چگونه برای شبکه خود، چک‌لیست امنیتی آماده کنیم؟

آخرین  باری که وضعیت امنیت شبکه را بررسی کردید، چه زمانی بود؟ این روزها بسیاری از مردم و سازمان‌ها نگران این مسئله هستند و نگرانی‌ آن‌ها کاملا منطقی است. برای حل این مشکل چه کاری باید انجام دهند؟ 

سازمان‌های بزرگ به سراغ گزارش‌های سیستمی می‌روند و گه‌گاه ترافیک شبکه را بررسی می‌کنند. این سطح از ارزیابی، اطلاعات مفیدی در اختیار کارشناسان امنیت سایبری قرار می‌دهد، اما قادر نیست تصویر دقیقی از اتفاقات را ارائه کند. اگر می‌خواهید وضعیت فعلی امنیت شبکه خود را بسنجید، باید یک ممیزی عمیق امنیتی انجام دهید که به‌عنوان «تست آسیب‌پذیری» یا «ارزیابی امنیتی» شناخته می‌شود.

نکته مهمی که باید در این زمینه به آن اشاره کنیم این است که ممیزی‌های امنیت شبکه، ممیزی کنترل‌های رسمی فناوری اطلاعات در سطوح سیستم‌‌عامل، برنامه‌ها و پایگاه داده نیستند. در مقابل، آن‌ها تمرین‌هایی هستند که برای کشف آسیب‌پذیری‌های امنیتی در شبکه انجام می‌شوند؛ به این امید که آسیب‌پذیری‌ها قبل از آن‌که توسط هکرها مورد سوء‌استفاده قرار گیرند، شناسایی شوند. به همین دلیل، مهم است که باید برداشت درستی از اصطلاحات مختلف امنیت و به‌ویژه آزمون‌های امنیتی داشته باشید. یکی از بهترین اقدامات برای مقابله با حمله‌های هکری، آماده‌سازی یک چک‌لیست ممیزی امنیت شبکه است. چک‌لیستی که باید موارد مختلفی در آن لحاظ شود. به‌طور مثال، چه سامانه‌هایی باید ارزیابی شوند، از چه ابزارهایی برای این منظور باید استفاده کرد و چه افرادی درگیر این ارزیابی‌ها خواهند بود؟ 

آماده‌سازی چک‌لیست دقیق با ممیزی امنیت شبکه

ممیزی امنیت شبکه، ساده اما کاربردی و مفید است. چک‌لیست ممیزی امنیت شبکه می‌تواند موارد ابتدایی تا آزمایش‌های پیچیده، گزارش‌گیری و موارد این‌چنینی را شامل شود. هنگامی که قصد آماده‌سازی چک‌لیست امنیتی را دارید اگر به یک اصل مهم دقت کنید، موفق خواهید بود. شما باید از یک روش اثبات‌شده برای کشف نقص‌های امنیتی مهم استفاده کنید تا مطمئن شوید کارها را به‌درستی انجام داده‌اید. اگر کارشناس شبکه یا امنیت هستید و مسئولیت محافظت از شبکه و تجهیزات تحت شبکه به شما محول شده است، پیشنهاد می‌کنیم این مقاله را تا انتها مطالعه کنید تا بدانید که هنگام ساخت چک‌لیست امنیتی باید به چه نکاتی دقت کنید. 

۱. محدوده کارهایی را که باید انجام شود مشخص کنید

هنگامی که قصد ساخت چک‌لیست امنیتی را دارید باید همه‌چیز را نظر بگیرید. فرآیند ممیزی امنیت شبکه، ابزارهایی که ممکن است مورد استفاده قرار گیرند، محدوده، این‌که آزمایش‌ها توسط چه کسی و چه زمانی باید انجام شوند و موارد این‌چنینی را شامل می‌شود. در اولین مرحله، پاسخی برای پرسش‌های زیر پیدا کنید: 

آیا در نظر دارید همه‌چیز را آزمایش کنید؟ تنها به دنبال آزمایش سامانه‌های داخلی هستید یا قصد آزمایش سیستم‌های خارجی را نیز دارید؟ سامانه‌های خارجی، به تجهیزات کارمندان دورکاری اشاره دارد که از خانه به شبکه سازمانی متصل می‌شوند. 

از چه ابزارهایی برای انجام آزمایش‌های دوره‌ای استفاده می‌کنید؟ ابزارهای رایج در این زمینه Nessus، NetScanTools Pro، Netsparker و Acunetix Vulnerability Scanner هستند. 

