سی اس اس برای شما

در حالی که سال گذشته میلادی اخبار مربوط به حملات باج‌افزارها و حملات منع سرویس توزیع شده در صدر اخبار قرار داشت و نگاه‌ها را به‌سمت خود معطوف ساخته بود، اما در طرف مقابل اخبار دیگری قرار داشتند که نشان می‌دادند خطر کارکنان سابق سازمان‌ها و شرکت‌ها کمتر از باج‌افزارها و بدافزارها نیست. در همین ارتباط شرکت امنیتی OneLogin نظرسنجی را انجام داده و از ۵۰۰ شرکت فعال در حوزه فناوری اطلاعات این سؤال را پرسیده است که به نظر آن‌ها بزرگ‌ترین خطری که آن‌ها را تهدید می‌کند، از جانب چه شخص یا اشخاصی خواهد بود. در کمال تعجب تنها نیمی از شرکت‌کنندگان در این نظرسنجی اعلام کرده‌اند که اطمینان دارند کارکنان سابق آن‌ها به نرم‌افزارها و زیرساخت‌های شرکت دسترسی ندارند و ۲۰ درصد سازمان‌ها نیز اعلام داشته‌اند که حداقل یک بار تجربه نفوذ به داده‌ها از سوی کارکنان سابق خود را داشته‌اند. جالب‌تر آنکه ۴۸ درصد از سازمان‌هایی که در این نظرسنجی شرکت کرده‌اند، اعلام داشته‌اند از این موضوع اطلاع دارند که کارکنان اسبق آن‌ها هنوز هم به شبکه سازمانی آن‌ها دسترسی دارند. نیمی از مدیران سازمان‌ها اعلام کرده‌اند حساب کاربری کارکنان اسبق خود را حداقل برای یک یا چند روز، ۳۲ درصد به‌مدت یک هفته و ۲۰ درصد به‌مدت یک ماه در وضعیت فعال حفظ کرده‌اند. در این میان ۲۵ درصد از سازمان‌ها اعلام کرده‌اند به‌درستی نمی‌دانند زمانی که کارمندان سازمان‌ آن‌ها را ترک کرده‌اند این حساب‌ها برای چه مدت به‌شکل فعال باقی بوده است. اما حقیقت روشنی که در آمارهای ارائه شده از سوی این مؤسسه وجود دارد این است که کارکنان اسبق یک سازمان یک خطر جدی و بالقوه به شمار می‌روند. مریت ماکسیم پژوهشگر و تحلیلگر مؤسسه فارستر در این ارتباط گفته است: «این یک حقیقت روشن است که شما با حذف دسترسی کارکنان سابق به سامانه‌ها و زیرساخت‌های اطلاعاتی خود به‌میزان قابل توجهی سایه تهدیدات امنیتی را از خود و سازمانتان دور می‌کنید. این یک استراتژی خوب امنیتی است. گزارشی که ژوئن سال گذشته میلادی از سوی سایت Verelox منتشر شد نشان می‌دهد زمانی که کارمند اسبق این شرکت باعث شد تا اکثر سرویس‌های متعلق به سرورهای این شرکت حذف شوند، این شرکت با وقفه بزرگی در خدمات‌رسانی روبه‌رو شد، اتفاقی که باعث شد این شرکت ضمن آنکه ضرر مالی را تجربه کند، اعتبار آن نزد مشتریانش مخدوش شود. در ماه آوریل نیز شرکت Allegro Microsystems واقع در ایالات متحده نیز اعلام کرد که یکی از مدیران اسبق فناوری اطلاعات خود را به‌دلیل نصب نرم‌افزارهای مخربی که باعث شده بود داده‌های مالی بسیار مهم این شرکت حذف شوند، تحت پیگرد قانونی قرار داده است.» 

