چالش های تفکیک فیزیکی شبکه ها(جداسازی اینترنت از شبکه داخلی!)

چالش های تفکیک فیزیکی شبکه ها

چالش های تفکیک فیزیکی شبکه ها

چالش های تفکیک فیزیکی شبکه ها(جداسازی اینترنت از شبکه داخلی!)

راه های افزایش امنیت شبکه و اطلاعات سازمان بدون تفکیک شبکه

در اکثر سازمان های مستعد خطر، با دو چیز متفاوت مواجه هستیم:

  1. سازمان هایی که ابزارهای مناسب ندارند.
  2. سازمان هایی که ابزارهای مناسب دارد اما یا درست پیاده سازی نکرده اند یا درست استفاده نمی کنند.

هر دوی این سازمان ها با خطرات امنیتی فراوانی مواجه می شوند.

موضوع خطرات امنیتی یک بحث است و ارایه راهکارهای غیر حرفه ای یک بحث دیگر! گاهاً راهکارهایی برای رفع خطرات امنیتی ارایه می شود که کاملاً نشان از وجود رویه های غلط کارشناسی و تصمیم گیری های نادرست مدیریتی در فناوری اطلاعات و ارتباطات است.

دنیای امنیت سایبری با سرعت زیاد پیشرفت می کند و در عین حال پیشرفت های فناوری ها به طور فزاینده ای به هکرها و مجرمان سایبری هم برای سوء استفاده از نقاط ضعف امنیتی کمک می کند به عبارتی دزد و پلیس هم راستای هم پیشرفت می کنند. نمودار ثابت افزایش حملات سایبری یک نگرانی عمده برای کاربران اینترنت و سازمان ها هست و باید باشد!

اخیراً در ایران هم به دلیل برخی بدافزارها، سبب جداسازی شبکه داخلی از اینترنت، توسط واحد امنیت فناوری اطلاعات هر سازمانی شده است که خود این موضوع علاوه بر ایجاد مشکلات فراوان هزینه های بسیاری زیادی برای تفکیک فیزیکی دو شبکه اینترانت و اینترنت در بر داشته در بسیاری از سازمان های دولتی و خصولتی! به شدت این موضوع با هزینه های خرید سخت افزار مجزا برای دسترسی به اینترنت و سخت افزار مجزا سبب تحمیل میلیون ها تومان هزینه صرف یک ایده امنیتی ساده شده که از پایه اشتباه است:

چالش های تفکیک فیزیکی شبکه ها :

  1. خرید هنگفت و تجهیز مجدد سازمان برای دو نوع دسترسی به دو شبکه
  2. از بین رفتن نظام آراستگی ۵S با توجه به ازدحام ایستگاه های کاری میزهای کارکنان
  3. افزایش نرخ خرابی ها به واسطه افزایش حجم تجهیزات
  4. افزایش تعداد درخواست های کاربران برای استفاده از خدمات هر دو شبکه
  5. کاهش شدید توانایی امنیتی کارشناسان و عدم استفاده از افراد ماهر در امنیت به واسطه ساده سازی روش امنیتی
  6. افزایش تعدد و تکثر کارشناسان پشتیبانی با توجه به افزایش حجم کار
  7. افزایش زمان رسیدگی به درخواست ها با توجه به محدودیت های فیزیکی اعمال شده

اما متاسفانه علیرغم وجود چالش های فوق قریب ۸۰% شبکه های سازمانی بطور فیزیکی از هم جدا شده! که مهمترین دلایل زیربار رفتن این موضوع به استفاده از ساده ترین روش! امنیتی و فقر دانش امنیتی مدیران و کارکنان فناوری بر می گردد!

من سازمانی را دیدم که ۲۰۰ دستگاه All-in-one برای تفکیک اینترنت به کارکنان خود داد!

من سازمانی را دیدم که کلا زیر ساخت شبکه جاری را بطور موازی برای اینترنت هم، تجهیز کرد!

وقتی از کارکنان امنیت می پرسید : چرا!؟

می گویند: مهمترین دلیل امنیتی ما: حذف مسیر بجای کنترل مسیر است!

این دقیقا شبیه این مثال است: فرض کنید که یک مسیر جاده ای مرتبا بر اثر تصادف قربانی می گیرد آیا بهترین راهکار، حذف آن مسیر و حذف تردد از آن است!؟

قطعاً می گویید: نه! چراکه آن راه، ایجاد شده تا شما را به جایی برساند.

