'%3e%3crect%20width='24'%20height='24'%20transform='translate(1568%20947)'%20fill='%23dbdbdb'/%3e%3cg%20transform='translate(1466%20765)'%3e%3cpath%20d='M2.875,5.75A2.875,2.875,0,1,1,5.75,2.875,2.879,2.879,0,0,1,2.875,5.75Zm0-5A2.125,2.125,0,1,0,5,2.875,2.13,2.13,0,0,0,2.875.75Z'%20transform='translate(111.125%20188.625)'%20fill='%230b032d'/%3e%3cpath%20d='M8.965,4.25a.378.378,0,0,1-.375-.375C8.59,2.15,6.83.75,4.67.75S.75,2.15.75,3.875a.378.378,0,0,1-.375.375A.378.378,0,0,1,0,3.875C0,1.74,2.095,0,4.67,0S9.34,1.74,9.34,3.875A.378.378,0,0,1,8.965,4.25Z'%20transform='translate(109.33%20195.125)'%20fill='%230b032d'/%3e%3cpath%20d='M0,0H12V12H0Z'%20transform='translate(108%20188)'%20fill='none'%20opacity='0'/%3e%3c/g%3e%3c/g%3e%3c/svg%3e){kind=small}
در مقالهی گذشته، اطلاعات جالبی در ارتباط با پشتیبانگیری و معماری رید (RAID) به دست آوردیم. هر یک از فناوریهای فوق نقش مهمی در تامین امنیت دادهها دارند. در ادامه، با راهکارهای دیگر تامین امنیت دادهها آشنا میشویم.
12. محافظت از دادهها در برابر تهدیدات داخلی
هر سال سازمانها هزینه زیادی را صرف خرید محصولات امنیتی میکنند تا بتوانند از زیرساختها محافظت کرده و به ایمنسازی شبکهها در برابر حملات خارجی بپردازند. با این حال، تهدیدات داخلی، چالش بزرگی است که پیرامون دادهها و نقض دادهها وجود دارد که نباید به سادگی از کنار آن عبور کرد. آمارها نشان میدهند تهدیدات داخلی بیش از 60 درصد حملات را شامل میشوند. با این حال، بسیاری از سازمانها تهدیدات و مشکلات داخلی را به دلیل اینکه ممکن است پیامدهای منفی روی تجارت آنها داشته یا نام برند را خدشهدار کند، گزارش نمیکنند.
تهدیدهای داخلی دو حالت دارند:
تهدید داخلی مجاز: شخصی است که از حقوق و امتیازات خود سوء استفاده میکند یا به طور تصادفی یا عمدی اطلاعات هویتی او به سرقت رفته است.
تهدید داخلی غیرمجاز: اشاره به فردی دارد که توانسته است از طریق شبکه داخلی سازمان به منابع و داراییها دسترسی پیدا کند. به طور مثال، فرد ممکن است از طریق سوکت شبکهای مستقر در لابی یا اتاق کنفرانس یا از طریق شبکه بیسیم محافظت نشده سازمان به شبکه متصل شود.
تهدیدات داخلی میتوانند منجر به از دست دادن دادهها یا خرابی آنها شوند، بنابراین نظارت بر فعالیتهای انجام شده در شبکه به اندازه نظارت بر تهدیدات فراسازمانی حائز اهمیت است.
دسترسی از راه دور کارمندان به شبکه ارتباطی
امروزه، دسترسی از راه دور به شبکههای سازمانی رایج است. شیوع کووید 19 باعث شد تا بخش عمدهای از کاربران دورکار شوند و دورکاری به فرهنگ سازمانی تبدیل شود. به همین دلیل کارمندان باید از یک مکانیزم ارتباط ایمن برای دسترسی از راه دور به منابع سازمانی استفاده کنند. هنگام اتصال از راه دور، احراز هویت کارآمد ضروری است. همچنین، مهم است سیستمهایی که کاربران برای دسترسی از راه دور به شبکه استفاده میکنند، با مکانیزمهای امنیتی همچون دیوارهای آتش و نرمافزارهای آنتیویروس محافظت شوند.
13. استفاده از مکانیزمهای امنیتی در ارتباط با کلاینتهای Endpoint
نقاط پایانی شبکه دائما مورد حمله قرار میگیرند، بنابراین، وجود یک زیرساخت امنیتی که بتواند از نقاط پایانی به بهترین شکل در برابر تهدیدات امنیتی محافظت کند، ضروری است. برنامههای غیرمجاز و بدافزارهای پیشرفته (مانند روتکیتها) از مواردی هستند که باید در استراتژی امنیتی نقطه پایانی به آنها دقت کنید. با افزایش استفاده از گوشیهای هوشمند نقاط پایانی شبکه در حال گسترش هستند و به سختی میتوان نظارت دقیقی بر آنها اعمال کرد. به همین دلیل پیشنهاد میشود حداقل از فناوریهای زیر استفاده کنید:
نرمافزار آنتیویروس
نرمافزار آنتیویروس باید بر روی تمام سرورها و ایستگاههای کاری نصب و به روز نگه داشته شود. علاوه بر نظارت فعال بر فایلهای دریافتی و اسکن مرتب سیستمها، مانع از آن میشود تا حملههای باجافزاری خسارت سنگین به سازمان وارد کند.
