مرکز تماس: 42922-021
صدای مشتری: 88844430-021
پست الکترونیک: info‌@‌mef‌tah‌.c‌om
اخبار/مقالات

امنیت سایبری – مدل سازی ریسک و تهدیدات

مهم‌ترین بخشِ امنیت یک سیستم، تقویت و پیشگیری پیش از حمله است، چرا که غالباً دفاع پس از حمله نمی‌تواند چندان ثمربخش و مؤثر واقع شود. آنچه در دنیای امنیت مهم است، توجه به ( چگونگی )هاست، نه صرفاً فقط ( چه کسانی )، و به زبان ساده‌تر، مهم‌تر این است چگونه یک سرقت سایبری اتفاق می‌افتد، نه آنکه چه کسانی آن را انجام می‌دهند. در مدل‌سازی تهدید نیز تمرکزِ اصلی بر روی ( چگونگی ) وقوع و به نتیجه رسیدن حمله است.

مدل‌سازی تهدید:

مدل‌سازی تهدید (Threat Modeling) روشی برای بهینه‌سازی امنیت سیستم است، که از طریقِ شناساییِ اهداف، روش‌های نفوذ و نقاط آسیب‌پذیر، ممکن‌پذیر می‌شود. در مدل‌سازی تهدید، اولین و مهم‌ترین گام مشخص کردن همه‌ی آن چیزهایی است که قصد حفاظت از آنها را داریم. در اینجا باید به این نکته نیز توجه کرد که مشخص کردن ارزشِ آنچه قصد حفاظت از آن را داریم صرفاً یک مسئله‌ی یک طرفه نیست، به این معنا که در شناساییِ دارایی‌های ارشمند سیستم، تنها نباید به آنچه از دید خود (به عنوان توسعه دهنده و یا مصرف‌کننده) ارزشمند است توجه کنیم، بلکه باید آنچه برای یک مهاجم احتمالی نیز ارزشمند است را شناسایی و ارزیابی کنیم. در گامِ بعد، نیاز است تا گروه‌های حمله کننده‌ی احتمالی به سیستم را شناسایی و ارزیابی کرد. این گروه‌ها باید شاملِ خودی‌ها و غریبه‌ها و همچنین دربرگیرنده‌ی اشتباهات غیرعمدی (مانند ضعف‌های عملکرد سیستم) و حمله‌های مخرب باشد.

سطح حمله:

سطح حمله (Attack Surface) مجموعه‌ای از نقاط ضعفی است که نفوذ از طریقِ آنها برای مهاجمان امکان‌پذیر است. در حقیقت سطحِ حمله همان نقاط آسیب‌پذیری سیستم است که مهاجم قادر خواهد بود از این طریق آنها به سیستم نفوذ کند و اطلاعات را خارج کند در مدل‌سازی تهدید، ارزیابی و تحلیلِ سطحِ حمله اهمیت بالایی دارد، چرا که با این روش، توسعه‌دهندگان و مسئولان امنیت می‌توانند از مناطقِ خطر و همین‌طور از شدت خطر اطلاع پیدا کنند، و بخش‌های بازِ سیستم برای مهاجمان را شناسایی کنند.  

به طورِ کلی تحلیلِ سطحِ حمله در ۳ مورد کلی به توسعه‌دهندگان کمک شایانی میکند:

۱– شناساییِ بخش‌ها و عملکردهای آسیب‌پذیر سیستم.
۲– شناسایی مناطقِ در معرضِ خطر که نیازمند دفاعِ عمیق‌تر هستند، و به طورِ کلی شناساییِ مناطقی که نیازمند دفاع در برابر مهاجمین احتمالی هستند.
۳– شناساییِ زمانی که سطحِ حمله تغییر داده شده است، و نیاز به ارزیابی تهدید می‌باشند.

سطحِ حمله بسته به نوع سیستم و عملکرد آن نیز می‌تواند متفاوت باشد، همان‌طور که دشمنان احتمالیِ آن هم متفاوت هستند.  

اما به طور جامع سطحِ حمله را می‌توان در ۴ بخشِ زیر دسته‌بندی کرد:

۱– مجموعه‌ی مسیرهای ورودی و خروجی برای اطلاعات و دستورها.
۲– کدهایی که از این مسیرهای ورودی و خروجی محافظت می‌کنند، از جمله؛ ارتباطات منابع و احرازِ هویت، اجازه‌نامه‌ها و اعتبار سنجیِ داده‌ها.
۳– تمامیِ اطلاعات با ارزشِ سیستم مانند؛ کلیدها، مالکیت معنوی، اطلاعات کسب و کار و اطلاعات شخصی.
۴– کدهایی که از این اطلاعات محافظت می‌کنند، از جمله؛ رمزنگاری‌ها، دسترسی حسابرسی و کنترل عملیات امنیت.

برای مثال: اگر در یک سیستم، تنها نگرانی، مهاجمان از راه دور باشند، و سیستم تنها از طریقِ اینترنت با دنیای خارج ارتباط داشته باشد، سطحِ حمله بخشی از سیستم است که با بخش‌هایی دیگر در اینترنت تعامل دارد، و همین‌طور بخشی که ورودی‌های اینترنت را قبول می‌کند نیز می‌تواند به عنوان سطحِ حمله نیز تعریف شود. در نتیجه، یک دیوار آتشین در این سیستم می‌تواند با فیلتر کردن بخشی از ترافیک شبکه سطح حمله را محدودتر کند.