نرخ تکرار حادثه تصادف می تواند مبتنی بر هر گونه سناریو محتمل اعم از :دست اندازها و شانه های خالی جاده، کیفیت پایین خودروها، نبود تابلوهای هشداردهنده، رانندگی غلط، نبود دوربین های بازدارنده برای رانندگان خاطی و سریع! باشد بنابراین اگر ساز و کار بهبود راه، بهبود وسایل نقلیه، بهبود هشدارها روشهای اطلاع رسانی ها و در نهایت آموزش صحیح رانندگی و از همه مهمتر دوربین های نظارتی و پلیس نباشد نه تنها آن مسیر بلکه هر روز به تعداد مسیرهایی که بدلیل فقدان همین موارد باید از مسیر تردد جاده ای حذف شود افزایش پیدا می کند پس مشکل کماکان پابرجاست بی آنکه بطور ریشه ای آنرا مرتفع کرده باشیم!

همین سناریو در امنیت فناوری اطلاعات و ارتباطات هم تکرار می شود! اگر کارشناسان امنیت فناوری را پلیس بدانیم آنها کاری جز حذف راه و حذف تردد از آن راه را بلد نیستند! به عبارتی آنها پلیس های نابلد فناوری اطلاعات و ارتباطات هستند.

در مراجعاتی که به اکثر سازمان های کشور داشتم متاسفانه این رویه غلط جریان دارد و به باور من که از بیرون، سازمان ها را می بینم می قبولاند که فقر دانش امنیت و نظام دستوری، آفت جدیدی است که گویی هر روز در حال گسترش بیشتر است.

اما اگر آنها قدری با تکنولوژی به روز و استاندارد آشنا باشند نه تنها مسیر را حذف نمی کنند بلکه بطور قائم می توانند بر طول مسیر نظارت ویژه ای داشته باشند از مهمترین راهکارهای برون رفت از چالش های تفکیک فیزیکی شبکه به دو قسمت شبکه داخلی و اینترنت موارد زیر است:

  1. استفاده از تفکیک کردن یا Segment کردن شبکه ها با استفاده از روتر
  2. ایجاد سایت های اینترنتی عمومی، سازمانی پر استفاده بصورت Walled Garden
  3. پیاده سازی فرایندهای امنیتی آموزشی و پیشگیرانه ISMS
  4. پیکربندی استاندارد احراز هویت کاربران بر پایه LDAP یا Active Directory
  5. استفاده از ابزارهای نرم افزاری نظارتی برای سنجش عمکلرد شبکه، کاربران

اکثر سازمان ها ابزارهایی نظیر مانیتورینگ، اکیتودایرکتوری، سیستم های اکانتینگ ایمیل و اینترنت و VLAN شبکه، دستور العمل های امنیتی و.. را دارند اما گویی فقط دارند! هرگز آنها را بطور موثر استفاده نمی کنند. در اینجا می خواهم به شرح راهکارهای برون رفت  از چالش های تفکیک سازی فیزیکی شبکه بپردازم تا دقیقا از چیزهایی هست به نحو صحیح استفاده کنیم و یا اگر نداریم، داشته باشیم، تا شبکه ای ایمن، کارآمد و مورد انتظار همه داشته باشیم.

  1. استفاده از تفکیک کردن یا Segment کردن شبکه ها با استفاده از روتر

Network Segmentation یا مجزا کردن شبکه ها از هم به این معناست که یک شبکه بزرگ را به چند شبکه کوچکتر تقسیم بندی کنیم ، البته نه بصورت فیزیکی بلکه با استفاده از مسیریاب ها قابل پیاده سازی است ، با استفاده از روش تفکیک سازی از طریق پیکربندی روترها، شبکه بزرگ سازمان به شبکه های کوچک تر تقسیم می شوند که همین امر سبب کاهش تاثیر خرابی ها در حد کل شبکه سازمان و افزایش راندمان شبکه و افزایش سرعت نیز می گردد چراکه هر سازمانی دارای یک محدوده Broadcast یا Broadcast Domain  است که با استفاده از فرآیند Segmentation این محدوده ها زیاد می شود که به هر یک از آنها یک Subnetwork گفته می شود ، شما با استفاده از زیاد کردن Broadcast Domain ها باعث می شوید هر قسمت از شبکه شما در نقش یک شبکه مجزا عمل کند و ترافیک این شبکه ها باعث بروز مشکلات در شبکه های دیگر نشود. وسیله ای که برای عملیات Segmentation شبکه یا Sub-network سازی استفاده می شود به عنوان روتر یا مسیریاب شناخته می شود . با زیاد شدن اندازه یک شبکه تعداد بسته های Broadcast شما هم به شدت افزایش می یابد همین امر باعث کند شدن شبکه و احتمال تاثیر تخریب های بدافزارها در سطح گسترده می شود اما با انجام فرآیند جداسازی بصورت VLAN-ing و زیاد کردن تعداد Broadcast Domain ها و البته کوچکتر شدن آنها و همچنین استفاده از کارشناسان خبره در Config و Routing صحیح ، علاوه بر مدیریت صحیح ترافیک شبکه می تواند ساختار شبکه مبتنی بر LAN/WAN و یا حتی GAN را بدون تغییر در زیر ساخت های تجهیزات و یا حذف مسیر! اقدام کرد و در عین حال کیفیت سرویس دهی در شبکه نیز بهبود بخشید.

