طراحی چارچوب معماری امنیت‌سایبری

1212

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

به منظور داشتن راه حل جامع در مورد امنیت سایبری و نگاه استراتژیک به امنیت نیاز هست که پس از تبیین استراتژی و چشم انداز امنیتی سازمان به طراحی معماری امنیت در بطن معماری سازمان بپردازیم.

یک سازمان یا معماری فناوری اطلاعات دارد که راهکار معماری پیشنهادی از جنس Security in Architecture  یا «استفاده از کنترل‌های مختلف امنیتی در لایه‌های مختلف معماری» خواهد بود. یا معماری فناوری اطلاعات در سازمان وجود نداشته و در طول اجرای پروژه معماری مناسب امنیتی نیز طراحی می‌گردد (Security Architecture).

SABSA، چارچوب امنیتی مبتنی بر کسب و کار بوده که بر مبنای مخاطرات و فرصت‌های متناظر آن بنا شده است. SABSA، هیچ کنترل ارائه نکرده و به کنترل‌های چارچوب‌های دیگر، از جمله  C2M2 یا COBIT وابسته است.

چارچوب COBIT، مجموعه ابزار و فرآیندهای است که شکاف بین مسائل فنی، ریسک کسب و کار و نیاز فرایندها را برطرف می‎کند. COBIT فناوری ‌اطلاعات و کسب و کار را با هم هماهنگ کرده و لایه‌ای از موارد حاکمیتی را حاکم می‌کند.

برای مثال با ترکیب چارچوب SABSA با اصول، Enablerها و فرایندهای COBIT، می‌توان در هر لایه از معماری یک ساختار از بالا به پایین طراحی نمود. به عنوان مثال در طراحی لایه‌‌ی شبکه می‌توان ساختاری مطابق با شکل زیر طراحی نمود که یک نگاه از بالاترین لایه (لایه متن محور) به پایین‌ترین لایه (لایه اجزاء) به حساب می‌آید.

charchob amniat

نمونه‌ای از بکارگیری COBIT در لایه معماری امنیت شبکه

همچنین از چارچوب TOGAF می‌توان جهت تعریف اهداف و دورنمای معماری، تکمیل تحلیل شکاف و ارزیابی فرایند استفاده نمود. در پایان با استفاده از کنترل‌های ارزیابی و شاخص‌های کلیدی بهره‌وری (KPI) می‌توان به ارزیابی بلوغ معماری در طول زمان پرداخت.

در فاز ابتدایی به ارزیابی وضعیت فعلی بلوغ امنیت با استفاده از مدل بلوغ امنیت‌سایبری خواهیم پرداخت. پس از مشخص نمودن سطح بلوغ مورد نظر و تعیین شکاف بین وضعیت فعلی و وضعیت مطلوب، نقشه راه رسیدن به وضعیت مطلوب ترسیم می‌گردد.

مبنای کار طراحی معماری امنیت‌سایبری یا معماری تضمین امنیت مبتنی بر تحلیل مخاطرات است و این مفهوم در تعریف ارائه شده از تضمین اطلاعات در متن حاضر دیده شده است.

معماری امنیتی شبکه های کامپیوتری و مخابراتی

معماری امنیتی شبکه های کامپیوتری و مخابراتی یا به تعبیر دیگر رعایت امنیت در معماری شبکه های کامپیوتری و مخابراتی بخش پایه‌ای و اولیه در معماری جامع امنیت‌سایبری است. از نظر تاریخ تتور معماری امنیت نیز می‌توان این نگاه را شروع معماری امنیت در سازمان‌ها دانست.

در زمینه معماری امنیت شبکه‌های کامپیوتری مدل‌هایی توسط صاحبنظران این حوزه مانند SANS و CISCO ارائه شده است نیز اصولی بیان شده که احتمال می‌رود در برخی از پروژه‌های امن‌سازی همراه اول به آن توجه شده باشد.

اما معماری امنیت بخش مخابراتی شبکه همراه اول نیاز به توجه بیشتر و بازنگری جهت اطمینان از توجه کافی و جامع دارد. پیشنهاد شرکت فراکنش در این مورد، بازبینی امنیتی معماری امنیتی اجزای PS-Core، CS-Core، VAS، … نسل‌های شبکه‌های تلفن همراه با رویکرد تضمین اطلاعات است. 

