پشتیبانی

کاربرد استاندارد ISO 27001 در صنایع

مردم، اغلب استاندارد ISO 27001 را به‌عنوان استاندارد اختصاصی فناوری اطلاعات اشتباه می‌گیرند؛ استانداردی که فقط در صنعت خدمات شبکه فناوری اطلاعات قابل اعمال است. البته ایشان تا اندازه‌ای صحیح فکر می‌کنند. با فرض مزایای استاندارد ISO 27001 در کسب و کارها، بسیاری از شرکت‌های فناوری اطلاعات تلاش می‌کنند تا این استاندارد را دریافت نمایند.

با این وجود، آنچه که گفته شد فقط بخشی از حقیقت ماجراست. اغلب شرکت‌هایی که کاندیدهایی نه چندان مناسب برای استاندارد ISO 27001 به نظر می‌رسند نیز اقدام به پیاده‌سازی آن می‌نمایند؛ برای مثال، شرکت‌های دارویی، سازمان‌های بهداشت و درمان، ارگان‌های دولتی و غیره.

استاندارد ISO 27001 در واقع هدف حفاظت از اطلاعات و نه فناوری اطلاعات را دنبال می‌کند.
چرا بسیاری از شرکت‌های غیر فناوری اطلاعات به استاندارد ISO 27001 علاقه نشان داده‌اند؟ در بیشتر موارد، شرکت‌ها از قبل، کلیه فناوری‌های لازم مانند فایروال‌ها، آنتی‌ویروس‌ها، نسخه‌های پشتیبان و غیره را پیاده‌سازی کرده‌اند. با این وجود، آنها هنوز شاهد موارد نفوذ و سوء استفاده از داده‌های خویش هستند؛ زیرا این فناوری‌ها شرط کافی برای حل مسئله نیستند. از طرفی، کارمندان نمی‌دانند که چگونه باید از این فناوری‌ها به شیوه‌ای امن استفاده کنند. به‌علاوه، عملکرد فناوری نصب شبکه در ارتباط با جلوگیری از حملاتی که از داخل سازمان منشاء گرفته‌اند، بسیار محدود است. از اینرو، مسلما رویکردی دیگر باید مدنظر قرار گیرد.

در اینجاست که استاندارد ISO 27001 وارد عمل می‌گردد: این استاندارد راهکاری را به شرکت‌ها ارائه می‌کند که بر پایه آن کشف رویدادهای بالقوه (یعنی ریسک‌ها) و سپس، تعریف دستورالعمل‌هایی برای نحوه تغییر رفتار کارمندی با هدف پیشگیری از وقوع چنین رویدادهایی ممکن می‌گردد.

از این نقطه‌نظر، هر سازمانی که دارای اطلاعات حساس است و بدون توجه به این‌که یک نهاد انتفاعی یا غیر انتفاعی، کسب و کار کوچک یا شرکت بزرگ، دولتی یا خصوصی است، می‌تواند از مزایای پیاده‌سازی استاندارد ISO 27001 سود ببرد.

کدام صنایع معمولا این استاندارد را پیاده‌سازی می‌کنند؟
شرکت‌های فناوری اطلاعات
شرکت‌های توسعه نرم‌افزار، شرکت‌های ارائه‌کننده خدمات ابر و شرکت‌های پشتیبانی فناوری اطلاعات فقط تعدادی از شرکت‌هایی را تشکیل می‌دهند که استاندارد ISO 27001 را پیاده‌سازی می‌نمایند. در کل، این نهادها استاندارد ISO 27001 را با این هدف پیاده‌سازی می‌نمایند تا به مشتریان جدید اثبات نمایند که گواهینامه لازم را برای تضمین توانایی خود در حفاظت از اطلاعات ایشان به بهترین شیوه ممکن در اختیار دارند. برخی از شرکت‌های فناوری اطلاعات، استاندارد ISO 27001 را با هدف برآوردن الزامات امنیتی پشتیبانی شبکه مندرج قرارداد با مشتریان اصلی خویش یا توافقنامه‌های سطح خدمات (SLA) پیاده‌سازی می‌نمایند. در برخی موارد، شرکت‌هایی که نرخ رشد سریعی را تجربه کرده این استاندارد را به‌عنوان شیوه‌ای برای حل مسائل موجود در عملیات خویش پیاده‌سازی می‌کنند. زیرا بر پایه استاندارد ISO 27001، شرکت‌ها ملزم خواهند بود تا افراد مسئول، مسئولیت‌ها و اقداماتی که باید در فرآیندهای مهم اتخاذ گردند را تعریف نمایند؛ مسئله‌ای که اغلب در شرکت‌هایی که نرخ رشد بسیار سریع را تجربه کرده تعریف نشده باقی می‌ماند.