بنابراین بجای تفکیک فیزیکی شبکه، بطور حرفه ای می توان از طریق کوچک کردن شبکه به بخش های مختلف از طریق روترها اقدام کنیم. حتی از آن طریق می توان بدون نیاز به خرید تجهیزات سخت افزاری جدید نسبت به محدود کردن یا قطع کردن شبکه داخلی از اینترنت اقدام کرد.

  1. ایجاد سایت های اینترنتی عمومی، سازمانی پر استفاده بصورت Walled Garden

باغ محصور، یک باغ باستانی را در نظر بگیرید که با تمام زیبایی با حصارها و دیواره هابه شکل محدودی حصاربندی شده  است. در فناوری اطلاعات هم به مجموعه محدودی از سطوح دسترسی به خدمات یا اطلاعات رسانه ای که به منظور ایجاد یک سیستم انحصاری امن برای کاربران ارائه می شود، Walled Garden  یا باغ محصور می گویند.

پس بجای حذف و قطع کامل اینترنت می توانید از راهکار باغ محصور استفاده کنید.

اصطلاح “باغ محصور” همچنین به سیستم عامل های تلفن همراه و برنامه های کاربردی آن نیز اشاره می کند که می تواند در یک شبکه بی سیم قابل دسترس باشد. باغ محصور در حقیقت فرآیند قرنطینه کردن رایانه ها برای جلوگیری از مبتلا شدن به حملات بدون حذف دسترسی آنهاست!. باغ باستانی به محیط محدودی اشاره دارد که به کاربر امکان دسترسیرا داده اما استفاده غیر مجازی از آن نمی تواند بکند. به عبارتی یعنی شما برای او باغی در نظر گرفته اید که او مجاز به خروج از دیواره های آن باغ محصور نیست. در قلمرو اینترنت باز و رایگان، اصطلاح “باغ محصور” اشاره به محیط مرورگری دارد که کاربران به محتوای خاصی در یک وب سایت محدود می شوند و اجازه دارند تنها در مناطق خاص وب سایت حرکت کنند. هدف اصلی ایجاد این باغ، دیواره ای است که کاربران را از انواع خاصی از اطلاعات محافظت کند. این روش اغلب توسط یک ارائه دهنده خدمات اینترنتی (ISP) برای محدود کردن دسترسی کاربران به برخی از وب سایتها استفاده می شود.

اصطلاح باغ محصور توسط جان ملون ساخته شد که شرکتی به نام Tele-Communications Inc. را ایجاد کرد.

مثلا اکثر کارکنان سازمان های کشور حسب نوع فعالیت خود به سایت هایی نظیر:

  1. وب سایت بیمه کارکنان
  2. وب سایت های سازمانی
  3. وب سایت های مالی و حسابداری
  4. وب سایت های علمی
  5. وب سایت های دولتی
  6. وب سایت های پرداخت
  7. وب سایت های بانکی و بیمه ای
  8. وب سایت های صنایع و معادن
  9. وب سایت ارزش افزوده
  10. وب سایت مالیات
  11. وب سایت های نرخ ارز
  12. پورتال های اطلاع رسانی
  13. وب سایت انجمن های گفتگو و پرسش و پاسخ
  14. وب سایت های اصناف مرتبط
  15. وب سایت های شرکای تجاری مرتبط
  16. پورتال های سرگرمی
  17. و…

بطور روزمره باید دسترسی داشته باشند بنابراین بجای حذف مسیر! و یا دادن دسترسی کامل اینترنت به همه! می توان از طریق اینترنت محصور شده فعالیت ها و نیازهای آنها را در سایت های امن و سازمانی مرتبط، محدود کرد با اینکار هم سرویس اینترنت را حذف/جداسازی نکرده اید، هم مشکلات تفکیک را ایجاد نکرده اید و هم دسترسی اینترنت محدود ارایه کرده اید.

