فردای اقتصاد – مهدی واعظی: شرکتها غولهای فناوری بزرگ که باید بهترین شیوههای موجود برای مبارزه با هکرها و آسیبپذیریهای امنیتی را بدانند، به این نتیجه رسیدهاند که آسیبپذیرترین بخش آنها همانند دوران جنگ تروجانها همچنان انسانها و نیروی انسانی است. بنابراین به این نتیجه رسیدهاند که باید رویکرد «به هیچکس اعتماد نکن» را پیش گیرند.
فلسفهای تحت عنوان معماری اعتماد صفر شناخته میشود در برخی شرکتها مورد استفاده قرار میگیرد. این فلسفه اینگونه است که مهم نیست که دفاع خارجی شرکت چقدر قوی است، هکرها در نهایت میتوانند وارد شوند. بنابراین شرکتها باید حتی از کاربران داخل شبکه خودشان هم مطمئن شوند و بدانند که آنها هم حتی نمیتوانند آسیب جدی به شبکه وارد کنند.
در هفته گذشته، شرکت تولید بازیهای ویدیویی راکاستار و اوبر، بزرگترین شرکت تاکسیهای اینترنتی مورد حمله سایبری قرار گرفتند و به موجب این نفوذ عملکرد آنها مختل شد. این دو شرکت هم به فهرستی از شرکتهای بزرگ پیوستند که از ماهرترین متخصصان و بروزترین تجهیزات موجود در کره زمین بهره میگیرند که هک شدهاند. از جمله این شرکتها میتوان به Nvidia و شرکت Okta اشاره کرد.
وجه مشترک اکثر شرکتهایی که هک میشوند، فریب خوردن فردی در شرکت یا فردی نزدیک به شرکت است که به واسطه آن از ابتداییترین و مهمترین سد عبور به شبکه داخلی شرکت عبور میکنند. به این تکنیک نفوذ، مهندسی اجتماعی گفته میشود.
نوع دیگری که شرکتها از آن طریق مورد نفوذ قرار میگیرند، هک شدن توسط ایمیلهای جعلی است که صفحات فیک کاربران را هدایت میکند و در آن صفحات اطلاعات کاربران دزدیده میشود. به این نوع حمله «فیشینگ» میگویند که منجر به لو رفتن اطلاعات هویتی کاربران میشود.
هک شدن این دو شرکت در هفته اخیر و عدم پاسخگویی آنها در رابطه با استراتژی و نحوه عملکرد سیستمهای امنیتی آنها موجب شده است که سایر غولهای فناوری و شرکتهای بزرگ روی به اتخاذ و استفاده بیشتر از فلسفه «اعتماد صفر» بیاورند.
اعتماد صفر مفهومی گسترده است، اما در اصل به این معنی است که هیچ بخشی از سیستم های فناوری اطلاعات یک شرکت نباید فرض کند که هر بخش دیگری در شرکت اعم از انسان یا نرم افزار، وضعیت سفید دارد و میتوان آن را در منطقه امن قرار داد. در این رویکرد فرض بر این است که همه سیستمهای داخلی و خارجی شرکت قبلتر توسط هکرها در معرض خطر قرار گرفتهاند.
محبوبیت حملات مبتنی بر مهندسی اجتماعی
کارشناسان امنیت سایبری و دفتر تحقیقات فدرال هم به این نکته اشاره میکنند که از آنجایی که شرکتهای بزرگ منابع خوبی برای مقابله با حملات سیستماتیک و خارجی در اختیار دارند، حملات مبتنی بر مهندسی اجتماعی از محبوبیت بالایی میان هکرها برخوردار شدهاند و شاهد حملات متعددی از این جانب هستیم. با این حال ارتقای سیستمهای کامپیوتری برای یک شرکت کار آسانتری نسبت به ارتقای ذهن کارمندان است.
رویکرد اعتماد صفر به دنبال محدود کردن چنین ویرانگریهایی است. بسیاری از اصول طراحی که مهندسان را در ساخت سیستمهای بدون اعتماد استفاده میکنند، به راحتی قابل درک هستند. اگر با این اتفاق برخورد داشتهاید که مجبور شدهاید بارها و بارها برای ورود به سیستمهای شرکتی یا وبسایت بانک خود اقدام کنید، این رویکرد هم بخشی از تاکتیک «اعتماد صفر» است که به طور منظم اعتبارنامهها را بروز میکند که به افراد و رایانهها امکان دسترسی به سیستمهای دیگر که شاید ناامن را میدهد. ایده این است که حتی اگر مهاجمان با حساب شما وارد شوند، زمان محدودی برای آسیب رساندن داشته باشند.
یکی دیگر از اصول اعتماد صفر که به عنوان تجزیه و تحلیل رفتاری شناخته میشود، این است که نرمافزار باید رفتار افرادی را که در شبکه هستند نظارت کند و هر کسی را که کاری غیرعادی انجام داد، مانند تلاش برای برداشت بانکی بسیار بزرگ یا هرگونه رفتار غیرعادی علامتگذاری کند. (این همان نوع تجزیه و تحلیلی است که بانک شما را وادار میکند در صورت خرید کارت اعتباری خارج از عرف، شناسایی شوید. به عنوان مثال، هنگامی که به شهر جدیدی سفر می کنید، پیامکی برای شما ارسال خواهد شد.)
اما به طور کلی رویکرد واحد آن است که در این استراتژی و فلسفه باید به هر جز از سیستم شک داشته باشیم. حتی اگر نسبت به آن جز اطمینان داشته باشید هم باید جانب احتیاط رعایت شود.
اتخاذ رویکرد اعتماد صفر به معنای تغییر بسیاری از لایههای امنیتی است. این موارد شامل افزودن احراز هویت چند عاملی در حسابهای شرکت و دادن کمترین دسترسی به کاربران و سیستمها است. همچنین بهتر به جای قرار دادن دادههای حساس در پایگاههای داده یک شرکت بهتر است که حساسترین دادهها را در یک مکان مجزا قرار دهید و بهشدت از آنها محافظت کنید.
تبادل نظر