نکات امنیتی

نکات امنیتی مهم برای کاربران سازمان‌ها

در حالي که کارشناسان امنيتي مرتباً به کاربران هشدار مي‌دهند که به حداقل اصول امنيتي توجه کنند، اما باز هم شاهد سهل‌انگاري‌هاي کاربران هستيم. اين سهل‌انگاري‌ها نه تنها آرامش کاربران را به هم مي‌ريزد، بلکه در بيشتر موارد تبعات مالي فراواني را براي آن‌ها به همراه دارد.

اين مقاله به کاربران سامانه‌هاي مهم و سازمان‌هاي بزرگ در زمينه پياده‌سازي استراتژي‌هاي امنيتي کارآمد براي دوري جستن از مخاطرات امنيتي، توصيه‌هايي کرده است.همچنين به طور مختصر به نحوه پياده‌سازي خط‌مشي‌هاي امنيت شبکه نيز خواهيم پرداخت. پيشنهاد مي‌کنيم از ابتداي سال جاري به اين توصيه‌ها توجه کنيد تا يک سال را به دور از استرس و نگراني درباره بدافزارها و انواع مختلف تهديدها پشت سر نهيد.

عواقب بي‌توجهي به مسائل امنيتي فراتر از حد تصور است

تشويش و بي‌قراري از جمله عادت‌هاي ناپسند به شمار مي‌روند، اما هيچ‌يک از اين رفتارها به اندازه‌ کافي مخرب نيستند که بتوانند شرکتي را به زانو درآورند. اما زماني که صحبت از امنيت به ميان مي‌آيد، شاهد رفتارها و عادت‌هاي ناپسندي از کاربران سازماني هستيم که مي‌توانند زمينه‌ساز ورشکستگي سازمان شوند؛ به‌طوري که شرکتي را در برابر حملات هکري آسيب‌پذير مي‌کنند و در نهايت منجر به از دست رفتن داده‌ها يا سرقت آن‌ها مي‌شوند. همه اين اتفاقات به دليل رخنه‌هاي امنيتي شبيه به يکديگر رخ مي‌دهد. اما خبر خوب اين است که با توجه و دقت به اصول اوليه و ساده دنياي فناوري، آموزش کاربران در خصوص مسائل امنيتي، انتخاب بهترين مکانيزم امنيتي و به‌کارگيري راه‌حل‌هايي که در اين زمينه وجود دارد، مي‌توانيم تا حدود بسيار زيادي مخاطرات امنيتي را کاهش دهيم. «جاناتان کرو»، مدير ارشد محتوا در شرکت امنيتي «بارکلي» توصيه‌هاي ساده‌اي را براي بهبود وضعيت امنيتي سازمان‌ها و کاربران پيشنهاد کرده است. اگر کارمندان سازمان‌ها به اين نکات توجه کرده و از آن‌ها در زمان کار با سامانه‌هاي مهم استفاده ‌کنند، نه تنها سطح درک آن‌ها از اصول امنيتي بالاتر مي‌رود، بلکه توانايي مقابله با تهديدات امنيتي را نيز خواهند داشت.

