امنیت سیستم خود را چطوری برقرار کنیم : با راهکارهایی که برای شما در نظر گرفتیم در این مقاله میتوانید امنیت خود را بالا ببرید و این مباحث را رعایت کنید.
پس از شیوع بیماری کرونا و اجرای قوانین قرنطینه در کشورهای مختلف جهان، بیشتر کارمندان مجبور به دورکاری شده و همچنان نیز هم خودشان و هم بعضی از سازمانها مایل به ادامه این شرایط هستند. حتی بسیاری از شرکتها ممکن است پس از پایان کرونا هیچوقت دوباره همه کارمندانشان را ملزم به حضور در محیط سازمانی و انجام کارها به صورت حضوری نکنند؛ بنابراین امکان کارکردن از راه دور تبدیل به یک گزینه اختیاری و شاید هم تا حدودی اجباری شده است؛ درحالیکه درگذشته فقط برای تعداد کمی از مشاغل از جمله کارشناسان فروش چنین امکانی وجود داشت. یکی از مهمترین مزیتهای دورکاری دغدغه نداشتن برای انتخاب محل کار است اما چیزی که همیشه مدیران و مسئولان سازمانها را نگران کرده است امنیت اطلاعات است. به طور مثال استفاده از شبکههای Wi-Fi ناامن، نصب برنامههای نامعتبر و نگهداری اسناد محرمانه توسط کارمندان تهدیدات امنیت اطلاعات محسوب میشوند. شرکتهایی که دورکاری برای کارمندان خود برگزیدهاند، موظف به انجام راهکارهای امنیتی برای حفظ اطلاعاتشان هستند.
استفاده از یک شبکه Wi-Fi نامطمئن متداولترین نوع تهدید برای امنیت اطلاعات یک شرکت محسوب میشود. نیاز به خروج از خانه و یا وسوسهٔ کافهٔ نزدیک محل زندگی را نمیتوان نادیده گرفت. البته بهتر است تا قطع زنجیره شیوع بیماری کرونا از حضور در مکانهای پرتردد و شلوغ خودداری کنید. منع کارکنانتان از کار در محیطی که احساس انرژی و انگیزه بیشتری دارند کار عاقلانهای نیست. در چنین مواقعی تنها نیاز است که افراد دورکار از دانش کافی در زمینه راههای حفاظت از اطلاعات برخوردار باشند. آسانترین راهکار، تجهیز کارکنان با شبکه مجازی اختصاصی یا همان VPN است. استفاده از ویپیان پیش از اتصال به یک WiFi عمومی باعث کدگذاری ترافیک اینترنت فرد دورکار و تشخیص و مدیریت هر نشانهای از تهدید میشود. با این راهکار افراد دورکار از احساس انزوا دور میشوند و درعینحال سازمانها میتوانند از حفظ امنیت اطلاعاتشان مطمئن باشند.
نکتهٔ قابلتوجه آن است که VPNها یکسان نیستند. برای کسب اطمینان از انتخاب درست، نیازهای خود را در این زمینه بازبینی کنید و پس از انتخاب VPN استاندارد، از اعتبار تأمینکنندهٔ آن اطمینان کسب کنید و میزان هزینه را به صورت مقایسهای بررسی کنید.
اگرچه امنیت رمزها یکی از راههای آسان حفاظت از اطلاعات سازمانی است اما ممکن است بسیاری از افراد اهمیت پسوردها را جدی نگرفته و از یک پسورد برای تمامی حسابهای کاربری و دستگاههای خود استفاده کنند. آگاهیبخشی به کارکنان دربارهٔ اهمیت رمزگذاری و تنظیم پسوردهای قوی امری ضروری است. استفاده از یک نرمافزار مدیریت رمز که به صورت تصادفی رمزهای جدید تولید و رمزهای پیشین شما را حفظ کند، میتواند اقدامی مؤثر در این امر باشد. با این روش شما میتوانید علاوه بر حفاظت از پسورد خود، امنیت اطلاعات شرکتتان را نیز حفظ کنید.
تأیید هویت دومرحلهای راهی دومرحلهای برای تأیید هویت کاربر است که توسط بسیاری از سازمانها و نرمافزارها به کار گرفته میشود. در این روش ابتدا هویت کاربر با روش معمول نام کاربری و رمز عبور شناسایی شده و سپس با استفاده از بخش بعدی اطلاعات، مثل یک سؤال شخصیسازی شده و یا کدی که به تلفن همراه آن نام کاربری ارسال و هویت وی تأیید میگردد. با این روش امکان دسترسی افراد سودجو بهحساب کاربری حتی با دردستداشتن رمز بسیار کاهش مییابد. این راهکاری برای تقویت امنیت دسترسی به اطلاعات در زمان دورکاری است. در برخی مراکز حساس از روشهای گران و پیچیدهای مثل تشخیص شبکیه چشم، صدا و یا اثر انگشت هم برای تأیید هویت استفاده میشود.
4.استفاده از نرمافزار کدگذاری
استفاده از نرمافزار کدگذاری راه دیگری برای کارکنان دورکار و شرکتها در راستای حفاظت از اطلاعات کاری است. اگر دستگاه یکی از کارکنان شرکت دزدیده یا گم شود اطلاعات روی آن دستگاه در معرض خطر سوءاستفاده خواهد بود. نرمافزارهای کدگذاری قابلیت نگهداری از اطلاعات شرکت را با قطع دسترسی هرگونه کاربر شناسایی نشده توسط آن دستگاه دارند. علاوهبرآن، کسبوکارها باید در نظر داشته باشند که هر برنامهای که برای گفتوگو و چت، ایمیل و … استفاده میشود باید از رمزگذاری سرتاسری یا کاربربهکاربر استفاده کند. برنامههای معروفی مثل Microsoft Office یا Adobe Acrobat بهراحتی فایلها و اسنادی را که کارمندان در دورکاری استفاده و یا با همکارانشان به اشتراک میگذارند، رمزگذاری میکنند.
5- استفاده از آنتیویروس و آنتی بدافزار
استفاده افراد دورکار از نرمافزارهای آنتیویروس و آنتی بدافزار بر روی تمامی دستگاهها اعم از تلفن همراه، تبلت و لپتاپ امری بسیار ضروری است. برخی شرکتها ممکن است نیازمند قابلیت حذف دادهها در صورت گم و یا دزدیده شدن دستگاه باشند. معمولاً پلتفرمهای مدیریتی ابزار موبایل اکثر این خدمات را ارائه میکنند و به افراد دورکار امکان استفاده از سیستمها و دستگاههای شخصی در عین حفاظت اطلاعات را میدهند. تمامی کارکنان ممکن است اطلاعات لازم فنی در زمینهٔ نصب و اجرای این تنظیمات امنیتی را نداشته باشند؛ بنابراین سازمانها باید به فکر تأمین پشتیبانی فنی توسط افراد متخصص باشند تا در صورت نیاز به سایر کارکنان کمک کنند.
اکسپلویت کیتها تهدیدات خودکاری هستند که از سایتهای آسیبپذیر برای انحراف مسیر ترافیک وب، اسکن و شناسایی برنامههای آسیبپذیر مبتنی بر مرورگر و اجرای حملات بدافزاری استفاده میکنند.
اکسپلویت کیتها بهعنوان روشی برای استفاده از آسیبپذیریهای موجود در سیستمهای قربانیان در هنگام مرور وب، به صورت خودکار و مخفیانه ساخته شدهاند. به دلیل ماهیت خودکار بودن اکسپلویت کیتها، این ابزار به یکی از محبوبترین روشهای توزیع بدافزار یا ابزارهای دسترسی از راه دور RAT برای مجرمان سایبری تبدیل شده که میتواند نفوذ را برای آنها آسانتر کند. علاوه بر این، اکسپلویت کیتها قابلیت درآمدزایی برای مهاجمان را چندین برابر کردهاند. سازندگان اکسپلویت کیتها تولیداتشان را به شکل «اکسپلویت کیت به صورت سرویس» در بازارهای سیاه زیرزمینی به فروش میرسانند که در این بازارها هزینه بعضی از کیتهای پیشرفته تا هزاران دلار در ماه هم میرسد.
