عاملهای انسانی در امنیت اطلاعات/الزامات کاربردی هوشیاری موقعیتی در امنیت شبکه کامپیوتری
در سالهای اخیر آگاهی وضعیتی (SA) یک موضوع در حال رشد بودهاست، به ویژه در حیطه علم شناختی. با این حال آگاهی وضعیتی در امنیت شبکه هنوز مراحل اولیه خود را طی میکند. در شبکههای کامپیوتری، انواع حملات سایبری رخ میدهند. اگرچه کنترلهای خاص و جداگانهای برای حفاظت از شبکههای کامپیوتری در مقابل هر کدام از این حملات وجود دارد اما متاسفانه هر کنترل به یک حمله خاص اختصاص دارد. بنابر این تشخیص حملات گسترده یا سازمان یافته چالش برانگیز است. حقیقت این است که ظرفیت هر روش کنترل امنیتی محدود است و از طرف دیگر غیر ممکن است که سازمانها تعداد زیادی امکانات امنیتی را برای هر یک از این حملات تهیه کنند.
راه حل پیشنهادی این است که از روشهای کنترلی موجود در سازمان استفاده شود، اما برای بهبود آگاهی وضعیتی بخشهای مختلف شبکه، و کم کردن ریسکهای داخل شبکه، آن روشها را با هم ترکیب کنند. تجمیع مدارک کنترلهای امنیتی موجود، در واقع ترکیب دادههای ایجاد شده از چند منبع است که در آن کنترلهای امنیتی ناهمگن برای فراهم کردن آگاهی موقعیتی صحیح در شبکه با هم ترکیب میشوند. آگاهی وضعیتی امنیت شبکه (NSSA)، برای توصیف آگاهی وضعیتی در دفاع از شبکههای کامپیوتری (رایانهای) استفاده شده و روی دانش و قابلیت تحلیلگر در درک و تحلیل موقعیتها، تصمیم گیریهای درست در مورد چگونگی حمایت و حفاظت از سرمایههای با ارزش سازمان و پیشبینی درست وضعیت آتی در یک محیط پیچیده و پویا تکیه دارد.
آگاهی وضعیتی
ویرایشآگاهی وضعیتی (SA) بر اساس دانستن و آگاهی یافتن از آنچه که در اطراف شما جریان دارد و دانش شما از آنچه که شما را احاطه کردهاست و نیز آگاهی یافتن از موضوعات مهم تعریف میشود. SA از عوامل انسانی و مطالعات شناختی ناشی میشود که هم شامل یک فرد با فرآیندهای شناختی او و هم موقعیتی با انواع وضعیتهای مختلف اطلاعاتی میشود. SA بسیار پیچیده است و حالات دینامیک و پویای مختلفی دارد مثل شبکههای کامپیوتری که شامل صدها شیء مختلف مانند انواع فایروالها، IDS، روترها، سرورها و ... میباشد. برای آگاهی وضعیتی میتوان مدل چهار سطحی تعریف کرد. این سطوح عبارتند از: ادراک، فهم، تجسم و تحلیل.
ادراک به دانشی که یک تحلیلگر شبکه از عناصر موجود در شبکه دارد بر میگردد مانند هشدارهای سیستمهای تشخیص نفوذ یا لاگهایی که فایروال ایجاد میکند. همچنین زمان روی دادن این اتفاقات و کنترلهایی که باعث تشخیص شدهاند نیز اهمیت دارد. فهم به تکنیکها، متولوژیها، فرآیندها و روندهایی بر میگردد که یک تحلیلگر امنیتی برای تحلیل، ترکیب و مرتبط کردن شواهد و دادههایی که از عناصر شبکه به دست آمدهاند، استفاده میکند.
تجسم: به توانایی پیش بینی آتی بر اساس دانش بدست آمده از دینامیک عناصر و درک موقعیت اشاره دارد. تجسم به سوالاتی مانند سوالات زیر پاسخ میدهد: چه نوع حملاتی ممکن است رخ دهد؟ برای این حملات چه کنترلهایی نیاز است؟ و تحلیل به کنترلهایی که برای اقدام در مقابل خطرات ذاتی شبکهها انجام میشود اشاره دارد.