چرا شرکت‌ها درخصوص حذف حساب‌های کاربری کارمندان اسبق تعلل می‌کنند؟

اما سؤالی که در این میان مطرح می‌شود این است که شرکت‌ها به چه دلیلی پس از اخراج یا خاتمه همکاری با کارمندان، حساب‌های آن‌ها را به‌سرعت حذف نمی‌کنند؟ اولین پاسخی که برای این پرسش مطرح می‌شود این است که فرآیند حذف حساب‌ها فرآیندی زمان‌بر است. تقریباً ۷۰ درصد تصمیم‌گیرندگان حوزه فناوری اطلاعات اعلام داشته‌اند که به زمان قابل توجهی نیاز دارند تا بتوانند همه حساب‌های کاربری کارمندانی که با سرویس‌ها و برنامه‌های کاربردی شرکت در ارتباط هستند را حذف کنند. AI Sargent مدیر ارشد شرکت OneLogin دلیل دیگری برای کند بودن این فرآیند مطرح می‌کند و اعلام می‌دارد: «مدیران فناوری اطلاعات و مدیران منابع انسانی در اغلب موارد ارتباط خوبی با یکدیگر ندارند. این یک مشکل جدی است، به‌واسطه آنکه منابع انسانی تنها واحدی در یک سازمان است که به‌درستی می‌داند چه شخصی کارمند یک سازمان است و چه شخصی دیگر کارمند سازمان نیست. در حالی که واحدهایی همچون فناوری اطلاعات تنها وظیفه دارند تا دسترسی به برنامه‌های کاربردی سازمان را کنترل کنند. این واحد در اغلب موارد فهرست کاربران را به‌روزرسانی نمی‌کند و اگر تعاملی بین این دو واحد وجود نداشته باشد، دسترسی‌ها به‌شکل مدت‌داری فعال خواهد بود. واقعیت این است که یک شرکت معمولی ده‌ها برنامه‌ کاربردی در اختیار دارد که درباره نحوه استفاده کارکنان از آن‌ها آگاهی کامل دارد، اما در مقابل صدها برنامه وجود دارد که ممکن است از وجود آن‌ها مطلع نباشد و در سایه واحد فناوری اطلاعات سازمان مورد استفاده قرار گیرند. واقعیت این است که شما نمی‌توانید دسترسی فردی به یک برنامه کاربردی را حذف کنید که حتی از وجود این شخص در سازمان اطلاعی ندارید. در حالی که واحد فناوری اطلاعات در این زمینه سعی می‌کند دسترسی افراد خارج شده از سازمان را حذف کند، اما همواره رخنه‌هایی وجود دارد که باعث می‌شود این کار به‌درستی انجام نشود. همچنین، به این موضوع توجه داشته باشید که در بعضی موارد لازم است تا دسترسی‌ها به‌سرعت از میان نروند. در این حالت سازمان‌ها حساب‌ها را به حالت تعلیق درمی‌آورند، به‌دلیل اینکه‌ اطلاعاتی در ارتباط با گزارش‌های حسابرسی یا اطلاعات مربوط به مشتریان وجود دارد. در بعضی موارد نیز به‌لحاظ قانونی حساب‌ها باید به‌شکل موقت فعال باشند.» 
مریت ماکسیم در ارتباط با این موضوع می‌گوید: «توجه داشته باشید که اخراج کارمندی از یک سازمان یا ترک خودخواسته به‌واسطه اتمام قرارداد در هر دو حالت تفاوت خاصی با یکدیگر ندارند. همواره این احتمال وجود دارد (هرچند ناچیز) که این کارمندان اقدامات خرابکارانه‌ای را علیه مدیر اسبق خود ترتیب دهند. نکته دیگری که باید به آن توجه داشته باشید این است که کارمندان شما اغلب از نام کاربری و گذرواژه یکسانی در ارتباط با حساب‌های خود استفاده می‌کنند. در نتیجه، اگر یکی از حساب‌های آن‌ها به‌ویژه آن‌هایی که نام کاربریشان نشانی ایمیل است هک شود، ممکن است هکرها از ترکیب نشانی ایمیل و حمله جست‌وجوی فراگیر برای به دست آوردن گذرواژه‌ها برای ورود به زیرساخت‌های شبکه شما استفاده کنند.»
ماکسیم به مدیر سازمان‌ها پیشنهاد می‌دهد که به‌شکل جدی توافق‌نامه سطح خدمات (SLA) را به کار ببرند. این توافق‌نامه به شرکت‌ها کمک می‌کند تا به‌شکل صریح مشخص کنند زمانی که کارمندی سازمان را ترک کرد، فرآیند دسترسی او در چه بازه زمانی باید قطع شود. ایده‌آل‌ترین حالت در این زمینه ۴۸ تا ۷۲ ساعت کاری است. در این مدت دپارتمان‌های فناوری اطلاعات فرصت دارند تا داده‌های مورد نیاز را از حساب کاربری کارمند سابق جمع‌آوری کنند. از جمله مزایای مثبتی که این توافق‌نامه دارد در این است که فرآیند دسترسی به حساب‌ها و حذف حساب‌های کاربری به‌شکل سریع‌تری انجام می‌شود. این رویکرد به شفاف‌سازی سیاست‌ها و پیاده‌سازی درست فرآیندها نیز کمک می‌کند. به‌واسطه آنکه به مدیران اجازه می‌دهد در زمان درست و به‌شکل درستی دسترسی‌ها را حذف یا حتی محدود کرده و به تیم‌های امنیتی نیز نشان می‌دهد برمبنای چه خط ‌مشئی دسترسی به حساب‌ها را حذف و مهم‌تر از آن اطمینان حاصل کنند دسترسی کارکنان خارج شده از سازمان قطع شده است. سارجنت در این خصوص می‌گوید: «اکثر کارکنانی که یک شرکت را ترک می‌کنند، به‌درستی می‌دانند ضوابطی وجود دارد که به سازمان‌ها اجازه می‌دهد این گروه از کارکنان را اگر به‌شکل خرابکارانه‌ای به زیرساخت‌های سازمان دومرتبه وارد شوند تحت پیگرد قرار دهند، با وجود این تنها یک کارمند خرابکار هم کافی است تا به سازمان صدمات جبران‌ناپذیری وارد کند.»

