مرور ۵ اصل اولیه امنیتی

همیشه در روزهای پایانی ماه نوامبر که به تعطیلات سال نوی میلادی نزدیک می شویم, سیل مطالب و اخبار درباره تهدیدهای جدید حوزه امنیت و فناوری اطلاعات روانه خروجی خبرگزاری ها و سایت های خبری می شود

همیشه در روزهای پایانی ماه نوامبر که به تعطیلات سال نوی میلادی نزدیک می شویم، سیل مطالب و اخبار درباره تهدیدهای جدید حوزه امنیت و فناوری اطلاعات روانه خروجی خبرگزاری ها و سایت های خبری می شود. اخباری درباره رخدادهای مهم سال و پیش بینی هایی در مورد وقایعی که در سال جدید روی خواهند داد. این دسته از اطلاعات طرفداران خود را دارد و به هر حال هر کسی باید از مسایلی که در حوزه کاری اش وجود دارد با خبر باشد، اما هیچ گاه نگذارید که ترس از اتفاقات فردا، جلوی تصمیمات مالی و سرمایه گذاری شما را بگیرد. اصول بنیادی هنوز به اندازه همیشه مهم هستند.

هر سال از شرکت های امنیتی گرفته تا فردی که یک نرم افزار ساده اما جدید طراحی کرده، تحلیل های خود را درباره روند حاکم در حوزه امنیت و فناوری اطلاعات ارائه می کنند و درباره آنچه که شرکت متبوع شان برای حفاظت از کاربران انجام داده یا اقداماتی که در آینده برنامه هایی برای آنها دارند، حرف می زنند. امسال هم مطابق گذشته، مطالبی درباره کلود کامپیوتینگ، مجازی سازی و شبکه های اجتماعی و این که چرا این فناوری ها بهترین (یا بدترین) دوستان ضد امنیتی ما هستند، سخن به میان آمد.

البته نباید زیاد هم ترسید، چون مواردی که در فهرست ما لحاظ شده اند به خودی خود آسیب رسان نیستند، اما توجه یا بی توجهی به آنها می تواند در نوع بودجه ریزی برنامه ریزان و مدیران آی تی تاثیرگذار باشد. البته نباید گمان کرد که خاطرنشان کردن این نکات ساده و ابتدایی به معنای عقب ماندن از رخدادهای روز فناوری دنیاست، زیرا هر چند ممکن است اغلب نکاتی که در ادامه خواهیم گفت نکته تازه ای برای شما نداشته باشند، اما بسیاری از شرکت ها هنوز به همین اصول اولیه و بنیادی توجه نمی کنند. باید توجه داشته باشید که خطر واقعی کجاست، کجا سرمایه گذاری می کنید و بودجه ای که برای کارها اختصاص می دهید در چه راهی صرف می شود.

● اصول ابتدایی را فراموش نکنید

برای درک این موضوع، یک شرکت را در نظر بگیرید که آنتی ویروس ندارد و از طرفی به کارمندان یا تمامی کاربرانش اجازه می دهد به سایت ها و شبکه های اجتماعی دسترسی پیدا کنند. بالاخره در این شرکت هم روزی فرا خواهد رسید که باید تصمیم گرفته شود، مشکلات پیش آمده به دلیل ظهور روندهای جدید و غیرقابل پیش بینی بوده یا نکاتی بنیادی و اصلی که پشت گوش انداخته اند.

گزارش شرکت های امنیتی به ما یادآور می شود که در حوزه شبکه های اجتماعی با احتیاط عمل کنیم. این گزارش ها سرنخ این را که چرا سایت های شبکه های اجتماعی برای کاربران خطرناکند، به دست می دهند، اما پس از این همه سال روبه رویی با بدافزارها، هیچ نکته ای درباره آنها نمی گویند. اما اگر شرکت متبوع شما هنوز استراتژی درستی در حوزه برنامه های ضد بدافزارها ندارد، باید بگوییم مشکلاتی که با آنها روبه رو هستید، جد ی تر از آن است که گمان می کنید. به عنوان نمونه فعالیت کاربران و کارمندان شما در توییتر، برای شرکتی که استراتژی ندارد، بسیار خطرناک است. به عبارت دیگر، هنگامی که روزهای تخصیص بودجه برای پروژه های جدید فرا می رسد، شما باید تمام گرایش های کهنه و نویی را که شرکت های بزرگ تحلیلگر امنیتی ارائه کرده اند در نظر بگیرید، حتی روندهایی که به نظر کم اهمیت می رسند.

