عامل‌های انسانی در امنیت اطلاعات/الزامات کاربردی هوشیاری موقعیتی در امنیت شبکه کامپیوتری

در سال‌های اخیر آگاهی وضعیتی (SA) یک موضوع در حال رشد بوده‌است، به ویژه در حیطه علم شناختی. با این حال آگاهی وضعیتی در امنیت شبکه هنوز مراحل اولیه خود را طی می‌کند. در شبکه‌های کامپیوتری، انواع حملات سایبری رخ می‌دهند. اگرچه کنترل‌های خاص و جداگانه‌ای برای حفاظت از شبکه‌های کامپیوتری در مقابل هر کدام از این حملات وجود دارد اما متاسفانه هر کنترل به یک حمله خاص اختصاص دارد. بنابر این تشخیص حملات گسترده یا سازمان یافته چالش برانگیز است. حقیقت این است که ظرفیت هر روش کنترل امنیتی محدود است و از طرف دیگر غیر ممکن است که سازمان‌ها تعداد زیادی امکانات امنیتی را برای هر یک از این حملات تهیه کنند.

راه حل پیشنهادی این است که از روش‌های کنترلی موجود در سازمان استفاده شود، اما برای بهبود آگاهی وضعیتی بخشهای مختلف شبکه، و کم کردن ریسک‌های داخل شبکه، آن روش‌ها را با هم ترکیب کنند. تجمیع مدارک کنترل‌های امنیتی موجود، در واقع ترکیب داده‌های ایجاد شده از چند منبع است که در آن کنترل‌های امنیتی ناهمگن برای فراهم کردن آگاهی موقعیتی صحیح در شبکه با هم ترکیب می‌شوند. آگاهی وضعیتی امنیت شبکه (NSSA)، برای توصیف آگاهی وضعیتی در دفاع از شبکه‌های کامپیوتری (رایانه‌ای) استفاده شده و روی دانش و قابلیت تحلیلگر در درک و تحلیل موقعیت‌ها، تصمیم گیری‌های درست در مورد چگونگی حمایت و حفاظت از سرمایه‌های با ارزش سازمان و پیشبینی درست وضعیت آتی در یک محیط پیچیده و پویا تکیه دارد.

آگاهی وضعیتی

ویرایش

آگاهی وضعیتی (SA) بر اساس دانستن و آگاهی یافتن از آنچه که در اطراف شما جریان دارد و دانش شما از آنچه که شما را احاطه کرده‌است و نیز آگاهی یافتن از موضوعات مهم تعریف می‌شود. SA از عوامل انسانی و مطالعات شناختی ناشی می‌شود که هم شامل یک فرد با فرآیندهای شناختی او و هم موقعیتی با انواع وضعیت‌های مختلف اطلاعاتی می‌شود. SA بسیار پیچیده‌ است و حالات دینامیک و پویای مختلفی دارد مثل شبکه‌های کامپیوتری که شامل صدها شیء مختلف مانند انواع فایروال‌ها، IDS، روترها، سرورها و ... می‌باشد. برای آگاهی وضعیتی می‌توان مدل چهار سطحی تعریف کرد. این سطوح عبارتند از: ادراک، فهم، تجسم و تحلیل.

ادراک به دانشی که یک تحلیلگر شبکه از عناصر موجود در شبکه دارد بر می‌گردد مانند هشدارهای سیستم‌های تشخیص نفوذ یا لاگ‌هایی که فایروال ایجاد می‌کند. همچنین زمان روی دادن این اتفاقات و کنترل‌هایی که باعث تشخیص شده‌اند نیز اهمیت دارد. فهم به تکنیک‌ها، متولوژی‌ها، فرآیندها و روندهایی بر می‌گردد که یک تحلیلگر امنیتی برای تحلیل، ترکیب و مرتبط کردن شواهد و داده‌هایی که از عناصر شبکه به دست آمده‌اند، استفاده می‌کند.

تجسم: به توانایی پیش بینی آتی بر اساس دانش بدست آمده از دینامیک عناصر و درک موقعیت اشاره دارد. تجسم به سوالاتی مانند سوالات زیر پاسخ می‌دهد: چه نوع حملاتی ممکن است رخ دهد؟ برای این حملات چه کنترل‌هایی نیاز است؟ و تحلیل به کنترل‌هایی که برای اقدام در مقابل خطرات ذاتی شبکه‌ها انجام می‌شود اشاره دارد.

آگاهی وضعیتی یک فرآیند عامل انسان شناختی است و شامل فردی می‌شود که موقعیت‌ها را در شبکه مشاهده و تحلیل کرده و سپس در مورد حالت‌های شبکه تخمین‌هایی می‌زند. NSSA شامل مونیتورینگ امنیتی، مشاهدات امنیتی، تکنیک‌های تشخیص حملات، ترکیب داده‌ها، اتوماسیون، پویایی و پیچیدگی می‌باشد که همه اینها برای رسیدن به سطح بالایی از آگاهی وضعیتی می‌باشند. ادراک، فهم، تجسم و تحلیل، هسته اصلی SA را تشکیل می‌دهند. هنگامی که این مفاهیم تجزیه تحلیل می‌شوند مشابه با مراحل کنترل در امنیت شبکه می‌باشند که در آن شبکه از لحاظ موقعیت‌های مشکوک مورد بررسی قرار می‌گیرد تا حملات احتمالی در آن کنترل شود. مانیتورینگ امنیت زمانی صورت می‌گیرد که فردی بخواهد شبکه و سیستم‌ها را از نظر تغییرات داده‌ها کنترل و مانیتور کند. مانیتورینگ امنیت تنها بخشی از مرحله ادراک هوشیاری است. تصویر سازی امنیت عبارت است از انتقال داده‌ها و اطلاعات به صورت یک الگوی قابل مشاهده. این بخش نیز قسمتی از مرحله فهم هوشیاری موقعیتی است. به طور مشابه ترکیب داده‌ها تکنیکی برای ترکیب شواهد یک موقعیت ادراک شده‌است. برخی از مراحل مورد نیاز برای فهمیدن خصوصیات لازم برای طراحی و پیاده سازی SA در امنیت یک شبکه کامپیوتری عبارتند از:

