خطاهای انسانی و تهدید امنیت اطلاعات سازمان ها

1. پسوردهای ساده
استفاده از پسورد، یکی از ساده‌ترین و متداول‌ترین راهکارهای امنیتی است. حال، استفاده از پسوردی قوی که حاوی عبارات مشخص نباشد (حروف آن به صورت تصادفی تعیین شود)، یک عامل بازدارندۀ قوی در برابر حملات احتمالی است.

متاسفانه اکثر کارمندان نسبت به این مسئله بی‌توجه هستند. اغلب آن‌ها پسورد سیستم‌های شرکت را به همان صورت که تحویل گرفته‌اند و بدون تغییر باقی می‌گذارند. اگر هم این کار را انجام دهند، معمولا از عباراتی که به سادگی قابل پیش‌بینی و حدس زدن هستند، مانند 123456 یا خود واژۀ Password استفاده می‌کنند. برای کسی که قصد یک حملۀ سایبری دارد، کار به چند ثانیه هم نمی‌رسد تا به چنین پسوردی پی‌ببرد! حال تصور کنید که این سازمان برای دسترسی به سیستم‌هایش تنها یک مرحله پسورد در نظر گرفته باشد؛ یا این که آن کارمند از یک پسورد برای چندین سیستم استفاده کرده باشد!

برای جلوگیری از بروز این مشکلات می‌توان از سیستم‌هایی با پسورد دو مرحله‌ای استفاده کرد.

2. پرینت گرفتن و نوشتن اطلاعات مهم
به دلیل این که برنامه‌های مختلف، پسوردهای مختلفی لازم دارند، بسیاری از کارمندان آن‌ها را روی تکه‌های کوچک کاغذ و تخته‌های وایت‌بورد می‌نویسند. بعضی‌ها حتی از پسوردهایشان پرینت می‌گیرند! برای دفاتر کوچکی که رفت و آمد کمی در آن‌ها صورت می‌گیرد شاید این مسائل باعث بروز مشکل نشوند ولی در مراکز شلوغ و پر رفت و آمد، تحت نظر داشتن تمام کارکنان، مهمانان و کسانی که در اوقات خارج از ساعات کاری به شرکت مراجعه می‌کنند بسیار دشوار است. نتیجه این که پسورد هیچ‌گاه نباید نوشته شود یا از آن پرینت گرفته شود و همچنین تابلوهای وایت‌بوردی که اطلاعات حساس و مهم شرکت روی آن‌ها نوشته می‌شود، باید به سرعت پاک شوند.

این موارد نه تنها برای پسوردها، بلکه برای تمام اطلاعات مهم شرکتی، اعم از اطلاعات شخصی موکلان یا پرداخت‌های مشتریان، باید رعایت شوند. اگر لازم شد که از اطلاعات خاصی پرینت بگیرید یا آن را روی کاغذ بنویسید، مطمئن شوید که آن را در جایی امن مانند گاوصندوق قرار دهید.

3. ناآگاهی از مهندسی اجتماعی
مهندسی اجتماعی (به انگلیسی Social Engineering) یعنی فریب دادن افراد با استفاده از توانایی‌های اجتماعی آن‌ها تا در نهایت فرد قربانی، اطلاعات مهمی را در اختیار مهاجم قرار دهد. شاید فکر کنید که چنین چیزی مختص فیلم‌های ژانر جاسوسی است؛ ولی این موضوع امروزه به یکی از بزرگترین مشکلات شرکت‌ها و کسب و کارهای مطرح تبدیل شده است. مهاجمان به راحتی می‌توانند با تکنیک‌های سادۀ فریب دادن کارمندان، به اطلاعات مهم و حیاتی شرکت دست پیدا کنند. استراتژی‌های آنان شامل کسب اطلاعات از حساب کارمندان در شبکه‌های اجتماعی، تماس‌های تلفنی که در آن‌ها فرد مهاجم ادعا می‌کند که یک همکار، موکل یا خریدار است و در برخی موارد پیشنهادهای مستقیمی به کارمندان شرکت می‌شود که آن‌ها را متقاعد می‌کند تا اطلاعات مهم شرکت را لو بدهند. با افزایش سطح هوشیاری کارمندان، می‌توان با این معضل مقابله کرد.

