ITanalyze

کمال باستانی - وقتی که هدف مهاجم سایبری چیزی نیست جز ویران کردن سیستم کسب‌وکار شما، نمی‌توانید با آنها همان‌ رفتاری را داشته باشید که با سایر متخلفان سایبری دارید.

همه ما، متخلفان سایبری را که با انگیزه‌ مالی سعی دارند امنیت سیستم‌های اطلاعاتی را به خطر بیندازند، جزو تهدیدهای سازمان خود می‌دانیم، ولی در مورد کسانی که هدف مالی ندارند، وضعیت چطور است؟ کسانی که تنها هدف‌شان آسیب‌رساندن به شماست. در برابر این متخلفان چه کنیم و چطور از عهده مهاجمانی برآییم که تنها هدف‌شان ویرانی است؟

مهاجمان مخرب، مانند مهاجمانی که به شرکت Sony Pictures Entertainment حمله کردند، اشخاص هستند. این نوع حملات سایبری توسط افرادی اجرا می‌شوند که غرض دارند؛ شاید یکی از کارمندان داخل شرکت باشد که از کارش رضایت ندارد، یکی از فعالان دنیای سایبری باشد که با این کار سعی دارد به اهداف سیاسی خود برسد، یا کسی که اهداف کلان کشور شما را در تضاد با برنامه‌های مملکت خود می‌بیند.

کاری که مهاجمان مخرب انجام می‌دهند، از جنبه‌های بسیاری ساده است. اگر تنها هدف کسی تخریب و ویرانی باشد، لازم نیست که به اطلاعات زیادی دسترسی داشته باشید. از نظر اغلب متخصصان در زمینه‌ امنیت اطلاعات، به احتمال زیاد حمله به شرکت سونی با ارسال یک پیام فیشینگ ساده برای به‌دست آوردن گذرواژه یکی از اکانت‌های کاربری آغاز شده است. پس از به‌دست آمدن اکانت کاربری، یک بدافزار پاک‌کننده wiper malware در آنجا راه‌اندازی شده است. این بدافزار در خصوص تکثیر خودش خوب عمل کرده و به این ترتیب، اشخاص هکر کناری نشسته‌اند و تماشا کرده‌اند که چطور این نرم‌افزار تمامی داده‌های شرکت را شناسایی می‌کند و با از کار انداختن سخت‌افزارها، آنها را به اشیای دکوری و بی‌استفاده‌ گران‌قیمتی تبدیل می‌کند.

برنامه‌ هکرهای شرکت سونی این بود که به اعماق شبکه نقب بزنند تا بتوانند به مقدار عظیمی از داده‌ها دسترسی پیدا کنند و آنها را تحت کنترل خود درآورند. آثار هنری که شامل حقوق مولفان می‌شد، اطلاعات خصوصی اشخاص، ایمیل‌هایی که می‌توان با استناد به آنها طرح دعاوی حقوقی کرد و اطلاعات دقیق و جامع از زیرساخت IT کل شرکت از جمله داده‌هایی بود که در دسترس مهاجمان قرار گرفت. مهاجمان مذکور، به جای فروش این اطلاعات، تمامی آنها را در سایت Pastebin یعنی جایی که هرکس بتواند آنها را ببیند، آپلود کردند و به این ترتیب باعث تخریب شرکت شدند.

چرا چنین کاری انجام شد و چه‌ کسانی آن را اجرا کردند؟ این سوالات هنوز مورد بحث و مناقشه است. از نظر مسوولان دولتی ایالات متحده، متهم پرونده‌ شرکت سونی پیکچرز، مهاجمان واحد جنگ‌های سایبری کره‌ شمالی هستند و این عمل، یک عملیات تلافی‌جویانه در برابر فیلم «مصاحبه» از تولیدات شرکت سونی است. «مصاحبه» فیلمی کمدی در مورد به قتل رسیدن رهبر کره شمالی، کیم جونگ اون است که جنجال فراوانی در کل دنیا به وجود آورد. به‌تازگی جیمز کومی، از فرماندهان FBI، شواهدی مبنی بر این ادعا ارایه کرد و جیمز کلاپر، فرمانده امنیت ملی ایالات متحده تا آنجا پیش رفت که از یکی از ژنرال‌های کره شمالی به‌عنوان متهم اصلی پرونده نام برد.