تبهکاران از این اکسپلویت کیتها برای کنترل دستگاهها استفاده میکنند. در یک اکسپلویت کیت باید یکسری اتفاقها روی دهد تا فرایند آلودهسازی سیستم کاربر با موفقیت انجام شود. این مراحل، از یک صفحه لندینگ شروع شده و به اجرای اکسپلویت و دریافت اطلاعات موردنظر ختم میشود. در نهایت برای این که مهاجم بتواند کنترل رایانه میزبان را به دست بگیرد باید همه مراحل با موفقیت سپری شوند.
صفحه لندینگ
کار اکسپلویت کیت با یک وبسایت آسیبپذیر آغاز میشود. صفحه آلوده، کاربران را به صورت مخفیانه به صفحه لندینگ هدایت میکند. در این صفحه لندینگ، کدی قرار دارد که مشخصات دستگاه قربانی و برنامههای کاربردی آسیبپذیر مبتنی بر مرورگر در سیستم وی را ثبت میکند. اگر سیستم، به صورت کامل بهروزرسانی شده باشد، عملیات اکسپلویت کیت متوقف میشود اما در صورت وجود هرگونه آسیبپذیری و نقطهضعفی در سیستم کاربر، وبسایت آلوده به صورت مخفیانه ترافیک رایانه وی را به سمت اکسپلویت هدایت میکند.
اکسپلویت
اکسپلویت از یک برنامه کاربردی آسیبپذیر برای اجرای مخفیانه بدافزار بر روی سیستم میزبان استفاده میکند.
اکسپلویت مرورگر، امکان ارسال کدهایی را در بین ترافیک وب را دارد.
بستههای اطلاعاتی
وقتی اکسپلویت با موفقیت اجرا شود، یک بسته اطلاعاتی را برای آلوده کردن سیستم میزبان ارسال میکند. این بسته اطلاعاتی میتواند یک دانلود کننده فایل باشد که بدافزار دیگری یا خود بدافزار موردنظر را در سیستم قربانی دانلود میکند. باتوجهبه افزایش پیچیدگی اکسپلویت کیتها، در حال حاضر معمولاً بستههای اطلاعاتی به صورت کدهای باینری رمزنگاری شده ارسال میشوند و تنها زمانی که به سیستم قربانی رسیدند، رمزگشایی و اجرا خواهند شد. هرچند متداولترین Payloadها باجافزارها هستند اما انواع دیگری مثل بدافزارهای مخصوص بات نت، سرقت اطلاعات و تروجانهای بانکی هم وجود دارد.
یک نمونه از این موارد، استفاده از اکسپلویت کیت Neutrino برای انتشار باجافزار Locky در کمپین Afraidgate بود. در این حمله، صفحات وب آلوده حاوی اسکریپتی بودند که بازدیدکنندگان را به دامنه Afraidgate هدایت میکردند. پس از اتصال به URL آلوده؛ سرور، کدهای جاوا اسکریپت را به همراه یک iframe iframe مخفف inline frame بوده و یکی از تگهای HTML میباشد که برای نمایش یک صفحه از اینترنت در بخشی از سایت شما استفاده میشود ارسال میکرد تا بازدیدکننده را به صفحه فرود اکسپلویت کیت Neutrino هدایت کند. اگر استفاده از آسیبپذیری با جاوا اسکریپت موفقیتآمیز بود، بسته اطلاعاتی حاوی باجافزار Locky به سیستم میزبان ارسال میشد. در نهایت نیز سیستم مربوطه قفل شده و کنترل آن در اختیار مهاجم قرار میگرفت.
باتوجهبه این که میزان استفاده از اکسپلویت کیتها توسط مهاجمانی روزبهروز بیشتر میشود، ضروری است که کاربران توانایی محافظت از خودشان در برابر چنین حملاتی را داشته باشند.
شبیهسازی عملیات فیشینگ یا آزمون فیشینگ به یکی از محبوبترین برنامههای آموزش امنیت سایبری در سازمانها در هراندازه کوچک و بزرگ تبدیل شده است. آزمون فیشینگ به کارمندان امنیتی اجازه میدهد تا ایمیلهایی را به صورت یکجا برای کارمندان تهیه و ارسال کنند. این ایمیلها مانند ایمیلهای فیشینگ مخرب واقعی طراحی شدهاند و بسیار طبیعی و فریبنده عمل میکنند. این ایمیلها معمولاً شامل حقههایی مانند اطلاعیه تحویل کالا، درخواست پرداخت فاکتور و شایعات مربوط به شخصیتهای مشهور میباشد.
تحت نظارت و کنترل تیم امنیتی میتوان سطح آگاهی امنیتی کارکنان را با استفاده از این آزمونها بررسی نمود. برخی از مواردی که در این آزمون مورد بررسی قرار میگیرد، شامل موارد زیر میباشد:
آزمون فیشینگ یک شرکت راهآهن در انگلستان
باتوجهبه آنچه که در بالا گفته شد، یکسری از عملکردهای خاص امنیتی منجر به ایجاد پرسشهای مهمی درباره روشهای اجرای آزمون فیشینگ شدهاند. بهعنوانمثال، یک شرکت راهآهن در انگلستان آزمون فیشینگی را برای کارمندانش اجرا کرد که بهخاطر موضوع آن مورد انتقادهای بسیاری قرار گرفت.
آنها ایمیلی را که بهظاهر از سمت بخش امور مالی و حسابداری این شرکت تنظیم شده بود را به کارمندان خود ارسال کرد. آنها در این ایمیل اظهار داشتند: پرسنل به دلیل همکاریهایی که در دوره شیوع بیماری کرونا انجام دادهاند، مشمول دریافت پاداش شدهاند بنابراین برای اطلاع از جزئیات نحوه دریافت آن، بر روی یک لینک مایکروسافت آفیس ۳۶۵ کلیک کنند. این لینک آنها را به سمت وبسایت فیشینگ شبیهسازی شدهای هدایت میکرد. کارمندانی که بر روی این لینک کلیک میکردند یک ایمیل از تیم منابع انسانی شرکت دریافت مینمودند که در آن درباره چنین حملاتی و ضرورت خودداری از ورود اعتبارنامههای دیجیتال نام کاربری و کلمه عبور در این سایتها هشدار داده شده بود.
آزمون فیشینگ اخلاقی
پرداخت پول یکی از روشهای پرکاربرد و کارآمد مورداستفاده مجرمان سایبری برای فریب کاربران است اما استفاده از چنین رویکردی در یک آزمون فیشینگ، منجر به ایجاد پرسشهایی درباره آنچه در این آزمونها اخلاقی محسوب شده است میشود. اما باید اطمینان حاصل کرد که آزمون فیشینگ یک ابزار آموزش کارآمد، مفید و مؤثر برای سازمان و کارمندان است و ضرر آن بیشتر از سود آن نیست.
دکتر Jessica Barker مؤسس، مدیرعامل و مدیر امور اجتماعی فنی شرکت Cygenta دراینخصوص میگوید: «سازمانها باید برای آزمون فیشینگ، در محدودههای تعیین شده عمل کنند چون احتمال ایجاد آسیبهای چشمگیر در هنگام شبیهسازی عملیات حملات فیشینگ وجود دارد. استفاده از حقههای احساسی مثل ادعای پرداخت پاداش نقدی و یا مراقبتهای بهداشتی بهخصوص در پرتوی شیوع بیماری کرونا نقش مهمی در تخریب سلامت احساسی دریافتکنندگان ایمیل دارد که این موضوع به نوبه خود میتواند بر امنیت، اعتماد و فرهنگ درون محیط کار تأثیرگذار باشد».
این شرایط میتواند صرفنظر از تلاشهای تیم امنیت سایبری، باعث رنجش کارمندان از آنها شود. Barker اظهار داشته است: «مردم معمولاً علاقهای ندارند که فریب داده شوند و به اشخاصی که آنها را فریب میدهند دیگر اعتماد نمیکنند. یکی از استدلالهای تیمهای امنیتی سازمانها این است که وقتی مجرمان در حملات فیشینگ از ترفندهای احساسی استفاده میکنند، چرا ما این کار را نکنیم؟ اما باید به این نکته توجه داشت که ما نباید از لحاظ روانی و اخلاقی کارکنان شرکت را رنجانده و آنها را به خود بیاعتماد کنیم».