باغ های گرد شده برای مدت بسیار طولانی مورد استفاده قرار گرفته اند. مدارس و کالج ها از روش باغ محصور استفاده می کنند تا دانش آموزان از دسترسی به محتوای نامناسب در وب جلوگیری کنند و معلمان به رمز عبور نیاز دارند تا محوطه باغ محصور را ترک کنند و اینترنت بدون محدودیت در محتوای وب مرور کنند. برخی از ارائه دهندگان خدمات اینترنت (ISP) همچنین یک محیط باغ محصور ایجاد می کنند شامل AOL، Comcast و AT & T. ISP ها به طور کلی یک فایل walledgarden.cfg را به مودم کاربر ارائه می دهند که از طریق یک پروسه به نام تأمین کننده نیاز به اعتبار دارد. این نوع پیکربندی کاربران را از دسترسی به منابع خاص محدود می کند. اگرچه یک باغ دیوار، گزینه های ناوبری آسان را فراهم می کند، زیرا محتوای ارائه شده اینترنتی محدود است و تنها بخشی از آنچه که بطور سازمانی در  اینترنت نیاز دارند را خواهند یافت.

با استفاده صحیح و کامل از نرم افزارهای اکانتینگ اینترنت بخوبی از پس از این موضوع برخواهند آمد!

  1. پیاده سازی فرایندهای امنیتی آموزشی و پیشگیرانه ISMS

تا دستور العمل های امنیتی منسجم و الزام آور استاندارد نباشد تا آموزش ها و پیشگیری های اولیه نباشد عملا امنیت شبکه معنا ندارد. قبول دارید که پیشگیری بهتر از درمان است!؟

سیستم مدیریت امنیت اطلاعات یا ISMS بدون درنظر گرفتن اینکه از چه ساختار شبکه‌ ای دارید در تمام بخش‌ها و کسب و کارها قابل استفاده است ان هم برای:

  • تعیین و اعمال سیاست های امنیتی مناسب کارآمد
  • بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی
  • بازرسی و تست امنیت شبکه ی اطلاعاتی
  • بهبود روش های امنیت اطلاعاتی سازمان

و این فرایندها برای تعیین امنیت هر نوع اطلاعاتی است شامل اطلاعات کاغذی، الکترونیکی، و یا حتی شفاهی است.

سیستم مدیریت امنیت اطلاعات (ISMS) با هدف تبیین شفاف راهکارهای امن‌سازی به منظور مدیریت مخاطره‌های امنیت اطلاعات سازمان‏‌ها در چارچوب مجموعه مخاطره‌های کسب‌و‌کار و با عنوان ارزیابی، راهبری و پشتیبانی امنیت فناوری اطلاعات درون‏‌سازمانی و برون‏‌سازمانی در یک سطح توافق شده مطرح شده است
فواید پیاده سازی استانداردهای سیستم مدیریت امنیت اطلاعات (ISMS)
–         تأمین امنیت در همه سطوح شامل امنیت فیزیکی، پرسنلی و ارتباطات
–         استفاده از جدیدترین استاندارد امنیت اطلاعات
–         افزایش اعتبار سازمان
–         سیستم مدیریت امنیت پویا و مستمر
–         رویکرد پیشگیرانه
–         نگاه همه‌جانبه به امنیت
–         رویکرد آموزش پرسنل
–         کاهش هزینه‌ها

سازمان های بسیاری دیدم که فرایندهای ISMS را دارند اما فقط دارند! و بطور منسجم اقدامی در خصوص پیاده سازی دقیق و استفاده روزانه از آن نمی کنند! و این سیستم صرفا به دهها فایل و فرم بلا استفاده ختم شده!

۴٫پیکربندی استاندارد احراز هویت کاربران بر پایه LDAP یا Active Directory

متاسفانه چیزی که در بسیاری از سازمان ها می توان دید وجود و پراکندگی دهها نرم افزار سامانی با احراز هویت های مختص به خود هستند این مشکل بیش از آنکه ناشی از عدم توجه مدیران فناوری باشد به شرکت های ایرانی تولید کننده نرم افزارهای سازمانی باز می گردد آنها به واسطه فقر دانش، ساده سازی کار خود برای ایجاد و دسترسی کاربران به نرم افزار از نام کاربری و احراز هویت داخلی خود استفاده می کنند همین امر سبب تعدد و تکثر نام کاربری و رمز عبور برای استفاده از هر نرم افزاری می شود. چراکه اغلب این نرم افزارها قابلیت ادغام پذیری با اکتیودایرکتوری را پوشش نمی دهند!

