راه پرداخت
رسانه فناوری‌های مالی ایران

گفت و گو با کارشناس و مشاور امنیت شرکت امن افزار گستر شریف

همه راه ها به یک جا ختم نمی شود؛

دیگر زدن قفل و استفاده از گاوصندوق‌های عظیم نشان‌دهنده یک بانک ایمن نیست چرا که دیگر سارقان کمتر صورت‌های خود را با کلاه‌های مشکی می‌پوشانند و با اسلحه به بانک حمله می‌کنند، این روزها بسیاری از سارقان پشت میز کارشان در منزل نشسته‌اند و با یک کلیک حساب بانکی افراد را خالی می‌کنند، بانک‌ها باید به فکر گاوصندوق‌های مجازی باشند؛ گاوصندوق‌هایی که جایی را اشغال نمی‌کنند اما می‌توانند اطلاعات افراد و حساب بانکی‌شان را نزد خود ایمن نگه دارند اما پیش از آن باید راه‌های نفوذ به بانک‌شان را بشناسند، اگر در دنیای واقعی فقط یک در راه ارتباطی محیط امن بانک و خیابان‌های اطراف است در دنیای مجازی ممکن است هزاران راه وجود داشته باشد که شناختن آنها چندان کار ساده‌ای نیست. برای این کار بانک‌ها گروه‌هایی را استخدام می‌کنند تا در لباس افراد ناشناس سعی کنند وارد بانک شوند. در خصوص چگونگی انجام تست نفوذ بانک‌ها با سیدعلی میرحیدری کارشناس و مشاور امنیت شرکت امن‌افزارگسترشریف به گفت‌وگو نشسته‌ایم که در زیر می‌آید:

بهتر است گفت‌وگو را با این سوال کلی آغاز کنیم که شرکت‌ها و سازمان‌ها برای تست نفوذ (penetration taste) چگونه وارد عمل می‌شوند؟ معمولا پیشامد کدام دسته از اتفاقات است که چنین آزمایشی را برای تشکیلاتی مشخص لازم می‌کند؟

یکی از موارد رایج پدیده deface است. در واقع این اصطلاح بارزترین نوع هکی است که می‌توان سراغش رفت و آن هم به این معناست که صفحه اول سایت با پیغام مجهولی خارج از عرف آن، تعویض شود‌. هکرها به این اتفاق deface می‌گویند که معمولا با تغییر ظاهر سایت و نمایش پرچم یا جملاتی شعاری یا تمسخرآمیز همراه است.

اگر سازمان یا نهادی این رخداد را در گذشته نزدیک خود تجربه کرده باشد سراغ ما می‌آید تا تست نفوذ روی شبکه‌اش انجام شود. این اتفاق به نوعی اعلام بیداری برای سازمان به شمار می‌رود. واقعیت این است که در حال حاضر این اتفاق بسیار رایج است و متخصصان کاملا با آن آشنایی دارند از این روست که برای حفظ آبروی نهاد و سازمان خود سراغ تست نفوذ می‌روند. در واقع پدیده deface بیشتر از جنبه آبرو مطرح می‌شود.

 

آیا این احتمال وجود دارد که خودتان انجام چنین آزمایشی را به سازمان یا نهادی توصیه و پیشنهاد کنید؟

بله این احتمال وجود دارد، مخصوصا برای شبکه‌هایی که حساس‌ترند و باید از ضریب امنیت بیشتری برخوردار باشند، مجموعه ما انجام این آزمایش را به سازمان مورد نظر پیشنهاد می‌دهد اما معمولا رویه این‌گونه بوده که یا خود سازمان‌های هک‌شده به ما رجوع کرده‌اند یا مشتری‌های آگاهی که آبروی نهاد آنقدر برایشان اهمیت داشته که برای امنیت شبکه خود سرمایه‌گذاری می‌کنند. به همین دلیل است که به ندرت با مناقصه‌ای در این زمینه روبه‌رو می‌شویم…

 

