کتاب Defensive Security Handbook

کتاب Defensive Security Handbook, 2nd Edition: Best Practices for Securing Infrastructure (کتابچه راهنمای امنیت دفاعی، ویرایش دوم: بهترین روش‌ها برای ایمن‌سازی زیرساخت‌ها) راهکارهای امنیتی در زیرساخت ابری را بررسی و ابزارهای مورد نیاز آن را توضیح می‌دهد.

در ادامه مقدمه‌ای از کتاب Defensive Security Handbook را از زبان نویسنده شرح خواهیم داد.

مقدمه‌ای بر کتاب Defensive Security Handbook:

در دهه گذشته، پذیرش فناوری در سرتاسر جهان افزایش یافته است و شرکت‌ها برای همگام شدن با آن تلاش کرده‌اند. قابلیت استفاده و ایجاد درآمد از عوامل کلیدی محرک بوده است که اغلب طراحی فعال و امنیت مورد نیاز برای ثبات طولانی مدت را نادیده می‌گیرد.

با افزایش هک‌های اخبار فوری، نشت داده‌های رکوردشکنی و حملات باج‌افزار، وظیفه ما نه‌تنها این است که با نصب‌های پیش‌فرض، اطلاعات و دارایی‌های خود را با بهترین توانایی‌هایمان ایمن کنیم.

همیشه مواردی وجود دارد که شما وارد محیطی می‌شوید که یک قطار استعاری با آتش سوزی‌های بسیار زیاد است که حتی نمی‌دانید از کجا شروع کنید. این کتاب آنچه را که برای ایجاد یک طراحی محکم و مطمئن برای اکثر موقعیت‌هایی که ممکن است با آن مواجه شوید، به شما بدهد.

حملات مدرن می‌توانند با انگیزه‌های مختلفی رخ دهند و توسط افرادی از گروه‌های جنایت سازمان‌یافته که به دنبال کسب درآمد از نقض‌ها هستند تا هکریست‌هایی که به دنبال تلافی علیه سازمان‌هایی هستند که آن‌ها را غیراخلاقی یا مخالف منافع عمومی می‌دانند، انجام می‌شوند. انگیزه و هر کسی که مهاجم باشد، تعداد زیادی از حملات توسط افراد ماهر و اغلب با بودجه سازماندهی و انجام می‌شود.

این تغییر در چشم‌انداز باعث شده است که بسیاری از سازمان‌ها درگیر بازی InfoSec catch-up شوند و اغلب متوجه می‌شوند که برنامه امنیت اطلاعات آن‌ها یا پشتوانه اجرایی مورد نیاز خود را دریافت نکرده است یا به سادگی هرگز از ابتدا وجود نداشته است. این سازمان‌ها به دنبال اصلاح این موضوع هستند و مسیری را برای شروع یا بلوغ تلاش‌های امنیت اطلاعات خود آغاز می‌کنند. با این حال، یک مشکل وجود دارد.

امنیت اطلاعات صنعتی است که در حال حاضر در حال گذراندن دوره‌ای از بیکاری منفی است. به این معنا که تعداد پست‌های باز بیشتر از تعداد نامزد‌ها برای پر کردن آن موقعیت‌ها است. استخدام افراد سخت است و استخدام افراد خوب سخت‌تر.

برای کسانی که به دنبال کار هستند، این می‌تواند یک موقعیت سودمند باشد. با این حال، برای کارفرمایانی که به دنبال استخدام فردی برای یک موقعیت امنیتی اطلاعات هستند، ریسک بالایی دارد، زیرا آن‌ها می‌توانند میزان معینی از اعتماد را با دارایی‌های دلاری بالا در استخدام جدید القا کنند.

به همین دلیل، بسیاری از شرکت‌هایی که اکنون برنامه امنیت اطلاعات خود را آغاز کرده‌اند، مسیری را برای ارتقای فردی از نقش دیگری مانند مدیر سیستم یا معمار به سمت حرفه‌ای امنیت اطلاعات انتخاب کرده‌اند.

یکی دیگر از روش‌های رایج، استخدام یک متخصص امنیت اطلاعات جوان‌تر در نقشی نسبت به حالت عادی و انتظار از کارمند تازه منصوب شده برای یادگیری در محل کار است. این وضعیت دقیقاً همان چیزی است که کتاب Defensive Security Handbook قصد دارد به آن بپردازد.