اکتیو دایرکتوری (Active Directory)پیش از آنکه یک سرویس مایکروسافتی باشد در حقیقت یک پروتکل استاندارد برای تجمیع منابع سازمان و احراز هویت منسجم است که بر اساس LDAP ver3 و NSPI که استاندارد جهانی هستند نوشته شده است و اطلاعات مربوط به اشیاء شبکه را ذخیره و با ارائه یک ساختار سلسله مراتبى، زمینه سازماندهى دامین ها و منابع را به سادگى میسر مى‌کند. بدین ترتیب کاربران بسادگى قادر به مکان یابى منابع شبکه نظیر فایل ها و چاپگرها خواهند بود و مدیران شبکه امکان اعمال کردن انواع سیاست ها، تعیین حدود دسترسی به سرویس ها و منابع را از آن طریق خواهند داشت.

تدابیر امنیتى در ارتباط با اکتیو دایرکتوری، پیش بینى و زمینه تحقق آن با استفاده از Log on و کنترل دستیابى به اشیاء موجود در دایرکتورى، فراهم مى شود. پس از فرآیند ورود کاربران به شبکه، مدیران شبکه قادر به مدیریت داده هاى موجود در دایرکتورى مى شوند. کاربران تائید شده نیز امکان دستیابى به منابع موجود در شبکه را از هر مکانى بدست خواهند آورد.

سازمان هایی دیدم که اکتیودایرکتوری آنها دقیقاً شبیه یک زباله دانی است و هر شی زنده و مرده (فعال و غیرفعال) در آن هست نه نظارتی، نه بازرسی و نه پالایشی! فقط برای ورود به ویندوز از آنها استفاده می شود که به شکلی بسیار نازیبا، غیر استاندارد و ناموزون و حتی با نام های کاربری بسیار بهم ریخته ای نامگذاری کرده اند.

مزایای Active Directoryرا برخی شاید به دقت ندانند:

 نگه داری اطلاعات کاربران و موجودیت های شبکه بطور متمرکز:

کلیه اطلاعات کاربران مثل اسم، رمز، شماره تلفن، آدرس و غیره بطور متمرکز نگه داری می شوند و به همین دلیل قابلیت پشتیبان گیری و دسترسی سریع و مدیریت متمرکز را دارند.

 مقیاس پذیری (Scalability): و توسعه پذیری (Extensibility):

به دلیل متمرکز بودن اطلاعات می توان تعداد بسیار زیادی موجود مختلف را در آن جای داد و مدیریت کرد.

و اشیا جدیدی را تعریف کرد (به جز آنهایی که بصورت پیش فرض تعریف شدند) و از آنها تحت شبکه استفاده کرد.

 قابلیت مدیریت (Manageability):

به دلیل تمرکز اطلاعات و مدیریت، می توان به راحتی شبکه را در جهت هدف خاصی پیش برد. مثلاً در جهت ارتقای امنیت می توان شبکه را هر هفته به قابلیت امنیتی جدیدی تجهیز کرد  و فعالیت و دسترسی موجودیت های شبکه را در کل شبکه بصورت متمرکز تعریف کرد.

 سیاست پذیری (Policy Based System):

می توان با اعمال سیاست ها Policy مختلف تحت شبکه، شبکه را در جهت هدف خاصی پیش برد.

  انعطاف پذیری در امنیت و تعیین هویت موجودیت های شبکه:

قابلیت شناسایی هر موجودی در هر جایی از شبکه را دارد و می تواند با مدل ها و روش های مختلف احراز هویت کند (Security Protocols).

امنیت یکپارچه و گسترده:

با ورود به دامنه، برخی مسائل امنیتی بطور پیش فرض اعمال می شوند و در ادامه مدیر می تواند امنیت شبکه را تا حد غیر قابل تصوری بالا ببرد.

 قابلیت تبادل اطلاعات بین سرویس های ثالث تحت سیستم تبادل اطلاعات دامنه:امنیت-راحت!

چنانچه از سرویس یا نرم افزاری استفاده کنید که قابلیت ادغام با Active Directory Partition را داشته باشد، می توانید بسیار امن و سریع، اطلاعات آن نرم افزار را همراه با اطلاعات ACTIVE Directory بین سرورها جابجا کنید به عبارتی اگر نرم افزارهای دیگر قابلیت این ویژگی را داشته باشند با استفاده از پروتکل SSO (احراز هویت در یک نقطه) را برای تمامی کاربران از تمامی نرم افزارهای با یک نام کاربری و رمز عبور تجربه کنید.