خب، آیا سازمان‌ها برای انجام این آزمایش باید دارای سطحی از استاندارد امنیتی باشند، مثلا شما به آنها بگویید حداقل‌های امنیتی را رعایت کنید بعد تست نفوذ انجام شود یا محدویتی برای انجام این کار وجود ندارد‌؟ در واقع معیار شما برای پذیرش انجام این کار برای شبکه‌ها چیست؟

سوال خیلی خوبی مطرح کردید. برای پاسخ این سوال هم من باید تاریخچه‌ای را خدمت شما عرض کنم که به پاسخ مربوط می‌شود. ببینید، ما یک شرکت تجاری هستیم. این را از این جهت می‌گویم که دو اصطلاح «تست نفوذ» و «هک کردن» را از یکدیگر تمیز دهم. شاید برای یک نفوذگر در دنیای واقعی همین نکته کفایت می‌کند که یک پورت باز یا درگاه ورودی پیدا کرده و به شبکه حمله و امنیت آن را نقض کند اما وقتی از حوزه تجارت با مقوله تست نفوذ برخورد کنید می‌بینید تمرکز ما فقط روی این نکته نیست چرا که هر چند رسالت تست نفوذ این است که بیاید ببینید آیا امنیت شبکه قابل نقض شدن هست یا نه اما من دوست دارم این سازمانی که در حال انجام چنین پروژه‌ای است در نهایت دستاوردی از آن داشته باشد و بتواند چندین درجه در مساله امنیت شبکه رشد کند. در نتیجه ما بر خلاف نفوذگران همیشه تنها به دنبال پیدا کردن یک راه نفوذ به شبکه نیستیم بلکه در تلاش هستیم تا راه‌های متعدد نفوذ به سیستم را شناسایی کنیم و این کار را نیز با در نظر داشتن یک روش‌شناسی اختصاصی ایرانی انجام می‌دهیم که طی هفت یا هشت سال در بستر نقاط قوت استاندارهای جهانی صیقل خورده و به این مرحله رسیده ‌است. بنابراین در جواب سوال شما باید بگویم هر چند ما آسيب‌پذيري‌ها و نحوه نفوذ شبكه‌ها و سيستم‌ها را به صاحبان‌شان اطلاع می‌دهیم و بر اساس روش‌شناسی خودمان آنها را تست می‌کنیم اما در همین حال به آنها این پیشنهاد را می‌دهیم چگونه آسيب‌پذيري‌ها و راه‌هاي نفوذ خود را مرتفع و سيستم را امن‌تر كنند. البته پیشنهاد معکوس هم داریم به این معنا که به هیچ عنوان در سازمان اعلام بیداری نکنند تا وضعیت واقعی سازمان تست شود. چون مساله این است که وقتی شما اعلام بیداری می‌کنید بسیاری از پیش‌بینی‌های سختگیرانه هم اعمال می‌شود و هر فرد برای ورود رمز عبور خود هم اطراف خود را نگاه می‌کند…

 

پس ممکن است این کار دو مرحله داشته باشد، به این معنا که وقتی برای بار اول این تست انجام می‌شود باید استاندارهای مربوط به پورت‌های باز و بسته در نظر گرفته شود و در مرحله دوم جلوگیری از اعلام بیداری در سازمان صورت گیرد.

یکی از ویژگی‌های روش‌شناسی خاص ایرانی که خدمت‌تان عرض کردم همین است؛ اینکه ما روش‌های متفاوتی برای تست نفوذ در نظر می‌گیریم. ما در واقع 14 نوع بسته و آزمایش آزمون نفوذ متفاوت طراحی کرده‌ایم که کارفرما مبتنی بر نیاز خود درخواست کرده و کارشناسان ما آن را به اجرا در می‌آورند. در واقع کارفرمایان با آگاهی از رزومه امنیتی شرکت، خودشان می‌توانند هر یک از این بسته‌ها را انتخاب کنند. این 14 بسته قابلیت سفارشی شدن بر مبنای نیاز مشتری را خواهند داشت، ممکن ‌است بعضی از سفارش‌دهندگان از ما بخواهند در ساعات خاصی این تست را انجام دهیم یا وارد سیستم‌های به‌خصوصی نشویم. در واقع این تفاوت هکرهای اخلاقی با هک در مفهوم عام آن است.