خط مشي امنيت شبکه سازماني خود را مطابق با استانداردهاي جهاني آماده‌سازي کنيد

براي هر کارشناس امنيتي، تلاش براي نگارش سياست امنيتي (Security Policy) رويکرد دشواري به شمار مي‌رود. به دليل اينکه ماهيت اين مفهوم، به خودي خود پيچيده است و پياده‌سازي چنين الگويي کار چندان ساده‌اي نيست. کارشناس امنيتي ابتدا بايد توانايي درک مشکلات و چالش‌هاي پيش رو را داشته باشد. وي همواره با پرسش‌هايي نظير چه چيزي بايد نگارش شود؟ چگونه بايد نگارش شود؟ چه کسي مسئول آن خواهد بود؟ و موضوعاتي از اين دست روبه‌رو خواهد بود. اين‌ها از جمله سؤالات راهبردي هستند که پيش روي هر کارشناس امنيت شبکه قرار دارند. تدوين و آماده‌سازي استراتژي امنيت اطلاعات بيشتر از اينکه فن باشد، هنر است. هيچ کارشناس امنيتي را پيدا نخواهيد کرد که اعلام کند در مدت‌زمان دو روز، توانايي آماده‌سازي دستورالعمل 80 صفحه‌اي را براي سازمان شما دارد. در حالي که تعدادي از نيازمندي‌هاي مربوط به اين سياست‌گذاري ممکن است باعث کاهش هزينه‌ يا کم کردن دردسرهاي تدارکاتي براي محيط‌هاي مشخصي باشد، اما فهرستي که در ادامه مشاهده خواهيد کرد، شبيه به فهرستي است که مردم در زمان تعطيلات آماده کرده‌اند و هر آن چيزي را که به آن علاقه‌مند‌ هستند، در آن قرار مي‌دهند؛ به استثناي اين مورد که اين فهرست ويژه يک محيط امنيتي، آماده‌سازي شده است، اين سياست‌گذاري به‌گونه‌اي است که به مرور زمان و همگام با افزايش سطح تجربيات شخصي به تکامل رسيده، الگوي تهديداتي که شبکه را به مخاطره مي‌اندازند تغيير داده است و در نهايت، امنيتي سازگار با اين حملات را ارائه مي‌کند. مهم‌ترين اصلي که در زمان نگارش دستورالعمل امنيت شبکه لازم است به آن توجه کنيم، اين است که مجال تنفسي براي الگوي سياست‌گذاري امنيتي در نظر بگيريم تا همواره سند پويا و زنده‌اي در اختيار داشته باشيم. در حوزه امنيت همه چيز به‌سرعت در حال تغيير است، در نتيجه سياست امنيتي همواره بايد سرعت خود را با اين تغييرات حفظ کند.

منابع موجود و تکامل تدريجي سياست‌گذاري

اولين پرسش کارشناس امنيت شبکه از خود، اين است که چگونه مي‌تواند ايده‌ها و استراتژي‌هاي خود را به شکلي مدون و کاربردي به سياست امنيتي تبديل کند؟ اکثر کارشناسان امنيتي سريعاً به اين حقيقت آگاه مي‌شوند که پشتيباني مديران اجرايي براي اجرا و حمايت از خط مشي امنيتي، از ارکان اصلي موفقيت برنامه امنيت اطلاعات است. براي اينکه پشتيباني به وجود بيايد و تداوم پيدا کند، کارشناس امنيت شبکه بايد به دو نکته توجه کند. در گام اول، ضروري است که دامنه سياست‌گذاري به‌درستي و روشني تشريح شود و دوم اينکه اطلاع‌رساني درباره دستورالعمل‌هاي مرتبط با سياست‌گذاري به شيوه جامع و کارآمدي به کارکنان منتقل شود. منابع موجود به‌خوبي نشان مي‌دهند که فرايند عنوان‌بندي دستور العمل مرتبط با سياست امنيتي، دربرگيرنده مؤلفه‌هايي همچون مقصود (Purpose)، هدف (Objective)، کارکرد (Applicability)، توزيع (Distribution)، اجرا (Enforcement) و نظارت (Monitoring) است. براي مثال، در بسياري از کشورها از استاندارد بين‌المللي ISO/IEC 27001:2005 به‌عنوان الگويي براي استقرار سيستم مديريت امنيت اطلاعات استفاده مي‌شود.

