این مقاله که چهارم آوریل 2016 به قلم «شارون فلورنتاین» نگارش شده است، یکبار دیگر به کاربران سامانههای مهم و سازمانهای بزرگ در زمینه پیادهسازی استراتژیهای امنیتی کارآمد برای دوری جستن از مخاطرات امنیتی، توصیههایی کرده است. بر همین اساس، ما نیز در این مقاله بر آن شدیم تا ضمن پرداختن به موضوعات ارائهشده در آن مقاله، نگاهی نیز به راهکارهایی بیندازیم که برای افزایش امنیت گذرواژهها استفاده میشوند. همچنین به طور مختصر به نحوه پیادهسازی خطمشیهای امنیت شبکه نیز خواهیم پرداخت. پیشنهاد میکنیم از ابتدای سال جاری به این توصیهها توجه کنید تا یک سال را به دور از استرس و نگرانی درباره بدافزارها و انواع مختلف تهدیدها پشت سر نهید.
عواقب بیتوجهی به مسائل امنیتی فراتر از حد تصور است
تشویش و بیقراری از جمله عادتهای ناپسند به شمار میروند، اما هیچیک از این رفتارها به اندازه کافی مخرب نیستند که بتوانند شرکتی را به زانو درآورند. اما زمانی که صحبت از امنیت به میان میآید، شاهد رفتارها و عادتهای ناپسندی از کاربران سازمانی هستیم که میتوانند زمینهساز ورشکستگی سازمان شوند؛ بهطوری که شرکتی را در برابر حملات هکری آسیبپذیر میکنند و در نهایت منجر به از دست رفتن دادهها یا سرقت آنها میشوند. همه این اتفاقات به دلیل رخنههای امنیتی شبیه به یکدیگر رخ میدهد. اما خبر خوب این است که با توجه و دقت به اصول اولیه و ساده دنیای فناوری، آموزش کاربران در خصوص مسائل امنیتی، انتخاب بهترین مکانیزم امنیتی و بهکارگیری راهحلهایی که در این زمینه وجود دارد، میتوانیم تا حدود بسیار زیادی مخاطرات امنیتی را کاهش دهیم. «جاناتان کرو»، مدیر ارشد محتوا در شرکت امنیتی «بارکلی» توصیههای سادهای را برای بهبود وضعیت امنیتی سازمانها و کاربران پیشنهاد کرده است. اگر کارمندان سازمانها به این نکات توجه کرده و از آنها در زمان کار با سامانههای مهم استفاده کنند، نه تنها سطح درک آنها از اصول امنیتی بالاتر میرود، بلکه توانایی مقابله با تهدیدات امنیتی را نیز خواهند داشت.
خط مشی امنیت شبکه سازمانی خود را مطابق با استانداردهای جهانی آمادهسازی کنید
برای هر کارشناس امنیتی، تلاش برای نگارش سیاست امنیتی (Security Policy) رویکرد دشواری به شمار میرود. به دلیل اینکه ماهیت این مفهوم، به خودی خود پیچیده است و پیادهسازی چنین الگویی کار چندان سادهای نیست. کارشناس امنیتی ابتدا باید توانایی درک مشکلات و چالشهای پیش رو را داشته باشد. وی همواره با پرسشهایی نظیر چه چیزی باید نگارش شود؟ چگونه باید نگارش شود؟ چه کسی مسئول آن خواهد بود؟ و موضوعاتی از این دست روبهرو خواهد بود. اینها از جمله سؤالات راهبردی هستند که پیش روی هر کارشناس امنیت شبکه قرار دارند. تدوین و آمادهسازی استراتژی امنیت اطلاعات بیشتر از اینکه فن باشد، هنر است. هیچ کارشناس امنیتی را پیدا نخواهید کرد که اعلام کند در مدتزمان دو روز، توانایی آمادهسازی دستورالعمل 80 صفحهای را برای سازمان شما دارد. در حالی که تعدادی از نیازمندیهای مربوط به این سیاستگذاری ممکن است باعث کاهش هزینه یا کم کردن دردسرهای تدارکاتی برای محیطهای مشخصی باشد، اما فهرستی که در ادامه مشاهده خواهید کرد، شبیه به فهرستی است که مردم در زمان تعطیلات آماده کردهاند و هر آن چیزی را که به آن علاقهمند هستند، در آن قرار میدهند؛ به استثنای این مورد که این فهرست ویژه یک محیط امنیتی، آمادهسازی شده است، این سیاستگذاری بهگونهای است که به مرور زمان و همگام با افزایش سطح تجربیات شخصی به تکامل رسیده، الگوی تهدیداتی که شبکه را به مخاطره میاندازند تغییر داده است و در نهایت، امنیتی سازگار با این حملات را ارائه میکند. مهمترین اصلی که در زمان نگارش دستورالعمل امنیت شبکه لازم است به آن توجه کنیم، این است که مجال تنفسی برای الگوی سیاستگذاری امنیتی در نظر بگیریم تا همواره سند پویا و زندهای در اختیار داشته باشیم. در حوزه امنیت همه چیز بهسرعت در حال تغییر است، در نتیجه سیاست امنیتی همواره باید سرعت خود را با این تغییرات حفظ کند.
