۲۲ باور غلط امنیت سایبری که باید اعتقاد به آن را در سازمان خود متوقف کنید

کمیته رکن چهارم – در سال‌های اخیر رویکرد سازمان‌ها برای حفاظت از خودشان در برابر حملات سایبری تغییر چشمگیری یافته و وظایف مدیران ارشد امنیت اطلاعات نیز نسبت به گذشته پیچیده‌تر شده است. مدل کار ترکیبی، ایجاد و توسعه تحول دیجیتال و افزایش حملات باج‌افزاری از جمله موارد تأثیرگذار بر روی تغییرات چشم‌انداز سایبری هستند. امروزه تصورات و دیدگاه‌های گذشته چندان کاربردی نبوده و سازمان‌ها باید از روش‌های نوین برای پیشگیری از وقوع مخاطرات امنیتی و مسدود نمودن آنها استفاده کنند.

در این مطلب ۲۲ خط فکری غلط که در زمینه امنیت سایبری و ایجاد امنیت در محیط‌های کاری وجود دارند و باید حذف گردند را مورد بررسی قرار می‌دهیم.

۱. تهیه ابزارهای بیشتر منجر به بهبود امنیت سایبری می‌شود

ممکن است سازمان‌ها تصور کنند که برای حفاظت از خودشان در برابر حملات سایبری نیازمند پلتفرم‌ها و ابزارهای بسیار زیادی هستند.

Ian McShane مدیر ارشد فناوری شرکت Arctic Wolf می‌گوید: «ارایه‌دهندگان محصولات امنیتی معمولاً ابزارهای خود را تحت عنوان راهکارهای جامع تبلیغ نموده و سازمان‌ها را ترغیب به تهیه آنها می‌کنند».

از طرفی با توجه به تعدد مشکلات عملیاتی موجود در کسب‌وکارها، خریداری ابزارهای مختلف ممکن است منجر به ارتقای امنیت سایبری نشود. McShane می‌گوید: «سازمان‌ها باید به جای صرف بودجه در تهیه محصولات امنیتی گوناگون با اولویت و اهمیت به عملیات امنیتی در حوزه‌هایی که می‌توانند بیشترین بازده را از سرمایه‌گذاری‌های موجود ایجاد کنند، با چالش‌های پیش رو و چشم‌انداز رو به رشد تهدیدات سایبری مقابله نمایند».

۲. بیمه سایبری برای مقابله با حوادث امنیتی لازم و کافی است!

با توجه به قوانین موجود، سازمان‌ها با استفاده از بیمه امنیت سایبری می‌توانند از هزینه‌های حملات سایبری احتمالی پیشگیری کنند. از طرفی پیامدهای ناشی از وقوع مخاطرات امنیتی مثل حملات باج‌افزاری (ایجاد آسیب به اعتبار سازمان، کاهش اعتماد مشتریان و غیره) بسیار فراتر از جرایم اقتصادی ناشی از این حوادث هستند.

Jeffrey J. Engle مدیر Conquest Cyber می‌گوید: «حق بیمه و موارد مستثنی از پوشش بیمه همواره رو به افزایش بوده و سطح پوشش نیز در حال کاهش است. از این رو کسب‌وکارها نباید از بیمه سایبری به عنوان سنگ بنای کل استراتژی امنیتی سازمان‌شان استفاده کنند».

۳. ایجاد امنیت فقط در گرو پیروی از استانداردهای قانونی است

بنا به گفته Ian Bramson مدیر امور بین‌الملل ABS Group : «سازمان‌ها معمولاً توجه چندانی به ایمن‌سازی خود نداشته و فقط در حال تلاش برای پیروی از الزامات و استانداردهای قانونی هستند». او معتقد است که پیروی از مراحل قانونی معادل اجرای استانداردهای امنیتی مقدماتی می‌باشد. در حالی که ایجاد یک طرح سایبری جامع مستلزم دستیابی به بلوغ و تکامل سایبری است.

۴. در صورت ثبت کلیه رویدادها با مشکلات قانونی مواجه نخواهید شد

سازمان‌ها معمولاً گزارش‌های مربوط به رویدادها را ثبت می‌کنند در حالی که توجه چندانی به تجزیه و تحلیل‌شان ندارند. Gunter Ollmann مدیر ارشد امنیت Devo Technology می‌گوید: «ثبت و جمع‌آوری گزارش‌ها به تنهایی مشکلی را حل نمی‌کند مگر در صورت تحلیل و ارزیابی پیوسته آنها». نتایج حاصل از بررسی گزارش‌های مربوط به رویدادها می‌تواند کمک قابل توجهی به شناسایی خودکار تهدیدات و پیشگیری از وقوع حملات سایبری کند.