 

خب این شبیه یک تست آزمایشگاهی است و این ایزوله کردن محیط خود ممکن است ضریب امنیت آن را پایین بیاورد، به این معنا که اگر شما برای نفوذ از آزادی کامل برخودار نباشید شاید یک هکر واقعی بدون داشتن چنین محدودیتی از این امکان برخوردار شود.

ما برای هر گونه نیازی بسته‌ای متفاوت خواهیم داشت‌؛ بسته‌ای که طی این چند سال تراش خورده و هماهنگ با نیاز مشتری و مخصوصا سازمان‌های مالی و بیمه طراحی شده است‌. به طور مثال ما هم مثل همه روش‌‌های رایج در دنیا بسته‌های متفاوتی براي ارزيابي جعبه سياه داریم. در این رابطه خیلی از بانک‌های ایرانی هستند که آمده‌اند و تنها نام بانک را اعلام کرده و خواسته‌اند که ما به درجات محرمانگی، جامعیت و دسترس‌پذیری شبکه‌شان ضربه بزنیم‌، همان‌طور که گفتم همه چیز بستگی به نوع سفارش و نیاز سازمان دارد…

 

این فرآیند انتخاب بسته‌های گوناگون توسط کارفرمایان چگونه صورت می‌گیرد؟

معمولا کارشناسان ما به کارفرمایان در انتخاب بسته‌های مبتنی بر نیاز به آنها کمک می‌کنند، در واقع پیشنهاددهنده ما هستیم و کارفرما مبتنی بر نیاز خود آن را می‌پذیرد یا برعکس. البته ما تعهد هم می‌دهیم که اگر در استفاده از روشی منع شدیم هم از آن روش‌ استفاده نکنیم. به همین دلیل است که کار گروه تست نفوذ به مراتب سخت‌تر از کار هکرهای معمول در سراسر دنیاست.

 

با توجه به مطالبی که خوانده‌ام به نظر می‌رسد در شرایط اخیر دیگر تست‌های فیزیکی جوابگو نیستند و بسیاری از لزوم به‌کار‌گیری شیوه‌های مهندسی اجتماعی یاد می‌کنند. نظر شما در این باره چیست، آیا شما هم از چنین روش‌هایی استفاده می‌کنید؟

ببینید دنیای امنیت مثل سایر جنبه‌های موجود در عصر فناوری دنیایی بدون توقف است که حرکتش از سرعتی سرسام‌آور برخوردار است. به این معنا که اگر نرخ رشد در سایر عرصه‌های علمی یک واحد در سال باشد، این نرخ در عرصه IT چندین 10 برابر می‌شود . پس دو موضوع جزء لاینفک تست نفوذ است؛ یکی اینکه همیشه باید خود را تست کنید، چون هر روز بر شکل‌های گوناگون آسیب‌پذیری و روش‌های آن افزوده می‌شود. به همین دلیل است که به‌روز بودن در این علم نکته بسیار مهمی است‌ چون مدام تعاریف و مفاهیم و روش‌های جدیدی در حال خلق شدن است که شما باید خود را با آنها هماهنگ کنید‌. اینجاست که تست ادواری و لحظه‌ای سیستم کاری است که باید به صورت مداوم انجام پذیرد‌. نکته دیگر اینکه ‌به ‌طور کلی هرگونه IP‌، حتی آنهایی که چندان تراکنش مالی حساسی ندارند‌، در هر لحظه چندین و چند بار توسط نفوذ‌گران در اینترنت مورد آزمایش قرار می‌گیرند. نکته دیگر گرایش‌ها و در واقع حضور نسل‌های مختلفی است که از سال 2000 تا 2012 در عرصه هک و نفوذ فعالیت می‌کرده‌اند. در سال‌های نزدیک به 2000 سواد هکرها بسیار زیاد و تعدادشان خیلی کم بود اما هر چه جلوتر رفتیم، سواد هکرها به شدت کاهش یافته اما جمعيت آنها اضافه شده و البته میزان ضربه‌هایی که به سیستم وارد می‌شود بیشتر است. دانش نفوذگران پایین آمده اما همین‌ها با این دانش اندک خود می‌توانند ضربه‌های خطرناکی به سیستم بزنند. اینجاست که می‌بینید یک بچه 14ساله که حتی دیپلم نگرفته آمده و به یک مجموعه بانکی در ایران یا آمریکا ضربه مي‌زند یا حتی با تلفن مجموعه‌های بانکی را تهدید می‌کند که سایت آنها را از کار بیندازد‌. همین اتفاق‌ها است که ضرورت تست نفوذ را دوچندان می‌کند…

