برآورد خطر در عرصه موبایل با چهار گام

مایکل دیویس, یکی از افراد با تجربه عرصه امنیت است که درباره برقراری امنیت در محیط موبایل در سایت اینفورمیشن ویک مقاله ای را نوشته است

مایکل دیویس، یکی از افراد با تجربه عرصه امنیت است که درباره برقراری امنیت در محیط موبایل در سایت اینفورمیشن‌ویک مقاله‌ای را نوشته است. آنچه می‌خوانید ترجمه‌ای از نکته‌های مطرح شده و چهار گامی است که برای ایجاد یک راهکار امنیتی برای برآورد خطر در محیط‌ها و شبکه‌هایی که با دستگاه‌های موبایل در تعامل هستند، پیشنهاد شده‌است.

نخستین گام در شیوه استاندارد تعیین خطر (چه در ارتباط با برنامه‌های آلوده موبایل و چه در ارتباط با آن دسته از مکان‌ها و کیوسک‌های بی‌سیمی که به داده‌ها دستبرد می‌زنند)، این است که از اوضاع برآورد درستی در دست داشته باشیم. می‌توان کار را با این پرسش آغاز کرد: برآورد ریسک در حیطه فناوری، حیطه‌ای که هفته‌ به هفته در حال تغییر است و حتی شاید در مالکیت ما نیز نباشد، چگونه باید صورت بپذیرد؟ بسیاری از شرکت‌ها که VMware نیز از تازه‌ترین نمونه‌هایش است، درصدد هستند به کارمندان اجازه دهند از تجهیزات همراه شخصی‌‌شان برای انجام کارهای سازمانی استفاده کنند.

این مقاله بیشتر بر امنیت داده‌های موبایل تمرکز کرده، نه بر دیگر گونه‌های متعدد ریسک از جمله شنود، دسترسی‌پذیری و پایداری پوشش ارتباطی و نه حتی استفاده از این دستگاه‌ها برای بازیابی داده‌ها پس از آسیب‌دیدنشان؛ هرچند همه این موارد در جای خود اهمیت دارند. درباره چگونگی نگه‌داری از داده‌های موبایل و کاهش تهدیدهای معطوف به آن، راه‌حل مشخص و ثابتی وجود ندارد، زیرا موبایل یک دستگاه به نسبت جدید به شمار می‌آید و کارایی یا ناکارآمدی شیوه‌های امنیتی مختلف درباره آن هنوز به‌طور کامل مشخص نشده‌است. در حال حاضر باید برآمده از شرایط داخلی هر محیط باشد. بر کارآمدی شیوه خاص حفاظتی در محیط‌‌تان و نیز بر میزان رعایت آن از سوی کاربران تمرکز کنید. پیش از آن‌که تهدید خاصی را در سناریوی امنیتی خود لحاظ کنید، خود را برای طرح پرسش‌های متعدد و آزمایش نظریه‌هایتان آماده کنید.

بهتر است برنامه خود را مبنی بر برآورد ریسک امنیت موبایل به چهار بخش تقسیم کنید: «دسترسی به داده‌های حساس، تهدیدهای مربوط به خود دستگاه، خطر مدیریت و در نهایت آگاهی.» برای هر یک از این بخش‌ها پرسش‌هایی را طرح کرده و آن‌ها را در گفت‌وگو با کارکنان خود مطرح کنید و بازخورد آن‌ها را به این پرسش‌ها مشاهده کنید. پرسش‌ها را کمی جامع‌تر طراحی کنید و به سؤال‌هایی با پاسخ بله/‌خیر بسنده نکنید. به عنوان مثال، می‌توانید برای پرسشی مانند «چقدر به فرزندتان اجازه می‌دهید، برنامه دانلود کند؟» پاسخی با دامنه ۱ تا ۵ در نظر بگیرید که در آن ۱ نشانه «هرگز» و ۵ نشانه «خیلی‌وقت‌ها» باشد. یکی از روش‌هایی که من از آن استفاده کردم، شیوه «۱۱ سؤالی» است. در برخورد با کارکنان‌ از آن‌ها بپرسید که اگر به جای شما مسئولیت امنیت سازمان متبوع‌ را بر‌عهده داشتند، چه سؤال‌هایی می‌پرسیدند. طرح پنج یا شش سؤال اول ساده‌تر است، اما بعد از آن کار دشوارتر می‌شود، در عوض برای شما جالب خواهد بود، چون متوجه مواردی خواهید شد که در عرصه امنیت موبایل از نظرتان پنهان مانده‌بود. این پرسش‌ها را مستند‌سازی کنید و در بقیه فرآیند برآورد خطر از آن اطلاعات بهره ببرید.