استراتژی‌هایی که از زیرساخت‌های سازمانی شما محافظت می‌کنند

در اغلب موارد کارمندان اخراجی از یک سازمان یا شرکت تصمیم می‌گیرند اقدام تلافی‌جویانه‌ای انجام داده و به بانک‌های اطلاعاتی شرکت نفوذ کنند. اگر به سایت پلیس فتا مراجعه کنید، مشاهده می‌کنید که پلیس سایبری تاکنون افراد مختلفی را بازداشت کرده است که پس از اخراج از سازمان تصمیم گرفته‌اند به‌نوعی از مدیر عامل شرکت انتقام بگیرند. درست است که امروزه اکثر سازمان‌‌ها از راهکارهای مختلف پشتیبان‌گیری استفاده می‌کنند، اما واقعیت این است که خبر انتشار نفوذ به‌میزان قابل توجهی به اعتبار یک شرکت خدشه وارد می‌کند. گزارشی که از سوی مؤسسه FirstData منتشر شده نشان می‌دهد کسب ‌و کارها به‌ویژه آن‌ها که در زمینه آنلاین به فعالیت اشتغال دارند سالانه چیزی حدود ۹٫۱ میلیارد دلار فرصت ناب فروش محصولات را از دست می‌دهند. به‌واسطه آنکه خریداران از بابت خریدهای آنلاین هراس دارند. آیا دلیلی برای این نگرانی وجود دارد؟ پاسخ مثبت است. زمانی که شما کارمندی استخدام می‌کنید که به داده‌های مالی و فروش شما دسترسی دارد، در همان حال به جزئیات و مشخصات فردی مشتریان سازمان شما نیز دسترسی دارد. در نتیجه یک نقض داده‌ای و نفوذ موفق نه‌تنها باعث می‌شود تا اطلاعات سازمان بلکه هویت فردی مشتریان سازمان نیز در معرض خطر قرار گیرد. جالب آنکه در بعضی موارد کارمندان عصبانی سعی می‌کنند صفحات جعلی و به‌ویژه در ارتباط با امور مالی منتسب به شرکت را طراحی کنند و مشتریان را فریب دهند تا جزئیات مربوط به کارت‌های بانکی خود را در این صفحات وارد کنند. تنها در کشور ایالات متحده سرقت اطلاعات در بازه زمانی ۲۰۱۲ تا ۲۰۱۴ از رقم ۴۴۷ مورد در سال به رقم ۷۸۳ مورد افزایش پیدا کرده است. آماری که بدون شک اکنون به‌مراتب فراتر از این رقم است. اما چه کنیم تا سازمان خود را از این تهدیدات به دور نگه داریم؟

