Cyber Security, جزوه آموزش امنیت سایبری

فصل ۱: مفاهیم کلی امنیت (General Security Concepts)

Posted on by SSO Plus
فصل ۱: مفاهیم کلی امنیت (General Security Concepts) جزوه آموزشی امنیت سایبری security+ تدوین و انتشار sso پلاس
30
آگوست

در این فصل با مفاهیم بنیادین امنیت اطلاعات آشنا می‌شویم. این مفاهیم، پایه‌ی درک سایر حوزه‌های امنیت در آزمون Security+ هستند.

اصول سه‌گانه‌ی امنیت اطلاعات (CIA Triad)

یکی از مفاهیم اساسی امنیت، سهگانهی امنیت اطلاعات (CIA Triad) است که شامل موارد زیر می‌شود:

  • محرمانگی (Confidentiality): محافظت از اطلاعات در برابر دسترسی‌های غیرمجاز و حفظ حریم خصوصی داده‌ها. به عبارت دیگر، تنها افراد یا سیستم‌های مجاز باید امکان دسترسی به داده‌های حساس را داشته باشند. راهکارهایی چون رمزنگاری داده‌ها در حالت استراحت و حین انتقال، کنترل دسترسی مبتنی بر نقش و نیاز، و آموزش کارمندان برای جلوگیری از افشای اطلاعات، محرمانگی را تضمین می‌کنند.
  • یکپارچگی (Integrity): اطمینان از صحت و کامل‌بودن اطلاعات؛ یعنی داده‌ها در طول زمان یا انتقال، بدون تغییر غیرمجاز باقی بمانند. برای حفظ یکپارچگی از مکانیزم‌هایی نظیر توابع درهمساز (Hash) جهت تولید امضای دیجیتال داده‌ها استفاده می‌شود تا هرگونه تغییر تشخیص داده شود. امضای دیجیتال و چکسام نمونه‌های دیگری از ابزارهای حفظ یکپارچگی هستند که تضمین می‌کنند داده یا پیام از منبع معتبر است و در مسیر دستخوش تغییر نشده است.
  • دسترسپذیری (Availability): قابل دستیابی بودن اطلاعات و خدمات برای کاربران مجاز در هنگام نیاز. یک سیستم امن باید اطمینان دهد که منابع حیاتی، در صورت نیاز کاربران، در دسترس باشند. برای تحقق دسترس‌پذیری، راهکارهایی مانند افزونگی سرورها و تجهیزات، پشتیبان‌گیری منظم، طرح‌های بازیابی از فاجعه (DR) و مقابله با حملات منع خدمت (DoS/DDoS) به‌کار گرفته می‌شوند.

مثال سناریو: فرض کنید یک سازمان برای حفاظت از داده‌های محرمانه‌ی خود، تمامی لپ‌تاپ‌های کارمندان را به فناوری رمزنگاری کامل دیسک مجهز کرده است تا در صورت سرقت دستگاه، اطلاعات قابل دسترسی نباشد (حفظ محرمانگی). این سازمان همچنین از مکانیزم‌های کنترل نسخه و امضای دیجیتال برای اسناد مهم استفاده می‌کند تا هرگونه تغییر غیرمجاز در محتوا شناسایی شود (حفظ یکپارچگی). در نهایت، با استقرار سرورهای پشتیبان در مراکز داده‌ی مختلف و استفاده از UPS، تضمین می‌کند سرویس‌های حیاتی حتی در زمان بروز قطعی برق یا خرابی سرور، دسترسپذیری خود را حفظ کنند. این مثال نشان می‌دهد چگونه هر سه عنصر CIA در دنیای واقعی پیاده‌سازی می‌شوند.