امنیت در لایه پلتفرم

منظور از امنیت پلتفرم، امنیت سیستم‌عامل، پایگاه داده و زیرساخت نرم‌افزاری که روی بستر شبکه قرار می‌گیرد، است.

در این حوزه در قالب پروژه‌های امن‌سازی، در اداره کل ایمنی شبکه همراه اول فعالیت‌های خوبی صورت گرفته است. بنابراین این لایه از قلمروی این پیشنهاد خارج فرض شده است.

امنیت در پردازش ابری

 با گسترش مجازی‌سازی و پردازش ابری ، اهمیت این لایه روز به روز بیشتر حس می‌شود. یک نمونه از معماری مبنا برای پردازش ابری توسط NIST پیشنهاد شده است. در این پیشنهاد فرض بر این است که امنیت مجازی‌سازی و پردازش ابری در سایر پروژه‌های امن‌سازی اداره کل ایمنی مورد توجه قرار گرفته است و از قلمروی این پیشنهاد خارج است.

 معماری امنیتی نرم‌افزار و پروژه‌های خدماتی

در این سطح به دنبال اعمال امنیت در کل فرایند تولید نرم‌افزارها و انجام پروژه‌های خدماتی در همراه اول هستیم. بخشی از راهکارهای پیشنهادی این مرحله برای محصولات نرم‌افزاری تولید شده توسط سایر تامین کننده‌ها نیز قابل اعمال است.

امنیت در لایه کاربرد یا معماری تضمین کننده امنیت نرم‌افزارهای کاربردی اعم از ارزیابی‌های امنیتی و آزمون‌های نفوذ است. در این لایه، امنیت در چرخه توسعه نرم‌افزار (SDL) باید لحاظ شود. باید تولید محصولات نرم‌افرازی اعم از اینکه به سفارش همراه اول انجام می‌شود یا از یک تامین کننده خریداری می‌شود مبتنی بر  یک معماری امنیتی امن باشد.

چرخه توسعه امن‌ محصولات و خدمات، امنیت در مراحل 7گانه زیر باید لحاظ شود:

11

  • آموزش‌های امنیتی پیش‌نیاز تولید
  • امنیت در تحلیل نیازمندی
  • امنیت در طراحی
  • امنیت در پیاده‌سازی
  • امنیت در تست و ارزیابی
  • امنیت در استقرار سامانه
  • امنیت در پشتیبانی سامانه

در مواردی که یک سامانه نرم‌افزاری از یک تامین کننده خریداری می‌شود، لحاظ بخشی از الزامات چرخه توسعه امن نرم‌افزار توصیه اکید می‌شود.

به منظور دست‌یابی به امنیت در لایه کاربرد، نیز در برخی پروژه‌های امن‌سازی اداره کل ایمنی شبکه فعالیت‌هایی انجام شده است ولی رویکرد آن‌ها از نوع آزمون نفوذ بوده که هدف این بخش را بصورت کامل تامین نمی‌کند.

معماری امنیت در فرایند انجام پروژه‌های خدماتی که مبتنی بر متدولوژی آبشاری یا چابک هستند نیز باید لحاظ گردد.

پیشنهاد شرکت فراکنش برای تضمین اطلاعات در این سطح، تدوین فرایند و الزامات راه‌اندازی توسعه امن نرم‌افزار و اجرای امن پروژه‌ها در همراه اول است.

 معماری امنیتی سرویس‌های پایه و ارزش افزوده

در سطحی بالاتر در امنیت نیاز به اطمینان از امنیت سرویس‌های مختلف در همراه اول وجود دارد. امن‌سازی برنامه‌های کاربردی شرط لازم و نه کافی برای امنیت سرویس‌های پایه و ارزش افزوده در همراه اول محسوب می‌شود. در بسیاری از سرویس‌ها لازمه امنیت نگاه انتها تا انتها (end-to-end) است. نکته مهم در این نگاه امنیتی که مبتنی بر رویکرد تضمین اطلاعات است، توجه به کارکرد و جایگاه هر سرویس در کسب و کار همراه اول است.