آگاهی وضعیتی یک فرآیند عامل انسان شناختی است و شامل فردی میشود که موقعیتها را در شبکه مشاهده و تحلیل کرده و سپس در مورد حالتهای شبکه تخمینهایی میزند. NSSA شامل مونیتورینگ امنیتی، مشاهدات امنیتی، تکنیکهای تشخیص حملات، ترکیب دادهها، اتوماسیون، پویایی و پیچیدگی میباشد که همه اینها برای رسیدن به سطح بالایی از آگاهی وضعیتی میباشند. ادراک، فهم، تجسم و تحلیل، هسته اصلی SA را تشکیل میدهند. هنگامی که این مفاهیم تجزیه تحلیل میشوند مشابه با مراحل کنترل در امنیت شبکه میباشند که در آن شبکه از لحاظ موقعیتهای مشکوک مورد بررسی قرار میگیرد تا حملات احتمالی در آن کنترل شود. مانیتورینگ امنیت زمانی صورت میگیرد که فردی بخواهد شبکه و سیستمها را از نظر تغییرات دادهها کنترل و مانیتور کند. مانیتورینگ امنیت تنها بخشی از مرحله ادراک هوشیاری است. تصویر سازی امنیت عبارت است از انتقال دادهها و اطلاعات به صورت یک الگوی قابل مشاهده. این بخش نیز قسمتی از مرحله فهم هوشیاری موقعیتی است. به طور مشابه ترکیب دادهها تکنیکی برای ترکیب شواهد یک موقعیت ادراک شدهاست. برخی از مراحل مورد نیاز برای فهمیدن خصوصیات لازم برای طراحی و پیاده سازی SA در امنیت یک شبکه کامپیوتری عبارتند از:
- پویایی و پیچیدگی: یک شبکه کامپیوتری مجموعهای از سیستمها و عملکردهای به هم مرتبط است که به صورت پویا و معمولا پیچیده میباشند و خروجی آنها متفاوت و بار کاری یا ترافیک بالایی دارند و همچنین دارای ریسکهای متفاوتی هستند. انواع لینکهای ارتباطی میتواند این پیچیدگی را بیشتر کند. حفظ هوشیاری موقعیتی در یک شبکه که شامل هزاران رویداد است مشکل است.
- اتوماسیون: در قرن حاضر سیستمهای محاسباتی قدرتمندی ایجاد شدهاند و اتوماسیون کارها امکان پذیر شدهاست. به طوری که سیستمهای اتوماسیون برای انجام بیشتر کارها به نیروی انسانی ترجیح داده میشوند.
- پردازش سریع (Realtime Processing): امنیت پردازش سریع در شبکههای کامپیوتری نیازمند یک هوشیاری خاص است. برای به دست آوردن سطح بالاتری از هوشیاری موقعیتی، ابزاری که برای تحلیل SA استفاده میشود باید دارای توانایی فراهم نمودن پردازش سریع دادهها باشد.
- ترکیب دادههای چند منبعی: ترکیب دادههای چند منبعی (MSDF) یک فرآیند بر روی دادههای چند منبع است که برای آشکار سازی، ارتباط، همبستگی و تخمین انجام میشود. این مسئله به ما در فهم بهتر یک رخداد کمک میکند. ترکیب دادهها برای هوشیاری موقعیتی امنیت شبکه لازم است. در واقع مدرک و شواهد چند منبع که با هم ترکیب شدهاند نسبت به یک تک منبع فهم بهتری از آشکار سازی حملات را ایجاد میکند.
- ناهمگونی: ناهمگونی توانایی یک تحلیلگر شبکه برای استفاده از منابع مختلف ناهمگون به منظور مشاهده، جمع آوری و تشخیص تغییرات پویا در یک شبکهاست. مثلا استفاده از فایروالها، آنتی ویروسها و حفاظهای امنیتی. استفاده از انواع کنترلهای ناهمگون به ایجاد یک هوشیاری موقعیتی واقعی کمک میکند.
- تصویر سازی امنیت: الگوهای حمله یا مدارک گردآوری شده در مورد حملات را برای کمک به تحلیل گر امنیت در جهت آشکار سازی و پاسخ دهی به حملات باید تصویر سازی کرد. تصویر سازی یک ابزار ارزشمند برای حفظ هوشیاری موقعیتی است.
- ارزیابی ریسک: ارزیابی خطر در هوشیاری موقعیتی امنیت شبکه یک SA سطح دو است که در آن موقعیتهای ادراک شده برای شناسایی حملات، سنجش حالتها و تخمین خطرات مورد ارزیابی قرار میگیرد. شبکههای کامپیوتری تحت خطرات دائمی قرار دارند که هم از طرف حمله کنندههایی با اهداف مغرضانه میباشد و هم از طرف کاربران داخلی که هدف مغرضانهای ندارند.
- تحلیل: تحلیل خطاهای عملکرد سیستم که از کاستیهای شبکههای کامپیوتری و ساختارهای سیستم ناشی میشود برای اصلاح و بازیابی سیستمها مهم است. خطاها بر روی سرویسهای عملکردی سیستمها مانند یکپارچگی، محرمانگی و در دسترس بودن تاثیر میگذارند و بدون تحلیل و بکار بردن راه حل این سرویسها بلا استفاده، ناکافی و یا غیر قابل دسترس میشوند.
- پیش گویی و پیش بینی: یک راهکار واقعی هوشیاری موقعیتی قادر است پیش بینی درستی از موقعیتهای آتی را ارایه کند. برای اینکه پیش بینی درست باشد باید حالات کنونی شبکه و موقعیتها را به طرز صحیح مورد ارزیابی قرارداد و برای آن پاسخ مناسبی ارایه کرد.
به طور کلی هوشیاری موقعیتی در هر حیطه خاص، باید در همان حیطه مورد بررسی قرار گیرد. این موضوع به ما کمک میکند که ویژگیهای آن SA را بفهمیم. بنابراین ویژگیهای اساسی هوشیاری موقعیتی در امنیت شبکه را که در این مقاله ذکر کردیم، باید در زمان اجرای یک سیستم هوشیاری واقعی در یک شبکه مورد بررسی قرار داد.
منابع
ویرایشمنبع مورد استفاده برای این مطلب: دریافت مقاله اصلی با عنوان:
Functional requirements of situational awareness in computer network security