احراز هویت، مجوزدهی و حسابرسی (چارچوب AAA)

یکی دیگر از مفاهیم کلیدی چارچوب AAA است که از سه جزء زیر تشکیل می‌شود:

  • احراز هویت (Authentication): فرآیند تأیید هویت ادعا‌شده‌ی یک کاربر یا سیستم. به زبان ساده، احراز هویت یعنی اطمینان حاصل کنیم شخص واقعاً همان کسی است که ادعا می‌کند. روش‌های رایج احراز هویت شامل استفاده از چیزهایی که کاربر میداند (مانند رمزعبور یا PIN)، چیزهایی که دارد (نظیر کارت هوشمند یا توکن امنیتی)، و ویژگیهای زیستی کاربر (اثر انگشت، تشخیص چهره و …‌) هستند. ترکیب چند عامل احراز هویت تحت عنوان احراز هویت چندعاملی (MFA) امنیت را به شکل چشم‌گیری افزایش می‌دهد. برای مثال، وارد کردن رمزعبور (دانسته‌ی کاربر) به همراه کد یک‌بار‌مصرف ارسالی به تلفن همراه (دارایی کاربر) یک مکانیزم MFA متداول است که حتی در صورت افشای رمزعبور، جلوی ورود غیرمجاز را می‌گیرد.
  • مجوزدهی (Authorization): پس از احراز هویت موفق، نوبت تعیین سطوح دسترسی است. مجوزدهی یعنی مشخص کنیم هر هویت تأییدشده، به چه منابع یا دادههایی و در چه سطحی دسترسی دارد. این کار معمولاً براساس نقشها و سیاستها انجام می‌شود؛ مفاهیمی مانند کنترل دسترسی مبتنی بر نقش (RBAC) یا کنترل دسترسی مبتنی بر ویژگی (ABAC) در این دسته قرار می‌گیرند. برای نمونه، در یک شرکت ممکن است نقش «کارمند منابع انسانی» اجازه‌ی مشاهده‌ی اطلاعات پرسنلی را داشته باشد ولی نقش «کارمند بخش IT» چنین مجوزی نداشته باشد. اعمال اصل حداقل دسترسی (Least Privilege) بسیار مهم است؛ یعنی هر کاربر تنها به اندازه‌ی نیاز شغلی خود دسترسی داشته باشد و نه بیشتر.
  • حسابرسی (Accounting/Auditing): ثبت و پایش فعالیت‌ها و رخدادهای مربوط به کاربران و سیستم‌ها جهت امکان بررسی‌های بعدی. سیستم‌های حسابرسی، لاگ تمام ورود و خروج‌ها، دسترسی به داده‌های حساس، تغییرات تنظیمات و سایر رویدادهای مهم را ذخیره می‌کنند. این لاگ‌ها در صورت بروز حادثه‌ی امنیتی برای شناسایی منشاء حادثه و عوامل آن حیاتی هستند. همچنین حسابرسی به سازمان‌ها کمک می‌کند انطباق فعالیت‌ها با سیاست‌های امنیتی را ارزیابی کرده و در صورت مشاهده‌ی تخلف یا فعالیت مشکوک، اقدامات اصلاحی یا واکنشی انجام دهند.

نکته: احراز هویت و مجوزدهی اغلب در کنار هم ذکر می‌شوند (به‌صورت ترکیب AuthN/AuthZ). احراز هویت تضمین می‌کند که «چه کسی» وارد سیستم شده و مجوزدهی تعیین می‌کند که آن شخص «به چه چیزهایی دسترسی دارد». جزء سوم (Accounting) اطمینان حاصل می‌کند که از تمامی این اقدامات، ردپا و گزارش قابل اعتمادی موجود است. این سه با هم چارچوب جامعی برای کنترل دسترسی امن ایجاد می‌کنند. به عنوان نمونه، پروتکل OAuth 2.0 به عنوان یک استاندارد باز برای مجوزدهی، این امکان را می‌دهد که یک کاربر پس از احراز هویت توسط یک ارائه‌دهنده (مثلاً حساب گوگل)، بدون نیاز به ارائه‌ی دوباره‌ی رمزعبور، به یک سرویس ثالث دسترسی کنترل‌شده داشته باشد. OAuth در بسیاری از پیاده‌سازی‌های SSO (Single Sign-On) مدرن استفاده می‌شود و نمونه‌ای از جداسازی احراز هویت و مجوزدهی است.

