در حالي که کارشناسان امنيتي مرتباً به کاربران هشدار ميدهند که به حداقل اصول امنيتي توجه کنند، اما باز هم شاهد سهلانگاريهاي کاربران هستيم. اين سهلانگاريها نه تنها آرامش کاربران را به هم ميريزد، بلکه در بيشتر موارد تبعات مالي فراواني را براي آنها به همراه دارد.
اين مقاله به کاربران سامانههاي مهم و سازمانهاي بزرگ در زمينه پيادهسازي استراتژيهاي امنيتي کارآمد براي دوري جستن از مخاطرات امنيتي، توصيههايي کرده است.همچنين به طور مختصر به نحوه پيادهسازي خطمشيهاي امنيت شبکه نيز خواهيم پرداخت. پيشنهاد ميکنيم از ابتداي سال جاري به اين توصيهها توجه کنيد تا يک سال را به دور از استرس و نگراني درباره بدافزارها و انواع مختلف تهديدها پشت سر نهيد.

عواقب بيتوجهي به مسائل امنيتي فراتر از حد تصور است
تشويش و بيقراري از جمله عادتهاي ناپسند به شمار ميروند، اما هيچيک از اين رفتارها به اندازه کافي مخرب نيستند که بتوانند شرکتي را به زانو درآورند. اما زماني که صحبت از امنيت به ميان ميآيد، شاهد رفتارها و عادتهاي ناپسندي از کاربران سازماني هستيم که ميتوانند زمينهساز ورشکستگي سازمان شوند؛ بهطوري که شرکتي را در برابر حملات هکري آسيبپذير ميکنند و در نهايت منجر به از دست رفتن دادهها يا سرقت آنها ميشوند. همه اين اتفاقات به دليل رخنههاي امنيتي شبيه به يکديگر رخ ميدهد. اما خبر خوب اين است که با توجه و دقت به اصول اوليه و ساده دنياي فناوري، آموزش کاربران در خصوص مسائل امنيتي، انتخاب بهترين مکانيزم امنيتي و بهکارگيري راهحلهايي که در اين زمينه وجود دارد، ميتوانيم تا حدود بسيار زيادي مخاطرات امنيتي را کاهش دهيم. «جاناتان کرو»، مدير ارشد محتوا در شرکت امنيتي «بارکلي» توصيههاي سادهاي را براي بهبود وضعيت امنيتي سازمانها و کاربران پيشنهاد کرده است. اگر کارمندان سازمانها به اين نکات توجه کرده و از آنها در زمان کار با سامانههاي مهم استفاده کنند، نه تنها سطح درک آنها از اصول امنيتي بالاتر ميرود، بلکه توانايي مقابله با تهديدات امنيتي را نيز خواهند داشت.
خط مشي امنيت شبکه سازماني خود را مطابق با استانداردهاي جهاني آمادهسازي کنيد
براي هر کارشناس امنيتي، تلاش براي نگارش سياست امنيتي (Security Policy) رويکرد دشواري به شمار ميرود. به دليل اينکه ماهيت اين مفهوم، به خودي خود پيچيده است و پيادهسازي چنين الگويي کار چندان سادهاي نيست. کارشناس امنيتي ابتدا بايد توانايي درک مشکلات و چالشهاي پيش رو را داشته باشد. وي همواره با پرسشهايي نظير چه چيزي بايد نگارش شود؟ چگونه بايد نگارش شود؟ چه کسي مسئول آن خواهد بود؟ و موضوعاتي از اين دست روبهرو خواهد بود. اينها از جمله سؤالات راهبردي هستند که پيش روي هر کارشناس امنيت شبکه قرار دارند. تدوين و آمادهسازي استراتژي امنيت اطلاعات بيشتر از اينکه فن باشد، هنر است. هيچ کارشناس امنيتي را پيدا نخواهيد کرد که اعلام کند در مدتزمان دو روز، توانايي آمادهسازي دستورالعمل 80 صفحهاي را براي سازمان شما دارد. در حالي که تعدادي از نيازمنديهاي مربوط به اين سياستگذاري ممکن است باعث کاهش هزينه يا کم کردن دردسرهاي تدارکاتي براي محيطهاي مشخصي باشد، اما فهرستي که در ادامه مشاهده خواهيد کرد، شبيه به فهرستي است که مردم در زمان تعطيلات آماده کردهاند و هر آن چيزي را که به آن علاقهمند هستند، در آن قرار ميدهند؛ به استثناي اين مورد که اين فهرست ويژه يک محيط امنيتي، آمادهسازي شده است، اين سياستگذاري بهگونهاي است که به مرور زمان و همگام با افزايش سطح تجربيات شخصي به تکامل رسيده، الگوي تهديداتي که شبکه را به مخاطره مياندازند تغيير داده است و در نهايت، امنيتي سازگار با اين حملات را ارائه ميکند. مهمترين اصلي که در زمان نگارش دستورالعمل امنيت شبکه لازم است به آن توجه کنيم، اين است که مجال تنفسي براي الگوي سياستگذاري امنيتي در نظر بگيريم تا همواره سند پويا و زندهاي در اختيار داشته باشيم. در حوزه امنيت همه چيز بهسرعت در حال تغيير است، در نتيجه سياست امنيتي همواره بايد سرعت خود را با اين تغييرات حفظ کند.
