ارزیابی آسیب پذیی های امنیتی (Vulnerability Assessment)
آسیبپذیریهای موجود در نرمافزارهای کاربردی، سیستمهای عامل، سرویسدهندهها و تجهیزات شبکه هرساله خسارات مالی و بعضا ضایعات جبرانناپذیری را برای شرکتهای تجاری، دولتها و حتی اشخاص حقیقی پدید میآورد. سرقت اطلاعات محرمانه و تخریب اطلاعات ارزشمند در سازمانها در کنار عواقب سوء ناشی از عدم توانایی در جلوگیری حملات امنیتی که چهره و شهرت سازمانها را در برابر افکار عمومی خدشهدار میکند، براحتی قابل جبران نخواهد بود.
عدم توجه و یا آگاهی توسعه دهندگان نسبت به مسائل امنیتی در کنار فاکتور فشار شدید ناشی از رقابت در بازار، عدم بکارگیری چرخه مناسب توسعه امن نرمافزار (SDLC) و عدم انجام بررسیهای امنیتی پیش از انتشار نرمافزارها باعث پیدایش ضعفهای امنیتی بعضا خطرناکی میشود که امکان بهرهبرداری و انجام فعالیتهای غیرمجاز را به مهاجمین و سوء استفاده کنندگان خواهد داد. گسترش لجام گسیخته انواع بدافزارها هر از چندگاه دلیل بر وجود چنین آسیبپذیریهایی است. پیآمد این امر صرف هزینه و زمان زیاد برای خرید و بکارگیری ابزارهای مناسب جهت مقابله با بدافزارها یا رفع حملات امنیتی میباشد که در بسیاری مواقع با وقفه جدی در کسبوکار سازمانها همراه است.انواع آسیبپذیریهای نرمافزاری امکان اجرای کد با سطح اختیارت بالا، دسترسی غیرمجاز به اطلاعات و فایلهای محرمانه برروی سیستم هدف، و از کار انداختن یا حمله به کاربران آنها را به مهاجمین میدهد.
ظهور ابزارهای ذخیرهسازی پرظرفیت قابل حمل و گسترش شبکههای کامپیوتری که ارتباطات بین کامپیوترها را افزایش چشمگیر داده است از یک طرف، و کشف تعداد زیادی از آسیبپذیریها و توسعه کدهای بهرهبرداری از آنها با سرعت زیاد که غالبا از طریق اینترنت در دسترس هستند، لزوم مقابله با ضعفهای امنیتی شناخته شده برروی سیستمهای اطلاعاتی را اجتناب ناپذیر کرده است. خوشبختانه وجود کانالهای متعدد آگاهیرسانی از جمله اینترنت، مشارکت تولید کنندگان نرمافزار در رفع هرچه سریعتر آسیبپذیریهای جدید، و تولید ابزارهای مناسب جهت پویش آسیبپذیریها به همراه ارتقاء دانش امنیتی و آگاهی راهبران سیستمهای اطلاعاتی و متخصصین امنیت سبب شده است بستر و زمینه مناسب جهت مقابله با آسیبپذیریهای نرمافزار بوجود آید.
چهارچوبی برای ارزیابی آسیب پذیی های امنیتی
برای بکارگیری صحیح این امکانات مبحثی در امنیت ایجاد شده است که از آن به فرآیند ارزیابی آسیبپذیریهای فنی یاد میشود. در این فرآیند متخصصین امنیت یا راهبران آگاه به امنیت با برنامهریزی و بکارگیری ابزارهای مربوطه و در چهارچوب یک جدول زمانی اقدام به شناسایی آسیبپذیریهای کشف شده در سیستمهای اطلاعاتی مینمایند.
چرخه ارزیابی آسیب پذیری های امنیتی
ابزارهای تجاری مورد استفاده در ارزیابی، امکان پویش شبکههای بزرگ که دارای فناوریها و نرمافزارهای متنوع هستند را پدید میآورند. این ابزارها با دراختیار داشتن یک پایگاه اطلاعاتی جامع و قابل بروزرسانی از طریق اینترنت از تمامی آسیبپذیریهای کشف شده، اقدام به بررسی تمامی سرویسهای موجود در شبکه سازمان نموده، و آسیبپذیریهای موجود را با جزئیات لازم به اطلاع متخصصین امنیت و راهبران سیستمها میرسانند.بکارگیری این ابزارها در یک فرآیند ارزیابی مدون این تضمین را میدهد که تمامی آسیبپذیریهای موجود شناخته شده و زمان و تلاشلازم برای رفع آنها در سازمان برنامهریزی شود.
فرآیند ارزیابی یک چرخه تکرار پذیر از شناسایی و برطرفسازی آسیبپذیریهای نرمافزار است. دلیل این امر کشف مداوم آسیبپذیریهای جدید در نرمافزارهای موجود و پویایی سازمانها در بکارگیری نرمافزارهای جدید میباشد که لزوم اجرای مجدد ارزیابی را طلب میکند. همچنین اصپطلاعات و دانش بدستآمده از هر تکرار چرخه ارزیابی به تیم ارزیاب اماکن اجرای آن را با عمق و جامعیت بیشتر میدهد.هرچند میتوان روشهای دستی را برای شناسایی آسیبپذیری نرمافزارهای مورد استفاده در سازمانها بکار گرفت، اما امکان خظای انسانی، تنوع بسیار زیاد نرمافزارها و لزوم صرف وقت بسیار زیاد که سرعت اجرا را پائین میآورد، اجرای ارزیابی با استفاده از ابزارهای غیرخودکار را منتفی مینمایاند.
ابزارهای خودکار در صورتی که توسط متخصصین مجرب و در موقعیت مناسب نسبت به سیستمهای هدف بکار گرفته شوند، قادر هستند نتایج دقیقی را در عین جامعیت ارزیابی تولید نمایند. اگرچه نتایج حاصل از ابزارهای خودکار بطور معمول دارای اشتباهات و موارد خطای مثبت میباشند، اما در مرحله تحلیل نتایج و گزارشدهی در چرخه ارزیابی آسیبپذیریها، تیم ارزیاب امکان حذف اشتباهات از گزارش نهایی را دارد. ارائه راهحلهای قابل اجرا و مناسب در متن فناوریها و پلاتفرمهای نرمافزاری سازمانی که ارزیابی در آن اجرا میشود در گزارش خروجی نتایج ارزیابی توسط تیم ارزیاب به سازمان ارائه میشود. همچنین تیم ارزیاب در ادامه به پرسنل فناوری اطلاعات سازمان مشاوره و رهنمودهای لازم را برای پیادهسازی راهحلهای ارائه شده میدهد تا بکارگیری آنها در زمان اندک برای سازمان میسر شود.