بنا بر توصیه کارشناسان امنیتی در این خصوص، بهتر است فقط تغییرات، رویدادها و موارد خاص و استثنائی را ثبت نموده و از جمع‌آوری گزارش‌های مربوط به کلیه وقایع خودداری کنید. همچنین این گزارش‌ها باید ساده، منسجم و شامل اطلاعات کاربردی جهت بررسی حوادث باشند.

۵. مدیریت گواهینامه‌های دیجیتال در کل شبکه سازمان به صورت دستی و با یک نرم‌افزار صفحه گسترده مدیریت

سازمان‌ها معمولاً متکی بر هزاران گواهینامه دیجیتالی هستند که هر یک از آنها در مرحله‌ای خاص از چرخه حیات خود قرار داشته و پیگیری وضعیت‌شان به صورت دستی تقریباً غیرممکن است. برای مثال انقضای یک گواهینامه می‌تواند منجر به ایجاد مشکلات متوالی از جمله عدم دسترسی به سیستم‌های حیاتی شده و فرصتی برای مهاجمان جهت نفوذ به شبکه‌ سازمان را فراهم کند.

Ed Giaquinto مدیر ارشد فناوری شرکت Sectigo می‌گوید: «در حال حاضر امکان مدیریت، ایمن‌سازی و احراز هویت این مجوزها با استفاده از فایل‌های صفحه گسترده و روش‌های پیاده‌سازی و فسخ دستی وجود ندارد».

۶. محیط ابر امن است

سازمان‌ها معمولاً اعتماد بسیار زیادی به امنیت محیط‌های ابری داشته و بیش از نیمی از داده‌های خود را بر روی سرویس‌های ابری ذخیره و نگهداری می‌کنند. Simon Jelley مدیر راهکارهای حفاظتی و پشتیبان‌گیری شرکتVeritas Technologies می‌گوید: «انتظار می‌رود این داده‌ها از ارزش بسیار زیادی برای ارایه‌دهندگان سرویس‌های ابری برخوردار باشند در حالی که آنها هیچ تضمینی در خصوص حفظ امنیت داده‌ها و اطلاعات مشتریان ندارند».

بنا به گفته :Jelley «شرکت‌های ارایه‌دهنده معمولاً به تنهایی مسئولیت حفاظت از داده‌های مشتریان‌شان را بر عهده نمی‌گیرند. بنابراین سازمان‌های دریافت‌کننده خدمات ابری نباید از ایمنی اطلاعات‌شان غافل شوند».

۷. کل مسئولیت حفاظت از امنیت بر عهده بخش امنیت و تیم امنیت سایبری است

Omotolani Olowosule دانشجوی دکترا در دانشگاه لافبورو انگلیس می‌گوید: «فرهنگ امنیتی صحیح باید در سطح کل سازمان پیاده‌سازی شده و همه کارکنان در برابر ایجاد و ترویج آن مسئول هستند».

بنا بر گفته Olowosule: «کلیه کارمندان یک سازمان که در بخش‌های مختلف آن مشغول به کار می‌باشند باید آموزش‌های لازم جهت آشنایی با مخاطرات امنیتی و شیوه مقابله با حوادث رایج را فرا بگیرند».

۸. سالانه فقط برگزاری یک دوره آموزش امنیت سایبری کافی است

بسیاری از سازمان‌ها کارمندانشان را ملزم به حضور پیوسته و منظم در کلاس‌های آنلاین آموزش امنیت سایبری می‌کنند. شرکت‌کنندگان در کلاس‌های مجازی معمولاً پس از مشاهده یکسری ویدئوهای آموزشی کوتاه و پاسخ به یکسری سؤالات مرتبط با همان فیلم‌ها، دوره‌های آموزشی را با موفقیت طی می‌کنند. در حالی که چنین روش آموزشی ممکن است اثربخشی مورد انتظار را نداشته باشد.

بنا به گفته Sarka Pekarova مشاور امنیت سایبری: «چنین کلاس‌هایی معمولاً فاقد مطالب آموزشی جذاب هستند. در نتیجه توجه کاربران به آنها جلب نشده و نمی‌توانند اصول و فرایندهای لازم برای مواجه با حوادث امنیتی را به خاطر بسپارند».

۹. افزایش استخدام نیروها منجر به کاهش مشکلات امنیت سایبری می‌شود

کسب‌وکارها باید به جای تلاش برای جستجو و استخدام افراد جدید، به حفظ نیروهای فعلی خودشان اولویت داده و با سرمایه‌گذاری بر روی کارشناسان فعلی‌ فرصت کسب مهارت‌های جدید را برای آنها فراهم کنند».

بنا به گفته :McShane «تشکیل یک گروه حرفه‌ای کوچک شامل نیروهای متخصص و فراهم نمودن تجهیزات لازم برای آنها از اهمیت بیشتری نسبت به یک تیم سایبری بزرگ ولی فاقد مهارت‌های اصولی و کاربردی برخوردار است. البته استخدام افراد جدید در زمان مناسب و برای جایگاه مناسب هم مفید است ولی در وهله اول بهتر است سازمان‌ها زمان و هزینه استخدام کارمندان جدید را صرف تقویت و بهبود زیرساخت امنیتی خودشان کنند».

۱۰. آموزش‌ کارکنان سازمان، تاثیری در افزایش امنیت سایبری ندارد

اگرچه حملات سایبری معمولاً با سوءاستفاده از افراد شروع می‌شوند ولی سازمان‌ها باید به جای سرزنش کارکنان و مشتریان‌شان یک طرح امنیتی جامع را طراحی و اجرا کنند. Sarka Pekarova مشاور امنیت سایبری می‌گوید: «ارایه پشتیبانی و آموزش‌های لازم به کارکنان یک سازمان منجر به رشد، پیشرفت و همچنین تبدیل آنها به قوی‌ترین عضو زنجیره امنیت سایبری می‌شود».

Pekarova معتقد است با توجه به اصطلاح «دارایی‌های انسانی»، سازمان‌ها با صرف بودجه، پیاده‌سازی سیاست‌ها و روش‌های درست مثل رویکرد اعتماد صفر و ارایه حمایت‌های لازم به کارکنان می‌توانند از آنها در تقویت و بهبود امنیت سایبری کمک بگیرند.

۱۱. امکان خودکارسازی کلیه فعالیت‌ها و عملیات سازمانی وجود دارد

اگرچه اتوماسیون فرایندهای امنیتی برای سازمان‌ها منجر به صرفه‌جویی در وقت و هزینه می‌شود ولی نباید در انجام آن افراط گردد. بنا به گفته Steven Walbroehl بنیانگذار و مدیر ارشد امنیت اطلاعات شرکت :Halborn «اتکای کورکورانه به اتوماسیون می‌تواند موجب شکل‌گیری خلأهایی در کیفیت و دقت ارزیابی‌های امنیتی، غفلت از آسیب‌پذیری‌ها و ایجاد مخاطرات امنیتی پیش‌بینی نشده گردد».

Walbroehl معتقد است که یکسری از اقدامات پیچیده مستلزم استفاده از شهود و غرایزی هستند که فقط متعلق به انسان‌ها می‌باشند. برای مثال هیچ ابزار یا نرم‌افزار خودکاری که قابلیت شبیه‌سازی مهارت‌های اجرا کننده تست نفوذ در زمینه هک یا دور زدن سازوکارهای احراز هویت پیچیده را داشته باشد وجود ندارد.

۱۲. حل مشکلات مربوط به آخرین حمله موجب ایجاد امنیت جامع می‌شود

تمرکز سازمان‌ها معمولاً بر روی جزئیات و وقایع مربوط به آخرین حمله سایبری بوده و توجه چندانی به سایر مسائل ندارند.  در نتیجه در چنین شرایطی احتمال دستیابی به قابلیت‌های لازم برای پیشگیری از حملات آینده بسیار کم است. بنا به گفته Bramson: «توجه بیش از حد سازمان‌ها به آنچه که در گذشته رخ داده ممکن است منجر به آسیب‌پذیری آنها در برابر رویدادهای پیش رو شود. با توجه به تغییرات و پیشرفت پیوسته حملات سایبری، کسب‌وکارها باید قابلیت پیش‌بینی وقایع ناشناخته و همچنین آمادگی مقابله با آنها را داشته باشند».

۱۳. تغییر کلمات عبور هر سه ماه یکبار، منجر به افزایش ایمنی حساب‌های کاربری می‌شود.

بنا به گفته Dan Petro محقق ارشد شرکت :Bishop Fox «الزام کاربران به تغییر پیوسته کلمه عبور فعلی و تنظیم گذرواژه جدید بر اساس یک برنامه زمانی مشخص نه تنها کمکی به محافظت از حساب‌های کاربری نمی‌کند بلکه حتی ممکن است منجر به استفاده از کلمات عبور نه چندان قوی و پیچیده هم شود». در صورت استفاده از چنین رویکردی کارکنان معمولاً خواهان تنظیم گذرواژه‌های ساده و کوتاه مثل Winter2022 هستند.