منابع موجود و تکامل تدريجي سياستگذاري
اولين پرسش کارشناس امنيت شبکه از خود، اين است که چگونه ميتواند ايدهها و استراتژيهاي خود را به شکلي مدون و کاربردي به سياست امنيتي تبديل کند؟ اکثر کارشناسان امنيتي سريعاً به اين حقيقت آگاه ميشوند که پشتيباني مديران اجرايي براي اجرا و حمايت از خط مشي امنيتي، از ارکان اصلي موفقيت برنامه امنيت اطلاعات است. براي اينکه پشتيباني به وجود بيايد و تداوم پيدا کند، کارشناس امنيت شبکه بايد به دو نکته توجه کند. در گام اول، ضروري است که دامنه سياستگذاري بهدرستي و روشني تشريح شود و دوم اينکه اطلاعرساني درباره دستورالعملهاي مرتبط با سياستگذاري به شيوه جامع و کارآمدي به کارکنان منتقل شود. منابع موجود بهخوبي نشان ميدهند که فرايند عنوانبندي دستور العمل مرتبط با سياست امنيتي، دربرگيرنده مؤلفههايي همچون مقصود (Purpose)، هدف (Objective)، کارکرد (Applicability)، توزيع (Distribution)، اجرا (Enforcement) و نظارت (Monitoring) است. براي مثال، در بسياري از کشورها از استاندارد بينالمللي ISO/IEC 27001:2005 بهعنوان الگويي براي استقرار سيستم مديريت امنيت اطلاعات استفاده ميشود.
کارشناس امنيت شبکه ممکن است در نظر داشته باشد سياستگذاري مدنظر خود را با هدف نشان دادن مخاطرات آمادهسازي کند. اما اين جمله به چه معنا است؟ ريسکهاي امنيت شبکه با نشان دادن استانداردهاي امنيتي تعريف ميشوند. راهنماي خط مشي امنيت شبکه NSPM ، سرنام Network Security Policy Manual، هم بر استاندارد ISF ، سرنام Information Security Forum، که متشکل از تجربيات 260 شرکت و سازمان بينالمللي در زمينه اطلاعات و امنيت اطلاعات است تأکيد دارد و هم بر ايزو 17799:2005 که از استانداردهاي ارائهشده از سوي ISO است. سند عمومي NSP که سند بلندبالايي است بر کنترل دسترسي به دادهها، رفتارهاي مرورگرها، نحوه بهکارگيري گذرواژهها، رمزنگاري، ضميمههاي ايميلي و در کل مواردي که قوانين و ضوابطي را براي افراد و گروهها ارائه ميکند، تأکيد دارد. در اين سند اعلام شده است که کارشناس امنيت شبکه که مسئوليت تنظيم خط مشي امنيتي شبکه را بر عهده دارد، بايد سلسله مراتبي از مجوزهاي دسترسي کاربران را آمادهسازي کند و به هر کاربر بر اساس شرح وظايفش اجازه دسترسي به منابع مختلف را دهد. براي اين منظور سازمانهاي بزرگي در هر کشور همچون مؤسسه ملي فناوري و استانداردها NIST، سرنام National Institute of Standards and Technology، در ايالات متحده، مسئوليت تدوين استانداردها و خط مشيها در امنيت اطلاعات را بر عهده دارند. روش ساده براي نوشتن دستورالعملهاي خط مشي تبديل زبان استاندارد به يک دستورالعمل خط مشي، با نشان دادن سطح قابل پذيرش ريسکپذيري سازمان است. در زمان نگارش خط مشي سازمان بايد به اين نکته توجه کرد که مقدمه بايد هم بر خط مشي و هم هدف کنترلي خط مشي تقدم داشته باشد. براي اين منظور پيشنهاد ميکنيم نگاه دقيقي به استاندارد ISF و همچنين ايزو 17799 بيندازيد. براي مثال، نمونهاي از تدوين يک دستورالعمل خط مشي در خصوص عيب فني منابع شبکه و اطمينان پيدا کردن از اين موضوع که مؤلفههاي شبکه ميتوانند به حالت اول خود بازگردند، ميتواند همانند مثال زير باشد:
کنترل قابليت ارتجاعي شبکه برگرفته از ISF Network Resilience Controlم(NW1.3.3)
مقدمه: ريسک درست عمل نکردن تجهيزات حياتي ارتباطي، نرمافزار، پيوندها و سرويسها بايد کاهش پيدا کند؛ بهطوري که اطمينان حاصل شود ميتوان مؤلفههاي کليدي شبکه را در بازههاي زماني بحراني جايگزين کرد.