نمودار حمله:

نمودار حمله (Attack Tree) مدل‌سازی گرافیکیِ حمله علیه سیستم است، که در واقع هدف حمله و مراحل نفوذ و حمله را نشان می‌دهد. با ترسیم نمودارِ حمله می‌توان چگونگیِ یک حمله را از ابتدای نفوذ به سیستم تا به اتمام رساندن مأموریت خرابکارانه‌ را ردیابی و بررسی کرد.در ترسیم نمودارِ حمله ابتدا نیاز است تا هرگونه هدف ممکن را شناسایی کرد، و در گام بعد هرگونه حمله علیه هدف‌ها را متصور شد، و آنها را به بدنه درخت اضافه کرد برای مثال، نمودارِ حمله‌ی یک ویروسِ کامپیوتری را تصور کنید. هدف ویروس در واقع آلوده کردن مرکزِ سیستم است، و برای رسیدن به این هدف ابتدا باید از طریقِ یک فایلِ آلوده به سیستم نفوذ کند، و در مرحله‌ی بعدی اجرای فایل توسط کاربران و یا مدیر سیستم است، و در نهایت پس از اجرا شدن فایلِ آلوده سیستم نیز آلوده خواهد شد، که همان هدف نهایی حمله است.
آنچه در رسم نمودارِ حمله مهم است، در نظر گرفتنِ تمامیِ راه‌های محتمل برای نفوذ به سیستم و رسیدن به هدف است. شاید گاهی اوقات راه‌های نفوذ و حتی اهداف نهایی بسیار غیر قابلِ تصور به نظر برسند، اما در واقع، هدف از ترسیم نمودار حمله و تحلیل آن، شناسایی تمامی راه‌های ممکن، و حتی غیرممکن است با انجام دقیقِ این کار می‌توان حمله‌های احتمالی را پیش از وقوع خنثی کرد، و هرگونه شانسِ مهاجم برای نفوذ به سیستم را از باز پس گرفت.

همان‌طور که پیش از این نیز اشاره شد، هدف اصلی از مدل‌سازی امنیت، شناساییِ نقاط آسیب‌پذیر، دشمنان، و تهدیدهای سیستم و ارزیابی شدت خطری است که سیستم با آن روبروست. آنچه توسعه‌دهندگان و مسئولان امنیت از این مدل‌سازی‌ها بدست می‌آورند، مشخصات و روش‌های حمله‌های احتمالی است، که در صورت شناسایی و تقویت به موقع، سطح حمله و شانس موفقیت مهاجمان را به مراتب محدودتر می‌کند. باید در نظر داشت، که مدل‌سازی امنیت، در مرحله‌ی نخست اقدامی پیشگیرانه است، و در مرحله‌ی بعد، مقدمه‌ایست برای پایه‌ریزی تدابیر مناسب دفاعی در برابر حملات احتمالی مهم‌ترین بخشِ امنیت یک سیستم، تقویت و پیشگیری پیش از حمله است، چرا که غالباً دفاع پس از حمله نمی‌تواند چندان ثمربخش و مؤثر واقع شود. 

۲۲ اردیبهشت ۱۳۹۷     بازدید: ٣٠٠     دسته بندی: اخبار عمومی
درج دیدگاه
- برای درج دیدگاه میتوانید بصورت مهمان نظر بگذارید یا عضو شوید یا وارد شوید.
نام: *
آدرس ایمیل:
متن دیدگاه: *
ارسال
از نو
۶٩
فروش سرور
۵۶
خرید سرور
۵٣
قیمت سرور
۵١
افزایش امنیت شبکه
۵٠
آموزش امنیت شبکه
۴٩
حمله سایبری
۴٨
امنیت سیستم
۴٨
افزایش امنیت سایبری
۴٧
حفره‌های امنیتی
۴٧
رخنه‌های امنیتی
۴٧
الزامات امنیت سایبری
۴٧
رخنه‌های امنیت سایبری
۴۶
حفره‌های امنیت سایبری
۴۶
خرید تجهیزات شبکه
۴۵
شناسایی حملات امنیتی
۴۵
مشکلات امنیت سایبری
۴۵
دوره های امنیت شبکه
۴۵
دفاع در برابر مخاطرات امنیتی
۴۴
بهینه‌سازی امنیت سایبری
۴۴
دفع حملات امنیتی
۴۴
حمله هکری
۴۴
حفره‌ امنیتی
۴۴
حمله‌های سایبری
۴۴
الگوهای امنیتی
۴۴
قطع خدمات ناشی از حمله سایبری
۴۴
آزمون امنیتی
۴٣
سوء استفاده از اشکالات امنیتی
۴٣
اخبار فناوری اطلاعات
۴٣
تست امنیت
۴٣
شناسایی زمان حمله سایبری
تمامی حقوق برای شرکت مفتاح رایانه افزار (سهامی خاص) محفوظ میباشد.
کاربر مهمان
پشتیبان آنلاین
ثبت نام
ورود
ایمیل/موبایل:
رمز عبور:
قبلاً در سایت عضو نشده اید؟
رمز عبور خود را فراموش کردید؟

برای برقراری ارتباط با پشتیبان آنلاین و شروع گفتگو، فیلد «متن پیام...» را پر کرده و ارسال نمایید.

5 پیام جدید!
خانه خدمات مرکز دانش دوره های آموزشی سامانه پرسش و پاسخ فرهنگ واژگان تخصصی اخبار و مقالات چندرسانه‌ای ویدئو ها دانلود ها درباره ما همکاری با ما فرصت های شغلی تماس با ما ناحیه کاربری تیکت های پشتیبانی ایجاد تیکت تنظیمات کاربری
رسانه مفتاح
مرکز دانش