راهکارهای امنیتی برای حفاظت از کارمندان دورکار

پس از شیوع بیماری کرونا و اجرای قوانین قرنطینه در کشورهای مختلف جهان، بیشتر کارمندان مجبور به دورکاری شده و همچنان نیز هم خودشان و هم بعضی از سازمان ها مایل به ادامه این شرایط هستند. حتی بسیاری از شرکت‌ها ممکن است پس از پایان کرونا هیچ‌ وقت دوباره همه کارمندان شان را ملزم به حضور در محیط سازمانی و انجام کارها به صورت حضوری نکنند. بنابراین امکان کار کردن از راه دور تبدیل به یک گزینه اختیاری و شاید هم تا حدودی اجباری شده است؛ در حالی که در گذشته فقط برای تعداد کمی از مشاغل از جمله کارشناسان فروش چنین امکانی وجود داشت.

از سوی دیگر، مطالعات و بررسی‌ها نشان می‌دهد دورکاری کارمندان، امکان سوءاستفاده بیشتر مجرمان سایبری از اطلاعات حساس سازمان را فراهم می‌کند. مدیران امنیت اطلاعات و بخش IT نباید مخاطراتی که فعالیت‌های خانگی کارکنان می‌توانند برای امنیت کسب‌وکارشان ایجاد کنند را نادیده بگیرند. از این رو کار کردن از راه دور، سازمان‌ها را ملزم به طراحی روش‌های حفاظتی مختلف کرده است.

فناوری های اعتماد صفر، SASE و مدیریت هویت تنها چند نمونه از راهکارهایی هستند که سازمان‌ها برای امن‌سازی فعالیت های انجام شده توسط کارمندان دورکار، سیستم‌ها و داده‌هایشان می توانند از آنها بهره ببرند.

سازمان ها به منظور تحقق چشم‌انداز امنیتی کسب و کارشان که با شیوع کرونا شکل دیگری به خود گرفته و تا حدی نیز دستخوش تغییرات ناخواسته ای شده است باید همواره الزامات امنیتی مناسبی را برای کارکنان راه دور خود در نظر گرفته و ایجاد کنند. مدیران سازمان‌ها و کارشناسان امنیت باید از ابزارهایی که موجب دورکاری امن کارکنان می‌شود، استفاده کرده و امکان پشتیبانی از کلیه فرایندهای کاری سازمان را فراهم نمایند.

اولین اقدامی که بایستی در این خصوص انجام شود، اطمینان از حفظ امنیت داده‌های در حال جریان و انتقالی است. در ادامه این مطلب از فراست، ابزارها و فناوری‌های امنیتی ساده‌ای که به پشتیبانی از دورکاری امن کارمندان کمک می‌کنند را با هم مرور می‌کنیم.

استفاده از گواهینامه‌های TLS

هنگامی که کارمندان، از راه دور وارد شبکه یا سیستم‌های سازمان می‌شوند باید از ارتباطات رمزنگاری شده برای انجام این کار استفاده کنند. بنابراین سامانه هایی که از آنها استفاده می‌کنند می بایست گواهینامه TLS داشته و برای همه ارتباطات تحت وب از پروتکل HTTPS استفاده شود.

پروتکل TLS یا Transport Layer Security یکی از انواع پروتکل‌های رمزنگاری است که وظیفه برقراری ارتباطی امن را میان سرور و کلاینت در بستر شبکه بر عهده دارد. این پروتکل، تکامل یافته پروتکل SSL بوده و هم اکنون تا حد زیادی جایگزین آن شده است. گواهینامه TLS توسط مراکز صادرکننده آن، قابل خریداری بوده یا به صورت رایگان نیز توسط بعضی از شرکت ها البته به مدت زمان محدود ارایه می شود.

پیاده سازی راهکار اعتماد صفر

سازمان‌ها با اجرا و پیاده سازی شبکه خصوصی مجازی (VPN[1]) می توانند قابلیت اطمینان به امنیت ترافیک تبادلی توسط نقاط انتهایی شبکه خود را به دست آورند. اغلب وی‌پی‌ان‌های خانگی از امنیت بالایی برخوردار نیستند بنابراین بهتر است سازمان‌ها از VPNهایی استفاده کنند که توسط شرکت‌های معتبر از جمله Barracuda، Perimeter 81 و WindScribe ارایه شده و در این زمینه قابل اعتمادتر از بقیه هستند.