نشانه گذاری دیجیتالی اطلاعات تبادلی:

  • اطلاعات بصورت رمز شده بین سرورها جابجا می شود لذا دارای امنیت بسیار مطلوبی است.
  • می توان تمامی قابلیت های شبکه و سرویس ها را در حد بالا و پیشرفته ایی در بستر فوق اجرا کرد.
  • ایجاد مدیریت متمرکز (Centralized) برای تمامی منابع شبکه و کاربران.
  • تدوین سیاست های دسترسی به منابع و سرویس های شبکه برای تمامی کاربران در دامنه.
  • ایجاد سطح بالایی از امنیت اطلاعات و ارتباطات برای تمامی کاربران و کامپیوترهای داخل دامنه.
  • مشخص کردن نحوه دسترسی به اینترنت، چگونگی استفاده و نظارت بر آن.

۵٫استفاده از ابزارهای نرم افزاری نظارتی برای سنجش عمکلرد شبکه، کاربران

سلامت شبکه، عملکرد کاربران را چگونه می توان سنجید و بر آن نظارت داشت! بی تردید نرم افزارهایی نظیر مانیتورینگ شبکه با طیف گسترده ای از ماژول ها وظیفه نظارت بر فایلها، اسناد، پهنای باند، باج افزارها، حملات، عمکلرد شبکه و تجهیزات زیرساخت را دارا هستند اما گویی فقط از آنها بواسطه تولید رویداد! استفاده می شود و بدون بررسی دقیقی هم بسته می شوند. لزوم استفاده از ابزارهای نظارتی این قدرت به واحد شبکه و امنیت می دهد تا در هر برهه ای بر روی تمامی فرایندها و عملکرد شبکه نظارت دقیق و موثر داشته باشد تا مجبور به استفاده از راهکارهای غیرحرفه ای نکند.

ابزارهای چون مانیتورینگ شبکه، مانیتورینگ اپلیکشین سرورها، مانیتورینگ دیتابیس، مانیتورینگ پهنای باند، مانیتورینگ سوییچ پورت ها، مانیتورینگ فایلهای سازمانی و دهها ابزار حرفه ای شبکه می تواند سازمان را به آن جهت سوق دهد.

  1. محدود کردن دسترسی به داده ها

تمام ترس سازمان ها ناشی از مشکلات امنیتی کلا از دو حوزه خارج نیست: یا تخریب داده و یا افشای اطلاعات است!

داده های تکراری، موازی کاری و استفاده از نرم افزارهای جزیره ای فراوان با دیتابیس های مجزا و احراز هویت های مستقل مهمترین ایراد اکثر سازمان های کشور است. اکثر سازمان ها دسترسی به داده های حساس خود را به تعدادی از کارمندان و افراد خود دسترسی دارند. فکر کنید که چه کسی در سازمان شما دسترسی به اطلاعات حساس مشتری دارد؟ آیا می توانید حقوق دسترسی افراد را شناسایی کنید؟ اکثر مدیران شرکت از جزئیات مربوط به کارکنان فردی که دسترسی به داده ها دارند و از این که به آن دسترسی دارند اطلاع ندارند. این یک خطر بزرگ برای از دست دادن اطلاعات، سرقت و هک شدن است.

این به این معنی است که کسب و کار برای دسترسی به اطلاعات محدود است. سازمان باید تعیین کند که یک کارمند نیاز به دسترسی دارد و اطمینان حاصل کند که دسترسی به تنها چیزی است که به آن نیاز دارد. چیز دیگری نیست این همه محدودیت ها می تواند به سازمان ها کمک کند تا اطلاعات خود را به صورت موثرتر مدیریت کنند و اطمینان حاصل شود که از سرقت یا از دست دادن محافظت می شود.

با ادامه از نقص های اطلاعاتی بالا، که بسیاری از آنها ناشی از دسترسی ممتاز و اعتبار محرمانه بود، سازمان ها باید کنترل، مدیریت و نظارت بر دسترسی ممتاز به شبکه هایشان را برای کاهش این خطر بالا ببرند. یافته های این گزارش به ما می گوید که بسیاری از شرکت ها نمی توانند به اندازه کافی ریسک مربوط به دسترسی ممتاز را مدیریت کنند. نقض های خودی، چه مخرب و چه غیرقانونی، ممکن است برای هفته ها، ماه ها یا حتی سال ها غیر قابل شناسایی باشد، که سبب آسیب ویرانگر به یک شرکت می شود.