  1. پویایی و پیچیدگی: یک شبکه کامپیوتری مجموعه‌ای از سیستم‌ها و عملکردهای به هم مرتبط است که به صورت پویا و معمولا پیچیده می‌باشند و خروجی آن‌ها متفاوت و بار کاری یا ترافیک بالایی دارند و همچنین دارای ریسک‌های متفاوتی هستند. انواع لینک‌های ارتباطی می‌تواند این پیچیدگی را بیشتر کند. حفظ هوشیاری موقعیتی در یک شبکه که شامل هزاران رویداد است مشکل است.
  2. اتوماسیون: در قرن حاضر سیستم‌های محاسباتی قدرتمندی ایجاد شده‌اند و اتوماسیون کارها امکان پذیر شده‌است. به طوری که سیستم‌های اتوماسیون برای انجام بیشتر کارها به نیروی انسانی ترجیح داده می‌شوند.
  3. پردازش سریع (Realtime Processing): امنیت پردازش سریع در شبکه‌های کامپیوتری نیازمند یک هوشیاری خاص است. برای به دست آوردن سطح بالاتری از هوشیاری موقعیتی، ابزاری که برای تحلیل SA استفاده می‌شود باید دارای توانایی فراهم نمودن پردازش سریع داده‌ها باشد.
  4. ترکیب داده‌های چند منبعی: ترکیب داده‌های چند منبعی (MSDF) یک فرآیند بر روی داده‌های چند منبع است که برای آشکار سازی، ارتباط، همبستگی و تخمین انجام می‌شود. این مسئله به ما در فهم بهتر یک رخداد کمک می‌کند. ترکیب داده‌ها برای هوشیاری موقعیتی امنیت شبکه لازم است. در واقع مدرک و شواهد چند منبع که با هم ترکیب شده‌اند نسبت به یک تک منبع فهم بهتری از آشکار سازی حملات را ایجاد می‌کند.
  5. ناهمگونی: ناهمگونی توانایی یک تحلیلگر شبکه برای استفاده از منابع مختلف ناهمگون به منظور مشاهده، جمع آوری و تشخیص تغییرات پویا در یک شبکه‌است. مثلا استفاده از فایروال‌ها، آنتی ویروس‌ها و حفاظ‌های امنیتی. استفاده از انواع کنترل‌های ناهمگون به ایجاد یک هوشیاری موقعیتی واقعی کمک می‌کند.
  6. تصویر سازی امنیت: الگوهای حمله یا مدارک گردآوری شده در مورد حملات را برای کمک به تحلیل گر امنیت در جهت آشکار سازی و پاسخ دهی به حملات باید تصویر سازی کرد. تصویر سازی یک ابزار ارزشمند برای حفظ هوشیاری موقعیتی است.
  7. ارزیابی ریسک: ارزیابی خطر در هوشیاری موقعیتی امنیت شبکه یک SA سطح دو است که در آن موقعیت‌های ادراک شده برای شناسایی حملات، سنجش حالت‌ها و تخمین خطرات مورد ارزیابی قرار می‌گیرد. شبکه‌های کامپیوتری تحت خطرات دائمی قرار دارند که هم از طرف حمله کننده‌هایی با اهداف مغرضانه می‌باشد و هم از طرف کاربران داخلی که هدف مغرضانه‌ای ندارند.
  8. تحلیل: تحلیل خطاهای عملکرد سیستم که از کاستی‌های شبکه‌های کامپیوتری و ساختارهای سیستم ناشی می‌شود برای اصلاح و بازیابی سیستم‌ها مهم است. خطاها بر روی سرویس‌های عملکردی سیستم‌ها مانند یکپارچگی، محرمانگی و در دسترس بودن تاثیر می‌گذارند و بدون تحلیل و بکار بردن راه حل این سرویس‌ها بلا استفاده، ناکافی و یا غیر قابل دسترس می‌شوند.
  9. پیش گویی و پیش بینی: یک راهکار واقعی هوشیاری موقعیتی قادر است پیش بینی درستی از موقعیت‌های آتی را ارایه کند. برای اینکه پیش بینی درست باشد باید حالات کنونی شبکه و موقعیت‌ها را به طرز صحیح مورد ارزیابی قرارداد و برای آن پاسخ مناسبی ارایه کرد.

به طور کلی هوشیاری موقعیتی در هر حیطه خاص، باید در همان حیطه مورد بررسی قرار گیرد. این موضوع به ما کمک می‌کند که ویژگی‌های آن SA را بفهمیم. بنابراین ویژگی‌های اساسی هوشیاری موقعیتی در امنیت شبکه را که در این مقاله ذکر کردیم، باید در زمان اجرای یک سیستم هوشیاری واقعی در یک شبکه مورد بررسی قرار داد.

منابع

ویرایش

منبع مورد استفاده برای این مطلب: دریافت مقاله اصلی با عنوان:

Functional requirements of situational awareness in computer network security