اینجا صحبت از اصول اولیه و ابتدایی در حوزه امنیت است. شاید بد نباشد از خودتان بپرسید کدام یک از ما زمانی که حرف از اصول اساسی و بنیادی امنیتی به میان می آید سرجای خود قرار داریم؟ ترجیح می دهید از کدام موضع سخن بگویید؟ این که سایت شرکت شما به این خاطر هک شد که حداقل های امنیتی در آن رعایت نشده یا نادیده گرفته شده بود یا این که تهدیدهای جدید دنیای آی تی عامل وقوع این رخداد بودند؟ هک شدن سایت های بزرگ آمریکایی، متعلق به شبکه های اجتماعی یا حتی امنیتی این کشور، شاهدی بر این ادعاست که همیشه راهی برای نفوذ وجود دارد که باید آن را کشف کرد.

به هر حال فهرستی از نکات قابل توجه در این مقوله را تدوین کرده ایم که در ادامه می خوانید. این فهرست شامل ۵ نکته اصلی و قابل توجه در حوزه امنیت است که هرچند تازه نیستند، با این حال اغلب نادیده گرفته می شوند و صدمه های جبران ناپذیری را برای شرکت های فناوری به دنبال دارند.

۱) ارزیابی امنیتی شبکه

دلایل متعددی وجود دارد که ثابت می کند برای ارزیابی نقاط آسیب پذیر، آنچه در توان داشته اید یا حداکثر زمانی را که لازم بوده اختصاص نداده اید. در این راستا شاید لازم باشد که سیستم های مشکل دار را از مجموعه خارج کنید. در این راه احتمالا به اطلاعات فنی و خاصی نیاز پیدا می کنید تا سره را از ناسره تشخیص دهید. ارزیابی آسیب پذیری ها بهترین راهنما برای نظارت بر شرکت تحت مدیریت شماست. در این فرایند، بازخوردهایی که دریافت می کنید، نحوه عملکرد امنیتی شرکت را برای شما به نمایش می گذارند. تمام اطلاعات مربوط به کارایی یا ناکارآمدی فرایندهای مدیریت پچ یا وصله های امنیتی، سیاست هایی که درباره سیستم رمز عبور اتخاذ کرده اید یا فرایند های دیگر امنیتی مجموعه از طریق داده هایی که از نتایج ارزیابی آسیب پذیری به دست می آید، قابل بررسی و کنترل است. اگر تاکنون کاری را در این باره آغاز نکرده اید، باید به شما بگوییم که فناوری لازم برای این کار ارزان، کامل و آماده بهره برداری است.

۲) مدیریت دارایی ها

چند نفر از ما اطلاعات دقیقی درباره ریز جزئیات دارایی و دستگاه های شبکه تحت نظارت خود را دارد؟ از آنجا که شرکت ها سعی می کنند فناوری اطلاعات را به شکل ارگانیک در حوزه تحت اختیار خود رشد و توسعه بدهند، در شرایطی که لازم باشد فهرستی از سیاهه اموال و دستگاه های موجود در شبکه تهیه کنیم، با مسوولیتی رو به رو می شویم که جانکاه است و هزینه بر. حتی زمانی که گمان می کنیم اطلاعات درستی درباره مجموعه تحت مدیریت خود داریم، باز خللی در درک ما از محیط کاری مان وجود دارد. به عنوان مثال شاید یک مدیر دقیقا بداند وضعیت دسکتاپ های مجموعه چطور است، اما به طور قطع ایده ای درباره وضعیت ابزارها و برنامه های کاربردی آن ندارد. اگر پیش بینی های ما تا این جا درست از آب درآمده، به شما توصیه می کنیم دارایی های مجموعه را فهرست کرده و اطلاعات جامعی درباره آنها گردآوری کنید. به این ترتیب نقشه ای از وضعیت سیستم های موجود تهیه می شود که می توانید از این پس تغییرات احتمالی در آن را اعمال کنید و همیشه درباره شرایط مجموعه به روز باشید. درباره حجم کار هم نگرانی به دل راه ندهید، به مرور این کار را انجام دهید، آن هم به روش ارگانیک، دقیقا مثل روزهایی که شرکت تحت مدیریت تان را راه اندازی کردید و بعد به مرور آن را گسترش دادید.

۳) مانیتورینگ

ما همه از شرایط ایده آل وضعیت قوانین نظارتی آگاهیم: یعنی تعریف قواعدی که بر دسترسی به منابع شبکه و برنامه های کاربردی نظارت کنند. اما در عمل، زمانی که موضوع قوانین پیش می آید ما به این نتیجه می رسیم که حتما قوانین به راه هایی منجر می شوند که در آن موقعیت سیستم ها به شکلی پیچیده تعریف شده اند، یا تلاش های جانکاهی لازم است که کاربران را بر اساس قوانینی که برای خود ما هم مبهم و نامشخص هستند، تفکیک کنیم. اما ماجرا به این سختی هم نیست. یک بار که چنین قواعدی تعریف شوند، برای همیشه از شر چنین ماجراهایی خلاص می شوید.

