طرح Cyber Essentials و امنیت کلمه عبور
طرح Cyber Essentials ، کنترلهای امنیتی که از 80% حملات جلوگیری میکند.
تعداد حملات سایبری در جهان رو به افزایش است. حملات سایبری که در 3 ماهه اول سال 2019 به وقوع پیوست در مقایسه با سال گذشته آن، 122% افزایش یافت. طرح Cyber Essentials که با عنوان «الزام های امنیت سایبری» نیز شناخته میشود یک طرح دولتی مربوط به کشور انگلیس است که راهنمای جامعی را برای کمک به سازمانها جهت محافظت در برابر حملات سایبری متداول ارایه میکند.
بر اساس آمار منتشر شده توسط دولت انگلیس، کنترلهای امنیتی گفته شده در طرح Cyber Essentials میتوانند از حدود 80% حملات سایبری جلوگیری کنند. وجود این کنترلها در تمام قراردادهای دولتی که اطلاعات شخصی افراد در آنها دخیل است و از فناوریهای ارتباطی خاصی در آنها استفاده میشود، ضروری است.
5 موضوع مهمی که در زمینه کنترلهای فنی در این طرح وجود دارد، عبارتند از:
- فایروال (Firewall)
- پیکربندی امن
- کنترل دسترسی کاربران
- محافظت در برابر بدافزار
- مدیریت وصله.
طرح Cyber Essentials، دستورالعملهای مشخص و روشنی در خصوص امنیت کلمه عبور دارد. زیرا هنوز هم سواستفاده از رمز عبور کاربران، دلیل اصلی بسیاری از نشتهای اطلاعاتی است. الزامات مختص به کلمه عبور را میتوان در بخشهای «کنترل دسترسی کاربر» و «پیکربندی امن» از این طرح پیدا کرد.
در این مقاله به شما توضیح خواهیم داد که امنیت کلمه عبور و خط مشیهای آن، چه نقشی در طرح Cyber Essentials دارند.
کلمههای عبور و پیکربندی امن
هدف از پیکربندی امن، ایجاد اطمینان از این است که رایانه ها و تجهیزات شبکه به نحوی پیکربندی شده باشند که سطح آسیب پذیریهای ذاتی آنها کاهش پیدا کند. دستگاهها فقط باید سرویسهای مورد نیاز جهت اجرای وظایف سازمانی را ارایه کنند. بخش پیکربندی امن علاوه بر مشخص کردن الزام های مربوط به تجهیزات شبکه و رایانهها، در رابطه با احراز هویت مبتنی بر کلمه عبور نیز توضیحاتی داده است.
در رویکردی که برای جلوگیری از پیچیدگی کلمه عبور در نظر گرفته شده است، بار اصلی و فنی ایجاد آن بر روی سیستمها قرار گرفته و این رویکرد، متکی به پیروی کاربران از روشهای توصیه شده نیست. برای دریافت گواهینامه Cyber Essentials، تجهیزات مورد استفاده باید ویژگیهای زیر را داشته باشند:
– محافظت در برابر امکان حدس کلمه عبور از طریق جستجوی فراگیر، با به کار بردن حداقل یکی از روشهای زیر:
- قفل شدن حسابهای کاربری، پس از حداکثر 10 بار تلاش ناموفق
- محدود کردن تعداد حدسهای قابل انجام در یک بازه زمانی، به صورتی که در 5 دقیقه امکان امتحان کردن بیشتر از 10 حدس وجود نداشته باشد
- تنظیم حداقل طول کلمه عبور به 8 کاراکتر
- عدم تعیین بیشترین طول برای کلمه عبور
- تغییر کلمه عبور در مواقعی که فرد مورد نظر اطلاع دارد یا مشکوک شده که رمز عبور وی هک شده است
– وجود یک خط مشی کلمه عبور که به کاربران بگوید:
- چگونه از به کار بردن رمزهای عبور مشخص و ساده دوری کنند (مثل کلمههای عبور مبتنی بر اطلاعاتی که به راحتی قابل شناسایی هستند، از جمله نام حیوان خانگی مورد علاقه کاربران)
- کلمه های عبور پرکاربرد و متداول را انتخاب نکنند. این گزینه را میتوان با استفاده از ابزارهای فنی همچون یک لیست سیاه از رمزهای عبور ممنوعه پیاده سازی کرد
- استفاده نکردن از کلمه های عبور مشابه در حسابهای کاربری مختلف، چه در محل کار و چه در منزل
- کجا و چگونه میتوان کلمههای عبور را به صورت امن ذخیره کرد تا بعداً بازیابی شوند، به عنوان مثال در یک پاکت مهر و موم شده که در کمد امنی قرار گرفته است
- امکان استفاده از نرم افزار مدیریت کلمه عبور. در صورت مجاز بودن این کار، از چه نرم افزاری و چگونه
- چه کلمههای عبوری را باید به خاطر سپرده و آنها را در جایی ثبت نکنند
همچنین علاوه بر رعایت موارد بالا، متقاضی دریافت این مجوز نباید اقدامهای زیر را انجام دهد:
- منقضی کردن کلمههای عبور، پس از گذشت یک زمان مشخص (توصیه میکنیم به هیچ وجه این اقدام را انجام ندهید، برای کسب اطلاعات بیشتر این مطلب را مطالعه کنید).