پشتیبانی مدیران اجرایی برای اجرا و حمایت از خط مشی امنیتی، از ارکان اصلی موفقیت برنامه امنیت اطلاعات است
منابع موجود و تکامل تدریجی سیاستگذاری
اولین پرسش کارشناس امنیت شبکه از خود، این است که چگونه میتواند ایدهها و استراتژیهای خود را به شکلی مدون و کاربردی به سیاست امنیتی تبدیل کند؟ اکثر کارشناسان امنیتی سریعاً به این حقیقت آگاه میشوند که پشتیبانی مدیران اجرایی برای اجرا و حمایت از خط مشی امنیتی، از ارکان اصلی موفقیت برنامه امنیت اطلاعات است. برای اینکه پشتیبانی به وجود بیاید و تداوم پیدا کند، کارشناس امنیت شبکه باید به دو نکته توجه کند. در گام اول، ضروری است که دامنه سیاستگذاری بهدرستی و روشنی تشریح شود و دوم اینکه اطلاعرسانی درباره دستورالعملهای مرتبط با سیاستگذاری به شیوه جامع و کارآمدی به کارکنان منتقل شود. منابع موجود بهخوبی نشان میدهند که فرایند عنوانبندی دستور العمل مرتبط با سیاست امنیتی، دربرگیرنده مؤلفههایی همچون مقصود (Purpose)، هدف (Objective)، کارکرد (Applicability)، توزیع (Distribution)، اجرا (Enforcement) و نظارت (Monitoring) است. برای مثال، در بسیاری از کشورها از استاندارد بینالمللی ISO/IEC 27001:2005 بهعنوان الگویی برای استقرار سیستم مدیریت امنیت اطلاعات استفاده میشود.
کارشناس امنیت شبکه ممکن است در نظر داشته باشد سیاستگذاری مدنظر خود را با هدف نشان دادن مخاطرات آمادهسازی کند. اما این جمله به چه معنا است؟ ریسکهای امنیت شبکه با نشان دادن استانداردهای امنیتی تعریف میشوند. راهنمای خط مشی امنیت شبکه NSPM ، سرنام Network Security Policy Manual، هم بر استاندارد ISF ، سرنام Information Security Forum، که متشکل از تجربیات 260 شرکت و سازمان بینالمللی در زمینه اطلاعات و امنیت اطلاعات است تأکید دارد و هم بر ایزو 17799:2005 که از استانداردهای ارائهشده از سوی ISO است. سند عمومی NSP که سند بلندبالایی است بر کنترل دسترسی به دادهها، رفتارهای مرورگرها، نحوه بهکارگیری گذرواژهها، رمزنگاری، ضمیمههای ایمیلی و در کل مواردی که قوانین و ضوابطی را برای افراد و گروهها ارائه میکند، تأکید دارد. در این سند اعلام شده است که کارشناس امنیت شبکه که مسئولیت تنظیم خط مشی امنیتی شبکه را بر عهده دارد، باید سلسله مراتبی از مجوزهای دسترسی کاربران را آمادهسازی کند و به هر کاربر بر اساس شرح وظایفش اجازه دسترسی به منابع مختلف را دهد. برای این منظور سازمانهای بزرگی در هر کشور همچون مؤسسه ملی فناوری و استانداردها NIST، سرنام
National Institute of Standards and Technology، در ایالات متحده، مسئولیت تدوین استانداردها و خط مشیها در امنیت اطلاعات را بر عهده دارند. روش ساده برای نوشتن دستورالعملهای خط مشی تبدیل زبان استاندارد به یک دستورالعمل خط مشی، با نشان دادن سطح قابل پذیرش ریسکپذیری سازمان است. در زمان نگارش خط مشی سازمان باید به این نکته توجه کرد که مقدمه باید هم بر خط مشی و هم هدف کنترلی خط مشی تقدم داشته باشد. برای این منظور پیشنهاد میکنیم نگاه دقیقی به استاندارد ISF و همچنین ایزو 17799 بیندازید. برای مثال، نمونهای از تدوین یک دستورالعمل خط مشی در خصوص عیب فنی منابع شبکه و اطمینان پیدا کردن از این موضوع که مؤلفههای شبکه میتوانند به حالت اول خود بازگردند، میتواند همانند مثال زیر باشد:
کنترل قابلیت ارتجاعی شبکه برگرفته از ISF Network Resilience Controlم(NW1.3.3)
مقدمه: ریسک درست عمل نکردن تجهیزات حیاتی ارتباطی، نرمافزار، پیوندها و سرویسها باید کاهش پیدا کند؛ بهطوری که اطمینان حاصل شود میتوان مؤلفههای کلیدی شبکه را در بازههای زمانی بحرانی جایگزین کرد.