زمانی که گردوخاک تلاش ما برای تعیین و تبیین قوانین فرو نشست، دیگر حتی بدون تخصیص فضایی به کاربران تازه یا اجازه دسترسی آنها به برنامه های کاربردی هم کارها به شکل خود به خودی انجام می شوند و روالی در این فرایند شکل می گیرد که بدون کمک مسوولان امنیتی مجموعه و با سازماندهی کمتر هم به کار خود ادامه می دهد. البته، طرحی که از قواعد تهیه می شود نباید زیاد پیچیده باشد. ابتدا با قوانین در سطوح بالا و قواعد کلی شروع کنید و بعد به مرور ریز قواعد و ضوابطی را تعریف کنید که باید به کار گرفته شوند. تا به حال قوانینی برای مجموعه تحت مدیریت خود تهیه نکرده اید و این باعث می شود که از آن طفره بروید؟ پس مسوولیت ایجاد قوانین و ضوابط را به کارشناسان و مسوولان هر قسمت واگذار کنید که مدام با برنامه های کاربردی بخش تحت نظارت شان سروکار دارند. هر چند وقت یک بار هم کارها و قوانین را با آن ها مرور کنید که مطمئن شوید همه چیز به درستی پیش می رود.

۴) نظارت و کنترل

شرکت های بزرگ و مراکز اطلاعاتی همیشه پردردسر هستند و افرادی که در این مجموعه ها وظیفه بررسی هشدارهای درون سیستمی (پیام هایی که سیستم ها و نرم افزارهای کاربردی در مورد به روزرسانی یا تنظیمات داخلی و هشدارهای امنیتی ارائه می کنند) را بر عهده دارند، فشار و حجم کار بسیار زیادی را تحمل می کنند. در سطح برنامه های کاربردی و سیستم های عامل، مسوولان هر بخش آن قدر گرفتارند و وظایف مختلف به آنها محول شده که مرور و بررسی فایل های تنظیمات و گزارش فعالیت های هر سیستم به طور مرتب امکان پذیر نیست. بنابراین چه کسی باید این کار را انجام دهد؟ در بسیاری از سازمان ها نظارت روزانه برنامه ها و تنظیمات نرم افزاری و مرور فعالیت های سیستم در حاشیه قرار می گیرد و چندان به آن توجه نمی شود. به خصوص این اتفاق در شرکت هایی زیاد رخ می دهد که از برنامه های ممیزی و نظارت استفاده می کنند و این قابلیت در سیستم آنها فعال شده است. برای این که همیشه از ایمنی سیستم های تحت نظارت تان مطمئن باشید، چیزهایی را مشخص کنید که باید به طور مداوم نظارت و بررسی شوند و دوره زمانی هم ویژه این کار در نظر بگیرید.

۵) طرح تداوم کسب و کار

فرآیند (Break Cloud Procedure) BCPیا طرح تداوم کسب و کار و جبران سوانح ، کار پردردسری است اما به هر حال باید با آن روبه رو شد. این فرآیند به مشارکت و همکاری تمام قسمت های سازمان نیاز دارد. از کارشناسان و متخصصان گروه های فرعی گرفته تا مدیران و روسای شرکت. به خاطر تعداد زیاد افرادی که در این فرایند دخیل اند، بیشتر اوقات زمانی برای مدل سازی رسمی و تفصیلی وجود ندارد، یا گاهی اوقات تحلیل های ما برای مدت های طولانی بدون به روزرسانی باقی می مانند. هرچند برنامه ریزی برای احتمالات کار بسیار دشواری است، اما تمام داده هایی که درباره برنامه های کاربردی، سیستم ها و فرایندهای تجاری جمع آوری کرده اید، برای مقاصد دیگر در برنامه های امنیتی نیز قابل استفاده هستند. برنامه هایی چون ارزیابی کلی سیستم، تحلیل ریسک و حتی فهرست دارایی و موجودی های سیستم. بنابراین شاید اکنون زمان خوبی باشد که اطلاعات با ارزش مربوط به سیستم را رفرش کرده و از نو جمع آوری کنید.

شاید بگویید پیش از این تمام این کارها را به درستی انجام داده اید، اما ممکن است هنگام مطالعه این سطور به ذهن تان رسیده باشد که برخی از مراحل را بهتر از این هم می توانستید انجام دهید.

توجه کنید که اصول پایه ای از اهمیت ویژه ای برخوردارند و قبل از پرداختن به موضوعات تازه، بهتر است اقدامات پیشین را اصلاح کنید.

نویسنده: شیما حکیمی