سهل انگاری کوچک عامل افشای اطلاعات سازمان دولتی
به گزارش کارا پیام وقوع رخدادهای مختلف نشت اطلاعات از پایگاه های داده ی شرکت ها و سازمان های دولتی و خصوصی، عموما ناشی از خطاها و ضعف های امنیتی در پیاده سازی و تنظیمات است که سبب می شود گاهی حتی بدون نیاز به دانش عمیق هک و نفوذ و با یک سری بررسی ها و جست وجوهای ساده، داده ها افشا شوند.
به گزارش کارا پیام به نقل از ایسنا، اعتماد مهم ترین حلقه زنجیره خدمات در هر سرویس است، سرویسهای مجازی هر روز درحال رشدند، ازاین رو کسانی که اطلاعات شهروندان را نگه می دارند، باید از قبل فرایند شفاف سازی را انجام دهند تا دسترسی به اطلاعات مردم کار مشکلی باشد. بنابراین لازم است ضریب حریم خصوصی را به نحو قابل بهبودی افزایش داد. این در شرایطی است که به تازگی زیرساخت های کشور هم تحت حملات سایبری قرار می گیرد و به دنبال آن بعضی از کسب و کارها هم تحت تأثیر این حملات هستند که در بعضی موارد منجر به هک شدن برخی سرورها هم شده است.
به عبارتی، در زمینه فناوری اطلاعات و ارتباطات در کشور نیازمند قوانین جدی و به روز هستیم و این خلأ قانونی در حوزه امنیت سایبری هم به مراتب پررنگ تر است. الان نشت های اطلاعاتی که در کشور رخ می دهد بیشتر در ارتباط با صدمه پذیری از سهل انگاری های کوچکی است که با آموزش قابل پیشگیری خواهد بود. هم اکنون قوانین کیفری و جرم انگاری ویژه برای نشت اطلاعات در قوانین موجود کشور وجود ندارد و بنابراین است که سهل انگاری ها گاهی بیشتر می شود. این در شرایطی است که در اکثر کشورهای دنیا نقض حریم خصوصی مشمول جریمه پنج درصدی از درآمد شرکت ها می شود.
هرچند قانون حفاظت از داده های عمومی یا همان GDPR در هزارتوی نظام بروکراسی محبوس مانده است، اما این به آن معنا نیست که قانونی برای اجبار سازمان ها و دستگاه ها به حفاظت از داده های شخصی وجود ندارد، بلکه به معنای آن است که همه نیازها را پاسخ نمی دهد. تک تک این مواد قانونی می تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در محافظت از داده ها سهل انگاری کرده است. با این حال، شواهد نشان داده است اگر پایگاه اطلاعات کسب وکاری فاش شود، معمولاً کارش به دادگاه نمی رسد، این شرکت ها هم ترجیح می دهند اتفاقات مشمول گذر زمان شود، درحالی که بحث حریم شخصی با دلجویی هم حل نمی گردد، بلکه نیازمند قانون است و نشت اطلاعات باید تبعاتی داشته باشد.
دستورالعمل اقدامات پایه جهت جلوگیری از نشت اطلاعات سازمان ها و کسب وکارها
وقوع رخدادهای مختلف نشت اطلاعات از پایگاه های داده ی شرکت ها و سازمان های دولتی و خصوصی در فضای مجازی عموما متاثر از لیست مشترکی از خطاها و ضعف های امنیتی در پیاده سازی و تنظیمات است. این ضعف ها سبب می شوند در بعضی موارد دسترسی به داده های سازمان ها و کسب و کارها حتی احتیاج به دانش عمیق هک و نفوذ نداشته باشد و با یک سری بررسی ها و جست وجوهای ساده، داده ها افشا می شوند. بدین منظور مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) به منظور جلوگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه ها، سفارش هایی کرده است.
لازم است در راه اندازی پایگاه های داده بخصوص انواع پایگاه های داده ی NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده دقت شود. خیلی از موارد نشت اطلاعات در ارتباط با پایگاه های داده ای است که موقتاً و جهت انجام فعالیتهای موردی و کوتاه مدت به راه افتاده است. لازم است اهمیت و حساسیت این نوع پایگاه های داده هم تراز پایگاه های اصلی درنظر گرفته شود.
بررسی و غیرفعال سازی قابلیت Directory Listing غیرضروری در سرویس دهنده های وب جهت پیشگیری از دسترسی به فایل ها از دیگر راه های پیشگیری است. همینطور در وضعیت دسترسی به دایرکتوری های محل بارگزاری داده ها و اسناد توسط کاربران وب سایت نظیر دایرکتوری های uploads و temp هم باید دقت شود و علاوه بر ضرورت کنترل دسترسی ها و غیرفعال سازی قابلیت Directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس بیرون بروند.
عدم اتصال مستقیم پایگاه های داده به صورت مستقیم به شبکه اینترنت
تا حد امکان لازم است دسترسی مستقیم به پایگاه های داده از راه اینترنت برقرار نشود. یکی از مواردی که سبب این اشتباه بزرگ می شود، روال پشتیبانی شرکتهای عرضه دهنده راهکارهای نرم افزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خویش را اجبار به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی می کنند. در صورت اجبار شرکت ها و سازمان ها به این مسئله، این دسترسی حتما باید روی یک بستر امن و با استفاده از وی پی ان ایجاد شود.
سرویس دهنده های رایج و پرکاربردی مانند مایکروسافت اکسچنج، مایکروسافت شیرپوینت و زیمبرا، با عنایت به انتشار عمومی صدمه پذیری های حیاتی و اکسپلویت های مربوطه طی سالهای اخیر مورد سوءاستفاده جدی قرار گرفته اند. بنابراین در صورت استفاده از این سرویس دهنده ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله های امنیتی منتشرشده اطمینان حاصل شود. همینطور لازم است از عدم دسترسی مستقیم از راه اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLo، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال اطمینان حاصل کنید. این دسترسی ها لازم است از راه سرویس وی پی ان اختصاصی و یا بر مبنای آدرس آی پی مبدا مجاز محدود شوند.
لازم است از نگهداری هرگونه نسخه پشتیبان از سیستم ها روی سرور وب خودداری کنید و همینطور جهت اطمینان از عدم وجود دسترسی به سرویس ها و سامانه ها به صورت ناخواسته، نسبت به اسکن ساده ی سرویسهای فعال روی بلوک های IP سازمان خود به صورت مداوم اقدام نموده و سرویسهای مشاهده شده ی غیرضروری را از دسترسی خارج کنید. البته تمامی این موارد به هیچ عنوان جایگزین فرایندهای کامل امن سازی و ارزیابی امنیتی نبوده و صرفاً برطرف کننده شماری از ضعف های جدی مشاهده شده هستند.
منبع: كارا پیام
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب