🔷درس گرفتن از شکستهای پیشین و برنامهریزی برای مقابله با آنها
🔹بارها و بارها سازمانهای نظامی و اطلاعاتی آمریکا از بخشهای مختلف مورد هک قرار گرفتهاند و افتضاحات اطلاعاتی/نظامی بالاآوردهاند ولی نکته مهم این است که بعد از هر اتفاق فقط به شعاردادن، به گردن دشمن انداختن و اطمینان دادن به انتقام بسنده نمیکنند. بلکه آنها را به صورت فنی و غیرسیاسی بررسی میکنند، اینکه اشتباهاتشان چه بوده و چه طور منجر به مشکل شده را دقیق مکتوب و گاها به صورت عمومی منتشر میکنند، برای رفع آنها به کمک متخصصان بخش خصوصی دنبال راهحل میگردند. مدیران خاطی بازخواست میشوند، شرکتهای خصوصی مسئول جریمه میشوند. ین بخشهای مختلف نظامی/اطلاعاتی انتقال دانش انجام میدهند تا همه از آن آگاه شوند و در واقع در یک کلام از اشتباهاتشان درس میگیرند تا دوبار از یکجا گزیده نشوند.
🔹در ادامه طی مجموعه پستی راجع به تمهیدات سازمانهای اطلاعاتی/نظامی آمریکا جهت داشتن امنیت بهتر صحبت خواهیم کرد.
AnotherOne
@Partisan2015
🔹بارها و بارها سازمانهای نظامی و اطلاعاتی آمریکا از بخشهای مختلف مورد هک قرار گرفتهاند و افتضاحات اطلاعاتی/نظامی بالاآوردهاند ولی نکته مهم این است که بعد از هر اتفاق فقط به شعاردادن، به گردن دشمن انداختن و اطمینان دادن به انتقام بسنده نمیکنند. بلکه آنها را به صورت فنی و غیرسیاسی بررسی میکنند، اینکه اشتباهاتشان چه بوده و چه طور منجر به مشکل شده را دقیق مکتوب و گاها به صورت عمومی منتشر میکنند، برای رفع آنها به کمک متخصصان بخش خصوصی دنبال راهحل میگردند. مدیران خاطی بازخواست میشوند، شرکتهای خصوصی مسئول جریمه میشوند. ین بخشهای مختلف نظامی/اطلاعاتی انتقال دانش انجام میدهند تا همه از آن آگاه شوند و در واقع در یک کلام از اشتباهاتشان درس میگیرند تا دوبار از یکجا گزیده نشوند.
🔹در ادامه طی مجموعه پستی راجع به تمهیدات سازمانهای اطلاعاتی/نظامی آمریکا جهت داشتن امنیت بهتر صحبت خواهیم کرد.
AnotherOne
@Partisan2015
🔷قدماول: دریایاستانداردها
🔹تمامی شرکتهای طرف قرارداد وزارت دفاع موظف هستند سه دسته از استانداردها را رعایت نمایند:
▪️استانداردهای عمومی همانند ISO 9001/ISO 27001/ ISO 27017,…
▪️استانداردهای خاصمنظوره برای نرمافزارهای دولتی همانند FIPS-140-2/NIST 800-53,…
▪️استانداردهای مختص محیطهای نظامی همانند CMCC 2.0/DFARS 252.204-7012/Dod SRG up to IL6,…
🔹مطابقت شرکتها و سختافزار مورد استفاده به طور دورهای مورد ممیزی شرکت ثالث قرار میگیرند تا از رعایت آنها اطمینان حاصل شود و زمانی که اتفاق امنیتی رخ دهد و بعد از postmortem به این نتیجه برسند که به رعایت نشده جریمه سنگینی خواهند شد.
🔹بسته به اینکه چقدر دیتایی مهمی قرار است مورد استفاده قرار گیرد این نرمافزارها و سختافزارها باید سطح تضمین EAL4 تا EAL7+ را پاس کرده باشند. به عنوان مثال یکسوکنندههای جریان داده (برای ارسال یکطرفه داده از شبکههای غیرامن به امن) ساخت شرکتهای Fox-IT و BAE سطح EAL7 را پاس کردهاند تا بتوانند در بخشهای نظامی استفاده شوند.
AnotherOne
@Partisan2015
🔹تمامی شرکتهای طرف قرارداد وزارت دفاع موظف هستند سه دسته از استانداردها را رعایت نمایند:
▪️استانداردهای عمومی همانند ISO 9001/ISO 27001/ ISO 27017,…
▪️استانداردهای خاصمنظوره برای نرمافزارهای دولتی همانند FIPS-140-2/NIST 800-53,…
▪️استانداردهای مختص محیطهای نظامی همانند CMCC 2.0/DFARS 252.204-7012/Dod SRG up to IL6,…
🔹مطابقت شرکتها و سختافزار مورد استفاده به طور دورهای مورد ممیزی شرکت ثالث قرار میگیرند تا از رعایت آنها اطمینان حاصل شود و زمانی که اتفاق امنیتی رخ دهد و بعد از postmortem به این نتیجه برسند که به رعایت نشده جریمه سنگینی خواهند شد.
🔹بسته به اینکه چقدر دیتایی مهمی قرار است مورد استفاده قرار گیرد این نرمافزارها و سختافزارها باید سطح تضمین EAL4 تا EAL7+ را پاس کرده باشند. به عنوان مثال یکسوکنندههای جریان داده (برای ارسال یکطرفه داده از شبکههای غیرامن به امن) ساخت شرکتهای Fox-IT و BAE سطح EAL7 را پاس کردهاند تا بتوانند در بخشهای نظامی استفاده شوند.
AnotherOne
@Partisan2015
🔷قدمدوم: زیرساخت مشترک
🔹بخشی از زیرساخت دیتاسنترهای نظامی آمریکا توسط شرکتهای مایکروسافت و آمازون فراهم شده و از طریق برنامه JWCC برای بخشهای نظامی/اطلاعاتی قابل خرید میباشد.
🔹بخش دیگری از این دیتاسنترها توسط خود نیروها بالا آورده شده و مدیریت میشوند مثلا Cloud One نیرویهوایی یا Neptune نیروی دریایی و مدیریت، امنیت و مقیاسپذیری آنها به طور متمرکز انجام میشود تا هزینهها کاهش یابند.
🔹بخش نهایی هم دیتاسنترهای خارج از خاک آمریکا هستند که با نام OCONUS Cloud بالا آورده شده و نگهداری میشوند.
🔹علاوه بر زیرساخت مشترک، IaaS, PaaS, SaaS های متنوعی نیز برای تسهیلکردن فرآیند توسعه، کاهش هزینهها، و همچنین افزایش امنیت و مقیاسپذیری بالا آورده شده، به عنوان مثال نیرویهوایی تحت برنامه Platform One از کوبرنتیز امنشده و رجیستری حاوی کانتینرهای امنشده تا ابزارهای مختلف توسعه امننرمافزار را ارائه میدهد.
🔹حتیابزارهای جانبی همانند ایمیل و ورد و غیره نیز ذیل برنامه DEOS و کاملا امنشده و منطبق با استانداردهای مورد نیاز به صورت مشترک ارائه میشوند.
AnotherOne
@Partisan2015
🔹بخشی از زیرساخت دیتاسنترهای نظامی آمریکا توسط شرکتهای مایکروسافت و آمازون فراهم شده و از طریق برنامه JWCC برای بخشهای نظامی/اطلاعاتی قابل خرید میباشد.
🔹بخش دیگری از این دیتاسنترها توسط خود نیروها بالا آورده شده و مدیریت میشوند مثلا Cloud One نیرویهوایی یا Neptune نیروی دریایی و مدیریت، امنیت و مقیاسپذیری آنها به طور متمرکز انجام میشود تا هزینهها کاهش یابند.
🔹بخش نهایی هم دیتاسنترهای خارج از خاک آمریکا هستند که با نام OCONUS Cloud بالا آورده شده و نگهداری میشوند.
🔹علاوه بر زیرساخت مشترک، IaaS, PaaS, SaaS های متنوعی نیز برای تسهیلکردن فرآیند توسعه، کاهش هزینهها، و همچنین افزایش امنیت و مقیاسپذیری بالا آورده شده، به عنوان مثال نیرویهوایی تحت برنامه Platform One از کوبرنتیز امنشده و رجیستری حاوی کانتینرهای امنشده تا ابزارهای مختلف توسعه امننرمافزار را ارائه میدهد.
🔹حتیابزارهای جانبی همانند ایمیل و ورد و غیره نیز ذیل برنامه DEOS و کاملا امنشده و منطبق با استانداردهای مورد نیاز به صورت مشترک ارائه میشوند.
AnotherOne
@Partisan2015
🔷قدمسوم: Zero Trust
🔹با توجه به نوع داده مورد استفاده و اهمیت آنها از شبکههای مختلف ارتباطی که زیرساخت مجزایی (ماهوارهها و فیبرنوری) از اینترنت دارند استفاده میشود.
▪️در پایینترین سطح NIRPNET که اطلاعات غیر محرمانه ولی خاص منظوره مربوط به لجستیک و برنامه ریزی در آن رد و بدل می شود.
▪️در سطح بعدی SIRPNET که داده های طبقه بندی شده یا محرمانه در آن رد و بدل می شود( همان شبکه ای که چلسی منینگ دیتایش را به ویکی لیکس لو داد)
▪️و در نهایت JWICS که عمدتا داده های سری و فوق سری در آن رد و بدل می شود.
🔹این جداسازی شبکهها از ماهواره و فیبرنوری مجزا تا سوییچ و روترها با رنگ متفاوت و حتی داخل سیستمعامل با رنگ پنجره متفاوت مشخص شدهاند تا کاربر هیچوقت اشتباها دیتای را به شبکه غیرامن منتقل نکند.