علاوه بر موارد فوق با برخی اقدامات پیشگیرانه دیگر قادر به افزایش سطح امنیتی خدمات و شبکه سازمان خواهید شد.

یکی از نمونه های اخیر در مورد مقادیر رو به رشد حملات به شبکه، حملات Ransomware به نام WannaCry است. این یکی از بزرگترین حملات در سال های اخیر بود که بر تعداد زیادی از شرکت های تجاری در سراسر جهان تأثیر می گذارد. در اینجا این سوال مطرح می شود؛ چرا هر دو شرکت بزرگ و کوچک تحت تاثیر این حمله قرار گرفته اند؟ ” به نظر می رسد که جهان شروع به مشاهده چیز جدید می کند و آن، این است که افزایش اقدامات امنیتی صرفا برای حفاظت از داده ها نیست، بلکه ما باید از زیرساخت های کسب و کار خود هم محافظت می کنیم.

راه های بسیاری وجود دارد که سازمان ها می توانند از کسب و کار خود را از حملات سایبری محافظت کنند. چندین اقدام را شامل می شود؛ به روز رسانی نرم افزارها، استفاده از فن آوری های پیشرفته، کارکنان ماهر و اقدامات پیشگیرانه از پیش برنامه ریزی شده!

  1. شناسایی اطلاعات حساس

برای شرکت ها، مهم است که از مهمترین اطلاعات و اطلاعات حساس کسب و کار خود مطلع شوند. این اطمینان حاصل خواهد کرد که شما اطلاعات مناسب و منابع بیشتری را برای حفاظت از مهمترین دارایی های خود اختصاص داده اید.

اطلاعات مالی، فیش های حقوق، مشخصات پرسنل، مکاتبات محرمانه و رسمی، اطلاعات زیرساخت شبکه ، اطلاعات دیتابیس ها و سرویس های نرم افزاری،

اگر چه اطلاعات کسب و کار حساس تنها احتمالا حدود ۵ تا ۱۰ درصد از داده های کل کسب و کار شما را تشکیل می دهند، افشای داده های مربوط به اطلاعات حساس یا شخصی می تواند منجر به از دست دادن اعتبار و  یا درآمد یک شرکت شود. اگر ما دسترسی به مدیریت و حقوق دسترسی صحیح را داشته باشیم، باید اقدامات سخت تر بر روی داده های حساس و داده های دیگر کسب و کار انجام دهیم. بنابراین بجای هزینه کردن میلیون ها تومان خرج برای تجهیز سازمان به انواع سیستم های ذخیره سازی گران قیمت و پر ظرفیت نظیر SAN و یا NAS بهتر است ابتدا داده های حساس را شناسایی کنید و سپس بر اساس حجم مورد نیاز، سراغ تجهیز سخت افزاری باشید این وظیفه ای است که بر عهده انفورماتیک و نمایندگان سایر واحدهای سازمان است که باید همواره بدقت ارایه و واکاوی شود.

۳٫سیاست امنیتی از پیش برنامه ریزی شده

هنگامی که به بررسی عملیات و فرآیندهای مورد نیاز برای افزایش امنیت و مقابله با حمله سایبری می پردازیم، یک گام مهم دیگر: تهیه لیستی از اقدامات امنیتی و سیاست های امنیتی مربوط به داده هاست. این نوع برنامه ریزی توسط یک سازمان می تواند به طور قابل توجهی در وضعیت بحرانی و زمان پاسخ حادثه کمک کند. از طریق سیاست، می توانید بلافاصله واکنش نشان دهید تا از تاثیرات شدید حمله ی اینترنتی جلوگیری کنید.

همانطور که با مدیریت دسترسی و حقوق دسترسی به کارکنان می تواند سبب شناسایی آسان اتفاقات شود شما را آگاه نیز می کند که کدام کاربر در سازمان شما ممکن است به طور بالقوه قوانین امنیتی را نقض کند. به یاد داشته باشید که یک برنامه سیاستگذاری و فرایندی زمانی مفید است که به روز و همواره مورد تجدید نظر قرار گیرد. فناوری، تنظیمات صنعت انفورماتیک و بهترین شیوه همیشه در حال تغییر است. بنابراین، کسی باید این سیاست و راهنمای فرآیند را داشته باشد و همیشه به روش های جدید برای به روزرسانی آن نگاه کند تا آن را مورد توجه قرار دهد.

