بانک مقالات

آسیب پذیری های امنیتی ISO 27001

ارزیابی آسیب پذیی های امنیتی (Vulnerability Assessment)

آسیب‌پذیری‌های موجود در نرم‌افزارهای کاربردی، سیستم‌های عامل، سرویس‌دهنده‌ها و تجهیزات شبکه هرساله خسارات مالی و بعضا ضایعات جبران‌ناپذیری را برای شرکت‌های تجاری، دولت‌ها و حتی اشخاص حقیقی پدید می‌آورد. سرقت اطلاعات محرمانه و تخریب اطلاعات ارزشمند در سازمان‌ها در کنار عواقب سوء ناشی از عدم توانایی در جلوگیری حملات امنیتی که چهره و شهرت سازمان‌ها را در برابر افکار عمومی خدشه‌دار می‌کند، براحتی قابل جبران نخواهد بود.
عدم توجه و یا آگاهی توسعه دهندگان نسبت به مسائل امنیتی در کنار فاکتور فشار شدید ناشی از رقابت در بازار، عدم بکارگیری چرخه‌ مناسب توسعه امن نرم‌افزار (SDLC) و عدم انجام بررسی‌های امنیتی پیش از انتشار نرم‌افزارها باعث پیدایش ضعف‌های امنیتی بعضا خطرناکی می‌شود که امکان بهره‌برداری و انجام فعالیت‌های غیرمجاز را به مهاجمین و سوء استفاده کنندگان خواهد داد. گسترش لجام گسیخته انواع بدافزارها هر از چندگاه دلیل بر وجود چنین آسیب‌پذیری‌هایی است. پی‌آمد این امر صرف هزینه و زمان زیاد برای خرید و بکارگیری ابزارهای مناسب جهت مقابله با بدافزارها یا رفع حملات امنیتی می‌باشد که در بسیاری مواقع با وقفه جدی در کسب‌وکار سازمان‌ها همراه است.انواع آسیب‌پذیری‌های نرم‌افزاری امکان اجرای کد با سطح اختیارت بالا، دسترسی غیرمجاز به اطلاعات و فایل‌های محرمانه برروی سیستم هدف، و از کار انداختن یا حمله به کاربران آنها را به مهاجمین می‌دهد.

ظهور ابزارهای ذخیره‌سازی پرظرفیت قابل حمل و گسترش شبکه‌های کامپیوتری که ارتباطات بین کامپیوترها را افزایش چشمگیر داده است از یک طرف، و کشف تعداد زیادی از آسیب‌پذیری‌ها و توسعه کدهای بهره‌برداری از آنها با سرعت زیاد که غالبا از طریق اینترنت در دسترس هستند، لزوم مقابله با ضعف‌های امنیتی شناخته شده برروی سیستم‌های اطلاعاتی را اجتناب ناپذیر کرده است. خوشبختانه وجود کانال‌های متعدد آگاهی‌رسانی از جمله اینترنت، مشارکت تولید کنندگان نرم‌افزار در رفع هرچه سریع‌تر آسیب‌پذیری‌های جدید، و تولید ابزارهای مناسب جهت پویش آسیب‌پذیری‌ها به همراه ارتقاء دانش امنیتی و آگاهی راهبران سیستم‌های اطلاعاتی و متخصصین امنیت سبب شده است بستر و زمینه مناسب جهت مقابله با آسیب‌پذیری‌های نرم‌افزار بوجود آید.

چهارچوبی برای ارزیابی آسیب پذیی های امنیتی

برای بکارگیری صحیح این امکانات مبحثی در امنیت ایجاد شده است که از آن به فرآیند ارزیابی آسیب‌پذیری‌های فنی یاد می‌شود. در این فرآیند متخصصین امنیت یا راهبران آگاه به امنیت با برنامه‌ریزی و بکارگیری ابزارهای مربوطه و در چهارچوب یک جدول زمانی اقدام به شناسایی آسیب‌پذیری‌های کشف شده در سیستم‌های اطلاعاتی می‌نمایند.

چرخه ارزیابی آسیب پذیری های امنیتی

ابزارهای تجاری مورد استفاده در ارزیابی، امکان پویش شبکه‌های بزرگ که دارای فناوری‌ها و نرم‌افزارهای متنوع هستند را پدید می‌آورند. این ابزارها با دراختیار داشتن یک پایگاه اطلاعاتی جامع و قابل بروزرسانی از طریق اینترنت از تمامی آسیب‌پذیری‌های کشف شده، اقدام به بررسی تمامی سرویس‌های موجود در شبکه سازمان نموده، و آسیب‌پذیری‌های موجود را با جزئیات لازم به اطلاع متخصصین امنیت و راهبران سیستم‌ها می‌رسانند.بکارگیری این ابزارها در یک فرآیند ارزیابی مدون این تضمین را می‌دهد که تمامی آسیب‌پذیری‌های موجود شناخته شده و زمان و تلاش‌لازم برای رفع آنها در سازمان برنامه‌ریزی شود.

فرآیند ارزیابی یک چرخه تکرار پذیر از شناسایی و برطرف‌سازی آسیب‌پذیری‌های نرم‌افزار است. دلیل این امر کشف مداوم آسیب‌پذیری‌های جدید در نرم‌افزارهای موجود و پویایی سازمان‌ها در بکارگیری نرم‌افزارهای جدید می‌باشد که لزوم اجرای مجدد ارزیابی را طلب می‌کند. همچنین اصپطلاعات و دانش بدست‌آمده از هر تکرار چرخه ارزیابی به تیم ارزیاب اماکن اجرای آن را با عمق و جامعیت بیشتر می‌دهد.هرچند می‌توان روش‌های دستی را برای شناسایی آسیب‌پذیری نرم‌افزارهای مورد استفاده در سازمان‌ها بکار گرفت، اما امکان خظای انسانی، تنوع بسیار زیاد نرم‌افزارها و لزوم صرف وقت بسیار زیاد که سرعت اجرا را پائین می‌آورد، اجرای ارزیابی با استفاده از ابزارهای غیرخودکار را منتفی می‌نمایاند.

ابزارهای خودکار در صورتی‌ که توسط متخصصین مجرب و در موقعیت مناسب نسبت به سیستم‌های هدف بکار گرفته شوند، قادر هستند نتایج دقیقی را در عین جامعیت ارزیابی تولید نمایند. اگرچه نتایج حاصل از ابزارهای خودکار بطور معمول دارای اشتباهات و موارد خطای مثبت می‌باشند، اما در مرحله تحلیل نتایج و گزارش‌دهی در چرخه ارزیابی آسیب‌پذیری‌ها، تیم ارزیاب امکان حذف اشتباهات از گزارش نهایی را دارد. ارائه راه‌حل‌های قابل اجرا و مناسب در متن فناوری‌ها و پلات‌فرم‌های نرم‌افزاری سازمانی که ارزیابی در آن اجرا می‌شود در گزارش خروجی نتایج ارزیابی توسط تیم ارزیاب به سازمان ارائه می‌شود. همچنین تیم ارزیاب در ادامه به پرسنل فناوری اطلاعات سازمان مشاوره و رهنمودهای لازم را برای پیاده‌سازی راه‌حل‌های ارائه شده می‌دهد تا بکارگیری آنها در زمان اندک برای سازمان میسر شود.

Related Posts

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *