۲۰ کنترل حیاتی SANS در حوزه امنیت

موسسه SANS  یکی از اعضای شرکت‌کننده در پروژه «کنترل‌های امنیتی حیاتی» است که با هدف تشریح مهم‌ترین دستورالعمل‌های حفظ امنیت شبکه پایه‌گذاری شده است. این موسسه ارائه‌دهنده دوره‌ی ویژه‌ی امنیت «پیاده‌سازی و ارزیابی کنترل‌های امنیتی حیاتی» (دوره Sans 566) است. ولی سوالی که پیش می‌آید این است که پس از گذراندن این دوره باید چه دوره‌های دیگری را بگذرانیم؟

دوره‌ی SEC566 توصیه‌های خود را به گونه‌ای ارائه می‌کند که بتوان برای محصولات، سیستم‌عامل‌ها و سرویس‌های همه‌ی فروشنده‌ها آن‌ها را به کار برد. ولی در عمل بیش‌تر محیط‌ها با مایکروسافت ویندوز کار می‌کنند و بسیاری از این دستگاه‌های ویندوزی به دامنه‌ی اکتیو دایرکتوری پیوسته‌اند. سوال اینجاست که آیا در میان دوره‌های ارائه‌شده توسط موسسه‌ی SANS دوره‌ای وجود دارد که به صورت جامع به مباحث کنترل‌های امنیتی حیاتی و ارتباط مستقیم آن با ویندوز و اکتیو دایرکتوری بپردازد؟

پاسخ مثبت است! دوره‌ی شش روزه «ایمن‌سازی ویندوز با کنترل‌های امنیتی حیاتی» (یعنی دوره Sans 505) یکی از دروس ارائه‌شده توسط موسسه SANS است که به طور خاص، درباره‌ی کنترل‌های امنیتی حیاتی که بر سرورها و کلاینت‌های (سرویس‌گیرنده‌ها) ویندوز تاثیر می‌گذارد، دستورالعمل‌های جامعی را ارائه می‌دهد.

کدام‌یک از کنترل‌ها در دوره‌ی SEC505 ارائه می‌شوند و کدام‌یک ارائه نمی‌شوند؟

در ادامه، برای هریک از کنترل‌های حیاتی دوره‌ی SEC505 توضیحات کافی آورده شده است که به شما کمک می‌کند این کنترل‌ها را در سیستم ویندوز خود –علاوه بر ارزیابی- پیاده‌سازی هم بکنید. همچنین، درباره‌ی دوره‌های تکمیلی موسسه‌ی SANS که پس از دوره‌ی SEC566 می‌توانید سپری کنید هم توصیه‌هایی ارائه شده است.

کنترل ۱: فهرست دارایی‌های سخت‌افزاری

دوره‌ی SEC505 نرم‌افزارهای فهرست دارایی‌های سخت‌افزاری را شامل نمی‌شود. با این حال، هنگامی که داده‌های فهرست را با Nmap یا ابزارهای دیگر جمع‌آوری می‌کنید، ناگزیر با این مشکل روبه‌رو خواهید شد که چگونه از میان انبوهی از داده‌های جمع‌آوری‌شده گزارش‌ها را سازمان‌دهی، ذخیره، جستجو، مقایسه و تولید کنید. شما می‌توانید از دیتابیس، صفحه گسترده (Spreadsheet)، XML یا فایل‌های متنی جداسازی شده توسط “کاما” (Comma-delimited) برای ذخیره‌ی داده‌ها استفاده کنید. برنامه‌ی پاورشل (Powershell) یک پنجره Command shell و زبان کدنویسی (Scripting) فوق‌العاده برای دستکاری این‌گونه داده‌ها به حساب می‌آید. بسیاری از دستورالعمل‌های امنیتی به این خاطر اجرا نمی‌شوند که ادمین‌ها از دانش کافی برای نوشتن Script برخوردار نیستند و دستورالعمل‌های فهرست یکی از این نمونه‌ها هستند. به همین دلیل، در دوره‌ی SEC505 یک روز کامل به آموزش Script نویسی در پاورشل اختصاص داده شده است.