کارشناس امنيت شبکه ممکن است در نظر داشته باشد سياست‌گذاري مدنظر خود را با هدف نشان دادن مخاطرات آماده‌سازي کند. اما اين جمله به چه معنا است؟ ريسک‌هاي امنيت شبکه با نشان دادن استانداردهاي امنيتي تعريف مي‌شوند. راهنماي خط مشي امنيت شبکه NSPM ، سرنام Network Security Policy Manual، هم بر استاندارد ISF ، سرنام Information Security Forum، که متشکل از تجربيات 260 شرکت و سازمان بين‌المللي در زمينه اطلاعات و امنيت اطلاعات است تأکيد دارد و هم بر ايزو 17799:2005 که از استانداردهاي ارائه‌شده از سوي ISO است. سند عمومي NSP که سند بلندبالايي است بر کنترل دسترسي به داده‌ها، رفتارهاي مرورگرها، نحوه به‌کارگيري گذرواژه‌ها، رمزنگاري، ضميمه‌هاي ايميلي و در کل مواردي که قوانين و ضوابطي را براي افراد و گروه‌ها ارائه مي‌کند، تأکيد دارد. در اين سند اعلام شده است که کارشناس امنيت شبکه که مسئوليت تنظيم خط مشي امنيتي شبکه را بر عهده دارد، بايد سلسله مراتبي از مجوزهاي دسترسي کاربران را آماده‌سازي کند و به هر کاربر بر اساس شرح وظايفش اجازه دسترسي به منابع مختلف را دهد. براي اين منظور سازمان‌هاي بزرگي در هر کشور همچون مؤسسه ملي فناوري و استانداردها NIST، سرنام National Institute of Standards and Technology، در ايالات متحده، مسئوليت تدوين استانداردها و خط مشي‌ها در امنيت اطلاعات را بر عهده دارند. روش ساده براي نوشتن دستورالعمل‌هاي خط مشي تبديل زبان استاندارد به يک دستورالعمل خط مشي، با نشان دادن سطح قابل پذيرش ريسک‌پذيري سازمان است. در زمان نگارش خط مشي سازمان بايد به اين نکته توجه کرد که مقدمه بايد هم بر خط مشي و هم هدف کنترلي خط مشي تقدم داشته باشد. براي اين منظور پيشنهاد مي‌کنيم نگاه دقيقي به استاندارد ISF و همچنين ايزو 17799 بيندازيد. براي مثال، نمونه‌اي از تدوين يک دستورالعمل خط مشي در خصوص عيب فني منابع شبکه و اطمينان پيدا کردن از اين موضوع که مؤلفه‌هاي شبکه مي‌توانند به حالت اول خود بازگردند، مي‌تواند همانند مثال زير باشد:

کنترل قابليت ارتجاعي شبکه برگرفته از ISF Network Resilience Controlم(NW1.3.3)

مقدمه: ريسک درست عمل نکردن تجهيزات حياتي ارتباطي، نرم‌افزار، پيوندها و سرويس‌ها بايد کاهش پيدا کند؛ به‌طوري که اطمينان حاصل شود مي‌توان مؤلفه‌هاي کليدي شبکه را در بازه‌هاي زماني بحراني جايگزين کرد.

دستور العمل خط مشي: به‌منظور برطرف کردن موقتي خطر و تأثير خرابي‌ها، ضروري است براي بخش‌هاي حياتي سيستم اولويت‌هايي در نظر گرفته شده و اطمينان حاصل شود که مؤلفه‌هاي کليدي شبکه در بازه زماني هدف قابليت جايگزيني و برگشت به حالت اوليه را دارند.

به‌کارگيري گذرواژه‌هاي يکسان يا ساده براي حساب‌هاي کاربري مختلف

شرکت امنيتي مديريت گذرواژه «SplashData» هر سال از گذرواژه‌هاي غيرايمن به‌عنوان يکي از عادت‌هاي بد کاربران اينترنتي ياد کرده و فهرستي از بدترين گذرواژه‌ها را فهرست و منتشر مي‌کند. لازم به توضيح نيست که هنوز هم بسياري از کاربران از گذرواژه‌هايي همچون 123456 يا Password به صورت کاملاً عادي استفاده مي‌کنند. گذرواژه‌هايي اين‌چنيني مصداق ارسال دعوت‌‌هاي جذاب براي هکرها هستند. در حالي که کاربران به‌راحتي مي‌توانند گذرواژه‌هاي مختلف و پيچيده را براي حساب‌هاي کاربري خود به ياد بياورند، مشخص نيست به چه دليل از گذرواژه‌هاي ساده و بدتر از آن يکسان استفاده مي‌کنند.

