رخنههای اطلاعاتی معمولاً به دلایل مختلفی اتفاق میافتند. پیروی از روشهای پیشگیرانه، اگر چه اهمیت فوقالعاده زیادی دارد اما آشنایی با روشهای کاهش مخاطره پس از وقوع رخنه امنیتی باید همواره یک اولویت مهم و جدی برای شرکت ها و سازمان ها باشد.
ما در این مقاله، چهار نکته اصلی برای بهبود رویههای امنیتی را به شما آموزش میدهیم تا بتوانید قویتر از همیشه شوید؛ حتی اگر تا به حال هیچ تجربهای هم در زمینه مواجه و مقابله با رخنههای امنیتی نداشته باشید.
ممکن است همین حالا که در حال مطالعه این مقاله هستید، شرکت شما در گذشته بارها مورد حمله سایبری قرار گرفته باشد اما اگر از جمله افراد خوششانسی هستید که تاکنون هک نشدهاند، پس بنابراین فرصت لازم برای پیاده سازی قابلیت های امنیتی جدید که مانع از نشت اطلاعات می شوند را خواهید داشت. لیست قربانیان هک بسیار طولانی است؛ Target، Equifax، Yahoo و غیره؛ ولی به جای آن که دائماً در ترس این باشید که شما قربانی بعدی این حملات خواهید بود، سعی کنید از اشتباه های گذشته خودتان و دیگران درس بگیرید.
اگر قرار باشد پس از نفوذ و یک رخنه امنیتی شرایط را اصلاح کنید، قطعاً تمایل دارید امنیت را دو چندان کرده تا دوباره بتوانید اعتماد مشتریان خودتان را به دست آورید. خوب است بدانید که این کار شدنی است و با انجام یک سری اقدام های اصلاحی میتوانید اشتباه های گذشته را جبران کنید.
اگرچه هیچ سیستم امنیتی جادویی وجود ندارد که محافظت صد در صدی را برای شما تضمین کند اما این چهار اقدام امنیتی که در زیر آمده است، شما را به داشتن یک سیستم دفاعی غیرقابل نفوذ نزدیکتر میکند.
1. علاوه بر امنسازی سیستمها، ایمنسازی دادهها را نیز شروع کنید.
رمزنگاری دادهها باعث میشود که خواندن آن ها به شدت سخت شود. بیشتر هکرها توانایی محاسباتی یا صبر لازم برای رمزگشایی دادههای رمزنگاری شده را ندارند. اگر سازمان شما مسئولیت نگهداری از اطلاعات حساس میلیونها نفر را بر عهده دارد، قطعاً باید این دادهها را رمزنگاری کنید.
در سال 2014، هکرها میلیونها پرونده از مشتریان دومین شرکت بزرگ بیمه در آمریکا یعنی Anthem را به سرقت بردند. این دادهها حساسیت بسیار بالایی داشتند اما با این وجود، Anthem آن ها را رمزنگاری نکرده بود. سال پیش هم شاهد رخنه شرکت Equifax بودیم که در آن اطلاعات شخصی بیش از 140 میلیون کاربر به سرقت رفت. متأسفانه این شرکت هم اطلاعات به سرقت رفته را رمزنگاری نکرده بود.
تا به امروز هکرها ثابت کردهاند که میتوانند از پیچیدهترین سیستمهای امنیت سایبری دنیا عبور کنند. سازوکارهای امنیت محیطی و امنیت شبکه سنتی مثل فایروالها، سیستمهای تشخیص نفوذ و آنتیویروس ها وقتی سارقان یا بدافزارها به پایگاه داده شما نفوذ کرده باشند، دیگر فایده چندانی ندارند.
ایمنسازی دادهها امری ضروری است.