۲. آموزش مباحث امنیتی به کارمندان 

آمارها نشان می‌دهند که کاربران برای دستیابی به بهره‌وری بیشتر و انجام سریع‌تر کارها بدون دانش کافی در زمینه امنیت، به سراغ ابزارهای مختلفی می‌روند. ابزارهایی که توسط کارشناسان امنیتی آزمایش نشده‌اند، اما توسط کارمندان مورد استفاده قرار می‌گیرند، ضریب نفوذ به شبکه را بیشتر می‌کنند و باعث می‌شوند تمام تمهیدات اعمال‌شده توسط کارشناسان امنیتی برای مقابله با حمله‌های هکری بی‌اثر شود. در همین ارتباط، در بیشتر موارد کارمندان دست به اقدامات غیرحرفه‌ای می‌زنند. به‌طور مثال، گذرواژه‌ها را روی کاغذی می‌نویسند که به مانیتورشان چسبیده است. ایجاد ذهنیت و فرهنگی امنیت‌محور در سازمان، بهترین راه برای از بین بردن ریسک خطای انسانی است.

۳. داشتن برنامه آموزشی مستمر برای کارمندان 

امنیت سایبری باید مهم‌ترین مقوله‌ای باشد که سازمان نسبت به آن نگران است. همه منابع انسانی سازمان، باید از ریسک‌های امنیتی و اتفاقاتی که در صورت نقض امنیتی رخ می‌دهند، اطلاع کامل داشته باشند. به همین دلیل مهم است که کارمندان باید درباره حمله‌های سایبری آموزش‌های لازم را ببینند و اطلاعاتی در مورد بهترین الگوهای امنیتی مثل احراز هویت دومرحله‌ای و مدیریت گذرواژه در اختیار آن‌ها قرار داده شود. در این حالت، اگر حساب کاربری آن‌ها با حمله هکری روبه‌رو شود، هکرها به‌راحتی قادر به هک حساب کاربری آن‌ها نخواهند بود. 

۴. نظارت بر پیچیدگی‌ فرآیندهای فناوری اطلاعات

هر زمان تغییری در فرآیندهای کاری به‌وجود آمد یا خدمات جدیدی تعریف شد، تمامی اتفاقات باید مستندسازی شوند تا کارشناسان امنیت اطلاعات بتوانند بر تغییرات جدید نظارت داشته باشند. به‌طور معمول، پیشنهاد می‌شود در هنگام آماده‌سازی چک‌لیست به این نکته اشاره کنید که یک سامانه یکپارچه مدیریت تهدیدات قادر است بخش عمده‌ای از این فرآیند نظارت را به‌شکل خودکار انجام دهد. 

۵.  محدود کردن دسترسی به داده‌ها و برنامه‌های کاربردی

دسترسی به اطلاعات فقط باید به افرادی سپرده شود که صلاحیت لازم را دارند. به بیان دقیق‌تر، کارمندان باید بر مبنای کاری که انجام می‌دهند، مجوزهای لازم برای دسترسی به منابع را در اختیار داشته باشند. این خط‌مشی برای دسترسی فیزیکی به تجهیزات سخت‌افزاری نیز باید رعایت شود.

۶. پیاده‌سازی کنترل‌های استفاده از داده‌ها

اقدامات غیرایمن مثل آپلود کردن داده‌ها روی وب، ارسال ایمیل به آدرس‌های غیرمجاز یا کپی کردن در درایوهای خارجی باید مسدود شود.

۷. ایجاد خط‌مشی‌های سخت‌گیرانه برای گذرواژه‌ها 

خط‌مشی‌های گذرواژه باید به‌وضوح به این نکته اشاره کنند که گذرواژه‌ها باید در بازه‌های زمانی کوتاه‌مدت تغییر کنند. همچنین، باید اطمینان حاصل شود که کارمندان از گذرواژه‌های قدرتمند استفاده می‌کنند که جایی مکتوب نشده باشند. این ساده‌ترین کار برای ایمن‌سازی داده‌ها است. همواره به این نکته دقت کنید که نباید اطلاعات مشتریان در مکان‌هایی ذخیره‌سازی شوند که در معرض افشا هستند. این‌ کار اعتبار شرکت را به ‌خطر می‌اندازد.

