آسیب پذیری (کامپیوتری)

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

در امنیت کامپیوتر آسیب پذیری یک ضعف است که به حمله کننده اجازه می‌دهد ضمانت اطلاعاتی یک سیستم را کاهش دهد. آسیب پذیری اشتراک سه عنصر است: یک حساسیت یا نقص سیستم، دسترسی حمله کننده به نقص سیستم و قابلیت حمله کننده برای استفاده از آن نقص. برای بهره برداری از یک آسیب پذیری، یک حمله کننده بایستی حداقل یک ابزار یا تکنیک کاربردی داشته باشد که بتواند با ضعف سیستم ارتباط برقرار کند. در این بخش، آسیب پذیری به عنوان ظاهر حمله نیز شناخته می‌شود.

مدیریت آسیب پذیری تکرار چرخشی شناسایی، طبقه بندی، درمان وکاهش آسیب پذیری ها است. به طور کلی از این تکرار با عنوان آسیب پذیری نرم‌افزاری در سیستم‌های کامپیوتری یاد می‌شود.

یک ریسک امنیتی ممکن است به عنوان یک آسیب پذیری درنظر گرفته شود. استفاده از آسیب پذیری با معنی همانند ریسک ممکن است به سردرگمی بینجامد. ریسک امکان یک شکست مهم است و آسیب پذیری‌های بدون ریسک نیز وجود دارد. یک آسیب پذیری با تعداد یک یا بیشتر از نمونه حمله‌های پیاده شده با عنوان یک آسیب پذیری قابل بهره برداری شناخته می‌شود. پنجره آسیب پذیری از زمانی که حفره امنیتی در نرم‌افزار آشکار می‌شود تا زمانی تعریف می‌شود که در آن دسترسی حذف می‌شود، یا یک راه حل امنیتی به دست می‌آید یا حمله کننده متوقف می‌شود.

خطای امنیتی یک مفهوم محدود است. آسیب پذیری هایی وجود دارند که به نرم‌افزار مربوط نیستند. مانند آسیب پذیری های سخت افزاری، محلی یا شخصی که مثال هایی از آسیب پذیری هایی هستند که خطای امنیتی نرم‌افزاری نیستند.

ساختمان داده های موجود در زبان های برنامه نویسی که استفاده از آن ها براحتی امکان پذیر نیست می‌توانند یک منبع عظیم برای آسیب پذیری باشند.

تعریف[ویرایش]

ISO آسیب پذیری را به صورت زیر تعریف می‌کند:

یک ضعف در یک سرمایه یا گروهی از سرمایه ها که می‌توانند بوسیله یک یا چند تهدید مورد استثمار قرار گیرند.

یک سرمایه هر چیزی می‌تواند باشد که ارزشی برای سازمان داشته باشد شامل عملیات تجاری و منابع اطلاعاتی که از اهداف سازمان پشتیبانی می‌کند.

IETF RFC 2828 آسیب پذیری را به صورت زیر تعریف می‌کند:

نقص و یا ضعف در طراحی، پیاده سازی ، بهره برداری و مدیریت یک سیستم می توانند برای نقض سیاست امنیتی سیستم مورد سوء استفاده قرار گیرند.

کمیته ملی سیستم های امنیتی ایالات متحده آمریکا در آموزش CNSS شماره 4009 مورخ 26 آوریل 2010، واژه نامه ملی تضمین اطلاعات آسیب پذیری را به صورت زیر تعریف می کند:

آسیب پذیری - ضعف در، روش های امنیتی سیستم، کنترل های داخلی، یا پیاده سازی است که می تواند مورد سوء استفاده قرار گیرد.

بسیاری از انتشارات NIST آسیب پذیری را در مسابقه فناوری اطلاعات در نشریات مختلف تعریف می کنند. FISMApedia یک لیست ارائه می دهد. در بین آنها SP 800-30، یک تعریف بهتر ارائه می دهد:

یک نقص یا ضعف در روشهای طراحی، پیاده سازی، یا کنترلهای داخلی امنیت سیستم است که می تواند اعمال شده (که به طور تصادفی و یا عمدا می تواند مورد سوء استفاده قرار گیرد) و در نتیجه یک نقض امنیتی یا تخطی از سیاست های امنیتی سیستم بوجود می آید.