William Malik مدیر ارشد استراتژی‌های زیرساخت Trend Micro نیز در این خصوص می‌گوید: «مهاجمان سایبری معمولاً پس از دسترسی به مجموعه‌ای از کلمات عبور، آنها را در فواصل زمانی کمتر از ۹۰ روز برای ورود به حساب‌های کاربری در پلتفرم‌های مختلف امتحان و ارزیابی می‌کنند. او معتقد است که بکارگیری نمادها و علائم ویژه تأثیر چندان زیادی در ایمن‌سازی کلمات عبور نداشته و به‌ جای این کار کاربران باید تشویق به استفاده از گذرواژه‌های طولانی و همچنین فعال نمودن فناوری احراز هویت حداقل دو مرحله‌ای شوند.

۱۴. داده‌های حساس باید رمزنگاری شوند

بنا به گفته Petro: «بسیاری از توسعه‌دهندگان معتقدند که رمزنگاری داده‌ها موجب ایمنی کامل آنها شده و توجه چندانی به محل ذخیره کلیدهای رمزنگاری و انواع مهاجمان سایبری ندارند». او می‌گوید: «رمزنگاری داده‌ها به تنهایی منجر به ایمن‌سازی‌شان نمی‌شود و فقط یک حس امنیتی کاذب را در توسعه‌دهندگان ایجاد می‌کند».

۱۵.  وجود قفل سبز در کنار آدرس یک وب‌سایت دلالت بر ایمنی کامل آن دارد.

جمله بالا برای زمان‌های گذشته که ترافیک وب به ندرت رمزنگاری می‌شد و هزینه دریافت یک گواهینامه HTTPS معتبر بسیار زیاد بود صدق می‌کرد اما امروزه مجرمان سایبری هم می‌توانند به راحتی و به صورت رایگان برای وب‌سایت‌های خودشان گواهینامه HTTPS کسب کنند.

Dan Demeter محقق امنیت سایبری شرکت کسپرسکی می‌گوید: «توصیه من این است که ابتدا وب‌سایت مدنظرتان را در یک موتور جستجو بررسی نموده و در صورت کوچکترین تردیدی به جای کلیک بر روی لینک، آدرس آن را در مرورگر وارد نمایید».

۱۶. کسب‌وکارهای کوچک مورد هدف مجرمان سایبری قرار نمی‌گیرند.

بسیاری از شرکت‌ها معتقدند که مجرمان سایبری توجهی به آنها ندارند. در صورتی که داده‌های مشتریان در کلیه کسب‌وکارهای کوچک و بزرگ جزو منابع بسیار مهمی هستند که در دارک وب به فروش گذاشته می‌شوند. همچنین مهاجمان از وب‌سایت‌های هک شده متعلق به انواع مشاغل برای توزیع بدافزار استفاده می‌کنند. بنا به گفته Bramson: «همه سازمان‌ها در معرض مخاطرات امنیتی و حملات سایبری قرار دارند». مهاجمان می‌توانند یک سازمان خاص را مورد هدف قرار داده یا حملاتشان را به صورت همگانی اجرا کنند. در چنین شرایطی هر شرکتی ممکن است طعمه حداقل یکی از این حملات شود.

Giaquinto می‌گوید: «البته شرکت‌های بزرگ و متوسط فاقد منابع لازم برای پیاده‌سازی و مدیریت طرح امنیت اطلاعات بوده و به راحتی در دام حملات سایبری می‌افتند».

۱۷. مقابله با تهدیدات امنیتی وظیفه دولت است

در زمینه امنیت سایبری هر سازمانی باید نقش خودش را به درستی انجام دهد. بنا به گفته Engle: «دولت‌ها حتی فرصت کافی برای حفاظت از خودشان در برابر تهدیدات مستمر و پیشرفته امروزی را نداشته و قادر به محافظت از همه سازمان‌ها نیستند».

۱۸. می‌توانید با نصب وصله‌های امنیتی بر روی همه نرم‌افزارها و سخت‌افزارهای داخلی، با حملات زنجیره تأمین مقابله کنید

DJ Sampath بنیانگذار و مدیرعامل شرکت Armorblox معتقد است که ایمن‌سازی زنجیره تأمین کار چندان راحتی نیست. او می‌گوید: «سیستم‌های به روز نشده و آسیب‌پذیری‌های نرم‌افزاری فقط یکی از ابزارهای مهاجمان سایبری برای نفوذ به سیستم‌ها و اجرای حملاتشان هستند. سازمان‌ها باید یک طرح جامع جهت مدیریت وندورها در صورت هک ایمیل شغلی، تصاحب حساب‌های کاربری و حرکت عرضی مهاجمان در محیط شبکه وندورها داشته باشند». عدم توجه به چنین مسائلی می‌تواند منجر به ایجاد خسارت‌های بسیار سنگین شود.