یکی از خدمات دانش‌بنیان شرکت فراکنش، ارزیابی امنیتی شبکه و سرویس‌های تلفن همراه است که شامل یک متدولوژی دانش بنیان تحلیل مخاطراتی است که طی سال‌ها فعالیت در امن‌سازی شبکه‌های مخابراتی تدوین و ایجاد شده است. در این متدولوژی تحلیل مخاطرات با رویکرد تضمین اطلاعات بوده، می‌توان سرویس‌های مختلف همراه اول را ارزیابی و امن‌سازی نمود.

انجام تحلیل مخاطرات امنیت‌سایبری با رویکرد تضمین اطلاعات بر روی سرویس‌های پایه و ارزش افزوده اصلی همراه اول پیشنهاد می‌شود.

معماری تضمین حریم خصوصی

با گسترش خدمات ارزش افزوده در همراه اول و نیز حرکت به سمت نسل پنجم شبکه تلفن همراه، تهدیدات نسبت به اطلاعات محرمانه و خصوصی مشترکین بیشتر می‌شود.  همچنین با توجه به تاکید مسئولین عالی‌رتبه کشور و نیز حساسیت بیشتر مردم به این موضوع، اهمیت حریم خصوصی مشترکین و کاربران سرویس‌های همراه اول اهمیت بیشتری پیدا می‌کند.

در معماری تضمین حفظ حریم خصوصی مشترکین همراه اول، به تدوین رویکرد، خط‌مشی، الزامات، روش‌های حفظ حریم خصوصی در مورد انواع داده‌ها و اطلاعات مشترکین در همراه اول پرداخته می‌شود.

بدین منظور شناسایی، ارزیابی، مدیریت مخاطرات حریم خصوصی در همراه اول صورت‌ می‌پذیرد.

همچنین مجموعه‌ای از دستورالعمل‌ها، ابزارها و تکنیک‌های مناسب انواع سطوح حفظ حریم خصوصی جهت anonymization و  pseudonymization برای واحدهای مختلف همراه اول ایجاد می‌شود.

 معماری حاکمیت امنیت

حاکمیت امنیت به دنبال انجام کار صحیح امنیتی است درحالیکه مدیریت امنیت به دنبال انجام صحیح فعالیت‌های امنیتی است. حاکمیت امنیت‌سایبری به عنوان مبنای کلیه فعالیت‌های معماری امنیت‌سایبری محسوب می‌شود که جهت‌گیری انجام فعالیت‌های امنیتی و چارچوبی برای کلیه طراحی‌ها و پیاده‌سازی‌های امنیتی است. بدون حاکمیت امنیت‌سایبری، احتمال پراکندگی فعالیت‌ها و پروژه‌های امنیتی وجود داشته، ممکن است در راستای نیازهای اصلی کسب و کار همراه اول نباشد.

در جدول زیر برخی تفاوت‌های حاکمیت امنیت‌سایبری و مدیریت امنیت آمده است.

111

یک مقایسه حاکمیت امنیت‌سایبری و مدیریت امنیت

حاکمیت امنیت‌سایبری در همراه اول در پروژه ارزیابی و پایش بلوغ امنیت‌سایبری، با رویکرد بلوغ سایبری آغاز شده است. پیشنهاد اولیه شرکت فراکنش، تدوین معماری تضمین امنیت همراه اول بر اساس چارچوب حاکمیت امنیت‌سایبری مبتنی بر بلوغ است.

این فعالیت با می‌تواند با مشاوره و نظارت بر پیاده‌سازی کنترل‌های اولویت‌بندی شده جهت تضمین اطلاعات مبتنی بر نتایج مدل بلوغ C2M2 و همچنین بکارگیری COBIT انجام شود.

