4 راهکار امنیتی پس از یک رخنه اطلاعاتی

 

رخنه‌های اطلاعاتی معمولاً به دلایل مختلفی اتفاق می‌افتند. پیروی از روش‌های پیشگیرانه، اگر چه اهمیت فوق‌العاده زیادی دارد اما آشنایی با روش‌های کاهش مخاطره پس از وقوع رخنه امنیتی باید همواره یک اولویت مهم و جدی برای شرکت­ ها و سازمان­ ها باشد.

ما در این مقاله، چهار نکته اصلی برای بهبود رویه‌های امنیتی را به شما آموزش می‌دهیم تا بتوانید قوی‌تر از همیشه شوید؛ حتی اگر تا به حال هیچ‌ تجربه‌ای هم در زمینه مواجه و مقابله با رخنه‌های امنیتی نداشته باشید.

ممکن است همین حالا که در حال مطالعه این مقاله هستید، شرکت شما در گذشته بارها مورد حمله سایبری قرار گرفته باشد اما اگر از جمله افراد خوش‌شانسی هستید که تاکنون هک نشده‌اند، پس بنابراین فرصت لازم برای پیاده ­سازی قابلیت­ های امنیتی جدید که مانع از نشت اطلاعات می­ شوند را خواهید داشت. لیست قربانیان هک بسیار طولانی است؛ Target، Equifax، Yahoo و غیره؛ ولی به جای آن که دائماً در ترس این باشید که شما قربانی بعدی این حملات خواهید بود، سعی کنید از اشتباه ­های گذشته خودتان و دیگران درس بگیرید.

اگر قرار باشد پس از نفوذ و یک رخنه امنیتی شرایط را اصلاح کنید، قطعاً تمایل دارید امنیت را دو چندان کرده تا دوباره بتوانید اعتماد مشتریان خودتان را به دست آورید. خوب است بدانید که این کار شدنی است و با انجام یک سری اقدام­ های اصلاحی می‌توانید اشتباه ­های گذشته را جبران کنید.

اگرچه هیچ سیستم امنیتی جادویی وجود ندارد که محافظت صد در صدی را برای شما تضمین کند اما این چهار اقدام امنیتی که در زیر آمده است، شما را به داشتن یک سیستم دفاعی غیرقابل نفوذ نزدیک‌تر می‌کند.

 

1. علاوه بر امن‌سازی سیستم‌ها، ایمن‌سازی داده‌ها را نیز شروع کنید.

رمزنگاری داده‌ها باعث می‌شود که خواندن آن ها به شدت سخت شود. بیشتر هکرها توانایی محاسباتی یا صبر لازم برای رمزگشایی داده‌های رمزنگاری شده را ندارند. اگر سازمان شما مسئولیت نگهداری از اطلاعات حساس میلیون‌ها نفر را بر عهده دارد، قطعاً باید این داده‌ها را رمزنگاری کنید.

در سال 2014، هکرها میلیون‌ها پرونده از مشتریان دومین شرکت بزرگ بیمه در آمریکا یعنی Anthem را به سرقت بردند. این داده‌ها حساسیت بسیار بالایی داشتند اما با این وجود، Anthem آن ها را رمزنگاری نکرده بود. سال پیش هم شاهد رخنه شرکت Equifax بودیم که در آن اطلاعات شخصی بیش از 140 میلیون کاربر به سرقت رفت. متأسفانه این شرکت هم اطلاعات به سرقت رفته را رمزنگاری نکرده بود.

تا به امروز هکرها ثابت کرده‌اند که می‌توانند از پیچیده‌ترین سیستم‌های امنیت سایبری دنیا عبور کنند. سازوکارهای امنیت محیطی و امنیت شبکه سنتی مثل فایروال‌ها، سیستم‌های تشخیص نفوذ و آنتی‌ویروس ها وقتی سارقان یا بدافزارها به پایگاه داده شما نفوذ کرده باشند، دیگر فایده چندانی ندارند.

 

ایمن‌سازی داده‌ها امری ضروری است.