سازمانها باید قالب ایمیلهای فیشینگ را با دقت انتخاب کرده و از بهکاربردن موضوعهایی که منجر به ناراحتی کارمندان میشوند جدا خودداری کنند. دکتر John Blythe مدیر علوم رفتاری شرکت CybSafe هم با این دیدگاه موافق است.
هدف از انجام آزمونهای فیشینگ
برای اجرای شبیهسازیهای فیشینگی که اخلاقی و کارآمد باشند، در گام اول باید هدف از اجرای این آزمونها را درک کنید. Barker میگوید: «نکته کلیدی که برای مرحله طراحی شبیهسازیهای فیشینگ توصیه میکنم این است که دلیل اجرای آزمونها را در نظر بگیرید. اگر شبیهسازی فیشینگ را یک تمرین تصادفی و بیپایهواساس میدانید توصیه میکنم که یک مرحله به عقب برگشته و بر روی این موضوع فکر کنید؛ چون چنین کاری آموزش نیست بلکه فریب است. اگر این آزمونها را نوعی آموزش در نظر میگیرید، به این فکر کنید که به دنبال آموزش چه رفتاری هستید؟».
سازمانها باید به این نکته توجه داشته باشند که هدف از اجرای سناریوهای آزمون، ایجاد یک درک کلی درباره ایمیلهای فیشینگ است و اینکه کاربران بتوانند تواناییشان را برای تشخیص حملات فیشینگ محک بزنند. دکتر Barker معتقد است که: «هنوز هم تمرکز اصلی بسیاری از شبیهسازیهای فیشینگ، کاهش میزان کلیک است. افراد همیشه بر روی لینکها کلیک میکنند بهخصوص در ایمیلهای فیشینگی که طراحی باکیفیتی نیز داشته باشند. برای کارآمدتر شدن هر چه بیشتر آزمونها نباید تمرکز اصلی، کاهش میزان کلیک باشد بلکه باید افزایش تعداد گزارشها باشد. در نهایت، هدف اصلی اجرای شبیهسازی فیشینگ، درک شرایط سازمان و احترام گذاشتن به آن است».
ایجاد اعتماد از طریق برقراری ارتباط
Blythe، شفافیت را عنصر مهم بعدی آزمونهای فیشینگ میداند. او میگوید: «سازمانها باید با کارمندانشان برخوردی شفاف داشته باشند و به آنها اطلاع دهند قرار است یک حمله فیشینگ شبیهسازی شده اجرا کنند و بر اینکه این حمله بهعنوان یک ابزار آموزشی طراحی شده است تأکید کنند. بدون ایجاد اعتماد، ممکن است کارمندان دلخور شده و احساس کنند تحت نظارت هستند یا اینکه سازمان به دنبال گیر انداختن آنها است».
ا Jones نیز اعلام کرد: «کاربران باید بهتدریج با ایده فیشینگ آشنا شوند. به آنها آموزش دهید که در حملات فیشینگ به دنبال چه علائمی بوده و چگونه به آنها واکنش نشان دهند. فرهنگ ارتباطی که بر مبنای این فرایند ایجاد میشود، همان چیزی است که باید به دنبال آن باشید».
ارائه بازخوردهای مثبت
ارائه بازخوردهای مثبت نقش مهمی در اثربخشی آزمونهای فیشینگ داشته و بر دیدگاه کاربران نسبت به اخلاقی بودن یا نبودن رویکرد سازمان هم تأثیرگذار است. مثلاً تیمهای امنیتی باید بهجای سرزنش یا تنبیه کارمندانی که در آزمونها شکست میخورند و ممکن است باعث ایجاد حس منفی، تحقیر و ناامیدی در آنها شود، تمرکزشان را معطوف بر تشویق رفتارها و واکنشهایی کنند که به دنبال تقویت و ترویج آنها هستند. بر اساس گفتههای Barker: این رویکرد مثبت تأثیر بسیار بیشتری داشته و منجر به جلب مشارکت مؤثر افراد میشود.
Gary Warner مدیر اطلاعات شرکت DarkTower هم توصیه مشابهی را مطرح میکند و با اشاره به یکی از تجربیات خودش، شرکتها را تشویق به استفاده از سیاست هویج بهجای چماق مینماید. او میگوید: من به رئیسم گفتم که میتوانم با صد دلار میزان گزارش ایمیلهای مشکوک را افزایش دهم. سپس جدیدترین گزارشی را که داشتیم دریافت نموده و یک تحلیل کامل بر روی آن انجام دادم. در نهایت یک ایمیل با متن زیر در سطح کل سازمان ارسال کردم:
جو در مرکز پشتیبانی یک ایمیل مشکوک دریافت کرد و آن را فوراً به ایمیل را به آدرس phishing@myoldjob.com ارسال کرد. اگر بهجای این کار بر روی لینک ارسال شده کلیک میکرد، رایانهاش را با ویروس X آلوده میشد که این آلودگی منجر به سرقت اطلاعات ما و ارسال آن برای کشورهای بیگانه میگشت! برای تشکر از این اقدام جو، ما او را با یک همراه، به یک ناهار در رستوران دعوت کردیم. از اینکه از سازمان محافظت کردی، متشکرم جو!
آیا شما تابهحال چنین ایمیلهای مشکوکی را دریافت کردهاید؟ در این صورت لطفاً این ایمیلها را به آدرس phishing@myoldjob.com ارسال کنید. شاید با این اقدام بتوانید از سازمان در برابر یک حمله سایبری حفاظت کرده و خودتان هم برنده جایزه شوید.
«بعدازاین اقدام، میزان گزارش ایمیلهای فیشینگ هزار درصد افزایش یافت و هزینه این طرح و پاداش آن تنها صد دلار در ماه بود!».
اگرچه ممکن است عدهای ترفند مورداستفاده Garner را به شبیهسازی فیشینگ شرکت WMT شباهت دهند اما روش کلی مورداستفاده او کاملاً متفاوت بود چون Garner این کار را به صورت واضح، آموزنده و بدون استفاده از شیوه بیان احساسی و تشویق کاربر به اقدام فوری انجام داده بود علاوه بر این، Garner واقعاً به کارمندان پاداش میداد برخلاف شرکت WMT که کاملاً از یک وعده غیرواقعی استفاده کرد. این نمونه بارزی از چگونگی استفاده از رویکرد مثبت برای تشویق کاربران به پرورش عادتهای رفتاری مثبت امنیتی است.
تبدیل شکستهای فیشینگی به پیروزیهای امنیتی
پس از جمعآوری اطلاعات از فرایند شبیهسازی آزمون فیشینگ، کارهایی که توسط تیم امنیتی در مراحل بعدی انجام میشوند هم اهمیت بسیار زیادی دارند. تمرکز تیم امنیت نباید فقط کاربران باشد بلکه باید به این فکر کنند کل سازمان چگونه میتواند از نتایج شبیهسازیها منفعت ببرد.
Jones میگوید: «شاید این شعار، کلیشهای باشد ولی در حوزه امنیت سایبری، دادهها پادشاه هستند. همه چیز از دادههای فنی گرفته تا گزارشهای امنیتی و اطلاعات کاربران، همگی دانشی مهم و حیاتی را فراهم میکنند. کارمندان اولین خط دفاعی یک سازمان هستند بنابراین تصمیمگیران باید از مخاطرات ایجاد شده توسط آنها آگاه باشند بهخصوص باتوجهبه اینکه اجرای یک حمله فیشینگ موفق میتواند باعث دورزدن تمام ابزارهای امنیتی توسط یک بدافزار شود».
بااینحال برای جلب مشارکت اشخاصی که در فرایند آزمون شکستخوردهاند، تشویق و آموزش امنیتی اهمیت بسیار زیادی دارد. Blythe میگوید: «وقتی افراد بر روی یک ایمیل فیشینگ شبیهسازی شده کلیک میکنند باید بازخوردی مفید و بهموقع دریافت نمایند. این بازخورد باید مختصر و جذبکننده باشد نه یک تنبیه یا توضیح طولانی. در مجموع، رویکرد ما برای کاهش مخاطره سایبری عامل انسانی باید بیشتر مبتنی بر همراهی و همدلی باشد. در طولانیمدت احتمال موفقیت رویکرد درک و همراهی کارمندان برای کمک به تغییر رفتارشان، در مقایسه با سرزنش و تحقیر آنها بیشتر است».