راهکار اول: امنیت باید به‌شکل یکپارچه‌ در سازمان شما پیاده‌سازی شده باشد

اولین اصل امنیتی که باید مد نظر داشته باشید، فراتر از توجه به کارمندان و در اصل در ارتباط با نرم‌افزارهایی است که از آن‌ها استفاده می‌کنید. برنامه‌های کاربردی دارای چرخه توسعه نرم‌افزار SDLC (سرنام Software Development Life Cycle) هستند. در این چرخه فرآیند طراحی، کدنویسی و توسعه مورد بررسی قرار می‌گیرد. اما مهم‌ترین عاملی که باعث می‌شود از این چرخه در زمان طراحی نرم‌افزارها استفاده کنیم، در ارتباط با اصول امنیتی است. اما برای آنکه نرم‌افزارها به‌شکل ایمنی طراحی شده و به‌درستی مورد استفاده قرار گیرند به یک لایه اضافی دیگر نیاز دارند. لایه‌ای که در ارتباط با توسعه ایمن نرم‌افزار است و Secure Software Development Life Cycle از آن نام برده می‌شود. این لایه به‌میزان قابل توجهی سطح امنیتی را افزایش داده و در مقابل راهکاری امنیتی بیشتری را برای محافظت از داده‌های حیاتی در اختیار شما قرار می‌دهد. در نتیجه هکرهای اجیر شده یا کارمندان اخراجی به‌راحتی نمی‌توانند به نرم‌افزارها یا زیرساخت‌های شبکه شما نفوذ کنند، به‌واسطه آنکه نرم‌افزارها به‌لحاظ رخنه‌ها به‌طور مستمر مورد ارزیابی قرار می‌گیرد. 

تیم امنیتی شما باید به‌طور مداوم همه‌چیز را زیر نظر داشته باشد

تیم امنیتی سازمان یا شرکت باید به ‌طور مداوم تلاش‌هایی که برای نفوذ به زیرساخت‌های یک سازمان انجام می‌شود را زیر نظر بگیرد. در این زمینه گزارش‌ها و هشدارهای ارائه شده از سوی دیوارهای آتش کمک‌کننده هستند.
طبیعی است کارمندی که برای مدتی در سازمانی مشغول به کار بوده سعی می‌کند در طول زمان کاری خود اطلاعاتی در ارتباط با رخنه‌ها و آسیب‌پذیری‌ها جمع‌آوری کند. تیم امنیتی سازمان شما باید پورت‌ها و دستگاه‌هایی که سعی دارند به زیرساخت‌های شبکه سازمان متصل شوند را مورد بررسی قرار دهد. 