دستور العمل خط مشی: بهمنظور برطرف کردن موقتی خطر و تأثیر خرابیها، ضروری است برای بخشهای حیاتی سیستم اولویتهایی در نظر گرفته شده و اطمینان حاصل شود که مؤلفههای کلیدی شبکه در بازه زمانی هدف قابلیت جایگزینی و برگشت به حالت اولیه را دارند.
بهکارگیری گذرواژههای یکسان یا ساده برای حسابهای کاربری مختلف
شرکت امنیتی مدیریت گذرواژه «SplashData» هر سال از گذرواژههای غیرایمن بهعنوان یکی از عادتهای بد کاربران اینترنتی یاد کرده و فهرستی از بدترین گذرواژهها را فهرست و منتشر میکند. لازم به توضیح نیست که هنوز هم بسیاری از کاربران از گذرواژههایی همچون 123456 یا Password به صورت کاملاً عادی استفاده میکنند. گذرواژههایی اینچنینی مصداق ارسال دعوتهای جذاب برای هکرها هستند. در حالی که کاربران بهراحتی میتوانند گذرواژههای مختلف و پیچیده را برای حسابهای کاربری خود به یاد بیاورند، مشخص نیست به چه دلیل از گذرواژههای ساده و بدتر از آن یکسان استفاده میکنند.
راهحل: کرو در این خصوص به کاربران پیشنهاد میکند: «از یکی از برنامههای مدیریت گذرواژهها استفاده کنید. این برنامهها نه تنها توانایی تولید گذرواژههای تصادفی و ایمن را دارند، بلکه به ویژگی رمزنگاری و یادآوری آنها مجهز هستند. به همین دلیل کاربران در این زمینه با مشکل خاصی روبهرو نخواهند بود.»
کلیک کردن روی لینکها یا ضمیمهها بدون بررسی دقیق آنها
این روزها هکرها استراتژیهای خود را به طرز بسیار وحشتناکی تغییر دادهاند؛ بهگونهای که سعی میکنند پیامی که برای کاربر ارسال میکنند، ظاهری قانونی داشته باشد. برای این منظور آنها از ترفندهای مهندسی اجتماعی برای ارسال ویروس یا دسترسی به سیستمهای خصوصی استفاده میکنند. پیامهای ارسالشده حتی در ظاهر ممکن است از سوی منابعی ارسال شوند که کاربران آنها را میشناسند یا به آنها اعتماد دارند.
راه حل: کرو در این باره به سازمانها پیشنهاد میکند: «به کاربران خود آموزش دهید که چگونه میتوانند با نگهداشتن ماوس روی لینکها یا ابرلینکها مکانی را مشاهده کنند که سمت آن هدایت خواهند شد. اگر سایتی با لینکی هماهنگ نبود یا مشکوک به نظر میرسید، روی آن لینک کلیک نکنید. همچنین کاربران نباید هر ضمیمهای را که برای آنها ارسال میشود، باز کنند؛ به ویژه ضمیمههایی که انتظار دریافت آنها را نداشتهاند.»
ابزارها و دستگاههایی که تازه به بازار عرضه میشوند، بیشتر همراه با برنامههای تبلیغاتی در اختیار کاربران قرار میگیرند. در بیشتر موارد این برنامههای تبلیغاتی آسیبپذیریهای مختلفی را در خود جای دادهاند
به کارگیری دستگاههای جدید ضامن موفقیت
بسیاری از کاربران بر این باور هستند که با خرید دستگاههایی که تازه به بازار عرضه شده است، در برابر بسیاری از حملات مصون هستند و به مرور زمان است که دستگاه آنها در برابر حملات هکری ضعیف میشود. اما این طرز تفکر درست نیست. «الینور سایتا» مدیر بخش فنی مؤسسه «International Modern Media» در این باره میگوید: «ابزارها و دستگاههایی که تازه به بازار عرضه میشوند، بیشتر همراه با برنامههای تبلیغاتی در اختیار کاربران قرار میگیرند. در بیشتر موارد این برنامههای تبلیغاتی آسیبپذیریهای مختلفی را در خود جای دادهاند.»