Jones همچنین گفته: «میتوان از دادههای بهدستآمده از شبیهسازیهای فیشینگ هنگام برقراری ارتباط با مقامات دولتی هم استفاده کرد. بهاینترتیب کسبوکارها میتوانند اثبات کنند از تهدیدات داخلی مطلع بوده و اقدامهای لازم را برای مقابله با آنها انجام میدهند. آشکارسازی سطح مخاطرهای که کارمندان برای سازمان ایجاد میکنند و ارائه شواهد کافی مبنی بر ایجاد تغییر مثبت از طریق برقراری ارتباط و تشویق، یکی از نتایج حیاتی و مهم این شبیهسازیها است».
استفاده از ابزارها در زمان مناسب
آخرین نکته مهمی که سازمانها باید به آن توجه داشته باشند این است که آیا آزمون فیشینگ در زمان مناسب انجام میشود یا خیر؟
یکی از ویژگیهای این عملکرد، استفاده از آزمونهای فیشینگ سادهتر بهعنوان مقدمهای برای آشنایی با روشهای خطرناکتر مورداستفاده توسط مجرمان واقعی است. Jones میگوید: «برای اطمینان از اینکه کارمندان از خطر واقعی آگاه هستند میتوان یک جلسه آموزشی درباره روشهای مورداستفاده مجرمان سایبری بدون در معرض قراردادن کارمندان در چنین آزمونهایی برگزار کرد».
درهرصورت، برای امنیت و بهبود رفتار کارمندان بسیار کاربردی است که حملات فیشینگ شبیهسازی شده در سازمانها اجرا شود.
چه اطلاعاتی در رایانه خود دارید؟ ایمیلهای مهم، پروندههای محرمانه شرکت یا عکسهای قدیمی فرزندانتان؟ در طول زندگی، اطلاعات حساس شخصی یا کسبوکارتان در حافظه رایانه شما جمع میشوند، این همان چیزی است که شما را در برابر باجخواهی آسیبپذیر میکند. اگر در صفحه مانیتور خود بهجای صفحه همیشگی ناگهان فقط یک جمجمه یا نامه باجخواهی ظاهر شود، احتمالاً با باجافزار روبرو هستید.
باجافزار “Ransomware” به چه معناست؟
باجافزار “Ransomware” دقیقاً همان چیزی را که در عبارت بیان میکند انجام میدهد: باجافزار اطلاعات سیستمها را برای دریافت باج، نزد خود نگه میدارد. گاهی اوقات کارشناسان از رمزگذاری Trojans نیز صحبت میکنند: این نوع باجافزار اطلاعات کاربر را رمزگذاری میکند و بر اساس نحوه عملکرد باجافزار با نام دیگری ظاهر میشود که بهعنوان یک برنامه قانونی مبدل شود. با این راه به طور پنهانی وارد سیستم میشود و ناگهان کاربر با وحشت متوجه میشود که رایانه قفل شده است.
چگونه انواع مختلف باجافزارها را از یکدیگر تشخیص دهیم؟
بهطورکلی اولین چیزی که کاربر از باجافزار میبیند صفحه قفل شده یا یادداشت باجخواهی غیر قابل حذف میباشد. برخی از انواع باجافزارها دارای دوره نهفتگی هستند، به این معنی که کاربر زمانی متوجه باجافزار و اثرات مخرب آن میشود که دیگر به یاد نمیآورد که چه زمانی و کجا حمله باجافزار اتفاق افتاده است.
در حالت ایدئال، بدافزار میتواند توسط یک اسکنر ویروس شناسایی شود و بهعنوان یک نتیجه اسکن مثبت ظاهر شود. بااینحال، افرادی که هیچ آنتیویروسی نصب نکردهاند زمانی که دیگر دیر شده متوجه باجافزار میشوند. ازآنجاکه بسیاری از باجافزارها بعد از اجرای عملکرد مخرب دوباره خود را پاک میکنند، برای نرمافزار امنیتی شناسایی نرمافزارهای مخرب یک چالش واقعی است و تنها چیزی که کاربر کامپیوتر از باجافزار میبیند پنجره تقاضای پرداخت است که قابل حذف نیست.
نمونههایی از حمله باجافزارها
همراه با تصویر
Wannacry
در ساعتهای ابتدایی روز 12 می سال 2017، حمله بزرگ و وحشتناکی متشکل از آخرین نسخه باجافزار Wannacy شبکهها و بسیاری از رایانهها را در بر گرفت. در اسپانیا یک بخش تجهیزات ارتباطاتی بزرگ مورد حمله قرار گرفت. یک سرور داخلی در Telefonica که یک شبکه ارتباطی برای خطوط موبایل در آلمان است نیز آلوده شد. تنها راه جلوگیری و متوقف کردن آن این بود که کاربران بهسرعت سیستمهای خود را خاموش کرده و VPN خود را بهسرعت قطع کنند. بر طبق گزارش روزنامه اسپانیایی تعدادی از شرکتهای تأسیساتی بهوسیله این موج آلوده شدند که بر اساس بسیاری از گزارشها این آلودگیها در روسیه بهمراتب بیشتر بود.
petya
Petya زمانی که یک کاربر بیاطلاع یک فایل در dropbox را باز میکند، شیوع پیدا میکند منتشر میشود. در یک سری از مواقع petya در یک فایل dropbox پنهان میماند تا زمانی که بتواند کار خود را شروع کند. این رایجترین روش و تکنیک petya است که توسط آن کاربر را برای بارگیری petya فریب میدهد. هنگامی که کاربر بر روی فایل بارگیری شده کلیک میکند این اجازه را به prtya میدهد که شروع به کار کند و در کل سیستم پخش شود؛ بنابراین petya برای شروع به کار بهنوعی متکی به کمک کاربر است. بر خلاف locky، petya فایلها را رمزگذاری نمیکند اما دسترسی به اطلاعات را مسدود میکند. بدین ترتیب کامپیوتر نمیداند که اگر فایلها بر روی سیستم موجود باشند کدام یک از فایلها، فایل دروغی است.
Locky
یک نمونه معروف از رمزنگارها Locky میباشد که ویندوز و رایانههای اپل بیشماری را در فوریه سال 2016 در آلمان مورد حمله قرارداد. بااینحال چند نمونه از Locky در آمریکا نیز یافت شد. مجرمان با رمزگذاری مدارک پزشکی دو بیمارستان در آمریکا حدود 000/15 یورو به دست آوردند. طبق گزارش رسانهها، بیمارستانهای آلمان نیز توسط بدافزار Trojans مورد حمله قرار گرفتند.
Photo of a young and playful family walking on the beach
30% از کاربران در سراسر جهان هرگز سیستم خود را پشتیبانگیری نکردهاند.
منبع: World Backup Day
61% از شرکتکنندگان در نظرسنجی ازدستدادن عکس و فیلم شخصی خود میترسند.
منبع: Survey Acronis
51% از کاربران برای ذخیره اطلاعات خود از هارد خارج از سیستم استفاده میکنند.
چگونه ممکن است باجافزار را بارگیری کنیم؟
نکته جالب در مورد باجافزارها این است که مانند اکثر Trojanها خود را در پشت پیوندها یا پوشههای بیضرر پنهان میکنند. بهعنوانمثال Trojan Petya هنگام بازکردن Dropbox توسط کاربران ناآگاه، خود را توزیع میکند و کاربر با انجام این کار بدافزار را بارگیری میکند. اگر او بر روی پرونده بارگیری شده در رایانه شخصی خود کلیک کند، پرونده را اجرا میکند، پس Petya در سیستم شروع به توزیع خود میکند؛ بنابراین Petya به کمک کاربر که معتقد است در حال بازکردن یک پرونده استاندارد است باجافزار را نصب میکند.
