روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ رخدادهای سایبری مهم دلیل خوبی برای ارتقای نه تنها بخش امنیت اطلاعات که همچنین بخش فناوری اطلاعات هستند. مدیریت به تخصیص منابع تمایل دارد و واقعاً خواستار تغییر مثبت است اما در عین حال باید در مورد مقیاس و بودجه واقعگرا بود. سوال این است که چه اقداماتی بزرگترین کمک را به جلوگیری و کاهش اثر رخدادهای جدید میکند؟ آماده بودن برای حملات سایبری آتی «مقاومت سایبری» نام دارد و این فقط به معنای تقویت لایههای دفاعی نیست. برای یک شرکت، مقاومت سایبری توانایی در ایستادن روبروی حمله سایبری یا سایر رخدادهای سایبری است. این یعنی برخوردار بودن از ابزارهای فنی و سازمانی برای شناسایی، واکنش به رخدادها و نیز گذار از آنها با سلامتی کامل است. سپس باید سازگاری صورت گیرد و از آنها نیز درسهایی گرفته شود. این مفهوم در استاندارد ISO/IEC 27001 بیان شده است. یا به قول برخی از سازمانها: چطور یک سازمان میتواند جلوی نفوذ باجافزارها را بگیرد و اگر باجافزاری رخنه کرد چطور میشود جلوی ضرر آن را گرفت؟ در این مقاله قصد داریم به این سوالات پاسخ دهیم. با ما همراه بمانید.
از کجا باید شروع کرد؟
فهرست فناوریهای جلوگیری و کاهش از حمله سایبری ته ندارد. باید با ارزیابی ریسکها و خسارات ناشی از رخدادهای مختلف امنیت سایبری اولویتبندی کرد و از محتملترین حملات از فریمورک ATT&CK پیشگیری نمود. همچنین میبایست یکی از چندین راهکارها برای کاهش ریسکهای مشخص را به کار برد. اما ابتدا باید به چندین گام اولیه توجه داشت: ابتدا توصیه داریم تمرکز روی راهکارهای هستهای باشد که آنقدر اثرگذار خواهند بود که سایر پروژهها تا وقتی این اصول اجرایی نشوند به تعویق خواهند افتاد. همه راهکارهای این فهرست مشخصاً ریسک شایعترین حملات را پایین میآورند و اگر نفوذی رخ دهد واکنش به آن و کاهش خسارت سادهسازی خواهد شد. پس اگر شرکت شما از این فهرست چیزی کم دارد امروز آن را پیادهسازی کنید. نمیتوانیم تأکید کنیم که این فناوریها روی همه کامپیوترهای شرکت شما باید پیاده شوند. این یعنی همه اندپوینتها شامل همه لپتاپها و اسمارتفونهای سازمانی و شخصی، همه سرورها و همه ورکلودهای مجازی و کانتینری. اما ایراد کار اینجاست: shadow IT. علیرغم بهترین تلاشها، شاید متوجه حضور برخی کامپیوترها و سرورها نباشید. پس با تهیه لیست موجودی همه داراییهای آیتی خود شروع کنید تا مطمئن شوید خطمشی های امنیتی همه زیرساخت سازمانی شما را پوشش میدهد.
شناسایی و واکنش اندپوینت
همه کامپیوترها شامل سرورها و ماشینهای مجازی باید EDR را نصب کرده باشند و قابلیت مسدودسازی تهدید رویشان فعال شده باشد. EDR فناوری هستهای محافظتی است که محافظت بدافزار را با نظارت و واکنش برای سیستمهای امنیت اطلاعات پیچیدهتر ترکیب میکند. مطمئن شوید میتوانید از همه کامپیوترها تلهمتری دریافت کنید زیرا هر متخصص امنیتی داخلی یا خارجی نیاز خواهد داشت سریعاً رخدادهای احتمالی را تحلیل کند. فروشندگان مهم مانند کسپرسکی به طور خودکار اکثریت تهدیدهای شایع سایبری را بلاک میکنند پس مطمئن شوید همه قابلیتهای بلوکه کردن فعالیتهای مخرب شناختهشده روی همه کامپیوترها تحت یک خطمشی یکپارچه فعال است.
احراز هویت چندعاملی
طبق برآوردهای مختلف، بین 60 تا 80 درصد حملات سایبری با سرقت اکانت شروع میشوند. برای همین است ناروا است از دسترسی به سیستمهای کامپیوتری فقط با یک پسورد تنها محافظت کرد. خیلی راحت میشود آن را حدس زد، سرقت کرد یا اقدام به جستجوی فراگیر نمود. لاگین کاربر باید با احراز هویت چندعاملی اجرا شود. شایعترین فرم آن دوعامل را به کار میبندد (پسورد و کد یکبار مصرف). بنابراین بدان احراز هویت چندعاملی یا دوعاملی میگویند. مقرونبهصرفهترین راهکارها بسته به ویژگیهای سازمان و موقعیت و سمت کارمند از اپ احرازگر استفاده میکنند میتواند هر ترکیبی از اپ، توکن یواسبی، بیومتریک و غیره باشد. به طور کلی، احراز هویت چندعاملی برای هر سیستم شرکت توصیه میشود اما بکارگیری آن باید برای سرویسهایی که به طور خارجی در دسترس هستند مانند ایمیل و ویپیان اولویتبندی شود.