موسسات مالی
بانک‌ها، شرکت‌های بیمه، شرکت‌های کارگزاری و سایر موسسات مالی، عموما استاندارد ISO 27001 را با هدف رعایت قوانین و مقررات اجباری پیاده‌سازی می‌نمایند. مقررات حفاظت از داده‌ها، سخت‌گیرانه‌ترین الزام در صنعت امور مالی است و خوشبختانه قانون‌گذاران، این مقررات را اصولا بر اساس استاندارد ISO 27001 پایه‌ریزی کرده‌اند. به عبارت دیگر، استاندارد ISO 27001 متدولوژی کاملی برای رعایت و انطباق با قوانین و مقررات حاکم در صنعت است، که ارائه چنین پروژه‌ای را به مدیران اجرایی بسیار ساده‌تر می‌سازد.

«هزینه» دومین دلیل زیربنایی است که چرا سازمان‌های گوناگون استاندارد ISO 27001 را پیاده‌سازی می‌نمایند. در واقع، شرکت‌ها تلاش می‌نمایند تا از وقوع رویدادهای امنیت اطلاعات پیشگیری نمایند که البته بسیار ارزان‌تر از برطرف ساختن پیامدهای آنها خواهد بود. این رویکرد در صنعت پسیو شبکه امور مالی تبدیل به روندی رایج گردیده است. در صنعت امور مالی، مدیریت ریسک با پیشرفته‌ترین ابزار ممکن حرف اول می‌زند.

مخابرات و ارتباطات
شرکت‌های مخابرات و ارتباطات‌ (شامل ارائه‌دهندگان خدمات اینترنت) تمام تلاش خویش را می‌نمایند تا از حجم انبوه داده‌هایی که مدیریت کرده حفاظت نمایند و تعداد موارد قطع اتصال را کاهش دهند؛ از اینرو، طبیعتا آنها استاندارد ISO 27001 را به عنوان چارچوبی برای تسهیل برآوردن اهداف فوق پیاده‌سازی می‌نمایند. به‌علاوه همانطور که در ارتباط با موسسات مالی اشاره شد، هم اکنون صنعت مخابرات و ارتباطات، شاهد وضع قوانین و مقررات سخت‌گیرانه‌تر است و لذا پیاده‌سازی استاندارد ISO 27001 می‌تواند ابزاری سودمند در این راستا باشد.

ارگان‌های دولتی
ارگان‌های دولتی، اطلاعات و داده‌های بسیار حساسی را مدیریت می‌نمایند؛ برای مثال، این داده‌ها در برخی ارگان‌ها محرمانه تلقی می‌گردند. البته در کلیه ارگان‌ها، حفاظت و حفظ یکپارچگی و دسترس‌پذیری داده‌ها از اهمیت فوق‌العاده‌ای برخوردار هستند. این حقیقت که استاندارد ISO 27001 با هدف برآوردن سه مفهوم (مثلث معروف C-I-A) طراحی شده است، این استاندارد را تبدیل به متدولوژی کاملی برای کاهش تعداد رویدادهای امنیت اطلاعات به حداقل می‌سازد.

و درحالی‌که ISO 27001 به‌عنوان استاندارد بین‌المللی توسط ارگان‌های استانداردسازی در کشورها به رسمیت شناخته شده است، لذا این استاندارد چارچوبی کامل با تایید رسمی دولتی محسوب می‌گردد.

و هر سازمان دیگر با اطلاعات حساس...
تعداد سازمان‌هایی که می‌توانند از مزایای پیاده‌سازی استاندارد ISO 27001 سود ببرند، بیشمار هستند؛ برای مثال، سازمان‌های بهداشت و درمان که قصد دارند تا از اطلاعات بیماران خویش محافظت نمایند، شرکت‌های دارویی که می‌خواهند از اطلاعات میکروتیک بخش تحقیق و توسعه و همچنین، اطلاعات فرمول‌های دارویی خود حفاظت کنند، شرکت‌های مواد غذایی که تلاش می‌نمایند از دستورپخت‌های ویژه خود حفاظت نمایند، شرکت‌های تولیدی که می‌خواهند از دانش فنی تولید قطعات خویش محافظت کنند.
اساسا، هر شرکتی با اطلاعات حساس، استاندارد ISO 27001 را سودمند می‌دانند.
و در آخر ...
به جای این‌که استاندارد ISO 27001 یک پروژه فناوری اطلاعات محض تلقی گردد، این استاندارد را باید به‌عنوان ابزاری برای دست‌یافتن به مزایای تجاری فوق مدنظر قرار داد. در این صورت، شما خواهید دید که دامنه‌ پوشش آن وسیع‌تری از چیزی است که تاکنون تصور می‌شد و می‌تواند شما را به طرق گوناگون که تاکنون انتظار آنها را نداشتید یاری کند

تروجان بانکداری یک نوع بدافزار است که با هدف سرقت اطلاعات محرمانه مربوط به حساب‌های بانکی مورد استفاده قرار می‌گیرد. این نوع تروجان سال‌ها است که تبدیل به ابزار اصلی سارقین سایبری گردیده است. با این وجود، باج افزار که سهولت استفاده و موفقیت بالای آن تاکنون به اثبات رسیده تدریجا درحال از دست دادن محبوبیت خود است.

در یک حمله تروجان بانکداری، برای مثال سارق یک کمپین فیشینگ به راه می‌اندازد تا هدف را برای باز کردن ضمیمه خدمات شبکه حاوی بدافزار یا کلیک روی لینکی اغوا نماید، که ورود محتوای پنهان شده آن به رایانه قربانی را باعث گردد. زمانی‌که تروجان نصب شد، سارق می‌تواند از طریق آن به اطلاعات محرمانه بانکداری قربانی دست یابد و اقدام به برداشت از حساب بانکی وی نماید.

به گفته اندی فیت رئیس بخش بازاریابی محصول‌های مبارزه با تهدیدها در Check Point، اخیرا گرایش قابل‌ملاحظه‌ای به باج افزار به‌عنوان بدافزار انتخابی سارقین آنلاین مشاهده گردیده است.
به گفته وی در مصاحبه‌ای با TechNewsWorld، «ما در سه ماه گذشته شاهد گرایش قابل‌ملاحظه جامعه هکری به نصب باج افزار بر روی سیستم‌ها بودیم.»