این بدان معنی است که مسیر توزیع Trojan با بدافزارهای دیگر تفاوتی ندارد. این پروندهها اغلب از طریق یک وبسایت دستکاری شده، لینک در ایمیل یا پیام در یک شبکه اجتماعی به رایانه وارد میشوند، حتی بعضی اوقات مجرمان ایمیلهایی ارسال میکنند که حاوی یک یادآوری یا فاکتور است. در حقیقت بدافزارها در پوشههای پیوست بهجای اطلاعات مهم پنهان شدهاند.
باجافزار از چه زمانی وجود دارد؟
تهدید کاربران رایانه موضوع جدیدی نیست. اولین باجافزار در سال 1989، به نام دیسک Trojan AIDS منتشر شد، در آن زمان از طریق دیسک توزیع میشد. جیوزف پاپ، زیستشناس تکاملی و فارغالتحصیل دانشگاه هاروارد، 20 هزار دیسک آلوده را با عنوان “اطلاعات مربوط به ایدز – دیسک مقدماتی” برای شرکتکنندگان در کنفرانس بینالمللی ایدز سازمان بهداشت جهانی ارسال کرد و به این شکل باجافزار را در کامپیوترهای آنها اجرا کرد. پس بدافزار جایگزین یک فایل در سیستم autoexec.bat شد و به این صورت رمزگذاری دیسک سخت را آغاز کرد. برای دسترسی دوباره به اطلاعات، قربانیان مجبور شدند 189 دلار آمریکا به شرکتی به نام PC Cyborg در پاناما ارسال کنند. به همین دلیل اولین باجافزار به PC Cyborg Trojan نیز معروف بود.
زمانی که باجافزار وارد رایانه میشود دقیقاً چه اتفاقی میافتد؟
کلیک بر روی لینک در یک ایمیل یا Dropbox باعث بارگیری و نصب باجافزار میشود. این روش رمزگذاری Trojan Petya نام دارد که در بهار 2016 با موفقیت، بسیاری از رایانهها را آلوده کرده است.
Petya کامپیوتر را مجبور به راهاندازی مجدد کرده و سپس یک روال بارگیری مخرب را جایگزین راهاندازی اصلی MBR میکند. سپس زمانی که سیستم شروع به راهاندازی جدید میکند، کاربر گمان میکند که ساختار سیستم در حال بررسی است، بهعنوانمثال بررسی پس از خرابی سیستم. پایا خود داده را رمزگذاری نمیکند و فقط آن را برای کاربر غیرقابلدسترس میکند. رایانه دیگر نمیتواند پروندهها را تشخیص دهد و حتی نمیتواند تشخیص دهد که آیا هنوز پروندهها در آنجا وجود دارند یا خیر. در ادامه پس از شروع مجدد اجباری دیگر، صفحه قفل همراه با درخواست باجگیران ظاهر میشود. در بسیاری از انواع باجافزارها، رمزگشایی فایلها بدون پرداخت هزینه دشوار است. بااینحال، پتیا رمزگشایی شده است و دیگر کسی نیاز به پرداخت هزینه برای رمزگشایی مجدد دادههای خود ندارد.
چگونه میتوانیم از خودمان در برابر باجافزارها محافظت کنیم؟
پشتیبانگیری: بهترین راه محافظت در برابر باجافزار، انجام پشتیبانگیری منظم است. اطلاعات باید در محیطی جدا از سیستم ذخیره شوند. اگر از یک دیسک سخت خارجی نسخه پشتیبان تهیه میکنید، پس از پشتیبانگیری آن را حذف کنید و مطمئن شوید که این محیط ذخیرهسازی آفلاین است مگر اینکه نیازی به آن باشد. با پشتیبانگیری منظم میتوانید اطمینان حاصل کنید که در صورت آلودگی باجافزار هیچ دادهای را از دست نمیدهید و بهراحتی میتوانید سیستم خود را بازیابی کنید. هنگام انجام این کار که از یک محیط ایمن مانند CD که نمیتواند آلوده شود استفاده کنید.
آیا در صورت پرداخت باج، مجرمان اطلاعات ما را رمزگشایی میکنند؟
در معامله با مجرمان همیشه احتیاط و بدبینی توصیه میشود. بسیاری از جنایتکاران علاقهای به بازی جوانمردانه ندارند و حتی برخی از آنها اصلاً برای رمزگشایی برنامهریزی نکردهاند. تجربه اثبات کرده است هر شخصی که نسخه پشتیبان تهیه نکرده باشد، پس از آلوده شدن رایانه با باجافزار اطلاعات خود را از دست میدهد. ازاینرو چیزی که میتوان از فیلمهای اکشن آموخت این است که با باجگیران مذاکره نکنید.
دفتر امنیت اطلاعات فدرال آلمان BSI توصیه میکند که درخواستهای باجگیران را پیگیری نکنید. هیچکس نباید امیدوار باشد که جنایتکاران منصف باشند. همچنین، هرکسی که به باجگیران از طریق کارت اعتباری پول پرداخت کند، حساب خود را به یک فروشگاه سلفسرویس تبدیل میکند. باجگیر بارها میتواند برای انتشار دادهها پول بیشتری طلب کند. حتی اگر در ابتدا به نظر برسد که به قول خود عمل کرده ولی دوباره میتواند اطلاعات را منتشر کند؛ بنابراین، پرداخت باج درهرصورت یک خطر است.
در صورت رضایت جهت پرداخت باج، چه عواملی را باید رعایت کنیم؟
اگر میخواهید با وجود همه هشدارها هزینه درخواستی باجگیران را پرداخت کنید، نباید هیچ یک از اجزای سازنده باجافزار را از رایانه شخصی خود حذف کنید. بسته به شرایط، ممکن است این قفل باشد که شما باید پس از پرداخت، کلید دریافتی خود را در آن قرار دهید. بدون قفل، کد رمزگشایی غیرقابلاستفاده است و دادههای شما رمزگذاری و غیر قابل بازیابی میشوند. علاوه بر این، میتواند برای موفقیت مقامات در حمله به مجرمان اینترنتی همچنین رمزگشایی و کمک به افراد آسیبدیده امری مهم باشد و افراد بتوانند بدون پرداخت هزینه، اطلاعات خود را بازیابی کنند. پس اطلاعات موجود در اجزای سازنده باجافزار برای کشف کلید بازیابی موردنیاز است.
اگر در صورت دریافت کلید قادر به رمزگشایی فایلهای خود نبودید، باید بلافاصله باجافزار را از رایانه خود پاک کنید. هرگز نباید این واقعیت را فراموش کنید که جنایتکاران بههیچوجه نسبت به شما احساس مسئولیت نمیکنند و ممکن است پول و داده خود را ازدستداده باشید. همچنین به شما توصیه میشود تاحدامکان از درخواست جنایتکاران پیروی نکنید. زیرا اگر کسی به آنها پول ندهد، توزیع باجافزار دیگر برای مجرمان ارزش نخواهد داشت.
چگونه میتوان باجافزار را حذف کرد؟
اگر با وجود تمام تلاش خود بازهم قربانی حمله باجافزار شدهاید. فقط یک چیز به شما کمک میکند: حذف بدافزار از رایانه. قابلاطمینانترین و کاملترین روش حذف باجافزار، بازگرداندن سیستم به تنظیمات کارخانه است. قبل از انتخاب این گزینه باید بدانید که پس از این کار تمام اطلاعات موجود در رایانه به طور کامل از بین میروند. اما اگر به طور منظم پشتیبانگیری سیستم انجام داده باشید، میتوانید اطلاعات سیستم خود را به زمان قبل از وقوع حمله بازگردانید. پس آخرین نسخه پشتیبان خود را پیدا کنید. هنگام انجام این کار، باید اطمینان حاصل کنید که این نسخه برای زمان قبل از آلودگی میباشد. بهاینترتیب میتوانید رایانه خود را از شر بدافزار خلاص کنید.
Trojans
Trojans پروندههای موجود در رایانه را رمزگذاری میکند و برای رمزگشایی درخواست باج میکند. برخی از گروههای Trojans انواع پروندهها مانند تصاویر، اسناد یا فیلمها را رمزگذاری میکنند. برخی دیگر همه فایلها را رمزگذاری میکنند و فقط چند پوشه را ذخیره نمیکنند. گروههای محبوب در این زمینه CryptoLocker ،CryptoWall ، CTB-Locker ، Locky ، TeslaCrypt و TorrentLocker هستند.