تعداد زیادی از مسائلی که شرکت‌هایی با برنامه‌های نابالغ امنیت اطلاعات با آن مواجه می‌شوند را می‌توان با رعایت برخی اصول بهداشتی امنیتی برطرف کرد، یا حداقل تا حد زیادی کاهش داد. اولین واکنش احساسی به ارث بردن بخش امنیت جدید و ناپخته‌ای، خرید تعداد زیادی دستگاه با چراغ‌های LED چشمک‌زن زیبا به این امید که مشکلات را حل کنند، می‌تواند باشد.

برخی از افراد ترجیح می‌دهند برای تنظیم یک قرارداد برون سپاری به شرکت دیگری پول بپردازند، که می‌تواند برای کمک به آن استفاده شود. هر دوی این گزینه‌ها نیاز به پول دارند. بسیاری از سازمان‌هایی که تازه وارد امنیت اطلاعات شده‌اند، بودجه لازم برای انجام هر یک از این راه‌حل‌ها برای حل این مشکل را ندارند – استفاده از ابزار‌هایی که از قبل در محیط وجود دارند، ممکن است تنها چیزی باشد که شما دارید.

هدف ما

هدف ما در کتاب Defensive Security Handbook، این است که نه تنها این استاندارد را تبدیل به استانداردی کنیم که می‌تواند در اکثر شبکه‌های سازمانی اعمال شود، بلکه خواندن در طول مسیر کمی سرگرم‌کننده باشد. در حال حاضر استاندارد‌های غواصی عمیقی از سوی سازمان‌های دولتی و خصوصی مختلفی وجود دارد که می‌توانند در مورد اعتبار یک اقدام امنیتی یا بعدی به طور مداوم با هواپیما‌های بدون سرنشین پرواز کنند.

ما می‌خواهیم این یک گفتگوی آموزنده باشد که از تجربیات واقعی در صنعت پشتیبانی می‌شود. خط‌مشی خوب، بهترین شیوه‌ها، قطعه کد، اسکرین‌شات، پیش‌بینی‌ها و snark همه با هم ترکیب می‌شوند. ما می‌خواهیم با توده‌ها ارتباط برقرار کنیم – مدیران شبکه که نمی‌توانند مجوز استخدام کمک را دریافت کنند.

کارگردانانی که می‌خواهند بدانند تنها کسانی نیستند که در نبرد‌هایی که ما هر روز می‌بینیم می‌جنگند. و افرادی که دستشان را در سنگر‌ها کثیف می‌کنند و حتی به آمادگی برای شروع مسیر خواندن وایت پیپر‌ها و RFC‌ها نزدیک نیستند.

کتاب Defensive Security Handbook برای چه کسی است؟

کتاب Defensive Security Handbook به عنوان یک کتاب راهنمای Security ۱۰۱ طراحی شده است که در محیط‌های زیادی که ممکن است قابل استفاده است تا بتواند حداکثر بهبود وضعیت امنیتی شما را با حداقل هزینه مالی ایجاد کند.

انواع پست‌هایی که می‌توانند دانش و داده‌های عملی را از آن سلب کنند عبارتند از: افسران ارشد اطلاعات سطح بالا (CIO)، مدیران، تحلیلگران امنیتی، مدیران سیستم‌ها و سایر نقش‌های فناوری.

پیمایش در کتاب Defensive Security Handbook

ما عمداً این را نوشته‌ایم تا مجبور نباشید رویکرد همه یا هیچ را اتخاذ کنید. هر یک از فصول می‌تواند به عنوان مجموعه‌ای مستقل از دانش برای یک حوزه خاص مورد علاقه باشد، به این معنی که شما می‌توانید موضوعاتی را انتخاب کنید که برای شما و سازمان شما کار می‌کند و هر کدام را که فکر می‌کنید ممکن است کاربردی نباشد را نادیده بگیرید. هدف دستیابی به انطباق با یک چارچوب خاص یا رژیم انطباق نیست، بلکه بهبود وضعیت فعلی در بخش‌های معقول، عمل‌گرا و قابل مدیریت است.

ما به طور هدفمند کتاب Defensive Security Handbook را برنامه‌ریزی کرده‌ایم تا با اصول اولیه شروع یا طراحی مجدد یک برنامه امنیت اطلاعات شروع شود. این شما را از مراحل اسکلت ایجاد برنامه در یک ترن هوایی وحشی به اعماق موضوعات فنی‌تر می‌برد. بسیاری از مردم متوجه نمی‌شوند که حجم زیادی از کار و پیاده‌سازی را می‌توان قبل از صرف سرمایه عمده در یک شرکت انجام داد.