TrickBot یک تروجان جدید بانکی است که به نظر می رسد جانشین Dyre که در اکتبر 2016 پدیدار شد می باشد. کد TrickBot تحت آزمون های های پیشرونده از آگوست 2016 بوده است و همچنان در حال بروزرسانی بوده و هم اکنون ، حمله های جعل و آلوده سازی ها. از نظر داخلی، TrickBot بیش از چیزی است که با چشم دیده می شود. در این پست پژوهشی خدمات شبکه ما به برخی از نکات قابل توجه در مورد قابلیت های این بدافزارها می پردازیم، شامل:
• یک روش غیر معمول انجام حملات مرد در مرورگر (MitB)
• مکانیسم باگ تزریق به وبِ TrickBot (web injection)
• مبهم سازی ظریف رابط کاربردی برنامه نویسی(API) توسط توسعه دهنده.
• اعتقاد ما در رابطه با ارتباط مشکوک TrickBot-Dyre
برای تجزیه و تحلیل، نمونه ای که ما مورد استفاده قرار دادیم به شرح زیر بود:
5e363a42d019fc6535850a2867548f5b968d68952e1cddd49240d1f426debb73
تکنیک غیر معمول مرد در مرورگر
امروزه اکثر خانواده های بدافزارهای مالی امروزی میتوانند کد مخرب را به جلسات مرورگری که در جریان است تزریق کنند. (به عنوان مثال حملات مرد در مرورگر و تزریق به وب) رایج ترین روش توسعه دهندگان بدافزارها در پیاده سازی تزریق، نصب کردن آنها را به صورت محلی در دستگاه قربانی است. این بدافزار یک فایل پیکربندی محلی برای تزریق نگه می دارد ،که تعیین می کند دقیقا چه زمانی و چگونه بدافزار محتویات صفحات وب بانک مورد هدف را تغییر دهد. روش پیشرفته تر و غیر معمول تر برای رسیدن به نتیجه مشابه "فچ" کردن دستورالعمل نصب شبکه تزریق از سرور مهاجم در زمان واقعی است. این روشی است که توسعه دهندگان TrickBot معمولا استفاده می کنند. این روش به عنوان تزریق سرورساید (serverside) نیز شناخته شده است.
بدین منظور و کاملا مانند دیگر تروجانهای بانکی پیشرفته، TrickBot یک موتور اتصال به مرورگر طراحی شده برای رهگیری ارتباطات به / از مرورگر اینترنت قربانی را بکار می گیرد. با ترفند فچینگ در زمان واقعی، عملا تزریق های کد های مخرب به صورت امن بر روی سرور مهاجم نگه داشته شده، نه در یک فایل بر روی نقطه پایانی قربانی. هنگامی که یک قربانی یکی از URL های مورد نظر TrickBot را در مرورگر باز میکند، اتفاقی که می افتد به شرح زیر است:
1. ماژول مالی TrickBot پاسخ HTTP اصلی را قبل از اینکه به قربانی ارائه شود قطع می کند.
2. TrickBot یک بسته HTTP چند بخشی به C2 خود می فرستد همراه با بخش های ذیل:
1- "sourcelink" URL کامل که موجب این حمله می شود
2- "sourcequery" عبارت جستجوی HTTP کامل مرورگر
3- "sourcehtml" HTMLاصلی همانگونه که توسط یک مرورگر غیر آلوده نمایش داده می شود.
3. C2 با محتوای کامل HTML که به مرورگر قربانی نمایش داده میشود پاسخ داده، از جمله بخش های تزریق شده.
4. در نهایت، ماژول مالی TrickBot جایگزین پاسخ اصلی ای که به طور معمول از بانک، همراه با پاسخ C2 به دست می آید شده، و صفحه تزریق شده در طرف قربانی نمایش داده میشود.
روش تزریق سرورساید دارای مزایای بیشتری از مکانیسم استاندارد پشتیبانی شبکه محلی استفاده شده توسط بسیاری از بدافزارهای مالی امروز می باشد. شایان ذکر است که این روش امکان ابهام و انعطاف پذیری بیشتری را می دهد. مولف این بدافزار می تواند کد تزریق را خارج از دید انظار نگه دارد تا زمانی که مورد نیازباشد. اجرا کننده می تواند تزریق وب را در حین اجرا روشن یا خاموش کند، به راحتی تزریق را تغییر دهد و سپس به روز رسانی را به برخی یا همه قربانیان آلوده بطور آنی تحمیل کند.

