مشاهده فهرست مطالب شماره 28 مرور 5 اصل اوليه امنيتي نويسنده: شيما حكيمي     همیشه در روزهای پایانی ماه نوامبر كه به تعطیلات سال نوی میلادی نزدیك می شویم، سیل مطالب و اخبار درباره تهدیدهای جدید حوزه امنیت و فناوری اطلاعات روانه خروجی خبرگزاری ها و سایت های خبری می شود. اخباری درباره رخدادهای مهم سال و پیش بینی هایی در مورد وقایعی كه در سال جدید روی خواهند داد. این دسته از اطلاعات طرفداران خود را دارد و به هر حال هر كسی باید از مسایلی كه در حوزه كاری اش وجود دارد با خبر باشد، اما هیچ گاه نگذارید كه ترس از اتفاقات فردا، جلوی تصمیمات مالی و سرمایه گذاری شما را بگیرد. اصول بنیادی هنوز به اندازه همیشه مهم هستند. هر سال از شركت های امنیتی گرفته تا فردی كه یك نرم افزار ساده اما جدید طراحی كرده، تحلیل های خود را درباره روند حاكم در حوزه امنیت و فناوری اطلاعات ارائه می كنند و درباره آنچه كه شركت متبوع شان برای حفاظت از كاربران انجام داده یا اقداماتی كه در آینده برنامه هایی برای آنها دارند، حرف می زنند. امسال هم مطابق گذشته، مطالبی درباره كلود كامپیوتینگ، مجازی سازی و شبكه های اجتماعی و این كه چرا این فناوری ها بهترین (یا بدترین) دوستان ضد امنیتی ما هستند، سخن به میان آمد. البته نباید زیاد هم ترسید، چون مواردی كه در فهرست ما لحاظ شده اند به خودی خود آسیب رسان نیستند، اما توجه یا بی توجهی به آنها می تواند در نوع بودجه ریزی برنامه ریزان و مدیران آی تی تاثیرگذار باشد. البته نباید گمان كرد كه خاطرنشان كردن این نكات ساده و ابتدایی به معنای عقب ماندن از رخدادهای روز فناوری دنیاست، زیرا هر چند ممكن است اغلب نكاتی كه در ادامه خواهیم گفت نكته تازه ای برای شما نداشته باشند، اما بسیاری از شركت ها هنوز به همین اصول اولیه و بنیادی توجه نمی كنند. باید توجه داشته باشید كه خطر واقعی كجاست، كجا سرمایه گذاری می كنید و بودجه ای كه برای كارها اختصاص می دهید در چه راهی صرف می شود.          اصول ابتدایی را فراموش نكنید     برای درك این موضوع، یك شركت را در نظر بگیرید كه آنتی ویروس ندارد و از طرفی به كارمندان یا تمامی كاربرانش اجازه می دهد به سایت ها و شبكه های اجتماعی دسترسی پیدا كنند. بالاخره در این شركت هم روزی فرا خواهد رسید كه باید تصمیم گرفته شود، مشكلات پیش آمده به دلیل ظهور روندهای جدید و غیرقابل پیش بینی بوده یا نكاتی بنیادی و اصلی كه پشت گوش انداخته اند.     گزارش شركت های امنیتی به ما یادآور می شود كه در حوزه شبكه های اجتماعی با احتیاط عمل كنیم. این گزارش ها سرنخ این را كه چرا سایت های شبكه های اجتماعی برای كاربران خطرناكند، به دست می دهند، اما پس از این همه سال روبه رویی با بدافزارها، هیچ نكته ای درباره آنها نمی گویند. اما اگر شركت متبوع شما هنوز استراتژی درستی در حوزه برنامه های ضد بدافزارها ندارد، باید بگوییم مشكلاتی كه با آنها روبه رو هستید، جد ی تر از آن است كه گمان می كنید. به عنوان نمونه فعالیت كاربران و كارمندان شما در توییتر، برای شركتی كه استراتژی ندارد، بسیار خطرناك است. به عبارت دیگر، هنگامی كه روزهای تخصیص بودجه برای پروژه های جدید فرا می رسد، شما باید تمام گرایش های كهنه و نویی را كه شركت های بزرگ تحلیلگر امنیتی ارائه كرده اند در نظر بگیرید، حتی روندهایی كه به نظر كم اهمیت می رسند.     اینجا صحبت از اصول اولیه و ابتدایی در حوزه امنیت است. شاید بد نباشد از خودتان بپرسید كدام یك از ما زمانی كه حرف از اصول اساسی و بنیادی امنیتی به میان می آید سرجای خود قرار داریم؟ ترجیح می دهید از كدام موضع سخن بگویید؟ این كه سایت شركت شما به این خاطر هك شد كه حداقل های امنیتی در آن رعایت نشده یا نادیده گرفته شده بود یا این كه تهدیدهای جدید دنیای آی تی عامل وقوع این رخداد بودند؟ هك شدن سایت های بزرگ آمریكایی، متعلق به شبكه های اجتماعی یا حتی امنیتی این كشور، شاهدی بر این ادعاست كه همیشه راهی برای نفوذ وجود دارد كه باید آن را كشف كرد.     به هر حال فهرستی از نكات قابل توجه در این مقوله را تدوین كرده ایم كه در ادامه می خوانید. این فهرست شامل 5 نكته اصلی و قابل توجه در حوزه امنیت است كه هرچند تازه نیستند، با این حال اغلب نادیده گرفته می شوند و صدمه های جبران ناپذیری را برای شركت های فناوری به دنبال دارند.          ١- ارزیابی امنیتی شبكه     دلایل متعددی وجود دارد كه ثابت می كند برای ارزیابی نقاط آسیب پذیر، آنچه در توان داشته اید یا حداكثر زمانی را كه لازم بوده اختصاص نداده اید. در این راستا شاید لازم باشد كه سیستم های مشكل دار را از مجموعه خارج كنید. در این راه احتمالا به اطلاعات فنی و خاصی نیاز پیدا می كنید تا سره را از ناسره تشخیص دهید. ارزیابی آسیب پذیری ها بهترین راهنما برای نظارت بر شركت تحت مدیریت شماست. در این فرایند، بازخوردهایی كه دریافت می كنید، نحوه عملكرد امنیتی شركت را برای شما به نمایش می گذارند. تمام اطلاعات مربوط به كارایی یا ناكارآمدی فرایندهای مدیریت پچ یا وصله های امنیتی، سیاست هایی كه درباره سیستم رمز عبور اتخاذ كرده اید یا فرایند های دیگر امنیتی مجموعه از طریق داده هایی كه از نتایج ارزیابی آسیب پذیری به دست می آید، قابل بررسی و كنترل است. اگر تاكنون كاری را در این باره آغاز نكرده اید، باید به شما بگوییم كه فناوری لازم برای این كار ارزان، كامل و آماده بهره برداری است.          ٢- مدیریت دارایی ها     چند نفر از ما اطلاعات دقیقی درباره ریز جزئیات دارایی و دستگاه های شبكه تحت نظارت خود را دارد؟ از آنجا كه شركت ها سعی می كنند فناوری اطلاعات را به شكل ارگانیك در حوزه تحت اختیار خود رشد و توسعه بدهند، در شرایطی كه لازم باشد فهرستی از سیاهه اموال و دستگاه های موجود در شبكه تهیه كنیم، با مسوولیتی رو به رو می شویم كه جانكاه است و هزینه بر. حتی زمانی كه گمان می كنیم اطلاعات درستی درباره مجموعه تحت مدیریت خود داریم، باز خللی در درك ما از محیط كاری مان وجود دارد. به عنوان مثال شاید یك مدیر دقیقا بداند وضعیت دسكتاپ های مجموعه چطور است، اما به طور قطع ایده ای درباره وضعیت ابزارها و برنامه های كاربردی آن ندارد. اگر پیش بینی های ما تا این جا درست از آب درآمده، به شما توصیه می كنیم دارایی های مجموعه را فهرست كرده و اطلاعات جامعی درباره آنها گردآوری كنید. به این ترتیب نقشه ای از وضعیت سیستم های موجود تهیه می شود كه می توانید از این پس تغییرات احتمالی در آن را اعمال كنید و همیشه درباره شرایط مجموعه به روز باشید. درباره حجم كار هم نگرانی به دل راه ندهید، به مرور این كار را انجام دهید، آن هم به روش ارگانیك، دقیقا مثل روزهایی كه شركت تحت مدیریت تان را راه اندازی كردید و بعد به مرور آن را گسترش دادید.          ٣- مانیتورینگ     ما همه از شرایط ایده آل وضعیت قوانین نظارتی آگاهیم: یعنی تعریف قواعدی كه بر دسترسی به منابع شبكه و برنامه های كاربردی نظارت كنند. اما در عمل، زمانی كه موضوع قوانین پیش می آید ما به این نتیجه می رسیم كه حتما قوانین به راه هایی منجر می شوند كه در آن موقعیت سیستم ها به شكلی پیچیده تعریف شده اند، یا تلاش های جانكاهی لازم است كه كاربران را بر اساس قوانینی كه برای خود ما هم مبهم و نامشخص هستند، تفكیك كنیم. اما ماجرا به این سختی هم نیست. یك بار كه چنین قواعدی تعریف شوند، برای همیشه از شر چنین ماجراهایی خلاص می شوید. زمانی كه گردوخاك تلاش ما برای تعیین و تبیین قوانین فرو نشست، دیگر حتی بدون تخصیص فضایی به كاربران تازه یا اجازه دسترسی آنها به برنامه های كاربردی هم كارها به شكل خود به خودی انجام می شوند و روالی در این فرایند شكل می گیرد كه بدون كمك مسوولان امنیتی مجموعه و با سازماندهی كمتر هم به كار خود ادامه می دهد. البته، طرحی كه از قواعد تهیه می شود نباید زیاد پیچیده باشد. ابتدا با قوانین در سطوح بالا و قواعد كلی شروع كنید و بعد به مرور ریز قواعد و ضوابطی را تعریف كنید كه باید به كار گرفته شوند. تا به حال قوانینی برای مجموعه تحت مدیریت خود تهیه نكرده اید و این باعث می شود كه از آن طفره بروید؟ پس مسوولیت ایجاد قوانین و ضوابط را به كارشناسان و مسوولان هر قسمت واگذار كنید كه مدام با برنامه های كاربردی بخش تحت نظارت شان سروكار دارند. هر چند وقت یك بار هم كارها و قوانین را با آن ها مرور كنید كه مطمئن شوید همه چیز به درستی پیش می رود.          ٤- نظارت و كنترل     شركت های بزرگ و مراكز اطلاعاتی همیشه پردردسر هستند و افرادی كه در این مجموعه ها وظیفه بررسی هشدارهای درون سیستمی (پیام هایی كه سیستم ها و نرم افزارهای كاربردی در مورد به روزرسانی یا تنظیمات داخلی و هشدارهای امنیتی ارائه می كنند) را بر عهده دارند، فشار و حجم كار بسیار زیادی را تحمل می كنند. در سطح برنامه های كاربردی و سیستم های عامل، مسوولان هر بخش آن قدر گرفتارند و وظایف مختلف به آنها محول شده كه مرور و بررسی فایل های تنظیمات و گزارش فعالیت های هر سیستم به طور مرتب امكان پذیر نیست. بنابراین چه كسی باید این كار را انجام دهد؟ در بسیاری از سازمان ها نظارت روزانه برنامه ها و تنظیمات نرم افزاری و مرور فعالیت های سیستم در حاشیه قرار می گیرد و چندان به آن توجه نمی شود. به خصوص این اتفاق در شركت هایی زیاد رخ می دهد كه از برنامه های ممیزی و نظارت استفاده می كنند و این قابلیت در سیستم آنها فعال شده است. برای این كه همیشه از ایمنی سیستم های تحت نظارت تان مطمئن باشید، چیزهایی را مشخص كنید كه باید به طور مداوم نظارت و بررسی شوند و دوره زمانی هم ویژه این كار در نظر بگیرید.          ٥- طرح تداوم كسب و كار     فرآیند (Break Cloud Procedure) BCPیا طرح تداوم كسب و كار و جبران سوانح ، كار پردردسری است اما به هر حال باید با آن روبه رو شد. این فرآیند به مشاركت و همكاری تمام قسمت های سازمان نیاز دارد. از كارشناسان و متخصصان گروه های فرعی گرفته تا مدیران و روسای شركت. به خاطر تعداد زیاد افرادی كه در این فرایند دخیل اند، بیشتر اوقات زمانی برای مدل سازی رسمی و تفصیلی وجود ندارد، یا گاهی اوقات تحلیل های ما برای مدت های طولانی بدون به روزرسانی باقی می مانند. هرچند برنامه ریزی برای احتمالات كار بسیار دشواری است، اما تمام داده هایی كه درباره برنامه های كاربردی، سیستم ها و فرایندهای تجاری جمع آوری كرده اید، برای مقاصد دیگر در برنامه های امنیتی نیز قابل استفاده هستند. برنامه هایی چون ارزیابی كلی سیستم، تحلیل ریسك و حتی فهرست دارایی و موجودی های سیستم. بنابراین شاید اكنون زمان خوبی باشد كه اطلاعات با ارزش مربوط به سیستم را رفرش كرده و از نو جمع آوری كنید.     شاید بگویید پیش از این تمام این كارها را به درستی انجام داده اید، اما ممكن است هنگام مطالعه این سطور به ذهن تان رسیده باشد كه برخی از مراحل را بهتر از این هم می توانستید انجام دهید.     توجه كنید كه اصول پایه ای از اهمیت ویژه ای برخوردارند و قبل از پرداختن به موضوعات تازه، بهتر است اقدامات پیشین را اصلاح كنید.           □ تعداد خوانندگان اين مطلب: 95        مشاهده فهرست مطالب شماره 28

	کليه حقوق محفوظ و متعلق به ماهنامه تحليلگران عصر اطلاعات است.