 کنترل ۲: فهرست دارایی‌های نرم‌افزاری

دوره‌ی SEC505 نرم‌افزارهای فهرست دارایی‌های نرم‌افزاری را شامل نمی‌شود. با این وجود برای این منظور می‌توان سیاست‌های گروهی (Group Policy) را با استفاده از ابزارهای ثالث بهبود داد و هم‌چنین پاورشل می‌تواند از طریق رابط WMI سیستم‌ها را از راه دور کوئری کند.

البته لازم به ذکر است که این کنترل مواردی مهم‌تر از فهرست را توصیه می‌کند: ۱) قفل کردن پیکربندی نرم‌افزارها ۲) استفاده از لیست سفید (Whitelisting) برای اپلیکیشن‌ها ۳) اجرای عملیات Logging برای تعیین میزان استفاده از اپلیکیشن‌ها و ۴) جلوگیری از نصب ناخواسته‌ی اپلیکیشن‌ها. در دوره‌ی SEC 505 یک روز کامل به آموزش «سیاست گروهی» اختصاص دارد و تکنولوژی‌های سیاست گروهی متعددی برای رفع این نوع مشکلات پوشش داده می‌شوند که از آن‌ها می‌توان نرم‌افزار محدود کردن دسترسی Applocker، سیاست‌های ممیزی/لاگ‌برداری (audit/logging)، مدیریت دسترسی با استفاده از مجوزهای NTFS، پیکربندی تقریبا تمامی بخش‌های اینترنت اکسپلورر و اپلیکیشن‌های مایکروسافت آفیس، الزامی‌کردن ارائه‌ی گواهینامه‌ی امضای دیجیتال کد برای اسکریپت‌ها/ماکروها، محدود کردن نصب پکیج‌های MSI، اجرای اسکریپت‌ها برای شناسایی نرم‌افزارهای غیراستاندارد و غیره را نام برد. در دوره‌ی SEC505 به طور ویژه درباره‌ی تکنیک‌های مقاوم‌سازی امنیت سیستم برای جاوا، اینترنت اکسپلورر، گوگل کروم، Adobe Reader و مایکروسافت آفیس، بحث می‌شود.

کنترل ۳: پیکربندی امن برای سیستم‌های کامپیوتری

دستگاه‌های مجهز به ویندوز به صورت دستی مقاوم‌سازی امنیتی نمی‌شوند بلکه این کار با استفاده از قالب‌های امنیتی INF/XML –مانند نمونه‌هایی که در مدیریت سازگاری امنیتی مایکروسافت (SCM) موجود هستند- انجام می‌شود. این قالب‌ها با درنظرگرفتن سیاست گروه، SECEDIT.EXE ، پیکربندی و آنالیز امنیتی کنسول MMC و افزودن یک Snap-in، یا برنامه‌ی Security Configuration Wizard به‌کارگرفته می‌شوند (همگی این موارد در دوره‌ی SEC505 آموزش داده خواهند شد). در مورد تنظیمات محدودی که نمی‌توان آن‌ها را با استفاده از یک قالب یا سیاست گروه پیکربندی کرد، احتمال آن زیاد است که برای این که بتوان تغییرات را به صورت خودکار درآورد، از یک اسکریپت استفاده شود (یعنی با استفاده از پاورشل می‌توان آن‌ها را نیز انجام داد).

به دنیای امنیت علاقمند هستید؟ در دوره‌های پایه امنیت ثبت‌نام کنید:

کنترل ۴: ارزیابی و اصلاح آسیب‌پذیری

در دوره‌ی SANS SEC505 اسکنرهای آسیب‌پذیری آموزش داده نمی‌شوند. این موارد را می‌توانید در دوره Sans 401 با نام «ملزومات امنیت» فرا بگیرید. با این وجود اصلاح و رفع آسیب‌پذیری در بخش‌های مربوط به مدیریت patch، سیاست گروهی، مقاوم‌سازی امنیت اپلیکیشن‌ها و غیره به خوبی شرح داده شده است.

کنترل ۵: مقابله با بدافزارها

تکنیک‌های ضدبدافزار مانند کنترل حساب کاربری (User Account Control)، سرورهای DNS Sinkhole، مقاوم‌سازی امنیت اینترنت اکسپلورر و کروم، جاوا، Adobe Reader، استفاده از Jump Server، AutoPlay یا AutoRun  و…. در طی دوره توضیح داده خواهند شد. اما درباره مقایسه‌ی محصولات خاص اسکن آنتی‌ویروس یا انتخاب بهترین محل نصب آن‌ها بحث نخواهد شد.

