امنیت سایبری را جدی بگیریم؛ ۴ اصل امنیت سایبری که سازمانها باید رعایت کنند
آموزش
رویدادهای ماههای اخیر مانند هک شدن سامانههای شهرداری تهران و هک شدن صنعت فولاد کشور نشان داد که امنیت سایبری باید در اولویت سازمانها قرار گیرد. همچنین، تصویب طرح تشکیل سازمان پدافند غیر عامل و اذعان رئیس سازمان پدافند غیر عامل کشور به جنگ سایبری با آمریکا و رژیم صهیونیستی در هفتههای اخیر، ضرورت توجه به امنیت سایبری را بیش از پیش برجسته کرد.
با این حال، متأسفانه خیلی از سازمانهای حساس کشور، موضوع امنیت سایبری را جدی نمیگیرند و این مسئله میتواند با توجه به تهدیدات سایبری گسترده، تبعات غیر قابل جبرانی برای کشور به دنبال داشته باشد.
در این مقاله میخواهیم چهار اصل امنیت سایبری را که هر سازمانی باید آنها را رعایت کند، برای شما مخاطبان گرامی مجله سایبرنو توضیح دهیم. با ما همراه باشید.
۴ اصل امنیت سایبری که باید رعایت کنید
به طور کلی برای ارتقاء سطح امنیت سایبری سازمان خود باید نکات زیر را بدون کم و کاست، رعایت کنید:
۱- نصب آنتی ویروسها روی کامپیوترهای سازمان
تمامی کامپیوترهای سازمان شما باید مجهز به نرمافزارهای ضد ویروس باشند. این نرمافزارها باید به صورت پیوسته به روزرسانی شوند.
۲- بهروز رسانی و پچ کردن تمامی آنتی ویروسها، سیستمهای عامل، نرمافزارهای کاربردی و سفتافزارهای کامپیوترها و دیگر تجهیزات شبکه سازمان
_1.jpg)
واحد IT یا تیم امنیت سایبری سازمان شما باید برنامههایی منظم و روتین مشخصی برای بهروز رسانی آنتی ویروسهای نصب شده روی کامپیوترهای سازمان داشته باشد و اسکنهای دورهای را انجام دهد. سیستمهای عامل نیز باید به طور پیوسته بهروز رسانی و پچ شوند. دقت داشته باشید که امنیت سیستم عامل لینوکس، بسیار بیشتر از سیستم عامل ویندوز است.
نرمافزارهای جانبی که روی کامپیوترها نصب میشوند، باید از منابع معتبر و قابل اطمینان تهیه شوند و ترجیحاً از نسخههای کرک نشده استفاده شود. این نرمافزارها نیز باید به طور پیوسته بهروز رسانی و پچ شوند.
اکثر تجهیزات شبکه مثل روترها و حتی دوربینهای مداربسته دارای سفتافزار هستند. این سفتافزارها نیز ممکن است مثل هر نرمافزار دیگری، دارای آسیبپذیری و ایرادات امنیتی باشند. بنابراین باید به طور پیوسته این سفتافزارها را بهروز رسانی و پچ کنید. دقت داشته باشید که فایل پچ یا بهروز رسانی حتماً باید از وبسایت رسمی شرکت تولیدکننده دانلود شود.
۳- نظارت بر ورود و خروج هر نوع حافظه دیجیتالی به سازمان
سازمانهای حساس مثل مراکز نظامی، اطلاعاتی-امنیتی، پالایشگاهها، نیروگاهها، مراکز اتمی، مراکز قضایی و ... باید بر ورود و خروج هرگونه حافظه دیجیتالی به سازمان نظارت داشته باشند.
هکرها، مجرمین سایبری و افراد خرابکار میتوانند از هر وسیله مجهز به حافظه دیجیتالی مثل دیسکهای نوری، فلش مموری، تلفن همراه، تبلت، لپ تاپ، هارد اکسترنال، رم و ... برای ورود بدافزارها به سازمان یا سرقت اطلاعات حساس از سازمان استفاده کنند.
بسیاری از این سازمانها ورود و خروج چنین وسایلی را برای مراجعین و حتی پرسنل به طور کامل ممنوع کردهاند. با این حال ممنوعیت کامل تردد دستگاههای دیجیتالی میتواند انجام بسیاری از کارها را با اختلال مواجه کند و متأسفانه شاهد انجام دستی، مکانیکی و سنتی بسیاری از کارها در چنین سازمانهایی هستیم.
این رویکرد نه تنها سبب کند شدن فرایندها میشود بلکه با افزایش مصرف انرژی و موادی مثل کاغذ، کارتریج و ... هزینههای سازمان را بالا میبرد. در عصر فناوری ممنوعیت کامل تردد دستگاههای دیجیتالی به هیچ سازمانی پذیرفته نیست. اما چه راه حل دیگری برای جلوگیری از نفوذ به چنین سازمانهای حساسی وجود دارد؟
شرکت دانشبنیان سایبرنو، با ارائه محصولاتی مثل کیوسک امن که مبتنی بر فناوری MultiAV کار میکند، این مشکل را حل کرده است.
هر سازمانی میتواند دستگاه کیوسک امن سایبرنو را در محل ورود و خروج افراد در سازمان خود قرار دهد تا تمامی حافظههای دیجیتالی مثل دیسکهای نوری و فلشها، پیش از ورود به سازمان یا خروج از سازمان، از نظر وجود بدافزارها و محتویات مخرب، بررسی و اسکن شوند.
برای کسب اطلاعات بیشتر در رابطه با کیوسک امن سایبرنو، اینجا را کلیک کنید.
استفاده از این محصول امنیت سایبری، یکی از بهترین روشهای جلوگیری از هک دوربین مداربسته در سازمانها است که احتمال نفوذ به سازمان را تا حد بسیار زیادی کاهش میدهد، اما هنوز هم میتوانید با انجام اقداماتی تکمیلی که در ادامه به آنها میپردازیم سطح امنیت سازمان خود را از این هم فراتر ببرید.
۴- آموزش پرسنل و ارتقاء امنیت تلفنهای همراه آنها
گام بعدی در راستای جلوگیری از هک دوربین مداربسته در سازمانها، آموزش اصول امنیت سایبری به تمامی پرسنل سازمان است. برگزاری سمینارهای امنیت سایبری و آموزشهای منظم به پرسنل ضرورتی است که به هیچ وجه نباید آن را نادیده بگیرید زیرا بسیاری از هکرهای سازمانیافته و مجرمین سایبری، با هدف گرفتن پرسنل تلاش میکنند تا به سازمان شما نفوذ کنند.
پنج نکته امنیتی مهمی که پرسنل سازمان شما باید بدانند به شرح زیر هستند:
- مراقب مهندسی اجتماعی باشید: حملات مهندسی اجتماعی (Social Engineering) از رایجترین روشهای هک دوربین مداربسته هستند. در این نوع حملات، هکرها از تکنیکهای روانشناسی ساده یا پیچیده برای فریب دادن پرسنل استفاده میکنند تا اشتباهی که نباید، از پرسنل سر بزند.
یکی از سادهترین روشهای مهندسی اجتماعی، ارسال ایمیلهای حاوی لینک دانلود بدافزار برای پرسنل است. این ایمیلها به گونهای طراحی میشوند که با ایجاد ترس یا انگیزه در کاربر، او را ترغیب به کلیک کردن روی لینک میکنند. گاهی اوقات، هکرها با انجام تحقیقات گسترده روی بعضی از پرسنل و شناخت نقاط ضعف شخصیتی آنها، روش مهندسی اجتماعی را پیادهسازی میکنند.
- تمامی سیستمهای شخصی خود را آپدیت نگه دارید: به یاد داشته باشید که نفوذ هکرها به کامپیوترها یا حتی گوشیهای همراه پرسنل به معنی افزایش شانس نفوذ آنها به شبکههای درونسازمانی شما است.
بنابراین همانطور که تمامی سیستمها و تجهیزات شبکه سازمان برای جلوگیری از هک دوربین مداربسته باید به طور منظم بهروز رسانی شوند، تمامی دستگاههای شخصی کاربران نیز باید همیشه آپدیت باشند.
- از گذرواژههای قوی استفاده کنید: تمامی پرسنل باید برای حسابهای کاربری شخصی و سازمانی مثل حساب گوگل و حساب شبکههای اجتماعی و نیز دستگاههای شخصی و سازمانی، گذرواژههای قوی انتخاب کنند و از قراردادن اطلاعات شخصی به عنوان گذرواژه شدیداً اجتناب کنند.