یکی از مشکلات رایجی که در امنیت اطلاعات با آن مواجه است، عدم توانایی در دریافت خرید از مدیران سطح C است. یک گام در جهت درست در بدست آوردن بودجه امنیتی این است که ثابت کنید در کار خود دقت لازم را انجام داده‌اید. بخش بزرگی از کتاب Defensive Security Handbook شامل مراحل، ابزار‌ها، فرآیند‌ها و‌ایده‌هایی برای ایمن‌سازی محیطی با سرمایه کم یا بدون سرمایه است.

پس از مراحل اصلی برنامه‌ریزی برنامه امنیتی جدید و درخشان، به سمت ایجاد مجموعه‌ای پایه از سیاست‌ها، استاندارد‌ها و رویه‌ها می‌رویم. انجام این کار در مراحل اولیه برنامه امنیتی شما نقطه شروع خوبی برای رشد و بلوغ خواهد بود.

استفاده از خط‌مشی‌ها به‌عنوان روشی برای انتقال انتظارات به شما این امکان را می‌دهد تا افراد در سراسر سازمان خود را با توجه به آنچه از آن‌ها انتظار می‌رود و نقششان همسو کنید.

ما آموزش کاربران را در اوایل کتاب Defensive Security Handbook گنجانده‌ایم، زیرا هرگز برای شروع آموزش به کارمندان زود نیست که مراقب چه چیز‌هایی باشند (و استفاده از آن‌ها به عنوان نقشی کلیدی در تشخیص).

با این حال، بسته به قدرت فعلی دفاع شما، تا زمانی که یک پایه قوی شکل نگیرد، نباید تمرکز اصلی باشد. اگر مهاجمان بتوانند بدون ارتباط از راه دور با انسان ارتباط برقرار کنند، نمی‌توانند از تعامل انسانی رنج ببرند.

سپس کتاب Defensive Security Handbook به برنامه‌ریزی و مقابله با نقض‌ها، بلایا، انطباق و امنیت فیزیکی می‌پردازد که همگی جنبه مدیریتی و سازمانی امنیت اطلاعات را با ابزار‌های فیزیکی و زیرساخت‌های مورد نیاز برای تکمیل آن‌ها ترکیب می‌کند. آمادگی در مورد هر نوع اضطراری فیزیکی یا فنی می‌تواند به معنای تفاوت بین بهبودی آرام و ثابت یا شکست کامل شرکت باشد – و هر چیزی در این بین.

یک طراحی خوب و مستحکم فقط شروع کار است. اکنون که بخشی از طراحی کلی برنامه را پوشش داده‌ایم، شروع به ورود به مقوله‌های فنی و معماری امنیتی بیشتری می‌کنیم که از دو دسته اصلی سیستم عامل شروع می‌شود. مایکروسافت و یونیکس هر دو مزایا و معایب خود را دارند، اما در رابطه با مایکرؤسافت، برخی از مواردی که پوشش داده خواهد شد، نصب Enhanced Mitigation Experience Toolkit (EMET)، بهترین شیوه‌های Group Policy، و امنیت Microsoft SQL است.

برای یونیکس، به‌روزرسانی‌های شخص ثالث و سخت‌سازی سرور/سیستم‌عامل، از جمله غیرفعال کردن سرویس‌ها، مجوز‌های فایل، فایروال‌های مبتنی بر میزبان، پارتیشن‌های دیسک و سایر کنترل‌های دسترسی را پوشش خواهیم داد. مدیریت نقطه پایانی نیز در این دسته قرار می‌گیرد. یک مبارزه رایج که در شرکت‌ها مشاهده می‌کنیم شامل شیوه‌های دستگاه خود (BYOD) و مدیریت دستگاه تلفن همراه (MDM) است. همچنین به مدیریت و اجرای رمزگذاری نقطه پایانی خواهیم پرداخت.

دو عامل مهم دیگر که اغلب نادیده گرفته می‌شوند (یا آنقدر که باید محبت نمی‌کنند) زیرساخت شبکه و مدیریت رمز عبور هستند. در حین بررسی زیرساخت‌های شبکه، امنیت پورت، غیرفعال کردن فناوری‌های ناامن، سیستم عامل دستگاه، فیلتر خروجی و موارد دیگر را پوشش خواهیم داد. ما بخش‌بندی را پوشش خواهیم داد، از جمله پیاده‌سازی شبکه‌های محلی مجازی (VLAN) با لیست‌های کنترل دسترسی (ACL) برای اطمینان از صاف نبودن شبکه، واگذاری مجوز‌ها و کنترل‌های دسترسی به شبکه.