امروزه بعضی از سازمان‌ها از روش «اعتماد صفر» برای تأمین امنیت بهتر فرایندهای کسب و کاری خود بهره می برند. این روش، یک مدل امنیتی مدیریت و کنترل دسترسی به شبکه است که بیشتر در سازمان‌های فناوری محور از آن استفاده می شود. در این مدل امنیتی، به صورت پیش فرض به هیچ سیستم، سرویس یا شخصی اعتماد نشده و در تمام مراحل و از هر جایی در داخل/خارج از شبکه و حتی محیط DMZ، کاربران و دستگاه­‌ها باید ابتدا احراز و تأیید هویت شوند. دسترسی آنها نیز به صورت «حداقل سطح دسترسی» به منابع مورد نیاز تعریف می‌شود.

در این روش چنین فرض می‌شود که همه کارمندان از مکان‌های خطرناک و پرمخاطره ای مثل کافی شاپ و هتل ها وارد سامانه های سازمانی می‌شوند که وای فای آن تحت نظارت یک هکر قرار داشته و همه داده ها در قلمروی دشمن در حال تبادل هستند. این نگرش محتاطانه فقط برای داده های در حال عبور از شبکه نبوده بلکه برای داده هایی که در حال سکون و استراحت می باشند نیز اینطور تصور می شود.

Todd Thiemann مدیر بازاریابی یکی از شرکت‌های فعال در حوزه هوش تهدید معتقد است که: «حرکت به سمت اعتماد صفر، نوعی تغییر نگرش به حساب می‌آید. این روزها دیگر مفهومی به نام محیط شبکه داخلی، کاملاً منسوخ شده است. بنابراین اگر فقط بر امنیت یک درگاه خود تمرکز دارید، به احتمال زیاد همه ترافیک تبادلی در تجهیزات مورد استفاده برای دورکاری را تحت نظارت ندارید».

برنامه نویسان باید کدها را بررسی کرده و قسمت‌هایی از کدهایشان که دیگر فرضیات امنیتی قدیمی برای آنها صدق نمی‌کند را پیدا و اصلاح کنند. برای مثال، آیا برنامه کاربردی تحت وب شان به درخواست هر صفحه ای از وب پاسخ می‌دهد؟ آیا این برنامه چنین فرض می‌کند که همه افراد مورد اطمینان، از نشانی درست برای دانلود یک فایل اطلاع دارند؟ آیا تمام کاربرانی که دارای حساب کاربری در یک سیستم هستند، به عنوان راهبر سیستم در نظر گرفته می‌شوند؟

بنابراین کارشناسانی که مسئولیت معماری و توسعه برنامه‌ها را بر عهده دارند باید کدهای خودشان را برای حرکت به سمت روش اعتماد صفر بازبینی کنند. آنها باید بعضی از کدها را با اضافه کردن بررسی‌های لازم جهت احراز هویت درست و مناسب اصلاح نمایند. ممکن است حتی تعدادی از این برنامه ها به طراحی مجدد هم نیاز داشته باشند.

یک روش ساده، امن‌سازی داده‌هایی است که فعلاً از آنها استفاده ای نمی شود. Thiemann در این خصوص می‌گوید: «ما یک شرکت بزرگ آژور هستیم و همه داده‌های ساکن را رمزنگاری می‌کنیم. این داده‌ها شامل اطلاعات هویتی یا داده‌های حساس کاربران نیستند اما بر مبنای اصول توصیه شده، وقتی داده‌ها در حال انتقال نیستند یا به اصطلاح در حال استراحت می باشند نیز آنها را رمزنگاری می‌کنیم».

آژور هم مثل سایر پلتفرم‌های ابری مهم راهکارهایی برای امن‌سازی داده‌ها دارد. شرکت اوراکل و بسیاری از فروشندگان معتبر بانک های اطلاعاتی برای ساده‌تر کردن این فرایند، یک بسته SDK که شامل ابزارهایی برای توسعه نرم‌افزار است را همراه با کد پایتون و جاوا منتشر کرده‌اند. به این ترتیب مهاجمان قادر به استفاده از قابلیت‌های دسترسی به فایل های درون سیستم ها یا شبکه نخواهند بود چرا که با این روش، محرمانگی داده‌ها رعایت می‌شبود.

پیاده سازی راهکار لبه سرویس دسترسی امن (SASE[2])

یک روش دیگر برای امن‌سازی سامانه هایی که در اینترنت قرار دارند، افزودن یک سیستم نگهبانی خاص است که در آن همه کاربران و درخواست‌های دریافت داده توسط آنها پیش از اجرایی شدن، ابتدا احراز هویت شده و سپس دسترسی لازم به آنها داده می شود.