راه‌حل:از يکي از برنامه‌هاي مديريت گذرواژه‌ها استفاده کنيد. اين برنامه‌ها نه تنها توانايي توليد گذرواژه‌هاي تصادفي و ايمن را دارند، بلکه به ويژگي رمزنگاري و يادآوري آن‌ها مجهز هستند. به همين دليل کاربران در اين زمينه با مشکل خاصي روبه‌رو نخواهند بود.»

کليک کردن روي لينک‌ها يا ضميمه‌ها بدون بررسي دقيق آن‌ها

اين روزها هکرها استراتژي‌‌هاي خود را به طرز بسيار وحشتناکي تغيير داده‌اند؛ به‌گونه‌اي که سعي مي‌کنند پيامي که براي کاربر ارسال مي‌کنند، ظاهري قانوني داشته باشد. براي اين منظور آن‌ها از ترفندهاي مهندسي اجتماعي براي ارسال ويروس يا دسترسي به سيستم‌هاي خصوصي استفاده مي‌کنند. پيام‌هاي ارسال‌شده حتي در ظاهر ممکن است از سوي منابعي ارسال شوند که کاربران آن‌ها را مي‌شناسند يا به آن‌ها اعتماد دارند.

راه حل:به کاربران خود آموزش‌ دهيد که چگونه مي‌توانند با نگهداشتن ماوس روي لينک‌ها يا ابرلينک‌ها مکاني را مشاهده کنند که سمت آن هدايت خواهند شد. اگر سايتي با لينکي هماهنگ نبود يا مشکوک به نظر مي‌رسيد، روي آن لينک کليک نکنيد. همچنين کاربران نبايد هر ضميمه‌اي را که براي آن‌ها ارسال مي‌شود، باز کنند؛ به ويژه ضميمه‌هايي که انتظار دريافت آن‌ها را نداشته‌‌اند.

ابزارها و دستگاه‌هايي که تازه به بازار عرضه مي‌شوند، بيشتر همراه با برنامه‌هاي تبليغاتي در اختيار کاربران قرار مي‌گيرند. در بيشتر موارد اين برنامه‌هاي تبليغاتي آسيب‌پذيري‌هاي مختلفي را در خود جاي داده‌اند.

به کارگيري دستگاه‌هاي جديد ضامن موفقيت

بسياري از کاربران بر اين باور هستند که با خريد دستگاه‌هايي که تازه به بازار عرضه شده است، در برابر بسياري از حملات مصون هستند و به مرور زمان است که دستگاه آن‌ها در برابر حملات هکري ضعيف مي‌شود. اما اين طرز تفکر درست نيست. «الينور سايتا» مدير بخش فني مؤسسه «International Modern Media» در اين باره مي‌گويد: «ابزارها و دستگاه‌هايي که تازه به بازار عرضه مي‌شوند، بيشتر همراه با برنامه‌هاي تبليغاتي در اختيار کاربران قرار مي‌گيرند. در بيشتر موارد اين برنامه‌هاي تبليغاتي آسيب‌پذيري‌هاي مختلفي را در خود جاي داده‌اند.»

راه حل: در زمان خريد ابزارهاي جديد به اين نکته توجه کنيد که جديد بودن هميشه تضمين‌کننده امنيت نيست. اگر در نظر داريد دستگاه جديدي به‌ويژه دستگاهي هوشمند خريداري کنيد، سعي کنيد در خريد آن کمي تأمل کنيد تا به بازار عرضه شود و در ادامه ايرادات يا آسيب‌پذيري‌هاي آن شناسايي شوند.