کنترل ۶:امنیت نرم‌افزار‌ در لایه‌ی کاربرد

در دوره‌ی SEC505 مباحث کدنویسی ایمن (Secure Coding)، تست اپلیکیشن‌های تحت وب یا امنیت دیتابیس توضیح داده نخواهند شد. با این حال، در روز پنجم این دوره، نیمی از روز به توضیح درباره‌ی ایمن‌سازی سرورها یا سرور هاردنینگ (Server Hardening) –مانند وب سرورهای IIS- اختصاص خواهد یافت.

کنترل ۷: کنترل دستگاه‌های وایرلس

در دوره‌ی SEC505 مباحث مربوط به ایجاد یک KPI (زیرساخت کلید عمومی)، الزامی‌کردن گواهینامه‌های وایرلس (یا کارت‌های هوشمند)، نصب سرورهای ردیوس (RADIUS)، پیکربندی تنظیمات وایرلس بر روی لپ‌تاپ‌ها با استفاده از سیاست گروهی، و اجباری‌کردن استفاده از WPA2، رمزگذاری AES و احراز هویت PEAP در سرورهای ردیوس، به صورت قدم‌به‌قدم توضیح داده خواهند شد. با استفاده از سیاست گروهی، شما می‌توانید تنظیمات دیگر مربوط به وایرلس را قفل کرده و از دید کاربران متفرقه (به غیر از ادمین‌ها) پنهان کنید. به‌طور مثال، می‌توانید مانع اتصال این افراد به شبکه‌های Ad Hoc (اد هاک) شوید. مشکلاتی مانند نقاط دسترسی سرکش (Rogue Access Points)، تترینگ (Tethering) و کامپیوترهای BYOD (دستگاه‌های شخصی) هم در این کنترل شرح داده شده است. موسسه‌ی SANS به مدت یک هفته روی امنیت وایرلس (دوره Sans 617) کار می‌کند ولی این دوره تنها مختص شبکه‌های ویندوز نیست. اگر فقط به دنبال کسب اطلاعات درباره‌ی شبکه‌های ویندوز هستید دوره‌ی SEC505 مناسب شماست.

کنترل ۸: قابلیت بازیابی داده

در دوره‌ی SEC505 درباره‌ی چگونگی گرفتن بکاپ و بازیابی صحبت نخواهد شد. لطفا برای کسب اطلاعات در این حوزه به دوره‌ی SEC401 با نام «ملزومات امنیتی» مراجعه کنید یا با فروشنده‌ی محصولات بکاپ‌گیری خود تماس بگیرید.

کنترل ۹: آموزش و ارزیابی مهارت‌ها

در دوره‌ی SEC505 درباره‌ی آموزش‌های امنیتی یا سنجش میزان آگاهی در حوزه امنیت، مطلبی ارائه داده نخواهد شد. برای مطالب مربوط به این حوزه، به دوره‌ی MAN433 با نام «ایمن‌سازی انسان‌ها» مراجعه کنید.

کنترل ۱۰: پیکربندی ایمن دستگاه‌های شبکه

در دوره‌ی SEC505 طراحی سیستم‌های فایروال یا پیکربندی روترها و سوئیچ‌ها آموزش داده نخواهند شد. برای یافتن آموزش‌های مربوط به این حوزه به دوره‌ی SEC502 با نام «حفاظت محیطی در عمق» مراجعه کنید.

 

آموزش کامل پیاده‌سازی و ممیزی 20 کنترل امنیتی حیاتی در دوره SANS 440:

کنترل ۱۱: کنترل پورت‌های شبکه، پروتکل‌ها و سرویس‌ها

سیاست گروهی و مدیریت IPSec و فایروال ویندوز از طریق خط فرمان به طور مفصل در دوره‌ی SEC505 توضیح داده خواهند شد. ترکیب IPSec + ویندوز فایروال + سیاست گروهی تضمین می‌کند که شما کنترل دقیق و انعطاف‌پذیری بر دسترسی کاربران و کامپیوترها به پورت‌ها و سرویس‌های مختلف بر روی دستگاه‌های مختلف، داشته باشید. روز چهارم دوره‌ی SEC505 مختص مطالب مربوط به IPSec، ویندوز فایروال و سرویس Microsoft RADIUS برای احراز هویت استاندارد 802.1x برای سرویس‌گیرنده‌های وایرلس و اترنت، خواهد بود.