دستور العمل خط مشي: بهمنظور برطرف کردن موقتي خطر و تأثير خرابيها، ضروري است براي بخشهاي حياتي سيستم اولويتهايي در نظر گرفته شده و اطمينان حاصل شود که مؤلفههاي کليدي شبکه در بازه زماني هدف قابليت جايگزيني و برگشت به حالت اوليه را دارند.

بهکارگيري گذرواژههاي يکسان يا ساده براي حسابهاي کاربري مختلف
شرکت امنيتي مديريت گذرواژه «SplashData» هر سال از گذرواژههاي غيرايمن بهعنوان يکي از عادتهاي بد کاربران اينترنتي ياد کرده و فهرستي از بدترين گذرواژهها را فهرست و منتشر ميکند. لازم به توضيح نيست که هنوز هم بسياري از کاربران از گذرواژههايي همچون 123456 يا Password به صورت کاملاً عادي استفاده ميکنند. گذرواژههايي اينچنيني مصداق ارسال دعوتهاي جذاب براي هکرها هستند. در حالي که کاربران بهراحتي ميتوانند گذرواژههاي مختلف و پيچيده را براي حسابهاي کاربري خود به ياد بياورند، مشخص نيست به چه دليل از گذرواژههاي ساده و بدتر از آن يکسان استفاده ميکنند.
راهحل:از يکي از برنامههاي مديريت گذرواژهها استفاده کنيد. اين برنامهها نه تنها توانايي توليد گذرواژههاي تصادفي و ايمن را دارند، بلکه به ويژگي رمزنگاري و يادآوري آنها مجهز هستند. به همين دليل کاربران در اين زمينه با مشکل خاصي روبهرو نخواهند بود.»
کليک کردن روي لينکها يا ضميمهها بدون بررسي دقيق آنها
اين روزها هکرها استراتژيهاي خود را به طرز بسيار وحشتناکي تغيير دادهاند؛ بهگونهاي که سعي ميکنند پيامي که براي کاربر ارسال ميکنند، ظاهري قانوني داشته باشد. براي اين منظور آنها از ترفندهاي مهندسي اجتماعي براي ارسال ويروس يا دسترسي به سيستمهاي خصوصي استفاده ميکنند. پيامهاي ارسالشده حتي در ظاهر ممکن است از سوي منابعي ارسال شوند که کاربران آنها را ميشناسند يا به آنها اعتماد دارند.
راه حل:به کاربران خود آموزش دهيد که چگونه ميتوانند با نگهداشتن ماوس روي لينکها يا ابرلينکها مکاني را مشاهده کنند که سمت آن هدايت خواهند شد. اگر سايتي با لينکي هماهنگ نبود يا مشکوک به نظر ميرسيد، روي آن لينک کليک نکنيد. همچنين کاربران نبايد هر ضميمهاي را که براي آنها ارسال ميشود، باز کنند؛ به ويژه ضميمههايي که انتظار دريافت آنها را نداشتهاند.
ابزارها و دستگاههايي که تازه به بازار عرضه ميشوند، بيشتر همراه با برنامههاي تبليغاتي در اختيار کاربران قرار ميگيرند. در بيشتر موارد اين برنامههاي تبليغاتي آسيبپذيريهاي مختلفي را در خود جاي دادهاند.