سهل‌انگاري در نصب به‌روزرساني‌ها يا وصله‌ها

زماني که يک آسيب‌پذيري در نرم‌افزاري شناسايي شده و وصله مربوط به آن عرضه مي‌شود، شمارش معکوسي آغاز مي‌شود که در فرصت باقي‌مانده نهايت بهره‌برداري از آسيب‌پذيري انجام شود. کرو در اين خصوص مي‌گويد: «آمارها نشان مي‌‌دهند که هکرها هيچ‌گاه زمان را هدر نمي‌‌دهند، در سال 2014 ميلادي، نزديک به نيمي از آسيب‌پذيري‌ها و سوءاستفاده‌هايي که از آن‌ها شده بود؛ به‌طور ميانگين در مدت زمان دو هفته انجام گرفته بود؛ در حالي که وصله‌ها معمولاً در همان ابتداي کار عرضه مي‌شوند.»

راه حل:سعي کنيد در زمينه دريافت وصله‌ها از برنامه منظم و ساختمندي استفاده کنيد. اين کار باعث مي‌شود تا به طور خودکار به‌روزرساني‌ها و وصله‌ها دريافت ‌شوند. مزيت اين راهکار در اين است که حتي اگر به دليل مشغله کاري فراموش کرديد وصله‌اي را دريافت کنيد، اين کار به طور خودکار انجام مي‌شود و همراه شما را در امنيت نگه مي‌دارد.

به‌کارگيري واي‌فاي عمومي

هر کاربري با شنيدن اين جمله که واي‌فاي رايگان در اختيار او قرار دارد، وسوسه مي‌شود تا از آن استفاده کند. در مکان‌هايي همچون رستوران‌ها يا فرودگاه‌ها که واي‌فاي عمومي عرضه مي‌شود، مردم براي انجام کارهاي خود از آن استفاده مي‌کنند .بايد به اين نکته توجه کنيم که رايگان بودن و عمومي بودن هميشه به معناي در اختيار داشتن فناوري به شکل ايمن نيست. اين چنين ارتباطاتي به ميزان قابل توجهي خطرناک هستند.

راه حل:در چنين شرايطي بهتر است از VPN استفاده کنيد. اين مکانيزم ترافيک را رمزنگاري کرده و نشست‌هاي مرورگر شما را ايمن مي‌سازد. حتي اگر شرکت، سازوکار VPN را در اختيارتان قرار نمي‌دهد، سعي کنيد در خصوص فوايد و مزاياي چنين مکانيزم ارتباطي اطلاعات مورد نياز را به دست آوريد.

رايگان بودن و عمومي بودن هميشه به معناي در اختيار داشتن فناوري به شکل ايمن نيست. اين چنين ارتباطاتي به ميزان قابل توجهي خطرناک هستند

به‌کار نگرفتن مکانيزم احراز هويت دوعاملي

«الکس استاموس» مدير ارشد امنيت شرکت فيسبوک درباره گذرواژه‌ها گفته است: «سايت‌هاي خبري به طور گسترده بر مکانيزم‌هاي پيچيده و چندلايه حمله که هکرها استفاده مي‌کنند، متمرکز شده‌اند. اين شيوه اطلاع‌رساني به کاربر اين پيام را القا مي‌کند که او در برابر حملات کاملاً آسيب‌پذير بوده و هيچ راه دفاعي در اختيار ندارد. اما در بيشتر موارد اين جمله درست نيست. تنها سازمان‌هاي دولتي آن هم در رده‌هاي بسيار بالا، توانايي نفوذ به هر سيستمي را دارند. اما در مقابل هکرها، حتي هکرهاي سازمان‌يافته، دفاع قابل قبولي وجود دارد.»