۱- دسترسی به داده‌های حساس

بیشترین نگرانی درباره دستگاه‌های موبایل این است که شاید بتوانند به داده‌های حساس دسترسی پیدا کرده و آن‌ها را به بیرون نشت دهند. اما آیا این دستگا‌ه‌ها‌ در هر محیطی چنین قابلیتی دارند؟ به عنوان مثال، یکی از شرکت‌های مالی‌ای که ما میزان خطر را برایشان برآورد کردیم، نمی‌دانست که چه داده‌هایی را باید جزو داده‌های حساس به شمار‌آورد، سپس دریافتیم که نرم‌افزار این شرکت تنها روی ویندوز ‌اجرا می‌شود و در نتیجه دستگاه‌های موبایل نمی‌توانند به داده‌های آن دسترسی پیدا کنند. علاوه بر این، از میان چهارصد کارمند این شرکت فقط شش نفر مجوز دسترسی به این داده‌ها را داشتند. در نتیجه، خطر واقعی بیشتر متوجه گزارش‌های حاوی داده‌های مالی‌ای می‌شد که به این سو و آن سو ایمیل می‌شوند.

کار مستندسازی اطلاعات حساسی را که یک دستگاه موبایل به آن دسترسی دارد با تعیین روند چرخش داده‌ها بر‌اساس دسته‌بندی‌ها شروع‌کنید. همچنین مشخص کنید که چه کسی به چه چیزی و در چه زمانی دسترسی دارد. در سازمان‌های بزرگ‌تر، چرخه‌های کاری مستندسازی‌شده‌ قابل بازبینی را بررسی کنید. هرجایی که داده‌های حساس دست‌به‌دست می‌شوند (چه به‌وسیله عامل انسانی و چه توسط سیستم) با اشخاص گیرنده و فرستنده آن داده‌ها صحبت کنید تا مشخص شود آن داده‌ها چگونه به دستگاه‌های موبایل منتقل می‌شوند. تجربه ما نشان می‌دهد، بیشتر دستگاه‌های موبایل به داده‌های حساس دسترسی مستقیمی ندارند، بلکه دسترسی آن‌ها به‌صورت جانبی (مثال ایمیل در بالا) است و به‌طور معمول سیستم‌های امنیتی موجود مانند جلوگیری از گم‌شدن اطلاعات، مدیریت هویت و کنترل دسترسی برای برقراری امنیت در این سطح کافی کافی هستند.

۲- تهدید دستگاه

اهمیت تهدیدهای مربوط به دستگاه موبایل را می‌توان با توجه به آماری که در رسانه‌ها منتشر می‌شود، دریافت: تعداد بدافزارهای موبایلی دویست درصد افزایش داشته، این در حالی است که کمتر از پنجاه درصد کاربران موبایل روی دستگاه‌های موبایل‌شان رمزعبور می‌گذارند. من در گزارشی با عنوان «پنج تهدید امنیتی بزرگ در سال ۲۰۱۲» نیز توصیه‌کردم که درباره ویروس‌ها و تروجان‌های موبایلی‌کمتر نگران‌باشید و در عوض نسبت به مواردی مانند رمزنگاری داده‌ها، امن‌سازی دستگاه در مقابله با سرقت و ارتقای فناوری امنیتی آن حساسیت بیشتری داشته باشید. در بیشتر مواقع وقتی سازوکارهای مربوط به مدیریت دستگاه‌های موبایل را تحلیل می‌کنیم، می‌بینیم که کاربران از امکان روی دادن برخی موارد شگفت‌زده می‌شوند؛ به عنوان مثال، متعجب می‌شوند وقتی می‌بینند بعضی از دستگاه‌ها نرم‌افزار مدیریتی خود را موسوم به MDM (سرنام Mobile Device Management) دور می‌زنند و به طور مستقیم وارد برنامه Active Sync می‌شوند؛ همچنین بهره‌گیری دستگاه از استانداردهای ایمیل IMAP و POP۳ یا امکان دسترسی آن به شبکه از طریق VPN بی‌آن‌که کاربران متوجه اتصال دستگاه به شبکه شده‌باشند باعث شگفتی‌ آن‌ها می‌شود. نمی‌توان پیش‌بینی کرد که تهدید بعدی در این عرصه چه چیزی خواهد بود. پس دقت داشته باشید تا از بیشترین سدهای امنیتی روی بیشترین گونه‌های دستگاه‌های موبایل و پلتفرم‌هایشان بهره ببرید.