بنا به گفته Sampath: «برای مثال یک مرد اهل لیتوانی از طریق هک ایمیل شغلی، موفق به سرقت ۱۲۰ میلیون دلار شد».

۱۹. فایروال برای ایجاد امنیت و حفاظت از داده‌های سازمان کافی است

گسترش دورکاری و مدل کار ترکیبی منجر به افزایش فعالیت کارکنان در محیط‌های خارج از سازمان شده است. بنا به گفته Giaquinto: «در حال حاضر با توجه به توسعه مدل کاری ترکیبی و فعالیت کارمندان در خانه برای انجام وظایف کاری‌شان،  شبکه سازمانی فقط شامل محیط امن درون سازمان نیست». بنابراین شرکت‌ها باید توجه کنند که هویت‌ها صرف نظر از موقعیت آنها تأثیر بسیار زیادی بر روی محیط امنیتی سازمان گذاشته و از پیاده‌سازی رویکردهای امنیتی قوی مثل اعتماد صفر غافل نشوند».

همچنین استفاده از راهکارهای زیرساخت کلید عمومی یا PKI (مخفف Public key infrastructure) جهت پشتیبانی و محافظت از اطلاعات نقش مهمی در شکل‌گیری محیط‌های اعتماد صفر دارد.

۲۰. ارزیابی گسترده و پیوسته نرم‌افزارها به تنهایی مانع از وقوع حملات می‌شود

اگرچه تست نرم‌افزار از جمله اقدامات کاربردی برای مقابله با حملات سایبری است اما به تنهایی قابلیت‌های لازم جهت محافظت از شبکه و سیستم‌های سازمانی را ندارد. بنا به گفته Satya Gupta بنیانگذار و مدیر ارشد فناوری شرکت Virsec: «حتی در صورت تست نرم‌افزار همچنان امکان عدم شناسایی یکسری آسیب‌پذیری‌ها توسط سازمان‌ها و نفوذ از طریق آنها برای مهاجمان وجود دارد». Gupta با اشاره به آسیب‌پذیری PrintNightmare که در کدهای ویندوز ۲۰۰۳ یافت شده بود، می‌گوید: «حتی مایکروسافت هم قادر به شناسایی این آسیب‌پذیری نبود».

همچنین اگرچه در حال حاضر سازمان‌ها تعداد بسیار زیادی از طرح‌های شکار باگ را اجرا می‌کنند ولی عدم مدیریت صحیح این طرح‌ها منجر به ایجاد حس امنیت کاذب در سازمان‌ها می‌شود.

۲۱. بارگذاری کدهای جاوا ناامن از راه دور مخاطره‌آمیز نیستند

بنا به گفته Petro: «واضح است که چنین اقدامی پیامدهای منفی بسیار زیادی را به همراه خواهد داشت ولی همچنان بسیاری از نرم‌افزارهای جاوا این کار را انجام می‌دهند». وی توصیه می‌کند که بارگذاری از راه دور کدهای جاوا  هر چه سریع‌تر باید متوقف شود.

۲۲. تفسیر و رمزگشایی ارتباطات رمزنگاری شده توسط نهادهای قانونی منجر به افزایش امنیتی‌مان می‌شود.

دولت‌ها در سراسر جهان همواره در حال تلاش برای وضع قوانینی هستند که امکان تفسیر، ذخیره و رمزگشایی پیام‌های مبادله شده در پیام‌رسان‌های واتساپ، سیگنال و تلگرام برای آنها فراهم شود.

Sabina-Alexandra Stefanescu محقق مستقل امنیت سایبری می‌گوید: «با توجه به حقوق افراد مبنی بر حفظ حریم‌ شخصی‌شان، انجام چنین اقداماتی حتی از سوی مقامات دولتی غیرمجاز است.  در کشورهایی که فعالان سیاسی و خبرنگارانی که تحت فشارهای شدید دولت هستند، آخرین راهکار این افراد برای انجام تحقیقات‌شان ذخیره فایل و مبادله پیام به صورت رمزنگاری شده است».

Stefanescu معتقد است که چنین قوانینی نه تنها هیچ سودی ندارند بلکه منجر به ایجاد آسیب‌پذیری‌های امنیتی بسیار زیادی هم می‌شوند.

منبع: فراست