 

بله اما من هنوز درباره روش مهندسی اجتماعی پاسخم را دریافت نکرده‌ام.

اتفاقا یکی از دلایلی که موجب هک شدن شبکه‌ها می‌شود وجود این روش‌های مختلف است. بیایید ماجرا را از زاویه دیگری باز کنیم. من فکر می‌کنم سوال اصلی باید این باشد که چرا شبکه‌ها با اینکه این همه برای امنیت خود هزینه می‌کنند و چندین و چند تیم تست نفوذ آزمایش‌های مختلف برای افزایش امنیت آنها را انجام می‌دهند و از تجهیزات بسیار گران‌قیمت امنیتی و فایروال‌های (firewall) مختلف استفاده می‌کنند، باز هم هک می‌شوند؟ مساله اصلی عدم توجه به مجموعه‌ای از مفاهیم است که چنین ضربه‌هایی را به سیستم می‌زند. مفهومی در متودولوژی امن افزار وجود دارد با عنوان side channel که بی‌توجهی به آن باعث وارد شدن ضربه‌هایی متفاوت به سیستم می‌شود. ‌در کنار این مفهوم دیگری با عنوان core target یا هدف اصلی هم وجود دارد که برای توضیح اتفاقی که می‌افتد لازم است ببینید وقتی قرار است تست نفوذ روی شبکه‌ای انجام شود اول باید ببینیم چه هدف اصلی یا همان core target برایمان وجود دارد. معمولا بانک‌ها و موسسات مالی به هنگام عقد قرارداد از وب‌سایت و تراکنش‌های مالی خود به عنوان هدف اصلی نفوذ نام می‌برند و اینکه ما بتوانیم به جامعیت، دسترسی و افشاپذیری این هدف لطمه وارد کنیم. در اینجا ما برای کمک به کارفرما در انتخاب بسته‌های پیشنهادی مفهوم side channel را برایشان توضیح می‌دهیم. این مفهوم به هر گونه موجود و موجودیتی ارجاع دارد که نقض امنیت آن منجر به نقض امنیت هدف اصلی سازمان يا core target می‌شود. این مفهوم خود به دو بخش تقسیم می‌شود‌؛ یکی cyber و دیگری non cyber. هک شدن سازمان‌ها و بانک‌ها امروزه بیشتر به خاطر بی‌توجهی آنها به این موجودیت‌هایی است که در کنار آنها تعریف می‌شود. با مثالی ماجرا را برایتان توضیح می‌دهم. ببینید مثلا یک بانک پهنای باند اینترنتی خود را از شرکتی خاص دریافت کرده‌، بر بستر مخابراتی و شتاب فعالیت می‌کند و تراکنش خود را انجام می‌دهد، جدا از اینها با پیمانکاری جداگانه برای طراحی سایت خود قرارداد می‌بندد و با شرکتی دیگر برای خرید تجهیزات، با شخصی متفاوت برای امنیت سیستم خود قرارداد می‌بندد و علاوه بر همه اینها یکسری پرسنل درگیر هم دارد؛ پرسنلی که منشی یا admin و… هستند که اطلاعات سلسله مراتبی در اختیار دارند. اگر هر یک از این بخش‌ها نقض اطلاعاتی داشته باشند می‌توانند منجر به نقض امنیت کل شبکه بانکی یا مجموعه مالی شوند‌. اکنون اگر اینها پرسنل یا رایانه‌ای فیزیکی باشند side channelهای non cyber نامیده می‌شوند و اگر مثلا پهنای باند اینترنت یا IPها باشند از نوع cyber به شمار می‌آیند. در روش‌شناسایی که خدمت‌تان عرض کردم امکان تست side channelها هم وجود دارد. ببینید وقتی بانکی هک شود کسی سوال نمی‌کند که از کجا هک شدید، مهم این است که سیستم هک شده و آبروی سازمان در خطر افتاده است. مردم فقط نتیجه را می‌بینند، برایشان فرقی نمی‌کند که شما را یک پرسنل داخلي هک کرده یا با يك روش پيچيده و خلاقانه. به نظر من مجموعه‌های بانکی و مالی ایران در همین side channelها بسیار آسیب‌پذیرند. گواه حرف من هم این است که خیلی از شبکه‌های آمریکایی نیز همچنان با همین side channel ها هك می‌شوند. یکی از راه‌هایی که برای تست side channel های non cyber انجام می‌شود، همین بحث مهندسی اجتماعی است که در سوال شما بود. ببینید اصطلاح دیگری هم وجود دارد به نام dumpsterdiving که به معنای شیرجه زدن در سطل آشغال‌هاست. در واقع بعضی از هکرها به خود اجازه می‌دهند حتی آشغال‌های کاغذی را هم مطالعه کنند تا شاید از میان آنها کلمه عبور یا اطلاعات دیگری پیدا کنند، این مساله حتی از مهندسی اجتماعی هم فراتر می‌رود و هدفم بيان اين نكته است كه نفوذگر از هر راه ممكن براي نفوذ استفاده خواهد كرد. به عنوان مثال از يك side channel شخصی با شرکتی به مشکل برمی‌خورد، به کشوری دیگر پناهنده می‌شود و میلیون‌ها رمز عبور کاربران بانك را لو می‌دهد.

