مقاوم سازی امنیت سیستم
مقاوم سازی سیستم فرآیند ایمن سازی سرور یا سیستم کامپیوتری با به حداقل رساندن سطح حمله یا سطح آسیب پذیری آن و بردارهای حمله احتمالی است. این نوعی محافظت در برابر حملات سایبری است که شامل بستن حفره های سیستمی است که مهاجمان سایبری اغلب برای سوء استفاده از سیستم و دسترسی به داده های حساس کاربران استفاده می کنند.
طبق گفته موسسه ملی استاندارد و فناوری(NIST) یکی از تعریف های رسمی سخت شدن سیستم این است که “فرآیندی است که هدف آن از بین بردن ابزارهای حمله با اصلاح آسیب پذیری ها و خاموش کردن سرویس های غیر ضروری است.”
مقاوم سازی سیستم روشی برای محافظت از یک سیستم در برابر حملاتی است که توسط مجرمان سایبری انجام می شود. این شامل ایمن سازی نرم افزار یک سیستم کامپیوتری به طور عمده و همچنین سیستم عامل آن و سایر عناصر سیستم برای کاهش آسیب پذیری ها و به خطر افتادن بالقوه کل سیستم است.
هدف اصلی از پیادهسازی تکنیکها و شیوههای مقاوم سازی سیستم، به حداقل رساندن تعداد ورودیهای بالقوهای است که مهاجم میتواند از آن برای دسترسی به سیستم شما استفاده کند و از همان ابتدا این کار را انجام دهد.
انواع مقاوم سازی سیستم
مقاوم سازی سیستم نه تنها شامل ایمنسازی برنامههای نرمافزاری رایانه، از جمله سیستمعامل، بلکه همچنین سفتافزار، پایگاههای داده، شبکهها و سایر عناصر حیاتی یک سیستم رایانهای است که مهاجم میتواند از آنها سوء استفاده کند.
پنج نوع اصلی مقاوم سازی سیستم وجود دارد:
- مقاوم سازی سرور
- مقاوم سازی برنامه نرم افزاری
- مقاوم سازی سیستم عامل
- مقاوم سازی پایگاه داده
- مقاوم سازی شبکه
در این جا با هم هدف هر نوع مقاوم سازی سیستم را مرور کنیم.
مقاوم سازی سرور
مقاوم سازی سرور یک فرآیند کلی مقاوم سازی سیستم است که شامل ایمنسازی دادهها، پورتها، اجزا، توابع و مجوزهای سرور با استفاده از اقدامات امنیتی پیشرفته در لایههای سختافزار، سفتافزار و نرمافزار است.
این اقدامات امنیتی کلی سرور شامل، اما محدود به موارد زیر نیست:
- وصله و به روز نگه داشتن سیستم عامل سرور
- بهروزرسانی منظم نرمافزار شخص ثالث ضروری برای عملکرد سرور و حذف نرمافزار شخص ثالثی که با استانداردهای امنیت سایبری تثبیتشده مطابقت ندارد.
- استفاده از رمزهای عبور قوی و پیچیده تر و توسعه سیاست های رمز عبور قوی برای کاربران
- قفل کردن حساب های کاربری در صورت ثبت تعداد معینی از تلاش های ناموفق برای ورود و حذف حساب های غیر ضروری
- غیرفعال کردن پورت های USB در هنگام بوت
- پیاده سازی احراز هویت چند عاملی
- استفاده از درایوهای رمزگذاری خودکار یا رمزگذاری AES برای پنهان کردن و محافظت از اطلاعات حساس
- با استفاده از فناوری انعطاف پذیری سیستم عامل، رمزگذاری حافظه، محافظت از آنتی ویروس و فایروال، و مجموعه های پیشرفته امنیت سایبری خاص سیستم عامل شما، مانند لینوکس تیتانیوم
مقاوم سازی برنامه نرم افزاری
مقاوم سازی برنامههای نرمافزاری، شامل بهروزرسانی یا اجرای اقدامات امنیتی اضافی برای محافظت از برنامههای استاندارد و شخص ثالث نصب شده روی سرور شما است.
بر خلاف مقاوم سازی سرور، که به طور گستردهتری بر روی ایمنسازی کل سیستم سرور با طراحی تمرکز دارد، مقاوم سازی برنامهها بر برنامههای کاربردی سرور، از جمله، یک برنامه صفحهگسترده، یک مرورگر وب، یا یک برنامه نرمافزاری سفارشی که برای انواع مختلف استفاده میشود، تمرکز دارد.
نمونههایی از مقاوم سازی کاربردی شامل، اما محدود به موارد زیر نیست:
- وصله خودکار برنامه های استاندارد و شخص ثالث
- استفاده از فایروال ها
- استفاده از آنتی ویروس، بدافزار و برنامه های کاربردی حفاظت از نرم افزارهای جاسوسی
- استفاده از رمزگذاری داده های مبتنی بر نرم افزار
- استفاده از پردازندههایی که از برنامههای افزودنی محافظ نرمافزار اینتل(SGX)پشتیبانی میکنند.
