یک متخصص امنیت اطلاعات، باید آگاهی کافی از چگونگی محافظت سیستم ها در برابر تهدیدات داخلی و خارجی را داشته باشد.
اگر چه نادیده گرفتن برخی موارد امنیتی ممکن است به ظاهر خطری برای شرکت نداشته باشند ، اما همین موارد به ظاهر کوچک در شرکت ها و سازمان های مختلف می تواند اثرات متفاوتی را به همراه داشته باشد بطوریکه گاهی اوقات عواقب جدی و جبران ناپذیری را به همراه داشته و برخی اوقات مشکلات محسوسی را حداقل در نگاه اول ایجاد نمی کنند.
در این مقاله، شش مورد از اشتباهات رایج امنیتی متخصصان باتجربه آیتی و چگونگی اجتناب از آنها مورد بررسی قرار می گیرد.
1.عدم رعایت استانداردهای مربوط به دسترسی کاربران
باور این مسئله که هنوز سازمان هایی وجود دارند که مجوزهای دسترسی به کاربران را بصورت گروهی مدیریت نمی کنند و فاقد یک ساختار سلسله مراتبی در Active Directory (در چنین سیستم هایی باید به صورت دستی اکانت کاربران و مجوزهای لازم برای اشتراک گذاری فایل ها و دیگر منابع شبکه را ایجاد کنید) هستند، بسیار دشوار است. دسترسی بدین شیوه نه تنها بسیار وقت گیر و خسته کننده می باشد بلکه از لحاظ امنیتی نیز بسیار ضعیف می باشد.
همچنین با انتقال یک کاربر به یک بخش جدید، تمامی دسترسی های شخص مربوطه به فایل های مهم اشتراکی و دیگر دسترسی های مهم لغو می شوند و اگر سازمان مورد حمله یک ویروس کریپتو (crypto virus) و یا هر گونه بدافزار مخرب دیگری قرار گیرد، آلودگی به سرعت و شدت گسترش می یابد.
اطلاعات و دسترسی کارمندان سابق شرکت همچنان در داخل سیستم های شرکت وجود دارد و هکرها از طریق این حساب های به ظاهر غیرفعال و بی خطر می توانند به داخل شبکه سازمان مربوطه نفوذ کنند و اگر چنین حسابهایی دارای دسترسی های مدیریتی یا مجوزهای بالاتر باشند، به مراتب آسیب های احتمالی که به سازمان وارد می آید فاجعه وار خواهد بود.
2. رمز های عبور با درجه امنیتی پایین
استفاده از رمزهای عبور پیش فرض برای تجهیزات شبکه ای مانند روترها و سوئیچ ها از لحاظ امنیتی بسیار خطرناک است، زیرا برای یک هکر دسترسی به سیستمها و تجهیزات شبکه سازمان با استفاده از رمزهای عبور متداول مسلماً زمان زیادی به طول نخواهد انجامید.
بنابراین می توان با جایگزینی رمزهای عبور پیش فرض با کلمات عبور جدید و رعایت حداقل استاندارد های لازم امنیتی تا حدود زیادی از ورود کاربران غیرمجاز به سیستم ها جلوگیری نمود. آیا سازمان شما از روش lockout سیستم ها در محل استفاده می کند؟ در غیر اینصورت افرادی که در جستجوی بدست آوردن رمز عبور کاربران هستند زمان کافی برای پیدا کردن رمز عبور را خواهند داشت.
برای کاهش این خطر امنیتی، می توان تعداد تلاش های لازم برای ورود به حساب های کاربری قبل از قفل شدن حساب را کاهش دهید. برخی از متخصصان فناوری اطلاعات سه بار تلاش و برخی دیگر دفعات بیشتری را ترجیح می دهند. اگر شما از سیاست های lockout در محل استفاده نمی کنید، در اسرع وقت نسبت به پیاده سازی آن اقدام نمایید. به خاطر داشته باشید که همیشه نمیتوانید بر روی کاربران خود (end users) حساب باز کنید.
3. کنترل حساب کاربری UAC aka
جعبه دیالوگ آزار دهنده کنترل حساب کاربری(UAC) در ویندوز 7 ، 8 و 10 که بصورت پاپ آپ ظاهر می شود از لحاظ امنیتی بسیار خوب عمل می کند. این برنامه با ظاهر شدن بر روی صفحه در هنگام اجرای برنامه ها و درخواست تایید از طرف کاربر با پیام برنامه در حال تلاش برای ایجاد تغییراتی در سیستم است، اجرای برنامه های مخرب بر روی کامپیوتر شما را متوقف می کند.
اگر چه پنجره پاپ آپ UAC در هنگام ایجاد تغییر در سیستم کمی آزار دهنده می شود. اما به منظور افزایش امنیت سیستم بهتر است که UAC سیستم را غیر فعال نکنید.
4. عدم وجود سیستم گزارش دهی یا نظارتی
کارکرد روان سیستم ها نشان دهنده سلامت کامل سیستم ها نمی باشد. راه اندازی و تنظیم یک سیستم گزارش دهی اتوماتیک روزانه ، هفتگی و ماهانه برای آگاهی از عملکرد تجهیزات سازمان مانند فایروال ها، روترها، از اهمیت بالایی برخوردار است و کار شما را در عیب یابی آسانتر می نماید .
این گزارشها با ایجاد اخطارهای مشخص در زمان های معین، در صورت وجود هر گونه تلاش و یا فعالیت مشکوک که به منظور نفوذ به سیستم ها (مانند فعالیت بدافزار یا ویروس ها) از اینترفیس های ارتباطی طراحی شده است به شناسایی و مقابله با خطرهای امنیتی کمک می نمایند.
