تشخيص وقوع يك حادثه امنيتی New Page 1



ساير




 

 

 

SAKHA RAVESH CO.

 ا مروز

 پنجشنبه  4  خرداد  1396  2017  May  25   Thursday ToDay
صفحه اصلی  مقالات نکته هادايره المعارف خودآموزها | تازه ها خود آزمون ها  

  نسخه قابل چاپ

 عنوان

 نويسنده

  مشاهده

 پاسخ به حوادث امنيتی‌ : تشخيص

 مديريت آموزش

5580

با توجه به جایگاه داده در عصر حاضر و  لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر  روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و  خدمات خود  را از طریق  سایت www.fabak.ir  به مخاطبان محترم عرضه می نماید

 

پاسخ به حوادث امنيتی‌ : تشخيص

پاسخ به حوادث امنيتی‌ : تشخيص
در صورت بروز يك مشكل و يا حادثه امنيتی در زير ساخت فناوری اطلاعات و ارتباطات سازمان خود چگونه از اين موضوع آگاه می گرديد ؟ به عبارت ديگر، وجود چه علائم و يا نشانه هائی می تواند بيانگر وقوع يك حادثه امنيتی باشد .
تشخيص بروز يك مشكل و يا حادثه امنيتی يكی از مهمترين عناصر در فرآيند پاسخ به حوادث امنيتی است چراكه قبل از ايجاد يك فاجعه اطلاعاتی می بايست در زمان مناسب و با استناد به علائم و شواهد موجود آن را تشخيص و در ادامه بطور منطقی و سيستماتيك با آن برخورد نمود .
وجود علائم و يا نشانه های زير در زيرساخت فناوری اطلاعات يك سازمان می تواند نشاندهنده وقوع يك مشكل و يا حادثه امنيتی باشد .

  • ترافيك غيرمعمول شبكه : ارتباط غيرمعمول با  پورت های  TCP  و UDP به منظور بررسی‌ وضعيت  آنها (فعال بودن و يا غيرفعال بودن )،  يكی از اولين نشانه های بروز يك حادثه امنيتی است. پويش مستمر پورت ها به منظور آگاهی از آخرين وضعيت آنها می تواند به عنوان اولين علائم بروز يك حادثه امنيتی در يك شبكه باشد . بدين منظور لازم است كه فايل های لاگ دستگاه های شبكه ای و غيرشبكه ای موجود در زيرساخت فناوری اطلاعات و ارتباطات نظير روتر ، فايروال و IDS ( برگرفته از  intrusion-detection system ) در فواصل زمانی مشخص بدقت بررسی گردد . همچنين ‌لازم است فايل های لاگ بطور مستمر مانيتور شود تا بتوان در زمان مناسب هرگونه تغيير در عملكرد شبكه را تشخيص داد .

  • وجود رويدادهائی خاص در فايل لاگ سيستم : پاك كردن و يا تغيير لاگ های رويدادهای سيستم  يكی ‌از روش هائی است كه مهاجمان با استفاده از آن سعی می نمايند فعاليت های غيرمجاز خود را مخفی نگاه دارند. بنابراين لازم است كه لاگ های سيستم بر روی سرويس دهندگان بطور مرتب بررسی گردد . تلاش برای پاك كردن لاگ رويدادهای امنيت ، يك رويداد با شماره 517 را ايجاد می نمايد . وجود اين رويداد و ضعف در لاگ ساير رويدادها می تواند بيانگر اين موضوع باشد كه يك تهاجم موفقيت آميز انجام شده است و شواهد و علائم چنين حملاتی دستكاری شده است . 

  • عدم امكان دستيابی به منابع شبكه : يكی ديگر از علائم بروز يك تهاجم ، عدم امكان دستيابی به منابع شبكه بطور ناگهانی است  .راه اندازی ناگهانی سيستم ،‌ توقف ناگهانی يك برنامه در حال اجراء‌ و تغيير در سرويس دهنده DNS جملگی می توانند باعث عدم امكان دستيابی كاربران به منابع موجود بر روی يك سرويس دهنده گردند . تمام و يا برخی از حوادث فوق می تواند بيانگر يك تهاجم باشد . 