ENISA تعریف آسیب پذیری را به صورت زیر ارائه می دهد:

وجود ضعف یا خطا طراحی یا پیاده سازی است که می تواند منجر به رویداد غیر منتظره و نامطلوب شود و باعث به خطر انداختن امنیت سیستم های کامپیوتری، شبکه، نرم افزار، و یا پروتکل درگیر شود.

گروه باز تعریف آسیب پذیری به صورت زیر ارائه می دهد:

احتمال اینکه توانایی تهدید بیش از توانایی مقاومت در برابر تهدید باشد.

ISACA آسیب پذیری در چارچوب خطر ابتلا به این صورت تعریف می کند:

ضعف در طراحی، اجرا، بهره برداری و کنترل داخلی

امنیت داده ها و کامپیوتر: دیکشنری استانداردهای مفاهیم و اصطلاحات، نویسنده Denis Longley و Michael Shain، و روزنامه Stockton، تعریف آسیب پذیری را به صورت زیر ارائه داده اند:

1) در امنیت کامپیوتر، ضعف در روش های امنیتی سیستم های خودکار، کنترل مدیریتی، کنترل اینترنت، و غیره، که می تواند یک تهدید برای دسترسی غیر مجاز به اطلاعات باشد و یا برای برهم زدن پردازش مورد سوء استفاده قرار گیرد. 2) در امنیت کامپیوتر، ضعف در طرح فیزیکی، سازمان، روش ها، پرسنل، مدیریت، سخت افزار و یا نرم افزار که ممکن است باعث آسیب رساندن به سیستم یا فعالیت ADP شود. 3) در امنیت کامپیوتر، هر گونه ضعف و یا نقص های موجود در یک سیستم است. حمله یا رویداد مضر، و یا فرصت موجود برای یک عامل تهدید برای سوار شدن به آن حمله است.

پدیده شناسی[ویرایش]

منبع (یا فیزیکی یا منطقی) ممکن است یک یا چند آسیب پذیری داشته باشد که می تواند توسط یک عامل تهدید در یک اقدام تهدیدگرانه مورد سوء استفاده قرار گیرد. نتیجه به طور بالقوه می تواند محرمانگی، یکپارچگی و در دسترس بودن منابع (نه لزوما آسیب پذیر) متعلق به یک سازمان و یا دیگر طرف های درگیر (مشتریان، تامین کنندگان) را به خطر بیاندازد.

اصطلاح CIA سه گانه اساس امنیت اطلاعات است.

یک حمله می تواند فعال باشد زمانی که برای تغییر منابع سیستم و یا تحت تأثیر قرار دادن اعمال آن ها تلاش می کند، پس در یکپارچگی و در دسترس بودن اختلال ایجاد می کند. یک "حمله انفعالی" تلاش می کند تا اطلاعات سیستم را استفاده کرده یا یاد بگیرد ولی در منابع سیستم تاثیر نگذارد، پس محرمانگی را به خطر انداخته است.

طبقه بندی[ویرایش]

آسیب پذیری ها با توجه به کلاس دارایی آنها طبقه بندی می شوند:

1- سخت افزار

  • حساسیت به رطوبت
  • حساسیت به گرد و غبار
  • حساسیت به لکه دار کردن
  • حساسیت به ذخیره سازی محافظت نشده

2- نرم افزار

  • تست ناکافی
  • عدم دنباله ممیزی

3- شبکه

  • خطوط ارتباطی بدون محافظت
  • معماری شبکه های نا امن

4- پرسنل

  • فرایند استخدام ناکافی
  • آگاهی های امنیتی ناکافی

5- محل

  • منطقه به سیل
  • منبع قدرت غیر قابل اعتماد

6- سازمان

  • عدم ممیزی های منظم
  • فقدان برنامه های تداوم
  • عدم امنیت

علل[ویرایش]