انواع کنترل‌های امنیتی و استانداردهای مرتبط

اقدامات امنیتی را می‌توان به روش‌های گوناگونی دسته‌بندی کرد. یکی از دسته‌بندی‌های رایج، نوع کنترل از نظر ماهیت است:

  • کنترلهای فنی (Technical Controls): مکانیزم‌هایی که از طریق سخت‌افزار یا نرم‌افزار پیاده‌سازی می‌شوند. نمونه‌ها: فایروال‌ها، سیستم‌های تشخیص نفوذ، رمزنگاری داده‌ها، مکانیزم‌های احراز هویت دیجیتال و غیره.
  • کنترلهای اداری (Administrative Controls): رویه‌ها و سیاست‌ها و اقدامات مدیریتی که به کاهش ریسک کمک می‌کنند. مانند سیاست‌های امنیتی مکتوب، آموزش و آگاهی‌رسانی امنیتی به کارمندان، رویه‌های استخدام و خروج کارمندان با ملاحظات امنیتی، تفکیک وظایف (Separation of Duties) و غیره.
  • کنترلهای فیزیکی (Physical Controls): اقدامات جهت حفاظت از محیط فیزیکی و تجهیزات. مانند قفل درب‌ها، کارت‌های دسترسی فیزیکی، دوربین‌های مداربسته (CCTV)، گیت‌های امنیتی، محافظت در برابر حریق و بلایا.

از منظر دیگری نیز کنترل‌ها را به سه دسته‌ی پیشگیرانه، کشفکننده و اصلاحکننده تقسیم می‌کنند:

  • کنترل‌های پیشگیرانه (Preventive) برای جلوگیری از وقوع حادثه‌ی امنیتی طراحی شده‌اند (مثلاً احراز هویت قوی مانع دسترسی مهاجم می‌شود، یا آموزش امنیتی از وقوع خطای انسانی پیشگیری می‌کند).
  • کنترل‌های کشفکننده (Detective) به شناسایی سریع رخدادهای امنیتی کمک می‌کنند (مثل سیستم‌های مانیتورینگ، حسگرهای تشخیص نفوذ، لاگینگ و تحلیل رویدادها).
  • کنترل‌های اصلاحی/واکنشی (Corrective/Responsive) پس از وقوع حادثه وارد عمل می‌شوند تا اثرات را کاهش داده یا سیستم را به حالت امن بازگردانند (برای مثال، سیستم پشتیبانگیری و بازیابی برای بازگردانی داده‌های ازدست‌رفته بعد از حمله‌ی باج‌افزار به کار می‌رود، یا روال‌های واکنش به حادثه که پس از کشف یک نفوذ، سیستم را پاکسازی و ایمن‌سازی می‌کنند).

استانداردهای بین‌المللی متعددی برای راهبری و پیاده‌سازی این کنترل‌ها وجود دارد. به عنوان نمونه، چارچوب مدیریت ریسک NIST (معروف به NIST RMF) و چارچوب امنیت سایبری NIST (CSF) راهنمای جامعی برای انتخاب و پیاده‌سازی کنترل‌های مناسب ارائه می‌دهند. همچنین 20 کنترل امنیتی برتر SANS/CIS فهرستی اولویت‌بندی‌شده از موثرترین کنترل‌های فنی است که پیاده‌سازی آنها به طور چشمگیری سطح پایه‌ی امنیت سازمان را ارتقاء می‌دهد. ما در فصل ۵ بیشتر به این استانداردها خواهیم پرداخت.

مثال عملی و سناریوی واقعی

فرض کنید در یک شرکت، سیاست “حداقل دسترسی” به خوبی تعریف شده است. یک کارشناس بخش مالی برای ورود به سیستم مالی شرکت ابتدا با نام کاربری و رمز عبور خود احراز هویت می‌شود. سپس سامانه، نقش وی (کارشناس مالی) را تشخیص داده و بر اساس سیاست‌های از پیش تعریف‌شده مجوز دسترسی لازم را به وی می‌دهد (مثلاً اجازه مشاهده تراکنش‌های مالی، اما عدم دسترسی به اطلاعات بخش IT). تمامی فعالیت‌های او (مانند زمان ورود، گزارش‌هایی که مشاهده کرده یا تغییراتی که اعمال نموده) در سیستم لاگ می‌شود (حسابرسی). روزی مدیر سیستم متوجه می‌شود این کارشناس تلاش کرده به داده‌های حقوق و دستمزد که خارج از حیطه‌ی وظایف اوست دسترسی پیدا کند. سیستم بلافاصله این اقدام غیرمجاز را کشف کرده و ضمن ثبت رویداد، دسترسی او را به آن بخش مسدود می‌کند (کنترل کشفکننده و واکنشی). سپس براساس گزارش‌های حسابرسی، تیم امنیتی متوجه نیت سوء یا خطای کارشناس شده و اقدام مناسب (مثلاً تذکر یا آموزش مجدد) را انجام می‌دهد. این سناریو ترکیب عملیاتی مفاهیم احراز هویت، مجوزدهی، حسابرسی و کنترل‌های امنیتی را نشان می‌دهد.