ما در نقطه ی جالبی از دوره شالوده ابری هستیم. دیتاسنتر های مدرن پسیو شبکه در حال تغییر از شکل فیزیکی به مجازی است، پشته های مدیریتی متعددی به لایه ی مجازی یا logical وارد می شوند. آیا تغییر دیگری در دیتاسنتر در حال وقوع است؟ آیا انواع جدید پلتفرم های کامپیوتری اجازه ی ایجاد مدل بازتری از دیتاسنتر را می دهند؟ اکنون شاهد تغییری در روش ارائه ی خدمات مراکز اطلاعاتی هستیم. یک نوع جدید commodity در حال راه یابی به ارائه دهنده گان ابر به مشتری و حتی مراکز اطلاعاتی ارائه دهنده ی سرویس است.

به مشتریان انتخاب های بیشتری در مورد آنچه استفاده می شود و روش کنترل آن داده می شود. با در نظر گرفتن تمام این مسائل، مهم است که بدانیم پلتفرم های سرور commodity در ساختار ابری شما چه تاثیری می گدارند.


سرورهای commodity و ابر Bare Metal

با این که بحث در این مورد اخیرا بیشتر شده است، جعبه ی سفید و commodity از چند ارائه دهنده ی خدمات شبکه مراکز اطلاعاتی یک حقیقت است. ما در یک مقاله ی اخیر در مورد DCK به سرور های Rackspace پرداختیم که مانند VM های ابری عمل می کنند. این ابزار که OnMetal نامیده می شود، سرورهای ابری ارائه می دهد که سیستم های تک کاربره و bare-metal هستند.

میتوانید از طریق OpenStack سرویس ها را در چند دقیقه تامین کرده و با سرورهای ابر مجازی دیگر ترکیب کنید و انتقال سرویس را با نیازهای شخصی تنظیم کنید . شما در اصل می توانید سرورهای خود را بر اساس حجم کار یا نیازهای کاربردی خاص خود طراحی کنید.

اهمیت دارد که به این امر توجه شود که Rackspace در این فضا تنها نیست. Internap و SoftLayer که اکنون یک شرکت IBM است سرورهای metal قدرتمندی ارائه می دهند. سرورها نیروی خامی را که شما برای حجم کار processor-intensive و disk IO-intensive خود نیاز دارید را برآورده میکند.

از انجا، شما می توانید سرور خود را از طریق یک پرتال یا API برای ویژگی های خاص خود تنظیم کنید و در زمان واقعی پشتیبانی شبکه بر روی هر دیتاسنتر SoftLayer بکاربرید. با در نظر گرفتن تمام این مسائل، میزان تنظیم bare metal که می توانید در ابر Softlayer داشته باشید بسیار چشمگیر است. ذخیره سازی، حافظه و uplinks شبکه، منابع نیرو، GPU ها و همچنین آرایه های ذخیره سازی توده ای را می توان تنظیم نمود. شما حتی میتوانید یک رک (rack) فیزیکی با تنظیمات شخصی داشته باشید.


پلتفرم های ابری بعنوان Commodity
فروشنده های سرور بزرگ حتما این پیام را شنیده اند. ارائه دهندگان ابر، مراکز اطلاعاتی و سرویس همگی به دنبال یافتن راههای بهتری برای کنترل عملکرد، قیمت و پلتفرم های رایانشی هستند. پس چرا وارد میدان نشویم و کمک نکنیم؟ اخیرا HP و Foxconn یک کار مشترک را برای ایجاد خط جدیدی از سرورهای بهینه سازی شده نصب شبکه را بویژه با هدف قرار دادن ارائه دهندگان سرویس آغاز کردند. بنا بر بیانیه ی مطبوعاتی، این خط تولید جدید بطور ویژه نیازهای رایانشی بزرگترین ارائه دهندگان سرویس جهان را از طریق ایجاد هزینه ی کل مالکیت (TCO)، مقیاس دهی و سرویس و پشتیبانی پایین برطرف می کند.

