ۳- متخصص امنیت اینترنت اشیا (IoT Security Expert)

گسترش و تنوع روز افزون کاربرد اینترنت اشیا و تجهیزات متنوعی که این تکنولوژی در آنها به کار میرود با سرعت فراوانی رو به فزونی است. گسترش سریع شهرهای هوشمند، ماشینهای هوشمند و خودران، لزوم و اهمیت برقراری و حفظ امنیت این تجهیزات را دوچندان خواهد کرد. با توجه به جدید بودن این تکنولوژی و گستردگی فراوان آن میتوان آینده کاری موفقی را برای متخصصین این رشته پیش بینی کرد.

• آشنایی با استانداردها و مدلهای OSI and TCP/IP کاربرد ها، شباهت ها و تفاوتهای آنها در لایه های مختلف
• آشنایی با پروتکل های TCP, UDP نحوه کارکرد و تفاوتهای آنها در لایه های مختلف
• آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
• آشنایی با تکنولوژی بی سیم (Wireless) و استاندارد IEEE 802.11 و زیر شاخه های آن
• آشنایی با سامانه سرپرستی و گردآوری داده (SCADA) و نحوه عملکرد و مشکلات امنیتی مرتبط با این تکنولوژی
• آشنایی با پروتکل Zigbee و استاندارد IEEE 802.15.4
• آشنایی با نسخه های مختلف Bluetooth و نحوه عملکرد آنها
• آشنایی با پروتکلهای LoraWan, Z-Wave و نحوه عملکرد آنها
• آشنایی با پروتکل NFC و نحوه عملکرد آن
• آشنایی با پروتکل های Insteon و Thread
• آشنایی با حداقل یک زبان اسکریپت نویسی همانند پایتون

۴- متخصص امنیت ابری (Cloud Security Expert)

مزایای متعدد مجازی سازی  بر کسی پوشیده نیست، کاهش هزینه ها، استفاده بهینه از منابع سخت افزاری، تامین و گسترش سریع زیرساختهای مورد نیاز، تنها بخش کوچکی از مزایای مجازی سازی و استفاده از تکنولوژی های ابری است. همانند دیگر گرایش های امنیت میتوان آینده کاری مناسبی را برای این رشته متصور بود.

• تسلط کامل و عمیق به استانداردها و مدلهای  OSI and TCP/IP کاربرد ها، شباهت ها و تفاوتهای آنها در لایه های مختلف
• تسلط کامل به پروتکل های TCP, UDP نحوه کارکرد و تفاوتهای آنها در لایه های مختلف
• آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
• آشنایی با زبانهای برنامه نویسی متداول و جدید در حوزه برنامه نویسی ابری مانند SQL, Clojure Math, Haskell Functional
• آشنایی با سرویس دهنده های مطرح ابری از قبیل Amazon Web Service (AWS), Microsoft Azure, Google Cloud Platform و غیره و انواع سرویس های ارائه شده
• آشنایی با انواع نرم افزارها و سخت افزارهای ابری، نحوه کارکرد و تعامل با آنها
• آشنایی با انواع تهدیدات امنیتی که سرویس های ابری را تهدید میکنند و نحوه پیشگیری و تعامل با آنها

۵- متخصص جرم شناسی (Forensic Expert)

با توجه به افزایش اعمال مجرمانه در فضای مجازی و سایبری گرایش جرم شناسی یکی از مورد نیاز ترین زیر شاخه های امنیت است. متخصص جرم شناسی در کنار داشتن دانشی عمیق از پیش نیازهای این رشته، نیازمند داشتن آگاهی و دانش از دیگر زیر شاخه های امنیت نیز خواهد بود.

• آشنایی با پروسه دریافت و نگهداری مدارک بررسی شده (Chain of Custody)
• آشنایی با فراریت و عدم ثبات اطلاعات استخراجی و نحوه تعامل با آنها خصوصا در حافظه و اولویت بندی آنها (The Order of Volatility)
• آشنایی با زیر شاخه های مختلف جرم شناسی از قبیل جرم شناسی وب (Web Forensic)، جرم شناسی شبکه (Network Forensic) و جرم شناسی دیجیتال (Digital Forensic)
• آشنایی با استانداردها و مدلهای OSI and TCP/IP و پروتکل های TCP, UDP و نحوه کارکرد آنها در بخش جرایم مربوط به وب و شبکه های ارتباطی
• آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
• آشنایی با نحوه بازیابی لاگ فایلهای مختلف از ترافیک شبکه
• آشنایی با نحوه عملکرد انواع ویروسها و فایلهای مختلف
• آشنایی با نحوه و کارکرد انواع مختلف حافظه های سیستمی و نحوه صحیح بازیابی اطلاعات (Memory Acquisition)
• آشنایی با انواع فایل فرمت های سیستم عاملهای مختلف و نحوه بازیابی و نگهداری آنها و ارزش قانونی هر کدام از فایلهای بازیابی شده
• آشنایی با انواع سخت افزارهای بازیابی اطلاعات از قبیل Tableau Hardware, Media Clone, Talino Sumuri Workstations و غیره
• آشنایی با انواع نرم افزار های بازیابی اطلاعات از قبیل SANS SIFT, Volatility, The Sleuth Kit, Autopsy, FTK Imager و غیره
• آشنایی با نحوه بازیابی اطلاعات مخفی شده، حذف شده، رمز گذاری شده از سیستمهای دیجیتالی مختلف
• آشنایی و تسلط کامل به قوانین جرایم رایانه و جرم شناسی

۶- متخصص کرکینگ و مهندسی معکوس (Reverse Engineering Expert)

مهندسی معکوس یکی از پیچیده ترین زیر شاخه های آی تی و امنیت است که دانشی فراوان و عمیقی می طلبد. با توجه به پیچیدگی و گمراه کنندگی روز افزون حملات مخرب و استفاده از روشهای نوین برای توسعه فایلهای مخرب، حضور متخصصین مهندسی معکوس در هر تیم امنیتی از ضروریات خواهد بود.

• تسلط کامل به زبانهای برنامه نویسی سطح پایین مانند اسمبلی و C
• آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
• آشنایی با عملکرد سیستم حافظه و نحوه عملکرد پروسس ها (Process Handling) در سیستم عاملهای مختلف
• آشنایی و تسلط بر انواع نرم افزارهای دیباگ از قبیل Olly Debugger, x64_dbg, IDA

لازم به ذکر است هدف اصلی از نگارش این مقاله آشنایی علاقمندان با کلیات و حداقل های ورود به رشته های مختلف امنیت است و لیست تهیه شده از پیش نیازهای گرایش های مختلف تنها چکیده ای از دانشی است که هر متخصص دنیای امنیت باید به آن مسلط باشد. قطعا مطالعه، تمرین، داشتن بینشی خلاقانه و جسورانه یا به اصطلاح “Out of the box thinking” همزمان با احترام به قوانین مدون، آینده درخشانی برای تمام علاقمندان به این رشته رقم خواهد زد.