خوشبختانه هوشیاری شرکت ها در حال افزایش است و سعی دارند با استفاده از روشهایی مثل رمزنگاری دادهها، نشانهگذاری (Tokenization) و تاکتیکهای De-identification (روشی است که از آن برای پیشگیری از امکان مشخص کردن ارتباط بین یک کاربر و اطلاعات استفاده میشود.) از دادهها محافظت کنند. این روش ها در ادامه توضیح داده شده اند.
- رمزنگاری دادهها، باعث تغییر دادهها به یک فرم دیگر مثل یک کد رمزی میشود. تنها راه برای خواندن چنین دادههایی، رمزگشایی آن ها با استفاده از کلید رمزگشایی است. سازوکارهای رمزنگاری مدرن از الگوریتمهایی استفاده میکنند که کرک کردن آن ها را به شدت سخت میکند.
- Tokenization یا نشانهگذاری، دادههای شما را با نشانههای منحصربه فرد جایگزین میکند. در این روش، تمامی اطلاعات بدون این که به مخاطره بیافتند همچنان حفظ می شوند. وقتی این نشانهها از طریق یک سیستم نشانهگذاری درست و مناسب پردازش شوند، دادههای واقعی مشخص خواهند شد.
- De-identification یا از بین بردن قابلیت شناسایی دادهها، دادههای شخصی مثل نام یا شماره تأمین اجتماعی را از سایر دادههای مربوط به شخص تفکیک میکند. بنابراین چنین کاری موجب میشود تشخیص این که هر داده، متعلق به چه فردی است برای هکرها سخت شود.
با توجه به خطر حملات سایبری توسط مجرمانی که حتی گاهی از پیشرفتهترین سیستمهای امنیتی عبور می کنند، هر سازمانی باید دادههایش را صرفنظر از نوع آن ها رمزنگاری کند.
2. مدیریت دسترسی به دادههای حیاتی
بعد از حادثه بزرگ شرکت Target که در آن اطلاعات کارت اعتباری 40 میلیون کاربر به سرقت رفت، مشاوران شرکت Verizon برای ارزیابی خسارتهای امنیتی وارد عمل شدند. هر چند عوامل زیادی در این رخنه اطلاعاتی نقش داشتند اما گزارش شرکت Verizon نشان داد که افراد خیلی زیادی به اطلاعات حساس دسترسی داشتهاند. در این گزارش آمده است:
«شرکت Target باید دسترسی به بخشهایی از شبکه را که حاوی اطلاعات تجاری حیاتی و حساس هستند، فقط برای کاربرانی که به طور مستقیم این سیستمها را مدیریت میکنند، فراهم کند. Verizon توصیه میکند که دسترسیهای شبکه کارمندان بر اساس نقشها و وظایف شغلی آنها تنظیم شود».
هر چه افراد بیشتری در داخل سازمان به دادهها دسترسی داشته باشند، سطح امنیت این دادهها کاهش مییابد؛ اگر چه فهمیدن این موضوع برای شرکت Target گران تمام شد اما شرکتهای دیگر، از اشتباه های آن درس گرفتند.
شرکت PwC در تحقیقی با عنوان وضعیت جهانی امنیت اطلاعات متوجه شد که مدیریت کاربران، از جمله سازوکارهای احراز هویت و مدیریت هویت مهمترین اولویتهای امنیتی برای سال 2017 بودهاند.
کنترل تمام کاربران خودتان را متمرکز کنید.
ابزارهای تشخیص هویت و مدیریت دسترسی (IAM: Identity and access management ) مثل Auth0 میتوانند برای مدیریت هویت کاربران و مجوزهای دسترسی به شما کمک کنند. این ابزارها، چنین کاری را از طریق خودکارسازی سازوکار احراز هویت، ایجاد کاربران، تعیین مشخصه هایی برای آن ها و مسدود کردن کاربران انجام می دهند.