همچنین نظارت و پایش فعال سرورهای مهم و حیاتی شرکت ( واقع در داخل شبکه و یا در فضای ابری) نیز از اهمیت بسیار بالایی برخوردار می باشد. به عنوان یک ادمین، هرگز نباید آخرین فردی باشید که از آفلاین شدن سرورها مطلع می گردد.
با مانیتورینگ تجهیزات و بررسی هشدار های لازم در هنگام آفلاین شدن یا خرابی تجهیزات سازمان، روند عیب یابی از لحظه آغاز به کار دستگاه تا آفلاین شدن (یا خرابی) امکان پذیر می باشد. متخصصان آیتی می توانند با ایجاد راه حل های ابتکاری (رایگان و یا با پرداخت هزینه) و حتی کد نویسی در محیط های PowerShell یا Bash فرایند مونیتورینگ را در سازمان خود بهبود دهند.
5. نادیده گرفتن بهترین روش ها و پیشنهادات تطبیقی
در هنگام بررسی نحوه اجرای مسائل امنیتی اتخاذ شده در سازمان ها، تمامی مواردی لیست شده را بررسی کنید، سپس بررسی انجام شده را به دقت مورد بازبینی قرار دهید و پیشنهادات ذکر شده را هر چقدر هم که کوچک و بی اهمیت به نظر می رسند در کار خود لحاظ نمایید.
نادیده گرفتن پیشنهادات، به ویژه از طرف یک متخصص امنیت هر چقدر هم که کار خسته کننده ای باشد قابل قبول نمی باشد. اگر در مورد چیزی شک دارید، غرور خود را فراموش کرده و از ممیز، سوال خود را بپرسید. پیشنهادات و نمونه های موفق (best practices) به دلایل خاصی ارائه می شوند، بنابراین آنها را مورد بررسی قرار دهید. اگر به این پیشنهادات توجهی نشان ندهید به عنوان شخصی غیرمتعهد به سازمان خود شناخته می شوید(به ویژه اگر در بخش هایی قانونمند و منظمی نظیر امور مالی یا بهداشت و درمان فعالیت می کنید).
اطمینان یابید که یک شیوه امنیتی مستند برای بخش خود دارید که تمام جزئیات مورد نیاز مدیریتی شبکه را در برمی گیرد. اصول کلی امنیتی مانند حداقل الزامات مربوط به پیچیدگی رمز عبور، حداقل تلاش های لازم برای لاک اوت شدن و تنظیم زمانبندی لازم برای انقضای رمز عبور، همه بخشی از اصول پایه امنیتی هستند که باید در هر سازمان یا شرکتی رعایت شوند.
6. عدم سرمایه گذاری در بخش آموزش
مقابله با تهدیدات در صورت نداشتن مهارتهای لازم برای یک متخصص امنیت مسلماً بسیار دشوار می باشد، زیرا با پیچیده تر و پیشرفته تر شدن شیوه های هکینگ و حملات سایبری، یک متصص امنیت باید به آخرین راه کارهای امنیتی و بهروش ها برای مقابله با این تهدیدات مجهز باشد. اما متاسفانه اغلب اوقات با به تعویق انداختن آموزش یا عدم شرکت در دوره های آموزشی توانایی یک متخصص امنیت در زمینه مقابله با این تهدیدات به شدت کاهش می یابد. لذا اگر می خواهید همواره از مجرمان سایبری پیشی بگیرید تا توانایی لازم به منظور جلوگیری از این حملات بالقوه را داشته باشید مسلماً به آموزش نیاز دارید. اگر در دوره های آموزشی شرکت می کنید حتماً گواهینامه مورد نظر را اخذ نمایید زیرا گواهینامه ها نشان دهنده تعهد و علاقه شما به حوزه آیتی و به روز نگهداشتن مهارت های فرد برای پیشرفت در این حوزه می باشند .
از آنجایی که امنیت در بخش فناوری اطلاعات از نظر اهمیت در اولویت اول قرار دارد، تقاضای کاری قابل توجهی برای متخصصان این حوزه وجود دارد.
گواهینامه های مقدماتی مانند CompTIA Security+ و دستیاری مانند CCNA Cyber Ops از مدارک معتبر در زمینه امنیت به حساب می آیند. با وجود آموزش های فراوان در این حوزه، عدم استفاده از مزایای آن، نادیده گرفتن آموزش به دلیل درگیری های کاری و عدم هزینه برای آموزش در حوزه آیتی تصمیم درستی برای یک متخصص آیتی به حساب نمی آید.
کلام پایانی
هر شخصی در انجام کارهای خود دچار اشتباه می شود پس اگر هر کدام از اشتباهات لیست شده فوق را تا بحال انجام می دادید بجای سرزنش خود یا احساس تاسف سعی در بهبود عملکرد خود داشته باشید. اشتباه در بعضی موارد در هنگام کار با اطلاعات حساس و ارزشمند اجتناب ناپذیر است اما نکته مهم ، پی بردن به اشتباهات و جبران به موقع آن می باشد.
همچنان که در تلاش برای حفظ امنیت اطلاعات سازمان خود هستید، از موضوعات کوچک و به ظاهر بی اهمیت به سادگی رد نشوید زیرا در غیر اینصورت ناگزیر به صرف زمان زیاد و نگرانی های بی مورد در مورد چیزهای کوچک خواهید بود. اما همواره در نظر داشته باشید که بسیاری از این اشتباهات به آسانی قابل اجتناب می باشند، بنابراین سیاست های امنیتی خود را همواره مورد بازبینی قرار دهید تا اثرات مثبت آن را برای خود و سازمانتان در طول زمان مشاهده نمایید.