زمان مطالعه تقریبی: 8 دقیقه
امروزه ردپاهای دیجیتالی (digital footprint) در سازمان ها در حال افزایش است و این باعث گردیده است تا افراد بدون آن که بدانند ، اطلاعات حساس خود را به مهاجمین بدخواه واگذار کنند و سازمان ها را با مشکل نشت اطلاعات مواجه کنند . متاسفانه راه حل های امنیتی سنتی اغلب نمی توانند به راحتی این خطرات را مرتفع کنند . در این پست به دنبال معرفی مدیریت ریسک دیجیتال به عنوان راهکاری برای نظارت مداوم بر فعالیت های سایبری سازمان ها می باشیم .
هم اکنون ما در یک دنیای پیچیده زندگی می کنیم که روش های کسب و کار در آن به شدت تغییر کرده است .وجود رسانه های اجتماعی مختلف ، گوشی های تلفن هوشمند ، محاسبات و سرویس های ابری باعث افزایش سرعت ارتباطات گردیده است و به طور همزمان هزینه های محاسباتی و ارتباطی به شدت کاهش یافته است . این موضوع باعث گردیده است که راه های جدیدی برای ارائه انواع خدمات ارائه گردد اما هم زمان خطرات و چالش های جدیدی ایجاد گردیده است .
یکی از این خطرات مهم ردپاهای دیجیتالی (digital footprint) می باشند که کاملا پویا بوده و به طور مداوم در حال توسعه هستند و در طیف گسترده ای از منابع آنلاین سازمان ها در حال رشد هستند و باعث می شوند که اطلاعات حساس سازمان ها و افراد و شرکای تجاری به خطر بیفتد . افشا این اطلاعات حساس می تواند زنجیره تامین یک سازمان را به خطر بیندازد و پیامدهای مالی زیادی را به وجود بیاورد . راه های زیادی برای نشت اطلاعات از ردپاهای دیجیتالی وجود دارد، از جمله این راه ها می توان به ایمیل های شخصی افراد شاغل در سازمان ها اشاره کرد .
یکی از چالش های که امروزه مدیران با آن مواجه هستند این است که بتوانند به یک راه حل جدید و قابل اعتماد برای شناسایی و مقابله با ردپاهای دیجیتالی بپردازند . اکثر ردپاهای دیجیتالی برای یک سازمان چندان خطری ندارند تنها یک دسته از آن ها که به سایه های دیجیتالی (Digital Shadow) مشهورند می توانند به مهاجمین فرصت های زیادی را برای سوء استفاده بدهند .
سایه های دیجیتالی می توانند در روش های مختلفی استفاده شوند از جمله این روش ها می توان به موارد زیر اشاره کرد :
-
فروش اطلاعات محرمانه یک سازمان به افراد ذی نفع
-
افشا و اشتراک گذاری کلیدهای خصوصی رمزنگاری
-
ارائه مدارک احرازهویتی دیجیتال به افراد غیر مجاز
-
افشای اطلاعات حیاتی و مشخصات شخصی و خانوادگی پرسنل و مدیران عالی اجرایی (نقض حریم خصوصی)
-
طبقه بندی و شناسایی برنامه های سازمان ها
-
تحلیل رفتارهای سازمانی و پیش بینی آن ها
-
ارائه دسترسی عمومی به سیستم های خصوصی
-
تخریب زیرساخت های پرکاربرد و ضروری در کسب وکارها
البته مدیران سازمان ها می توانند از این سایه های دیجیتالی برای طراحی استراتژی های خود و برنامه ریزی های بلند مدت در مقابل حملات آینده استفاده کنند . خطر (RISK) یک مفهومی است که در امنیت سایبری به خوبی تعریف شده است . ریسک را می توان احتمال وقوع یک تهدید تعریف کرد . در مقابل ریسک ، مدیریت ریسک (مدیریت خطر) را می توان به عنوان فرآیندی در شناسایی ریسک ، ارزیابی ریسک و اقداماتی برای کاهش ریسک در سطح قابل قبول دانست . برای رسیدن به هدف مدیریت ریسک باید تهدیدات امنیتی را به خوبی شناخت و به نحوی عمل کرد که همواره توسط افراد درگیر در سیستم خطرات جدی گرفته شود .
برای شناخت تهدیدات امنیتی در یک سیستم نیاز است که هوشمندی لازم را داشته باشیم و علائم و هشدارهای آن را به خوبی بشناسیم . هم چنین تاکتیک و تکنیک های مهاجمین را بتوانیم حدس بزنیم و ابزارهای مناسب در مقابله با آن ها را در اختیار داشته باشیم . برای مقابله با تهدیدات امنیتی همواره باید یک دکترین اطلاعات امنیتی وجود داشته باشد . سازمان ها می توانند با استفاده از آموزه ها و تجربه های قبلی خود ، طرح های را برای شناسایی حملات طراحی کنند .
یکی از مباحث مهم در امنیت سایبری ، نشت اطلاعات می باشد . نشت (افشا) اطلاعات می توند سرنخ های ارزشمندی را برای مهاجمین ایجاد کنند و زمینه های بروز انواع حملات را فراهم بیاورد . ۵ حوزه اصلی را می توان برای نشت اطلاعات عنوان کرد :
-
کدهای حساس : کدهای حساس و کلیدهای رمزنگاری خصوصی که به اشتباه در اختیار عموم افراد قرار می گیرد و مهاجمان را قادر می سازد تا حملات خود را به راحتی عملی سازند .