4. فیشینگ
علاقمندان به زبان انگلیسی حتما متوجه شباهت این واژه با واژۀ Fishing -به معنای ماهیگیری- شده‌اند؛ دلیل آن هم این است که در Phishing،دقیقا مانند ماهیگیری، فردی خود را به عنوان یک شخص قابل اعتماد به سایر کارمندان شرکت معرفی می‌کند. سپس هنگامی که اعتماد همگان را جلب کرد اقدام به شکار می‌کند؛ که شکار در این مورد دسترسی به پسوردها، کارت‌های اعتباری و ... است.

Phishing در بسیاری موارد، شبیه به مهندسی اجتماعی است. هر دو شامل مواردی مانند استفاده از یک سرویس آشنای ایمیل که برای کارمندان قابل اعتماد است، یا ساخت صفحات تقلبی در وب و تشویق کارمندان به استفاده از نام کاربری و پسورد خود می‌شوند. به دلیل شباهت این دو مورد (فیشینگ و مهندسی اجتماعی)، راه‌کار مقابله با آن‌ها نیز شبیه به هم است. افزایش سطح هوشیاری و آگاهی از بهترین راه‌های مقابله با این دو مورد است. از راه‌های دیگر مقابله، می‌توان به آموزش دادن به کارمندان اشاره کرد. آموزش‌هایی مانند باز کردن و مشاهدۀ لینک‌ها و پیوست‌هایی که از یک منبع شناخته شده و قابل اعتماد ارسال شده‌اند و چک کردن آدرس صفحات وب، پیش از این که نام کاربری و پسورد خود را وارد کنند.

5. دادن دسترسی بیش از حد به تعداد زیادی از کارکنان
واضح است که هرچقدر کارکنان کمتری به اطلاعات مهم شرکت دسترسی داشته باشند، احتمال درز اطلاعات به بیرون کمتر می‌شود. هرچند این کار باعث می‌شود که تعداد زیادی از کارمندان برای هر مرحله از کارشان نیاز به تاییدیه داشته باشند و صدور مجوز برای هر کار آن‌ها چیزی دشوار به نظر می رسد؛ اما با این کار، با دقت بیشتری می توان عملکرد آن‌ها را زیر نظر داشت و در نتیجه، تیم امنیتی شرکت می‌تواند خیلی ساده‌تر رفت و آمدها و دسترسی‌ها را کنترل کند که این موضوع برای جلوگیری از نفوذ به اطلاعات شرکت، بسیار حائز اهمیت است.

6. خاموش کردن سیستم‌های امنیتی
از نظر بعضی کارمندان، استفاده از سیستمهای امنیتی کاری دشوار است. در این موقع اگر دسترسی سطح بالا به این کارمندان داده شود، ممکن است آن ها یک بخش از سیستم امنیتی را به کلی قطع کنند تا دسترسی به اطلاعاتی که با آن‌ها سروکار دارند آسان‌تر شود که این موضوع پیامدهای جبران‌ناپذیری در پی خواهد داشت. در نتیجه، علاوه بر محدود کردن دسترسی کارمندان، باید آموزش‌هایی دربارۀ فواید و اهمیت استفاده از سیستم‌های امنیتی به آن‌ها داده شود (آموزش‌های رایگان بسیاری در این رابطه در اینترنت موجود است.)