به کارگيري دستگاههاي جديد ضامن موفقيت
بسياري از کاربران بر اين باور هستند که با خريد دستگاههايي که تازه به بازار عرضه شده است، در برابر بسياري از حملات مصون هستند و به مرور زمان است که دستگاه آنها در برابر حملات هکري ضعيف ميشود. اما اين طرز تفکر درست نيست. «الينور سايتا» مدير بخش فني مؤسسه «International Modern Media» در اين باره ميگويد: «ابزارها و دستگاههايي که تازه به بازار عرضه ميشوند، بيشتر همراه با برنامههاي تبليغاتي در اختيار کاربران قرار ميگيرند. در بيشتر موارد اين برنامههاي تبليغاتي آسيبپذيريهاي مختلفي را در خود جاي دادهاند.»
راه حل: در زمان خريد ابزارهاي جديد به اين نکته توجه کنيد که جديد بودن هميشه تضمينکننده امنيت نيست. اگر در نظر داريد دستگاه جديدي بهويژه دستگاهي هوشمند خريداري کنيد، سعي کنيد در خريد آن کمي تأمل کنيد تا به بازار عرضه شود و در ادامه ايرادات يا آسيبپذيريهاي آن شناسايي شوند.
سهلانگاري در نصب بهروزرسانيها يا وصلهها
زماني که يک آسيبپذيري در نرمافزاري شناسايي شده و وصله مربوط به آن عرضه ميشود، شمارش معکوسي آغاز ميشود که در فرصت باقيمانده نهايت بهرهبرداري از آسيبپذيري انجام شود. کرو در اين خصوص ميگويد: «آمارها نشان ميدهند که هکرها هيچگاه زمان را هدر نميدهند، در سال 2014 ميلادي، نزديک به نيمي از آسيبپذيريها و سوءاستفادههايي که از آنها شده بود؛ بهطور ميانگين در مدت زمان دو هفته انجام گرفته بود؛ در حالي که وصلهها معمولاً در همان ابتداي کار عرضه ميشوند.»
راه حل:سعي کنيد در زمينه دريافت وصلهها از برنامه منظم و ساختمندي استفاده کنيد. اين کار باعث ميشود تا به طور خودکار بهروزرسانيها و وصلهها دريافت شوند. مزيت اين راهکار در اين است که حتي اگر به دليل مشغله کاري فراموش کرديد وصلهاي را دريافت کنيد، اين کار به طور خودکار انجام ميشود و همراه شما را در امنيت نگه ميدارد.
بهکارگيري وايفاي عمومي
هر کاربري با شنيدن اين جمله که وايفاي رايگان در اختيار او قرار دارد، وسوسه ميشود تا از آن استفاده کند. در مکانهايي همچون رستورانها يا فرودگاهها که وايفاي عمومي عرضه ميشود، مردم براي انجام کارهاي خود از آن استفاده ميکنند .بايد به اين نکته توجه کنيم که رايگان بودن و عمومي بودن هميشه به معناي در اختيار داشتن فناوري به شکل ايمن نيست. اين چنين ارتباطاتي به ميزان قابل توجهي خطرناک هستند.
راه حل:در چنين شرايطي بهتر است از VPN استفاده کنيد. اين مکانيزم ترافيک را رمزنگاري کرده و نشستهاي مرورگر شما را ايمن ميسازد. حتي اگر شرکت، سازوکار VPN را در اختيارتان قرار نميدهد، سعي کنيد در خصوص فوايد و مزاياي چنين مکانيزم ارتباطي اطلاعات مورد نياز را به دست آوريد.
رايگان بودن و عمومي بودن هميشه به معناي در اختيار داشتن فناوري به شکل ايمن نيست. اين چنين ارتباطاتي به ميزان قابل توجهي خطرناک هستند
بهکار نگرفتن مکانيزم احراز هويت دوعاملي
«الکس استاموس» مدير ارشد امنيت شرکت فيسبوک درباره گذرواژهها گفته است: «سايتهاي خبري به طور گسترده بر مکانيزمهاي پيچيده و چندلايه حمله که هکرها استفاده ميکنند، متمرکز شدهاند. اين شيوه اطلاعرساني به کاربر اين پيام را القا ميکند که او در برابر حملات کاملاً آسيبپذير بوده و هيچ راه دفاعي در اختيار ندارد. اما در بيشتر موارد اين جمله درست نيست. تنها سازمانهاي دولتي آن هم در ردههاي بسيار بالا، توانايي نفوذ به هر سيستمي را دارند. اما در مقابل هکرها، حتي هکرهاي سازمانيافته، دفاع قابل قبولي وجود دارد.»