خوشبختانه هوشیاری شرکت ­ها در حال افزایش است و سعی دارند با استفاده از روش‌هایی مثل رمزنگاری داده‌ها، نشانه‌گذاری (Tokenization) و تاکتیک‌های De-identification (روشی است که از آن برای پیشگیری از امکان مشخص کردن ارتباط بین یک کاربر و اطلاعات استفاده می‌شود.) از داده‌ها محافظت کنند. این روش ­ها در ادامه توضیح داده شده ­اند.

• رمزنگاری داده‌ها، باعث تغییر داده‌ها به یک فرم دیگر مثل یک کد رمزی می‌شود. تنها راه برای خواندن چنین داده‌هایی، رمزگشایی آن ها با استفاده از کلید رمزگشایی است. سازوکارهای رمزنگاری مدرن از الگوریتم‌هایی استفاده می‌کنند که کرک کردن آن ها را به شدت سخت می‌کند.
• Tokenization یا نشانه‌گذاری، داده‌های شما را با نشانه‌های منحصربه ­فرد جایگزین می‌کند. در این روش، تمامی اطلاعات بدون این که به مخاطره بیافتند همچنان حفظ می­ شوند. وقتی این نشانه‌ها از طریق یک سیستم نشانه‌گذاری درست و مناسب پردازش شوند، داده‌های واقعی مشخص خواهند شد.
• De-identification یا از بین بردن قابلیت شناسایی داده‌ها، داده‌های شخصی مثل نام یا شماره تأمین اجتماعی را از سایر داده‌های مربوط به شخص تفکیک می‌کند. بنابراین چنین کاری موجب می‌شود تشخیص این که هر داده، متعلق به چه فردی است برای هکرها سخت شود.

با توجه به خطر حملات سایبری توسط مجرمانی که حتی گاهی از پیشرفته‌ترین سیستم‌های امنیتی عبور می­ کنند، هر سازمانی باید داده‌هایش را صرف‌نظر از نوع آن ها رمزنگاری کند.

 

2. مدیریت دسترسی به داده‌های حیاتی

بعد از حادثه بزرگ شرکت Target که در آن اطلاعات کارت اعتباری 40 میلیون کاربر به سرقت رفت، مشاوران شرکت Verizon برای ارزیابی خسارت­های امنیتی وارد عمل شدند. هر چند عوامل زیادی در این رخنه اطلاعاتی نقش داشتند اما گزارش شرکت Verizon نشان داد که افراد خیلی زیادی به اطلاعات حساس دسترسی داشته­اند. در این گزارش آمده است:

«شرکت Target باید دسترسی به بخش‌هایی از شبکه را که حاوی اطلاعات تجاری حیاتی و حساس هستند، فقط برای کاربرانی که به طور مستقیم این سیستم‌ها را مدیریت می‌کنند، فراهم کند. Verizon توصیه می‌کند که دسترسی‌های شبکه کارمندان بر اساس نقش­ها و وظایف شغلی آنها تنظیم شود».

هر چه افراد بیشتری در داخل سازمان به داده‌ها دسترسی داشته باشند، سطح امنیت این داده­ها کاهش می­یابد؛ اگر چه فهمیدن این موضوع برای شرکت Target گران تمام شد اما شرکت‌های دیگر، از اشتباه ­های آن درس گرفتند.

شرکت PwC در تحقیقی با عنوان وضعیت جهانی امنیت اطلاعات متوجه شد که مدیریت کاربران، از جمله سازوکارهای احراز ‌هویت و مدیریت هویت مهمترین اولویت‌های امنیتی برای سال 2017 بوده‌اند.

 

کنترل تمام کاربران خودتان را متمرکز کنید.

ابزارهای تشخیص هویت و مدیریت دسترسی (IAM: Identity and access management ) مثل Auth0 می‌توانند برای مدیریت هویت کاربران و مجوزهای دسترسی به شما کمک کنند. این ابزارها، چنین کاری را از طریق خودکارسازی سازوکار احراز هویت، ایجاد کاربران، تعیین مشخصه­ هایی برای آن ها و مسدود کردن کاربران انجام می دهند.