- از وای-فای عمومی استفاده نکنید: نکته دیگری که برای کمک به جلوگیری از هک دوربین مداربسته در سازمان خود باید به آن توجه داشته باشید، آموزش استفاده نکردن از شبکههای وای-فای عمومی، مثل وای-فای فرودگاه یا کافیشاپها است. هکرها میتوانند با استفاده از این شبکههای وای-فای به راحتی به دستگاههای پرسنل نفوذ کنند. همچنین تمامی قابلیتهای ارتباطی بیسیم دستگاههای همراه مثل گوشیها و تبلتهای شامل وای-فای و بلوتوث باید حتیالامکان در مکانهای عمومی خاموش باشند.
- از VPN سازمانی استفاده کنید: VPNهای سازمانی، ابزارهایی هستند که با رمزنگاری دادههای انتقالی بر بستر اینترنت، امکان استخراج اطلاعات از آنها را تقریباً به صفر میرسانند. سازمانها باید به پرسنل خود آموزش دهند فقط با VPN سازمان به اینترنت متصل شوند و حتیالامکان VPNهای مطمئنی برای پرسنل خود تهیه کنند.
- نکات امنیتی را در نصب اپلیکیشنها و نرمافزارها رعایت کنید: پیش از این اشاره کردیم که نفوذ به دستگاههای شخصی پرسنل، میتواند منجر به نفوذ به حساسترین لایههای سازمان شما شود. یکی دیگر از روشهای نفوذ هکرها به شبکههای سازمان یا دستگاههای شخصی کاربران، استفاده از آسیبپذیریها و حفرات امنیتی نرمافزارها و اپلیکیشنها است.
سازمانها باید به پرسنل خود در رابطه با نصب نکردن نرمافزارها و اپلیکیشنهای غیرضروری و رعایت نکات امنیتی در نصب نرمافزارها و اپلیکیشنهای ضروری روی سیستمهای شخصی و سازمانی آموزش دهند. بعضی از این نکات به شرح زیر هستند:
-
- دقت به منبع منتشر کننده (اپلیکیشنهای اندرویدی فقط و فقط باید از پلی استور گوگل دانلود شوند)
- دقت به امتیازات اپلیکیشنها و نظرات کاربران در پلی استور گوگل
- انجام تستهای امنیتی روی فایلهای اپلیکیشنهایی که در پلی استور موجود نیستند (مثل اپلیکیشنهای درونسازمانی)
شرکت دانشبنیان سایبرنو سامانهای نرمافزاری به نام «آزمایشگاه امنیت تلفن همراه» تولید و ارائه نموده است که با استفاده از آن میتوان فایلهای APK را مورد تحلیل و بررسی امنیتی قرار داد. همچنین تعداد زیادی از اپلیکیشنهای پرکاربرد توسط این سامانه اسکن شدهاند و نتایج آنها در صفحه آزمایشگاه امنیت تلفن همراه سایبرنو قابل مشاهده است. ثبت نام و استفاده از سامانه مذکور رایگان است. برای کسب اطلاعات بیشتر در رابطه با آزمایشگاه امنیت تلفن همراه سایبرنو، اینجا را کلیک کنید.
جمعبندی
در این مقاله، ۴ اصل امنیت سایبری و امنیت شبکه را برای شما توضیح دادیم. بیتوجهی به هر کدام از این اصول میتواند منجر به نفوذ به سازمان شما شود و زمانی که نفوذ رخ دهد، هیچ یک از سامانههای شما در امان نخواهند بود. هکرها میتوانند حتی با نفوذ به تلفن همراه کارکنان سازمان، ویروسها را به شبکههای درون سازمانی شما انتقال دهند و در آن صورت، حتی هک دوربین مدار بسته سازمان نیز برای آنها بسیار ساده میشود.
با توجه به حجم بالای تهدیدات سایبری و افزایش هر روزه حملات هکری، سازمانها باید موضوع امنیت سایبری را در اولویت خود قرار دهند و زیرساختهای پدافند سایبری را تا حد ممکن تقویت کنند.