پیادهسازی یک فناوری IAM برای اطمینان از این که کاربران مجاز، به دادههای درستی دسترسی دارند یک لایه امنیتی اضافه ایجاد میکند که البته وجود آن ضرورت زیادی دارد. این فناوریها امکان احراز هویت، اعطای مجوز و ارزیابی کاربران بر اساس قوانین و خط مشیهای مورد نظر شما را فراهم میکنند. به این ترتیب، نیازی به ذخیره لیستی از نام کاربری و کلمه عبور کاربران بر روی سرور یا نگرانی درباره این که افراد زیادی به سیستم دسترسی دارند، نخواهید داشت.
وقتی بیشتر از 80 درصد رخنههای امنیتی از مجوزهای عبور ایستای کاربران ناشی میشوند، محدود کردن و مدیریت دسترسی به دادههای حیاتی قاعدتاً یک اقدام ضروری است.
3. برای پیشبینی حملات آینده سعی کنید خودتان را هک کنید.
هکرها تمام وقتشان و هر دقیقه از روز خود را صرف ابداع راهکارهای جدید برای نفوذ به سیستمها و پیدا کردن نقاط ضعف در فناوریهای مورد استفاده شما میکنند؛ اما چطور میتوان با آن ها مقابله کرد؟ سعی کنید خودتان را هک کنید!
اگر خودتان و دشمنتان را خوب بشناسید، صدها نبرد هم شما را نمیترساند. از کتاب هنر رزم، نوشته سون تزو
سیستمهای آزمون نفوذپذیری، فراتر از آن چه را که پویشگرهای خودکار میتوانند پیدا کنند بررسی میکنند تا یک حمله واقعی بر ضد شبکه شما انجام داده و از نقاط ضعف سیستم شما سوءاستفاده کنند. هدف این سیستمها، تست سیستم امنیتی شما در برابر هکرهای انسانی آگاه و باهوش در دنیای واقعی است که سعی میکنند از هر ابزاری برای نفوذ به سیستمها استفاده کنند.
این آزمونها مشابه تمرینهای آتشنشانی، تجربه رویارویی با حملاتی شبیه رخنههای امنیتی واقعی را برای تیم شما فراهم کرده و به آن ها فرصت میدهند پروتکلهای امنیتی خودشان را برای مقابله با حوادث واقعی تمرین کنند.
هکرهای واقعی استخدام کنید تا شما را محک بزنند.
شرکتهای بزرگ حوزه فناوری همچون گوگل، فیسبوک و مایکروسافت، آزمون نفوذپذیری را یک مرحله جلوتر برده و برنامههایی تحت عنوان bug bounty programs یا برنامه پاداش در قبال کشف باگ راهاندازی کردهاند. این برنامهها هکرهای مستقل را به چالش میکشند تا آسیبپذیریها یا خطاهای دیگری را که بر امنیت سیستمها تأثیرگذار هستند، کشف کنند. گوگل به هکرهای قانونی که آسیب پذیری هایی را در سرویس های این شرکت پیدا کردهاند، تاکنون بیش از 3 میلیون دلار پاداش پرداخت کرده است.
اگر قرار باشد شما هک شوید، بهتر (و البته کم هزینهتر) است که اول به شخصی دستمزد بدهید تا این کار را برای شما انجام دهد. به این ترتیب میتوانید سیستمهای خودتان را ایمنسازی کرده و تیمتان در برابر حملات واقعی آمادهتر خواهد شد.
4. ضعیفترین پیوندتان یعنی نیروهای انسانی را تقویت کنید.
انسانها ضعیفترین پیوند در زنجیره امنیت سایبری محسوب میشوند. کلاهبرداریهای فیشینگ، باج افزار و کلمه های عبور ضعیف، منجر به بیش از 55 درصد رخنههای اطلاعاتی در سطح دنیا میشوند.
همچنین در حال حاضر، کارمندان سعی دارند بعضی از کارها را خارج از منزل و با استفاده از دستگاههای قابل حملی انجام دهند که حاوی دادههای حساس هستند. بنابراین آن ها فرصت سرقت و استفاده غیرمجاز از دستگاههایی که فاقد سازوکارهای رمزنگاری مناسب هستند را فراهم میکنند.
اطلاعات امنیتی کارمندانتان را افزایش دهید تا تبدیل به محافظان دادههای شما شوند.
همه انسانها مستعد انجام اشتباه هایی هستند که ممکن است منجر به حوادث وحشتناکی در زمینه نشت دادهها شوند. هم اکنون بسیاری از شرکتها در حال انجام اقدام های پیشگیرانهای برای ایجاد فرهنگ امنیت سایبری و افزایش آگاهی امنیتی کارکنان خود جهت کاهش اشتباه های آن ها هستند.
شرکتها به دو روش می توانند به کارمندان جهت پیشگیری از خطاهای امنیتی کمک کنند. این دو روش عبارتند از:
- آموزش کاربران با برنامههای آموزشی دائم و جامع: کارمندان باید بدانند که چطور مسائل امنیتی را مدیریت کنند، چه این مسائل مربوط به مدیریت داده باشد یا تشخیص ایمیلهای هرزنامه و روشهای مهندسی اجتماعی. سرمایهگذاری در حوزه آموزش میتواند مهم ترین اقدام امنیتی باشد که شما انجام می دهید زیرا این کار باعث تقویت ضعیفترین پیوند میشود.
- پیادهسازی سازوکار احراز هویت دومرحلهای: این کار منجر به اضافه شدن یک لایه امنیتی دیگر به دستگاههای کارمندان میشود. به این صورت که آن ها را ملزم به تأیید هویتشان به دو روش، مثلاً یک کلمه عبور و یک کد که از طریق پیامک به آن ها ارسال میشود، میکند. به این ترتیب نیازی به نگرانی برای این که کارمندی دستگاهی را گم کند یا سهواً کلمه عبورش را در اختیار شخص دیگری قرار دهد، وجود ندارد. حتی اگر کلمه عبور به سرقت برود، امکان دسترسی به حساب کاربری بدون داشتن فاکتور دوم، مثلاً یک دستگاه فیزیکی یا یک مشخصه زیست سنجی مثل یک اثر انگشت وجود ندارد.
ممکن است رخنه اطلاعاتی بزرگ بعدی همین فردا اتفاق بیافتد.
خطر حملات سایبری در حال حاضر بخش روزمره ای از هر کسبوکاری محسوب میشود. البته این مطلب به آن معنا نیست که باید دست روی دست گذاشت و امید داشت که سیستم امنیت کار خودش را انجام دهد.
هر رخنه اطلاعاتی بزرگی که پیش میآید نه تنها به شما یادآوری میکند که قدرت امنیت سایبری خودتان را افزایش دهید بلکه فرصتی برای یادگیری از اشتباه های قربانیان این حملات است.
Equifax دادههایش را رمزنگاری نکرده بود؛ با وجود این که شرکت Anthem هم سه سال قبل یک رخنه اطلاعاتی مشابه را تجربه کرده بود. Target امکان دسترسی به دادههایش را برای عده زیادی فراهم کرده بود که نیازی به این دسترسی نداشتند؛ و شرکت هایی مثل گوگل و فیسبوک هم با پرداخت هزینه به افراد برای هک کردن سیستمهایشان، خودشان را یک گام جلوتر از مجرمان سایبری قرار میدهند.
شما هم در سازمانتان فرهنگی ایجاد کنید که در آن کارمندانتان همواره به محافظت از دادههای سازمانی اهمیت بدهند. خود شما نیز سیستمهایتان را مدام پیشرفتهتر کرده و ابزارهای مناسبی را برای مدیریت کاربران مجاز پیادهسازی کنید.
هر چند امکان پیشگیری از حمله وجود ندارد اما با انجام اقدام های توصیه شده، آمادگی لازم را برای کاهش آسیب و پیروزی در این نبرد سخت به دست خواهید آورد.