پیاده‌سازی یک فناوری IAM برای اطمینان از این که کاربران مجاز، به داده‌های درستی دسترسی دارند یک لایه امنیتی اضافه ایجاد می‌کند که البته وجود آن ضرورت زیادی دارد. این فناوری‌ها امکان احراز ‌هویت، اعطای مجوز و ارزیابی کاربران بر اساس قوانین و خط­ مشی‌های مورد نظر شما را فراهم می‌کنند. به این ترتیب، نیازی به ذخیره لیستی از نام کاربری و کلمه عبور کاربران بر روی سرور یا نگرانی درباره این که افراد زیادی به سیستم دسترسی دارند، نخواهید داشت.

وقتی بیشتر از 80 درصد رخنه‌های امنیتی از مجوزهای عبور ایستای کاربران ناشی می‌شوند، محدود کردن و مدیریت دسترسی به داده‌های حیاتی قاعدتاً یک اقدام ضروری است.

 

3. برای پیش‌بینی حملات آینده سعی کنید خودتان را هک کنید.

هکرها تمام وقت­شان و هر دقیقه از روز خود را صرف ابداع راهکارهای جدید برای نفوذ به سیستم‌ها و پیدا کردن نقاط ضعف در فناوری‌های مورد استفاده شما می‌کنند؛ اما چطور می‌توان با آن ها مقابله کرد؟ سعی کنید خودتان را هک کنید!

اگر خودتان و دشمن‌تان را خوب بشناسید، صدها نبرد هم شما را نمی‌ترساند. از کتاب هنر رزم، نوشته سون تزو

سیستم‌های آزمون نفوذپذیری، فراتر از آن چه را که پویشگرهای خودکار می‌توانند پیدا کنند بررسی می‌کنند تا یک حمله واقعی بر ضد شبکه شما انجام داده و از نقاط ضعف سیستم شما سوءاستفاده کنند. هدف این سیستم‌ها، تست سیستم امنیتی شما در برابر هکرهای انسانی آگاه و باهوش در دنیای واقعی است که سعی می‌کنند از هر ابزاری برای نفوذ به سیستم‌ها استفاده کنند.

این آزمون‌ها مشابه تمرین‌های آتش‌نشانی، تجربه رویارویی با حملاتی شبیه رخنه‌های امنیتی واقعی را برای تیم شما فراهم کرده و به آن ها فرصت می‌دهند پروتکل‌های امنیتی خودشان را برای مقابله با حوادث واقعی تمرین کنند.

 

هکرهای واقعی استخدام کنید تا شما را محک بزنند.

شرکت‌های بزرگ حوزه فناوری همچون گوگل، فیسبوک و مایکروسافت، آزمون نفوذپذیری را یک مرحله جلوتر برده و برنامه‌هایی تحت عنوان bug bounty programs یا برنامه پاداش در قبال کشف باگ راه‌اندازی کرده‌اند. این برنامه‌ها هکرهای مستقل را به چالش می‌کشند تا آسیب‌پذیری‌ها یا خطاهای دیگری را که بر امنیت سیستم‌ها تأثیرگذار هستند، کشف کنند. گوگل به هکرهای قانونی که آسیب پذیری­ هایی را در سرویس­ های این شرکت پیدا کرده‌اند، تاکنون بیش از 3 میلیون دلار پاداش پرداخت کرده است.

اگر قرار باشد شما هک شوید، بهتر (و البته کم هزینه‌تر) است که اول به شخصی دستمزد بدهید تا این کار را برای شما انجام دهد. به این ترتیب می‌توانید سیستم‌های خودتان را ایمن‌سازی کرده و تیم‌تان در برابر حملات واقعی آماده‌تر خواهد شد.

 

4. ضعیف‌ترین پیوندتان یعنی نیروهای انسانی را تقویت کنید.

انسان‌ها ضعیف‌ترین پیوند در زنجیره امنیت سایبری محسوب می‌شوند. کلاهبرداری‌های فیشینگ، باج ­افزار و کلمه­ های عبور ضعیف، منجر به بیش از 55 درصد رخنه‌های اطلاعاتی در سطح دنیا می‌شوند.

همچنین در حال حاضر، کارمندان سعی دارند بعضی از کارها را خارج از منزل و با استفاده از دستگاه‌های قابل حملی انجام دهند که حاوی داده‌های حساس هستند. بنابراین آن ها فرصت سرقت و استفاده غیرمجاز از دستگاه‌هایی که فاقد سازوکارهای رمزنگاری مناسب هستند را فراهم می‌کنند.

 

اطلاعات امنیتی کارمندان­تان را افزایش دهید تا تبدیل به محافظان داده‌های شما شوند.

همه انسان‌ها مستعد انجام اشتباه ­هایی هستند که ممکن است منجر به حوادث وحشتناکی در زمینه نشت داده‌ها شوند. هم اکنون بسیاری از شرکت‌ها در حال انجام اقدام ­های پیشگیرانه‌ای برای ایجاد فرهنگ امنیت سایبری و افزایش آگاهی امنیتی کارکنان خود جهت کاهش اشتباه ­های آن ها هستند.

شرکت‌ها به دو روش می­ توانند به کارمندان جهت پیشگیری از خطاهای امنیتی کمک کنند. این دو روش عبارتند از:

1. آموزش کاربران با برنامه‌های آموزشی دائم و جامع: کارمندان باید بدانند که چطور مسائل امنیتی را مدیریت کنند، چه این مسائل مربوط به مدیریت داده باشد یا تشخیص ایمیل‌های هرزنامه و روش‌های مهندسی اجتماعی. سرمایه‌گذاری در حوزه آموزش می‌تواند مهم ترین اقدام امنیتی باشد که شما انجام می­ دهید زیرا این کار باعث تقویت ضعیف‌ترین پیوند می‌شود.
2. پیاده‌سازی سازوکار احراز‌ هویت دومرحله‌ای: این کار منجر به اضافه شدن یک لایه امنیتی دیگر به دستگاه‌های کارمندان می‌شود. به این صورت که آن ها را ملزم به تأیید هویت­شان به دو روش، مثلاً یک کلمه عبور و یک کد که از طریق پیامک به آن ها ارسال می‌شود، می‌کند. به این ترتیب نیازی به نگرانی برای این که کارمندی دستگاهی را گم کند یا سهواً کلمه عبورش را در اختیار شخص دیگری قرار دهد، وجود ندارد. حتی اگر کلمه عبور به سرقت برود، امکان دسترسی به حساب کاربری بدون داشتن فاکتور دوم، مثلاً یک دستگاه فیزیکی یا یک مشخصه زیست­ سنجی مثل یک اثر انگشت وجود ندارد.

 

ممکن است رخنه اطلاعاتی بزرگ بعدی همین فردا اتفاق بیافتد.

خطر حملات سایبری در حال حاضر بخش روزمره ­ای از هر کسب‌وکاری محسوب می‌شود. البته این مطلب به آن معنا نیست که باید دست روی دست گذاشت و امید داشت که سیستم امنیت کار خودش را انجام دهد.

هر رخنه اطلاعاتی بزرگی که پیش می‌آید نه تنها به شما یادآوری می‌کند که قدرت امنیت سایبری خودتان را افزایش دهید بلکه فرصتی برای یادگیری از اشتباه ­های قربانیان این حملات است.

Equifax داده‌هایش را رمزنگاری نکرده بود؛ با وجود این که شرکت Anthem هم سه سال قبل یک رخنه اطلاعاتی مشابه را تجربه کرده بود. Target امکان دسترسی به داده‌هایش را برای عده زیادی فراهم کرده بود که نیازی به این دسترسی نداشتند؛ و شرکت­ هایی مثل گوگل و فیسبوک هم با پرداخت هزینه به افراد برای هک کردن سیستم‌هایشان، خودشان را یک گام جلوتر از مجرمان سایبری قرار می‌دهند.

شما هم در سازمان‌تان فرهنگی ایجاد کنید که در آن کارمندان­تان همواره به محافظت از داده‌های سازمانی اهمیت بدهند. خود شما نیز سیستم‌هایتان را مدام پیشرفته‌تر کرده و ابزارهای مناسبی را برای مدیریت کاربران مجاز پیاده‌سازی کنید.

هر چند امکان پیشگیری از حمله وجود ندارد اما با انجام اقدام­ های توصیه شده، آمادگی لازم را برای کاهش آسیب و پیروزی در این نبرد سخت به دست خواهید آورد.