7. استفاده از نرم‌افزارهای شخصی که مورد تایید شرکت نیستند (Shadow IT)
روز به روز بر تعداد نرم‌افزارهایی که راندمان کارمان را بالا می‌برند افزوده می‌شود. به همین دلیل، برخی از کارمندان ترجیح می‌دهند از برنامه‌های شخصی که مورد تایید شرکت نیستند، استفاده کنند. متخصصان IT به این معضل Shadow IT می‌گویند و در این در حالی است که خیلی از این موارد نه تنها بی‌خطر، بلکه خیرخواهانه به نظر می‌رسند؛ مانند آپلود کردن اطلاعات برروی فضای شخصی کلود، اما در اصل این کار باعث به خطر افتادن اطلاعات می‌شود و این موضوع کنترل عملکرد کارمندان را برای تیم‌های امنیتی بسیار دشوار می‌کند. برای این که مطمئن شوید کارمندان شما از برنامه‌هایی که مورد تاییدتان نیستند استفاده نمی کنند، به نیازهای آن‌ها توجه کنید تا برنامه‌ای مطمئن که متخصصان IT آن‌ها را تایید می‌کنند را برایشان فراهم کنید.

8. استفاده از دستگاه‌هایی با امنیت پایین
طبیعی است که یک شرکت نمی‌تواند امنیت تمام دستگاه‌های شخصی کارکنانش را تامین کند. سالانه تعداد دستگاه‌های شخصی که در ادارات و شرکت‌ها استفاده می‌شوند افزایش می‌یابد و کارکنان از این دستگاه‌های شخصی برای ارسال و دریافت مدارک بسیار مهم استفاده می‌کنند. بنابراین شاهد این هستیم که کارکنان، دستگاه‌های شخصی خود را که حاوی تعداد زیادی اپلیکیشن‌های متفرقه و غیرسازمانی است، به شبکۀ اطلاعاتی شرکت ،که حاوی اطلاعات بسیار مهمی است، وصل می‌کنند. این اپلیکیشن‌ها باعث می‌شوند که کارکنان، به طور ناخواسته، شرکت را در معرض خطراتی بزرگ قرار دهند. خوش‌بختانه با افزایش آگاهی عمومی در رابطه با امنیت دستگاه‌های شخصی و وضع قوانین مشخص در این رابطه، می‌توان از بروز مشکلات امنیتی از این دست جلوگیری کرد.

9. امنیت کم تلفن‌های همراه
هر دستگاهی با قابلیت این که بتواند از راه دور به شبکه‌های شرکتی دسترسی داشته باشد، می‌تواند باعث افزایش آسیب‌پذیری شبکۀ اطلاعات شرکت شود. اقدامی که شرکت‌ها می‌توانند در این رابطه انجام دهند این است که تمام ارتباطات و دسترسی‌هایی را که نهایتا به اطلاعات مهم شرکت منتهی می‌شوند به صورت اصطلاحا End-to-End رمزگذاری کنند؛ به این معنا که گفتگوها و پیام‌ها تنها میان دو شخص و به صورت رمزگذاری شده رد و بدل می شوند که در نتیجه دسترسی به این مکالمات و پیام‌ها برای کسی به جز آن دو نفر غیرممکن می‌شود. همچنین استفاده از امکانات امنیتی خیلی ساده و پیش پاافتاده مانند پین‌های امنیتی می‌تواند باعث افزایش امنیت اطلاعات در برابر سرقت یا از دست دادن آن اطلاعات شود.

برای دریافت مقالات و اخبار بیشتر در رابطه با موضوع امنیت اطلاعات به صفحه اموزش امنیت اطلاعات سایت seosec.ir مراجعه نمایید