این خط پورتفولیوی سرور ProLiant موجود HP را که شامل Moonshot می شود تکمیل می کند. هدف این است که نرم افزار بهمراه نوآوری های صوتی و تصویری حذف شود و در عین حال پشتیبانی HP حفظ شود. از انجا، این سرورها سرویس دهندگان بزرگ را برای کمک به مبارزه با مشکلات مراکز اطلاعاتی موبایل، ابر و Big Data هدف قرار می دهند.

مساله ی جالب در مورد سرورهای HP Cloudline این است که آنها سیستم های رک-مقیاس (rack-scale)هستند که برای بزرگترین خدمات شبکه مراکز اطلاعاتی ابری بهینه سازی شده و بر اساس استاندارد های صنعت باز ساخته شده اند. فروشندگان در جامعه ی فروش نیز انتخاباتی را ایجاد می کنند. سلوشن های ذخیره سازی از X-IO Technologies برروی عملکرد کاملا خالص با ظرفیت 100% تمرکز دارند. آنها دسترسی و افزونگی بالا در خود دارند، اما امکان تصویرلحظه ای، dedup، replication, thin provisioning و چند ویژگی های ذخیره ای در سطح نرم افزار را ارائه نمی دهند. اما یک وارانتی پنج ساله بر روی دستگاه وجود دارد.

البته بازهم جاهایی وجود خواهند داشت که این کار امکان پذیر نخواهد بود. اما برای تعداد زیادی از سازمانها حرکت به سوی یک پلتفرم ذخیره سازی که بطور منطقی تر کنترل می شود بسیار جالب است. در بعضی موارد هایپروایزر یا لایه ی ذخیره سازی نرم افزاری تعریف شده میتواند ویژگی های ذخیره سازی سازمانی مثل رمزدهی، dedup را بصورت مستقیم از لایه ی کنترل مجازی ارائه دهد.

با وجود چشم انداز تهدیدات که بطور فزاینده ای پیچیده تر می شوند، اکثر سازمان ها (89%) تنها از سلوشن های امنیتی IT بسیار ساده استفاده می کنند.
این ادعا بر اساس گزارش خطرات IT 2017 نتریکس (Netwrix)، که به این نتیجه رسیده که 74% از سازمان ها اعتراف کرده اند که در برابر خطرات IT مصون نیستند، می باشد.
اکثر سازمان ها (89%) سلوشن های امنیتی IT را محدود می کنند، و تنها 13% از پاسخ دهندگان خدمات شبکه از از سلوشن های پیشرفته تر برای مدیریت خطر و اداره امنیت اطلاعات استفاده می کنند. تنها 58% از پاسخ دهندگان کنترل فناوری اطلاعات فعلی خود (و یا عدم آنها) را برای نیازهای خاص سازمان خود کافی میبینند.
موانع اصلی برای اصلاح این موضوع، کمبود بودجه (57٪) و کمبود وقت (54٪) می باشد- در حقیقت، 65% از سازمان ها پرسنل اختصاص داده شده برای امنیت سایبری ندارند. انطباق نیز به همین وضع است – 56% از سازمان های تحت انطباق این وظیفه را به تیم های عملیاتی IT محول می کنند. با وجود اینکه 65 درصد از پاسخ دهندگان به داشتن حوادث امنیتی در سال 2016 اقرار کرده اند، اما این مشکل همچنان پای برجاست. شایع ترین دلایل ذکر شده خطاهای نرم افزارهای مخرب و انسانی بود. همچنین، 66% از سازمان ها، کارکنان را بعنوان بزرگترین تهدید برای دسترس بودن و امنیت سیستم می دانند، اما تنها 36% از سازمان ها ادعا می کنند که بطور کامل از اعمال کارکنان آگاهی دارند.

شركت خدمات شبكه