 

اتفاقی که اخیرا نیز در ایران افتاد!

بله این فرد خود side channel از نوع non cyber به شمار می‌رود. اگر سازمان‌ها و نهادهای مالی می‌دانستند که نقض امنیت یک شرکت می‌تواند امنیت کل سازمان را به خطر بیندازد به این Side channelها بیشتر توجه می‌کردند.

واقعیت این است که بیشترین دلیل هک بسیاری از شبکه‌ها در سال‌های اخیر همین عدم توجه به Side channel ها بوده است. اینجاست که مساله ما نگاه جامع داشتن به مساله امنیت خواهد بود.

 

با توجه این مساله که تحریم‌های بین‌المللی زیادی برای شرکت‌های ایرانی وجود دارد، شما چگونه می‌توانید خود را به‌روز نگه دارید؟

همان‌طور که اشاره کردم مهم‌ترین ویژگی یک تیم تست نفوذ همین به‌روز بودن است. ما برای این کار از چندین و چند مکانیسم استفاده می‌کنیم‌؛ یکی مطالعه آخرین روش‌های آکادمیک در کنفرانس‌های مطرح هک هست مثل black hat و یا deface که در واقع میعادگاه هکرهاست‌. آنها می‌آیند در چنین فضایی دور هم جمع می‌شوند و روش‌های خود را به اشتراک می‌گذارند‌. روش دوم مطالعه روزانه و دقیق آسیب‌پذیری‌هایی است که ثبت می‌شود. فکر می‌کنم الان حدود 60 یا 70 هزار آسیب‌پذیری ثبت‌شده در دنیا داشته باشیم و روزانه هم چند 10 آسیب‌پذیری جدید به آن اضافه می‌شود. خب تیم تست نفوذ باید اینها را روزانه مطالعه و تست کرده و با استفاده از آن سعی کند به شبکه نفوذ کند. همین باعث می‌شود افرادی خبره و با دانشی چندساله در این عرصه داشته باشیم.

روش دیگر تولید کدهای مخرب است. نکته اینجاست که کدهای مخرب بسیاری از آسیب‌پذیری‌های مهم برای سوءاستفاده به فروش گذاشته می‌شود. نکته چهارم عضویت در کانال‌های زیرزمینی است‌. ببینید، امنیت یک تجارت پرسود است. یکی از آسیب‌پذیری‌های بسیار مهمی که به شبکه‌های ایرانی ضربه زد، شش ماه تا یک سال قبل 20 تا 200 هزار دلار در شبکه‌های زیرزمینی فروخته می‌شد.