نرمافزار سوپرفیش که همراه با لپتاپهای لنوو در اختیار کاربران قرار گرفته بود، نمونهای از این موارد بود.» نکته دیگری که درباره این دستگاهها وجود دارد به در پشتی تعبیهشده روی آنها بازمیگردد. درهای پشتی در بیشتر موارد به دلیل درخواست نهادهای دولتی یا استفاده شرکتهای سازنده، روی محصولات قرار میگیرند. اما واقعیت این است که درهای پشتی یک آسیبپذیری امنیتی هستند که هر شخصی با داشتن اطلاعات فنی ممکن است به آنها دسترسی داشته باشد. درهای پشتی حقیقتی هستند که هیچگاه از میان نخواهند رفت و فقط به مرور زمان نحوه قرارگیری یا شناسایی آنها دستخوش تغییرات میشوند.
راه حل: در زمان خرید ابزارهای جدید به این نکته توجه کنید که جدید بودن همیشه تضمینکننده امنیت نیست. اگر در نظر دارید دستگاه جدیدی بهویژه دستگاهی هوشمند خریداری کنید، سعی کنید در خرید آن کمی تأمل کنید تا به بازار عرضه شود و در ادامه ایرادات یا آسیبپذیریهای آن شناسایی شوند.
سهلانگاری در نصب بهروزرسانیها یا وصلهها
زمانی که یک آسیبپذیری در نرمافزاری شناسایی شده و وصله مربوط به آن عرضه میشود، شمارش معکوسی آغاز میشود که در فرصت باقیمانده نهایت بهرهبرداری از آسیبپذیری انجام شود. کرو در این خصوص میگوید: «آمارها نشان میدهند که هکرها هیچگاه زمان را هدر نمیدهند، در سال 2014 میلادی، نزدیک به نیمی از آسیبپذیریها و سوءاستفادههایی که از آنها شده بود؛ بهطور میانگین در مدت زمان دو هفته انجام گرفته بود؛ در حالی که وصلهها معمولاً در همان ابتدای کار عرضه میشوند.»
راه حل: کرو در این باره گفته است: «سعی کنید در زمینه دریافت وصلهها از برنامه منظم و ساختمندی استفاده کنید. این کار باعث میشود تا به طور خودکار بهروزرسانیها و وصلهها دریافت شوند. مزیت این راهکار در این است که حتی اگر به دلیل مشغله کاری فراموش کردید وصلهای را دریافت کنید، این کار به طور خودکار انجام میشود و همراه شما را در امنیت نگه میدارد.»
بهکارگیری وایفای عمومی
هر کاربری با شنیدن این جمله که وایفای رایگان در اختیار او قرار دارد، وسوسه میشود تا از آن استفاده کند. در مکانهایی همچون رستورانها یا فرودگاهها که وایفای عمومی عرضه میشود، مردم برای انجام کارهای خود از آن استفاده میکنند. کرو در خصوص این موضوع گفته است: «باید به این نکته توجه کنیم که رایگان بودن و عمومی بودن همیشه به معنای در اختیار داشتن فناوری به شکل ایمن نیست. این چنین ارتباطاتی به میزان قابل توجهی خطرناک هستند.»
راه حل: کرو برای دوری از این خطر پیشنهاد میکند:«در چنین شرایطی بهتر است از VPN استفاده کنید. این مکانیزم ترافیک را رمزنگاری کرده و نشستهای مرورگر شما را ایمن میسازد. حتی اگر شرکت، سازوکار VPN را در اختیارتان قرار نمیدهد، سعی کنید در خصوص فواید و مزایای چنین مکانیزم ارتباطی اطلاعات مورد نیاز را به دست آورید.»