نظر برخی کارشناسان این است که حتی اگر کره شمالی این کار را انجام داده باشد، مطمئنا کسی از داخل مجموعه‌ سونی پیکچرز نیز با آنها همکاری کرده است. محققان Norse Corp نیز بر همین عقیده‌اند و اعلام کرده‌اند که بی‌شک یکی از کارمندان ناراضی داخل شرکت در این کار دست داشت. در یکی از این گزارش‌ها آمده است:

جالب است که در بیانیه‌ سازمان FBI کره شمالی به «سرقت و تخریب» داده‌ها متهم شده است و این در حالی است که هیچ سند و شاهدی در مورد نحوه‌ نفوذ به شبکه و سرورهای سونی ارایه نشده است. تحقیقات نشان می‌دهد که احتمال همکاری یکی از کارمندان اسبق شرکت سونی تا حد زیادی قریب به یقین است.

این موضوع را شاید بتوان نوعی از مجازات دیجیتالی برای ست روگان و جیمز فرانکو، کارگردان‌های فیلم مصاحبه دانست، مجازاتی که تا به‌ حال دیده نشده است. سازمان‌ها در عوض اینکه به فکر دفاع از چنین حملاتی باشند، بهتر است برنامه‌ریزی کنند و راهکارهایی برای پاسخ به اتفاقات بسیار مخربی از این نوع داشته باشند.

تهدید کارمندان بداندیش از داخل سازمان که شامل کارکنان حال حاضر و کارمندان سابق می‌شود نیز یکی از تهدیدهای رایج امروز به شمار می‌رود. به عقیده‌ کارشناسان امنیت اطلاعات، راه‌های زیادی پیش روی سازمان‌ها است که خود را از گزند چنین کارمندهایی دور کنند.

کارمندان بداندیش داخل سازمان

کسب‌و‌کار در دنیا هم‌اکنون به مرحله‌ای رسیده است که دستورالعمل‌هایی برای شناسایی ایرادها و رفتارهای غیرعادی دارد و در موارد انحراف از رویه‌ مورد قبول، علایم هشداردهنده به کار می‌افتند. ولی اگر فردی که این علایم هشدار را دریافت می‌کند، کسی باشد که باعث همان اشکالات شده است، تکلیف چیست؟ کارمند ناراضی بخش امنیت اطلاعات سازمان‌ها احتمالا بدترین تهدید برای آن سازمان است.

نظر کارشناسان این است که سازمان‌ها با مدیریت دسترسی کاربران به اطلاعات توانسته‌اند ساز‌وکاری ایجاد کنند که از تخریب کل سازمان اجتناب شود. با دسترسی محدود کاربران به اطلاعاتی که تنها در حوزه‌‌ خودشان مورد استفاده است، در واقع امکان تخریب فقط برای آن بخش از اطلاعات قابل دسترس ممکن است. این مورد در خصوص سطوح کاربری تا حد مطلوبی جاری است، ولی در سطح داده‌ها، به‌خصوص داده‌های فاقد ساختار و طبقه‌بندی‌نشده این چنین نیست.

کارمندان بخش‌ IT شرکت‌ها برای آنکه بتوانند کارشان را انجام دهند، دسترسی کاملی به اپلیکیشن‌ها و سیستم‌های IT دارند، ولی لزومی ندارد این دسترسی به تمامی داده‌ها نیز تسری پیدا کند. به‌عنوان نمونه نیازی نیست که مدیر یا کارکنان واحد IT گذرواژه‌ ایمیل افراد سازمانی را داشته باشند یا اطلاعات بخش مدیریت منابع انسانی در دسترس آنان باشد.