ضد جاسوسافزار (Anti Spyware)
ابزارهای ضد جاسوسافزاری و ضد تبلیغاتی مزاحم برای حذف یا مسدود کردن نرمافزارهای جاسوسی و تبلیغات ناخواسته طراحی شدهاند. Spyware نرمافزاری است که بدون اطلاع کاربر نصب میشود و هدف آن یافتن اطلاعات بیشتر در مورد رفتار کاربر و جمعآوری اطلاعات شخصی است.
ابزارهای ضد جاسوسافزار شبیه به ابزارهای آنتی ویروس کار میکنند و بسیاری از عملکردهای آنها با یکدیگر همپوشانی دارند. برخی از نرمافزارهای ضد جاسوسی با بستههای آنتی ویروس ترکیب میشوند، در حالی که برنامههایی نیز وجود دارند که به صورت مستقل در دسترس هستند. صرف نظر از نوع استفادهتان، باید به طور مرتب دنبال جاسوسافزار بگردید. به طور معمول، هکرها سعی میکنند، جاسوسافزارها را روی هاستها نصب کنند تا بتوانند از طریق کوکیها، به اطلاعات ارزشمند دست پیدا کنند.
مسدودکنندههای پاپآپ
پاپآپها یا همان پنجرههای تبلیغاتی یکی از تهدیدات مهم امنیتی به شمار میروند. گاهی اوقات پاپآپها بیانگر این موضوع هستند که برنامههای ناخواسته در حال اجرا در سیستم هستند. در بیشتر موارد هنگامی که روی لینکی در وبسایتی کلیک میکنید، پاپآپها ظاهر میشوند. از اینرو، توصیه میشود از ابزارهای مسدودکننده تبلیغات مثل AdBlock برای عدم نمایش آنها استفاده کنید.
فایروالهای مبتنی بر میزبان
فایروالهای شخصی، فایروالهای مبتنی بر نرمافزار هستند که بر روی هر کامپیوتر در شبکه نصب میشوند. آنها تقریبا مانند فایروالهای مرزی هستند که بستههای خاصی را فیلتر میکنند و مانع رسیدن بستههای مشکوک به شبکهها یا سروها میشوند. در شبکههای بزرگ سازمانی از فایروالهای اختصاصی سختافزاری استفاده میشود تا ترافیک مشکوک و مخرب به رایانههای داخلی سازمانی وارد نشوند، اما این حرف به این معنا نیست که نباید فایروالهای نرمافزاری روی سیستمها را غیر فعال کرد.
به طور معمول، حملههایی که یک شبکه خصوصی را تهدید میکنند از جانب ویروسها انجام میشوند. بنابراین، به جای غیرفعال کردن فایروالهای شخصی، کافی است، آن را مطابق با نیازهای شخصی یا سازمانی تنظیم و به گونهای پیکربندی کنید تا برنامههای مشکوک موفق نشوند بدون اطلاع شما با اینترنت به مبادله اطلاعات بپردازند.
IDSهای مبتنی بر میزبان
یکی از نیازمندهای مهمی که هر میزبانی باید به آن تجهیز شده باشد، سیستمهای تشخیص نفوذ (IDS) مخفف Intrusion detection systems است. یک IDS مبتنی بر میزبان به وضعیت سیستم نگاه میکند و بررسی میکند که آیا محتوای آن مطابق انتظار است یا خیر. بیشتر IDSهای مبتنی بر میزبان از مکانیزم تایید یکپارچگی استفاده میکنند که بر اساس این اصل کار میکند که اکثر بدافزارها سعی میکنند برنامهها یا فایلهای میزبان را در حین انتشار تغییر دهند.
راستیآزمایی یکپارچگی تلاش میکند تا مشخص کند چه فایلهای سیستمی بهطور غیرمنتظره تغییر یافتهاند. این کار بر مبنای ارزیابی امضای دیجیتالی که به شکل هش رمزنگاری (Cryptographic hash) ثبت شده، انجام میشود. برای این منظور ضروری است که سامانه فوق قبل از نصب هرگونه نرمافزار یا اتصال به اینترنت روی میزبان، نصب شود. پس از انجام اینکار، فرآیند اسکن انجام میشود و هرگونه تغییری که شناسایی شود، هشداری در مورد آن صادر میشود. مشکل اصلی مکانیزم تایید یکپارچگی این است که پس از شناسایی موارد مشکوک به آلودگی، این موضوع را گزارش میکند، اما اقدامی در ارتباط با حذف آلودگی انجام نمیدهد.
14. ارزیابی آسیبپذیری و تستهای نفوذ امنیت سایبری
به طور معمول، ارزیابی آسیبپذیری به معنای بهکارگیری پورت اسکنر ها و اسکنر های آسیب پذیری مثل nmap، OpenVas و Nessus است. این ابزارها محیط را اسکن میکنند و به دنبال پورتهای باز و شماره نسخه سرویسهایی هستند که روی سیستم فعال است. به طور مثال، به جستجوی این مسئله میپردازند که چه نسخهای از پروتکل SNMP روی یک سیستم فعال است و اگر از نسخههای پایین که آسیبپذیر هستند، استفاده شده باشد، این مسئله را گزارش میدهند.