رایگان بودن و عمومی بودن همیشه به معنای در اختیار داشتن فناوری به شکل ایمن نیست. این چنین ارتباطاتی به میزان قابل توجهی خطرناک هستند
بهکار نگرفتن مکانیزم احراز هویت دوعاملی
«الکس استاموس» مدیر ارشد امنیت شرکت فیسبوک درباره گذرواژهها گفته است: «سایتهای خبری به طور گسترده بر مکانیزمهای پیچیده و چندلایه حمله که هکرها استفاده میکنند، متمرکز شدهاند. این شیوه اطلاعرسانی به کاربر این پیام را القا میکند که او در برابر حملات کاملاً آسیبپذیر بوده و هیچ راه دفاعی در اختیار ندارد. اما در بیشتر موارد این جمله درست نیست. تنها سازمانهای دولتی آن هم در ردههای بسیار بالا، توانایی نفوذ به هر سیستمی را دارند. اما در مقابل هکرها، حتی هکرهای سازمانیافته، دفاع قابل قبولی وجود دارد.»
راه حل: استاموس در این خصوص به کاربران پیشنهاد میکند: «مکانیزم احراز هویت دوعاملی را که اغلب با ارسال کدهایی برای تلفنهای هوشمند کار میکنند، در حسابهای کاربری و شبکههای اجتماعی استفاده کنند. هکرها عمدتاً در تلاش هستند حسابهای کاربری را که روی شبکههای اجتماعی قرار دارند، هک کنند و کنترل آنها را به دست گیرند. به دست آوردن حساب کاربری افراد در شبکههای اجتماعی تنها برای آسیب رساندن به افراد هک نمیشوند، هکرها میتوانند از چنین حسابهایی به بهترین شکل ممکن استفاده کنند و سودهای کلانی به جیب بزنند. در کنار مکانیزم احراز هویت دو عاملی، سعی کنید از ابزار مدیریتکننده گذرواژهها برای حسابها و سرویسهای کاربری خود استفاده کنید.»
این فرض که یادآوری گذرواژههای طولانی کار مشکلی است
بسیاری از کاربران اعلام میکنند که توانایی یادآوری گذرواژههای طولانی را ندارند. به همین دلیل بسیاری از کاربران برای سادگی کار سعی میکنند از ترکیباتی همچون سال تولد و شماره شناسنامه خود برای ورود به سایتهای مختلف استفاده کنند؛ به دلیل اینکه یادآوری گذرواژههای مختلف برای سایتهای مختلف کار سختی به شمار میرود. همچنین بعضی از کاربران نیز تمایلی به استفاده از برنامههای مدیریت گذرواژهها ندارند. اگر جزو این گروه از کاربران هستید، هنوز هم راهکاری برای شما در زمینه ساخت گذرواژههای منحصربهفرد وجود دارد.
راه حل: برای اینکه نیازی به یادداشت کردن گذرواژههای خود نداشته باشید و همچنین بتوانید به سادهترین شکل ممکن گذرواژههای خود را به یاد آورید، میتوانید از ترکیب نام سایت مورد بازدید در انتهای گذرواژه خود استفاده کنید. «لوییس کرنر» مدیر فنی بخش امنیتی کلاود شرکت «پاندا» در این باره گفته است: «برای ساخت گذرواژهای منحصربهفرد و یادآوری ساده آن، نام سایت را به انتهای گذرواژه انتخابی خود اضافه کنید. برای مثال برای سایت bank.com واژه -bank را بهعنوان پسوند گذرواژه یا در حسابهای مورد استفاده در شبکههای اجتماعی از -linkedin یا -twit و مانند اینها بهعنوان پسوند گذرواژه خود استفاده کنید.»
این فرض که امنیت، مشکل فناوری اطلاعات است
در بیشتر شرکتها بسیاری از کاربران بر این باور هستند که همواره گروههای فنی و راهحلهای امنیتی در محل وجود دارند تا برای حفاظت و کمک به تعاملات آنلاین وارد عمل شوند. این موضوع کاملاً صحیح است، اما هر کاربری خود مسئول آن چیزی است که انتخاب کرده و این انتخاب بر امنیت فردی و امنیت شرکتی که در آن کار میکند، تأثیرگذار خواهد بود. بخش عمدهای از نقصهای دادهای و حملات سایبری از زمانی آغاز میشوند که کاربر روی لینکی که نباید کلیک میکرده، کلیک کرده، لپتاپ خود را در تاکسی جا گذاشته یا آن را به شبکه وای فای عمومی متصل کرده است.
راه حل: کرو در این باره گفته است: «آموزش، یادگیری و تکرار نکات آموزشی، رمز دوری جستن از چنین مشکلاتی است. اطمینان حاصل کنید کاربران شما بهترین اقدامات امنیتی را به طور روزانه انجام میدهند.» یادگیری بیشتر درباره مخاطرات امنیتی، باعث کم شدن تهدیدها میشود و کاربران میتوانند بهخوبی با تکنیکهای اولیه دفاعی در برابر پیوندهای ضعیف آشنا شوند.