  • استفاده بيش از حد از پردازنده ( CPU ) : استفاده بيش از اندازه طبيعی از پردازنده و يا پهنای‌ باند شبكه می تواند بيانگر انجام پردازش های مشكوكی در سيستم باشد كه زمينه بروز يك تهاجم را فراهم می نمايد . اين موضوع كاملا" طبيعی است كه درصد استفاده از پردازنده سيستم در برخی موارد به صددرصد برسد و يا ترافيك سنگينی بر روی شبكه وجود داشته باشد ( مثلا" در زمانی كه يك فايل با ظرفيت بالا بر روی شبكه مبادله می گردد ) .استمرار اين وضعيت بدون هيچگونه دليل منطقی می تواند قابل تامل باشد . در مواردی كه متوسط زمان استفاده از پردازنده بدون هيچگونه دليلی افزايش يابد و يا حجم مبادله داده در شبكه بدون هيچگونه توجيه منطقی افزايش يابد ، ممكن است حملات خاصی در راه باشد . با اين كه اكثر پردازه ها بر روی سيستمی كه ويندوز بر روی آنها نصب شده است از طريق بخش Task manager قابل مشاهده است ولی يك مهاجم می تواند با استفاده از ترفندهائی خاص پردازه هائی را اجراء نمايد كه از چشم Task manager مخفی نگاه داشته شوند .

  • عملكرد نامنظم سرويس ها : كنكاش و تغيير در سرويس های سيستم از ديگر علائم بروز يك تهاجم می باشد . توقف غيرمعمول سرويس هائی كه می بايست اجراء شوند ،‌ايجاد سرويس های جديد و حذف سرويس های سيستم ، جملگی می تواند علائمی مبنی بر تهاجم و تغيير سرويس ها توسط مهاجمان باشد .  مانيتورينگ سرويس های در حال اجراء و حساسيت بر روی سرويس های اساسی سيستم از جمله اقدامات ضروری در اين رابطه است .

  • دستيابی نامنظم به سيستم فايل : حدف فايل ها و يا فولدرها ،  كاهش محسوس و دور از انتظار فضای آزاد محيط ذخيره سازی و تغيير تاريخ فايل های سيستم می تواند نشاندهنده بروز يك تهاجم در سطح سيستم فايل باشد . مهاجمان اغلب فايل های اجرائی سالم را با نسخه های از همان برنامه كه حاوی تروجان است جايگزين می نمايند . اين نوع برنامه های آلوده به تروجان يك لايه حفاظتی و امنيتی مناسب برای مهاجمان را ايجاد می نمايند تا بتوانند با خيال آسوده به اهداف خود نائل گردند . 

  • تغيير مجوزها : تغيير مجوز كاربران ، گروه ها و سياست های امنيتی نيز می تواند علائم و يا نشانه های بروز يك تهاجم باشد . اعطای مجوز به يك كاربر خارج از سيستم كنترلی و مديريت سيستم و يا اضافه شدن يك account جديد به يك گروه با مجوز هائی‌ خاص ،  جملگی می تواند علائم اوليه بروز يك تهاجم باشد. مهاجمان در اين نوع از حملات سعی می نمايند به منابعی دستيابی پيدا نمايند كه قبل از آن اين امكان و يا مجوز در اختيار آنان گذاشته نمی گرديد . كرم Nimda و نحوه عملكرد آن يك نمونه در اين زمينه است . كرم فوق با اضافه كردن Guest account به گروه Administrator توانست بستر مناسب برای حملات را فراهم نمايد.رويدادهای شماره 608 تا 612 و 624 تا 643  بيانگر انجام اينگونه تغييرات در اكتيو دايركتوری است .



جستجو

مقالات                 
دايره المعارف       
دوره های آموزشی


 

 

مشاهده گروه ها



              

 

 تهيه شده در شرکت سخا روش -  1382