عضویت در این کانال‌ها روش‌های پوشیده را نیز به هکرها آموزش می‌دهد. یا کانال‌هایی وجود دارد که در قبال پدیده نوی که شما ارائه می‌دهید، آنها هم چیز تازه‌ای را به شما ارائه می‌کنند. در حال حاضر ما عضو برخي از این کانال‌ها هستیم که یا با هزینه خودمان یا هزینه سازمان کارفرما در این کانال‌های زیرزمینی عضو می‌شویم. مساله این است که عضو شدن در این کانال‌ها هم کار ساده‌ای نیست که هر کس با پرداخت پول بتواند این کار را انجام دهد…

 

مساله دیگر نحوه بومی‌سازی این تست‌ها و آزمایش‌هاست، مثلا بسیاری در ایران از اسامی فارسی برای رمز عبور خود استفاده می‌کنند که در آزمایش‌های غربی احتمالا ادبیات مربوط به آن وجود ندارد، شما برای بومی‌سازی مسائلی از این دست چه برنامه‌ای دارید؟

این بهترین مثالی است که نشان می‌دهد چرا باید یک گروه تست نفوذ داخلی برای سازمان‌های ایرانی کار کند. بدون شک برای موفقیت در این کار باید از یک متودولوژی تخصصی ایرانی و بومی استفاده کرد. ما در روش‌شناسی خود دیکشنری اسامی موجود در زبان فارسی و کلیدواژه‌هایی را که ایرانی‌ها معمولا استفاده می‌کنند در اختیار داریم.

مثلا«بنی آدم اعضای یکدیگرند» در زبان فارسی می‌تواند یک رمز عبور باشد که در هیچ دیکشنری خارجی دیگری وجود ندارد. حال چنین مسائلی را تعمیم دهید به عمق آزمون نفوذ که هر چه جلوتر می‌رویم این جغرافیای فرهنگی چه تاثیراتی می‌تواند بر چنین تست‌هایی بگذارد و همین لزوم نگاه بومی در این عرصه را چندین برابر می‌کند.

 

تا جایی که من مطالعه کردم دیده‌ام که ظاهرا برای انجام چنین تست‌هایی استانداردهایی وجود دارد؛ اکنون سوال من این است که آیا تست‌های شما هم در قالب چنین استانداردهایی انجام می‌شود؟

هر یک از متودولوژی‌هایی که از گذشته تا حال وجود داشته و هنوز هم به وجود می‌آیند، با یک رویکرد به این مساله نگاه کرده‌اند که قطعا هر یک نقاط قوت و ضعف مخصوص به خود را داشته‌اند. کاری که ما انجام دادیم این است که آمده‌ایم نقاط قوتی را که در متودولوژی‌های گوناگون بوده گرفتیم و در کنار هم قرار داده و شکاف‌های احتمالی را نیز برطرف کرده‌ایم و یک کشکولی از توانمندی را داخل آن قرار داده‌ایم. پس قائل به یک روش‌شناسی خاص نبوده‌ایم، همیشه پیشنهاد من استفاده از چندین و چند روش کنار یکدیگر بوده چون هر روشی ناخودآگاه از نقاط ضعف مخصوص به خود برخوردار است…

 

سوالی اینجا به ذهنم رسید و آن اینکه با توجه به منطق side channel حتی شما هم خودتان بعد از انجام تست تبدیل به یک side channel برای سازمانی که تست نفوذ برای آن انجام داده‌اید می‌شوید. با این حساب شما خودتان را چگونه امن می‌کنید؟

این سوالی است که در واقع هر روز از من پرسیده می‌شود. برای پاسخ به این سوال می‌روم سراغ سیستم مدیریت امنیت اطلاعات. ما اینجا همان سیستم مدیریت امنیت اطلاعات را پیاده‌سازی کرده و روال‌های کنترل دسترسی اطلاعات را هم در اختیار داریم. به این معنا که فقط افراد درگیر در پروژه آن هم به صورت سلسله مراتبی به اطلاعات مشتری دسترسی دارند. علاوه بر این ما طرح رمزنگاری و استفاده از کلیدهای متعدد را برای پرسنل اجرا می‌کنیم و همچنین در واحد تست نفوذ طرح امحا اطلاعات مورد نیاز را نیز به اجرا درمی‌آوریم.

