خطرناك ترین آسیب پذیری امنیتی: شما

چه باور كنید چه باور نكنید، بزرگترین تهدید برای سیستم های رایانه ای محل كارتان و یا رایانه شخصیتان، خود شما هستید. در واقع، این شما هستید كه هر روزه سیستم خود و سیستم های رایانه ای شركت را در معرض خطر قرار می دهید. البته این موضوع مربوط به یك نقص شخصیتی در شما نمی شود، بلكه مربوط به پاسخ های انسانی شما به دیگر همنوعانتان است. شما می خواهید فردی باز، كمك رسان و مهربان باشید، اما این خصوصیات در واقع پاشنه آشیل شما است. دلسوزی شما نسبت به یك فرد غریبه می تواند امنیت شخصی و حرفه ای شما را در معرض خطر بزرگی قرار دهد كه گاه جبران آن بسیار هزینه بر است.

همواره مهاجمانی هستند كه می خواهند به شبكه شما نفوذ كرده و یا داده های شما را برای رسیدن به اهداف خود سرقت كنند. در صورتی كه سیستم های شما به روز نباشد و آخرین اصلاحیه ها بر روی آن نصب نشده باشد، آنها از این طریق حمله كرده و كنترل آنها را در اختیار می گیرند. در صورتی كه شبكه شما از امنیت كافی برای دفاع در برابر نفوذ برخوردار نباشد، آنها به راحتی از طریق این روزنه باز وارد می شوند. همچنین در صورتی كه امنیت فیزیكی دفتر شما جدی نباشد، به زودی ضرر آن را خواهید دید، چرا كه افراد مهاجم بدون اینكه متوجه شوید، وارد دفتر كار شده، ممكن است یك درایو USB را سرقت كرده و یا اطلاعاتی را از روی میزهای كار جمع آوری كند، یا حتی ممكن است به دنبال رایانه ای كه قفل نشده است، بگردد. در پایان نیز، در صورتی كه كارمندان شما، برای مقابله با حملات مهندسی اجتماعی آمادگی نداشته باشند، تمام دفاع های دیگر شما بلااستفاده است.
 
مشكل چیست؟
 
از نقطه نظر شركت، تیم امنیت شبكه و مدیران آن، مسئول به روز نگاه داشتن سیستم ها و نصب نرم افزارهای امنیتی هستند، اما متأسفانه آنها نمی توانند شما را اصلاح كنند. هیچ اصلاحیه ای برای ترمیم آسیب پذیری های شما وجود ندارد. مهندسی اجتماعی موثرترین روش حمله بر روی هر سیستم یا شبكه كامپیوتری است. این نوع حملات معمولاً صد در صد موفق است. در ضمن این نوع حملات كمترین رد پا را به جا می گذارد و همواره با فردی در داخل سازمان مرتبط است كه كاری را انجام می دهد یا چیزی می گوید كه فضای كافی را برای مهاجم جهت دسترسی به سیستم ها، داده ها و اطلاعات فراهم می كند.
 
راه حل چیست؟
 
راه حل به ظاهر بسیار آسان است: آموزش
در كتاب كریستفور هادناگی به نام "مهندسی اجتماعی: هنر هك كردن انسانها" در این مورد آمده است:
 
"ارتقای امنیت از طریق آموزش نباید به عنوان یك عبارت ساده نگریسته شود، باید به عنوان یك هدف مهم نگریسته شود. تا زمانی كه شركت ها و افرادی كه در آن شركت ها كار می كنند، بحث امنیت فردی را جدی نگیرند، این مشكل به صورت كامل حل نخواهد شد. با این وجود، افرادی كه آنقدر جدی بوده اند كه مشغول خواندن این كتاب هستند و تمایل دارند كه یه گوشه های تاریك اجتماع نگاهی انداخته و مهارت های خود را افزایش دهند، می توانند خودشان، خانواده هایشان و شركت هایشان را كمی امن تر سازند.
تا زمانی كه شركت ها و سازمان ها متوجه آسیب پذیر بودن خود در برابر حملات مهندسی اجتماعی شوند، وظیفه افراد شاغل در شركت ها و سازمان های مربوطه است تا خود را در مورد روش های این نوع حملات آموزش داده و در این زمینه آگاه و گوش به زنگ باشند، همچنین این اطلاعات را به دیگران نیز انتقال دهند. تنها در این صورت است كه می توانیم امیدوار باشیم اگر یك قدم جلوتر از مهاجمین نیستیم، حداقل خیلی هم از آنها عقب تر نیستیم."
 
یكی از مهمترین موانعی كه باید بر آن غلبه كنید، اعتماد به نفس دروغینی است كه فكر می كنید این اتفاق هیچ گاه برای شما نمی افتد. زمانی كه با نویسنده كتاب فوق مصاحبه شده، اذعان داشته است وی 100 درصد در حملات اجتماعی كه انجام داده، موفق بوده است. این عدد باید به اندازه كافی به شما هشدار بدهد.
 
 
چطور می توانیم در حالی كه اوضاع ناامیدانه به نظر می رسد، از خودمان محافظت كنیم؟
 
البته اوضاع آنقدرها هم بد نیست و در صورتی كه مهاجمان نتوانند صیدهای مناسب را پیدا كنند، حملات هم نمی توانند به اندازه ای كه در حال حاضر موفق هستند، موفق باشند. كار شما اینست كه تا جایی كه می توانید كار مهاجم را سخت تر كنید. راههایی كه دشمنان از طریق آن به شما حمله می كنند را شناسایی كرده و سطح حملات را كاهش دهید.
 
چطور می توانید این كار را انجام دهید؟
 
این مسئله نیازمند آمادگی و گوش به زنگی بالایی است و همچنین لازم است تا جواب های از پیش تعیین شده ای برای سوال های به ظاهر بی ضرر غریبه ها آماده شود. از طرف دیگر، هماهنگی بین همه كارمندان از مدیران گرفته تا نظافتچی ها بسیار ضروری است. آموزش كلیدی ترین روش برای پیشگیری است، اما در عین حال داشتن یك برنامه خروج از بحران نیز برای بهبود بعد از حملات موفق، ضروری است.
 
متأسفانه اطلاعات مناسب و صحیح در این زمینه، تا از طریق آن بتوانید آموزش لازم را ببینید بسیار كم و نادر است. بیشتر مطالبی كه پیدا خواهید كرد یا اطلاعات عمومی بوده و یا اطلاعات غلط و گمراه كننده است كه شما را بیش از پیش در مقابل حملات آسیب پذیر می سازد. مطمئن ترین راه برای آموزش برگزاری دوره های مرتبط توسط افراد متخصص در شركت مربوطه و یا مطالعه كتاب های قابل اعتماد در این زمینه است.




تاريخ : پنج شنبه 11 مهر 1392برچسب:, | | نویسنده : مقدم |