پایداری بالادر سرویس‌های اینترنتی

پایداری بالا ( High Availability ) در سرویس‌های اینترنتی

با افزایش تقاضا برای زیرساخت‌های قابل اطمینان و کارامد جهت سرویس‌دهی به سیستم‌های حساس در حوزه اینترنت، مفاهیم ارتقاپذیری سخت‌افزاری ( Scalability ) و پایداری بالا ( High Availability ) بیش از گذشته مورد توجه قرار گرفته‌اند و شرکت‌های ارائه‌کننده زیرساخت فناوری اطلاعات ( IT ) در تلاش هستند که هر چه بیشتر کیفیت خدمات ارائه شده خود را در این زمینه افزایش دهند. از تنظیم و کنترل افزایش زمان لود سیستم گرفته، تا کاهش زمان قطعی ( Downtime ) و کاهش خطر خرابی به دلیل ارائه خدمات از یک نقطه، مواردی هستند که در این مفاهیم دارای اهمیت می‌باشند. این اهمیت در مورد سیستم‌های دارای تراکنش‌های زیاد یا دارای حساسیت‌های بالا چندین برابر می‌گردد، بنابراین در نخستین گام مشورت با متخصصان این بخش از الزامات کار می‌باشد.

در ادامه معنی اصلی پایداری بالا و تاثیر آن بر افزایش اطمینان‌پذیری زیرساخت توضیح داده خواهد شد.

منظور از پایداری بالا و اندازه‌گیری آن

در حوزه خدمات اینترنتی، اصطلاح پایداری به دوره‌ای که سرویس فعال می باشد، اطلاق می‌گردد، مانند زمان مورد نیاز برای پاسخ‌دهی به درخواست‌های ارسال شده از سوی کاربر. پایداری بالا میزان کیفیت کارکرد عملیاتی سیستم یا مؤلفه‌های آن در این زمان است.

پایداری بیشتر به صورت درصدی که از زمان عملکرد مطلوب سیستم بیان می‌شود. برای نمونه مقدار 99% نشان‌دهنده این است که سیستم تنها در 1% دوره زمانی در دسترس نبوده است. در یک بازه یکساله این میزان برابر 3.65 روز می باشد.

در واقع پایداری بالا به عنوان یک مکانیزم شناسایی و پیشگیری از خرابی پاسخ‌دهی برای زیرساخت عمل می‌کند. روش کارکرد آن معمولا ساده بوده و پیاده‌سازی آن از طریق برخی نرم‌افزارهای ویژه این کار و تنظیم آنها انجام می‌پذیرد.

اهمیت پایداری بالا

زمانیکه شما یک سیستم بزرگ را راه‌اندازی می‌نمایید، کمینه کردن میزان قطعی و وقفه‌های سرویس‌دهی از اولویت‌های اصلی شما می‌باشد. صرف نظر از اینکه چه میزان سیستم و نرم‌افزار شما قابل اطمینان است، باز هم مشکلی می‌تواند سبب اختلال در برنامه یا سرور شما شود.

پیاده‌سازی و توجه به پایداری بالا برای زیرساخت می‌تواند یک راهبرد مناسب برای کاهش تاثیر اتفاقات ناخواسته باشد. سیستم‌های با پایداری بالا می‌توانند به صورت خودکار در این زمان‌ها درخواست‌های ارسالی به سرور را پوشش داده و پشتیبانی کنند.

پایداری بالا با چه چیزی ایجاد می‌شود؟

یکی از اهداف پایداری بالا کاهش خطر خرابی به دلیل ارائه خدمات از یک نقطه می‌باشد. ارائه خدمات تنها از یک موقعیت می‌تواند به دلیل در دسترس نبود، سبب ایجاد وقفه در سرویس‌دهی سیستم شود. هر مؤلفه‌ای از سیستم شما که لازم است عملکرد مناسبی داشته باشد ولی تنها از یک بخش ارائه می‌شود می‌تواند با خطر خرابی به دلیل ارائه خدمات از یک نقطه مواجه شود.

برای جلوگیری از این مشکل، هر لایه از سیستم شما باید برای افزونگی ( Redundancy ) آماده شده باشد. برای نمونه تصور کنید شما دارای زیرساختی شامل دو وب‌سرور هستید. در حالت عادی ترافیک کاربران بین سرورها تقسیم می‌شود و در صورتیکه یکی از سرورها با مشکل مواجه گردد، ترافیک به سرور سالم تغییر مسیر داده خواهد شد.