کنترل ۱۲: اختیارات ادمین

تمامی توصیه‌های مربوط به این کنترل که در ارتباط با حساب‌های ادمین هستند، در روز دوم دوره‌ی SEC505 توضیح داده خواهند شد. در روز سوم (مربوط به مطالب PKI) شرکت‌کنندگان در دوره، پروسه‌ی ایجاد PKI ویندوز و صدور کارت هوشمند و دیگر مدارک برای کاربران ادمین با هدف احرازهویت چندمرحله‌ای را فراخواهند گرفت. مدیریت ایمن اطلاعات هویتی ادمین‌ها -که حساب‌های سرویس را هم شامل می‌شود- یکی از دشوارترین و مهم‌ترین وظایف به شمار می‌آید. در دوره‌ی SEC505 تقریبا یک روز کامل به این کنترل اختصاص داده می‌شود زیرا -به خصوص برای کاربران ویندوز- اهمیت بالایی دارد.

کنترل ۱۳: دفاع از مرزها

در دوره‌ی SEC505 درباره‌ی مباحثی مانند فایروال یا طراحی سیستم‌های تشخیص نفوذ (IDS) مطلبی ارائه نخواهد شد. برای کسب اطلاعات بیش‌تر دراین‌باره می‌توانید به دوره‌های SEC502 با نام «حفاظت محیطی در عمق» و دوره‌ی Sans 503 با نام « تشخیص نفوذ در عمق» مراجعه کنید.

کنترل ۱۴: ممیزی لاگ‌ها

همان‌طور که در بالا گفته شد، سیاست ممیزی ویندوز و لاگ‌ها با استفاده از قالب‌های امنیتی پیکربندی می‌شوند زیرا هر دستگاه فایل لاگ مخصوص به خودش را دارد. در دوره‌ی SEC505 چگونگی لاگ‌برداری در سرورهای ردیوس که دسترسی از راه دور را کنترل می‌کنند، مانند درگاه‌های VPN و نقاط دسترسی بی‌سیم (در روز چهارم) آموزش داده خواهد شد. تمامی این داده‌ها باید در یک مکان مرکزی به صورت یکپارچه دربیایند (معمولاً با استفاده از فناوری SIEM). ولی، هنگامی که دخالت انسان نیاز باشد تا بتوان از کوئری‌های آماده و گزارش‌های SIEM فراتر رفت، چگونه می‌توان این داده‌ها را به شیوه‌ای کارآمد استخراج و آنالیز کرد؟ اینجاست که پاورشل به کمک ما می‌آید! شما می‌توانید با استفاده از الگوهای رایج اسکریپت‌‌نویسی پاورشل و کوئری‌های SQL این کار را به راحتی انجام دهید. لازم به ذکر است که پیکربندی محصولات SIEM در دوره‌ی SEC505 توضیح داده نشده است.

کنترل ۱۵: دسترسی کنترل‌شده براساس سیاست «نیاز به دانستن» (Need to Know)

می‌توان ساعت‌ها درباره‌ی اصول پایه‌ی سیاست «نیاز به دانستن» صحبت کرد، ولی مفاهیم کاربردی در این حوزه کدامند؟ چطور می‌توان در عمل این اصل را در سرورهای یک سازمان پیاده‌سازی کرد؟ این کنترل به طور گسترده از طریق تعیین گروه‌های کاربری در ویندوز، قالب‌های امنیتی، سیاست گروهی و سیاست‌های کنترل دسترسی پویا اعمال می‌شود. می‌توان با استفاده از اسکریپت‌های پاورشل که  کنترل دسترسی پویا قابلیت جدیدی است که با هدف «پیشگیری از نشت داده» و اعمال مقررات «آنچه باید بدانید» به سرورهای ۲۰۱۲ اضافه شده است. تمامی این مباحث در دوره‌ی SEC505 توضیح داده شده‌اند.

