یکی از سئوالاتی که دانشجویان و بعضا کاربران عزیز توسینسو دائما با آن مواجه هستند این است که چگونه می توانیم یک کارشناس امنیت اطلاعات و ارتباطات شویم و یا اینکه چگونه یک هکر شویم و سئوالاتی از این قبیل که در نهایت یک مفهوم از همگی آنها برداشت می شود ، است. در این مقاله بنده به عنوان شخصی که چندین سال در زمینه امنیت اطلاعات و ارتباطات فعالیت داشته ام سعی می کنم تجارب خودم در این زمینه را با دوستان به اشتراک بگذارم و نظر آنها را نیز در این خصوص جویا بشوم .
البته دنیای امنیت دنیای بزرگی است و زمانیکه صحبت از امنیت می شود تقریبا همه چیز را می توان در آن درگیر کرد. در ابتدا امر باید به این موضوع اشاره کنیم که ما در خصوص کارشناس امنیت شبکه ، کارشناس امنیت اطلاعات ، کارشناس امنیت برنامه نویسی ، کارشناس امنیت وب ، کارشناس امنیت فیزیک و ... نمی خواهیم صحبت کنیم ، می خواهیم در خصوص کارشناس امنیت اطلاعات و ارتباطات صحبت کنیم که خواسته یا ناخواسته همگی این موارد را در بر می گیرد.
همانطور که احتمالا متوجه شدید واژه امنیت اطلاعات و ارتباطات بسیار گسترده است و هیچ شخصی نمی تواند ادعا کند که در همگی حوزه های امنیت اطلاعات و ارتباطات حرفه ای است و همه چیز را می داند ، همانطور که امنیت نسبی است ، دانش امنیت اطلاعات و ارتباطات نیز یک دانش نسبی است . هر کسی که در حوزه امنیت اطلاعات و ارتباطات فعالیت می کند در حوزه تخصصی بصورت ویژه کار کرده است و در کنار آن با فناوری های امنیتی دیگر نیز آشنایی نسبی دارد ، امروز می خواهیم یک کارشناس جامع در حوزه امنیت اطلاعات و ارتباطات را با هم تحلیل کنیم که باید در چه حوزه هایی تخصص داشته باشد چه بصورت نسبی و چه بصورت عمقی ، بهترین راهکار برای تحلیل این موضوع از نظر من بررسی کردن تخصصی های یک کارشناس امنیت اطلاعات و ارتباطات توسط لایه های هفت گانه مدل مرجع OSI است که براحتی امکان تحلیل این مسئله را به ما می دهد ، بنابراین تا انتهای مطلب با ما باشید :
شما هر چقدر هم که سیستم امنی از نظر خودتان داشته باشید ، برای آن فایروال قوی نصب کنید ، آنتی ویروس اصلی نصب کنید و هر روی آن را بروز کنید ، آخرین بسته های امنیتی را بر روی سیستم نصب کنید و از الگوریتم های رمزنگاری بسیار قوی هم استفاده کرده باشید تا به شما نفوذ نشود فقط یک کار ساده می تواند باعث هک شدن شما شود !! کامپیوتر شما بصورت فیزیکی سرقت شود !! اولین مرحله از امنیت لایه بندی شده امنیتی فیزیکی است که در وهله اول قرار می گیرد. قرار دادن دستگاه های سخت افزاری در محیط های امن از نظر فیزیکی ، داشتن نگهبان ، دوربین های مدار بسته ، سیستم های تهویه هوا و کنترل رطوبت ، سیستم های اطفاء و اعلام حریق ئ و ... از عوامل مهم در امنیت اطلاعات هستند.
یک ضرب المثل ساده است که می گوید When I Can Touch Your Computer ; It Is Hacked !! به معنی اینکه اگر من بتوانم بصورت فیزیکی به کامپیوتر شما نزدیک شوم کامپیوتر خود را هک شده بدانید. به عنوان یک کارشناس امنیت شما بهتر است از انواع و اقسام تکنیک های امنیت فیزیکی اعم از انواع نگهبان ، درب های ضد سرقت ، دوربین های مدار بسته ، سگ های نگهبان ، فنس های فلزی ، کپسول های آتش نشانی و سیستم های احراز هویت فیزیکی و اطلاع داشته باشید تا در صورت نیاز به عنوان یک کارشناس از این موارد دید داشته باشید .
حتی بعضا انواع کابل مورد استفاده و رسانه های مورد استفاده در این حوزه در قالب امنیتی فیزیکی یا امنیت لایه یکی باید در نظر گرفته شوند ، تا اینجای کار اگر هکر بتواند شما را دور بزند و بخواهد به شبکه شما ورود کند کار سختی را از نظر فیزیکی خواهد داشت ، اما فرض را بر این می گذاریم که هکر ما توانسته است از لایه های امنیتی فیزیکی لایه اول عبور کند و به لایه بعدی می رسد. حالا من در زیر خلاصه ای از مشکلاتی که از نظر امنیتی در لایه فیزیکی داریم رو با ذکر راهکار عنوان می کنم :
اما راهکارها یا بهتر بگیم کنترل های امنیتی که برای مقابله با مشکلات امنیتی لایه فیزیکی یک کارشناس امنیت باید بدونه :
شما به عنوان کارشناس یک کارشناس امنیت اطلاعات و ارتباطات باید در لایه دوم مدل OSI نیز تبهر داشته باشید ، این لایه در واقع جایی است که آدرس MAC و دستگاه هایی که با این آدرس کار می کنند وجود دارند که مهمترین دستگاه شناخته شده در این زمینه سویچ شبکه است. شما باید بدانید که چه نوع حملاتی می تواند در لایه دوم به سویچ های لایه شبکه انجام شود ، شما باید به خوبی درک کنید که ساختار کاری یک سویچ به چه شکل است ، پروتکل هایی که در یک سویچ کار می کنند چه هستند و نقاط ضعف امنیتی آنها چیست .
در نهایت باید با توجه به دانشی که دارید در این لایه از مکانیزم های امنیتی استفاده کنید ، برای مثال در سویچ های شرکت سیسکو شما می توانید از مکانیزمهای امنیتی مثل Port Security برای جلوگیری از دسترسی پیدا کردن کامپیوترهای غیرمجاز به شبکه استفاده کنید و یا از ساختار VLAN برای تفکیک کردن کامپیوترهای مختلف در شبکه استفاده کنید و ... اینجاست که برای مثال دوره هایی مثل دوره Switching از سری دوره های شرکت سیسکو می تواند به شدت برای شما مفید باشد ، البته این فقط در بستر کابلی نیست و همین مکانیزم ها بعضا در بسترهای بیسیم یا وایرلس نیست وجود دارد ، بد نیست نگاهی به انواع تهدیدات و روش های مقابله با آنها به عنوان یک کارشناس امنیت در لایه دوم از مدل OSI داشته باشیم :
اما راهکارها یا بهتر بگیم کنترل های امنیتی که برای مقابله با مشکلات لایه پیوند داده یک کارشناس امنیت باید بدونه :
لایه شبکه یا Network همان لایه ای است که آدرس دهی منطقی یا Logical Addressing ما را با آدرس IP انجام می دهد و از طرفی وظیفه مسیریابی در شبکه های مختلف و وصل کردن شبکه های مختلف به همدیگر نیز یکی دیگر از وظایف مهم این لایه است ، حالا فرض کنید که شخصی بتواند آدرس IP خودش را به جای آدرس IP یک نفر دیگر جا بزند و یا در بسته اطلاعاتی ارسالی مسیر مبدا و مقصد اطلاعات را تغییر دهد .
همه اینها از مواردی است که در لایه سوم مدل OSI ممکن است پیش بیاید و به عنوان یک کارشناس امنیت اطلاعات و ارتباطات شما باید با نحوه عملکرد پروتکل های این لایه به خوبی آشنایی پیدا کنید و برای هر کدام از این مشکلات راهکار ارائه کنید ، یکی از مهمترین و بهترین دوره های آموزشی که ویژه لایه سوم مدل OSI طراحی شده است دوره Routing از سری دوره های شرکت سیسکو می باشد ، بصورت کلی تهدیدات لایه سوم را به همراه راهکارهای امنیتی آن می توانید در ادامه مشاهده کنید :
اما راهکارهایی نیز برای امن کردن اطلاعات در لایه سوم وجود دارند که به عنوان کارشناس امنیت اطلاعات بایستی با آنها آشنا باشید :
مهمترین وظیفه لایه چهارم از مدل OSI که به عنوان لایه انتقال یا Transport معروف است تعریف کردن پروتکل های ارتباطی بین طرفیت است . تعیین کردن اتصال گرا بودن یا Connection Oriented بودن و یا عدم اتصالگر بودن یا ConnectionLess بودن مهمترین وظیفه این لایه است. یکی از مهمترین مباحث در امنیت اطلاعات integrity یا صحت و تمامیت داده های انتقالی است که با استفاده از پروتکل های Connection Oriented می توانیم تا حدود زیادی از درست و سلامت بودن داده های انتقالی خود با توجه به دریافت شدن بسته اطلاعاتی Acknowledge برای تایید دریافت شدن بسته های اطلاعاتی اطمینان حاصل کنیم ، اما بصورت کلی شما باید به عنوان کارشناس امنیت اطلاعات و ارتباطات در سطح این لایه نیز تهدیدها و راهکارهای امنیتی را بشناسید که از مهمترین های آنها می توانیم به موارد زیر اشاره کنیم :
اما راهکارهایی نیز برای امن کردن اطلاعات در لایه چهارم وجود دارند که شما به عنوان کارشناس امنیت اطلاعات بایستی به آنها آشنا باشید:
وظیفه اصلی لایه نشست یا Session ایجاد کردن ، نگهداری کردن و پایان بخشیدن به یک Session ارتباطی است اما در همه موارد از جمله ایجاد کردن ، مدیریت کردن و اتمام یک Session اطلاعاتی امکان شنود ، جعل و ... وجود دارد .اگر از مکانیزم های احراز هویت ضعیفی در این لایه استفاده شود امکان شنود شدن و بدست آوردن اطلاعات هویتی طرفیت بسیار ممکن است ، تصور کنید که نام کاربری و رمز عبور شما در هنگام برقراری ارتباط با یک وب سرور بصورت رمزنگاری نشده یا Clear Text رد و بدل شود و همین امر ممکن است کل Session شما را تحت تاثیر قرار دهد. حملات Brute Force و MITM از جمله دیگر حملاتی هستند که در این لایه انجام می شود ، از جمله تهدیدات و راهکارهای مقابله ای که در حوزه امنیت اطلاعات می توان در این لایه متصور بود می توانیم به موارد زیر اشاره کنیم :
اما شما به عنوان یک کارشناس امنیت اطلاعات و ارتباطات بایستی موارد زیر را برای جلوگیری از بروز چنین حملاتی در نظر داشته باشید :
وظیفه اصلی لایه نمایش یا Presentation قالب بندی داده ها است . قالب بندی همان تعریف کردن روش رمزنگاری و فشرده سازی اطلاعات می باشد. شما به عنوان یک کارشناس امنیت اطلاعات و ارتباطات بایستی با الگوریتم های مختلف رمزنگاری آشنایی داشته باشید. باید نقاط ضعف هر الگوریتم و محل استفاده هر یک از الگوریتم ها را به خوبی بشناسید تا بتوانید در مقابل حملاتی که در این لایه انجام می شود مقابله کنید. در این لایه است که معمولا کارشناسانی که بصورت آکادمیک فعالیت کرده اند بیشتر احساس راحتی می کنند زیرا همه چیز در خصوص رمزنگاری و ریاضیات است و این دقیقا چیزی است که در رشته امنیت اطلاعات در دانشگاه ها تدریس می شود . هر چند دانستن این الگوریتم ها خوب است اما باید بدانید که چگونه و در کجا از آنها استفاده کنید.
لایه هفتم که لایه کاربردی یا Application نام دارد از نظر من و بسیاری دیگر از کارشناسان امنیت اطلاعات و ارتباطات سخت ترین لایه برای بحث امنیت اطلاعات است. این لایه وظیفه ارتباط با کاربران را بر عهده دارد و تقریبا همه نرم افزارهایی که کاربران قادر به مشاهده آن هستند در این لایه قرار می گیرند. برنامه نویس ها معمولا در این لایه بهترین کارشناسان امنیت می شوند زیرا دیدگاه آنها نرم افزار است و این لایه نیز در خصوص نرم افزارها صحبت می کند. معمولا بیشترین نقاط ضعف امنیتی که در دنیا وجود دارد در این لایه استقرار پیدا کرده است .
انواع و اقسام نرم افزارها و تنوع زیاد آنها و بعضا سهل انگاری هایی که در تولید و پشتیبانی آنها می شود باعث می شود که سخت ترین لایه برای کارشناسان امنیت لایه هفتم باشد. شما به عنوان یک کارشناس امنیت اطلاعات و ارتباطات باید تا حدودی با ساختار برنامه نویسی ، نقاط ضعف یک نرم افزار که می تواند باعث نفوذ به نرم افزار شود ، الگوریتم ها و روش های مختلف و استاندارد برنامه نویسی امن و ... آشنایی داشته باشید. این حداقل کاری است که شما می توانید در این لایه به عنوان یک کارشناس امنیت اطلاعات و ارتباطات انجام دهید. امیدوارم مورد توجه شما قرار گرفته باشد امیدوارم بتوانم در ادامه از تجربیات شما دوستان نیز استفاده کنم.