معرفی و دانلود کتاب امنیت، امنیت ندارد: راهکارهای امن سازی سیستم‌های حفاظت الکترونیک

معرفی کتاب امنیت، امنیت ندارد: راهکارهای امن سازی سیستم‌های حفاظت الکترونیک

سیدعلی صموتی و مهرداد گودرزی، کتاب امنیت، امنیت ندارد را با هدف آگاهی‌بخشی درباره‌ی خطرهایی نوشته‌اند که امنیت فناوری‌های حفظ امنیت، مثل دوربین‌های مداربسته، را به خطر می‌اندازند. نویسندگان در این کتاب، انواع خطرها را معرفی می‌کنند و راهکارهای مقابله با آن‌ها را توضیح می‌دهند.

درباره‌ی کتاب امنیت، امنیت ندارد

هر محلی که امنیت در آن مهم است به یک سیستم نظارت الکترونیک نیاز دارد. تقریباً در همه‌جا از جمله مراکز مهم دولتی، شرکت‌های بزرگ و کوچک، خیابان‌های پر رفت‌و‌آمد، محله‌ها و خانه‌ها از دوربین‌های مداربسته استفاده می‌شود. این دوربین‌ها به اصطلاح مبتنی بر شبکه هستند؛ یعنی به یک شبکه‌ی اینترنتی متصل می‌شوند و تصاویر را به آن شبکه انتقال می‌دهند. به این ترتیب، شما هر وقت بخواهید، می‌توانید با هرگوشی موبایل یا کامپیوتری که به اینترنت وصل باشد، به تصاویر ضبط‌شده دسترسی پیدا کنید. عالی به نظر می‌رسد! کافی است در یک مسافرت کوتاه کمی درباره امنیت خانه‌تان احساس نگرانی کنید تا با چند کلیک ساده و دسترسی به تصاویر خانه، خیال‌تان راحت شود. اما همان‌طور که از نام کتاب پیداست، این دسترسی آسان بی‌خطر نیست. علی صموتی و مهرداد گودرزی، در کتاب امنیت، امنیت ندارد توضیح می‌دهند که دسترسی به تصاویر دوربین‌های مداربسته نه فقط برای شما، بلکه برای مجرمین، سودجویان و کسانی که قصد آسیب زدن به جان و مال شما را دارند هم می‌تواند به همین راحتی باشد. مگر این که نقاط آسیب‌پذیر در سیستم نظارت تصویری را بشناسید و به راهکارهای علی صموتی و مهرداد گودرزی در این کتاب عمل کنید. نشر ایزد راد کتاب امنیت، امنیت را منتشر کرده. این کتاب در پنج فصل نوشته ‌شده و مطالب آن از پنج گام اساسی پیروی می‌کند.

کتاب امنیت، امنیت ندارد ، در گام اول عوامل تهدید را بررسی می‌کند. در گام دوم، علی صموتی و مهرداد گودرزی اهداف حمله را بر اساس نتایج پژوهشی مشترک در دانشکده‌ی شهید شمسی‌پور و شرکت پرشیا سیستم دسته‌بندی می‌کنند و توضیح می‌دهند. این نویسنده‌ها در سومین گام نگارش کتاب، حمله‌های واقعی را بر اساس گزارش‌های موجود و آزمایش‌های عملی مرور می‌کنند. گام چهارم به پیامدهای حمله به سیستم‌های نظارت الکترونیک و روش‌های مقابله با حمله می‌پردازد و گام پنجم، به آینده‌ی سیستم‌های نظارت تصویری و کاربرد بلاک‌چین اختصاص دارد.

کتاب امنیت، امنیت ندارد برای چه کسانی مناسب است؟

این کتاب برای صاحبان شغل‌هایی که با سیستم‌های حفاظت الکترونیک سروکار دارد سودمند است؛ مثل مدیران شرکت‌ها، کارشناس‌ها و متخصصان امنیت، کارشناسان فناوری اطلاعات و متخصصان قانون. کسانی که در حوزه امنیت سایبری تحصیل و پژوهش می‌کنند هم می‌توانند از اطلاعات این کتاب استفاده کنند. البته اگر در حوزه مرتبط با سیستم‌های امنیتی کار یا تحصیل نمی‌کنید اما به مطالعه‌ی مباحث تکنولوژی و امنیت سایبری علاقمند هستید هم می‌توانید دانش خود را با خواندن این کتاب بالا ببرید.

در بخشی از کتاب امنیت، امنیت ندارد: راهکارهای امن سازی سیستم‌های حفاظت الکترونیک می‌خوانیم

حال باید به تأثیر تهدیدات امنیت سایبری بر بازار سامانه‌های نظارت تصویری تحت شبکه بپردازیم. در سیستم‌های نظارت تصویری، انگیزۀ اصلی مهاجمان سایبری معمولاً پنهان‌کردن داده‌های ویدئویی مرتبط با جرائم است یا این مهاجمان خواهان دسترسی به ویدئوهایی هستند که باید خصوصی و محرمانه باشند و این اطلاعات و داده‌ها غیرقابلِ‌سانسور و حذف هستند. امروزه استفاده از سامانه‌های نظارت تصویری در سراسر آمریکای شمالی در حال‌ رشد است. این کاربردها نه‌تنها برای ایمنی و امنیت، بلکه برای اهداف عملیاتی، بازرگانی و مدیریتی کاربرد فراوانی دارد. باب ژرمن، مدیر محصول هایک‌ویژن در ایالات‌متحده، دراین‌باره توضیح می‌دهد که با توسعۀ یک فناوری، درک خطرات موجود در یک محصول از یک سو برای کاربران اهمیت دارد و از سوی دیگر، مزایای آن برای کاربران از اهمیت فراوانی برخوردار است. شرکت‌های نظارت تصویری از سال 2017، باتوجه‌به نقص‌هایی که در سامانه‌های مختلف نظارت تصویری رخ داد، تحقیق و توسعۀ این مفاهیم امنیتی را بسیار گسترش دادند و برای آن‌ها اهمیت فراوانی قائل شدند.

ژرمن همچنین می‌افزاید: ما یک گروه ویژه در سازمان خود، آزمایشگاه امنیت شبکه و اطلاعات ایجاد کرده‌ایم. این گروه مسئول تنظیم استانداردهای امنیتی شرکت، انجام ارزیابی‌ها و آزمایش‌های امنیتی و پاسخ‌گویی به مسائل امنیتی در صورت بروز آن‌ها هستند. همچنین، ما با شرکت‌های تحلیلی و داده‌های امنیتی شخص ثالث که آزمایش‌های نفوذ و ارزیابی آسیب‌پذیری محصولات ما را انجام می‌دهند همکاری و تعامل داریم. وی می‌گوید: «تیم ما قویاً معتقد است که تولیدکنندگان، کاربران امنیتی و کاربران نهایی باید باهم تعامل و همکاری داشته باشند تا از بالاترین سطح امنیت سایبری اطمینان یابند.» بسیاری از شرکت‌ها مانند اکسیس و هایک‌ویژن با حذف استفاده از رمزهای عبور پیش‌فرض و نیز ایجاد انعطاف‌پذیری برای تغییر پورت‌های پیش‌فرض، به‌منظور کاهش آسیب‌پذیری در مقابله با حملاتی نظیر بروت فورس یا اسکن آدرس‌های شبکه، به‌منظور کاهش حملات، تلاش کرده‌اند تا امنیت سایبری را افزایش دهند.