 کنترل ۱۶: کنترل و مانیتورینگ حساب‌ها

بیش‌تر توصیه‌های ذکرشده در این کنترل را می‌توان با استفاده از ترکیبی از مجوزهای دسترسی اکتیودایرکتوری، تنظیمات سیاست گروهی، و کوئریهای شخصی‌سازی‌شده از اکتیودایرکتوری، مانند کوئری‌های انجام‌گرفته از طریق اسکریپت‌های پاورشل، پیاده‌سازی کرد و تمامی آن‌ها در دوره‌ی SEC505 آموزش داده خواهند شد.

کنترل ۱۷: پیشگیری از نشت داده

در دوره‌ی SEC505، بسیاری از توصیه‌های ارائه‌شده در این کنترل با هدف پیشگیری از نشت داده، به طور کامل توضیح داده خواهند شد  که مواردی مانند قابلیت بیت‌لاکر برای رمزگذاری درایوها به صورت کامل، قابلیت Bitlocker To Go برای حافظه‌های USB، کنترل سیاست گروهی برای دستگاه‌های USB و قابلیتی را که اخیراً به ویندوز سرور ۲۰۱۲ اضافه شد و بعدها «کنترل دسترسی پویا» نام گرفت شامل می‌شوند. کنترل دسترسی پویا (DAC: Dynamic Access Contorl) به طور خاص برای اعمال قوانین موردنیاز و پیشگیری از نشت داده به‌کار می‌رود و پیش‌تر به سرور ۲۰۱۲ اضافه شده‌ است. برای جستجو درباره‌ی PII یا همان اطلاعات قابل شناسایی اشخاص بر روی سیستم‌ها، می‌توان از یک اسکریپت پاورشل شخصی‌سازی‌شده هم استفاده کرد. کنترل و مانیتورینگ شبکه برای شناسایی و تشخیص نشت داده در این دوره شرح داده نشده است. برای فراگیری این مبحث می‌توانید به دوره‌ی SEC503 مراجعه کنید.

کنترل ۱۸: واکنش به حادثه

دوره‌ی SEC505 درباره‌ی برنامه‌ریزی برای واکنش به حادثه مطلبی ارائه نخواهد داد. اگر مایل به کسب اطلاعات درباره‌ی این موضوع هستید می‌توانید از دوره‌های دیگر مانند SEC504 با نام «تکنیک‌های هکرها، اکسپلویت‌ها و مدیریت حادثه» و دوره‌ Sans 508 با نام «دوره‌ی پیشرفته‌ی آنالیز جرم‌شناسی کامپیوتر و واکنش به حادثه» که همگی توسط موسسه SANS ارائه‌شده‌اند استفاده کنید.

کنترل ۱۹: مهندسی ایمن شبکه

طراحی سیستم‌های فایروال در دوره‌ی دیگری توضیح داده شده‌اند ولی این کنترل به فایروال‌های محیطی محدود نشده و از این حیطه بسیار فراتر می‌رود. همان‌طور که در بالا گفته شد، می‌توان با استفاده از کنترل سیاست گروهی بر روی IPSec و تنظیمات فایروال ویندوز، سریع‌تر به حملات واکنش نشان دهیم. هم‌چنین، در این کنترل مواردی مانند سرویس DNSSEC، سرورهای DNS Sinkhole، آپدیت پویا و ایمن سرورهای DNS، غیرفعال کردن (حذف کردن) پروتکل‌های NetBIOS و LLMNR، و لاگ‌برداری از فعالیت‌های DHCP آموزش داده خواهند شد. ممکن است یک نفر با استفاده از پاورشل، داده‌ها را از یک لاگ بزرگ DHCP/DNS استخراج کند. بنابراین، بسیاری از موارد توصیه‌شده در این کنترل و حتی فراتر از آن، در دوره‌ی SEC505 توضیح داده خواهند شد.

کنترل ۲۰: تست نفوذ

در دوره‌ی SEC505 درباره‌ی تست نفوذ بحث نخواهد شد. اگر مایل به کسب اطلاعات درباره‌ی تست نفوذ هستید می‌توانید در دوره‌های دیگر مانند SEC560 به نام «تست نفوذ شبکه و هک قانونی» شرکت کنید.

۲ دیدگاه ها

  1. عالی. تشکر فراوان
    ببخشید, یه مدتیه دیگه کورسهایی از sans یا شرکت های دیگه نیمذارید. امکانش هست کورسهای دیگه ای از شرکتهای دیگه ای بذارید؟

    با تشکر فراوان

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.