راه حل: مکانيزم احراز هويت دوعاملي را که اغلب با ارسال کدهايي براي تلفنهاي هوشمند کار ميکنند، در حسابهاي کاربري و شبکههاي اجتماعي استفاده کنید. هکرها عمدتاً در تلاش هستند حسابهاي کاربري را که روي شبکههاي اجتماعي قرار دارند، هک کنند و کنترل آنها را به دست گيرند. به دست آوردن حساب کاربري افراد در شبکههاي اجتماعي تنها براي آسيب رساندن به افراد هک نميشوند، هکرها ميتوانند از چنين حسابهايي به بهترين شکل ممکن استفاده کنند و سودهاي کلاني به جيب بزنند. در کنار مکانيزم احراز هويت دو عاملي، سعي کنيد از ابزار مديريتکننده گذرواژهها براي حسابها و سرويسهاي کاربري خود استفاده کنيد.
اين فرض که يادآوري گذرواژههاي طولاني کار مشکلي است
بسياري از کاربران اعلام ميکنند که توانايي يادآوري گذرواژههاي طولاني را ندارند. به همين دليل بسياري از کاربران براي سادگي کار سعي ميکنند از ترکيباتي همچون سال تولد و شماره شناسنامه خود براي ورود به سايتهاي مختلف استفاده کنند؛ به دليل اينکه يادآوري گذرواژههاي مختلف براي سايتهاي مختلف کار سختي به شمار ميرود. همچنين بعضي از کاربران نيز تمايلي به استفاده از برنامههاي مديريت گذرواژهها ندارند. اگر جزو اين گروه از کاربران هستيد، هنوز هم راهکاري براي شما در زمينه ساخت گذرواژههاي منحصربهفرد وجود دارد.
راه حل: براي اينکه نيازي به يادداشت کردن گذرواژههاي خود نداشته باشيد و همچنين بتوانيد به سادهترين شکل ممکن گذرواژههاي خود را به ياد آوريد، ميتوانيد از ترکيب نام سايت مورد بازديد در انتهاي گذرواژه خود استفاده کنيد. «لوييس کرنر» مدير فني بخش امنيتي کلاود شرکت «پاندا» در اين باره گفته است: «براي ساخت گذرواژهاي منحصربهفرد و يادآوري ساده آن، نام سايت را به انتهاي گذرواژه انتخابي خود اضافه کنيد. براي مثال براي سايت bank.com واژه -bank را بهعنوان پسوند گذرواژه يا در حسابهاي مورد استفاده در شبکههاي اجتماعي از -linkedin يا -twit و مانند اينها بهعنوان پسوند گذرواژه خود استفاده کنيد.»
اين فرض که امنيت، مشکل فناوري اطلاعات است
در بيشتر شرکتها بسياري از کاربران بر اين باور هستند که همواره گروههاي فني و راهحلهاي امنيتي در محل وجود دارند تا براي حفاظت و کمک به تعاملات آنلاين وارد عمل شوند. اين موضوع کاملاً صحيح است، اما هر کاربري خود مسئول آن چيزي است که انتخاب کرده و اين انتخاب بر امنيت فردي و امنيت شرکتي که در آن کار ميکند، تأثيرگذار خواهد بود. بخش عمدهاي از نقصهاي دادهاي و حملات سايبري از زماني آغاز ميشوند که کاربر روي لينکي که نبايد کليک ميکرده، کليک کرده، لپتاپ خود را در تاکسي جا گذاشته يا آن را به شبکه واي فاي عمومي متصل کرده است.
راه حل:آموزش، يادگيري و تکرار نکات آموزشي، رمز دوري جستن از چنين مشکلاتي است. اطمينان حاصل کنيد کاربران شما بهترين اقدامات امنيتي را به طور روزانه انجام ميدهند. يادگيري بيشتر درباره مخاطرات امنيتي، باعث کم شدن تهديدها ميشود و کاربران ميتوانند بهخوبي با تکنيکهاي اوليه دفاعي در برابر پيوندهاي ضعيف آشنا شوند.
منبع:Geekboy.ir