سپس به بررسی اسکن آسیب‌پذیری و اصلاح آن خواهیم پرداخت. در حالی که اکثر اسکنر‌های آسیب‌پذیری سازمانی رایگان نیستند، ما در این فصل از کتاب Defensive Security Handbook، در مورد آن‌ها صحبت می‌کنیم تا با استفاده از آن‌ها برای یک دوره آزمایشی رایگان (برای خرید کل محصول) یا استفاده حداکثری از نسخه کامل در حال حاضر، ارزش آن‌ها را ثابت کنیم. سازمان.

بسیاری از سازمان‌ها تیم توسعه خود را دارند. با این حال، آموزش سنتی برای توسعه‌دهندگان معمولاً بر بهینه‌سازی عملکرد، مقیاس‌پذیری و قابلیت همکاری متمرکز است. شیوه‌های کدنویسی ایمن تنها در سال‌های نسبتاً اخیر در آموزش توسعه نرم‌افزار گنجانده شده است. ما تکنیک‌هایی را مورد بحث قرار می‌دهیم که می‌توانند برای بهبود وضعیت فعلی و کاهش خطرات اغلب مرتبط با توسعه داخلی مورد استفاده قرار گیرند.

تیم‌بندی بنفش که ترکیبی از امنیت تهاجمی (تیم قرمز) و دفاعی (تیم آبی) است، بسته به سیاست‌های کارکنان و شرکت‌ها می‌تواند دشوار باشد. این یک مفهوم نسبتاً جدید است که در چند سال اخیر توجه زیادی را به خود جلب کرده است. فصل ۱۸ کتاب Defensive Security Handbook، برخی از مفاهیم اولیه تست نفوذ، و همچنین مهندسی اجتماعی و هوش منبع باز را پوشش می‌دهد.

در نهایت، زمانی که از سیستم تشخیص نفوذ (IDS)، سیستم پیشگیری از نفوذ (IPS)، مرکز عملیات امنیتی (SOC)، گزارش‌گیری و نظارت می‌گذریم، برخی از زمان‌برترین اقدامات امنیتی و دستگاه‌ها پوشش داده می‌شوند. ما دریافته‌ایم که بسیاری از سازمان‌ها احساس می‌کنند که این فناوری‌ها یک رویه نصب یا راه‌اندازی یک‌باره هستند و شما می‌توانید احساس محافظت کنید.

ارزش زمان، تلاش و سرمایه‌گذاری برای داشتن یک پیکربندی دائمی در حال پیشرفت را دارد زیرا محیط داخلی شما همیشه در حال تغییر است، همانطور که تهدید‌هایی که باید نگران آن باشید. ما هیچ توصیه فروشنده خاصی را ارائه نخواهیم کرد. در عوض، ما تصمیم گرفته‌ایم راه‌حل‌ها و مفاهیم کلی را مورد بحث قرار دهیم که بهتر از یک توصیه فروشنده خاص برای مجموعه ابزار فعلی، باید در آزمون زمان مقاومت کنند.

اوه، و راه اضافی (فصل ۲۳ کتاب Defensive Security Handbook)… این کشوی زباله است که در آن می‌توانید ایده‌ها و توصیه‌های پیکربندی ما را پیدا کنید که واقعاً در هیچ جای دیگری خانه نداشتند.

اکنون که همه این‌ها را گفتیم، بیایید ببینیم در مورد بهبود برخی چیز‌ها چه کاری می‌توانیم انجام دهیم.

سرفصل‌های کتاب Defensive Security Handbook:

• Foreword to the First Edition
• Preface
• 1. Creating a Security Program
• 2. Asset Management and Documentation
• 3. Policies
• 4. Standards and Procedures
• 5. User Education
• 6. Incident Response
• 7. Disaster Recovery
• 8. Industry Compliance Standards and Frameworks
• 9. Physical Security
• 10. Microsoft Windows Infrastructure
• 11. Unix Application Servers
• 12. Endpoints
• 13. Databases
• 14. Cloud Infrastructure
• 15. Authentication
• 16. Secure Network Infrastructure
• 17. Segmentation
• 18. Vulnerability Management
• 19. Development
• 20. OSINT and Purple Teaming
• 21. Understanding IDSs and IPSs
• 22. Logging and Monitoring
• 23. The Extra Mile
• Appendix. User Education Templates
• Index
• About the Authors

جهت دانلود کتاب Defensive Security Handbook می‌توانید پس از پرداخت، دریافت کنید.