فهرست مطالب کتاب

سخن اسپانسر (شرکت پرشیا سیستم)
چکیده
فصل 1. مدیریت امنیت اطلاعات در عصر نوین
فصل 2. طبقه‌بندی و بررسی معماری امنیت سیستم‌های نظارت تصویری
2-1 عاملان تهدید (چه کسی؟)
2-2 دارایی‌ها (چه چیزهایی؟)
2-3 توپولوژی (کجا موردهدف قرار بگیرد؟)
2-4 انگیزه (چرا؟)
2-5 بردارهای حمله (چگونگی)
1- بررسی اجمالی سیستم‌های نظارت تصویری
فصل 3. بررسی اجمالی ساختار مدیریت امنیت در سیستم ‌های حفاظت فیزیکی
3-1 هدف
3-2 پیاده‌سازی
3-2-1 مانیتورینگ
3-2-2 ارتباطات
3-2-3 توپولوژی
3-2-4 حفاظت
3-3 دارایی‌ها
3-3-1 DVR- سرور رسانه
3-3-2 دوربین‌ها
3-3-3 پایانۀ مشاهدۀ تصاویر
3-3-4 زیرساخت شبکه
3-3-5 محتوای ویدئو
3-3-6 مجوزهای کاربری
3-3-7 ترافیک شبکه
فصل 4. نحوۀ ارتباط در سامانه‌های نظارت تصویری
3-4 مدار باز فیزیکی (POC Physically open circuit)
3-5 مدار بستۀ فیزیکی (PCC Physically close circuit)
3-6 مدار بستۀ مجازی (VCC: Virtually close circuit)
4. نقض‌های امنیتی
4-1 نقض محرمانه بودن
4-2 نقض یکپارچگی
فصل 5. حملات
5. عوامل تهدید
5-1 انجام تزریق کد
5-2 دست‌کاری/ مشاهدۀ ترافیک
5-3 نفوذ اطلاعات
5-4 تزریق سیلابی و اخلال در کار
5-5 اسکن و شناسایی
5-6 استفاده از یک پیکربندی اشتباه
5-7 انجام یک حملۀ Brute-Force
5-8 مهندسی اجتماعی (SE)
5-9 دسترسی فیزیکی
5-10 مهندسی معکوس
6. پیامد تهدید
6-1 توسعۀ مجوزهای دسترسی
6-2 دسترسی به محتواهای ویدئویی
6-3 اجرای خودسرانۀ کد (ACE)
6-4 نصب بدافزار
6-5 حرکت جانبی
6-6 حملۀ مرد میانی (MitM)
6-7 منع سرویس (DoS)
6-8 دسترسی به یک شبکۀ ایزوله
7. اقدامات مقابله‌ای و بهترین روش‌ها
7-1 سیستم‌های تشخیص و پیشگیری از نفوذ
7-2 پیکربندی و رمزگذاری
7-3 محدودکردن دسترسی فیزیکی
7-4 دفاع دربرابر حملات DoS
7-5 دفاع دربرابر حملات MitM
7-6 آموزش
8. مواجهه با چالش امنیت سایبری سیستم‌های نظارت تصویری تحت شبکه
8-1 آگاهی از خطرات امنیت سایبری
8-2 تعیین جایگاه مدیریت و هدایت در امنیت سایبری
8-3 چگونگی تضمین امنیت سایبری محصولات با تست آسیب‌پذیری
8-4 روش تست Rapid7
8-4-1 شناسایی و شمارش به روش جعبه‌سیاه برای دستگاه و سیستم انتقال
8-4-2 تست سخت‌افزار
8-4-3 تست پروتکل برای بررسی ارتباطات ورودی و خروجی دستگاه
8-4-4 تجزیه‌وتحلیل Firmware
8-4-5 تست نقطۀ انتهایی
8-5 روش‌های کارا برای ایجاد امنیت سایبری
8-5-1 به‌روز نگه‌داشتن سخت‌افزار و نرم‌افزار دستگاه‌های ویدئویی
8-5-2 اختصاص نام کاربری و رمز عبور پیش‌فرض
8-5-3 انتخاب گذرواژه‌هایی که حدس‌زدن آن‌ها دشوار است
8-5-4 استفاده از روش قفل‌کردن رمز عبور
8-5-5 ضرورت محدودکردن دسترسی کاربران
8-5-6 ردیابی افرادی که به دستگاه‌ها دسترسی دارند
8-5-7 نصب یک دستگاه فایروال بین شبکه‌های درونی و شبکه‌های بیرونی (اینترنت)
8-5-8 منابعی برای کمک به امنیت سایبری
8-5-9 عدمِ‌استفاده از پورت‌های پیش‌فرض (ایجاد امنیت ازطریق ابهام)
8-5-10 مخفی نگه‌داشتن دستگاه‌های سیستم نظارت تصویری
8-5-11 نقش تولیدکنندگان
8-6 ممکن است یک حملۀ سایبری برای شما نیز اتفاق بیفتد
8-7 امن‌سازی سایبری و نقش دیگر بازیگران
8-7-1 ارائۀ امن‌ترین تجهیزات ممکن
8-7-2 آزمایش‌های دوره‌ای
8-7-3 ارائۀ اطلاعات به‌طور شفاف