قفل کننده برنامه
این نوع باجافزار با جلوگیری از دسترسی برنامهها، کاربران را تحدید میکند. بهعنوانمثال، مرورگر یا دسترسی به حافظه شبکه NAS مسدود میشود. در بعضی موارد میتوان آنها را با ابزار استاندارد لغو کرد. فقط چند نوع از این بدافزار وجود دارد که یک نمونه آن Synolocker است. این نام از این واقعیت گرفته شده است که شرکت بدافزار محصولاتی را از Synology تولیدکننده راهکارهای NAS هدف قراردادهاست.
قفل کننده صفحه
این باجافزار با نمایش یک صفحه قفل که دائماً به سمت جلو حرکت میکند، دسترسی به رایانه را مسدود میکند. در نتیجه، دیگر نمیتوان با رایانه کارکرد. مشهورترین خانواده در این گروه Reveton است که به BKA-Trojans ، GEZ-Trojans یا FBI-Trojans نیز معروف است.
هیبریدها
همچنین باجافزاری وجود دارد که ترکیبی از قفل صفحه و رمزگذاری است. این باعث میشود بازیابی دادهها زمان بیشتری لازم داشته باشد.
نرمافزار در برابر باجافزار چهکارهایی انجام میدهد؟
تشخیص شناسه با استفاده از اسکنر ویروس
برای گروههای شناخته شده باجافزار، سادهترین و مؤثرترین راه، تشخیص شناسه است. شناسههای موجود در کد فایلهایی که مسئول اقدامات مخرب هستند و برای یک گروه خاصی از بدافزارها به کار میروند شناسایی میشوند. یک علامت ثابت برای تشخیص باجافزار، نمایش یک نام شناسه مانند Trojan-Ransom و نام خانوادگی مانند Win32.Trojan-Ransom.Petya.A است. در حال حاضر بیش از 120 گروه باجافزار را از یکدیگر متمایز میکنیم که در میان آنها نامهای برجستهای مانند Cryptowall ، Locky ، CTB-Locker و CryptXXX وجود دارد.
شناسهها نهتنها اقدامات معمول باجافزارها را میتوانند تشخیص دهند و بدافزارهایی که با روشهای فشردهسازی، رمزگذاری، بارگیری، مکانیسمهای استتار و موارد دیگر رایج هستند توسط کد جهانی شناسایی کنند بلکه شناسههای اکتشافی و عمومی چنین عملکردی را حتی در گروههای ناشناخته تشخیص میدهند.
ترافیک شبکه
بسیاری از باجافزارها تنها زمانی فعال میشوند که با سرور کنترل خود تماس برقرار کنند و دستوراتی بگیرند. پس از مشخصشدن سرورهای کنترل، میتوانید دسترسی به آنها را مسدود کنید. اگر ارتباط با سرور کنترل مسدود شود، باجافزار نیز غیرفعال میشود. همچنین نحوه برقراری ارتباط و نحوه انتقال دادهها برای باجافزار شناسایی و مسدود میشود.
تشخیص با کنترل رفتار مشکوک
تشخیص با کنترل رفتار مشکوک، کلیه برنامههای در حال اجرا جهت تشخیص فعالیت مشکوک کنترل میشوند. پس اگر یک برنامه مخرب توانسته به کامپیوتر وارد شود، از آسیب احتمالی جلوگیری میکند. این ردیابی برای شناسایی اولین اقدامات بدافزار طراحی شده است. چندین باجافزار از طریق وبسایتهای دستکاری شده منتشر میشوند. آنها از حفرههای امنیتی استفاده میکنند، تا هنگام بازدید از وبسایت، رایانهها را بدزدند.
در این حملهها، فعالیتهای عادی را بر روی سیستم نشان میدهد که با روشهای محافظت ویژه کنترل رفتار مشکوک شناسایی میشوند. اگر شاخصهای فردی کافی نباشد، از ترکیبات و سکانسهای مناطق مختلف نیز برای ارزیابی استفاده میشود.
تشخیص هنگام نصب
هنگامی که باجافزار یک سیستم را آلوده میکند، فرایندهای مشخصی اتفاق میافتد که میتوان بدافزار را شناسایی کرد. اغلب ویروسها با یک پنجره غیرقابلمشاهده رخ میدهند. در بسیاری از موارد، سیستم در مرحله اول قبل از بارگیری نرمافزار بررسی میشود. مثلاً هنگام تنظیمات معمولی یا صفحه ورودی ثبتنام
تداوم
برای اینکه پس از راهاندازی مجدد، رایانه مجدداً فعال شود، باجافزار باید یکی از مکانیسمهای شروع خودکار را استفاده کند. این روش از الگوهای معمول پیروی میکند. این فعالیتها میتواند توسط برخی فعالیتهای سیستمهای معین، شناسایی و مسدود شود. وقتی بسیاری از پروندههای شخصی رمزگذاری شوند بسیار مشکوک تلقی میشود و اگر ویژگیهای دیگری مانند فرایند ناشناخته یا پنجره غیرقابلمشاهده اضافه شود، عملکرد خاتمه مییابد.
محافظت در برابر هرزنامه
معمولاً از ایمیلها برای توزیع باجافزار استفاده میشود. قبل از اینکه سازوکارهای حفاظتی دیگر مانند محافظت از وب و اسکنر ویروس محتوای ایمیل بررسی شود، نامه در زمان ورود به صندوق پستی mailbox با استفاده از فناوری OutbreakShield ، مبتنی بر نحوه انتشار ایمیلهای مخرب و تشخیص در حین انتقال هرزنامهها، تحت محافظت قرار میگیرد؛ بنابراین ایمیل با محتوای مضر بههیچوجه تحویل داده نمیشود یا از صندوق پستی mailbox حذف میشود.
این تجزیهوتحلیل پایهای دررابطهبا شناسههای ابتکاری، فیلترهای URL برای نام دامنههای تازه ایجاد شده یا افزودن قوانینی برای تشخیص مبتنی بر رفتار مشکوک است.
تست نفوذ pen test ارزیابی امنیتی زیرساخت IT با عملکرد بیخطر برای بهرهبرداری از آسیبپذیریهای سیستم میباشد. این آسیبپذیریها ممکن است در سیستمعاملها، خدمات، نقص برنامهها، تنظیمات نامناسب یا رفتار مخاطرهآمیز کاربر نهایی وجود داشته باشد. این ارزیابیها میتواند در تأیید کارایی مکانیسمهای دفاعی و اجرای سیاستهای امنیتی توسط کاربر، مفید باشد.
تست نفوذ معمولاً با استفاده از تکنولوژیهای دستی یا خودکار برای به خطر انداختن سرورها، نقاط پایانی، برنامههای وب، شبکههای بیسیم، دستگاههای شبکه، دستگاههای تلفن همراه و سایر نقاط احتمالی در معرض خطر، انجام میشود. زمانی که آسیبپذیریها در یک سیستم خاص مورد سوءاستفاده قرار بگیرند، آزمایشکنندگان ممکن است سعی کنند با تلاش برای دستیابی تدریجی به سطوح امنیتی بالاتر و دسترسی عمیقتر به داراییها و اطلاعات الکترونیکی، سوءاستفادههای بعدی را در سایر منابع داخلی راهاندازی کنند.
معمولاً اطلاعات مربوط به هرگونه آسیبپذیری امنیتی که با استفاده از تست نفوذ مورداستفاده قرار میگیرد، جمع میشود و به مدیران سیستمهای IT و شبکه ارائه میشود تا به آن دسته از متخصصان کمک کند و نتیجهگیریهای استراتژیکی به دست آورند. هدف اساسی تست نفوذ اندازهگیری امکانسنجی سیستمها یا توافق با کاربر نهایی و ارزیابی عواقب مرتبطی است که این حوادث ممکن است با منابع یا عملیات درگیری داشته باشد.