به این معنا که ما اطلاعات یک سازمان را برای زمانی مشخص در اختیار خود نگه می‌داریم و در مجموع هم اطلاعاتی که جمع‌آوری کرده‌ایم متمرکز نیستند و به صورت ادواری پاک می‌شوند‌. همچنین روال ترک سازمان هم ایجاد کرده‌ایم، در واقع به سازمان مورد نظر می‌گوییم که چه اطلاعاتی را به دست آورده‌ایم که آنها به سرعت چیزهایی مثل رمزهای عبور خود را تغییر دهند. پس ما يك side channel نسبتا بي‌خطر هستيم. علاوه بر این در روال ترك سازمان بعد از انجام کار یکسری راه‌های دفاعی هم ارائه می‌کنیم که جلوی هکرها را در آینده گرفته یا حداقل کارشان را سخت می‌کند. نکته‌ای که در این زمینه امنیت دارد این است که ما الان به بانک‌ها توصیه می‌کنیم چنین تست‌هایی را نه سالی یک بار که چندین بار در سال و به صورت ادواری انجام دهند.

 

خب، انجام این تست‌ها برای سازمان‌ها بسیار هزینه‌بر است. شما چگونه آنها را قانع می‌کنید که به صورت ادواری چنین هزینه‌ای را پرداخت کنند؟

ببینید حیات یک مجموعه بانکی به وجود تست امنیت در آن است‌، به همین دلیل است که من باید کلمه‌ای را در سوال شما تصحیح کنم و آن این است که شرکت‌ها و سازمان‌ها برای انجام تست نفوذ هزینه نمی‌کنند بلکه سرمایه‌گذاری می‌کنند‌ چرا که اگر شما تنها یک‌دهم هزینه دزدی بانک‌ها را در این زمینه صرف کنید نه‌تنها ضرر نکرده‌اید که در واقع سرمایه‌گذاری کرده‌اید چرا که یک دزدی کوچک می‌تواند چندین و چند میلیارد به بانک ضرر بزند و بدتر از آن اعتبار و آبروی آن را زیر سوال ببرد که خود می‌تواند هزینه‌ای سرسام‌آورتر داشته باشد. البته من تا اندازه‌ای هم حرف شما را قبول دارم‌، چون بحث امنیت برای بسیاری از شرکت‌های ایرانی بحثی بسیار جدیدی نيست و از این رو به راحتی حاضر نیستند برای آن هزینه کنند و پذیرش این موضوع برایشان سخت است اما از سال 2009 به این سو در بسیاری از بانک‌های ایرانی این نگرش مربوط به امنیت شبکه و نگرانی‌های مربوط به آن به وجود آمده است.

 

با توجه به تجربیاتی که تاکنون به دست آورده‌اید می‌توانید بگویید در حال حاضر بانک‌ها بیشتر از چه جنبه‌هایی ضربه‌پذیر هستند؟

فکر می‌کنم اگر این سوال شما را فلسفی پاسخ بدهم بهتر باشد. در واقع هر چه شما به طرف لایه‌های بالاتر موجود در شبکه حرکت می‌کنید، آسیب‌پذیری‌ها راحت‌تر و تخریب‌شان آسان‌تر می‌شود…

 

لایه‌های بالاتر شبکه به چه معناست؟

ببینید ما در مـدل یک شبکه با لایه‌هاي متعدد روبه‌رو هستیم. لایه هفت يا لایه application است. در زبان رايانه مثلا لایه سه‌لایه IP. است. می‌خواهم بگویم برنامه‌نویسی که سرویسی برای وب می‌نویسد باید برنامه‌نویس خیلی خبره و به قولی کاردرستی باشد، در مقابل برنامه‌نویسی که یک سایت یا application را طراحی می‌کند، می‌تواند برنامه‌نویس ساده‌تری باشد که حتی با مفاهیم امنیت هم آشنایی چندانی ندارد. این سرويس‌هاي فعال در لايه‌ها چون تعدادشان کم است بارها و بارها در طی این سال‌ها از لحاظ امنیتی تست شده‌اند، از این رو در مقایسه با یک برنامه كاربردي تحت وب ساده جای مناسب‌تري برای كشف آسیب‌پذیری‌ها به شمار می‌روند. در نتیجه آسیب‌پذیری در لايه applicationها و برنامه‌های کاربردی به مراتب بالاتر از وب‌سرورهاست.