بکآپهای محافظتشده
بکآپها مدتهاست از شرکتها صیانت کردهاند (در برابر آتشسوزی و خرابی های سختافزاری). آنها همچنین جلوی تعدادی از حملات سایبری را نیز میگیرند. عاملین باجافزار کاملاً نسبت به این موضوع واقفند پس هر حمله باجافزاری شامل حذف هدفدارِ کپیهای بکآپ از اطلاعات میشوند. به همین دلیل یک استراتژی بکآپ باید شامل هه سناریوها شود؛ مانند ریکاوری سریع از خرابی یا سایر رخدادهای آیتی و نیز ریکاوری تضمینی در صورت حمله باجافزاری. همچنین خیلی احتمالش هست که دو بکآپ جداگانه نیاز شود. بکآپهای مقاوم در برابر باجافزار آنهایی هستند که در رسانه ذخیره میشوند؛ رسانههایی که به طور فیزیکی از شبکه جدا هستند (شاید سخت باشند اما قابل اطمینان هستند)؛ همچنین اینها ذخیرهگاههای ابری تغییرناپذیر نیز هستند که در آنها دادهها را میتواند اضافه کرد اما نمیتوان جایگزین یا حذف نمود (راحت و قابلاطمینان اما بالقوه گران). بعد از ساحت بکآپی تغییرناپذیر باید آموز ریکاوری داده صورت داد تا اولاً اطمینان حاصل شود این امر صورت گرفته، دوماً زمان لازم برآورد شود و سوم اینکه زمان لازم برای اینکه تیم به حمله واقعی واکنش نشان دهد تخمین زده شود.
بکارگیری و مدیریت پچ
همه رایانههای موجود در شرکت، اعم از دسکتاپ، سرور مجازی یا لپتاپ یک کارمند در سفر کاری، باید دارای ابزارهایی نصب شده باشند که به مدیران اجازه دهد دستگاه را از راه دور مدیریت کنند. اقدامات حیاتی شامل تشخیص رایانه (بررسی در دسترس بودن برنامه های ضروری، بررسی وضعیت شبکه، سلامت VPN، به روز رسانی EDR و غیره)، نصب برنامهها و آپدیتها، آزمایش آسیب پذیریها و غیره است. چنین قابلیتهایی هم برای کارهای روزمره و هم در هنگام واکنش به رخداد حیاتی هستند. در عملیات روزانه، آنها از بهداشت سایبری مانند نصب سریع به روز رسانی های امنیتی مهم در همه رایانه ها اطمینان میدهند. در طول بروز رخدادها، ممکن است لازم باشد، مثلاً، یک ابزار تخصصی راه اندازی یا یک گواهی نصب شود - و فقط سیستمهای مدیریتی باید مجاز به انجام این کار در یک بازه زمانی معقول باشند، از جمله برای کارمندان از راه دور. بهترین گزینه برای این کار، سیستمهای UEM هستند که به شما امکان میدهند دستگاههای مختلفی از جمله رایانههای کاری و شخصی و تلفنهای هوشمند را مدیریت کنید و سیاستهای شرکت را در مورد آنها اعمال کنید. شما همچنین می توانید خود را با راهکارهای بسیار تخصصی، مانند مدیریت پچ، VNC/RDP و سایر سیستم ها مسلح کنید.
پسوردهای منحصر به فرد
مدیریت دسترسی ممتاز و شناسایی امنیت یک موضوع بسیار گسترده است. امنیت هویت خوشساخت هم سطح حفاظت شرکت را افزایش میدهد و هم زندگی کارمندان را ساده میکند. اما پیادهسازی کامل میتواند پروژهای زمانبر باشد، بنابراین تمرکز اولیه باید روی موارد ضروری باشد، اولین مورد این است که اطمینان حاصل شود هر کامپیوتر در شرکت توسط یک رمز عبور مدیر محلی منحصر به فرد محافظت میشود. برای اجرای این اقدام از ابزار رایگان LAPS استفاده کنید. این اقدام احتیاطی ساده مانع از حرکت سریع مهاجمان در شبکه میشود و کامپیوترها را یک به یک با استفاده از رمز عبور یکسان به خطر میاندازد.
کاهش سرویسهای آسیبپذیر
مرتباً آدرسهای آیپی شرکت خود را از اینترنت اسکن کنید تا مطمئن شوید سرورها و سرویسهایی که فقط باید روی شبکه لوکال قابل دسترسی باشند در دسترس عموم نیستند. چنانچه سرویسی در اینترنت پدیدار شد سریع نسبت به مسدودسازی دسترسی خارجیاش از اینترنت اقدام کنید. اگر به هر دلیلی باید از اینترنت قابل دسترسی باشد آپدیتهای معمول امنیتی را به کار برده و از آن با احراز هویت دوعاملی محافظت کنید. این اقدامات خصوصاً برای تارگتهای مورد پسند هکرها مانند کنسولهای وب مدیریت، RDP, Telnet/SSH, SMB, SNMP و FTP مهم هستند. بهتر است فرض کنیم همه سرویسها در اینترنت دیده میشوند و باید آسیبپذیری آنها را اسکن کرد؛ همینطور پسوردها و سایر نقایص را نیز میبایست مرتباً مورد نظارت قرار داد.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