اگر به تست نفوذ اینگونه نگاه کنید که آیا شخصی میتواند با انجام این کار به خانه شما نفوذ کند یا خیر. آزمایشهای نفوذ که بهعنوان هکرهای اخلاقی نیز شناخته میشوند، امنیت زیرساختهای فناوری اطلاعات را با استفاده از یک محیط کنترل شده برای حمله ایمن، شناسایی و بهرهبرداری از آسیبپذیریها ارزیابی میکنند.
تفاوت بررسی آسیبپذیری و تست نفوذ چیست؟
اسکنرهای آسیبپذیری سیستم ابزاری خودکار هستند که یک محیط را بررسی میکنند و پس از اتمام کار، گزارشی از آسیبپذیریهای کشف شده ثبت میکنند. این اسکنرها اغلب این آسیبپذیریها را با استفاده از شناسههای CVE که اطلاعات مربوط به نقاط ضعف شناخته شده را ارائه میدهند، لیست میکنند. اسکنرها میتوانند هزاران آسیبپذیری را کشف کنند، بنابراین ممکن است آسیبپذیری شدید بهاندازه کافی وجود داشته باشد که نیاز به اولویتبندی در آن بیشتر باشد. بهعلاوه این امتیازات شرایط هر محیط IT جداگانه را بهحساب نمیآورند. اینجاست که تستهای نفوذ وارد کار میشوند.
درحالیکه اسکنرهای آسیبپذیری، تصویری ارزشمند از نقاط ضعف امنیتی بالقوه سیستم را ارائه میدهند، تستهای نفوذ میتوانند با درنظرگرفتن اینکه آیا میتوان از این آسیبپذیریها برای دسترسی به محیط شما استفاده کرد یا نه، زمینههای دیگری را ایجاد میکنند. تستهای نفوذ همچنین میتوانند بر اساس آنچه بیشترین خطر را دارد، اولویتبندی برنامههای اصلاح را انجام دهند.
چرا تست نفوذ Pen Testing مهم است؟
تست نفوذ توانایی سازمان را در محافظت از شبکهها، برنامهها، نقاط پایانی و کاربران خود در برابر عملکردهای خارجی یا داخلی برای فرار از کنترلهای امنیتی خود و دسترسی غیرمجاز به داراییهای محافظت شده ارزیابی میکند.
تست نفوذ اطلاعات دقیق در مورد تهدیدات امنیتی واقعی و قابل بهرهبرداری را ارائه میدهد. با انجام یک تست نفوذ میتوانید تشخیص دهید که کدام آسیبپذیریها مهمترین، کدام یک از آنها کمتر قابلتوجه هستند و چه مواردی کاذب هستند. این به سازمان شما این امکان را میدهد تا آسیبپذیریها را هوشمندانه اولویتبندی کنید، اقدامات امنیتی موردنیاز را اعمال کنید و منابع امنیتی را به طور مؤثرتری تخصیص دهید تا اطمینان حاصل شود که در هر زمان و جایی که بیشترین نیاز به آنها باشد، در دسترس هستند.
این روزها هیچ راهحلی برای جلوگیری از ایجاد شکافهای امنیتی وجود ندارد. اکنون سازمانها باید مجموعهای از سازوکارها و ابزارهای امنیتی دفاعی از جمله رمزنگاری، آنتیویروس، راهحلهای SIEM و برنامههای IAM را داشته باشند. بااینحال حتی با وجود این ابزارهای امنیتی حیاتی، یافتن و ازبینبردن هرگونه آسیبپذیری در یک محیط IT دشوار است. تست نفوذ با رویکردی پیشگیرانه، نقاط ضعف را کشف میکند تا سازمانها بدانند که آیا لایههای اضافی باید پیادهسازی شود یا خیر.
بدون وجود نظارت کامل به کل محیط، ممکن است تغییر وضعیت امنیتی منجر به حذف چیزی شود که در واقع مشکلساز نبوده است. تستهای نفوذ نهتنها به شما میگویند که چه عواملی مؤثر نیستند، بلکه بهعنوان بررسی تضمین کیفیت نیز عمل میکنند، بنابراین خواهید فهمید که چه سیاستهایی مؤثرتر هستند و چه ابزاری بالاترین نرخ بازگشت سرمایه را ارائه میدهند. با استفاده از این دیدگاهها، یک سازمان میتواند منابع امنیتی خود را به صورت هوشمندانه تخصیص دهد و اطمینان حاصل کند که آنها در هر زمان و جایی که بیشتر به آنها نیاز است، در دسترس هستند.
اگر امنیت خود را تست نکنید چگونه میتوانید از وضعیت امنیتی خود اطمینان داشته باشید؟ با قراردادن منظم زیرساختهای امنیتی و تیم امنیتی خود در مراحل مختلف، مجبور نخواهید شد به طور فرضی تعبیر کنید که حمله چگونه خواهد بود و چگونه به آن پاسخ خواهید داد. شما با خیال راحت یک حمله را تجربه کرده و میدانید که چگونه آماده شوید تا اطمینان حاصل کنید که سازمان شما هرگز موردتوجه حملهای قرار نخواهد گرفت.
چه کسی تستهای نفوذ را انجام میدهد؟
یکی از بزرگترین موانع ایجاد یک برنامه موفقیتآمیز امنیت سایبری، یافتن افراد باصلاحیت و باتجربه مناسب است. شکاف مهارتهای امنیت سایبری مسئلهای کاملاً مستند است و داشتن یک متخصص امنیت واجد شرایط، کار آسانی نیست. این امر بهویژه در مورد تست نفوذ صادق است. متأسفانه عوامل تهدید و گروههای مجرمان اینترنتی بسیار زیاد هستند. در نتیجه سازمانها نمیتوانند در شروع انجام تستهای مهم نفوذی تأخیر کنند.
اما حتی با کمبود مهارت نیز مشاغل میتوانند با استفاده هوشمندانه از منابعی که بهراحتی در دسترس هستند، یک برنامه تست نفوذ قوی بسازند زیرا هر تستی به یک متخصص نیاز ندارد. اعضای تیم امنیتی که ممکن است سابقه تست نفوذ گستردهای نداشته باشند میتوانند از ابزارهای تست نفوذ که دارای ویژگیهای خودکار هستند، استفاده کنند. از این ابزارها میتوان برای آزمایشی استفاده کرد که اجرای آن آسان است، انجام اعتبارسنجی آسیبپذیری، جمعآوری اطلاعات شبکه، افزایش امتیاز یا شبیهسازی فیشینگ ضروری است.
البته آزمایشکنندههای متخصص نفوذ هم بخشی مهم در این تست هستند. آنها برای آزمایشها پیچیده یا تمرینات در حال اجرا با چندین زنجیره حمله و موارد دیگر به سیستمها و برنامههای مختلف نیاز دارند، شما به یک فرد یا تیم باتجربه بیشتری نیاز دارید. برای آزمایش سناریوی حمله واقعبینانه، شما یک تیم قرمزرنگ میخواهید که از استراتژیها و راهحلهای پیچیده مشابه تکنیکهای threat actor استفاده کند.
مراحل تست نفوذ
از طریق تست نفوذ میتوانید قبل حمله، قابل بهرهبرداری ترین نقاط ضعف امنیتی را شناسایی کنید. بااینحال چیزهای زیادی نسبت به عمل واقعی نفوذ وجود دارد. تست نفوذ یک پروژه کاملاً فکری است که از چندین فاز تشکیل شده است:
ابزار تست نفوذ چیست؟
هکرها برای موفقیت بیشتر در دستیابی به هدف خود از ابزار استفاده میکنند. این در مورد آزمایشکنندگان نفوذ نیز صادق است. نرمافزار تست نفوذ برای تقویت انسان در نظر گرفته شده است. این نرمافزارها به آزمایشکنندگان نفوذ اجازه میدهند از پس وظایفی که زمان بر است برآیند. وقتی نوبت به تست نفوذ میرسد هرگز انتخابی بین ابزارهای تست نفوذ در مقابل آزمایشکنندگان نفوذ نیست.