به‌عنوان یک مدیر عامل یا مدیر بخش فناوری اطلاعات باید همانند یک هکر فکر کنید

اگر کارمند اخراجی سطح بالایی از دانش فنی در اختیار نداشته باشد، سعی می‌کند هکری را استخدام و از طریق او به سازمان نفوذ کند یا به آن ضربه بزند. بر همین اساس لازم است که نگاه شما در ارتباط با مسائل امنیتی همانند یک هکر باشد. در نتیجه نباید از اقدامات همچون ارزیابی‌های مستمر و آزمایش‌های تست نفوذ (penetrative testing) غافل شوید. تست نفوذ در اصل یک حمله شبیه‌سازی شده به سامانه‌های رایانه‌ای مشکوکی است که تصور می‌شود ضعف امنیتی دارند. در این آزمایش‌ها سعی می‌شود از طریق به‌کارگیری ابزارهای مختلف به بخش‌های مختلف این سامانه و اطلاعات ذخیره‌سازی شده روی آن دسترسی پیدا کرد. 
در این آزمایش‌ امنیت فیزیکی سرورها، سامانه‌‌ها و دستگاه‌های شبکه، آسیب‌پذیری‌های سایت‌ها و برنامه‌های کاربردی به‌ کار گرفته شده در سازمان به‌دقت مورد ارزیابی قرار می‌گیرند. در این مرحله بسته به بزرگی سازمان می‌توانید از آزمون‌های تست نفوذ با درجه جعبه سفید، جعبه سیاه یا جعبه خاکستری استفاده کنید.
 نتیجه این آزمایش‌ها باید در اختیار تیم فناوری اطلاعات و مدیران ارشد سازمانی قرار گیرد تا در ادامه بتوانند تمهیداتی را برای حذف رخنه‌ها پیاده‌سازی کنند. فراموش نکنید ممکن است شما از انجام این آزمایش‌ها غفلت کنید، اما کارمندی که در آستانه اخراج است به‌سرعت سعی می‌کند این رخنه‌ها را شناسایی کند. 

برای تحلیل آسیب‌پذیری‌های امنیتی زمان مناسب اختصاص دهید

در زمان ارزیابی نتایج به دست آمده نباید شتاب‌زده عمل کنید. مدیران امنیت اطلاعات به‌واسطه آنکه به‌طور طبیعی با فشار کاری و استرس سر و کار دارند سعی می‌کنند نتایج به دست آمده را خیلی زود ارزیابی و تحلیل و در ادامه راهکار مناسب را ارائه کنند، اما توجه داشته باشید که اگر در سازمانی بزرگ کار می‌کنید که از مکانیسم‌های ارتباطی مختلفی استفاده می‌کند به همان نسبت جزئیات بیشتر و پیچیده‌تر هستند. در نتیجه شما به زمان بیشتری برای رسیدگی به امور نیاز دارید. 

نباید از کنار مبحث امنیت بی‌تفاوت عبور کنید

قاعده کلی کار این است که ردیف بودجه مشخصی را برای خرید تجهیزات و نرم‌افزارهای امنیتی باید مشخص کرده باشید. در اغلب موارد تیم‌های امنیتی بودجه خود را از سوی مدیران پروژه‌ها دریافت می‌کنند. اما توجه داشته باشید که تجهیزات و نرم‌افزارها تنها زمانی از شما در برابر کارمندان انتقام‌جو محافظت می‌کنند که به‌شکل شبانه‌روزی به کار گرفته شوند و مهم‌تر از آن به‌درستی کار کنند. 

از داده‌های خود با استفاده از برنامه‌های DLP محافظت کنید

برنامه‌هایی شبیه به McAfee Data Loss Prevention این قابلیت را در اختیار شما قرار می‌دهند تا بر فرآیند انتقال داده‌ها با هر فرمتی در شبکه‌، برنامه‌های کاربردی و حافظه‌های فلش بر مبنای قواعد سازمانی خود نظارت کنید. این برنامه‌ها به شما در مقابله با حذف ناخواسته، سرقت یا نشتی داده‌ها کمک می‌کنند .