در این مثال خطر خرابی به دلیل ارائه خدمات از یک نقطه در لایه وب‌سرور، به دلایل زیر مشاهده نمی‌شود:

مولفه‌های افزونه ( Redundant ) برای یک بخش در نظر گرفته شده‌اند
مکانیزمی بر روی این لایه (وب‌سرورها) اندیشیده شده است (متعادل کننده بار ترافیکی یا load balancer) که توانایی شناسایی خطا در مؤلفه‌ها و ایجاد ساز و کاری جهت جلوگیری وقفه در آن را دارد
اما چه اتفاقی خواهد افتاد اگر متعادل کننده بار ترافیکی با اختلال روبرو شود؟

در این سناریور خود متعادل کننده بار ترافیکی در معرض خطر خرابی به دلیل ارائه خدمات از یک نقطه می‌باشد. حتی در صورتیکه متعادل کننده دیگری نیز اضافه شود، باز هم مشخص نیست در لایه بالایی آن با این مشکل مواجه نگردد. بنابراین افزونگی به تنهایی نمی‌تواند تضمینی برای پایداری بالا باشد.

مؤلفه‌های سیستم که باید در پایداری بالا در نظر گرفته شود

چندین مؤلفه باید به دقت برای پایداری بالا در نظر گرفته شوند، افزون بر پیاده‌سازی نرم‌افزار، پایداری بالا وابسته به فاکتورهای زیر است:

محیط: در صورتیکه همه سرورهای شما در یک موقعیت جغرافیایی قرار داشته باشند، عوامل محیطی مانند زمین‌لرزه یا بهمن می‌توانند تمام سیستم را مختل نمایند. داشتن سرورهای افزوده در موقعیت‌ها و دیتاسنترها ( Datacenter ) گوناگون می‌تواند سبب افزایش اطمینان‌پذیری سرویس شود.
سخت‌افزار: زیرساخت سخت‌افزاری سرورها می‌باید دارای امکان ارتقاپذیری و پیاده‌سازی سیستم‌های افزوده برای مواجه با حالاتی که خرابی سخت‌افزاری روی می‌دهد، باشد.
نرم‌افزار: تمام لایه‌های نرم‌افزاری از جمله سیستم‌عامل و خود نرم‌افزار باید برای حل خطاهای غیرمنتظره آماده شده باشند. برای نمونه قابلیت ریستارت سرور و دسترسی از طریق روش‌های جایگزین.
داده‌ها: از بین رفتن داده‌ها و نااستواری آنها می‌تواند سبب ایجاد چندین مشکل شود. این مورد تنها به مشکلات ناشی از خرابی هارد دیسک‌ها محدود نمی‌شود. در پایداری بالا باید برای امنیت داده در زمان بروز مشکلات اندیشه شده باشد، برای نمونه نگهداری بکاپ‌ها در هارد دیسک دیگر.
شبکه: قطعی برنامه‌ریزی نشده شبکه می‌تواند با خطر خرابی به دلیل ارائه خدمات از یک نقطه مواجه شود. بسیار مهم است که راهبری برای شبکه افزونه برای این منظور در نظر گرفته شده باشد. برای نمونه استفاده از شبکه انتقال محتوا یا سی دی ان ( Content Delivery Network ؛ به اختصار CDN ).
پایداری بالا زیرمجموعه‌ای از مهندسی اطمینان‌پذیری می‌باشد که بر تضمین عملکرد کارا و در سطح بالای سیستم و مؤلفه‌های آن در یک بازه زمانی مشخص متمرکز شده است. در نگاه نخست پیاده‌سازی آن بسیار پیچیده به نظر می‌رسد، با این حال، پیاده‌سازی آن مزیت‌ها و ویژگی‌های بسیاری برای سیستمی که نیاز به افزایش اطمینان‌پذیری دارد به وجود می‌آورد.

برای دریافت اخبار و مقالات بیشتر درباره امنیت شبکه و هک میتوانید با مراجعه به صفحه اموزش امنیت شبکه و هک از مطالب وب سایت seosec استفاده کنید