راه حل: مکانيزم احراز هويت دوعاملي را که اغلب با ارسال کدهايي براي تلفن‌هاي هوشمند کار مي‌کنند، در حساب‌هاي کاربري و شبکه‌هاي اجتماعي استفاده کنید. هکرها عمدتاً در تلاش هستند حساب‌هاي کاربري را که روي شبکه‌هاي اجتماعي قرار دارند، هک کنند و کنترل آن‌ها را به دست گيرند. به دست آوردن حساب کاربري افراد در شبکه‌هاي اجتماعي تنها براي آسيب رساندن به افراد هک نمي‌شوند، هکرها مي‌توانند از چنين حساب‌هايي به بهترين شکل ممکن استفاده کنند و سودهاي کلاني به جيب بزنند. در کنار مکانيزم احراز هويت دو عاملي، سعي کنيد از ابزار مديريت‌کننده گذرواژه‌ها براي حساب‌ها و سرويس‌هاي کاربري خود استفاده کنيد.

اين فرض که يادآوري گذرواژه‌هاي طولاني کار مشکلي است

بسياري از کاربران اعلام مي‌کنند که توانايي يادآوري گذرواژه‌هاي طولاني را ندارند. به همين دليل بسياري از کاربران براي سادگي کار سعي مي‌کنند از ترکيباتي همچون سال تولد و شماره شناسنامه خود براي ورود به سايت‌هاي مختلف استفاده کنند؛ به دليل اينکه يادآوري گذرواژه‌هاي مختلف براي سايت‌هاي مختلف کار سختي به شمار مي‌رود. همچنين بعضي از کاربران نيز تمايلي به استفاده از برنامه‌هاي مديريت گذرواژه‌ها ندارند. اگر جزو اين گروه از کاربران هستيد، هنوز هم راهکاري براي شما در زمينه ساخت گذرواژه‌هاي منحصربه‌فرد وجود دارد.

راه حل: براي اينکه نيازي به يادداشت کردن گذرواژه‌هاي خود نداشته باشيد و همچنين بتوانيد به ساده‌ترين شکل ممکن گذرواژه‌هاي خود را به ياد آوريد، مي‌توانيد از ترکيب نام سايت مورد بازديد در انتهاي گذرواژه خود استفاده کنيد. «لوييس کرنر» مدير فني بخش امنيتي کلاود شرکت «پاندا» در اين باره گفته است: «براي ساخت گذرواژه‌اي منحصربه‌فرد و يادآوري ساده آن، نام سايت را به انتهاي گذرواژه انتخابي خود اضافه کنيد. براي مثال براي سايت bank.com واژه -bank را به‌عنوان پسوند گذرواژه يا در حساب‌هاي مورد استفاده در شبکه‌هاي اجتماعي از -linkedin يا -twit و مانند اين‌ها به‌عنوان پسوند گذرواژه خود استفاده کنيد.»

اين فرض که امنيت، مشکل فناوري اطلاعات است

در بيشتر شرکت‌ها بسياري از کاربران بر اين باور هستند که همواره گروه‌هاي فني و راه‌حل‌هاي امنيتي در محل وجود دارند تا براي حفاظت و کمک به تعاملات آنلاين وارد عمل شوند. اين موضوع کاملاً صحيح است، اما هر کاربري خود مسئول آن چيزي است که انتخاب کرده و اين انتخاب بر امنيت فردي و امنيت شرکتي که در آن کار مي‌کند، تأثيرگذار خواهد بود. بخش عمده‌اي از نقص‌هاي داده‌اي و حملات سايبري از زماني آغاز مي‌شوند که کاربر روي لينکي که نبايد کليک مي‌کرده، کليک کرده، لپ‌تاپ‌ خود را در تاکسي جا گذاشته يا آن را به شبکه واي فاي عمومي متصل کرده است.

راه حل:آموزش، يادگيري و تکرار نکات آموزشي، رمز دوري جستن از چنين مشکلاتي است. اطمينان حاصل کنيد کاربران شما بهترين اقدامات امنيتي را به طور روزانه انجام مي‌دهند. يادگيري بيشتر درباره مخاطرات امنيتي، باعث کم شدن تهديدها مي‌شود و کاربران مي‌توانند به‌خوبي با تکنيک‌هاي اوليه دفاعي در برابر پيوندهاي ضعيف آشنا شوند.

 

منبع:Geekboy.ir