عامل‌های انسانی در امنیت اطلاعات/تهدیدهای بازدارنده فضای سایبر (رویکرد اجرایی مستقل)

مقدمه

ویرایش

همانگونه که ابزارها و تکنیک‌های جدید روزانه در دنیای فناوری اطلاعات پدیدار می‌گردند تا اطلاعات را در شبکه جهانی اطلاعات قابل دسترس نمایند به همان نسبت آسیب پذیری ناشی از آنها نیز بیشتر می‌گردد. در نتیجه دفاع سایبری از اهمیت ویژه‌ای برخوردار است تا در خصوص انتقال ایمن و معتبر اطلاعات در شبکه جهانی اینترنت اطمینان حاصل گردد. سیستم‌های شناسایی عوامل نفوذ (Intrusion Detection System) و سیستم‌های شناسایی و جلوگیری از عوامل نفوذ (Intrusion Prevention & Detection System) مهترین فن آوری‌هایی هستند که در زمینه حفاظت سایبری وجود دارند. در حقیقیت شناسایی عوامل نفوذ فرایند نظارت بر اتفاقاتی است که در یک سیستم کامپیوتری یا یک شبکه رخ داده و تحلیل و بررسی علائم اتفاقات محتمل آتی است. شناسایی عوامل نفوذ می‌تواند بصورت دستی یا بصورت خودکار صورت پذیرد. شناسایی عوامل نفوذ بصورت دستی ممکن است از طریق بازرسی فایلهای ثبت وقایع یا ترافیک شبکه‌ای رخ دهد. بنابراین یک سیستم شناسایی عوامل نفوذ ابزار یا کاربرد نرم افزاری است که عملکرد شبکه و سیستم اطلاعات برای اقدامات اشتباه یا نقض قوانین را کنترل می‌نماید و به آن فعالیت مشکوک از طریق اطلاع رسانی به مدیر سیستم از راه‌های مختلف پاسخ می‌دهد. سیستم‌های شناسایی عوامل نفوذ می‌توانند بر اساس میزبان یا بر اساس شبکه باشند. سیستم بر اساس میزبان تماس‌ها و وقایع سیستم را کنترل می‌کنند در حالیکه سیستم‌های بر اساس شبکه جریان بسته‌های کوچک شبکه را کنترل می‌کنند. سیستم‌های مدرن معمولاً تلفیقی از این دو رویکرد هستند. سیستم جلوگیری از عوامل نفوذ (Intrusion prevention System) ابزار یا کاربرد نرم افزاری است که سیستم شناسایی عوامل نفوذ را تکمیل می‌کند و قادر به متوقف نمودن بسیاری از رخدادها پیش از رخداد می‌باشد.

سیستم‌های پیشگیری از عوامل نفوذ در چهار دسته طبقه بندی می‌گردند:

  • پیشگیری از عوامل نفوذ وابسته به شبکه Network-based Intrusion Prevention (NIPS): کل شبکه را برای ترافیک مشکوک از طریق تحلیل فعالیت پروتکل (تبادل داده بین سیستم‌ها) کنترل می‌کند.
  • سیستم‌های پیشگیری از عوامل نفوذ بی سیم Wireless Intrusion Prevention Systems (WIPS): یک شبکه بی سیم را برای ترافیک مشکوک از طریق تحلیل پروتکل‌های بی سیم شبکه کنترل می‌کند.
  • تحلیل رفتار شبکه Network Behavior Analysis (NBA): ترافیک شبکه را بمنظور شناسایی تهدیداتی که جریانهای ترافیکی غیر معمول تولید می‌کنند بررسی می‌نماید مثل حملات DDoS
  • پیشگیری از عوامل نفوذ بر اساس میزبان Host-based Intrusion Prevention (HIPS: بسته‌ای است که یک میزبان خاص را برای فعالیت مشکوک از طریق تحلیل وقایع رخ داده در آن میزبان کنترل می‌نماید.

روش‌های شناسایی

ویرایش

بسیاری از سیستم‌های پیشگیری از عوامل نفوذ یکی از سه روش شناسایی را مورد استفاده قرار می‌دهند: تشخیص وابسته به امضا، تشخیص آماری وابسته به عیب و تشخیص تجزیه و تحلیل پروتکل Stateful

کارهای مشابه صورت گرفته

ویرایش

در سالهای اخیر تلاشهای بسیاری در جهت دستیابی به مدل‌های مستقلی که حفاظت از سیستم‌های کامپیوتری و تقویت امنیت در فن آوری اطلاعات را با استفاده از خاصیت خود مدیریتی عامل‌ها در زمینه شناسایی و جلوگیری از عوامل نفوذ انجام می‌دهند صورت گرفته‌است. در اینجا به برخی از کارهایی که در زمینه سیستم‌های شناسایی عوامل نفوذ بصورت multi-agent صورت گرفته‌است اشاره می‌کنیم. در این کارها یک معماری خاص خودکار برای حفاظت از اطلاعات در نظر گرفته شده بنحوی که افزایش پیچیدگی سیستم با امنیت خودکار زیر سیستم با قابلیت خود پیکربندی، خود بهینه سازی، خود درمانی و خود حفاظتی ایجاد می‌شود. سیستم پیشرفت زیادی در حفاظت از اطلاعات نشان داده‌است. بیشترین اشکال و محدودیت سیستم فقدان فاکتور تحلیل و ارزیابی ریسک است. در سیستم شناسایی عوامل نفوذ بر اساس عامل نامعلوم که بر اساس چند حسگر است عامل‌ها اطلاعات را از چند حسگر می‌گیرند و با منطق نامعلوم ثبت وقایع فایلها را پردازش می‌کنند. در این روش جدید مشخص شده که سیستم شناسایی عوامل نفوذ بر اساس عامل‌های نامعلوم موثرتر از سیستم‌های فعلی عمل می‌کند. هزینه این روش نیز کمتر است. تنها اشکال این رویکرد حضور مرکز کنترلی است که بیشتر کار شناسایی عوامل نفوذ را انجام می‌دهد. در روش شناسایی عوامل نفوذ بر اساس چند عاملی در سطوح مختلف سیستم قادر خواهد بود بیشتر رخدادهای نفوذی و حملات را شناسایی کند. این مطالعه نشان می‌دهد که فن آوری وابسته به عامل ابزار مطمئنی برای ایجاد زیربنای یک سیستم شناسایی عوامل نفوذ است. البته سیستم کاستی‌هایی دارد مثل اینکه پردازش شناسایی با روند کندی صورت می‌گیرد و اینکه هنوز درصد شناسایی خملات ناشناخته ناچیز است. مشکل مهم بعدی حفاظت از امنیت سیسم از حملات است چرا که نقش اصلی سیستم شناسایی عوامل نفوذ (IDS) منترل سیستم و برقراری امنیت در آن است و خود IDS معمولاً هدف حملات است.

راه حل پیشنهادی

ویرایش

برای فائق آمدن با محدودیت‌های سیستم‌های شناسایی از عوامل نفوذی فعلی ما یک سیستم پیشگیری پیشنهاد می‌گردد که بر اساس تحلیل ریسک است و از سیستم عصبی انسان الهام می‌گیرد. در سیستم عصبی انسان پیشگیری از عوامل نفوذی و حملات از یابنده‌های کوچک، خودکار و هوشمند بعنوان حسگر استفاده می‌کند. سیستم پیشگیری از عوامل در داخل میزبان مستقر است و منابع خود را (از قبیل فعالیت‌های کاربردی، تماس‌های سیستم، دسترسی به فایلها و اصلاحات) برای یافتن فعالیت‌های مشکوک کنترل می‌کند.

نقش رشته‌های عصبی مدیریت نمودن این عامل‌های خودکار از طریق ارسال دستورهای کنترلی دقیق و شدید مثل دستور شروع یا متوقف نمودن اجرا یا تغییر پارامترهای عملکردی و همچنین تعبیه یک سری قوانین پیشگیری که از وقوع حملات پیش از رخ دادن آنها ممانعت بعمل آورد می‌باشد. از آنجاییکه عامل‌ها عناصر مستقلی هستند سیستم می‌تواند به تعداد آنها اضافه کند یا آنها را حذف کند بدون آنکه بقیه اجزای تشکیل دهنده سیستم تحت تأثیر قرار گیرد. علاوه بر آن عامل‌ها ممکن است مکانیسمی برای دوباره پیکربندی خود در زمان اجرا تعبیه کنند که با حداقل دخالت نیروی انسانی صورت پذیرد. همچنین یک عامل می‌تواند عضوی از یک گروه باشد که می‌تواند عملکردهای متفاوتی نشان دهد و در عین حال به تبادل اطلاعات بپردازد و یا نتایج پیچیده‌ای حاصل کند.

نتیجه گیری و کارهای آتی

ویرایش

یافته‌های تحقیقات و بررسی‌های ما نشان می‌دهد که سیستم‌های شناسایی و پیشگیری از عوامل نفوذ فعلی دارای برخی محدودیت‌ها و اشکالات هستند. بنابراین نیاز به بکارگیری سیستم‌های پیشرفته تر بر اساس اصول خودکار وجود دارد. نرم افزارهای مستقل می‌توانند بصورت مستقل از هم عمل کنند و تکالیف متفاوتی انجام دهند. خود پیکر بندی سیستم مسئول کسب اطمینان مدیریت کل سیتم است یعنی اینکه سیستم با این عامل‌ها هماهنگ و سنکرون شده باشند. علاوه بر آن از آنجائیکه این عامل‌ها مستقل از هم عمل می‌کنند دوباره پیکربندی حسگرها کار سختی است ولی با مدیریت هماهنگ و مطابق می‌توانند ساده و موثر شود. در این مقاله راه حل موثرتری پیشنهاد دادیم که از سیستم‌های شناسایی و پیشگیری از عوامل نفوذ موجود بهتر هستند. راه کار پیشنهاد شده یک سیستم پیشگیری از عوامل نفوذی خود مدیریت شده و هوشمند به تشخیص خطاهاست که با عنایت به استفاده از عامل‌های چندگانه که توسط مدیر بصورت خودکار نظارت می‌شوند و با توجه به تحلیل ارزیابی ریسک در سیستم حداقل تعداد هشدارها را دارند. با خاصیت خود مدیریتی سیستم می‌توانند بصورت پویا خود را با محیط پیرامونی در حال تغییر تطبیق دهد، بصورت خودکار منابع را کنترل و تنظیم کند و عوامل مزاحم را کشف کند و واکنش صحیح در برابرشان نشان دهد. کارهای آتی در این زمینه می‌تواند کنترل نه تنها منابع میزبان بلکه کل شبکه باشد تا با توزیع این عامل‌ها سیستم پیشگیری از عوامل نفوذ را با حداکثر امنیت و شناسایی تهدیدات پیش ببرد. کار آتی دیگر می‌تواند استفاده از عامل‌های موبایل باشد که قادرند از یک میزبان به میزبان دیگر بروند و عوامل نفوذی را شناسایی کنند و در مقابل تهدیدات شناخته شده و یا ناشناخته ممانعت بعمل آورند.

  • عنوان انگلیسی مقاله:Precluding Emerging Threats from Cyberspace: An Autonomic Administrative Approach