 

با این حساب حضور سرویس‌های جدید کار را برای بانک‌ها خطرناک‌تر کرده، سرویس‌هایی مثل تلفن‌بانک یا smsبانک و از این قبیل…

سرویس‌های جدید از ابتدا و پیش از اینکه وارد شبکه شوند باید با دید امنیتی، از جمله یک مانور امنیتی و یک تست نفوذ در لایه‌های متفاوت تست و تولید شوند. همین ضریب اطمینان را بالا خواهد برد.

 

چه کار باید کرد که به سیستم آسیبی وارد نشود یا آسیب‌ها را کمتر کرد؟

می‌خواهم راه‌های دفاع را به دو دسته کافی و لازم تقسیم کنم. لازم، وجود سنسورهای متعدد firewall و سیستم‌های جلوگیری و تشخیص نفوذ است. نکته دیگر که قبلا هم اشاره کردم و از امور لازم به شمار می‌رود، همان تست نفوذ لحظه‌ای و ادواری است و اما کارهای کافی که از بحث‌های نوین امنیت به شمار می‌روند و در هیچ یک از بانک‌های کشور وجود ندارند، لزوم وجود سیستم متمرکز و جامع امنیت و اطلاعات یا همان (soc: security operation center) است که به عنوان مرکز عملیات امنیت شناخته می‌شود و بخش‌های عمده امنیتی را پوشش می‌دهد.

یکی از کارهای این بخش جمع‌آوری تمامی رخدادهایی است که در سطح شبکه‌ اتفاق می‌افتد، ویروس‌هایی که اینجا و آنجا به شبکه‌های داخل کشور حمله می‌کنند در واقع به یک جغرافیایی حمله می‌کنند که تنها در يك سیستم متمركز پوشش داده می‌شود. ما نیاز داریم که همه رخدادهای هک را به صورت یکجا و متمرکز ثبت‌شده داشته باشیم که از قابلیت دیده شدن برخوردارند.

علاوه بر این باید با عنوان دیگری به نام «گروه واکنش هماهنگ رخداد» نیز آشنا باشیم که کار آن مقابله با اتفاقات و هک شدن‌های احتمالی است. وظیفه این گروه این است که وقتی soc حمله‌ای را گزارش می‌دهد، این گروه بازوهای soc برای دفاع و واكنش باشد. این مجموعه در کنار هم سه کار انجام می‌دهند: شناسایی، جلوگیری و اگر در انجام این دو ناموفق بودند، دفاع و واكنش. این مجموعه عضو لاینفک و گریزناپذیر شبکه‌های بانکی ایران در آینده خواهد بود…

 

معمولا وقتی حمله‌ای به بانکی صورت می‌گیرد، بانک‌ها مشکل را بر گردن کاربر می‌اندازند، به نظر شما برای جلوگیری از چنین اتفاقی چه راهکارهایی وجود دارد؟

مهم‌ترین کاری که باید در این زمینه انجام شود بحث فرهنگ‌سازی است، دیگری استفاده از کلیدهای رمزنگاری معتبر است و نهایتا استفاده از مکانیسم‌های high tech که امکان حملات مختلف فیشینگ را سخت می‌کند و در مجموعه‌های بانکی خیلی کم استفاده می‌شود، همچنین استفاده از اسمارت توکن كه مي‌تواند احراز هويت دوعامله را ايجاد كند. به عنوان ابزاري جهت امضاي ديجيتال تراكنش‌ها و مكانيزم عدم انكار مي‌تواند راهكارهاي مناسبي براي اين موضوع باشد.

منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.