-
معامله بر سر مجوزها : کارکنان قانونی که امکان دسترسی به یک سری اطلاعات را دارند می توانند با مهاجمین بر سر تبادل اطلاعات به توافق برسند . حتی اعتبار کارکنان می تواند از طریق روش های فیشینگ و کارهای خرابکارانه لو برود .
-
انتشار اسناد خصوصی : شرکا و همکاران تجاری که به برخی از اسناد خصوصی دسترسی دارند می توانند در نقش یک جاسوس قرار گیرند و اطلاعات حساس را به مهاجمین واگذار کنند تا مهاجمین از این طریق به طرح ریزی حملات خود بپردازند .
-
اطلاعات عمومی : برخی از اطلاعات به صورت عمومی در دسترس هستند . هر چند این اطلاعات به تنهایی ارزشی ندارند اما یک مهاجم می تواند با ترکیب این اطلاعات با برخی اطلاعات دیگر به طراحی یک حمله بپردازد یا به نقض حریم خصوصی کاربران و موقعیت یابی آن ها بپردازد .
-
استخراج اطلاعات پایه از شبکه های اجتماعی : بسیاری از افراد اطلاعات حساس خود و یا سازمانی که به آن وابسته هستند را به صورت ناآگاهانه و ناخواسته در شبکه های اجتماعی منتشر می کنند . انتشار چنین اطلاعاتی می تواند در نرم افزارهای مخرب مورد استفاده قرار گیرند و یا مهاجمین از طریق روش های مهندسی اجتماعی به جاسوسی از شرکت ها بپردازند و اطلاعات کلیدی را به رقبا واگذار نمایند .حتی مهاجمان امکان استخراج نقاط ضعف سازمانی در حوزه سایبری و غیر سایبری را دارند و با استفاده از آن می توانند به مدل سازی و تحلیل رفتار یک سازمان در شرایط خاص بپردازند .
تهدیدات سایبری و نشت اطلاعات می تواند موجب آسیب جدی به شهرت یک سازمان شود . بسیاری از سازمان ها تحلیل درستی از سوء استفاده های احتمالی از برندهای تجاری خود به صورت آنلاین ندارند . همین موضوع باعث می شود که تاثیرات منفی بر روی اعتماد مشتریان و حتی کارکنان یک سازمان به وجود بیاید . در این جا به بررسی عوامل موثر بر شهرت سازمان ها می پردازیم :
-
فیشینگ : این حمله در بسیاری از سازمان ها به وقوع می پیوندد و باعث افشا اطلاعات حساس زیادی از مشتریان و سازمان ها می شود . در چنین مواردی مشتریان و حتی کارکنان به اشتباه اطلاعات حساس خود را در سایت های جعلی (Fake) سازمان ها که توسط مهاجمین ایجاد شده است وارد می کنند .
-
دامنه های فاقد اعتبار : استفاده از دامنه های مشابه یا دامنه های با پسوندهای متفاوت توسط مهاجمین باعث می شود تا مشتریان یک سازمان در انتخاب وب سایت اصلی با مشکل مواجه شوند .
-
پروفایل های جعلی : حساب های جعلی در شبکه های اجتماعی با استفاده از برند تجاری یک سازمان می تواند باعث فریب خوردن مشتریان و کاهش اعتبار سازمان گردد .
-
برند های مشابه : برخی از مهاجمان با ساخت برندی مشابه برند اصلی ، سعی در جذب و فریب مشتریان یک سازمانم می کنند . در چنین مواردی مهاجم فقط قصد تخریب برند اصلی را دارد و سعی می کند برای سلب اعتماد از مشتریان برند تقلبی را به بی کیفیت ترین شکل ممکن عرضه کند .
-
نرم افزارهای موبایلی : امروزه نرم افزارهای موبایلی بسیاری ارائه می شوند . ارائه یک اپلیکیشن مخرب موبایلی که به نام یک سازمان خاص انتشار می یابد می تواند بر اطمینان مشتریان آسیب وارد کند و حتی به سرقت اطلاعات حساس کاربران بپردازد .
با توجه به مطالب فوق کاملا واضح است که سازمان ها نمی توانند به تنهایی برای نظارت بر ریسک های دیجیتالی خود اقدام کنند و باید از نهادهای مختلفی بهره ببرند . راهکارهای رایگان زیادی وجود دارند که امکان استفاده از آن برای کاهش ریسک ها وجود دارد . در ادامه به برخی از این راهکارها اشاره می کنیم :
-
تنظیم Google Alerts برای نظارت بر تهدیدات مورد نظر .
-
مشارکت در CSIRT و به اشتراک گذاری و کسب اطلاعات مورد نیاز از آن ها .
-
استفاده از ابزارهای رایگانی هم چون shodan.io برای شناسایی آسیب پذیری های زیرساخت ها .
-
نظارت بر مجوزهای خارج سازمانی ، hasibeenpwned.com یک منبع عالی برای این امر می باشد .
-
افزایش آموزش و آگاهای کارکنان ، مخصوصا در تنظیم حریم خصوصی در رسانه های اجتماعی ریال به هدف کاهش خطرات.
-
تهیه چک لیست های امنیتی و کنترل ارزیابی ریسک ها برای پیشگیری از حملات احتمالی