۸. ساخت فهرستی از دارایی‌های سخت‌افزاری و نرم‌افزاری

یکی از نکات مهم در هنگام ساخت چک‌لیست امنیت سایبری، ساخت فهرست کاملی از تمام دارایی‌های سازمان است. این‌کار کمک می‌کند به دقیق‌ترین شکل ممکن دارایی‌ها را کنترل کرد، زیرا مادامی که اطلاعی درباره دارایی‌هایی که در سازمان وجود دارد نداشته باشید، قادر به آماده‌سازی یک چک‌لیست امنیتی دقیق نخواهید بود. کاهش میزان آسیب‌پذیری‌های شرکت از طریق دستیابی به نمایی کامل از تمام دستگاه‌های تحت شبکه آغاز می‌شود. به بیان دیگر، باید اطلاع دقیقی در مورد حساب تمام دستگاه‌های موجود در شرکت داشته باشیم و اطمینان حاصل کنیم که هرگاه چیزی اضافه شد، به‌طور منظم این فهرست به‌روزرسانی خواهد شد. هنگامی‌که تمام دارایی‌ها ممیزی شدند، باید برنامه‌ دقیقی برای به‌روزرسانی این فهرست داشته باشیم و مشخص کنیم که برای محافظت از هر دارایی باید از چه قابلیت‌ها و ابزارهایی استفاده کنیم. این کار، شانس حمله موفقیت‌آمیز را از هکرها می‌گیرد. بدون انجام این اقدامات، فرصت‌های زیادی برای دسترسی به شبکه‌ از طریق دستگاه‌های وصله‌نشده در اختیار هکرها قرار می‌دهیم. 

۹. مستندسازی دستگاه‌های متصل به شبکه

باید تمام دستگاه‌های با قابلیت اتصال به شبکه را ثبت و ایمن‌سازی کرد. این مسئله شامل لپ‌تاپ‌ها، گوشی‌های همراه، سوئیچ‌ها، اکسس‌پوینت‌ها، تکرارگر‌ها، بریج‌ها، هاب‌ها و دستگاه‌های شخصی کارمندان می‌شود. بهتر است از ابزارهایی استفاده کنید که توانایی شناسایی نرم‌افزارها و سخت‌افزارهایی را دارند که قادر به اتصال به شبکه هستند.

۱۰. شبکه مهمان برای اتصال مشتریان و شرکا به شبکه ثالث 

بهتر است شبکه‌های مهمان برای دفاتر شرکت ایجاد کرد و مطمئن شد کارمندان و مشتریان به شبکه فرعی سازمان متصل می‌شوند. در این حالت، کلاینت‌ها قادر به مشاهده دارایی‌های حساس سازمانی نیستند و قادر نخواهند بود به اطلاعات خصوصی دسترسی پیدا کنند.

۱۱. نظارت بر نحوه دسترسی کاربران به شبکه و تجهیزات تحت شبکه

خطاهای احراز هویت و دسترسی غیرمجاز باید ثبت شده و شبکه برای هرگونه فعالیت مشکوک مورد بررسی قرار گیرد. همچنین، باید اطلاعات دقیقی درباره هر دستگاه غیرمجازی که موفق به اتصال به شبکه شده به‌دست آورد. همچنین، دسترسی هر دستگاهی که ممکن است نرم‌افزار خطرناکی را اجرا کند به‌‌سرعت از شبکه قطع شود.

۱۲. تحلیل، اولویت‌بندی و مدیریت‌ آسیب‌پذیری‌ها 

یکی از نکات مهمی که هنگام آماده‌سازی چک‌لیست امنیت سایبری باید به آن دقت کنید، تحلیل و مدیریت آسیب‌پذیری‌ها به‌شکل منظم است. تیم‌های فناوری اطلاعات باید عملیات امنیت سایبری را به‌شکل تمام‌وقت انجام دهند تا بتوانند در کوتاه‌ترین زمان، آسیب‌پذیری‌ها را شناسایی کرده، موارد مشکوک به تهدیدات را شناسایی کرده و به فعالیت‌های مخرب به‌شکل لحظه‌ای پاسخ دهند. تنها در این صورت است که توانایی مقابله با مخاطره‌ها را خواهید داشت. به همین دلیل، مهم است که ریسک‌ها سنجید شده و اقدامات پیشگیرانه لحاظ شود. 

۱۳. تحلیل مستمر 

بدون پیاده‌سازی یک مکانیزم نظارت تمام‌وقت‌ و تجزیه‌و‌تحلیل مداوم، شانس شناسایی تهدیدات در کوتاه‌ترین زمان از دست می‌رود. به همین دلیل، کارشناسان امنیتی باید به‌شکل مستمر فعالیت‌های مرتبط با شبکه سازمان را بررسی کنند. 