نتایج حاصل از آزمایش را میتوان به منظور بهبود خطمشیهای دفاعی سیستم، مورد استفاده قرار داد. سرویسها یا پروتکلهایی که خطرناک هستند را غیرفعال یا از نسخههای جدیدی از آنها را استفاده کرده و آسیبپذیریهای شناسایی شده را از طریق وصلهها ترمیم کرد. این روش تضمین میکند که خطمشیهای امنیتی رعایت خواهند شد.
تست نفوذ (Penetration testing) به معنای تست یک سیستم کامپیوتری، شبکه یا برنامه وب برای یافتن آسیبپذیریهای امنیتی است که مهاجم میتواند از آنها سوء استفاده کند. تست نفوذ را میتوان با نرمافزارهای کاربردی خودکار یا به صورت دستی انجام داد. هدف اصلی تست نفوذ شناسایی نقاط ضعف امنیتی است. همچنین، تست نفوذ میتواند برای ارزیابی خطمشی امنیتی سازمان، پایبندی به قوانین سازمانی، آگاهی امنیتی کارکنان و توانایی سازمان در ارائه پاسخ و شناسایی حوادث امنیتی مورد استفاده قرار گیرد.
سازمانها باید تست نفوذ را به طور مرتب انجام دهند. در حالت ایدهآل، سالی یک بار برای اطمینان از امنیت شبکه و مدیریت فناوری اطلاعات انجام اینکار ضروری است. اگر قصد انجام تست نفوذ را دارید چند استراتژی مهم وجود دارد که باید به آنها دقت کنید:
- Targeted testing: تست هدفمندی است که تیم فناوری اطلاعات سازمان و تیم تست نفوذ با همکاری یکدیگر انجام میشود. گاهی اوقات به استراتژی فوق چراغ روشن (light turn) گفته میشود، زیرا همه میتوانند تست و نتایج آن را مشاهده کنند.
- External testing: در مکانیزم تست خارجی، سرورهای دامنه، سرورهای ایمیل، سرورهای وب یا فایروالها مورد ارزیابی قرار میگیرند. هدف این است که بفهمیم آیا یک مهاجم خارجی میتواند به شبکه نفوذ کند یا خیر و اگر موفق به انجام اینکار میشود قادر به انجام چه کارهایی است.
- Internal testing: در مکانیزم تست داخلی، یک حمله داخلی در پشت فایروال از جانب یک کاربر مجاز با سطح مجوزهای استاندارد انجام میشود. این نوع تست برای تخمین میزان خسارتی که یک کارمند معمولی میتواند به سازمان وارد کند، انجام میشود.
- Blind testing: با محدود کردن شدید اطلاعاتی که فرد یا تیم در اختیار دارند انجام میشود. در تست فوق، اقدامات و رویههای یک مهاجم واقعی شبیهسازی میشود و تنها اطلاعات پایه و محدود در اختیار کارشناسان امنیتی قرار میگیرد.
- Double-blind: در مکانیزم فوق تنها یک یا دو نفر در سازمان در جریان انجام تست هستند.
- Black box testing: در آزمایش فوق، تیم ارزیابی هیچ اطلاعاتی دریافت نمیکند و باید همانند یک هکر واقعی آسیبپذیریهایی را برای ورود به سیستم شناسایی کند.
- White box: اطلاعات مربوط به شبکه هدف قبل از شروع تست در اختیار متخصصان قرار میگیرد. این اطلاعات میتواند شامل آدرسهای IP، الگوهای زیرساخت شبکه، پروتکلهای مورد استفاده و غیره باشد.
کلام آخر
همانگونه که مشاهده کردید، حفاظت از دادهها موضوعات و زمینههای زیادی دارد. مدیران کاربلد شبکه و متخصصان امنیتی به خوبی از این نکته مطلع هستند که باید ابزارهای امنیتی بهروز باشند و از خطمشیهای دقیقی برای محافظت از زیرساختها استفاده شود. با اینحال، وجود خطمشیهای بسیار زیاد، قابل اجرا و بهروز نگه داشتن برنامههای کاربردی، یکی از چالشهای مهمی است که تیمهای امنیتی با آن روبرو هستند.
یکی دیگر از چالشهای حفاظت از دادهها، به حداقل رساندن تأثیر آن بر کاربر نهایی است. متأسفانه، برنامههایی مانند نرمافزارهای آنتیویروس، فایروالهای شخصی و سیستمهای تشخیص تهدید، پهنای باند و قدرت پردازشی را برای انجام فعالیتهای خود مورد استفاده قرار میدهند که تاثیر منفی روی فعالیتهای کاربران نهایی دارد. به همین دلیل، زمانی که تصمیم میگیرید از چه برنامههایی برای محافظت از کاربران نهایی استفاده کنید، به میزان مصرف منابع مهم مثل حافظه اصلی دقت کنید.