8-7-4 ارتقا و به‌روزرسانی آسان امنیت سایبری
8-7-5 آموزش کارکنان پشتیبانی فنی برای واکنش مناسب به یک حملۀ سایبری یا آسیب‌پذیری
8-7-6 ارائۀ لوازم با سیستم‌های تعبیه‌شده
8-7-7 خاموش‌کردن خط فرمان Telnet
8-7-8 نقش نصب‌کننده‌ها/ توسعه‌دهندگان سیستم و کاربران نهایی
8-7-9 آگاهی و آموزش بیشتر درمورد امنیت سایبری
8-7-10 ایفای نقش فعال در آموزش درمورد امنیت سایبری
8-7-11 ایجاد فرایندهایی برای پاسخ‌گویی
8-7-12 استفاده از تخصص در داخل شرکت
8-7-13 استفاده از منابع موجود
9. دفاع در عمق برای سیستم‌های حفاظت الکترونیک
9-1 تهدیدات امنیتی در اینترنت اشیا
9-2 تهدیدات لایۀ ادراک
9-2-1 حملۀ فیزیکی
9-2-2 افشای داده‌ها
9-2-3 دسترسی غیرمجاز
9-2-4 به‌روزرسانی غیرمجاز
9-2-5 اجزای منقضی‌شده
9-2-6 نرم‌افزار بدافزار
9-3 امن‌سازی و تهدیدات لایۀ انتقال
9-3-1 حملۀ سایبری
9-3-2 افشای داده‌ها
9-3-3 دست‌کاری داده‌ها
9-4 تهدیدات لایۀ کاربردی
9-4-1 مدیریت دستگاه
9-4-2 دسترسی غیرمجاز
9-4-3 آسیب‌پذیری‌های سیستم‌عامل
9-4-4 افشای داده‌ها
9-4-5 اجزای منقضی‌شده
9-4-6 آسیب‌پذیری‌های پیکربندی
9-4-7 به‌روزرسانی غیرمجاز
9-5 امنیت شبکه و اطلاعات در صنعت نظارت
9-5-1 شیوع آسیب‌پذیری‌های امنیتی
9-5-2 امنیت برای کل سیستم
9-5-3 امنیت نرم‌افزار منبع‌باز شخص ثالث
9-5-4 تعادل در پویایی امنیت
9-5-5 مدیریت امنیت محصولات
10. چرخۀ عمر امنیت محصول
10-1 سازمان
10-1-1 کمیتۀ امنیت محصول
10-1-2 بخش امنیت شبکه
10-1-3 آزمایشگاه امنیت شبکه و اطلاعات
10-1-4 مرکز پاسخ‌گویی امنیتی هایک‌ویژن
10-1-5 دفاتر امنیتی خط تولید
10-1-6 بخش تست امنیت
10-1-7 بخش‌های پشتیبانی
10-2 رویه‌ها و استانداردها
10-2-1 مقررات عمومی برای امنیت محصول
10-2-2 مستندسازی فرایندهای امنیتی
10-3 پایه‌ریزی امنیت یا طراحی امنیت از مبنا
10-4 فرایند تحقیق و توسعۀ امنیتی
10-4-1 مرحلۀ مفهومی Concept
10-4-2 مرحلۀ طراحی
10-4-3 مرحلۀ توسعه
10-4-4 مرحلۀ تأیید
10-5 مدیریت آسیب‌پذیری
11. مروری بر روش‌های ارتقای امنیت شبکه‌های نظارت تصویری با بهره‌گیری از بلاک‌چین
11-1 چکیده
11-2 مقدمه
11-3 مفاهیم بلاک‌چین و سیستم‌های نظارت تصویری
11-4 کاربرد بلاک‌چین در سیستم‌های نظارت تصویری
11-5 چالش‌های امنیتی ازنظر سیستم‌های نظارتی
11-6 تعریف بلاک‌چین با دید سیستم‌های نظارت تصویری
11-7 مزایا و معایب بلاک‌چین با دید سیستم‌های نظارت تصویری
11-7-1 سازوکار فنی بلاک‌چین و ارتباط با سیستم‌های نظارت تصویری
11-8 راهکارهای ارائه‌شده توسط بلاک‌چین برای امنیت شبکه‌های نظارت تصویری
11-8-1 ارائۀ راهکار برای جلوگیری از تغییر و انحراف پیکربندی دوربین
11-8-2 راهکارهایی برای جلوگیری از نقض حریم شخصی
11-8-3 جلوگیری از انتشار غیرمجاز تصاویر
11-8-4 تضمین و قابلیت اطمینان برای تصاویر ویدئویی ذخیره‌شده و کنترل دسترسی کارکنان
11-8-5 استفاده از درخت مرکل برای حریم شخصی در سیستم‌های نظارت تصویری
11-8-6 استفاده از زنجیرۀ ویدئویی یا VIDEO CHAIN
11-8-7 ارائۀ راهکار برای اصالت تصاویر دوربین‌های مداربستۀ بی‌سیم به کمک بلاک‌چین
11-8-8 روش پیشنهادی بلاک‌چین و speedychain
11-8-9 احراز هویت به‌صورت هم‌زمان
11-9 اقدامات آتی
2- نتیجه‌گیری
11-10 نتیجه‌گیری
12. منابع