- تعیین الزامهایی برای پیچیدگی کلمه عبور.
کنترل دسترسی و کلمه های عبور
کنترل دسترسی کاربر این تضمین را ایجاد میکند که هر حساب کاربری، تنها در اختیار افراد مجاز قرار میگیرد. کاربران فقط باید به برنامههای کاربردی، رایانهها و شبکههایی دسترسی داشته باشند که دسترسی به آنها جهت انجام کارهای مربوط به شغلشان ضرورت داشته باشد.
با کاهش سطح دسترسی به حداقل میزان ممکن میتوانید خطر سرقت اطلاعات یا آسیب رسیدن به آنها را کاهش دهید. این کنترل فنی، الزامات مربوط به حسابهای کاربری ویژه و فرایندهای محدود کردن دسترسی را تعریف میکند. این الزامها عبارتند از:
- وجود فرایندی برای ایجاد و تأیید حساب کاربری
- تأیید هویت کاربران با اطلاعات لاگین منحصربه فرد، قبل از دسترسی آنها به برنامههای کاربردی یا تجهیزات (بخش احراز هویت مبتنی بر کلمه عبور را مشاهده کنید)
- حذف یا غیرفعال کردن حسابهای کاربری که دیگر نیازی به آنها وجود ندارد (به عنوان مثال وقتی کارمندی سازمان را ترک میکند یا پس از گذشت یک مدت زمان مشخص از غیرفعال بودن حساب کاربری مربوطه)
- پیاده سازی احراز هویت دومرحلهای، هر کجا که ممکن بود
- استفاده از حسابهای کاربری مدیر سیستم فقط جهت انجام فعالیتهای مدیریتی (نه ارسال و دریافت ایمیل، وب گردی یا سایر فعالیتهایی که ممکن است دسترسیهای ادمین را در معرض خطر قرار دهد)
- حذف یا غیرفعال کردن امتیازاتی که دیگر نیازی به آنها نیست (به عنوان مثال وقتی نقش و سمت یک کارمند تغییر میکند)
قفل کردن حسابهای کاربری برای مقابله با حملات جستجوی فراگیر
در حمله جستجوی فراگیر، با استفاده از یک ربات، تمام ترکیب های ممکن حروف و عددها امتحان میشود تا در نهایت کلمه عبوری پیدا شود که امکان دسترسی به شبکه را فراهم کند. وقتی این حمله بر ضد کلمه های عبور ساده و کوتاه اجرا شود، اغلب به موفقیت دست پیدا میکند. در سالهای اخیر، قربانی شدن شرکتهای مهم در برابر این حمله باعث جلب توجه بیشتر نسبت به آن شده است.
در سال 2017 میلادی، پارلمان وستمینستر بریتانیا قربانی چنین حملهای شد که منجر به هک 90 حساب ایمیلی آن گردید. در سال 2018 نیز حسابهای کاربری چند نفر از اعضای پارلمان ایرلند شمالی توسط مهاجمان از طریق همین حمله هک شد.
در طرح Cyber Essentials توصیه شده است که جهت محافظت از سازمانها در برابر چنین حملاتی، سازوکار قفل شدن حساب کاربری (پس از حداکثر 10 بار تلاش ناموفق برای لاگین) اجرا شود. از آنجایی که ممکن است بیشتر این حملات در یک بازه کوتاه انجام شوند، در این طرح توصیه شده که تعداد این تلاشها در عرض 5 دقیقه، به 10 مورد محدود شود.
تهیه یک لیست سیاه متشکل از کلمه های عبور ممنوعه
در طرح Cyber Essentials به سازمانها توصیه شده برای مقابله با به کار بردن کلمه های عبور متداول و هک شده، اقدام های جدی را انجام دهند از جمله ایجاد یک لیست سیاه از کلمه های عبور ممنوعه که شامل رمزهای عبور بسیار متداول و رمزهای عبور هک شده است. این اقدام باعث بهبود سطح امنیت میشود زیرا مانع سواستفاده از کلمه های عبور ضعیف توسط هکرها خواهد شد.
لیست سیاه را می توان بر اساس لیستهای مربوط به کلمه های عبور متداول که منتشر شدهاند تهیه کرد. NCSC لیستی 100 هزارتایی از کلمه های عبور متداول را منتشر کرده که در این زمینه فقط قله یک کوه یخ محسوب میشود. با توجه به وجود دهها میلیارد رمز عبور نشت کرده که به راحتی از طریق فضای آنلاین قابل دسترس هستند، استفاده از یک لیست سیاه جامع ضروی است.
همچنین سازمانها برای این که همواره در مقابل تهدیدهای جدید ایمن باشند باید این لیستها را دائماً به روزرسانی کنند. استفاده از یک سرویس شخص سوم برای تهیه لیست سیاه کلمههای عبور میتواند منجر به سادهتر شدن فرایند مدیریت لیست رمزهای عبور درز کرده شود.
منقضی شدن کلمههای عبور، فقط در صورت نیاز
طرحهای Cyber Essentials و NCSC هر دو توصیه میکنند که تغییر کلمه عبور تنها در صورتی الزامی باشد که رمز عبوری هک شده یا نسبت به هک شدن آن شک و تردید ایجاد شده باشد. هر چند تغییر دورهای کلمههای عبور میتواند مانع دسترسی هکرها به حسابهای هک شده شود اما این رویکرد میتواند تأثیراتی منفی نیز بر امنیت و عملکرد داشته باشد.
همین حالا هم با توجه به حجم زیاد کلمه های عبور مورد استفاده کاربران، این احتمال وجود دارد که کاربران سعی کنند از الگوهای قابل پیشبینی استفاده کرده یا کلمههای عبور خودشان را در جایی یادداشت کنند.
اما قبل از متوقف کردن تغییرات دورهای کلمه عبور باید یک سیستم دفاعی دیگر تهیه کنید. این سیستم میتواند یک ابزار نظارتی جهت شناسایی کلمه های عبور هک شده یا احراز هویت دومرحلهای باشد. تاریخ انقضای کلمه عبور را میتوان بر اساس طول آن تعیین کرد تا کاربران سعی کنند جهت طولانی شدن این تاریخ، از کلمه های عبور طولانیتری استفاده کنند.
آماده سازی کلمه عبور برای طرح Cyber Essentials
اگر سازمانی قصد انطباق با طرح Cyber Essentials را دارد باید مطمئن شود که خط مشی کلمه عبور آن منطبق با الزامهای مندرج در این طرح باشد. زحمت و بار اصلی تنظیم کلمه عبور را از دوش کاربران بردارید و آن را روی سیستمهای فنی قرار دهید. به عنوان مثال میتوانید با تهیه یک لیست سیاه برای کلمه های عبور، از به کاربردن رمزهای عبور هک شده جلوگیری کنید.
حسابهای کاربری را پس از تلاشهای ناموفق برای لاگین قفل کنید و انقضای دورهای رمز عبور را متوقف کرده و همواره نیز کنترل کنید رمز عبوری هک نشده باشد. همچنین باید تعداد کاربران دارای دسترسیهای ویژه را محدود کرده و فقط برای انجام کارهای ضروری از چنین حسابهای کاربری استفاده کنید.