فردای اقتصاد – مهدی واعظی: شرکت‌ها غول‌های فناوری بزرگ که باید بهترین شیوه‌های موجود برای مبارزه با هکرها و آسیب‌پذیری‌های امنیتی را بدانند، به این نتیجه رسیده‌اند که آسیب‌پذیرترین بخش آنها همانند دوران جنگ تروجان‌ها همچنان انسان‌ها و نیروی انسانی است. بنابراین به این نتیجه رسیده‌اند که باید رویکرد «به هیچکس اعتماد نکن» را پیش گیرند.

فلسفه‌ای تحت عنوان معماری اعتماد صفر شناخته می‌شود در برخی شرکت‌ها مورد استفاده قرار می‌گیرد. این فلسفه اینگونه است که مهم نیست که دفاع خارجی شرکت چقدر قوی است، هکرها در نهایت می‌توانند وارد شوند. بنابراین شرکت‌ها باید حتی از کاربران داخل شبکه خودشان هم مطمئن شوند و بدانند که آنها هم حتی نمی‌توانند آسیب جدی به شبکه وارد کنند.

در هفته گذشته، شرکت تولید بازی‌های ویدیویی راک‌استار و اوبر، بزرگترین شرکت تاکسی‌های اینترنتی مورد حمله سایبری قرار گرفتند و به موجب این نفوذ عملکرد آنها مختل شد. این دو شرکت هم به فهرستی از شرکت‌های بزرگ پیوستند که از ماهرترین متخصصان و بروزترین تجهیزات موجود در کره زمین بهره می‌گیرند که هک شده‌اند. از جمله این شرکت‌ها می‌توان به Nvidia و شرکت Okta اشاره کرد.

وجه مشترک اکثر شرکت‌هایی که هک می‌شوند، فریب خوردن فردی در شرکت یا فردی نزدیک به شرکت است که به واسطه آن از ابتدایی‌ترین و مهم‌ترین سد عبور به شبکه داخلی شرکت عبور می‌کنند. به این تکنیک نفوذ، مهندسی اجتماعی گفته می‌شود.

نوع دیگری که شرکت‌ها از آن طریق مورد نفوذ قرار می‌گیرند، هک شدن توسط ایمیل‌های جعلی است که صفحات فیک کاربران را هدایت می‌کند و در آن صفحات اطلاعات کاربران دزدیده می‌شود. به این نوع حمله «فیشینگ» می‌گویند که منجر به لو رفتن اطلاعات هویتی کاربران می‌شود.

هک شدن این دو شرکت در هفته اخیر و عدم پاسخگویی آنها در رابطه با استراتژی و نحوه عملکرد سیستم‌های امنیتی آنها موجب شده است که سایر غول‌های فناوری و شرکت‌های بزرگ روی به اتخاذ و استفاده بیشتر از فلسفه «اعتماد صفر» بیاورند.

اعتماد صفر مفهومی گسترده است، اما در اصل به این معنی است که هیچ بخشی از سیستم های فناوری اطلاعات یک شرکت نباید فرض کند که هر بخش دیگری در شرکت اعم از انسان یا نرم افزار، وضعیت سفید دارد و می‌توان آن را در منطقه امن قرار داد. در این رویکرد فرض بر این است که همه سیستم‌های داخلی و خارجی شرکت قبلتر توسط هکرها در معرض خطر قرار گرفته‌اند.

محبوبیت حملات مبتنی بر مهندسی اجتماعی

کارشناسان امنیت سایبری و دفتر تحقیقات فدرال هم به این نکته اشاره می‌کنند که از آنجایی که شرکت‌های بزرگ منابع خوبی برای مقابله با حملات سیستماتیک و خارجی در اختیار دارند، حملات مبتنی بر مهندسی اجتماعی از محبوبیت بالایی میان هکرها برخوردار شده‌اند و شاهد حملات متعددی از این جانب هستیم. با این حال ارتقای سیستم‌های کامپیوتری برای یک شرکت کار آسانتری نسبت به ارتقای ذهن کارمندان است.

رویکرد اعتماد صفر به دنبال محدود کردن چنین ویرانگری‌هایی است. بسیاری از اصول طراحی که مهندسان را در ساخت سیستم‌های بدون اعتماد استفاده می‌کنند، به راحتی قابل درک هستند. اگر با این اتفاق برخورد داشته‌اید که مجبور شده‌اید بارها و بارها برای ورود به سیستم‌های شرکتی یا وبسایت بانک خود اقدام کنید، این رویکرد هم بخشی از تاکتیک «اعتماد صفر» است که به طور منظم اعتبارنامه‌ها را بروز می‌کند که به افراد و رایانه‌ها امکان دسترسی به سیستم‌های دیگر که شاید ناامن را می‌دهد. ایده این است که حتی اگر مهاجمان با حساب شما وارد شوند، زمان محدودی برای آسیب رساندن داشته باشند.

یکی دیگر از اصول اعتماد صفر که به عنوان تجزیه و تحلیل رفتاری شناخته می‌شود، این است که نرم‌افزار باید رفتار افرادی را که در شبکه هستند نظارت کند و هر کسی را که کاری غیرعادی انجام داد، مانند تلاش برای برداشت بانکی بسیار بزرگ یا هرگونه رفتار غیرعادی علامت‌گذاری کند. (این همان نوع تجزیه و تحلیلی است که بانک شما را وادار می‌کند در صورت خرید کارت اعتباری خارج از عرف، شناسایی شوید. به عنوان مثال، هنگامی که به شهر جدیدی سفر می کنید، پیامکی برای شما ارسال خواهد شد.)

اما به طور کلی رویکرد واحد آن است که در این استراتژی و فلسفه باید به هر جز از سیستم شک داشته باشیم. حتی اگر نسبت به آن جز اطمینان داشته باشید هم باید جانب احتیاط رعایت شود.

اتخاذ رویکرد اعتماد صفر به معنای تغییر بسیاری از لایه‌های امنیتی است. این موارد شامل افزودن احراز هویت چند عاملی در حساب‌های شرکت و دادن کمترین دسترسی به کاربران و سیستم‌ها است. همچنین بهتر به جای قرار دادن داده‌های حساس در پایگاه‌های داده یک شرکت بهتر است که حساس‌ترین داده‌ها را در یک مکان مجزا قرار دهید و به‌شدت از آن‌ها محافظت کنید.