یکی از مدل‌های معماری که برای پیاده سازی این راهکار وجود دارد، فرایندی است که به آن «لبه سرویس دسترسی امن» یا SASE گفته می شود. این ابزار که بسیار بهینه تر از یک فایروالینگ ساده عمل می کند می‌تواند با بررسی داده‌های موجود در درخواست‌ها و تصمیم گیری هوشمندانه بر اساس مقادیر آنها فیلترینگ آگاه از وضعیت را اجرا کند.

این لایه جدید را می‌توان برای حفاظت از سرویس‌های وب مختلف از جمله آنهایی که در محیط های ابری میزبانی می‌شوند، پیاده سازی کرد. رایانه کاربر تنها با درگاه SASE ارتباط برقرار کرده و سایر سرویس‌ها فقط به درخواست‌هایی پاسخ می‌دهند که توسط درگاه SASE بررسی شده باشند.

ابزارهای طراحی شده توسط شرکت‌هایی مثل Citrix، Palo Alto Networks و McAfee فعالیت کاربران را حتی اگر در همان مکان یا فضای ابر مستقر نباشند نیز تحت نظارت داشته و در خصوص دسترسی به سرویس‌ها تصمیم‌گیری می‌کنند.

امنیت فضای ذخیره سازی ابری سازمان

رایانه‌های کارمندان مکان خوبی برای ذخیره داده‌ها و اسناد حساس سازمان نیست. کارکنان نباید امکان ذخیره اطلاعات حساس را بر روی درایوهای رمزنگاری نشده باشند. همچنین آنها نباید داده‌ها را در جایی قرار دهند که امکان جاسوسی یا سرقت آنها وجود دارد. باج‌افزارها هنوز هم یکی از تهدیدات جدی محسوب می‌شوند که می‌توانند داده‌ها را از راه دور نیز نابود کنند.

شرکت‌هایی مثل دراپ باکس، قابلیت رمزنگاری داده‌های در حال استراحت را برای به حداکثر رساندن سطح امنیتی آنها دارند. توسعه دهندگان باید به صورت منظم مخازنی مثل GitHub، GitLab یا Bitbucket را بررسی کنند. تحلیلگران داده هم باید از مواردی همچون Saturn Cloud، Matrix DS یا Collaboratory به منظور امن سازی داده ها استفاده نمایند.

بسیاری از سازمان‌ها در حال حرکت به سمت نسخه تحت وب ابزارهای اداری محبوب مثل Google Workspace یا Microsoft Teams هستند. این ابزارها علاوه بر اینکه انعطاف‌پذیری بالایی دارند، نصب آنها هم نسبتاً آسان است. این ابزارها هم باید مثل سایر ابزارها بررسی شوند تا مشکلات یا نواقص احتمالی آنها قبل از آنکه توسط نفوذگران داخلی یا بیرونی مورد سوءاستفاده قرار گیرند، شناسایی و برطرف شوند.

اجرای سازوکارهای احراز هویت چندعاملی

شناسایی و احراز هویت کاربران یکی از مهمترین مسایلی است که بیشتر سازمان ها با آن درگیر هستند. ممکن است روش قدیمی استفاده از نام کاربری و کلمه عبور همچنان برای سازمان ها از کارایی لازم برخوردار باشد ولی باید به این نکته مهم توجه داشت که همواره وجود لایه‌های امنیتی بیشتر، بهتر است.

ساده‌ترین راهکار، الزام به یک روش احراز هویت دیگر مثل شماره تلفن همراه کارمندان به همراه نام کاربری و کلمه عبور برای ورود به سامانه های حساس سازمانی است. بعضی از سرویس‌ها مثل Twilio، Vonage، Plivo و Telnyx APIهای خاصی برای پشتیبانی از روش‌های مختلف احراز هویت همچون پیامک دارند.

در روش‌های پیچیده‌تر، از برنامه‌های کاربردی خاصی استفاده می‌شود که قادر به تولید کلمه عبور بر اساس زمان هستند. در ابزارهایی مثل Google Authenticator، FreeOTP و LinOTP کاربران ابتدا یک رمز خاص را ذخیره کرده و سپس هر زمانی قصد ورود به سرویس مورد نظر را داشته باشند، یک کلمه عبور جدید در آن لحظه برای آنها تولید می‌شود.

افزایش شمار بدافزارهای مخصوص تلفن‌های همراه منجر به ایجاد توکن‌های سخت‌افزاری اختصاصی شده که تمامی الگوریتم‌های احراز هویت و رمزنگاری را در یک سخت‌افزار خاص پیاده سازی کرده اند. ابزارهایی مثل RSA SecurID، Yubikey یا Onlykey در برابر حملاتی که امکان نفوذ به سیستم عامل‌های تلفن همراه یا رایانه ها را دارند، آسیب پذیر نبوده و به ارتقای سطح امنیت کمک می‌کنند.

پیاده سازی راهکارهای مدیریت هویت و دسترسی

ابزارهای مورد استفاده برای احراز هویت چندعاملی باید به خوبی قابلیت کار با سامانه های سازمانی را داشته باشند. این موضوع یک چالش نسبتاً مهم برای توسعه‌دهندگان درون سازمانی به شمار می رود. به همین دلیل معمولاً سازمان‌ها به استفاده از سرویس‌های مدیریت هویت و دسترسی (که به این مدل، ارایه هویت به شکل سرویس یا احراز هویت به صورت سرویس هم گفته می‌شود) روی آورده‌اند. نرم‌افزارهای شرکت‌هایی مانند Auth0 و Okta می توانند فرایند مدیریت هویت و دسترسی را با استفاده از بهترین الگوریتم‌ها انجام دهند.

برای مثال، Auth0 دارای مجموعه‌ای از مثال‌های ساده برای شروع است و توسعه‌دهندگان به راحتی می‌توانند با کپی و پیست کردن چند خط کد، برنامه‌هایشان را امن کنند. کد Auth0 یک کادر لاگین اضافه کرده و سرورهای Auth0، کلمه عبور را بررسی می‌کنند. آنها در صورت نیاز قابلیت پیاده سازی قوانین قوی‌تری مثل پیاده سازی احراز هویت دوعاملی را نیز دارند. اگر نیاز به ارسال کد به یک برنامه تلفن همراه یا ارسال پیامک وجود داشته باشد؛ سرورهای Auth0 می توانند این کار را برای شما انجام دهند.

Okta هم سرویس‌های مشابهی دارد که به آن «موتور شناسایی» گفته می شود و شامل مجموعه‌ای از ابزارهای مدیریت و احراز هویت است. این سرویس ها امکان پیاده‌سازی آنها به صورت انعطاف پذیر را داشته و به ساده‌سازی فرایند ایجاد حساب کاربری و اعطای مناسب دسترسی‌ها کمک می‌کنند. این سرویس ها همچنین گزینه‌های مختلفی را به منظور کاهش اتکا بر کلمه عبور، در اختیار سازمان ها قرار می دهند که شامل به خاطر سپردن لپ‌تاپ یا گوشی تلفن همراه کاربر است.

شرکت‌های مذکور با ارایه داشبوردی جهت نظارت بر رفتار کاربران، افزودن حساب‌های کاربری جدید و تنظیم نقش‌های دسترسی، به ساده‌تر کردن فرایند نظارت بر حساب‌های کاربری نیز کمک شایان توجهی کرده اند. برنامه‌نویسان می‌توانند لایه پیچیده تری را به برنامه‌های خود اضافه کنند که کارهای احراز هویت و شناسایی را از طریق کدهای از قبل آزمایش شده، انجام می‌دهد.

بازنگری فرضیات موجود درباره امنیت دورکاری

باید توجه داشت که بعضی از مراحل پیچیده امنیت سایبری، لزوماً فنی نیستند بلکه احساسی و شخصی هستند. تمام مدیران و مسئولان سازمان‌ها به ویژه کارمندان بخش امنیت باید درباره تصمیم‌گیری‌هایی که در پی شیوع قریب الوقوع بیماری کرونا با سرعت و عجله و بدون توجه کافی به الزامات امنیتی گرفته اند، تجدیدنظر کرده و در صورت نیاز آنها را اصلاح کنند.

آموزش و آگاهی بخشی امنیتی به کارکنان در خصوص حملات و روش های نفوذ به سیستم های رایانه ای از اهمیت به سزایی در مواجه با تهدیدات روزافزون فضای سایبر برخوردار است. بنابراین اگرچه شیوع بیماری کرونا دریچه های جدیدی را برای مهاجمان و نفوذگران سایبری گشوده است اما با طراحی مناسب سازوکارهای امنیتی و اطمینان از رعایت آنها توسط همه کارکنان می توان شانس موفیت مجرمان سایبری را برای حمله به کارکنان دورکار به شدت کاهش داد.

[1] Virtual Private Network

[2] Secure Access Service Edge

منبع: csoonline