شرکت‌ها مدام یه فکر ایجاد ممنوعیت در دسترسی به سیستم‌ها هستند، ولی مهاجمان دنیای سایبری نیازی به سیستم‌ها ندارند، آنها داده‌ها را می‌خواهند. شما نمی‌توانید با ایجاد ممنوعیت ورود به فناوری‌ شبکه، جلوی مهاجمان را بگیرید؛ چراکه مهاجمان همیشه راهی برای ورود و نفوذ به سیستم پیدا می‌کنند، به همین دلیل است که اغلب هکرها نه روی سیستم، بلکه روی کاربران تمرکز می‌کنند، ولی متاسفانه سازمان‌ها نه روی کاربران، بلکه روی سیستم متمرکزند و به این ‌ترتیب لزومی ندارد که هکرها از پنجره بیایند، چون در جلو باز است.

کارمندان بداندیش داخل سازمان کار را از این هم راحت‌تر می‌کنند؛ چرا که آنها از قبل داخل سازمان‌اند. یکی از راهکارهای امنیتی در سازمان‌ها، محافظت از طریق ایجاد پروفایل‌های کاربری و پایش کاربرانی است که رفتارهای مشکوکی از خود نشان می‌دهند. اکتفا کردن به فهرستی از قواعد و مقررات ثابت و پیام‌ها و هشدارهای امنیتی صحیح نیست؛ چراکه کارکنان واحد IT آن قوانین را می‌دانند و به‌راحتی می‌توانند آنها را دور بزنند.

از طرفی، بی‌اعتمادی به کارکنان نیز کار درستی نیست. راه درست ایجاد دسترسی کامل به اطلاعاتی است که مرتبط با کار کارکنان است، نه بیشتر. همچنین آشنایی با نحوه‌ تجزیه و تحلیل رفتارهای سازمانی نیز اهمیت دارد؛ چراکه کارمندی که امروز از سازمان رضایت دارد، ممکن است فردا چنین رضایتی نداشته باشد. حتی ممکن است افرادی که تا دیروز قابل اعتماد بودند، تغییر کنند. تغییر در ذات انسان‌هاست.

با در نظر گرفتن دلایل یادشده، تفکیک صحیح وظایف ضروری است. کارمندی که کلید تمام در و پنجره‌های شرکت را در دست دارد، تهدید بزرگی است، ولی کارمندی که تنها کلید اتاق خودش را دارد، تهدید چندانی به‌حساب نمی‌آید.

انعکاس وظایف سازمانی نیز اهمیت ویژه‌ای دارد. اگر تنها یک نفر باشد که هشدارهای امنیتی را دریافت می‌کند، و اگر این فرد آدم فاسدی باشد، هیچ‌کس نخواهد فهمید که چه اتفاقی می‌افتد. اگر دو یا سه نفر به‌عنوان دریافت‌کننده‌های هشدارهای امنیتی در نظر گرفته شوند، احتمال شناسایی ایرادها بسیار بیشتر است. البته در سازمان‌های کوچک ممکن است نیروی انسانی کافی برای این کار موجود نباشد، ولی در صورتی که منابع انسانی کافی وجود داشته باشد، این کار باید به انجام برسد.

گاهی نیز ممکن است مشکلاتی که به‌وجود می‌آیند، حالت ترکیبی داشته باشند و شواهد و مدارک کافی برای فعال شدن هشدارهای امنیتی موجود نباشند. در این صورت، سازمان نه با یک مشکل امنیت اطلاعاتی، بلکه با مشکل IT روبه‌رو است. اینجاست که فعالیت مشکوک را می‌توان تنها با عوض کردن یک گذرواژه حل کرد و دیگر لزومی ندارد که به علت و چرایی لزوم عوض کردن گذرواژه پرداخت.

شایان ذکر است که اقدامات فوق لزوما از تخریب سیستم‌های سخت‌افزاری، گسترش بدافزارهای پاک‌کننده، از کار افتادن سرورها یا لورفتن تمامی فایل‌های پشتیبان جلوگیری نمی‌کند. این اقدامات کار را برای کارمندان بداندیش داخل سازمان سخت می‌کند و باعث می‌شود چنین آدم‌هایی نتوانند با پاک کردن یا ارسال داده‌های مهم سازمان به دیگران باعث ویرانی آن سازمان شوند. (منبع:عصرارتباط)