- استفاده از برنامهای مانند LastPass برای مدیریت و رمزگذاری گذرواژهها برای بهبود ذخیرهسازی، سازماندهی و حفظ گذرواژه
- ایجاد سیستم پیشگیری از نفوذ (IPS) یا سیستم تشخیص نفوذ (IDS)
مقاوم سازی سیستم عامل
مقاوم سازی سیستم عامل شامل اصلاح و اجرای اقدامات امنیتی پیشرفته برای ایمن سازی سیستم عامل(OS)
سرور است. یکی از بهترین راهها برای رسیدن به حالت مقاوم برای سیستمعامل، نصب خودکار بهروزرسانیها، پچها و سرویسپکها است.
مقاوم سازی سیستم عامل مانند مقاوم سازی برنامه است زیرا سیستم عامل از نظر فنی نوعی نرم افزار است. اما بر خلاف تمرکز مقاوم سازی برنامه بر روی ایمنسازی برنامههای استاندارد و شخص ثالث، مقاوم سازی سیستم عامل، نرمافزار پایهای را ایمن میکند که به آن برنامهها اجازه میدهد تا کارهای خاصی را روی سرور شما انجام دهند.
اغلب اوقات، توسعه دهندگان سیستم عامل، مانند مایکروسافت و لینوکس، کار خوب و مداومی را در انتشار به روز رسانی های سیستم عامل و یادآوری به کاربران برای نصب این به روز رسانی ها انجام می دهند. این بهروزرسانیهای مکرر در واقع میتوانند به حفظ امنیت و انعطافپذیری سیستم شما در برابر حملات سایبری کمک کنند.
نمونه های دیگر مقاوم سازی سیستم عامل عبارتند از:
- حذف درایورهای غیر ضروری
- رمزگذاری HDD یا SSD که سیستم عامل شما را ذخیره و میزبانی می کند
- فعال کردن و پیکربندی Secure Boot
- محدود کردن و احراز هویت مجوزهای دسترسی به سیستم
- محدود کردن یا حذف ایجاد و ورود به حساب های کاربری
مقاوم سازی پایگاه داده
مقاوم سازی پایگاه داده شامل ایمنسازی محتویات یک پایگاه داده دیجیتال و سیستم مدیریت پایگاه داده (DBMS) است که کاربران برنامه پایگاه داده با آن تعامل دارند تا اطلاعات را در یک پایگاه داده ذخیره و تجزیه و تحلیل کنند.
مقاوم سازی پایگاه داده عمدتاً شامل سه فرآیند است:
- کنترل و محدود کردن امتیازات و دسترسی کاربر
- غیرفعال کردن خدمات و عملکردهای غیر ضروری پایگاه داده
- ایمن سازی یا رمزگذاری اطلاعات و منابع پایگاه داده
انواع تکنیک های مقاوم سازی پایگاه داده عبارتند از:
- محدود کردن مدیران و امتیازات و عملکردهای اداری
- رمزگذاری اطلاعات پایگاه داده در حین انتقال و در حالت استراحت
- پایبندی به خط مشی کنترل دسترسی مبتنی بر نقش (RBAC)
- نرم افزار پایگاه داده یا DBMS را به طور مرتب به روز رسانی و وصله کنید
- خاموش کردن خدمات و توابع بی نیاز پایگاه داده
- در صورت شناسایی فعالیت مشکوک ورود به سیستم، حساب های پایگاه داده را قفل کنید
- اجرای رمزهای عبور پایگاه داده قوی و پیچیده تر
مقاوم سازی شبکه
مقاوم سازی شبکه شامل ایمن سازی زیرساخت های ارتباطی چند سرور و سیستم های کامپیوتری است که در یک شبکه معین کار می کنند.
دو تا از راههای اصلی مقاوم سازی شبکه از طریق ایجاد یک سیستم پیشگیری از نفوذ یا سیستم تشخیص نفوذ است که معمولاً مبتنی بر نرمافزار هستند. این برنامهها به طور خودکار فعالیتهای مشکوک را در یک شبکه مشخص نظارت و گزارش میکنند و به مدیران کمک میکنند تا از دسترسی غیرمجاز به شبکه جلوگیری کنند.
تکنیکهای مقاوم سازی شبکه شامل پیکربندی مناسب و ایمنسازی فایروالهای شبکه، ممیزی قوانین شبکه و امتیازات دسترسی به شبکه، غیرفعال کردن پروتکلهای خاص شبکه و پورتهای شبکه استفاده نشده یا غیرضروری، رمزگذاری ترافیک شبکه، و غیرفعال کردن سرویسهای شبکه و دستگاههایی است که در حال حاضر یا هرگز استفاده نمیشوند.
استفاده از این تکنیک ها در ترکیب با سیستم پیشگیری از نفوذ یا تشخیص نفوذ، سطح کلی حمله شبکه را کاهش می دهد و در نتیجه مقاومت آن را در برابر حملات مبتنی بر شبکه تقویت می کند.