🔹در کنار این موضوع برای دسترسی به این شبکهها نیاز به سختافزار خاصمنظوره، توکن سختافزاری میباشد و بعد از اتصال تمامی دسترسیها تحت نظارت بوده و ذخیره میشوند و در صورت عدم تطابق استفاده کاربر با نیاز او هشدار برای مقامات امنیتی جهت بررسی موضوع ارسال میشود.
AnotherOne
@Partisan2015
🔹با توجه به نوع داده مورد استفاده و اهمیت آنها از شبکههای مختلف ارتباطی که زیرساخت مجزایی (ماهوارهها و فیبرنوری) از اینترنت دارند استفاده میشود.
▪️در پایینترین سطح NIRPNET که اطلاعات غیر محرمانه ولی خاص منظوره مربوط به لجستیک و برنامه ریزی در آن رد و بدل می شود.
▪️در سطح بعدی SIRPNET که داده های طبقه بندی شده یا محرمانه در آن رد و بدل می شود( همان شبکه ای که چلسی منینگ دیتایش را به ویکی لیکس لو داد)
▪️و در نهایت JWICS که عمدتا داده های سری و فوق سری در آن رد و بدل می شود.
🔹این جداسازی شبکهها از ماهواره و فیبرنوری مجزا تا سوییچ و روترها با رنگ متفاوت و حتی داخل سیستمعامل با رنگ پنجره متفاوت مشخص شدهاند تا کاربر هیچوقت اشتباها دیتای را به شبکه غیرامن منتقل نکند.
🔹در کنار این موضوع برای دسترسی به این شبکهها نیاز به سختافزار خاصمنظوره، توکن سختافزاری میباشد و بعد از اتصال تمامی دسترسیها تحت نظارت بوده و ذخیره میشوند و در صورت عدم تطابق استفاده کاربر با نیاز او هشدار برای مقامات امنیتی جهت بررسی موضوع ارسال میشود.
AnotherOne
@Partisan2015
🔷قدمچهارم: اطمینان از امنیت سیستمها
🔹در وهله اول آموزش افراد برای توسعهامن نرمافزار، مواجهه با فیشینگ و … برای تمامی افراد به طور رایگان و به عنوان بخشی از ساعات اداری آنها فراهم میشود تا پایه امنیتی مناسبی برای آنها فراهم شود.
🔹در قدم بعدی تمامی بخشهایی از توسعه که قابل اتومات کردن هستند از امنیت کد(SAST, SCA, DAST, Supply Chain Security, Container Scanning,Fuzzing) تا امنسازی زیرساختها(که در قدم دوم توضیح دادیم به صورت خودکار زیرساخت امنشده در اختیار قرار داده میشود) انجام میشود.
🔹بعد از دیپلوی نیز از Vulnerability Assessment و CVE Alerting تا پنتست در اختیار توسعهدهندگان قرار میگیرد تا از نتایج آن استفاده کنند.
🔹تمامی موارد( از تنظیم بوتامن تا مثلا استفاده امن از (istio در اختیار قرار گرفته و انطباق آن با کمک SCA Modules فراهم میشود تا توسعهدهنده با کمترین هزینه امنترین محصول را تحویل دهد.
🔹برای مقابله با تهدیدات پیشرفتهتر نیز از NGFو XDR گرفته تا HoneyPotو ابزارهای Cyber Deception بدر اختیار این نیروها برای مقابله با تهدیدات قرار میگیرد.
AnotherOne
@Partisan2015
🔹در وهله اول آموزش افراد برای توسعهامن نرمافزار، مواجهه با فیشینگ و … برای تمامی افراد به طور رایگان و به عنوان بخشی از ساعات اداری آنها فراهم میشود تا پایه امنیتی مناسبی برای آنها فراهم شود.
🔹در قدم بعدی تمامی بخشهایی از توسعه که قابل اتومات کردن هستند از امنیت کد(SAST, SCA, DAST, Supply Chain Security, Container Scanning,Fuzzing) تا امنسازی زیرساختها(که در قدم دوم توضیح دادیم به صورت خودکار زیرساخت امنشده در اختیار قرار داده میشود) انجام میشود.
🔹بعد از دیپلوی نیز از Vulnerability Assessment و CVE Alerting تا پنتست در اختیار توسعهدهندگان قرار میگیرد تا از نتایج آن استفاده کنند.
🔹تمامی موارد( از تنظیم بوتامن تا مثلا استفاده امن از (istio در اختیار قرار گرفته و انطباق آن با کمک SCA Modules فراهم میشود تا توسعهدهنده با کمترین هزینه امنترین محصول را تحویل دهد.
🔹برای مقابله با تهدیدات پیشرفتهتر نیز از NGFو XDR گرفته تا HoneyPotو ابزارهای Cyber Deception بدر اختیار این نیروها برای مقابله با تهدیدات قرار میگیرد.
AnotherOne
@Partisan2015