۴٫کلمات عبور قوی و مختلف برای هر گروه

هم اکنون در انگلیس بدلیل نقض های امنیتی از سوی کاربران، ارایه پسوردهای اسده جرم محسوب می شود! داده های حساس در یک سازمان باید با رمزهای عبور قوی قفل شوند. رمز عبور قوی تر برای مبارزه با تعدادی از ابزارهای هک رمز عبور ضروری است. سعی کنید اطمینان حاصل کنید که ترکیبی از کاراکترهای مختلف از جمله حروف، اعداد، نمادها و سایر حروف بزرگ وجود دارد.

بنابراین، سازمانها باید کلمات کلیدی منحصر به فرد را برای همه کارکنان و همچنین ادارات حفظ کنند. این را می توان به راحتی با استفاده از یک ابزار مدیریت گذرواژه نظیر Password Manager مدیریت کرد و اطمینان حاصل کرد که تمام کارکنان مدارک امنیتی مناسب و راهنمایی های رمز عبور را دریافت می کنند.

در صورت امکان، توصیه می شود که احراز هویت چند عاملی استفاده شود. افزودن گام دیگری به ورود به سیستم رمز ورود به معنی گام دیگری است، ایجاد هک را بسیار بعید می کند. برخی از نمونه های خوبی از احراز هویت چند عامل عبارتند از بیومتریک، ارسال پیامک، ارسال اعلان به گوشی ها، کارت های هوشمند و تأیید هویت تصویری و….

۵٫پشتیبان گیری و به روز رسانی منظم اطلاعات

آخرین اقدام پیشنهادی در لیست اقدامات مهم امنیتی داده ها، داشتن چک لیست های امنیتی منظم و پشتیبان گیری داده ها است. برای یک حمله غیر منتظره یا نقض اطلاعات شده، واقعا مفید است که یک سازمان از اطلاعات خود پشتیبان تهیه کند. برای داشتن یک کسب و کار موفق، باید عادت پشتیبان گیری داده های خودکار یا دستی را به صورت هفتگی یا روزانه نگه دارید.

علاوه بر این، داده ها باید از طریق نرم افزار به روز رسانی و ابزارهای آنتی ویروس کارآمد محافظت شوند. با این حال، برای رسیدن به این هدف، باید بخش IT پیشرفته و کارآمد داشته باشید. بنابراین باید مطمئن شوید که فردی را با مهارت های مناسب استخدام می کنید که می تواند به درستی آن را انجام دهید.

نتیجه گیری

کسب یک کسب و کار موفقیت آمیز یک کار دشوار است، اما حفظ اطلاعات و داده ها بسیار سخت تر است. در دنیای امروزه مواجه نشدن با خطرات امنیتی سایبری بسیار مهم است که شما باید از قبل با مجهز شدن به ابزارهای امنیتی و ارتقاء حریم خصوصی مورد نیاز برای محافظت از ارزشمند ترین دارایی سازمان که همان اطلاعات است اقدام کنید و این تجهیز یک تجهیز صرفا فیزیکی نیست.

پس بجای حذف مسیر، و سنگین کردن بار هزینه های انفورماتیک،برای افزایش امنیت می توان با حفظ مسیر، نسبت به نظارت و کنترل دقیق آن و اقدامات پیشگیرانه قدرتمندی اقدام کرد.

هادی احمدی

مدانت
مدانت
شرکت‌ مدانت از برندهای محبوب فناوری‌ اطلاعات و ارتباطات در حوزه‌ی آموزش، پیاده‌سازی و عرضه ابزار ITIL، تجارت آنلاین، تحول دیجیتال و ارایه‌‌کننده‌ی محصولات مدیریتی تحت‌وب در ایران است. این مقاله‌ی آموزشی منحصراً مربوط به مدانت بوده و برای نخستین بار توسط این شرکت برای شما تولید و منتشر شده.
5 1 رای
امتیازدهی به مقاله
اشتراک در
اطلاع از
guest

حل معادله *

3 نظرات
قدیمی‌ترین
تازه‌ترین بیشترین رأی
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
trackback

[…] هیچ! در مطلب حذف مسیر بجای کنترل مسیر به این نکته پیشتر اشاره کرده‌ام که اگر سازمانی دسترسی […]

trackback

[…] چالش‌های تفکیک زیرساخت شبکه […]

error: نیازی به کپی نیست همه چیز در دیدرس شماست
3
0
افکار شما را دوست داریم، لطفا نظر دهید.x