عاملهای انسانی در امنیت اطلاعات/تهدیدهای بازدارنده فضای سایبر (رویکرد اجرایی مستقل)
مقدمه
ویرایشهمانگونه که ابزارها و تکنیکهای جدید روزانه در دنیای فناوری اطلاعات پدیدار میگردند تا اطلاعات را در شبکه جهانی اطلاعات قابل دسترس نمایند به همان نسبت آسیب پذیری ناشی از آنها نیز بیشتر میگردد. در نتیجه دفاع سایبری از اهمیت ویژهای برخوردار است تا در خصوص انتقال ایمن و معتبر اطلاعات در شبکه جهانی اینترنت اطمینان حاصل گردد. سیستمهای شناسایی عوامل نفوذ (Intrusion Detection System) و سیستمهای شناسایی و جلوگیری از عوامل نفوذ (Intrusion Prevention & Detection System) مهترین فن آوریهایی هستند که در زمینه حفاظت سایبری وجود دارند. در حقیقیت شناسایی عوامل نفوذ فرایند نظارت بر اتفاقاتی است که در یک سیستم کامپیوتری یا یک شبکه رخ داده و تحلیل و بررسی علائم اتفاقات محتمل آتی است. شناسایی عوامل نفوذ میتواند بصورت دستی یا بصورت خودکار صورت پذیرد. شناسایی عوامل نفوذ بصورت دستی ممکن است از طریق بازرسی فایلهای ثبت وقایع یا ترافیک شبکهای رخ دهد. بنابراین یک سیستم شناسایی عوامل نفوذ ابزار یا کاربرد نرم افزاری است که عملکرد شبکه و سیستم اطلاعات برای اقدامات اشتباه یا نقض قوانین را کنترل مینماید و به آن فعالیت مشکوک از طریق اطلاع رسانی به مدیر سیستم از راههای مختلف پاسخ میدهد. سیستمهای شناسایی عوامل نفوذ میتوانند بر اساس میزبان یا بر اساس شبکه باشند. سیستم بر اساس میزبان تماسها و وقایع سیستم را کنترل میکنند در حالیکه سیستمهای بر اساس شبکه جریان بستههای کوچک شبکه را کنترل میکنند. سیستمهای مدرن معمولاً تلفیقی از این دو رویکرد هستند. سیستم جلوگیری از عوامل نفوذ (Intrusion prevention System) ابزار یا کاربرد نرم افزاری است که سیستم شناسایی عوامل نفوذ را تکمیل میکند و قادر به متوقف نمودن بسیاری از رخدادها پیش از رخداد میباشد.
سیستمهای پیشگیری از عوامل نفوذ در چهار دسته طبقه بندی میگردند:
- پیشگیری از عوامل نفوذ وابسته به شبکه Network-based Intrusion Prevention (NIPS): کل شبکه را برای ترافیک مشکوک از طریق تحلیل فعالیت پروتکل (تبادل داده بین سیستمها) کنترل میکند.
- سیستمهای پیشگیری از عوامل نفوذ بی سیم Wireless Intrusion Prevention Systems (WIPS): یک شبکه بی سیم را برای ترافیک مشکوک از طریق تحلیل پروتکلهای بی سیم شبکه کنترل میکند.
- تحلیل رفتار شبکه Network Behavior Analysis (NBA): ترافیک شبکه را بمنظور شناسایی تهدیداتی که جریانهای ترافیکی غیر معمول تولید میکنند بررسی مینماید مثل حملات DDoS
- پیشگیری از عوامل نفوذ بر اساس میزبان Host-based Intrusion Prevention (HIPS: بستهای است که یک میزبان خاص را برای فعالیت مشکوک از طریق تحلیل وقایع رخ داده در آن میزبان کنترل مینماید.
روشهای شناسایی
ویرایشبسیاری از سیستمهای پیشگیری از عوامل نفوذ یکی از سه روش شناسایی را مورد استفاده قرار میدهند: تشخیص وابسته به امضا، تشخیص آماری وابسته به عیب و تشخیص تجزیه و تحلیل پروتکل Stateful
کارهای مشابه صورت گرفته
ویرایشدر سالهای اخیر تلاشهای بسیاری در جهت دستیابی به مدلهای مستقلی که حفاظت از سیستمهای کامپیوتری و تقویت امنیت در فن آوری اطلاعات را با استفاده از خاصیت خود مدیریتی عاملها در زمینه شناسایی و جلوگیری از عوامل نفوذ انجام میدهند صورت گرفتهاست. در اینجا به برخی از کارهایی که در زمینه سیستمهای شناسایی عوامل نفوذ بصورت multi-agent صورت گرفتهاست اشاره میکنیم. در این کارها یک معماری خاص خودکار برای حفاظت از اطلاعات در نظر گرفته شده بنحوی که افزایش پیچیدگی سیستم با امنیت خودکار زیر سیستم با قابلیت خود پیکربندی، خود بهینه سازی، خود درمانی و خود حفاظتی ایجاد میشود. سیستم پیشرفت زیادی در حفاظت از اطلاعات نشان دادهاست. بیشترین اشکال و محدودیت سیستم فقدان فاکتور تحلیل و ارزیابی ریسک است. در سیستم شناسایی عوامل نفوذ بر اساس عامل نامعلوم که بر اساس چند حسگر است عاملها اطلاعات را از چند حسگر میگیرند و با منطق نامعلوم ثبت وقایع فایلها را پردازش میکنند. در این روش جدید مشخص شده که سیستم شناسایی عوامل نفوذ بر اساس عاملهای نامعلوم موثرتر از سیستمهای فعلی عمل میکند. هزینه این روش نیز کمتر است. تنها اشکال این رویکرد حضور مرکز کنترلی است که بیشتر کار شناسایی عوامل نفوذ را انجام میدهد. در روش شناسایی عوامل نفوذ بر اساس چند عاملی در سطوح مختلف سیستم قادر خواهد بود بیشتر رخدادهای نفوذی و حملات را شناسایی کند. این مطالعه نشان میدهد که فن آوری وابسته به عامل ابزار مطمئنی برای ایجاد زیربنای یک سیستم شناسایی عوامل نفوذ است. البته سیستم کاستیهایی دارد مثل اینکه پردازش شناسایی با روند کندی صورت میگیرد و اینکه هنوز درصد شناسایی خملات ناشناخته ناچیز است. مشکل مهم بعدی حفاظت از امنیت سیسم از حملات است چرا که نقش اصلی سیستم شناسایی عوامل نفوذ (IDS) منترل سیستم و برقراری امنیت در آن است و خود IDS معمولاً هدف حملات است.
راه حل پیشنهادی
ویرایشبرای فائق آمدن با محدودیتهای سیستمهای شناسایی از عوامل نفوذی فعلی ما یک سیستم پیشگیری پیشنهاد میگردد که بر اساس تحلیل ریسک است و از سیستم عصبی انسان الهام میگیرد. در سیستم عصبی انسان پیشگیری از عوامل نفوذی و حملات از یابندههای کوچک، خودکار و هوشمند بعنوان حسگر استفاده میکند. سیستم پیشگیری از عوامل در داخل میزبان مستقر است و منابع خود را (از قبیل فعالیتهای کاربردی، تماسهای سیستم، دسترسی به فایلها و اصلاحات) برای یافتن فعالیتهای مشکوک کنترل میکند.
نقش رشتههای عصبی مدیریت نمودن این عاملهای خودکار از طریق ارسال دستورهای کنترلی دقیق و شدید مثل دستور شروع یا متوقف نمودن اجرا یا تغییر پارامترهای عملکردی و همچنین تعبیه یک سری قوانین پیشگیری که از وقوع حملات پیش از رخ دادن آنها ممانعت بعمل آورد میباشد. از آنجاییکه عاملها عناصر مستقلی هستند سیستم میتواند به تعداد آنها اضافه کند یا آنها را حذف کند بدون آنکه بقیه اجزای تشکیل دهنده سیستم تحت تأثیر قرار گیرد. علاوه بر آن عاملها ممکن است مکانیسمی برای دوباره پیکربندی خود در زمان اجرا تعبیه کنند که با حداقل دخالت نیروی انسانی صورت پذیرد. همچنین یک عامل میتواند عضوی از یک گروه باشد که میتواند عملکردهای متفاوتی نشان دهد و در عین حال به تبادل اطلاعات بپردازد و یا نتایج پیچیدهای حاصل کند.
نتیجه گیری و کارهای آتی
ویرایشیافتههای تحقیقات و بررسیهای ما نشان میدهد که سیستمهای شناسایی و پیشگیری از عوامل نفوذ فعلی دارای برخی محدودیتها و اشکالات هستند. بنابراین نیاز به بکارگیری سیستمهای پیشرفته تر بر اساس اصول خودکار وجود دارد. نرم افزارهای مستقل میتوانند بصورت مستقل از هم عمل کنند و تکالیف متفاوتی انجام دهند. خود پیکر بندی سیستم مسئول کسب اطمینان مدیریت کل سیتم است یعنی اینکه سیستم با این عاملها هماهنگ و سنکرون شده باشند. علاوه بر آن از آنجائیکه این عاملها مستقل از هم عمل میکنند دوباره پیکربندی حسگرها کار سختی است ولی با مدیریت هماهنگ و مطابق میتوانند ساده و موثر شود. در این مقاله راه حل موثرتری پیشنهاد دادیم که از سیستمهای شناسایی و پیشگیری از عوامل نفوذ موجود بهتر هستند. راه کار پیشنهاد شده یک سیستم پیشگیری از عوامل نفوذی خود مدیریت شده و هوشمند به تشخیص خطاهاست که با عنایت به استفاده از عاملهای چندگانه که توسط مدیر بصورت خودکار نظارت میشوند و با توجه به تحلیل ارزیابی ریسک در سیستم حداقل تعداد هشدارها را دارند. با خاصیت خود مدیریتی سیستم میتوانند بصورت پویا خود را با محیط پیرامونی در حال تغییر تطبیق دهد، بصورت خودکار منابع را کنترل و تنظیم کند و عوامل مزاحم را کشف کند و واکنش صحیح در برابرشان نشان دهد. کارهای آتی در این زمینه میتواند کنترل نه تنها منابع میزبان بلکه کل شبکه باشد تا با توزیع این عاملها سیستم پیشگیری از عوامل نفوذ را با حداکثر امنیت و شناسایی تهدیدات پیش ببرد. کار آتی دیگر میتواند استفاده از عاملهای موبایل باشد که قادرند از یک میزبان به میزبان دیگر بروند و عوامل نفوذی را شناسایی کنند و در مقابل تهدیدات شناخته شده و یا ناشناخته ممانعت بعمل آورند.
منبع
ویرایش- عنوان انگلیسی مقاله:Precluding Emerging Threats from Cyberspace: An Autonomic Administrative Approach