ابزارهای مرتبط با حوزه مفاهیم کلی امنیت

در حوزه مفاهیم کلی، بیشتر با اصول و سیاست‌ها سروکار داریم، اما برخی ابزارهای پایه نیز نقش‌آفرین‌اند:

  • مدیریت هویت و دسترسی (IAM Systems): مجموعه‌ای از ابزارها و نرم‌افزارها برای مدیریت مرکزی حساب‌های کاربری، سطوح دسترسی و اجرای سیاست‌های احراز هویت/مجوزدهی. برای مثال Microsoft Active Directory Domain Services یک سیستم IAM مرسوم در سازمان‌هاست که کاربران دامنه، گروه‌ها و مجوزهایشان را کنترل می‌کند.
  • مدیریت لاگ و مانیتورینگ: هرچند جزئی از عملیات امنیتی به حساب می‌آیند، اما پایه‌ی مفاهیم امنیت نیز هستند. ابزارهایی برای جمع‌آوری و مشاهده‌ی رخدادهای امنیتی (مانند Event Viewer در ویندوز یا syslog در لینوکس) به درک وضعیت امنیتی کمک می‌کنند. این ابزارها بعدها در مبحث SIEM (در فصل عملیات امنیتی) تکمیل می‌شوند.
  • ابزارهای ارزیابی امنیت رمزعبور: به عنوان بخشی از اصول امنیت، سیاست رمزعبور قوی اهمیت دارد. ابزارهایی مثل John the Ripper یا Hashcat به مدیران امنیتی کمک می‌کنند میزان قوت رمزعبورهای انتخاب‌شده را از دید یک مهاجم (حمله جستجوی فراگیر یا لغت‌نامه) بسنجند. این ابزارها اگرچه توسط مهاجمان نیز استفاده می‌شوند، اما در دست مدافعان برای تست نفوذ به سیاست‌های رمز عبور و آگاهی‌بخشی به کاربران درباره انتخاب گذرواژه‌های امن به کار می‌روند.

سوالات نمونه فصل ۱ (به همراه پاسخ تشریحی)

سوال 1: یک مشتری انکار می‌کند که قرارداد دیجیتالی را امضا کرده است. ارائه‌دهنده‌ی سرویس نیاز دارد ثابت کند امضای موجود واقعاً توسط مشتری ثبت شده و محتوای قرارداد تغییر نکرده است. ارائه‌دهنده باید به کدام مفهوم امنیتی تکیه کند؟

A. احراز هویت (Authentication)

B. محرمانگی (Confidentiality)

C. عدم انکار (Non-repudiation)

D. کنترل دسترسی (Access Control)

پاسخ: گزینه C درست است؛ عدم انکار. عدم انکار به معنای جلوگیری از انکار اعمال انجام‌شده توسط یکی از طرف‌های ارتباط است. در این سناریو، برای اینکه مشتری نتواند امضای دیجیتال خود را انکار کند، از مکانیزم‌هایی نظیر امضای دیجیتال مبتنی بر گواهی دیجیتال استفاده می‌شود که هم هویت امضاکننده (احراز هویت) را تضمین می‌کند و هم تمامیت سند را حفظ کرده و مهر زمانی معتبری ارائه می‌دهد. به این ترتیب هر تغییری در سند قابل تشخیص است (حفظ یکپارچگی) و امضاکننده نمی‌تواند انجام امضا را انکار کند. احراز هویت (گزینه A) تنها هویت را تأیید می‌کند و برای حل این مسئله به تنهایی کافی نیست؛ محرمانگی (B) ربطی به اثبات انجام عمل توسط شخص ندارد؛ کنترل دسترسی (D) نیز درباره تعیین مجوز مشاهده/ویرایش است و ارتباطی به اثبات امضا ندارد.