۱۴. شناسایی و اولویت‌بندی آسیب‌پذیری‌ها

یکی دیگر از نکاتی که هنگام آماده‌سازی چک‌لیست امنیت سایبری نباید از آن غافل شد، شناسایی آسیب‌پذیری‌ها و اولویت‌بندی آن‌ها است. به‌ویژه آسیب‌پذیری‌‌هایی که درجه بحرانی دارند و باید وصله شوند. یک راهکار موثر در این زمینه، رویکرد ریسک‌محور است که اشاره به مدیریت آسیب‌پذیری‌ها، توانایی شناسایی و برطرف کردن آن‌ها به‌شکل ساخت‌یافته دارد. در هنگام اولویت‌بندی آسیب‌پذیری‌ها، به این نکته دقت کنید که باید کار را با ریسک‌هایی که سطح بالایی از تهدید را دارند آغاز کنید و در ادامه به سراغ ریسک‌های خفیف‌تر بروید.

۱۵. لزوم توجه به تنظیمات و پیکربندی‌های پیش‌فرض

در هنگام آماده‌سازی چک‌لیست‌ امنیت سایبری، نباید از موارد مرتبط با پیکربندی‌ ایمن سخت‌افزارها و نرم‌افزار‌هایی که روی دستگاه‌های همراه، ایستگاه‌های کاری و سرورها نصب می‌شوند غافل شد. آمارها نشان می‌دهند تولیدکنندگان محصولات نرم‌افزاری و سخت‌افزاری با در نظر گرفتن تجربه کاربری و سهولت در استفاده، پیکربندی‌های پیش‌فرضی را برای محصولات خود در نظر می‌گیرند. کنترل‌های ساده، تنظیمات ابتدایی، پروتکل‌های قدیمی، نصب نرم‌افزارهای اضافی و پورت‌های باز نرم‌افزاری یا سخت‌افزاری (سوئیچ‌ها)، چراغ سبزی برای هکرها برای ورود به شبکه‌های سازمانی نشان می‌دهند. نکته مهمی که باید در این زمینه به آن دقت کنید این است که باید به کارمندان در مورد الزامات نصب ضد‌ویروس، ضدبدافزار و به‌روزرسانی‌ خودکار، آموزش‌های لازم داده شود.

۱۶. ذخیره‌سازی، نظارت و تحلیل گزارش‌های ممیزی

بدون بررسی گزارش‌های ممیزی، این احتمال وجود دارد که حملاتی به شبکه سازمانی انجام شده باشد، اما کسی متوجه این موضوع نشده باشد. به بیان دقیق‌تر، هکرها به دور از دید کارشناسان امنیتی موفق به ورود به شبکه سازمانی شده باشند. این حالت، بیان‌گر این موضوع است که به احتمال زیاد درهایی برای انجام حملات پیشرفته‌تر و بهره‌برداری از آسیب‌‌پذیری‌ها در اختیار هکرها قرار دارد. تیم‌های فناوری اطلاعات باید به‌منظور تطبیق‌پذیری، اسناد مربوط به ممیزی را نگه‌داری کنند تا این گزارش‌ها در صورت بروز یک نقض‌ امنیتی در داده‌ها، اطلاعات دقیقی در اختیارشان قرار دهند. 

۱۷. گزارش‌ها، نظارت و تحلیل مخاطرات امنیتی 

بدون ارزیابی دقیق ممیزی‌ها، شرکت‌ها مجبور هستند به سراغ مجموعه اقداماتی در محدوده جرم‌شناسی دیجیتالی بروند که زمان‌بر و پرهزینه است، تا بتوانند میزان اثرگذاری یک حمله سایبری را به‌شکل دقیق بررسی کنند. آماده‌سازی و ذخیره‌سازی گزارش‌ها در برخی موارد قابل ارائه به محاکم قضایی هستند و به شرکت‌ها کمک می‌کند تا نشان دهند اصول اولیه امنیتی را به‌درستی رعایت کرده‌اند. 

۱۸. انجام ارزیابی‌های دقیق با هدف شناسایی نقاط ضعف در شبکه‌ها

کارشناسان امنیتی می‌توانند به‌منظور درک وضعیت امنیت فناوری اطلاعات و ریسک سازمان‌ از سرویس‌های ارزیابی آسیب‌پذیری مدیریت‌شده استفاده کنند. وقتی شرکت‌ها گزارش‌های پرجزئیات را نگه‌داری می‌کنند، با نگاه کردن به آن‌ها متوجه می‌شوند چه حادثه امنیتی اتفاق افتاده و بهترین وقت برای اطلاع‌رسانی به کاربران چه زمانی است. ارزیابی دقیق گزارش‌ها کمک می‌کنند مانع بروز حمله‌های مشابه در آینده شوید. 