دامنه‌هایی از بلوغ امنیت که در آن نیاز به ارتقاء امنیت‌سایبری وجود دارد عبارتند از:

  • مدیریت مخاطرات امنیت‌سایبری
  • مدیریت دارایی، تغییرات و پیکربندی
  • مدیریت تهدیدات و آسیب‌پذیری‌های امنیتی
  • مدیریت هویت و کنترل دسترسی
  • مدیریت رخدادهای امنیت‌سایبری و تداوم عملیات
  • آگاهی از وضعیت
  • مدیریت زنجیره تامین
  • مدیریت منابع انسانی
  • مدیریت برنامه امنیت‌سایبری

UEBA چیست؟

ueba

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

UEBA چیست؟

UEBA، روشی است که رفتارهای معمول و غیر معمول انسان‌ها و تجهیزات را در داخل یک شبکه مدلسازی و شناسایی می‌کند. UEBAها دسته جدیدی از راه‌حل‌های امنیتی هستند که از فناوری‌های تجزیه و تحلیل نوآورانه ، از جمله یادگیری ماشین و یادگیری عمیق، برای کشف رفتارهای غیر عادی و مخاطره آمیز توسط کاربران ، ماشین‌ها و اشیاء در شبکه استفاده می‌کنند.

در UEBA ، رویدادهای امنیتی و تجهیزات به روش‌هاس سنتی ردیابی و رصد نمی‌شوند. در عوض کاربران و موجودیت‌های یک سامانه ردیابی می‌شود. همچنین سامانه‌های UEBA درکشف حملات ناشناخته کاربرد دارد. ممکن است نام کاربری و رمز ورود کارمندی سرقت شود، اما تقلید از رفتار عادی شخص در داخل شبکه تقریبا غیر ممکن است.

روش کار

  • جمع آوری اطلاعات از چندین منبع:

یکی از نقاط قوت سامانه‌های UEBA توانایی آن در عبور از مرزهای سازمانی، سیستم های IT، منابع داده و تجزیه و تحلیل تمام داده‌های موجود برای یک کاربر یا موجودیت خاص است.

برای مثال:

  • Active Directory
  • سیستم‌های دسترسی مانند VPN و پروکسی‌ها
  • سیستم‌های ضد بدافزار و آنتی ویروس‌ها، فایروال‌ها‌، سیستم‌های تشخیص و پیشگیری از نفوذ (IDPS)
  • داده‌های منابع انسانی

 

  • الگوی رفتاری

هکری که رمز عبور و نام کاربری شخصی را سرقت کرده است، نمی‌تواند دقیقاً مانند آن شخص در سیستم رفتار کند، مگر اینکه تحقیقات و تمرینات گسترده‌ای انجام داده باشد. بنابراین، هنگامی که با نام کاربری آن شخص به سیستم وارد می‌شود، و رفتار هکر متفاوت از رفتار معمول آن کاربر است، و این زمانی است که هشدارهای سامانه ناهنجاری شروع می‌شود.

  • در نظر گرفتن عدد ریسک برای هر فعالیت

به میزانی که، در مثال سرقت اکانت کاربر، انحراف از الگوی رفتاری ثبت شده کاربر وجود داشته باشد، سامانه پنترا به عدد ریسک آن کاربر یا ماشین می‌افزاید. هرچه این رفتار غیرمعمول تر باشد، میزان ریسک بالاتر خواهد بود

کاربردهای سامانه‌های تحلیل رفتاری

 شناسایی تهدیدات داخلی

 شناسایی حساب‌های به خطر افتاده

کشف حملات brute-force

 تشخیص تغییرات در مجوزها و ایجاد کاربران ارشد

 تشخیص نقض در داده‌های محافظت شده

 تشخیص حملات Zero-Day

 تشخیص حملات Fileless

 تشخیص حملات Data Exfiltration

 تشخیص تقلب و سو استفاده‌های مخابراتی

موارد فوق‌الذکر تنها بخشی از کاربردها و ویژگی‌های استفاده از سامانه‌های UEBA است. بر طبق گزارش گارتنر در سال ۲۰۱۵ “طی سه سال آینده ، سکو های کارآمد UEBA به سامانه‌های محبوبی برای عملیات امنیتی و کشف حملات تبدیل خواهد شد. کشف وقایع امنیتی و تجزیه و تحلیل حملات حتی در حال حاضر نیز با سامانه‌های UEBA، بسیار آسان تر از آنچه در بسیاری از سیستم های نظارت امنیتی فعلی وجود دارد، خواهد بود.