تست نفوذ به طور معمول با استفاده از مجموعهای از ابزارها که ویژگیهای متنوعی را ارائه میدهند به پایان میرسد. برخی متنباز برخی دیگر تجاری هستند. تعدادی از این ابزارها همان ابزارهایی هستند که مجرمان اینترنتی از آنها استفاده میکنند و امکان تکرار دقیق حمله را فراهم میکنند. برخی دیگر نیازهای یک هکر اخلاقی را برجسته میکنند و این امکان را میدهد تا بر ویژگیهایی که هدف نهایی را تأیید میکنند و نقاط ضعف امنیتی بدون تأثیر بر محیطهای تولید و اولویتبندی اصلاحات را فراهم کنند.
تیمهای امنیتی همچنین برای پیشبرد برنامههای داخلی خود از طریق اتوماسیون استراتژیک به ابزارهای تست نفوذ روی آوردهاند. اتوماسیون میتواند مهارت تسترهای بیتجربه را با wizards بالا ببرد و آنها را از طریق تستهای استاندارد مهم هدایت کند. آزمایشکنندگان باتجربه میتوانند با خودکار کردن برنامههای روزانه، در وقت خود صرفهجویی کنند.
امروزه تمایلات افراد برای گذراندن زمان و حتی صرف یک قهوه در رستورانها و کافیشاپها بخصوص در محیطهای فضای باز در دوران فراگیری ویروس کرونا رو به افزایش است. شاید قبلاً معمول نبود که کافهها و سایر مکانهای عمومی پر از افرادی باشند که مشغول تایپ کردن روی لپتاپهای خود هستند و تماموقت خود را در آنجا بگذرانند، اما اکنون بسیاری از افرادی در فضاهای عمومی زمان خود را میگذرانند و به دنبال آن برای رفاه بیشتر از وایفای عمومی و رایگان استفاده میکنند که میتواند منجر به دردسرهایی شود و آنها را در معرض خطر قرار دهد.
ما در اینجا شما را از وجود این خطرات آگاه میکنیم و به شما خواهیم گفت در صورت مواجه با آن چه کاری میتوانید انجام دهید؟!
خطرات استفاده از وایفای رایگان ناامن در یک نگاه
بررسی جامع خطرات استفاده از Wi-Fi رایگان
حملات انسان در میانه راه نیز تهدیدی بسیار برجسته است، این زمانی اتفاق میافتد که هکرها، شبکهای را برای جلبتوجه کاربران با اسم وایفای رایگان به وجود میآورند. آنها اغلب این کار را در مکانهایی انجام میدهند که مردم خواهان وایفای رایگان هستند. هکرها پس از اتصال به شبکه خود، میتوانند شروع به جمعآوری اطلاعات هویتی و اطلاعات مالی کنند. نام این شبکهها اغلب شبیه نام کافه، هتل یا فروشگاهی است که در آن نزدیکی میباشد، شما باید همیشه دقت کنید و که نام آن را از نظر غلط املایی بررسی کنید. در صورت عدم اطمینان، همیشه با یکی از کارمندان مربوطه تماس بگیرید تا از صحت شبکه وایفای مطمئن شوید.
برای رهایی از دست هکرها چهکارهایی میتوان انجام داد؟
همه این تهدیدها ممکن است ترسناک به نظر برسند، ما برای آگاهی بیشتر اطلاعاتی را در اختیار شما قرار میدهیم که میتوانید برای حفظ امنیت خود انجام دهید. در مرحله اول، بدانید که به چه چیزی متصل میشوید. اطمینان حاصل کنید که به یک شبکه قانونی ارائه شده توسط مشاغل وصل هستید و شرایط و ضوابط، خصوصاً در مورداستفاده و جمعآوری دادههای خود را بخوانید.
راهحل دوم این است که بهراحتی اطلاعات خود را در اختیار قرار ندهید. این اطلاعات ممکن است اطلاعاتی باشد که شما برای ثبتنام در شبکه از آن استفاده میکنید، لطفاً از دادن اطلاعات شخصی یا استفاده از مشخصات بانکی خودداری کنید، آگاه باشید که این اطلاعات بهراحتی توسط هکرها جمعآوری و استفاده میشوند.
در آخر، یکی از مفیدترین راههای جلوگیری از خطر استفاده از شبکه خصوصی مجازی VPN است. با این کار شما به یک سرور ایمن متصل خواهید شد و دادههای دستگاه شما رمزگذاری میشود. این یک روش عالی برای جلوگیری از تهدیدات آنلاین است و استفاده از آن برای شما هزینه زیادی نخواهد داشت.
هنگام استفاده از شبکههای باز خطرات زیادی پیشروی ما قرار دارد، اما روشهایی نیز برای بهحداقلرساندن این خطرات نیز وجود دارد. به کاربران توصیه میشود که هرگز به وایفایهای رایگان بدون پسورد و ناشناخته متصل نشوند و اگر هم متصل شدند، بههیچعنوان وارد حسابهای بانکی خود نشوند. پس هوشیار بمانید و هکرها اجازه ورود به سیستم خود را ندهید.
فایروال چیست؟
فایروال چیست؟ فایروال یک نوع وسیله امنیتی سایبری و اینترنتی است که شبکه و رایانه شخصی شما را در مقابل نفوذ هکرها، دسترسیهای غیرقانونی، ترافیکهای مخرب و حملات تبهکاران محافظت میکند. نحوه عملکرد فایروالها به اینگونه است که بستهها رابین شبکهها مبادله و مسیریابی Route میکنند. فایروال ترافیک ورودی و خروجی شبکه را کنترل و مدیریت میکند و باتوجهبه قوانینی به شخص یا کاربر خاصی اجازه ورود و دسترسی به یک سیستم خاص را میدهد. برای مثال شما میتوانید برای فایروال خود که از یک شبکه بانکی محافظت میکند با استفاده از قوانینی که در آن تعریف شده بخواهید که به کاربر X در ساعت Y اجازه دسترسی به کامپیوتر A را که در شبکه داخلی شما وجود دارد را بدهد.
قوانینی یک فایروال بر اساس نیازهای امنیتی یک سازمان و شرکت تعیین میشود. ترافیکی میتواند اجازه ورود و خروج را داشته باشد که منطبق بر سیاستهای امنیتی فایروال باشد و بقیه ترافیک غیرمجاز است.
کار فایروال چیست؟ زمانی که فایروال بر اساس قوانینی که در آن تعیین شده تشخیص دهد که ترافیکی که از آن عبور میکند برای شبکه مضر است، بلافاصله آن را مسدود میکند و از ورود آن به شبکه جلوگیری میکند.
تفاوت فایروال ورودی و خروجی چیست؟ به ترافیک ورودی فایروال، ترافیک inbound گفته میشود و برای آن باید inbound rule تنظیم شود. به ترافیک خروجی فایروال، ترافیک outbound گفته میشود و برای آن باید outbound rule تنظیم شود. این قوانین در access control list لیست فایروال تعریف میشوند.
عملکرد فایروال به چه شکل است؟
4. این نرمافزار دسترسی عمومی از طریق شبکههای و دستگاههای بیرونی را به منابع داخلی مانند اتوماسیون اداری مدیریت میکند.
انواع فایروال
فایروال را میتوان به چندین دسته مختلف دستهبندی کرد که در اینجا به هشت مورد آن را به شما معرفی میکنیم.
جمعبندی:
آموزش و آگاهیبخشی امنیتی به پرسنل جهت حفظ امنیت پرسنل دورکار در خصوص حملات و روشهای نفوذ به سیستمهای رایانهای از اهمیت به سزایی در مواجه با تهدیدات روزافزون فضای سایبر برخوردار است؛ بنابراین اگرچه شیوع بیماری کرونا دریچههای جدیدی را برای مهاجمان و نفوذگران سایبری گشوده است اما میتوان با طراحی مناسب راهکارهای امنیتی و اطمینان از رعایت آنها توسط همه پرسنل میزان حمله مجرمان سایبری به کارکنان دورکار را بهشدت کاهش داد.
نتیجه میگیریم با یادگیری این مقاله امنیت میتوانید حداقل از ورود سیستمهای ناشناس جلوگیری کنید و با تماس سریع تیم ما در خدمت شما بزرگان هست.
جعفر عالی نژاد مدرس و مشاور امنیت داده