  • پیچیدگی: سیستم های پیچیده و بزرگ، احتمال نقص ها و نقاط دسترسی ناخواسته را افزایش می دهد.
  • آشنایی: با استفاده از کد، نرم افزار، سیستم عامل، و/یا سخت افزار مشترک و معمول احتمال اینکه حمله کننده بتواند به دانش و ابزارها برای سوء استفاده از عیب ها پی ببرد را افزایش می دهد.
  • اتصال: هر چه اتصالات فیزیکی، اولویت ها، پورت ها، پروتکل ها، و خدمات و زمان بیشتر در دسترس باشند، آسیب پذیری افزایش می یابد.
  • معایب مدیریت رمز: کاربران کامپیوتر از کلمات عبور ضعیف استفاده می کنند که می توانند با کمترین زحمت کشف شوند. کاربران کامپیوتر رمز عبور خود را بر روی کامپیوتر ذخیره می کنند و هر برنامه ای می تواند به آن دسترسی داشته باشد. کاربران از رمزهای عبور برای چندین برنامه و وب سایت استفاده مجدد می کنند.
  • معایب اساسی طراحی سیستم عامل: طراح سیستم عامل سیاست های کمتر از حد مطلوب کاربر را برای مدیریت برنامه/کاربران استفاده می کند. به عنوان مثال سیستم عامل ها با سیاست هایی مانند مجوز پیش فرض به هر برنامه و هر کاربر اجازه دسترسی کامل به کل کامپیوتر را می دهد. این نقص سیستم عامل به ویروس ها و نرم افزارهای مخرب اجازه می دهد تا دستورها را از طرف مدیریت اجرا نمایند.
  • مرورگر وب سایت اینترنتی: برخی از وب سایت های اینترنتی ممکن است حاوی Spyware مضر یا adware باشد که می تواند به طور خودکار بر روی سیستم های کامپیوتری نصب شوند. پس از بازدید از این وب سایت ها، سیستم های کامپیوتری آلوده شده و اطلاعات شخصی جمع آوری شده و به شخص ثالثی می رسد.
  • اشکال های نرم افزار: برنامه نویس در برنامه نرم افزار یک اشکال باقی می گذارد. اشکال نرم افزار می تواند این امکان را به یک نفوذگر بدهد که از برنامه سوء استفاده کند.
  • ورودی بدون کنترل کاربر: در برنامه فرض بر این است که تمام ورودی کاربر امن است. برنامه هایی که ورودی کاربر را بررسی نمی کنند می توانند منجر به اجرای ناخواسته مستقیم دستور ها و عبارت های SQL (شناخته شده به عنوان overflows بافر، تزریق SQL و یا ورودی غیر معتبر) شوند.
  • عدم یادگیری از اشتباه های گذشته: به عنوان مثال بسیاری از آسیب پذیری های کشف شده در پروتکل IPv4 در پیاده سازی های جدید IPv6 نیز کشف شده است.

تحقیقات نشان داده است که آسیب پذیر ترین نقطه در بسیاری از سیستم های اطلاعاتی کاربران انسان، اپراتور، طراح، و یا انسان های دیگر هستند. پس انسان ها باید در نقش های مختلف خود به عنوان دارایی، تهدید و منابع اطلاعاتی در نظر گرفته شوند.

نتایج[ویرایش]

تاثیر رخنه های امنیتی می تواند بسیار بالا باشد. این واقعیت که مدیران فناوری اطلاعات، یا مدیریت های بالا، می دانند که سیستم های فناوری اطلاعات و برنامه های کاربردی آسیب پذیری هایی دارند و هیچ گونه اقدامی برای مدیریت خطر انجام نمی دهند، به عنوان یک سوء رفتار در بسیاری از قوانین دیده می شود. قانون حفظ اسرار مدیران را مجبور می کند به گونه ای عمل کنند که تاثیر یا احتمال ریسک های امنیتی را کاهش دهد.امنیت حسابرسی فناوری اطلاعات راهی است برای اجازه به افراد مستقل دیگر تا تایید کنند که محیط فناوری اطلاعات به درستی مدیریت شده و مسئولیت ها کاهش یابد و حداقل داشتن حسن نیت را نشان است. تست نفوذ، یک شکل تایید ضعف و مقابله قابل قبول برای سازمان است. یک هکر کلاه سفید برای حمله به دارایی های فن آوری اطلاعات سازمان و اینکه میزان سختی امنیت فناوری اطلاعات را بیابد تلاش می کند. راه مناسب برای مدیریت حرفه ای خطرات فناوری اطلاعات، اتخاذ یک سیستم مدیریت امنیت اطلاعات است.

منابع[ویرایش]

  • ویکی‌پدیا انگلیسی
  • "The Three Tenents of Cyber Security". U.S. Air Force Software Protection Initiative. Retrieved 2009-12-15.

پیوند به بیرون[ویرایش]