سوال 2: کدام‌یک از موارد زیر مثالی از یک کنترل امنیتی پیش‌گیرانه محسوب می‌شود؟

A. سیستم هشدار نفوذ که تلاش‌های مشکوک را گزارش می‌دهد

B. سیاست رمزعبور پیچیده که کارمندان را ملزم به استفاده از گذرواژه‌های قوی می‌کند

C. تهیه نسخه پشتیبان از داده‌های حساس به صورت روزانه

D. بررسی منظم فایل‌های لاگ توسط تیم امنیتی

پاسخ: گزینه B صحیح است. سیاست رمزعبور قوی یک کنترل پیشگیرانه است چرا که قبل از وقوع حادثه (نفوذ با حدس زدن یا کرک رمزعبور) جلوی آن را می‌گیرد. این سیاست با سخت‌گیری روی طول و پیچیدگی رمزعبور، احتمال موفقیت حملات حدس رمز را کاهش می‌دهد. گزینه A یک کنترل کشف‌کننده است (سیستم تشخیص نفوذ تلاش انجام‌شده را تشخیص داده و گزارش می‌کند). گزینه C یک کنترل اصلاحی/بازیافتی است چون پس از وقوع حادثه (از دست رفتن داده) برای بازگردانی استفاده می‌شود. گزینه D نیز یک اقدام کشف‌کننده یا در برخی منابع اداری محسوب می‌شود، زیرا تیم امنیتی پس از وقوع رویدادها (یا به صورت دوره‌ای) لاگ‌ها را تحلیل می‌کند تا مشکلات را شناسایی کند.

نکات مهم فصل ۱ (High-Yield Points)

  • سهگانهی امنیت CIA: پایه‌ترین اصل امنیت اطلاعات متشکل از محرمانگی (جلوگیری از دسترسی غیرمجاز به اطلاعات)، یکپارچگی (جلوگیری از تغییر غیرمجاز اطلاعات) و دسترس‌پذیری (دردسترس بودن منابع برای کاربران مجاز در زمان نیاز). هر راهکار امنیتی باید مشخص کند کدام جنبه‌های CIA را تقویت می‌کند.
  • چارچوب AAA: شامل احراز هویت (تأیید هویت کاربران، مثل تأیید رمزعبور یا استفاده از MFA)، مجوزدهی (تعیین سطح دسترسی کاربران تأییدشده بر اساس اصل حداقل دسترسی) و حسابرسی (ثبت رویدادها و فعالیت‌ها برای امکان ره‌گیری و بررسی) است. این سه با هم امنیت دسترسی را به‌صورت جامع برقرار می‌کنند.
  • اصل حداقل دسترسی و تفکیک وظایف: دو اصل مدیریتی مهم؛ هر کاربر/سیستم حداقل مجوز لازم برای انجام وظایفش را داشته باشد (Least Privilege) و وظایف حساس طوری تقسیم شوند که یک فرد به تنهایی قادر به انجام کامل یک عملیات حیاتی نباشد (Separation of Duties) تا سوءاستفاده یا خطا کاهش یابد.
  • دستهبندی کنترلها: کنترل‌های امنیتی را می‌توان بر اساس ماهیت (فنی، اداری، فیزیکی) یا کارکرد (پیشگیرانه، کشف‌کننده، اصلاحی) گروه‌بندی کرد. برای مثال، یک دوربین مداربسته کنترل فیزیکی کشف‌کننده است، در حالی که رمزنگاری دیسک یک کنترل فنی پیشگیرانه به شمار می‌آید.
  • چارچوبها و استانداردهای پایه: آشنایی با استانداردهایی مانند NIST SP 800-53 و SP 800-63 (راهنمای کنترل‌های امنیتی و احراز هویت)، ISO 27001 (الزامات سیستم مدیریت امنیت اطلاعات) و CIS Controls v8 (SANS Top 20) از همان ابتدا مفید است. این‌ها بهترین رویه‌ها را برای ایجاد خط‌مشی‌ها و کنترل‌های اثربخش فراهم می‌کنند و در آزمون نیز ممکن است به آن‌ها اشاره شود.
SSO Plus

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *