موسسه SANS یکی از اعضای شرکتکننده در پروژه «کنترلهای امنیتی حیاتی» است که با هدف تشریح مهمترین دستورالعملهای حفظ امنیت شبکه پایهگذاری شده است. این موسسه ارائهدهنده دورهی ویژهی امنیت «پیادهسازی و ارزیابی کنترلهای امنیتی حیاتی» (دوره Sans 566) است. ولی سوالی که پیش میآید این است که پس از گذراندن این دوره باید چه دورههای دیگری را بگذرانیم؟
دورهی SEC566 توصیههای خود را به گونهای ارائه میکند که بتوان برای محصولات، سیستمعاملها و سرویسهای همهی فروشندهها آنها را به کار برد. ولی در عمل بیشتر محیطها با مایکروسافت ویندوز کار میکنند و بسیاری از این دستگاههای ویندوزی به دامنهی اکتیو دایرکتوری پیوستهاند. سوال اینجاست که آیا در میان دورههای ارائهشده توسط موسسهی SANS دورهای وجود دارد که به صورت جامع به مباحث کنترلهای امنیتی حیاتی و ارتباط مستقیم آن با ویندوز و اکتیو دایرکتوری بپردازد؟
پاسخ مثبت است! دورهی شش روزه «ایمنسازی ویندوز با کنترلهای امنیتی حیاتی» (یعنی دوره Sans 505) یکی از دروس ارائهشده توسط موسسه SANS است که به طور خاص، دربارهی کنترلهای امنیتی حیاتی که بر سرورها و کلاینتهای (سرویسگیرندهها) ویندوز تاثیر میگذارد، دستورالعملهای جامعی را ارائه میدهد.
کدامیک از کنترلها در دورهی SEC505 ارائه میشوند و کدامیک ارائه نمیشوند؟
در ادامه، برای هریک از کنترلهای حیاتی دورهی SEC505 توضیحات کافی آورده شده است که به شما کمک میکند این کنترلها را در سیستم ویندوز خود –علاوه بر ارزیابی- پیادهسازی هم بکنید. همچنین، دربارهی دورههای تکمیلی موسسهی SANS که پس از دورهی SEC566 میتوانید سپری کنید هم توصیههایی ارائه شده است.
کنترل ۱: فهرست داراییهای سختافزاری
دورهی SEC505 نرمافزارهای فهرست داراییهای سختافزاری را شامل نمیشود. با این حال، هنگامی که دادههای فهرست را با Nmap یا ابزارهای دیگر جمعآوری میکنید، ناگزیر با این مشکل روبهرو خواهید شد که چگونه از میان انبوهی از دادههای جمعآوریشده گزارشها را سازماندهی، ذخیره، جستجو، مقایسه و تولید کنید. شما میتوانید از دیتابیس، صفحه گسترده (Spreadsheet)، XML یا فایلهای متنی جداسازی شده توسط “کاما” (Comma-delimited) برای ذخیرهی دادهها استفاده کنید. برنامهی پاورشل (Powershell) یک پنجره Command shell و زبان کدنویسی (Scripting) فوقالعاده برای دستکاری اینگونه دادهها به حساب میآید. بسیاری از دستورالعملهای امنیتی به این خاطر اجرا نمیشوند که ادمینها از دانش کافی برای نوشتن Script برخوردار نیستند و دستورالعملهای فهرست یکی از این نمونهها هستند. به همین دلیل، در دورهی SEC505 یک روز کامل به آموزش Script نویسی در پاورشل اختصاص داده شده است.
کنترل ۲: فهرست داراییهای نرمافزاری
دورهی SEC505 نرمافزارهای فهرست داراییهای نرمافزاری را شامل نمیشود. با این وجود برای این منظور میتوان سیاستهای گروهی (Group Policy) را با استفاده از ابزارهای ثالث بهبود داد و همچنین پاورشل میتواند از طریق رابط WMI سیستمها را از راه دور کوئری کند.
البته لازم به ذکر است که این کنترل مواردی مهمتر از فهرست را توصیه میکند: ۱) قفل کردن پیکربندی نرمافزارها ۲) استفاده از لیست سفید (Whitelisting) برای اپلیکیشنها ۳) اجرای عملیات Logging برای تعیین میزان استفاده از اپلیکیشنها و ۴) جلوگیری از نصب ناخواستهی اپلیکیشنها. در دورهی SEC 505 یک روز کامل به آموزش «سیاست گروهی» اختصاص دارد و تکنولوژیهای سیاست گروهی متعددی برای رفع این نوع مشکلات پوشش داده میشوند که از آنها میتوان نرمافزار محدود کردن دسترسی Applocker، سیاستهای ممیزی/لاگبرداری (audit/logging)، مدیریت دسترسی با استفاده از مجوزهای NTFS، پیکربندی تقریبا تمامی بخشهای اینترنت اکسپلورر و اپلیکیشنهای مایکروسافت آفیس، الزامیکردن ارائهی گواهینامهی امضای دیجیتال کد برای اسکریپتها/ماکروها، محدود کردن نصب پکیجهای MSI، اجرای اسکریپتها برای شناسایی نرمافزارهای غیراستاندارد و غیره را نام برد. در دورهی SEC505 به طور ویژه دربارهی تکنیکهای مقاومسازی امنیت سیستم برای جاوا، اینترنت اکسپلورر، گوگل کروم، Adobe Reader و مایکروسافت آفیس، بحث میشود.
کنترل ۳: پیکربندی امن برای سیستمهای کامپیوتری
دستگاههای مجهز به ویندوز به صورت دستی مقاومسازی امنیتی نمیشوند بلکه این کار با استفاده از قالبهای امنیتی INF/XML –مانند نمونههایی که در مدیریت سازگاری امنیتی مایکروسافت (SCM) موجود هستند- انجام میشود. این قالبها با درنظرگرفتن سیاست گروه، SECEDIT.EXE ، پیکربندی و آنالیز امنیتی کنسول MMC و افزودن یک Snap-in، یا برنامهی Security Configuration Wizard بهکارگرفته میشوند (همگی این موارد در دورهی SEC505 آموزش داده خواهند شد). در مورد تنظیمات محدودی که نمیتوان آنها را با استفاده از یک قالب یا سیاست گروه پیکربندی کرد، احتمال آن زیاد است که برای این که بتوان تغییرات را به صورت خودکار درآورد، از یک اسکریپت استفاده شود (یعنی با استفاده از پاورشل میتوان آنها را نیز انجام داد).
به دنیای امنیت علاقمند هستید؟ در دورههای پایه امنیت ثبتنام کنید:
کنترل ۴: ارزیابی و اصلاح آسیبپذیری
در دورهی SANS SEC505 اسکنرهای آسیبپذیری آموزش داده نمیشوند. این موارد را میتوانید در دوره Sans 401 با نام «ملزومات امنیت» فرا بگیرید. با این وجود اصلاح و رفع آسیبپذیری در بخشهای مربوط به مدیریت patch، سیاست گروهی، مقاومسازی امنیت اپلیکیشنها و غیره به خوبی شرح داده شده است.
کنترل ۵: مقابله با بدافزارها
تکنیکهای ضدبدافزار مانند کنترل حساب کاربری (User Account Control)، سرورهای DNS Sinkhole، مقاومسازی امنیت اینترنت اکسپلورر و کروم، جاوا، Adobe Reader، استفاده از Jump Server، AutoPlay یا AutoRun و…. در طی دوره توضیح داده خواهند شد. اما درباره مقایسهی محصولات خاص اسکن آنتیویروس یا انتخاب بهترین محل نصب آنها بحث نخواهد شد.
کنترل ۶:امنیت نرمافزار در لایهی کاربرد
در دورهی SEC505 مباحث کدنویسی ایمن (Secure Coding)، تست اپلیکیشنهای تحت وب یا امنیت دیتابیس توضیح داده نخواهند شد. با این حال، در روز پنجم این دوره، نیمی از روز به توضیح دربارهی ایمنسازی سرورها یا سرور هاردنینگ (Server Hardening) –مانند وب سرورهای IIS- اختصاص خواهد یافت.
کنترل ۷: کنترل دستگاههای وایرلس
در دورهی SEC505 مباحث مربوط به ایجاد یک KPI (زیرساخت کلید عمومی)، الزامیکردن گواهینامههای وایرلس (یا کارتهای هوشمند)، نصب سرورهای ردیوس (RADIUS)، پیکربندی تنظیمات وایرلس بر روی لپتاپها با استفاده از سیاست گروهی، و اجباریکردن استفاده از WPA2، رمزگذاری AES و احراز هویت PEAP در سرورهای ردیوس، به صورت قدمبهقدم توضیح داده خواهند شد. با استفاده از سیاست گروهی، شما میتوانید تنظیمات دیگر مربوط به وایرلس را قفل کرده و از دید کاربران متفرقه (به غیر از ادمینها) پنهان کنید. بهطور مثال، میتوانید مانع اتصال این افراد به شبکههای Ad Hoc (اد هاک) شوید. مشکلاتی مانند نقاط دسترسی سرکش (Rogue Access Points)، تترینگ (Tethering) و کامپیوترهای BYOD (دستگاههای شخصی) هم در این کنترل شرح داده شده است. موسسهی SANS به مدت یک هفته روی امنیت وایرلس (دوره Sans 617) کار میکند ولی این دوره تنها مختص شبکههای ویندوز نیست. اگر فقط به دنبال کسب اطلاعات دربارهی شبکههای ویندوز هستید دورهی SEC505 مناسب شماست.
کنترل ۸: قابلیت بازیابی داده
در دورهی SEC505 دربارهی چگونگی گرفتن بکاپ و بازیابی صحبت نخواهد شد. لطفا برای کسب اطلاعات در این حوزه به دورهی SEC401 با نام «ملزومات امنیتی» مراجعه کنید یا با فروشندهی محصولات بکاپگیری خود تماس بگیرید.
کنترل ۹: آموزش و ارزیابی مهارتها
در دورهی SEC505 دربارهی آموزشهای امنیتی یا سنجش میزان آگاهی در حوزه امنیت، مطلبی ارائه داده نخواهد شد. برای مطالب مربوط به این حوزه، به دورهی MAN433 با نام «ایمنسازی انسانها» مراجعه کنید.
کنترل ۱۰: پیکربندی ایمن دستگاههای شبکه
در دورهی SEC505 طراحی سیستمهای فایروال یا پیکربندی روترها و سوئیچها آموزش داده نخواهند شد. برای یافتن آموزشهای مربوط به این حوزه به دورهی SEC502 با نام «حفاظت محیطی در عمق» مراجعه کنید.
آموزش کامل پیادهسازی و ممیزی 20 کنترل امنیتی حیاتی در دوره SANS 440:
کنترل ۱۱: کنترل پورتهای شبکه، پروتکلها و سرویسها
سیاست گروهی و مدیریت IPSec و فایروال ویندوز از طریق خط فرمان به طور مفصل در دورهی SEC505 توضیح داده خواهند شد. ترکیب IPSec + ویندوز فایروال + سیاست گروهی تضمین میکند که شما کنترل دقیق و انعطافپذیری بر دسترسی کاربران و کامپیوترها به پورتها و سرویسهای مختلف بر روی دستگاههای مختلف، داشته باشید. روز چهارم دورهی SEC505 مختص مطالب مربوط به IPSec، ویندوز فایروال و سرویس Microsoft RADIUS برای احراز هویت استاندارد 802.1x برای سرویسگیرندههای وایرلس و اترنت، خواهد بود.
کنترل ۱۲: اختیارات ادمین
تمامی توصیههای مربوط به این کنترل که در ارتباط با حسابهای ادمین هستند، در روز دوم دورهی SEC505 توضیح داده خواهند شد. در روز سوم (مربوط به مطالب PKI) شرکتکنندگان در دوره، پروسهی ایجاد PKI ویندوز و صدور کارت هوشمند و دیگر مدارک برای کاربران ادمین با هدف احرازهویت چندمرحلهای را فراخواهند گرفت. مدیریت ایمن اطلاعات هویتی ادمینها -که حسابهای سرویس را هم شامل میشود- یکی از دشوارترین و مهمترین وظایف به شمار میآید. در دورهی SEC505 تقریبا یک روز کامل به این کنترل اختصاص داده میشود زیرا -به خصوص برای کاربران ویندوز- اهمیت بالایی دارد.
کنترل ۱۳: دفاع از مرزها
در دورهی SEC505 دربارهی مباحثی مانند فایروال یا طراحی سیستمهای تشخیص نفوذ (IDS) مطلبی ارائه نخواهد شد. برای کسب اطلاعات بیشتر دراینباره میتوانید به دورههای SEC502 با نام «حفاظت محیطی در عمق» و دورهی Sans 503 با نام « تشخیص نفوذ در عمق» مراجعه کنید.
کنترل ۱۴: ممیزی لاگها
همانطور که در بالا گفته شد، سیاست ممیزی ویندوز و لاگها با استفاده از قالبهای امنیتی پیکربندی میشوند زیرا هر دستگاه فایل لاگ مخصوص به خودش را دارد. در دورهی SEC505 چگونگی لاگبرداری در سرورهای ردیوس که دسترسی از راه دور را کنترل میکنند، مانند درگاههای VPN و نقاط دسترسی بیسیم (در روز چهارم) آموزش داده خواهد شد. تمامی این دادهها باید در یک مکان مرکزی به صورت یکپارچه دربیایند (معمولاً با استفاده از فناوری SIEM). ولی، هنگامی که دخالت انسان نیاز باشد تا بتوان از کوئریهای آماده و گزارشهای SIEM فراتر رفت، چگونه میتوان این دادهها را به شیوهای کارآمد استخراج و آنالیز کرد؟ اینجاست که پاورشل به کمک ما میآید! شما میتوانید با استفاده از الگوهای رایج اسکریپتنویسی پاورشل و کوئریهای SQL این کار را به راحتی انجام دهید. لازم به ذکر است که پیکربندی محصولات SIEM در دورهی SEC505 توضیح داده نشده است.
کنترل ۱۵: دسترسی کنترلشده براساس سیاست «نیاز به دانستن» (Need to Know)
میتوان ساعتها دربارهی اصول پایهی سیاست «نیاز به دانستن» صحبت کرد، ولی مفاهیم کاربردی در این حوزه کدامند؟ چطور میتوان در عمل این اصل را در سرورهای یک سازمان پیادهسازی کرد؟ این کنترل به طور گسترده از طریق تعیین گروههای کاربری در ویندوز، قالبهای امنیتی، سیاست گروهی و سیاستهای کنترل دسترسی پویا اعمال میشود. میتوان با استفاده از اسکریپتهای پاورشل که کنترل دسترسی پویا قابلیت جدیدی است که با هدف «پیشگیری از نشت داده» و اعمال مقررات «آنچه باید بدانید» به سرورهای ۲۰۱۲ اضافه شده است. تمامی این مباحث در دورهی SEC505 توضیح داده شدهاند.
کنترل ۱۶: کنترل و مانیتورینگ حسابها
بیشتر توصیههای ذکرشده در این کنترل را میتوان با استفاده از ترکیبی از مجوزهای دسترسی اکتیودایرکتوری، تنظیمات سیاست گروهی، و کوئریهای شخصیسازیشده از اکتیودایرکتوری، مانند کوئریهای انجامگرفته از طریق اسکریپتهای پاورشل، پیادهسازی کرد و تمامی آنها در دورهی SEC505 آموزش داده خواهند شد.
کنترل ۱۷: پیشگیری از نشت داده
در دورهی SEC505، بسیاری از توصیههای ارائهشده در این کنترل با هدف پیشگیری از نشت داده، به طور کامل توضیح داده خواهند شد که مواردی مانند قابلیت بیتلاکر برای رمزگذاری درایوها به صورت کامل، قابلیت Bitlocker To Go برای حافظههای USB، کنترل سیاست گروهی برای دستگاههای USB و قابلیتی را که اخیراً به ویندوز سرور ۲۰۱۲ اضافه شد و بعدها «کنترل دسترسی پویا» نام گرفت شامل میشوند. کنترل دسترسی پویا (DAC: Dynamic Access Contorl) به طور خاص برای اعمال قوانین موردنیاز و پیشگیری از نشت داده بهکار میرود و پیشتر به سرور ۲۰۱۲ اضافه شده است. برای جستجو دربارهی PII یا همان اطلاعات قابل شناسایی اشخاص بر روی سیستمها، میتوان از یک اسکریپت پاورشل شخصیسازیشده هم استفاده کرد. کنترل و مانیتورینگ شبکه برای شناسایی و تشخیص نشت داده در این دوره شرح داده نشده است. برای فراگیری این مبحث میتوانید به دورهی SEC503 مراجعه کنید.
کنترل ۱۸: واکنش به حادثه
دورهی SEC505 دربارهی برنامهریزی برای واکنش به حادثه مطلبی ارائه نخواهد داد. اگر مایل به کسب اطلاعات دربارهی این موضوع هستید میتوانید از دورههای دیگر مانند SEC504 با نام «تکنیکهای هکرها، اکسپلویتها و مدیریت حادثه» و دوره Sans 508 با نام «دورهی پیشرفتهی آنالیز جرمشناسی کامپیوتر و واکنش به حادثه» که همگی توسط موسسه SANS ارائهشدهاند استفاده کنید.
کنترل ۱۹: مهندسی ایمن شبکه
طراحی سیستمهای فایروال در دورهی دیگری توضیح داده شدهاند ولی این کنترل به فایروالهای محیطی محدود نشده و از این حیطه بسیار فراتر میرود. همانطور که در بالا گفته شد، میتوان با استفاده از کنترل سیاست گروهی بر روی IPSec و تنظیمات فایروال ویندوز، سریعتر به حملات واکنش نشان دهیم. همچنین، در این کنترل مواردی مانند سرویس DNSSEC، سرورهای DNS Sinkhole، آپدیت پویا و ایمن سرورهای DNS، غیرفعال کردن (حذف کردن) پروتکلهای NetBIOS و LLMNR، و لاگبرداری از فعالیتهای DHCP آموزش داده خواهند شد. ممکن است یک نفر با استفاده از پاورشل، دادهها را از یک لاگ بزرگ DHCP/DNS استخراج کند. بنابراین، بسیاری از موارد توصیهشده در این کنترل و حتی فراتر از آن، در دورهی SEC505 توضیح داده خواهند شد.
کنترل ۲۰: تست نفوذ
در دورهی SEC505 دربارهی تست نفوذ بحث نخواهد شد. اگر مایل به کسب اطلاعات دربارهی تست نفوذ هستید میتوانید در دورههای دیگر مانند SEC560 به نام «تست نفوذ شبکه و هک قانونی» شرکت کنید.
عالی. تشکر فراوان
ببخشید, یه مدتیه دیگه کورسهایی از sans یا شرکت های دیگه نیمذارید. امکانش هست کورسهای دیگه ای از شرکتهای دیگه ای بذارید؟
با تشکر فراوان
سلام وقت به خیر.
بله حتما. در آینده دوره های بیشتری براتون در دسترس خواهد بود.