۱۹.  پشتیبان‌گیری از داده‌ها در خارج از سایت

در حمله‌های باج‌افزار، هکرهایی که داده‌ها را به‌سرقت برده یا اطلاعات را قفل کرده‌اند، تنها پس از پرداخت باج به قربانیان اجازه دسترسی مجدد به داده‌ها را می‌دهند. برای دور ماندن از چنین مشکلی، بهترین راهکار، آماده‌سازی نسخه پشتیبان از داده‌های حساس است. مزیت دیگر پشتیبان‌گیری از داده‌ها این است که در صورت بروز فاجعه‌ای طبیعی یا خرابی سیستم، بازیابی داده‌ها امکان‌پذیر است. با پشتیبان‌گیری از داده‌ها، می‌توان با استفاده از یک کپی که آلوده به بدافزار نیست، زمان از دسترس خارج بودن سرور را کاهش داد. اصل مهم در این زمینه این است که باید فرآیند پشتیبان‌گیری منظم باشد تا همواره نسخه جدیدی از اطلاعات آماده شده باشد. علاوه بر پشتیبان‌گیری، باید به‌فکر برنامه بازیابی پس از فاجعه نیز باشید تا روند بازیابی داده‌ها و برنامه‌های کاربردی سریع باشد. ابر گزینه مناسبی برای ذخیره‌سازی نسخه‌های پشتیبان است. 

۲۰. آماده‌سازی یک برنامه‌ پاسخ سریع به اتفاقات و حوادث 

اطلاع‌رسانی به مشتریان در مورد یک نقض امنیتی، فرایند هزینه‌بری است. اگر شرکت مسئول بروز حمله سایبری شناخته نشود، آسیبی که به اعتبار شرکت زده می‌شود و ساعت‌های بی‌شماری که صرف حل مسئله می‌شود، برای شرکت‌های بزرگ و کوچک فاجعه‌بار است. به همین دلیل مهم است که باید یک برنامه واکنش به حوادث نه‌تنها برای نقض‌های امنیتی، بلکه به‌منظور غلبه بر اتفاقات غیرمترقبه در اختیار داشته باشید. 

کلام آخر

معمولا از کارشناسان امنیتی پرسیده می‌شود که سخت‌ترین کار مربوط به انجام ممیزی امنیت شبکه چیست. برخی، مسائل مرتبط با پول، برخی دیگر حمایت‌های درون‌سازمانی و برخی دیگر کمبود دانش را سد راه انجام یک ارزیابی امنیتی مناسب می‌دانند. با این حال، بزرگ‌ترین مانع برای ممیزی امنیت شبکه دو چیز ساده است: تمایل و انضباط. شما باید تمایل به انجام آن‌چه که برای کسب‌و‌کار، مشتریان و شرکای تجاری مناسب است داشته باشید و به‌شکل منظم این کار را انجام دهید. 

حتا زمانی که منابع محدود هستند، همچنان می‌توانید ارزیابی‌های امنیتی خود را انجام دهید یا از وجود کارشناسان برون‌سازمانی استفاده کنید. اگر بودجه محدودی در این زمینه دارید و مجبور به استفاده از ابزارهای رایگان هستید، باز هم جای نگرانی وجود ندارد. فقط مطمئن شوید که هدف بلندمدت شما این است که این کار را به‌شکل حرفه‌ای و با استفاده از بهترین ابزارهای در دسترس انجام دهید. 

برای این منظور، باید مطمئن شوید ابزارها و خط‌مشی‌های حفاظت از داده‌ها را به‌درستی تعریف و دنبال می‌کنید تا بتوانید در زمان ممیزی، تطبیق‌پذیری با قوانین را اثبات کنید. برای این منظور می‌توان کارمندی را به‌منظور محافظت از داده‌ها استخدام کرد و قراردادهایی کتبی با شرکای خارجی منعقد کرد که از تطبیق‌پذیری شرکت اطمینان حاصل کنید. همچنین، باید تمام نقض‌های امنیتی داده‌ها را ثبت کنید تا در زمان لازم توانایی پاسخ‌گویی به مقامات مربوطه را داشته باشید.