تفاوت UEBA و SIEM

سامانه‌های مدیریت رویداد و اطلاعات امنیتی یا SIEM، مجموعه‌ای پیچیده از ابزارها و فناوری‌هایی است که نمایی کلی از امنیت سیستم فناوری اطلاعات را نمایش می‌دهد. این سامانه با استفاده از داده‌ها و اطلاعات رویدادها ، به سازمان امکان می‌دهد الگوها و روندهای طبیعی را مشاهده کرده و در صورت وجود روندها و رویدادهای غیرطبیعی به شما هشدار می‌دهد. جالب اینجاست که UEBA نیز همان کار را انجام می‌دهد، با این تفاوت که از اطلاعات رفتار کاربر (و موجودیت‌ها) برای تشخیص موارد نرمال و غیر نرمال استفاده می‌کند.

نکته اصلی آن است که SIEM مبتنی بر قوانین بوده و هکرهای پیشرفته به راحتی می‌توانند از این قوانین سوء استفاده کنند و یا آنها را دور بزنند. علاوه بر این، قوانین SIEM برای تشخیص بلافاصله تهدیدهای رخ داده در زمان واقعی طراحی شده است، در حالی که حملات پیشرفته معمولاً در طی چند ماه یا چند سال انجام می‌شوند. ولی، UEBA مبتنی بر قوانین شامل امضای حمله نیست. در عوض، از تکنیک‌های محاسبه میزان ریسک و الگوریتم‌های پیشرفته، جهت تشخیص ناهنجاری‌ها در طول زمان  استفاده می‌کند.

یکی از بهترین روش‌ها برای امنیت IT استفاده همزمان از SIEM و UEBA برای داشتن امنیت بیشتر و توانایی تشخیص بهتر ناهنجاری‌ها است.

سکوی تحلیل رفتاری پنترا (Panthera)

با تعاریف ارائه شده سکوی تحلیل رفتاری «پنترا»ی شرکت فراکنش یک UEBA به حساب می‌آید. نکته‌ی حائز اهمیت در سامانه‌های مبتنی بر رفتار آن است که، با توجه به آنکه تشخیص رفتار نرمال و غیر نرمال وابستگی شدیدی به کسب و کار هر سازمان دارد. رفتار کاربران، سامانه‌ها و اشیاء‌ را نمی‌توان مستقل از ماهیت کاری سازمان در نظر گرفت. به عبارتی رفتار نرمال در حوزه مخابرات با رفتار نرمال در حوزه بانکی متفاوت است. در واقع تکنیک‌های تحلیل رفتار تکنیک‌های داده محور هستند که برای تجزیه و تحلیل آن‌ها نیازمند تولید مدل رفتاری هستیم.

اهداف پشت طراحی سکوی پنترا عبارتند از:

  1. فراهم سازی بینش عمیق از الگوهای رفتاری کاربران و سامانه‌های موجود در شبکه‌، بخصوص با رویکرد تحلیل امنیتی
  2. کمک به ارتقاء دقت تشخیص ناهنجاری در حوزه‌هایی که سامانه‌های امنیتی مبتنی بر قاعده موجود بدان‌ها کمتر پرداخته اند
  3. هدفگیری حوزه‌های تحلیلی غیرقابل دسترسی توسط سامانه‌های تحلیل امنیتی مبتنی بر قاعده
  4. بهره گیری از روش‌های نوین هوش مصنوعی در تحلیل امنیتی داده‌ها و تشخیص حملات
  5. ایجاد زیرساخت تجمیع و تحلیل داده‌های باارزش امنیتی در شبکه‌

تولید مدل رفتاری بر اساس نیازمندی هر سازمان و هر سامانه و با توجه به جنس داده‌ها، ساختار کسب و کار و جنس کاربران، توسط تیم‌های شرکت فراکنش متشکل از متخصصان علم داده، مهندسان داده، متخصصین حوزه کاری و کسب و کار و کارشناسان امنیت، یکبار تولید شده و پس از آن مورد استفاده قرار می‌گیرد.

معماری امنیتی (Security Architecture)

security architecture

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

تاریخچه

اولین معماری سازمانی سیستم‌های در اواسط دهه‌ی ۸۰ میلادی با نام چارچوب زکمن (Zachman) توسط جان زکمن در شرکت IBM معرفی گردید. این معماری پایه بسیاری از معماری‌های سازمانی پس از خود قرار گرفت. بر طبق آماری موسسه ISO امروزه بیش از ۶۷ چارچوب مختلف وجود دارد که از معروف‌ترین آن‌ها که به امنیت اطلاعات مرتبط است می‌توان به TOGAF (The OPEN group Architecture Forum و SABSA (Sherwood Applied Business Security Architecture اشاره نمود.  TOGAF که در اوائل دهه ۹۰ میلادی معرفی گردید، یکی از کاربردی‌ ترین چارچوب‌های سازمانی بوده که از یک دید مفهومی سطح بالا شروع کرده و تا لایه‌های پایین فنی ورود می‌کند. مشکل معماری TOGAF این است که پیش از مفهوم معماری امنیتی ایجاد شده و با هدف و رویکرد امنیت تعریف نشده است.

بدین منظور در سال 2007 چارچوب SABSA با بهره گیری از مولفه‌های دو چارچوب TOGAF و Zachman به عنوان یک چارچوب خاص امنیت معرفی ‌گردید.

1

چارچوب معماری امنیت (Security Architecture Framework)

برای درک صحیح مفهوم معماری امنیت‌سایبری باید اول مفهوم معماری را به درستی درک شود. در نگاه اول معماری و امنیت دو مفهوم متضاد به حساب می‌آیند. ماهیت امنیت به معنای ایجاد مانع نفوذ و حمله به سامانه‌ها است، درحالی که معماری به معنای رفع موانع و ترکیب سامانه‌ها جهت دست‌یابی به کارایی بالاتر به حساب می‌آید. طی فرایند شناخت امنیت‌سایبری و معماری است که به ضرورت داشتن یک معماری جامع امنیت‌سایبری و یا به عبارتی معماری امن سازمانی پی برده می‌شود.

مبانی هر معماری موفق

  • ادبیات مشترک

تمامی افراد ذینفع بایستی از یک ادبیات مشترک برای بیان خواسته‌ها استفاده کنند. برخی اوقات یک لغت برای افراد مختلف معانی مختلفی دارد و یا حتی یک لغت برای یک فرد خاص در شرایط مختلف دارای معانی مختلفی خواهد بود

  • استانداردها

به ندرت یک استندارد نیازمندی‌های سازمان را پوشش می‌دهد. ولی مبنای آنست که بدانیم از کجا شروع کرده و نیاز خودرا پیش ببریم

  • ابزار

منابع موجود: نیروی انسانی، نیروی متخصص، زمان، بودجه و …

  • روش
    • چارچوب‌های و فرایندهای پیاده سازی امنیت اطلاعات
  • انگیزه
    • انگیزه اصلی معماری تضمین اطلاعات، پیدا کردن مخاطرات کسب و کار و رفع آن‌ها است
  • ماموریت

مهم نیست از چه ابزار، چارچوب، الگو و … استفاده می‌نمایید. نکته مهم این است که معماری پیروی از قالب‌ها و الگو‌ها نیست، به نحوی که با خواندن کتاب و عمل کردن گام به گام به دستورات به یک معماری مناسب برسیم. بلکه معماری هنر به کارگیری اصول علمی جهت کمک به معمار جهت پیاده سازی متدولوژی است.

طراحی چارچوب معماری امنیت

  • اغلب معماری‌ها یا مانند TOGAF جامع هستند و بعد خاصیت امنیت به آن‌ها اضافه شده
  • یا مانند SABSA امنیتی هستند و جامعیت کافی و نگاه سازمانی را ندارند
  • الزام سازمان به یک معماری امنیتی در سازمان‌هایی که ، امنیت کسب و کار اصلی سازمان امنیت نیست، قابل اجرا نیست
  • چارچوب مشخص معماری امنیتی سازمانی که معمولا شرکت فراکنش در این ارائه می‌دهد، طراحی معماری جامع سازمان با در نظر گرفتن مباحث امنیتی در بطن فاز طراحی این معماری است.

23