۳- خطر مدیریت

برقراری امنیت در موبایل کار دشواری است، چون روزانه هزاران دستگاه موبایل وارد سازمان‌شده، گم یا سرقت می‌شود یا برنامه‌های داخلی و کاربردی آن‌ها به‌روز می‌شود. همواره باید آماده باشید تا با این تغییرات فزاینده دست و پنجه نرم‌ کنید و در نتیجه باید سازوکاری داشته باشید تا به سرعت تحلیل کنید که چه دستگا‌ه‌های موبایلی به داده‌هایتان دسترسی دارند و نیز بتوانید سیستم‌عامل‌ها و تجهیزات جدید را تحت نظر داشته باشید. آیا فرد یا گروهی را دارید که کارشان به‌دست آوردن اطلاعات درباره تازه‌ترین بدافزارها و برآورد آسیب‌پذیری‌ پلتفرم‌های جدید باشد؟ به عنوان مثال، روزی که کیندل فایر شرکت آمازون وارد بازار شد، بلافاصله متوجه شدیم که کاربران برای دسترسی به ایمیل‌های شرکت و داده‌های شبکه‌ از آن استفاده کردند. اگر ناگهان بیست درصد اتصال‌ها به شبکه‌تان با یک دستگاه موبایل جدید با نسخه‌ای تازه از آندروئید که تست‌اش نکرده‌اید، انجام شود، آیا آمادگی پذیرش شرایط را خواهید داشت؟ علاوه بر این، گفته شد که تعداد زیادی از دستگاه‌های موبایل یا گم می‌شوند یا به سرقت می‌روند. آیا راهکاری دارید که داده‌های موجود در آن‌ها بلافاصله از راه‌دور پاک شوند؟

فرآیندهایی را که در صورت روبه‌رو شدن با بدافزارها و مشکلات مربوط به کارکنان به کار خواهید گرفت، تحلیل کنید. تا چه اندازه قادر خواهید بود، چنین فرآیندهایی را به‌صورت هماهنگ اجرا کنید؟ صادقانه بیاندیشید که آیا منابع‌تان در جای درستی قرار گرفته‌اند؟ آیا برای اعمال سیاست‌های امنیتی موبایل، راهکاری را برای ملزم کردن افراد برای استفاده از آن در نظر‌گرفته‌اید؟

۴- آگاهی

نخستین و آخرین خط دفاعی برای دستگاه‌های موبایل، خود کاربران هستند. کاربران به مثابه مدیران این دستگاه هستند و می‌توانند برنامه‌هایی را نصب کرده و برنامه‌هایی را حذف کنند، می‌توانند تنظیمات را تغییر‌دهند و از داده‌ها پشتیبان بگیرند یا نگیرند. تا چه اندازه درباره تهدیدها به آن‌ها اطلاع‌رسانی کرده‌اید؟ دفترچه آموزشی که در بدو استخدام به آن‌ها می‌دهید، کافی نیست. آن‌ها باید به‌طور دقیق بدانند که اگر در مورد موبایل‌شان متوجه موضوع مشکوکی شدند، چه کاری باید انجام دهند. آموزش دادن و آگاهی درباره امنیت موبایل به‌طور فراگیر، در کاهش تهدید بسیار مؤثر است.

به باور من این یکی از قوی‌ترین کنترل‌های امنیتی‌است که جدا از فناوری MDM می‌توان به‌کار گرفت، اما بسیاری از شرکت‌هایی که با آن‌ها کار می‌کنم آمادگی لازم را ندارند که به‌طور پیوسته با کارکنان خود درباره این تهدیدها گفت‌وگو کنند. برآورد خطر امنیت موبایل چشم‌اندازهای جالب‌توجهی را ارائه می‌دهد تا سازمان مورد نظر بداند در کدام بخش‌ها و در چه مکانیسم‌های امنیتی‌ای موفق نخواهد بود یا چه کنترل‌هایی در کاهش تهدید کارآمدتر خواهند بود. اگر درباره کاهش خطر ایده‌ای داشتید، از آزمون و خطا نهراسید. کاهش خطر و تجربه درست در کار با دستگاه‌های موبایل از اساسی‌ترین مواردی است که در یک برنامه امنیتی موبایل باید مورد توجه قرار گیرد.

علی حسینی

کارشناس مرکز پژوهش های غلات

منابع

۱-روزنامه دنیای اقتصاد، تاریخ ۱۲/۶/۸۷.

۲-سلیمانی سه دهی، مجتبی. زنجیره تامین صنعت قند و شکر در ایران چاپ اول. موسسه مطالعات و پژوهشهای بازرگانی، ۱۳۸۹.

۳-http://www.isfs.ir

۴-http://gtc-portal.com

۵-http://tarh.majlis.ir

۶-http:// wordfood.ir

۷- http://www.shabanews.ir